Что такое принцип наименьших привилегий?
Принцип наименьших привилегий (POLP), также называемый «принципом наименьших полномочий» (POLA) или «принципом минимальных привилегий» (POMP), представляет собой передовую практику кибербезопасности, основанную на предоставлении минимально необходимого доступа, который необходим пользователю. для выполнения поставленной задачи. Вопреки распространенному мнению, POLP охватывает не только активные объекты, но и пассивные объекты, такие как процессы, системы и файлы, другими словами, объекты, не являющиеся пользователями. Проще говоря, концепция относится к пользователям, машинам или системам, которые не могут получить доступ к информации или выполнять действия, за исключением случаев, когда они абсолютно необходимы для выполнения своей работы или, соответственно, выполнения своих задач.
POLP продвигает ограничительные права доступа , чтобы уменьшить подверженность компаний кибератакам, сводя к минимуму связь между пользователями и системами, являясь основным компонентом стратегий нулевого доверия и защищая привилегированный доступ к активам и ценным данным .
В центре внимания этой статьи будет концепция наименьших привилегий, применяемая к вашим сотрудникам, или, другими словами, то, как ограничение прав ваших пользователей до самого низкого возможного уровня закроет дыры в безопасности в вашей организации. Поэтому мы собираемся подробно обсудить принцип наименьших привилегий и защиты.
Брекетинг привилегий и крип привилегий
С POLP связаны две основные концепции:
БРЕКЕТИНГ ПРИВИЛЕГИЙ
Брекетинг привилегий относится к практике снижения уровней разрешений пользователей до минимально возможных временных рамок, позволяющих им выполнить задачу, а затем деэскалации их прав. В отличие от стандартных учетных записей пользователей, учетные записи администратора имеют повышенные привилегии и поэтому представляют более высокий риск. С точки зрения кибербезопасности, лучше всего предоставлять права администратора своим пользователям только тогда, когда они действительно в них нуждаются, и на максимально короткий срок, который позволяет им выполнять свои задачи.
ПОЛЗУЧЕСТЬ ПРИВИЛЕГИЙ
Понятие, также называемое раздуванием разрешений, постепенным увеличением привилегий или ограничением доступа, применяется к пользователям, которые постепенно собирают ненужные разрешения. Как это могло случиться? Такое поведение обычно наблюдается в компаниях, где сотрудники меняют должностные обязанности или отделы, а их пользовательские привилегии не изменяются в соответствии с их новыми ролями. Таким образом, пользователи получают избыточные привилегии для нескольких должностей.
Каковы преимущества принципа наименьших привилегий?
Как вы, наверное, уже заметили, принцип наименьших привилегий имеет первостепенное значение в любой организации. Его цель — защитить активы компании от потенциальных внутренних и внешних угроз. Таким образом, сотрудник отдела кадров, которому требуется разрешение на доступ к базе данных сотрудника, получит доступ к информации финансового отдела, а разработчик, которому необходимы права на написание строк кода, не будет иметь разрешения на извлечение записей сотрудников.
Вот несколько основных преимуществ применения принципа наименьших привилегий для вашей организации:
Избегайте распространения вредоносных программ
УМЕНЬШИТЬ ПОВЕРХНОСТЬ КИБЕРАТАКИ
Например, предположим, что система заражена вредоносным ПО . Если эта система является частью организации, которая следует принципу наименьших привилегий, она не сможет распространиться на другие компьютеры, например, избегая атак SQL-инъекций . Это означает, что вы уменьшите вероятность запуска вирусов, червей или руткитов , поскольку у большинства ваших сотрудников не будет прав администратора , позволяющих их установку. Более того, поскольку потенциально затронутый пользователь имеет ограниченные права, вредоносная программа не сможет нанести какой-либо катастрофический ущерб, например, безвозвратно удалить или загрузить проприетарные данные.
Ограничение доступа злоумышленников
ЛУЧШАЯ БЕЗОПАСНОСТЬ
Вы бы не подумали, что сотрудник нанесет вред корпорации, в которой работает? Что ж, статистика говорит о другом.
Статистика с веб-сайта Embroker показывает, что причиной 20% киберпреступлений является злоупотребление привилегиями, а 50% компаний не защищают должным образом свои данные, имея более 1000 конфиденциальных документов, из которых 22% находятся в распоряжении каждого сотрудника.
