kategorije
...

Politika sigurnosti informacijskih sustava

Sada svaka osoba ili organizacija ima informacije koje ne žele objavljivati ​​ili, obrnuto, postoje planovi da se oproste od nje što je skuplje. A za to je potrebna sigurnosna politika. Ovo je takvo vrijeme rada, čiji je zadatak suzbiti nekontroliranu distribuciju podataka koji ne bi trebali biti poznati široj javnosti. Radi na pitanjima mogućeg gubitka ili nedostupnosti, što će u svakom slučaju utjecati na posao. Također, ako se to još uvijek dogodilo, obično se pruža niz mjera kako bi se šteta svela na najmanju moguću mjeru. Zapravo je sigurnosna politika skup pravila i propisa koji se odnose na opremu i osoblje organizacije, na koje se također odnosi. Kako treba povećati njegovu učinkovitost?

Složenost iznad svega

sigurnosna politikaPitanje zaštite podataka trebalo bi se potpuno riješiti, ali prije svega, potrebno je blokirati sve moguće kanale gubitka podataka. To je potrebno jer primjena pojedinačnih mjera gotovo ne povećava sigurnost cijelog sustava. Pogledajmo primjer. Imamo kuću. U njemu smo ugradili blindirana vrata u kojima se nalaze izuzetno složene brave. Ali istovremeno smo ostavili prozore otvorene! Je li naš dom zaštićen? Odgovor je ne. Iako, ako još uvijek ne živimo u jednokatnici, već na 125. katu nebodera, onda ćemo ipak malo povećati sigurnost. Sličan princip vrijedi i za zaštitu u informacijskim sustavima. Odvojene mjere mogu značajno povećati sigurnost ili donijeti minimalan učinak. U svakom slučaju, potrebno je pristupiti sa stajališta složenosti.

Što je poželjno učiniti?

sigurnosna politika jeDa bi osigurali sigurnost, često stvaraju cjelovit integrirani sustav zaštite podataka (CSIS), koji je kombinacija inženjerskih i organizacijskih mjera, kao i softvera i hardvera. Zajedno osiguravaju normalan rad automatiziranih sustava. Upravljanje sigurnosnim politikama poželjno je ne samo oslanjajući se na računalnu tehnologiju, već i na osoblje organizacije.

Organizacijske mjere

To je vrlo važna i često podcijenjena komponenta. Pod organizacijskim mjerama podrazumijevaju se razvoj i primjena u praksi službene politike koja se odnosi na sigurnost informacija. To uključuje:

  1. Izrada opisa poslova kojih se korisnici i servisno osoblje moraju pridržavati.
  2. Razvoj administrativnih pravila za pojedine komponente sustava.
  3. Stvaranje akcijskog plana za identificiranje pokušaja neovlaštenog pristupa.
  4. Razvoj pravila koja će odrediti knjiženje, pohranjivanje, reprodukciju i uništavanje medija s povjerljivim informacijama.
  5. Studija pitanja identifikacije.
  6. Izrada plana u slučaju kvara zaštitne opreme i nastanka ekstremne situacije.
  7. Osposobljavanje svih korisnika o pravilima i preporučivanje informacijske sigurnosti, kao i praćenje njihove primjene.

Problemi u zanemarivanju organizacijskih mjera

provedba sigurnosne politikeŠto će se dogoditi ako ne vodite obuku u ovom području? Tada ljudi postaju najteži dio obrambenog sustava. Rezultat zanemarivanja ovog aspekta često je čak i nemogućnost obnove informacijskog sustava općenito. A ciljevi sigurnosne politike neće uvijek biti postignuti i s velikim problemima. Ali čak i ako postoji sigurnosna kopija podataka, trebat će neko vrijeme da se rekreira.Pored toga, kreiranje uputa olakšat će rad u situacijama kada je sve stvorio jedan zaposlenik, a drugi ga obnovio ili doradio.

