Εφαρμοσμένος 

Ασφάλεια Πληροφοριών. Πολιτική ασφάλειας πληροφοριών και αρχές της οργάνωσής του

Κάτω από πολιτική ασφαλείαςΟι οργανισμοί κατανοούν ένα σύνολο τεκμηριωμένων αποφάσεων διαχείρισης που στοχεύουν στην προστασία των πληροφοριών και των σχετικών πόρων. Η πολιτική ασφαλείας είναι το μέσο με το οποίο υλοποιούνται οι δραστηριότητες στο πληροφοριακό σύστημα πληροφορικής του οργανισμού. Γενικά, οι πολιτικές ασφαλείας καθορίζονται από το υπολογιστικό περιβάλλον που χρησιμοποιείται και αντικατοπτρίζουν τις συγκεκριμένες ανάγκες του οργανισμού.

Συνήθως, ένα εταιρικό σύστημα πληροφοριών είναι ένα σύνθετο σύμπλεγμα ετερογενούς, μερικές φορές ανεπαρκώς συντονισμένου υλικού και λογισμικού: υπολογιστές, λειτουργικά συστήματα, εργαλεία δικτύου, DBMS και διάφορες εφαρμογές. Όλα αυτά τα εξαρτήματα έχουν συνήθως τις δικές τους προστασίες που πρέπει να συντονιστούν μεταξύ τους. Επομένως, μια αποτελεσματική πολιτική ασφάλειας είναι πολύ σημαντική ως συνεπής πλατφόρμα για τη διασφάλιση της ασφάλειας ενός εταιρικού συστήματος. Καθώς ένα σύστημα υπολογιστών αναπτύσσεται και ενσωματώνεται στο παγκόσμιο δίκτυο, είναι απαραίτητο να διασφαλιστεί ότι δεν υπάρχουν αδύνατα σημεία στο σύστημα, καθώς όλες οι προσπάθειες προστασίας των πληροφοριών μπορούν να υποτιμηθούν με ένα μόνο λάθος.

Οι πολιτικές ασφαλείας μπορούν να δημιουργηθούν για να ορίσουν ποιος έχει πρόσβαση σε συγκεκριμένα περιουσιακά στοιχεία και εφαρμογές, ποιους ρόλους και αρμοδιότητες θα έχουν συγκεκριμένα άτομα και διαδικασίες ασφαλείας που υπαγορεύουν σαφώς πώς πρέπει να εκτελούνται συγκεκριμένες εργασίες ασφαλείας. Τα ατομικά χαρακτηριστικά της εργασίας ενός εργαζομένου ενδέχεται να απαιτούν πρόσβαση σε πληροφορίες που δεν θα πρέπει να είναι διαθέσιμες σε άλλους εργαζόμενους. Για παράδειγμα, ένας διευθυντής ανθρώπινου δυναμικού μπορεί να έχει πρόσβαση στις ιδιωτικές πληροφορίες οποιουδήποτε υπαλλήλου, ενώ ένας ειδικός λογιστής μπορεί να έχει πρόσβαση μόνο στα οικονομικά δεδομένα αυτών των εργαζομένων. Και ένας απλός υπάλληλος θα έχει πρόσβαση μόνο στα προσωπικά του στοιχεία.

Η πολιτική ασφαλείας καθορίζει τη θέση του οργανισμού σχετικά με την ορθολογική χρήση των υπολογιστών και των δικτύων, καθώς και τις διαδικασίες για την πρόληψη και την αντιμετώπιση περιστατικών ασφαλείας. Ένα σύστημα μεγάλων επιχειρήσεων μπορεί να έχει ένα ευρύ φάσμα διαφορετικών πολιτικών, από επιχειρηματικές πολιτικές έως συγκεκριμένους κανόνες για την πρόσβαση σε σύνολα δεδομένων. Αυτές οι πολιτικές καθορίζονται εξ ολοκλήρου από τις συγκεκριμένες ανάγκες του οργανισμού.

ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣπολιτικές ασφαλείας

Η πολιτική ασφαλείας καθορίζει τη στρατηγική διαχείρισης στον τομέα της ασφάλειας πληροφοριών, καθώς και την ποσότητα της προσοχής και του όγκου των πόρων που η διοίκηση θεωρεί σκόπιμο να διαθέσει.

Η πολιτική ασφαλείας βασίζεται σε ανάλυση κινδύνων που αναγνωρίζονται ως πραγματικοί για το πληροφοριακό σύστημα του οργανισμού. Όταν έχει πραγματοποιηθεί ανάλυση κινδύνου και έχει καθοριστεί στρατηγική προστασίας, καταρτίζεται πρόγραμμα, η εφαρμογή του οποίου θα πρέπει να διασφαλίζει την ασφάλεια των πληροφοριών. Διατίθενται πόροι για το πρόγραμμα αυτό, ορίζονται υπεύθυνοι, καθορίζεται η διαδικασία παρακολούθησης της υλοποίησης του προγράμματος κ.λπ.

Για να εξοικειωθούμε με τις βασικές έννοιες των πολιτικών ασφαλείας, ας εξετάσουμε, ως συγκεκριμένο παράδειγμα, ένα υποθετικό τοπικό δίκτυο που ανήκει σε έναν συγκεκριμένο οργανισμό και τη σχετική πολιτική ασφαλείας.

Η πολιτική ασφάλειας ενός οργανισμού θα πρέπει να δομείται ως ένα συνοπτικό, εύκολα κατανοητό, έγγραφο πολιτικής υψηλού επιπέδου που υποστηρίζεται από έναν αριθμό πιο συγκεκριμένων εγγράφων εξειδικευμένων πολιτικών και διαδικασιών ασφάλειας.

Η πολιτική ασφάλειας υψηλού επιπέδου θα πρέπει να αναθεωρείται περιοδικά για να διασφαλίζεται ότι ανταποκρίνεται στις τρέχουσες ανάγκες του οργανισμού. Αυτό το έγγραφο είναι γραμμένο με τέτοιο τρόπο ώστε η πολιτική να είναι σχετικά ανεξάρτητη από συγκεκριμένες τεχνολογίες. Σε αυτήν την περίπτωση, αυτό το έγγραφο πολιτικής δεν χρειάζεται να αλλάζει πολύ συχνά.

Μια πολιτική ασφαλείας συνήθως συντάσσεται με τη μορφή ενός εγγράφου που περιλαμβάνει ενότητες όπως περιγραφή του προβλήματος, πεδίο εφαρμογής, θέση του οργανισμού, κατανομή ρόλων και ευθυνών, κυρώσεις κ.λπ.

Περιγραφή του προβλήματος.Οι πληροφορίες που κυκλοφορούν στο τοπικό δίκτυο είναι ζωτικής σημασίας. Ένα τοπικό δίκτυο επιτρέπει στους χρήστες να μοιράζονται προγράμματα και δεδομένα, γεγονός που αυξάνει τους κινδύνους ασφαλείας. Επομένως, καθένας από τους υπολογιστές του δικτύου χρειάζεται ισχυρότερη προστασία. Αυτά τα ενισχυμένα μέτρα ασφαλείας αποτελούν το αντικείμενο αυτού του εγγράφου. Το έγγραφο έχει τους ακόλουθους στόχους: να δείξει στους υπαλλήλους του οργανισμού τη σημασία της προστασίας του περιβάλλοντος δικτύου, να περιγράψει τον ρόλο τους στη διασφάλιση της ασφάλειας και να αναθέσει συγκεκριμένες ευθύνες για την προστασία των πληροφοριών που κυκλοφορούν στο δίκτυο.

Περιοχή εφαρμογής.Το πεδίο εφαρμογής αυτής της πολιτικής περιλαμβάνει όλο το υλικό, το λογισμικό και τους πόρους πληροφοριών που περιλαμβάνονται στο τοπικό δίκτυο της επιχείρησης. Η πολιτική απευθύνεται επίσης σε άτομα που εργάζονται με το δίκτυο, συμπεριλαμβανομένων των χρηστών, των υπεργολάβων και των προμηθευτών.

Θέση του οργανισμού.Στόχος του οργανισμού είναι να διασφαλίσει την ακεραιότητα, τη διαθεσιμότητα και την εμπιστευτικότητα των δεδομένων, καθώς και την πληρότητα και τη συνάφειά τους. Πιο συγκεκριμένοι στόχοι είναι:

    εξασφάλιση επιπέδου ασφάλειας που συμμορφώνεται με τα κανονιστικά έγγραφα·

    τήρηση της οικονομικής σκοπιμότητας για την επιλογή προστατευτικών μέτρων (το κόστος προστασίας δεν πρέπει να υπερβαίνει την αναμενόμενη ζημία από παραβίαση της ασφάλειας πληροφοριών)·

    εξασφάλιση ασφάλειας σε κάθε λειτουργική περιοχή του τοπικού δικτύου·

    εξασφάλιση λογοδοσίας για όλες τις αλληλεπιδράσεις των χρηστών με πληροφορίες και πόρους·

    παροχή ανάλυσης των πληροφοριών εγγραφής·

    παροχή στους χρήστες επαρκών πληροφοριών για τη συνειδητή διατήρηση της ασφάλειας·

    ανάπτυξη σχεδίων αποκατάστασης μετά από καταστροφές και άλλες κρίσιμες καταστάσεις για όλες τις λειτουργικές περιοχές, προκειμένου να διασφαλιστεί η συνέχεια της λειτουργίας του δικτύου·

    τη διασφάλιση της συμμόρφωσης με τους υφιστάμενους νόμους και τις πολιτικές ασφαλείας σε ολόκληρο τον οργανισμό.

Κατανομή ρόλων και ευθυνών.Οι αρμόδιοι υπάλληλοι και οι χρήστες του δικτύου είναι υπεύθυνοι για την υλοποίηση των παραπάνω στόχων.

