Проектиране на компютърна система за сигурност в Куба

Въведение.

Всички технологични промени имат предимства, но ние трябва да сме наясно с недостатъците й. Използването на информационните технологии (ИТ) означава безспорен напредък, но също така неговото неподходящо използване въведе нови прояви, неподходящи за обществото.

Куба, страна, блокирана от най-богатата империалистическа сила в света, която доминира в големите транснационални корпорации на технологии, знае как да формулира своите социални цели интелигентно и рационално, в Насоките за информатизация на кубинското общество. Информационните технологии (ИТ) в Куба са образователни средства, насочени към образованието не само за училищата, но и за цялото общество.

Нейното перспективно развитие трябва да се съгласува съвместно със социалните цели, очертани в Насоките за информатизация на кубинското общество, със стратегиите и целите, заложени в международни събития, като Световния форум за образование, в Дакар, Сенегал (април 2000 г.), Световните срещи на върха на информационното общество, проведени в Женева, Швейцария (декември 2003 г.) и на Тунес Турция (декември 2005 г.), Иберо-американските конференции на министрите на образованието (Чили юли 2007 г. и Сан Салвадор май 2008 г.), където Подчертана е мисията на образованието в тези цели.

Те се използват за образователни цели за формиране и утвърждаване на революционни ценности и принципи, основани на солидни основи в съответствие с нашата идеология на Марсиан, Марксист и Фиделиста, за да се обучи напълно образован човек, с морални, духовни и революционен в съответствие с нашия социалистически модел.

За това е важно да се знае, че компютърната сигурност според Pfleeger е областта на изчислителната техника, която се фокусира върху защитата на компютърната инфраструктура и всичко свързано с нея (включително информацията, съдържаща се в нея). За целта има серия от стандарти, протоколи, методи, правила, инструменти и закони, предназначени да сведат до минимум възможните рискове за инфраструктура или информация. Компютърната сигурност е процес, който включва софтуер, бази данни, метаданни, файлове и всичко, което организацията оценява (активно) и представлява риск, ако попадне в ръцете на други хора. Този тип информация е известна като привилегирована или поверителна информация.

Концепцията за информационна сигурност не трябва да се бърка с тази на компютърната сигурност, тъй като последната отговаря само за сигурността в компютърната среда, като може да намира информация в различни носители или форми.

Планът за компютърна сигурност е създаден и представлява основният документ, който установява организационните и функционални принципи на дейността по компютърна сигурност в дадено предприятие и ясно включва политиките за сигурност и отговорностите на всеки от участниците в компютърния процес, както и като мерките и процедурите, които позволяват да се предотвратят, открият и реагират на заплахите, които висят над нея.

По време на процеса на проектиране на компютърна система за сигурност се разграничават три етапа:

1. Определете нуждите от защита на компютърната система, която се анализира, която включва:

• Характеристика на компютърната система.Идентификация на заплахите и оценка на рисковете Оценка на текущото състояние на сигурност.

1. Определете и внедрете системата за сигурност, която гарантира минимизиране на рисковете, идентифицирани на първия етап.

• Определете политики за сигурност Определете мерки и процедури за прилагане.

1. Оценете проектираната система за сигурност.

Поради гореизложеното е от съществено значение да се разработи дългосрочна стратегия за справяне с определянето на най-чувствителните елементи, които да бъдат прекъснати в процеса на компютъризация, който се осъществява. Тази стратегия трябва да е в състояние да се справи и да реагира на различните видове инциденти, които могат да възникнат, както тези, които произхождат отвън, така и тези, които са вътрешни.

В допълнение, той следва да обмисли създаването на механизъм за сътрудничество между различните мрежи, който поддържа и координира усилията между тях, като същевременно идентифицира и обобщава най-добрия опит в това отношение.

Необходимо е да се определят като цели на изследването :

1. Системи за критично управление, по-специално тези, поддържани от мрежи за данни, заплахите, които действат върху тях, нивата на риск и възможното въздействие. Определете настоящата и бъдещата степен на зависимост във връзка с тези системи. необходими за минимизиране на рисковете за критични ИТ активи и прилагане на необходимите действия и механизми за тяхното предотвратяване, откриване и възстановяване. Определете параметрите, които позволяват установяване на минимални нива на допустима наличност. основата за възникналите промени и възникнали инциденти.

