Kategoriler
...

Bilgi sistemlerinde güvenlik politikası

Artık her kişi veya kuruluş, yayınlama isteğinin olmadığı veya bunun tersine, elinden geldiğince pahalıya veda etme planları olduğunu bilmektedir. Bunun için bir güvenlik politikası gerekiyor. Bu, görevi, kamuoyu tarafından bilinmemesi gereken verilerin kontrolsüz dağıtımını engellemek olan böyle bir çalışma süresidir. Her durumda işi etkileyebilecek olası kayıp veya erişim dışı konular üzerinde çalışıyor. Ayrıca, bu yine de gerçekleşirse, hasarı en aza indirmek için genellikle bir dizi önlem verilir. Aslında, bir güvenlik politikası, aynı zamanda geçerli olduğu bir organizasyonun ekipmanı ve personeline ilişkin bir dizi kural ve yönetmeliktir. Etkinliği nasıl maksimize edilmelidir?

Her şeyden önce karmaşıklık

güvenlik politikasıBilgi koruma konusu tamamen ele alınmalıdır, ancak her şeyden önce, olası tüm veri kaybı kanallarını engellemek gerekir. Bu gereklidir, çünkü bireysel önlemlerin uygulanması neredeyse tüm sistemin güvenliğini arttırmaz. Bir örneğe bakalım. Bir evimiz var. İçine oldukça karmaşık kilitlerin bulunduğu bir zırhlı kapı kurduk. Ama aynı zamanda pencereleri açık bıraktık! Evimiz korunuyor mu? Cevap hayır. Yine de, tek katlı bir evde değil, bir gökdelenin 125. katında yaşıyor olsak da, güvenliği biraz daha artıracağız. Benzer bir ilke bilgi sistemlerinde koruma için de geçerlidir. Ayrı önlemler, güvenliği önemli ölçüde artırabilir veya minimum etki getirebilir. Her durumda, karmaşıklık açısından yaklaşmak gerekir.

Ne yapmak istenir?

güvenlik politikasıGenellikle, güvenliği sağlamak için, yazılım ve donanımın yanı sıra mühendislik ve organizasyonel önlemlerin bir birleşimi olan tam teşekküllü bir entegre bilgi koruma sistemi (ISIS) oluştururlar. Birlikte, otomatik sistemlerin normal çalışmasını sağlar. Güvenlik politikası yönetimi, yalnızca bilgisayar teknolojisine değil, aynı zamanda kurumun çalışanlarına da dayanır.

Kurumsal önlemler

Çok önemli ve çoğu zaman hafife alınmış bir bileşendir. Örgütsel önlemler altında bilgi güvenliği ile ilgili resmi bir politikanın uygulanmasındaki gelişimi ve uygulamayı anlayın. Bu içerir:

  1. Kullanıcıların ve servis personelinin uyması gereken iş tanımlarının hazırlanması.
  2. Bireysel sistem bileşenleri için yönetim kurallarının geliştirilmesi.
  3. Yetkisiz erişim girişimlerinin tanımlanması için bir eylem planı oluşturulması.
  4. Gizli bilgi medyasının muhasebesini, depolanmasını, çoğaltılmasını ve imha edilmesini öngörecek kuralların geliştirilmesi.
  5. Tanımlama konularının incelenmesi.
  6. Koruyucu ekipmanın arızalanması ve aşırı bir durumun ortaya çıkması durumunda bir planın geliştirilmesi.
  7. Tüm kullanıcıları kurallara göre eğitmek ve bilgi güvenliği önermek ve uygulamalarını izlemek.

Örgütsel önlemleri görmezden gelen sorunlar

güvenlik politikası uygulamasıBu alanda eğitim yapmazsanız ne olacak? O zaman insanlar savunma sisteminin en zor kısmı haline gelir. Bu yönü görmezden gelmenin sonucu genellikle bilgi sisteminin genel olarak restore edilmesinin imkansızlığıdır. Ve güvenlik politikasının hedeflerine her zaman ulaşılamayacak ve büyük problemlerle. Ancak verinin yedek bir kopyası olsa bile, yeniden oluşturulması biraz zaman alacaktır.Ek olarak, talimatların oluşturulması, bir çalışan tarafından her şeyin yaratıldığı ve başkaları tarafından restore edildiği veya rafine edildiği durumlarda çalışmayı kolaylaştıracaktır.

Örgütsel önlemlerin en önemli yönü

güvenlik politikası çerçevesiKullanıcılar, saldırganları tanımak için eğitilmelidir. Size ne kadar zor olduklarını gösterecek bazı örnekler verelim:

  1. Çalışan, sistemi test etmek, yazılım bileşenini değiştirmek veya başka bir makul görevi gerçekleştirmek için veritabanına erişim sağlayacak, şifresini isteyen başka bir yönetici veya müdürden bir çağrı veya e-posta alır. Sonuç, kaybolma olasılığının, kaybedilmesi muhtemel önemli bozulma ihtimalinin sahtekarlığı tarafından alınması olacaktır.
  2. Çalışan, web sayfasını, inandığı gibi şirketini ziyaret eder, ancak sahtedir. Verilerini giriyor. Ve hepsi bu kadar - bir saldırganın sisteme erişimi var. Ayrıca, çalışanın orada olmadığını farketmediği için resmi web sitesinde yönlendirme ve otomatik yetkilendirme yapılabilir.
  3. Saldırgandan etkilenen bir çalışan, programın veritabanına erişeceği, onu sileceği veya bazı hoş olmayan eylemlerde bulunacağı ortamla yıkanır.

