Nyt jokaisella henkilöllä tai organisaatiolla on tietoa, jota ei halua julkaista, tai päinvastoin, on suunnitelmia jättää hyvästit siitä mahdollisimman kalliiksi. Ja tätä varten tarvitaan turvallisuuspolitiikka. Tämä on sellainen toiminta-aika, jonka tehtävänä on estää hallitsematon tietojen jakelu, jonka ei pitäisi olla suurelle yleisölle tiedossa. Hän työskentelee mahdollisen menetyksen tai pääsyn puuttumisen parissa, mikä joka tapauksessa vaikuttaa työhön. Lisäksi, jos näin tapahtui, yleensä toteutetaan joukko toimenpiteitä vaurioiden minimoimiseksi. Itse asiassa turvallisuuspolitiikka on joukko sääntöjä ja määräyksiä, jotka koskevat organisaation laitteita ja henkilöstöä ja joihin sitä sovelletaan. Kuinka sen tehokkuus tulisi maksimoida?
Monimutkaisuus ennen kaikkea
Tietosuojakysymykseen olisi puututtava täysimääräisesti, mutta ensinnäkin on estettävä kaikki mahdolliset tietojen menetyskanavat. Tämä on välttämätöntä, koska yksittäisten toimenpiteiden soveltaminen melkein ei lisää koko järjestelmän turvallisuutta. Katsotaanpa esimerkkiä. Meillä on talo. Asensimme siihen panssaroidun oven, jossa on erittäin monimutkaiset lukot. Mutta samaan aikaan jätimme ikkunat auki! Onko kotimme suojattu? Vastaus on ei. Vaikka jos emme edelleenkään asu yksikerroksisessa talossa, mutta pilvenpiirtäjän 125. kerroksessa, lisäämme silti turvallisuutta hieman. Samanlaista periaatetta sovelletaan tietoturvajärjestelmiin. Erilliset toimenpiteet voivat lisätä turvallisuutta merkittävästi tai tuoda minimaalisen vaikutuksen. Joka tapauksessa on tarpeen lähestyä monimutkaisuuden näkökulmasta.
Mitä on toivottavaa tehdä?
Usein turvallisuuden takaamiseksi ne luovat täysimääräisen integroidun tietosuojajärjestelmän (CSIS), joka on yhdistelmä teknisiä ja organisatorisia toimenpiteitä sekä ohjelmistoja ja laitteistoja. Yhdessä ne varmistavat automatisoitujen järjestelmien normaalin toiminnan. Suojauspolitiikan hallinta on toivottavaa paitsi tietokoneteknologian, myös organisaation henkilökunnan nojaamisen perusteella.
Organisaatiotoimenpiteet
Se on erittäin tärkeä ja usein aliarvioitu osa. Organisaatiotoimenpiteiden avulla ymmärretään tietoturvaa koskevan virallisen politiikan kehittäminen ja toteuttaminen käytännössä. Tähän sisältyy:
- Laaditaan työkuvaukset, joita käyttäjien ja huoltohenkilöstön on noudatettava.
- Järjestelmäkomponenttien hallintasääntöjen kehittäminen.
- Luodaan toimintasuunnitelma luvattomien pääsyyritysten tunnistamiseksi.
- Sellaisten sääntöjen kehittäminen, jotka koskevat luottamuksellisten tietovälineiden kirjanpitoa, säilyttämistä, jäljentämistä ja tuhoamista.
- Tunnistamiskysymysten tutkimus.
- Suunnitelman laatiminen suojalaitteiden vikaantumisen ja äärimmäisen tilanteen sattuessa.
- Koulutetaan kaikkia käyttäjiä sääntöihin ja suositellaan tietoturvaa sekä valvotaan niiden täytäntöönpanoa.
Ongelmia organisaatiotoimenpiteiden jättämisessä huomiotta
Mitä tapahtuu, jos et suorita koulutusta tällä alueella? Sitten ihmisistä tulee puolustusjärjestelmän vaikein osa. Tämän näkökohdan huomioimatta jättäminen on usein jopa mahdotonta palauttaa tietojärjestelmää yleensä. Ja turvallisuuspolitiikan tavoitteita ei aina saavuteta ja suurilla ongelmilla. Mutta vaikka tiedoista olisi varmuuskopio, uudelleen luominen vie jonkin aikaa.Lisäksi ohjeiden luominen helpottaa työskentelyä tilanteissa, joissa kaikki on yhden työntekijän luomaa, ja toinen palauttaa tai tarkentaa.
Tärkein osa organisaatiotoimenpiteitä
Käyttäjiä tulisi kouluttaa tunnistamaan hyökkääjät. Annetaan joitain esimerkkejä, jotka osoittavat sinulle kuinka hankalia he ovat:
- Työntekijä saa puhelun tai sähköpostin johtajalta tai muulta ylimmältä johtajalta, joka pyytää heitä antamaan salasanansa, joka antaa heille pääsyn tietokantaan järjestelmän testaamiseksi, ohjelmistokomponentin muuttamiseksi tai muun uskottavan tehtävän suorittamiseksi. Seurauksena on, että petos on vastaanottanut mahdollisuuden sen poistamiseen tai merkittävään vääristymiseen, mikä aiheuttaa tappioita.
