Sa ngayon, ang mga panganib sa seguridad ng impormasyon ay nagbigay ng malaking banta sa normal na aktibidad ng maraming mga negosyo at institusyon. Sa aming edad ng teknolohiya ng impormasyon, ang pagkuha ng anumang data ay halos hindi mahirap. Sa isang banda, ito, siyempre, ay nagdadala ng maraming positibong aspeto, ngunit nagiging problema ito sa mukha at tatak ng maraming kumpanya.
Ang proteksyon ng impormasyon sa mga negosyo ay nagiging isang priyoridad na ngayon. Naniniwala ang mga eksperto na sa pamamagitan lamang ng pagbuo ng isang tiyak na pagkakasunud-sunod na pagkakasunod-sunod ng pagkilos ay maaaring makamit ang layuning ito. Sa kasong ito, posible na magabayan lamang ng maaasahang mga katotohanan at gumamit ng mga advanced na pamamaraan ng pagsusuri. Ang isang tiyak na kontribusyon ay ginawa sa pamamagitan ng pag-unlad ng intuwisyon at karanasan ng espesyalista na responsable para sa yunit na ito sa enterprise.
Sasabihin ng materyal na ito ang tungkol sa pamamahala ng peligro ng seguridad ng impormasyon ng isang pang-ekonomiyang nilalang.
Anong mga uri ng posibleng mga banta ang umiiral sa kapaligiran ng impormasyon?
Maaaring magkaroon ng maraming mga uri ng pagbabanta. Ang isang pagsusuri ng mga panganib sa seguridad ng impormasyon ng isang negosyo ay nagsisimula sa pagsasaalang-alang sa lahat ng posibleng potensyal na pagbabanta. Ito ay kinakailangan upang matukoy ang mga pamamaraan ng pagpapatunay kung sakaling mangyari ang mga hindi inaasahang mga sitwasyong ito, pati na rin upang lumikha ng isang naaangkop na sistema ng proteksyon. Ang mga panganib sa seguridad ng impormasyon ay nahahati sa ilang mga kategorya depende sa iba't ibang mga tampok ng pag-uuri. Ang mga ito ay sa mga sumusunod na uri:
- pisikal na mapagkukunan;
- hindi naaangkop na paggamit ng network ng computer at World Wide Web;
- selyadong pagtagas;
- pagtagas sa pamamagitan ng teknikal na paraan;
- hindi awtorisadong panghihimasok;
- atake sa mga assets ng impormasyon;
- paglabag sa integridad ng pagbabago ng data;
- mga sitwasyong pang-emergency;
- mga paglabag sa ligal.
Ano ang kasama sa konsepto ng "pisikal na pagbabanta sa seguridad ng impormasyon"?
Ang mga uri ng mga panganib sa seguridad ng impormasyon ay natutukoy depende sa mga mapagkukunan ng kanilang paglitaw, ang pamamaraan ng pagpapatupad ng iligal na panghihimasok at layunin. Ang pinakasimpleng technically, ngunit nangangailangan pa rin ng propesyonal na pagganap, ay mga bantaang pisikal. Ang mga ito ay bumubuo ng hindi awtorisadong pag-access sa mga selyadong pinagmulan. Iyon ay, ang prosesong ito ay sa katunayan isang ordinaryong pagnanakaw. Ang impormasyon ay maaaring makuha nang personal, gamit ang sariling mga kamay, sa pamamagitan lamang ng pagsalakay sa institusyon, mga tanggapan, mga archive upang makakuha ng pag-access sa mga kagamitang pang-teknikal, dokumentasyon at iba pang media ng imbakan.
Ang pagnanakaw ay maaaring hindi kahit na namamalagi sa data mismo, ngunit sa lugar ng kanilang imbakan, iyon ay, direkta sa computer kagamitan mismo. Upang maalis ang normal na mga aktibidad ng samahan, ang mga umaatake ay maaaring matiyak lamang ang isang madepektong paggawa sa imbakan media o kagamitan sa teknikal.
Ang layunin ng isang pisikal na panghihimasok ay maaari ring makakuha ng pag-access sa isang sistema kung saan nakasalalay ang seguridad ng impormasyon. Ang isang magsasalakay ay maaaring baguhin ang mga pagpipilian ng isang network na responsable para sa seguridad ng impormasyon upang lalo pang mapadali ang pagpapatupad ng mga iligal na pamamaraan.
Ang posibilidad ng isang pisikal na banta ay maaari ding ibigay ng mga miyembro ng iba't ibang mga grupo na may access sa naiuri na impormasyon na walang publisidad. Ang kanilang layunin ay mahalagang dokumentasyon.Ang ganitong mga indibidwal ay tinatawag na mga tagaloob.
