Sikkerhedspolitik i informationssystemer

Nu har hver person eller organisation information om, at der ikke er noget ønske om at offentliggøre, eller omvendt er der planer om at sige farvel til det så dyrt som muligt. Og til dette er der behov for en sikkerhedspolitik. Dette er en sådan driftstid, hvis opgave er at undertrykke den ukontrollerede distribution af data, som ikke burde være kendt for offentligheden. Hun arbejder med spørgsmål om mulig tab eller manglende adgang, hvilket under alle omstændigheder vil påvirke arbejdet. Hvis dette stadig sker, leveres der normalt et sæt foranstaltninger for at minimere skader. Faktisk er en sikkerhedspolitik et sæt regler og forskrifter for udstyrets og personale i en organisation, som det også gælder. Hvordan skal dens effektivitet maksimeres?

Kompleksitet Frem for alt

Spørgsmålet om informationsbeskyttelse skal behandles fuldt ud, men først og fremmest er det nødvendigt at blokere alle mulige datatabskanaler. Dette er nødvendigt, fordi anvendelsen af ​​individuelle foranstaltninger næsten ikke øger sikkerheden i hele systemet. Lad os se på et eksempel. Vi har et hus. I den installerede vi en pansret dør, hvor der er ekstremt komplekse låse. Men på samme tid forlod vi vinduerne åbne! Er vores hjem beskyttet? Svaret er nej. Selvom vi stadig ikke bor i et en-etagers hus, men på 125. etage i en skyskraber, vil vi stadig øge sikkerheden. Et lignende princip gælder for beskyttelse i informationssystemer. Separate forholdsregler kan øge sikkerheden markant eller få minimal effekt. Under alle omstændigheder er det nødvendigt at nærme sig set fra kompleksitetssynspunktet.

Hvad er det ønskeligt at gøre?

For at sikre sikkerhed skaber de ofte et fuldt integreret informationsbeskyttelsessystem (ISIS), som er en kombination af tekniske og organisatoriske foranstaltninger samt software og hardware. Sammen sikrer de normal drift af automatiserede systemer. Sikkerhedspolitisk styring er ønskelig ikke kun ved at stole på computerteknologi, men også på organisationens personale.

Organisatoriske foranstaltninger

Det er en meget vigtig og ofte undervurderet komponent. Under organisatoriske foranstaltninger forstå udviklingen og implementeringen i praksis af en officiel politik vedrørende informationssikkerhed. Dette inkluderer:

1. Udarbejdelse af jobbeskrivelser, som brugere og servicepersonale skal overholde.
2. Udvikling af administrationsregler for individuelle systemkomponenter.
3. Oprettelse af en handlingsplan til identifikation af uautoriserede adgangsforsøg.
4. Udvikling af regler, der bestemmer regnskabsføring, opbevaring, reproduktion og destruktion af fortrolige informationsmedier.
5. Undersøgelse af identifikationsspørgsmål.
6. Udvikling af en plan i tilfælde af svigt i beskyttelsesudstyr og forekomst af en ekstrem situation.
7. Uddannelse af alle brugere i reglerne og anbefaling af informationssikkerhed samt overvågning af deres implementering.

Problemer med at ignorere organisatoriske foranstaltninger

Hvad sker der, hvis du ikke træner på dette område? Derefter bliver folk den sværeste del af forsvarssystemet. Resultatet af at ignorere dette aspekt er ofte endda umuligheden af ​​at gendanne informationssystemet generelt. Og sikkerhedspolitikkens mål vil ikke altid blive nået og med store problemer. Men selv hvis der er en sikkerhedskopi af dataene, vil det tage nogen tid at genskabe.Derudover vil oprettelsen af ​​instruktioner gøre det lettere at arbejde i situationer, hvor alt blev skabt af en medarbejder og gendannet eller forfinet af en anden.

