Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ
  • në shtëpi
  • Hekuri
  • Përcaktimi i politikës së sigurisë së informacionit të ndërmarrjes. Ligjërata

Përcaktimi i politikës së sigurisë së informacionit të ndërmarrjes. Ligjërata

19.06.2019 Hekuri

Softueri TSF jashtë bërthamës përbëhet nga aplikacione të besuara që përdoren për të zbatuar funksionet e sigurisë. Vini re se bibliotekat e përbashkëta, duke përfshirë modulet PAM, përdoren në disa raste nga aplikacione të besuara. Megjithatë, nuk ka asnjë rast kur vetë biblioteka e përbashkët konsiderohet një objekt i besuar. Komandat e besuara mund të grupohen si më poshtë.

  • Inicializimi i sistemit
  • Identifikimi dhe Autentifikimi
  • Aplikacionet e rrjetit
  • Përpunimi në grup
  • Menaxhimi i sistemit
  • Auditimi i nivelit të përdoruesit
  • Mbështetje kriptografike
  • Mbështetje e makinës virtuale

Komponentët e ekzekutimit të kernelit mund të ndahen në tre pjesë përbërëse: kerneli kryesor, thread-et e kernelit dhe modulet e kernelit, në varësi të mënyrës se si do të ekzekutohen.

  • Bërthama kryesore përfshin kodin që ekzekutohet për të ofruar një shërbim, siç është shërbimi i një syscall të përdoruesit ose shërbimi i një ngjarjeje ose ndërprerjeje përjashtimi. Shumica e kodeve të kernelit të përpiluar bien në këtë kategori.
  • Fijet e bërthamës. Kerneli krijon procese të brendshme ose thread për të kryer disa detyra të zakonshme, të tilla si pastrimi i cache-ve të diskut ose lirimi i memories duke shkarkuar blloqet e faqeve të papërdorura. Temat janë planifikuar ashtu si proceset normale, por ato nuk kanë kontekst në modalitetin jo të privilegjuar. Fijet e kernelit kryejnë funksione specifike të gjuhës së kernelit C. Fijet e kernelit janë të vendosura në hapësirën e kernelit dhe funksionojnë vetëm në modalitetin e privilegjuar.
  • Moduli i kernelit dhe drejtuesi i pajisjes Moduli i kernelit janë pjesë kodi që mund të ngarkohen dhe shkarkohen brenda dhe nga kernel sipas nevojës. Ata zgjerojnë funksionalitetin e kernelit pa pasur nevojë të rindizni sistemin. Pasi të ngarkohet, kodi i objektit të modulit kernel mund të aksesojë kodin dhe të dhënat e tjera të kernelit në të njëjtën mënyrë si kodi i objektit të kernelit të lidhur statikisht.
Drejtuesi i pajisjes është një lloj i veçantë i modulit të kernelit që i lejon kernelit të aksesojë harduerin e lidhur me sistemin. Këto pajisje mund të jenë disqe të ngurtë, monitorë ose ndërfaqe rrjeti. Drejtuesi komunikon me pjesën tjetër të kernelit përmes një ndërfaqeje të përcaktuar që lejon kernelin të merret me të gjitha pajisjet në një mënyrë uniforme, pavarësisht nga zbatimet e tyre themelore.

Kerneli përbëhet nga nënsisteme logjike që ofrojnë funksione të ndryshme. Edhe pse kerneli është i vetmi program i ekzekutueshëm, shërbimet e ndryshme që ai ofron mund të ndahen dhe kombinohen në komponentë të ndryshëm logjikë. Këta komponentë ndërveprojnë për të ofruar funksione specifike. Kerneli përbëhet nga nënsistemet logjike të mëposhtme:

