Наслови
...

Политика сигурности информационих система

Сада свака особа или организација има информације које не желе да објављују или, обрнуто, постоје планови да се опросте од ње што је скупље. А за то је потребна сигурносна политика. Ово је такво време рада, чији је задатак сузбити неконтролисану дистрибуцију података који не би требало да буду познати широј јавности. Она ради на питањима могућег губитка или недоступности, што ће у сваком случају утицати на посао. Такође, ако се то још увек догодило, обично се пружа низ мера за минимизирање штете. У ствари, безбедносна политика је скуп правила и прописа који се односе на опрему и особље организације, на које се такође односи. Како треба повећати његову ефикасност?

Комплексност изнад свега

сигурносна политикаПитање заштите информација требало би у потпуности да се реши, али пре свега, потребно је блокирати све могуће канале губитка података. То је неопходно јер примена појединачних мера готово да и не повећава безбедност целог система. Погледајмо пример. Имамо кућу. У њему смо уградили блиндирана врата у којима се налазе изузетно сложене браве. Али истовремено смо оставили прозоре отворене! Да ли је наш дом заштићен? Одговор је не. Иако, ако још увек не живимо у једнокатници, већ на 125. спрату небодера, онда ћемо ипак мало повећати сигурност. Сличан принцип важи и за заштиту у информационим системима. Одвојене мере могу значајно да повећају сигурност или донесу минималан ефекат. У сваком случају, потребно је приступити са становишта сложености.

Шта је пожељно урадити?

сигурносна политика јеДа би обезбедили сигурност, често стварају интегрисани систем заштите информација (ИСИС), који представља комбинацију инжењерских и организационих мера, као и софтвера и хардвера. Заједно осигуравају нормалан рад аутоматизованих система. Управљање безбедносним политикама је пожељно не само ослањајући се на рачунарску технологију, већ и на особље организације.

Организационе мере

То је веома важна и често потцењена компонента. Под организационим мерама подразумевају се развој и примена у пракси званичне политике која се тиче сигурности информација. Ово укључује:

  1. Израда описа послова којих се морају придржавати корисници и сервисно особље.
  2. Развој правила администрације за појединачне компоненте система.
  3. Стварање акционог плана за идентификацију покушаја неовлашћеног приступа.
  4. Развој правила која ће одредити рачуноводство, чување, репродукцију и уништавање поверљивих медија.
  5. Студија питања идентификације.
  6. Израда плана у случају квара заштитне опреме и појаве екстремне ситуације.
  7. Обука свих корисника о правилима и препоручивање безбедности информација, као и праћење њихове примене.

Проблеми у игнорисању организационих мера

спровођење политике безбедностиШта ће се догодити ако не водите обуку у овој области? Тада људи постају најтежи дио одбрамбеног система. Резултат игнорисања овог аспекта је често чак и немогућност обнове информационог система уопште. А циљеви безбедносне политике неће увек бити постигнути и са великим проблемима. Али чак и ако постоји резервна копија података, требаће неко време да се рекреира.Поред тога, креирање упутстава ће олакшати рад у ситуацијама када је све створио један запослени, а рестаурирао или дорадио други.

Најважнији аспект организационих мера

оквир безбедносне политикеКорисници би требали бити обучени да препознају нападаче. Дајмо неколико примера који ће вам показати колико су лукави:

  1. Запосленик прима позив или е-пошту од директора или другог вишег менаџера који тражи његову лозинку, што ће му омогућити приступ бази података ради тестирања система, измене софтверске компоненте или обављања другог веродостојног задатка. Резултат ће бити примање од стране преваранта могућности његовог уклањања или значајног изобличења, што ће довести до губитака.
  2. Запослени посећује веб страницу своје компаније, али он верује да је лажна. Уноси своје податке. И то је све - нападач има приступ систему. Штавише, да запослени не схвати да није тамо, може се извршити преусмеравање и аутоматско овлашћење на званичном вебсајту.
  3. Запослени заражен нападачем обилује медијима на којима ће програм отворити приступ бази података, избрисати је или предузети неке друге непријатне радње.

И то нису све могуће опције, већ само неке.

Припрема основа интегрисаног система безбедности информација

Развијање безбедносне политике захтева озбиљан и инклузиван приступ. То се ради у фазама. Прво морате испитати информациони и телекомуникациони систем. Анализа његове архитектуре, топологије, компоненти, инвентара извора информација. Сви власници и корисници морају бити идентификовани и поседују релевантну документацију. Зависно од важности, различито супови тајности. Треба имати на уму да се политика безбедности темељи на прикупљеним и анализираним подацима. Што ће се низ података обрадити, бољи ће бити коначни резултат.

Дефинисано заштитом

развој сигурносне политикеНеопходно је изградити модел претњи. У њему је рачунарски систем представљен као скуп услуга. Сваки од њих има свој скуп функција, који вам омогућава да идентификујете многе претње. Међу њима су:

  1. Пријетње приватности. Ово укључује све везано за неовлаштено читање садржаја;
  2. Пријетње интегритету. Све што се односи на неовлашћену измјену или повлачи за собом уништавање информација;
  3. Пријетње приступачности. Ово укључује могућност злоупотребе информационог система;
  4. Пријетње посматрања. Истражује све могућности проблема са препознавањем и осигуравањем контроле над радњама корисника.

Оквири политике безбедности морају да имају решења за сваку могућу претњу. Али истовремено је потребно придржавати се разумне линије. Дакле, нема смисла радити на поверљивости информација које су објављене на званичном веб месту организације и које би требале бити доступне свима који желе идеју.

