มาตรการด้านซอฟต์แวร์และฮาร์ดแวร์ กล่าวคือ มาตรการที่มุ่งควบคุมหน่วยงานคอมพิวเตอร์ - อุปกรณ์ โปรแกรม และ/หรือข้อมูล ก่อให้เกิดขอบเขตสุดท้ายและสำคัญที่สุด ความปลอดภัยของข้อมูล- ขอให้เราจำไว้ว่าความเสียหายส่วนใหญ่เกิดจากการกระทำของผู้ใช้ที่ถูกกฎหมายซึ่งเกี่ยวข้องกับผู้ที่หน่วยงานกำกับดูแลขั้นตอนไม่มีประสิทธิภาพ ศัตรูหลักคือความไร้ความสามารถและความประมาทในการปฏิบัติหน้าที่ราชการ และมีเพียงมาตรการด้านซอฟต์แวร์และฮาร์ดแวร์เท่านั้นที่จะตอบโต้ได้
คอมพิวเตอร์ช่วยให้กิจกรรมต่างๆ ของมนุษย์เป็นไปโดยอัตโนมัติ ดูเหมือนเป็นเรื่องธรรมดาที่อยากจะฝากความปลอดภัยของตนเองไว้กับพวกเขา แม้แต่การป้องกันทางกายภาพก็ยังได้รับความไว้วางใจมากขึ้นเรื่อยๆ ไม่ใช่ให้กับเจ้าหน้าที่รักษาความปลอดภัย แต่รวมถึงระบบคอมพิวเตอร์แบบบูรณาการ ซึ่งทำให้สามารถติดตามความเคลื่อนไหวของพนักงานทั้งทั่วทั้งองค์กรและทั่วทั้งพื้นที่ข้อมูลได้พร้อมๆ กัน
แต่ควรคำนึงถึงการพัฒนาอย่างรวดเร็วด้วย เทคโนโลยีสารสนเทศไม่เพียงแต่ให้โอกาสใหม่ๆ แก่กองหลังเท่านั้น แต่ยังทำให้ยากต่อความมั่นใจอีกด้วย การป้องกันที่เชื่อถือได้หากเราพึ่งพามาตรการทางโปรแกรมเพียงอย่างเดียว ระดับเทคนิค- มีสาเหตุหลายประการสำหรับสิ่งนี้:
เพิ่มประสิทธิภาพของวงจรไมโคร, พัฒนาสถาปัตยกรรมด้วย ระดับสูงความเท่าเทียมช่วยให้ใช้กำลังดุร้ายเพื่อเอาชนะอุปสรรค (โดยหลักคือการเข้ารหัสลับ) ซึ่งก่อนหน้านี้ดูเหมือนจะไม่สามารถเข้าถึงได้
การพัฒนาเครือข่ายและ เทคโนโลยีเครือข่ายการเพิ่มจำนวนการเชื่อมต่อระหว่างระบบข้อมูล และความจุช่องสัญญาณที่เพิ่มขึ้นกำลังขยายวงผู้โจมตีที่มี ความเป็นไปได้ทางเทคนิคจัดการโจมตี
การเกิดขึ้นของใหม่ บริการข้อมูลนำไปสู่การก่อตัวของช่องโหว่ใหม่ทั้งบริการ "ภายใน" และที่อินเทอร์เฟซ
การแข่งขันระหว่างผู้ผลิตซอฟต์แวร์บังคับให้เวลาในการพัฒนาลดลงซึ่งส่งผลให้คุณภาพการทดสอบและการเปิดตัวผลิตภัณฑ์ที่มีข้อบกพร่องด้านความปลอดภัยลดลง
กระบวนทัศน์ของพลังงานฮาร์ดแวร์และซอฟต์แวร์ที่เพิ่มขึ้นอย่างต่อเนื่องที่กำหนดให้กับผู้บริโภคไม่อนุญาตให้มีการรักษาการกำหนดค่าที่เชื่อถือได้และผ่านการพิสูจน์แล้วในระยะยาว และยิ่งไปกว่านั้น ยังขัดแย้งกับข้อจำกัดด้านงบประมาณ ซึ่งช่วยลดส่วนแบ่งของการจัดสรรความปลอดภัย
ข้อควรพิจารณาที่ระบุไว้เน้นย้ำถึงความสำคัญของแนวทางบูรณาการในการรักษาความปลอดภัยของข้อมูล ตลอดจนความต้องการตำแหน่งที่ยืดหยุ่นในการเลือกและบำรุงรักษาหน่วยงานกำกับดูแลซอฟต์แวร์และฮาร์ดแวร์
ศูนย์กลางของระดับซอฟต์แวร์และฮาร์ดแวร์คือแนวคิดของบริการรักษาความปลอดภัย
ตามแนวทางเชิงวัตถุ เมื่อพิจารณาระบบข้อมูลที่มีรายละเอียดเพียงระดับเดียว เราจะเห็นบริการข้อมูลทั้งหมดที่มีให้ มาเรียกพวกเขาว่าพื้นฐานกันดีกว่า เพื่อให้สามารถทำงานได้และมีคุณสมบัติที่ต้องการ จำเป็นต้องมีบริการ (เสริม) เพิ่มเติมหลายระดับ ตั้งแต่ DBMS และการตรวจสอบธุรกรรม ไปจนถึงเคอร์เนลและฮาร์ดแวร์ของระบบปฏิบัติการ
บริการเสริม ได้แก่ บริการรักษาความปลอดภัย (เราพบแล้วเมื่อพิจารณามาตรฐานและข้อกำหนดในด้านความปลอดภัยข้อมูล) ในหมู่พวกเขา เราจะสนใจบริการระดับสูงที่เป็นสากลเป็นหลัก ซึ่งบริการหลักและบริการเสริมต่างๆ สามารถนำไปใช้ได้ ต่อไปเราจะดูบริการต่อไปนี้:
- การระบุตัวตนและการรับรองความถูกต้อง
- การควบคุมการเข้าถึง
- การบันทึกและการตรวจสอบ
- การเข้ารหัส;
- การควบคุมความสมบูรณ์
- ป้องกัน;
- การวิเคราะห์ความปลอดภัย
- สร้างความมั่นใจในความทนทานต่อความผิดพลาด
- รับประกันการฟื้นตัวอย่างปลอดภัย
- การขุดอุโมงค์;
- ควบคุม.
