Pašlaik informācijas drošības riski rada daudzus draudus daudzu uzņēmumu un iestāžu normālai darbībai. Informācijas tehnoloģiju laikmetā jebkādu datu iegūšana praktiski nav grūta. No vienas puses, tas, protams, rada daudz pozitīvu aspektu, bet tas kļūst par problēmu daudzu uzņēmumu sejai un zīmolam.
Informācijas aizsardzība uzņēmumos tagad ir kļuvusi gandrīz par prioritāti. Eksperti uzskata, ka tikai izstrādājot noteiktu apzinātu darbību secību, šo mērķi var sasniegt. Šajā gadījumā ir iespējams vadīties tikai no ticamiem faktiem un izmantot uzlabotas analītiskās metodes. Zināmu ieguldījumu dod intuīcijas attīstība un speciālista, kas atbildīgs par šo vienību uzņēmumā, pieredze.
Šis materiāls stāstīs par ekonomiskās vienības informācijas drošības riska pārvaldību.
Kāda veida iespējamie draudi pastāv informācijas vidē?
Var būt daudz veidu draudu. Uzņēmuma informācijas drošības risku analīze sākas ar visu iespējamo potenciālo draudu izskatīšanu. Tas ir nepieciešams, lai noteiktu verifikācijas metodes šo neparedzēto situāciju gadījumā, kā arī lai izveidotu atbilstošu aizsardzības sistēmu. Informācijas drošības riski tiek iedalīti noteiktās kategorijās atkarībā no dažādām klasifikācijas pazīmēm. Tie ir šādu veidu:
- fiziski avoti;
- datoru tīkla un globālā tīmekļa neatbilstoša izmantošana;
- aizzīmogota noplūde;
- noplūde ar tehniskiem līdzekļiem;
- nesankcionēta ielaušanās;
- uzbrukums informācijas aktīviem;
- datu modifikācijas integritātes pārkāpums;
- ārkārtas situācijas;
- likumīgi pārkāpumi.
Kas ir iekļauts jēdzienā "fiziski draudi informācijas drošībai"?
Informācijas drošības risku veidi tiek noteikti atkarībā no to rašanās avotiem, nelegālās ielaušanās ieviešanas metodes un mērķa. Tehniski visvienkāršākie, taču joprojām nepieciešami profesionāli rādītāji, ir fiziski draudi. Tie veido neatļautu piekļuvi slēgtiem avotiem. Tas ir, šis process faktiski ir parasta zādzība. Informāciju var iegūt personīgi, ar savām rokām, vienkārši iebrūkot iestādē, birojos, arhīvos, lai piekļūtu tehniskajam aprīkojumam, dokumentācijai un citiem datu nesējiem.
Zādzība, iespējams, neatrodas pat pašos datos, bet gan to glabāšanas vietā, tas ir, tieši pašā datortehnikā. Lai izjauktu parastās organizācijas darbības, uzbrucēji var vienkārši nodrošināt darbības traucējumus datu nesējā vai tehniskajā aprīkojumā.
Fiziskas ielaušanās mērķis var būt arī piekļuves nodrošināšana sistēmai, no kuras ir atkarīga informācijas drošība. Uzbrucējs varēja mainīt par informācijas drošību atbildīga tīkla iespējas, lai vēl vairāk atvieglotu nelegālu metožu ieviešanu.
Fizisku draudu iespējamību var nodrošināt arī dažādu grupu dalībnieki, kuriem ir pieeja klasificētai informācijai, kurai nav publicitātes. Viņu mērķis ir vērtīga dokumentācija.Šādas personas sauc par iekšējām personām.
Ārējo uzbrucēju aktivitātes var būt vērstas uz to pašu objektu.
Kā uzņēmuma darbinieki paši var radīt draudus?
