kategorier
...

Sikkerhetspolitikk for informasjonssystemer

Nå har hver person eller organisasjon informasjon om at det ikke er noe ønske om å publisere, eller omvendt er det planer om å ta farvel med det så dyrt som mulig. Og for dette er en sikkerhetspolitikk nødvendig. Dette er en slik driftstid, hvis oppgave er å undertrykke den ukontrollerte distribusjonen av data som ikke burde være kjent for allmennheten. Hun jobber med spørsmål om mulig tap eller manglende tilgang, som i alle fall vil påvirke arbeidet. Hvis dette fortsatt skjedde, tilbys vanligvis et sett med tiltak for å minimere skaden. En sikkerhetspolitikk er faktisk et sett med regler og forskrifter om utstyr og personell i en organisasjon, som den også gjelder. Hvordan skal effektiviteten maksimeres?

Kompleksitet fremfor alt

sikkerhetspolitikkSpørsmålet om informasjonsbeskyttelse bør behandles fullt ut, men først og fremst er det nødvendig å sperre alle mulige kanaler for datatap. Dette er nødvendig fordi anvendelse av individuelle tiltak nesten ikke øker sikkerheten i hele systemet. La oss se på et eksempel. Vi har et hus. I den installerte vi en pansret dør der det er ekstremt komplekse låser. Men samtidig la vi vinduene åpne! Er hjemmet vårt beskyttet? Svaret er nei. Selv om vi fremdeles ikke bor i et enetasjes hus, men i 125. etasje i en skyskraper, vil vi likevel øke sikkerheten litt. Et lignende prinsipp gjelder beskyttelse i informasjonssystemer. Separate tiltak kan øke sikkerheten betydelig, eller gi minimal effekt. Uansett er det nødvendig å nærme seg fra synspunktet av kompleksitet.

Hva er ønskelig å gjøre?

sikkerhetspolitikk erOfte, for å sikre sikkerhet, oppretter de et fullverdig integrert informasjonsbeskyttelsessystem (ISIS), som er en kombinasjon av tekniske og organisatoriske tiltak, samt programvare og maskinvare. Sammen sikrer de normal drift av automatiserte systemer. Sikkerhetspolitisk styring er ønskelig ikke bare avhengig av datateknologi, men også på organisasjonens ansatte.

Organisatoriske tiltak

Det er en veldig viktig og ofte undervurdert komponent. Under organisatoriske tiltak forstå utviklingen og implementeringen i praksis av en offisiell policy angående informasjonssikkerhet. Dette inkluderer:

  1. Utarbeidelse av stillingsbeskrivelser som brukere og servicepersonell må følge.
  2. Utvikling av administrasjonsregler for individuelle systemkomponenter.
  3. Oppretting av en handlingsplan for å identifisere uautoriserte tilgangsforsøk.
  4. Utvikling av regler som vil bestemme regnskap, lagring, reproduksjon og ødeleggelse av konfidensielle informasjonsmedier.
  5. Studien av identifikasjonsproblemer.
  6. Utvikling av en plan i tilfelle svikt i verneutstyr og forekomst av en ekstrem situasjon.
  7. Opplæring av alle brukere i reglene og anbefaling av informasjonssikkerhet, samt overvåking av implementeringen.

Problemer med å ignorere organisatoriske tiltak

implementering av sikkerhetspolitikkHva vil skje hvis du ikke trener på dette området? Da blir folk den vanskeligste delen av forsvarssystemet. Resultatet av å ignorere dette aspektet er ofte til og med umuligheten av å gjenopprette informasjonssystemet generelt. Og sikkerhetspolitikkens mål vil ikke alltid oppnås og med store problemer. Men selv om det finnes en sikkerhetskopi av dataene, vil det ta litt tid å gjenskape.I tillegg vil opprettelsen av instruksjoner gjøre det lettere å jobbe i situasjoner der alt ble opprettet av en ansatt, og restaurert eller foredlet av en annen.