  • Nënsistemi i skedarëve dhe nënsistemi I/O: Ky nënsistem zbaton funksione që lidhen me objektet e sistemit të skedarëve. Funksionet e implementuara përfshijnë ato që mundësojnë që një proces të krijojë, mirëmbajë, ndërveprojë dhe fshijë objektet e sistemit të skedarëve. Këto objekte përfshijnë skedarë të rregullt, direktori, lidhje simbolike, lidhje të forta, skedarë specifikë të pajisjes, tuba me emër dhe priza.
  • Nënsistemi i procesit: Ky nënsistem zbaton funksione që lidhen me kontrollin e procesit dhe kontrollin e fijeve. Funksionet e implementuara ju lejojnë të krijoni, planifikoni, ekzekutoni dhe fshini proceset dhe parimet e thread-it.
  • Nënsistemi i memories: Ky nënsistem zbaton funksione që lidhen me menaxhimin e burimeve të kujtesës së sistemit. Funksionet e implementuara përfshijnë ato që krijojnë dhe menaxhojnë memorien virtuale, duke përfshirë menaxhimin e algoritmeve të paging dhe tabelave të paging.
  • Nënsistemi i rrjetit: Ky nënsistem zbaton bazat dhe algoritmet e domenit të UNIX dhe Internetit që përdoren për të planifikuar paketat e rrjetit.
  • Nënsistemi IPC: Ky nënsistem zbaton funksione që lidhen me mekanizmat IPC. Funksionet e zbatuara përfshijnë ato që lehtësojnë shkëmbimin e kontrolluar të informacionit ndërmjet proceseve duke i lejuar ata të ndajnë të dhënat dhe të sinkronizojnë ekzekutimin e tyre kur ndërveprojnë me një burim të përbashkët.
  • Nënsistemi i moduleve të kernelit: Ky nënsistem implementon infrastrukturën për të mbështetur module të ngarkueshme. Funksionet e implementuara përfshijnë ngarkimin, inicializimin dhe shkarkimin e moduleve të kernelit.
  • Zgjerime të sigurisë Linux: Zgjerimet e Sigurisë Linux zbatojnë aspekte të ndryshme të sigurisë që ofrohen për të gjithë kernelin, duke përfshirë kornizën e Linux Security Module (LSM). Korniza LSM shërben si një kornizë për modulet për të mundësuar zbatimin e politikave të ndryshme të sigurisë, duke përfshirë SELinux. SELinux është një nënsistem i rëndësishëm logjik. Ky nënsistem zbaton funksione të detyrueshme të kontrollit të aksesit për të arritur akses midis të gjitha objekteve dhe objekteve.
  • Nënsistemi drejtues i pajisjes: Ky nënsistem zbaton mbështetje për pajisje të ndryshme harduerike dhe softuerike përmes një ndërfaqeje të përbashkët të pavarur nga pajisja.
  • Nënsistemi i auditimit: Ky nënsistem zbaton funksione që lidhen me regjistrimin e ngjarjeve kritike për sigurinë në sistem. Funksionet e zbatuara përfshijnë ato që kapin çdo thirrje sistemi për të kapur ngjarje kritike për sigurinë dhe ato që zbatojnë mbledhjen dhe regjistrimin e gjurmëve të auditimit.
  • Nënsistemi KVM: Ky nënsistem zbaton mirëmbajtjen e ciklit jetësor të makinës virtuale. Kryen përfundimin e udhëzimeve, i cili përdoret për udhëzime që kërkojnë vetëm kontrolle të vogla. Për çdo plotësim tjetër të deklaratës, KVM thërret komponentin e hapësirës së përdoruesit QEMU.
  • Crypto API: Ky nënsistem ofron një bibliotekë kriptografike të brendshme të kernelit për të gjithë komponentët e kernelit. Ai siguron primitivë kriptografikë për telefonuesit.

Kerneli është pjesa kryesore e sistemit operativ. Ai ndërvepron drejtpërdrejt me harduerin, zbaton ndarjen e burimeve, ofron shërbime të përgjithshme për aplikacionet dhe parandalon që aplikacionet të kenë akses direkt në funksionet e varura nga hardueri. Shërbimet e ofruara nga kerneli përfshijnë:

1. Menaxhimi i ekzekutimit të proceseve, duke përfshirë operacionet e krijimit, përfundimit ose pezullimit të tyre dhe komunikimit ndërprocesor. Kjo perfshin:

  • Planifikimi ekuivalent i proceseve për t'u ekzekutuar në CPU.
  • Ndarja e proceseve në CPU duke përdorur modalitetin e ndarjes së kohës.
  • Ekzekutimi i procesit në CPU.
  • Pezullimi i kernelit pas skadimit të kuantumit kohor të caktuar për të.
  • Ndarja e kohës së kernelit për të ekzekutuar një proces tjetër.
  • Riprogramimi i kohës së kernelit për të ekzekutuar një proces të pezulluar.
  • Menaxhoni meta të dhënat që lidhen me sigurinë e procesit si UID-të, GID-të, etiketat SELinux, identifikuesit e veçorive.
2. Alokimi i RAM-it për procesin e ekzekutueshëm. Ky operacion përfshin:
  • Leja e kernelit për proceset që të ndajnë një pjesë të hapësirës së adresave të tyre në kushte të caktuara; megjithatë, kerneli mbron hapësirën e adresave të vetë procesit nga ndërhyrjet e jashtme.
  • Nëse sistemi i mbaron memoria e lirë, kerneli çliron memorien duke e shkruar procesin përkohësisht në memorien e nivelit të dytë ose në hapësirën e shkëmbimit.
  • Bashkëveprimi i koordinuar me harduerin e makinës për të krijuar një hartë të adresave virtuale në adresat fizike, e cila harton adresat e krijuara nga përpiluesi në adresat fizike.
3. Mirëmbajtja e ciklit jetësor të makinave virtuale, e cila përfshin:
  • Vendos kufizime në burimet e konfiguruara nga aplikacioni emulues për një makinë virtuale të caktuar.
  • Nisja e kodit të programit të makinës virtuale për ekzekutim.
  • Trajtoni mbylljen e makinave virtuale ose duke plotësuar një udhëzim ose duke vonuar përfundimin e një udhëzimi për të imituar hapësirën e përdoruesit.
4. Mirëmbajtja e sistemit të skedarëve. Ai përfshin:
  • Shpërndarja e memories dytësore për ruajtjen efikase dhe rikthimin e të dhënave të përdoruesit.
  • Shpërndarja e memories së jashtme për skedarët e përdoruesit.
  • Ricikloni hapësirën e magazinimit të papërdorur.
  • Organizimi i strukturës së sistemit të skedarëve (duke përdorur parime të qarta strukturimi).
  • Mbrojtja e skedarëve të përdoruesve nga aksesi i paautorizuar.
  • Siguroni akses të procesit të kontrolluar në pajisjet periferike si terminalet, disqet e shiritit, disqet e diskut dhe pajisjet e rrjetit.
  • Organizimi i aksesit të ndërsjellë në të dhëna për subjektet dhe objektet, sigurimi i aksesit të kontrolluar bazuar në politikën e DAC dhe çdo politikë tjetër të zbatuar nga LSM-ja e ngarkuar.
Kerneli Linux është një lloj kerneli i OS që zbaton planifikimin parandalues. Në kernelet që nuk e kanë këtë aftësi, ekzekutimi i kodit të kernelit vazhdon deri në përfundim, d.m.th. planifikuesi nuk është në gjendje të riprogramojë një detyrë ndërkohë që është në kernel. Përveç kësaj, ekzekutimi i kodit të kernelit planifikohet së bashku, pa planifikim paraprak, dhe ekzekutimi i këtij kodi vazhdon derisa të përfundojë dhe të kthehet në hapësirën e përdoruesit, ose derisa të bllokohet në mënyrë eksplicite. Në kernelet parandaluese, është e mundur të shkarkohet një detyrë në çdo moment ndërsa kerneli është në një gjendje në të cilën është e sigurt për t'u riplanifikuar.

Pavarësisht nga madhësia e organizatës dhe specifikat e sistemit të saj të informacionit, puna për të siguruar regjimin e IS zakonisht përbëhet nga fazat e mëposhtme (Figura 1):

- përcaktimi i fushës (kufijve) të sistemit të menaxhimit të sigurisë së informacionit dhe specifikimi i qëllimeve të krijimit të tij;

- vlerësimi i rrezikut;

- përzgjedhja e kundërmasave për të siguruar modalitetin IS;

- Menaxhimi i rreziqeve;

- auditimi i sistemit të menaxhimit të SI;

- zhvillimi i një politike sigurie.

