Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Iron
  • Određivanje politike sigurnosti informacija preduzeća. Predavanje

Određivanje politike sigurnosti informacija preduzeća. Predavanje

19.06.2019 Iron

TSF softver izvan kernela sastoji se od pouzdanih aplikacija koje se koriste za implementaciju sigurnosnih funkcija. Imajte na umu da dijeljene biblioteke, uključujući PAM module u nekim slučajevima, koriste pouzdane aplikacije. Međutim, ne postoji instanca u kojoj se sama dijeljena biblioteka tretira kao pouzdani objekt. Pouzdane komande se mogu grupirati na sljedeći način.

  • Inicijalizacija sistema
  • Identifikacija i autentifikacija
  • Mrežne aplikacije
  • Batch Processing
  • Upravljanje sistemom
  • Revizija na korisničkom nivou
  • Kriptografska podrška
  • Podrška za virtuelne mašine

Izvršne komponente kernela mogu se podijeliti na tri sastavna dijela: glavno jezgro, niti kernela i moduli kernela, ovisno o tome kako će se izvršavati.

  • Jezgro uključuje kod koji se pokreće za pružanje usluge, kao što je servisiranje korisničkog sistemskog poziva ili servisiranje događaja izuzetka ili prekida. Većina kompajliranih kernel koda spada u ovu kategoriju.
  • Niti kernela. Za obavljanje određenih rutinskih zadataka, kao što je brisanje predmemorije diska ili oslobađanje memorije zamjenom neiskorištenih blokova stranica, kernel kreira interne procese ili niti. Niti su zakazane kao i normalni procesi, ali nemaju kontekst u neprivilegovanom načinu rada. Niti kernela obavljaju specifične funkcije jezika C kernela. Niti kernela se nalaze u prostoru kernela i rade samo u privilegovanom režimu.
  • Modul kernela i modul kernela drajvera uređaja su dijelovi koda koji se po potrebi mogu učitavati i učitavati u i iz kernela. Oni proširuju funkcionalnost kernela bez potrebe za ponovnim pokretanjem sistema. Jednom učitani, objektni kod modula kernela može pristupiti drugom kodu i podacima kernela na isti način kao statički povezani objektni kod kernela.
Upravljački program uređaja je posebna vrsta modula kernela koji omogućava kernelu da pristupi hardveru povezanom sa sistemom. Ovi uređaji mogu biti tvrdi diskovi, monitori ili mrežni interfejsi. Drajver komunicira sa ostatkom kernela preko definisanog interfejsa koji omogućava kernelu da se bavi svim uređajima na univerzalan način, bez obzira na njihove osnovne implementacije.

Kernel se sastoji od logičkih podsistema koji pružaju različite funkcionalnosti. Iako je kernel jedini izvršni program, različite usluge koje pruža mogu se odvojiti i kombinovati u različite logičke komponente. Ove komponente međusobno djeluju kako bi pružile specifične funkcije. Jezgro se sastoji od sljedećih logičkih podsistema:

  • Podsistem datoteka i I/O podsistem: Ovaj podsistem implementira funkcije koje se odnose na objekte sistema datoteka. Implementirane funkcije uključuju one koje omogućavaju procesu kreiranje, održavanje, interakciju sa i brisanje objekata sistema datoteka. Ovi objekti uključuju obične datoteke, direktorije, simboličke veze, tvrde veze, datoteke specifične za određene tipove uređaja, imenovane cijevi i utičnice.
  • Procesni podsistem: Ovaj podsistem implementira funkcije vezane za upravljanje procesima i upravljanje nitima. Implementirane funkcije vam omogućavaju da kreirate, planirate, izvršavate i brišete procese i teme niti.
  • Memorijski podsistem: Ovaj podsistem implementira funkcije koje se odnose na upravljanje resursima sistemske memorije. Implementirane funkcije uključuju one koje kreiraju i upravljaju virtualnom memorijom, uključujući upravljanje algoritmima stranica i tabelama stranica.
  • Mrežni podsistem: Ovaj podsistem implementira UNIX i internet domenske utičnice i algoritme koji se koriste za planiranje mrežnih paketa.
  • IPC podsistem: Ovaj podsistem implementira funkcije vezane za IPC mehanizme. Implementirane karakteristike uključuju one koje olakšavaju kontroliranu razmjenu informacija između procesa, omogućavajući im da dijele podatke i sinhronizuju njihovo izvršenje prilikom interakcije sa zajedničkim resursom.
  • Podsistem modula kernela: Ovaj podsistem implementira infrastrukturu za podršku modulima koji se mogu učitati. Implementirane funkcije uključuju učitavanje, inicijalizaciju i istovar modula kernela.
  • Sigurnosna proširenja za Linux: Linux sigurnosne ekstenzije implementiraju različite sigurnosne aspekte koji se pružaju kroz kernel, uključujući Linux sigurnosni modul (LSM) okvir. LSM okvir služi kao osnova za module koji omogućavaju implementaciju različitih sigurnosnih politika, uključujući SELinux. SELinux je važan logički podsistem. Ovaj podsistem implementira obavezne funkcije kontrole pristupa za postizanje pristupa između svih subjekata i objekata.
  • Podsistem drajvera uređaja: Ovaj podsistem pruža podršku za različite hardverske i softverske uređaje putem zajedničkog interfejsa nezavisnog od uređaja.
  • Podsistem revizije: Ovaj podsistem implementira funkcije vezane za snimanje sigurnosno kritičnih događaja u sistemu. Implementirane funkcije uključuju one koje hvataju svaki sistemski poziv za snimanje sigurnosno kritičnih događaja i one koje implementiraju prikupljanje i snimanje podataka revizije.
  • KVM podsistem: Ovaj podsistem implementira održavanje životnog ciklusa virtuelne mašine. Izvodi dovršavanje instrukcija, koje se koristi za instrukcije koje zahtijevaju samo male provjere. Za bilo koje drugo dovršavanje instrukcija, KVM poziva komponentu QEMU korisničkog prostora.
  • Crypto API: Ovaj podsistem obezbjeđuje internu kriptografsku biblioteku kernela za sve komponente kernela. On pruža kriptografske primitive za pozivaoce.

Kernel je glavni dio operativnog sistema. Komunicira direktno s hardverom, implementira dijeljenje resursa, pruža zajedničke usluge aplikacijama i sprječava aplikacije da direktno pristupe funkcijama koje ovise o hardveru. Usluge koje nudi kernel uključuju:

1. Upravljanje izvršavanjem procesa, uključujući operacije njihovog kreiranja, prekida ili suspenzije, i međuprocesnu razmjenu podataka. To uključuje:

  • Ekvivalentno planiranje procesa za izvršenje na CPU-u.
  • Podjela procesa na CPU-u korištenjem režima dijeljenja vremena.
  • Izvršavanje procesa na CPU-u.
  • Suspendiranje kernela nakon isteka dodijeljenog vremenskog kvanta.
  • Dodjela vremena kernela drugom procesu.
  • Promjenjivanje vremena kernela za izvršenje suspendovanog procesa.
  • Upravljajte metapodacima vezanim za sigurnost procesa kao što su UID-ovi, GID-ovi, SELinux oznake, identifikatori funkcija.
2. Dodjela RAM-a za proces izvršavanja. Ova operacija uključuje:
  • Dozvola koju kernel daje procesima da dijele dio svog adresnog prostora pod određenim uslovima; međutim, kernel štiti vlastiti adresni prostor procesa od vanjskih smetnji.
  • Ako sistemu nedostaje slobodne memorije, kernel oslobađa memoriju tako što proces privremeno upisuje u memoriju drugog nivoa ili zamjenjuje.
  • Koordinirana interakcija sa hardverom mašine za uspostavljanje mapiranja virtuelne adrese u fizičku adresu koja uspostavlja mapiranje između adresa generisanih kompajlerom i fizičkih adresa.
3. Održavanje životnog ciklusa virtuelne mašine, koje uključuje:
  • Postavlja ograničenja na resurse koje je konfigurirala aplikacija za emulaciju za datu virtualnu mašinu.
  • Pokretanje programskog koda virtuelne mašine za izvršenje.
  • Upravljajte gašenjem virtuelnih mašina ili dovršavanjem instrukcije ili odlaganjem završetka instrukcije da biste emulirali korisnički prostor.
4. Održavanje sistema datoteka. To uključuje:
  • Alokacija sekundarne memorije za efikasno skladištenje i pronalaženje korisničkih podataka.
  • Dodjela eksterne memorije za korisničke datoteke.
  • Reciklirajte neiskorišteni prostor za pohranu podataka.
  • Organiziranje strukture sistema datoteka (koristeći jasne principe strukturiranja).
  • Zaštita korisničkih datoteka od neovlaštenog pristupa.
  • Organiziranje kontroliranog pristupa procesa perifernim uređajima kao što su terminali, trake, disk jedinice i mrežni uređaji.
  • Organizovanje međusobnog pristupa podacima za subjekte i objekte, obezbeđivanje kontrolisanog pristupa na osnovu DAC politike i bilo koje druge politike koju implementira učitani LSM.
Linux kernel je tip OS kernela koji implementira raspoređivanje s prečimom zadataka. U kernelima koji nemaju ovu mogućnost, izvršavanje koda kernela se nastavlja do završetka, tj. planer nije u stanju da reprogramira zadatak dok je u kernelu. Osim toga, kod kernela je planirano da se izvršava kooperativno, bez preventivnog zakazivanja, a izvršavanje tog koda se nastavlja sve dok se ne završi i vrati u korisnički prostor, ili dok se eksplicitno ne blokira. U preventivnim kernelima, moguće je preduhitriti zadatak u bilo kojem trenutku sve dok je kernel u stanju u kojem ga je sigurno ponovno rasporediti.

Bez obzira na veličinu organizacije i specifičnosti njenog informacionog sistema, rad na obezbeđivanju režima bezbednosti informacija obično se sastoji od sledećih faza (Slika 1):

– definisanje obima (granica) sistema upravljanja bezbednošću informacija i preciziranje ciljeva njegovog kreiranja;

- procjena rizika;

– izbor protivmjera koje osiguravaju režim IS;

- Upravljanje rizicima;

– revizija sistema upravljanja bezbednošću informacija;

– razvoj bezbednosne politike.

DIV_ADBLOCK315">

Faza 3. Strukturiranje protumjera za zaštitu informacija na sljedećim glavnim nivoima: administrativni, proceduralni, softverski i hardverski.

Faza 4. Uspostavljanje procedure za sertifikaciju i akreditaciju CIS-a za usklađenost sa standardima u oblasti informacione sigurnosti. Utvrđivanje učestalosti sastanaka o temama informacione bezbjednosti na nivou menadžmenta, uključujući periodično preispitivanje odredbi politike informacione bezbjednosti, kao i procedure za obuku svih kategorija korisnika informacionog sistema u oblasti informacione sigurnosti. Poznato je da je razvoj bezbednosne politike organizacije najmanje formalizovana faza. Međutim, odnedavno su upravo tu usmjereni napori mnogih stručnjaka za sigurnost informacija.

Faza 5. Određivanje obima (granica) sistema upravljanja sigurnošću informacija i određivanje ciljeva njegovog kreiranja. U ovoj fazi određuju se granice sistema za koje se mora osigurati režim informacione sigurnosti. Shodno tome, sistem upravljanja bezbednošću informacija izgrađen je upravo u ovim granicama. Sam opis granica sistema preporučuje se da se izvrši prema sljedećem planu:

– struktura organizacije. Prezentacija postojeće strukture i promjena koje se očekuju u vezi sa razvojem (modernizacijom) automatizovanog sistema;

– resurse informacionog sistema koje treba zaštititi. Preporučljivo je razmotriti resurse automatizovanog sistema sledećih klasa: elektronska oprema, podaci, sistemski i aplikativni softver. Svi resursi imaju vrijednost iz perspektive organizacije. Za njihovu evaluaciju potrebno je odabrati sistem kriterijuma i metodologiju za dobijanje rezultata prema ovim kriterijumima;

· razvoj principa za klasifikaciju informatičke imovine kompanije i procjenu njihove sigurnosti;

· procjena informacionih rizika i upravljanje njima;

· obučavanje zaposlenih u preduzeću o metodama informacione bezbednosti, provođenje brifinga i praćenje znanja i praktičnih veština sprovođenja bezbednosne politike od strane zaposlenih u kompaniji;

· savjetovanje menadžera kompanija o pitanjima upravljanja informacijskim rizikom;

· koordinacija privatnih politika i sigurnosnih propisa među odjelima kompanije;

· kontrolu kvaliteta rada preduzeća i usluga automatizacije sa pravom provjere i odobravanja internih izvještaja i dokumenata;

· interakcija sa kadrovskom službom kompanije radi provjere ličnih podataka zaposlenih prilikom zapošljavanja;

· organizovanje mjera za otklanjanje vanrednih situacija ili vanrednih situacija u oblasti informacione sigurnosti ukoliko do njih dođe;

Integritet informacije – postojanje informacije u neiskrivljenom obliku (nepromenjeno u odnosu na neko fiksno stanje). Tipično, subjekti su zainteresovani da obezbede širu osobinu – pouzdanost informacija, koja se sastoji od adekvatnosti (potpunosti i tačnosti) prikaza stanja predmetne oblasti i direktnog integriteta informacije, odnosno njenog neiskrivljavanja.

Postoji razlika između statičkog i dinamičkog integriteta. Da bi narušio statički integritet, napadač može: uneti netačne podatke; Za promjenu podataka. Ponekad se mijenjaju podaci o sadržaju, ponekad se mijenjaju informacije o usluzi. Prijetnje dinamičkom integritetu uključuju narušavanje atomičnosti transakcije, promjenu redoslijeda, krađu, dupliciranje podataka ili uvođenje dodatnih poruka (mrežni paketi, itd.). Ova aktivnost u mrežnom okruženju naziva se aktivno slušanje.

Prijetnja integritetu nije samo krivotvorenje ili modifikacija podataka, već i odbijanje izvršenih radnji. Ako ne postoji način da se osigura "neporicanje", kompjuterski podaci se ne mogu smatrati dokazom. Ne samo podaci, već i programi su potencijalno ranjivi na kršenje integriteta. Ubacivanje zlonamjernog softvera je primjer takvog kršenja.

Hitna i vrlo opasna prijetnja je uvođenje rootkita (skup datoteka instaliranih na sistem s ciljem da se na zlonamjeran i tajan način promijeni njegova standardna funkcionalnost), botova (programa koji automatski obavlja određenu misiju; grupe računari na kojima rade slični botovi se nazivaju botnet), tajni napadi (zlonamjerni softver koji sluša komande na određenim TCP ili UDP portovima) i špijunski softver (zlonamjerni softver koji ima za cilj kompromitaciju povjerljivih korisničkih podataka. Na primjer, Back Orifice i Netbus trojanci vam omogućavaju da dobijete kontrola nad korisničkim sistemima sa raznim MS varijantama -Windows.

Prijetnja povjerljivosti

Prijetnja kršenjem povjerljivosti je da informacija postane poznata nekome ko nema ovlaštenje da im pristupi. Ponekad se, zbog prijetnje kršenjem povjerljivosti, koristi izraz "curenje".

Povjerljivost informacija je subjektivno određena (pripisana) karakteristika (svojstvo) informacije, koja ukazuje na potrebu uvođenja ograničenja kruga subjekata koji imaju pristup ovim informacijama, a obezbjeđena je sposobnošću sistema (okruženja) da ove informacije čuva. tajna od subjekata koji nemaju ovlasti da joj pristupe . Objektivni preduslovi za ovakvo ograničenje dostupnosti informacija za neke subjekte leže u potrebi zaštite njihovih legitimnih interesa od drugih subjekata informacionih odnosa.

Povjerljive informacije mogu se podijeliti na predmetne i servisne informacije. Servisne informacije (na primjer, korisničke lozinke) ne odnose se na određenu predmetnu oblast, one imaju tehničku ulogu u informacionom sistemu, ali je njihovo otkrivanje posebno opasno, jer je prepuno neovlašćenog pristupa svim informacijama, uključujući i informacije o predmetu. Opasna netehnička prijetnja povjerljivosti su metode moralnog i psihološkog utjecaja, kao što je „maskarada“ – izvođenje radnji pod maskom osobe koja ima ovlaštenje za pristup podacima. Neprijatne prijetnje od kojih se teško braniti uključuju zloupotrebu ovlasti. Na mnogim tipovima sistema, privilegovani korisnik (na primjer, sistemski administrator) može pročitati bilo koju (nešifrovanu) datoteku i dobiti pristup e-pošti bilo kojeg korisnika.

Trenutno su najčešći takozvani “phishing” napadi. Phishing (fishing – fishing) je vrsta internetske prevare, čija je svrha pristup povjerljivim korisničkim podacima – loginovima i lozinkama. To se postiže masovnim slanjem e-mailova u ime popularnih brendova, kao i ličnih poruka u okviru različitih servisa, na primjer, u ime banaka, servisa (Rambler, Mail.ru) ili unutar društvenih mreža (Facebook, Vkontakte, Odnoklassniki.ru ). Meta phishera danas su klijenti banaka i elektronskih sistema plaćanja. Na primjer, u Sjedinjenim Državama, maskirajući se kao Internal Revenue Service, phisheri su prikupili značajne podatke o poreznim obveznicima 2009. godine.

Svrha: Pružanje upravljanja i podrške u oblasti informacione sigurnosti u skladu sa zahtjevima poslovanja, kao i važećim zakonskim i regulatornim okvirom. Menadžment mora postaviti jasan strateški pravac i pokazati podršku i posvećenost sigurnosti informacija objavljivanjem i održavanjem politike informacione sigurnosti u cijeloj organizaciji.

Politika informacione bezbednosti je najvažniji dokument u sistemu upravljanja bezbednošću informacija (ISMS) organizacije, koji služi kao jedan od ključnih bezbednosnih mehanizama.

Prema ISO 17799, dokumentovana politika sigurnosti informacija mora navesti predanost menadžmenta i uspostaviti pristup upravljanju sigurnošću informacija, definirati koncept sigurnosti informacija, njene glavne ciljeve i opseg, sadržavati glavne odredbe za definiranje ciljeva i mehanizama kontrole, uključujući okvir za procjenu i upravljanje rizikom i još mnogo toga.

Prema ISO 27001, politika sigurnosti informacija je podskup općenitijeg dokumenta - ISMS politike, koja uključuje glavne odredbe za definisanje ciljeva ISMS-a i utvrđivanje opšteg pravca i principa djelovanja u vezi sa sigurnošću informacija, uzimajući uzeti u obzir poslovne zahtjeve, zakonske ili regulatorne okvire, ugovorne obaveze, utvrđivanje kriterija za procjenu rizika, itd.

Politika sigurnosti informacija i ISMS politika organizacije mogu se opisati u jednom dokumentu. Izrada takvog dokumenta nije lak i vrlo odgovoran zadatak. S jedne strane, politika sigurnosti informacija mora biti dovoljno sveobuhvatna i razumljiva za sve zaposlene u organizaciji. S druge strane, na osnovu ovog dokumenta izgrađen je čitav sistem mjera za obezbjeđivanje informacione sigurnosti, tako da mora biti dosta potpun i sveobuhvatan. Svaki propusti i nejasnoće mogu ozbiljno uticati na funkcionisanje ISMS-a organizacije. Politika sigurnosti informacija mora u potpunosti biti usklađena sa zahtjevima međunarodnih standarda ISO 27001/17799. Ovo je preduslov za uspješnu certifikaciju.

BS ISO/IEC 27001:2005 4.2.1 b) ISMS politika:

Definirajte ISMS politiku, u smislu karakteristika poslovanja, organizacije, njene lokacije, resursa i tehnologije, koja:

    sadrži osnovu za definisanje svojih ciljeva i utvrđuje opšti pravac i principe delovanja u vezi sa informacionom bezbednošću;

    uzima u obzir poslovne i zakonske ili regulatorne zahtjeve, kao i ugovorne sigurnosne obaveze;

    integrisan sa strateškim kontekstom upravljanja rizicima u organizaciji, u kojoj će se odvijati kreiranje i održavanje ISMS-a;

    utvrđuje kriterijume za procenu rizika (videti 4.2.1c)); I

    odobrila uprava.

NAPOMENA: Ovaj međunarodni standard smatra da je ISMS politika nadskup politike sigurnosti informacija. Ove politike se mogu opisati u jednom dokumentu.

BS ISO/IEC 17799:2005 5.1.1 Dokumentirana politika sigurnosti informacija:

Kontrolni mehanizam

Dokumentovana politika sigurnosti informacija mora biti odobrena od strane menadžmenta, objavljena i saopštena svim zaposlenima u organizaciji i vanjskim stranama na koje se odnosi.

Vodič za implementaciju

Dokumentovana politika bezbednosti informacija treba da navede posvećenost menadžmenta i uspostavi pristup organizacije upravljanju bezbednošću informacija. Dokumentirana politika mora sadržavati sljedeće izjave:

    definisanje pojma informacione bezbednosti, njenih glavnih ciljeva, obima i značaja bezbednosti kao mehanizma koji omogućava razmenu informacija (videti Uvod);

    izjava o namjeri menadžmenta da podrži postizanje ciljeva i principa informacione sigurnosti u skladu sa poslovnim ciljevima i strategijom;

    smjernice za definiranje kontrolnih ciljeva i mehanizama, uključujući okvir za procjenu rizika i upravljanje;

    Kratko objašnjenje bezbednosnih politika, standarda, principa i zahteva koji su posebno važni za organizaciju, uključujući:

      usklađenost sa zakonskim, regulatornim i ugovornim zahtjevima;

      sigurnosni zahtjevi, obrazovanje i obuka;

      upravljanje kontinuitetom poslovanja;

      posljedice kršenja politike informacione sigurnosti;

    definisanje zajedničkih i pojedinačnih odgovornosti za upravljanje bezbednošću informacija, uključujući izveštavanje o bezbednosnim incidentima;

    veze do dokumenata koji mogu podržati politiku, kao što su detaljnije sigurnosne politike i procedure za pojedinačne informacione sisteme ili sigurnosna pravila koja korisnici moraju slijediti.

Ova politika sigurnosti informacija mora biti saopštena svim korisnicima organizacije u obliku koji je relevantan, dostupan i razumljiv čitaocima kojima je namijenjena.

Ostale informacije

Politika sigurnosti informacija trebala bi biti dio općenitije dokumentirane politike. Ako se politika sigurnosti informacija proteže preko granica organizacije, moraju se preduzeti mjere da se spriječi otkrivanje povjerljivih informacija. Dodatne informacije su date u ISO/IEC 13335-1:2004.

Ispod sigurnosna politika organizacije razumeju skup dokumentovanih upravljačkih odluka koje imaju za cilj zaštitu informacija i povezanih resursa. Sigurnosna politika je način na koji se sprovode aktivnosti u kompjuterskom informacionom sistemu organizacije. Općenito, sigurnosne politike su određene računarskim okruženjem koje se koristi i odražavaju specifične potrebe organizacije.

Tipično, korporativni informacioni sistem je složen kompleks heterogenog, ponekad loše koordinisanog hardvera i softvera: računara, operativnih sistema, mrežnih alata, DBMS-a i raznih aplikacija. Sve ove komponente obično imaju vlastite zaštite koje je potrebno međusobno uskladiti. Stoga je efikasna sigurnosna politika veoma važna kao konzistentna platforma za osiguranje sigurnosti sistema preduzeća. Kako kompjuterski sistem raste i integriše se u globalnu mrežu, potrebno je osigurati da u sistemu nema slabih tačaka, jer se svi napori zaštite informacija mogu obezvrijediti samo jednom greškom.

Sigurnosne politike se mogu izgraditi tako da definišu ko ima pristup određenim sredstvima i aplikacijama, koje uloge i odgovornosti će imati određeni pojedinci i sigurnosne procedure koje jasno diktiraju kako bi se određeni sigurnosni zadaci trebali izvršavati. Individualne karakteristike rada zaposlenog mogu zahtijevati pristup informacijama koje ne bi trebale biti dostupne drugim zaposlenima. Na primjer, HR menadžer može imati pristup privatnim informacijama bilo kojeg zaposlenika, dok stručnjak za računovodstvo može imati pristup samo finansijskim podacima tih zaposlenika. A običan zaposlenik će imati pristup samo svojim ličnim podacima.

Sigurnosna politika definiše stav organizacije o racionalnom korišćenju računara i mreža, kao i procedure za sprečavanje i reagovanje na bezbednosne incidente. Sistem velikog preduzeća može imati širok spektar različitih politika, od poslovnih politika do specifičnih pravila za pristup skupovima podataka. Ove politike su u potpunosti određene specifičnim potrebama organizacije.

Osnovni konceptisigurnosne politike

Sigurnosna politika određuje strategiju upravljanja u oblasti informacione bezbjednosti, kao i količinu pažnje i količinu resursa koje menadžment smatra primjerenim da izdvoji.

Sigurnosna politika se zasniva na analizi rizika koji su prepoznati kao stvarni za informacioni sistem organizacije. Nakon izvršene analize rizika i utvrđivanja strategije zaštite, izrađuje se program čija implementacija treba da obezbijedi sigurnost informacija. Za ovaj program se izdvajaju sredstva, imenuju odgovorna lica, utvrđuje postupak praćenja realizacije programa itd.

Da bismo se upoznali sa osnovnim konceptima bezbednosnih politika, razmotrimo, kao konkretan primer, hipotetičku lokalnu mrežu koja pripada određenoj organizaciji i pripadajuću bezbednosnu politiku.

Bezbednosna politika organizacije treba da bude strukturirana kao koncizan, lako razumljiv, dokument politike visokog nivoa podržan nizom specifičnijih dokumenata specijalizovanih bezbednosnih politika i procedura.

Sigurnosnu politiku visokog nivoa treba periodično revidirati kako bi se osiguralo da odgovara trenutnim potrebama organizacije. Ovaj dokument je napisan na način da je politika relativno nezavisna od specifičnih tehnologija. U ovom slučaju, ovaj dokument politike neće trebati često mijenjati.

Sigurnosna politika se obično sastavlja u obliku dokumenta koji uključuje dijelove kao što su opis problema, obim, položaj organizacije, raspodjela uloga i odgovornosti, sankcije itd.

Opis problema. Informacije koje kruže unutar lokalne mreže su kritične. Lokalna mreža omogućava korisnicima da dijele programe i podatke, što povećava sigurnosne rizike. Stoga je svakom od računara na mreži potrebna jača zaštita. Ove pojačane sigurnosne mjere su predmet ovog dokumenta. Dokument ima sledeće ciljeve: da pokaže zaposlenima u organizaciji važnost zaštite mrežnog okruženja, da opiše njihovu ulogu u obezbeđivanju bezbednosti i da odredi konkretne odgovornosti za zaštitu informacija koje kruže mrežom.

Područje primjene. Opseg ove politike uključuje sav hardver, softver i informacione resurse uključene u lokalnu mrežu preduzeća. Politika se također odnosi na ljude koji rade na mreži, uključujući korisnike, podizvođače i dobavljače.

Položaj organizacije. Cilj organizacije je osigurati integritet, dostupnost i povjerljivost podataka, kao i njihovu potpunost i relevantnost. Konkretniji ciljevi su:

    osiguranje nivoa sigurnosti koji je u skladu sa regulatornim dokumentima;

    pridržavanje ekonomske izvodljivosti u odabiru zaštitnih mjera (troškovi zaštite ne bi trebali premašiti očekivanu štetu od povrede sigurnosti informacija);

    osiguranje sigurnosti u svakom funkcionalnom području lokalne mreže;

    osiguravanje odgovornosti za sve interakcije korisnika s informacijama i resursima;

    Pružanje analize informacija o registraciji;

    pružanje korisnicima dovoljno informacija za svjesno održavanje sigurnosti;

    izradu planova oporavka nakon katastrofa i drugih kritičnih situacija za sva funkcionalna područja kako bi se osigurao kontinuitet rada mreže;

    osiguranje usklađenosti sa postojećim zakonima i sigurnosnim politikama cijele organizacije.

Raspodjela uloga i odgovornosti. Za realizaciju navedenih ciljeva odgovorni su nadležni službenici i korisnici mreže.

Šefovi odjela odgovorni su za saopštavanje odredbi sigurnosnih politika korisnicima i za njihovo kontaktiranje.

osiguravaju kontinuiran rad mreže i odgovorni su za provođenje tehničkih mjera neophodnih za sprovođenje sigurnosne politike.

Administratori servisa odgovorni su za određene usluge, a posebno za osiguranje da je zaštita izgrađena u skladu sa opštom sigurnosnom politikom.

Korisnici dužni su da rade sa lokalnom mrežom u skladu sa sigurnosnom politikom, poštuju naredbe osoba odgovornih za određene aspekte sigurnosti i obavještavaju menadžment o svim sumnjivim situacijama.

Više detalja o ulogama i odgovornostima službenika i korisnika mreže dato je u nastavku.

Sankcije. Kršenje sigurnosne politike može izložiti lokalnu mrežu i informacije koje kruže na njoj neprihvatljivom riziku. Slučajevi kršenja sigurnosti od strane osoblja moraju odmah biti pregledani od strane rukovodstva radi disciplinskih mjera, sve do i uključujući prestanak rada.

Dodatne informacije. Specifični timovi će možda morati da pregledaju dodatne dokumente, kao što su specijalizovane bezbednosne politike i procedure, i druge smernice. Potreba za dodatnim dokumentima bezbednosne politike u velikoj meri zavisi od veličine i složenosti organizacije. Dovoljno velika organizacija može zahtevati specijalizovane bezbednosne politike pored osnovne politike. Manjim organizacijama je potreban samo podskup specijalizovanih politika. Mnogi od ovih pratećih dokumenata mogu biti prilično kratki - dužina od jedne ili dvije stranice.

Sa praktične tačke gledišta, bezbednosne politike se mogu podeliti na tri nivoa: gornji, srednji i donji.

Vrhunski nivo Sigurnosne politike definiraju odluke koje utiču na organizaciju u cjelini. Ove odluke su veoma opšte prirode i obično dolaze od menadžmenta organizacije.

Takva rješenja mogu uključivati ​​sljedeće elemente:

    formulisanje ciljeva koje organizacija ostvaruje u oblasti informacione bezbednosti, određivanje opštih pravaca u ostvarivanju ovih ciljeva;

    formiranje ili revizija sveobuhvatnog programa informacione bezbednosti, identifikacija odgovornih lica za promovisanje programa;

    obezbjeđivanje materijalne osnove za poštovanje zakona i propisa;

    formulisanje upravljačkih odluka o sprovođenju programa bezbednosti, koje treba razmotriti na nivou organizacije u celini.

Sigurnosna politika najvišeg nivoa navodi ciljeve organizacije u pogledu sigurnosti informacija u smislu integriteta, dostupnosti i povjerljivosti. Ako je organizacija odgovorna za održavanje kritičnih baza podataka, integritet podaci. Za organizaciju koja se bavi prodajom, relevantnost informacija o pruženim uslugama i cijenama, kao i njihovim dostupnost maksimalan broj potencijalnih kupaca. O tome će se prvenstveno brinuti režimska organizacija privatnost informacije, odnosno njihovu zaštitu od neovlašćenog pristupa.

On vrhunski nivo Sprovodi se upravljanje sigurnosnim resursima i koordinacija korišćenja ovih resursa, izdvajanje posebnog osoblja za zaštitu kritičnih sistema i održavanje kontakata sa drugim organizacijama koje obezbeđuju ili kontrolišu režim bezbednosti.

Politika najvišeg nivoa mora jasno definisati svoju sferu uticaja. Ovo može uključiti sve kompjuterske sisteme organizacije, ili čak i više ako politika reguliše neki aspekt načina na koji zaposleni koriste svoje kućne računare. Takođe je moguće da sfera uticaja uključuje samo najvažnije sisteme.

Politika treba da definiše odgovornosti službenika za izradu programa bezbednosti i njegovo sprovođenje, odnosno politika može da posluži kao osnova za odgovornost osoblja.

Politika najvišeg nivoa bavi se tri aspekta poštovanja zakona i izvršne discipline. Prvo, organizacija mora da poštuje postojeće zakone. Drugo, treba pratiti radnje onih koji su odgovorni za razvoj sigurnosnog programa. Treće, potrebno je obezbijediti radnu disciplinu osoblja kroz sistem nagrađivanja i kažnjavanja.

Prosječan nivo Sigurnosna politika definira rješavanje pitanja vezanih za određene aspekte informacione sigurnosti, ali važna za različite sisteme kojima organizacija upravlja.

Primjeri takvih problema su stavovi prema pristupu Internetu (problem kombinovanja slobode primanja informacija sa zaštitom od vanjskih prijetnji), korištenje kućnih računara itd.

Sigurnosna politika srednjeg nivoa treba da definiše sledeće za svaki aspekt informacione bezbednosti:

    opis aspekta- pozicija organizacije se može formulisati u prilično opštem obliku kao skup ciljeva koje organizacija teži u ovom aspektu;

    područje primjene- treba precizirati gdje, kada, kako, na koga i na šta se primjenjuje ova sigurnosna politika;

    uloge i odgovornosti- dokument mora sadržavati podatke o službenim licima odgovornim za sprovođenje bezbjednosne politike;

    sankcije - politika treba da sadrži opšti opis zabranjenih radnji i kazni za njih;

    kontaktne tačke- mora se znati gdje se obratiti za pojašnjenje, pomoć i dodatne informacije. Obično je “točka kontakta” ​​službena osoba.

Niži nivo sigurnosne politike se primjenjuju na određene usluge. Ova politika uključuje dva aspekta: ciljeve i pravila za njihovo postizanje, pa ju je ponekad teško odvojiti od pitanja implementacije. Za razliku od gornja dva nivoa, dotična politika mora biti detaljnija.

Evo nekoliko primjera pitanja na koja treba odgovoriti kada slijedite sigurnosnu politiku niskog nivoa:

    ko ima pravo pristupa objektima koje servis podržava;

    Kako je organizovan daljinski pristup servisu?

Sigurnosna politika niskog nivoa može biti zasnovano na razmatranjima integriteta, dostupnosti i povjerljivosti, ali ne bi trebalo stati na tome. Općenito, ciljevi bi trebali povezati objekte usluga i smislene akcije s njima.

Iz ciljeva se izvode sigurnosna pravila koja opisuju ko šta može i pod kojim uslovima. Što su pravila detaljnija, što su jasnije i formalnije navedena, lakše je podržati njihovu implementaciju softverskim i hardverskim mjerama. Obično se prava pristupa objektima specificiraju najformalnije.

Dajemo detaljniji opis odgovornosti svake kategorije osoblja.

Šefovi odjela su odgovorni za saopštavanje odredbi sigurnosnih politika korisnicima. Oni su dužni:

    U svakom trenutku držite pod kontrolom sigurnosna pitanja. Osigurajte da njihovi podređeni rade isto;

    izvrši analizu rizika, identifikujući sredstva koja zahtevaju zaštitu i ranjivosti sistema, procenu iznosa moguće štete od narušavanja bezbednosti i odabir efektivnih sredstava zaštite;

    organizovati obuku osoblja o mjerama sigurnosti. Obratite posebnu pažnju na pitanja vezana za antivirusnu kontrolu;

    informisati administratore lokalne mreže i administratore servisa o promjenama statusa svakog podređenog (prelazak na drugo radno mjesto, otpuštanje i sl.);

    osigurati da svaki računar u njihovim odjelima ima vlasnika ili administratora sistema odgovornog za sigurnost i dovoljno kvalifikovanog za obavljanje ove uloge.

Administratori lokalne mreže osiguravaju kontinuiran rad mreže i odgovorni su za provođenje tehničkih mjera neophodnih za sprovođenje sigurnosne politike. Oni su dužni:

    osigurati zaštitu lokalne mrežne opreme, uključujući interfejse sa drugim mrežama;

    brzo i efikasno reagovati na preteće događaje. Obavještavati administratore servisa o pokušajima narušavanja sigurnosti;

    koristiti dokazana sredstva revizije i otkrivanja sumnjivih situacija. Dnevno analizirati informacije o registraciji koje se odnose na mrežu općenito i servere datoteka posebno;

    ne zloupotrebljavajte svoje velike moći. Korisnici imaju pravo na privatnost;

    razviti procedure i pripremiti upute za zaštitu lokalne mreže od zlonamjernog softvera. Pružanje pomoći u otkrivanju i eliminaciji zlonamjernog koda;

    redovno pravite rezervne kopije informacija pohranjenih na serverima datoteka;

    izvršite sve promjene u konfiguraciji mrežnog hardvera i softvera;

    garantuju obaveznu proceduru identifikacije i autentifikacije za pristup mrežnim resursima. Dati korisnicima imena za prijavu i početne lozinke samo nakon popunjavanja obrazaca za registraciju;

    povremeno provjeravati pouzdanost zaštite lokalne mreže. Spriječite neovlaštene korisnike da steknu privilegije.

Administratori servisa odgovorni su za određene usluge, a posebno za osiguranje da je zaštita izgrađena u skladu sa opštom sigurnosnom politikom. Oni su dužni:

    upravljati pravima pristupa korisnika servisiranim objektima;

    brzo i efikasno reagovati na preteće događaje. Pružanje pomoći u odbijanju prijetnji, identifikaciji prekršitelja i pružanju informacija za njihovo kažnjavanje;

    redovno rezervne kopije informacija koje servis obrađuje;

    dodijeliti korisnička imena i početne lozinke korisnicima tek nakon popunjavanja registracionih obrazaca;

    analizirajte informacije o registraciji u vezi sa uslugom na dnevnoj bazi. Redovno nadzirite uslugu na zlonamjerni softver;

    periodično proveravajte pouzdanost servisne zaštite. Spriječite neovlaštene korisnike da steknu privilegije.

Korisnici dužni su da rade sa lokalnom mrežom u skladu sa sigurnosnom politikom, poštuju naredbe osoba odgovornih za određene aspekte sigurnosti i obavještavaju menadžment o svim sumnjivim situacijama. Oni su dužni:

    poznaju i poštuju zakone, pravila usvojena u ovoj organizaciji, bezbednosne politike, bezbednosne procedure. Koristite dostupne sigurnosne mehanizme kako biste osigurali povjerljivost i integritet vaših informacija;

    koristiti mehanizam za zaštitu datoteka i pravilno postaviti prava pristupa;

    birajte visokokvalitetne lozinke i redovno ih mijenjajte. Ne zapisujte lozinke na papir niti ih otkrivajte drugima;

    informisati administratore ili menadžment o kršenju sigurnosti i drugim sumnjivim situacijama;

    ne iskorištavaju slabosti u zaštiti usluga i lokalne mreže u cjelini. Ne obavljajte neovlašteni rad sa podacima, ne ometajte druge korisnike;

    uvijek dajte ispravne informacije za identifikaciju i autentifikaciju i ne pokušavajte djelovati u ime drugih korisnika;

    osigurajte sigurnosnu kopiju informacija sa tvrdog diska vašeg računara;

    znati kako zlonamjerni softver funkcionira, kako prodire i širi se. Poznavati i slijediti procedure za sprječavanje prodora zlonamjernog koda, njegovo otkrivanje i uništavanje;

    poznaju i pridržavaju se pravila ponašanja u vanrednim situacijama, redoslijeda postupanja pri otklanjanju posljedica nesreća.

Mjere upravljanja za osiguranje sigurnosti informacija. Osnovni cilj mjera koje se preduzimaju na nivou menadžmenta je formulisanje programa rada u oblasti informacione bezbjednosti i obezbjeđivanje njegove implementacije izdvajanjem potrebnih resursa i redovnim praćenjem stanja. Osnova ovog programa je sigurnosna politika na više nivoa, koja odražava sveobuhvatan pristup organizacije zaštiti svojih resursa i informacijskih sredstava

Politika informacione sigurnosti je skup zakona, mjera, pravila, zahtjeva, ograničenja, uputstava, propisa, preporuka itd., koji regulišu postupak obrade informacija i imaju za cilj zaštitu informacija od određenih vrsta prijetnji.

Politika informacione sigurnosti je temeljni dokument kojim se osigurava cjelokupni ciklus sigurnosti informacija u kompaniji. Stoga, najviši menadžment kompanije treba da bude zainteresovan za znanje i striktno poštovanje njegovih glavnih tačaka od strane celog osoblja kompanije. Svi zaposleni u odjeljenjima odgovornim za režim informacione sigurnosti kompanije moraju biti upoznati sa politikom informacione sigurnosti uz potpis. Na kraju krajeva, oni će biti odgovorni za provjeru usklađenosti sa zahtjevima politike sigurnosti informacija i poznavanje njenih glavnih tačaka od strane osoblja kompanije u odnosu na njih. Proces za obavljanje takvih inspekcija, odgovornosti službenika koji sprovode takve inspekcije i raspored inspekcija takođe moraju biti razvijeni.

Politika sigurnosti informacija može se razviti kako za posebnu komponentu informacionog sistema, tako i za informacioni sistem u celini. Politika sigurnosti informacija mora uzeti u obzir sljedeće karakteristike informacionog sistema: tehnologiju obrade informacija, računarsko okruženje, fizičko okruženje, korisničko okruženje, pravila kontrole pristupa itd.

Politika informacione bezbednosti treba da obezbedi sveobuhvatnu upotrebu pravnih, moralnih i etičkih standarda, organizacionih i tehničkih mera, softvera, hardvera i softversko-hardverskih alata za bezbednost informacija, kao i da utvrdi pravila i postupak za njihovo korišćenje. Politika informacione bezbednosti treba da se zasniva na sledećim principima: kontinuitet zaštite, dovoljnost mera i sredstava zaštite, njihova usklađenost sa verovatnoćom pretnji, isplativost, fleksibilnost strukture, lakoća upravljanja i korišćenja itd.

Sigurnosna politika je skup preventivnih mjera za zaštitu povjerljivih podataka i informacionih procesa u preduzeću. Sigurnosna politika uključuje zahtjeve za osoblje, menadžere i tehničke službe. Glavni pravci razvoja bezbednosne politike:

  • utvrđivanje koje podatke i koliko ozbiljno treba zaštititi,
  • utvrđivanje ko i kakvu štetu može nanijeti kompaniji u informacionom aspektu,
  • proračun rizika i određivanje šeme za njihovo svođenje na prihvatljivu vrijednost.

Postoje dva sistema za procjenu postojećeg stanja u oblasti informacione sigurnosti u preduzeću. Dobili su figurativne nazive "istraživanje odozdo prema gore" i "istraživanje odozdo prema dolje". Prva metoda je prilično jednostavna, zahtijeva mnogo manje kapitalnih ulaganja, ali ima i manje mogućnosti. Zasnovan je na dobro poznatoj šemi: "Vi ste napadač. Kakvi su vaši postupci?" Odnosno, servis informacione sigurnosti, na osnovu podataka o svim poznatim vrstama napada, pokušava ih primijeniti u praksi kako bi provjerio da li je takav napad moguć od pravog napadača.

Metoda odozgo prema dolje je, naprotiv, detaljna analiza cjelokupne postojeće sheme za pohranjivanje i obradu informacija. Prvi korak u ovoj metodi je, kao i uvijek, odrediti koji informacijski objekti i tokovi trebaju biti zaštićeni. Slijedi proučavanje trenutnog stanja sistema informacione sigurnosti kako bi se utvrdilo koja je od klasičnih tehnika zaštite informacija već implementirana, u kojoj mjeri i na kom nivou. U trećoj fazi, svi informacioni objekti se klasifikuju u klase u skladu sa zahtevima njihove poverljivosti, dostupnosti i integriteta (nepromenljivosti).

Nakon toga slijedi otkrivanje koliko ozbiljne štete može nanijeti kompaniji otkrivanje ili drugi napad na svaki određeni informacioni objekt. Ova faza se zove „kalkulacija rizika“. U prvoj aproksimaciji, rizik je proizvod “moguće štete od napada” i “vjerovatnosti takvog napada”.

Politika sigurnosti informacija treba da sadrži klauzule koje sadrže informacije iz sljedećih odjeljaka:


  • koncept sigurnosti informacija;
  • identifikaciju komponenti i resursa informacionog sistema koji mogu postati izvori narušavanja sigurnosti informacija i stepena njihove kritičnosti;
  • poređenje prijetnji sa objektima zaštite;
  • procjena rizika;
  • procjena veličine mogućih gubitaka povezanih sa implementacijom prijetnji;
  • procjenu troškova izgradnje sistema informacione sigurnosti;
  • utvrđivanje zahtjeva za metode i sredstva osiguranja informacione sigurnosti;
  • izbor osnovnih rješenja za sigurnost informacija;
  • organiziranje restauratorskih radova i osiguranje kontinuiranog funkcionisanja informacionog sistema;
  • pravila kontrole pristupa.

Politika informacione bezbednosti preduzeća je veoma važna za obezbeđivanje sveobuhvatne bezbednosti preduzeća. Može se implementirati u hardver i softver koristeći DLP rješenja.

Publikacije na temu

29. april 2014. Mnoge kompanije kupuju mobilne uređaje o svom trošku za zaposlene koji često putuju na poslovna putovanja. U ovim uslovima IT servis ima hitnu potrebu da kontroliše uređaje koji imaju pristup korporativnim podacima, ali se nalaze van perimetra korporativne mreže.

Najbolji članci na ovu temu

Kopiranje fajlova i foldera
Kopiranje fajlova i foldera
Različiti načini pokretanja komandne linije kao administratora u Windowsu
Različiti načini pokretanja komandne linije kao administratora u Windowsu
RUNAS naredba - pokretanje aplikacije kao drugi Windows korisnik
RUNAS naredba - pokretanje aplikacije kao drugi Windows korisnik
Kategorije:
© 2023 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.