Det viktigste aspektet ved organisatoriske tiltak

sikkerhetspolitiske rammerBrukere skal få opplæring i å gjenkjenne angripere. La oss gi noen eksempler som viser deg hvor vanskelige de er:

  1. En ansatt mottar en samtale eller e-post fra en direktør eller annen toppleder som ber dem om å oppgi passordet sitt, noe som vil gi dem tilgang til databasen for å teste systemet, endre programvarekomponenten eller utføre en annen plausibel oppgave. Resultatet vil være en svindler som får muligheten for fjerning eller betydelig forvrengning, noe som vil medføre tap.
  2. Den ansatte besøker websiden, som han tror, ​​i selskapet sitt, men er faktisk falsk. Oppgir dataene hans. Og det er alt - en angriper har tilgang til systemet. Dessuten, slik at den ansatte ikke innser at han ikke er der, kan omdirigering og automatisk autorisasjon på den offisielle hjemmesiden gjennomføres.
  3. En ansatt som er smittet av en angriper blir spylt med medier som programmet vil åpne tilgang til databasen på, slette den eller ta noen andre ubehagelige handlinger.

Og dette er ikke alle mulige alternativer, men bare noen.

Utarbeidelse av grunnlaget for et integrert informasjonssikkerhetssystem

Å utvikle en sikkerhetspolitikk krever en seriøs og inkluderende tilnærming. Dette gjøres i trinn. Først må du undersøke informasjons- og telekommunikasjonssystemet. Analysen av dens arkitektur, topologi, komponenter, en oversikt over informasjonsressurser. Alle eiere og brukere er pålagt å bli identifisert og ha relevant dokumentasjon. Avhengig av viktigheten, annerledes gribber av hemmelighold. Det må huskes at sikkerhetspolitikken er basert på innsamlede og analyserte data. Jo større utvalg av informasjon blir behandlet, jo bedre blir det endelige resultatet.

Definert med beskyttelse

sikkerhetspolitisk utviklingDet er nødvendig å bygge en trusselmodell. I det blir et datasystem presentert som et sett med tjenester. Hver av dem har sitt eget sett med funksjoner, som lar deg identifisere mange trusler. Blant dem er:

  1. Trusler mot personvern. Dette inkluderer alt relatert til uautorisert lesing av innholdet;
  2. Trusler mot integritet. Alt som knytter seg til uautorisert modifisering eller innebærer ødeleggelse av informasjon;
  3. Trusler mot tilgjengelighet. Dette inkluderer muligheten for misbruk av informasjonssystemet;
  4. Trusler om observasjon. Den utforsker alle mulighetene for problemer med identifisering og sikrer kontroll over brukerhandlinger.

Sikkerhetspolitiske rammer må ha løsninger for enhver mulig trussel. Men samtidig er det nødvendig å holde seg til en fornuftig linje. Så det gir ingen mening å utarbeide konfidensialiteten til informasjon som er lagt ut på organisasjonens offisielle nettsted og bør være tilgjengelig for alle som ønsker ideen.

Truslenes natur

sikkerhetspolitiske målDet bestemmes av hva som fungerer som årsaken til problemene. Det er tre typer:

  1. Naturlig karakter. Dette inkluderer naturkatastrofer, branner og lignende problemer. De gjør størst fysisk skade. Det er vanskeligst å forsvare seg mot dem. Men sannsynligheten for en slik trussel er den laveste. Som beskyttelse brukes plassering på forskjellige territorier og strukturelle funksjoner i bygningen (tykning av veggen, brannsikring og så videre).
  2. Teknisk karakter. Dette inkluderer ulykker, utstyrssvikt, funksjonsfeil. De forårsaker relativt høye skader. De er beskyttet mot dem ved å bruke datadupliseringsmekanismer.
  3. Den menneskelige faktoren. Av det forstås ikke alltid forsettlig ond hensikt.Dette kan også omfatte feil i design, drift, utvikling av systemkomponenter, utilsiktede handlinger fra brukere. Fra et rent teknisk synspunkt utgjør en utrent rengjøringsdame i serverrommet ikke mindre en trussel mot utstyret enn en organisert og erfaren gruppe dataknekker.

Målet med sikkerhetspolitikken er å forhindre disse problemene, og hvis de skjedde, så gjennomføre et sett med tiltak som minimerer mottatt skade.

Trusselmodelfunksjoner

sikkerhetspolitikk er et sett med regler og forskrifterNår du utvikler den, må det huskes at forskjellige typer informasjon må ha et annet sikkerhetssystem. Når det gjelder de offentlige dataene som finnes på nettstedet, kan vi si at det er nødvendig å ta vare på deres integritet og tilgjengelighet. Siden alle skal se dem, kan personvernproblemet ignoreres. Mens dataene som sirkulerer i selskapet, må beskyttes mot uautorisert tilgang. Men full beskyttelse av alt på høyeste nivå krever mye styrke og ressurser. Derfor er de bestemt med de viktigste dataene, som sikrer størst sikkerhet. Og annen informasjon er beskyttet i samsvar med verdien.