- Työntekijä käy hänen mielestään yrityksen verkkosivulla, mutta on itse asiassa väärennös. Syöttää tiedot. Ja siinä kaikki - hyökkääjällä on pääsy järjestelmään. Lisäksi, jotta työntekijä ei ymmärrä, että hän ei ole paikalla, voidaan suorittaa uudelleenohjaus ja automaattinen valtuutus virallisella verkkosivustolla.
- Hyökkääjän tartuttama työntekijä huuhdotaan medialla, jolla ohjelma avaa pääsyn tietokantaan, poistaa sen tai ryhtyy muihin epämiellyttäviin toimiin.
Ja nämä eivät ole kaikki mahdolliset vaihtoehdot, mutta vain joitain.
Integroidun tietoturvajärjestelmän perustan valmistelu
Turvallisuuspolitiikan kehittäminen vaatii vakavaa ja osallistavaa lähestymistapaa. Tämä tehdään vaiheittain. Ensin sinun on tutkittava tieto- ja televiestintäjärjestelmä. Sen arkkitehtuurin, topologian, komponenttien, tietoresurssien kartoitus. Kaikkien omistajien ja käyttäjien on tunnistettava ja heillä on oltava asiaankuuluvat asiakirjat. Riippuen tärkeydestä, erilainen salaisuuksien korppikotkat. On muistettava, että turvallisuuspolitiikka perustuu kerättyihin ja analysoituihin tietoihin. Mitä suurempi tietojoukko prosessoidaan, sitä parempi on lopputulos.
Määritelty suojauksella
On välttämätöntä rakentaa uhkamalli. Siinä tietokonejärjestelmä esitetään palvelujoukkona. Jokaisella niistä on omat toimintonsa, joiden avulla voit tunnistaa monet uhat. Niitä ovat:
- Uhat yksityisyyteen. Tähän sisältyy kaikki sisällön luvattomaan lukemiseen liittyvä asia;
- Uhrat eheydelle. Kaikki, joka liittyy luvattomaan muokkaamiseen tai liittyy tietojen tuhoamiseen;
- Uhat esteettömyydelle. Tähän sisältyy tietojärjestelmän väärinkäytön mahdollisuus;
- Havainnoinnin uhat. Se tutkii kaikkia tunnistamisongelmien mahdollisuuksia ja varmistaa käyttäjän toimien hallinnan.
Turvallisuuspoliittisissa puitteissa on oltava ratkaisuja kaikkiin mahdollisiin uhkiin. Mutta samalla on välttämätöntä noudattaa kohtuullista linjaa. Joten ei ole mitään syytä tutkia niiden organisaatioiden viralliselle verkkosivustolle julkaistujen tietojen luottamuksellisuutta, joiden pitäisi olla kaikkien idean haluajien saatavilla.
Uhkien luonne
Sen määrää se, mikä toimii ongelmien syynä. Tyyppejä on kolme:
- Luonnollinen luonne. Tähän sisältyy luonnonkatastrofit, tulipalot ja vastaavat ongelmat. Ne aiheuttavat suurimmat fyysiset vahingot. Heitä on vaikein puolustaa. Mutta tällaisen uhan todennäköisyys on pienin. Suojauksena käytetään sijoittelua eri alueille ja rakennuksen rakenteellisia piirteitä (seinän sakeuttaminen, palosuojaus jne.).
- Tekninen luonne. Tähän sisältyvät onnettomuudet, laiteviat, toimintahäiriöt. Ne aiheuttavat suhteellisen suuria vaurioita. Heitä suojataan tietojen kopiointimekanismeilla.
- Inhimillinen tekijä. Sillä ei aina ymmärretä tahallista pahaa tarkoitusta.Tämä voi sisältää myös virheitä järjestelmän komponenttien suunnittelussa, toiminnassa, kehittämisessä, käyttäjien tahattomia toimia. Puhtaasti teknisestä näkökulmasta kouluttamaton siivooja palvelinhuoneessa on vähintään yhtä uhka laitteille kuin järjestäytynyt ja kokenut ryhmä tietokonekestäjiä.
Turvallisuuspolitiikan tavoitteena on estää nämä ongelmat, ja jos niitä tapahtui, toteuttaa sitten joukko toimenpiteitä, jotka minimoivat saadut vahingot.
Uhkamalliominaisuudet
Sitä kehitettäessä on pidettävä mielessä, että erityyppisillä tiedoilla on oltava erilainen turvajärjestelmä. Joten verkkosivustolla olevan julkisen tiedon osalta voidaan sanoa, että on välttämätöntä huolehtia niiden eheydestä ja saatavuudesta. Koska kaikkien pitäisi nähdä heidät, yksityisyyden suojaa koskeva kysymys voidaan jättää huomiotta. Yrityksen sisällä liikkuvat tiedot on suojattava luvattomalta käytöltä. Mutta kaiken suojaaminen korkeimmalla tasolla vaatii paljon voimaa ja resursseja. Siksi heille määritetään tärkeimmät tiedot, mikä takaa suurimman turvallisuuden. Ja muut tiedot on suojattu arvonsa mukaisesti.