- การป้องกัน เครือข่ายภายใน;
- การป้องกันการเข้าถึงอินเทอร์เน็ตและระหว่างประเทศ การแลกเปลี่ยนข้อมูล;
- ป้องกันการโต้ตอบกับหน่วยระยะไกล
- จากเทคโนโลยีการประมวลผลข้อมูลเฉพาะ
- จากด้านเทคนิคและ ซอฟต์แวร์;
- จากที่ตั้งขององค์กร
- การควบคุมการเข้าถึง,
- ป้องกัน,
- การรับรองความถูกต้องและการระบุตัวตนของผู้ใช้
- การบันทึกและการตรวจสอบ
- ความปลอดภัย ความพร้อมใช้งานสูง,
- การเข้ารหัส
การระบุตัวตนและการรับรองความถูกต้อง
การควบคุมการเข้าถึง
การบันทึกและการตรวจสอบ
การเข้ารหัส;
การควบคุมความสมบูรณ์
ป้องกัน;
การวิเคราะห์ความปลอดภัย
สร้างความมั่นใจในความทนทานต่อความผิดพลาด
ความปลอดภัย การกู้คืนที่ปลอดภัย;
การขุดอุโมงค์;
มาตรการซอฟต์แวร์และฮาร์ดแวร์มุ่งเป้าไปที่การควบคุม อุปกรณ์คอมพิวเตอร์โปรแกรมและข้อมูลที่เก็บไว้ถือเป็นขอบเขตสุดท้ายที่สำคัญของการรักษาความปลอดภัยข้อมูล ในระดับนี้ ไม่เพียงแต่ด้านบวกเท่านั้น แต่ยังรวมถึง ผลกระทบด้านลบความก้าวหน้าอย่างรวดเร็วของเทคโนโลยีสารสนเทศ ประการแรก คุณสมบัติเพิ่มเติมไม่เพียงปรากฏในหมู่ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลเท่านั้น แต่ยังปรากฏในหมู่ผู้โจมตีด้วย ประการที่สอง ระบบข้อมูลได้รับการปรับปรุงให้ทันสมัย สร้างใหม่ และมีการเพิ่มส่วนประกอบที่ได้รับการทดสอบไม่เพียงพอ (โดยหลักคือซอฟต์แวร์) ซึ่งทำให้ยากต่อการปฏิบัติตามระบบการรักษาความปลอดภัย
ศูนย์กลางของระดับซอฟต์แวร์และฮาร์ดแวร์คือแนวคิดของบริการรักษาความปลอดภัย บริการดังกล่าวสำหรับสถาบันและบริษัทได้แก่: ภาครัฐรวมถึง:
ปัจจุบันการเพิ่มระดับความปลอดภัยของข้อมูลของรัฐวิสาหกิจสามารถทำได้โดยการดำเนินการ เทคโนโลยีที่ทันสมัยการป้องกันโดดเด่นด้วยการเพิ่มฟังก์ชันการทำงาน ความคล่องตัว และความสามารถในการพอร์ตไปยังแพลตฟอร์มใดๆ ในพื้นที่ การป้องกันทางเทคนิคแหล่งข้อมูลเราสามารถแยกแยะได้สามส่วนหลักที่รัฐวิสาหกิจของรัสเซียดำเนินการ:
ในเวลาเดียวกัน เราจำได้ว่าหน่วยงานภาครัฐและองค์กรภาครัฐใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ได้รับการรับรองโดย FSTEC หรือ FSB ของสหพันธรัฐรัสเซียเท่านั้น เพื่อปกป้องทรัพยากรภายในหน่วยงานของรัฐบาลกลางและระดับภูมิภาคส่วนใหญ่ อำนาจรัฐใช้ในตัว ระบบปฏิบัติการกลไกการตรวจสอบและการอนุญาตผู้ใช้ บางแผนกมีระบบที่ได้รับการรับรองพิเศษเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและ ล็อคอิเล็กทรอนิกส์เช่น “Labyrinth-M”, “Accord”, SecretNet ตามกฎแล้วจะมีการติดตั้งวิธีการเข้ารหัส กุญแจลับการปกป้องข้อมูล “CryptoPro” หรือที่รู้จักกันมานานและยังคง ระบบยอดนิยมครอบครัว "เวอร์บา"
เพื่อปกป้องเวิร์กสเตชันและเซิร์ฟเวอร์บนเครือข่ายภายในจาก มัลแวร์(ไวรัส เวิร์ม ม้าโทรจัน) องค์กรภาครัฐส่วนใหญ่ใช้ซอฟต์แวร์ป้องกันไวรัส ซอฟต์แวร์- ส่วนใหญ่มักเป็น Russian Kaspersky Anti-Virus หรือ Dr.Web อย่างไรก็ตาม ยังมีวิธีแก้ปัญหาอยู่ เทรนด์ไมโคร, ไซแมนเทค, McAfee, Eset
เครือข่ายแบ่งออกเป็นกลุ่มที่มีข้อกำหนดด้านความปลอดภัยข้อมูลที่แตกต่างกันโดยใช้กลไกการกรองที่อยู่ MAC และ IP ที่ใช้งานอยู่ อุปกรณ์เครือข่ายและกลไก VLAN ระบบตรวจสอบนโยบายความปลอดภัยที่เปรียบเทียบ การตั้งค่าปัจจุบัน กลไกการป้องกันและระบบย่อยที่มีค่าอ้างอิง (Cisco, Uryadnik)
เพื่อปกป้องขอบเขตเครือข่ายหน่วยงานของรัฐมักจะใช้ใบรับรองต่างๆ ไฟร์วอลล์- สิ่งเหล่านี้ส่วนใหญ่เป็นโซลูชันจาก Cisco, Aladdin และ จุดตรวจ- แต่ก็มีผลิตภัณฑ์จากผู้ผลิตรายอื่นด้วย โดยเฉพาะ Novell Border Manager, Microsoft ISA Server, SSPT-1 และ SSPT-1M จาก Central Research Institute of RTK, Zastava จาก Elvis-Plus
จนถึงขณะนี้ระบบตรวจจับและป้องกันการโจมตี (ที่เรียกว่า HIPS) ได้ถูกนำไปใช้ในองค์กรภาครัฐเพียงไม่กี่แห่ง โดยทั่วไป คุณจะพบโซลูชันจาก Symantec, S.N. ที่นี่ Safe'n'Software และ Cisco หน่วยงานรัฐบาลกลางให้การป้องกันสแปมและการละเมิดบนอินเทอร์เน็ต ระบบต่างๆการตรวจสอบ อีเมลและการรับส่งข้อมูลเว็บ เช่น eSafe Gateway, MAILsweeper, WEBsweeper และ Websense
