Informacijos saugumo rizika. Informacijos saugumo užtikrinimas. Informacijos saugumo auditas

Šiuo metu informacijos saugumo rizika kelia didelę grėsmę normaliai daugelio įmonių ir institucijų veiklai. Mūsų informacinių technologijų amžiuje gauti bet kokius duomenis praktiškai nėra sunku. Viena vertus, tai, be abejo, atneša daug teigiamų aspektų, tačiau tai tampa daugelio kompanijų veido ir prekės ženklo problema.

Informacijos apsauga įmonėse dabar tampa beveik prioritetu. Ekspertai mano, kad šį tikslą galima pasiekti tik sukūrus tam tikrą sąmoningą veiksmų seką. Tokiu atveju galima vadovautis tik patikimais faktais ir naudoti pažangiausius analizės metodus. Tam tikrą indėlį įneša intuicijos ir už šį padalinį atsakingo specialisto patirtis įmonėje.

Šioje medžiagoje bus pasakojama apie ūkio subjekto informacijos saugumo rizikos valdymą.

Kokių tipų galimos grėsmės egzistuoja informacinėje aplinkoje?

Gali būti įvairių rūšių grėsmių. Įmonės informacijos saugumo rizikos analizė pradedama atsižvelgiant į visas galimas grėsmes. Tai būtina norint nustatyti patikrinimo metodus, atsirandantiems tokioms nenumatytoms situacijoms, taip pat norint sukurti tinkamą apsaugos sistemą. Informacijos saugumo rizika yra suskirstyta į tam tikras kategorijas, atsižvelgiant į įvairius klasifikavimo ypatumus. Jie yra šių tipų:

• fiziniai šaltiniai;
• netinkamas kompiuterių tinklo ir žiniatinklio naudojimas;
• hermetiškas nuotėkis;
• nuotėkis techninėmis priemonėmis;
• neteisėtas įsibrovimas;
• informacinio turto puolimas;
• duomenų modifikavimo vientisumo pažeidimas;
• avarinės situacijos;
• teisinius pažeidimus.

Kas įtraukta į „fizinių grėsmių informacijos saugumui“ sąvoką?

Informacijos saugumo rizikos rūšys nustatomos atsižvelgiant į jų atsiradimo šaltinius, neteisėto įsilaužimo įgyvendinimo būdą ir tikslą. Paprasčiausios techninės, tačiau vis dar reikalaujančios profesionalių rezultatų, yra fizinės grėsmės. Tai reiškia neteisėtą prieigą prie uždarų šaltinių. T. y., Šis procesas iš tikrųjų yra eilinė vagystė. Informacijos galima gauti asmeniškai, savo rankomis, tiesiog įsiveržus į įstaigą, biurus, archyvus, kad būtų galima naudotis technine įranga, dokumentacija ir kitomis laikmenomis.

Vagystė gali kilti net ne pačiuose duomenyse, o jų saugojimo vietoje, tai yra, tiesiogiai pačioje kompiuterinėje įrangoje. Norėdami sutrikdyti įprastą organizacijos veiklą, užpuolikai gali tiesiog užtikrinti saugojimo laikmenų ar techninės įrangos veikimo sutrikimą.

Fizinio įsibrovimo tikslas taip pat gali būti prieiga prie sistemos, nuo kurios priklauso informacijos saugumas. Užpuolikas galėtų modifikuoti tinklo, atsakingo už informacijos saugumą, galimybes, kad dar labiau palengvintų neteisėtų metodų įgyvendinimą.

Fizinės grėsmės galimybę taip pat gali suteikti įvairių grupių nariai, turintys prieigą prie įslaptintos informacijos, kuri nėra viešinama. Jų tikslas - vertinga dokumentacija.Tokie asmenys vadinami viešai neatskleista informacija.

Išorinių užpuolikų veikla gali būti nukreipta į tą patį objektą.

Kaip patys įmonės darbuotojai gali sukelti grėsmę?