Προϊστάμενοι τμημάτων είναι υπεύθυνοι για την κοινοποίηση των διατάξεων της πολιτικής ασφαλείας στους χρήστες και για την επικοινωνία μαζί τους.

διασφαλίζουν τη συνεχή λειτουργία του δικτύου και είναι υπεύθυνοι για την εφαρμογή των τεχνικών μέτρων που απαιτούνται για την εφαρμογή της πολιτικής ασφαλείας.

διαχειριστές υπηρεσιών είναι υπεύθυνοι για συγκεκριμένες υπηρεσίες και, ειδικότερα, για τη διασφάλιση ότι η προστασία δημιουργείται σύμφωνα με τη γενική πολιτική ασφαλείας.

Χρήστες απαιτείται να συνεργάζονται με το τοπικό δίκτυο σύμφωνα με την πολιτική ασφαλείας, να υπακούουν στις εντολές των προσώπων που είναι υπεύθυνα για ορισμένες πτυχές της ασφάλειας και να ενημερώνουν τη διαχείριση για όλες τις ύποπτες καταστάσεις.

Περισσότερες λεπτομέρειες σχετικά με τους ρόλους και τις ευθύνες των υπαλλήλων και των χρηστών του δικτύου παρέχονται παρακάτω.

Κυρώσεις.Η παραβίαση της πολιτικής ασφαλείας μπορεί να εκθέσει το τοπικό δίκτυο και τις πληροφορίες που κυκλοφορούν σε αυτό σε απαράδεκτο κίνδυνο. Περιστατικά παραβιάσεων ασφάλειας από το προσωπικό πρέπει να επανεξετάζονται αμέσως από τη διοίκηση για πειθαρχικά μέτρα, έως και τον τερματισμό.

Επιπλέον πληροφορίες.Συγκεκριμένες ομάδες ενδέχεται να χρειαστεί να εξετάσουν πρόσθετα έγγραφα, όπως εξειδικευμένες πολιτικές και διαδικασίες ασφαλείας και άλλες οδηγίες. Η ανάγκη για πρόσθετα έγγραφα πολιτικής ασφαλείας εξαρτάται σε μεγάλο βαθμό από το μέγεθος και την πολυπλοκότητα του οργανισμού. Ένας αρκετά μεγάλος οργανισμός μπορεί να απαιτεί εξειδικευμένες πολιτικές ασφαλείας εκτός από τη βασική πολιτική. Οι μικρότεροι οργανισμοί χρειάζονται μόνο ένα υποσύνολο εξειδικευμένων πολιτικών. Πολλά από αυτά τα έγγραφα υποστήριξης μπορεί να είναι αρκετά σύντομα - μήκους μίας ή δύο σελίδων.

Από πρακτική άποψη, οι πολιτικές ασφαλείας μπορούν να χωριστούν σε τρία επίπεδα: πάνω, μεσαίο και κάτω.

Κορυφαίο επίπεδοΟι πολιτικές ασφαλείας ορίζουν αποφάσεις που επηρεάζουν τον οργανισμό ως σύνολο. Αυτές οι αποφάσεις είναι πολύ γενικού χαρακτήρα και συνήθως προέρχονται από τη διοίκηση του οργανισμού.

Τέτοιες λύσεις μπορεί να περιλαμβάνουν τα ακόλουθα στοιχεία:

    διατύπωση των στόχων που επιδιώκει ο οργανισμός στον τομέα της ασφάλειας πληροφοριών, καθορισμός γενικών κατευθύνσεων για την επίτευξη αυτών των στόχων.

    διαμόρφωση ή αναθεώρηση ενός ολοκληρωμένου προγράμματος ασφάλειας πληροφοριών, προσδιορισμός των υπευθύνων για την προώθηση του προγράμματος·

    παροχή της υλικής βάσης για συμμόρφωση με νόμους και κανονισμούς·

    διατύπωση αποφάσεων διαχείρισης σχετικά με την εφαρμογή του προγράμματος ασφάλειας, οι οποίες θα πρέπει να ληφθούν υπόψη στο επίπεδο του οργανισμού συνολικά.

Πολιτική ασφαλείας ανώτατου επιπέδουδηλώνει τους στόχους ασφάλειας πληροφοριών του οργανισμού όσον αφορά την ακεραιότητα, τη διαθεσιμότητα και την εμπιστευτικότητα. Εάν ένας οργανισμός είναι υπεύθυνος για τη διατήρηση βάσεων δεδομένων ζωτικής σημασίας για την αποστολή, ακεραιότητα δεδομένα. Για έναν οργανισμό που ασχολείται με τις πωλήσεις, η συνάφεια των πληροφοριών σχετικά με τις παρεχόμενες υπηρεσίες και τις τιμές, καθώς και αυτή διαθεσιμότητα μέγιστος αριθμός πιθανών αγοραστών. Η καθεστωτική οργάνωση θα φροντίσει πρωτίστως μυστικότητα πληροφορίες, δηλαδή την προστασία τους από μη εξουσιοδοτημένη πρόσβαση.

Επί κορυφαίο επίπεδοΔιενεργείται διαχείριση των πόρων ασφαλείας και συντονισμός της χρήσης αυτών των πόρων, διάθεση ειδικού προσωπικού για την προστασία κρίσιμων συστημάτων και διατήρηση επαφών με άλλους οργανισμούς που παρέχουν ή ελέγχουν το καθεστώς ασφαλείας.

Πολιτική ανώτατου επιπέδουπρέπει να ορίσει με σαφήνεια τη σφαίρα επιρροής του. Αυτό θα μπορούσε να περιλαμβάνει όλα τα συστήματα υπολογιστών του οργανισμού ή ακόμα περισσότερα εάν η πολιτική ρυθμίζει κάποια πτυχή του τρόπου με τον οποίο οι εργαζόμενοι χρησιμοποιούν τους οικιακούς υπολογιστές τους. Είναι επίσης πιθανό η σφαίρα επιρροής να περιλαμβάνει μόνο τα πιο σημαντικά συστήματα.

Η πολιτική θα πρέπει να καθορίζει τις ευθύνες των υπαλλήλων για την ανάπτυξη του προγράμματος ασφάλειας και την εφαρμογή του, δηλαδή, η πολιτική μπορεί να χρησιμεύσει ως βάση για τη λογοδοσία του προσωπικού.

Η πολιτική ανώτατου επιπέδου ασχολείται με τις τρεις πτυχές της νομιμότητας και της εκτελεστικής πειθαρχίας. Πρώτον, ο οργανισμός πρέπει να συμμορφώνεται με τους ισχύοντες νόμους. Δεύτερον, θα πρέπει να παρακολουθούνται οι ενέργειες των υπευθύνων για την ανάπτυξη του προγράμματος ασφάλειας. Τρίτον, είναι απαραίτητο να διασφαλιστεί η πειθαρχία των επιδόσεων του προσωπικού μέσω ενός συστήματος ανταμοιβών και τιμωριών.

Μέσο επίπεδοΗ πολιτική ασφαλείας ορίζει την επίλυση θεμάτων που σχετίζονται με ορισμένες πτυχές της ασφάλειας των πληροφοριών, αλλά είναι σημαντικά για τα διάφορα συστήματα που διαχειρίζεται ο οργανισμός.

Παραδείγματα τέτοιων θεμάτων είναι η στάση απέναντι στην πρόσβαση στο Διαδίκτυο (το πρόβλημα του συνδυασμού της ελευθερίας λήψης πληροφοριών με την προστασία από εξωτερικές απειλές), η χρήση οικιακών υπολογιστών κ.λπ.

Η πολιτική ασφαλείας μεσαίου επιπέδου θα πρέπει να ορίζει τα ακόλουθα για κάθε πτυχή της ασφάλειας πληροφοριών:

    περιγραφή πτυχής- η θέση του οργανισμού μπορεί να διατυπωθεί σε μια αρκετά γενική μορφή ως ένα σύνολο στόχων που επιδιώκει ο οργανισμός σε αυτήν την πτυχή.

    περιοχή εφαρμογής- θα πρέπει να διευκρινιστεί πού, πότε, πώς, σε ποιον και τι ισχύει αυτή η πολιτική ασφαλείας·

    ρόλοι και ευθύνες- το έγγραφο πρέπει να περιέχει πληροφορίες σχετικά με τους υπαλλήλους που είναι υπεύθυνοι για την εφαρμογή της πολιτικής ασφάλειας·

    κυρώσεις -η πολιτική θα πρέπει να περιέχει μια γενική περιγραφή των απαγορευμένων ενεργειών και των κυρώσεων για αυτές·

    σημεία επαφής- πρέπει να είναι γνωστό πού να απευθυνθεί για διευκρίνιση, βοήθεια και πρόσθετες πληροφορίες. Συνήθως το «σημείο επαφής» είναι ο επίσημος.

Χαμηλότερο επίπεδοοι πολιτικές ασφαλείας ισχύουν για συγκεκριμένες υπηρεσίες. Αυτή η πολιτική περιλαμβάνει δύο πτυχές: στόχους και κανόνες για την επίτευξή τους, επομένως μερικές φορές είναι δύσκολο να διαχωριστεί από ζητήματα εφαρμογής. Σε αντίθεση με τα δύο κορυφαία επίπεδα, η εν λόγω πολιτική πρέπει να είναι πιο λεπτομερής.

Ακολουθούν ορισμένα παραδείγματα ερωτήσεων που πρέπει να απαντηθούν όταν ακολουθείτε μια πολιτική ασφαλείας χαμηλού επιπέδου:

    ποιος έχει το δικαίωμα πρόσβασης σε αντικείμενα που υποστηρίζονται από την υπηρεσία·

    Πώς οργανώνεται η απομακρυσμένη πρόσβαση στην υπηρεσία;

Πολιτική ασφαλείας χαμηλού επιπέδουμπορεί να βασίζεται σε ζητήματα ακεραιότητας, διαθεσιμότητας και εμπιστευτικότητας, αλλά δεν πρέπει να σταματήσει εκεί. Γενικά, οι στόχοι πρέπει να συνδέουν τα αντικείμενα υπηρεσίας και τις ουσιαστικές ενέργειες με αυτά.

