Jetzt hat jede Person oder Organisation Informationen, die nicht veröffentlicht werden sollen, oder umgekehrt ist geplant, sich so teuer wie möglich von ihnen zu verabschieden. Und dafür ist eine Sicherheitsrichtlinie erforderlich. Dies ist eine solche Betriebszeit, deren Aufgabe es ist, die unkontrollierte Verbreitung von Daten zu unterdrücken, die der Öffentlichkeit nicht bekannt sein sollten. Sie arbeitet an Problemen mit möglichen Verlusten oder Nichtzugriffen, die sich auf jeden Fall auf die Arbeit auswirken werden. Sollte dies dennoch passieren, wird normalerweise eine Reihe von Maßnahmen bereitgestellt, um den Schaden zu minimieren. In der Tat ist eine Sicherheitsrichtlinie eine Reihe von Regeln und Vorschriften in Bezug auf die Ausrüstung und das Personal einer Organisation, für die sie ebenfalls gilt. Wie soll die Wirksamkeit maximiert werden?
Komplexität über alles
Das Problem des Informationsschutzes sollte vollständig angegangen werden. Zunächst müssen jedoch alle möglichen Kanäle für Datenverlust gesperrt werden. Dies ist notwendig, da der Einsatz einzelner Maßnahmen die Sicherheit des gesamten Systems kaum erhöht. Schauen wir uns ein Beispiel an. Wir haben ein Haus. Darin haben wir eine Panzertür eingebaut, in der sich äußerst komplexe Schlösser befinden. Gleichzeitig ließen wir die Fenster offen! Ist unser Zuhause geschützt? Die Antwort lautet nein. Wenn wir aber immer noch nicht in einem einstöckigen Haus wohnen, sondern im 125. Stock eines Wolkenkratzers, dann werden wir die Sicherheit noch etwas erhöhen. Ein ähnliches Prinzip gilt für den Schutz in Informationssystemen. Separate Maßnahmen können die Sicherheit erheblich erhöhen oder nur minimale Auswirkungen haben. In jedem Fall ist eine Herangehensweise unter dem Gesichtspunkt der Komplexität erforderlich.
Was ist wünschenswert zu tun?
Um die Sicherheit zu gewährleisten, wird häufig ein umfassendes integriertes Informationsschutzsystem (CSIS) geschaffen, das aus einer Kombination von technischen und organisatorischen Maßnahmen sowie Software und Hardware besteht. Zusammen gewährleisten sie den normalen Betrieb automatisierter Systeme. Die Verwaltung von Sicherheitsrichtlinien ist wünschenswert, da nicht nur die Computertechnologie, sondern auch die Mitarbeiter des Unternehmens eine Rolle spielen.
Organisatorische Maßnahmen
Es ist eine sehr wichtige und oft unterschätzte Komponente. Unter organisatorischen Maßnahmen versteht man die Entwicklung und Umsetzung einer offiziellen Richtlinie zur Informationssicherheit in der Praxis. Dies beinhaltet:
- Erstellung von Stellenbeschreibungen, die Benutzer und Servicepersonal einhalten müssen.
- Entwicklung von Verwaltungsregeln für einzelne Systemkomponenten.
- Erstellung eines Aktionsplans zur Identifizierung nicht autorisierter Zugriffsversuche.
- Entwicklung von Regeln, die die Erfassung, Speicherung, Vervielfältigung und Vernichtung vertraulicher Informationsmedien vorsehen.
- Das Studium von Identifikationsfragen.
- Erarbeitung eines Plans bei Ausfall der Schutzausrüstung und Auftreten einer Extremsituation.
- Schulung aller Benutzer in den Regeln und Empfehlung der Informationssicherheit sowie Überwachung ihrer Umsetzung.
Probleme beim Ignorieren von organisatorischen Maßnahmen
Was passiert, wenn Sie in diesem Bereich keine Schulungen durchführen? Dann werden die Menschen zum schwierigsten Teil des Verteidigungssystems. Das Ignorieren dieses Aspekts führt häufig sogar dazu, dass das Informationssystem im Allgemeinen nicht wiederhergestellt werden kann. Und die Ziele der Sicherheitspolitik werden nicht immer und mit großen Problemen erreicht. Aber selbst wenn eine Sicherungskopie der Daten vorhanden ist, dauert die Wiederherstellung einige Zeit.Darüber hinaus erleichtert die Erstellung von Anweisungen die Arbeit in Situationen, in denen alles von einem Mitarbeiter erstellt und von einem anderen wiederhergestellt oder verfeinert wurde.
Der wichtigste Aspekt organisatorischer Maßnahmen
Benutzer sollten geschult werden, um Angreifer zu erkennen. Lassen Sie uns einige Beispiele geben, die Ihnen zeigen, wie schwierig sie sind:
- Der Mitarbeiter erhält einen Anruf oder eine E-Mail vom Direktor oder einer anderen Führungskraft, in der er nach seinem Kennwort gefragt wird. Auf diese Weise kann auf die Datenbank zugegriffen werden, um das System zu testen, die Softwarekomponente zu ändern oder eine andere plausible Aufgabe auszuführen. Das Ergebnis wird ein Betrüger sein, der die Möglichkeit seiner Beseitigung oder erheblichen Verzerrung erhält, was Verluste nach sich ziehen wird.
