2.3.(1) Дефиниране на политика за сигурност

Решенията по сигурността, които вземаме или съответно не вземаме, определят колко сигурна или несигурна ще е мрежата ни, какви функционалности ще предлага и колко лесно достъпна ще бъде.

При всички положения не могат да се вземат правилните решения за сигурността, ако не се определят първо критериите за сигурността, която се стремим да постигнем. Докато не са ясни тези цели, не можем ефективно да използваме нито един инструмент за сигурност, просто защото няма да знаем какви проверки да правим и какви ограничения да приложим.

Така например нашите цели се различават малко от целите на производителите на оборудване. Те се опитват да направят конфигурацията и работата с продуктите им възможно най-лесна, което обикновено води до това конфигурацията по подразбиране да бъде възможно най-отворената, т.е. несигурна. За да се улеснят инсталирането на новите си продукти, производителите правят лесен достъпа и на неоторизирани лица до тези системи.

Когато се определят критериите за сигурността трябва да се вземат предвид основно следните така да се каже „дилеми“: (RFC 2196)

  1. Услугите, които предлагаме срещу мерките по сигурността, които вземаме. Всяка услуга, която се предлага на потребителите, крие свой собствен риск за сигурността. За някои от услугите рискът е по-голям отколкото ползата от самата услуга – за тях администраторът може да реши по-скоро да спре да се предоставя, отколкото да се опитва да я направи сигурна.
  2. Леснотата на използване срещу сигурността. Системите, които се използват, най-лесно биха позволили достъп на всеки, не изисквайки никакви пароли, което би означавало никаква сигурност. Изискването за пароли прави системата малко по-сложна, но пък и по-сигурна. Изискването за генерирани от различни устройства пароли, които да са валидни само веднъж, я прави още по-трудна за използване, но пък и много по-сигурна.
  3. Цената на сигурността срещу риска от загуба. Сигурността може да се измерва в различни стойности: парични (т.е разходите за закупуването на хардуер и софтуер като например хардуерни защитни стени или генератори на пароли за еднократно използване), производителност ( т.е криптирането и декриптирането изисква време) и други.

Съществуват също така и различни нива на риска: загуба на конфиденциалността (т.е достъп до информацията от неоторизирани личност), загуба на данни (т.е повреда или унищожаване на информацията) и отказ от услуга (а именно запълване на файловата система, използване на изчислителните ресурси и отказ от достъп до мрежата). Всеки вид разход трябва да се прецени спрямо всеки вид загуба на данни. Резултатите, които се стремим да постигнем свързани със сигурността трябва да бъдат заявени на потребителите, администраторите на системата и мениджърите чрез множество правила на сигурност, наречени „политика за сигурност“. Използваме този термин вместо по-тесния „компютърна сигурност“, тъй като визираме всички видове информационни технологии и данните събирани и обработвани при/от тези технологии.

Публикувано от: marsislav

Казвам се Мирослав Костадинов.
Завърших бакалавърската си програма в Бургаски Свободен Университет през 2013 година, специалност “Информатика и компютърни науки”.
След което завърших магистърска програма в същия университет, специалност “Информационна сигурност”, като в моят блог може да прегледате дипломната ми работа,
която защитих пред Държавна Изпитна Комисия .
През бакалаварската си програма съм изучавал дисципини като компютърни мрежи, изкуствен интелект, операционни системи, компютърни архитектури,
компютърна периферия и WEB приложения.
В процеса на обучение наблегнах на следните технологии: PHP, SQL, JavaScript, HTML, CSS.
През магистърската си програма съм
изучавал дисциплини като Мрежова сигурност, маршрутизация в компютърните мрежи, сигурност в интернет приложенията.

Работил съм като Front-end разработчик във фирми \"ThunderBox\" и \"The Viking\" като дейността на първата бе създаването и модифицирането на Wordpress теми и плъгини,
а на втората - създаването на Joomla теми и WEB сайтове изградени без помощта CMS платформа. В момента работя като WEB разработчик с ASP.NET.

Всички разработки са съобразени с функционалността и визията
изисквани от клиента. За целта използвам следните технологии: PHP (функции предоставени от CMS средата), jQuery, Vanilla JavaScript, HTML5, CSS3, ASP .NET

През свободното си време работя на на свободна практика, като изграждам и поддържам WEB сайтове и приложения.

Всички проекти в портфолиото съм изработил изцяло самостоятелно в свободното си време. Успях да превърна хобито си в професия.

Оставете коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *