Система безопасности
01.02.2019
Подотчетность основана на едином механизме аутентификации, создании «периметра безопасности» и аудите. Единый механизм аутентификации строится на основе использования стандартной процедуры, выделения «ролей» пользователей и администраторов и реализации набора граничных критериев работы пользователя. При этом минимальной подотчетной единицей является конкретный сотрудник, взаимодействующий с УБС, а учетной информацией являются его атрибуты и пароль доступа, граничными критериями, в частности, являются временные параметры разрешенной работы, количество неудачных попыток и т.д.
Периметр безопасности характеризуется используемыми средствами доставки и контролем за исполнением правил доступа в пределах периметра. Надо отметить, что при использовании средств СКК и СПК необходимо не только учитывать безопасность коммутации и маршрутизации, но и использовать средства «благонадежности» хостов и клиентов средствами сетевого экрана как со списком хостов, так и со списками «черных» и «серых» клиентов. Выбираете телефон в офис? Стационарный сотовый телефон GSM с антенной под 2 сим карты будет отличным вариантом.
Аудит как элемент безопасности подразделяется на организационный аудит, аудит системного и прикладного ПО, а также онлайновый анализ проводимых действий. Организационный аудит включает введение ограничений доступа персонала в серверные помещения, проверку неавторизованного или тайного доступа к серверам или рабочим местам, контроль внесения изменений в работу аппаратуры системы, включая остановку и запуск серверов, а также контроль модификаций системы, приводящих к нарушению безопасности системного программного обеспечения.
Аудит системного ПО включает аудит всех операций администраторов, контроль подключения/отключения рабочих мест, вхождения/выхода пользователей в систему, а также обнаружение попыток неавторизованного доступа.
Аудит прикладного ПО включает контроль вхождения/выхода пользователей из системы, учет операций получения данных и их изменения, остановки процессов и нештатные ситуации, а также онлайновый анализ действий пользователей.
Понятие гарантии в контексте безопасности включает в себя гарантии технической архитектуры системы и ее целостности, анализ скрытых каналов информации, а также тестирование.
Документация является составным элементом системы безопасности, поскольку содержит свод правил, которым необходимо следовать для реализации системы безопасности. Документация обычно содержит руководства администратора и пользователя по системе безопасности, а также инструкции для проведения тестирования.