Από τους στόχους προκύπτουν κανόνες ασφαλείας που περιγράφουν ποιος μπορεί να κάνει τι και υπό ποιες συνθήκες. Όσο πιο λεπτομερείς είναι οι κανόνες, όσο πιο ξεκάθαρα και επίσημα αναφέρονται, τόσο πιο εύκολο είναι να υποστηριχθεί η εφαρμογή τους με μέτρα λογισμικού και υλικού. Συνήθως, τα δικαιώματα πρόσβασης σε αντικείμενα καθορίζονται πιο επίσημα.

Παρέχουμε μια πιο λεπτομερή περιγραφή των αρμοδιοτήτων κάθε κατηγορίας προσωπικού.

Προϊστάμενοι τμημάτων είναι υπεύθυνοι για την κοινοποίηση των διατάξεων της πολιτικής ασφάλειας στους χρήστες. Είναι υποχρεωμένοι:

    Κρατήστε υπό έλεγχο τα θέματα ασφάλειας ανά πάσα στιγμή. Βεβαιωθείτε ότι οι υφισταμένοι τους κάνουν το ίδιο.

    διεξαγωγή ανάλυσης κινδύνου, εντοπισμός περιουσιακών στοιχείων που απαιτούν προστασία και ευπάθειες του συστήματος, εκτίμηση του ποσού πιθανής ζημίας από παραβίαση ασφάλειας και επιλογή αποτελεσματικών μέσων προστασίας·

    να οργανώσει την εκπαίδευση του προσωπικού σχετικά με τα μέτρα ασφαλείας. Δώστε ιδιαίτερη προσοχή σε ζητήματα που σχετίζονται με τον έλεγχο προστασίας από ιούς.

    ενημερώστε τους διαχειριστές τοπικών δικτύων και τους διαχειριστές υπηρεσιών σχετικά με αλλαγές στην κατάσταση κάθε υφισταμένου (μεταφορά σε άλλη εργασία, απόλυση κ.λπ.)·

    βεβαιωθείτε ότι κάθε υπολογιστής στα τμήματα του έχει έναν ιδιοκτήτη ή διαχειριστή συστήματος υπεύθυνου για την ασφάλεια και επαρκώς καταρτισμένο για την εκτέλεση αυτού του ρόλου.

Διαχειριστές τοπικών δικτύων διασφαλίζουν τη συνεχή λειτουργία του δικτύου και είναι υπεύθυνοι για την εφαρμογή των τεχνικών μέτρων που απαιτούνται για την εφαρμογή της πολιτικής ασφαλείας. Είναι υποχρεωμένοι:

    διασφαλίζει την προστασία του τοπικού εξοπλισμού του δικτύου, συμπεριλαμβανομένων των διεπαφών με άλλα δίκτυα·

    ανταποκρίνεται γρήγορα και αποτελεσματικά σε απειλητικά γεγονότα. Ενημερώστε τους διαχειριστές υπηρεσιών για απόπειρες παραβίασης της ασφάλειας.

    χρησιμοποιούν αποδεδειγμένα μέσα ελέγχου και ανίχνευσης ύποπτων καταστάσεων. Καθημερινή ανάλυση πληροφοριών εγγραφής που σχετίζονται με το δίκτυο γενικά και τους διακομιστές αρχείων ειδικότερα.

    μην κάνετε κατάχρηση των μεγάλων δυνάμεών σας. Οι χρήστες έχουν το δικαίωμα στην ιδιωτική ζωή.

    ανάπτυξη διαδικασιών και προετοιμασία οδηγιών για την προστασία του τοπικού δικτύου από κακόβουλο λογισμικό. Παροχή βοήθειας για τον εντοπισμό και την εξάλειψη κακόβουλου κώδικα.

    να δημιουργείτε τακτικά αντίγραφα ασφαλείας των πληροφοριών που είναι αποθηκευμένες σε διακομιστές αρχείων.

    πραγματοποιήστε όλες τις αλλαγές στη διαμόρφωση υλικού και λογισμικού δικτύου.

    εγγυώνται την υποχρεωτική διαδικασία αναγνώρισης και επαλήθευσης ταυτότητας για την πρόσβαση σε πόρους δικτύου. Παρέχετε στους χρήστες ονόματα σύνδεσης και αρχικούς κωδικούς πρόσβασης μόνο μετά τη συμπλήρωση των φορμών εγγραφής.

    ελέγχετε περιοδικά την αξιοπιστία της προστασίας του τοπικού δικτύου. Αποτρέψτε μη εξουσιοδοτημένους χρήστες από το να αποκτήσουν προνόμια.

διαχειριστές υπηρεσιών είναι υπεύθυνοι για συγκεκριμένες υπηρεσίες και, ειδικότερα, για τη διασφάλιση ότι η προστασία δημιουργείται σύμφωνα με τη γενική πολιτική ασφαλείας. Είναι υποχρεωμένοι:

    διαχείριση δικαιωμάτων πρόσβασης χρήστη σε αντικείμενα που εξυπηρετούνται·

    ανταποκρίνεται γρήγορα και αποτελεσματικά σε απειλητικά γεγονότα. Παροχή βοήθειας για την απόκρουση απειλών, τον εντοπισμό των παραβατών και την παροχή πληροφοριών για την τιμωρία τους.

    τακτικά αντίγραφα ασφαλείας των πληροφοριών που επεξεργάζεται η υπηρεσία·

    να εκχωρήσετε ονόματα σύνδεσης και αρχικούς κωδικούς πρόσβασης στους χρήστες μόνο αφού συμπληρώσετε τις φόρμες εγγραφής.

    να αναλύει τις πληροφορίες εγγραφής που σχετίζονται με την υπηρεσία σε καθημερινή βάση. Να παρακολουθείτε τακτικά την υπηρεσία για κακόβουλο λογισμικό.

    ελέγχετε περιοδικά την αξιοπιστία της προστασίας της υπηρεσίας. Αποτρέψτε μη εξουσιοδοτημένους χρήστες από το να αποκτήσουν προνόμια.

Χρήστες απαιτείται να συνεργάζονται με το τοπικό δίκτυο σύμφωνα με την πολιτική ασφαλείας, να υπακούουν στις εντολές των προσώπων που είναι υπεύθυνα για ορισμένες πτυχές της ασφάλειας και να ενημερώνουν τη διαχείριση για όλες τις ύποπτες καταστάσεις. Είναι υποχρεωμένοι:

    γνωρίζουν και συμμορφώνονται με τους νόμους, τους κανόνες που έχουν υιοθετηθεί σε αυτόν τον οργανισμό, τις πολιτικές ασφαλείας, τις διαδικασίες ασφαλείας. Χρησιμοποιήστε τους διαθέσιμους μηχανισμούς ασφαλείας για να διασφαλίσετε την εμπιστευτικότητα και την ακεραιότητα των πληροφοριών σας.

    χρησιμοποιήστε έναν μηχανισμό προστασίας αρχείων και ορίστε σωστά τα δικαιώματα πρόσβασης.

    Επιλέξτε κωδικούς πρόσβασης υψηλής ποιότητας και αλλάξτε τους τακτικά. Μην σημειώνετε τους κωδικούς πρόσβασης σε χαρτί και μην τους αποκαλύπτετε σε άλλους.

    ενημερώνει τους διαχειριστές ή τη διοίκηση σχετικά με παραβιάσεις ασφάλειας και άλλες ύποπτες καταστάσεις·

    δεν εκμεταλλεύονται τις αδυναμίες στην προστασία των υπηρεσιών και του τοπικού δικτύου συνολικά. Μην εκτελείτε μη εξουσιοδοτημένη εργασία με δεδομένα, μην παρεμβαίνετε σε άλλους χρήστες.

    να παρέχετε πάντα σωστές πληροφορίες αναγνώρισης και επαλήθευσης ταυτότητας και μην επιχειρείτε να ενεργήσετε για λογαριασμό άλλων χρηστών·

    εξασφαλίστε αντίγραφα ασφαλείας των πληροφοριών από τον σκληρό δίσκο του υπολογιστή σας.

    ξέρετε πώς λειτουργεί το κακόβουλο λογισμικό, πώς διεισδύει και πώς εξαπλώνεται. Να γνωρίζουν και να ακολουθούν διαδικασίες για την πρόληψη της διείσδυσης κακόβουλου κώδικα, τον εντοπισμό και την καταστροφή του.

    γνωρίζει και ακολουθεί τους κανόνες συμπεριφοράς σε καταστάσεις έκτακτης ανάγκης, την ακολουθία ενεργειών κατά την εξάλειψη των συνεπειών των ατυχημάτων.

Μέτρα διαχείρισης για τη διασφάλιση της ασφάλειας των πληροφοριών.Ο κύριος στόχος των μέτρων που λαμβάνονται σε επίπεδο διαχείρισης είναι η διαμόρφωση ενός προγράμματος εργασίας στον τομέα της ασφάλειας των πληροφοριών και η διασφάλιση της εφαρμογής του με την κατανομή των απαραίτητων πόρων και την τακτική παρακολούθηση της κατάστασης. Η βάση αυτού του προγράμματος είναι μια πολιτική ασφαλείας πολλαπλών επιπέδων, που αντικατοπτρίζει την ολοκληρωμένη προσέγγιση ενός οργανισμού για την προστασία των πόρων και των στοιχείων του

Η πολιτική ασφάλειας πληροφοριών (IS) είναι ένα σύνολο μέτρων, κανόνων και αρχών που καθοδηγούν τους υπαλλήλους μιας επιχείρησης/οργανισμού στην καθημερινή τους πρακτική προκειμένου να προστατεύουν τους πόρους πληροφοριών.