ในช่องสื่อสารกับเครื่องระยะไกลเท่านั้น ระบบของรัสเซีย การป้องกันการเข้ารหัสข้อมูลและ VPN - "Zastava", VipNet หรือ "ทวีป"
11. กรอบกฎหมาย การคุ้มครององค์กร- แหล่งที่มาของกฎหมายในด้านการรักษาความปลอดภัยข้อมูล ประเภท เอกสารกำกับดูแล- ตัวอย่างเอกสารทางกฎหมายในประเทศและต่างประเทศ
ใน สหพันธรัฐรัสเซียการดำเนินการทางกฎหมายด้านกฎระเบียบในด้านความปลอดภัยของข้อมูล ได้แก่:
· พระราชบัญญัติของรัฐบาลกลาง:
· สนธิสัญญาระหว่างประเทศของสหพันธรัฐรัสเซีย
· รัฐธรรมนูญแห่งสหพันธรัฐรัสเซีย
· กฎหมายในระดับรัฐบาลกลาง (รวมถึงกฎหมายรัฐธรรมนูญของรัฐบาลกลาง ประมวลกฎหมาย)
· คำสั่งของประธานาธิบดีแห่งสหพันธรัฐรัสเซีย
· กฤษฎีกาของรัฐบาลสหพันธรัฐรัสเซีย
· การดำเนินการทางกฎหมายตามกฎระเบียบของกระทรวงและหน่วยงานของรัฐบาลกลาง
· การดำเนินการทางกฎหมายตามกฎระเบียบของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซีย รัฐบาลท้องถิ่น ฯลฯ
เอกสารด้านกฎระเบียบและระเบียบวิธีประกอบด้วย
1. เอกสารระเบียบวิธี หน่วยงานภาครัฐรัสเซีย:
· หลักคำสอนด้านความปลอดภัยข้อมูลของสหพันธรัฐรัสเซีย
·เอกสารแนวทางของ FSTEC (คณะกรรมการเทคนิคแห่งรัฐรัสเซีย)
· คำสั่งเอฟเอสบี
2. มาตรฐานการรักษาความปลอดภัยของข้อมูลซึ่งมีความโดดเด่นดังต่อไปนี้:
· มาตรฐานสากล;
· มาตรฐานของรัฐ (ระดับชาติ) ของสหพันธรัฐรัสเซีย
· คำแนะนำระเบียบวิธี
ประเภทของเอกสารกำกับดูแล:
· การดำเนินการทางกฎหมายตามกฎระเบียบ: กฎหมายของสหพันธรัฐรัสเซีย (ว่าด้วยความปลอดภัย), กฎหมายของรัฐบาลกลาง (เกี่ยวกับข้อมูลส่วนบุคคล, เกี่ยวกับเทคโนโลยีสารสนเทศและสารสนเทศ, เกี่ยวกับอิเล็กทรอนิกส์ ลายเซ็นดิจิทัล) คำสั่งของประธานาธิบดีแห่งสหพันธรัฐรัสเซีย (เมื่อได้รับอนุมัติรายการข้อมูล เป็นความลับ), พระราชกฤษฎีกาของรัฐบาล (เกี่ยวกับการรับรองเครื่องมือรักษาความปลอดภัยข้อมูล, การออกใบอนุญาต);
· เอกสารด้านกฎระเบียบ วิธีการ และระเบียบวิธี: หลักคำสอน คำสั่งของ FSTEC ข้อบังคับเกี่ยวกับการรับรองอุปกรณ์ป้องกันตามข้อกำหนดด้านความปลอดภัย ข้อบังคับเกี่ยวกับการรับรองวัตถุ บทบัญญัติของแบบจำลอง เอกสารแนวทาง วิธีการ (การประเมินความปลอดภัย) เอกสารด้านกฎระเบียบและระเบียบวิธี
· มาตรฐาน: GOST, RD, SanPin ( ข้อกำหนดด้านสุขอนามัยไปยังขั้วต่อการแสดงผลวิดีโอ), SNiP (การป้องกันเสียงรบกวน)
ตัวอย่างเอกสารทางกฎหมายต่างประเทศ:
สหรัฐอเมริกา
ณ วันนี้สหรัฐอเมริกาเป็นเขตอำนาจศาลด้วย จำนวนที่ใหญ่ที่สุดเอกสารในระบบ (มากกว่า 12,000 เอกสาร)
ฐานข้อมูลประกอบด้วยเอกสารจากแหล่งที่มาทางกฎหมายของรัฐบาลกลางอเมริกันหลักสองแห่ง ได้แก่ US Code (USC) และ Code of Federal Regulations (CFR) ประการแรกคือชุดกฎหมายของรัฐบาลกลางที่เป็นระบบ และประกอบด้วย 52 ส่วนที่อุทิศให้กับการควบคุมสาขาหรือสถาบันกฎหมายบางแห่ง
ระบบประกอบด้วยสามส่วนของรหัสสหรัฐอเมริกา: มาตรา 26 - ประมวลรัษฎากรภายในของสหรัฐอเมริกา, มาตรา 12 - ธนาคารและ กิจกรรมธนาคาร(ธนาคารและการธนาคาร) และมาตรา 15 - การพาณิชย์และการค้าซึ่งรวมถึงกฎหมายควบคุมกิจกรรมในตลาดหลักทรัพย์ ประมวลกฎหมายจะออกใหม่โดยสภาคองเกรสทุกๆ 6 ปี และเผยแพร่โดย US Code Service ไม่เหมือนส่วนใหญ่ แหล่งที่มาที่เปิดเผยต่อสาธารณะระบบ WBL ไม่เพียงแต่ประกอบด้วยข้อความในเอกสารเหล่านี้เท่านั้น แต่ยังรวมถึงประวัติของการแก้ไขทั้งหมดที่ทำกับเอกสารเหล่านั้น ตลอดจนบันทึกย่อและแบบอย่างการพิจารณาคดีที่สำคัญที่สุดในพื้นที่นี้
ระบบยังรวมถึงข้อบังคับที่ออกโดยหน่วยงานรัฐบาลกลางด้วย สาขาผู้บริหารและรวมอยู่ในประมวลกฎหมายของรัฐบาลกลางที่มีการเผยแพร่ ทะเบียนของรัฐบาลกลาง(ทะเบียนกลาง) - องค์กรหนึ่งของสำนักหอจดหมายเหตุแห่งชาติ
12. การพัฒนานโยบายการรักษาความปลอดภัย ข้อกำหนดพื้นฐานของการรักษาความปลอดภัยของข้อมูล ขอบเขตการใช้งาน เป้าหมายและวัตถุประสงค์ของการรับรองความปลอดภัยของข้อมูล การกระจายบทบาทและความรับผิดชอบ ความรับผิดชอบทั่วไป
การพัฒนา.