Tunkeilija malli
Se on rakennettu ihmisille. Se yksilöi kaikki mahdolliset rikkojien tyypit ja antaa heille yksityiskohtaisen kuvauksen. Joten malleja luodaan suhteessa ammattilaiskehittäjiin, kokemattomiin palkkasotureihin, tavallisiin huligaaneihin, yrityksen työntekijöihin. Suurin vaara tässä tapauksessa on entinen. Tämä johtuu siitä, että heillä on tarvittavat tiedot ja tekniset välineet luvattoman pääsyn suorittamiseksi. Ammattilaisia seuraa yritysten työntekijät, koska heillä on pääsy tietoihin ja he voivat perehtyä myös turvajärjestelmän organisointiin. Tämä tarjoaa jo minimaaliset mahdollisuudet vaikuttaa resursseihin. Siksi, jos motivaatiota on, työntekijät voivat aiheuttaa merkittäviä vahinkoja (mikä ei yleensä ole harvinaista). Ja jos hyökkääjät myös kääntyvät heidän puoleensa, niin tämä on yleensä surullinen tarina.
Asiakirjat
Kun kaikki edelliset vaiheet on suoritettu, kaikki tarvittavat paperit, kuten “Tietoturvakäytäntö”, “CSIS: n luomisen ohjeet” ja muut asiat, valmistellaan. Sen jälkeen suoritetaan valikoima ohjelmistojen ja laitteistojen suojauksia ja niiden ominaisuudet määritetään. Viime kädessä kehitetään dokumentaatiota ”CSIS: n luomisen tekninen projekti”. Kun kaikki on valmis, on jo mahdollista aloittaa valittujen työkalujen, toimenpiteiden ja tapojen suojaaminen tietojärjestelmää varten.
ohjaus
Mutta pelkkä luominen ei riitä. On myös varmistettava, että kaikki toimii oikein, ja tarkista säännöllisesti, että tämä tila jatkuu. Tätä varten suoritetaan eheyden seuranta, vaatimusten selkeyttäminen (tarkistaminen) ja tietojärjestelmän tila analysoidaan. Jos puhumme turvallisuudesta vastaavasta järjestelmänvalvojasta, niin sääntöä "hyvä järjestelmänvalvoja on joku, jolla on kyky jatkuvasti nukkua" ei sovelleta tähän. Tietojärjestelmä on dynaaminen objekti, jossa sisäiset ja ulkoiset olosuhteet muuttuvat jatkuvasti. Samoin organisaation rakenne ei ole jotain pysyvää. Uusia rakenneyksiköitä tai osastoja, palveluita (kuten tuki tai tietokannat) voidaan luoda, tai siirrytään huoneesta toiseen. Myös järjestelmän kautta kiertävät tiedot muuttuvat. Siksi tietojärjestelmien turvallisuuspolitiikassa tulisi ottaa huomioon kaikki edellä mainitut näkökohdat ja ottaa ne huomioon. Tämä ei tarkoita, että turvallisuus on asettunut asialle. Ei, koska on tarpeen jatkaa parantamista ja mukautua haasteisiin, olisi parempi kutsua sitä prosessiksi.
Tulosten arviointi
Käytetään tehokkuuden määrittämiseen.On erityisiä tekniikoita, joilla voit määrittää tämän parametrin. Tällaisen tarkastuksen suorittaminen yksin on melko vaikeaa, koska suojajärjestelmän luoja on pitänyt poistaa kaikki näkyvät puutteet. Siksi tämä tehtävä yleensä annetaan kolmannelle osapuolelle. Ja hän lähestyy koetta toisesta asemasta, ja on erittäin todennäköistä, että hän havaitsee heikon paikan, jonka kehittäjät itse olivat huomanneet. Itse asiassa tällaiset tarkastajat toimivat hakkereina, mutta he ovat jo hyötyneet kaiken mahdollisen tiedon käytöstä käteismaksuina yritykseltä itseltään. Juuri sellaisista hetkeistä lähtien turvallisuuspolitiikka pannaan täytäntöön.
johtopäätös
Ehkä pienyrityksellä ei ole järkeä kehittää omaa turvallisuuspolitiikkaansa. Mutta suurille yrityksille, jotka aikovat toimia hyvin pitkään, sen arvo tietyinä ajankohtina voi olla poikkeuksellinen. Jos turvallisuuspolitiikkaa kehitetään korkealla tasolla, yrityksen edustajat eivät ehkä koskaan edes tiedä, mistä se suojaa heitä. Ja vaikka näyttää siltä, ettei sillä ole mitään järkeä, tämän kokemuksen käyttö millä tahansa toiminta-alueella on erittäin tärkeää.