- Der Mitarbeiter besucht, wie er glaubt, die Webseite seines Unternehmens, ist aber tatsächlich gefälscht. Gibt seine Daten ein. Und das ist alles - ein Angreifer hat Zugriff auf das System. Darüber hinaus kann eine Weiterleitung und automatische Autorisierung auf der offiziellen Website durchgeführt werden, damit der Mitarbeiter nicht merkt, dass er nicht da ist.
- Ein mit einem Angreifer infizierter Mitarbeiter wird mit Medien gespült, auf denen das Programm den Zugriff auf die Datenbank öffnet, sie löscht oder andere unangenehme Aktionen ausführt.
Und dies sind nicht alle möglichen Optionen, sondern nur einige.
Vorbereitung der Basis eines integrierten Informationssicherheitssystems
Die Entwicklung einer Sicherheitspolitik erfordert einen ernsthaften und integrativen Ansatz. Dies geschieht schrittweise. Zuerst müssen Sie das Informations- und Telekommunikationssystem untersuchen. Die Analyse seiner Architektur, Topologie, Komponenten, eine Bestandsaufnahme der Informationsressourcen. Alle Eigentümer und Benutzer müssen identifiziert sein und über relevante Unterlagen verfügen. Je nach Wichtigkeit unterschiedlich Geier der Geheimhaltung. Es ist zu beachten, dass die Sicherheitsrichtlinie auf den gesammelten und analysierten Daten basiert. Je mehr Informationen verarbeitet werden, desto besser ist das Endergebnis.
Mit Schutz definiert
Es ist notwendig, ein Bedrohungsmodell zu erstellen. Darin wird ein Computersystem als eine Reihe von Diensten dargestellt. Jeder von ihnen verfügt über eigene Funktionen, mit denen Sie viele Bedrohungen identifizieren können. Unter ihnen:
- Bedrohung der Privatsphäre. Dies schließt alles ein, was mit dem unbefugten Lesen der Inhalte zusammenhängt;
- Bedrohung der Integrität. Alles, was sich auf unbefugte Änderungen oder die Zerstörung von Informationen bezieht;
- Bedrohungen für die Zugänglichkeit. Dies schließt die Möglichkeit des Missbrauchs des Informationssystems ein;
- Beobachtungsdrohungen. Es werden alle Möglichkeiten von Problemen mit der Identifizierung und der Kontrolle über Benutzeraktionen untersucht.
Sicherheitspolitische Rahmenbedingungen müssen Lösungen für jede mögliche Bedrohung bieten. Gleichzeitig ist es jedoch notwendig, eine vernünftige Linie einzuhalten. Daher ist es nicht sinnvoll, die Vertraulichkeit von Informationen zu prüfen, die auf der offiziellen Website der Organisation veröffentlicht werden und für alle zugänglich sein sollten, die diese Idee wünschen.
Art der Bedrohungen
Es wird bestimmt, was als Ursache für die Probleme fungiert. Es gibt drei Arten:
- Natürlicher Charakter. Dies schließt Naturkatastrophen, Brände und ähnliche Probleme ein. Sie verursachen den größten physischen Schaden. Es ist am schwierigsten, sich gegen sie zu verteidigen. Die Wahrscheinlichkeit einer solchen Bedrohung ist jedoch am geringsten. Als Schutz wird die Platzierung auf verschiedenen Territorien und strukturellen Merkmalen des Gebäudes (Verdickung der Mauer, Brandschutz usw.) verwendet.
- Technischer Charakter. Dies schließt Unfälle, Geräteausfälle und Fehlfunktionen ein. Sie verursachen relativ hohe Schäden. Sie werden durch Datenverdoppelungsmechanismen vor ihnen geschützt.
- Menschlicher Faktor. Darunter wird nicht immer beabsichtigte böse Absicht verstanden.Dies kann auch Fehler im Design, in der Bedienung, in der Entwicklung von Systemkomponenten und unbeabsichtigte Aktionen durch Benutzer umfassen. Aus rein technischer Sicht ist eine ungeschulte Putzfrau im Serverraum für die Ausrüstung nicht weniger gefährlich als eine organisierte und erfahrene Gruppe von Computercrackern.
Ziel der Sicherheitsrichtlinie ist es, diese Probleme zu vermeiden, und, falls sie aufgetreten sind, eine Reihe von Maßnahmen zu ergreifen, um den erlittenen Schaden zu minimieren.
Funktionen des Bedrohungsmodells
Bei der Entwicklung sollte berücksichtigt werden, dass unterschiedliche Arten von Informationen ein unterschiedliches Sicherheitssystem haben müssen. In Bezug auf die öffentlichen Daten auf der Website können wir also sagen, dass auf deren Integrität und Zugänglichkeit geachtet werden muss. Da jeder sie sehen sollte, kann das Datenschutzproblem ignoriert werden. Während die Daten, die innerhalb des Unternehmens zirkulieren, vor unbefugtem Zugriff geschützt werden müssen. Der vollständige Schutz von allem auf höchstem Niveau erfordert jedoch viel Kraft und Ressourcen. Sie werden daher mit den wichtigsten Daten ermittelt, was die größte Sicherheit gewährleistet. Und andere Informationen werden entsprechend ihrem Wert geschützt.