ก่อนอื่นคุณต้องดำเนินการตรวจสอบ กระบวนการข้อมูลบริษัท ระบุอย่างมีวิจารณญาณ ข้อมูลสำคัญซึ่งจำเป็นต้องได้รับการปกป้อง การตรวจสอบกระบวนการข้อมูลควรสิ้นสุดด้วยการกำหนดรายการ ข้อมูลที่เป็นความลับองค์กร พื้นที่ที่มีการเผยแพร่ข้อมูลนี้ บุคคลที่ได้รับอนุญาตให้เข้าถึงข้อมูล รวมถึงผลที่ตามมาจากการสูญเสีย (การบิดเบือน) ของข้อมูลนี้ หลังจากดำเนินการขั้นตอนนี้ จะเห็นได้ชัดว่าควรปกป้องอะไร จะปกป้องที่ไหน และจากใคร ในเหตุการณ์ส่วนใหญ่ที่ท่วมท้น ผู้ฝ่าฝืนจะเป็นพนักงานของบริษัทเองทั้งด้วยความเต็มใจหรือไม่เต็มใจ และไม่มีอะไรสามารถทำได้เกี่ยวกับเรื่องนี้: คุณต้องยอมรับมัน ภัยคุกคามความปลอดภัยต่างๆ สามารถกำหนดค่าความน่าจะเป็นสำหรับการเกิดขึ้นได้ ด้วยการคูณความน่าจะเป็นที่ภัยคุกคามจะรับรู้ด้วยความเสียหายที่เกิดจากการดำเนินการนี้ เราจึงได้รับความเสี่ยงจากภัยคุกคาม หลังจากนี้คุณควรเริ่มพัฒนานโยบายความปลอดภัย
นโยบายความปลอดภัยถือเป็นเอกสารระดับ "บนสุด" ซึ่งควรระบุ:
· บุคคลที่รับผิดชอบด้านความปลอดภัยของบริษัท
· อำนาจและความรับผิดชอบของหน่วยงานและบริการเกี่ยวกับการรักษาความปลอดภัย
· จัดให้มีการรับพนักงานใหม่และการเลิกจ้าง
กฎสำหรับการจำกัดการเข้าถึงของพนักงาน แหล่งข้อมูล;
· องค์กรควบคุมการเข้าถึง การลงทะเบียนของพนักงานและผู้เยี่ยมชม
· การใช้เครื่องมือป้องกันซอฟต์แวร์และฮาร์ดแวร์
· ข้อกำหนดทั่วไปอื่นๆ
ค่าใช้จ่ายในการรับรองความปลอดภัยของข้อมูลไม่ควรมากกว่าจำนวนความเสียหายที่อาจเกิดขึ้นจากการสูญเสีย การวิเคราะห์ความเสี่ยงที่ดำเนินการในขั้นตอนการตรวจสอบทำให้สามารถจัดอันดับตามขนาดและปกป้องอันดับแรก ไม่เพียงแต่ผู้ที่มีความเสี่ยงมากที่สุดเท่านั้น แต่ยังรวมถึงผู้ที่ประมวลผลมากที่สุดด้วย ข้อมูลอันมีค่าแปลง มาตรฐานไอเอสโอ 17799 ให้คุณได้ ปริมาณการรักษาความปลอดภัยที่ครอบคลุม:
การพัฒนานโยบายความปลอดภัยเกี่ยวข้องกับขั้นตอนเบื้องต้นหลายประการ:
·การประเมินทัศนคติส่วนบุคคล (ส่วนตัว) ต่อความเสี่ยงขององค์กรของเจ้าของและผู้จัดการที่รับผิดชอบในการทำงานและการปฏิบัติงานขององค์กรโดยรวมหรือแต่ละด้านของกิจกรรม
· การวิเคราะห์ความเสี่ยงที่อาจเกิดขึ้น วัตถุข้อมูล;
· การระบุภัยคุกคามต่อวัตถุข้อมูลที่สำคัญ (ข้อมูล ระบบข้อมูล กระบวนการประมวลผลข้อมูล) และการประเมินความเสี่ยงที่เกี่ยวข้อง
เมื่อพัฒนานโยบายความปลอดภัยในทุกระดับ คุณต้องปฏิบัติตามกฎพื้นฐานต่อไปนี้:
· นโยบายความปลอดภัยเพิ่มเติม ระดับต่ำจะต้องปฏิบัติตามนโยบายที่เกี่ยวข้องอย่างเต็มที่ ระดับบนสุดตลอดจนกฎหมายและข้อกำหนดปัจจุบันของหน่วยงานภาครัฐ
· ข้อความของนโยบายความปลอดภัยควรมีเฉพาะภาษาที่ชัดเจนและไม่คลุมเครือซึ่งไม่อนุญาตให้ตีความซ้ำซ้อน
· ข้อความของนโยบายความปลอดภัยจะต้องสามารถเข้าใจได้สำหรับพนักงานเหล่านั้นที่ได้รับการกล่าวถึง
ทั่วไป วงจรชีวิตนโยบายความปลอดภัยของข้อมูลประกอบด้วยขั้นตอนพื้นฐานหลายขั้นตอน
· ดำเนินการศึกษาเบื้องต้นเกี่ยวกับสถานะความปลอดภัยของข้อมูล
· การพัฒนานโยบายความปลอดภัยที่เกิดขึ้นจริง
· การดำเนินการตามนโยบายความปลอดภัยที่พัฒนาขึ้น
· การวิเคราะห์การปฏิบัติตามข้อกำหนดของนโยบายความปลอดภัยที่นำไปใช้และการกำหนดข้อกำหนดสำหรับการปรับปรุงเพิ่มเติม (กลับสู่ขั้นตอนแรก สู่วงจรการปรับปรุงใหม่)
นโยบายการรักษาความปลอดภัยขององค์กร(ภาษาอังกฤษ) นโยบายความปลอดภัยขององค์กร) - ชุดแนวปฏิบัติ กฎเกณฑ์ ขั้นตอน และ เทคนิคการปฏิบัติในด้านการรักษาความปลอดภัย ซึ่งควบคุมการจัดการ การป้องกัน และการเผยแพร่ข้อมูลอันมีค่า
ในกรณีทั่วไป ชุดของกฎดังกล่าวแสดงถึงการทำงานบางอย่าง ผลิตภัณฑ์ซอฟต์แวร์ซึ่งจำเป็นสำหรับการใช้งานในองค์กรเฉพาะ หากเราเข้าใกล้นโยบายความปลอดภัยอย่างเป็นทางการมากขึ้น ก็จะเป็นข้อกำหนดบางประการสำหรับการทำงานของระบบรักษาความปลอดภัยซึ่งประดิษฐานอยู่ในเอกสารของแผนก
นโยบายความปลอดภัยขึ้นอยู่กับ:
การป้องกันระบบข้อมูลขนาดใหญ่ไม่สามารถแก้ไขได้หากไม่มีเอกสารความปลอดภัยของข้อมูลที่ได้รับการพัฒนาอย่างดี - นโยบายความปลอดภัยช่วย
