Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Zanimljivo
  • Uzorak politike sigurnosti informacija organizacije. Zahtjevi sigurnosne politike

Uzorak politike sigurnosti informacija organizacije. Zahtjevi sigurnosne politike

21.07.2019 Zanimljivo

Politika sigurnosti informacija (primjer)

Sažetak politike

Informacije uvijek moraju biti zaštićene, bez obzira na njihov oblik i način na koji se distribuiraju, prenose i pohranjuju.

Uvod

Informacije mogu postojati u mnogo različitih oblika. Može se odštampati ili napisati na papiru, pohraniti elektronski, prenijeti poštom ili elektronskim uređajima, prikazati na filmu ili prenijeti usmeno putem komunikacije.

Informaciona sigurnost je zaštita informacija od različitih prijetnji, osmišljena kako bi se osigurao kontinuitet poslovnih procesa, minimizirao poslovni rizik i maksimizirao povrat ulaganja i osigurale poslovne prilike.

Obim

Ova politika jača ukupnu sigurnosnu politiku organizacije.
Ova politika se odnosi na sve zaposlene u organizaciji.

Ciljevi informacione sigurnosti

1. Razumevanje i rukovanje strateškim i operativnim rizicima bezbednosti informacija tako da budu prihvatljivi za organizaciju.

2. Zaštitite povjerljivost informacija o kupcima, razvoja proizvoda i marketinških planova.

3. Održavanje integriteta računovodstvenih materijala.

4. Usklađenost zajedničkih web servisa i intraneta sa odgovarajućim standardima pristupačnosti.

Principi sigurnosti informacija

1. Organizacija promoviše preuzimanje rizika i prevazilazi rizike koje konzervativno vođene organizacije ne mogu da prevaziđu, pod uslovom da se rizici po informacije razumeju, prate i adresiraju na odgovarajući način. Detaljan opis pristupa koji se koriste za procjenu i tretiranje rizika može se naći u ISMS politici.

2. Svo osoblje mora biti svjesno i odgovorno za sigurnost informacija u vezi sa svojim poslovima.

3. Moraju se preduzeti radnje za finansiranje kontrola sigurnosti informacija i procesa upravljanja projektima.

4. Potencijal za prevaru i zloupotrebu u informacionim sistemima mora se uzeti u obzir u ukupnom upravljanju informacionim sistemima.

5. Izvještaji o statusu sigurnosti informacija trebaju biti dostupni.

6. Rizici sigurnosti informacija moraju se pratiti i preduzeti akcije kada promjene rezultiraju neočekivanim rizicima.

7. Kriterijumi za klasifikaciju rizika i prihvatljivost rizika mogu se naći u ISMS politici.

8. Ne treba tolerisati situacije koje bi mogle dovesti organizaciju do kršenja zakona i utvrđenih propisa.

Područja odgovornosti

1. Tim višeg menadžmenta odgovoran je za osiguravanje da se informacije obrađuju na odgovarajući način u cijeloj organizaciji.

2. Svaki viši menadžer je odgovoran da osigura da zaposleni koji rade pod njegovim ili njenim uputstvima štite informacije u skladu sa standardima organizacije.

3. Šef bezbednosti savetuje grupu viših menadžera, pruža stručnu pomoć zaposlenima u organizaciji i obezbeđuje dostupnost izveštaja o stanju informacione bezbednosti.

4. Svaki zaposleni u organizaciji odgovoran je za sigurnost informacija u okviru obavljanja svojih radnih obaveza.

Ključni rezultati

1. Sigurnosni incidenti ne smiju dovesti do značajnih neočekivanih troškova ili značajnih poremećaja u poslovnim uslugama i operacijama.

2. Gubici zbog prevare moraju biti poznati i unutar prihvatljivih granica.

3. Pitanja sigurnosti informacija ne bi trebala negativno utjecati na prihvaćanje proizvoda i usluga od strane korisnika.

Povezane politike

Sljedeće detaljne politike sadrže principe i preporuke o specifičnim aspektima sigurnosti informacija:

1. Politika sistema upravljanja sigurnošću informacija (ISMS);

2. Politika kontrole pristupa;

3. Politika čistog stola i ekrana;

4. Politika neovlaštenog softvera;

5. Politika u vezi sa prijemom softverskih datoteka sa ili preko eksternih mreža;

6. Politika mobilnog koda;

7. Politika rezervne kopije;

8. Politika razmjene informacija između organizacija;

9. Politika prihvatljivog korišćenja elektronskih komunikacija;

10. Politika čuvanja zapisa;

11. Politika korišćenja online usluga;

12. Politike vezane za mobilno računarstvo i komunikacije;

13. Politika rada na daljinu;

14. Politika upotrebe kriptografskih kontrola;

15. Politika usklađenosti;

16. Politika licenciranja softvera;

17. Politika uklanjanja softvera;

18. Zaštita podataka i politika privatnosti.

Sve ove politike jačaju:

· identifikovanje rizika obezbeđivanjem okvira kontrola koji se mogu koristiti za otkrivanje nedostataka u dizajnu i implementaciji sistema;

· tretman rizika pomažući u definisanju opcija tretmana za specifične ranjivosti i prijetnje.


Politika informacione sigurnosti kompanije

· 1. Opšte odredbe

o 1.1. Svrha i svrha ove Politike

o 1.2. Opseg ove Politike

o 2.1. Odgovornost za informacijsku imovinu

o 2.2. Kontrola pristupa informacionim sistemima

§ 2.2.1. Opće odredbe

§ 2.2.2. Pristup trećih lica sistemima Kompanije

§ 2.2.3. Daljinski pristup

§ 2.2.4. pristup Internetu

o 2.3. Zaštita opreme

§ 2.3.1. Hardver

§ 2.3.2. Softver

o 2.5. Izvještavanje o incidentima sigurnosti informacija, odgovor i izvještavanje

o 2.6. Prostor sa tehničkom informacijskom sigurnosnom opremom

o 2.7. Upravljanje mrežom

o 2.7.1. Zaštita podataka i sigurnost

o 2.8. Razvoj sistema i upravljanje promjenama

Opće odredbe

Informacije su vrijedan i vitalni resurs YOUR_KOPANIA (u daljem tekstu Kompanija). Ova politika sigurnosti informacija predviđa preduzimanje potrebnih mjera za zaštitu imovine od slučajne ili namjerne promjene, otkrivanja ili uništenja, kao i održavanje povjerljivosti, integriteta i dostupnosti informacija, te osiguravanje automatske obrade podataka u Kompaniji.

Svaki zaposleni u Kompaniji odgovoran je za očuvanje informacione sigurnosti, a primarni zadatak je osigurati sigurnost cjelokupne imovine Kompanije. To znači da informacije moraju biti zaštićene ništa manje pouzdano od bilo koje druge glavne imovine Kompanije. Osnovni ciljevi Društva ne mogu se ostvariti bez pravovremenog i potpunog pružanja zaposlenicima informacija koje su im potrebne za obavljanje radnih obaveza.

U ovoj Politici, izraz „zaposleni“ označava sve zaposlene u Kompaniji. Odredbe ove Politike primjenjuju se na lica koja rade za Kompaniju po građanskim ugovorima, uključujući i namještenike, ako je to predviđeno takvim ugovorom.

Bez obzira na veličinu organizacije i specifičnosti njenog informacionog sistema, rad na obezbeđivanju režima bezbednosti informacija obično se sastoji od sledećih faza (Slika 1):

– definisanje obima (granica) sistema upravljanja bezbednošću informacija i preciziranje ciljeva njegovog kreiranja;

- procjena rizika;

– izbor protivmjera koje osiguravaju režim IS;

- Upravljanje rizicima;

– revizija sistema upravljanja bezbednošću informacija;

– razvoj bezbednosne politike.

DIV_ADBLOCK315">

Faza 3. Strukturiranje protumjera za zaštitu informacija na sljedećim glavnim nivoima: administrativni, proceduralni, softverski i hardverski.

Faza 4. Uspostavljanje procedure za sertifikaciju i akreditaciju CIS-a za usklađenost sa standardima u oblasti informacione sigurnosti. Utvrđivanje učestalosti sastanaka o temama informacione bezbjednosti na nivou menadžmenta, uključujući periodično preispitivanje odredbi politike informacione bezbjednosti, kao i procedure za obuku svih kategorija korisnika informacionog sistema u oblasti informacione sigurnosti. Poznato je da je razvoj bezbednosne politike organizacije najmanje formalizovana faza. Međutim, odnedavno su upravo tu usmjereni napori mnogih stručnjaka za sigurnost informacija.

Faza 5. Određivanje obima (granica) sistema upravljanja sigurnošću informacija i određivanje ciljeva njegovog kreiranja. U ovoj fazi određuju se granice sistema za koje se mora osigurati režim informacione sigurnosti. Shodno tome, sistem upravljanja bezbednošću informacija izgrađen je upravo u ovim granicama. Sam opis granica sistema preporučuje se da se izvrši prema sljedećem planu:

– struktura organizacije. Prezentacija postojeće strukture i promjena koje se očekuju u vezi sa razvojem (modernizacijom) automatizovanog sistema;

– resurse informacionog sistema koje treba zaštititi. Preporučljivo je razmotriti resurse automatizovanog sistema sledećih klasa: elektronska oprema, podaci, sistemski i aplikativni softver. Svi resursi imaju vrijednost iz perspektive organizacije. Za njihovu evaluaciju potrebno je odabrati sistem kriterijuma i metodologiju za dobijanje rezultata prema ovim kriterijumima;

· razvoj principa za klasifikaciju informatičke imovine kompanije i procjenu njihove sigurnosti;

· procjena informacionih rizika i upravljanje njima;

· obučavanje zaposlenih u preduzeću o metodama informacione bezbednosti, provođenje brifinga i praćenje znanja i praktičnih veština sprovođenja bezbednosne politike od strane zaposlenih u kompaniji;

· savjetovanje menadžera kompanija o pitanjima upravljanja informacijskim rizikom;

· koordinacija privatnih politika i sigurnosnih propisa među odjelima kompanije;

· kontrolu kvaliteta rada preduzeća i usluga automatizacije sa pravom provjere i odobravanja internih izvještaja i dokumenata;

· interakcija sa kadrovskom službom kompanije radi provjere ličnih podataka zaposlenih prilikom zapošljavanja;

· organizovanje mjera za otklanjanje vanrednih situacija ili vanrednih situacija u oblasti informacione sigurnosti ukoliko do njih dođe;

Integritet informacije – postojanje informacije u neiskrivljenom obliku (nepromenjeno u odnosu na neko fiksno stanje). Tipično, subjekti su zainteresovani da obezbede širu osobinu – pouzdanost informacija, koja se sastoji od adekvatnosti (potpunosti i tačnosti) prikaza stanja predmetne oblasti i direktnog integriteta informacije, odnosno njenog neiskrivljavanja.

