Nagłówki
...

Polityka bezpieczeństwa w systemach informatycznych

Teraz każda osoba lub organizacja ma informacje, których nie ma ochoty publikować lub, przeciwnie, istnieją plany pożegnania się z nią tak drogo, jak to możliwe. Do tego potrzebna jest polityka bezpieczeństwa. To taki czas działania, którego zadaniem jest powstrzymanie niekontrolowanego rozpowszechniania danych, które nie powinny być znane ogółowi społeczeństwa. Pracuje nad kwestiami możliwej utraty lub braku dostępu, co w każdym razie wpłynie na pracę. Ponadto, jeśli nadal tak się dzieje, zwykle zapewnia się zestaw środków w celu zminimalizowania szkód. W rzeczywistości polityka bezpieczeństwa to zbiór zasad i przepisów dotyczących wyposażenia i personelu organizacji, do których ona również ma zastosowanie. Jak należy zmaksymalizować jego skuteczność?

Złożoność przede wszystkim

polityka bezpieczeństwaKwestia ochrony informacji powinna zostać w pełni rozwiązana, ale przede wszystkim konieczne jest zablokowanie wszystkich możliwych kanałów utraty danych. Jest to konieczne, ponieważ zastosowanie poszczególnych środków prawie nie zwiększa bezpieczeństwa całego systemu. Spójrzmy na przykład. Mamy dom W nim zainstalowaliśmy drzwi pancerne, w których znajdują się niezwykle złożone zamki. Ale jednocześnie zostawiliśmy otwarte okna! Czy nasz dom jest chroniony? Odpowiedź brzmi nie. Chociaż, jeśli nadal mieszkamy nie w jednopiętrowym domu, ale na 125. piętrze wieżowca, nadal nieznacznie zwiększymy bezpieczeństwo. Podobna zasada dotyczy ochrony w systemach informatycznych. Oddzielne środki mogą znacznie zwiększyć bezpieczeństwo lub przynieść minimalny efekt. W każdym razie konieczne jest podejście z punktu widzenia złożoności.

Co jest pożądane?

polityka bezpieczeństwa jestCzęsto w celu zapewnienia bezpieczeństwa tworzą pełnoprawny zintegrowany system ochrony informacji (ISIS), który stanowi połączenie środków inżynieryjnych i organizacyjnych, a także oprogramowania i sprzętu. Razem zapewniają one normalne działanie zautomatyzowanych systemów. Zarządzanie polityką bezpieczeństwa jest pożądane nie tylko w oparciu o technologię komputerową, ale także personel organizacji.

Środki organizacyjne

Jest to bardzo ważny i często niedoceniany element. W ramach środków organizacyjnych rozumiem opracowanie i wdrożenie w praktyce oficjalnej polityki dotyczącej bezpieczeństwa informacji. Obejmuje to:

  1. Opracowywanie opisów stanowisk, których muszą przestrzegać użytkownicy i personel serwisowy.
  2. Opracowanie reguł administracyjnych dla poszczególnych komponentów systemu.
  3. Stworzenie planu działania w celu identyfikacji nieautoryzowanych prób dostępu.
  4. Opracowanie zasad określających księgowanie, przechowywanie, powielanie i niszczenie poufnych nośników informacji.
  5. Badanie problemów identyfikacyjnych.
  6. Opracowanie planu na wypadek awarii sprzętu ochronnego i wystąpienia nadzwyczajnej sytuacji.
  7. Szkolenie wszystkich użytkowników w zakresie zasad i rekomendowanie bezpieczeństwa informacji, a także monitorowanie ich wdrażania.

Problemy z ignorowaniem środków organizacyjnych

wdrożenie polityki bezpieczeństwaCo się stanie, jeśli nie przeprowadzisz szkolenia w tej dziedzinie? Wtedy ludzie stają się najtrudniejszą częścią systemu obronnego. Skutkiem zignorowania tego aspektu jest często nawet niemożność przywrócenia systemu informacyjnego w ogóle. A cele polityki bezpieczeństwa nie zawsze będą osiągane z dużymi problemami. Ale nawet jeśli istnieje kopia zapasowa danych, odtworzenie zajmie trochę czasu.Ponadto tworzenie instrukcji ułatwi pracę w sytuacjach, w których wszystko zostało stworzone przez jednego pracownika, a przywrócone lub udoskonalone przez innego.