Det vigtigste aspekt af organisatoriske foranstaltninger

Brugere skal trænes til at genkende angribere. Lad os give nogle eksempler, der viser dig, hvor vanskelige de er:

1. En medarbejder modtager et opkald eller e-mail fra en direktør eller anden senior manager, der beder dem om at give deres adgangskode, hvilket giver dem adgang til databasen for at teste systemet, ændre softwarekomponenten eller udføre en anden plausibel opgave. Resultatet vil være svigermodtagerens modtagelse af muligheden for fjernelse eller betydelig forvrængning, hvilket vil medføre tab.
2. Medarbejderen besøger, som han mener, websiden om sin virksomhed, men er faktisk falsk. Indtaster hans data. Og det er alt - en hacker har adgang til systemet. Desuden kan omdirigering og automatisk tilladelse på det officielle websted udføres, så medarbejderen ikke er klar over, at han ikke er der.
3. En medarbejder, der er inficeret med en angriber, skylles med et medium, hvor programmet åbner adgang til databasen, sletter den eller foretager nogle andre ubehagelige handlinger.

Og dette er ikke alle mulige muligheder, men kun nogle.

Forberedelse af grundlaget for et integreret informationssikkerhedssystem

Udvikling af en sikkerhedspolitik kræver en seriøs og inkluderende tilgang. Dette gøres i trin. Først skal du undersøge informations- og telekommunikationssystemet. Analysen af ​​dens arkitektur, topologi, komponenter, en opgørelse af informationsressourcer. Alle ejere og brugere skal identificeres og besidde relevant dokumentation. Afhængig af vigtigheden, forskellige gribes af hemmeligholdelse. Det skal huskes, at sikkerhedspolitikken er baseret på de indsamlede og analyserede data. Jo større matrix af information der behandles, jo bedre er det endelige resultat.

Defineret med beskyttelse

Det er nødvendigt at opbygge en trusselmodel. I det præsenteres et computersystem som et sæt tjenester. Hver af dem har sit eget sæt af funktioner, som giver dig mulighed for at identificere mange trusler. Blandt dem er:

1. Trusler mod privatlivets fred. Dette inkluderer alt i forbindelse med uautoriseret læsning af indholdet;
2. Trusler mod integritet. Alt, der vedrører uautoriseret ændring eller medfører ødelæggelse af information;
3. Trusler mod tilgængelighed. Dette inkluderer muligheden for misbrug af informationssystemet;
4. Trusler om observation. Den udforsker alle mulighederne for problemer med identifikation og sikrer kontrol over brugerhandlinger.

Sikkerhedspolitiske rammer skal have løsninger til enhver mulig trussel. Men på samme tid er det nødvendigt at overholde en rimelig linje. Så det giver ingen mening at udarbejde fortroligheden af ​​oplysninger, der er offentliggjort på organisationens officielle websted og bør være tilgængelige for alle, der ønsker idéen.

Truslernes art

Det bestemmes af, hvad der fungerer som årsagen til problemerne. Der er tre typer:

1. Naturlig karakter. Dette inkluderer naturkatastrofer, brand og lignende problemer. De gør den største fysiske skade. Det er sværest at forsvare sig imod dem. Men sandsynligheden for en sådan trussel er den laveste. Som beskyttelse bruges placering på bygningens forskellige territorier og strukturelle træk (fortykning af væggen, brandbeskyttelse osv.).
2. Teknisk karakter. Dette inkluderer ulykker, udstyrsfejl, funktionsfejl. De forårsager relativt høje skader. De er beskyttet mod dem ved hjælp af datadupliceringsmekanismer.
3. Den menneskelige faktor. Af det forstås ikke altid forsætlig ond hensigt.Dette kan også omfatte fejl i design, drift, udvikling af systemkomponenter, utilsigtede handlinger fra brugerne. Fra et rent teknisk synspunkt udgør en utrænet rengøringsdame i serverrummet ikke mindre en trussel mod udstyret end en organiseret og erfaren gruppe af computerkrakkere.

Målene med sikkerhedspolitikken er at forhindre disse problemer, og hvis de skete, skal du gennemføre et sæt af foranstaltninger, der minimerer den modtagne skade.

Trusselmodelfunktioner

Når man udvikler den, skal man huske, at forskellige typer information skal have et andet sikkerhedssystem. Så hvad angår de offentlige data, der findes på webstedet, kan vi sige, at det er nødvendigt at passe på deres integritet og tilgængelighed. Da alle skal se dem, kan privatlivspolitikken ignoreres. Mens de data, der cirkulerer inde i virksomheden, skal beskyttes mod uautoriseret adgang. Men den fulde beskyttelse af alt på det højeste niveau kræver en masse styrke og ressourcer. Derfor bestemmes de med de vigtigste data, som sikrer den største sikkerhed. Og anden information er beskyttet i overensstemmelse med dens værdi.

