Віддалені термінали і мікрокомп'ютери залишаються без догляду в робочі і неробочі години. Дані відображаються на комп'ютерних екранах, залишених без догляду.

Не існує обмежень на доступ до інформації або на характер її використання. Усі користувачі мають доступ до всієї інформації і можуть використовувати усі функції системи.

Зміни в програми можуть вноситися без їхнього попе-реднього затвердження керівництвом.

Відсутня документація або вона не дає змоги робити наступне: розуміти одержувані звіти і формули, по яких виходять результати, модифікувати програми, готувати дані для введення, виправляти помилки, робити оцінку засобів захисту, і розуміти самі дані - їхні джерела, формат збереження, взаємозв'язку між ними.

Робляться численні спроби увійти в систему з неправильними паролями.

Дані, що вводяться, не перевіряються на коректність і точність або при їхній перевірці багато даних відкидається через помилки в них, потрібно зробити багато виправлень у даних, не робиться записів у журналах про відкинутих трансакціях.

Мають місце виходи з ладу системи, що приносять великі збитки.

Не здійснювався аналіз інформації, оброблюваної в комп'ютері, з метою визначення необхідного для неї рівня безпеки.

Мало уваги приділяється інформаційній безпеці. Хоча політика безпеки й існує, більшість людей вважає, що насправді вона не потрібна.

Заходи захисту інформаційної безпеки

1. Контролюйте доступ як до інформації в комп'ютері, так і до прикладних програм. Ви повинні мати гарантії того, що тільки авторизовані користувачі мають доступ до інформації і додатків.

Ідентифікація користувачів. Вимагайте, щоб користувачі виконували процедури входу в комп'ютер, і використовуйте це як засіб для ідентифікації на початку роботи.

Аутентифікація користувачів. Використовуйте унікальні паролі для кожного користувача, що не є комбінаціями особистих даних користувачів, для аутентифікації особистості користувача. Впровадьте заходи захисту при адмініструванні паролів, і ознайомте користувачів з найбільш загальними помилками, що дозволяють відбутися комп'ютерному злочину.

Якщо в комп'ютері є вбудований стандартний пароль (пароль, що вбудований у програми і дозволяє обійти заходи для керуванню доступом), обов'язково змініть його.

Зробіть так, щоб програми в комп'ютері після входу користувача в систему повідомляли йому час його останнього сеансу і число невдалих спроб установлення сеансу після цього. Це дозволить зробити користувача складовою частиною системи перевірки журналів.

Захищайте пароль:

не діліться своїм паролем ні з ким;

вибирайте пароль, який важко вгадати;

спробуйте використовувати рядкові і прописні букви, цифри, або виберіть відомий вислів і візьміть відтіля кожну четверту букву. А ще краще дозвольте комп'ютеру самому згенерувати ваш пароль;

не використовуйте пароль, що є вашою адресою, псевдо-німом, ім'ям дружини, телефонним номером або чим-небудь очевидним;

використовуйте довгі паролі, тому що вони більш безпечні, найкраще від 6 до 8 символів;

забезпечте невідображуваність паролю на екрані комп'ю-тера при його введенні;

забезпечте відсутність паролів у роздруківках;

не записуйте паролі на столі, чи стіні термінала. Тримаєте його в пам'яті;

Серйозно ставтеся до адміністрування паролів:

періодично змінюйте паролі і робіть це не за графіком;

шифруйте або робіть що-небудь іще з файлами паролів, що зберігаються в комп'ютері, для захисту їх від неавторизованого доступу;

призначайте на посаду адміністратора паролів тільки найнадійнішу людину;

не використовуйте той самий пароль для всіх співробіт-ників у групі;

змінюйте паролі, коли людина звільняється;

змушуйте людей розписуватися за одержання паролів;

встановіть і впровадьте правила роботи з паролями і забезпечте, щоб усі знали їх.

Процедури авторизації. Розробіть процедури авторизації, що визначають, хто з користувачів повинен мати доступ до тієї чи іншої інформації і додатків і використовуйте відповідні заходи для впровадження цих процедур в організації.

Установіть порядок в організації, при якому для вико-ристання комп'ютерних ресурсів, одержання дозволу доступу до інформації і додатків і одержання пароля потрібен дозвіл тих чи інших керівників.

Захист файлів. Крім ідентифікації користувачів і процедур авторизації розробіть процедури по обмеженню доступу до файлів з даними:

використовуйте зовнішні і внутрішні мітки файлів для вказання ипу інформації, яку вони містять, і необхідного рівня безпеки;

обмежте доступ у приміщення, у яких зберігаються файли аних, такі як архіви і бібліотеки даних;

використовуйте організаційні заходи і програмно-апаратні засоби для обмеження доступу до файлів тільки авторизованих користувачів;

2. Захищайте цілісність інформації. Інформація, що вводиться, повинна бути авторизована, повна, точна і повинна піддаватися перевіркам на помилки.

3. Захищайте системні програми. Якщо ПЗ використо вується спільно, захищайте його від схованої модифікації за допомогою політики безпеки, заходів захисту при його розробці і контролі за ним у його життєвому циклі, а також навчання ористувачів в області безпеки.

Має бути розроблений і підтримуватися каталог прикладних програм.

Повинні бути впроваджені заходи захисту по запобіганню одержання, зміни чи додавання програм неавторизованими людьми через віддалені термінали.

4. Зробіть заходи захисту більш адекватними за допомогою залучення організацій, що займаються тестуванням інформаційної безпеки, при розробці заходів захисту в прикладних програмах і консультуйтеся з ними при визначенні необхідності тестів і перевірок при обробці критичних даних. Контрольні журнали, вбудовані в комп'ютерні програми, можуть запобігти чи виявити комп'ютерне шахрайство і зловживання.

Повинні бути контрольні журнали для спостереження за тим, хто з користувачів обновляв критичні інформаційні файли. Якщо критичність інформації, збереженої в комп'ютерах, вимагає контрольних журналів, то важливі як міри фізичного захисту, так і заходи для управління доступом.

У комп'ютерній мережі журнали повинні зберігатися на хості, а не на робочій станції. Контрольні журнали не повинні відключатися для підвищення швидкості роботи. Роздруківки контрольних журналів повинні проглядатися досить часто і регулярно.

5. Розгляньте питання про комунікаційну безпеку. Дані, передані по незахищених лініях, можуть бути перехоплені.

Зони безпеки в Internet Explorer

Internet Explorer поділяє світ Internet на зони, так що можна призначити необхідний рівень захисту кожному веб-вузлу.

У правій частині рядка