Az információs rendszerek biztonsági politikája

Most minden ember vagy szervezet rendelkezik olyan információkkal, amelyeket nem kíván közzétenni, vagy éppen ellenkezőleg, a tervek szerint a lehető legdrágább búcsút kell mondani. És ehhez biztonságpolitikára van szükség. Ez egy olyan működési idő, amelynek feladata az adatok ellenőrizetlen terjesztésének elfojtása, amelyeket a nagyközönség nem tudhat. Az esetleges veszteség vagy a hozzáférés hiánya kérdéseivel foglalkozik, amelyek mindenesetre befolyásolják a munkát. Továbbá, ha ez még mindig megtörtént, általában egy sor intézkedést hoznak a kár minimalizálására. Valójában a biztonsági politika a szervezet felszerelésével és személyzetével kapcsolatos szabályok és rendeletek összessége, amelyekre ez is vonatkozik. Hogyan lehet maximalizálni hatékonyságát?

Mindenekelőtt a komplexitás

Az információvédelem kérdését teljes mértékben meg kell oldani, de mindenekelőtt minden lehetséges adatvesztési csatornát blokkolni kell. Erre azért van szükség, mert az egyedi intézkedések alkalmazása szinte nem növeli a teljes rendszer biztonságát. Nézzünk meg egy példát. Van egy házunk. Beépítettünk egy páncélozott ajtót, amelybe rendkívül összetett zárak vannak. De ugyanakkor nyitva hagytuk az ablakokat! Védelmezzük otthonunkat? A válasz nem. Noha, ha továbbra sem egy emeletes házban élünk, hanem egy felhőkarcoló 125. emeletén, akkor mégis kissé növeljük a biztonságot. Hasonló elv vonatkozik az információs rendszerek védelmére. Külön intézkedés jelentősen növeli a biztonságot, vagy minimális hatást eredményezhet. Mindenesetre a komplexitás szempontjából kell megközelíteni.

Mit kell tenni?

Gyakran a biztonság biztosítása érdekében létrehoznak egy teljes értékű integrált információvédelmi rendszert (CSIS), amely a mérnöki és szervezeti intézkedések, valamint a szoftver és a hardver kombinációját alkotja. Együtt biztosítják az automatizált rendszerek normál működését. A biztonságpolitika menedzsmentje nemcsak a számítógépes technológiára, hanem a szervezet személyzetére is támaszkodik.

Szervezeti intézkedések

Ez egy nagyon fontos és gyakran alábecsült alkotóelem. A szervezeti intézkedések keretében megértsék az információbiztonsággal kapcsolatos hivatalos politika kidolgozását és gyakorlati megvalósítását. Ez magában foglalja:

1. A munkaköri leírások elkészítése, amelyeket a felhasználóknak és a szolgáltató személyzetnek be kell tartani.
2. Adminisztrációs szabályok kidolgozása az egyes rendszerkomponensekhez.
3. Akcióterv készítése az illetéktelen hozzáférési kísérletek azonosítására.
4. Szabályok kidolgozása, amelyek előírják a bizalmas információs adathordozók elszámolását, tárolását, sokszorosítását és megsemmisítését.
5. Az azonosítási kérdések vizsgálata.
6. Terv kidolgozása védőfelszerelés meghibásodása és rendkívüli helyzet bekövetkezése esetén.
7. Minden felhasználó képzése a szabályokban, az információbiztonság ajánlása, valamint a végrehajtásuk figyelemmel kísérése.

Probléma a szervezeti intézkedések figyelmen kívül hagyásával

Mi történik, ha nem folytat képzést ezen a területen? Ekkor az emberek a védelmi rendszer legnehezebb részévé válnak. Ennek a szempontnak a figyelmen kívül hagyása gyakran az információs rendszer általános visszaállításának lehetetlenségét is eredményezi. És a biztonságpolitika céljait nem mindig lehet elérni és nagy problémákkal. De még ha van is egy biztonsági másolat az adatokról, akkor újból eltart egy ideig.Ezenkívül az utasítások elkészítése megkönnyíti a munkát olyan helyzetekben, amikor mindent az egyik alkalmazott készített, a másik pedig helyreállította vagy finomította.

