kategorier
...

Säkerhetspolicy för informationssystem

Nu har varje person eller organisation information om att det inte finns någon önskan att publicera, eller tvärtom, det finns planer att säga adjö till det så dyrt som möjligt. Och för detta behövs en säkerhetspolitik. Detta är en sådan driftstid, vars uppgift är att undertrycka den okontrollerade distributionen av data som inte borde vara kända för allmänheten. Hon arbetar med frågor om möjlig förlust eller icke-åtkomst, vilket i alla fall kommer att påverka arbetet. Om detta fortfarande händer tillhandahålls vanligtvis en uppsättning åtgärder för att minimera skadorna. I själva verket är en säkerhetspolicy en uppsättning regler och föreskrifter för utrustning och personal i en organisation, som den också gäller. Hur ska dess effektivitet maximeras?

Komplexitet framför allt

säkerhetspolicyFrågan om informationsskydd bör behandlas fullt ut, men först och främst är det nödvändigt att blockera alla möjliga dataförlustkanaler. Detta är nödvändigt eftersom tillämpningen av enskilda åtgärder nästan inte ökar säkerheten för hela systemet. Låt oss titta på ett exempel. Vi har ett hus. I den installerade vi en pansradörr där det finns extremt komplexa lås. Men samtidigt lämnade vi fönstren öppna! Är vårt hem skyddat? Svaret är nej. Även om vi fortfarande inte bor i ett envåningshus utan på 125: e våningen i en skyskrapa, kommer vi fortfarande att öka säkerheten något. En liknande princip gäller skydd i informationssystem. Separata åtgärder kan öka säkerheten avsevärt eller få minimal effekt. I vilket fall som helst är det nödvändigt att närma sig ur komplexitetssynpunkt.

Vad är önskvärt att göra?

säkerhetspolitik ärFör att säkerställa säkerhet skapar de ofta ett fullständigt integrerat system för informationsskydd (CSIS), som är en kombination av tekniska och organisatoriska åtgärder, samt programvara och hårdvara. Tillsammans säkerställer de normal drift av automatiserade system. Säkerhetspolicyhantering är önskvärt inte bara förlitar sig på datorteknologi, utan också på organisationens personal.

Organisatoriska åtgärder

Det är en mycket viktig och ofta underskattad komponent. Under organisatoriska åtgärder förstå utvecklingen och implementeringen i praktiken av en officiell policy för informationssäkerhet. Detta inkluderar:

  1. Utarbetande av arbetsbeskrivningar som användare och servicepersonal måste följa.
  2. Utveckling av administrationsregler för enskilda systemkomponenter.
  3. Skapa en handlingsplan för att identifiera obehöriga åtkomstförsök.
  4. Utveckling av regler som föreskriver bokföring, lagring, reproduktion och förstörelse av konfidentiella informationsmedier.
  5. Studien av identifieringsfrågor.
  6. Utveckling av en plan i händelse av fel på skyddsutrustning och om en extrem situation uppstår.
  7. Utbilda alla användare i reglerna och rekommendera informationssäkerhet, samt övervaka deras implementering.

Problem med att ignorera organisatoriska åtgärder

implementering av säkerhetspolitikenVad händer om du inte gör utbildning på detta område? Då blir människor den svåraste delen av försvarssystemet. Resultatet av att ignorera denna aspekt är ofta till och med omöjligt att återställa informationssystemet i allmänhet. Och målen för säkerhetspolitiken uppnås inte alltid och med stora problem. Men även om det finns en säkerhetskopia av data, kommer det att ta lite tid att återskapa.Dessutom kommer skapandet av instruktioner att göra det enklare att arbeta i situationer där allt skapades av en anställd och restaurerades eller förfinades av en annan.