Ang aktibidad ng mga panlabas na pag-atake ay maaaring nakadirekta sa parehong bagay.
Paano ang mga empleyado ng negosyo mismo ay maaaring maging sanhi ng pagbabanta?
Ang mga panganib sa seguridad ng impormasyon ay madalas na lumabas dahil sa hindi naaangkop na paggamit ng mga empleyado ng Internet at panloob na computer system. Ang mga pag-atake ay maganda ang naglalaro sa kawalang karanasan, kawalang-ingat at kawalan ng edukasyon ng ilang mga tao patungkol sa seguridad ng impormasyon. Upang maibukod ang pagpipiliang ito ng pagnanakaw ng kumpidensyal na data, ang pamumuno ng maraming mga organisasyon ay may isang espesyal na patakaran sa kanilang mga kawani. Ang layunin nito ay upang turuan ang mga tao sa mga patakaran ng pag-uugali at paggamit ng mga network. Ito ay isang medyo pangkaraniwang kasanayan, dahil ang mga banta na lumitaw sa paraang ito ay karaniwang pangkaraniwan. Kasama sa programa ang mga sumusunod na puntos sa programa para sa pagkuha ng mga kasanayan sa seguridad ng impormasyon:
- pagtagumpayan ang hindi mahusay na paggamit ng mga tool sa pag-audit;
- binabawasan ang antas kung saan gumagamit ang mga tao ng mga espesyal na tool para sa pagproseso ng data;
- nabawasan ang paggamit ng mga mapagkukunan at pag-aari;
- sanay na makakuha ng access sa mga pasilidad sa network lamang sa pamamagitan ng itinatag na mga pamamaraan;
- paglalaan ng mga zone ng impluwensya at pagtatalaga ng teritoryo ng responsibilidad.
Kapag nauunawaan ng bawat empleyado na ang kapalaran ng institusyon ay nakasalalay sa responsableng pagpapatupad ng mga tungkulin na naatasan sa kanya, sinusubukan niyang sumunod sa lahat ng mga patakaran. Bago ang mga tao kinakailangan na magtakda ng mga tiyak na gawain at bigyang-katwiran ang mga nakuha na nakuha.
Paano nilabag ang mga term sa privacy?
Ang mga panganib at pagbabanta sa seguridad ng impormasyon ay higit na nauugnay sa iligal na pagtanggap ng impormasyon na hindi dapat ma-access sa mga hindi awtorisadong tao. Ang una at pinaka-karaniwang leak channel ay lahat ng uri ng mga pamamaraan ng komunikasyon. Sa isang oras kung kailan, tila, ang personal na sulat ay magagamit lamang sa dalawang partido, ang mga interesadong partido ay humarang dito. Bagaman nauunawaan ng mga taong intelihente na ang paglilipat ng isang bagay na napakahalaga at lihim ay kinakailangan sa ibang paraan.
Dahil ngayon maraming mga impormasyon ay naka-imbak sa portable media, ang mga umaatake ay aktibong pinagtibay ang interception ng impormasyon sa pamamagitan ng ganitong uri ng teknolohiya. Ang pakikinig sa mga channel ng komunikasyon ay napakapopular, ngayon lamang ang lahat ng mga pagsisikap ng mga henyo sa teknikal ay naglalayong masira ang mga proteksiyon na hadlang ng mga smartphone.
Ang lihim na impormasyon ay maaaring hindi sinasadyang isiniwalat ng mga empleyado ng samahan. Hindi nila direktang ibigay ang lahat ng "mga paglitaw at mga password," ngunit pinamumunuan lamang ang umaatake sa tamang landas. Halimbawa, ang mga tao, nang hindi alam ito, ay nagbibigay ng impormasyon tungkol sa lugar ng pag-iimbak ng mahalagang dokumentasyon.
Ang mga subordinates lamang ay hindi laging mahina. Maaari ring magbigay ng mga kumpidensyal na impormasyon ang mga kontratista sa panahon ng pakikipagsosyo.
Paano nilabag ang impormasyong pangseguridad ng mga teknikal na paraan ng impluwensya?
Ang pagtiyak sa seguridad ng impormasyon ay higit sa lahat dahil sa paggamit ng maaasahang teknikal na paraan ng proteksyon. Kung ang sistema ng suporta ay mahusay at epektibo kahit na sa kagamitan mismo, kung gayon ito ay kalahati ng tagumpay.
