Virsraksti
...

Drošības politika informācijas sistēmās

Tagad katram cilvēkam vai organizācijai ir informācija, kuru nav vēlmes publicēt, vai, tieši pretēji, ir plāni ar to atvadīties pēc iespējas dārgāk. Un tam ir nepieciešama drošības politika. Šis ir tāds darbības laiks, kura uzdevums ir apspiest nekontrolētu datu izplatīšanu, kas plašākai sabiedrībai nebūtu jāzina. Viņa strādā pie iespējamiem zaudējumiem vai nepieejamības jautājumiem, kas katrā ziņā ietekmēs darbu. Turklāt, ja tas joprojām notika, parasti tiek nodrošināts pasākumu kopums, lai mazinātu kaitējumu. Drošības politika faktiski ir noteikumu un noteikumu kopums attiecībā uz organizācijas aprīkojumu un personālu, uz kuru tā attiecas arī. Kā būtu jāpalielina tā efektivitāte?

Sarežģītība galvenokārt

drošības politikaPilnībā jārisina informācijas aizsardzības jautājums, bet, pirmkārt, ir jānobloķē visi iespējamie datu zaudēšanas kanāli. Tas ir nepieciešams, jo atsevišķu pasākumu piemērošana gandrīz nepalielina visas sistēmas drošību. Apskatīsim piemēru. Mums ir māja. Tajā mēs uzstādījām bruņu durvis, kurās ir ārkārtīgi sarežģītas slēdzenes. Bet tajā pašā laikā mēs atstājām logus atvērtus! Vai mūsu mājas ir aizsargātas? Atbilde ir nē. Lai gan, ja mēs joprojām dzīvojam nevis vienstāvu mājā, bet debesskrāpja 125. stāvā, tad mēs tomēr nedaudz palielināsim drošību. Līdzīgs princips attiecas uz aizsardzību informācijas sistēmās. Atsevišķi pasākumi var ievērojami palielināt drošību vai dot minimālu efektu. Jebkurā gadījumā ir jāpieiet no sarežģītības viedokļa.

Kas ir vēlams darīt?

drošības politika irBieži vien, lai nodrošinātu drošību, viņi izveido pilnvērtīgu integrētu informācijas aizsardzības sistēmu (ISIS), kas ir inženiertehnisko un organizatorisko pasākumu, kā arī programmatūras un aparatūras apvienojums. Kopā tie nodrošina automātisku sistēmu normālu darbību. Drošības politikas pārvaldība ir vēlama, ne tikai balstoties uz datortehnoloģijām, bet arī uz organizācijas darbiniekiem.

Organizatoriski pasākumi

Tā ir ļoti svarīga un bieži vien nepietiekami novērtēta sastāvdaļa. Veicot organizatoriskos pasākumus, izprotiet oficiālas informācijas drošības politikas izstrādi un ieviešanu praksē. Tas ietver:

  1. Darba aprakstu sastādīšana, kas jāievēro lietotājiem un apkalpojošajam personālam.
  2. Atsevišķu sistēmas komponentu administrēšanas noteikumu izstrāde.
  3. Rīcības plāna izveidošana neatļautas piekļuves mēģinājumu identificēšanai.
  4. Noteikumu izstrāde, kas noteiks konfidenciālu informācijas nesēju uzskaiti, glabāšanu, reproducēšanu un iznīcināšanu.
  5. Identifikācijas jautājumu izpēte.
  6. Plāna izstrāde aizsardzības līdzekļu atteices gadījumā un ārkārtējas situācijas rašanās gadījumā.
  7. Apmācu visus lietotājus par noteikumiem un ieteiktu informācijas drošību, kā arī uzraudzītu to ieviešanu.

Problēmas organizatorisko pasākumu ignorēšanā

drošības politikas ieviešanaKas notiks, ja jūs nevadīsit apmācību šajā jomā? Tad cilvēki kļūst par vissarežģītāko aizsardzības sistēmas daļu. Šī aspekta ignorēšanas rezultāts bieži ir pat informācijas sistēmas atjaunošanas neiespējamība kopumā. Un drošības politikas mērķus ne vienmēr varēs sasniegt un ar lielām problēmām. Bet, pat ja ir datu rezerves kopija, atjaunot būs nepieciešams zināms laiks.Turklāt instrukciju izveidošana atvieglos darbu situācijās, kad visu izveidoja viens darbinieks, bet cits atjaunoja vai uzlaboja.

