Désormais, chaque personne ou organisation dispose d'informations qu'il ne souhaite pas publier ou, au contraire, il est prévu de faire ses adieux le plus cher possible. Et pour cela, une politique de sécurité est nécessaire. C’est un tel temps de fonctionnement, dont la tâche est de supprimer la distribution incontrôlée de données qui ne devrait pas être connue du grand public. Elle travaille sur des problèmes de perte possible ou de non-accès qui, dans tous les cas, affecteront le travail. En outre, si cela se produisait toujours, un ensemble de mesures est généralement fourni pour minimiser les dommages. En fait, une politique de sécurité est un ensemble de règles et de réglementations concernant l'équipement et le personnel d'une organisation, à laquelle elle s'applique également. Comment devrait-on maximiser son efficacité?
La complexité avant tout
La question de la protection des informations devrait être pleinement abordée, mais tout d’abord, il est nécessaire de bloquer tous les canaux possibles de perte de données. Cela est nécessaire car l'application de mesures individuelles n'augmente presque pas la sécurité de l'ensemble du système. Regardons un exemple. Nous avons une maison. Nous y avons installé une porte blindée comportant des serrures extrêmement complexes. Mais en même temps, nous avons laissé les fenêtres ouvertes! Notre maison est-elle protégée? La réponse est non. Bien que, si nous vivons toujours pas dans une maison à un étage, mais au 125ème étage d'un gratte-ciel, nous augmenterons encore légèrement la sécurité. Un principe similaire s'applique à la protection dans les systèmes d'information. Des mesures séparées peuvent augmenter considérablement la sécurité ou avoir un effet minimal. Dans tous les cas, il faut aborder du point de vue de la complexité.
Qu'est-ce qu'il est souhaitable de faire?
Souvent, pour assurer la sécurité, ils créent un système intégré à part entière de protection de l'information (CSIS), qui combine des mesures techniques et organisationnelles, ainsi que des logiciels et du matériel. Ensemble, ils assurent le fonctionnement normal des systèmes automatisés. La gestion de la politique de sécurité est souhaitable, non seulement en faisant appel à la technologie informatique, mais également au personnel de l’organisation.
Mesures organisationnelles
C'est un élément très important et souvent sous-estimé. Sous Mesures organisationnelles, comprendre l’élaboration et la mise en œuvre pratique d’une politique officielle en matière de sécurité de l’information. Cela comprend:
- Rédaction des descriptions de travail que les utilisateurs et le personnel de service doivent adhérer.
- Développement de règles d'administration pour des composants système individuels.
- Création d'un plan d'action pour identifier les tentatives d'accès non autorisé.
- Développement de règles qui stipuleront la comptabilité, le stockage, la reproduction et la destruction de supports d’information confidentiels.
- L'étude des problèmes d'identification.
- Développement d'un plan de défaillance d'équipement de protection et d'émergence d'une situation extrême
- Former tous les utilisateurs aux règles et recommander la sécurité des informations, ainsi que surveiller leur mise en œuvre.
Problèmes pour ignorer les mesures organisationnelles
Que se passera-t-il si vous ne menez pas de formation dans ce domaine? Les gens deviennent alors la partie la plus difficile du système de défense. Ignorer cet aspect a souvent pour conséquence même l'impossibilité de restaurer le système d'information en général. Et les objectifs de la politique de sécurité ne seront pas toujours atteints et avec de gros problèmes. Mais même s'il existe une copie de sauvegarde des données, la recréation prendra un certain temps.De plus, la création d'instructions facilitera le travail dans des situations où tout a été créé par un employé et restauré ou amélioré par un autre.
L'aspect le plus important des mesures organisationnelles
Les utilisateurs doivent être formés à reconnaître les attaquants. Donnons quelques exemples qui vous montreront à quel point ils sont délicats:
- Un employé reçoit un appel ou un courrier électronique d'un directeur ou d'un autre responsable supérieur, leur demandant de fournir leur mot de passe, qui leur donnera accès à la base de données pour tester le système, modifier le composant logiciel ou effectuer une autre tâche plausible. Le résultat sera que le fraudeur recevra la possibilité de son élimination ou une distorsion importante, ce qui entraînera des pertes.