Назначение надлежащих привилегий должностным обязанностям каждого пользователя предотвратит кражу данных и получение доступа к конфиденциальной информации злоумышленниками, использование ее для собственной выгоды и продажу в темной сети. При соблюдении принципа наименьших привилегий, если учетные данные пользователя будут скомпрометированы, кибер-злоумышленник будет иметь только ограниченный доступ к ресурсам вашей организации.
Более того, опасность непреднамеренных внутренних угроз всегда может существовать внутри вашей организации. Это означает, что некоторые сотрудники могут неосознанно причинить вред, нажимая на фишинговые ссылки или следуя инструкциям, полученным от самозванцев.
Лучшая стабильность системы
Применение POLP помогает избежать человеческой ошибки. Если у пользователя ограниченный доступ к ресурсам, он не может, например, по ошибке удалить файлы или что-то перенастроить.
Кроме того, если приложение уязвимо, это не повлияет на другие приложения, поскольку доступ ограничен.
Все это обеспечит лучшую стабильность системы и сети.
Соблюдение нормативных требований
ПОВЫШЕНИЕ ГОТОВНОСТИ К АУДИТУ
Применяя POLP в своей организации, вы можете повысить готовность к аудиту и в то же время обеспечить соответствие нормативным требованиям. В настоящее время многие стандарты требуют, чтобы компании предоставляли сотрудникам только те права, которые им необходимы для выполнения их повседневных операций. Однако, даже если ваш бизнес не обязательно должен соблюдать эти правила, имейте в виду, что в качестве наилучшей практики всегда следует применять принцип наименьших привилегий.
Это повышает продуктивность пользователя, поэтому простой не будет проблемой.
Если пользователям будет предоставлен доступ к приложению на ограниченный период времени, это заставит их выполнять задачу лучше и быстрее, а также ИТ-специалистам не придется иметь дело с большим количеством заявок, как будто мне нужен доступ туда и сюда. Помогите мне устранить то и это.
Это связано со своевременной мерой повышения привилегий, о которой я расскажу позже.
Улучшение классификации данных
Принцип наименьших привилегий также может помочь вашей компании лучше классифицировать свои данные. Таким образом, вы всегда будете знать, кто и к каким данным имеет доступ и где именно они хранятся на случай несанкционированного доступа.
Практические примеры принципа наименьших привилегий
На веб-сайте CISA есть несколько примеров, касающихся принципа наименьших привилегий , того, как он нарушается и почему его следует применять. Я объясню принцип наименьших привилегий, сославшись на три из них, два из которых относятся к принципу наименьших привилегий применительно к кибербезопасности, а один — к реальной жизни.
В кибербезопасности
Самый распространенный и актуальный пример связан с системами UNIX. Недостаток заключается в том, что не применяются проверки корневого доступа пользователей. Таким образом, пользователи имеют неограниченный доступ через права root на чтение, запись или выполнение файлов. Если бы был применен принцип наименьших привилегий, пользователь, которому нужно только выполнить резервное копирование, не должен иметь права удалять файлы.
Другой хороший пример, связанный с POLP, — это программисты. На всякий случай они требуют большего доступа, чем нужно. Таким образом, они выберут настройку по умолчанию, чтобы иметь избыточные права, потому что получение ограничительных прав может быть более сложной задачей и потребует дополнительных действий. Это нарушение принципа.
В реальной жизни
Концепция служебной необходимости, используемая в системе выдачи разрешений правительства США, представляет собой реальный пример принципа наименьших привилегий. Это означает, что людям не разрешается требовать просмотра всех секретных документов, которые они уполномочены и знают, что они существуют, чтобы избежать нарушения уровня допуска. Таким образом, у них есть доступ только к тому, что «им нужно знать» для выполнения конкретной задачи.
Мы можем пойти дальше и изобразить пример фильма, о котором мы думали.
