Guide complet de la sécurité informatique et des politiques

"Basic piliers« La confidentialité: l'information peut être consulté que par des personnes qui sont autorisées à le faire. La confidentialité peut être menacée si quelqu'un intercepte les paquets qui voyagent d'un endroit à l'autre:. Intégrité quand il s'agit de l'intégrité, nous voulons dire que nous sommes pleinement convaincus que l'information n'a pas été supprimé, copié ou modifié non seulement sur ​​son chemin si mais aussi de son origine:. Disponibilité se réfère à la méthode de précaution contre les dommages possibles à la fois l'information et l'accès à: grèves, les accidents ou les omissions peuvent être des facteurs qui se lient à concevoir des méthodes pour nous blocages. Authenticité signale que le fichier en question est réel alors que l'intégrité nous dit le dossier, c'est à dire n'a pas été retouchée ou modifiée. Les méthodes d'authentification pour vérifier l'identité peuvent être classés en trois catégories: • Quelque chose que l'utilisateur connaît (mot de passe par exemple) • que l'utilisateur porte et lui permet d'être identifié (document, par exemple) • Les propriétés physiques ou d'un acte involontaire ( par exemple les empreintes digitales)
«Cela protège" la sécurité sur Internet ne doit pas être confondue avec la sécurité Internet, il comprend des informations de contexte d'autres tels que la sécurité physique. La sécurité informatique vise à protéger 4 éléments:. Software Un ensemble de systèmes logiques fonctionnement du matériel:. Matériel comprend tous les systèmes physiques dans le système informatique:. Détails Un ensemble de systèmes logiques dont la fonction est de gérer les logiciels et le matériel. Ce n'est pas les mêmes données que l'information, un fait ne correspond pas par elle-même et l'information si elle a un sens. Les données deviennent des informations que son créateur ajoute du sens pour eux - consommable. Articles, sont des éléments qui s'usent ou à l'usure suite à l'utilisation (papier, cartouches) L'importance des éléments à protéger sont: des données - logiciel et matériel - Éléments durables.
"Types d'attaques" Interruption (rapport à la disponibilité): lorsque les données ou informations à partir d'un système corrompu sont soit parce qu'ils ont été perdues et bloquées ou non disponibles pour l'utilisation). Fabrication (contre l'authenticité: se produit quand un attaquant parvient à placer un objet sur ​​le système attaqué:. adaptation (l'intégrité) Un attaquant qui peut être autorisé ou non à entrer dans le système, de manipuler les données de telle sorte que l'intégrité est touchée.
"De ce que nous protéger" l'homme du personnel des facteurs et des anciens employés, est le groupe le plus puissant et les plus âgés peuvent profiter des données:. Hackers, crackers, Lamers ils sont nombreux qui essaient d'entrer dans le système afin ou interne. Externe Le clicker et Gecece: ya des gens qui ne peut réussir que si elles sont aidées par un programme, ce programme est généralement créé par un hacker: les intrus. Paiement Ce type d'individu a une sagesse privilégié est capable tmb recevoir de l'argent pour leur expérience:. Hackers Une personne intéressée ou passionnée d'informatique.
Biscuits: La personne qui effectue la rétro-ingénierie par le biais de série:. Clikeadores on peut réussir que si elles sont aidées par un programme fait par un pirate. Snif si: gestionnaire de programme pour la capture de données à partir du Web. Par exemple, les mots de passeCode Source: utilisé pour faire référence au code source des éléments d'autres logiciels.
AVERTISSEMENT: Vous devez créer une politique de coopération de sécurité a sensibilisé avec des personnes ou des groupes qui se spécialisent dans différentes disciplines au sein de l'industrie informatique. Chacun des membres doit avoir une responsabilité en conformité avec le plan en cours:. PROCEDURE Une fois l'inventaire fait et accepté les risques, elle procède à énumérer les procédures pour construire une politique de sécurité. Ces points seront faites par des individus ou des groupes spécialisés et les chiffres avec un fonctionnaire pour assurer les mêmes. Certaines questions fournir des orientations pour l'exécution de procédures telles que: Qui a utilisé la ressource: Il est essentiel de connaître la ou les personnes qui sont membres du traité de sécurité, puis tirez sur les droits, les responsabilités et les mesures à prendre d'. Quelle est l'utilisation chaque ressource: Il est nécessaire de créer des documents ou des règles que les utilisateurs doivent lire, apprendre et suivre. Ces normes sont reconnues comme «politiques d'utilisation acceptable." Cette politique doit spécifier le comportement strictes qui sont les actions qui sont autorisés et qui n'est pas, à moins que le stock hérité?. Quelles sont les obligations de l': les utilisateurs sont responsables des résultats pour les systèmes qu'ils utilisent pour faire leur travail. Les règles que les employés doivent suivre, doivent se conformer aux exigences qui ont été définies dans un nouveau paragraphe de la politique. Points à traiter sont: le choix et les soins du mot de passe, expiration de mot de passe, confidentialité des courriels, des règles à suivre indépendamment des ressources, protection des renseignements personnels, la taille maximale d'utiliser les ressources différentes ressources. Qui approuve l'utilisation de chaque ?: les ressources de l'entreprise a peut être différente pour chaque secteur d'autorisation. Par conséquent, il doit y avoir quelqu'un de compétent pour effectuer la tâche de l'accès. Il ya 2 types de distributions d'accès:

distribution centrale, où toutes les conditions sont absorbés par un seul noyau.

Ou sectorielles de distribution: à toutes les exigences sont absorbés par le noyau pour chaque secteur

L'administrateur: ceux qui sont chargés de contrôler la gestion d'un des systèmes d'entreprise. Cette administration ne peut pas être illimitée. La politique de sécurité doit indiquer le nom et la liste des règles que l'administrateur est tenu de suivre.
INCIDENTS: toujours arriver que certains individus en contradiction avec la politique de sécurité, que ce soit conscient ou inconscient. Une personne peut, par inadvertance, par erreur ou l'intention d'enfreindre les règles qui ont été imposées, et en ce moment au paragraphe entre en jeu. Selon le type de violation est exercé réagissent différemment, mais si des mesures ne sont pas écrites, l'acte devient controversée. Certains éléments à considérer lors de l'incident sont les suivantes: ou l'utilisateur?, A l'extérieur il l'intention? Locales, a été consommé sur ça? REPONSES: Pourquoi?. STRATEGIES Lorsque l'infraction est commise doit agir correctement, car elle peut aggraver ou améliorer la situation. Dans le cas de violations intentionnelles, il ya 2 stratégies connues dans le monde de la sécurité: 1) de protéger et de procéder à des préoccupations et veiller à ce qu'il n'y a pas l'intention, et si oui, agir aussi rapidement que possible afin que services et de ressources pour être utilisé à nouveau normalement, l'inconvénient est la vitesse, pas un synonyme de l'identification.2) poursuivre et juger, est de surveiller et d'identifier l'individu. Si l'intention est surveillée tous les individu accomplit ainsi non seulement de recueillir des preuves contre lui, mais il est également connu techniques et les faiblesses du système. Les problèmes courants: - créer des points d'accès différents pour les utilisateurs - les systèmes ne sont pas cochée par défaut - pas des versions mises à jour des applications utilisées - il repose trop lourdement sur les salariés - fonctionnaires et d'authentification faible ou absent - des serveurs privés avec ou sans authentification faible ", nom d'utilisateur en utilisant les franchises / mot de passe et / ou facile:. Modèles politiques de sécurité de Bell Lapadula, est de diviser l'utilisateur l'accès à l'information permis sur les étiquettes de sécurité . Par exemple: les systèmes militaires des États-Unis, ce modèle se concentre sur la confidentialité, l'intégrité pas les utilisateurs. Clark Wilson, un modèle basé sur le classement des applications pour la gestion des renseignements. Ce modèle est conçu pour protéger l'intégrité de l'information.