Organizācijas pasākumu vissvarīgākais aspekts

drošības politikas satvarsLietotāji jāapmāca atpazīt uzbrucējus. Sniegsim dažus piemērus, kas jums parādīs, cik viņi ir sarežģīti:

  1. Darbinieks saņem zvanu vai e-pastu no direktora vai cita vecākā menedžera, lūdzot viņu norādīt paroli, kas viņiem dos piekļuvi datu bāzei, lai pārbaudītu sistēmu, modificētu programmatūras komponentu vai veiktu citu ticamu uzdevumu. Rezultātā krāpnieks iegūs iespēju to noņemt vai radīt nozīmīgus traucējumus, kas radīs zaudējumus.
  2. Darbinieks, kā viņš uzskata, apmeklē sava uzņēmuma tīmekļa lapu, bet patiesībā ir viltots. Ievada savus datus. Un tas arī viss - uzbrucējam ir pieeja sistēmai. Turklāt, lai darbinieks nesaprastu, ka viņa tur nav, var veikt pāradresāciju un automātisku pilnvarošanu oficiālajā tīmekļa vietnē.
  3. Darbinieks, kas inficēts ar uzbrucēju, tiek izskalots ar datu nesēju, uz kura programma atvērs piekļuvi datu bāzei, izdzēsīs to vai veiks citas nepatīkamas darbības.

Un tie nav visi iespējamie varianti, bet tikai daži.

Integrētās informācijas drošības sistēmas bāzes sagatavošana

Drošības politikas izstrādei nepieciešama nopietna un iekļaujoša pieeja. Tas tiek darīts posmos. Vispirms jums jāpārbauda informācijas un telekomunikāciju sistēma. Tās arhitektūras, topoloģijas, komponentu, informācijas avotu uzskaites analīze. Visi īpašnieki un lietotāji tiek identificēti un viņiem ir atbilstoša dokumentācija. Atkarībā no svarīguma, dažādi slepenības plēsoņas. Jāatceras, ka drošības politikas pamatā ir savākti un analizēti dati. Jo lielāks informācijas masīvs tiks apstrādāts, jo labāks būs gala rezultāts.

Definēts ar aizsardzību

drošības politikas izstrādeIr nepieciešams izveidot draudu modeli. Tajā datorsistēma tiek prezentēta kā pakalpojumu kopums. Katram no tiem ir savs funkciju komplekts, kas ļauj identificēt daudzus draudus. Starp tiem ir:

  1. Draudi privātumam. Tas ietver visu, kas saistīts ar neatļautu satura lasīšanu;
  2. Draudi integritātei. Viss, kas attiecas uz neatļautām modifikācijām vai ir saistīts ar informācijas iznīcināšanu;
  3. Draudi piekļuvei. Tas ietver informācijas sistēmas ļaunprātīgas izmantošanas iespēju;
  4. Novērošanas draudi. Tas pēta visas iespējas, kas saistītas ar identificēšanu un lietotāju darbību kontroles nodrošināšanu.

Drošības politikas nostādnēs jābūt risinājumiem visiem iespējamiem draudiem. Bet tajā pašā laikā ir jāievēro saprātīga līnija. Tāpēc nav jēgas noteikt tās informācijas konfidencialitāti, kas tiek ievietota organizācijas oficiālajā vietnē un kurai vajadzētu būt pieejamai visiem, kas vēlas šo ideju.

Draudu raksturs

drošības politikas mērķiTo nosaka tas, kas darbojas kā problēmu cēlonis. Ir trīs veidi:

  1. Dabiskais raksturs. Tas ietver dabas katastrofas, ugunsgrēkus un līdzīgas problēmas. Viņi nodara vislielāko fizisko kaitējumu. Pret viņiem ir visgrūtāk aizstāvēt. Bet šādu draudu iespējamība ir viszemākā. Kā aizsardzība tiek izmantots izvietojums dažādās teritorijās un ēkas konstrukcijas īpatnības (sienas sabiezēšana, ugunsizturība utt.).
  2. Tehniskais raksturs. Tas ietver negadījumus, aprīkojuma kļūmes, darbības traucējumus. Tie rada salīdzinoši lielus zaudējumus. Viņi tiek aizsargāti no tiem, izmantojot datu kopēšanas mehānismus.
  3. Cilvēciskais faktors. Ar to ne vienmēr saprot tīšu ļaunu nodomu.Tas var ietvert arī kļūdas sistēmas komponentu projektēšanā, darbībā, izstrādē, lietotāju neparedzētas darbības. No tīri tehniska viedokļa nemācīta tīrīšanas dāma serveru telpā rada ne mazāk draudus iekārtām nekā organizēta un pieredzējusi datoru krekinga grupa.

Drošības politikas mērķi ir novērst šīs problēmas, un, ja tās notika, tad ieviest pasākumu kopumu, kas samazina saņemto kaitējumu.

Draudu modeļa funkcijas

drošības politika ir noteikumu un noteikumu kopumsIzstrādājot to, jāpatur prātā, ka dažāda veida informācijai ir jābūt atšķirīgai drošības sistēmai. Tātad attiecībā uz publiskajiem datiem, kas atrodas vietnē, mēs varam teikt, ka ir jārūpējas par to integritāti un pieejamību. Tā kā visiem vajadzētu tos redzēt, konfidencialitātes problēmu var ignorēt. Tā kā dati, kas cirkulē uzņēmuma iekšienē, ir jāsargā no nesankcionētas piekļuves. Bet pilnīga visa aizsardzība augstākajā līmenī prasa daudz spēka un resursu. Tādēļ tie tiek noteikti ar vissvarīgākajiem datiem, kas nodrošina visaugstāko drošību. Un cita informācija tiek aizsargāta atbilstoši tās vērtībai.