Με την πάροδο του χρόνου από τότε που εμφανίστηκε η ίδια η έννοια της ασφάλειας πληροφοριών, έχουν αναπτυχθεί πολλές παρόμοιες πολιτικές - σε κάθε εταιρεία, η διοίκηση αποφασίζει μόνη της πώς και τι είδους πληροφορίες θα προστατεύσει (εκτός από εκείνες τις περιπτώσεις που υπόκεινται στις επίσημες απαιτήσεις του νομοθεσία της Ρωσικής Ομοσπονδίας). Οι πολιτικές συνήθως επισημοποιούνται: αναπτύσσονται αντίστοιχοι κανονισμοί. Οι υπάλληλοι της επιχείρησης υποχρεούνται να συμμορφώνονται με το παρόν έγγραφο. Αν και δεν ισχύουν τελικά όλα αυτά τα έγγραφα. Παρακάτω θα εξετάσουμε όλα τα στοιχεία μιας πολιτικής ασφάλειας πληροφοριών και θα εντοπίσουμε τις κύριες πτυχές που είναι απαραίτητες για την αποτελεσματικότητά της.

Γιατί είναι απαραίτητη η επισημοποίηση της ασφάλειας των πληροφοριών;

Οι διατάξεις της πολιτικής ασφάλειας πληροφοριών εμφανίζονται συνήθως με τη μορφή χωριστού εγγράφου για την εκπλήρωση των απαιτήσεων της ρυθμιστικής αρχής - ενός οργανισμού που ρυθμίζει τους κανόνες λειτουργίας των νομικών οντοτήτων σε έναν συγκεκριμένο κλάδο. Εάν δεν υπάρχει πρόβλεψη για την ασφάλεια των πληροφοριών, τότε δεν μπορούν να αποκλειστούν ορισμένα αντίποινα κατά του παραβάτη, τα οποία μπορεί να έχουν ως αποτέλεσμα ακόμη και την αναστολή των δραστηριοτήτων του.

Επίσης, η πολιτική ασφαλείας αποτελεί υποχρεωτικό στοιχείο ορισμένων προτύπων (τοπικών ή διεθνών). Είναι απαραίτητο να συμμορφώνεστε με συγκεκριμένες απαιτήσεις, οι οποίες συνήθως προβάλλονται από εξωτερικούς ελεγκτές που μελετούν τις δραστηριότητες του οργανισμού. Η έλλειψη πολιτικής ασφάλειας δημιουργεί αρνητικά σχόλια και τέτοιες αξιολογήσεις επηρεάζουν αρνητικά δείκτες όπως η αξιολόγηση, το επίπεδο αξιοπιστίας, η ελκυστικότητα των επενδύσεων κ.λπ.

Τα υλικά για την ασφάλεια των πληροφοριών εμφανίζονται όταν η ίδια η ανώτατη διοίκηση καταλαβαίνει την ανάγκη για μια δομημένη προσέγγιση στο θέμα της ασφάλειας πληροφοριών. Τέτοιες λύσεις μπορούν να εφαρμοστούν μετά την εισαγωγή τεχνικών μέσων, όταν υπάρχει κατανόηση ότι αυτά τα μέσα πρέπει να τυγχάνουν διαχείρισης και πρέπει να βρίσκονται υπό συνεχή έλεγχο. Συχνά, η ασφάλεια πληροφοριών περιλαμβάνει επίσης ζητήματα σχέσεων με το προσωπικό (ένας εργαζόμενος μπορεί να θεωρηθεί όχι μόνο ως πρόσωπο προς προστασία, αλλά και ως αντικείμενο από το οποίο πρέπει να προστατεύονται οι πληροφορίες), άλλες πτυχές και παράγοντες που υπερβαίνουν την καθαρή προστασία ένα δίκτυο υπολογιστών και την αποτροπή μη εξουσιοδοτημένης πρόσβασης σε αυτό.

Η ύπαρξη σχετικών διατάξεων υποδηλώνει τη βιωσιμότητα του οργανισμού σε θέματα ασφάλειας πληροφοριών και την ωριμότητά του. Η σαφής διατύπωση κανόνων ασφάλειας πληροφοριών αποδεικνύει ότι έχει σημειωθεί σημαντική πρόοδος σε αυτή τη διαδικασία.

Αποτυχημένοι πολιτικοί

Η απλή παρουσία ενός εγγράφου που ονομάζεται «Κανονισμοί Ασφάλειας Πληροφοριών» δεν εγγυάται την ασφάλεια των πληροφοριών καθαυτή. Εάν ληφθεί υπόψη μόνο στο πλαίσιο συμμόρφωσης με ορισμένες απαιτήσεις, αλλά χωρίς εφαρμογή στην πράξη, το αποτέλεσμα θα είναι μηδενικό.

Η αναποτελεσματική πολιτική ασφάλειας, όπως δείχνει η πρακτική, διακρίνεται σε δύο τύπους: καλά διατυπωμένη, αλλά δεν εφαρμόζεται και εφαρμοσμένη, αλλά όχι σαφώς διατυπωμένη.

Το πρώτο, κατά κανόνα, είναι αρκετά συνηθισμένο σε οργανισμούς στους οποίους ο υπεύθυνος για την προστασία πληροφοριών απλώς κατεβάζει παρόμοια έγγραφα από το Διαδίκτυο, κάνει ελάχιστες τροποποιήσεις και υποβάλλει γενικούς κανόνες για έγκριση από τη διοίκηση. Με την πρώτη ματιά, αυτή η προσέγγιση φαίνεται ρεαλιστική. Οι αρχές ασφαλείας σε διαφορετικούς οργανισμούς, ακόμη και αν το επίκεντρο των δραστηριοτήτων τους διαφέρει, είναι συχνά παρόμοιες. Ωστόσο, ενδέχεται να προκύψουν προβλήματα με την ασφάλεια των πληροφοριών κατά τη μετάβαση από τη γενική έννοια της ασφάλειας των πληροφοριών στην καθημερινή εργασία με έγγραφα όπως διαδικασίες, μέθοδοι, πρότυπα κ.λπ. Δεδομένου ότι η πολιτική ασφάλειας είχε αρχικά διατυπωθεί για διαφορετική δομή, ενδέχεται να υπάρχουν ορισμένες δυσκολίες στην προσαρμογή καθημερινά έγγραφα.

Οι αναποτελεσματικές πολιτικές του δεύτερου τύπου περιλαμβάνουν μια προσπάθεια επίλυσης ενός προβλήματος όχι με την υιοθέτηση γενικών στρατηγικών σχεδίων, αλλά με τη λήψη βραχυπρόθεσμων αποφάσεων. Για παράδειγμα, ένας διαχειριστής συστήματος, κουρασμένος από το γεγονός ότι οι χρήστες διακόπτουν το δίκτυο με τους απρόσεκτους χειρισμούς τους, κάνει τις ακόλουθες ενέργειες: παίρνει ένα κομμάτι χαρτί και σε δέκα λεπτά σκιαγραφεί τους κανόνες (τι επιτρέπεται και τι δεν επιτρέπεται, ποιος επιτρέπεται η πρόσβαση σε δεδομένα συγκεκριμένου ακινήτου, και σε ποιον δεν επιτρέπεται όχι) και το ονομάζει «Πολιτική». Εάν η διοίκηση εγκρίνει μια τέτοια «Πολιτική», τότε μπορεί στη συνέχεια να χρησιμεύσει ως βάση για τις δραστηριότητες της δομής στον τομέα της ασφάλειας πληροφοριών για χρόνια, δημιουργώντας απτά προβλήματα: για παράδειγμα, με την εισαγωγή νέων τεχνολογιών, δεν είναι πάντα δυνατό να παρέχει το απαραίτητο λογισμικό. Ως αποτέλεσμα, αρχίζουν να επιτρέπονται εξαιρέσεις στους κανόνες (για παράδειγμα, απαιτείται κάποιο είδος προγράμματος, είναι ακριβό και ο υπάλληλος πείθει τη διοίκηση να χρησιμοποιήσει μια έκδοση χωρίς άδεια αντίθετη με τους προηγουμένως καθορισμένους κανόνες ασφαλείας), γεγονός που αναιρεί κάθε προστασία.

Ανάπτυξη αποτελεσματικού συστήματος ασφάλειας πληροφοριών

Για να δημιουργηθεί ένα αποτελεσματικό σύστημα ασφάλειας πληροφοριών, πρέπει να αναπτυχθούν τα ακόλουθα:

  • η έννοια της ασφάλειας των πληροφοριών (καθορίζει τη συνολική πολιτική, τις αρχές και τους στόχους της)·
  • πρότυπα (κανόνες και αρχές προστασίας πληροφοριών για κάθε συγκεκριμένο τομέα).
  • διαδικασία (περιγραφή συγκεκριμένων ενεργειών για την προστασία των πληροφοριών κατά την εργασία με αυτές: προσωπικά δεδομένα, διαδικασίες πρόσβασης σε μέσα ενημέρωσης, συστήματα και πόρους)·
  • οδηγίες (λεπτομερής περιγραφή του τι και πώς να κάνετε για να οργανώσετε την ασφάλεια των πληροφοριών και να διασφαλίσετε τα υπάρχοντα πρότυπα).

Όλα τα παραπάνω έγγραφα πρέπει να είναι αλληλένδετα και να μην έρχονται σε αντίθεση μεταξύ τους.