A szervezeti intézkedések legfontosabb szempontja

A felhasználókat ki kell képezni a támadók felismerésére. Adjunk néhány példát, amelyek megmutatják neked, hogy milyen trükkösek:

1. Az alkalmazott hívást vagy e-mailt kap egy igazgatótól vagy más felső vezetőtől, amelyben megkérdezik tőle jelszavuk megadását, amely hozzáférést biztosít az adatbázishoz a rendszer teszteléséhez, a szoftverösszetevő módosításához, vagy más valószínű feladat elvégzéséhez. Ennek eredményeként egy csaló megszerezheti annak eltávolításának vagy jelentős torzításának lehetőségét, ami veszteségeket okoz.
2. A munkavállaló, ahogy azt hiszi, meglátogatja cégének weboldalát, de valójában hamis. Beírja az adatait. És ennyi is - a támadó hozzáféréssel rendelkezik a rendszerhez. Ezenkívül, hogy a munkavállaló nem veszi észre, hogy nincs ott, átirányítást és automatikus engedélyezést végezhet a hivatalos weboldalon.
3. A támadóval fertőzött alkalmazottakat olyan adathordozóval öblítik meg, amelyeken a program megnyitja az adatbázishoz való hozzáférést, törli azt vagy más kellemetlen műveletet hajt végre.

És ez nem minden lehetséges lehetőség, csak néhány.

Integrált információbiztonsági rendszer alapjának előkészítése

A biztonsági politika kidolgozása komoly és befogadó megközelítést igényel. Ez szakaszosan történik. Először meg kell vizsgálnia az információs és telekommunikációs rendszert. Építészetének, topológiájának, összetevőinek elemzése, információs források felsorolása. Valamennyi tulajdonos és felhasználó azonosítását és a vonatkozó dokumentáció birtoklását megköveteli. Fontosságától függően különböző titoktartási keselyűk. Emlékeztetni kell arra, hogy a biztonsági politika a gyűjtött és elemzett adatokra épül. Minél nagyobb az információs tömb feldolgozása, annál jobb a végeredmény.

Védelemmel meghatározva

Fel kell építeni egy fenyegetési modellt. Ebben egy számítógépes rendszert szolgáltatássorként mutatnak be. Mindegyiknek megvan a saját funkciókészlete, amely lehetővé teszi számos fenyegetés azonosítását. Közülük a következők:

1. A magánélet fenyegetése. Ez magában foglalja a tartalom jogosulatlan olvasásával kapcsolatos mindent;
2. Az integritást fenyegető veszélyek. Minden, ami az illetéktelen módosításhoz kapcsolódik, vagy az információ megsemmisítését vonja maga után;
3. A hozzáférhetőség veszélyei. Ez magában foglalja az információs rendszerrel való visszaélés lehetőségét;
4. Megfigyelés veszélyei. Feltárja az azonosítás és a felhasználói intézkedések feletti ellenőrzés biztosításának minden lehetséges lehetőségét.

A biztonságpolitikai kereteknek megoldásokkal kell rendelkezniük minden lehetséges veszélyre. De ugyanakkor meg kell tartani az ésszerű vonalat. Tehát nincs értelme a szervezet hivatalos webhelyén közzétett információk titkosságának kidolgozására, és az ötletekhez az érdeklődők számára hozzáférhetőnek kell lennie.

A fenyegetések jellege

Azt határozza meg, hogy mi okozza a problémákat. Három típus létezik:

1. Természetes karakter. Ide tartoznak a természeti katasztrófák, tüzek és hasonló problémák. A legnagyobb fizikai károkat őrzik. A legnehezebb megvédeni őket. De egy ilyen fenyegetés valószínűsége a legalacsonyabb. Védelemként különféle területeken történő elhelyezést és az épület szerkezeti jellemzőit (a fal megvastagodása, tűzvédelem stb.) Használják.
2. Műszaki jelleg. Ide tartoznak a balesetek, a berendezés meghibásodásai, a működési zavarok. Viszonylag nagy károkat okoznak. Az adatok sokszorosítási mechanizmusai segítségével védik őket.
3. Az emberi tényező. Ezzel nem mindig értik meg a szándékos gonosz szándékot.Ide tartoznak a rendszerösszetevők megtervezésében, működésében, fejlesztésében, a felhasználók nem szándékos műveleteiben bekövetkező hibák is. Tisztán technikai szempontból egy kiszolgálóhelyiségben tartott, nem képzett takarítónő nem kevésbé fenyegeti a berendezést, mint egy számítógépes krakkoló szervezett és tapasztalt csoportja.

A biztonsági politika célja ezen problémák megelőzése, és ha azok megtörténtek, akkor végre kell hajtani egy olyan intézkedéscsomagot, amely minimalizálja a kapott károkat.

Fenyegetésmodell jellemzői

Fejlesztésekor figyelembe kell venni, hogy a különféle típusú információknak eltérő biztonsági rendszerrel kell rendelkezniük. Tehát a weboldalon található nyilvános adatokkal kapcsolatban elmondhatjuk, hogy gondoskodni kell azok integritásáról és hozzáférhetőségéről. Mivel mindenkinek látnia kellene őket, az adatvédelmi kérdést figyelmen kívül hagyhatjuk. Mivel a vállalaton belül keringő adatokat védeni kell az illetéktelen hozzáféréstől. De a legmagasabb szintű teljes védelem sok erőt és erőforrást igényel. Ezért a legfontosabb adatokkal vannak meghatározva, amelyek garantálják a legnagyobb biztonságot. Az egyéb információkat értékükkel összhangban védik.