- L'employé visite la page Web de son entreprise, comme il le croit, mais il s'agit en réalité de faux. Entre ses données. Et c’est tout, un attaquant a accès au système. De plus, pour que l'employé ne se rende pas compte qu'il n'est pas là, une redirection et une autorisation automatique sur le site officiel peuvent être effectuées.
- Un employé infecté par un attaquant est vidé avec le support sur lequel le programme ouvrira l'accès à la base de données, la supprimera ou entreprendra d'autres actions désagréables.
Et ce ne sont pas toutes les options possibles, mais seulement certaines.
Préparation de la base d'un système intégré de sécurité de l'information
L'élaboration d'une politique de sécurité nécessite une approche sérieuse et inclusive. Cela se fait par étapes. Vous devez d’abord examiner le système d’information et de télécommunication. L’analyse de son architecture, sa topologie, ses composants, un inventaire des ressources d’information. Tous les propriétaires et utilisateurs doivent être identifiés et posséder la documentation pertinente. Selon l'importance, différents les vautours du secret. Il convient de rappeler que la politique de sécurité est basée sur les données collectées et analysées. Plus le nombre d'informations traitées sera important, meilleur sera le résultat final.
Défini avec protection
Il est nécessaire de construire un modèle de menace. Dans ce document, un système informatique est présenté comme un ensemble de services. Chacune d'entre elles possède son propre ensemble de fonctions, ce qui vous permet d'identifier de nombreuses menaces. Parmi eux:
- Menaces à la vie privée. Cela inclut tout ce qui concerne la lecture non autorisée du contenu;
- Menaces pour l'intégrité. Tout ce qui concerne une modification non autorisée ou implique la destruction d'informations;
- Menaces pour l'accessibilité. Cela inclut la possibilité d’une mauvaise utilisation du système d’information;
- Menaces d'observation. Il explore toutes les possibilités de problèmes d'identification et de contrôle des actions des utilisateurs.
Les cadres de politique de sécurité doivent avoir des solutions pour chaque menace possible. Mais en même temps, il est nécessaire d’adhérer à une ligne raisonnable. Il n’a donc aucun sens de définir la confidentialité des informations publiées sur le site Web officiel de l’organisation et de les rendre accessibles à tous ceux qui le souhaitent.
Nature des menaces
Il est déterminé par ce qui agit comme la cause des problèmes. Il y a trois types:
- Caractère naturel. Cela inclut les catastrophes naturelles, les incendies et les problèmes similaires. Ils font les plus gros dégâts physiques. Il est très difficile de se défendre contre eux. Mais la probabilité d'une telle menace est la plus basse. En guise de protection, on utilise des emplacements sur différents territoires et des caractéristiques structurelles du bâtiment (épaississement du mur, protection contre le feu, etc.).
- Caractère technique. Cela inclut les accidents, les pannes d'équipement, les dysfonctionnements. Ils causent des dégâts relativement importants. Ils sont protégés contre eux par des mécanismes de duplication de données.
- Le facteur humain. Par ce n'est pas toujours compris l'intention du mal intentionnelle.Cela peut également inclure des erreurs dans la conception, le fonctionnement, le développement des composants du système, des actions involontaires de la part des utilisateurs. D'un point de vue purement technique, une femme de ménage non formée dans la salle des serveurs ne représente pas moins une menace pour l'équipement qu'un groupe de pirate informatique organisé et expérimenté.
Les objectifs de la politique de sécurité sont de prévenir ces problèmes et, s’ils se sont produits, de mettre en place un ensemble de mesures minimisant les dommages subis.
Caractéristiques du modèle de menace
Lors de son développement, il convient de garder à l’esprit que différents types d’informations doivent avoir un système de sécurité différent. Donc, en ce qui concerne les données publiques présentes sur le site Web, nous pouvons dire qu'il est nécessaire de veiller à leur intégrité et à leur accessibilité. Puisque tout le monde devrait les voir, la question de la confidentialité peut être ignorée. Considérant que les données qui circulent à l'intérieur de l'entreprise doivent être protégées contre tout accès non autorisé. Mais la protection complète de tout au plus haut niveau nécessite beaucoup de force et de ressources. Par conséquent, ils sont déterminés avec les données les plus importantes, ce qui garantit la plus grande sécurité. Et les autres informations sont protégées en fonction de leur valeur.