Επίσης, για την αποτελεσματική οργάνωση της ασφάλειας των πληροφοριών, θα πρέπει να αναπτυχθούν σχέδια έκτακτης ανάγκης. Είναι απαραίτητα σε περίπτωση αποκατάστασης πληροφοριακών συστημάτων σε περίπτωση περιστάσεων ανωτέρας βίας: ατυχήματα, καταστροφές κ.λπ.

Δομή της έννοιας της προστασίας

Ας σημειώσουμε αμέσως: η έννοια της ασφάλειας πληροφοριών δεν είναι πανομοιότυπη με τη στρατηγική. Το πρώτο είναι στατικό, ενώ το δεύτερο είναι δυναμικό.

Οι κύριες ενότητες της έννοιας της ασφάλειας είναι:

  • ορισμός της ασφάλειας πληροφοριών·
  • δομή ασφαλείας?
  • περιγραφή του μηχανισμού ελέγχου ασφαλείας·
  • εκτίμηση κινδύνου·
  • ασφάλεια πληροφοριών: αρχές και πρότυπα.
  • καθήκοντα και αρμοδιότητες κάθε τμήματος, τμήματος ή τμήματος στην εφαρμογή της προστασίας των μέσων ενημέρωσης και άλλων δεδομένων·
  • συνδέσμους με άλλους κανονισμούς ασφαλείας.

Επιπλέον, μια ενότητα που περιγράφει τα κύρια κριτήρια αποτελεσματικότητας στον τομέα της προστασίας σημαντικών πληροφοριών δεν θα ήταν άτοπη. Οι δείκτες αποτελεσματικότητας προστασίας είναι απαραίτητοι, πρώτα απ 'όλα, για την ανώτατη διοίκηση. Σας επιτρέπουν να αξιολογήσετε αντικειμενικά τον οργανισμό ασφαλείας χωρίς να εμβαθύνετε σε τεχνικές αποχρώσεις. Οι υπεύθυνοι για την οργάνωση ασφάλειας πρέπει επίσης να γνωρίζουν σαφή κριτήρια για την αξιολόγηση της αποτελεσματικότητας της ασφάλειας πληροφοριών, προκειμένου να κατανοήσουν πώς η διοίκηση θα αξιολογήσει το έργο της.

Κατάλογος βασικών απαιτήσεων για τεκμηρίωση ασφαλείας

Η πολιτική ασφάλειας πρέπει να διαμορφωθεί λαμβάνοντας υπόψη δύο βασικές πτυχές:

  1. Το κοινό-στόχος για το οποίο προορίζονται όλες οι πληροφορίες ασφάλειας είναι τα μεσαία στελέχη και οι απλοί υπάλληλοι που δεν γνωρίζουν συγκεκριμένη τεχνική ορολογία, αλλά πρέπει να κατανοούν και να αφομοιώνουν τις πληροφορίες που παρέχονται όταν διαβάζουν τις οδηγίες.
  2. Οι οδηγίες πρέπει να είναι συνοπτικές και ταυτόχρονα να περιέχουν όλες τις απαραίτητες πληροφορίες σχετικά με την πολιτική που ακολουθείται. Κανείς δεν θα μελετήσει λεπτομερώς ένα ογκώδες "φύλλο", πόσο μάλλον να το θυμάται.

Από τα παραπάνω, ακολουθούν δύο απαιτήσεις για μεθοδολογικά υλικά ασφάλειας:

  • πρέπει να είναι γραμμένα σε απλή ρωσική γλώσσα, χωρίς τη χρήση ειδικών τεχνικών όρων.
  • Το κείμενο ασφαλείας πρέπει να περιέχει στόχους, τρόπους επίτευξής τους, υποδεικνύοντας τον σκοπό της ευθύνης για μη συμμόρφωση με την ασφάλεια των πληροφοριών. Ολα! Δεν υπάρχουν τεχνικές ή άλλες συγκεκριμένες πληροφορίες.

Οργάνωση και εφαρμογή ασφάλειας πληροφοριών

Μόλις η τεκμηρίωση ασφάλειας πληροφοριών είναι έτοιμη, είναι απαραίτητη μια προγραμματισμένη οργάνωση της εργασίας για την εφαρμογή της στην καθημερινή εργασία. Για να το κάνετε αυτό χρειάζεστε:

  • εξοικείωση της ομάδας με την εγκεκριμένη πολιτική επεξεργασίας πληροφοριών·
  • εξοικείωση όλων των νέων εργαζομένων με αυτήν την πολιτική επεξεργασίας πληροφοριών (για παράδειγμα, διεξαγωγή ενημερωτικών σεμιναρίων ή μαθημάτων στα οποία παρέχονται ολοκληρωμένες εξηγήσεις)·
  • να μελετήσει προσεκτικά τις υπάρχουσες επιχειρηματικές διαδικασίες προκειμένου να ανιχνεύσει και να ελαχιστοποιήσει τους κινδύνους·
  • να συμμετέχουν ενεργά στην προώθηση νέων επιχειρηματικών διαδικασιών, ώστε να μην μείνουμε απελπιστικά πίσω στον τομέα της ασφάλειας των πληροφοριών.
  • συντάσσει λεπτομερές μεθοδολογικό και πληροφοριακό υλικό, οδηγίες που συμπληρώνουν την πολιτική επεξεργασίας πληροφοριών (για παράδειγμα, κανόνες για την παροχή πρόσβασης στην εργασία στο Διαδίκτυο, τη διαδικασία εισόδου σε χώρους με περιορισμένη πρόσβαση, έναν κατάλογο καναλιών πληροφοριών μέσω των οποίων μπορούν να μεταδοθούν εμπιστευτικά δεδομένα , οδηγίες για την εργασία με πληροφοριακά συστήματα κ.λπ. .δ.);
  • μία φορά κάθε τρεις μήνες, αναθεωρήστε και προσαρμόστε την πρόσβαση στις πληροφορίες, τη διαδικασία εργασίας με αυτές, ενημερώστε την εγκεκριμένη τεκμηρίωση ασφάλειας πληροφοριών, παρακολουθήστε και μελετήστε συνεχώς τις υπάρχουσες απειλές για την ασφάλεια των πληροφοριών.

Άτομα που προσπαθούν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες

Τέλος, ταξινομούμε αυτούς που μπορούν ή θέλουν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες.

Πιθανοί εξωτερικοί παραβάτες:

  1. Επισκέπτες γραφείου.
  2. Προηγουμένως απολυμένοι υπάλληλοι (ειδικά αυτοί που έφυγαν με σκάνδαλο και ξέρουν πώς να έχουν πρόσβαση σε πληροφορίες).
  3. Χάκερ.
  4. Δομές τρίτων, συμπεριλαμβανομένων ανταγωνιστών, καθώς και εγκληματικών ομάδων.

Πιθανοί εμπιστευτικοί:

  1. Χρήστες εξοπλισμού ηλεκτρονικών υπολογιστών μεταξύ των εργαζομένων.
  2. Προγραμματιστές, διαχειριστές συστημάτων.
  3. Τεχνικό Προσωπικό.

Για να οργανωθεί αξιόπιστη προστασία πληροφοριών, κάθε μία από τις αναφερόμενες ομάδες απαιτεί τους δικούς της κανόνες. Εάν ένας επισκέπτης μπορεί απλώς να πάρει μαζί του ένα κομμάτι χαρτί με σημαντικά δεδομένα, τότε ένα άτομο από το τεχνικό προσωπικό μπορεί να δημιουργήσει ένα μη καταχωρημένο σημείο εισόδου και εξόδου από το LAN. Κάθε μία από τις περιπτώσεις είναι διαρροή πληροφοριών. Στην πρώτη περίπτωση, αρκεί να αναπτυχθούν κανόνες συμπεριφοράς για το προσωπικό στο γραφείο, στη δεύτερη, να καταφύγουμε σε τεχνικά μέσα που αυξάνουν την ασφάλεια των πληροφοριών, όπως συστήματα DLP και συστήματα SIEM που αποτρέπουν διαρροές από δίκτυα υπολογιστών.

Κατά την ανάπτυξη της ασφάλειας των πληροφοριών, είναι απαραίτητο να λαμβάνονται υπόψη οι ιδιαιτερότητες των αναφερόμενων ομάδων και να παρέχονται αποτελεσματικά μέτρα για την αποφυγή διαρροής πληροφοριών για καθεμία από αυτές.

Σε αυτό το θέμα, θα προσπαθήσω να συντάξω ένα εγχειρίδιο για την ανάπτυξη κανονιστικής τεκμηρίωσης στον τομέα της ασφάλειας πληροφοριών για μια εμπορική δομή, με βάση την προσωπική εμπειρία και τα υλικά από το δίκτυο.

Εδώ μπορείτε να βρείτε απαντήσεις σε ερωτήσεις:

  • γιατί χρειάζεται μια πολιτική ασφάλειας πληροφοριών·
  • πώς να το συνθέσω?
  • πως να το χρησιμοποιήσεις.

Η ανάγκη για μια πολιτική ασφάλειας πληροφοριών
Αυτή η ενότητα περιγράφει την ανάγκη εφαρμογής της πολιτικής ασφάλειας πληροφοριών και των συνοδευτικών εγγράφων όχι στην όμορφη γλώσσα των σχολικών βιβλίων και των προτύπων, αλλά χρησιμοποιώντας παραδείγματα από προσωπική εμπειρία.
Κατανόηση των στόχων και των σκοπών του τμήματος ασφάλειας πληροφοριών
Πρώτα απ 'όλα, η πολιτική είναι απαραίτητη προκειμένου να μεταδοθούν στην επιχείρηση οι στόχοι και οι στόχοι της ασφάλειας πληροφοριών της εταιρείας. Οι επιχειρήσεις πρέπει να κατανοήσουν ότι η ασφάλεια δεν είναι μόνο ένα εργαλείο για τη διερεύνηση διαρροών δεδομένων, αλλά και ένας βοηθός στην ελαχιστοποίηση των κινδύνων της εταιρείας και συνεπώς στην αύξηση της κερδοφορίας της εταιρείας.
Οι απαιτήσεις πολιτικής αποτελούν τη βάση για την εφαρμογή προστατευτικών μέτρων
Μια πολιτική ασφάλειας πληροφοριών είναι απαραίτητη για να δικαιολογηθεί η εισαγωγή προστατευτικών μέτρων σε μια εταιρεία. Η πολιτική πρέπει να εγκριθεί από το ανώτατο διοικητικό όργανο της εταιρείας (Διευθύνων Σύμβουλος, διοικητικό συμβούλιο κ.λπ.)

