La Sécurité de l'Information

Les 03 éléments clés de la sécurité de l'information sont : la Confidentialité, l'Intégrité, et la Disponibilité.
La Confidentialité concerne la prévention contre le divulgation non autorisée des informations; L'Intégrité concerne les droits de modifier une information sous autorisation préalable; La Disponibilité de l'information doit être effective quand elle est nécessaire.

L' "Information Technology Laboratory" a La "National Institute of Standards and Technology (NIST)" du Département de Commerce des USA recommande 33 principes pour parvenir a la sécurité. ce sont:

Fondation pour le sécurité

Principe 1 : Mettre en place une politique de sécurité comme le «fondement» pour la conception
Principe 2 : Traiter la sécurité en tant que partie intégrante de la conception du système global
Principe 3 : Circonscrire clairement les limites de sécurité physiques et logiques régies par les politiques de sécurité associées
Principe 4 : Veiller à ce que les développeurs soient formés sur la façon de développer un logiciel sécurisé

Risques dans la gestion

Principe 5 : Réduire les risques à un niveau acceptable
Principe 6 : S'assurer que les systèmes externes sont sûrs
Principe 7 : Identifier les possibilités de compromis entre la réduction des risques et des coûts accrus et réduire d'autres aspects de l'efficacité opérationnelle
Principe 8 : Mettre en œuvre des mesures spécialement adaptées de sécurité du système pour atteindre les objectifs de sécurité organisationnelles
Principe 9 : Protéger les informations en cours de traitement, en transit, et dans le stockage
Principe 10 : Considérez produits personnalisés pour atteindre une sécurité adéquate
Principe 11 : Protéger contre toutes les classes d'"attaques"

Facilité d'Utilisation

Principe 12 : Lorsque cela est possible, la sécurité pourra se baser sur des standards ouverts pour la portabilité et l'interopérabilité
Principe 13 : Utiliser un langage commun dans l'élaboration des exigences de sécurité
Principe 14 : Concevoir la sécurité pour permettre l'adoption régulière de nouvelles technologies, y compris un processus de mise à niveau d'une technologie sûre et logique
Principe 15 : S’efforcer pour la facilité d'utilisation opérationnelle

Accroitre la résilience

Principe 16 : Mettre en œuvre une sécurité multicouche (Assurez-vous pas un seul point de vulnérabilité)
Principe 17 : Concevoir et mettre en place un système informatique pour limiter les dégâts et pour être résilients en réponse
Principe 18 : Fournir l'assurance que le système est, et continue d'être, élastique face à des menaces attendues
Principe 19 : Limiter ou contenir les vulnérabilités
Principe 20 : Isoler les systèmes d'accès publics à partir de ressources essentielles à la mission (par exemple, des données, processus, etc)
Principe 21 : Utiliser les mécanismes de limites à des systèmes informatiques distincts et des infrastructures réseau
Principe 22 : Concevoir et mettre en œuvre des mécanismes de vérification afin de détecter toute utilisation non autorisée et à soutenir les enquêtes sur les incidents
Principe 23 : (anciennement 28)Développer et exercer d'urgence les procédures de reprise après sinistre pour assurer la disponibilité appropriée

Réduire les vulnérabilités

Principe 24 : Efforcez-vous dans la simplicité
Principe 25 : Réduire au minimum les éléments du système susceptible d’être attaqués
Principe 26 : Implémenter le principe des privilège
Principe 27 : Ne pas mettre en œuvre des mécanismes de sécurité inutiles
Principe 28 : Assurer la sécurité appropriée à la fermeture ou l'ouverture d'un système
Principe 29 : Identifier et éviter les erreurs communes et les vulnérabilités

Conception du plan de la sécurité

Principe 30 : Mettre en œuvre la sécurité grâce à une combinaison de mesures distribués physiquement et logiquement
Principe 31 : Formuler les mesures de sécurité pour faire face a de multiples domaines d'information qui se chevauchent
Principe 32 : Authentifier les utilisateurs et les processus afin d'assurer des décisions appropriées de contrôle d'accès tant à l'intérieur et entre les domaines
Principe 33 : Utiliser les identités uniques pour garantir la reddition de comptes