kategórie
...

Bezpečnostná politika v informačných systémoch

Teraz má každá osoba alebo organizácia informácie, ktoré nechcú zverejniť, alebo naopak, existujú plány rozlúčiť sa s ňou čo najdrahšie. Preto je potrebná bezpečnostná politika. Ide o taký prevádzkový čas, ktorého úlohou je potlačiť nekontrolované šírenie údajov, ktoré by široká verejnosť nemala byť známa. Pracuje v otázkach možnej straty alebo neprístupnosti, čo v každom prípade ovplyvní prácu. Ak k tomu ešte dôjde, zvyčajne sa poskytuje súbor opatrení na minimalizáciu škôd. Bezpečnostná politika je v skutočnosti súbor pravidiel a predpisov týkajúcich sa vybavenia a personálu organizácie, na ktorú sa tiež vzťahuje. Ako by sa mala maximalizovať jeho účinnosť?

Predovšetkým komplexnosť

bezpečnostná politikaOtázka ochrany informácií by sa mala v plnej miere riešiť, ale v prvom rade je potrebné zablokovať všetky možné kanály straty údajov. Je to potrebné, pretože uplatňovanie jednotlivých opatrení takmer nezvyšuje bezpečnosť celého systému. Pozrime sa na príklad. Máme dom. V ňom sme nainštalovali obrnené dvere, v ktorých sú mimoriadne zložité zámky. Zároveň sme však nechali otvorené okná! Je náš domov chránený? Odpoveď znie nie. Aj keď stále nebudeme bývať v jednoposchodovom dome, ale na 125. poschodí mrakodrapu, mierne zvýšime bezpečnosť. Podobná zásada sa uplatňuje na ochranu v informačných systémoch. Samostatné opatrenia môžu významne zvýšiť bezpečnosť alebo priniesť minimálny účinok. V každom prípade je potrebné pristupovať z hľadiska zložitosti.

Čo je potrebné robiť?

bezpečnostná politika jeNa zabezpečenie bezpečnosti často vytvárajú plnohodnotný integrovaný systém ochrany informácií (ISIS), ktorý je kombináciou inžinierskych a organizačných opatrení, ako aj softvéru a hardvéru. Spoločne zabezpečujú normálnu prevádzku automatizovaných systémov. Riadenie bezpečnostnej politiky je žiaduce nielen spoliehať sa na počítačové technológie, ale aj na zamestnancov organizácie.

Organizačné opatrenia

Je to veľmi dôležitá a často podceňovaná zložka. Pod organizačnými opatreniami rozumieť vývoju a implementácii oficiálnej politiky týkajúcej sa informačnej bezpečnosti v praxi. To zahŕňa:

  1. Vypracovanie opisov úloh, ktoré musia používatelia a servisní pracovníci dodržiavať.
  2. Vývoj administratívnych pravidiel pre jednotlivé komponenty systému.
  3. Vytvorenie akčného plánu na identifikáciu neoprávnených pokusov o prístup.
  4. Vypracovanie pravidiel, ktoré stanovia účtovníctvo, uchovávanie, reprodukciu a zničenie dôverných informačných médií.
  5. Štúdium otázok identifikácie.
  6. Vypracovanie plánu v prípade poruchy ochranného zariadenia a výskytu mimoriadnej situácie.
  7. Školenie všetkých používateľov v oblasti pravidiel a odporúčaní bezpečnosti informácií, ako aj monitorovanie ich vykonávania.

Problémy pri ignorovaní organizačných opatrení

implementácia bezpečnostnej politikyČo sa stane, ak v tejto oblasti neuskutočníte školenie? Ľudia sa potom stanú najťažšou súčasťou obranného systému. Výsledkom ignorovania tohto aspektu je často dokonca nemožnosť obnovy informačného systému vo všeobecnosti. Ciele bezpečnostnej politiky sa nebudú vždy dosahovať as veľkými problémami. Ale aj keď existuje záložná kópia údajov, obnovenie bude nejaký čas trvať.Vytváranie pokynov navyše uľahčí prácu v situáciách, keď všetko vytvoril jeden zamestnanec a obnovil alebo vylepšil iný.