Информацията е най-важният актив на компютърната сигурност, тя се стреми да поддържа поверителността, целостта и достъпността на информацията, тези понятия са дефинирани по-долу:

1. Поверителност се дава, когато само упълномощени лица имат достъп до информацията. Наличност, когато само до информацията могат да бъдат достъпни от оправомощени лица, когато пожелаят. Целостта се състои в това да се гарантира, че информацията не подлежи на промяна или промяна с изключение на лицата. упълномощен за това.

Когато една от тези три цели не е изпълнена, може да се каже, че информацията е изложена на уязвимости, които могат да бъдат идентифицирани в системите за сигурност и заплахи; последните, когато се материализират, стават атаки.

Уязвимостта в системата може да бъде идентифицирана като слабостта, която, когато се намира, се използва за причиняване на щети на системата, докато заплахата е причинена от редица ситуации, които могат да причинят щети и / или загуба на информация.

По-рано беше споменато, че когато заплаха се материализира, тя се превръща в атака и те могат да бъдат класифицирани в два вида: активни и пасивни.

Когато възникне пасивна атака, информацията обикновено не претърпява никаква модификация, тя е достъпна само до комуникацията, без да променя нейния поток, с цел прехващането й и анализа на трафика. Сред примерите, които могат да бъдат цитирани, са:

• Мониторинг на социалното инженерство

Въпреки това, когато се отнася до активна атака, това означава, че освен получаване на информация, тя претърпява модификации, тъй като потокът от данни се променя. Такъв е случаят с кражба на самоличност, реактивиране и измамно деградиране на услугата.

Социално инженерство, включително атаки от Reverse Social Engineering и Trashing или Cartoneo; Той се основава на факта, че човешкият фактор е най-слабата връзка в сигурността. Тя се основава на манипулиране на хората, за да ги убедите да извършват действия или действия, които разкриват информацията, необходима за преодоляване на бариерите за сигурност (Pfleeger, 2006).

Провежда се мониторинг, за да се наблюдава жертвата и системата му, за да се установят неговите уязвими места и възможни форми на бъдещ достъп. Сред тези атаки имаме плешка, примамка или примамки, фишинг и сканиране или търсене, която от своя страна има няколко класификации (Pfleeger, 2006).

Фишингът е мястото, където натрапникът се маскира като различно цяло. Обикновено включва някои от другите форми на активна атака. Например, последователностите за удостоверяване могат да бъдат заснети и повторени, което позволява на неоторизирано образувание да получи достъп до поредица от привилегировани ресурси, като се представя за субекта, който има тези привилегии, като например кражба на парола за достъп до акаунт. Сред тези атаки откриваме Spoofing и всички негови класификации, IP Splicing Hijacking. (Pfleeger, 2006).

Повторното активиране е едно или повече законни съобщения, които се улавят и повтарят, за да предизвикат нежелан ефект, като многократно депозиране на пари в дадена сметка (Pfleeger, 2006).

Измамната деградация на услугата: Въз основа на факта, че съществуващите протоколи понастоящем са проектирани да се използват в отворена общност и с взаимоотношение на взаимно доверие, може да се гарантира, че е по-лесно да се дезорганизира работата на дадена система, отколкото да се получи достъп до нея, и този тип атака има за цел да предотврати или попречи на нормалното използване или управление на изчислителни и комуникационни ресурси. Тези видове атаки включват DoS (Отказ от услуги): заглушаване или наводнение и техните различни класификации, смърф или излъчваща буря и имейл sbombing-spammong (Pfleeger, 2006).

Определения.

Заплаха: ситуация или събитие, което може да причини повреда на компютърните активи.

Риск: вероятност от възникване на щети.

Въздействие: щети, причинени от материализирането на заплаха.

Уязвимост: Оценете нивото на риска на системата.

Критични системи: тези, чиято привързаност може да парализира или силно да повлияе на управлението на организацията.

