categorie
...

Politica di sicurezza dei sistemi di informazione

Ora ogni persona o organizzazione ha informazioni che non c'è alcun desiderio di pubblicare o, al contrario, ci sono piani per dirle addio il più costoso possibile. E per questo, è necessaria una politica di sicurezza. Questo è un tempo di funzionamento tale, il cui compito è sopprimere la distribuzione incontrollata di dati che non dovrebbero essere noti al grande pubblico. Sta lavorando a problemi di possibile perdita o mancato accesso, che in ogni caso influenzeranno il lavoro. Inoltre, se ciò dovesse ancora accadere, di solito viene fornita una serie di misure per ridurre al minimo i danni. In effetti, una politica di sicurezza è un insieme di norme e regolamenti riguardanti le attrezzature e il personale di un'organizzazione, a cui si applica anche. Come dovrebbe essere massimizzata la sua efficacia?

Complessità soprattutto

politica di sicurezzaLa questione della protezione delle informazioni dovrebbe essere affrontata in modo completo, ma prima di tutto è necessario bloccare tutti i possibili canali di perdita dei dati. Ciò è necessario perché l'applicazione di misure individuali non aumenta quasi la sicurezza dell'intero sistema. Diamo un'occhiata a un esempio. Abbiamo una casa. In esso, abbiamo installato una porta blindata in cui sono presenti serrature estremamente complesse. Ma allo stesso tempo abbiamo lasciato le finestre aperte! La nostra casa è protetta? La risposta è no Sebbene, se viviamo ancora non in una casa a un piano, ma al 125 ° piano di un grattacielo, aumenteremo ancora leggermente la sicurezza. Un principio simile si applica alla protezione nei sistemi di informazione. Misure separate possono aumentare significativamente la sicurezza o portare un effetto minimo. In ogni caso, è necessario avvicinarsi dal punto di vista della complessità.

Cosa è desiderabile fare?

la politica di sicurezza èSpesso, al fine di garantire la sicurezza, creano un sistema di protezione delle informazioni integrato (ISIS) completo, che è una combinazione di misure ingegneristiche e organizzative, nonché di software e hardware. Insieme, assicurano il normale funzionamento dei sistemi automatizzati. La gestione delle politiche di sicurezza è auspicabile non solo basandosi sulla tecnologia informatica, ma anche sul personale dell'organizzazione.

Misure organizzative

È un componente molto importante e spesso sottovalutato. In base alle misure organizzative comprendere lo sviluppo e l'attuazione nella pratica di una politica ufficiale in materia di sicurezza delle informazioni. Questo include:

  1. Redazione di descrizioni delle mansioni cui gli utenti e il personale dell'assistenza devono attenersi.
  2. Sviluppo di regole di amministrazione per i singoli componenti del sistema.
  3. Creazione di un piano d'azione per identificare tentativi di accesso non autorizzati.
  4. Elaborazione di norme che prevedono la contabilità, la conservazione, la riproduzione e la distruzione di mezzi di informazione riservati.
  5. Lo studio dei problemi di identificazione.
  6. Elaborazione di un piano in caso di guasto dei dispositivi di protezione e insorgenza di una situazione estremamente grave.
  7. Formare tutti gli utenti sulle regole e raccomandare la sicurezza delle informazioni, nonché monitorarne l'implementazione.

Problemi nell'ignorare le misure organizzative

attuazione della politica di sicurezzaCosa succederà se non conduci la formazione in quest'area? Quindi le persone diventano la parte più difficile del sistema di difesa. Il risultato dell'ignorare questo aspetto è spesso persino l'impossibilità di ripristinare il sistema informativo in generale. E gli obiettivi della politica di sicurezza non saranno sempre raggiunti e con grossi problemi. Ma anche se è presente una copia di backup dei dati, ci vorrà del tempo per ricrearla.Inoltre, la creazione di istruzioni faciliterà il lavoro in situazioni in cui tutto è stato creato da un dipendente e ripristinato o perfezionato da un altro.

