Categorii
...

Politica de securitate a sistemelor informaționale

Acum, fiecare persoană sau organizație are informații pe care nu există nicio dorință de a le publica sau, dimpotrivă, există planuri de a-și spune la revedere cât mai scump. Și pentru aceasta este nevoie de o politică de securitate. Acesta este un astfel de timp de funcționare, a cărui sarcină este de a suprima distribuția necontrolată a datelor care nu ar trebui să fie cunoscute publicului larg. Ea lucrează la probleme de posibilă pierdere sau neacces, care în orice caz vor afecta munca. De asemenea, dacă acest lucru s-a întâmplat încă, de obicei este prevăzut un set de măsuri pentru a minimiza daunele. De fapt, o politică de securitate este un set de reguli și reglementări cu privire la echipamentele și personalul unei organizații, la care se aplică și ea. Cum trebuie maximizată eficiența sa?

Complexitate deasupra tuturor

politica de securitateProblema protecției informațiilor ar trebui abordată pe deplin, dar în primul rând este necesară blocarea tuturor canalelor posibile de pierdere a datelor. Acest lucru este necesar deoarece aplicarea măsurilor individuale aproape că nu crește securitatea întregului sistem. Să ne uităm la un exemplu. Avem o casă. În ea, am instalat o ușă blindată în care există încuietori extrem de complexe. Dar, în același timp, am lăsat geamurile deschise! Este casa noastră protejată? Răspunsul este nu. Deși, dacă tot locuim nu într-o casă cu un etaj, ci la etajul 125 al unui zgârie-nori, atunci totuși vom crește ușor securitatea. Un principiu similar se aplică protecției în sistemele informaționale. Măsurile separate pot crește semnificativ siguranța sau pot aduce un efect minim. În orice caz, este necesar să abordăm din punct de vedere al complexității.

Ce este de dorit să faci?

politica de securitate esteAdesea, pentru a asigura securitatea, ei creează un sistem integrat de protecție a informațiilor integrat (ISIS), care este o combinație de măsuri de inginerie și organizaționale, precum și software și hardware. Împreună, asigură funcționarea normală a sistemelor automatizate. Gestionarea politicilor de securitate este de dorit să nu se bazeze numai pe tehnologia computerului, ci și pe personalul organizației.

Măsuri organizatorice

Este o componentă foarte importantă și adesea subestimată. Conform măsurilor organizaționale, înțelegeți dezvoltarea și implementarea în practică a unei politici oficiale privind securitatea informațiilor. Aceasta include:

  1. Redactarea fișelor postului pe care utilizatorii și personalul de serviciu trebuie să le respecte.
  2. Dezvoltarea regulilor de administrare pentru componentele individuale ale sistemului.
  3. Crearea unui plan de acțiune pentru identificarea încercărilor de acces neautorizate.
  4. Dezvoltarea de reguli care să prevadă contabilitatea, stocarea, reproducerea și distrugerea suporturilor informaționale confidențiale.
  5. Studiul problemelor de identificare.
  6. Elaborarea unui plan în caz de defecțiune a echipamentului de protecție și apariția unei situații extrem de mari.
  7. Instruirea tuturor utilizatorilor în reguli și recomandarea securității informațiilor, precum și monitorizarea implementării acestora.

Probleme în ignorarea măsurilor organizatorice

implementarea politicii de securitateCe se va întâmpla dacă nu conduci antrenament în acest domeniu? Atunci oamenii devin cea mai dificilă parte a sistemului de apărare. Rezultatul ignorării acestui aspect este adesea chiar imposibilitatea restaurării sistemului informațional în general. Iar obiectivele politicii de securitate nu vor fi întotdeauna realizate și cu mari probleme. Dar chiar dacă există o copie de rezervă a datelor, va dura ceva timp pentru a recrea.În plus, crearea instrucțiunilor va facilita munca în situații în care totul a fost creat de un angajat și restaurat sau rafinat de către altul.