Najważniejszy aspekt środków organizacyjnych

ramy polityki bezpieczeństwaUżytkownicy powinni zostać przeszkoleni w rozpoznawaniu atakujących. Podajmy kilka przykładów, które pokażą Ci, jak trudne są:

  1. Pracownik otrzymuje telefon lub wiadomość e-mail od dyrektora lub innego kierownika wyższego szczebla z prośbą o podanie hasła, które umożliwi dostęp do bazy danych w celu przetestowania systemu, modyfikacji komponentu oprogramowania lub wykonania innego możliwego zadania. Rezultatem będzie otrzymanie przez oszusta możliwości jego usunięcia lub znacznego zniekształcenia, co pociągnie za sobą straty.
  2. Pracownik, jak wierzy, odwiedza stronę internetową swojej firmy, ale w rzeczywistości jest fałszywy. Wprowadza swoje dane. I to wszystko - atakujący ma dostęp do systemu. Ponadto, aby pracownik nie zdawał sobie sprawy, że go nie ma, można dokonać przekierowania i automatycznej autoryzacji na oficjalnej stronie internetowej.
  3. Pracownik zainfekowany atakującym jest opróżniany z nośników, na których program otworzy dostęp do bazy danych, usunie ją lub podejmie inne nieprzyjemne działania.

I to nie wszystkie możliwe opcje, ale tylko niektóre.

Przygotowanie podstaw zintegrowanego systemu bezpieczeństwa informacji

Opracowanie polityki bezpieczeństwa wymaga poważnego i integracyjnego podejścia. Odbywa się to etapami. Najpierw musisz sprawdzić system informacyjny i telekomunikacyjny. Analiza jego architektury, topologii, komponentów, spis zasobów informacyjnych. Wszyscy właściciele i użytkownicy muszą być zidentyfikowani i posiadać odpowiednią dokumentację. W zależności od znaczenia, różne sępy tajemnicy. Należy pamiętać, że polityka bezpieczeństwa opiera się na zebranych i analizowanych danych. Im większy zbiór informacji zostanie przetworzony, tym lepszy wynik końcowy.

Zdefiniowane z ochroną

opracowanie polityki bezpieczeństwaKonieczne jest zbudowanie modelu zagrożenia. W nim system komputerowy jest przedstawiany jako zestaw usług. Każda z nich ma swój własny zestaw funkcji, który pozwala zidentyfikować wiele zagrożeń. Wśród nich są:

  1. Zagrożenia dla prywatności. Obejmuje to wszystko związane z nieuprawnionym czytaniem treści;
  2. Zagrożenia dla integralności. Wszystko, co dotyczy nieautoryzowanej modyfikacji lub pociąga za sobą zniszczenie informacji;
  3. Zagrożenia dla dostępności. Obejmuje to możliwość niewłaściwego korzystania z systemu informacyjnego;
  4. Zagrożenia obserwacji. Bada wszystkie możliwości problemów z identyfikacją i zapewnieniem kontroli nad działaniami użytkowników.

Ramy polityki bezpieczeństwa muszą mieć rozwiązania dla każdego możliwego zagrożenia. Ale jednocześnie należy przestrzegać rozsądnej linii. Dlatego nie ma sensu ustalanie poufności informacji, które są publikowane na oficjalnej stronie organizacji i powinny być dostępne dla wszystkich, którzy chcą tego pomysłu.

Charakter zagrożeń

cele polityki bezpieczeństwaJest to określane przez to, co działa jako przyczyna problemów. Istnieją trzy typy:

  1. Naturalny charakter. Obejmuje to klęski żywiołowe, pożary i podobne problemy. Zadają największe obrażenia fizyczne. Najtrudniej się przed nimi bronić. Ale prawdopodobieństwo takiego zagrożenia jest najniższe. Jako ochronę stosuje się umieszczenie na różnych terytoriach i cechy konstrukcyjne budynku (pogrubienie ściany, ochrona przeciwpożarowa itp.).
  2. Charakter techniczny. Obejmuje to wypadki, awarie urządzeń, awarie. Powodują stosunkowo duże obrażenia. Są przed nimi chronione za pomocą mechanizmów duplikacji danych.
  3. Czynnik ludzki. Przez to nie zawsze rozumie się umyślne złe zamiary.Może to również obejmować błędy w projekcie, działaniu, rozwoju komponentów systemu, niezamierzone działania użytkowników. Z czysto technicznego punktu widzenia niewyszkolona sprzątaczka w serwerowni stanowi nie mniej zagrożenie dla sprzętu niż zorganizowana i doświadczona grupa crackerów komputerowych.

Celem polityki bezpieczeństwa jest zapobieganie tym problemom, a jeśli tak się stało, należy wdrożyć zestaw środków, które minimalizują otrzymane szkody.

Funkcje modelu zagrożenia

polityka bezpieczeństwa to zbiór zasad i przepisówOpracowując je, należy pamiętać, że różne rodzaje informacji muszą mieć inny system bezpieczeństwa. Tak więc, jeśli chodzi o dane publiczne znajdujące się na stronie internetowej, możemy powiedzieć, że należy zadbać o ich integralność i dostępność. Ponieważ wszyscy powinni je zobaczyć, problem prywatności można zignorować. Natomiast dane krążące w firmie muszą być chronione przed nieautoryzowanym dostępem. Ale pełna ochrona wszystkiego na najwyższym poziomie wymaga dużo siły i zasobów. Dlatego są one określane na podstawie najważniejszych danych, co zapewnia najwyższe bezpieczeństwo. Inne informacje są chronione zgodnie z ich wartością.

