a) міндеттерді бөлу; Міндеттерді бөлу принципі бір адам ұйым үшін маңызды процесті бұзбауы үшін рөлдер мен жауапкершілікті қалай бөлуге болатындығын белгілейді.
b) привилегияларды азайту. Привилегияларды азайту принципі пайдаланушыларға қызметтік міндеттерін орындау үшін қажетті қол жеткізу құқықтарын ғана бөлуді талап етеді. Бұл принциптің мақсаты кездейсоқ немесе қасақана дұрыс емес әрекеттерден болатын зиянды азайту болып табылады.
2. физикалық қорғау; Физикалық қорғаудың негізгі қағидасы - "кеңістіктегі және уақыттағы қорғаудың үздіксіздігі", оның сақталуын үнемі бақылау қажет.
3. жұмысқа қабілеттілікті сақтау; Әрі қарай, біз ақпараттық жүйелердің жұмысын сақтауға бағытталған бірқатар күнделікті шараларды қарастырамыз. Дәл осы жерде үлкен қауіп бар. Кездейсоқ қателер жүйелік әкімшілер мен пайдаланушылар жабдықтың зақымдалуына, бағдарламалар мен деректердің бұзылуына қауіп төндіреді.
4. қауіпсіздік режимінің бұзылуына ден қою; Ұйым қабылдаған қауіпсіздік бағдарламасы Ақпараттық қауіпсіздік режимінің бұзылуын анықтауға және бейтараптандыруға бағытталған жедел іс-шаралар жиынтығын көздеуі тиіс.
Қауіпсіздік режимінің бұзылуына реакция үш негізгі мақсатты көздейді:
инцидентті оқшаулау және келтірілетін зиянды азайту;
5. қалпына келтіру жұмыстарын жоспарлау. Қалпына келтіру жұмыстарын жоспарлау апаттарға дайындалуға, олардан болатын зиянды азайтуға және кем дегенде минималды көлемде жұмыс істеу қабілетін сақтауға мүмкіндік береді.
2. Құпиялылыққа төнетін қауіптер Құпия ақпаратты пәндік және қызметтік деп бөлуге болады. Қызметтік ақпарат (мысалы, пайдаланушылардың парольдері) белгілі бір пәндік аймаққа қолданылмайды, ақпараттық жүйеде ол техникалық рөл атқарады. Бірақ оны ашу өте қауіпті болып табылады, өйткені ол барлық ақпаратқа, соның ішінде пәндік ақпаратқа рұқсатсыз қол жеткізуге әкелуі мүмкін.
Егер ақпарат компьютерде сақталса немесе компьютерде пайдалануға арналған болса да, оның құпиялылығына төнетін қауіп компьютерлік, жалпы техникалық қауіпке жатпауы мүмкін.
Құпиялылықтың негізгі қаупі-шабуылдаушылардың парольдерді қолдануы. Құпия сөздердер арқылы қаскүнемдер құпия ақпаратқа қол жеткізе алады. Құпиялылық қаупінің көздері:
Зиянкестер қол жеткізе алатын орындарда сақтай отырып, қайта пайдалануға болатын парольдерді пайдалану.
Әр түрлі жүйелерде бірдей парольдерді пайдалану.
Құпиялылықты қамтамасыз етпейтін ортада ақпаратты орналастыру.
Зиянкестердің техникалық құралдарды пайдалануы. Мысалы, тыңдау құрылғылары, енгізілген парольді тіркейтін арнайы бағдарламалар.
Құпия ақпараты бар жабдықтар таныстырылатын көрмелер.
Резервтік тасығыштарда мәліметтерді сақтау.
Көптеген ақпарат көздері бойынша ақпарат тарату, бұл ақпараттың ұсталуына келеді.
Ноутбуктерді қараусыз қалдыру.
Өкілеттіктерді теріс пайдалану (жүйелік әкімшінің инфрақұрылымға қызмет көрсетуі кезінде мүмкін).
Деректерді ұстап алу өте қауіпті, егер құпиялылық өте маңызды және деректер көптеген арналар арқылы берілсе, оларды қорғау өте қиын және қымбат болуы мүмкін. Техникалық ұстау құралдары жақсы ойластырылған, қол жетімді, оңай жұмыс істейді және оларды, мысалы, кабельдік желіге кез-келген адам орната алады, сондықтан бұл қауіпті тек сыртқы ғана емес, сонымен қатар ішкі коммуникацияларға да ескеру қажет.
Жабдықты ұрлау тек резервтік тасығыштар үшін ғана емес, сонымен қатар компьютерлер үшін, әсіресе портативті құрылғылар үшін де қауіп төндіреді. Көбінесе Ноутбуктер жұмыста немесе көлікте қараусыз қалады, кейде олар жай жоғалтады.
Өзін қорғау қиын болатын жағымсыз қауіптерге билікті теріс пайдалану жатады. Жүйенің көптеген түрлерінде артықшылықты пайдаланушы (мысалы, жүйелік әкімші) кез-келген (шифрланбаған) файлды оқи алады, кез-келген пайдаланушының поштасына кіре алады және т .б. Тағы бір мысал - қызмет көрсету кезінде зиян келтіру. Әдетте сервистік инженер жабдыққа шексіз қол жеткізе алады және бағдарламалық қорғаныс тетіктерін айналып өте алады.