Informacijos sistemų saugumo politika

Dabar kiekvienas žmogus ar organizacija turi informacijos, kurios neketina skelbti, arba, atvirkščiai, planuoja atsisveikinti su kuo brangesne. Ir tam reikalinga saugumo politika. Tai yra toks veikimo laikas, kurio užduotis yra slopinti nekontroliuojamą duomenų, kurie neturėtų būti žinomi plačiajai visuomenei, platinimą. Ji nagrinėja galimo praradimo ar nesuteikimo klausimus, kurie bet kokiu atveju turės įtakos darbui. Be to, jei tai vis tiek atsitiko, paprastai numatomas priemonių rinkinys, kad būtų padaryta kuo mažesnė žala. Iš tikrųjų saugumo politika yra taisyklių ir reglamentų, susijusių su organizacijos įranga ir personalu, rinkinys, kuriam ji taip pat taikoma. Kaip reikėtų maksimaliai padidinti jo veiksmingumą?

Sudėtingumas visų pirma

Turėtų būti visapusiškai išspręstas informacijos apsaugos klausimas, tačiau pirmiausia reikia blokuoti visus galimus duomenų praradimo kanalus. Tai būtina, nes individualių priemonių taikymas beveik nepadidina visos sistemos saugumo. Pažvelkime į pavyzdį. Mes turime namą. Jame mes įrengėme šarvuotas duris, kuriose yra ypač sudėtingos spynos. Bet tuo pat metu palikome langus atvirus! Ar mūsų namai saugomi? Atsakymas yra ne. Nors, jei mes vis dar gyvename ne vieno aukšto name, o dangoraižio 125 aukšte, tada vis tiek šiek tiek padidinsime saugumą. Panašus principas taikomas apsaugai informacinėse sistemose. Atskiros priemonės gali žymiai padidinti saugumą arba padaryti minimalų poveikį. Bet kokiu atveju būtina žiūrėti iš sudėtingumo.

Ką norima daryti?

Dažnai, norėdami užtikrinti saugumą, jie sukuria visavertę integruotą informacijos apsaugos sistemą (ISIS), kuri yra inžinerinių ir organizacinių priemonių, taip pat programinės ir techninės įrangos derinys. Kartu jie užtikrina normalų automatizuotų sistemų veikimą. Saugumo politikos valdymas yra pageidautinas ne tik pasikliaujant kompiuterinėmis technologijomis, bet ir organizacijos darbuotojais.

Organizacinės priemonės

Tai labai svarbus ir dažnai nepakankamai įvertinamas komponentas. Vykdydami organizacines priemones, supraskite oficialios informacijos saugumo politikos kūrimą ir įgyvendinimą praktikoje. Tai apima:

1. Parengti darbo aprašymus, kurių privalo laikytis vartotojai ir aptarnaujantis personalas.
2. Atskirų sistemos komponentų administravimo taisyklių kūrimas.
3. Veiksmų plano, skirto neteisėtai prieigai nustatyti, sukūrimas.
4. Taisyklių, numatančių apskaitos, saugojimo, dauginimo ir sunaikinimo konfidencialios informacijos laikmenose, sukūrimas.
5. Identifikavimo klausimų tyrimas.
6. Apsaugos priemonių gedimo ir nepaprastos situacijos plano parengimas.
7. Mokyti visus vartotojus naudotis taisyklėmis ir rekomenduoti informacijos saugumą, taip pat stebėti jų įgyvendinimą.

Organizacijos priemonių nepaisymo problemos

Kas nutiks, jei nevadinsite mokymų šioje srityje? Tuomet žmonės tampa sunkiausia gynybos sistemos dalimi. Nepaisant šio aspekto, dažnai net neįmanoma atkurti informacinės sistemos apskritai. Saugumo politikos tikslai ne visada bus pasiekti ir su didelėmis problemomis. Bet net jei yra atsarginė duomenų kopija, atkurti prireiks šiek tiek laiko.Be to, instrukcijų sukūrimas palengvins darbą tokiose situacijose, kai viską sukūrė vienas darbuotojas, o kitas atkūrė ar patobulino.

