Categorieën
...

Beveiligingsbeleid in informatiesystemen

Nu heeft elke persoon of organisatie informatie die er niet is om te publiceren, of omgekeerd zijn er plannen om er zo duur mogelijk afscheid van te nemen. En hiervoor is een beveiligingsbeleid nodig. Dit is zo'n bedrijfstijd, waarvan de taak is om de ongecontroleerde distributie van gegevens die niet bij het grote publiek bekend zouden moeten zijn, te onderdrukken. Ze werkt aan problemen van mogelijk verlies of niet-toegang, die in elk geval het werk zullen beïnvloeden. Ook als dit nog steeds gebeurde, wordt meestal een reeks maatregelen getroffen om schade te minimaliseren. In feite is een beveiligingsbeleid een reeks regels en voorschriften met betrekking tot de apparatuur en het personeel van een organisatie, waarop het ook van toepassing is. Hoe moet de effectiviteit ervan worden gemaximaliseerd?

Vooral complexiteit

beveiligingsbeleidDe kwestie van informatiebescherming moet volledig worden aangepakt, maar allereerst moeten alle mogelijke kanalen voor gegevensverlies worden geblokkeerd. Dit is nodig omdat de toepassing van afzonderlijke maatregelen de beveiliging van het hele systeem bijna niet verhoogt. Laten we een voorbeeld bekijken. We hebben een huis. Daarin hebben we een gepantserde deur geïnstalleerd waarin zich uiterst complexe sloten bevinden. Maar tegelijkertijd lieten we de ramen open! Is ons huis beschermd? Het antwoord is nee. Hoewel, als we nog steeds niet in een huis met één verdieping wonen, maar op de 125e verdieping van een wolkenkrabber, dan zullen we toch de beveiliging iets verhogen. Een soortgelijk principe is van toepassing op bescherming in informatiesystemen. Afzonderlijke maatregelen kunnen de veiligheid aanzienlijk verhogen of een minimaal effect hebben. In ieder geval is het noodzakelijk om te benaderen in termen van complexiteit.

Wat is wenselijk om te doen?

beveiligingsbeleid isVaak creëren ze, om de veiligheid te waarborgen, een volwaardig geïntegreerd systeem van informatiebescherming (CSIS), een combinatie van technische en organisatorische maatregelen, evenals software en hardware. Samen zorgen ze voor de normale werking van geautomatiseerde systemen. Beheer van beveiligingsbeleid is wenselijk, niet alleen afhankelijk van computertechnologie, maar ook van het personeel van de organisatie.

Organisatorische maatregelen

Het is een zeer belangrijke en vaak onderschatte component. Onder organisatorische maatregelen begrijpen de ontwikkeling en implementatie in de praktijk van een officieel beleid met betrekking tot informatiebeveiliging. Dit omvat:

  1. Opstellen van functiebeschrijvingen waaraan gebruikers en onderhoudspersoneel zich moeten houden.
  2. Ontwikkeling van administratieregels voor individuele systeemcomponenten.
  3. Opstellen van een actieplan voor het identificeren van ongeautoriseerde toegangspogingen.
  4. Ontwikkeling van regels die de boekhouding, opslag, reproductie en vernietiging van vertrouwelijke informatiemedia bepalen.
  5. De studie van identificatieproblemen.
  6. Ontwikkeling van een plan in geval van uitval van beschermingsmiddelen en het optreden van een extreem situatie.
  7. Alle gebruikers trainen in de regels en informatiebeveiliging aanbevelen, en toezicht houden op de implementatie ervan.

Problemen bij het negeren van organisatorische maatregelen

implementatie van beveiligingsbeleidWat gebeurt er als u geen training op dit gebied geeft? Dan worden mensen het moeilijkste deel van het afweersysteem. Het resultaat van het negeren van dit aspect is vaak zelfs de onmogelijkheid om het informatiesysteem in het algemeen te herstellen. En de doelstellingen van het veiligheidsbeleid zullen niet altijd worden bereikt en met grote problemen. Maar zelfs als er een back-up van de gegevens is, duurt het enige tijd om opnieuw te maken.Bovendien maakt het maken van instructies het gemakkelijker om te werken in situaties waarin alles door de ene werknemer is gemaakt en door een andere is hersteld of verfijnd.

Het belangrijkste aspect van organisatorische maatregelen

beveiligingsbeleidskaderGebruikers moeten worden getraind om aanvallers te herkennen. Laten we enkele voorbeelden geven die u zullen laten zien hoe lastig ze zijn:

  1. De werknemer ontvangt een telefoontje of e-mail van de directeur of een andere senior manager die om zijn wachtwoord vraagt, die toegang geeft tot de database om het systeem te testen, de softwarecomponent te wijzigen of een andere plausibele taak uit te voeren. Het resultaat is de ontvangst door de fraudeur van de mogelijkheid van verwijdering of aanzienlijke vervorming, die verliezen met zich meebrengt.
  2. De werknemer bezoekt de webpagina, zoals hij gelooft, van zijn bedrijf, maar is eigenlijk nep. Voert zijn gegevens in. En dat is alles - een aanvaller heeft toegang tot het systeem. Bovendien, zodat de werknemer niet beseft dat hij er niet is, kan omleiding en automatische autorisatie op de officiële website worden uitgevoerd.
  3. Een met een aanvaller geïnfecteerde werknemer wordt doorgespoeld met media waarop het programma de toegang tot de database opent, verwijdert of andere onaangename acties onderneemt.

