Категории
...

Политика за сигурност в информационните системи

Сега всеки човек или организация разполага с информация, че няма желание да публикува, или, обратно, има планове да се сбогува с нея възможно най-скъпо. И за това е необходима политика за сигурност. Това е такова работно време, чиято задача е да потисне неконтролираното разпространение на данни, които не трябва да бъдат известни на широката общественост. Тя работи по въпроси за възможни загуби или недостъпност, които във всеки случай ще повлияят на работата. Освен това, ако това все още се е случило, обикновено се предвижда набор от мерки за намаляване на щетите. Всъщност политиката за сигурност е набор от правила и разпоредби относно оборудването и персонала на организацията, към които също се прилага. Как трябва да се увеличи ефективността му?

Сложност преди всичко

политика за сигурностВъпросът за защитата на информацията трябва да бъде напълно решен, но на първо място е необходимо да се блокират всички възможни канали за загуба на данни. Това е необходимо, тъй като прилагането на индивидуални мерки почти не повишава сигурността на цялата система. Нека да разгледаме един пример. Имаме къща. В него монтирахме блиндирана врата, в която има изключително сложни брави. Но в същото време оставихме прозорците отворени! Защитен ли е домът ни? Отговорът е не. Въпреки че, ако все още живеем не в едноетажна къща, а на 125-ия етаж на небостъргач, тогава все пак ще повишим леко сигурността. Подобен принцип важи за защитата в информационните системи. Отделните мерки могат значително да повишат безопасността или да доведат до минимален ефект. Във всеки случай е необходимо да се подходи от гледна точка на сложността.

Какво е желателно да се направи?

политика за сигурност еЧесто, за да осигурят сигурност, те създават пълноценна интегрирана система за защита на информацията (CSIS), която е комбинация от инженерни и организационни мерки, както и софтуер и хардуер. Заедно те осигуряват нормалната работа на автоматизираните системи. Управлението на политиките за сигурност е желателно да се разчита не само на компютърните технологии, но и на персонала на организацията.

Организационни мерки

Той е много важен и често подценяван компонент. Под организационни мерки се разбира разработването и прилагането на практика на официална политика по отношение на сигурността на информацията. Това включва:

  1. Изготвяне на длъжностни характеристики, които потребителите и обслужващият персонал трябва да спазват.
  2. Разработване на правила за администриране на отделни компоненти на системата.
  3. Създаване на план за действие за идентифициране на неоторизирани опити за достъп.
  4. Разработване на правила, които ще определят отчитането, съхраняването, възпроизвеждането и унищожаването на поверителна информационна среда.
  5. Проучването на проблемите на идентифицирането.
  6. Разработване на план в случай на повреда на защитното оборудване и възникване на извънредна ситуация.
  7. Обучение на всички потребители на правилата и препоръчване на информационната сигурност, както и наблюдение на тяхното изпълнение.

Проблеми с игнорирането на организационни мерки

прилагане на политиката за сигурностКакво ще се случи, ако не проведете обучение в тази област? Тогава хората стават най-трудната част от отбранителната система. Резултатът от игнорирането на този аспект често е дори невъзможността за възстановяване на информационната система като цяло. И целите на политиката за сигурност не винаги ще бъдат постигнати и с големи проблеми. Но дори и да има резервно копие на данните, ще отнеме известно време за пресъздаване.Освен това създаването на инструкции ще улесни работата в ситуации, когато всичко е създадено от един служител и възстановено или усъвършенствано от друг.