Informacijos saugumo rizika dažnai kyla dėl netinkamo interneto ir vidinės kompiuterinės sistemos naudojimo. Užpuolikai gražiai žaidžia dėl kai kurių žmonių nepatyrimo, neatsargumo ir išsilavinimo dėl informacijos saugumo. Norėdami atmesti šią galimybę pavogti konfidencialius duomenis, daugelio organizacijų vadovybė turi specialią savo darbuotojų politiką. Jos tikslas yra šviesti žmones apie elgesio ir tinklų naudojimo taisykles. Tai gana įprasta praktika, nes tokiu būdu kylančios grėsmės yra gana dažnos. Programoje yra šie informacinio saugumo įgūdžių įgijimo punktai:

• neefektyvaus audito priemonių naudojimo įveikimas;
• sumažinti žmonių, naudojančių specialias duomenų apdorojimo priemones, laipsnį;
• mažesnis išteklių ir turto naudojimas;
• pripratimas prieiti prie tinklo įrenginių tik nustatytais metodais;
• įtakos zonų paskirstymas ir atsakomybės teritorijos nustatymas.

Kai kiekvienas darbuotojas supranta, kad įstaigos likimas priklauso nuo atsakingo jam pavestų užduočių vykdymo, jis stengiasi laikytis visų taisyklių. Prieš žmones būtina išsikelti konkrečias užduotis ir pagrįsti gautus rezultatus.

Kaip pažeidžiamos privatumo sąlygos?

Informacijos saugumo rizika ir grėsmė daugiausia susijusi su neteisėtu informacijos, kuri neturėtų būti prieinama pašaliniams asmenims, gavimu. Pirmasis ir dažniausiai pasitaikantis nutekėjimo kanalas yra visų rūšių komunikacijos metodai. Tuo metu, kai, atrodo, asmeninį susirašinėjimą gali gauti tik dvi šalys, suinteresuotosios šalys jį perima. Nors protingi žmonės supranta, kad perduoti kažką nepaprastai svarbaus ir slapto būtina kitais būdais.

Kadangi dabar daug informacijos saugoma nešiojamosiose laikmenose, užpuolikai aktyviai įsisavina informacijos perėmimą naudodamiesi šios rūšies technologijomis. Ryšio kanalų klausymasis yra labai populiarus, tik dabar visos techninių genijų pastangos nukreiptos į išmaniųjų telefonų apsauginių barjerų įveikimą.

Organizacijos darbuotojai gali netyčia atskleisti konfidencialią informaciją. Jie negali tiesiogiai išduoti visų „pasirodymų ir slaptažodžių“, o tik nukreipia užpuoliką teisingu keliu. Pavyzdžiui, žmonės, to nežinodami, pateikia informaciją apie svarbių dokumentų saugojimo vietą.

Tik pavaldiniai ne visada yra pažeidžiami. Rangovai taip pat gali pateikti konfidencialią informaciją partnerysčių metu.

Kaip techninės įtakos priemonėmis pažeidžiamas informacijos saugumas?

Informacijos saugumo užtikrinimas daugiausia priklauso nuo patikimų techninių apsaugos priemonių naudojimo. Jei palaikymo sistema yra efektyvi ir efektyvi net pačioje įrangoje, tai jau yra pusė sėkmės.

Apskritai, informacijos nutekėjimas užtikrinamas kontroliuojant įvairius signalus. Tokie metodai apima specializuotų radijo spinduliavimo ar signalų šaltinių sukūrimą. Pastarosios gali būti elektrinės, akustinės ar vibracinės.

Gana dažnai naudojami optiniai įtaisai, leidžiantys nuskaityti informaciją iš ekranų ir monitorių.

Įrenginių įvairovė siūlo platų metodą, kaip užpuolikai gali įvesti ir išgauti informaciją. Be minėtų metodų, taip pat yra televizijos, fotografijos ir vizualinė žvalgyba.

Dėl tokių plačių galimybių informacijos saugumo auditas pirmiausia apima techninių priemonių, skirtų apsaugoti konfidencialius duomenis, patikrinimą ir analizę.

Kas laikoma neteisėta prieiga prie įmonės informacijos?

Informacijos saugumo rizikos valdymas yra neįmanomas neužkertant kelio neteisėtai prieigai.

Vienas ryškiausių šio klastotės kieno nors kito saugumo sistemos atstovų yra vartotojo ID priskyrimas. Šis metodas vadinamas „Maskaradu“. Nesankcionuotą prieigą šiuo atveju sudaro autentifikavimo duomenų naudojimas. Tai yra, įsibrovėlio tikslas yra gauti slaptažodį ar bet kurį kitą identifikatorių.

Užpuolikai gali paveikti patį objektą arba iš išorės. Jie gali gauti reikiamą informaciją iš tokių šaltinių kaip audito seka ar audito įrankiai.

Dažnai užpuolikas bando taikyti įgyvendinimo politiką ir iš pirmo žvilgsnio naudoti visiškai teisėtus metodus.