Cel mai important aspect al măsurilor organizaționale

cadrul politicilor de securitateUtilizatorii ar trebui să fie instruiți să recunoască atacatorii. Haideți să oferim câteva exemple care vă vor demonstra cât de complicate sunt:

  1. Angajatul primește un apel sau un e-mail de la director sau de la un alt manager care îi cere parola, care va da acces la baza de date pentru a testa sistemul, a modifica componenta software sau pentru a efectua o altă sarcină plauzibilă. Rezultatul va fi primirea de către fraudator a posibilității de înlăturare sau denaturare semnificativă, care va atrage pierderi.
  2. Angajatul vizitează pagina web, după cum crede el, a companiei sale, dar este de fapt fals. Introduce datele sale. Și asta este totul - un atacator are acces la sistem. Mai mult, pentru ca angajatul să nu-și dea seama că nu se află acolo, se poate efectua redirecționarea și autorizarea automată pe site-ul oficial.
  3. Un angajat infectat cu un atacator este curățat de media pe care programul va deschide accesul la baza de date, o va șterge sau va lua unele alte acțiuni neplăcute.

Și acestea nu sunt toate opțiunile posibile, ci doar unele.

Pregătirea bazei unui sistem integrat de securitate a informațiilor

Dezvoltarea unei politici de securitate necesită o abordare serioasă și incluzivă. Acest lucru se face în etape. În primul rând, trebuie să examinați sistemul de informații și telecomunicații. Analiza arhitecturii sale, topologie, componente, un inventar al resurselor informaționale. Toți proprietarii și utilizatorii trebuie să fie identificați și să dețină documentația relevantă. În funcție de importanță, diferit vulturi de secret. Trebuie amintit că politica de securitate se bazează pe datele colectate și analizate. Cu cât va fi procesată o serie mai mare de informații, cu atât rezultatul final va fi mai bun.

Definit cu protecție

elaborarea politicii de securitateEste necesar să se construiască un model de amenințare. În el, un sistem informatic este prezentat ca un set de servicii. Fiecare dintre ele are propriul set de funcții, ceea ce vă permite să identificați multe amenințări. Printre ele se numără:

  1. Amenințări pentru confidențialitate. Aceasta include tot ceea ce se referă la citirea neautorizată a conținutului;
  2. Amenințări pentru integritate. Tot ceea ce se referă la modificări neautorizate sau care implică distrugerea informațiilor;
  3. Amenințări la accesibilitate. Aceasta include posibilitatea utilizării greșite a sistemului informațional;
  4. Amenințări ale observației. Acesta explorează toate posibilitățile de probleme cu identificarea și asigurarea controlului asupra acțiunilor utilizatorului.

Cadrele de politici de securitate trebuie să aibă soluții pentru fiecare amenințare posibilă. Dar, în același timp, este necesar să respectați o linie rezonabilă. Așadar, nu are sens să găsim confidențialitatea informațiilor care sunt postate pe site-ul oficial al organizației și ar trebui să fie accesibile tuturor celor care doresc ideea.

Natura amenințărilor

obiectivele politicii de securitateEste determinat de ceea ce acționează ca cauza problemelor. Există trei tipuri:

  1. Caracterul natural. Aceasta include dezastre naturale, incendii și probleme similare. Ele produc cele mai mari pagube fizice. Cel mai dificil este să vă apărați împotriva lor. Dar probabilitatea unei astfel de amenințări este cea mai mică. Ca protecție, se utilizează amplasarea pe diferite teritorii și caracteristici structurale ale clădirii (îngroșarea peretelui, protecția împotriva incendiilor etc.).
  2. Caracter tehnic. Aceasta include accidente, defecțiuni ale echipamentului, defecțiuni. Ele produc pagube relativ mari. Acestea sunt protejate de acestea folosind mecanisme de duplicare a datelor.
  3. Factorul uman. Prin aceasta nu se înțelege întotdeauna intenția rea ​​intenționată.Aceasta poate include, de asemenea, erori în proiectarea, operarea, dezvoltarea componentelor sistemului, acțiuni neintenționate ale utilizatorilor. Din punct de vedere pur tehnic, o doamnă de curățare neinstruită în camera de serviciu reprezintă nu mai puțin o amenințare pentru echipament decât un grup organizat și cu experiență de crackers de calculator.

Obiectivele politicii de securitate sunt prevenirea acestor probleme și, dacă s-au întâmplat, implementați un set de măsuri care să reducă la minimum daunele primite.

Caracteristicile modelului amenințării

politica de securitate este un set de reguli și reglementăriLa elaborarea acesteia, trebuie avut în vedere faptul că diferite tipuri de informații trebuie să aibă un sistem de securitate diferit. Deci, cu privire la datele publice care se găsesc pe site-ul web, putem spune că este necesar să avem grijă de integritatea și accesibilitatea acestora. Deoarece toată lumea ar trebui să le vadă, problema confidențialității poate fi ignorată. Întrucât datele care circulă în interiorul companiei trebuie protejate de accesul neautorizat. Dar protecția completă a tuturor celor la cel mai înalt nivel necesită multă putere și resurse. Prin urmare, acestea sunt determinate cu cele mai importante date, care asigură cea mai mare securitate. Și alte informații sunt protejate în conformitate cu valoarea acesteia.