Iebrucēja modelis

Tas ir veidots uz cilvēkiem. Tas identificē visus iespējamos pārkāpēju veidus un sniedz viņiem detalizētu aprakstu. Tātad modeļi tiek radīti attiecībā pret profesionāliem uzlauķiem, nepieredzējušiem algotņiem, parastajiem huligāniem, uzņēmuma darbiniekiem. Vislielākās briesmas šajā gadījumā rada pirmais. Tas ir saistīts ar faktu, ka viņiem ir nepieciešamais zināšanu un tehnisko līdzekļu kopums neatļautas piekļuves veikšanai. Profesionāļus seko uzņēmumu darbinieki, jo viņiem ir pieejama informācija un viņi var arī iepazīties ar drošības sistēmas organizāciju. Tas jau sniedz minimālas iespējas ietekmēt resursus. Tāpēc, ja ir motivācija, darbinieki var nodarīt būtisku kaitējumu (kas kopumā nav nekas neparasts). Un, ja uzbrucēji arī vēršas pie viņiem, tad tas parasti ir skumjš stāsts.

Dokumentācija

drošības politikas pamatā irKad visas iepriekšējās darbības ir pabeigtas, tiek izstrādāti visi nepieciešamie dokumenti, piemēram: “Informācijas drošības politika”, “CSIS izveides darba noteikumi” un citi jautājumi. Pēc tam tiek veikta programmatūras un aparatūras aizsardzības atlase un konfigurēti to raksturlielumi. Galu galā tiek izstrādāta dokumentācija par “CSIS izveides tehnisko projektu”. Kad viss ir gatavs, jau ir iespējams sākt ieviest izvēlētos rīkus, pasākumus un veidus, kā aizsargāt informācijas sistēmu.

Kontrole

drošības politikas vadībaBet tikai ar radīšanu nepietiek. Ir arī jāpārliecinās, ka viss darbojas pareizi, un periodiski jāpārliecinās, ka šis nosacījums saglabājas. Lai to izdarītu, tiek veikta integritātes uzraudzība, prasību noskaidrošana (pārskatīšana) un analizēts informācijas sistēmas stāvoklis. Ja mēs runājam par administratoru, kurš atbild par drošību, tad šeit neattiecas noteikums “labs administrators ir kāds, kurš spēj pastāvīgi gulēt”. Informācijas sistēma ir dinamisks objekts, kurā iekšējie un ārējie apstākļi pastāvīgi mainās. Tāpat organizācijas struktūra nav kaut kas pastāvīgs. Var tikt izveidotas jaunas struktūrvienības vai departamenti, pakalpojumi (piemēram, atbalsts vai datu bāzes), vai arī būs jāpārvietojas no vienas telpas uz otru. Mainās arī informācija, kas cirkulē caur sistēmu. Tāpēc drošības politikā informācijas sistēmās būtu jāņem vērā visi iepriekš minētie aspekti un tie būtu jāņem vērā. Tas nenozīmē, ka drošība ir kaut kas, kas ir nokārtojies. Nē, ņemot vērā nepieciešamību pastāvīgi uzlabot un pielāgoties izaicinājumiem, labāk to būtu saukt par procesu.

Rezultāts

Izmanto, lai noteiktu efektivitāti.Ir īpašas metodes, ar kuru palīdzību jūs varat noteikt šo parametru. Tas ir tikai tas, ka patstāvīgi veikt šādu pārbaudi ir diezgan grūti, jo aizsardzības sistēmas veidotājiem vajadzēja novērst visus redzamos trūkumus. Tāpēc parasti šo uzdevumu parasti uztic trešajām personām. Un viņa, no citas pozīcijas, tuvosies pārbaudei, un ļoti iespējams, ka viņa spēs pamanīt vājo vietu, kuru paši izstrādātāji palaida garām. Faktiski šādi inspektori darbojas kā uzlauzēji, taču viņi jau ir guvuši labumu no visa iespējamā datu izmantošanas skaidras naudas veidā no paša uzņēmuma. Tieši no šādiem brīžiem tiek īstenota drošības politika.

Secinājums

drošības politikas mērķiVarbūt mazajam biznesam nav jēgas attīstīt savu drošības politiku. Bet lieliem uzņēmumiem, kas plāno darboties ļoti ilgu laiku, tā vērtība noteiktos laika periodos var būt ārkārtēja. Ja drošības politika tiek izstrādāta augstā līmenī, tad uzņēmuma pārstāvji nekad nevar pat zināt, no kā tā viņus pasargāja. Un pat tad, ja šķiet, ka tam nav jēgas, šīs pieredzes izmantošana jebkurā darbības jomā ir ārkārtīgi svarīga.


Pievienojiet komentāru
×
×
Vai tiešām vēlaties dzēst komentāru?
Dzēst
×
Sūdzības iemesls

Meitene mēnesi centās netērēt naudu. Eksperiments atstāja viņas jauktās sajūtas

Bizness

Veiksmes stāsti

Iekārtas