En dit zijn niet alle mogelijke opties, maar slechts enkele.

Voorbereiding van de basis van een geïntegreerd informatiebeveiligingssysteem

Het ontwikkelen van een beveiligingsbeleid vereist een serieuze en inclusieve aanpak. Dit gebeurt in fasen. Eerst moet u het informatie- en telecommunicatiesysteem onderzoeken. De analyse van de architectuur, topologie, componenten, een inventaris van informatiebronnen. Alle eigenaren en gebruikers moeten worden geïdentificeerd en beschikken over relevante documentatie. Afhankelijk van het belang, anders gieren van geheimhouding. Er moet aan worden herinnerd dat het beveiligingsbeleid is gebaseerd op de verzamelde en geanalyseerde gegevens. Hoe groter de reeks informatie, hoe beter het eindresultaat.

Gedefinieerd met bescherming

ontwikkeling van beveiligingsbeleidHet is noodzakelijk om een ​​dreigingsmodel te bouwen. Daarin wordt een computersysteem gepresenteerd als een set services. Elk van hen heeft zijn eigen set functies, waarmee u vele bedreigingen kunt identificeren. Onder hen zijn:

  1. Bedreigingen voor privacy. Dit omvat alles met betrekking tot ongeoorloofd lezen van de inhoud;
  2. Bedreigingen voor integriteit. Alles wat betrekking heeft op ongeoorloofde wijziging of de vernietiging van informatie met zich meebrengt;
  3. Bedreigingen voor toegankelijkheid. Dit omvat de mogelijkheid van misbruik van het informatiesysteem;
  4. Bedreigingen van observatie. Het onderzoekt alle mogelijkheden van identificatieproblemen en controle over gebruikersacties.

Beveiligingsbeleidskaders moeten oplossingen hebben voor elke mogelijke dreiging. Maar tegelijkertijd is het noodzakelijk om zich aan een redelijke lijn te houden. Het heeft dus geen zin om de vertrouwelijkheid te bepalen van informatie die op de officiële website van de organisatie is geplaatst en toegankelijk moet zijn voor iedereen die het idee wenst.

Aard van bedreigingen

doelstellingen van het veiligheidsbeleidHet wordt bepaald door wat de oorzaak van de problemen is. Er zijn drie soorten:

  1. Natuurlijk karakter. Dit omvat natuurrampen, branden en soortgelijke problemen. Ze veroorzaken de grootste fysieke schade. Het is het moeilijkst om zich tegen hen te verdedigen. Maar de kans op een dergelijke dreiging is het laagst. Als bescherming worden plaatsing op verschillende grondgebieden en structurele kenmerken van het gebouw (verdikking van de muur, brandbeveiliging, enzovoort) gebruikt.
  2. Technisch karakter. Dit omvat ongevallen, apparatuurstoringen, storingen. Ze veroorzaken relatief veel schade. Ze worden hiertegen beschermd met behulp van mechanismen voor gegevensduplicatie.
  3. De menselijke factor. Hiermee wordt niet altijd bedoeld opzettelijke kwade bedoelingen.Dit kan ook fouten in het ontwerp, de bediening, de ontwikkeling van systeemcomponenten en onbedoelde acties van gebruikers omvatten. Puur technisch gezien vormt een ongetrainde schoonmaakster in de serverruimte niet minder een bedreiging voor de apparatuur dan een georganiseerde en ervaren groep computercrackers.

De doelstellingen van het beveiligingsbeleid zijn om deze problemen te voorkomen en, als ze zich voordoen, een reeks maatregelen te implementeren die de ontvangen schade tot een minimum beperken.

Functies van dreigingsmodellen

beveiligingsbeleid is een verzameling regels en voorschriftenBij het ontwikkelen ervan moet worden bedacht dat verschillende soorten informatie een ander beveiligingssysteem moeten hebben. Met betrekking tot de openbare gegevens die op de website staan, kunnen we dus zeggen dat het noodzakelijk is om voor hun integriteit en toegankelijkheid te zorgen. Omdat iedereen ze zou moeten zien, kan het privacyprobleem worden genegeerd. Terwijl de gegevens die binnen het bedrijf circuleren moeten worden beschermd tegen ongeautoriseerde toegang. Maar de volledige bescherming van alles op het hoogste niveau vereist veel kracht en middelen. Daarom worden ze bepaald met de belangrijkste gegevens, wat de grootste beveiliging garandeert. En andere informatie wordt beschermd in overeenstemming met de waarde ervan.