Den viktigaste aspekten av organisatoriska åtgärder

ram för säkerhetspolitikenAnvändare bör utbildas för att känna igen angripare. Låt oss ge några exempel som visar hur svåra de är:

  1. En anställd får ett samtal eller e-post från en direktör eller annan ledande chef som ber dem lämna sitt lösenord, vilket ger dem tillgång till databasen för att testa systemet, modifiera programvarukomponenten eller utföra en annan rimlig uppgift. Resultatet blir en bedrägeri som får möjligheten att avlägsnas eller betydande snedvridning, vilket kommer att medföra förluster.
  2. Medarbetaren besöker webbsidan, som han tror, ​​i sitt företag, men är faktiskt falskt. Anger hans data. Och det är allt - en angripare har åtkomst till systemet. Dessutom, så att den anställda inte inser att han inte är där, kan omdirigering och automatisk auktorisering på den officiella webbplatsen utföras.
  3. En anställd som är infekterad med en angripare spolas med media som programmet öppnar åtkomst till databasen, tar bort den eller vidtar några andra obehagliga åtgärder.

Och det här är inte alla möjliga alternativ, utan bara några.

Beredning av grunden för ett integrerat informationssäkerhetssystem

Att utveckla en säkerhetspolitik kräver en seriös och inkluderande strategi. Detta görs stegvis. Först måste du undersöka informations- och telekommunikationssystemet. Analysen av dess arkitektur, topologi, komponenter, en inventering av informationsresurser. Alla ägare och användare måste identifieras och ha relevant dokumentation. Beroende på vikten, annorlunda gamer av sekretess. Det bör komma ihåg att säkerhetspolicyn är baserad på insamlade och analyserade data. Ju större mängd information som behandlas, desto bättre blir slutresultatet.

Definieras med skydd

säkerhetspolitisk utvecklingDet är nödvändigt att bygga en hotmodell. I det presenteras ett datorsystem som en uppsättning tjänster. Var och en av dem har sin egen uppsättning funktioner, som gör att du kan identifiera många hot. Bland dem är:

  1. Hot mot integritet. Detta inkluderar allt relaterat till obehörig läsning av innehållet;
  2. Hot mot integritet. Allt som hänför sig till obehörig modifiering eller innebär förstörelse av information;
  3. Hot mot tillgänglighet. Detta inkluderar möjligheten till missbruk av informationssystemet;
  4. Hot om observation. Den undersöker alla möjligheter till problem med identifiering och säkerställer kontroll över användarens åtgärder.

Säkerhetspolitiska ramverk måste ha lösningar för alla möjliga hot. Men samtidigt är det nödvändigt att hålla sig till en rimlig linje. Så det är meningslöst att utarbeta konfidentialiteten för information som publiceras på organisationens officiella webbplats och bör vara tillgänglig för alla som önskar idén.

Hot av naturen

säkerhetspolitiska målDet bestäms av vad som fungerar som orsaken till problemen. Det finns tre typer:

  1. Naturlig karaktär. Detta inkluderar naturkatastrofer, bränder och liknande problem. De gör den största fysiska skadan. Det är svårast att försvara sig mot dem. Men sannolikheten för ett sådant hot är den lägsta. Som skydd används placering på byggnadens olika territorier och strukturella funktioner (väggförtjockning, brandskydd osv.).
  2. Teknisk karaktär. Detta inkluderar olyckor, utrustningsfel, funktionsfel. De orsakar relativt höga skador. De skyddas från dem med hjälp av datadupliceringsmekanismer.
  3. Den mänskliga faktorn. Av det förstås inte alltid avsiktligt ondt avsikt.Detta kan också inkludera fel i design, drift, utveckling av systemkomponenter, oavsiktliga åtgärder från användare. Ur rent teknisk synvinkel utgör en otränad rengöringsdam i serverrummet inte mindre ett hot mot utrustningen än en organiserad och erfaren grupp datorknäckare.

Målet med säkerhetspolitiken är att förhindra dessa problem, och om de inträffade, genomföra en uppsättning åtgärder som minimerar den mottagna skadan.

Hotmodelfunktioner

säkerhetspolicy är en uppsättning regler och förordningarNär man utvecklar den bör man komma ihåg att olika typer av information måste ha ett annat säkerhetssystem. När det gäller de offentliga uppgifterna som finns på webbplatsen kan vi säga att det är nödvändigt att ta hand om deras integritet och tillgänglighet. Eftersom alla borde se dem kan integritetsfrågan ignoreras. Medan de uppgifter som cirkulerar inom företaget måste skyddas från obehörig åtkomst. Men det fulla skyddet av allt på högsta nivå kräver mycket styrka och resurser. Därför bestäms de med de viktigaste uppgifterna, vilket säkerställer största säkerhet. Och annan information skyddas i enlighet med dess värde.