Svarbiausias organizacinių priemonių aspektas

Vartotojai turėtų būti išmokyti atpažinti užpuolikus. Pateiksime keletą pavyzdžių, kurie jums parodys, kokie jie yra keblūs:

1. Darbuotojas gauna skambutį ar el. Laišką iš direktoriaus ar kito vyresniojo vadovo, prašydamas įvesti jo slaptažodį, kuris suteiks prieigą prie duomenų bazės, kad būtų galima išbandyti sistemą, modifikuoti programinės įrangos komponentą ar atlikti kitą patikimą užduotį. Rezultatas bus tai, kad sukčiautojas gaus informaciją apie jos pašalinimą arba reikšmingą iškraipymą, kuris atneš nuostolius.
2. Darbuotojas, kaip tiki, lankosi savo įmonės tinklalapyje, tačiau iš tikrųjų yra padirbtas. Įveda savo duomenis. Tai viskas - užpuolikas turi prieigą prie sistemos. Be to, kad darbuotojas nesuprastų, kad jo nėra, gali būti atliekamas peradresavimas ir automatinis leidimas oficialioje svetainėje.
3. Užpuoliko užkrėstas darbuotojas prausiasi laikmenomis, kuriomis programa atidarys prieigą prie duomenų bazės, ją ištrins ar atliks kitus nemalonius veiksmus.

Tai nėra visi įmanomi variantai, o tik keli.

Integruotos informacijos saugumo sistemos pagrindų parengimas

Saugumo politikos formavimui reikalingas rimtas ir visa apimantis požiūris. Tai daroma etapais. Pirmiausia turite ištirti informacijos ir telekomunikacijų sistemą. Jos architektūros, topologijos, komponentų, informacinių išteklių aprašo analizė. Visi savininkai ir vartotojai turi būti identifikuoti ir turėti atitinkamą dokumentaciją. Priklausomai nuo svarbos, skirtingi paslapties grifai. Reikėtų atsiminti, kad saugumo politika pagrįsta surinktais ir išanalizuotais duomenimis. Kuo didesnis informacijos masyvas bus apdorotas, tuo geresnis bus galutinis rezultatas.

Apibrėžta apsauga

Būtina sukurti grėsmės modelį. Jame kompiuterinė sistema pristatoma kaip paslaugų rinkinys. Kiekvienas iš jų turi savo funkcijų rinkinį, kuris leidžia nustatyti daugybę grėsmių. Tarp jų yra:

1. Grėsmės privatumu. Tai apima viską, kas susiję su neteisėtu turinio skaitymu;
2. Grėsmės vientisumui. Viskas, kas susiję su neteisėtu pakeitimu arba susijusi su informacijos sunaikinimu;
3. Griežtumai. Tai apima galimybę netinkamai naudotis informacine sistema;
4. Stebėjimo grėsmės. Jis tiria visas galimybes, susijusias su identifikavimu ir vartotojo veiksmų kontrolės užtikrinimu.

Saugumo politikos sistemose turi būti sprendimai dėl visų galimų grėsmių. Tačiau tuo pat metu būtina laikytis pagrįstos linijos. Taigi nėra prasmės ieškoti informacijos, skelbiamos oficialiame organizacijos tinklalapyje, konfidencialumo ir ji turėtų būti prieinama visiems, norintiems idėjos.

Grėsmių pobūdis

Tai lemia tai, kas sukelia problemas. Yra trys tipai:

1. Natūralus charakteris. Tai apima stichines nelaimes, gaisrus ir panašias problemas. Jie daro didžiausią fizinę žalą. Nuo jų apsiginti yra sunkiausia. Tačiau tokios grėsmės tikimybė yra mažiausia. Apsaugai naudojamas išdėstymas skirtingose ​​teritorijose ir pastato konstrukcijos ypatybės (sienos sustorėjimas, apsauga nuo gaisro ir pan.).
2. Techninis pobūdis. Tai apima avarijas, įrangos gedimus, gedimus. Jie daro palyginti didelę žalą. Nuo jų apsaugoma naudojant duomenų dubliavimo mechanizmus.
3. Žmogiškasis faktorius. Tuo ne visada suprantamas tyčinis blogo ketinimas.Tai taip pat gali apimti sistemos komponentų projektavimo, veikimo, tobulinimo klaidas, nenumatytus vartotojų veiksmus. Tik grynai techniniu požiūriu nepatyrusi valytoja serverio kambaryje kelia ne mažiau grėsmę įrangai nei organizuota ir patyrusi kompiuterių krekerių grupė.

Saugumo politikos tikslai yra užkirsti kelią šioms problemoms ir, jei jos atsitiko, įgyvendinti priemonių rinkinį, kuris sumažintų gaunamą žalą.

Grėsmės modelio ypatybės

Kuriant ją, reikia turėti omenyje, kad skirtingų tipų informacija turi turėti skirtingą apsaugos sistemą. Taigi, kalbėdami apie viešus duomenis, kurie yra svetainėje, galime pasakyti, kad būtina pasirūpinti jų vientisumu ir prieinamumu. Kadangi visi turėtų juos pamatyti, į privatumo problemą galima nekreipti dėmesio. Kadangi įmonės viduje cirkuliuojantys duomenys turi būti apsaugoti nuo neteisėtos prieigos. Tačiau visapusiška visko apsauga aukščiausiame lygyje reikalauja daug jėgų ir išteklių. Todėl jie nustatomi su svarbiausiais duomenimis, kurie užtikrina didžiausią saugumą. Ir kita informacija yra saugoma atsižvelgiant į jos vertę.