Sa pangkalahatan, ang pagtagas ng impormasyon ay nagsisiguro sa pamamagitan ng pagkontrol sa iba't ibang mga signal. Kasama sa mga ganitong pamamaraan ang paglikha ng mga dalubhasang mapagkukunan ng paglabas ng radio o signal. Ang huli ay maaaring maging de-koryenteng, acoustic o vibrational.
Madalas, ginagamit ang mga optical na aparato na nagbibigay-daan sa iyo upang mabasa ang impormasyon mula sa mga display at monitor.
Ang iba't ibang mga aparato ay nagbibigay ng isang malawak na hanay ng mga pamamaraan para sa pagpapakilala at pagkuha ng impormasyon ng mga umaatake. Bilang karagdagan sa mga pamamaraan sa itaas, mayroon ding telebisyon, photographic at visual reconnaissance.
Dahil sa malawak na posibilidad, ang pagsusuri sa seguridad ng impormasyon lalo na kasama ang pag-verify at pagsusuri ng pagpapatakbo ng mga teknikal na paraan upang maprotektahan ang kumpidensyal na data.
Ano ang itinuturing na hindi awtorisadong pag-access sa impormasyon ng kumpanya?
Imposible ang pamamahala sa peligro ng seguridad ng impormasyon nang hindi pinipigilan ang mga banta ng hindi awtorisadong pag-access.
Ang isa sa mga kilalang kinatawan ng pamamaraang ito ng pag-hack ng sistema ng seguridad ng ibang tao ay ang pagtatalaga ng isang ID ng gumagamit. Ang pamamaraang ito ay tinatawag na "Masquerade." Ang hindi awtorisadong pag-access sa kasong ito ay binubuo sa paggamit ng data ng pagpapatunay. Iyon ay, ang layunin ng panghihimasok ay upang makakuha ng isang password o anumang iba pang pagkakakilanlan.
Ang mga umaatake ay maaaring magkaroon ng epekto mula sa loob ng bagay mismo o mula sa labas. Makakakuha sila ng kinakailangang impormasyon mula sa mga mapagkukunan tulad ng isang audit trail o mga tool sa pag-audit.
Kadalasan, sinusubukan ng attacker na ilapat ang patakaran sa pagpapatupad at gumamit ng ganap na ligal na pamamaraan sa unang sulyap.
Ang hindi awtorisadong pag-access ay nalalapat sa mga sumusunod na mapagkukunan ng impormasyon:
- Website at panlabas na host
- enterprise wireless network;
- backup na mga kopya ng data.
Maraming mga paraan at pamamaraan ng hindi awtorisadong pag-access. Ang mga umaatake ay naghahanap ng mga maling akda at gaps sa pagsasaayos at arkitektura ng software. Tumatanggap sila ng data sa pamamagitan ng pagbabago ng software. Upang neutralisahin at mabawasan ang pagbabantay, inilunsad ng mga intruders ang mga bomba ng malware at logic.
Ano ang mga ligal na banta sa seguridad ng impormasyon ng kumpanya?
Ang pamamahala sa peligro ng seguridad ng impormasyon ay gumagana sa iba't ibang direksyon, dahil ang pangunahing layunin nito ay upang magbigay ng komprehensibo at holistic na proteksyon ng enterprise mula sa labis na panghihimasok.
Walang mas mahalaga kaysa sa teknikal na lugar ay ligal. Kaya, kung saan, tila, sa kabilang banda, ay dapat ipagtanggol ang mga interes, lumiliko ito upang makakuha ng napaka-kapaki-pakinabang na impormasyon.
Ang mga paglabag sa batas ay maaaring nauugnay sa mga karapatan sa pag-aari, copyright, at mga karapatan sa patent. Ang iligal na paggamit ng software, kabilang ang pag-import at pag-export, ay nahuhulog din sa kategoryang ito. Posible lamang na lumabag sa mga ligal na kinakailangan nang hindi sinusunod ang mga termino ng kontrata o balangkas ng pambatasan sa kabuuan.
Paano magtakda ng mga layunin sa seguridad ng impormasyon?
Ang pagtiyak ng seguridad ng impormasyon ay nagsisimula sa pagtaguyod ng lugar ng proteksyon. Kinakailangan na malinaw na tukuyin kung ano ang kailangang protektado at mula kanino. Para sa mga ito, ang isang larawan ng isang potensyal na kriminal ay natutukoy, pati na rin ang posibleng mga pamamaraan ng pag-hack at pagpapatupad. Upang magtakda ng mga layunin, una sa lahat, kailangan mong makipag-usap sa pamumuno. Sasabihin nito sa iyo ang mga priority na lugar ng proteksyon.
