Tajuk
...

Dasar keselamatan dalam sistem maklumat

Sekarang setiap orang atau organisasi mempunyai maklumat bahawa tidak ada keinginan untuk menerbitkan, atau sebaliknya, ada rancangan untuk mengucapkan selamat tinggal kepadanya selagi mungkin. Dan untuk ini, dasar keselamatan diperlukan. Ini adalah masa operasi, tugasnya adalah untuk menekan data pengedaran yang tidak terkawal yang tidak diketahui umum. Dia sedang mengusahakan isu-isu kemungkinan kehilangan atau tidak boleh diakses, yang dalam mana-mana akan mempengaruhi kerja. Juga, jika ini masih berlaku, satu set langkah biasanya disediakan untuk meminimumkan kerosakan. Malah, dasar keselamatan adalah satu set peraturan dan peraturan mengenai peralatan dan kakitangan organisasi, yang mana ia juga terpakai. Bagaimanakah keberkesanannya dapat dimaksimumkan?

Kompleks Di Atas Semua

dasar keselamatanIsu perlindungan maklumat harus ditangani sepenuhnya, tetapi pertama sekali, adalah perlu untuk menghalang semua kemungkinan saluran kehilangan data. Ini adalah perlu kerana penggunaan langkah individu hampir tidak meningkatkan keselamatan keseluruhan sistem. Mari lihat contoh. Kami ada rumah. Di dalamnya, kita memasang pintu perisai di mana terdapat kunci yang sangat kompleks. Tetapi pada masa yang sama kami meninggalkan tingkap terbuka! Adakah rumah kami dilindungi? Jawapannya tidak. Walaupun, jika kita masih hidup tidak di rumah satu tingkat, tetapi di tingkat 125 bangunan pencakar langit, maka kita akan sedikit meningkatkan keamanan. Prinsip serupa berlaku untuk perlindungan dalam sistem maklumat. Langkah-langkah berasingan boleh meningkatkan keselamatan, atau membawa kesan minimum. Walau bagaimanapun, adalah perlu untuk mendekati dari sudut pandangan kerumitan.

Apa yang perlu dilakukan?

dasar keselamatan adalahSelalunya, untuk memastikan keselamatan, mereka mewujudkan sistem perlindungan maklumat bersepadu (CSIS) yang lengkap, yang merupakan gabungan kejuruteraan dan langkah organisasi, serta perisian dan perkakasan. Bersama-sama, mereka memastikan operasi normal sistem automatik. Pengurusan dasar keselamatan adalah wajar bukan sahaja bergantung pada teknologi komputer, tetapi juga kepada kakitangan organisasi.

Langkah-langkah organisasi

Ia adalah komponen yang sangat penting dan kerap diremehkan. Di bawah langkah organisasi memahami perkembangan dan pelaksanaan dalam amalan dasar rasmi mengenai keselamatan maklumat. Ini termasuk:

  1. Penyusunan deskripsi pekerjaan yang harus dipatuhi oleh pengguna dan petugas pelayanan.
  2. Pembangunan peraturan pentadbiran bagi komponen sistem individu.
  3. Membuat pelan tindakan untuk mengenal pasti percubaan akses tanpa kebenaran.
  4. Pengembangan peraturan yang akan menetapkan perakaunan, penyimpanan, pembiakan dan pemusnahan media maklumat sulit.
  5. Kajian mengenai isu pengenalan.
  6. Pelan pembangunan sekiranya berlaku kegagalan peralatan pelindung dan terjadinya situasi yang sangat teruk.
  7. Latih semua pengguna dalam peraturan dan mengesyorkan keselamatan maklumat, serta memantau pelaksanaannya.