Betolakodó modell

Az emberekre épül. Meghatározza az összes lehetséges bántalmazótípust és részletes leírást ad nekik. Tehát a modelleket professzionális crackerek, tapasztalatlan zsoldosok, rendes huligánok, a vállalkozás alkalmazottaihoz viszonyítva hozzák létre. A legnagyobb veszélyt ebben az esetben az előbbi jelenti. Ennek oka az a tény, hogy rendelkeznek a szükséges ismeretekkel és műszaki eszközökkel az illetéktelen hozzáférés végrehajtásához. A szakembereket a vállalkozások alkalmazottai követik, mivel hozzáférhetnek információkhoz, és megismerkedhetnek a biztonsági rendszer felépítésével is. Ez már minimális lehetőséget kínál az erőforrások befolyásolására. Ezért motiváció esetén a munkavállalók jelentős károkat okozhatnak (ami általában nem ritka). És ha a támadók is hozzájuk fordulnak, akkor ez általában szomorú történet.

A dokumentáció

Az összes előző lépés elvégzése után elkészül az összes szükséges dokumentum, például: „Információbiztonsági politika”, „A CSIS létrehozásának feladatmeghatározása” és egyéb kérdések. Ezt követően kiválasztják a szoftverek és a hardverek védelmét, és konfigurálják azok jellemzőit. Végül kidolgozás alatt áll a „CSIS létrehozásának műszaki projektje” dokumentáció. Amikor minden kész, már elindítható a kiválasztott eszközök, intézkedések és módszerek végrehajtása az információs rendszer védelme érdekében.

ellenőrzés

De pusztán a teremtés nem elég. Azt is ellenőrizni kell, hogy minden megfelelően működik-e, és rendszeresen ellenőrizni, hogy ez a helyzet fennáll-e. Ehhez elvégezzük az integritás ellenőrzését, a követelmények tisztázását (átdolgozást) és elemezzük az információs rendszer állapotát. Ha a biztonságért felelős adminisztrátorról beszélünk, akkor a „jó adminisztrátor az, aki képes állandóan aludni” szabályra itt nem vonatkozik. Az információs rendszer egy dinamikus objektum, amelyben a belső és a külső feltételek folyamatosan változnak. Hasonlóképpen, a szervezet felépítése nem valami állandó. Új strukturális egységeket vagy szervezeti egységeket, szolgáltatásokat (például támogatást vagy adatbázisokat) lehet létrehozni, vagy átköltözik az egyik helyiségből a másikba. A rendszerben keringő információ szintén megváltozik. Ezért az információs rendszerek biztonsági politikájának figyelembe kell vennie a fenti szempontokat, és azokat figyelembe kell vennie. Ez nem azt jelenti, hogy a biztonság olyasmi, ami rendeződött. Nem, tekintettel a folyamatos fejlesztés és a kihívásokhoz való alkalmazkodás szükségességére, jobb, ha ezt folyamatnak nevezzük.

Az eredmények értékelése

A hatékonyság meghatározására szolgál.Vannak speciális technikák, amelyek segítségével meghatározhatja ezt a paramétert. Csak egy ilyen ellenőrzés elvégzése önmagában meglehetősen nehéz, mivel az összes látható hibát a védelmi rendszer alkotóinak el kellett volna távolítaniuk. Ezért ezt a feladatot rendszerint harmadik személyre bízják. És ő, más helyzetben, megközelíti a tesztet, és nagyon valószínű, hogy észreveszi egy gyenge pontot, amelyet maguk a fejlesztők hagytak ki. Az ilyen ellenőrök valójában krakkolóként működnek, de már részesültek az előnyeikből, ha az összes lehetséges adatot a társaságtól készpénzfizetés formájában használják fel. Ettől a pillanattól kezdve történik a biztonsági politika végrehajtása.

következtetés

A kisvállalkozásnak talán nincs értelme saját biztonsági politikájának kidolgozására. Azon nagyvállalatok számára, amelyek nagyon hosszú ideig működnek, az értéke bizonyos időpontokban rendkívüli lehet. Ha magas szintű biztonsági politikát dolgoznak ki, akkor a társaságok képviselői soha nem is tudhatják, mi által védte őket. És még akkor is, ha úgy tűnik, hogy nincs értelme, ennek a tapasztalatnak a felhasználása bármely tevékenység területén rendkívül fontos.