В фильмах
Это может показаться смешным, но поверьте мне, это уместно, чтобы проиллюстрировать принцип наименьших привилегий. Помните ограниченный сектор библиотеки Гарри Поттера? У учеников не было доступа к книгам, которые могли содержать конфиденциальную информацию о темной магии, которая в руках злонамеренного ученика могла поставить под угрозу безопасность школы. Студентам не нужна информация из ограниченного сектора для выполнения повседневных домашних заданий, им нужен только доступ к обычной библиотеке. Поэтому в школе применялся принцип наименьших привилегий.
Как реализовать принцип наименьших привилегий в вашей компании
Вот примеры лучших способов реализации принципа наименьших привилегий в вашей организации. Любопытно? Продолжайте читать, чтобы не пропустить самое лучшее!
1) Настроить аудит привилегий
Это первый шаг, который позволит вам подтвердить все свои учетные записи. Это поможет вам анализировать пароли, ключи SSH и ключи доступа. Таким образом, вы можете точно увидеть, какие разрешения были предоставлены вашим пользователям.
2) Определите, какой уровень привилегий необходим каждой учетной записи. Разделение привилегий
По умолчанию все учетные записи должны иметь минимально возможный уровень привилегий. Вам следует увеличивать привилегии только в соответствии с требованиями определенных людей, чтобы они могли выполнять свою работу.
Здесь я хочу упомянуть, что существует 2 типа учетных записей: суперпользовательские и стандартные учетные записи или технически называемые пользователи с минимальными привилегиями (LPU).
Как правило, учетные записи суперпользователей используются системными администраторами, которым требуются эти привилегии. Однако большинство сотрудников, которым требуется доступ только для выполнения определенной рутинной задачи, не должны иметь специальных и дополнительных доступов, используя учетную запись стандартного пользователя, а не суперпользователя.
Меньше подверженности угрозам за счет принудительного разделения привилегий и ограничения привилегий суперпользователя и администратора.
3) Своевременный доступ
Здесь вы можете применить концепцию брекетинга привилегий, о которой мы говорили в начале статьи. Это означает, что привилегии должны быть предоставлены пользователям, которым абсолютно необходимо, чтобы они выполняли свою работу только в течение ограниченного времени. Желательно использовать инструмент, который позволяет вам повышать и деэскалацию прав ваших пользователей, а также устанавливать сроки истечения их привилегий. Например, в Windows 2016 есть такая функция, которую можно включить для ограничения времени авторизации.
Это подводит нас к следующей рекомендуемой мере.
4) Одноразовые учетные данные, чтобы избежать использования метода Pass-the-Hash.
Вы можете обеспечить минимальные привилегии , объединив метод 3 ( своевременный доступ ) с цифровым хранилищем или одноразовыми учетными данными, также называемыми ротацией паролей .
Допустим, Мартину нужны привилегии root дважды в год. Нет необходимости предоставлять ему доступ чаще двух раз в год. Поскольку ему так редко нужен этот доступ, он может использовать одноразовые учетные данные . Таким образом, вы сможете гораздо лучше отслеживать активность Мартина.
Другое решение — цифровое хранилище . Это помогает в безопасном хранении паролей привилегированных учетных записей.
Эта мера позволяет избежать Пропустите Hash техники , где хакер получает хэш пароля и использует его для аутентификации и латерального доступа к сетям .
5) Используйте автоматический аудит для постоянного мониторинга
И, конечно же, вы не всегда знаете, нужен ли Мартин доступ, или можете не помнить, что он нужен ему дважды в год. Это приводит нас к следующему методу принудительного применения наименьших привилегий.
С помощью этого метода вы также можете избежать расползания привилегий (ненужных накопленных прав с течением времени), постоянно осознавая, что выполнялось вашими пользователями в то время, когда их права были повышены. Этот метод дает вам полный доступ к журналам аудита, чтобы вы могли обнаружить и смягчить необычную активность.
6) Помните об опасности физических устройств
В некоторых случаях реализовать POLP может быть так же просто, как просто отключить USB-порты на ваших устройствах, чтобы ваши сотрудники не могли вставлять USB-накопители для загрузки вашей конфиденциальной информации или заражения ваших систем вредоносным ПО.
7) Обеспечьте минимальные привилегии и для ваших третьих лиц
Даже если вы реализуете принцип наименьших привилегий, ваши сторонние партнеры, возможно, этого не сделают. Это представляет угрозу только для вашей организации. Убедитесь, что вы применяете принцип наименьших привилегий к подрядчикам, поставщикам и удаленным сеансам, и определите, действительно ли они представляют собой угрозу.