Najvažniji aspekt organizacijskih mjera

okvir sigurnosne politikeKorisnici bi trebali biti osposobljeni za prepoznavanje napadača. Donosimo nekoliko primjera koji će vam pokazati koliko su lukavi:

  1. Zaposlenik prima poziv ili e-poštu od direktora ili drugog višeg rukovoditelja tražeći njegovu lozinku, što će omogućiti pristup bazi podataka radi testiranja sustava, izmjene softverske komponente ili izvršavanja drugog vjerodostojnog zadatka. Rezultat će biti primanje prevaranta mogućnosti njegovog uklanjanja ili značajnog izobličenja, što će dovesti do gubitaka.
  2. Zaposlenik posjećuje internetsku stranicu, kako vjeruje, svoje tvrtke, ali zapravo je lažna. Unosi svoje podatke. I to je sve - napadač ima pristup sustavu. Nadalje, tako da zaposlenik ne shvati da ga nema, može se provesti preusmjeravanje i automatska autorizacija na službenim web stranicama.
  3. Zaposlenik zaražen napadačem ispravan je s medijima na kojima će program otvoriti pristup bazi podataka, izbrisati je ili poduzeti neke druge neugodne radnje.

I to nisu sve moguće opcije, već samo neke.

Priprema osnova integriranog sustava informacijske sigurnosti

Izrada sigurnosne politike zahtijeva ozbiljan i uključiv pristup. To se vrši u fazama. Prvo morate ispitati informacijski i telekomunikacijski sustav. Analiza njegove arhitekture, topologije, komponenata, popis izvora informacija. Svi vlasnici i korisnici moraju biti identificirani i posjedovati relevantnu dokumentaciju. Ovisno o važnosti, različito supovi tajnosti. Treba imati na umu da se sigurnosna politika temelji na prikupljenim i analiziranim podacima. Što će se niz podataka obraditi, bolji će biti konačni rezultat.

Određeno zaštitom

razvoj sigurnosne politikePotrebno je izgraditi model prijetnji. U njemu je računalni sustav predstavljen kao skup usluga. Svaki od njih ima svoj skup funkcija, koji vam omogućuje prepoznavanje mnogih prijetnji. Među njima su:

  1. Prijetnje privatnosti. To uključuje sve povezano s neovlaštenim čitanjem sadržaja;
  2. Prijetnje integritetu. Sve što se odnosi na neovlaštene izmjene ili povlači za sobom uništavanje informacija;
  3. Prijetnje pristupačnosti. To uključuje mogućnost zlouporabe informacijskog sustava;
  4. Prijetnje opažanja. Istražuju sve mogućnosti problema s prepoznavanjem i osiguravanjem kontrole nad postupcima korisnika.

Okviri sigurnosnih politika moraju imati rješenja za svaku moguću prijetnju. Ali istodobno je potrebno pridržavati se razumne crte. Dakle, nema smisla raditi povjerljivost informacija koje se objavljuju na službenim internetskim stranicama organizacije i trebaju biti dostupne svima koji žele ideju.

Priroda prijetnji

ciljevi sigurnosne politikeOdređuje se onim što djeluje kao uzrok problema. Postoje tri vrste:

  1. Prirodni karakter. To uključuje prirodne katastrofe, požare i slične probleme. Oni čine najveću fizičku štetu. Najteže ih je obraniti. Ali vjerojatnost takve prijetnje je najmanja. Kao zaštita koriste se postavljanje na različitim teritorijima i strukturne značajke zgrade (zadebljanje zida, protupožarna zaštita i tako dalje).
  2. Tehnički karakter. To uključuje nezgode, kvarove opreme, kvarove. Oni uzrokuju relativno veliku štetu. Zaštićeni su od njih mehanizmima umnožavanja podataka.
  3. Ljudski faktor. Pod njom se ne razumije uvijek zla namjera.Ovo također može uključivati ​​pogreške u dizajnu, radu, razvoju komponenti sustava, nenamjernim postupcima korisnika. S čisto tehničkog stajališta, neobučena dama za čišćenje u poslužiteljskoj sobi ne predstavlja manje prijetnju opremi od organizirane i iskusne skupine računalnih krekera.

Ciljevi sigurnosne politike su spriječiti te probleme, a ako su se dogodili, tada provesti niz mjera koje umanjuju štetu koja je primljena.

Značajke modela prijetnje

sigurnosna politika skup je pravila i propisaPri njegovom razvijanju treba imati na umu da različite vrste informacija moraju imati različit sigurnosni sustav. Dakle, s obzirom na javne podatke koji se nalaze na web mjestu, možemo reći da je potrebno voditi brigu o njihovoj cjelovitosti i dostupnosti. Budući da ih svi trebaju vidjeti, problem privatnosti može se zanemariti. Dok podaci koji kruže unutar tvrtke moraju biti zaštićeni od neovlaštenog pristupa. Ali potpuna zaštita svega na najvišem nivou zahtijeva puno snage i resursa. Stoga se određuju s najvažnijim podacima, što osigurava najveću sigurnost. I ostali podaci zaštićeni su u skladu s njegovom vrijednošću.