Οποιοδήποτε προστατευτικό μέτρο είναι ένας συμβιβασμός μεταξύ μείωσης κινδύνου και εμπειρίας χρήστη. Όταν ένας ειδικός σε θέματα ασφάλειας λέει ότι μια διαδικασία δεν πρέπει να συμβεί με κάποιο τρόπο λόγω της εμφάνισης ορισμένων κινδύνων, του τίθεται πάντα μια εύλογη ερώτηση: "Πώς θα πρέπει να συμβεί;" Ο επαγγελματίας ασφάλειας πρέπει να προτείνει ένα μοντέλο διαδικασίας στο οποίο αυτοί οι κίνδυνοι μετριάζονται σε κάποιο βαθμό ικανοποιητικό για την επιχείρηση.

Επιπλέον, οποιαδήποτε εφαρμογή οποιωνδήποτε προστατευτικών μέτρων σχετικά με την αλληλεπίδραση των χρηστών με το πληροφοριακό σύστημα της εταιρείας προκαλεί πάντα αρνητική αντίδραση από τον χρήστη. Δεν θέλουν να ξαναμάθουν, να διαβάσουν οδηγίες που έχουν αναπτυχθεί για αυτούς κ.λπ. Πολύ συχνά οι χρήστες κάνουν εύλογες ερωτήσεις:

  • γιατί να δουλεύω σύμφωνα με το σχέδιο που επινοήσατε και όχι με τον απλό τρόπο που χρησιμοποιούσα πάντα
  • που τα σκέφτηκε όλα αυτά
Η πρακτική έχει δείξει ότι ο χρήστης δεν ενδιαφέρεται για τους κινδύνους, μπορείτε να του εξηγήσετε για πολύ καιρό και κουραστικά για τους χάκερ, τον ποινικό κώδικα κ.λπ.
Εάν η εταιρεία σας έχει πολιτική ασφάλειας πληροφοριών, μπορείτε να δώσετε μια συνοπτική και περιεκτική απάντηση:
το μέτρο αυτό θεσπίστηκε για να συμμορφωθεί με τις απαιτήσεις της πολιτικής ασφάλειας πληροφοριών της εταιρείας, η οποία εγκρίθηκε από το ανώτατο διοικητικό όργανο της εταιρείας

Κατά κανόνα, μετά από αυτό η ενέργεια των περισσότερων χρηστών μειώνεται. Όσοι παραμένουν μπορούν να κληθούν να γράψουν ένα σημείωμα σε αυτό το ανώτατο διοικητικό όργανο της εταιρείας. Εδώ καταργούνται τα υπόλοιπα. Γιατί ακόμα κι αν πάει εκεί το σημείωμα, μπορούμε πάντα να αποδείξουμε την ανάγκη των μέτρων που ελήφθησαν στη διοίκηση. Δεν είναι μάταιο που τρώμε το ψωμί μας, σωστά; Υπάρχουν δύο πράγματα που πρέπει να έχετε υπόψη κατά την ανάπτυξη πολιτικών.
  • Το κοινό-στόχος της πολιτικής ασφάλειας πληροφοριών είναι οι τελικοί χρήστες και η ανώτατη διοίκηση της εταιρείας, που δεν κατανοούν σύνθετες τεχνικές εκφράσεις, αλλά πρέπει να είναι εξοικειωμένοι με τις διατάξεις της πολιτικής.
  • Δεν χρειάζεται να προσπαθήσετε να στριμώξετε στο ακατάλληλο, συμπεριλάβετε ό,τι μπορείτε σε αυτό το έγγραφο! Θα πρέπει να υπάρχουν μόνο στόχοι ασφάλειας πληροφοριών, μέθοδοι για την επίτευξή τους και υπευθυνότητα! Δεν υπάρχουν τεχνικές λεπτομέρειες εκτός εάν απαιτούν συγκεκριμένες γνώσεις. Όλα αυτά είναι υλικά για οδηγίες και κανονισμούς.


Το τελικό έγγραφο πρέπει να πληροί τις ακόλουθες απαιτήσεις:
  • συντομία - ένας μεγάλος όγκος εγγράφων θα τρομάξει οποιονδήποτε χρήστη, κανείς δεν θα διαβάσει ποτέ το έγγραφό σας (και θα χρησιμοποιήσετε περισσότερες από μία φορές τη φράση: "αυτή είναι παραβίαση της πολιτικής ασφάλειας πληροφοριών με την οποία εξοικειωθείτε")
  • προσβασιμότητα στον απλό άνθρωπο - ο τελικός χρήστης πρέπει να κατανοήσει ΤΙ αναγράφεται στην πολιτική (δεν θα διαβάσει και δεν θα θυμάται ποτέ τις λέξεις και τις φράσεις "καταγραφή", "μοντέλο εισβολέα", "περιστατικό ασφάλειας πληροφοριών", "υποδομή πληροφοριών", "τεχνογενές », «ανθρωπογόνος», «παράγοντας κινδύνου» κ.λπ.)
Πώς να το πετύχετε αυτό;

Στην πραγματικότητα, όλα είναι πολύ απλά: η πολιτική ασφάλειας πληροφοριών θα πρέπει να είναι ένα έγγραφο πρώτου επιπέδου, θα πρέπει να επεκταθεί και να συμπληρωθεί από άλλα έγγραφα (κανονισμούς και οδηγίες), τα οποία θα περιγράφουν ήδη κάτι συγκεκριμένο.
Μπορεί να γίνει μια αναλογία με το κράτος: το έγγραφο πρώτου επιπέδου είναι το σύνταγμα και τα δόγματα, οι έννοιες, οι νόμοι και άλλοι κανονισμοί που υπάρχουν στο κράτος συμπληρώνουν και ρυθμίζουν μόνο την εφαρμογή των διατάξεών του. Ένα κατά προσέγγιση διάγραμμα φαίνεται στο σχήμα.

Για να μην λερώσετε το χυλό στο πιάτο, ας δούμε απλώς παραδείγματα πολιτικών ασφάλειας πληροφοριών που μπορείτε να βρείτε στο Διαδίκτυο.

Χρήσιμος αριθμός σελίδων* Φορτωμένο με όρους Συνολική βαθμολογία
OJSC Gazprombank 11 Πολύ ψηλά
JSC Ταμείο Ανάπτυξης Επιχειρηματικότητας «Damu» 14 Υψηλός Ένα πολύπλοκο έγγραφο για στοχαστική ανάγνωση, ο μέσος άνθρωπος δεν θα το διαβάσει, και αν το διαβάσει, δεν θα το καταλάβει και δεν θα το θυμηθεί
JSC NC "KazMunayGas" 3 Χαμηλός Εύκολο στην κατανόηση έγγραφο, χωρίς υπερφόρτωση με τεχνικούς όρους
JSC "Ινστιτούτο Μηχανικής Ραδιοφώνου με το όνομα του Ακαδημαϊκού A. L. Mints" 42 Πολύ ψηλά Ένα σύνθετο έγγραφο για προσεκτική ανάγνωση, ο μέσος άνθρωπος δεν θα το διαβάσει - υπάρχουν πάρα πολλές σελίδες

* Αποκαλώ χρήσιμο τον αριθμό των σελίδων χωρίς πίνακα περιεχομένων, σελίδα τίτλου και άλλες σελίδες που δεν περιέχουν συγκεκριμένες πληροφορίες

Περίληψη

Η πολιτική ασφάλειας πληροφοριών πρέπει να χωράει σε πολλές σελίδες, να είναι κατανοητή από τον μέσο άνθρωπο και να περιγράφει γενικά τους στόχους της ασφάλειας πληροφοριών, τις μεθόδους επίτευξής τους και τις ευθύνες των εργαζομένων.
Εφαρμογή και χρήση πολιτικής ασφάλειας πληροφοριών
Μετά την έγκριση της πολιτικής ασφάλειας πληροφοριών, πρέπει:
  • εξοικείωση όλων των υπαρχόντων εργαζομένων με την πολιτική·
  • εξοικείωση όλων των νέων εργαζομένων με την πολιτική (το πώς να γίνει καλύτερα αυτό είναι ένα θέμα για ξεχωριστή συζήτηση· έχουμε ένα εισαγωγικό μάθημα για νεοεισερχόμενους, στο οποίο δίνω εξηγήσεις).
  • να αναλύσει τις υπάρχουσες επιχειρηματικές διαδικασίες προκειμένου να εντοπίσει και να ελαχιστοποιήσει τους κινδύνους·
  • να συμμετέχει στη δημιουργία νέων επιχειρηματικών διαδικασιών, ώστε να μην τρέχει μετά το τρένο αργότερα.
  • ανάπτυξη κανονισμών, διαδικασιών, οδηγιών και άλλων εγγράφων που συμπληρώνουν την πολιτική (οδηγίες για την παροχή πρόσβασης στο Διαδίκτυο, οδηγίες για την παροχή πρόσβασης σε απαγορευμένες περιοχές, οδηγίες για εργασία με συστήματα πληροφοριών εταιρείας κ.λπ.)
  • εξετάζετε την πολιτική ασφάλειας πληροφοριών και άλλα έγγραφα ασφάλειας πληροφοριών τουλάχιστον μία φορά το τρίμηνο για να τα ενημερώνετε.