Inträngsmodell

Det är byggt på människor. Den identifierar alla möjliga typer av kränkare och ger dem en detaljerad beskrivning. Så modeller skapas relativt professionella knäckare, oerfarna legosoldater, vanliga hooligans, företagets anställda. Den största faran i detta fall tillhandahålls av den förra. Detta beror på det faktum att de har den nödvändiga uppsättningen kunskap och tekniska medel för att utföra obehörig åtkomst. Professionella följs av anställda i företag eftersom de har tillgång till information och kan också bekanta sig med säkerhetssystemets organisation. Detta ger redan minimala möjligheter att påverka resurser. Därför, om det finns motivation, kan anställda orsaka betydande skador (vilket i allmänhet inte är ovanligt). Och om angriparna också vänder sig till dem, så är det i allmänhet en sorglig historia.

Dokumentationen

säkerhetspolicy är baserad påNär alla tidigare steg har slutförts utarbetas alla nödvändiga papper, till exempel: "Informationssäkerhetspolicy", "Referensvillkor för skapande av en CSIS" och andra problem. Därefter utförs ett urval av programvaru- och hårdvaruskydd och deras egenskaper konfigureras. I slutändan utvecklas dokumentation om ”Tekniskt projekt för skapandet av en CSIS”. När allt är klart är det redan möjligt att börja implementera utvalda verktyg, åtgärder och sätt att skydda informationssystemet.

kontroll

säkerhetspolicyhanteringMen bara att skapa är inte tillräckligt. Det är också nödvändigt att se till att allt fungerar korrekt och att regelbundet se att detta tillstånd kvarstår. För att göra detta genomförs övervakning av integritet, förtydligande av krav (revision) och informationssystemets tillstånd analyseras. Om vi ​​talar om administratören som är ansvarig för säkerheten, gäller inte regeln "en bra administratör någon som har förmågan att ständigt sova" här. Informationssystemet är ett dynamiskt objekt där interna och externa förhållanden ständigt förändras. Likaså är organisationens struktur inte något permanent. Nya strukturella enheter eller avdelningar, tjänster (som support eller databaser) kan skapas, eller så kommer det att gå från ett rum till ett annat. Informationen som cirkulerar genom systemet förändras också. Därför bör säkerhetspolitiken i informationssystem ta hänsyn till alla ovanstående aspekter och ta hänsyn till dem. Detta betyder inte att säkerhet är något som har sänkt sig. Nej, med tanke på behovet av kontinuerlig förbättring och anpassning till utmaningar, skulle det vara bättre att kalla det en process.

Utvärdering av resultat

Används för att bestämma effektiviteten.Det finns speciella tekniker som du kan bestämma denna parameter. Det är bara att utföra en sådan kontroll på egen hand är ganska svårt på grund av att alla synliga brister borde ha eliminerats av skaparna av skyddssystemet. Därför överlåts denna uppgift som regel till en tredje part. Och hon, från en annan position, kommer att närma sig testet och det är mycket troligt att hon kommer att kunna märka en svag plats som missades av utvecklarna själva. Faktum är att sådana inspektörer fungerar som knäckare, men de har redan haft fördel av att använda alla möjliga uppgifter i form av kontantbetalningar från företaget självt. Det är från sådana ögonblick som säkerhetspolitiken genomförs.

slutsats

säkerhetspolitiska målKanske är småföretag inte vettiga att utveckla sin egen säkerhetspolitik. Men för stora företag som planerar att arbeta under mycket lång tid kan dess värde på vissa tidpunkter vara extraordinärt. Om en säkerhetspolicy utvecklas på en hög nivå, kanske företagsrepresentanter aldrig ens vet vad den skyddade dem från. Och även om det verkar som om det inte är vettigt är användningen av denna erfarenhet inom något aktivitetsområde extremt viktigt.


Lägg till en kommentar
×
×
Är du säker på att du vill ta bort kommentaren?
Radera
×
Anledning till klagomål

Flickan försökte att inte spendera pengar på en månad. Experimentet lämnade hennes blandade känslor

Affärs

Framgångshistorier

utrustning