Этапы организации комплексного подхода к адекватной политики безопасности:

1. Анализ возможных угроз(администратор системы рассматривает возможные угрозы безопасности для данной ОС при данных текущих обстоятельствах). Среди возможных угроз выделяются наиболее опасные, защите от которых нужно уделить массу сил и средств (например, закрыть вход и выход данных на носителях).

2. Формирование требований к политике безопасности. Администратор определяет, какие методы и средства будут применяться для защиты от каждой конкретной угрозы. Средства могут быть не максимальнозащищающие, но адекватные данному месту, времени, коллективу, задачам.Пример:Надо защитить папку, сделать ее недоступной пользователю: – Сделать папку скрытой; – Менять расширение; – Заархивировать с паролем; – Запретить конкретному пользователю доступ к папке; – Воспользоваться имеющейся на базе NTFS системой EFS для шифровки файла; – Применить программу, чтобы зашифровать файл.

Средства должны быть адекватны обстоятельствам.

Администратор должен анализировать побочные эффекты различных вариантов защиты. Как правило, приходится идти на компромисс, смиряясь либо с недостаточной защищенностью ОС от отдельных угроз, либо с определенными трудностями пользователей при работе с системой.

3. Формальное определение политики безопасности. Администратор четко определяет как конкретно должны выполняться разработанные им требования, сформулированные на предыдущем этапе. Определяются средства – сама ОС или дополнительное программное обеспечение. Здесь же определяется дополнительное ПО на случай ЧП. Результатом данного этапа становится развернутый перечень всех настроек и конфигураций для ОС и выбранного ПО с указанием того, в каких ситуациях, какими из них пользоваться.

4. Претворение в жизнь политики безопасности.

5. Поддержка и коррекция политики безопасности. Задача администратора на данном этапе соблюдение политики безопасности и внесение изменений по мере необходимости.