8) ИТ-аккаунты должны иметь MFA
Поскольку ИТ-специалисты в вашей компании — самые надежные люди, им предоставляются учетные записи суперпользователей, поскольку они являются системными администраторами. Проще говоря, у них есть неограниченный доступ для выполнения любых действий в сети. Решение с многофакторной аутентификацией будет хорошим применением минимальных привилегий для учетных записей суперпользователей.
Они также могли просто использовать учетные записи администратора только для очень специальных задач и стандартные для повседневной жизни.
9) Техника сегментации сети
Вы можете использовать конфигурацию и правила брандмауэра для создания различных зон . Таким образом, вы можете контролировать, кто перемещается и имеет доступ между зонами.
Брандмауэры призваны останавливать несанкционированный привилегированный доступ и создавать демилитаризованные зоны (DMZ) между общедоступной и корпоративной сетями.
Применительно к вашим сотрудникам этот метод помогает отделить группы пользователей от сервисов. Таким образом, информация, предназначенная для доступа, видна только нужным людям.
Принципы информационной безопасности
Полноценная информационная безопасность базируется на нескольких основополагающих принципах:
Основные принципы информационной безопасности
Рассмотрим принципы ИБ подробно:
1. Простота использования информационной системы. Данный принцип информационной безопасности заключается в том, что для минимизации ошибок следует обеспечить простоту использования информационной системы. Во время эксплуатации ИС пользователи и администраторы совершают непреднамеренные ошибки, некоторые из которых могут вести к невыполнению требований политик безопасности и снижению уровня информационной безопасности. Чем более сложны, запутанны и непонятны для пользователей и администраторов совершаемые ими операции, тем больше они делают ошибок. Простота использования ИС является необходимым условием для снижения числа ошибочных действий. При этом следует помнить, что данный принцип информационной безопасности не означает простоту архитектуры и снижение функциональности ИС.
2. Контроль над всеми операциями. Этот принцип подразумевает непрерывный контроль состояния информационной безопасности и всех событий, влияющих на ИБ. Необходим контроль доступа к любому объекту ИС с возможностью блокирования нежелательных действий и быстрого восстановления нормальных параметров информационной системы.
3. Запрещено всё, что не разрешено. Этот принцип ИБ заключается в том, что доступ к какому-либо объекту ИС должен предоставляться только при наличии соответствующего правила, отраженного, например, в регламенте бизнес-процесса или настройках защитного программного обеспечения. При этом основной функцией системы ИБ является разрешение, а не запрещение каких-либо действий. Данный принцип позволяет допускать только известные безопасные действия, а не заниматься распознаванием любой угрозы, что очень ресурсоёмко, невозможно в полной мере и не обеспечивает достаточный уровень ИБ.
4. Открытая архитектура ИС. Этот принцип информационной безопасности состоит в том, что безопасность не должна обеспечиваться через неясность. Попытки защитить информационную систему от компьютерных угроз путем усложнения, запутывания и скрытия слабых мест ИС, оказываются в конечном итоге несостоятельными и только отсрочивают успешную хакерскую, вирусную или инсайдерскую атаку.
5. Разграничение доступа. Данный принцип ИБ заключается в том, что каждому пользователю предоставляется доступ к информации и её носителям в соответствии с его полномочиями. При этом исключена возможность превышения полномочий. Каждой роли/должности/группе пользователей можно назначить свои права на выполнение действий (чтение/изменение/удаление) над определёнными объектами ИС.
6. Минимальные привилегии. Принцип минимальных привилегий состоит в выделении пользователю наименьших прав и доступа к минимуму необходимых функциональных возможностей программ. Такие ограничения, тем не менее, не должны мешать выполнению работы.
7. Достаточная стойкость. Этот принцип информационной безопасности выражается в том, что потенциальные злоумышленники должны встречать препятствия в виде достаточно сложных вычислительных задач. Например, необходимо, чтобы взлом паролей доступа требовал от хакеров неадекватно больших промежутков времени и/или вычислительных мощностей.