Modèle Intruder
Il est construit sur des personnes. Il identifie tous les types possibles de violateurs et leur donne une description détaillée. Ainsi, des modèles sont créés par rapport à des craquelins professionnels, des mercenaires inexpérimentés, des voyous ordinaires, des employés de l'entreprise. Le plus grand danger dans ce cas est fourni par le premier. Cela est dû au fait qu'ils disposent de l'ensemble des connaissances et des moyens techniques nécessaires pour effectuer des accès non autorisés. Les professionnels sont suivis par les employés des entreprises, car ils ont accès à l'information et peuvent également se familiariser avec l'organisation du système de sécurité. Cela fournit déjà des opportunités minimales pour influencer les ressources. Par conséquent, s’il existe une motivation, les employés peuvent causer des dommages importants (ce qui, en général, n’est pas rare). Et si les assaillants s’adressent également à eux, il s’agit généralement d’une histoire triste.
La documentation
Lorsque toutes les étapes précédentes sont terminées, tous les documents nécessaires sont élaborés, tels que: «Politique de sécurité de l'information», «Mandat pour la création d'un SCRS» et d'autres questions. Après cela, une sélection de protection logicielle et matérielle est effectuée et leurs caractéristiques sont configurées. En fin de compte, la documentation est en cours d'élaboration sur le «Projet technique de création d'un SCRS». Lorsque tout est prêt, il est déjà possible de commencer à mettre en œuvre les outils, mesures et moyens sélectionnés pour protéger le système d'information.
Contrôle
Mais créer ne suffit pas. Il est également nécessaire de s’assurer que tout fonctionne correctement et de vérifier périodiquement que cette situation persiste. Pour ce faire, une surveillance de l'intégrité, une clarification des exigences (révision) est effectuée et l'état du système d'information est analysé. Si nous parlons de l'administrateur responsable de la sécurité, la règle «un bon administrateur est une personne qui a la capacité de dormir en permanence» ne s'applique pas ici. Le système d'information est un objet dynamique dans lequel les conditions internes et externes changent constamment. De même, la structure d’une organisation n’est pas permanente. De nouvelles unités structurelles ou de nouveaux départements, services (tels que le support ou des bases de données) peuvent être créés ou seront déplacés d'une pièce à une autre. Les informations qui circulent dans le système changent également. Par conséquent, la politique de sécurité dans les systèmes d’information doit prendre en compte tous les aspects susmentionnés et en tenir compte. Cela ne veut pas dire que la sécurité est quelque chose qui s'est installée. Non, étant donné la nécessité d'une amélioration continue et d'une adaptation aux défis, il serait préférable d'appeler cela un processus.
Score
Utilisé pour déterminer l'efficacité.Il existe des techniques spéciales avec lesquelles vous pouvez déterminer ce paramètre. C'est juste que mener une telle vérification est assez difficile en raison du fait que toutes les failles visibles auraient dû être éliminées par les créateurs du système de protection. Par conséquent, en règle générale, cette tâche est souvent confiée à un tiers. Et elle, d’une position différente, abordera le test et il est très probable qu’elle sera en mesure de remarquer un point faible qui aurait été oublié par les développeurs eux-mêmes. En fait, ces inspecteurs agissent comme des craqueurs, mais ils ont déjà tiré parti de l’utilisation de toutes les données possibles sous la forme de paiements en espèces provenant de la société elle-même. C'est à partir de tels moments que la mise en œuvre de la politique de sécurité est faite.
Conclusion
Peut-être que les petites entreprises n’ont pas de sens pour élaborer leur propre politique de sécurité. Mais pour les grandes entreprises qui envisagent d’opérer très longtemps, sa valeur à certains moments peut être extraordinaire. Si une politique de sécurité est élaborée à un niveau élevé, les représentants de l'entreprise risquent même de ne jamais savoir de quoi elle est protégée. Et même s'il semble que cela n'ait aucun sens, l'utilisation de cette expérience dans n'importe quel domaine d'activité est extrêmement importante.