Για ερωτήσεις και προτάσεις, καλώς ήλθατε σε σχόλια και PM.

Ερώτηση %username%

Όσο για την πολιτική, στα αφεντικά δεν αρέσει αυτό που θέλω με απλά λόγια. Μου λένε: «Εκτός από εμένα και εσένα και άλλους 10 υπαλλήλους πληροφορικής που οι ίδιοι γνωρίζουν και καταλαβαίνουν τα πάντα, έχουμε 200 που δεν καταλαβαίνουν τίποτα από αυτό, οι μισοί από αυτούς είναι συνταξιούχοι».
Ακολούθησα το μονοπάτι της μέσης συντομίας των περιγραφών, για παράδειγμα, κανόνες προστασίας από ιούς, και παρακάτω γράφω κάτι σαν να υπάρχει πολιτική προστασίας κατά των ιών κ.λπ. Αλλά δεν καταλαβαίνω αν ο χρήστης υπογράφει για την πολιτική, αλλά και πάλι πρέπει να διαβάσει ένα σωρό άλλα έγγραφα, φαίνεται ότι έχει συντομεύσει την πολιτική, αλλά φαίνεται ότι δεν το έχει κάνει.

Εδώ θα έπαιρνα τον δρόμο της ανάλυσης της διαδικασίας.
Ας πούμε προστασία από ιούς. Λογικά έτσι θα έπρεπε να είναι.

Τι κινδύνους ενέχουν οι ιοί για εμάς; Παραβίαση της ακεραιότητας (βλάβη) πληροφοριών, παραβίαση της διαθεσιμότητας (διακοπή λειτουργίας διακομιστών ή Η/Υ) πληροφοριών. Εάν το δίκτυο είναι σωστά οργανωμένο, ο χρήστης δεν θα πρέπει να έχει δικαιώματα τοπικού διαχειριστή στο σύστημα, δηλαδή να μην έχει τα δικαιώματα εγκατάστασης λογισμικού (και συνεπώς ιών) στο σύστημα. Έτσι, οι συνταξιούχοι πέφτουν, αφού δεν κάνουν επιχειρήσεις εδώ.

Ποιος μπορεί να μειώσει τους κινδύνους που σχετίζονται με τους ιούς; Χρήστες με δικαιώματα διαχειριστή τομέα. Ο διαχειριστής τομέα είναι ένας ευαίσθητος ρόλος, που δίνεται σε υπαλλήλους τμημάτων πληροφορικής κ.λπ. Κατά συνέπεια, θα πρέπει να εγκαταστήσουν προγράμματα προστασίας από ιούς. Αποδεικνύεται ότι είναι επίσης υπεύθυνοι για τις δραστηριότητες του συστήματος προστασίας από ιούς. Ως εκ τούτου, πρέπει να υπογράψουν τις οδηγίες για την οργάνωση προστασίας από ιούς. Στην πραγματικότητα, αυτή η ευθύνη πρέπει να αναφέρεται στις οδηγίες. Για παράδειγμα, ο τύπος ασφαλείας κυβερνά, οι διαχειριστές εκτελούν.

Ερώτηση %username%

Τότε το ερώτημα είναι τι δεν πρέπει να περιλαμβάνεται στις οδηγίες της ευθύνης Anti-Virus ZI για τη δημιουργία και χρήση ιών (ή υπάρχει κάποιο άρθρο και δεν μπορεί να αναφερθεί); Ή ότι απαιτείται να αναφέρουν έναν ιό ή μια περίεργη συμπεριφορά υπολογιστή στο Help Desk ή σε άτομα IT;

Και πάλι, θα το κοίταζα από τη σκοπιά της διαχείρισης κινδύνου. Αυτό μυρίζει, ας πούμε, GOST 18044-2007.
Στην περίπτωσή σας, η «παράξενη συμπεριφορά» δεν είναι απαραίτητα ιός. Αυτό μπορεί να είναι ένα φρένο συστήματος ή ένα φρένο κ.λπ. Ως εκ τούτου, δεν πρόκειται για περιστατικό, αλλά για εκδήλωση ασφάλειας πληροφοριών. Και πάλι, σύμφωνα με το GOST, κάθε άτομο μπορεί να αναφέρει ένα συμβάν, αλλά είναι δυνατό να καταλάβουμε αν πρόκειται για περιστατικό ή όχι μόνο μετά από ανάλυση.

Έτσι, αυτή η ερώτησή σας δεν μεταφράζεται πλέον σε πολιτική ασφάλειας πληροφοριών, αλλά σε διαχείριση συμβάντων. Η πολιτική σας πρέπει να το αναφέρει αυτό η εταιρεία πρέπει να διαθέτει σύστημα χειρισμού συμβάντων.

Δηλαδή, όπως μπορείτε να δείτε, η διοικητική εκτέλεση της πολιτικής βαρύνει κυρίως τους διαχειριστές και τους αξιωματικούς ασφαλείας. Οι χρήστες μένουν με προσαρμοσμένα πράγματα.

Επομένως, πρέπει να καταρτίσετε κάποια «Διαδικασία χρήσης SVT στην εταιρεία», όπου πρέπει να υποδείξετε τις ευθύνες των χρηστών. Αυτό το έγγραφο θα πρέπει να συσχετίζεται με την πολιτική ασφάλειας πληροφοριών και να είναι, ας πούμε, μια εξήγηση για τον χρήστη.

Αυτό το έγγραφο μπορεί να υποδεικνύει ότι ο χρήστης πρέπει να ειδοποιήσει την αρμόδια αρχή για μη φυσιολογική δραστηριότητα υπολογιστή. Λοιπόν, μπορείτε να προσθέσετε όλα τα άλλα προσαρμοσμένα εκεί.

Συνολικά, πρέπει να εξοικειώσετε τον χρήστη με δύο έγγραφα:

  • πολιτική ασφάλειας πληροφοριών (ώστε να καταλάβει τι γίνεται και γιατί, να μην κουνάει το σκάφος, να μην βρίζει όταν εισάγει νέα συστήματα ελέγχου κ.λπ.)
  • αυτή τη «Διαδικασία χρήσης SVT στην εταιρεία» (ώστε να καταλάβει τι ακριβώς πρέπει να κάνει σε συγκεκριμένες περιπτώσεις)

Κατά συνέπεια, κατά την εφαρμογή ενός νέου συστήματος, απλώς προσθέτετε κάτι στη «Διαδικασία» και ενημερώνετε τους υπαλλήλους σχετικά με αυτό στέλνοντας τη διαδικασία μέσω email (ή μέσω του EDMS, εάν υπάρχει).

Ετικέτες: Προσθήκη ετικετών

Ανεξάρτητα από το μέγεθος του οργανισμού και τις ιδιαιτερότητές του σύστημα πληροφορίωνΟι εργασίες για τη διασφάλιση του καθεστώτος ασφάλειας πληροφοριών συνήθως αποτελούνται από τα ακόλουθα στάδια (Εικόνα 1):

– καθορισμός του πεδίου εφαρμογής (όρια) του συστήματος διαχείρισης ασφάλειας πληροφοριών και προσδιορισμός των στόχων της δημιουργίας του·

– εκτίμηση κινδύνου·

– επιλογή αντιμέτρων που διασφαλίζουν το καθεστώς του IS·

- Διαχείριση κινδύνων.

– έλεγχος του συστήματος διαχείρισης ασφάλειας πληροφοριών·

– ανάπτυξη πολιτικής ασφάλειας.

DIV_ADBLOCK340">

Στάδιο 3. Δόμηση αντίμετρων σύμφωνα με προστασία πληροφοριώνστα ακόλουθα κύρια επίπεδα: διοικητικό, διαδικαστικό, λογισμικό και τεχνικό.

Στάδιο 4. Καθιέρωση διαδικασίας πιστοποίησης και διαπίστευσης CIS για συμμόρφωση με πρότυπα στον τομέα της ασφάλειας πληροφοριών. Καθορισμός της συχνότητας των συναντήσεων για θέματα ασφάλειας πληροφοριών σε επίπεδο διαχείρισης, συμπεριλαμβανομένης της περιοδικής αναθεώρησης των διατάξεων της πολιτικής ασφάλειας πληροφοριών, καθώς και της διαδικασίας εκπαίδευσης όλων των κατηγοριών χρηστών του πληροφοριακού συστήματος στον τομέα της ασφάλειας πληροφοριών. Είναι γνωστό ότι η ανάπτυξη της πολιτικής ασφάλειας ενός οργανισμού είναι το λιγότερο επισημοποιημένο στάδιο. Ωστόσο, πρόσφατα εδώ έχουν επικεντρωθεί οι προσπάθειες πολλών ειδικών στην ασφάλεια πληροφοριών.

Στάδιο 5. Προσδιορισμός του πεδίου εφαρμογής (όρια) του συστήματος διαχείρισης ασφάλειας πληροφοριών και προσδιορισμός των στόχων της δημιουργίας του. Σε αυτό το στάδιο καθορίζονται τα όρια του συστήματος για τα οποία πρέπει να διασφαλιστεί το καθεστώς ασφάλειας πληροφοριών. Κατά συνέπεια, το σύστημα διαχείρισης ασφάλειας πληροφοριών είναι χτισμένο ακριβώς μέσα σε αυτά τα όρια. Η ίδια η περιγραφή των ορίων του συστήματος συνιστάται να πραγματοποιείται σύμφωνα με το ακόλουθο σχέδιο:

– δομή του οργανισμού. Παρουσίαση της υπάρχουσας δομής και των αλλαγών που αναμένεται να γίνουν σε σχέση με την ανάπτυξη (εκσυγχρονισμός) αυτοματοποιημένο σύστημα ;

– πόροι του πληροφοριακού συστήματος που πρέπει να προστατεύονται. Συνιστάται να ληφθούν υπόψη οι πόροι ενός αυτοματοποιημένου συστήματος των ακόλουθων κατηγοριών: ηλεκτρονικός εξοπλισμός, δεδομένα, σύστημα και λογισμικό εφαρμογών. Όλοι οι πόροι έχουν αξία από την οπτική γωνία ενός οργανισμού. Για την αξιολόγησή τους, πρέπει να επιλεγεί ένα σύστημα κριτηρίων και μια μεθοδολογία για την απόκτηση αποτελεσμάτων σύμφωνα με αυτά τα κριτήρια.

