หมวดหมู่
...

นโยบายความปลอดภัยในระบบสารสนเทศ

ขณะนี้ทุกคนหรือองค์กรมีข้อมูลที่ไม่ต้องการเผยแพร่หรือในทางกลับกันมีแผนที่จะบอกลามันว่ามีราคาแพงที่สุด และสำหรับสิ่งนี้จำเป็นต้องมีนโยบายความปลอดภัย นี่เป็นเวลาปฏิบัติงานที่จะระงับการเผยแพร่ข้อมูลที่ไม่สามารถควบคุมได้ซึ่งไม่ควรเปิดเผยต่อสาธารณชนทั่วไป เธอกำลังทำงานเกี่ยวกับปัญหาของการสูญเสียหรือไม่สามารถเข้าถึงได้ซึ่งในกรณีใด ๆ จะส่งผลกระทบต่อการทำงาน นอกจากนี้หากยังคงเกิดขึ้นมักจะมีชุดของมาตรการเพื่อลดความเสียหาย ในความเป็นจริงนโยบายความปลอดภัยเป็นชุดของกฎและข้อบังคับที่เกี่ยวข้องกับอุปกรณ์และบุคลากรขององค์กรซึ่งมีผลบังคับใช้ ประสิทธิภาพของมันจะเพิ่มขึ้นได้อย่างไร?

ความซับซ้อนเหนือสิ่งอื่นใด

นโยบายความปลอดภัยปัญหาการป้องกันข้อมูลควรได้รับการแก้ไขอย่างครบถ้วน แต่ก่อนอื่นจำเป็นต้องปิดกั้นช่องทางที่อาจเกิดการสูญหายของข้อมูลทั้งหมด นี่เป็นสิ่งจำเป็นเนื่องจากการใช้มาตรการของแต่ละบุคคลแทบจะไม่เพิ่มความปลอดภัยของระบบทั้งหมด ลองดูตัวอย่าง เรามีบ้าน ในนั้นเราติดตั้งประตูหุ้มเกราะที่มีการล็อคที่ซับซ้อนมาก แต่ในขณะเดียวกันเราก็เปิดหน้าต่างทิ้งไว้! บ้านของเราได้รับการคุ้มครองหรือไม่? คำตอบคือไม่ แม้ว่าถ้าเรายังไม่ได้อาศัยอยู่ในบ้านชั้นเดียว แต่อยู่บนชั้นที่ 125 ของตึกระฟ้าเราก็จะเพิ่มความปลอดภัยเล็กน้อย หลักการที่คล้ายกันนี้ใช้กับการป้องกันในระบบสารสนเทศ มาตรการแยกต่างหากสามารถเพิ่มความปลอดภัยได้อย่างมากหรือทำให้เกิดผลกระทบน้อยที่สุด ไม่ว่าในกรณีใด ๆ มันเป็นสิ่งจำเป็นที่จะเข้าใกล้จากมุมมองของความซับซ้อน

สิ่งที่พึงปรารถนาที่จะทำคืออะไร?

นโยบายความปลอดภัยคือบ่อยครั้งเพื่อสร้างความมั่นใจในความปลอดภัยพวกเขาจึงสร้างระบบการปกป้องข้อมูลแบบครบวงจร (ISIS) ซึ่งเป็นการผสมผสานระหว่างมาตรการทางวิศวกรรมและองค์กรรวมถึงซอฟต์แวร์และฮาร์ดแวร์ ร่วมกันพวกเขามั่นใจว่าการทำงานปกติของระบบอัตโนมัติ การจัดการนโยบายความปลอดภัยเป็นสิ่งที่พึงประสงค์ไม่เพียง แต่อาศัยเทคโนโลยีคอมพิวเตอร์ แต่ยังรวมถึงพนักงานขององค์กรด้วย

มาตรการขององค์กร

มันเป็นองค์ประกอบที่สำคัญมากและมักประเมินค่าต่ำไป ภายใต้มาตรการขององค์กรเข้าใจการพัฒนาและการนำไปใช้ในทางปฏิบัติของนโยบายอย่างเป็นทางการเกี่ยวกับความปลอดภัยของข้อมูล รวมถึง:

  1. การร่างคำบรรยายลักษณะงานที่ผู้ใช้และเจ้าหน้าที่บริการต้องปฏิบัติตาม
  2. การพัฒนากฎการบริหารสำหรับองค์ประกอบของระบบแต่ละส่วน
  3. การสร้างแผนปฏิบัติการเพื่อระบุความพยายามเข้าถึงที่ไม่ได้รับอนุญาต
  4. การพัฒนากฎที่จะกำหนดบัญชีการจัดเก็บการทำซ้ำและการทำลายสื่อข้อมูลที่เป็นความลับ
  5. การศึกษาประเด็นการชี้บ่ง
  6. การพัฒนาแผนในกรณีที่ความล้มเหลวของอุปกรณ์ป้องกันและการเกิดขึ้นของสถานการณ์ที่ยิ่งใหญ่
  7. ฝึกอบรมผู้ใช้ทุกคนในกฎและแนะนำการรักษาความปลอดภัยข้อมูลรวมถึงการตรวจสอบการใช้งาน

ปัญหาในการเพิกเฉยต่อมาตรการขององค์กร

การนำนโยบายความปลอดภัยไปใช้จะเกิดอะไรขึ้นหากคุณไม่ได้ทำการฝึกอบรมในด้านนี้ จากนั้นผู้คนก็กลายเป็นส่วนที่ยากที่สุดของระบบป้องกัน ผลของการเพิกเฉยแง่มุมนี้มักเป็นไปไม่ได้แม้แต่การกู้คืนระบบข้อมูลโดยทั่วไป และเป้าหมายของนโยบายความปลอดภัยจะไม่ประสบความสำเร็จและมีปัญหาใหญ่ แต่แม้ว่าจะมีสำเนาสำรองของข้อมูลมันจะใช้เวลาในการสร้างใหม่นอกจากนี้การสร้างคำแนะนำจะช่วยให้ทำงานได้ง่ายขึ้นในสถานการณ์ที่ทุกอย่างถูกสร้างขึ้นโดยพนักงานคนหนึ่งและเรียกคืนหรือปรับปรุงโดยผู้อื่น

สิ่งสำคัญที่สุดของมาตรการขององค์กร

กรอบนโยบายความปลอดภัยผู้ใช้ควรได้รับการฝึกฝนให้รู้จักการโจมตี ลองยกตัวอย่างที่จะแสดงให้คุณเห็นว่ามันซับซ้อนแค่ไหน:

  1. พนักงานได้รับโทรศัพท์หรืออีเมลจากผู้อำนวยการหรือผู้จัดการอาวุโสคนอื่น ๆ เพื่อขอรหัสผ่านซึ่งจะช่วยให้สามารถเข้าถึงฐานข้อมูลเพื่อทดสอบระบบแก้ไขส่วนประกอบซอฟต์แวร์หรือทำงานอื่นที่เป็นไปได้ ผลที่ได้จะเป็นใบเสร็จรับเงินจากผู้หลอกลวงของความเป็นไปได้ของการกำจัดหรือการบิดเบือนที่สำคัญซึ่งจะนำไปสู่การสูญเสีย
  2. พนักงานเข้าเยี่ยมชมหน้าเว็บตามที่เขาเชื่อว่าเป็น บริษัท ของเขา แต่จริง ๆ แล้วเป็นของปลอม ป้อนข้อมูลของเขา และนั่นคือทั้งหมด - ผู้โจมตีสามารถเข้าถึงระบบได้ นอกจากนี้เพื่อให้พนักงานไม่ได้ตระหนักว่าเขาไม่ได้อยู่ที่นั่นการเปลี่ยนเส้นทางและการอนุญาตอัตโนมัติบนเว็บไซต์อย่างเป็นทางการสามารถดำเนินการได้
  3. พนักงานที่ติดไวรัสผู้โจมตีจะถูกล้างด้วยสื่อซึ่งโปรแกรมจะเปิดการเข้าถึงฐานข้อมูลลบหรือดำเนินการที่ไม่พึงประสงค์อื่น ๆ