· ตรวจสอบให้แน่ใจว่าไม่มีอะไรสำคัญที่ถูกมองข้าม
· กำหนดกฎเกณฑ์ความปลอดภัยที่ชัดเจน
เฉพาะระบบการป้องกันที่ครอบคลุมและเป็นไปได้ทางเศรษฐกิจเท่านั้นที่จะมีประสิทธิภาพและระบบข้อมูลในกรณีนี้จะปลอดภัย
เอกสารนโยบายความปลอดภัยควรอธิบายถึงเป้าหมายและวัตถุประสงค์ของการรักษาความปลอดภัยข้อมูล ตลอดจนทรัพย์สินอันมีค่าของบริษัทที่ต้องมีการป้องกัน เป้าหมายความปลอดภัยของข้อมูลตามกฎแล้วคือการรับรองความลับ ความสมบูรณ์ และความพร้อมของสินทรัพย์ข้อมูล ตลอดจนรับประกันความต่อเนื่องของธุรกิจของบริษัท
วัตถุประสงค์การรักษาความปลอดภัยของข้อมูลคือการกระทำทั้งหมดที่ต้องทำเพื่อให้บรรลุเป้าหมาย โดยเฉพาะอย่างยิ่งจำเป็นต้องแก้ไขปัญหาเช่นการวิเคราะห์และการจัดการ ความเสี่ยงด้านข้อมูลการสืบสวนเหตุการณ์ด้านความปลอดภัยของข้อมูล การพัฒนาและการดำเนินการตามแผนความต่อเนื่องทางธุรกิจ การฝึกอบรมขั้นสูงของพนักงานบริษัทในด้านความปลอดภัยของข้อมูล เป็นต้น
การจำแนกประเภทของมาตรการคุ้มครองสามารถแสดงได้เป็น 3 ระดับ
ระดับนิติบัญญัติ ประมวลกฎหมายอาญาของสหพันธรัฐรัสเซียมีบทที่ 28 อาชญากรรมในด้านข้อมูลคอมพิวเตอร์ ประกอบด้วยบทความ 3 บทความดังต่อไปนี้
มาตรา 272 การเข้าถึงข้อมูลคอมพิวเตอร์อย่างผิดกฎหมาย
มาตรา 273 การสร้าง การใช้ และการเผยแพร่โปรแกรมคอมพิวเตอร์ที่เป็นอันตราย
มาตรา 274 การละเมิดกฎในการใช้งานคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือเครือข่าย
ฝ่ายบริหารและ ระดับขั้นตอน- ในระดับบริหารและขั้นตอน จะมีการจัดทำนโยบายความปลอดภัยและชุดขั้นตอนที่กำหนดการกระทำของบุคลากรในสถานการณ์ปกติและวิกฤติ ระดับนี้บันทึกไว้ในแนวทางที่ออกโดยคณะกรรมการเทคนิคแห่งรัฐของสหพันธรัฐรัสเซียและ FAPSI
ระดับซอฟต์แวร์และฮาร์ดแวร์ ระดับนี้รวมถึงซอฟต์แวร์และฮาร์ดแวร์ที่ประกอบขึ้นเป็นเทคโนโลยีความปลอดภัยของข้อมูล ซึ่งรวมถึงการระบุผู้ใช้ การควบคุมการเข้าถึง การเข้ารหัส การป้องกัน และอื่นๆ อีกมากมาย
และหากระดับการคุ้มครองทางกฎหมายและการบริหารไม่ได้ขึ้นอยู่กับผู้ใช้รายใดรายหนึ่ง อุปกรณ์คอมพิวเตอร์จากนั้นผู้ใช้แต่ละคนสามารถและควรจัดระเบียบระดับซอฟต์แวร์และฮาร์ดแวร์ของการปกป้องข้อมูลบนคอมพิวเตอร์ของตน
1.3. ระดับการป้องกันซอฟต์แวร์และฮาร์ดแวร์
เราจะไม่พิจารณาระบบการเข้ารหัสซอฟต์แวร์และฮาร์ดแวร์ที่ซับซ้อนที่มีอยู่ซึ่งจำกัดการเข้าถึงข้อมูลผ่านการเข้ารหัส เช่นเดียวกับโปรแกรมการเขียนลับที่สามารถ "ละลาย" เนื้อหาที่เป็นความลับในไฟล์กราฟิกและเสียงขนาดใหญ่ การใช้โปรแกรมดังกล่าวสามารถทำได้เฉพาะในกรณีพิเศษเท่านั้น
ตามกฎแล้ว ผู้ใช้ทั่วไปเช่นคุณและฉันไม่ใช่นักเข้ารหัสหรือโปรแกรมเมอร์มืออาชีพ ดังนั้นเราจึงสนใจเครื่องมือรักษาความปลอดภัยข้อมูลแบบ "ชั่วคราว" มาดูเครื่องมือรักษาความปลอดภัยข้อมูลแล้วลองประเมินความน่าเชื่อถือ ท้ายที่สุดแล้ว การรู้จุดอ่อนของการป้องกันสามารถช่วยเราให้พ้นจากปัญหาต่างๆ มากมายได้
สิ่งแรกที่ผู้ใช้คอมพิวเตอร์ส่วนบุคคลมักจะทำคือตั้งรหัสผ่านสองรหัส: รหัสผ่านหนึ่งรหัสในการตั้งค่า BIOS และอีกรหัสผ่านหนึ่งบนโปรแกรมรักษาหน้าจอ การป้องกันในระดับ BIOS คุณจะต้องป้อนรหัสผ่านเมื่อคุณบูตคอมพิวเตอร์ และการป้องกันบนโปรแกรมรักษาหน้าจอจะบล็อกการเข้าถึงข้อมูลหลังจากผ่านช่วงระยะเวลาหนึ่งที่คุณระบุเมื่อคอมพิวเตอร์ไม่ได้ใช้งาน
การตั้งรหัสผ่านที่ระดับ BIOS เป็นกระบวนการที่ค่อนข้างละเอียดอ่อนซึ่งต้องใช้ทักษะบางอย่างในการทำงานกับการตั้งค่าคอมพิวเตอร์ ดังนั้นจึงแนะนำให้ตั้งกับเพื่อนร่วมงานที่มีประสบการณ์เพียงพอในกิจกรรมดังกล่าว การตั้งรหัสผ่านสำหรับโปรแกรมรักษาหน้าจอนั้นไม่ใช่เรื่องยากและผู้ใช้สามารถตั้งค่าเองได้
ในการตั้งรหัสผ่านสำหรับสกรีนเซฟเวอร์ คุณต้องทำตามขั้นตอนต่อไปนี้: คลิกปุ่มเริ่ม เลือกการตั้งค่าและแผงควบคุม ดับเบิลคลิกที่ไอคอนหน้าจอ และในหน้าต่างคุณสมบัติการแสดงผลที่เปิดขึ้น ให้เลือกแท็บสกรีนเซฟเวอร์ ตั้งค่าประเภทสกรีนเซฟเวอร์ กำหนดช่วงเวลา (สมมติว่า 1 นาที) ทำเครื่องหมายที่ช่องรหัสผ่าน และคลิกปุ่มเปลี่ยน