DIV_ADBLOCK315 ">

Faza 3. Strukturimi i kundërmasave për mbrojtjen e informacionit në këto nivele kryesore: administrative, procedurale, softuerike dhe harduerike.

Faza 4. Vendosja e procedurës për certifikimin dhe akreditimin e sistemeve të informacionit të korporatave për përputhshmëri me standardet e IS. Caktimi i shpeshtësisë së takimeve me temën e sigurisë së informacionit në nivel menaxherial, duke përfshirë rishikimin periodik të dispozitave të politikës së sigurisë së informacionit, si dhe procedurën për trajnimin e të gjitha kategorive të përdoruesve të sistemit të informacionit në fushën e siguria e informacionit. Dihet se zhvillimi i politikës së sigurisë së një organizate është faza më pak e formalizuar. Megjithatë, vitet e fundit, pikërisht këtu janë përqendruar përpjekjet e shumë specialistëve të sigurisë së informacionit.

Faza 5. Përcaktimi i fushës (kufijve) të sistemit të menaxhimit të sigurisë së informacionit dhe specifikimi i qëllimeve të krijimit të tij. Në këtë fazë, përcaktohen kufijtë e sistemit për të cilin duhet të sigurohet mënyra e sigurisë së informacionit. Prandaj, sistemi i menaxhimit të sigurisë së informacionit është ndërtuar brenda këtyre kufijve. Vetë përshkrimi i kufijve të sistemit rekomandohet të kryhet sipas planit të mëposhtëm:

- struktura e organizates. Prezantimi i strukturës ekzistuese dhe ndryshimeve që supozohet të futen në lidhje me zhvillimin (modernizimin) e sistemit të automatizuar;

- burimet e sistemit të informacionit të mbrohen. Është e këshillueshme që të merren parasysh burimet e një sistemi të automatizuar të klasave të mëposhtme: SVT, të dhënat, sistemi dhe softueri aplikativ. Të gjitha burimet janë me vlerë për organizatën. Për vlerësimin e tyre, duhet zgjedhur një sistem kriteresh dhe një metodologji për marrjen e rezultateve sipas këtyre kritereve;

· Zhvillimi i parimeve për klasifikimin e aseteve të informacionit të shoqërisë dhe vlerësimi i sigurisë së tyre;

· Vlerësimi i rreziqeve të informacionit dhe menaxhimi i tyre;

· Trajnimi i punonjësve të kompanisë në metodat e sigurisë së informacionit, kryerja e brifingjeve dhe kontrolli i njohurive dhe aftësive praktike në zbatimin e politikës së sigurisë nga punonjësit e kompanisë;

· Këshillimi i menaxherëve të kompanive për menaxhimin e riskut të informacionit;

· Koordinimi i politikave private dhe rregulloreve të sigurisë ndërmjet divizioneve të kompanisë;

· Kontroll mbi punën e cilësisë dhe shërbimeve të automatizimit të shoqërisë me të drejtën e kontrollit dhe miratimit të raporteve dhe dokumenteve të brendshme;

· Ndërveprimi me shërbimin e personelit të kompanisë për verifikimin e të dhënave personale të punonjësve gjatë punësimit;

· Organizimi i masave për eliminimin e situatave emergjente ose emergjente në fushën e mbrojtjes së informacionit në rast të shfaqjes së tyre;

Integriteti i informacionit - ekzistenca e informacionit në një formë të pashtrembëruar (të pandryshuar në raport me disa nga gjendjet e tij fikse). Zakonisht, subjektet janë të interesuar të ofrojnë një pronë më të gjerë - besueshmërinë e informacionit, e cila konsiston në përshtatshmërinë (plotësinë dhe saktësinë) e shfaqjes së gjendjes së fushës së temës dhe integritetin e vetë informacionit, d.m.th., mos shtrembërimin e tij.

Ekziston një dallim midis integritetit statik dhe dinamik. Për të shkelur integritetin statik, një sulmues mund: të fusë të dhëna të pasakta; Për të ndryshuar të dhënat. Ndonjëherë ndryshimet domethënëse të të dhënave, ndonjëherë - informacioni i shërbimit. Kërcënimet për integritetin dinamik janë shkelja e atomicitetit të transaksioneve, rirenditjet, vjedhjet, dyfishimi i të dhënave ose futja e mesazheve shtesë (paketat e rrjetit, etj.). Veprimet përkatëse në një mjedis në rrjet quhen dëgjim aktiv.