Najdôležitejší aspekt organizačných opatrení

rámec bezpečnostnej politikyPoužívatelia by mali byť vyškolení na rozpoznávanie útočníkov. Uvádzame niekoľko príkladov, ktoré vám ukážu, aké zložité sú:

  1. Zamestnanec dostane hovor alebo e-mail od riaditeľa alebo iného vedúceho pracovníka, ktorý ich žiada, aby poskytli svoje heslo, čo im umožní prístup do databázy, aby otestovali systém, upravili softvérové ​​komponenty alebo vykonali ďalšiu prijateľnú úlohu. Výsledkom bude skutočnosť, že podvodník dostane možnosť jeho odstránenia alebo výrazného narušenia, ktoré bude mať za následok straty.
  2. Zamestnanec navštevuje webovú stránku svojej spoločnosti, ale je v skutočnosti falošný. Zadá jeho údaje. A to je všetko - útočník má prístup do systému. Navyše, aby si zamestnanec neuvedomil, že tam nie je, je možné vykonať presmerovanie a automatické povolenie na oficiálnej webovej stránke.
  3. Zamestnanec infikovaný útočníkom je prepláchnutý médiom, na ktorom program otvorí prístup do databázy, odstráni ho alebo podnikne nejaké ďalšie nepríjemné kroky.

A to nie sú všetky možné možnosti, ale iba niektoré.

Príprava základu integrovaného systému informačnej bezpečnosti

Vypracovanie bezpečnostnej politiky si vyžaduje seriózny a inkluzívny prístup. Robí sa to postupne. Najprv musíte preskúmať informačný a telekomunikačný systém. Analýza jeho architektúry, topológie, komponentov, súpisu informačných zdrojov. Od všetkých vlastníkov a používateľov sa vyžaduje identifikácia a vlastnenie príslušnej dokumentácie. V závislosti od dôležitosti, rôzne supy utajenia. Malo by sa pamätať na to, že bezpečnostná politika je založená na zozbieraných a analyzovaných údajoch. Čím väčšie množstvo informácií bude spracovaných, tým lepší bude konečný výsledok.

Definované s ochranou

rozvoj bezpečnostnej politikyJe potrebné vytvoriť model hrozby. V ňom je počítačový systém prezentovaný ako súbor služieb. Každá z nich má svoju vlastnú sadu funkcií, ktorá vám umožní identifikovať veľa hrozieb. Medzi ne patrí:

  1. Ohrozenie súkromia. To zahŕňa všetko, čo súvisí s neoprávneným čítaním obsahu;
  2. Ohrozenie integrity. Všetko, čo súvisí s neoprávnenými zmenami alebo má za následok zničenie informácií;
  3. Ohrozenie dostupnosti. To zahŕňa možnosť zneužitia informačného systému;
  4. Hrozby pozorovania. Skúma všetky možnosti problémov s identifikáciou a zabezpečením kontroly nad činnosťami používateľov.

Rámce bezpečnostnej politiky musia mať riešenia pre každú možnú hrozbu. Zároveň je však potrebné držať sa rozumnej línie. Preto nemá zmysel zisťovať dôvernosť informácií zverejnených na oficiálnych webových stránkach organizácie a mali by byť prístupné všetkým, ktorí si to želajú.

Povaha hrozieb

ciele bezpečnostnej politikyJe určené tým, čo pôsobí ako príčina problémov. Existujú tri typy:

  1. Prírodný charakter. Patria sem prírodné katastrofy, požiare a podobné problémy. Robia najväčšie fyzické poškodenie. Najťažšie sa proti nim brániť. Pravdepodobnosť takejto hrozby je však najnižšia. Ako ochrana sa používa umiestnenie na rôznych územiach a konštrukčné prvky budovy (zahusťovanie steny, protipožiarna ochrana atď.).
  2. Technický charakter. Patria sem nehody, poruchy zariadenia, poruchy. Spôsobujú relatívne vysoké škody. Sú chránené pred nimi pomocou mechanizmov duplikácie údajov.
  3. Ľudský faktor. To nie je vždy chápané ako úmyselné zlé úmysly.To môže zahŕňať aj chyby v návrhu, prevádzke, vývoji systémových komponentov, neželané akcie používateľov. Z čisto technického hľadiska predstavuje netrénovaná upratovačka v serverovni menšie nebezpečenstvo pre zariadenie ako organizovaná a skúsená skupina počítačových crackerov.

Cieľom bezpečnostnej politiky je zabrániť týmto problémom, a ak k nim došlo, potom implementovať súbor opatrení, ktoré minimalizujú prijaté škody.

Funkcie modelu hrozby

bezpečnostná politika je súbor pravidiel a predpisovPri jej vývoji by sa malo pamätať na to, že rôzne typy informácií musia mať odlišný bezpečnostný systém. Pokiaľ ide o verejné údaje, ktoré sú na webovej stránke, môžeme teda povedať, že je potrebné postarať sa o ich integritu a dostupnosť. Keďže by ich mali vidieť všetci, problém ochrany osobných údajov možno ignorovať. Keďže údaje, ktoré cirkulujú vo vnútri spoločnosti, musia byť chránené pred neoprávneným prístupom; Plná ochrana všetkého na najvyššej úrovni si však vyžaduje veľa sily a zdrojov. Preto sú určené najdôležitejšími údajmi, ktoré zaisťujú najvyššiu bezpečnosť. A ďalšie informácie sú chránené v súlade s ich hodnotou.