ในหน้าต่างเปลี่ยนรหัสผ่านที่เปิดขึ้น ให้ป้อนรหัสผ่านของโปรแกรมรักษาหน้าจอ จากนั้นป้อนอีกครั้งเพื่อยืนยันและคลิกตกลง
หากคุณตัดสินใจที่จะลบรหัสผ่านสำหรับสกรีนเซฟเวอร์ด้วยตัวเองให้ทำตามขั้นตอนข้างต้นทั้งหมดเฉพาะในหน้าต่างเปลี่ยนรหัสผ่านที่คุณไม่ควรพิมพ์อะไรเลย แต่เพียงคลิกที่ปุ่มตกลง รหัสผ่านจะถูกลบออก
วิธีแรกคือใช้ช่องโหว่ที่ผู้ผลิตเมนบอร์ดมักมีให้ ซึ่งเรียกว่า "รหัสผ่านสากลสำหรับคนขี้ลืม" ผู้ใช้ทั่วไปซึ่งตามปกติแล้วเราเป็นไม่ทราบ
คุณสามารถใช้วิธีที่สองในการแฮ็กความลับ: ถอดเคสคอมพิวเตอร์ถอดแบตเตอรี่ลิเธียมออกประมาณ 20...30 นาที บอร์ดระบบแล้วใส่กลับเข้าไป หลังจากการดำเนินการนี้ BIOS จะลืมรหัสผ่านและการตั้งค่าผู้ใช้ทั้งหมด 99% อย่างไรก็ตามหากคุณลืมรหัสผ่านซึ่งเกิดขึ้นบ่อยครั้งในทางปฏิบัติคุณสามารถใช้วิธีนี้ได้
วิธีที่สามสำหรับบุคคลภายนอกในการค้นหาข้อมูลที่ได้รับการคุ้มครองของเราคือการถอดฮาร์ดไดรฟ์ออกจากคอมพิวเตอร์และเชื่อมต่อกับคอมพิวเตอร์เครื่องอื่นเป็นอุปกรณ์ตัวที่สอง จากนั้นคุณก็สามารถอ่านและคัดลอกความลับของผู้อื่นได้โดยไม่มีปัญหา ด้วยทักษะบางอย่าง ขั้นตอนนี้ใช้เวลา 15...20 นาที
ดังนั้น ในระหว่างที่คุณไม่อยู่เป็นเวลานาน พยายามป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าไปในห้องซึ่งมีคอมพิวเตอร์อยู่
การดูแลความปลอดภัยของข้อมูลเป็นอย่างมาก ไม่ใช่งานง่ายซึ่งมีหลายระดับ
ระดับซอฟต์แวร์และฮาร์ดแวร์
จากมุมมองสมัยใหม่ กลไกความปลอดภัยต่อไปนี้ควรมีให้ใช้กับระบบข้อมูล:
ระดับขั้นตอน
รวมถึงมาตรการที่ดำเนินการโดยประชาชน ประสบการณ์ที่สะสมในองค์กรในประเทศในการดำเนินมาตรการตามขั้นตอนมาจากอดีตก่อนคอมพิวเตอร์และจำเป็นต้องได้รับการแก้ไขอย่างมีนัยสำคัญ
มีกลุ่มมาตรการองค์กร (ขั้นตอน) ดังต่อไปนี้:
ในแต่ละกลุ่มจะต้องมีกฎเกณฑ์ในการปฏิบัติงานของบุคลากร จะต้องจัดตั้งขึ้นในแต่ละองค์กรเฉพาะและดำเนินการในทางปฏิบัติ
ระดับบริหาร.
นโยบายความปลอดภัยที่ดำเนินการโดยฝ่ายบริหารขององค์กรเป็นพื้นฐานของมาตรการระดับบริหาร นี่คือชุดการตัดสินใจของฝ่ายบริหารที่จัดทำเป็นเอกสารซึ่งมีจุดมุ่งหมายเพื่อปกป้องข้อมูลตลอดจนทรัพยากรที่เกี่ยวข้อง นโยบายความปลอดภัยอยู่บนพื้นฐานของการวิเคราะห์ความเสี่ยงที่แท้จริงที่คุกคามระบบข้อมูลขององค์กรใดองค์กรหนึ่ง หลังจากการวิเคราะห์แล้ว จะมีการพัฒนากลยุทธ์การป้องกัน นี่คือโปรแกรมสำหรับการจัดสรรเงิน แต่งตั้งผู้รับผิดชอบ มีการกำหนดขั้นตอนในการติดตามการดำเนินงาน ฯลฯ
เนื่องจากแต่ละองค์กรมีลักษณะเฉพาะของตนเอง จึงไม่สมเหตุสมผลที่จะถ่ายโอนแนวปฏิบัติขององค์กรความมั่นคงแห่งรัฐไปเป็นโครงสร้างเชิงพาณิชย์ส่วนบุคคล ระบบคอมพิวเตอร์หรือ สถาบันการศึกษา- เหมาะสมกว่าที่จะใช้หลักการพื้นฐานของการพัฒนานโยบายความปลอดภัยหรือ เทมเพลตสำเร็จรูปสำหรับองค์กรประเภทหลักๆ
ระดับนิติบัญญัติ
นี่คือระดับความปลอดภัยของข้อมูลที่สำคัญที่สุด รวมถึงชุดของมาตรการที่มุ่งสร้างและรักษาทัศนคติเชิงลบในสังคมต่อผู้ฝ่าฝืนและการละเมิดในพื้นที่นี้ จำเป็นต้องสร้างกลไกที่จะเอื้อให้การพัฒนากฎหมายสามารถประสานกับการปรับปรุงเทคโนโลยีสารสนเทศอย่างต่อเนื่อง รัฐจะต้องมีบทบาทในการประสานงานและชี้แนะในเรื่องนี้ มาตรฐานเทคโนโลยีสารสนเทศและความปลอดภัยของข้อมูลของรัสเซียจะต้องสอดคล้องกับระดับสากล ซึ่งจะอำนวยความสะดวกในการมีปฏิสัมพันธ์กับบริษัทต่างประเทศและสาขาต่างประเทศ บริษัทในประเทศ- ขณะนี้ปัญหานี้กำลังได้รับการแก้ไขผ่านการอนุญาตแบบครั้งเดียว ซึ่งมักจะข้ามกฎหมายปัจจุบัน
การโต้ตอบของความปลอดภัยของข้อมูลทุกระดับเท่านั้นที่จะทำให้มีประสิทธิภาพมากที่สุด
มาตรการซอฟต์แวร์และฮาร์ดแวร์ขั้นพื้นฐานสำหรับความปลอดภัยของข้อมูล 1
ที่มา 1
1. แนวคิดพื้นฐานของระดับความปลอดภัยของข้อมูลซอฟต์แวร์และฮาร์ดแวร์ 1
2. คุณลักษณะของระบบสารสนเทศสมัยใหม่ที่มีความสำคัญจากมุมมองด้านความปลอดภัย 4
3. ความปลอดภัยทางสถาปัตยกรรม 6
(3.1) หลักความปลอดภัยทางสถาปัตยกรรม: 7
