Επικεφαλίδες
...

Πολιτική Ασφάλειας Πληροφοριακών Συστημάτων

Τώρα κάθε άτομο ή οργάνωση έχει πληροφορίες ότι δεν υπάρχει καμία επιθυμία να δημοσιεύσει, ή, αντιστρόφως, υπάρχουν σχέδια να πω αντίο σε αυτό όσο το δυνατόν πιο δαπανηρή. Και γι 'αυτό χρειάζεται μια πολιτική ασφάλειας. Αυτός είναι ένας τέτοιος χρόνος λειτουργίας, ο στόχος του οποίου είναι να καταστέλλει την ανεξέλεγκτη κατανομή δεδομένων που δεν πρέπει να είναι γνωστή στο ευρύ κοινό. Εργάζεται σε θέματα πιθανής απώλειας ή μη πρόσβασης, τα οποία σε κάθε περίπτωση θα επηρεάσουν το έργο. Επίσης, αν συνέβαινε αυτό, συνήθως παρέχεται ένα σύνολο μέτρων για την ελαχιστοποίηση των ζημιών. Στην πραγματικότητα, μια πολιτική ασφαλείας είναι ένα σύνολο κανόνων και κανονισμών σχετικά με τον εξοπλισμό και το προσωπικό ενός οργανισμού, για το οποίο ισχύει επίσης. Πώς θα πρέπει να μεγιστοποιηθεί η αποτελεσματικότητά του;

Πολυπλοκότητα πάνω από όλους

πολιτική ασφάλειαςΤο θέμα της προστασίας των πληροφοριών θα πρέπει να αντιμετωπιστεί πλήρως, αλλά πρώτα απ 'όλα είναι απαραίτητο να αποκλεισθούν όλα τα πιθανά κανάλια απώλειας δεδομένων. Αυτό είναι απαραίτητο επειδή η εφαρμογή μεμονωμένων μέτρων σχεδόν δεν αυξάνει την ασφάλεια ολόκληρου του συστήματος. Ας δούμε ένα παράδειγμα. Έχουμε ένα σπίτι. Σε αυτό, εγκαταστήσαμε μια θωρακισμένη πόρτα στην οποία υπάρχουν πολύπλοκες κλειδαριές. Αλλά παράλληλα αφήσαμε τα παράθυρα ανοιχτά! Είναι το σπίτι μας προστατευμένο; Η απάντηση είναι όχι. Παρόλο που, εάν δεν ζούμε ακόμα σε μονοκατοικία, αλλά στον 125ο όροφο ενός ουρανοξύστη, τότε θα αυξήσουμε ελαφρά την ασφάλεια. Μια παρόμοια αρχή ισχύει και για την προστασία των συστημάτων πληροφοριών. Τα ξεχωριστά μέτρα μπορούν να αυξήσουν σημαντικά την ασφάλεια ή να επιφέρουν ελάχιστα αποτελέσματα. Σε κάθε περίπτωση, είναι απαραίτητο να προσεγγίσουμε από την άποψη της πολυπλοκότητας.

Τι είναι επιθυμητό να κάνετε;

πολιτική ασφάλειας είναιΣυχνά, για να εξασφαλίσουν την ασφάλεια, δημιουργούν ένα πλήρες ολοκληρωμένο σύστημα προστασίας πληροφοριών (ISIS), το οποίο είναι ένας συνδυασμός μηχανικών και οργανωτικών μέτρων, καθώς και λογισμικού και υλικού. Μαζί εξασφαλίζουν την κανονική λειτουργία αυτοματοποιημένων συστημάτων. Η διαχείριση της πολιτικής ασφαλείας είναι επιθυμητή όχι μόνο με βάση την τεχνολογία των υπολογιστών αλλά και με το προσωπικό του οργανισμού.

Οργανωτικά μέτρα

Είναι μια πολύ σημαντική και συχνά υποτιμημένη συνιστώσα. Σύμφωνα με οργανωτικά μέτρα, κατανοεί την ανάπτυξη και την εφαρμογή στην πράξη μιας επίσημης πολιτικής σχετικά με την ασφάλεια των πληροφοριών. Αυτό περιλαμβάνει:

  1. Σύνταξη των περιγραφών θέσεων εργασίας που πρέπει να τηρούν οι χρήστες και το προσωπικό εξυπηρέτησης.
  2. Ανάπτυξη κανόνων διαχείρισης για μεμονωμένα συστατικά του συστήματος.
  3. Δημιουργία σχεδίου δράσης για τον εντοπισμό μη εξουσιοδοτημένων προσπαθειών πρόσβασης.
  4. Ανάπτυξη κανόνων που θα ορίζουν τη λογιστική, την αποθήκευση, την αναπαραγωγή και την καταστροφή των εμπιστευτικών μέσων ενημέρωσης.
  5. Η μελέτη των ζητημάτων αναγνώρισης.
  6. Ανάπτυξη σχεδίου σε περίπτωση αποτυχίας του προστατευτικού εξοπλισμού και της εμφάνισης εξαιρετικής κατάστασης.
  7. Εκπαίδευση όλων των χρηστών στους κανόνες και σύσταση της ασφάλειας των πληροφοριών, καθώς και παρακολούθηση της εφαρμογής τους.

Προβλήματα κατά την παραβίαση οργανωτικών μέτρων

εφαρμογή της πολιτικής ασφάλειαςΤι θα συμβεί αν δεν πραγματοποιήσετε εκπαίδευση σε αυτόν τον τομέα; Τότε οι άνθρωποι γίνονται το πιο δύσκολο μέρος του αμυντικού συστήματος. Το αποτέλεσμα της παραβίασης αυτής της πτυχής είναι συχνά ακόμη και η αδυναμία αποκατάστασης του συστήματος πληροφοριών εν γένει. Και οι στόχοι της πολιτικής ασφάλειας δεν θα επιτευχθούν πάντα και με μεγάλα προβλήματα. Αλλά ακόμα και αν υπάρχει ένα αντίγραφο ασφαλείας των δεδομένων, θα χρειαστεί λίγος χρόνος για να αναδημιουργηθεί.Επιπλέον, η δημιουργία οδηγιών θα διευκολύνει την εργασία σε καταστάσεις όπου όλα δημιουργήθηκαν από έναν υπάλληλο και αποκαταστάθηκαν ή εξευγενίστηκαν από ένα άλλο.

Η πιο σημαντική πτυχή των οργανωτικών μέτρων

πλαίσιο πολιτικής ασφάλειαςΟι χρήστες θα πρέπει να εκπαιδεύονται για να αναγνωρίζουν τους επιτιθέμενους. Ας δούμε μερικά παραδείγματα που θα σας δείξουν πόσο δύσκολο είναι:

  1. Ο υπάλληλος λαμβάνει μια κλήση ή ένα ηλεκτρονικό ταχυδρομείο από τον διευθυντή ή άλλο ανώτερο διευθυντή ζητώντας τον κωδικό πρόσβασής του, ο οποίος θα δώσει πρόσβαση στη βάση δεδομένων για να δοκιμάσει το σύστημα, να τροποποιήσει το στοιχείο λογισμικού ή να εκτελέσει άλλη εύλογη εργασία. Το αποτέλεσμα θα είναι η παραλαβή από τον απατεώνα της δυνατότητας απομάκρυνσής του ή σημαντικής στρέβλωσης, η οποία θα συνεπάγεται απώλειες.
  2. Ο εργαζόμενος επισκέπτεται την ιστοσελίδα, όπως πιστεύει, από την εταιρεία του, αλλά είναι πραγματικά ψεύτικο. Εισάγει τα δεδομένα του. Και αυτό είναι όλο - ένας εισβολέας έχει πρόσβαση στο σύστημα. Επιπλέον, προκειμένου ο εργαζόμενος να μην συνειδητοποιήσει ότι δεν είναι εκεί, μπορεί να πραγματοποιηθεί ανακατεύθυνση και αυτόματη εξουσιοδότηση στον επίσημο ιστότοπο.
  3. Ένας εργαζόμενος που έχει μολυνθεί από έναν εισβολέα εκκενωθεί με μέσα στα οποία το πρόγραμμα θα ανοίξει την πρόσβαση στη βάση δεδομένων, θα το διαγράψει ή θα πάρει κάποιες άλλες δυσάρεστες ενέργειες.

Και αυτές δεν είναι όλες οι πιθανές επιλογές, αλλά μόνο μερικές.