Ve bunların hepsi olası seçenekler değil, sadece bazıları.

Entegre bilgi güvenliği sistemi temelinin hazırlanması

Bir güvenlik politikası geliştirmek, ciddi ve kapsayıcı bir yaklaşım gerektirir. Bu aşamalar halinde yapılır. İlk önce bilgi ve telekomünikasyon sistemini incelemelisiniz. Mimarisinin analizi, topolojisi, bileşenleri, bilgi kaynakları envanteri. Tüm sahiplerin ve kullanıcıların tanımlanması ve ilgili belgelere sahip olmaları gerekir. Önemine bağlı olarak, farklı gizlilik akbabaları. Güvenlik politikasının toplanan ve analiz edilen verilere dayandığı unutulmamalıdır. Bilgi dizisi ne kadar büyük işlenirse, sonuç o kadar iyi olur.

Koruma ile tanımlanmış

güvenlik politikası geliştirmeBir tehdit modeli oluşturmak gereklidir. İçinde bilgisayar sistemi bir dizi hizmet olarak sunulmaktadır. Her birinin birçok tehdit tanımlamanıza izin veren kendi işlevleri vardır. Bunlar arasında:

  1. Gizliliğe tehdit. Bu, içeriğin izinsiz okunması ile ilgili her şeyi içerir;
  2. Bütünlüğe tehditler. İzinsiz değişikliklerle ilgili olan veya bilgilerin yok edilmesini gerektiren her şey;
  3. Erişilebilirlik tehditleri. Buna bilgi sisteminin kötüye kullanılması olasılığı da dahildir;
  4. Gözlemin tehditleri. Kullanıcı eylemleri üzerinde kontrolü ve kontrolü sağlamanın tüm problemlerini araştırıyor.

Güvenlik politikası çerçevelerinin olası her tehdit için çözümleri olmalıdır. Ancak aynı zamanda makul bir çizgiye uymak gerekir. Bu nedenle, kuruluşun resmi web sitesinde yayınlanan bilgilerin gizliliğini çözmenin bir anlamı yoktur ve fikir edinmek isteyen herkes için erişilebilir olmalıdır.

Tehditlerin niteliği

güvenlik politikası hedefleriProblemlerin sebebi olarak neyin hareket ettiği ile belirlenir. Üç tür vardır:

  1. Doğal karakter. Bu, doğal afetleri, yangınları ve benzeri sorunları içerir. En büyük fiziksel hasarı veriyorlar. Onlara karşı savunmak en zoru. Ancak böyle bir tehdidin olasılığı en düşüktür. Koruma olarak, farklı bölgelere yerleştirme ve binanın yapısal özellikleri (duvarın kalınlaşması, yangından korunma vb.) Kullanılır.
  2. Teknik karakter Buna kazalar, ekipman arızaları, arızalar dahildir. Nispeten yüksek hasara neden olurlar. Veri çoğaltma mekanizmaları kullanarak onlardan korunurlar.
  3. İnsan faktörü. Kasıtlı kötülük niyetinin her zaman anlaşılmadığı anlaşılmaktadır.Bu aynı zamanda tasarım, işletim, sistem bileşenlerinin geliştirilmesi, kullanıcılar tarafından istenmeyen eylemler gibi hataları da içerebilir. Tamamen teknik açıdan bakıldığında, sunucu odasındaki eğitimsiz bir temizlikçi, ekipman için organize ve deneyimli bir bilgisayar kraker grubundan daha az tehdit oluşturmaz.

Güvenlik politikasının amaçları, bu sorunları önlemektir ve eğer olduysa, alınan hasarı en aza indiren bir dizi önlem uygulayın.

Tehdit Modeli Özellikleri

güvenlik politikası bir dizi kural ve düzenlemedir.Geliştirirken, farklı bilgi türlerinin farklı bir güvenlik sistemine sahip olması gerektiği unutulmamalıdır. Dolayısıyla, web sitesinde bulunan kamuya açık verilerle ilgili olarak, bütünlüklerine ve erişilebilirliklerine dikkat etmenin gerekli olduğunu söyleyebiliriz. Herkesin onları görmesi gerektiğinden, gizlilik sorunu göz ardı edilebilir. Oysa şirket içinde dolaşımda olan verilerin yetkisiz erişime karşı korunması gerekir. Ancak her şeyin en üst düzeyde tam olarak korunması çok fazla güç ve kaynak gerektirir. Bu nedenle, en yüksek güvenliği sağlayan en önemli verilerle belirlenirler. Diğer bilgiler ise değerlerine göre korunmaktadır.