Eindringlingsmodell
Es ist auf Menschen aufgebaut. Es identifiziert alle möglichen Arten von Verstößen und gibt ihnen eine detaillierte Beschreibung. Also, Modelle werden relativ zu professionellen Crackern, unerfahrenen Söldnern, gewöhnlichen Hooligans, Angestellten des Unternehmens erstellt. Die größte Gefahr geht in diesem Fall von der ersteren aus. Dies ist darauf zurückzuführen, dass sie über die erforderlichen Kenntnisse und technischen Mittel verfügen, um unbefugten Zugriff auszuführen. Fachleute werden von Mitarbeitern von Unternehmen verfolgt, da sie Zugang zu Informationen haben und auch mit der Organisation des Sicherheitssystems vertraut sind. Dies bietet bereits minimale Möglichkeiten, Ressourcen zu beeinflussen. Daher können Mitarbeiter bei entsprechender Motivation erheblichen Schaden anrichten (was im Allgemeinen nicht ungewöhnlich ist). Und wenn sich auch Angreifer an sie wenden, ist dies im Allgemeinen eine traurige Geschichte.
Die Dokumentation
Wenn alle vorherigen Schritte abgeschlossen sind, werden alle erforderlichen Dokumente ausgearbeitet, z. Danach wird eine Auswahl von Software- und Hardwareschutz durchgeführt und deren Eigenschaften konfiguriert. Schließlich wird eine Dokumentation zum „Technischen Projekt zur Erstellung eines CSIS“ erstellt. Wenn alles fertig ist, ist es bereits möglich, mit der Implementierung der ausgewählten Tools, Maßnahmen und Möglichkeiten zum Schutz des Informationssystems zu beginnen.
Kontrolle
Aber nur zu schaffen ist nicht genug. Stellen Sie außerdem sicher, dass alles ordnungsgemäß funktioniert, und stellen Sie regelmäßig sicher, dass dieser Zustand weiterhin besteht. Dazu werden Integritätsüberwachung, Anforderungsklärung (Revision) durchgeführt und der Zustand des Informationssystems analysiert. Wenn wir über den für die Sicherheit verantwortlichen Administrator sprechen, gilt hier nicht die Regel „Ein guter Administrator ist jemand, der die Fähigkeit hat, ständig zu schlafen“. Das Informationssystem ist ein dynamisches Objekt, in dem sich interne und externe Bedingungen ständig ändern. Ebenso ist die Struktur einer Organisation nicht von Dauer. Neue strukturelle Einheiten oder Abteilungen, Dienste (wie Support oder Datenbanken) können erstellt werden, oder es wird ein Wechsel von einem Raum in einen anderen stattfinden. Die Informationen, die durch das System zirkulieren, ändern sich ebenfalls. Daher sollte die Sicherheitspolitik in Informationssystemen alle oben genannten Aspekte berücksichtigen und berücksichtigen. Dies soll nicht heißen, dass Sicherheit etwas ist, das sich beruhigt hat. Nein, angesichts der Notwendigkeit einer kontinuierlichen Verbesserung und Anpassung an Herausforderungen ist es besser, von einem Prozess zu sprechen.
Ergebnis
Wird zur Bestimmung der Wirksamkeit verwendet.Es gibt spezielle Techniken, mit denen Sie diesen Parameter bestimmen können. Es ist nur so, dass es ziemlich schwierig ist, eine solche Prüfung selbst durchzuführen, da alle sichtbaren Mängel von den Erstellern des Schutzsystems hätten beseitigt werden müssen. Daher wird diese Aufgabe in der Regel häufig einem Dritten übertragen. Und sie wird sich aus einer anderen Position dem Test nähern, und es ist sehr wahrscheinlich, dass sie eine Schwachstelle bemerken wird, die von den Entwicklern selbst übersehen wurde. In der Tat fungieren solche Inspektoren als Cracker, aber sie haben bereits von der Verwendung aller möglichen Daten in Form von Barzahlungen des Unternehmens selbst profitiert. In solchen Momenten erfolgt die Umsetzung der Sicherheitsrichtlinie.
Fazit
Vielleicht ist es für kleine Unternehmen nicht sinnvoll, eine eigene Sicherheitspolitik zu entwickeln. Für große Unternehmen, die eine sehr lange Betriebsdauer planen, kann dieser Wert jedoch zu bestimmten Zeitpunkten außergewöhnlich sein. Wenn eine Sicherheitsrichtlinie auf hohem Niveau entwickelt wird, wissen die Unternehmensvertreter möglicherweise nie, wovor sie geschützt sind. Und auch wenn es nicht sinnvoll erscheint, ist die Nutzung dieser Erfahrung in jedem Tätigkeitsbereich äußerst wichtig.