Chính sách bảo mật trong hệ thống thông tin

Bây giờ mỗi người hoặc tổ chức đều có thông tin rằng không có mong muốn xuất bản, hoặc ngược lại, có kế hoạch để nói lời tạm biệt với nó đắt nhất có thể. Và đối với điều này, một chính sách bảo mật là cần thiết. Đây là một thời gian hoạt động như vậy, nhiệm vụ của nó là ngăn chặn việc phân phối dữ liệu không được kiểm soát mà công chúng không nên biết. Cô đang làm việc về các vấn đề có thể mất hoặc không truy cập, trong mọi trường hợp sẽ ảnh hưởng đến công việc. Ngoài ra, nếu điều này vẫn xảy ra, một loạt các biện pháp thường được cung cấp để giảm thiểu thiệt hại. Trong thực tế, chính sách bảo mật là một bộ quy tắc và quy định liên quan đến thiết bị và nhân sự của một tổ chức, cũng được áp dụng. Làm thế nào để hiệu quả của nó được tối đa hóa?

Sự phức tạp trên tất cả

Vấn đề bảo vệ thông tin cần được giải quyết đầy đủ, nhưng trước hết, cần phải chặn tất cả các kênh mất dữ liệu có thể. Điều này là cần thiết bởi vì việc áp dụng các biện pháp riêng lẻ hầu như không làm tăng tính bảo mật của toàn bộ hệ thống. Hãy xem xét một ví dụ. Chúng tôi có một ngôi nhà. Trong đó, chúng tôi đã lắp đặt một cánh cửa bọc thép trong đó có những ổ khóa cực kỳ phức tạp. Nhưng đồng thời chúng tôi để cửa sổ mở! Nhà của chúng ta có được bảo vệ không? Câu trả lời là không. Mặc dù, nếu chúng ta vẫn không sống trong một ngôi nhà một tầng, nhưng trên tầng 125 của một tòa nhà chọc trời, thì chúng ta vẫn sẽ tăng cường an ninh một chút. Một nguyên tắc tương tự áp dụng để bảo vệ trong các hệ thống thông tin. Các biện pháp riêng biệt có thể làm tăng đáng kể sự an toàn, hoặc mang lại hiệu quả tối thiểu. Trong mọi trường hợp, cần phải tiếp cận từ quan điểm về sự phức tạp.

Điều gì là mong muốn để làm gì?

Thông thường, để đảm bảo an ninh, họ tạo ra một hệ thống bảo vệ thông tin tích hợp đầy đủ (CSIS), là sự kết hợp của các biện pháp kỹ thuật và tổ chức, cũng như phần mềm và phần cứng. Cùng nhau, họ đảm bảo hoạt động bình thường của các hệ thống tự động. Quản lý chính sách bảo mật là mong muốn không chỉ dựa vào công nghệ máy tính, mà còn dựa vào đội ngũ nhân viên của tổ chức.

Biện pháp tổ chức

Nó là một thành phần rất quan trọng và thường bị đánh giá thấp. Theo các biện pháp tổ chức hiểu được sự phát triển và thực hiện trong thực tế của một chính sách chính thức về bảo mật thông tin. Điều này bao gồm:

1. Soạn thảo các mô tả công việc mà người dùng và nhân viên dịch vụ phải tuân thủ.
2. Phát triển các quy tắc quản trị cho các thành phần hệ thống cá nhân.
3. Tạo một kế hoạch hành động để xác định các nỗ lực truy cập trái phép
4. Phát triển các quy tắc sẽ quy định kế toán, lưu trữ, tái sản xuất và phá hủy phương tiện thông tin bí mật.
5. Các nghiên cứu về các vấn đề nhận dạng.
6. Xây dựng kế hoạch trong trường hợp hỏng thiết bị bảo vệ và xảy ra tình huống cực kỳ nghiêm trọng.
7. Đào tạo tất cả người dùng về các quy tắc và khuyến nghị bảo mật thông tin, cũng như giám sát việc thực hiện của họ.