Informācijas drošības riski bieži rodas interneta un iekšējās datorsistēmas darbinieku nepareizas izmantošanas dēļ. Uzbrucēji skaisti spēlē par dažu cilvēku nepieredzēšanu, neuzmanību un izglītības trūkumu attiecībā uz informācijas drošību. Lai izslēgtu šo iespēju nozagt konfidenciālus datus, daudzu organizāciju vadībai ir īpaša politika darbinieku starpā. Tās mērķis ir izglītot cilvēkus par uzvedības noteikumiem un tīklu izmantošanu. Tā ir diezgan izplatīta prakse, jo šādi draudi ir diezgan izplatīti. Programmā iekļauti šādi punkti informācijas drošības prasmju apgūšanai:
- revīzijas instrumentu neefektīvās izmantošanas pārvarēšana;
- samazinot pakāpi, kādā cilvēki izmanto īpašus rīkus datu apstrādei;
- samazināta resursu un aktīvu izmantošana;
- pieraduši piekļūt tīkla iekārtām tikai ar noteiktām metodēm;
- ietekmes zonu piešķiršana un atbildības teritorijas noteikšana
Kad katrs darbinieks saprot, ka iestādes liktenis ir atkarīgs no viņam uzticēto uzdevumu atbildīgas izpildes, viņš cenšas ievērot visus noteikumus. Pirms cilvēkiem ir jāizvirza konkrēti uzdevumi un jāpamato iegūtie rezultāti.
Kā tiek pārkāpti privātuma noteikumi?
Informācijas drošības riski un draudi lielākoties ir saistīti ar tādas informācijas nelikumīgu saņemšanu, kurai nevajadzētu piekļūt nepiederošām personām. Pirmais un visizplatītākais noplūdes kanāls ir visa veida saziņas metodes. Laikā, kad, šķiet, personiskā sarakste ir pieejama tikai divām pusēm, ieinteresētās puses to pārtver. Kaut arī inteliģenti cilvēki saprot, ka kaut kā ārkārtīgi svarīga un slepena pārsūtīšana ir nepieciešama citos veidos.
Tā kā tagad daudz informācijas tiek glabāta portatīvajos datu nesējos, uzbrucēji aktīvi apgūst informācijas pārtveršanu, izmantojot šāda veida tehnoloģijas. Sakaru kanālu klausīšanās ir ļoti populāra, tikai tagad visi tehnisko ģēniju centieni ir vērsti uz viedtālruņu aizsargbarjeru nojaukšanu.
Organizācijas darbinieki var netīšām atklāt konfidenciālu informāciju. Viņi nevar tieši nodot visas “parādīšanās un paroles”, bet tikai novest uzbrucēju uz pareizā ceļa. Piemēram, cilvēki, to nezinot, sniedz informāciju par svarīgas dokumentācijas glabāšanas vietu.
Tikai pakļautie ne vienmēr ir neaizsargāti. Darbuzņēmēji partnerības laikā var sniegt arī konfidenciālu informāciju.
Kā ar tehniskiem ietekmes līdzekļiem tiek pārkāpta informācijas drošība?
Informācijas drošības garantēšana lielā mērā ir saistīta ar uzticamu tehnisko aizsardzības līdzekļu izmantošanu. Ja atbalsta sistēma ir efektīva un efektīva pat pašā aprīkojumā, tad tas jau ir puse no panākumiem.
Parasti informācijas noplūdi nodrošina, kontrolējot dažādus signālus. Šādas metodes ietver specializētu radio emisijas vai signālu avotu izveidi. Pēdējie var būt elektriski, akustiski vai vibrējoši.
Diezgan bieži tiek izmantotas optiskās ierīces, kas ļauj nolasīt informāciju no displejiem un monitoriem.
Ierīču daudzveidība nodrošina plašu metožu klāstu, lai uzbrucēji ieviestu un iegūtu informāciju. Papildus iepriekšminētajām metodēm ir arī televīzijas, fotogrāfiskā un vizuālā iepazīšanās.
Šādu plašu iespēju dēļ informācijas drošības audits galvenokārt ietver konfidenciālu datu aizsardzībai paredzētu tehnisko līdzekļu darbības pārbaudi un analīzi.
Kas tiek uzskatīts par nesankcionētu piekļuvi uzņēmuma informācijai?
Informācijas drošības riska pārvaldība nav iespējama, nenovēršot neatļautas piekļuves draudus.
Viens no redzamākajiem šīs metodes uzlaušanas gadījumiem kāda cita drošības sistēmā ir lietotāja ID piešķiršana. Šo metodi sauc par "Maskerade". Neatļauta pieeja šajā gadījumā nozīmē autentifikācijas datu izmantošanu. Tas ir, iebrucēja mērķis ir iegūt paroli vai jebkuru citu identifikatoru.
Uzbrucējiem var būt ietekme no paša objekta vai no ārpuses. Viņi var iegūt nepieciešamo informāciju no avotiem, piemēram, no audita takas vai audita instrumentiem.
Bieži vien uzbrucējs mēģina piemērot ieviešanas politiku un no pirmā acu uzmetiena izmanto pilnīgi likumīgas metodes.