(3.2) เพื่อให้มั่นใจว่ามีความพร้อมใช้งานสูง (ความต่อเนื่องของการดำเนินงาน) 8
วรรณกรรม 9
แหล่งที่มา
พื้นฐานของการรักษาความปลอดภัยของข้อมูล วีเอ กาลาเตนโก. มาตรการซอฟต์แวร์และฮาร์ดแวร์พื้นฐาน [ http://www.intuit.ru/department/security/secbasics/class/free/9/]
1. แนวคิดพื้นฐานของระดับความปลอดภัยของข้อมูลซอฟต์แวร์และฮาร์ดแวร์
มาตรการด้านซอฟต์แวร์และฮาร์ดแวร์ ได้แก่ มาตรการที่มุ่งเป้าไปที่การควบคุมหน่วยงานคอมพิวเตอร์ - อุปกรณ์ โปรแกรม และ/หรือข้อมูล ถือเป็นมาตรการรักษาความปลอดภัยข้อมูลขั้นสุดท้ายและสำคัญที่สุด ขอให้เราจำไว้ว่าความเสียหายส่วนใหญ่เกิดจากการกระทำของผู้ใช้ที่ถูกกฎหมาย เกี่ยวข้องกับผู้ที่หน่วยงานกำกับดูแลขั้นตอนไม่ได้ผล ศัตรูหลักคือความไร้ความสามารถและความประมาทในการปฏิบัติหน้าที่ราชการ และมีเพียงมาตรการด้านซอฟต์แวร์และฮาร์ดแวร์เท่านั้นที่จะตอบโต้ได้
คอมพิวเตอร์ช่วยให้กิจกรรมต่างๆ ของมนุษย์เป็นไปโดยอัตโนมัติ ดูเหมือนเป็นเรื่องปกติที่จะมอบความไว้วางใจในการรักษาความปลอดภัยของตนเองให้กับพวกเขา แม้แต่การป้องกันทางกายภาพก็ยังได้รับความไว้วางใจมากขึ้นเรื่อยๆ ไม่ใช่ให้กับเจ้าหน้าที่รักษาความปลอดภัย แต่เป็นการบูรณาการระบบคอมพิวเตอร์ ซึ่งทำให้สามารถติดตามความเคลื่อนไหวของพนักงานทั้งทั่วทั้งองค์กรและทั่วทั้งองค์กรได้พร้อมๆ กัน พื้นที่ข้อมูล
นี่เป็นเหตุผลที่สองที่อธิบายความสำคัญของมาตรการด้านซอฟต์แวร์และฮาร์ดแวร์
อย่างไรก็ตาม ควรคำนึงว่าการพัฒนาอย่างรวดเร็วของเทคโนโลยีสารสนเทศไม่เพียงแต่ให้โอกาสแก่ผู้ปกป้องเท่านั้น แต่ยังทำให้การให้ความคุ้มครองที่เชื่อถือได้มีความซับซ้อนอย่างเป็นกลาง หากใครอาศัยมาตรการในระดับซอฟต์แวร์และทางเทคนิคเพียงอย่างเดียว มีสาเหตุหลายประการ : :
การเพิ่มความเร็วของวงจรขนาดเล็กการพัฒนาสถาปัตยกรรมที่มีความขนานในระดับสูงทำให้สามารถเอาชนะอุปสรรค (โดยหลักคือการเข้ารหัสลับ) โดยใช้กำลังดุร้ายซึ่งก่อนหน้านี้ดูเหมือนจะไม่สามารถเข้าถึงได้
การพัฒนาเครือข่ายและเทคโนโลยีเครือข่าย การเพิ่มจำนวนการเชื่อมต่อระหว่างระบบสารสนเทศ การเติบโต แบนด์วิธช่องทางขยายขอบเขตของผู้โจมตีที่มีความสามารถทางเทคนิคในการจัดการโจมตี
การเกิดขึ้นของบริการข้อมูลใหม่นำไปสู่การก่อตัวของช่องโหว่ใหม่ทั้ง "ภายใน" บริการและที่อินเทอร์เฟซ
การแข่งขันระหว่างผู้ผลิตซอฟต์แวร์บังคับให้เวลาในการพัฒนาลดลงซึ่งส่งผลให้คุณภาพการทดสอบและการเปิดตัวผลิตภัณฑ์ที่มีข้อบกพร่องด้านความปลอดภัยลดลง
กระบวนทัศน์ของการเพิ่มพลังของฮาร์ดแวร์และซอฟต์แวร์ที่บังคับใช้กับผู้บริโภคอย่างต่อเนื่องไม่อนุญาตให้มีการเก็บรักษาการกำหนดค่าที่เชื่อถือได้และผ่านการพิสูจน์แล้วในระยะยาว และยิ่งไปกว่านั้น ยังขัดแย้งกับข้อจำกัดด้านงบประมาณ ซึ่งจะช่วยลดส่วนแบ่งของการจัดสรรความปลอดภัย
ข้อควรพิจารณาที่ระบุไว้เน้นย้ำถึงความสำคัญของแนวทางบูรณาการในการรักษาความปลอดภัยของข้อมูล ตลอดจนความต้องการตำแหน่งที่ยืดหยุ่นในการเลือกและบำรุงรักษาหน่วยงานกำกับดูแลซอฟต์แวร์และฮาร์ดแวร์
ศูนย์กลางของระดับซอฟต์แวร์และฮาร์ดแวร์คือแนวคิดของบริการรักษาความปลอดภัย
ตามแนวทางเชิงวัตถุ เมื่อพิจารณาระบบข้อมูลที่มีรายละเอียดเพียงระดับเดียว เราจะเห็นบริการข้อมูลทั้งหมดที่มีให้ มาเรียกพวกเขาว่าพื้นฐานกันดีกว่า เพื่อให้สามารถทำงานได้และมีคุณสมบัติที่ต้องการ จำเป็นต้องมีบริการ (เสริม) เพิ่มเติมหลายระดับ ตั้งแต่ DBMS และการตรวจสอบธุรกรรมไปจนถึงเคอร์เนลและฮาร์ดแวร์ของระบบปฏิบัติการ
บริการเสริม ได้แก่ บริการรักษาความปลอดภัย (เราพบแล้วเมื่อพิจารณามาตรฐานและข้อกำหนดในด้านความปลอดภัยข้อมูล) ในหมู่พวกเขาจะสนใจเป็นหลักในระดับสากลและระดับสูงที่อนุญาตให้ใช้บริการหลักและบริการเสริมต่างๆ ต่อไปเราจะดูบริการต่อไปนี้:
การระบุตัวตนและการรับรองความถูกต้อง
การควบคุมการเข้าถึง
การบันทึกและการตรวจสอบ
การเข้ารหัส;
การควบคุมความสมบูรณ์
ป้องกัน;
การวิเคราะห์ความปลอดภัย
สร้างความมั่นใจในความทนทานต่อความผิดพลาด
รับประกันการฟื้นตัวอย่างปลอดภัย
การขุดอุโมงค์;
ควบคุม.
จะมีการอธิบายข้อกำหนดสำหรับบริการรักษาความปลอดภัย ฟังก์ชันการทำงาน วิธีการนำไปใช้ที่เป็นไปได้ และสถานที่ในสถาปัตยกรรมโดยรวม
หากเราเปรียบเทียบรายการบริการที่กำหนดกับคลาสของข้อกำหนดด้านการทำงานของ "เกณฑ์ทั่วไป" แสดงว่าความแตกต่างที่สำคัญนั้นน่าทึ่ง เราจะไม่แก้ไขปัญหาความเป็นส่วนตัวด้วยเหตุผลดังต่อไปนี้ ในความเห็นของเรา บริการรักษาความปลอดภัย อย่างน้อยก็บางส่วนควรอยู่ในการดูแลของบุคคลที่ปกป้อง ในกรณีของความเป็นส่วนตัว นี่ไม่ใช่กรณี: องค์ประกอบที่สำคัญไม่ได้มุ่งเน้นไปที่ฝั่งไคลเอ็นต์ แต่อยู่ที่ฝั่งเซิร์ฟเวอร์ ดังนั้นความเป็นส่วนตัวจึงกลายเป็นทรัพย์สินของสิ่งที่เสนอ บริการข้อมูล(ในกรณีที่ง่ายที่สุด ความเป็นส่วนตัวสามารถทำได้โดยการรักษาความลับของข้อมูลการลงทะเบียนเซิร์ฟเวอร์ และป้องกันการสกัดกั้นข้อมูล ซึ่งบริการรักษาความปลอดภัยที่ระบุไว้ก็เพียงพอแล้ว)
ในทางกลับกัน รายการของเรากว้างกว่าใน "เกณฑ์ทั่วไป" เนื่องจากมีการป้องกัน การวิเคราะห์ความปลอดภัย และการขุดอุโมงค์ สำคัญของตนเองและยังสามารถใช้ร่วมกับบริการอื่น ๆ เพื่อรับมาตรการรักษาความปลอดภัยที่จำเป็น เช่น เครือข่ายส่วนตัวเสมือน
[มาตรฐานและข้อมูลจำเพาะของ Galatenko Lek5] “หลักเกณฑ์ทั่วไป”ในความเป็นจริงมันเป็นมาตรฐานเมตาที่กำหนดเครื่องมือประเมินความปลอดภัย IP และวิธีการใช้งาน ต่างจาก Orange Book ตรงที่ OK ไม่มี "คลาสความปลอดภัย" ที่กำหนดไว้ล่วงหน้า คลาสดังกล่าวสามารถสร้างขึ้นได้ ข้อกำหนดด้านความปลอดภัยที่มีอยู่สำหรับองค์กรเฉพาะและ/หรือระบบข้อมูลเฉพาะ
เราจะเรียกชุดบริการรักษาความปลอดภัยที่ระบุไว้ข้างต้นว่าชุดที่สมบูรณ์ เชื่อกันว่าโดยหลักการแล้ว การสร้างการป้องกันที่เชื่อถือได้ในระดับซอฟต์แวร์และฮาร์ดแวร์ก็เพียงพอแล้ว อย่างไรก็ตาม ขึ้นอยู่กับปัจจัยหลายประการ เงื่อนไขเพิ่มเติม(ไม่มีช่องโหว่ การดูแลระบบที่ปลอดภัย ฯลฯ)
เพื่อจำแนกบริการรักษาความปลอดภัยและกำหนดตำแหน่งในสถาปัตยกรรมโดยรวม มาตรการรักษาความปลอดภัยสามารถแบ่งออกเป็นประเภทต่อไปนี้:
การป้องกันการป้องกันการละเมิดความปลอดภัยของข้อมูล
มาตรการตรวจจับการละเมิด
การแปล, จำกัดขอบเขตอิทธิพลของการละเมิดให้แคบลง;
มาตรการในการระบุตัวผู้ฝ่าฝืน
มาตรการฟื้นฟูระบอบความมั่นคง
บริการรักษาความปลอดภัยส่วนใหญ่จัดอยู่ในหมวดหมู่ของการป้องกัน และนี่เป็นสิ่งที่ถูกต้องอย่างแน่นอน การตรวจสอบและการตรวจสอบความสมบูรณ์สามารถช่วยในการตรวจจับการละเมิด นอกจากนี้ ยังช่วยให้คุณสามารถตั้งโปรแกรมการตอบสนองต่อการละเมิดเพื่อวัตถุประสงค์ในการแปลและ/หรือการติดตามได้ . จุดเน้นของการยอมรับข้อผิดพลาดและบริการการกู้คืนที่ปลอดภัยนั้นชัดเจน สุดท้ายนี้ การกำกับดูแลมีบทบาทในโครงสร้างพื้นฐาน โดยให้บริการทุกด้านของ IS