עכשיו לכל אדם או ארגון יש מידע שאין רצון לפרסם, או להפך, יש תוכניות להיפרד ממנו יקר ככל האפשר. ולשם כך יש צורך במדיניות אבטחה. זהו זמן פעולה שכזה שתפקידו לדכא את התפוצה הבלתי מבוקרת של נתונים שלא צריכים להיות מוכרים לקהל הרחב. היא עובדת על סוגיות של אובדן או אי גישה, אשר בכל מקרה ישפיעו על העבודה. כמו כן, אם זה עדיין קרה, בדרך כלל ניתנת מערכת אמצעים למזעור הנזק. למעשה, מדיניות אבטחה היא מערכת של כללים ותקנות לגבי ציוד ואנשי ארגון עליהם היא חלה גם. כיצד יש למקסם את יעילותו?
מורכבות מעל הכל
יש לטפל במלוא בנושא הגנת המידע, אך ראשית כל, יש צורך לחסום את כל הערוצים האפשריים של אובדן נתונים. זה הכרחי מכיוון שהפעלת אמצעים בודדים כמעט ואינה מגבירה את האבטחה של המערכת כולה. בואו נסתכל על דוגמא. יש לנו בית. בתוכה התקנו דלת משוריינת בה יש מנעולים מורכבים במיוחד. אך יחד עם זאת השארנו את החלונות פתוחים! האם הבית שלנו מוגן? התשובה היא לא. אם כי אנו עדיין גרים לא בבית בן קומה אחת, אלא בקומה 125 של גורד שחקים, עדיין אנו נגביר מעט את הביטחון. עיקרון דומה חל על הגנה במערכות מידע. אמצעים נפרדים יכולים להגדיל משמעותית את הבטיחות, או להביא אפקט מינימלי. בכל מקרה, יש לגשת מנקודת מבט המורכבות.
מה רצוי לעשות?
לעתים קרובות, על מנת להבטיח אבטחה, הם יוצרים מערכת הגנת מידע משולבת מן המניין (ISIS), שהיא שילוב של אמצעים הנדסיים וארגוניים, כמו גם תוכנה וחומרה. יחד הם מבטיחים הפעלה תקינה של מערכות אוטומטיות. ניהול מדיניות אבטחה רצוי לא רק להסתמך על טכנולוגיית מחשבים, אלא גם על צוות הארגון.
צעדים ארגוניים
זהו מרכיב חשוב ולעיתים קרובות לא מוערך. תחת אמצעים ארגוניים הבינו את הפיתוח והיישום בפועל של מדיניות רשמית בנושא אבטחת מידע. זה כולל:
- ניסוח תיאורי תפקידים שעל המשתמשים ואנשי השירות לדבוק בהם.
- פיתוח כללי ניהול עבור רכיבי מערכת פרטניים.
- יצירת תוכנית פעולה לזיהוי ניסיונות גישה לא מורשים.
- פיתוח כללים שיקבעו חשבונאות, אחסון, רבייה והרס של אמצעי מידע חסויים.
- חקר סוגיות הזיהוי.
- פיתוח תוכנית במקרה של כשל בציוד מגן והתרחשות מצב קיצוני.
- הכשרת כל המשתמשים בכללים והמלצה על אבטחת מידע, כמו גם מעקב אחר יישומם.
בעיות בהתעלמות מצעדים ארגוניים
מה יקרה אם לא תעשו אימונים בתחום זה? ואז אנשים הופכים לחלק הקשה ביותר במערכת ההגנה. התוצאה של התעלמות מהיבט זה היא לרוב אפילו חוסר האפשרות לשחזור מערכת המידע באופן כללי. והמטרות של מדיניות הביטחון לא תמיד יושגו ובעיות גדולות. אבל גם אם יש עותק גיבוי של הנתונים, ייקח קצת זמן ליצור מחדש.בנוסף, יצירת הוראות תקל על העבודה במצבים בהם הכל נוצר על ידי עובד אחד, ושוחזר או מעודן על ידי עובד אחר.
ההיבט החשוב ביותר של אמצעים ארגוניים
יש להכשיר משתמשים להכיר תוקפים. בואו ניתן כמה דוגמאות שידגימו לכם כמה הם מסובכים:
- העובד מקבל שיחה או אימייל מהמנהל או ממנהל בכיר אחר שמבקש את סיסמתו, שתיתן גישה למסד הנתונים כדי לבדוק את המערכת, לשנות את רכיב התוכנה או לבצע משימה סבירה אחרת. התוצאה תהיה קבלת הרמאי על אפשרות הסרתו או עיוות משמעותי, שיגרור הפסדים.