Įsibrovėlių modelis

Jis pastatytas ant žmonių. Jame nustatomi visi galimi pažeidėjų tipai ir pateikiamas išsamus jų aprašymas. Taigi, modeliai yra sukurti atsižvelgiant į profesionalius krekerius, nepatyrusius samdinius, paprastus chuliganus, įmonės darbuotojus. Didžiausią pavojų šiuo atveju kelia buvęs. Taip yra dėl to, kad jie turi reikiamą žinių ir techninių priemonių rinkinį neteisėtai prieigai vykdyti. Profesionalai seka įmonių darbuotojus, nes jie turi prieigą prie informacijos, taip pat gali būti susipažinę su apsaugos sistemos organizavimu. Tai jau suteikia minimalias galimybes daryti įtaką ištekliams. Taigi, jei yra motyvacija, darbuotojai gali padaryti didelę žalą (kuri paprastai nėra neįprasta). Ir jei užpuolikai taip pat kreipiasi į juos, tai paprastai yra liūdna istorija.

Dokumentacija

Kai visi ankstesni veiksmai bus atlikti, bus parengti visi reikalingi dokumentai, tokie kaip: „Informacijos saugumo politika“, „CSIS kūrimo sąlygos“ ir kiti klausimai. Po to atliekamas programinės ir aparatinės įrangos apsaugos pasirinkimas ir sukonfigūruotos jų charakteristikos. Galiausiai yra kuriama „CSIS sukūrimo techninio projekto“ dokumentacija. Kai viskas bus paruošta, jau galima pradėti įgyvendinti pasirinktus įrankius, priemones ir būdus, kaip apsaugoti informacinę sistemą.

Kontrolė

Bet vien kurti nepakanka. Taip pat būtina įsitikinti, kad viskas veikia tinkamai, ir periodiškai žiūrėti, kad ši būklė išliktų. Tam atliekamas vientisumo stebėjimas, reikalavimų išaiškinimas (revizija) ir analizuojama informacinės sistemos būklė. Jei mes kalbame apie administratorių, atsakingą už saugumą, tai čia negalioja taisyklė „geras administratorius yra tas, kuris turi galimybę nuolat miegoti“. Informacinė sistema yra dinamiškas objektas, kuriame vidinės ir išorinės sąlygos nuolat keičiasi. Taip pat organizacijos struktūra nėra kažkas nuolatinio. Gali būti sukurti nauji struktūriniai padaliniai ar padaliniai, paslaugos (tokios kaip palaikymas ar duomenų bazės) arba bus perkeltas iš vieno kambario į kitą. Keičiasi ir per sistemą cirkuliuojanti informacija. Todėl informacinių sistemų saugumo politikoje turėtų būti atsižvelgiama į visus aukščiau išvardintus aspektus ir į juos. Tai nereiškia, kad saugumas išsisprendė. Ne, atsižvelgiant į poreikį nuolat tobulėti ir prisitaikyti prie iššūkių, geriau tai vadinti procesu.

Rezultatas

Naudojamas efektyvumui nustatyti.Yra specialūs metodai, kuriais galite nustatyti šį parametrą. Tiesiog atlikti tokį patikrinimą savarankiškai yra gana sunku dėl to, kad visus matomus trūkumus apsaugos sistemos kūrėjai turėjo pašalinti. Todėl paprastai ši užduotis dažnai patikėta trečiajai šaliai. Ir ji iš kitokios pozicijos artės prie testo ir labai tikėtina, kad ji sugebės pastebėti silpną vietą, kurią praleido patys kūrėjai. Tiesą sakant, tokie inspektoriai veikia kaip „krekeriai“, tačiau jie jau pasinaudojo visais įmanomais duomenimis naudodamiesi grynaisiais iš pačios bendrovės. Nuo tokių momentų pradedama įgyvendinti saugumo politika.

Išvada

Galbūt smulkusis verslas neturi prasmės kurti savo saugumo politikos. Tačiau didelėms įmonėms, kurios planuoja veikti labai ilgą laiką, jos vertė tam tikrais laikotarpiais gali būti nepaprasta. Jei saugumo politika bus parengta aukštu lygiu, tada įmonės atstovai niekada negali net žinoti, nuo ko ji juos apsaugojo. Ir net jei atrodo, kad tai neturi prasmės, šios patirties panaudojimas bet kurioje veiklos srityje yra nepaprastai svarbus.