L'aspetto più importante delle misure organizzative

quadro delle politiche di sicurezzaGli utenti devono essere addestrati a riconoscere gli aggressori. Diamo alcuni esempi che ti dimostreranno quanto sono difficili:

  1. Il dipendente riceve una chiamata o e-mail dal direttore o da un altro senior manager che richiede la sua password, che consentirà l'accesso al database per testare il sistema, modificare il componente software o eseguire un'altra attività plausibile. Il risultato sarà la ricezione da parte del truffatore della possibilità della sua rimozione o di una significativa distorsione, che comporterà perdite.
  2. Il dipendente visita la pagina Web, come crede, della sua azienda, ma in realtà è falso. Immette i suoi dati. E questo è tutto - un attaccante ha accesso al sistema. Inoltre, in modo che il dipendente non si renda conto di non essere presente, è possibile eseguire il reindirizzamento e l'autorizzazione automatica sul sito Web ufficiale.
  3. Un dipendente infetto da un utente malintenzionato viene scaricato con i media su cui il programma aprirà l'accesso al database, lo eliminerà o intraprenderà altre azioni spiacevoli.

E queste non sono tutte le opzioni possibili, ma solo alcune.

Preparazione delle basi di un sistema integrato di sicurezza delle informazioni

Lo sviluppo di una politica di sicurezza richiede un approccio serio e inclusivo. Questo viene fatto in più fasi. Innanzitutto è necessario esaminare il sistema di informazione e telecomunicazione. L'analisi della sua architettura, topologia, componenti, un inventario delle risorse informative. Tutti i proprietari e gli utenti devono essere identificati e possedere la documentazione pertinente. A seconda dell'importanza, diverso avvoltoi di segretezza. Va ricordato che la politica di sicurezza si basa sui dati raccolti e analizzati. Più ampia sarà la gamma di informazioni elaborata, migliore sarà il risultato finale.

Definito con protezione

sviluppo della politica di sicurezzaÈ necessario costruire un modello di minaccia. In esso, un sistema informatico è presentato come un insieme di servizi. Ognuno di essi ha il proprio set di funzioni, che consente di identificare molte minacce. Tra questi ci sono:

  1. Minacce alla privacy. Ciò include tutto ciò che riguarda la lettura non autorizzata dei contenuti;
  2. Minacce all'integrità. Tutto ciò che riguarda la modifica non autorizzata o comporta la distruzione di informazioni;
  3. Minacce all'accessibilità. Ciò include la possibilità di uso improprio del sistema informativo;
  4. Minacce di osservazione. Esplora tutte le possibilità di problemi con l'identificazione e garantendo il controllo sulle azioni dell'utente.

I quadri delle politiche di sicurezza devono avere soluzioni per ogni possibile minaccia. Ma allo stesso tempo è necessario aderire a una linea ragionevole. Pertanto, non ha senso elaborare la riservatezza delle informazioni pubblicate sul sito Web ufficiale dell'organizzazione e che dovrebbero essere accessibili a tutti coloro che desiderano l'idea.

Natura delle minacce

obiettivi della politica di sicurezzaÈ determinato da ciò che funge da causa dei problemi. Ce ne sono di tre tipi:

  1. Carattere naturale. Ciò include catastrofi naturali, incendi e problemi simili. Fanno il maggior danno fisico. È molto difficile difendersi da loro. Ma la probabilità di una tale minaccia è la più bassa. Come protezione, vengono utilizzati il ​​posizionamento su diversi territori e le caratteristiche strutturali dell'edificio (ispessimento del muro, protezione antincendio e così via).
  2. Carattere tecnico. Ciò include incidenti, guasti alle apparecchiature, malfunzionamenti. Causano danni relativamente alti. Sono protetti da loro utilizzando meccanismi di duplicazione dei dati.
  3. Il fattore umano Con esso non si comprende sempre l'intenzione malvagia intenzionale.Ciò può includere anche errori nella progettazione, nel funzionamento, nello sviluppo di componenti di sistema, azioni indesiderate da parte degli utenti. Da un punto di vista puramente tecnico, una donna delle pulizie inesperta nella sala server non rappresenta meno una minaccia per l'attrezzatura di un gruppo organizzato ed esperto di cracker di computer.

Gli obiettivi della politica di sicurezza sono prevenire questi problemi e, se accadono, implementare una serie di misure che minimizzino il danno ricevuto.

Funzionalità del modello di minaccia

la politica di sicurezza è un insieme di regole e regolamentiDurante lo sviluppo, si dovrebbe tener conto del fatto che diversi tipi di informazioni devono avere un sistema di sicurezza diverso. Pertanto, per quanto riguarda i dati pubblici presenti sul sito Web, possiamo dire che è necessario prendersi cura della loro integrità e accessibilità. Dal momento che tutti dovrebbero vederli, il problema della privacy può essere ignorato. Considerando che i dati che circolano all'interno dell'azienda devono essere protetti da accessi non autorizzati. Ma la protezione completa di tutto ai massimi livelli richiede molta forza e risorse. Pertanto, vengono determinati con i dati più importanti, il che garantisce la massima sicurezza. E altre informazioni sono protette conformemente al suo valore.

