В понятие «политика безопасности» обычно включают определенную совокупность норм и правил, соблюдение которых позволяет защитить объект от негативных воздействий окружающей среды. Если соотносить данное понятие с информационной системой, то здесь самым главным критерием будет обеспечение безопасности информации и защита от несанкционированного проникновения в базы данных и сервера. Для того, чтобы правильно разработать политику безопасности, нужно очень точно понимать все риски и уметь грамотно находить решения для их минимизации.
Если вы обучаетесь на IT-направлении, связанном с информационной безопасностью, то вы всегда можете выбрать темой вашей финальной дипломной работы рассмотрение проблемы организации качественной защиты информации в компьютерных системах, которая будет включать следующие обязательные этапы реализации:
- подробный анализ предметной области, к которой необходимо спроектировать политику безопасности, а также основные характеристики объекта, на котором будет она использоваться;
- опираясь на полученные результаты, важно выяснить, какая информация больше всего подвержена хищению или незаконному использованию, после чего создать список источников конфиденциальных данных, на которые обязательно нужно обратить внимание;
- определить все возможные виды угроз безопасности и выявить потенциальных нарушителей целостности системы, создав примерную модель, которая представляет все основные процессы, протекающие в компании;
- после того, как уязвимости найдены, следующим шагом будет процедура определения подходящих средств физической и логической защиты, которые будут отвечать за сохранность данных и контролировать все уровни доступа;
- для корректной работы системы вам будет необходимо прописать все категории пользователей и структуру управления создаваемой системой, а также выделить все объекты доступа к данным и выработать технологию обработки всей информации;
- по окончанию всей доработки политики безопасности, необходимо провести несколько тестовых проверок, которые покажут адекватность работы и правильное реагирование на проблемы, и только после этого непосредственно включать разработку в реальный технологический процесс.
Важно понимать, что данный инструмент является неплохой альтернативой дорогим и тяжеловесным комплексным решениям, которые не всегда по карману небольшим компаниям, при правильной настройке и доработке может осуществлять эффективную защиту данных и ресурсов от несанкционированного доступа и других внешних угроз.