Davetsiz misafir modeli

İnsanlar üzerine inşa edilmiştir. Olası tüm ihlalci türlerini tanımlar ve onlara ayrıntılı bir açıklama verir. Bu nedenle, modeller profesyonel krakerlere, deneyimsiz paralı askerlere, sıradan holiganlara ve işletmenin çalışanlarına göre oluşturulur. Bu durumda en büyük tehlike eski tarafından sağlanır. Bu, yetkisiz erişimi sağlamak için gerekli bilgi ve teknik araçlara sahip olmalarından kaynaklanmaktadır. Profesyonelleri işletmelerin çalışanları takip eder, çünkü bilgiye erişebilirler ve güvenlik sisteminin organizasyonu hakkında bilgi sahibi olabilirler. Bu, kaynakları etkilemek için çok az fırsat sağlar. Bu nedenle, eğer motivasyon varsa, çalışanlar (genellikle, nadir olmayan) önemli bir hasara neden olabilir. Ve eğer saldırganlar da onlara yönelirse, o zaman bu genellikle üzücü bir hikaye.

Belgeler

güvenlik politikasıÖnceki tüm adımlar tamamlandığında, “Gerekli Bilgi Güvenliği Politikası”, “CSIS Yaratılması için Referans Şartları” ve diğer konular gibi gerekli tüm makaleler hazırlanmıştır. Bundan sonra, bir dizi yazılım ve donanım koruması gerçekleştirilir ve özellikleri yapılandırılır. Sonuçta, “CSIS Yaratılması için Teknik Proje” üzerine dokümantasyon geliştiriliyor. Her şey hazır olduğunda, seçilen araçları, önlemleri ve bilgi sistemini korumanın yollarını uygulamaya başlamak zaten mümkün.

kontrol

güvenlik politikası yönetimiAncak sadece yaratmak yeterli değildir. Her şeyin doğru çalıştığından emin olmak ve periyodik olarak bu durumun devam ettiğini görmek de gereklidir. Bunu yapmak için, bütünlük izleme, gereksinimlerin açıklanması (revizyon) gerçekleştirilir ve bilgi sisteminin durumu analiz edilir. Güvenlikten sorumlu yönetici hakkında konuşursak, o zaman “iyi bir yönetici sürekli uyuma yeteneğine sahip bir kişidir” kuralı burada geçerli değildir. Bilgi sistemi, iç ve dış koşulların sürekli değiştiği dinamik bir nesnedir. Aynı şekilde, bir organizasyonun yapısı kalıcı bir şey değildir. Yeni yapısal birimler veya bölümler, hizmetler (destek veya veri tabanları gibi) oluşturulabilir veya bir odadan diğerine bir hareket olacaktır. Sistem içerisinde dolaşan bilgiler de değişmektedir. Bu nedenle, bilgi sistemlerindeki güvenlik politikası tüm yukarıdaki hususları göz önünde bulundurmalı ve dikkate almalıdır. Bu, güvenliğin çökmüş bir şey olduğunu söylemek değildir. Hayır, sürekli iyileştirme ve zorluklara uyum sağlama ihtiyacı göz önüne alındığında, buna bir süreç demek daha iyi olur.

Sonuçların değerlendirilmesi

Etkinliği belirlemek için kullanılır.Bu parametreyi belirleyebileceğiniz özel teknikler var. Sadece, böyle bir kontrolün tek başına yapılması, gözle görülür tüm kusurların, koruma sisteminin yaratıcıları tarafından giderilmiş olması nedeniyle oldukça zordur. Bu nedenle, bir kural olarak, bu görev genellikle üçüncü bir tarafa emanet edilir. Ve o farklı bir pozisyondan teste yaklaşacak ve geliştiricilerin kendileri tarafından kaçırılmış zayıf bir noktayı fark etmesi çok muhtemel. Aslında, bu tür denetçiler kraker gibi davranırlar, ancak olası tüm verileri şirketin kendisinden gelen nakit ödemeler şeklinde kullanmaktan zaten faydalanmışlardır. Bu gibi anlardan güvenlik politikasının uygulanmasına başlanmıştır.

Sonuç

güvenlik politikası hedefleriBelki de küçük işletme kendi güvenlik politikasını geliştirmenin bir anlamı yoktur. Ancak, çok uzun süre çalışmayı planlayan büyük işletmeler için, zamanın belirli noktalarındaki değeri olağanüstü olabilir. Bir güvenlik politikası yüksek düzeyde geliştirilirse, şirket temsilcileri onları neyin koruduğunu bile bilmiyor olabilir. Mantıklı görünmese bile, bu deneyimin herhangi bir faaliyet alanında kullanımı son derece önemlidir.


Yorum ekle
×
×
Yorumu silmek istediğinize emin misiniz?
silmek
×
Şikayet nedeni

Kız bir ay boyunca para harcamaya çalıştı. Deney onun karışık duygularını bıraktı

Başarı hikayeleri

ekipman