Masalah dalam mengabaikan langkah-langkah organisasi

pelaksanaan dasar keselamatanApa yang akan berlaku jika anda tidak menjalankan latihan di kawasan ini? Kemudian orang menjadi bahagian paling sukar sistem pertahanan. Hasil daripada mengabaikan aspek ini sering kali tidak mustahil untuk memulihkan sistem maklumat secara umum. Dan matlamat dasar keselamatan tidak akan selalu dicapai dan dengan masalah besar. Tetapi jika terdapat salinan sandaran data, ia akan mengambil sedikit masa untuk mencipta semula.Di samping itu, penciptaan arahan akan menjadikannya lebih mudah untuk berfungsi dalam situasi di mana semuanya dicipta oleh seorang pekerja, dan dipulihkan atau ditapis oleh yang lain.

Aspek yang paling penting dalam langkah-langkah organisasi

kerangka dasar keselamatanPengguna perlu dilatih untuk mengenali penyerang. Mari kita berikan beberapa contoh yang akan menunjukkan kepada anda betapa rumitnya mereka:

  1. Seorang pekerja menerima panggilan atau e-mel dari seorang pengarah atau pengurus kanan lain yang meminta mereka untuk memberikan kata laluan mereka, yang akan memberikan mereka akses kepada pangkalan data untuk menguji sistem, mengubah komponen perisian, atau melakukan tugas lain yang munasabah. Hasilnya akan menjadi penipu mendapatkan kemungkinan penyingkiran atau gangguan besar, yang akan menyebabkan kerugian.
  2. Pekerja melawat halaman web, seperti yang dia percaya, mengenai syarikatnya, tetapi sebenarnya palsu. Memasuki data beliau. Dan itu sahaja - penyerang mempunyai akses kepada sistem. Selain itu, supaya pekerja tidak menyedari bahawa dia tidak berada di sana, pengalihan dan kebenaran automatik di laman web rasmi boleh dijalankan.
  3. Seorang pekerja yang dijangkiti dengan penyerang dipadam dengan media di mana program tersebut akan membuka akses kepada pangkalan data, memadamkannya, atau mengambil tindakan yang tidak menyenangkan yang lain.

Dan ini bukan semua pilihan yang mungkin, tetapi hanya beberapa.

Penyediaan asas sistem keselamatan maklumat bersepadu

Membangunkan dasar keselamatan memerlukan pendekatan yang serius dan inklusif. Ini dilakukan secara berperingkat-peringkat. Pertama, anda perlu menyemak maklumat dan sistem telekomunikasi. Analisis seni bina, topologi, komponen, inventori sumber maklumat. Semua pemilik dan pengguna dikehendaki dikenal pasti dan memiliki dokumentasi yang berkaitan. Bergantung kepada kepentingan, berbeza vultures of rahsia. Perlu diingatkan bahawa dasar keselamatan adalah berdasarkan data yang dikumpulkan dan dianalisis. Semakin banyak maklumat yang akan diproses, semakin baik hasil akhir.

Ditakrifkan dengan perlindungan

pembangunan dasar keselamatanIa perlu membina model ancaman. Di dalamnya, sistem komputer dibentangkan sebagai satu set perkhidmatan. Setiap daripada mereka mempunyai set fungsi sendiri, yang membolehkan anda mengenal pasti banyak ancaman. Antaranya ialah:

  1. Ancaman kepada privasi. Ini termasuk segala-galanya yang berkaitan dengan pembacaan kandungan tanpa kebenaran;
  2. Ancaman kepada integriti. Segala perkara yang berkaitan dengan pengubahsuaian yang tidak dibenarkan atau melibatkan pemusnahan maklumat;
  3. Ancaman untuk kebolehaksesan. Ini termasuk kemungkinan penyalahgunaan sistem maklumat;
  4. Ancaman pemerhatian. Ia meneroka semua kemungkinan masalah dengan pengenalpastian dan memastikan kawalan ke atas tindakan pengguna.