Най-важният аспект на организационните мерки

рамка на политиката за сигурностПотребителите трябва да бъдат обучени да разпознават нападателите. Нека да дадем няколко примера, които ще ви демонстрират колко са сложни:

  1. Служителят получава обаждане или имейл от директора или друг висш мениджър с искане за паролата си, което ще даде достъп до базата данни за тестване на системата, промяна на софтуерния компонент или извършване на друга правдоподобна задача. Резултатът ще бъде получаването от измамника на възможността за отстраняването му или значително изкривяване, което ще доведе до загуби.
  2. Служителят посещава уеб страницата, както той вярва, на своята компания, но всъщност е фалшива. Въвежда своите данни. И това е всичко - нападател има достъп до системата. Освен това, така че служителят да не осъзнава, че го няма, може да се извърши пренасочване и автоматично разрешение на официалния уебсайт.
  3. Служител, заразен с нападател, се промива с медия, върху която програмата ще отвори достъп до базата данни, ще я изтрие или ще предприеме някои други неприятни действия.

И това не са всички възможни варианти, а само някои.

Подготовка на основата на интегрирана система за информационна сигурност

Разработването на политика за сигурност изисква сериозен и всеобхватен подход. Това се прави на етапи. Първо трябва да проучите информационната и телекомуникационната система. Анализът на неговата архитектура, топология, компоненти, опис на информационни ресурси. Всички собственици и потребители трябва да бъдат идентифицирани и да притежават съответна документация. В зависимост от важността, различни лешояди на секретност. Трябва да се помни, че политиката за сигурност се основава на събраните и анализирани данни. Колкото по-голям масив от информация ще бъде обработен, толкова по-добър е крайният резултат.

Определено със защита

разработване на политика за сигурностНеобходимо е да се изгради модел на заплаха. В него компютърна система е представена като набор от услуги. Всеки от тях има собствен набор от функции, което ви позволява да идентифицирате много заплахи. Сред тях са:

  1. Заплахи за неприкосновеността на личния живот. Това включва всичко, свързано с нерегламентирано четене на съдържанието;
  2. Заплахи за целостта. Всичко, което се отнася до неразрешено изменение или води до унищожаване на информация;
  3. Заплахи за достъпността. Това включва възможността за неправилна употреба на информационната система;
  4. Заплахи от наблюдение. Той изследва всички възможности за проблеми с идентифицирането и осигуряването на контрол върху действията на потребителите.

Рамките на политиката за сигурност трябва да имат решения за всяка възможна заплаха. Но в същото време е необходимо да се придържаме към разумна линия. Така че няма смисъл да се работи с поверителността на информацията, която е публикувана на официалния уебсайт на организацията и трябва да бъде достъпна за всички, които желаят идеята.

Характер на заплахите

цели на политиката за сигурностОпределя се от това, което действа като причина за проблемите. Има три вида:

  1. Естествен характер. Това включва природни бедствия, пожари и подобни проблеми. Нанасят най-големите физически щети. Най-трудно е да се защитим срещу тях. Но вероятността от такава заплаха е най-ниска. Като защита се използват разположението на различни територии и структурни особености на сградата (удебеляване на стената, противопожарна защита и т.н.).
  2. Технически характер. Това включва аварии, повреди в оборудването, неизправности. Те причиняват сравнително големи щети. Те са защитени от тях чрез механизми за дублиране на данни.
  3. Човешкият фактор. Под него не винаги се разбира умишлено зло намерение.Това може да включва и грешки в проектирането, работата, разработването на системни компоненти, непредвидени действия от страна на потребителите. От чисто техническа гледна точка, необучена дама за почистване в сървърната стая представлява не по-малко заплаха за оборудването, отколкото организирана и опитна група компютърни бисквити.

Целите на политиката за сигурност са да се предотвратят тези проблеми и ако те се случиха, тогава да се приложи набор от мерки, които да минимизират получените щети.

Характеристики на модела на заплаха

политиката за сигурност е набор от правила и разпоредбиПри разработването му трябва да се има предвид, че различните видове информация трябва да имат различна система за сигурност. Така че по отношение на публичните данни, които са на уебсайта, можем да кажем, че е необходимо да се грижим за тяхната цялост и достъпност. Тъй като всички трябва да ги видят, проблемът с поверителността може да се игнорира. Като има предвид, че данните, които циркулират вътре в компанията, трябва да бъдат защитени от неоторизиран достъп. Но пълната защита на всичко на най-високо ниво изисква много сили и ресурси. Следователно те се определят с най-важните данни, което осигурява най-голяма сигурност. И друга информация е защитена в съответствие с нейната стойност.