Indtrængende model

Det er bygget på mennesker. Den identificerer alle mulige typer krænkere og giver dem en detaljeret beskrivelse. Så der oprettes modeller i forhold til professionelle crackere, uerfarne lejesoldater, almindelige hooligans, ansatte i virksomheden. Den største fare i dette tilfælde leveres af førstnævnte. Dette skyldes, at de har det nødvendige sæt viden og tekniske midler til at udføre uautoriseret adgang. Fagfolk følges af medarbejdere i virksomheder, da de har adgang til information og kan også være bekendt med organiseringen af ​​sikkerhedssystemet. Dette giver allerede minimale muligheder for at påvirke ressourcer. Derfor, hvis der er motivation, kan medarbejderne forårsage betydelig skade (hvilket generelt ikke er ualmindeligt). Og hvis angribere også henvender sig til dem, er dette generelt en trist historie.

Dokumentationen

Når alle de foregående trin er afsluttet, udarbejdes alle de nødvendige papirer, såsom: "Informationssikkerhedspolitik", "Oplysninger om oprettelse af en CSIS" og andre problemer. Derefter udføres et udvalg af software og hardwarebeskyttelse, og deres egenskaber er konfigureret. I sidste ende udvikles dokumentation om ”Teknisk projekt til oprettelse af en CSIS. Når alt er klar, er det allerede muligt at begynde at implementere de valgte værktøjer, foranstaltninger og måder til at beskytte informationssystemet.

kontrol

Men bare at skabe er ikke nok. Det er også nødvendigt at sikre sig, at alt fungerer korrekt, og med jævne mellemrum se, at denne tilstand vedvarer. For at gøre dette gennemføres integritetsovervågning, afklaring af krav (revision), og informationssystemets tilstand analyseres. Hvis vi taler om den administrator, der er ansvarlig for sikkerhed, finder reglen "en god administrator nogen der har evnen til konstant at sove" ikke anvendelse her. Informationssystemet er et dynamisk objekt, hvor interne og eksterne forhold konstant ændres. Ligeledes er strukturen i en organisation ikke noget permanent. Nye strukturelle enheder eller afdelinger, tjenester (såsom support eller databaser) kan oprettes, eller der vil være et skifte fra et rum til et andet. Informationen, der cirkulerer gennem systemet, ændres også. Derfor bør sikkerhedspolitikken i informationssystemer tage hensyn til alle ovennævnte aspekter og tage dem i betragtning. Dette er ikke at sige, at sikkerhed er noget, der har slået sig ned. Nej, i betragtning af behovet for kontinuerlig forbedring og tilpasning til udfordringer, ville det være bedre at kalde det en proces.

Evaluering af resultaterne

Bruges til at bestemme effektiviteten.Der er specielle teknikker, som du kan bestemme denne parameter. Det er bare det, at det at udføre en sådan kontrol på egen hånd er ret vanskeligt på grund af det faktum, at alle synlige fejl skulle have været fjernet af skaberne af beskyttelsessystemet. Derfor overdrages denne opgave som regel ofte til en tredjepart. Og hun, fra en anden position, nærmer sig testen, og det er meget sandsynligt, at hun vil være i stand til at bemærke et svagt sted, der blev savnet af udviklerne selv. Faktisk fungerer sådanne inspektører som crackere, men de har allerede draget fordel af at bruge alle mulige data i form af kontante betalinger fra virksomheden selv. Det er fra sådanne øjeblikke, at gennemførelsen af ​​sikkerhedspolitikken foretages.

konklusion

Måske giver små virksomheder ikke mening at udvikle sin egen sikkerhedspolitik. Men for store virksomheder, der planlægger at operere i meget lang tid, kan dens værdi på bestemte tidspunkter være ekstraordinær. Hvis der udvikles en sikkerhedspolitik på et højt niveau, ved virksomhedens repræsentanter måske aldrig engang, hvad den beskyttede dem mod. Og selvom det ser ud til, at det ikke giver mening, er brugen af ​​denne oplevelse inden for ethvert aktivitetsområde ekstremt vigtig.