Сред най-често срещаните недостатъци на компютърната сигурност имаме:

1. Управлението на компютърната сигурност в повечето организации на практика е нулево. Сигурността се разглежда като продукт, а не като процес. Планът за компютърна сигурност е съставен и се осъществява контрол на сигурността и не се прави нищо друго, докато не се случи инцидент. Делегиране на отговорности Дизайнът и прилагането на Системата за компютърна сигурност и нейното управление са делегирани на областта Компютър, а директорите те едва се ограничават да го одобрят. ИТ персоналът има свободна ръка за почти всичко - от въвеждането или промяната на екип, създаването на нови потребители до внедряването на нова услуга Лош контрол и търсене (или липса и на двете). Работата на персонала, по-специално на мрежовите администратори, не се контролира.Няма адекватен контрол върху услугите, предоставяни от мрежите за данни, нито разпределението на акаунти за достъп до тези услуги и използването им. Подценяването на човешкия фактор, не се обръща внимание на избора, подготовката и осведомеността на личен или контрол върху своите действия и исканията на техните задължения. Инсталирана е защитна стена и добър антивирус и се смята, че проблемът е решен, когато в действителност повечето проблеми произтичат от действието на човека, всички отговорности на един и същи човек. Назначава се лице, което да присъства на охраната, върху която попадат всички задължения и отговорности по този въпрос, включително тези, които съответстват на други членове на организацията. Наема се консултантска компания, която да направи всичко,мислейки, че ще трябва да работите по-малко и че ще има повече сигурност. Сигурността не е въпрос на веднъж, а на всеки ден Лошо управление на паролата. Неспазването на правилата, установени за използването на пароли за достъп, тъй като те нямат необходимата структура и сила, не ги променят често и не се гарантира тяхната поверителност. Файлове, папки и дори цели дискове се споделят безразборно с потребители, които не ги изискват за тяхната работа и с пълни привилегии за достъп. Следите от операционната система, събития и използването на услуги не се анализират за откриване на признаци на ненормално поведение, ограничавайки използването им до момента на инцидент със сигурност. Те не са запазени,Само няколко са запазени или за по-кратко време, отколкото е установено в регламентите, често поради лошо конфигурирани механизми, безразличие или намерение. Следите от операционната система, събития и използването на услуги не се анализират за откриване на признаци на ненормално поведение, ограничавайки използването им до момента на инцидент със сигурност. Те не се съхраняват, само някои се съхраняват или за по-кратко време от установеното в регламентите, често поради лошо конфигурирани механизми, безразличие или умисъл. Не се извършват критични (безопасни) резервни копия на информацията на предприятието (на сървърите и станциите), които да позволят ефективно възстановяване след инцидент.Често копията на системни и мрежови конфигурации не се запазват. Лошо прилагане на установени процедури за предотвратяване на въвеждането и разпространението на злонамерени програми. Безразборно използване на подвижни носители (външни дискове, USB устройства, карти с памет, CD, DVD), без разрешение или контрол. Достъп до глобални мрежи. Сървърите не са конфигурирани правилно за достъп до интернет и те не инсталират добре конфигурирани защитни стени според работата на организацията, нито детектори за проникване със съответните правила, нито аларми за събития.Безразборно използване на подвижни носители (външни дискове, USB устройства, карти с памет, компактдискове, DVD), без разрешение или контрол. Достъп до глобални мрежи. Сървърите не са конфигурирани правилно за достъп до интернет и те не инсталират добре конфигурирани защитни стени според работата на организацията, нито детектори за проникване със съответните правила, нито аларми за събития.Безразборно използване на подвижни носители (външни дискове, USB устройства, карти с памет, CD, DVD), без разрешение или контрол. Достъп до глобални мрежи. Сървърите не са конфигурирани правилно за достъп до интернет и те не инсталират добре конфигурирани защитни стени според работата на организацията, нито детектори за проникване със съответните правила, нито аларми за събития.

Обхватът ще изразява радиуса на действие, обхванат от Плана, в съответствие с компютърната система, която трябва да бъде защитена, за която са определени рисковете и е създадена Системата за сигурност. Важността на ясното определяне на обхвата на плана (и следователно неговото включване в началото на него) се състои в това, че той позволява априори да има точна представа за степента и границите, до които той е в сила.