Neatļauta pieeja attiecas uz šādiem informācijas avotiem:
- Vietne un ārējie mitinātāji
- uzņēmuma bezvadu tīkls;
- datu rezerves kopijas.
Pastāv neskaitāmi nesankcionētas piekļuves veidi un metodes. Uzbrucēji meklē nepareizus aprēķinus un nepilnības programmatūras konfigurācijā un arhitektūrā. Viņi saņem datus, mainot programmatūru. Lai neitralizētu un samazinātu modrību, iebrucēji palaiž ļaunprātīgu programmatūru un loģiskās bumbas.
Kādi ir juridiskie draudi uzņēmuma informācijas drošībai?
Informācijas drošības risku vadība darbojas dažādos virzienos, jo tās galvenais mērķis ir nodrošināt visaptverošu un holistisku uzņēmuma aizsardzību no ārējas ielaušanās.
Ne mazāk svarīga kā tehniskā joma ir likumīga. Tādējādi, izrādās, ka tieši pretēji vajadzētu aizstāvēt intereses, izrādās, ka tiek iegūta ļoti noderīga informācija.
Juridiski pārkāpumi var attiekties uz īpašuma tiesībām, autortiesībām un patentu tiesībām. Šajā kategorijā ietilpst arī nelegāla programmatūras izmantošana, ieskaitot importu un eksportu. Pārkāpt juridiskās prasības ir iespējams tikai neievērojot līguma noteikumus vai likumdošanas sistēmu kopumā.
Kā noteikt informācijas drošības mērķus?
Informācijas drošības nodrošināšana sākas ar aizsardzības zonas izveidošanu. Ir skaidri jādefinē, kas un no kā jāaizsargā. Tam tiek noteikts potenciālā noziedznieka portrets, kā arī iespējamās uzlaušanas un ieviešanas metodes. Lai izvirzītu mērķus, vispirms ir jārunā ar vadību. Tas pastāstīs par prioritārajām aizsardzības jomām.
No šī brīža sākas informācijas drošības audits. Tas ļauj jums noteikt, kādā proporcijā ir nepieciešams izmantot tehnoloģiskās un biznesa metodes. Šī procesa rezultāts ir galīgais darbību saraksts, kas apvieno vienības mērķus nodrošināt aizsardzību pret nesankcionētu ielaušanos. Revīzijas procedūras mērķis ir identificēt kritiskos punktus un trūkumus sistēmā, kas traucē normālu uzņēmuma darbību un attīstību.
Pēc mērķu izvirzīšanas tiek izstrādāts mehānisms to īstenošanai. Instrumenti tiek veidoti, lai kontrolētu un samazinātu risku.
Kāda loma aktīviem ir riska analīzē?
Organizācijas informācijas drošības riski tieši ietekmē uzņēmuma aktīvus. Galu galā uzbrucēju mērķis ir iegūt vērtīgu informāciju. Tā zaudēšana vai izpaušana neizbēgami radīs zaudējumus. Bojājumiem, ko izraisījusi neatļauta ielaušanās, var būt tieša vai tikai netieša ietekme.Tas ir, nelikumīgas darbības attiecībā uz organizāciju var izraisīt pilnīgu kontroles zaudēšanu pār biznesu.
Bojājuma summa tiek aprēķināta atbilstoši organizācijai pieejamajiem aktīviem. Tiek ietekmēti visi resursi, kas jebkādā veidā veicina vadības mērķu sasniegšanu. Zem uzņēmuma aktīviem attiecas uz visiem materiālajiem un nemateriālajiem aktīviem, kas dod ienākumus un palīdz tos gūt.
Aktīvi ir vairāku veidu:
- materiāls;
- cilvēku
- informatīvs;
- finanšu;
- procesi
- zīmols un autoritāte.
Pēdējais no aktīvu veidiem visvairāk cieš no neatļautas ielaušanās. Tas ir saistīts ar faktu, ka visi reālie informācijas drošības riski ietekmē attēlu. Problēmas šajā jomā automātiski samazina cieņu un uzticēšanos šādam uzņēmumam, jo neviens nevēlas, lai tā konfidenciālā informācija tiktu publiskota. Katra sevi cienoša organizācija rūpējas par savu informācijas resursu aizsardzību.
Dažādi faktori ietekmē to, cik daudz un kādi aktīvi cietīs. Tie ir sadalīti ārējā un iekšējā. To sarežģītā ietekme, kā likums, vienlaicīgi attiecas uz vairākām vērtīgu resursu grupām.