และสิ่งเหล่านี้ไม่ใช่ตัวเลือกที่เป็นไปได้ทั้งหมด แต่มีเพียงบางส่วนเท่านั้น

การจัดทำพื้นฐานของระบบรักษาความปลอดภัยข้อมูลแบบบูรณาการ

การพัฒนานโยบายความปลอดภัยต้องมีวิธีการที่จริงจังและครอบคลุม นี้จะทำในขั้นตอน ก่อนอื่นคุณต้องตรวจสอบข้อมูลและระบบโทรคมนาคม การวิเคราะห์สถาปัตยกรรมทอพอโลยีส่วนประกอบของสินค้าคงคลังของแหล่งข้อมูล เจ้าของและผู้ใช้ทั้งหมดจะต้องมีการระบุและมีเอกสารที่เกี่ยวข้อง ขึ้นอยู่กับความสำคัญแตกต่างกัน แร้งของความลับ ควรจำไว้ว่านโยบายความปลอดภัยเป็นไปตามข้อมูลที่รวบรวมและวิเคราะห์ ยิ่งมีการประมวลผลข้อมูลมากขึ้นเท่าไหร่ผลลัพธ์ที่ได้ก็จะยิ่งดีขึ้นเท่านั้น

นิยามพร้อมการป้องกัน

การพัฒนานโยบายความปลอดภัยมีความจำเป็นต้องสร้างรูปแบบการคุกคาม ในนั้นระบบคอมพิวเตอร์จะถูกนำเสนอเป็นชุดของบริการ แต่ละชุดมีฟังก์ชั่นของตัวเองซึ่งช่วยให้คุณระบุภัยคุกคามได้มากมาย ในหมู่พวกเขาคือ:

  1. ภัยคุกคามต่อความเป็นส่วนตัว ซึ่งรวมถึงทุกอย่างที่เกี่ยวข้องกับการอ่านเนื้อหาโดยไม่ได้รับอนุญาต
  2. ภัยคุกคามต่อความซื่อสัตย์ ทุกสิ่งที่เกี่ยวข้องกับการดัดแปลงที่ไม่ได้รับอนุญาตหรือทำให้เกิดการทำลายข้อมูล
  3. ภัยคุกคามต่อการเข้าถึง ซึ่งรวมถึงความเป็นไปได้ของการนำระบบข้อมูลไปใช้ในทางที่ผิด;
  4. ภัยคุกคามจากการสังเกต มันจะสำรวจความเป็นไปได้ทั้งหมดของปัญหาเกี่ยวกับการระบุตัวตนและควบคุมการกระทำของผู้ใช้

กรอบนโยบายความปลอดภัยต้องมีวิธีแก้ไขสำหรับภัยคุกคามที่อาจเกิดขึ้นทุกครั้ง แต่ในเวลาเดียวกันมันเป็นสิ่งจำเป็นที่จะยึดมั่นในสายที่เหมาะสม ดังนั้นจึงไม่มีเหตุผลที่จะจัดการกับความลับของข้อมูลที่โพสต์ไว้ในเว็บไซต์ทางการขององค์กรและทุกคนที่ต้องการไอเดียจะสามารถเข้าถึงได้

ธรรมชาติของภัยคุกคาม

วัตถุประสงค์ของนโยบายความปลอดภัยมันถูกกำหนดโดยสิ่งที่ทำหน้าที่เป็นสาเหตุของปัญหา มีสามประเภท:

  1. ตัวละครธรรมชาติ ซึ่งรวมถึงภัยธรรมชาติไฟและปัญหาที่คล้ายกัน พวกเขาทำความเสียหายทางร่างกายมากที่สุด เป็นการยากที่สุดที่จะป้องกันพวกเขา แต่โอกาสที่จะเกิดภัยคุกคามดังกล่าวนั้นต่ำที่สุด เพื่อเป็นการป้องกันการวางตำแหน่งในดินแดนต่าง ๆ และคุณสมบัติโครงสร้างของอาคาร (ความหนาของผนังการป้องกันอัคคีภัยและอื่น ๆ ) ถูกนำมาใช้
  2. ลักษณะทางเทคนิค ซึ่งรวมถึงอุบัติเหตุความล้มเหลวของอุปกรณ์ความผิดปกติ พวกมันสร้างความเสียหายค่อนข้างสูง พวกเขาได้รับการคุ้มครองจากพวกเขาโดยใช้กลไกการทำสำเนาข้อมูล
  3. ปัจจัยมนุษย์ โดยไม่เข้าใจเจตนาชั่วร้ายเสมอไปซึ่งอาจรวมถึงข้อผิดพลาดในการออกแบบการดำเนินการการพัฒนาส่วนประกอบของระบบการกระทำที่ไม่ตั้งใจของผู้ใช้ จากมุมมองทางเทคนิคล้วนๆผู้หญิงทำความสะอาดที่ไม่ได้ผ่านการฝึกอบรมในห้องเซิร์ฟเวอร์ไม่ได้คุกคามอุปกรณ์มากไปกว่ากลุ่มแคร็กเกอร์คอมพิวเตอร์ที่มีการจัดการและมีประสบการณ์

วัตถุประสงค์ของนโยบายความปลอดภัยคือเพื่อป้องกันปัญหาเหล่านี้และหากเกิดขึ้นให้ดำเนินการตามมาตรการที่ช่วยลดความเสียหายที่ได้รับ

คุณสมบัติรูปแบบภัยคุกคาม

นโยบายความปลอดภัยเป็นชุดของกฎและข้อบังคับเมื่อพัฒนามันควรทราบว่าข้อมูลประเภทต่างๆจะต้องมีระบบความปลอดภัยที่แตกต่างกัน ดังนั้นเกี่ยวกับข้อมูลสาธารณะที่อยู่บนเว็บไซต์เราสามารถพูดได้ว่ามันเป็นสิ่งจำเป็นในการดูแลความสมบูรณ์และการเข้าถึงของพวกเขา เนื่องจากทุกคนควรเห็นพวกเขาปัญหาความเป็นส่วนตัวสามารถถูกละเว้น ในขณะที่ข้อมูลที่หมุนเวียนภายใน บริษัท จะต้องได้รับการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาต แต่การปกป้องทุกอย่างในระดับสูงสุดต้องการความแข็งแกร่งและทรัพยากรมากมาย ดังนั้นข้อมูลเหล่านี้จึงถูกกำหนดด้วยข้อมูลที่สำคัญที่สุดซึ่งทำให้มั่นใจในความปลอดภัยสูงสุด และข้อมูลอื่น ๆ ได้รับการคุ้มครองตามมูลค่าของมัน

โมเดลผู้บุกรุก

มันถูกสร้างขึ้นบนผู้คน มันระบุประเภทของผู้ฝ่าฝืนที่เป็นไปได้ทั้งหมดและให้คำอธิบายโดยละเอียด ดังนั้นรูปแบบจะถูกสร้างขึ้นเมื่อเทียบกับแครกเกอร์มืออาชีพทหารรับจ้างที่ไม่มีประสบการณ์ฮอลิแกนสามัญพนักงานขององค์กร อันตรายที่ยิ่งใหญ่ที่สุดในกรณีนี้จัดทำโดยอดีต นี่คือความจริงที่ว่าพวกเขามีชุดของความรู้ที่จำเป็นและวิธีการทางเทคนิคเพื่อดำเนินการเข้าถึงที่ไม่ได้รับอนุญาต ผู้เชี่ยวชาญตามมาด้วยพนักงานขององค์กรเนื่องจากพวกเขาสามารถเข้าถึงข้อมูลและยังสามารถทำความคุ้นเคยกับองค์กรของระบบรักษาความปลอดภัย นี่เป็นโอกาสที่น้อยที่สุดในการโน้มน้าวทรัพยากร ดังนั้นหากมีแรงจูงใจพนักงานสามารถทำให้เกิดความเสียหายอย่างมีนัยสำคัญ (ซึ่งโดยทั่วไปแล้วไม่ใช่เรื่องแปลก) และหากผู้โจมตีหันมาหาพวกเขาด้วยเช่นกันนี่เป็นเรื่องเศร้า

เอกสารประกอบ

นโยบายความปลอดภัยขึ้นอยู่กับเมื่อขั้นตอนก่อนหน้านี้เสร็จสิ้นแล้วเอกสารที่จำเป็นทั้งหมดจะถูกดำเนินการเช่น "นโยบายความปลอดภัยของข้อมูล", "ข้อกำหนดการอ้างอิงสำหรับการสร้าง CSIS" และปัญหาอื่น ๆ หลังจากนั้นจะมีการเลือกซอฟต์แวร์และฮาร์ดแวร์เพื่อป้องกันและมีการกำหนดค่าคุณสมบัติต่างๆ ในที่สุดเอกสารจะถูกพัฒนาใน "โครงการทางเทคนิคสำหรับการสร้าง CSIS" เมื่อทุกอย่างพร้อมแล้วก็เป็นไปได้ที่จะเริ่มใช้เครื่องมือที่เลือกใช้มาตรการและวิธีในการปกป้องระบบข้อมูล