Аспектите, които съставляват стратегията, която следва да се следва от Предприятието въз основа на неговите собствени характеристики и в съответствие с настоящата политика в страната по този въпрос и проектираната система за сигурност, чрез установяването на общите правила, които персоналът трябва да спазва. който участва в компютърната система, които са получени от резултатите, получени при анализа на риска, и от тези, определени от най-високите инстанции в законите, подзаконовите актове, резолюциите и други ръководни документи. При дефиниране на политиките за компютърна сигурност ще бъдат разгледани следните аспекти, наред с други:

• Удобното и безопасно използване на инсталираните технологии и всяка една от услугите, които те могат да предложат. Третирането, изисквано от официалната информация, която се обработва, обменя, възпроизвежда или съхранява чрез информационни технологии, в съответствие с нейната категория. на привилегиите и правата на достъп до информационни активи, за да се гарантира тяхната защита срещу неразрешени модификации, загуби или разкриване. Принципите, които гарантират ефективен контрол на достъпа до технологии, включително отдалечен достъп, и до помещенията, в които се намират.Записване и запазване на информация. Връзката с външните мрежи към Субекта, особено тези с глобален обхват и използването на неговите услуги.Изискванията за компютърна сигурност, които трябва да се вземат предвид при проектирането или придобиването на нови технологии или софтуерни проекти.Определението на принципите, свързани с мониторинга на електронната поща, управлението на одиторски пътеки и достъпа до файловете на потребител.Поддръжка, ремонт и трансфер на технологии и технически персонал, които се нуждаят от достъп до тях поради тези причини. Правилата относно сертифицирането, инсталирането и използването на електромагнитни системи за защита. Правилата, свързани със сертифицирането, инсталиране и използване на криптографски системи, където е необходимо. Общите принципи за третиране на инциденти и нарушения на сигурността.Дефиницията на принципите, свързани с мониторинга на електронната поща, управлението на одитните пътеки и достъпа до потребителски файлове. Поддръжката, ремонта и прехвърлянето на технологии и технически персонал, които изискват достъп до тях от тези Причини. Наредбите относно сертифицирането, инсталирането и използването на електромагнитни системи за защита. Регламентите, свързани със сертифицирането, инсталирането и използването на криптографски системи, където е необходимо. Общите принципи за лечение на инциденти. и нарушения на сигурността.Дефиницията на принципите, свързани с мониторинга на електронната поща, управлението на одитните пътеки и достъпа до потребителски файлове. Поддръжката, ремонта и прехвърлянето на технологии и технически персонал, които изискват достъп до тях от тези Причини. Наредбите относно сертифицирането, инсталирането и използването на електромагнитни системи за защита. Регламентите, свързани със сертифицирането, инсталирането и използването на криптографски системи, където е необходимо. Общите принципи за лечение на инциденти. и нарушения на сигурността.ремонт и трансфер на технологии и технически персонал, които се нуждаят от достъп до тях поради тези причини. Правила относно сертифицирането, инсталирането и използването на електромагнитни системи за защита. Правила, свързани със сертифицирането, инсталирането и използването на Криптографски системи, където е необходимо Общите принципи за третиране на инциденти и нарушения на сигурността.ремонт и трансфер на технологии и технически персонал, които се нуждаят от достъп до тях поради тези причини. Правила относно сертифицирането, инсталирането и използването на електромагнитни системи за защита. Правила, свързани със сертифицирането, инсталирането и използването на Криптографски системи, където е необходимо Общите принципи за третиране на инциденти и нарушения на сигурността.

Ето защо е необходимо да се подчертаят правните инструменти, които са в сила от 1990 г. в нашата страна, свързани с компютърната сигурност:

• Резолюция 3 на INSAC от 1992 г., Регламент за защита на данните, Резолюция MININT 6 от 1996 г., Регламент за сигурността на информацията, резолюция SIME 204 от 1996 г., Регламент за защита и техническа сигурност на информационните системи (Отменен), Закон за декретите 199 от 1999 г., относно сигурността и защитата на официалната информация. Методология на плана за компютърна сигурност от 2000 г. Методология за проектиране на системата за компютърна сигурност от 2001 г. Акт MINFAR - MININT - MIC от 2004 г. Споразумение 6058 от 2007 г. на CECM, Насоки. за подобряване на сигурността на информационните и комуникационните технологии Резолюция MIC 2007 от 2007 г., Регулиране на сигурността на информационните технологии.

За да се защитят общите политики, определени за цялото предприятие, в съответствие с нуждите от защита във всяко от тях, като се вземат предвид техните форми на изпълнение, честота, участващ персонал и средства.

Тя се подкрепя въз основа на наличните ресурси и в зависимост от постигнатите нива на сигурност ще бъде подготвена програма за компютърна сигурност, която включва действията, които трябва да се извършват на етапи за постигане на по-високи нива.

Извършеният контрол за сигурност ще бъде описан отделно в съответствие с техния характер, в зависимост от използването на човешки ресурси, технически средства или мерките и процедурите, които персоналът трябва да спазва.