Model uljeza

Gradi se na ljudima. U njemu se identificiraju sve moguće vrste nasilnika i daje im detaljan opis. Dakle, modeli su stvoreni u odnosu na profesionalne krekere, neiskusne plaćenike, obične huligane, zaposlenike u poduzeću. Najveću opasnost u ovom slučaju pruža prva. To je zbog činjenice da imaju potreban skup znanja i tehničkih sredstava za neovlašteni pristup. Profesionalce prate djelatnici poduzeća jer imaju pristup informacijama, a mogu se upoznati i s organizacijom sigurnosnog sustava. To već pruža minimalne mogućnosti utjecaja na resurse. Stoga, ako postoji motivacija, zaposlenici mogu prouzročiti značajnu štetu (što općenito nije neuobičajeno). A ako se i napadači okrenu prema njima, onda je to općenito tužna priča.

Dokumentacija

sigurnosna politika temelji se naKada su svi prethodni koraci završeni, razrađuju se svi potrebni dokumenti, poput: „Politika informacijske sigurnosti“, „Uvjeti rada za stvaranje CSIS-a“ i druga pitanja. Nakon toga provodi se izbor softverske i hardverske zaštite i podešavaju se njihove karakteristike. Na kraju se izrađuje dokumentacija o „Tehničkom projektu za stvaranje CSIS-a“. Kad je sve spremno, već je moguće započeti s primjenom odabranih alata, mjera i načina zaštite informacijskog sustava.

kontrola

upravljanje sigurnosnom politikomAli samo stvaranje nije dovoljno. Također je potrebno osigurati da sve ispravno radi, i povremeno vidjeti da se to stanje nastavlja. Da bi se to postiglo, provodi se praćenje integriteta, pojašnjenje zahtjeva (revizija) i analizira stanje informacijskog sustava. Ako govorimo o administratoru koji je odgovoran za sigurnost, ovdje se ne primjenjuje pravilo "dobar administrator je onaj tko ima mogućnost stalnog spavanja". Informacijski sustav dinamičan je objekt u kojem se unutarnji i vanjski uvjeti stalno mijenjaju. Isto tako, struktura organizacije nije nešto trajno. Mogu se stvoriti nove strukturne jedinice ili odjeli, usluge (poput podrške ili baze podataka) ili će se premjestiti iz jedne prostorije u drugu. Informacije koje kruže kroz sustav također se mijenjaju. Stoga bi sigurnosna politika u informacijskim sustavima trebala uzeti u obzir sve gore navedene aspekte i uzeti ih u obzir. To ne znači da je sigurnost nešto što se smirilo. Ne, s obzirom na potrebu stalnog usavršavanja i prilagođavanja izazovima, bilo bi bolje nazvati to postupkom.

Procjena rezultata

Koristi se za određivanje učinkovitosti.Postoje posebne tehnike pomoću kojih možete odrediti ovaj parametar. Samo je provođenje takve provjere samostalno prilično teško zbog činjenice da su svi vidljivi nedostaci trebali ukloniti tvorce zaštitnog sustava. Stoga se u pravilu ovaj zadatak često povjerava trećoj strani. I ona će, s druge pozicije, pristupiti testu i vrlo je vjerojatno da će moći primijetiti slabo mjesto koje su propustili sami programeri. U stvari, takvi inspektori djeluju kao krekeri, ali već su imali koristi od korištenja svih mogućih podataka u obliku novčanih plaćanja od same tvrtke. Upravo se od takvih trenutaka vrši provedba sigurnosne politike.

zaključak

ciljevi sigurnosne politikeMožda malo poduzetništvo nema smisla razvijati vlastitu sigurnosnu politiku. Ali za velika poduzeća koja planiraju poslovati vrlo dugo, njegova vrijednost u određenim trenucima može biti izvanredna. Ako se sigurnosna politika razvije na visokoj razini, predstavnici tvrtke možda nikada neće znati ni od čega ih štiti. Čak i ako se čini da to nema smisla, upotreba ovog iskustva u bilo kojem području aktivnosti izuzetno je važna.


Dodajte komentar
×
×
Jeste li sigurni da želite izbrisati komentar?
izbrisati
×
Razlog za žalbu

Djevojka je pokušavala ne trošiti novac mjesec dana. Eksperiment je ostavio njezine miješane osjećaje

posao

Priče o uspjehu

oprema