Inbraakmodel

Het is gebouwd op mensen. Het identificeert alle mogelijke soorten overtreders en geeft hen een gedetailleerde beschrijving. Dus, modellen zijn gemaakt ten opzichte van professionele crackers, onervaren huurlingen, gewone hooligans, werknemers van de onderneming. Het grootste gevaar wordt in dit geval gevormd door de eerste. Dit komt omdat ze over de nodige kennis en technische middelen beschikken om ongeautoriseerde toegang uit te voeren. Professionals worden gevolgd door werknemers van ondernemingen, omdat zij toegang hebben tot informatie en ook bekend kunnen zijn met de organisatie van het beveiligingssysteem. Dit biedt al minimale mogelijkheden om middelen te beïnvloeden. Daarom kunnen werknemers, als er motivatie is, aanzienlijke schade aanrichten (wat in het algemeen niet ongewoon is). En als aanvallers zich ook tot hen wenden, dan is dit over het algemeen een triest verhaal.

De documentatie

beveiligingsbeleid is gebaseerd opWanneer alle voorgaande stappen zijn voltooid, zijn alle benodigde documenten uitgewerkt, zoals: "Informatiebeveiligingsbeleid", "Referentievoorwaarden voor het maken van een CSIS" en andere kwesties. Daarna wordt een selectie van software- en hardwarebescherming uitgevoerd en worden hun kenmerken geconfigureerd. Uiteindelijk wordt documentatie ontwikkeld over het "Technisch project voor het maken van een CSIS". Wanneer alles klaar is, is het al mogelijk om de geselecteerde tools, maatregelen en manieren om het informatiesysteem te beschermen te implementeren.

controle

beheer van beveiligingsbeleidMaar alleen creëren is niet genoeg. Het is ook noodzakelijk om ervoor te zorgen dat alles correct werkt en regelmatig te controleren of deze voorwaarde aanhoudt. Hiertoe wordt integriteitsbewaking, verduidelijking van eisen (herziening) uitgevoerd en wordt de status van het informatiesysteem geanalyseerd. Als we het hebben over de beheerder die verantwoordelijk is voor de beveiliging, is de regel "een goede beheerder iemand die constant kan slapen" niet van toepassing. Het informatiesysteem is een dynamisch object waarin interne en externe omstandigheden voortdurend veranderen. Evenzo is de structuur van een organisatie niet permanent. Nieuwe structurele eenheden of afdelingen, diensten (zoals ondersteuning of databases) kunnen worden gecreëerd, of er zal een verhuizing van de ene kamer naar de andere plaatsvinden. De informatie die door het systeem circuleert, verandert ook. Daarom moet het beveiligingsbeleid in informatiesystemen rekening houden met alle bovengenoemde aspecten en hiermee rekening houden. Dit wil niet zeggen dat beveiliging iets is dat is neergedaald. Nee, gezien de noodzaak van voortdurende verbetering en aanpassing aan uitdagingen, is het beter om het een proces te noemen.

Evaluatie van de resultaten

Gebruikt om de effectiviteit te bepalen.Er zijn speciale technieken waarmee u deze parameter kunt bepalen. Het is alleen dat het uitvoeren van een dergelijke controle op zichzelf vrij moeilijk is vanwege het feit dat alle zichtbare gebreken hadden moeten worden geëlimineerd door de makers van het beveiligingssysteem. Daarom wordt deze taak in de regel vaak aan een derde toevertrouwd. En zij, vanuit een andere positie, zal de test benaderen en het is zeer waarschijnlijk dat ze een zwakke plek zal kunnen opmerken die door de ontwikkelaars zelf werd gemist. In feite fungeren dergelijke inspecteurs als crackers, maar ze hebben al geprofiteerd van het gebruik van alle mogelijke gegevens in de vorm van contante betalingen van het bedrijf zelf. Het is vanaf zulke momenten dat de implementatie van het beveiligingsbeleid wordt gemaakt.

conclusie

doelen van het beveiligingsbeleidMisschien heeft een kleine onderneming geen zin om een ​​eigen beveiligingsbeleid te ontwikkelen. Maar voor grote ondernemingen die van plan zijn om heel lang te werken, kan de waarde ervan op bepaalde tijdstippen buitengewoon zijn. Als een beveiligingsbeleid op hoog niveau wordt ontwikkeld, weten bedrijfsvertegenwoordigers misschien zelfs nooit waartegen het hen heeft beschermd. En zelfs als het niet logisch lijkt, is het gebruik van deze ervaring op elk werkterrein uiterst belangrijk.


Voeg een reactie toe
×
×
Weet je zeker dat je de reactie wilt verwijderen?
Verwijder
×
Reden voor klacht

Het meisje probeerde een maand lang geen geld uit te geven. Het experiment liet haar gemengde gevoelens achter

bedrijf

Succesverhalen

uitrusting