Neteisėta prieiga taikoma šiems informacijos šaltiniams:

• Svetainė ir išoriniai kompiuteriai
• įmonės belaidis tinklas;
• atsarginės duomenų kopijos.

Yra nesuskaičiuojama daugybė neteisėtos prieigos būdų ir būdų. Užpuolikai ieško klaidingų skaičiavimų ir programinės įrangos konfigūracijos bei architektūros spragų. Jie gauna duomenis modifikuodami programinę įrangą. Norėdami neutralizuoti ir sumažinti budrumą, įsibrovėliai paleidžia kenkėjiškas programas ir logines bombas.

Kokios yra teisinės grėsmės įmonės informacijos saugumui?

Informacijos saugumo rizikos valdymas veikia įvairiomis kryptimis, nes pagrindinis jos tikslas yra suteikti visapusišką ir holistinę įmonės apsaugą nuo pašalinių įsibrovimų.

Ne mažiau svarbi nei techninė sritis yra teisėta. Taigi, kuri, priešingai, turėtų ginti interesus, pasirodo, kad gauname labai naudingos informacijos.

Teisiniai pažeidimai gali būti susiję su nuosavybės teisėmis, autorių teisėmis ir patento teisėmis. Neteisėtas programinės įrangos naudojimas, įskaitant importą ir eksportą, taip pat patenka į šią kategoriją. Pažeisti teisinius reikalavimus įmanoma tik nesilaikant sutarties sąlygų ar visos įstatyminės bazės.

Kaip nustatyti informacijos saugumo tikslus?

Informacijos saugumo užtikrinimas prasideda nuo apsaugos srities nustatymo. Būtina aiškiai apibrėžti, ką reikia saugoti ir nuo ko. Tam nustatomas galimo nusikaltėlio portretas, taip pat galimi įsilaužimo ir įgyvendinimo būdai. Norint išsikelti tikslus, visų pirma, reikia kalbėtis su vadovybe. Tai jums pasakys prioritetines apsaugos sritis.

Nuo šio momento prasideda informacijos saugumo auditas. Tai leidžia nustatyti, kokia proporcija būtina taikyti technologinius ir verslo metodus. Šio proceso rezultatas yra galutinis veiklos sąrašas, kuriame įtvirtinami padalinio tikslai užtikrinti apsaugą nuo neteisėto įsilaužimo. Audito procedūra siekiama nustatyti kritinius sistemos taškus ir trūkumus, kurie trukdo normaliam įmonės darbui ir plėtrai.

Išdėsčius tikslus, kuriamas jų įgyvendinimo mechanizmas. Priemonės yra sukonstruotos taip, kad būtų galima kontroliuoti ir sumažinti riziką.

Kokį vaidmenį vaidina turtas analizuojant riziką?

Organizacijos informacijos saugumo rizika tiesiogiai veikia įmonės turtą. Juk užpuolikų tikslas yra gauti vertingos informacijos. Jo praradimas ar atskleidimas neišvengiamai sukels nuostolių. Žala, padaryta dėl neteisėto įsibrovimo, gali turėti tiesioginį poveikį arba tik netiesiogiai.T. y., Dėl neteisėtų veiksmų, susijusių su organizacija, gali būti visiškai prarasta verslo kontrolė.

Žalos dydis įvertinamas atsižvelgiant į turimą organizacijos turtą. Įtakos turi visi ištekliai, kurie bet kokiu būdu prisideda prie valdymo tikslų pasiekimo. Įmonės turtas reiškia visą materialųjį ir nematerialųjį turtą, kuris duoda ir padeda gauti pajamų.

Turtas yra kelių rūšių:

• medžiaga;
• žmogaus
• informacinis;
• finansiniai;
• procesai
• prekės ženklas ir autoritetas.

Pastaroji turto rūšis labiausiai kenčia nuo neteisėto įsibrovimo. Taip yra dėl to, kad bet kokia reali informacijos saugumo rizika turi įtakos įvaizdžiui. Šios srities problemos automatiškai sumažina pagarbą ir pasitikėjimą tokia įmone, nes niekas nenori, kad jos konfidenciali informacija būtų paviešinta. Kiekviena save gerbianti organizacija rūpinasi savo informacijos šaltinių apsauga.

Įvairūs veiksniai daro įtaką tam, kiek ir koks turtas patirs. Jie skirstomi į išorinius ir vidinius. Jų sudėtingas poveikis, kaip taisyklė, vienu metu galioja kelioms vertingų išteklių grupėms.