Visa uzņēmuma darbība ir balstīta uz aktīviem. Viņi zināmā mērā ir iesaistīti jebkuras iestādes darbībā. Tikai dažiem dažas grupas ir svarīgākas, citām mazāk. Atkarībā no tā, kāda veida aktīvus uzbrucējiem izdevās ietekmēt, ir atkarīgs rezultāts, t.i., nodarītais kaitējums.
Informācijas drošības risku novērtēšana ļauj skaidri noteikt galvenos aktīvus, un, ja tie tika ietekmēti, tas uzņēmumam rada neatgriezeniskus zaudējumus. Šīm vērtīgo resursu grupām uzmanība jāpievērš pašai vadībai, jo to drošība ir īpašnieku interešu sfērā.
Informācijas drošības vienības prioritārā joma ir papildu aktīvi. Par viņu aizsardzību ir atbildīga īpaša persona. Riski pret tiem nav kritiski un ietekmē tikai pārvaldības sistēmu.
Kādi ir informācijas drošības faktori?
Informācijas drošības risku aprēķināšana ietver specializēta modeļa izveidi. Tas apzīmē mezglus, kas ir savstarpēji savienoti ar funkcionāliem savienojumiem. Mezgli - tie ir paši aktīvi. Modelis izmanto šādus vērtīgus resursus:
- cilvēki
- stratēģija;
- tehnoloģija;
- procesi.
Tās saistošās ribas ir vieni un tie paši riska faktori. Lai identificētu iespējamos draudus, vislabāk ir sazināties ar departamentu vai speciālistu, kurš tieši strādā ar šiem aktīviem. Jebkurš potenciālais riska faktors var būt problēmas veidošanās priekšnoteikums. Modelis identificē galvenos iespējamos draudus.
Personāla problēma ir zems izglītības līmenis, personāla trūkums, motivācijas trūkums.
Procesa riski ietver vides mainīgumu, sliktu ražošanas automatizāciju un izplūdušo pienākumu nodalīšanu.
Tehnoloģijas var ciest no novecojušas programmatūras, kontroles trūkuma pār lietotājiem. Cēlonis var būt arī problēmas ar neviendabīgu informācijas tehnoloģiju ainavu.
Šī modeļa priekšrocība ir tāda, ka informācijas drošības risku sliekšņa vērtības nav skaidri noteiktas, jo problēma tiek aplūkota no dažādiem aspektiem.
Kas ir informācijas drošības audits?
Svarīga procedūra uzņēmuma informācijas drošības jomā ir audits. Tā ir aizsardzības pret neatļautu iebrukumu pašreizējā stāvokļa pārbaude. Revīzijas process nosaka atbilstību noteiktajām prasībām.Tā ieviešana ir obligāta dažu veidu iestādēm, pārējiem tas ir konsultatīvs. Pārbaude tiek veikta saistībā ar grāmatvedības un nodokļu departamentu dokumentāciju, tehniskajiem līdzekļiem un finanšu un saimniecisko daļu.
Revīzija ir nepieciešama, lai izprastu drošības līmeni un optimizācijas neatbilstību normālajam. Šī procedūra ļauj arī novērtēt finanšu ieguldījumu piemērotību informācijas drošībai. Galu galā eksperts sniegs ieteikumus par finanšu izdevumu likmi, lai panāktu maksimālu efektivitāti. Revīzija ļauj pielāgot vadīklas.
Informācijas drošības pārbaude ir sadalīta vairākos posmos:
- Mērķu izvirzīšana un to sasniegšanas veidi.
- Informācijas, kas nepieciešama sprieduma pieņemšanai, analīze.
- Apkopoto datu apstrāde.
- Eksperta atzinums un ieteikumi.
Galu galā speciālists izdos savu lēmumu. Komisijas ieteikumi visbiežāk ir vērsti uz aparatūras, kā arī serveru konfigurācijas mainīšanu. Bieži vien problemātiskam uzņēmumam tiek piedāvāts izvēlēties citu drošības nodrošināšanas metodi. Iespējams, ka papildu pastiprināšanai eksperti iecels aizsardzības pasākumu kopumu.
Darbs pēc revīzijas rezultātu iegūšanas ir paredzēts komandas informēšanai par problēmām. Ja nepieciešams, ir vērts veikt papildu apmācību, lai paaugstinātu darbinieku izglītību par uzņēmuma informācijas resursu aizsardzību.