Model intruza

Jest zbudowany na ludziach. Identyfikuje wszystkie możliwe typy osób naruszających prawo i podaje im szczegółowy opis. Modele tworzone są zatem w stosunku do profesjonalnych krakersów, niedoświadczonych najemników, zwykłych chuliganów, pracowników przedsiębiorstwa. Największe niebezpieczeństwo w tym przypadku stanowi to pierwsze. Wynika to z faktu, że dysponują one niezbędnym zestawem wiedzy i środków technicznych do przeprowadzenia nieautoryzowanego dostępu. Za profesjonalistami podążają pracownicy przedsiębiorstw, ponieważ mają dostęp do informacji, a także mogą zapoznać się z organizacją systemu bezpieczeństwa. To już daje minimalne możliwości wpływania na zasoby. Dlatego, jeśli istnieje motywacja, pracownicy mogą powodować znaczne szkody (co na ogół nie jest rzadkie). A jeśli napastnicy również się do nich zwracają, jest to na ogół smutna historia.

Dokumentacja

polityka bezpieczeństwa opiera się naPo zakończeniu wszystkich poprzednich kroków opracowywane są wszystkie niezbędne dokumenty, takie jak: „Polityka bezpieczeństwa informacji”, „Zakres wymagań i obowiązków dotyczących tworzenia CSIS” i inne kwestie. Następnie przeprowadzany jest wybór ochrony oprogramowania i sprzętu oraz konfigurowane są ich właściwości. Ostatecznie opracowywana jest dokumentacja dotycząca „Projektu technicznego dla stworzenia CSIS”. Gdy wszystko będzie gotowe, można już rozpocząć wdrażanie wybranych narzędzi, środków i sposobów ochrony systemu informatycznego.

Kontrola

zarządzanie polityką bezpieczeństwaAle samo tworzenie nie wystarczy. Konieczne jest również upewnienie się, że wszystko działa poprawnie i okresowe sprawdzanie, czy ten stan się utrzymuje. W tym celu przeprowadza się monitorowanie integralności, wyjaśnianie wymagań (rewizję) i analizuje stan systemu informatycznego. Jeśli mówimy o administratorze odpowiedzialnym za bezpieczeństwo, to nie ma tu zastosowania zasada „dobry administrator to ktoś, kto ma zdolność do ciągłego spania”. System informacyjny jest obiektem dynamicznym, w którym warunki wewnętrzne i zewnętrzne stale się zmieniają. Podobnie, struktura organizacji nie jest czymś stałym. Mogą zostać utworzone nowe jednostki strukturalne lub działy, usługi (takie jak wsparcie lub bazy danych) lub nastąpi przejście z jednego pokoju do drugiego. Informacje krążące w systemie również się zmieniają. Dlatego polityka bezpieczeństwa w systemach informatycznych powinna uwzględniać wszystkie powyższe aspekty i brać je pod uwagę. Nie oznacza to, że bezpieczeństwo ustabilizowało się. Nie, biorąc pod uwagę potrzebę ciągłego doskonalenia i dostosowywania się do wyzwań, lepiej byłoby nazwać to procesem.

Ocena

Służy do określania skuteczności.Istnieją specjalne techniki, za pomocą których można określić ten parametr. Po prostu samodzielne przeprowadzenie takiej kontroli jest dość trudne, ponieważ twórcy systemu ochrony powinni usunąć wszystkie widoczne wady. Dlatego z reguły zadanie to często powierza się stronie trzeciej. A ona, z innej pozycji, podejdzie do testu i jest bardzo prawdopodobne, że zauważy słabe miejsce, którego nie zauważyli sami programiści. W rzeczywistości tacy inspektorzy działają jak crackerzy, ale już skorzystali na wykorzystaniu wszystkich możliwych danych w formie płatności gotówkowych od samej firmy. Od takich chwil dokonuje się wdrożenie polityki bezpieczeństwa.

Wniosek

cele polityki bezpieczeństwaByć może małe firmy nie mają sensu opracowywać własnej polityki bezpieczeństwa. Ale w przypadku dużych przedsiębiorstw, które planują działać przez bardzo długi czas, jego wartość w niektórych momentach może być niezwykła. Jeśli polityka bezpieczeństwa zostanie opracowana na wysokim poziomie, przedstawiciele firmy mogą nawet nie wiedzieć przed czym ją chronią. I nawet jeśli wydaje się, że nie ma to sensu, wykorzystanie tego doświadczenia w dowolnej dziedzinie działalności jest niezwykle ważne.


Dodaj komentarz
×
×
Czy na pewno chcesz usunąć komentarz?
Usuń
×
Powód reklamacji

Dziewczyna starała się nie wydawać pieniędzy przez miesiąc. Eksperyment pozostawił jej mieszane uczucia

Biznes

Historie sukcesu

Wyposażenie