8. Минимум идентичных процедур. Этот принцип информационной безопасности состоит в том, что в системе ИБ не должно быть общих для нескольких пользователей процедур, таких как ввод одного и того же пароля. В этом случае масштаб возможной хакерской атаки будет меньше.
При выполнении проектов специалисты ARinteg реализуют весь комплекс принципов, обеспечивающих информационную безопасность.
© Все права защищены 2003-2023 г.
ООО «АРинтег»
Политика обработки персональных данных
Антикоррупционная политика ООО «АРинтег»
Принцип наименьших привилегий: основы и лучшие практики
Один из наиболее важных принципов при реализации комплекса мер в сфере безопасности – принцип наименьших привилегий.
Один из наиболее важных принципов при реализации комплекса мер в сфере безопасности – принцип наименьших привилегий. В этой статье мы рассмотрим суть данной идеи, и как эта модель может повысить ваш уровень безопасности.
Суть принципа наименьших привилегий
Принцип наименьших привилегий основан на идее, что у каждого пользователя должен быть доступ только к ресурсам, необходимым для выполнения требуемых обязанностей. Например, у менеджера по продажам не должно быть доступа к финансовым отчетам, а аккаунт сотрудника, занимающегося маркировкой, не должен иметь административных привилегий.
Преимущества модели наименьших привилегий
- Повышение безопасности: когда привилегии раздаются строго в рамках сферы ответственности, значительно сокращается риск ущерба от многих потенциальных внутренних угроз.
- Снижение вероятности атак, связанных с «горизонтальным» движением по инфраструктуре: переизбыток привилегированных аккаунтов дает много возможностей для атак, связанных с горизонтальным перемещением по инфраструктуре (lateral movement attack).
- Защита от других угроз: принцип наименьших привилегий помогает предотвратить и другие распространенные угрозы, в частности, связанные с вредоносными программами.
- Безопасная сеть: в хорошо организованной и безопасной сети в обязанности администратора входит аудит прав доступа всех пользователей. Принцип «все для всех» быстро приведет к хаосу.
Пример практик в сфере безопасности, связанных с принципом наименьших привилегий
Ниже продемонстрировано два примера, как в организации может быть использован принцип наименьших привилегий.
Аккаунты с наименьшими необходимыми привилегиями
Идея о назначении только нужных прав доступа кажется очевидной, но является одной из самых эффективных и недооцененных для снижения риска многих угроз. Например, снижается вероятность распространения вредоносов, если произошел фишинг сотрудника с непривилегированной учетной записью.
Привилегии на ограниченный период
Периодически сотруднику, например, работающему в службе поддержки, на короткое время требуется доступ с высокими привилегиями или доступ к ресурсам, которые обычно не используются. В этом случае имеет смысл наделить учетную запись привилегиями на лету (just-in-time) и на строго отведенное время.
Нулевые привилегии
Наименьшие необходимые привилегии, выдаваемые на лету, могут быть частью философии нулевых привилегий, цель которой – отключение привилегий, выданных на постоянной основе.
Шаги по внедрению модели наименьших привилегий (наилучшие практики)
Для внедрения политики наименьших привилегий следуйте шагам, указанным ниже:
- Ревизия.
- Оценка привилегий.
- Управление.
- Мониторинг.
- Встроенные административные права.
- Принудительное делегирование наименьших привилегий.
Ревизия
Просканируйте и каталогизируйте все системы и директории, подключенные к корпоративной сети. Сделайте ревизию всех учетных записей и групп, включая данные, как, например, срок пароля, время последней авторизации и права доступа.
Оценка привилегий
Идентифицируйте совместно используемые и назначенные привилегированные аккаунты, а также членов групп администраторов, используемых по умолчанию. Выясните, у кого есть привилегированный доступ к серверам и директориям, как, например, Active Directory.
Управление
Внедрите ротацию привилегированных аккаунтов по расписанию с использованием сильных паролей, определяемых соответствующей политикой. У любого решения должна быть возможность предоставить доступ «на лету» и обеспечить ротацию учетных записей, которые оказались обнародованными даже в течение непродолжительного периода времени.
Мониторинг
Выполняйте аудит привилегированных учетных записей и выстройте внутренние процессы, связанные с регулярной сертификацией полномочий и ревизией сессий. Убедитесь, что пользователи имеют привилегии согласно своей роли, а повышенные права вовремя отключаются в случае отсутствия необходимости.