Mula sa sandaling ito, nagsisimula ang isang pag-audit ng impormasyon ng seguridad. Pinapayagan ka nitong matukoy kung ano ang proporsyon na kinakailangan upang mag-aplay ng mga pamamaraan sa teknolohikal at negosyo. Ang resulta ng prosesong ito ay ang pangwakas na listahan ng mga aktibidad, na pinagsama ang mga layunin ng yunit upang magbigay proteksyon laban sa hindi awtorisadong panghihimasok. Ang pamamaraan ng pag-audit ay naglalayong makilala ang mga kritikal na puntos at kahinaan sa system na makagambala sa normal na operasyon at pag-unlad ng negosyo.
Matapos magtakda ng mga layunin, ang isang mekanismo ay binuo para sa kanilang pagpapatupad. Nabuo ang mga instrumento upang makontrol at mabawasan ang mga panganib.
Ano ang papel na ginagampanan ng mga asset sa pagsusuri sa peligro?
Ang mga panganib ng seguridad ng impormasyon ng samahan ay direktang nakakaapekto sa mga pag-aari ng negosyo. Pagkatapos ng lahat, ang layunin ng mga umaatake ay upang makakuha ng mahalagang impormasyon. Ang pagkawala o pagsisiwalat nito ay tiyak na hahantong sa pagkalugi. Ang pinsala na dulot ng isang hindi awtorisadong panghihimasok ay maaaring magkaroon ng direktang epekto, o maaaring hindi tuwiran.Iyon ay, ang mga iligal na pagkilos na may kaugnayan sa samahan ay maaaring humantong sa isang kumpletong pagkawala ng kontrol sa negosyo.
Ang halaga ng pinsala ay tinatantya ayon sa mga pag-aari na magagamit sa samahan. Naapektuhan ang lahat ng mga mapagkukunan na nag-aambag sa anumang paraan sa pagkamit ng mga layunin sa pamamahala. Sa ilalim ng mga ari-arian ng negosyo ay tumutukoy sa lahat ng nasasalat at hindi nasasalat na mga ari-arian na nagdadala at makakatulong upang makabuo ng kita.
Ang mga Asset ay may ilang mga uri:
- materyal;
- tao
- impormasyon;
- pinansyal;
- proseso
- tatak at awtoridad.
Ang huli na uri ng pag-aari ay naghihirap sa karamihan mula sa hindi awtorisadong panghihimasok. Ito ay dahil sa ang katunayan na ang anumang mga panganib sa seguridad ng tunay na impormasyon ay nakakaapekto sa imahe. Ang mga problema sa lugar na ito ay awtomatikong binabawasan ang paggalang at tiwala sa tulad ng isang negosyo, dahil walang sinuman ang nagnanais ng kumpidensyal na impormasyon na ipabigay sa publiko. Ang bawat organisasyon na may respeto sa sarili ay nangangalaga sa pagprotekta sa sarili nitong mga mapagkukunan ng impormasyon.
Iba't ibang mga kadahilanan ang nakakaimpluwensya kung magkano at kung anong mga pag-aari ang dumanas. Nahahati sila sa panlabas at panloob. Ang kanilang kumplikadong epekto, bilang isang patakaran, ay nalalapat nang sabay-sabay sa ilang mga grupo ng mga mahalagang mapagkukunan.
Ang buong negosyo ng negosyo ay itinayo sa mga assets. Naroroon sila sa ilang mga lawak sa mga gawain ng anumang institusyon. Para sa ilan, ang ilang mga grupo ay mas mahalaga, at mas kaunti sa iba. Depende sa kung anong uri ng mga pag-aari ang pinamamahalaan ng mga umaatake, ang resulta, i.e. ang pinsala na sanhi, nakasalalay.
Ang isang pagtatasa ng mga panganib sa seguridad ng impormasyon ay ginagawang posible upang malinaw na matukoy ang pangunahing mga pag-aari, at kung naapektuhan sila, kung gayon ito ay puno ng hindi maibabawas na pagkalugi para sa negosyo. Ang pansin ay dapat bayaran sa mga pangkat na ito ng mga mahalagang mapagkukunan ng pamamahala mismo, dahil ang kanilang kaligtasan ay nasa lugar ng mga interes ng mga may-ari.
Ang pangunahing lugar para sa yunit ng seguridad ng impormasyon ay mga asset ng pandiwang pantulong. Ang isang espesyal na tao ay may pananagutan para sa kanilang proteksyon. Ang mga panganib laban sa kanila ay hindi kritikal at nakakaapekto lamang sa sistema ng pamamahala.