การควบคุม

การจัดการนโยบายความปลอดภัยแต่เพียงแค่การสร้างไม่เพียงพอ นอกจากนี้ยังจำเป็นเพื่อให้แน่ใจว่าทุกอย่างทำงานอย่างถูกต้องและดูเป็นระยะว่าสภาพนี้ยังคงอยู่ เมื่อต้องการทำเช่นนี้การตรวจสอบความถูกต้องการชี้แจงข้อกำหนด (การแก้ไข) จะดำเนินการและสถานะของระบบข้อมูลจะถูกวิเคราะห์ หากเราพูดถึงผู้ดูแลระบบที่รับผิดชอบเรื่องความปลอดภัยแล้วกฎ“ ผู้ดูแลระบบที่ดีคือคนที่มีความสามารถในการนอนหลับตลอดเวลา” ไม่ได้ใช้ที่นี่ ระบบสารสนเทศเป็นวัตถุแบบไดนามิกที่สภาพภายในและภายนอกเปลี่ยนแปลงตลอดเวลา เช่นเดียวกันโครงสร้างขององค์กรไม่ใช่สิ่งที่ถาวร หน่วยโครงสร้างใหม่หรือแผนกบริการ (เช่นการสนับสนุนหรือฐานข้อมูล) อาจถูกสร้างขึ้นหรือจะมีการย้ายจากห้องหนึ่งไปอีกห้องหนึ่ง ข้อมูลที่ไหลเวียนผ่านระบบก็เปลี่ยนแปลงเช่นกัน ดังนั้นนโยบายความปลอดภัยในระบบสารสนเทศควรคำนึงถึงทุกด้านข้างต้นและนำมาพิจารณา นี่ไม่ได้เป็นการบอกว่าความปลอดภัยเป็นสิ่งที่ตกลงกันไว้ ไม่จำเป็นต้องมีการปรับปรุงอย่างต่อเนื่องและปรับให้เข้ากับความท้าทายมันจะดีกว่าถ้าจะเรียกมันว่ากระบวนการ

ประเมินผล

ใช้เพื่อกำหนดประสิทธิภาพมีเทคนิคพิเศษที่คุณสามารถกำหนดพารามิเตอร์นี้ได้ มันเป็นเพียงการดำเนินการตรวจสอบด้วยตัวเองค่อนข้างยากเนื่องจากข้อเท็จจริงที่ว่าข้อบกพร่องทั้งหมดที่มองเห็นควรถูกกำจัดโดยผู้สร้างระบบป้องกัน ดังนั้นตามกฎแล้วงานนี้มักมอบหมายให้กับบุคคลที่สาม และจากตำแหน่งที่แตกต่างกันจะเข้าใกล้การทดสอบและเป็นไปได้มากว่าเธอจะสามารถสังเกตเห็นจุดอ่อนที่นักพัฒนาพลาดเอง ในความเป็นจริงผู้ตรวจสอบดังกล่าวทำหน้าที่เป็นแครกเกอร์ แต่พวกเขาได้รับประโยชน์จากการใช้ข้อมูลที่เป็นไปได้ทั้งหมดในรูปแบบของการจ่ายเงินสดจาก บริษัท เอง จากช่วงเวลาดังกล่าวที่มีการนำนโยบายความปลอดภัยไปใช้

ข้อสรุป

เป้าหมายนโยบายความปลอดภัยบางทีธุรกิจขนาดเล็กอาจไม่มีเหตุผลที่จะพัฒนานโยบายความปลอดภัยของตนเอง แต่สำหรับองค์กรขนาดใหญ่ที่วางแผนที่จะดำเนินงานเป็นเวลานานมูลค่าของมัน ณ เวลาใดเวลาหนึ่งอาจไม่ธรรมดา หากนโยบายความปลอดภัยได้รับการพัฒนาในระดับสูงตัวแทนของ บริษัท อาจไม่เคยรู้เลยว่าจะปกป้องพวกเขาจากอะไร และถึงแม้ว่าดูเหมือนว่ามันจะไม่สมเหตุสมผลก็ตามการใช้ประสบการณ์นี้ในสาขาใดก็ตามของกิจกรรมมีความสำคัญอย่างยิ่ง


เพิ่มความคิดเห็น
×
×
คุณแน่ใจหรือว่าต้องการลบความคิดเห็น?
ลบ
×
เหตุผลในการร้องเรียน

หญิงสาวพยายามไม่ใช้จ่ายเงินเป็นเวลาหนึ่งเดือน การทดลองทำให้เธอมีความรู้สึกหลากหลาย

ธุรกิจ

เรื่องราวความสำเร็จ

อุปกรณ์