Rangka dasar keselamatan mesti mempunyai penyelesaian untuk setiap ancaman yang mungkin. Tetapi pada masa yang sama adalah perlu untuk mematuhi garis yang munasabah. Oleh itu, tidak masuk akal untuk mengendalikan kerahsiaan maklumat yang dipaparkan di laman web rasmi organisasi dan harus diakses oleh semua orang yang menginginkan idea tersebut.

Sifat ancaman

objektif dasar keselamatanIa ditentukan oleh apa yang bertindak sebagai punca masalah. Terdapat tiga jenis:

  1. Watak semulajadi. Ini termasuk bencana alam, kebakaran dan masalah yang sama. Mereka melakukan kerosakan fizikal yang paling besar. Ia amat sukar untuk mempertahankannya. Tetapi kemungkinan ancaman sedemikian adalah yang paling rendah. Sebagai perlindungan, penempatan pada wilayah yang berlainan dan ciri-ciri struktur bangunan (penebalan dinding, perlindungan kebakaran, dan sebagainya) digunakan.
  2. Watak teknikal. Ini termasuk kemalangan, kegagalan peralatan, kerosakan. Mereka menyebabkan kerosakan yang agak tinggi. Mereka dilindungi daripada mereka menggunakan mekanisme pendigaran data.
  3. Faktor manusia. Oleh itu tidak selalu difahami niat jahat yang disengajakan.Ini juga boleh merangkumi kesilapan dalam reka bentuk, operasi, pembangunan komponen sistem, tindakan yang tidak diingini oleh pengguna. Dari sudut pandangan yang semata-mata teknikal, seorang wanita pembersihan yang tidak terlatih di bilik pelayan menimbulkan ancaman kepada peralatan daripada kumpulan keropok komputer yang teratur dan berpengalaman.

Objektif dasar keselamatan adalah untuk menghalang masalah ini, dan jika ia berlaku, kemudian melaksanakan satu set langkah yang meminimumkan kerosakan yang diterima.

Ciri-ciri Model Ancaman

Dasar keselamatan adalah satu set peraturan dan peraturanApabila membangunkannya, perlu diingatkan bahawa pelbagai jenis maklumat mesti mempunyai sistem keselamatan yang berlainan. Jadi, mengenai data awam yang terdapat di laman web, kita boleh mengatakan bahawa adalah perlu untuk menjaga integriti dan aksesibiliti mereka. Oleh kerana semua orang harus melihatnya, isu privasi boleh diabaikan. Sedangkan data yang beredar di dalam syarikat mesti dilindungi dari akses yang tidak sah. Tetapi perlindungan penuh segala-galanya di peringkat tertinggi memerlukan banyak kekuatan dan sumber. Oleh itu, mereka ditentukan dengan data yang paling penting, yang memastikan keselamatan terbesar. Dan maklumat lain dilindungi mengikut nilainya.

Model Penyusup

Ia dibina di atas orang. Ia mengenal pasti semua jenis pelanggar yang mungkin dan memberikan gambaran terperinci. Jadi, model dicipta berbanding dengan keropok profesional, tentera upahan yang tidak berpengalaman, tukang jahit biasa, pekerja perusahaan. Bahaya paling besar dalam kes ini disediakan oleh bekas. Ini disebabkan fakta bahawa mereka mempunyai set pengetahuan dan teknik yang diperlukan untuk menjalankan akses tanpa izin. Profesional diikuti oleh pekerja perusahaan, kerana mereka mempunyai akses kepada maklumat, dan juga dapat mengenali organisasi sistem keselamatan. Ini sudah menyediakan peluang yang minima untuk mempengaruhi sumber. Oleh itu, jika terdapat motivasi, pekerja boleh menyebabkan kerosakan yang ketara (yang, secara umum, tidak biasa). Dan jika penyerang juga berpaling kepada mereka, maka ini biasanya merupakan cerita yang menyedihkan.