- העובד מבקר בדף האינטרנט של החברה שלו, כפי שהוא מאמין, אך הוא למעשה מזויף. מזין את הנתונים שלו. וזה הכל - לתוקף יש גישה למערכת. יתרה מזאת, על מנת שהעובד לא יבין שהוא לא נמצא, ניתן לבצע הפניה ואישור אוטומטי באתר הרשמי.
- עובד שנדבק בתוקף שוטף בתקשורת עליהם התוכנית תפתח גישה למסד הנתונים, תמחק אותו או תנקוט בפעולות לא נעימות אחרות.
ואלו לא כל האפשרויות האפשריות, אלא רק כמה.
הכנת הבסיס של מערכת אבטחת מידע משולבת
פיתוח מדיניות אבטחה דורש גישה רצינית ומכילה. זה נעשה בשלבים. ראשית עליכם לבחון את מערכת המידע והתקשורת. ניתוח הארכיטקטורה, הטופולוגיה, הרכיבים שלה, מלאי של משאבי המידע. כל הבעלים והמשתמשים נדרשים להזדהות ולהחזיק בתיעוד רלוונטי. תלוי בחשיבות, שונה נשרים של סודיות. יש לזכור כי מדיניות האבטחה מבוססת על הנתונים שנאספו והנותחו. ככל שעובד מערך המידע גדול יותר, כך התוצאה הסופית תהיה טובה יותר.
מוגדר עם הגנה
יש צורך לבנות מודל איום. בתוכה מוצגת מערכת מחשבים כמערכת שירותים. לכל אחד מהם קבוצה של פונקציות משלה, המאפשרת לכם לזהות איומים רבים. ביניהם:
- איומים על פרטיות. זה כולל את כל הקשור לקריאה בלתי מורשית של התכנים;
- איומים על היושרה. כל מה שקשור לשינוי לא מורשה או כרוך בהרס מידע;
- איומים על נגישות. זה כולל אפשרות של שימוש לרעה במערכת המידע;
- איומי התבוננות. הוא בוחן את כל האפשרויות של בעיות בזיהוי ומבטיח שליטה על פעולות המשתמש.
למסגרות של מדיניות ביטחון חייבים להיות פתרונות לכל איום אפשרי. אך יחד עם זאת יש לדבוק בקו סביר. לכן, אין טעם להבין את סודיות המידע המפורסם באתר הרשמי של הארגון וצריך להיות נגיש לכל המעוניינים ברעיון.
אופי האיומים
זה נקבע על ידי מה משמש כגורם לבעיות. ישנם שלושה סוגים:
- אופי טבעי. זה כולל אסונות טבע, שריפות ובעיות דומות. הם גורמים לנזק הפיזי הגדול ביותר. הכי קשה להתגונן נגדם. אולם הסבירות לאיום כזה היא הנמוכה ביותר. כהגנה משתמשים במיקום על שטחים ותכונות מבניות של הבניין (עיבוי הקיר, הגנה מפני אש וכדומה).
- אופי טכני. זה כולל תאונות, תקלות בציוד, תקלות. הם גורמים לנזק גבוה יחסית. הם מוגנים מפניהם באמצעות מנגנוני שכפול נתונים.
- הגורם האנושי. בכך לא תמיד מובן כוונה רעה מכוונת.זה יכול לכלול גם שגיאות בתכנון, תפעול, פיתוח רכיבי מערכת, פעולות לא מכוונות על ידי המשתמשים. מנקודת מבט טכנית גרידא, גברת ניקיון לא מיומנת בחדר השרת מהווה איום לא פחות על הציוד מאשר קבוצת פיצוחי מחשבים מסודרים ומנוסים.
מטרות מדיניות האבטחה הן למנוע בעיות אלה, ואם הן אכן התרחשו, בצע מערך אמצעים אשר ממזער את הנזק שהתקבל.
מאפייני דגם האיום
בעת פיתוחו, יש לזכור כי סוגים שונים של מידע חייבים להיות בעלי מערכת אבטחה שונה. לכן, לגבי הנתונים הציבוריים המופיעים באתר, אנו יכולים לומר כי יש לדאוג לשלמותם ונגישותם. מכיוון שכולם צריכים לראות אותם, ניתן להתעלם מנושא הפרטיות. ואילו על הנתונים המופצים בתוך החברה יש להגן מפני גישה לא מורשית. אבל ההגנה המלאה על כל הכל ברמה הגבוהה ביותר דורשת הרבה כוח ומשאבים. לכן הם נקבעים על פי הנתונים החשובים ביותר, שמבטיחים את האבטחה הגדולה ביותר. ומידע אחר מוגן בהתאם לערכו.