Modelul intrusului

Este construit pe oameni. Identifică toate tipurile posibile de încălcători și le oferă o descriere detaliată. Deci, modelele sunt create în raport cu crackers profesioniști, mercenari fără experiență, huligani obișnuiți, angajați ai întreprinderii. Cel mai mare pericol în acest caz îl oferă primul. Acest lucru se datorează faptului că dispun de setul de cunoștințe și mijloace tehnice necesare pentru a realiza accesul neautorizat. Profesioniștii sunt urmați de angajații întreprinderilor, deoarece au acces la informații și pot fi familiarizați cu organizarea sistemului de securitate. Acest lucru oferă deja oportunități minime de a influența resursele. Prin urmare, dacă există motivație, angajații pot provoca daune semnificative (ceea ce, în general, nu este neobișnuit). Și dacă atacatorii apelează și la ei, atunci aceasta este, în general, o poveste tristă.

Documentația

politica de securitate se bazează peCând toate etapele anterioare sunt finalizate, atunci toate lucrările necesare sunt elaborate, cum ar fi: „Politica de securitate a informațiilor”, „Termenii de referință pentru crearea unui CSIS” și alte probleme. După aceea, se realizează o selecție de protecție software și hardware, iar caracteristicile acestora sunt configurate. În cele din urmă, documentația este elaborată cu privire la „Proiectul tehnic pentru crearea unui CSIS”. Când totul este gata, este deja posibil să începeți să implementați instrumentele, măsurile și modalitățile de protejare a sistemului informațional.

control

managementul politicilor de securitateDar doar a crea nu este suficient. De asemenea, trebuie să vă asigurați că totul funcționează corect și să vedeți periodic că această afecțiune persistă. Pentru a face acest lucru, se efectuează monitorizarea integrității, clarificarea cerințelor (revizuire) și analiza stării sistemului informațional. Dacă vorbim despre administratorul de securitate, atunci regula „un administrator bun este cineva care are capacitatea de a dormi constant” nu se aplică aici. Sistemul informațional este un obiect dinamic în care condițiile interne și externe se schimbă constant. La fel, structura unei organizații nu este ceva permanent. Pot fi create noi unități structurale sau departamente, servicii (cum ar fi suport sau baze de date) sau va exista o mutare dintr-o cameră în alta. De asemenea, informațiile care circulă prin sistem se schimbă. Prin urmare, politica de securitate în sistemele de informații ar trebui să țină seama de toate aspectele de mai sus și să le țină seama. Asta nu înseamnă că securitatea este ceva stabilit. Nu, având în vedere nevoia de îmbunătățire continuă și adaptare la provocări, ar fi mai bine să-l numim un proces.

Evaluarea rezultatelor

Folosit pentru a determina eficacitatea.Există tehnici speciale cu ajutorul cărora puteți determina acest parametru. Doar că efectuarea unei astfel de verificări de unul singur este destul de dificilă datorită faptului că toate defectele vizibile ar fi trebuit eliminate de către creatorii sistemului de protecție. Prin urmare, de regulă, această sarcină este adesea încredințată unui terț. Și ea, dintr-o poziție diferită, va aborda testul și este foarte probabil că va putea observa un loc slab care a fost ratat de dezvoltatorii înșiși. De fapt, acești inspectori acționează ca crackers, dar au beneficiat deja de utilizarea tuturor datelor posibile sub formă de plăți în numerar de la compania însăși. Din aceste momente se face implementarea politicii de securitate.

concluzie

obiectivele politicii de securitatePoate că întreprinderile mici nu au sens să-și dezvolte propria politică de securitate. Dar pentru întreprinderile mari care intenționează să funcționeze pentru o perioadă foarte lungă de timp, valoarea sa în anumite momente în timp poate fi extraordinară. Dacă o politică de securitate este dezvoltată la un nivel înalt, atunci reprezentanții companiei nu vor ști niciodată de la ce i-a protejat. Și chiar dacă pare că nu are sens, utilizarea acestei experiențe în orice domeniu de activitate este extrem de importantă.


Adaugă un comentariu
×
×
Sigur doriți să ștergeți comentariul?
șterge
×
Motiv pentru plângere

afaceri

Povești de succes

echipament