Нарушител Модел

Тя е изградена върху хората. Той идентифицира всички възможни видове нарушители и им дава подробно описание. Така че, моделите са създадени по отношение на професионални крекери, неопитни наемници, обикновени хулигани, служители на предприятието. Най-голямата опасност в този случай представлява първата. Това се дължи на факта, че те разполагат с необходимия набор от знания и технически средства за извършване на неоторизиран достъп. Професионалистите са последвани от служители на предприятия, тъй като те имат достъп до информация, а също така могат да се запознаят с организацията на системата за сигурност. Това вече предоставя минимални възможности за влияние върху ресурсите. Следователно, ако има мотивация, служителите могат да причинят значителни щети (което по принцип не е рядкост). И ако нападателите също се обърнат към тях, то това като цяло е тъжна история.

Документацията

политиката за сигурност се основава наКогато всички предишни стъпки са завършени, тогава се изработват всички необходими документи, като: „Политика за информационна сигурност“, „Техническо задание за създаване на CSIS“ и други въпроси. След това се извършва подбор на софтуерна и хардуерна защита и техните характеристики се конфигурират. В крайна сметка се разработва документация за „Технически проект за създаване на CSIS”. Когато всичко е готово, вече е възможно да започнете да прилагате избраните инструменти, мерки и начини за защита на информационната система.

контрол

управление на политиката за сигурностНо само създаването не е достатъчно. Необходимо е също така да се уверите, че всичко работи правилно, и периодично да виждате, че това състояние продължава. За целта се извършва мониторинг на целостта, изясняване на изискванията (преразглеждане) и се анализира състоянието на информационната система. Ако говорим за администратора, отговорен за сигурността, тогава правилото "добър администратор е човек, който има способността постоянно да спи" не важи тук. Информационната система е динамичен обект, в който вътрешните и външните условия постоянно се променят. По същия начин структурата на една организация не е нещо постоянно. Могат да бъдат създадени нови структурни звена или отдели, услуги (като поддръжка или бази данни) или ще има преместване от една стая в друга. Информацията, която циркулира през системата, също се променя. Следователно политиката за сигурност в информационните системи следва да отчита всички горепосочени аспекти и да ги взема предвид. Това не означава, че сигурността е нещо, което се е установило. Не, предвид необходимостта от непрекъснато усъвършенстване и адаптиране към предизвикателствата, би било по-добре да се нарече процес.

Оценка на резултатите от

Използва се за определяне на ефективността.Има специални техники, с които можете да определите този параметър. Просто самото провеждане на такава проверка е доста трудно поради факта, че всички видими недостатъци е трябвало да бъдат отстранени от създателите на системата за защита. Следователно, като правило, тази задача често се поверява на трета страна. И тя, от друга позиция, ще се приближи до теста и е много вероятно да успее да забележи слабо място, което беше пропуснато от самите разработчици. Всъщност такива инспектори действат като кракери, но те вече са се възползвали от използването на всички възможни данни под формата на парични плащания от самата компания. Именно от такива моменти се прави изпълнението на политиката за сигурност.

заключение

цели на политиката за сигурностМоже би малкият бизнес няма смисъл да разработва собствена политика за сигурност. Но за големите предприятия, които планират да работят много дълго време, стойността му в определени моменти може да бъде изключителна. Ако политиката за сигурност е разработена на високо ниво, тогава представителите на компаниите може дори никога да не знаят от какво ги е защитила. И дори да изглежда, че няма смисъл, използването на този опит във всяка област на дейност е изключително важно.


Добавете коментар
×
×
Сигурни ли сте, че искате да изтриете коментара?
изтривам
×
Причина за оплакване

Момичето се опита да не харчи пари за месец. Експериментът остави смесените й чувства

бизнес

Истории за успеха

оборудване