Postoji razlika između statičkog i dinamičkog integriteta. Da bi narušio statički integritet, napadač može: uneti netačne podatke; Za promjenu podataka. Ponekad se mijenjaju podaci o sadržaju, ponekad se mijenjaju informacije o usluzi. Prijetnje dinamičkom integritetu uključuju narušavanje atomičnosti transakcije, promjenu redoslijeda, krađu, dupliciranje podataka ili uvođenje dodatnih poruka (mrežni paketi, itd.). Ova aktivnost u mrežnom okruženju naziva se aktivno slušanje.

Prijetnja integritetu nije samo krivotvorenje ili modifikacija podataka, već i odbijanje izvršenih radnji. Ako ne postoji način da se osigura "neporicanje", kompjuterski podaci se ne mogu smatrati dokazom. Ne samo podaci, već i programi su potencijalno ranjivi na kršenje integriteta. Ubacivanje zlonamjernog softvera je primjer takvog kršenja.

Hitna i vrlo opasna prijetnja je uvođenje rootkita (skup datoteka instaliranih na sistem s ciljem da se na zlonamjeran i tajan način promijeni njegova standardna funkcionalnost), botova (programa koji automatski obavlja određenu misiju; grupe računari na kojima rade slični botovi se nazivaju botnet), tajni napadi (zlonamjerni softver koji sluša komande na određenim TCP ili UDP portovima) i špijunski softver (zlonamjerni softver koji ima za cilj kompromitaciju povjerljivih korisničkih podataka. Na primjer, Back Orifice i Netbus trojanci vam omogućavaju da dobijete kontrola nad korisničkim sistemima sa raznim MS varijantama -Windows.

Prijetnja povjerljivosti

Prijetnja kršenjem povjerljivosti je da informacija postane poznata nekome ko nema ovlaštenje da im pristupi. Ponekad se, zbog prijetnje kršenjem povjerljivosti, koristi izraz "curenje".

Povjerljivost informacija je subjektivno određena (pripisana) karakteristika (svojstvo) informacije, koja ukazuje na potrebu uvođenja ograničenja kruga subjekata koji imaju pristup ovim informacijama, a obezbjeđena je sposobnošću sistema (okruženja) da ove informacije čuva. tajna od subjekata koji nemaju ovlasti da joj pristupe . Objektivni preduslovi za ovakvo ograničenje dostupnosti informacija za neke subjekte leže u potrebi zaštite njihovih legitimnih interesa od drugih subjekata informacionih odnosa.

Povjerljive informacije mogu se podijeliti na predmetne i servisne informacije. Servisne informacije (na primjer, korisničke lozinke) ne odnose se na određenu predmetnu oblast, one imaju tehničku ulogu u informacionom sistemu, ali je njihovo otkrivanje posebno opasno, jer je prepuno neovlašćenog pristupa svim informacijama, uključujući i informacije o predmetu. Opasna netehnička prijetnja povjerljivosti su metode moralnog i psihološkog utjecaja, kao što je „maskarada“ – izvođenje radnji pod maskom osobe koja ima ovlaštenje za pristup podacima. Neprijatne prijetnje od kojih se teško braniti uključuju zloupotrebu ovlasti. Na mnogim tipovima sistema, privilegovani korisnik (na primjer, sistemski administrator) može pročitati bilo koju (nešifrovanu) datoteku i dobiti pristup e-pošti bilo kojeg korisnika.

Trenutno su najčešći takozvani “phishing” napadi. Phishing (fishing – fishing) je vrsta internetske prevare, čija je svrha pristup povjerljivim korisničkim podacima – loginovima i lozinkama. To se postiže masovnim slanjem e-mailova u ime popularnih brendova, kao i ličnih poruka u okviru različitih servisa, na primjer, u ime banaka, servisa (Rambler, Mail.ru) ili unutar društvenih mreža (Facebook, Vkontakte, Odnoklassniki.ru ). Meta phishera danas su klijenti banaka i elektronskih sistema plaćanja. Na primjer, u Sjedinjenim Državama, maskirajući se kao Internal Revenue Service, phisheri su prikupili značajne podatke o poreznim obveznicima 2009. godine.

Za preduzeće, njegove informacije su važan resurs. Politika informacione sigurnosti utvrđuje potrebne mjere za zaštitu informacija od slučajnog ili namjernog pribavljanja, uništenja itd. Svaki zaposleni u preduzeću odgovoran je za poštovanje bezbednosne politike. Ciljevi bezbednosne politike su:

  • Sprovođenje kontinuiranog pristupa resursima kompanije za normalno obavljanje svojih dužnosti od strane zaposlenih
  • Pružanje kritičnih informacionih resursa
  • Zaštita integriteta podataka
  • Određivanje stepena odgovornosti i funkcija zaposlenih za sprovođenje informacione bezbednosti u preduzeću
  • Radite na upoznavanju korisnika s rizicima povezanim s informacijama. resursi preduzeća

Zaposlene treba periodično provjeravati kako bi se osigurala usklađenost sa politikom sigurnosti informacija. Pravila politike primjenjuju se na sve resurse i informacije poduzeća. Kompanija posjeduje prava na vlasništvo nad računarskim resursima, poslovnim informacijama, licenciranim i kreiranim softverom, sadržajem pošte i raznim vrstama dokumenata.

Za svu informacijsku imovinu preduzeća moraju postojati odgovarajući ljudi koji su odgovorni za korišćenje određene imovine.

Kontrola pristupa informacionim sistemima

Sve dužnosti se moraju obavljati samo na računarima odobrenim za upotrebu u preduzeću. Upotreba vaših prijenosnih uređaja i uređaja za pohranu je moguća samo uz odobrenje. Sve povjerljive informacije moraju biti pohranjene u šifriranom obliku na tvrdim diskovima opremljenim softverom za šifriranje tvrdog diska. Prava zaposlenih na informacioni sistem treba periodično revidirati. Za implementaciju ovlaštenog pristupa informacijskom resursu, prijava na sistem mora biti implementirana korištenjem jedinstvenog korisničkog imena i lozinke. Lozinke moraju zadovoljiti . Takođe, tokom pauze, ili kada je zaposleni odsutan sa svog radnog mesta, treba aktivirati funkciju čuvara ekrana da blokira radnu mašinu.

Pristup trećih lica informacionom sistemu preduzeća

Svaki zaposleni mora obavijestiti službu za sigurnost informacija da trećim licima omogućava pristup resursima informacione mreže.

Daljinski pristup

Zaposleni koji koriste lične prenosive uređaje mogu zatražiti daljinski pristup informacionoj mreži preduzeća. Zaposlenicima koji rade van lokacije i imaju daljinski pristup zabranjeno je kopiranje podataka sa korporativne mreže. Takođe, takvi zaposleni ne mogu imati više od jedne veze na različite mreže koje ne pripadaju preduzeću. Računari sa udaljenim pristupom moraju sadržavati .

pristup Internetu

Takav pristup treba dozvoliti samo u poslovne svrhe, a ne za ličnu upotrebu. Slijede preporuke:

  • Zabranjeno je posjećivanje web resursa koji se smatra uvredljivim za društvo ili sadrži seksualni sadržaj, propagandu itd.
  • Zaposleni ne bi trebali koristiti internet za pohranjivanje podataka kompanije
  • Zaposlenicima koji imaju račune koje obezbjeđuju javni provajderi zabranjeno je korištenje opreme preduzeća
  • Sve datoteke sa Interneta moraju biti skenirane na viruse
  • Pristup internetu je zabranjen za sve koji nisu zaposleni

Zaštita opreme

Radnici bi također trebali voditi računa o implementaciji fizičke sigurnosti za opremu na kojoj se pohranjuju ili obrađuju podaci preduzeća. Zabranjeno je ručno konfigurirati hardver i softver, za to su na raspolaganju stručnjaci službe za sigurnost informacija.

Hardver

Korisnici koji rade s povjerljivim informacijama moraju imati posebnu prostoriju kako bi se fizički ograničio pristup njima i njihovom radnom mjestu.

Svaki zaposleni, koji je dobio opremu od preduzeća na privremeno korišćenje (službeno putovanje), mora da se brine o njoj i ne ostavlja je bez nadzora. U slučaju gubitka ili drugih hitnih situacija, podaci na računaru moraju biti unaprijed šifrirani.

Formatiranje podataka prije snimanja ili uništavanja medija nije 100% garancija čistoće uređaja. Takođe, portovi podataka na desktop računarima treba da budu blokirani, osim ako zaposleni nema dozvolu za kopiranje podataka.

Softver

Sav softver instaliran na računarima preduzeća je vlasništvo preduzeća i mora se koristiti za službene zadatke. Zabranjeno je zaposlenima da lično instaliraju drugi softver bez saglasnosti sa službom za sigurnost informacija. Svi desktop računari moraju imati minimalni set softvera:

  • Antivirusni softver
  • Softver za šifriranje tvrdog diska
  • Softver za šifriranje e-pošte

Zaposleni u kompaniji ne smiju:

  • blokirajte ili instalirajte drugi antivirusni softver
  • promijenite sigurnosne postavke

Vlada može koristiti elektronske poruke (čak i izbrisane). vlasti ili poslovni konkurenti na sudu kao dokaz. Stoga sadržaj poruka mora biti striktno usklađen sa korporativnim standardima u oblasti poslovne etike.

Zaposleni ne mogu prenijeti povjerljive informacije o kompaniji putem pošte bez šifriranja. Zaposlenicima također nije dozvoljeno korištenje javnih poštanskih sandučića. Za protok dokumenata treba koristiti samo poštanske sandučiće preduzeća. Sljedeće su nerješive radnje prilikom implementacije e-pošte:

  • grupno slanje pošte svim poslovnim korisnicima
  • slanje ličnih poruka koristeći resurse e-pošte kompanije
  • pretplata na biltene poštanskog sandučeta kompanije
  • slanje materijala koji se ne odnosi na posao

Izvještavanje o incidentima, odgovor i izvještavanje

Svi zaposleni moraju prijaviti svaku sumnju na sigurnosne propuste. Takođe, slabosti u sistemu obezbeđenja koje su poznate zaposlenima ne smeju se otkrivati. Ako postoji sumnja na viruse ili druge destruktivne radnje na računaru, zaposlenik mora:

  • informisati osoblje za sigurnost informacija
  • ne uključujte zaraženi računar i nemojte ga koristiti
  • Nemojte povezivati ​​računar na informatičku mrežu preduzeća

Prostorije sa tehničkim metodama zaštite

Svi povjerljivi sastanci/sastanci moraju se održavati samo u za to određenim prostorijama. Učesnicima je zabranjeno unošenje uređaja za snimanje (audio/video) i mobilnih telefona u prostorije bez saglasnosti službe informacione sigurnosti. Audio/video snimanje može vršiti zaposleni uz dozvolu službe informacione sigurnosti.

TSF softver izvan kernela sastoji se od pouzdanih aplikacija koje se koriste za implementaciju sigurnosnih funkcija. Imajte na umu da dijeljene biblioteke, uključujući PAM module u nekim slučajevima, koriste pouzdane aplikacije. Međutim, ne postoji instanca u kojoj se sama dijeljena biblioteka tretira kao pouzdani objekt. Pouzdane komande se mogu grupirati na sljedeći način.

  • Inicijalizacija sistema
  • Identifikacija i autentifikacija
  • Mrežne aplikacije
  • Batch Processing
  • Upravljanje sistemom
  • Revizija na korisničkom nivou
  • Kriptografska podrška
  • Podrška za virtuelne mašine

Izvršne komponente kernela mogu se podijeliti na tri sastavna dijela: glavno jezgro, niti kernela i moduli kernela, ovisno o tome kako će se izvršavati.

  • Jezgro uključuje kod koji se pokreće za pružanje usluge, kao što je servisiranje korisničkog sistemskog poziva ili servisiranje događaja izuzetka ili prekida. Većina kompajliranih kernel koda spada u ovu kategoriju.
  • Niti kernela. Za obavljanje određenih rutinskih zadataka, kao što je brisanje predmemorije diska ili oslobađanje memorije zamjenom neiskorištenih blokova stranica, kernel kreira interne procese ili niti. Niti su zakazane kao i normalni procesi, ali nemaju kontekst u neprivilegovanom načinu rada. Niti kernela obavljaju specifične funkcije jezika C kernela. Niti kernela se nalaze u prostoru kernela i rade samo u privilegovanom režimu.
  • Modul kernela i modul kernela drajvera uređaja su dijelovi koda koji se po potrebi mogu učitavati i učitavati u i iz kernela. Oni proširuju funkcionalnost kernela bez potrebe za ponovnim pokretanjem sistema. Jednom učitani, objektni kod modula kernela može pristupiti drugom kodu i podacima kernela na isti način kao statički povezani objektni kod kernela.
Upravljački program uređaja je posebna vrsta modula kernela koji omogućava kernelu da pristupi hardveru povezanom sa sistemom. Ovi uređaji mogu biti tvrdi diskovi, monitori ili mrežni interfejsi. Drajver komunicira sa ostatkom kernela preko definisanog interfejsa koji omogućava kernelu da se bavi svim uređajima na univerzalan način, bez obzira na njihove osnovne implementacije.

Kernel se sastoji od logičkih podsistema koji pružaju različite funkcionalnosti. Iako je kernel jedini izvršni program, različite usluge koje pruža mogu se odvojiti i kombinovati u različite logičke komponente. Ove komponente međusobno djeluju kako bi pružile specifične funkcije. Jezgro se sastoji od sljedećih logičkih podsistema:

  • Podsistem datoteka i I/O podsistem: Ovaj podsistem implementira funkcije koje se odnose na objekte sistema datoteka. Implementirane funkcije uključuju one koje omogućavaju procesu kreiranje, održavanje, interakciju sa i brisanje objekata sistema datoteka. Ovi objekti uključuju obične datoteke, direktorije, simboličke veze, tvrde veze, datoteke specifične za određene tipove uređaja, imenovane cijevi i utičnice.
  • Procesni podsistem: Ovaj podsistem implementira funkcije vezane za upravljanje procesima i upravljanje nitima. Implementirane funkcije vam omogućavaju da kreirate, planirate, izvršavate i brišete procese i teme niti.
  • Memorijski podsistem: Ovaj podsistem implementira funkcije koje se odnose na upravljanje resursima sistemske memorije. Implementirane funkcije uključuju one koje kreiraju i upravljaju virtualnom memorijom, uključujući upravljanje algoritmima stranica i tabelama stranica.
  • Mrežni podsistem: Ovaj podsistem implementira UNIX i internet domenske utičnice i algoritme koji se koriste za planiranje mrežnih paketa.
  • IPC podsistem: Ovaj podsistem implementira funkcije vezane za IPC mehanizme. Implementirane karakteristike uključuju one koje olakšavaju kontroliranu razmjenu informacija između procesa, omogućavajući im da dijele podatke i sinhronizuju njihovo izvršenje prilikom interakcije sa zajedničkim resursom.
  • Podsistem modula kernela: Ovaj podsistem implementira infrastrukturu za podršku modulima koji se mogu učitati. Implementirane funkcije uključuju učitavanje, inicijalizaciju i istovar modula kernela.
  • Sigurnosna proširenja za Linux: Linux sigurnosne ekstenzije implementiraju različite sigurnosne aspekte koji se pružaju kroz kernel, uključujući Linux sigurnosni modul (LSM) okvir. LSM okvir služi kao osnova za module koji omogućavaju implementaciju različitih sigurnosnih politika, uključujući SELinux. SELinux je važan logički podsistem. Ovaj podsistem implementira obavezne funkcije kontrole pristupa za postizanje pristupa između svih subjekata i objekata.
  • Podsistem drajvera uređaja: Ovaj podsistem pruža podršku za različite hardverske i softverske uređaje putem zajedničkog interfejsa nezavisnog od uređaja.
  • Podsistem revizije: Ovaj podsistem implementira funkcije vezane za snimanje sigurnosno kritičnih događaja u sistemu. Implementirane funkcije uključuju one koje hvataju svaki sistemski poziv za snimanje sigurnosno kritičnih događaja i one koje implementiraju prikupljanje i snimanje podataka revizije.
  • KVM podsistem: Ovaj podsistem implementira održavanje životnog ciklusa virtuelne mašine. Izvodi dovršavanje instrukcija, koje se koristi za instrukcije koje zahtijevaju samo male provjere. Za bilo koje drugo dovršavanje instrukcija, KVM poziva komponentu QEMU korisničkog prostora.
  • Crypto API: Ovaj podsistem obezbjeđuje internu kriptografsku biblioteku kernela za sve komponente kernela. On pruža kriptografske primitive za pozivaoce.

Kernel je glavni dio operativnog sistema. Komunicira direktno s hardverom, implementira dijeljenje resursa, pruža zajedničke usluge aplikacijama i sprječava aplikacije da direktno pristupe funkcijama koje ovise o hardveru. Usluge koje nudi kernel uključuju:

1. Upravljanje izvršavanjem procesa, uključujući operacije njihovog kreiranja, prekida ili suspenzije, i međuprocesnu razmjenu podataka. To uključuje:

  • Ekvivalentno planiranje procesa za izvršenje na CPU-u.
  • Podjela procesa na CPU-u korištenjem režima dijeljenja vremena.
  • Izvršavanje procesa na CPU-u.
  • Suspendiranje kernela nakon isteka dodijeljenog vremenskog kvanta.
  • Dodjela vremena kernela drugom procesu.
  • Promjenjivanje vremena kernela za izvršenje suspendovanog procesa.
  • Upravljajte metapodacima vezanim za sigurnost procesa kao što su UID-ovi, GID-ovi, SELinux oznake, identifikatori funkcija.
2. Dodjela RAM-a za proces izvršavanja. Ova operacija uključuje:
  • Dozvola koju kernel daje procesima da dijele dio svog adresnog prostora pod određenim uslovima; međutim, kernel štiti vlastiti adresni prostor procesa od vanjskih smetnji.
  • Ako sistemu nedostaje slobodne memorije, kernel oslobađa memoriju tako što proces privremeno upisuje u memoriju drugog nivoa ili zamjenjuje.
  • Koordinirana interakcija sa hardverom mašine za uspostavljanje mapiranja virtuelne adrese u fizičku adresu koja uspostavlja mapiranje između adresa generisanih kompajlerom i fizičkih adresa.
3. Održavanje životnog ciklusa virtuelne mašine, koje uključuje:
  • Postavlja ograničenja na resurse koje je konfigurirala aplikacija za emulaciju za datu virtualnu mašinu.
  • Pokretanje programskog koda virtuelne mašine za izvršenje.
  • Upravljajte gašenjem virtuelnih mašina ili dovršavanjem instrukcije ili odlaganjem završetka instrukcije da biste emulirali korisnički prostor.
4. Održavanje sistema datoteka. To uključuje:
  • Alokacija sekundarne memorije za efikasno skladištenje i pronalaženje korisničkih podataka.
  • Dodjela eksterne memorije za korisničke datoteke.
  • Reciklirajte neiskorišteni prostor za pohranu podataka.
  • Organiziranje strukture sistema datoteka (koristeći jasne principe strukturiranja).
  • Zaštita korisničkih datoteka od neovlaštenog pristupa.
  • Organiziranje kontroliranog pristupa procesa perifernim uređajima kao što su terminali, trake, disk jedinice i mrežni uređaji.
  • Organizovanje međusobnog pristupa podacima za subjekte i objekte, obezbeđivanje kontrolisanog pristupa na osnovu DAC politike i bilo koje druge politike koju implementira učitani LSM.
Linux kernel je tip OS kernela koji implementira raspoređivanje s prečimom zadataka. U kernelima koji nemaju ovu mogućnost, izvršavanje koda kernela se nastavlja do završetka, tj. planer nije u stanju da reprogramira zadatak dok je u kernelu. Osim toga, kod kernela je planirano da se izvršava kooperativno, bez preventivnog zakazivanja, a izvršavanje tog koda se nastavlja sve dok se ne završi i vrati u korisnički prostor, ili dok se eksplicitno ne blokira. U preventivnim kernelima, moguće je preduhitriti zadatak u bilo kojem trenutku sve dok je kernel u stanju u kojem ga je sigurno ponovno rasporediti.

U ovoj temi pokušaću da sastavim priručnik za izradu regulatorne dokumentacije u oblasti informacione bezbednosti za komercijalnu strukturu, na osnovu ličnog iskustva i materijala sa mreže.

Ovdje možete pronaći odgovore na pitanja:

  • zašto je potrebna politika sigurnosti informacija;
  • kako ga komponovati;
  • kako ga koristiti.

Potreba za politikom sigurnosti informacija
Ovaj odjeljak opisuje potrebu implementacije politike informacione sigurnosti i pratećih dokumenata ne na lijepom jeziku udžbenika i standarda, već na primjerima iz ličnog iskustva.
Razumijevanje ciljeva i zadataka odjela za sigurnost informacija
Prije svega, politika je neophodna kako bi se na poslovanje prenijeli ciljevi i zadaci informacione sigurnosti kompanije. Kompanije moraju shvatiti da sigurnost nije samo alat za istraživanje curenja podataka, već i pomoćnik u minimiziranju rizika kompanije, a samim tim i u povećanju profitabilnosti kompanije.
Zahtjevi politike su osnova za provođenje zaštitnih mjera
Politika informacione sigurnosti je neophodna da bi se opravdalo uvođenje zaštitnih mjera u kompaniju. Politiku mora odobriti najviši upravni organ kompanije (izvršni direktor, upravni odbor itd.)

Svaka zaštitna mjera je kompromis između smanjenja rizika i korisničkog iskustva. Kada stručnjak za sigurnost kaže da proces ne bi trebao na neki način da se dogodi zbog pojave određenih rizika, uvijek mu se postavlja razumno pitanje: „Kako bi se to dogodilo?“ Profesionalac za sigurnost treba da predloži model procesa u kojem se ovi rizici ublažavaju u određenoj mjeri zadovoljavajući za poslovanje.

Štaviše, svaka primjena bilo kakvih zaštitnih mjera u vezi sa interakcijom korisnika sa informacionim sistemom kompanije uvijek izaziva negativnu reakciju korisnika. Ne žele ponovo učiti, čitati uputstva koja su za njih osmišljena itd. Vrlo često korisnici postavljaju razumna pitanja:

  • zašto da radim po vašoj izmišljenoj shemi, a ne na jednostavan način koji sam oduvijek koristio
  • ko je smislio sve ovo
Praksa je pokazala da korisnika nije briga za rizike, možete mu dugo i zamorno objašnjavati hakere, krivični zakon itd., od toga neće biti ništa osim trošenja nervnih ćelija.
Ako vaša kompanija ima politiku sigurnosti informacija, možete dati koncizan i sažet odgovor:
ova mjera uvedena je u skladu sa zahtjevima politike informacione sigurnosti kompanije, koju je odobrio najviši organ uprave kompanije

Po pravilu, nakon toga energija većine korisnika nestaje. Oni koji ostanu mogu se zamoliti da napišu dopis ovom najvišem organu uprave kompanije. Ovdje se ostali eliminiraju. Jer čak i ako bilješka ode tamo, uvijek možemo dokazati potrebu za poduzetim mjerama menadžmentu. Nije uzalud što jedemo svoj hleb, zar ne? Dvije su stvari koje treba imati na umu prilikom izrade politika.
  • Ciljna publika politike informacione sigurnosti su krajnji korisnici i najviši menadžment kompanije, koji ne razumije složene tehničke izraze, ali moraju biti upoznati sa odredbama politike.
  • Nema potrebe da pokušavate da ugurate neuklopivo, uključite sve što možete u ovaj dokument! Treba postojati samo ciljevi informacione sigurnosti, metode za njihovo postizanje i odgovornost! Bez tehničkih detalja osim ako ne zahtijevaju specifično znanje. Ovo je sve materijal za uputstva i propise.


Konačni dokument mora ispunjavati sljedeće uslove:
  • kratkoća - veliki volumen dokumenta će uplašiti svakog korisnika, niko nikada neće pročitati vaš dokument (i više puta ćete koristiti frazu: "ovo je kršenje politike sigurnosti informacija s kojom ste upoznati")
  • pristupačnost običnom čovjeku – krajnji korisnik mora razumjeti ŠTA piše u politici (nikada neće pročitati ili zapamtiti riječi i izraze „logiranje“, „model uljeza“, „incident informacione sigurnosti“, „informaciona infrastruktura“, „tehnogeno “, “antropogeni” “, “faktor rizika” itd.)
Kako to postići?

U stvari, sve je vrlo jednostavno: politika informacione sigurnosti treba da bude prvostepeni dokument, treba je proširiti i dopuniti drugim dokumentima (propisima i uputstvima), koji će već opisati nešto specifično.
Može se povući analogija sa državom: prvostepeni dokument je ustav, a doktrine, koncepti, zakoni i drugi propisi koji postoje u državi samo dopunjuju i regulišu sprovođenje njenih odredbi. Približan dijagram je prikazan na slici.

Da ne bismo razmazali kašu po tanjiru, pogledajmo samo primjere politike informacione sigurnosti koji se mogu naći na internetu.

Korisni broj stranica* Opterećen terminima Ukupna ocjena
OJSC Gazprombank 11 Veoma visoko
AD Fond za razvoj preduzetništva „Damu” 14 Visoko Složen dokument za promišljeno čitanje, prosječan čovjek ga neće pročitati, a ako ga pročita, neće ga razumjeti i neće ga zapamtiti
AD NC "KazMunayGas" 3 Nisko Lako razumljiv dokument, nije preopterećen tehničkim terminima
AD "Radiotehnički institut po imenu akademika A. L. Mintsa" 42 Veoma visoko Složen dokument za pažljivo čitanje, prosječan čovjek ga neće pročitati - ima previše stranica

* Korisnim nazivam broj stranica bez sadržaja, naslovne stranice i drugih stranica koje ne nose određene informacije

Sažetak

Politika informacione bezbednosti treba da stane na nekoliko stranica, da bude laka za razumevanje prosečnom čoveku i da uopšteno opisuje ciljeve informacione bezbednosti, metode za njihovo postizanje i odgovornosti zaposlenih.
Implementacija i korištenje politike sigurnosti informacija
Nakon odobrenja politike sigurnosti informacija, morate:
  • upoznati sve postojeće zaposlene sa politikom;
  • upoznati sve novozaposlene sa politikom (kako je to najbolje uraditi je tema za posebnu raspravu; imamo uvodni kurs za novopridošlice na kojem dajem objašnjenja);
  • analizirati postojeće poslovne procese kako bi se identifikovali i minimizirali rizici;
  • učestvovati u kreiranju novih poslovnih procesa, kako kasnije ne bi trčali za vozom;
  • izradi pravilnik, procedure, uputstva i druga dokumenta koja dopunjuju politiku (uputstva za obezbeđivanje pristupa Internetu, uputstva za omogućavanje pristupa zabranjenim područjima, uputstva za rad sa informacionim sistemima kompanije i dr.);
  • pregledati politiku sigurnosti informacija i druge dokumente o sigurnosti informacija najmanje jednom kvartalno kako bi ih ažurirali.

Za pitanja i sugestije, dobrodošli u komentare i PM.

Pitanje %username%

Što se tiče politike, šefovima se ne sviđa ono što ja želim jednostavnim riječima. Kažu mi: „Pored mene i tebe i još 10 IT službenika koji i sami sve znaju i razumiju, imamo 200 onih koji ništa ne razumiju u ovo, polovina su penzioneri.“
Išao sam putem prosječne kratkoće opisa, na primjer pravila antivirusne zaštite, a ispod pišem nešto kao da postoji politika zaštite od virusa itd. Ali ne razumijem da li korisnik potpisuje polisu, ali opet treba da pročita gomilu drugih dokumenata, izgleda da je skratio polisu, ali izgleda da nije.

Ovdje bih krenuo putem analize procesa.
Recimo antivirusna zaštita. Logično, trebalo bi da bude tako.

Koje rizike virusi predstavljaju za nas? Povreda integriteta (oštećenja) informacija, povreda dostupnosti (zastoji servera ili računara) informacija. Ako je mreža pravilno organizovana, korisnik ne bi trebalo da ima prava lokalnog administratora u sistemu, odnosno ne bi trebalo da ima prava da instalira softver (a samim tim i viruse) u sistem. Tako penzioneri otpadaju, jer ovdje ne posluju.

Ko može smanjiti rizike povezane s virusima? Korisnici sa pravima administratora domene. Administrator domene je osjetljiva uloga koju imaju zaposleni u IT odjelima itd. Shodno tome, trebali bi instalirati antivirusne programe. Ispostavilo se da su oni odgovorni i za aktivnosti antivirusnog sistema. Shodno tome, moraju potpisati uputstva o organizovanju antivirusne zaštite. Zapravo, ova odgovornost mora biti zapisana u uputstvu. Na primjer, zaštitar vlada, administratori izvršavaju.

Pitanje %username%

Onda se postavlja pitanje šta ne bi trebalo da bude uključeno u uputstva Anti-Virus ZI odgovornosti za kreiranje i korišćenje virusa (ili postoji članak i ne može se pomenuti)? Ili da su obavezni da prijave virus ili čudno ponašanje računara Službi za pomoć ili IT ljudima?

Opet bih gledao iz perspektive upravljanja rizikom. Ovo miriše, da tako kažem, na GOST 18044-2007.
U vašem slučaju, “čudno ponašanje” nije nužno virus. Ovo može biti sistemska kočnica ili kočnica, itd. Prema tome, ovo nije incident, već događaj informacione sigurnosti. Opet, prema GOST-u, svaka osoba može prijaviti događaj, ali je moguće shvatiti je li to incident ili ne tek nakon analize.

Dakle, ovo vaše pitanje više se ne prevodi u politiku informacione sigurnosti, već u upravljanje incidentima. Vaša politika bi to trebala navesti kompanija mora imati sistem upravljanja incidentima.

Odnosno, kao što možete vidjeti, administrativno izvršenje politike počiva uglavnom na administratorima i službenicima sigurnosti. Korisnicima ostaju prilagođene stvari.

Dakle, potrebno je da sačinite neku „Proceduru korišćenja SVT-a u kompaniji“, gde morate da navedete odgovornosti korisnika. Ovaj dokument treba da bude u korelaciji sa politikom bezbednosti informacija i da bude, da tako kažem, objašnjenje za korisnika.

Ovaj dokument može ukazivati ​​na to da je korisnik dužan da obavijesti odgovarajuće tijelo o nenormalnoj aktivnosti računara. Pa, možete dodati sve ostalo prilagođeno tamo.

Ukupno morate upoznati korisnika sa dva dokumenta:

  • politika informacione sigurnosti (da razumije šta se radi i zašto, ne ljulja čamac, ne psuje prilikom uvođenja novih sistema kontrole itd.)
  • ovaj “Procedura korišćenja SVT-a u kompaniji” (kako bi razumeo šta tačno treba da radi u konkretnim situacijama)

Shodno tome, prilikom implementacije novog sistema, jednostavno dodate nešto u „Proceduru“ i o tome obavijestite zaposlene slanjem procedure e-poštom (ili putem EDMS-a, ako postoji).

Tagovi:

  • Sigurnost informacija
  • Upravljanje rizicima
  • Sigurnosna politika
Dodaj oznake

Najbolji članci na ovu temu

Kalkulator snage napajanja
Kalkulator snage napajanja
CrossFire tehnologija u AMD video karticama
CrossFire tehnologija u AMD video karticama
Kako spojiti računar na TV?
Kako spojiti računar na TV?
Kategorije:
© 2023 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.