Vấn đề trong việc bỏ qua các biện pháp tổ chức

Điều gì sẽ xảy ra nếu bạn không tiến hành đào tạo trong lĩnh vực này? Sau đó, mọi người trở thành phần khó khăn nhất của hệ thống phòng thủ. Kết quả của việc bỏ qua khía cạnh này thường là thậm chí không thể khôi phục hệ thống thông tin nói chung. Và các mục tiêu của chính sách bảo mật sẽ không phải lúc nào cũng đạt được với những vấn đề lớn. Nhưng ngay cả khi có một bản sao lưu dữ liệu, nó sẽ mất một thời gian để tạo lại.Ngoài ra, việc tạo hướng dẫn sẽ giúp bạn làm việc dễ dàng hơn trong các tình huống trong đó mọi thứ được tạo bởi một nhân viên và được phục hồi hoặc tinh chỉnh bởi người khác.

Khía cạnh quan trọng nhất của các biện pháp tổ chức

Người dùng nên được đào tạo để nhận ra kẻ tấn công. Hãy đưa ra một số ví dụ sẽ chứng minh cho bạn thấy chúng khó đến mức nào:

1. Nhân viên nhận được một cuộc gọi hoặc email từ giám đốc hoặc người quản lý cấp cao khác yêu cầu mật khẩu của anh ta, họ sẽ cấp quyền truy cập vào cơ sở dữ liệu để kiểm tra hệ thống, sửa đổi thành phần phần mềm hoặc thực hiện một nhiệm vụ hợp lý khác. Kết quả sẽ là nhận được bởi kẻ lừa đảo về khả năng loại bỏ hoặc biến dạng đáng kể, sẽ kéo theo tổn thất.
2. Nhân viên truy cập trang web, như anh ta tin, về công ty của mình, nhưng thực sự là giả mạo. Nhập dữ liệu của mình. Và đó là tất cả - một kẻ tấn công có quyền truy cập vào hệ thống. Hơn nữa, để nhân viên không nhận ra rằng anh ta không ở đó, việc chuyển hướng và ủy quyền tự động trên trang web chính thức có thể được thực hiện.
3. Một nhân viên bị nhiễm kẻ tấn công được tuôn ra với phương tiện mà chương trình sẽ mở quyền truy cập vào cơ sở dữ liệu, xóa nó hoặc thực hiện một số hành động khó chịu khác.

Và đây không phải là tất cả các tùy chọn có thể, nhưng chỉ một số.

Chuẩn bị cơ sở của một hệ thống bảo mật thông tin tích hợp

Phát triển một chính sách bảo mật đòi hỏi một cách tiếp cận nghiêm túc và toàn diện. Điều này được thực hiện trong các giai đoạn. Đầu tiên bạn cần kiểm tra hệ thống thông tin và viễn thông. Việc phân tích kiến ​​trúc, cấu trúc liên kết, các thành phần của nó, kiểm kê tài nguyên thông tin. Tất cả chủ sở hữu và người dùng được yêu cầu phải được xác định và sở hữu tài liệu liên quan. Tùy theo tầm quan trọng, khác nhau Kền kền bí mật. Cần nhớ rằng chính sách bảo mật dựa trên dữ liệu được thu thập và phân tích. Mảng thông tin sẽ được xử lý càng lớn thì kết quả cuối cùng càng tốt.

Xác định với bảo vệ

Nó là cần thiết để xây dựng một mô hình mối đe dọa. Trong đó, một hệ thống máy tính được trình bày dưới dạng một tập hợp các dịch vụ. Mỗi người trong số họ có bộ chức năng riêng, cho phép bạn xác định nhiều mối đe dọa. Trong số đó là:

1. Đe dọa đến quyền riêng tư. Điều này bao gồm mọi thứ liên quan đến việc đọc nội dung trái phép;
2. Đe dọa tính toàn vẹn. Tất cả mọi thứ liên quan đến sửa đổi trái phép hoặc đòi hỏi phải phá hủy thông tin;
3. Đe dọa tiếp cận. Điều này bao gồm khả năng sử dụng sai hệ thống thông tin;
4. Đe dọa quan sát. Nó khám phá tất cả các khả năng của vấn đề với nhận dạng và đảm bảo kiểm soát hành động của người dùng.