Ano ang mga kadahilanan ng seguridad ng impormasyon?
Ang pagkalkula ng mga panganib sa seguridad ng impormasyon ay kasama ang pagtatayo ng isang dalubhasang modelo. Kinakatawan nito ang mga node na konektado sa bawat isa sa pamamagitan ng mga functional na koneksyon. Mga Node - ito ang mga napaka pag-aari. Ginagamit ng modelo ang sumusunod na mahalagang mga mapagkukunan:
- mga tao
- diskarte;
- teknolohiya;
- proseso.
Ang mga buto-buto na nagbubuklod sa kanila ay magkaparehong mga kadahilanan ng peligro. Upang matukoy ang mga posibleng pagbabanta, pinakamahusay na makipag-ugnay sa departamento o espesyalista na direkta na gumagana sa mga pag-aari na ito. Ang anumang potensyal na kadahilanan ng peligro ay maaaring isang kinakailangan para sa pagbuo ng isang problema. Kinikilala ng modelo ang pangunahing banta na maaaring lumitaw.
Tungkol sa kawani, ang problema ay ang mababang antas ng edukasyon, kawalan ng kawani, kakulangan ng pagganyak.
Ang mga panganib sa proseso ay kasama ang pagkakaiba-iba ng kapaligiran, hindi magandang automation ng paggawa, at malabo paghihiwalay ng mga tungkulin.
Ang mga teknolohiya ay maaaring magdusa mula sa wala sa oras na software, kawalan ng kontrol sa mga gumagamit. Ang sanhi ay maaari ring mga problema sa isang heterogenous na teknolohiya ng teknolohiya ng impormasyon.
Ang bentahe ng modelong ito ay ang mga halaga ng threshold ng mga panganib sa seguridad ng impormasyon ay hindi malinaw na itinatag, dahil ang problema ay isinasaalang-alang mula sa iba't ibang mga anggulo.
Ano ang isang audit sa seguridad ng impormasyon?
Ang isang mahalagang pamamaraan sa larangan ng seguridad ng impormasyon ng isang negosyo ay pag-audit. Ito ay isang tseke ng kasalukuyang estado ng sistema ng proteksyon laban sa hindi awtorisadong panghihimasok. Ang proseso ng pag-audit ay tumutukoy sa antas ng pagsunod sa itinatag na mga kinakailangan.Ang pagpapatupad nito ay sapilitan para sa ilang mga uri ng mga institusyon, para sa natitira ito ay nagpapayo sa kalikasan. Isinasagawa ang pagsusuri na may kaugnayan sa dokumentasyon ng mga departamento ng accounting at buwis, teknikal na paraan at mga bahagi sa pananalapi at pang-ekonomiya.
Kinakailangan ang isang pag-audit upang maunawaan ang antas ng seguridad, at sa kaso ng hindi pagkakapare-pareho ng pag-optimize sa normal. Pinapayagan ka ng pamamaraang ito na suriin ang pagiging angkop ng mga pamumuhunan sa pananalapi sa seguridad ng impormasyon. Sa huli, ang eksperto ay magbibigay ng mga rekomendasyon sa rate ng paggastos sa pananalapi upang makakuha ng maximum na kahusayan. Pinapayagan ka ng pag-audit sa iyo upang ayusin ang mga kontrol.
Ang pagsusuri tungkol sa seguridad ng impormasyon ay nahahati sa maraming yugto:
- Pagtatakda ng mga layunin at paraan upang makamit ang mga ito.
- Pagsusuri ng impormasyon na kailangan upang maabot ang isang hatol.
- Pagproseso ng nakolekta na data.
- Dalubhasa opinyon at rekomendasyon.
Sa huli, ilalabas ng espesyalista ang kanyang desisyon. Ang mga rekomendasyon ng komisyon ay madalas na naglalayong baguhin ang mga pagsasaayos ng hardware, pati na rin ang mga server. Kadalasan ang isang problemang kumpanya ay inaalok upang pumili ng ibang paraan upang matiyak ang seguridad. Posible na ang isang hanay ng mga proteksyon na hakbang ay hihirangin ng mga eksperto para sa karagdagang pampalakas.
Ang trabaho pagkatapos makuha ang mga resulta ng pag-audit ay naglalayong ipaalam sa koponan ang tungkol sa mga problema. Kung kinakailangan, pagkatapos ay sulit na magsagawa ng karagdagang pagsasanay upang madagdagan ang edukasyon ng mga empleyado patungkol sa pangangalaga ng mga mapagkukunan ng impormasyon ng negosyo.