Riziká informačnej bezpečnosti. Zabezpečenie informačnej bezpečnosti. Audit informačnej bezpečnosti

Riziká informačnej bezpečnosti v súčasnosti predstavujú veľké riziko pre bežné činnosti mnohých podnikov a inštitúcií. V našej dobe informačných technológií nie je získavanie akýchkoľvek údajov prakticky ťažké. Na jednej strane to samozrejme prináša veľa pozitívnych aspektov, ale stáva sa to problémom tváre a značky mnohých spoločností.

Ochrana informácií v podnikoch sa teraz stáva takmer prioritou. Odborníci sa domnievajú, že tento cieľ sa dá dosiahnuť len vytvorením určitej vedomej postupnosti akcií. V tomto prípade je možné sa riadiť iba spoľahlivými skutočnosťami a používať pokročilé analytické metódy. Určitým prínosom je rozvoj intuície a skúsenosti odborníka zodpovedného za túto jednotku v podniku.

Tento materiál bude hovoriť o riadení rizík informačnej bezpečnosti ekonomického subjektu.

Aké typy možných hrozieb existujú v informačnom prostredí?

Existuje mnoho druhov hrozieb. Analýza rizík informačnej bezpečnosti podniku sa začína zvažovaním všetkých možných potenciálnych hrozieb. Je to potrebné na stanovenie metód overovania v prípade výskytu týchto nepredvídaných situácií, ako aj na vytvorenie vhodného systému ochrany. Riziká informačnej bezpečnosti sú rozdelené do určitých kategórií v závislosti od rôznych klasifikačných znakov. Sú to tieto typy:

• fyzické zdroje;
• nevhodné používanie počítačovej siete a World Wide Web;
• utesnený únik;
• únik technickými prostriedkami;
• neoprávnené vniknutie;
• útok na informačné aktíva;
• porušenie integrity zmeny údajov;
• núdzové situácie;
• právne porušenia.

Čo je zahrnuté v koncepte „fyzického ohrozenia bezpečnosti informácií“?

Druhy rizík informačnej bezpečnosti sa určujú v závislosti od zdrojov ich výskytu, spôsobu vykonávania nezákonného vniknutia a účelu. Najjednoduchšie technicky, ale stále vyžadujúce profesionálny výkon, sú fyzické hrozby. Predstavujú neoprávnený prístup k zapečateným zdrojom. To znamená, že tento proces je v skutočnosti obyčajnou krádežou. Informácie možno získať osobne, vlastnými rukami, jednoducho napadnutím inštitúcie, úradov, archívov, aby sa získal prístup k technickému vybaveniu, dokumentácii a iným úložným médiám.

Krádež nemusí ležať ani v samotných údajoch, ale v mieste ich uloženia, tj priamo v samotnom počítačovom vybavení. S cieľom narušiť normálne činnosti organizácie môžu útočníci jednoducho zabezpečiť poruchu na pamäťovom médiu alebo technickom vybavení.

Účelom fyzického narušenia môže byť aj získanie prístupu do systému, od ktorého závisí bezpečnosť informácií. Útočník by mohol zmeniť možnosti siete zodpovednej za informačnú bezpečnosť, aby sa ďalej uľahčilo vykonávanie nezákonných metód.

Možnosť fyzického ohrozenia môžu poskytnúť aj členovia rôznych skupín, ktorí majú prístup k utajovaným skutočnostiam, ktoré nemajú publicitu. Ich cieľom je cenná dokumentácia.Takéto osoby sa nazývajú zasvätené osoby.

Činnosť externých útočníkov môže byť zameraná na ten istý objekt.

Ako môžu sami zamestnanci podniku spôsobiť hrozby?

Riziká informačnej bezpečnosti často vznikajú v dôsledku nevhodného používania internetu a interného počítačového systému zamestnancami. Útočníci hrajú krásne na neskúsenosti, nedbanlivosti a nedostatku vzdelania niektorých ľudí v oblasti informačnej bezpečnosti. S cieľom vylúčiť túto možnosť odcudzenia dôverných údajov má vedenie mnohých organizácií medzi svojimi zamestnancami osobitnú politiku. Jeho účelom je vzdelávať ľudí o pravidlách správania a používaní sietí. Toto je pomerne bežná prax, pretože hrozby vznikajúce týmto spôsobom sú dosť bežné. Program obsahuje nasledujúce body programu na získanie zručností v oblasti informačnej bezpečnosti:

• prekonanie neefektívneho využívania nástrojov auditu;
• zníženie miery, do akej ľudia používajú špeciálne nástroje na spracovanie údajov;
• znížené využívanie zdrojov a aktív;
• zvyknutie na získanie prístupu k sieťovým zariadeniam iba zavedenými metódami;
• rozdelenie zón vplyvu a určenie územia zodpovednosti.

Keď každý zamestnanec pochopí, že osud inštitúcie závisí od zodpovedného vykonávania úloh, ktoré mu boli zverené, snaží sa dodržať všetky pravidlá. Pred ľuďmi je potrebné stanoviť konkrétne úlohy a zdôvodniť získané výsledky.

Ako sa porušujú podmienky ochrany osobných údajov?

Riziká a ohrozenia bezpečnosti informácií sú zväčša spojené s nezákonným prijímaním informácií, ktoré by nemali byť prístupné neoprávneným osobám. Prvým a najbežnejším únikovým kanálom sú všetky druhy komunikačných metód. Zdá sa, že v čase, keď sa zdá, je osobná korešpondencia dostupná iba dvom stranám a zainteresované strany ju zadržia. Aj keď inteligentní ľudia chápu, že prenos niečoho mimoriadne dôležitého a tajného je potrebné iným spôsobom.

Pretože teraz je na prenosných médiách uložených veľa informácií, útočníci aktívne zachytávajú informácie pomocou tohto typu technológie. Počúvanie komunikačných kanálov je veľmi populárne, až teraz je všetko úsilie technických géniov zamerané na prelomenie ochranných bariér smartfónov.

Zamestnanci organizácie môžu neúmyselne prezradiť dôverné informácie. Nemôžu priamo rozdávať všetky „vystúpenia a heslá“, ale iba viesť útočníka na správnu cestu. Napríklad ľudia bez toho, aby o tom vedeli, informujú o mieste uloženia dôležitej dokumentácie.

Iba podriadení nie sú vždy zraniteľní. Dodávatelia môžu tiež poskytovať dôverné informácie počas partnerstiev.

Ako je narušená bezpečnosť informácií technickými prostriedkami ovplyvnenia?

Zabezpečenie bezpečnosti informácií je do značnej miery spôsobené použitím spoľahlivých technických prostriedkov ochrany. Ak je podporný systém efektívny a efektívny aj v samotnom zariadení, je to už polovica úspechu.

Vo všeobecnosti je teda únik informácií zabezpečený riadením rôznych signálov. Takéto metódy zahŕňajú vytvorenie špecializovaných zdrojov rádiovej emisie alebo signálov. Tieto môžu byť elektrické, akustické alebo vibračné.

Pomerne často sa používajú optické zariadenia, ktoré vám umožňujú čítať informácie z obrazoviek a monitorov.

Rôzne zariadenia poskytujú širokú škálu metód na zavádzanie a získavanie informácií útočníkmi. Okrem vyššie uvedených metód existujú aj televízne, fotografické a vizuálne prieskumy.

Vzhľadom na také široké možnosti zahŕňa audit bezpečnosti informácií predovšetkým overovanie a analýzu fungovania technických prostriedkov na ochranu dôverných údajov.

Čo sa považuje za neoprávnený prístup k informáciám o spoločnosti?

Riadenie rizika informačnej bezpečnosti nie je možné bez predchádzania hrozbám neoprávneného prístupu.

Jedným z najvýznamnejších predstaviteľov tejto metódy hackovania bezpečnostných systémov niekoho iného je pridelenie užívateľského mena. Táto metóda sa nazýva „maškaráda“. Neoprávnený prístup v tomto prípade spočíva v použití autentifikačných údajov. Cieľom narušiteľa je získať heslo alebo iný identifikátor.

Útočníci môžu mať dopad zvnútra objektu alebo zvonku. Potrebné informácie môžu získať zo zdrojov, ako sú napríklad audit trail alebo audit tools.

Útočník sa často pokúša na prvý pohľad uplatniť implementačnú politiku a používať úplne legálne metódy.

Neoprávnený prístup sa týka nasledujúcich zdrojov informácií:

• Webové stránky a externí hostitelia
• podniková bezdrôtová sieť;
• záložné kópie údajov.

Existuje nespočetné množstvo spôsobov a metód neoprávneného prístupu. Útočníci hľadajú nesprávne prepočty a medzery v konfigurácii a architektúre softvéru. Prijímajú údaje úpravou softvéru. Votrelci spustia malware a logické bomby, aby neutralizovali a znížili ostražitosť.

Aké sú právne hrozby pre informačnú bezpečnosť spoločnosti?

Riadenie rizika informačnej bezpečnosti funguje rôznymi smermi, pretože jeho hlavným cieľom je poskytovať komplexnú a komplexnú ochranu podniku pred cudzím vniknutím.

Nemenej dôležitá ako technická oblasť je legálna. To, čo by sa naopak javilo, že by naopak malo hájiť záujmy, sa ukázalo, že získalo veľmi užitočné informácie.

Porušenia práva sa môžu týkať vlastníckych práv, autorských práv a patentových práv. Do tejto kategórie patrí aj nelegálne používanie softvéru vrátane dovozu a vývozu. Porušenie právnych požiadaviek je možné iba bez dodržania podmienok zmluvy alebo legislatívneho rámca ako celku.

Ako nastaviť ciele informačnej bezpečnosti?

Zabezpečenie informačnej bezpečnosti sa začína vytvorením oblasti ochrany. Je potrebné jasne definovať, čo je potrebné chrániť a od koho. Na tento účel je určený portrét potenciálneho zločince, ako aj možné spôsoby hackovania a implementácie. Aby ste si stanovili ciele, musíte sa najprv porozprávať s vedením. Povie vám prioritné oblasti ochrany.

Od tejto chvíle sa začína audit informačnej bezpečnosti. Umožňuje vám určiť, v akom pomere je potrebné uplatniť technologické a obchodné metódy. Výsledkom tohto procesu je konečný zoznam aktivít, ktoré konsolidujú ciele jednotky na ochranu pred neoprávneným prienikom. Cieľom auditu je identifikovať kritické body a slabé stránky systému, ktoré narúšajú normálnu prevádzku a rozvoj podniku.

Po stanovení cieľov sa vyvinie mechanizmus na ich implementáciu. Sú vytvorené nástroje na kontrolu a minimalizáciu rizík.

Akú úlohu zohrávajú aktíva pri analýze rizika?

Riziká informačnej bezpečnosti organizácie majú priamy vplyv na aktíva podniku. Cieľom útočníkov je koniec koncov získať cenné informácie. Jeho strata alebo odhalenie nevyhnutne povedie k stratám. Poškodenie spôsobené neoprávneným vniknutím môže mať priamy dopad alebo sa môže vyskytnúť iba nepriamo.To znamená, že nezákonné konanie vo vzťahu k organizácii môže viesť k úplnej strate kontroly nad podnikaním.

Výška škody sa odhaduje podľa majetku, ktorý má organizácia k dispozícii. Ovplyvnené sú všetky zdroje, ktoré akýmkoľvek spôsobom prispievajú k dosiahnutiu cieľov riadenia. Pod majetkom podniku sa rozumie všetok hmotný a nehmotný majetok, ktorý prináša a pomáha vytvárať príjmy.

Aktíva sú niekoľkých typov:

• materiál;
• človek;
• informácií;
• finančné;
• procesy;
• značka a autorita.

Posledne uvedený druh majetku najviac trpí neoprávnenými zásahmi. Dôvodom je skutočnosť, že akékoľvek skutočné riziká týkajúce sa bezpečnosti informácií ovplyvňujú obraz. Problémy s touto oblasťou automaticky znižujú rešpekt a dôveru v takýto podnik, pretože nikto nechce zverejniť svoje dôverné informácie. Každá sebauznávajúca organizácia sa stará o ochranu svojich vlastných informačných zdrojov.

Koľko a aké aktíva budú trpieť ovplyvňujú rôzne faktory. Sú rozdelené na vonkajšie a vnútorné. Ich komplexný vplyv sa spravidla vzťahuje súčasne na niekoľko skupín cenných zdrojov.

Celá činnosť podniku je postavená na aktívach. Do určitej miery sa zúčastňujú na činnosti ktorejkoľvek inštitúcie. Len pre niektorých sú niektoré skupiny dôležitejšie a menej iné. V závislosti od typu majetku, ktorý útočníci dokázali ovplyvniť, závisí výsledok, t. J. Spôsobená škoda.

Posúdenie rizík informačnej bezpečnosti umožňuje jasne identifikovať hlavné aktíva, a ak boli ovplyvnené, potom je to pre podnik spojené s nenapraviteľnými stratami. Tieto skupiny cenných zdrojov by mal venovať pozornosť samotný manažment, pretože ich bezpečnosť je v záujme vlastníkov.

Prioritnou oblasťou pre jednotku informačnej bezpečnosti sú pomocné aktíva. Za ich ochranu zodpovedá osobitná osoba. Riziká voči nim nie sú kritické a ovplyvňujú iba systém riadenia.

Aké sú faktory informačnej bezpečnosti?

Výpočet rizík informačnej bezpečnosti zahŕňa vytvorenie špecializovaného modelu. Predstavuje uzly, ktoré sú navzájom prepojené funkčnými pripojeniami. Uzly - to sú práve aktíva. Model využíva tieto cenné zdroje:

• ľudí;
• stratégie;
• technológie;
• procesy.

Rebrá, ktoré ich viažu, sú rovnaké rizikové faktory. Na identifikáciu možných hrozieb je najlepšie kontaktovať oddelenie alebo špecialistu, ktorý s týmito aktívami pracuje priamo. Predpokladom vzniku problému môže byť akýkoľvek potenciálny rizikový faktor. Model identifikuje hlavné hrozby, ktoré môžu vzniknúť.

Pokiaľ ide o zamestnancov, problémom je nízka úroveň vzdelania, nedostatok zamestnancov, nedostatok motivácie.

Medzi riziká procesu patrí variabilita prostredia, zlá automatizácia výroby a fuzzy oddelenie povinností.

Technológie môžu trpieť zastaraným softvérom, nedostatočnou kontrolou nad používateľmi. Príčinou môžu byť aj problémy s heterogénnym prostredím informačných technológií.

Výhodou tohto modelu je to, že prahové hodnoty rizík informačnej bezpečnosti nie sú jasne stanovené, pretože problém sa pozerá z rôznych uhlov.

Čo je audit informačnej bezpečnosti?

Dôležitým postupom v oblasti informačnej bezpečnosti podniku je audit. Je to kontrola súčasného stavu systému ochrany proti neoprávnenému vniknutiu. Proces auditu určuje mieru súladu so stanovenými požiadavkami.Jeho implementácia je povinná pre niektoré typy inštitúcií, pre ostatné má poradný charakter. Skúška sa vykonáva v súvislosti s dokumentáciou účtovných a daňových oddelení, technickými prostriedkami a finančnými a ekonomickými časťami.

Audit je potrebný na pochopenie úrovne bezpečnosti av prípade nesúladu optimalizácie s normou. Tento postup vám tiež umožňuje vyhodnotiť primeranosť finančných investícií do informačnej bezpečnosti. Odborník nakoniec poskytne odporúčania o miere finančných výdavkov s cieľom dosiahnuť maximálnu účinnosť. Auditovanie umožňuje upraviť ovládacie prvky.

Skúška v oblasti informačnej bezpečnosti je rozdelená do niekoľkých etáp:

1. Stanovenie cieľov a spôsobov ich dosiahnutia.
2. Analýza informácií potrebných na dosiahnutie rozsudku.
3. Spracovanie zhromaždených údajov.
4. Znalecký posudok a odporúčania.

Nakoniec špecialista vydá svoje rozhodnutie. Odporúčania komisie sú najčastejšie zamerané na zmenu konfigurácie hardvéru a serverov. Problematická spoločnosť sa často ponúka na výber inej metódy zabezpečenia bezpečnosti. Je možné, že odborníci určia súbor ochranných opatrení na ďalšie posilnenie.

Cieľom práce po získaní výsledkov auditu je informovať tím o problémoch. Ak je to potrebné, potom je vhodné vykonať ďalšie školenie s cieľom zvýšiť vzdelávanie zamestnancov o ochrane informačných zdrojov podniku.