Turtas sudarė visą įmonės veiklą. Jie tam tikru mastu dalyvauja bet kurios institucijos veikloje. Vieniems kai kurios grupės yra svarbesnės, kitoms - mažiau. Priklausomai nuo to, kokio tipo turtą užpuolikai sugebėjo paveikti, priklauso rezultatas, t. Y. Padaryta žala.

Įvertinus informacijos saugumo riziką, galima aiškiai nustatyti pagrindinį turtą, ir jei jis buvo paveiktas, tai patiria nepataisomus įmonės nuostolius. Pati vadovybė turėtų atkreipti dėmesį į šias vertingų išteklių grupes, nes jų saugumas priklauso nuo savininkų interesų.

Informacijos saugumo skyriaus prioritetinė sritis yra pagalbiniai ištekliai. Už jų apsaugą atsakingas specialus asmuo. Jų rizika nėra kritinė ir daro įtaką tik valdymo sistemai.

Kokie yra informacijos saugumo veiksniai?

Informacijos saugumo rizikos apskaičiavimas apima specializuoto modelio sukūrimą. Tai reiškia mazgus, kurie yra sujungti vienas su kitu funkcinėmis jungtimis. Mazgai - tai yra pats turtas. Modelis naudoja šiuos vertingus išteklius:

• žmonių
• strategija;
• technologija;
• procesai.

Juos rišantys šonkauliai yra tie patys rizikos veiksniai. Norint nustatyti galimas grėsmes, geriausia kreiptis į skyrių ar specialistą, kuris tiesiogiai dirba su šiuo turtu. Bet koks galimas rizikos veiksnys gali būti būtina sąlyga formuojant problemą. Modelis nustato pagrindines galimas grėsmes.

Personalo atžvilgiu problema yra žemas išsilavinimo lygis, personalo trūkumas, motyvacijos stoka.

Proceso rizika apima aplinkos kintamumą, prastą gamybos automatizavimą ir miglotą pareigų atskyrimą.

Dėl technologijų gali nukentėti pasenusi programinė įranga, trūksta vartotojų kontrolės. Priežastis taip pat gali būti nevienalytės informacinių technologijų kraštovaizdžio problemos.

Šio modelio pranašumas yra tas, kad informacijos saugumo rizikos ribinės vertės nėra aiškiai apibrėžtos, nes į problemą žiūrima iš skirtingų pusių.

Kas yra informacijos saugumo auditas?

Svarbi įmonės informacijos saugumo procedūra yra auditas. Tai yra apsaugos nuo neteisėto įsibrovimo sistemos dabartinės būklės patikrinimas. Audito procesas nustato atitiktį nustatytiems reikalavimams.Jo įgyvendinimas yra privalomas kai kurių tipų įstaigoms, kitoms - patariamojo pobūdžio. Patikrinimas atliekamas atsižvelgiant į apskaitos ir mokesčių departamentų dokumentus, technines priemones ir finansinę bei ekonominę dalis.

Auditas yra būtinas norint suprasti saugumo lygį ir tuo atveju, jei optimizavimas nėra normalus. Ši procedūra taip pat leidžia įvertinti finansinių investicijų tinkamumą informacijos saugumui. Galiausiai ekspertas pateiks rekomendacijas dėl finansinių išlaidų normos, kad būtų pasiektas maksimalus efektyvumas. Auditas leidžia reguliuoti valdiklius.

Informacijos saugumo tyrimas yra suskirstytas į kelis etapus:

1. Tikslų nustatymas ir būdai jiems pasiekti.
2. Sprendimui priimti reikalingos informacijos analizė.
3. Apdorojami surinkti duomenys.
4. Ekspertų nuomonė ir rekomendacijos.

Galų gale specialistas paskelbia savo sprendimą. Komisijos rekomendacijos dažniausiai yra skirtos pakeisti aparatinės įrangos, taip pat serverių konfigūraciją. Dažnai probleminei įmonei siūloma pasirinkti kitokį saugumo užtikrinimo būdą. Gali būti, kad ekspertai paskirs apsaugos priemonių rinkinį papildomam sustiprinimui.

Darbas po audito rezultatų gavimo yra skirtas komandos informavimui apie problemas. Jei reikia, verta atlikti papildomus mokymus, kad darbuotojai būtų geriau mokomi įmonės informacijos išteklių apsaugos klausimais.