1. Човешки ресурси: Тук ще бъде направена справка за ролята на персонала в системата за сигурност, въведена, като се определят техните отговорности и функции по отношение на неговия дизайн, създаване, контрол, изпълнение и актуализиране.

Ще бъде описана структурата, създадена в организацията за управление на компютърната сигурност, като се уточнят правомощията и функциите на различните категории персонал, които включват: ръководители на различните нива (ръководител на предприятието, ръководители на отдели, области и групи от еквивалентна работа или структури); ИТ мениджъри и специалисти; Администратори на мрежи, системи и приложения; Специалисти по сигурността и защитата; Отговаря за компютърната сигурност и обикновените потребители на информационните технологии.

1. Технически средства за сигурност: Техническите средства, използвани за гарантиране на адекватни нива на сигурност, както на софтуерно, така и на хардуерно ниво, както и тяхната конфигурация ще бъдат описани. За което ще бъдат взети предвид следното:

• Операционни системи и инсталирано ниво на защита Тип на използваните мрежи и тяхната топология. Връзки към мрежи, външни за субекта. Сървъри за вътрешна и външна употреба. Конфигурация на услуги. Защитни бариери и тяхната архитектура. Хостове Бастиони, Прокси системи и др. Филтриране на пакети Инструменти за управление и мониторинг Активиране на подсистеми за проследяване и одит Настройка на системни аларми Криптографски системи за защита Критерии за защита на потребителите и устройства за идентификация Защита срещу нежелани програми.Специален софтуер за сигурност. Технически средства за откриване на проникване. Ключове на дискети Защитни устройства срещу кражба на оборудване и компоненти. Заземяващи системи. Електромагнитна защита. Източници за резервно захранване на електрическа енергия.Противопожарни средства Климатични средства Други

1. Мерки и процедури за компютърна сигурност.

В тази част на плана ще бъдат изброени действията, които трябва да бъдат извършени във всеки конкретен район от персонала, посочен в раздел 5.1, в съответствие с общите политики за цялото образувание, установени в раздел 4, и с помощта, в случаите, които го изискват, на техническите средства, описани в 5.2, като ги приспособяват към нуждите на защита на всеки един от тях според тежестта на прогнозния риск за всеки защитен компютър.

Мерките и процедурите за компютърна сигурност, които се изискват специално (за да не се бърка с общи политики), се изискват в различните области, ще бъдат дефинирани ясно и точно, като се избягват двусмислени тълкувания от тези, които трябва да изпълнете ги и са задължителни за участващите страни.

Формулировката му трябва да бъде възможно най-ясна и опростена, като се посочват недвусмислено стъпките, които трябва да се следват във всеки случай, за да се избегнат възможни неправилни тълкувания, така че те да могат да бъдат изпълнени вярно от хората, отговорни за това, без да е необходима друга допълнителна помощ., Ако всички са групирани като приложение, използваният формат ще бъде следният:

• Наименование на процедурата (заглавие) Последователност на действията, които трябва да бъдат извършени.

Уточняване във всеки случай: какво се прави, как се прави и кой го прави, както и ресурсите, необходими за неговото изпълнение.

Някои процедури, които трябва да се вземат предвид са следните:

• Предоставете (оттеглете) достъпа на хората до информационните технологии и как се контролира Предоставете (оттеглете) права и разрешения на файлове и данни на потребителите. Разрешете (откажете) услуги на потребителите. (Пример: Електронна поща, Интернет) Определете работни профили. Разрешаване и контрол на влизането / излизането на информационни технологии. Управление на кодовете за достъп, като се вземат предвид за всяко ниво вида на ключа според неговата дължина и състав, честотата на актуализиране, кой трябва да го промени, неговото попечителство и др. Извършване на резервна салва, според режима на работа на районите, така че да се актуализират салоните и предприетите действия за установяване на защитата им,по такъв начин, че да се гарантира отделението на информацията в съответствие с нивото им на поверителност. субекта класифицираната или ограничена информация физически се изтрива или защитава нейното разкриване. Запаметяване и анализ на записи или одитни пътеки, като се посочва кой ги изпълнява и колко често. Те ще бъдат уточнени от определенията, установени в Наредбата за компютърната сигурност, областите, които се считат за жизненоважни и запазени в съответствие с типа информация, която се обработва, обменя,възпроизвеждат или запазват същото или въздействието, което може да повлияе на Предприятието засягането на активите или ресурсите, които са в тях, свързани с конкретните мерки и процедури, които се прилагат във всяка една от тях. (Пример: ограничения за ограничаване на достъпа до помещения, процедури за използване на ключалки за сигурност и технически устройства за откриване на проникване и др.) Мерките и процедурите за използване на технически средства за физическа защита, директно приложени към информационните технологии които изискват функциите, за които са предназначени, или условията на работа на зоните, в които се намират. (Пример: използване на ключалки на дискети, котва на шасито, заключване на запалването на процесора и т.н.) Разположение на информационните технологии, предназначени за обработка на информация с висока степен на поверителност или чувствителност в помещенията, така че да се избегне видимостта на информацията от разстояние, да се сведе до минимум възможността за улавяне на електромагнитни емисии и да се осигури по-добра грижа и Мерки и процедури за гарантиране на контрола на съществуващите информационни технологии по време на тяхната експлоатация, консервация, поддръжка и трансфер.Мерки и процедури за гарантиране на контрола на съществуващите информационни технологии по време на тяхната експлоатация, консервация, поддръжка и трансфер.Мерки и процедури за гарантиране на контрола на съществуващите информационни технологии по време на тяхната експлоатация, консервация, поддръжка и трансфер.

Информационният режим ще опише режима на контрол, установен на магнитната информационна среда, като се позовава наред с други неща на:

• Това се отнася до идентифицирането на сменяемите носители, разрешени за използване в рамките на образуванието, включително неговата физическа и логическа идентификация Условията за опазване на медиите, уточняващи мерките, които гарантират целостта и поверителността на събраната информация. и процедури, установени за гарантиране на изтриването или физическото унищожаване на класифицираната или ограничена информация, съдържаща се в носител, след като целта му бъде изпълнена. Мерките и процедурите, установени за гарантиране целостта и поверителността на класифицираната или ограничена информация по време на прехвърлянето на опорите.

Техники или логика ще определят мерките и процедурите за сигурност, които са установени, чиято реализация се осъществява чрез софтуер, хардуер или и двете.

Идентификация на потребителя Методът, използван за идентифициране на потребителите към съществуващите системи, услуги и приложения, ще бъде обяснен, като се уточни:

• Как се присвояват идентификатори на потребители Ако има стандартна структура за конформиране на идентификатори на потребители Кой възлага идентификатори на потребители Как се премахват идентификаторите на потребители, след като приключи необходимостта от използването им и как да се гарантира, че Те не се използват отново. Преглед на процеса на използване и валидност на назначените идентификатори на потребители.

Удостоверяването на потребителя ще обясни метода за удостоверяване, използван за проверка на идентификацията на потребителите към съществуващите системи, услуги и приложения.

Когато се използва конкретно устройство за удостоверяване, ще бъде описано неговото използване. В случай на използване на проста автентификация чрез пароли, ще бъде посочено следното:

• Как се присвояват пароли Видове използвани пароли (настройка, скрийнсейвър, приложения и т.н.) Структура и периодичност на промените, установени, за да се гарантира силата на паролите, използвани в системи, услуги и приложения, в съответствие с приблизително тегло на риска за същите.Причини, които мотивират промяната на паролите преди края на установения срок.

Контролът на достъпа до активи и ресурси ще опише мерките и процедурите, които осигуряват разрешен достъп до информационни активи и компютърни ресурси, които изискват налагането на ограничения за тяхното използване, като се уточнява:

• На кои активи и ресурси се прилагат мерки за контрол на достъпа Използвани методи за контрол на достъпа. Кой предоставя права и привилегии за достъп. Кому се предоставят права и привилегии за достъп. Как се предоставят и спират права и привилегии. на достъп.

Контролът на достъпа до активи и ресурси трябва да се основава на политика за „минимални привилегии“, в смисъл на предоставяне на всеки потребител само на правата и привилегиите, които са необходими за изпълнение на възложените му функции.

Целост на файловете и данните Създадените мерки и процедури ще бъдат описани, за да се избегне неправомерното модифициране, унищожаване и загуба на файлове и данни, както и да се предотврати достъпът им публично, като се уточни:

• Мерки за сигурност, реализирани на операционната система, приложението или на двете нива за ограничаване и контрол на достъпа до бази данни. Мерки за гарантиране целостта на софтуера и конфигурирането на технически средства. Използване на криптографски средства за защита на файлове и Данни: Мерки и процедури, установени за защита от вируси и други вредни програми, които могат да засегнат операционните системи, както и за предотвратяване на тяхното генерализиране, като се посочват използваните антивирусни програми и техният режим на инсталиране и актуализиране.