· ανάπτυξη αρχών για την ταξινόμηση των στοιχείων ενεργητικού της εταιρείας και την αξιολόγηση της ασφάλειάς τους.

· αξιολόγηση των κινδύνων πληροφοριών και τη διαχείρισή τους.

· Εκπαίδευση εργαζομένων της εταιρείας σε μεθόδους ασφάλειας πληροφοριών, διεξαγωγή ενημερώσεων και παρακολούθηση των γνώσεων και των πρακτικών δεξιοτήτων εφαρμογής της πολιτικής ασφάλειας από τους υπαλλήλους της εταιρείας.

· παροχή συμβουλών σε διευθυντές εταιρειών για θέματα διαχείρισης κινδύνου πληροφοριών.

· Συντονισμός ιδιωτικών πολιτικών και κανονισμών ασφάλειας μεταξύ των τμημάτων της εταιρείας.

· Έλεγχος του έργου της ποιότητας και των υπηρεσιών αυτοματισμού της εταιρείας με δικαίωμα ελέγχου και έγκρισης εσωτερικών εκθέσεων και εγγράφων.

· αλληλεπίδραση με την υπηρεσία προσωπικού της εταιρείας για την επαλήθευση των προσωπικών δεδομένων των εργαζομένων κατά την πρόσληψη·

· Οργάνωση μέτρων για την εξάλειψη καταστάσεων έκτακτης ανάγκης ή έκτακτης ανάγκης στον τομέα της ασφάλειας των πληροφοριών, εάν προκύψουν.

Ακεραιότητα πληροφοριών – η ύπαρξη πληροφοριών σε ανόθευτη μορφή (αμετάβλητη σε σχέση με κάποια σταθερή κατάσταση). Συνήθως, τα υποκείμενα ενδιαφέρονται να διασφαλίσουν μια ευρύτερη ιδιότητα - την αξιοπιστία των πληροφοριών, η οποία συνίσταται στην επάρκεια (πληρότητα και ακρίβεια) της εμφάνισης της κατάστασης της θεματικής περιοχής και στην άμεση ακεραιότητα των πληροφοριών, δηλαδή στη μη παραμόρφωσή της.

Υπάρχει διαφορά μεταξύ στατικής και δυναμικής ακεραιότητας. Προκειμένου να παραβιαστεί η στατική ακεραιότητα, ένας εισβολέας μπορεί: να εισάγει λανθασμένα δεδομένα. Για να αλλάξετε τα δεδομένα. Μερικές φορές τα δεδομένα περιεχομένου αλλάζουν, μερικές φορές αλλάζουν οι πληροφορίες της υπηρεσίας. Οι απειλές για τη δυναμική ακεραιότητα περιλαμβάνουν παραβίαση της ατομικότητας συναλλαγής, αναδιάταξη, κλοπή, αντιγραφή δεδομένων ή εισαγωγή πρόσθετων μηνυμάτων (πακέτα δικτύου κ.λπ.). Αυτή η δραστηριότητα σε ένα περιβάλλον δικτύου ονομάζεται ενεργή ακρόαση.

Απειλή για την ακεραιότητα δεν είναι μόνο η παραποίηση ή τροποποίηση δεδομένων, αλλά και η άρνηση ολοκληρωμένων ενεργειών. Εάν δεν υπάρχουν μέσα για να διασφαλιστεί η "μη απόρριψη", τα δεδομένα υπολογιστή δεν μπορούν να θεωρηθούν ως αποδεικτικά στοιχεία. Όχι μόνο τα δεδομένα, αλλά και τα προγράμματα είναι δυνητικά ευάλωτα από την άποψη των παραβιάσεων της ακεραιότητας. Η ένεση κακόβουλου λογισμικού είναι ένα παράδειγμα τέτοιας παραβίασης.

Μια επείγουσα και πολύ επικίνδυνη απειλή είναι η εισαγωγή rootkit (ένα σύνολο αρχείων εγκατεστημένων σε ένα σύστημα με στόχο να αλλάξει η τυπική του λειτουργικότητα με κακόβουλο και μυστικό τρόπο), bots (ένα πρόγραμμα που εκτελεί αυτόματα μια συγκεκριμένη αποστολή, μια ομάδα οι υπολογιστές στους οποίους λειτουργούν παρόμοια bot ονομάζονται botnet), μυστικές επιθέσεις (κακόβουλο λογισμικό που ακούει για εντολές σε συγκεκριμένες θύρες TCP ή UDP) και λογισμικό υποκλοπής (κακόβουλο λογισμικό που στοχεύει στη διακύβευση εμπιστευτικών δεδομένων χρήστη. Για παράδειγμα, το Back Orifice και το Netbus Trojans σάς επιτρέπουν να κερδίσετε έλεγχος συστημάτων χρηστών με διάφορες παραλλαγές MS -Windows.

Απειλή εμπιστευτικότητας

Ο κίνδυνος παραβίασης του απορρήτου είναι ότι οι πληροφορίες γίνονται γνωστές σε κάποιον που δεν έχει την εξουσία να έχει πρόσβαση σε αυτές. Μερικές φορές, λόγω της απειλής παραβίασης του απορρήτου, χρησιμοποιείται ο όρος "διαρροή".

Το απόρρητο των πληροφοριών είναι ένα υποκειμενικά καθορισμένο (αποδοθέν) χαρακτηριστικό (ιδιότητα) των πληροφοριών, που υποδηλώνει την ανάγκη εισαγωγής περιορισμών στον κύκλο των υποκειμένων που έχουν πρόσβαση σε αυτές τις πληροφορίες και διασφαλίζεται από την ικανότητα του συστήματος (περιβάλλοντος) να διατηρεί αυτές τις πληροφορίες μυστικό από υποκείμενα που δεν έχουν την εξουσία πρόσβασης σε αυτό. Οι αντικειμενικές προϋποθέσεις για έναν τέτοιο περιορισμό στη διαθεσιμότητα πληροφοριών για ορισμένα υποκείμενα έγκειται στην ανάγκη προστασίας των έννομων συμφερόντων τους από άλλα υποκείμενα των σχέσεων πληροφόρησης.

Οι εμπιστευτικές πληροφορίες μπορούν να χωριστούν σε πληροφορίες θέματος και υπηρεσίας. Οι πληροφορίες υπηρεσίας (για παράδειγμα, κωδικοί πρόσβασης χρήστη) δεν σχετίζονται με μια συγκεκριμένη θεματική περιοχή, διαδραματίζουν τεχνικό ρόλο σε ένα σύστημα πληροφοριών, αλλά η αποκάλυψή τους είναι ιδιαίτερα επικίνδυνη, καθώς είναι γεμάτη με μη εξουσιοδοτημένη πρόσβαση σε όλες τις πληροφορίες, συμπεριλαμβανομένων των πληροφοριών του θέματος. Μια επικίνδυνη μη τεχνική απειλή για την εμπιστευτικότητα είναι μέθοδοι ηθικής και ψυχολογικής επιρροής, όπως η «μεταμφίεση» - η εκτέλεση ενεργειών υπό το πρόσχημα ενός ατόμου που έχει εξουσία πρόσβασης σε δεδομένα. Οι δυσάρεστες απειλές που είναι δύσκολο να αμυνθούν είναι η κατάχρηση εξουσίας. Σε πολλούς τύπους συστημάτων, ένας προνομιούχος χρήστης (για παράδειγμα, ένας διαχειριστής συστήματος) μπορεί να διαβάσει οποιοδήποτε (μη κρυπτογραφημένο) αρχείο και να αποκτήσει πρόσβαση στην αλληλογραφία οποιουδήποτε χρήστη.

Επί του παρόντος, οι πιο συνηθισμένες είναι οι λεγόμενες επιθέσεις «ψαρέματος». Το ψάρεμα (ψάρεμα – ψάρεμα) είναι ένα είδος διαδικτυακής απάτης, σκοπός του οποίου είναι η απόκτηση πρόσβασης σε απόρρητα δεδομένα χρήστη - στοιχεία σύνδεσης και κωδικούς πρόσβασης. Αυτό επιτυγχάνεται με την αποστολή μαζικών μηνυμάτων ηλεκτρονικού ταχυδρομείου εκ μέρους δημοφιλών εμπορικών σημάτων, καθώς και προσωπικών μηνυμάτων σε διάφορες υπηρεσίες, για παράδειγμα, για λογαριασμό τραπεζών, υπηρεσιών (Rambler, Mail.ru) ή εντός κοινωνικών δικτύων (Facebook, Vkontakte, Odnoklassniki.ru ). Οι στόχοι των phishers σήμερα είναι πελάτες τραπεζώνκαι ηλεκτρονικά συστήματα πληρωμών. Για παράδειγμα, στις Ηνωμένες Πολιτείες, που μεταμφιέζονται ως Υπηρεσία Εσωτερικών Εσόδων, οι phishers συνέλεξαν σημαντικά δεδομένα για τους φορολογούμενους το 2009.



Έχετε ερωτήσεις;

Αναφέρετε ένα τυπογραφικό λάθος

Κείμενο που θα σταλεί στους συντάκτες μας:

Στείλετε