Формирование режима информационной безопасности — проблема комплексная. Меры по ее решению можно разделить на три уровня:
• законодательный (законы, нормативные акты, стандарты и т.п.);
• административный (действия общего характера, предпринимаемые руководством организации);
• программно-технический (конкретные технические меры).
«все, что не разрешено, запрещено», поскольку «лишний» сетевой сервис может предоставить канал проникновения в корпоративную систему.
Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ. Образно говоря, если в крепости механизм подъемного моста ломается, мост должен оставаться в поднятом состоянии, препятствуя проходу неприятеля.
Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.
Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс. Это особенно важно, чтобы предотвратить злонамеренные или неквалифицированные действия системного администратора.
Следует заметить, что гибкие диски всё больше выходят из употребления (умирают), так как не надежны, и их ёмкость всего 1,44 Мбайта, что для современных пользователей крайне мало.