Khung chính sách bảo mật phải có giải pháp cho mọi mối đe dọa có thể. Nhưng đồng thời cần phải tuân thủ một dòng hợp lý. Vì vậy, sẽ không có ý nghĩa gì khi tìm ra tính bảo mật của thông tin được đăng trên trang web chính thức của tổ chức và nên có thể truy cập được đối với tất cả những ai muốn có ý tưởng.

Bản chất của các mối đe dọa

Nó được xác định bởi những gì đóng vai trò là nguyên nhân của các vấn đề. Có ba loại:

1. Nhân vật tự nhiên. Điều này bao gồm thiên tai, hỏa hoạn và các vấn đề tương tự. Họ gây sát thương vật lý lớn nhất. Nó là khó khăn nhất để bảo vệ chống lại họ. Nhưng khả năng của một mối đe dọa như vậy là thấp nhất. Khi bảo vệ, vị trí trên các lãnh thổ khác nhau và các đặc điểm cấu trúc của tòa nhà (làm dày tường, chống cháy, v.v.) được sử dụng.
2. Nhân vật kỹ thuật. Điều này bao gồm tai nạn, lỗi thiết bị, trục trặc. Chúng gây ra thiệt hại tương đối cao. Chúng được bảo vệ khỏi chúng bằng cách sử dụng các cơ chế sao chép dữ liệu.
3. Yếu tố con người. Bởi nó không phải lúc nào cũng được hiểu là cố ý xấu.Điều này cũng có thể bao gồm các lỗi trong thiết kế, vận hành, phát triển các thành phần hệ thống, hành động ngoài ý muốn của người dùng. Từ quan điểm thuần túy về mặt kỹ thuật, một phụ nữ dọn dẹp không được đào tạo trong phòng máy chủ đặt ra mối đe dọa không kém cho thiết bị so với một nhóm máy bẻ khóa có tổ chức và có kinh nghiệm.

Mục tiêu của chính sách bảo mật là ngăn chặn những vấn đề này và nếu chúng đã xảy ra, thì hãy thực hiện một bộ các biện pháp nhằm giảm thiểu thiệt hại nhận được.

Đặc điểm mô hình đe dọa

Khi phát triển nó, cần lưu ý rằng các loại thông tin khác nhau phải có một hệ thống bảo mật khác nhau. Vì vậy, liên quan đến dữ liệu công khai trên trang web, chúng tôi có thể nói rằng cần phải quan tâm đến tính toàn vẹn và khả năng truy cập của họ. Vì mọi người nên xem chúng, vấn đề riêng tư có thể bị bỏ qua. Trong khi đó dữ liệu lưu hành trong công ty phải được bảo vệ khỏi sự truy cập trái phép. Nhưng việc bảo vệ toàn bộ mọi thứ ở mức cao nhất đòi hỏi rất nhiều sức mạnh và nguồn lực. Do đó, chúng được xác định với dữ liệu quan trọng nhất, đảm bảo an toàn cao nhất. Và các thông tin khác được bảo vệ theo giá trị của nó.

Mô hình xâm nhập

Nó được xây dựng trên con người. Nó xác định tất cả các loại vi phạm có thể và cung cấp cho họ một mô tả chi tiết. Vì vậy, các mô hình được tạo ra liên quan đến bánh quy chuyên nghiệp, lính đánh thuê thiếu kinh nghiệm, côn đồ thông thường, nhân viên của doanh nghiệp. Mối nguy hiểm lớn nhất trong trường hợp này được cung cấp bởi trước đây. Điều này là do thực tế là họ có bộ kiến ​​thức và phương tiện kỹ thuật cần thiết để thực hiện truy cập trái phép. Chuyên gia được theo dõi bởi nhân viên của các doanh nghiệp, vì họ có quyền truy cập thông tin, và cũng có thể được làm quen với tổ chức của hệ thống an ninh. Điều này đã cung cấp các cơ hội tối thiểu để ảnh hưởng đến tài nguyên. Do đó, nếu có động lực, nhân viên có thể gây ra thiệt hại đáng kể (mà nói chung, không phải là hiếm). Và nếu những kẻ tấn công cũng quay sang họ, thì đây thường là một câu chuyện buồn.

