Cabeçalhos
...

Política de segurança em sistemas de informação

Agora, cada pessoa ou organização tem informações que não há desejo de publicar ou, inversamente, há planos para dizer adeus a ela o mais caro possível. E para isso, é necessária uma política de segurança. Este é um tempo de operação tão grande, cuja tarefa é suprimir a distribuição descontrolada de dados que não devem ser conhecidos pelo público em geral. Ela está trabalhando em questões de possível perda ou não acesso, que em qualquer caso afetará o trabalho. Além disso, se isso ainda acontecesse, um conjunto de medidas geralmente é fornecido para minimizar os danos. Na verdade, uma política de segurança é um conjunto de regras e regulamentos relativos ao equipamento e ao pessoal de uma organização, ao qual também se aplica. Como deve ser maximizada sua eficácia?

Complexidade acima de tudo

política de segurançaA questão da proteção da informação deve ser totalmente abordada, mas, em primeiro lugar, é necessário bloquear todos os possíveis canais de perda de dados. Isso é necessário porque a aplicação de medidas individuais quase não aumenta a segurança de todo o sistema. Vamos ver um exemplo. Nós temos uma casa. Nele, instalamos uma porta blindada na qual existem fechaduras extremamente complexas. Mas ao mesmo tempo deixamos as janelas abertas! Nossa casa está protegida? A resposta é não. Embora, se ainda não vivemos em uma casa de um andar, mas no 125º andar de um arranha-céu, ainda assim aumentaremos ligeiramente a segurança. Um princípio semelhante aplica-se à proteção nos sistemas de informação. Medidas separadas podem aumentar significativamente a segurança ou trazer um efeito mínimo. Em qualquer caso, é necessário abordar do ponto de vista da complexidade.

O que é desejável fazer?

política de segurança éMuitas vezes, a fim de garantir a segurança, eles criam um sistema de proteção de informações integrado (ISIS) completo, que é uma combinação de medidas organizacionais e de engenharia, bem como software e hardware. Juntos, eles garantem o funcionamento normal de sistemas automatizados. O gerenciamento da política de segurança é desejável não apenas confiando na tecnologia do computador, mas também na equipe da organização.

Medidas organizacionais

É um componente muito importante e muitas vezes subestimado. Sob medidas organizacionais entende-se o desenvolvimento e implementação na prática de uma política oficial de segurança da informação. Isso inclui:

  1. Elaboração de descrições de trabalho que os usuários e o pessoal de serviço devem aderir.
  2. Desenvolvimento de regras de administração para componentes individuais do sistema.
  3. Criação de um plano de ação para identificar tentativas de acesso não autorizado.
  4. Desenvolvimento de regras que estipulem a contabilidade, armazenamento, reprodução e destruição de meios de informação confidenciais.
  5. O estudo de questões de identificação.
  6. Desenvolvimento de um plano em caso de falha do equipamento de proteção e a ocorrência de uma situação extremamente.
  7. Treinar todos os usuários nas regras e recomendar a segurança das informações, bem como monitorar sua implementação.

Problemas em ignorar medidas organizacionais

implementação de política de segurançaO que acontecerá se você não realizar treinamento nesta área? Então as pessoas se tornam a parte mais difícil do sistema de defesa. O resultado de ignorar este aspecto é muitas vezes a impossibilidade de restaurar o sistema de informação em geral. E os objetivos da política de segurança nem sempre serão alcançados e com grandes problemas. Mas, mesmo se houver uma cópia de backup dos dados, levará algum tempo para recriar.Além disso, a criação de instruções facilitará o trabalho em situações em que tudo foi criado por um funcionário e restaurado ou refinado por outro.

O aspecto mais importante das medidas organizacionais

estrutura de política de segurançaOs usuários devem ser treinados para reconhecer invasores. Vamos dar alguns exemplos que demonstrarão a você como eles são complicados:

  1. Um funcionário recebe uma ligação ou e-mail de um diretor ou outro gerente sênior solicitando que forneça sua senha, o que lhes dará acesso ao banco de dados para testar o sistema, modificar o componente de software ou realizar outra tarefa plausível. O resultado será o recebimento pelo fraudador da possibilidade de sua remoção ou distorção significativa, o que implicará em perdas.
  2. O funcionário visita a página da Web, como ele acredita, de sua empresa, mas na verdade é falso. Entra seus dados. E isso é tudo - um invasor tem acesso ao sistema. Além disso, para que o funcionário não perceba que ele não está lá, redirecionamento e autorização automática no site oficial podem ser realizados.
  3. Um funcionário infectado com um invasor é liberado pela mídia na qual o programa abrirá o acesso ao banco de dados, o excluirá ou executará outras ações desagradáveis.

E estas não são todas as opções possíveis, mas apenas algumas.

Preparação da base de um sistema integrado de segurança da informação

O desenvolvimento de uma política de segurança requer uma abordagem séria e inclusiva. Isso é feito em etapas. Primeiro você precisa examinar o sistema de informação e telecomunicações. A análise de sua arquitetura, topologia, componentes, um inventário de recursos de informação. Todos os proprietários e usuários devem ser identificados e possuem documentação relevante. Dependendo da importância, diferentes abutres de sigilo. Deve ser lembrado que a política de segurança é baseada nos dados coletados e analisados. Quanto maior for o processamento da informação, melhor será o resultado final.

Definido com proteção

desenvolvimento de políticas de segurançaÉ necessário construir um modelo de ameaça. Nele, um sistema de computador é apresentado como um conjunto de serviços. Cada um deles tem seu próprio conjunto de funções, o que permite identificar muitas ameaças. Entre eles estão:

  1. Ameaças à privacidade. Isso inclui tudo relacionado à leitura não autorizada do conteúdo;
  2. Ameaças à integridade. Tudo o que diz respeito a modificação não autorizada ou implica a destruição de informações;
  3. Ameaças à acessibilidade. Isso inclui a possibilidade de uso indevido do sistema de informação;
  4. Ameaças de observação. Explora todas as possibilidades de problemas com a identificação e assegura o controle sobre as ações do usuário.

Os quadros de políticas de segurança devem ter soluções para todas as possíveis ameaças. Mas ao mesmo tempo é necessário aderir a uma linha razoável. Portanto, não faz sentido trabalhar com a confidencialidade das informações postadas no site oficial da organização e deve ser acessível a todos que desejarem a ideia.

Natureza das ameaças

objetivos da política de segurançaÉ determinado pelo que age como a causa dos problemas. Existem três tipos:

  1. Caráter natural. Isso inclui desastres naturais, incêndios e problemas semelhantes. Eles causam o maior dano físico. É muito difícil se defender contra eles. Mas a probabilidade de tal ameaça é a menor. Como proteção, colocação em diferentes territórios e características estruturais do edifício (espessamento da parede, proteção contra incêndio, e assim por diante) são usados.
  2. Caráter técnico. Isso inclui acidentes, falhas de equipamentos, avarias. Eles causam danos relativamente altos. Eles são protegidos deles usando mecanismos de duplicação de dados.
  3. O fator humano. Por nem sempre é entendido intenção intencional do mal.Isso também pode incluir erros no design, operação, desenvolvimento de componentes do sistema, ações não intencionais dos usuários. De um ponto de vista puramente técnico, uma faxineira inexperiente na sala de servidores representa uma ameaça não menos para o equipamento do que um grupo organizado e experiente de crackers de computador.

Os objetivos da política de segurança são evitar esses problemas e, se acontecerem, implementar um conjunto de medidas que minimizem o dano recebido.

Recursos do Modelo de Ameaça

política de segurança é um conjunto de regras e regulamentosAo desenvolvê-lo, deve-se ter em mente que diferentes tipos de informações devem ter um sistema de segurança diferente. Então, com relação aos dados públicos que estão no site, podemos dizer que é necessário cuidar de sua integridade e acessibilidade. Como todos devem vê-los, a questão da privacidade pode ser ignorada. Considerando que os dados que circulam dentro da empresa devem ser protegidos contra acesso não autorizado. Mas a proteção total de tudo ao mais alto nível requer muita força e recursos. Portanto, eles são determinados com os dados mais importantes, o que garante a maior segurança. E outras informações são protegidas de acordo com seu valor.

Modelo de Intrusão

É construído sobre pessoas. Ele identifica todos os tipos possíveis de violadores e fornece uma descrição detalhada. Então, modelos são criados em relação a crackers profissionais, mercenários inexperientes, hooligans comuns, funcionários da empresa. O maior perigo neste caso é fornecido pelo primeiro. Isso se deve ao fato de que eles possuem o conjunto necessário de conhecimentos e meios técnicos para realizar o acesso não autorizado. Os profissionais são acompanhados pelos funcionários das empresas, pois têm acesso a informações e também podem se familiarizar com a organização do sistema de segurança. Isso já oferece oportunidades mínimas para influenciar recursos. Portanto, se houver motivação, os funcionários podem causar danos significativos (o que, em geral, não é incomum). E se os atacantes também se voltarem para eles, isso geralmente é uma história triste.

A documentação

política de segurança é baseada emQuando todas as etapas anteriores forem concluídas, todos os documentos necessários serão elaborados, tais como: “Política de Segurança da Informação”, “Termos de Referência para a Criação de um CSIS” e outras questões. Depois disso, uma seleção de proteção de software e hardware é executada e suas características são configuradas. Por fim, a documentação está sendo desenvolvida no “Projeto Técnico para a Criação de um CSIS”. Quando tudo estiver pronto, já é possível começar a implementar as ferramentas selecionadas, medidas e formas de proteger o sistema de informação.

Controle

gerenciamento de política de segurançaMas apenas criar não é suficiente. Também é necessário certificar-se de que tudo está funcionando corretamente e, periodicamente, verificar se essa condição persiste. Para isso, o monitoramento da integridade, o esclarecimento de requisitos (revisão) é realizado e o estado do sistema de informação é analisado. Se falamos sobre o administrador responsável pela segurança, então a regra "um bom administrador é alguém que tem a capacidade de dormir constantemente" não se aplica aqui. O sistema de informação é um objeto dinâmico no qual as condições internas e externas estão em constante mudança. Da mesma forma, a estrutura de uma organização não é algo permanente. Novas unidades estruturais ou departamentos, serviços (como suporte ou bancos de dados) podem ser criados, ou haverá uma mudança de uma sala para outra. A informação que circula pelo sistema também muda. Portanto, a política de segurança em sistemas de informação deve levar em conta todos os aspectos acima e levá-los em consideração. Isso não quer dizer que a segurança é algo que se estabeleceu. Não, dada a necessidade de melhoria contínua e adaptação aos desafios, seria melhor chamá-lo de processo.

Pontuação

Usado para determinar a eficácia.Existem técnicas especiais com as quais você pode determinar esse parâmetro. É justo que a realização de tal verificação por si só seja bastante difícil, devido ao fato de que todas as falhas visíveis deveriam ter sido eliminadas pelos criadores do sistema de proteção. Portanto, via de regra, essa tarefa é freqüentemente confiada a terceiros. E ela, de uma posição diferente, vai se aproximar do teste e é muito provável que ela seja capaz de notar um ponto fraco que foi perdido pelos próprios desenvolvedores. Na verdade, esses inspetores agem como crackers, mas já se beneficiaram do uso de todos os dados possíveis na forma de pagamentos em dinheiro da própria empresa. É a partir de tais momentos que a implementação da política de segurança é feita.

Conclusão

metas de política de segurançaTalvez as pequenas empresas não façam sentido para desenvolver sua própria política de segurança. Mas para grandes empresas que planejam operar por um longo tempo, seu valor em determinados momentos pode ser extraordinário. Se uma política de segurança for desenvolvida em alto nível, os representantes da empresa talvez nunca saibam do que ela é protegida. E mesmo que pareça que não faz sentido, o uso dessa experiência em qualquer campo de atividade é extremamente importante.


Adicione um comentário
×
×
Tem certeza de que deseja excluir o comentário?
Excluir
×
Razão para reclamação

Negócio

Histórias de sucesso

Equipamentos