Προετοιμασία της βάσης ενός ολοκληρωμένου συστήματος ασφάλειας πληροφοριών

Η ανάπτυξη μιας πολιτικής ασφάλειας απαιτεί μια σοβαρή και χωρίς αποκλεισμούς προσέγγιση. Αυτό γίνεται σταδιακά. Πρώτα πρέπει να εξετάσετε το σύστημα πληροφοριών και τηλεπικοινωνιών. Η ανάλυση της αρχιτεκτονικής, τοπολογίας, συνιστωσών, απογραφή των πόρων πληροφόρησης. Όλοι οι ιδιοκτήτες και οι χρήστες πρέπει να προσδιορίζονται και να διαθέτουν σχετική τεκμηρίωση. Ανάλογα με τη σημασία, διαφορετικά τα όρνια της μυστικότητας. Πρέπει να υπενθυμίσουμε ότι η πολιτική ασφάλειας βασίζεται στα δεδομένα που συλλέγονται και αναλύονται. Όσο μεγαλύτερη είναι η σειρά των πληροφοριών που θα επεξεργαστούν, τόσο καλύτερα θα είναι το τελικό αποτέλεσμα.

Ορίζεται με προστασία

ανάπτυξη πολιτικής ασφάλειαςΕίναι απαραίτητο να δημιουργηθεί ένα μοντέλο απειλής. Σε αυτό, ένα σύστημα υπολογιστών παρουσιάζεται ως ένα σύνολο υπηρεσιών. Κάθε ένα από αυτά έχει το δικό του σύνολο λειτουργιών, το οποίο σας επιτρέπει να εντοπίσετε πολλές απειλές. Μεταξύ αυτών είναι:

  1. Απειλές στην ιδιωτική ζωή. Αυτό περιλαμβάνει όλα όσα σχετίζονται με την μη εξουσιοδοτημένη ανάγνωση του περιεχομένου.
  2. Απειλές στην ακεραιότητα. Όλα όσα σχετίζονται με μη εξουσιοδοτημένη τροποποίηση ή συνεπάγονται την καταστροφή πληροφοριών.
  3. Απειλές για την προσβασιμότητα. Αυτό περιλαμβάνει τη δυνατότητα κατάχρησης του συστήματος πληροφοριών.
  4. Απειλές παρατήρησης. Εξετάζει όλες τις δυνατότητες προβλημάτων με την αναγνώριση και τον έλεγχο των ενεργειών των χρηστών.

Τα πλαίσια πολιτικής ασφάλειας πρέπει να έχουν λύσεις για κάθε πιθανή απειλή. Αλλά ταυτόχρονα είναι απαραίτητο να τηρήσουμε μια λογική γραμμή. Επομένως, δεν έχει νόημα να επεξεργαστούμε την εμπιστευτικότητα των πληροφοριών που δημοσιεύονται στην επίσημη ιστοσελίδα του οργανισμού και πρέπει να είναι προσβάσιμες σε όλους όσους επιθυμούν την ιδέα.

Φύση των απειλών

στόχους πολιτικής ασφάλειαςΚαθορίζεται από το τι λειτουργεί ως η αιτία των προβλημάτων. Υπάρχουν τρεις τύποι:

  1. Φυσικός χαρακτήρας. Πρόκειται για φυσικές καταστροφές, πυρκαγιές και παρόμοια προβλήματα. Κάνουν τις μεγαλύτερες σωματικές βλάβες. Είναι πολύ δύσκολο να υπερασπιστείς εναντίον τους. Αλλά η πιθανότητα μιας τέτοιας απειλής είναι η χαμηλότερη. Ως προστασία χρησιμοποιούνται τοποθετήσεις σε διαφορετικά εδάφη και δομικά στοιχεία του κτιρίου (πάχυνση του τοίχου, πυροπροστασία κλπ.).
  2. Τεχνικός χαρακτήρας. Αυτό περιλαμβάνει τα ατυχήματα, τις βλάβες του εξοπλισμού, τις δυσλειτουργίες. Προκαλούν σχετικά υψηλές ζημιές. Προστατεύονται από αυτούς χρησιμοποιώντας μηχανισμούς αλληλεπικάλυψης δεδομένων.
  3. Ο ανθρώπινος παράγοντας. Με αυτό δεν είναι πάντα κατανοητό σκόπιμο κακό πρόθεση.Αυτό μπορεί επίσης να περιλαμβάνει λάθη στο σχεδιασμό, τη λειτουργία, την ανάπτυξη των εξαρτημάτων του συστήματος, τις ακούσιες ενέργειες από τους χρήστες. Από καθαρά τεχνική άποψη, μια μη εκπαιδευμένη κυρία καθαρισμού στο δωμάτιο εξυπηρέτησης δεν αποτελεί λιγότερο απειλή για τον εξοπλισμό από μια οργανωμένη και έμπειρη ομάδα κροτίδων υπολογιστών.