Inntrengermodell

Den er bygd på mennesker. Den identifiserer alle mulige typer krenkere og gir dem en detaljert beskrivelse. Så, modeller blir laget i forhold til profesjonelle kjeksere, uerfarne leiesoldater, vanlige hooligans, ansatte i bedriften. Den største faren i dette tilfellet er gitt av førstnevnte. Dette skyldes det faktum at de har det nødvendige settet med kunnskap og tekniske midler for å utføre uautorisert tilgang. Fagfolk følges av ansatte i virksomheter, siden de har tilgang til informasjon, og kan også bli kjent med organiseringen av sikkerhetssystemet. Dette gir allerede minimale muligheter til å påvirke ressursene. Derfor, hvis det er motivasjon, kan ansatte forårsake betydelig skade (som generelt ikke er uvanlig). Og hvis angriperne også henvender seg til dem, så er dette generelt en trist historie.

Dokumentasjonen

sikkerhetspolitikk er basert påNår alle de foregående trinnene er fullført, blir alle nødvendige papirer utarbeidet, for eksempel: "Informasjonssikkerhetspolitikk", "Referansevilkår for oppretting av en CSIS" og andre problemer. Etter det utføres et utvalg av programvare- og maskinvarebeskyttelse, og deres egenskaper er konfigurert. Til syvende og sist utvikles dokumentasjon om “Teknisk prosjekt for opprettelse av en CSIS”. Når alt er klart, er det allerede mulig å begynne å implementere valgte verktøy, tiltak og måter å beskytte informasjonssystemet på.

kontroll

sikkerhetspolitisk styringMen bare å skape er ikke nok. Det er også nødvendig å sørge for at alt fungerer som det skal, og med jevne mellomrom se at denne tilstanden vedvarer. For å gjøre dette gjennomføres integritetsovervåking, klargjøring av krav (revisjon) og informasjonssystemets tilstand analyseres. Hvis vi snakker om administratoren som er ansvarlig for sikkerhet, gjelder ikke regelen "en god administrator noen som har evnen til å sove kontinuerlig" her. Informasjonssystemet er et dynamisk objekt der interne og eksterne forhold stadig endres. På samme måte er strukturen i en organisasjon ikke noe permanent. Nye strukturelle enheter eller avdelinger, tjenester (for eksempel støtte eller databaser) kan opprettes, eller det vil være en overgang fra et rom til et annet. Informasjonen som sirkulerer gjennom systemet endres også. Derfor bør sikkerhetspolitikken i informasjonssystemer ta hensyn til alle de ovennevnte aspektene og ta dem i betraktning. Dette er ikke å si at sikkerhet er noe som har lagt seg. Nei, gitt behovet for kontinuerlig forbedring og tilpasning til utfordringer, ville det være bedre å kalle det en prosess.

Evaluering av resultater

Brukes for å bestemme effektiviteten.Det er spesielle teknikker du kan bestemme denne parameteren med. Det er bare det å utføre en slik sjekk på egen hånd er ganske vanskelig på grunn av det faktum at alle synlige feil burde vært eliminert av skaperne av beskyttelsessystemet. Derfor er denne oppgaven som regel overlatt til en tredjepart. Og hun, fra en annen posisjon, vil nærme seg testen, og det er veldig sannsynlig at hun vil kunne merke et svakt sted som ble savnet av utviklerne selv. Slike inspektører fungerer faktisk som kjeks, men de har allerede hatt godt av å bruke alle mulige data i form av kontantbetalinger fra selskapet selv. Det er fra slike øyeblikk at implementeringen av sikkerhetspolitikken gjøres.

konklusjon

sikkerhetspolitiske målKanskje ikke små bedrifter gir mening å utvikle sin egen sikkerhetspolitikk. Men for store bedrifter som planlegger å operere i veldig lang tid, kan verdien på bestemte tidspunkter være ekstraordinær. Hvis det utvikles en sikkerhetspolitikk på et høyt nivå, kan selskapets representanter aldri engang vite hva den beskyttet dem mot. Og selv om det virker som det ikke gir mening, er bruken av denne opplevelsen i et hvilket som helst aktivitetsområde ekstremt viktig.


Legg til en kommentar
×
×
Er du sikker på at du vil slette kommentaren?
Slett
×
Årsaken til klage

Jenta prøvde å ikke bruke penger på en måned. Eksperimentet etterlot seg blandede følelser

Forretnings

Suksesshistorier

utstyr