Природа претњи

циљеви политике безбедностиОдређује се оним што делује као узрок проблема. Постоје три врсте:

  1. Природни карактер. Ово укључује природне катастрофе, пожаре и сличне проблеме. Они чине највећу физичку штету. Најтеже је бранити се против њих. Али вероватноћа такве претње је најмања. Као заштита користе се постављање на различитим територијама и структурне карактеристике зграде (задебљање зида, противпожарна заштита и тако даље).
  2. Технички карактер. То укључује незгоде, кварове опреме, кварове. Они узрокују релативно велику штету. Заштићени су од њих користећи механизме умножавања података.
  3. Људски фактор. Под њом се не разумеју увек зле намере.Ово такође може укључивати грешке у дизајну, раду, развоју системских компоненти, ненамерне радње корисника. Са чисто техничког становишта, необучена дама за чишћење у соби са серверима не представља мање опасност за опрему од организоване и искусне групе рачунарских крекера.

Циљеви безбедносне политике су да спрече ове проблеме, а ако су се догодили, онда примените сет мера које минимизирају насталу штету.

Значајке модела претње

сигурносна политика је скуп правила и прописаКада га развијате, треба имати на уму да различите врсте информација морају имати различит сигурносни систем. Дакле, што се тиче јавних података који се налазе на веб локацији, можемо рећи да је потребно водити рачуна о њиховој интегритети и доступности. Пошто би их сви требали видети, проблем приватности се може занемарити. Док подаци који круже унутар компаније морају бити заштићени од неовлаштеног приступа. Али потпуна заштита свега на највишем нивоу захтева много снаге и ресурса. Због тога се одређују помоћу најважнијих података, који обезбеђују највећу сигурност. И друге информације су заштићене у складу са својом вриједношћу.

Модел уљеза

Грађен је на људима. У њему се идентификују све могуће врсте насилника и даје им детаљан опис. Дакле, модели су створени у односу на професионалне крекере, неискусне плаћенике, обичне хулигане, запослене у предузећу. Највећу опасност у овом случају представља прва. То је због чињенице да имају потребан скуп знања и техничких средстава за неовлашћени приступ. Професионалце прате запослени у предузећима, јер имају приступ информацијама, а могу се упознати и са организацијом система безбедности. То већ пружа минималне могућности да се утиче на ресурсе. Према томе, ако постоји мотивација, запослени могу да нанесу значајну штету (што, генерално, није неуобичајено). А ако се и нападачи окрену према њима, онда је то генерално тужна прича.

Документација

сигурносна политика заснива се наКада су сви претходни кораци завршени, разрађују се сви потребни документи, као што су: „Политика безбедности информација“, „Референтни услови за стварање ЦСИС-а“ и друга питања. Након тога врши се избор софтверске и хардверске заштите и подешавају се њихове карактеристике. На крају се развија документација о „Техничком пројекту за стварање ЦСИС-а“. Кад је све спремно, већ је могуће започети с имплементацијом одабраних алата, мјера и начина заштите информацијског система.

Контрола

управљање политиком безбедностиАли само стварање није довољно. Такође је потребно осигурати да све исправно функционише, и повремено видети да ли ово стање траје. Да би се то постигло, врши се праћење интегритета, појашњење захтева (ревизија) и анализира се стање информационог система. Ако говоримо о администратору који је одговоран за сигурност, овдје се не примјењује правило „добар администратор је неко ко има могућност сталног спавања“. Информациони систем је динамичан објекат у коме се унутрашњи и спољни услови стално мењају. Исто тако, структура организације није нешто трајно. Могу се створити нове структурне јединице или одељења, услуге (као што су подршка или базе података) или ће се преместити из једне просторије у другу. Информације које круже системом се такође мењају. Стога политика безбедности у информационим системима треба да узме у обзир све горе наведене аспекте и да их узме у обзир. То не значи да је сигурност нешто што се смирило. Не, с обзиром на потребу сталног унапређења и прилагођавања изазовима, било би боље назвати то процесом.

Резултат

Користи се за одређивање ефикасности.Постоје посебне технике помоћу којих можете одредити овај параметар. Само је провођење такве провјере самостално прилично тешко због чињенице да су сви видљиви недостаци требали уклонити творце система заштите. Стога се овај задатак, по правилу, често поверује трећем лицу. И она ће се, из друге позиције, приближити тесту и врло је вероватно да ће моћи да примети слабо место које су пропустили сами програмери. У ствари, такви инспектори делују као крекери, али већ су имали користи од коришћења свих могућих података у облику новчаних плаћања од саме компаније. Управо из таквих тренутака долази до спровођења безбедносне политике.

Закључак

циљеви сигурносне политикеМожда мало предузеће нема смисла да развија сопствену безбедносну политику. Али за велика предузећа која планирају да послују веома дуго, његова вредност у одређеним тренуцима може бити изузетна. Ако се сигурносна политика развије на високом нивоу, представници компаније можда никада неће ни знати од чега их штити. Чак и ако се чини да то нема смисла, употреба овог искуства у било којој области активности изузетно је важна.


Додајте коментар
×
×
Јесте ли сигурни да желите да избришете коментар?
Избриши
×
Разлог за жалбу

Девојка је покушавала да не троши новац месец дана. Експеримент је оставио њена мешана осећања

Посао

Приче о успеху

Опрема