Kluczowe zasady bezpieczeństwa informacji chroniące dane przed wyciekiem, utratą i atakiem.

Poniższe zasady są obligatoryjne dla najwyższego kierownictwa organizacji. W tym miejscu nie będziemy przytaczać podstawowych zasad takich jak polityka czystego biurka i ekranu, bezpieczne postępowanie z nośnikami danych i wydrukami, opróżnianie koszy czy zabezpieczanie pomieszczeń — przyjmujemy bowiem, że osoby pełniące funkcje kierownicze są ich świadome. W przypadku wątpliwości lub potrzeby uzupełnienia wiedzy, rekomendujemy skorzystanie z podstawowych szkoleń oferowanych przez NASK.

Poufność, integralność, dostępność

• Informacje prywatne muszą pozostać poufne. Musisz wiedzieć, kto próbuje uzyskać dostęp do informacji i czy ma do tego uprawnienia.
• Musisz mieć również pewność, że informacja jest autentyczna, czyli posiada integralność. Informacje muszą być chronione przed nieautoryzowaną zmianą, a jeśli do niej dojdzie – należy o tym zostać powiadomionym.
• Wreszcie, autoryzowane osoby muszą mieć dostęp do informacji. Technologie, polityki i procesy muszą zapewniać niezawodną dostępność.

Ujawnienie, zmiana, odmowa dostępu

• Ujawnienie naraża poufne dane na dostęp osób nieuprawnionych.
• Zmiana lub brak możliwości sprawdzenia zmian, sprawia, że dane stają się niewiarygodne.
• Odmowa dostępu uniemożliwia legalnym i uprawnionym użytkownikom dostęp do danych.

Uwierzytelnianie, autoryzacja, rozliczalność

• Uwierzytelnianie to proces identyfikacji i weryfikacji osoby lub rzeczy.
Serwer porównuje dane logowania użytkownika (np. login i hasło) z zapisami w swojej bazie danych, aby potwierdzić tożsamość.
• Autoryzacja to proces kontrolowania dostępu do zasobów.
Podczas autoryzacji użytkownik może otrzymać uprawnienia do określonych części sieci lub systemu. Uprawnienia są zapisywane w bazie razem z tożsamością użytkownika i mogą być modyfikowane przez administratora.
• Rozliczalność w IT to zapisywanie i śledzenie działań użytkowników w systemach i sieciach komputerowych.
Obejmuje m.in. czas logowania, przesyłane dane, adres IP, używane adresy URI i usługi, z których korzystano.
Rozliczalność może służyć do analizy trendów, audytu działań użytkowników lub dokładniejszego rozliczania usług.