Встроенные административные права
Отключите административные права для рабочих станций, серверов и директорий при помощи технологий на базе агентов или без использования агентов. Убедитесь, что ни у одного пользователя нет административного доступа без прохождения через механизм контроля на основе политик, который выполняет аудит и управляет доступом через политику.
Принудительное делегирование наименьших привилегий
Внедрите политики делегированного доступа, где указаны уровни полномочий для задач без необходимости выдачи полных административных прав. Там, где без административных прав не обойтись, следует назначать эти полномочия только отдельным аккаунтам и вести строгую отчетность. Расширенные права должны выдаваться на ограниченное время и иметь конкретные максимальные сроки действия.
Не ждите, пока хакеры вас взломают — подпишитесь на наш канал и станьте неприступной крепостью!
ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Текст научной статьи по специальности «Компьютерные и информационные науки»
Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Кулавская Юлия Евгеньевна
В данной статье рассматриваются основные принципы обеспечения информационной безопасности. Также приводятся примеры из жизни для понимания сути.This article discusses the basic principles of information security. There are also examples from life for understanding the essence.
i Надоели баннеры? Вы всегда можете отключить рекламу.
Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Кулавская Юлия Евгеньевна
Система защиты автоматизированной системы распределенной обработки информации
Анализ уязвимостей современных систем электронного документооборота
Методы проведения атак для получения прав администратора домена в Active Directory
Методы обеспечения информационной безопасности
Основы организации системы обеспечения информационной безопасности для специальности «Прикладная информатика в экономике»
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.
Текст научной работы на тему «ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»
Кулавская Юлия Евгеньевна, студентка факультета довузовской подготовки и среднего профессионального образования, ФГБОУ ВО «Мордовский государственный университет им. H.П. Огарёва»
ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
Аннотация: В данной статье рассматриваются основные принципы обеспечения информационной безопасности. Также приводятся примеры из жизни для понимания сути.
Ключевые слова: информационная безопасность, система, информация, конфиденциальность.
Annotation: This article discusses the basic principles of information security. There are also examples from life for understanding the essence.
Keywords: information security, system, information, confidentiality.
В широком понимании информационную безопасность можно охарактеризовать как совокупность средств защиты информации от воздействия, будь то случайное или умышленное. Владельцу информации наносится ущерб вне зависимости от того, какими факторами было вызвано воздействие (естественными или искусственными).
Команда специалистов может обеспечить наивысшую степень безопасности системы, лишь используя основные принципы информационной безопасности.
Принципы информационной безопасности
Вся система обеспечения информационной строится на шести основных принципах:
— минимизации площади поверхности атаки.
1. Принцип наименьшей привилегии [3].
Принцип наименьших привилегий означает, что можно гарантировать людям доступ только к тому, что им нужно для выполнения своей работы. Например, если разработать систему, которая содержит конфиденциальную финансовую информацию о клиентах, рекомендуется ограничить доступ к этой информации. Человек, который отвечает на телефонные звонки и назначает встречи, вероятно, не нуждается в доступе ко всей конфиденциальной информации. С другой стороны, менеджер по работе с клиентами, вероятно, нуждается в доступе к этой информации. Главное — убедиться, что менеджер по работе с клиентами не имеет доступа к информации из учетных записей, которыми он не управляет.
Гарантируя, что учетные записи имеют только привилегии, необходимые для выполнения своей работы, можно утверждать, что если злоумышленник компрометирует учетную запись, то он получит минимальное количество информации. Это уменьшает потери от атаки.
2. Принцип разделения обязанностей [3].
Принцип разделения обязанностей вытекает из принципа наименьшей привилегии. Идея разделения обязанностей заключается в том, что ни одна отдельная роль не должна иметь слишком большого авторитета. Это отличается от концепции наименьших привилегий. В то время как это фокусируется на том, чтобы люди имели только те привилегии, которые им нужны для выполнения своей работы, это означает, что их работа не слишком велика. Когда кто-то делает слишком большую работу, ему понадобится много разрешений для выполнения этой работы. Кроме того, когда у кого-то много
обязанностей на работе, это означает, что он подвержен принятию неправильных решений.