Dokumentasi

dasar keselamatan adalah berdasarkanApabila semua langkah terdahulu selesai, maka semua kertas kerja yang diperlukan akan dibentuk, seperti: "Dasar Keselamatan Maklumat", "Syarat Rujukan untuk Penciptaan CSIS" dan isu-isu lain. Selepas itu, pilihan perlindungan perisian dan perkakasan dijalankan, dan ciri-cirinya dikonfigurasikan. Pada akhirnya, dokumentasi sedang dibangunkan di "Projek Teknikal untuk Penciptaan CSIS". Apabila segala-galanya siap, sudah mungkin untuk mula melaksanakan alat, langkah-langkah dan cara yang dipilih untuk melindungi sistem maklumat.

Kawalan

pengurusan dasar keselamatanTetapi hanya mencipta tidak mencukupi. Ia juga perlu memastikan bahawa semuanya berfungsi dengan betul, dan secara berkala melihat bahawa keadaan ini berterusan. Untuk melakukan ini, pemantauan integriti, penjelasan keperluan (semakan) dilaksanakan dan keadaan sistem maklumat dianalisis. Jika kita bercakap mengenai pentadbir yang bertanggungjawab untuk keselamatan, maka aturan "admin yang baik adalah seseorang yang mempunyai kemampuan untuk terus tidur" tidak berlaku di sini. Sistem maklumat adalah objek dinamik di mana keadaan dalaman dan luaran sentiasa berubah. Begitu juga, struktur organisasi bukan sesuatu yang kekal. Unit atau jabatan struktur baru, perkhidmatan (seperti sokongan atau pangkalan data) boleh diwujudkan, atau akan ada langkah dari satu bilik ke ruang lain. Maklumat yang beredar melalui sistem juga berubah. Oleh itu, dasar keselamatan dalam sistem maklumat perlu mengambil kira semua aspek di atas dan mengambilnya. Ini bukan untuk mengatakan bahawa keselamatan adalah sesuatu yang telah diselesaikan. Tidak, memandangkan keperluan untuk penambahbaikan dan penyesuaian yang berterusan terhadap cabaran, lebih baik memanggilnya satu proses.

Markah

Digunakan untuk menentukan keberkesanan.Terdapat teknik khas yang mana anda boleh menentukan parameter ini. Ia hanya melakukan pemeriksaan semacam itu sendiri agak sukar kerana fakta bahawa semua kelemahan yang kelihatan sepatutnya dihapuskan oleh pencipta sistem perlindungan. Oleh itu, sebagai peraturan, tugas ini sering diamanahkan kepada pihak ketiga. Dan dia, dari kedudukan yang berbeza, akan mendekati ujian itu dan kemungkinan besar dia akan dapat melihat tempat yang lemah yang terlewat oleh pemaju itu sendiri. Malah, pemeriksa seperti bertindak sebagai keropok, tetapi mereka telah mendapat manfaat daripada menggunakan semua data yang mungkin dalam bentuk pembayaran tunai dari syarikat itu sendiri. Ia adalah dari saat-saat sedemikian bahawa pelaksanaan dasar keselamatan dibuat.

Kesimpulannya

matlamat dasar keselamatanMungkin perniagaan kecil tidak masuk akal untuk membangunkan dasar keselamatannya sendiri. Tetapi bagi perusahaan besar yang merancang untuk beroperasi untuk masa yang sangat lama, nilainya pada masa-masa tertentu boleh menjadi luar biasa. Sekiranya dasar keselamatan dibangunkan pada tahap yang tinggi, maka wakil syarikat mungkin tidak tahu apa yang ia melindungi dari mereka. Dan walaupun seolah-olah ia tidak masuk akal, penggunaan pengalaman ini dalam mana-mana bidang aktiviti sangat penting.


Tambah komen
×
×
Adakah anda pasti mahu memadamkan ulasan?
Padam
×
Sebab aduan

Gadis itu cuba untuk tidak membelanjakan wang untuk sebulan. Eksperimen itu membiarkan perasaan bercampur-campurnya

Perniagaan

Cerita kejayaan

Peralatan