Οι στόχοι της πολιτικής ασφάλειας είναι να αποφευχθούν αυτά τα προβλήματα και, εάν συνέβη, τότε να εφαρμοστούν μια σειρά μέτρων που ελαχιστοποιούν τη ζημία που έχει λάβει.

Χαρακτηριστικά μοντέλου απειλής

η πολιτική ασφάλειας είναι ένα σύνολο κανόνων και κανονισμώνΚατά την ανάπτυξή της, πρέπει να ληφθεί υπόψη ότι τα διάφορα είδη πληροφοριών πρέπει να έχουν διαφορετικό σύστημα ασφαλείας. Επομένως, όσον αφορά τα δημόσια δεδομένα που υπάρχουν στον ιστότοπο, μπορούμε να πούμε ότι είναι απαραίτητο να φροντίσουμε για την ακεραιότητα και την προσβασιμότητά τους. Δεδομένου ότι όλοι πρέπει να τα δουν, το θέμα της ιδιωτικής ζωής μπορεί να αγνοηθεί. Ενώ τα δεδομένα που κυκλοφορούν στην εταιρεία πρέπει να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση. Όμως, η πλήρης προστασία των πάντων στο υψηλότερο επίπεδο απαιτεί πολλή δύναμη και πόρους. Ως εκ τούτου, καθορίζονται με τα πιο σημαντικά δεδομένα, γεγονός που εξασφαλίζει τη μέγιστη ασφάλεια. Και άλλες πληροφορίες προστατεύονται σύμφωνα με την αξία τους.

Μοντέλο εισβολέα

Είναι χτισμένο σε ανθρώπους. Προσδιορίζει όλους τους πιθανούς τύπους παραβατών και τους παρέχει λεπτομερή περιγραφή. Έτσι, τα μοντέλα δημιουργούνται σε σχέση με τους επαγγελματίες κροτίστες, τους άπειρους μισθοφόρους, τους απλούς χούλιγκανς, τους υπαλλήλους της επιχείρησης. Ο μεγαλύτερος κίνδυνος στην περίπτωση αυτή παρέχεται από την πρώτη. Αυτό οφείλεται στο γεγονός ότι διαθέτουν την απαραίτητη γνώσεις και τεχνικά μέσα για τη διεξαγωγή μη εξουσιοδοτημένης πρόσβασης. Οι επαγγελματίες ακολουθούν οι εργαζόμενοι των επιχειρήσεων, καθώς έχουν πρόσβαση σε πληροφορίες και μπορούν επίσης να γνωρίσουν την οργάνωση του συστήματος ασφαλείας. Αυτό ήδη παρέχει ελάχιστες ευκαιρίες για να επηρεάσει τους πόρους. Επομένως, εάν υπάρχει κίνητρο, οι εργαζόμενοι μπορούν να προκαλέσουν σημαντική ζημιά (η οποία, γενικά, δεν είναι ασυνήθιστη). Και αν οι επιτιθέμενοι στραφούν σε αυτούς, τότε αυτή είναι γενικά μια θλιβερή ιστορία.

Η τεκμηρίωση

πολιτική ασφάλειας βασίζεται στηνΌταν ολοκληρωθούν όλα τα προηγούμενα βήματα, τότε εκπονούνται όλα τα απαραίτητα έγγραφα, όπως: "Πολιτική Ασφάλειας Πληροφοριών", "Όροι Ενδιαφέροντος για τη Δημιουργία CSIS" και άλλα θέματα. Στη συνέχεια, πραγματοποιείται μια επιλογή προστασίας από λογισμικό και υλικό και διαμορφώνονται τα χαρακτηριστικά τους. Τελικά, αναπτύσσεται τεκμηρίωση σχετικά με το "Τεχνικό Έργο για τη δημιουργία ενός CSIS". Όταν όλα είναι έτοιμα, είναι ήδη δυνατή η έναρξη εφαρμογής των επιλεγμένων εργαλείων, μέτρων και τρόπων προστασίας του συστήματος πληροφοριών.