Model votrelca

Je postavený na ľuďoch. Identifikuje všetky možné typy porušovateľov a poskytuje im podrobný popis. Modely sa vytvárajú v porovnaní s profesionálnymi crackermi, neskúsenými žoldniermi, obyčajnými chuligánmi, zamestnancami podniku. Najväčšie nebezpečenstvo v tomto prípade predstavuje prvý prípad. Dôvodom je skutočnosť, že majú potrebné vedomosti a technické prostriedky na vykonanie neoprávneného prístupu. Profesionálov sledujú zamestnanci podnikov, pretože majú prístup k informáciám a môžu sa tiež zoznámiť s organizáciou bezpečnostného systému. Toto už poskytuje minimálne príležitosti na ovplyvňovanie zdrojov. Preto ak dôjde k motivácii, zamestnanci môžu spôsobiť značné škody (čo vo všeobecnosti nie je neobvyklé). A ak sa k nim útočníci obracajú, potom je to všeobecne smutný príbeh.

Dokumentácia

bezpečnostná politika je založená naPo dokončení všetkých predchádzajúcich krokov sa vypracujú všetky potrebné dokumenty, napríklad: „Zásady informačnej bezpečnosti“, „Referenčné podmienky pre vytvorenie CSIS“ a ďalšie otázky. Potom sa uskutoční výber softvéru a hardvérovej ochrany a nakonfigurujú sa ich vlastnosti. V konečnom dôsledku sa vyvíja dokumentácia k „Technickému projektu na vytvorenie CSIS“. Keď je všetko pripravené, je už možné začať implementovať vybrané nástroje, opatrenia a spôsoby ochrany informačného systému.

ovládanie

riadenie bezpečnostnej politikyAle stvorenie nestačí. Je tiež potrebné uistiť sa, že všetko funguje správne a pravidelne sledovať, či tento stav pretrváva. Na tento účel sa vykonáva monitorovanie integrity, objasnenie požiadaviek (revízia) a analyzuje sa stav informačného systému. Ak hovoríme o správcovi zodpovednom za bezpečnosť, neuplatňuje sa tu pravidlo „dobrým správcom je niekto, kto má schopnosť neustále spať“. Informačný systém je dynamický objekt, v ktorom sa neustále menia vnútorné a vonkajšie podmienky. Podobne ani štruktúra organizácie nie je niečo trvalé. Môžu sa vytvoriť nové štrukturálne jednotky alebo oddelenia, služby (napríklad podpora alebo databázy) alebo dôjde k presunu z jednej miestnosti do druhej. Informácie, ktoré cirkulujú systémom, sa tiež menia. Preto by bezpečnostná politika v informačných systémoch mala zohľadňovať všetky vyššie uvedené aspekty a zohľadňovať ich. To neznamená, že bezpečnosť je niečo, čo sa ustálilo. Nie, vzhľadom na potrebu neustáleho zlepšovania a prispôsobovania sa výzvam by bolo lepšie nazvať ho procesom.

vyhodnotenie výsledkov

Používa sa na určenie efektívnosti.Existujú špeciálne techniky, pomocou ktorých môžete tento parameter určiť. Je to tak, že samotné vykonanie takejto kontroly je dosť ťažké vzhľadom na skutočnosť, že tvorcovia ochranného systému mali odstrániť všetky viditeľné nedostatky. Preto je táto úloha spravidla zverená tretej strane. A z iného miesta pristúpi k testu a je veľmi pravdepodobné, že si bude môcť všimnúť slabé miesto, ktoré samotní vývojári vynechali. V skutočnosti títo inšpektori konajú ako sušienky, ale už využili všetky možné údaje vo forme hotovostných platieb od samotnej spoločnosti. Vykonávanie bezpečnostnej politiky sa uskutočňuje od takýchto okamihov.

záver

ciele bezpečnostnej politikyMožno, že malé podniky nemajú zmysel rozvíjať svoju vlastnú bezpečnostnú politiku. Avšak pre veľké podniky, ktoré plánujú pôsobiť veľmi dlho, môže byť jeho hodnota v určitých časových obdobiach mimoriadna. Ak je bezpečnostná politika vyvinutá na vysokej úrovni, potom zástupcovia spoločnosti nemusia vedieť, pred čím ich ochránili. A aj keď sa zdá, že to nedáva zmysel, využitie tejto skúsenosti v akejkoľvek oblasti činnosti je nesmierne dôležité.


Pridajte komentár
×
×
Naozaj chcete odstrániť komentár?
vymazať
×
Dôvod sťažnosti

Dievča sa snažilo minúť peniaze mesiac. Experiment zanechal jej zmiešané pocity

obchodné

Príbehy o úspechu

zariadenie