Modello di intrusione

È costruito sulle persone. Identifica tutti i possibili tipi di violatori e fornisce loro una descrizione dettagliata. Quindi, vengono creati modelli relativi a cracker professionisti, mercenari inesperti, teppisti ordinari, dipendenti dell'impresa. Il più grande pericolo in questo caso è rappresentato dal primo. Ciò è dovuto al fatto che dispongono delle conoscenze e dei mezzi tecnici necessari per eseguire accessi non autorizzati. I professionisti sono seguiti dai dipendenti delle imprese, poiché hanno accesso alle informazioni e possono anche conoscere l'organizzazione del sistema di sicurezza. Ciò fornisce già opportunità minime per influenzare le risorse. Pertanto, in caso di motivazione, i dipendenti possono causare danni significativi (che, in generale, non sono rari). E se anche gli aggressori si rivolgono a loro, questa è generalmente una storia triste.

La documentazione

la politica di sicurezza si basa suUna volta completati tutti i passaggi precedenti, vengono elaborati tutti i documenti necessari, come ad esempio: "Politica di sicurezza delle informazioni", "Termini di riferimento per la creazione di un CSIS" e altri problemi. Successivamente, viene eseguita una selezione di protezione software e hardware e le loro caratteristiche vengono configurate. Alla fine, la documentazione è in fase di sviluppo sul "Progetto tecnico per la creazione di un CSIS". Quando tutto è pronto, è già possibile iniziare a implementare gli strumenti selezionati, le misure e i modi per proteggere il sistema informativo.

controllo

gestione delle politiche di sicurezzaMa la sola creazione non è abbastanza. Devi anche assicurarti che tutto funzioni correttamente e vedere periodicamente che questa condizione persista. Per fare ciò, viene effettuato il monitoraggio dell'integrità, il chiarimento dei requisiti (revisione) e viene analizzato lo stato del sistema informativo. Se parliamo dell'amministratore responsabile della sicurezza, la regola "un buon amministratore è qualcuno che ha la capacità di dormire costantemente" non si applica qui. Il sistema informativo è un oggetto dinamico in cui le condizioni interne ed esterne sono in costante mutamento. Allo stesso modo, la struttura di un'organizzazione non è qualcosa di permanente. Nuove unità strutturali o dipartimenti, servizi (come supporto o database) possono essere creati o ci sarà uno spostamento da una stanza all'altra. Anche le informazioni che circolano attraverso il sistema cambiano. Pertanto, la politica di sicurezza nei sistemi di informazione dovrebbe tener conto di tutti gli aspetti di cui sopra e tenerne conto. Questo non vuol dire che la sicurezza sia qualcosa che si è stabilizzato. No, data la necessità di miglioramento continuo e adattamento alle sfide, sarebbe meglio definirlo un processo.

Valutazione dei risultati

Utilizzato per determinare l'efficacia.Esistono tecniche speciali con le quali è possibile determinare questo parametro. È solo che condurre un tale controllo da solo è piuttosto difficile a causa del fatto che tutti i difetti visibili avrebbero dovuto essere eliminati dai creatori del sistema di protezione. Pertanto, di norma, questo compito è spesso affidato a terzi. E lei, da una posizione diversa, si avvicinerà al test ed è molto probabile che sarà in grado di notare un punto debole che è stato perso dagli sviluppatori stessi. In effetti, tali ispettori agiscono come cracker, ma hanno già beneficiato dell'utilizzo di tutti i dati possibili sotto forma di pagamenti in contanti da parte della società stessa. È da tali momenti che viene attuata la politica di sicurezza.

conclusione

obiettivi della politica di sicurezzaForse le piccole imprese non hanno senso sviluppare la propria politica di sicurezza. Ma per le grandi imprese che prevedono di operare a lungo, il suo valore in determinati momenti può essere straordinario. Se una politica di sicurezza viene sviluppata ad alto livello, i rappresentanti dell'azienda potrebbero non sapere nemmeno da cosa li ha protetti. E anche se sembra che non abbia senso, l'uso di questa esperienza in qualsiasi campo di attività è estremamente importante.


Aggiungi un commento
×
×
Sei sicuro di voler eliminare il commento?
cancellare
×
Motivo del reclamo

La ragazza ha cercato di non spendere soldi per un mese. L'esperimento ha lasciato i suoi sentimenti contrastanti

affari

Storie di successo

attrezzatura