Политика администрирования паролей.
Идентификаторы пользователей и их пароли должны быть уникальными для каждого пользователя. Пароли должны состоять как минимум из 6 символов (не должны быть именами или известными фразами). Должно производиться периодическое тестирование специальными программами на предмет выявления угадываемых паролей (в этих программах должен быть набор правил по генерации угадываемых паролей) . Пароли должны держаться в тайне, то есть не должны сообщаться другим людям, не должны вставляться в тексты программ, и не должны записываться на бумагу. Пароли должны меняться каждый 90 дней(ил через другой период). Большинство систем могут заставить принудительно поменять пароль через определенное время и предотвратить использование того же самого или угадываемого пароля. Бюджеты пользователей должны быть заморожены после 3 неудачных попыток входа в систему. Все случаи неверно введенных паролей должны быть записаны в системный журнал, чтобы потом можно было предпринять действия. Сеансы пользователей с сервером должны блокироваться после 15-минутной неактивности (или другого указанного периода). Для возобновления сеанса должен снова требоваться ввод пароля. При успешном входе в систему должны отображаться дата и время последнего входа в систему. Бюджеты пользователей должны блокироваться после определенного времени неиспользования. Для систем с высоким уровнем риска: После некоторого числа попыток НСД система должна подавать сигнал тревоги и при возможности имитировать сеанс (выдавать ложные сообщения сервера) для пользователя, который делает эти попытки (чтобы он оставался подключенным к системе пока администратор безопасности пытается выяснить его местоположение))
36. Политика для устойчивой аутентификации.Если вы решили использовать устойчивую аутентификацию, то вам требуется понимать за счет чего достигается безопасность и учитывать затраты на обучение пользователей и дополнительное администрирование. Пользователи будут гораздо более грамотно использовать средства аутентификации, если они соответствующим образом обучены, как их использовать и им объяснено, почему нужно применять именно их. Существует много технологий для реализации устойчивой аутентификации, включая генераторы динамических паролей, системы запрос-ответ на основе криптографии и смарт-карт, а также цифровые подписи и сертификаты. При использовании электронных подписей и сертификатов возникают новые вопросы - каковы требования обеспечения безопасности для сертификатов. Пользователи устойчивой аутентификации должны прослушать курсы перед началом применениями ими этого метода аутентификации. Сотрудники отвечают за безопасное использование и хранение всех устройств аутентификации, принадлежащих организации. Смарт-карты не должны храниться вместе с компьютером, используемым для доступа доступа к компьютерам организации. При утере или краже смарт-карты о случившемся надо немедленно сообщить службе безопасности, чтобы можно было заблокировать его использование.
6. 3 класса:
1)сокрытие средствах о информации комплексах и объектах обработки информации это осуществляется по двум направлениям:
-уменьшение доступности информации
-ослабление взаимной зависимости между структурой и самой системой обработки
2) дезинформация противника- распространение заведомо ложной информации относительно истинного назначения каких-либо объектов.
3)легендирование- навязывание искажённого представления о характере и предназначении объекта.
7. 1)введение избыточности элементов системы подразделяют на:
-организационная избыточность;
-аппаратурная избыточность;
-программно-аппаратурная избыточность;
-информационная избыточность;
-временная избыточность.
Частным случаем введения избыточной информации является резервирование.
2)регулирование доступа к средствам обработки информации.
3)регулирование и использование элементов системы и ЗИ.
4)маскировка информации.
5)регистрация сведений о фактах и событиях возникающих в ходе работы средств обработки информации.
6)уничтожение информации.
7)обеспечение сигнализации о состоянии механизмов ЗИ.
8) обеспечение реагирования на полученную информацию о состоянии системы защиты.
9)управление системой защиты
10)обеспечение требуемого уровня готовности обслуживающего персонала и решения задач информационной безопасности.
8. –защита от информационного воздействия на технические средства
- защита от информационного воздействия на общество
- защита от информационного воздействия на психику человека