Tài liệu

Khi tất cả các bước trước đó được hoàn thành, thì tất cả các giấy tờ cần thiết sẽ được xử lý, chẳng hạn như: Chính sách bảo mật thông tin của Hồi giáo, Điều khoản tham chiếu cho việc tạo ra một CSIS và các vấn đề khác. Sau đó, một lựa chọn bảo vệ phần mềm và phần cứng được thực hiện và các đặc tính của chúng được cấu hình. Cuối cùng, tài liệu đang được phát triển trên Dự án Kỹ thuật của Ban cho việc tạo ra một CSIS. Khi mọi thứ đã sẵn sàng, bạn đã có thể bắt đầu thực hiện các công cụ, biện pháp và cách thức được lựa chọn để bảo vệ hệ thống thông tin.

Kiểm soát

Nhưng chỉ tạo ra là không đủ. Cũng cần phải đảm bảo rằng mọi thứ đều hoạt động chính xác, và định kỳ thấy rằng tình trạng này vẫn tồn tại. Để làm điều này, giám sát toàn vẹn, làm rõ các yêu cầu (sửa đổi) được thực hiện và trạng thái của hệ thống thông tin được phân tích. Nếu chúng ta nói về quản trị viên chịu trách nhiệm về bảo mật, thì quy tắc mà một quản trị viên giỏi là người có khả năng liên tục ngủ ngủ không áp dụng ở đây. Hệ thống thông tin là một đối tượng động trong đó các điều kiện bên trong và bên ngoài luôn thay đổi. Tương tự như vậy, cấu trúc của một tổ chức không phải là một cái gì đó vĩnh viễn. Các đơn vị cấu trúc mới hoặc các phòng ban, dịch vụ (như hỗ trợ hoặc cơ sở dữ liệu) có thể được tạo ra, hoặc sẽ có sự di chuyển từ phòng này sang phòng khác. Thông tin lưu thông qua hệ thống cũng thay đổi. Do đó, chính sách bảo mật trong các hệ thống thông tin nên tính đến tất cả các khía cạnh trên và đưa chúng vào tài khoản. Điều này không có nghĩa là an ninh là một cái gì đó đã ổn định. Không, do nhu cầu cải tiến liên tục và thích ứng với các thách thức, sẽ tốt hơn nếu gọi đó là một quá trình.

Điểm số

Được sử dụng để xác định hiệu quả.Có những kỹ thuật đặc biệt mà bạn có thể xác định tham số này. Chỉ là việc tự mình kiểm tra như vậy là khá khó khăn do thực tế là tất cả các lỗ hổng có thể nhìn thấy đã bị loại bỏ bởi những người tạo ra hệ thống bảo vệ. Do đó, theo quy định, nhiệm vụ này thường được giao cho bên thứ ba. Và cô ấy, từ một vị trí khác, sẽ tiếp cận bài kiểm tra và rất có khả năng cô ấy sẽ có thể nhận thấy một điểm yếu mà chính các nhà phát triển đã bỏ qua. Trên thực tế, những thanh tra viên này đóng vai trò là những kẻ bẻ khóa, nhưng họ đã được hưởng lợi từ việc sử dụng tất cả các dữ liệu có thể dưới dạng thanh toán tiền mặt từ chính công ty. Chính từ những khoảnh khắc như vậy, việc thực hiện chính sách bảo mật được thực hiện.

Kết luận

Có lẽ doanh nghiệp nhỏ không có ý nghĩa để phát triển chính sách bảo mật của riêng mình. Nhưng đối với các doanh nghiệp lớn có kế hoạch hoạt động trong một thời gian rất dài, giá trị của nó tại một số thời điểm nhất định có thể là phi thường. Nếu một chính sách bảo mật được phát triển ở mức cao, thì đại diện công ty thậm chí có thể không bao giờ biết những gì nó bảo vệ họ khỏi. Và ngay cả khi nó dường như không có ý nghĩa, việc sử dụng trải nghiệm này trong bất kỳ lĩnh vực hoạt động nào là vô cùng quan trọng.