Έλεγχος

διαχείριση πολιτικής ασφάλειαςΑλλά η δημιουργία δεν αρκεί. Είναι επίσης απαραίτητο να βεβαιωθείτε ότι όλα λειτουργούν σωστά και να δείτε περιοδικά ότι αυτή η κατάσταση παραμένει. Για το σκοπό αυτό, γίνεται η παρακολούθηση της ακεραιότητας, η αποσαφήνιση των απαιτήσεων (αναθεώρηση) και η κατάσταση του συστήματος πληροφοριών. Αν μιλάμε για τον υπεύθυνο για την ασφάλεια διαχειριστή, τότε ο κανόνας "ένας καλός διαχειριστής είναι κάποιος που έχει τη δυνατότητα να κοιμάται συνεχώς" δεν ισχύει εδώ. Το σύστημα πληροφοριών είναι ένα δυναμικό αντικείμενο στο οποίο οι εσωτερικές και οι εξωτερικές συνθήκες αλλάζουν διαρκώς. Ομοίως, η δομή μιας οργάνωσης δεν είναι κάτι μόνιμο. Μπορούν να δημιουργηθούν νέες δομικές μονάδες ή τμήματα, υπηρεσίες (όπως υποστήριξη ή βάσεις δεδομένων) ή θα υπάρξει μετακίνηση από το ένα δωμάτιο στο άλλο. Οι πληροφορίες που κυκλοφορούν μέσω του συστήματος αλλάζουν επίσης. Ως εκ τούτου, η πολιτική ασφάλειας στα συστήματα πληροφοριών θα πρέπει να λαμβάνει υπόψη όλες τις παραπάνω πτυχές και να τις λαμβάνει υπόψη. Αυτό δεν σημαίνει ότι η ασφάλεια είναι κάτι που έχει εγκατασταθεί. Όχι, δεδομένης της ανάγκης για συνεχή βελτίωση και προσαρμογή στις προκλήσεις, θα ήταν καλύτερο να το ονομάσουμε διαδικασία.

Βαθμολογία

Χρησιμοποιείται για τον προσδιορισμό της αποτελεσματικότητας.Υπάρχουν ειδικές τεχνικές με τις οποίες μπορείτε να καθορίσετε αυτήν την παράμετρο. Είναι απλά ότι η διεξαγωγή ενός τέτοιου ελέγχου από μόνη της είναι αρκετά δύσκολη λόγω του γεγονότος ότι όλες οι ορατές ατέλειες θα έπρεπε να έχουν εξαλειφθεί από τους δημιουργούς του συστήματος προστασίας. Ως εκ τούτου, κατά κανόνα, το καθήκον αυτό ανατίθεται συχνά σε τρίτους. Και αυτή, από μια διαφορετική θέση, θα πλησιάσει τη δοκιμή και είναι πολύ πιθανό ότι θα είναι σε θέση να παρατηρήσει ένα αδύναμο σημείο που χάθηκε από τους ίδιους τους προγραμματιστές. Στην πραγματικότητα, αυτοί οι επιθεωρητές ενεργούν ως κράκερ, αλλά έχουν ήδη επωφεληθεί από τη χρήση όλων των δυνατών δεδομένων υπό μορφή πληρωμών σε μετρητά από την ίδια την εταιρεία. Από τέτοιες στιγμές γίνεται η εφαρμογή της πολιτικής ασφάλειας.

Συμπέρασμα

στόχους πολιτικής ασφάλειαςΊσως οι μικρές επιχειρήσεις δεν έχουν νόημα να αναπτύξουν τη δική τους πολιτική ασφάλειας. Αλλά για μεγάλες επιχειρήσεις που σχεδιάζουν να λειτουργούν για πολύ μεγάλο χρονικό διάστημα, η αξία τους σε συγκεκριμένα χρονικά σημεία μπορεί να είναι εξαιρετική. Αν μια πολιτική ασφάλειας αναπτύσσεται σε υψηλό επίπεδο, τότε οι εκπρόσωποι της εταιρείας δεν μπορούν ποτέ να γνωρίζουν από τι προστατεύονται. Και ακόμα κι αν φαίνεται ότι δεν έχει νόημα, η χρήση αυτής της εμπειρίας σε οποιοδήποτε τομέα δραστηριότητας είναι εξαιρετικά σημαντική.


Προσθέστε ένα σχόλιο
×
×
Είστε βέβαιοι ότι θέλετε να διαγράψετε το σχόλιο;
Διαγραφή
×
Λόγος καταγγελίας

Το κορίτσι προσπάθησε να μην ξοδέψει χρήματα για ένα μήνα. Το πείραμα άφησε τα μικτά συναισθήματά της

Επιχειρήσεις

Ιστορίες επιτυχίας

Εξοπλισμός