Проще говоря, есть система и её владельцы не желают, чтобы человек, ответственный за продажи, также мог утверждать скидки. У этого человека будет стимул изменить программное обеспечение, и он может принимать неверные решения о скидках, чтобы увеличить свои продажи. Вместо этого кто-то другой, например, менеджер, должен одобрить скидку до окончания продажи.
3. Принцип глубокой защиты [4].
Принцип глубокой защиты немного отличается от предыдущих принципов. В то время как наименьшие привилегии и разделение обязанностей контролируют процесс получения людьми доступ к системе, глубокая защита — предотвращает доступ к системе. Основной идеей данного принципа является то, любая система безопасности потерпит неудачу. Обойти компьютерные системы безопасности может быть очень трудно, но это всегда возможно.
Проектирование с глубокой защитой означает создание систем, которые сообщат, когда назначенная безопасность потерпит неудачу. Например, многие серверы для программных систем используют программное обеспечение безопасности, но расположены в одном здании. Кто-то имел физический доступ к каждому из серверов. Внезапно этот причудливый брандмауэр или программное обеспечение для обнаружения вторжений становятся бесполезными. Вот почему центры обработки данных спроектированы с присутствием физической безопасности и камерами безопасности для обнаружения злоумышленников.
4. Принцип безопасного отказа.
Как и в случае с глубокой защитой, этот принцип распознает, что все идет к провалу. Чтобы предусмотреть, как система может выйти из строя с наименьшими потерями.
Объяснить смысл данного принципа можно на примере офисного здания. У злоумышленника каким-то образом оказались ключи от всех дверей в здании и ему не составит труда получит то, зачем он пришёл. В системе, которая предусматривает подобную ситуацию и надежно выходит из строя, все двери запираются. Вместо того, чтобы предоставить доступ ко всем дверям в здании, у злоумышленника не окажется доступа ни к одной из них.
Та же концепция применима и к разработке программного обеспечения. Система, предназначенная для безопасного отказа, предоставляет доступ к частям системы только тогда, когда каждый шаг процесса завершается успешно.
5. Принцип открытого проектирования [2].
Принцип открытого проектирования гласит, что безопасность системы не должна зависеть от секретности реализации. Это особенно важный принцип для таких концепций безопасности, как криптографические реализации. Хорошо разработанные криптографические реализации публикуются публично. Их тестируют самые умные люди в мире, прежде чем применить на практике.
6. Принцип минимизации площади поверхности атаки.
Принцип минимизации площади поверхности атаки заключается в удалении частей системы/приложения, чтобы сделать его более безопасным.
Для более простого понимания можно снова привести в пример офисное здание. Как и у любого сооружения, у офисного здания есть стены, двери, окна. Можно поставить на двери самые современные замки и системы защиты, но чем больше в здании окон, тем больше вероятность, что через одно из них может забраться злоумышленник. Ведь окна в свою очередь не так сильно подвергаются защите.
Части системы подобны окнам. Они выглядят красиво, но могут раскрыть функциональность, которая приведет к ошибкам. Минимизация площади поверхности атаки ставит вопрос о том, является ли функция необходимой. Иногда, перепроектируя функцию, чтобы сделать ее более простой, общая безопасность приложения улучшается.
Информационная безопасность — это сложная работа, требующая внимания к деталям и более высокого уровня осведомленности одновременно. Как и многие сложные задачи, если разбить их на основные этапы, процесс можно упростить.
1. Андреева Н.А. и др. Основные принципы и методы разработки правил политики информационной безопасности //Современные технологии обеспечения гражданской обороны и ликвидации последствий чрезвычайных ситуаций — 2014. — №1(5).
2. Гусев М.О. Открытые информационные системы и защита информации //Журнал радиоэлектроники — 2005. — №3.
3. Основы информационной безопасности URL: https: //intuit.ru/studies/courses/10/10/lecture/324.
4. Программно-аппаратная защита информации URL: http: //www.chemisk. narod.ru/html/ib04 .html.
5. Шибарова Е. В. и Винокурова О. А. Безопасность промышленных информационных систем, виды угроз и общие принципы защиты информации // Вестник Московского государственного университета печати — 2016. — № 26.