Одитът и алармите ще опишат мерките и процедурите, прилагани за регистрацията и анализа на одитни пътеки в мрежите и инсталираните системи, за да се следи извършените действия (достъп до файлове, устройства, използване на услуги и т.н.) и откриване на индикации за съответните събития с цел сигурност, които могат да повлияят на стабилността или работата на компютърната система.

В случай на използване на специализиран софтуер, който позволява откриване на възможни грешки в конфигурацията или други уязвимости, ще бъдат описани необходимите процедури. В допълнение, мерките, които гарантират целостта на одитните механизми и записи, ограничаващи достъпа им само на оправомощените да го правят.

Сигурността на операциите ще включва мерките и процедурите, свързани с идентифицирането и контрола на експлоатационните технологии, особено тези, при които се обработва класифицирана информация. Контрол върху влизането и излизането в информационните технологии (преносими машини, периферни устройства, опори и др.).

• Установена методология за запазване на информацията, уточняване на нейната периодичност, отговорности, брой версии и др.).

Възстановяване в случай на непредвидени ситуации, мерки и процедури за неутрализация и възстановяване в случай на някакво събитие, което може да парализира цялата или част от компютърната дейност или да влоши нейната работа, свеждайки до минимум отрицателното въздействие на тях върху образуването.

Въз основа на резултатите, получени при анализа на риска, ще бъдат определени действията, които трябва да се предприемат за неутрализиране на онези заплахи, които най-вероятно ще се появят, ако се реализират, както и за възстановяване на засегнатите процеси, услуги или системи.

Заключения.

Компютърната сигурност трябва да интегрира компоненти, насочени към постигане на стабилна подготовка от политическа и идеологическа гледна точка за компютърна сигурност, когато проблемите и дилемите на моралните ценности, които са засегнати от неправилното поведение в нашето общество при използването на технологии, основите на компютърната сигурност, познаването на техните основни концепции, политики, правила и разпоредби, компютърната сигурност при ежедневни задачи или дейности, като например знанията, необходими от компютърните технологии, важни за тяхното изпълнение, нарушения на компютърната сигурност, компютърни вируси, нужда от кодове за достъп, мерки за превенция срещу използването на външни устройства, нужда от архивиране на информация,конфигурации в компютърни инструменти и приложения, са необходимите познания за някои инструменти и приложения, които са от съществено значение за ефективността с електронна поща, незабавни съобщения, офис приложения, актуализации на операционната система, антивирус, трябва да откриват и докладват инциденти. Елементите на компютърната сигурност са с цел улесняване на педагогическите инструменти и процедури за тяхното изпълнение с потребители на компютърни технологии и мрежи, като илюстрация, мотивация и осведоменост по тази тема като начин за обучение.нужда от откриване и докладване на инциденти. Елементите на компютърната сигурност са с цел улесняване на педагогическите инструменти и процедури за тяхното изпълнение с потребители на компютърни технологии и мрежи, като илюстрация, мотивация и осведоменост по тази тема като начин за обучение.нужда от откриване и докладване на инциденти. Елементите на компютърната сигурност са с цел улесняване на педагогическите инструменти и процедури за тяхното изпълнение с потребители на компютърни технологии и мрежи, като илюстрация, мотивация и осведоменост по тази тема като начин за обучение.

Библиография.

• Обучение по компютърна сигурност, консултантска компания DISAIC, към Министерството на механичната индустрия Сидеро (SIME), април 2010 г. Гарсия Гарсия, Армандо. Компютърна сигурност, правна база. SCDI Workshop Ciego de Avila, ноември 2012.Arencibia González, Mario. Избор на показания по компютърна етика. Хавана: сн, 2006. Артеага, Шакон и други: Етично измерение на кубинското образование. Редакторско издание Pueblo y Educación 2006.MIERES, JORGE. Компютърни атаки Често експлоатирани слабости в сигурността. 2009.PFLEEGER, CHARLES P. Сигурност в изчислителната техника (4-то издание) ISBN: 978-0-13-239077-4. 2006 година.

Изтеглете оригиналния файл