דגם הפורץ
זה בנוי על אנשים. זה מזהה את כל סוגי המפרים האפשריים ונותן להם תיאור מפורט. אז, מודלים נוצרים יחסית לפיצוחים מקצועיים, שכירי חרב חסרי ניסיון, חוליגנים רגילים, עובדי הארגון. הסכנה הגדולה ביותר במקרה זה מספקת הראשונה. זה נובע מהעובדה שיש להם את מערך הידע והאמצעים הטכניים הדרושים לביצוע גישה לא מורשית. אחרי אנשי מקצוע עוברים עובדי ארגונים, מכיוון שיש להם גישה למידע, ויכולים להכיר גם את ארגון מערכת האבטחה. זה כבר מספק הזדמנויות מינימליות להשפיע על משאבים. לכן, אם יש מוטיבציה, העובדים יכולים לגרום נזק משמעותי (אשר באופן כללי אינו נדיר). ואם גם התוקפים פונים אליהם, אז זה בדרך כלל סיפור עצוב.
התיעוד
כאשר כל השלבים הקודמים מסתיימים, אזי מתבצעים כל המסמכים הדרושים, כגון: "מדיניות אבטחת מידע", "תנאי הפניה ליצירת CSIS" ונושאים אחרים. לאחר מכן מבוצעת מבחר הגנה על תוכנה וחומרה והתכונות שלהם מוגדרות. בסופו של דבר מתפתח תיעוד בנושא "הפרויקט הטכני ליצירת CSIS". כאשר הכל מוכן, ניתן כבר להתחיל ליישם את הכלים, האמצעים והדרכים שנבחרו להגנה על מערכת המידע.
שליטה
אבל פשוט ליצור זה לא מספיק. כמו כן, יש לוודא שהכל עובד כראוי, ולראות מעת לעת שמצב זה נמשך. לשם כך מתבצע ניטור שלמות, בירור הדרישות (תיקון) ומנותח את מצב מערכת המידע. אם אנו מדברים על המנהל האחראי על האבטחה, הכלל "מנהל טוב הוא מי שיש לו יכולת לישון ללא הרף" אינו חל כאן. מערכת המידע היא אובייקט דינאמי בו התנאים הפנימיים והחיצוניים משתנים כל העת. באופן דומה, מבנה הארגון אינו דבר קבוע. ניתן ליצור יחידות או מחלקות מבניות חדשות, שירותים (כגון תמיכה או מסדי נתונים) או שיהיה מעבר מחדר לחדר אחר. גם המידע שמסתובב במערכת משתנה. לכן מדיניות האבטחה במערכות מידע צריכה לקחת בחשבון את כל ההיבטים שלעיל ולהביא אותם בחשבון. זה לא אומר שהביטחון הוא משהו שנרגע. לא, בהתחשב בצורך בשיפור מתמשך והתאמה לאתגרים, עדיף לקרוא לזה תהליך.
ציון
משמש לקביעת יעילות.ישנן טכניקות מיוחדות איתן תוכלו לקבוע פרמטר זה. זה פשוט שביצוע בדיקה כזו מעצמה זה די קשה בגלל העובדה כי כל הפגמים הנראים לעין היו צריכים להיפטר על ידי יוצרי מערכת ההגנה. לכן, ככלל, משימה זו מופקדת לרוב על ידי צד שלישי. והיא, ממצב אחר, תתקרב למבחן וסביר מאוד להניח שהיא תוכל להבחין בנקודה חלשה שהחמיצו עצמם החמיצו. למעשה, פקחים מסוג זה פועלים כקרקרים, אך הם כבר נהנו משימוש בכל הנתונים האפשריים בצורה של תשלומי מזומן מהחברה עצמה. מרגעים כאלה מבוצעת יישום מדיניות האבטחה.
מסקנה
אולי עסקים קטנים לא הגיוניים לפתח מדיניות אבטחה משלה. אך עבור ארגונים גדולים המתכננים לפעול זמן רב מאוד, ערכו בנקודות זמן מסוימות יכול להיות יוצא דופן. אם מפותחת מדיניות אבטחה ברמה גבוהה, נציגי חברות עשויים אפילו לא לדעת ממה היא מגנה עליהם. וגם אם נראה שזה לא הגיוני, השימוש בחוויה זו בכל תחום פעילות חשוב ביותר.