Integriteti nuk kërcënohet vetëm nga falsifikimi ose ndryshimi i të dhënave, por edhe nga refuzimi për të ndërmarrë veprime. Nëse nuk ka mjete për të siguruar "mos-refuzimin", të dhënat kompjuterike nuk mund të konsiderohen si provë. Jo vetëm të dhënat, por edhe programet janë potencialisht të cenueshme nga pikëpamja e shkeljes së integritetit. Injeksioni i malware është një shembull i një shkeljeje të tillë.

Një kërcënim urgjent dhe shumë i rrezikshëm është futja e rootkits (një grup skedarësh të instaluar në një sistem për të ndryshuar funksionalitetin e tij standard në një mënyrë keqdashëse dhe të fshehtë), bots (një program që kryen automatikisht një mision të caktuar; një grup kompjuterësh në të cilat funksionojnë robotët e të njëjtit lloj quhet botnet), lëvizjet sekrete (malware që dëgjon komanda në porte të caktuara TCP ose UDP) dhe spyware (malware që synojnë kompromentimin e të dhënave konfidenciale të përdoruesit. Për shembull, Back Orifice dhe Netbus Trojans ju lejojnë për të marrë kontrollin e sistemeve të përdoruesve me variante të ndryshme MS -Windows.

Kërcënimi i konfidencialitetit

Kërcënimi i shkeljes së konfidencialitetit është se informacioni bëhet i njohur për dikë që nuk ka autoritetin për t'iu qasur. Ndonjëherë termi "rrjedhje" përdoret në lidhje me kërcënimin e shkeljes së konfidencialitetit.

Konfidencialiteti i informacionit është një karakteristikë (veti) e përcaktuar subjektivisht (e atribuar) e informacionit, që tregon nevojën për të vendosur kufizime në gamën e subjekteve që kanë akses në këtë informacion dhe sigurohet nga aftësia e sistemit (mjedisit) për të mbajtur këtë informacion. sekret nga subjektet që nuk kanë autoritetin për të hyrë në të ... Parakushtet objektive për një kufizim të tillë të disponueshmërisë së informacionit për disa subjekte qëndrojnë në nevojën për të mbrojtur interesat e tyre legjitime nga subjektet e tjera të marrëdhënieve të informacionit.

Informacioni konfidencial mund të ndahet në informacion mbi subjektin dhe shërbimin. Informacioni i shërbimit (për shembull, fjalëkalimet e përdoruesit) nuk i përket një fushe specifike lëndore, ai luan një rol teknik në sistemin e informacionit, por zbulimi i tij është veçanërisht i rrezikshëm, pasi është i mbushur me akses të paautorizuar në të gjitha informacionet, përfshirë informacionin e subjektit. Kërcënimet e rrezikshme jo-teknike ndaj konfidencialitetit janë metoda të ndikimit moral dhe psikologjik, të tilla si "maskarada" - kryerja e veprimeve nën maskën e një personi me autoritet për të hyrë në të dhëna. Kërcënimet e pakëndshme nga të cilat është e vështirë të mbrohen përfshijnë abuzimin e pushtetit. Në shumë lloje sistemesh, një përdorues i privilegjuar (për shembull, një administrator i sistemit) është në gjendje të lexojë çdo skedar (të pakriptuar), të hyjë në postën e çdo përdoruesi.

Aktualisht, të ashtuquajturat sulme phishing. Peshkimi (peshkimi - peshkimi) është një lloj mashtrimi në internet, qëllimi i të cilit është të fitohet akses në të dhënat konfidenciale të përdoruesit - hyrjet dhe fjalëkalimet. Kjo arrihet duke kryer postime masive të postave elektronike në emër të markave të njohura, si dhe mesazhe private brenda shërbimeve të ndryshme, për shembull, në emër të bankave, shërbimeve (Rambler, Mail.ru) ose brenda rrjeteve sociale (Facebook, Vkontakte, Odnoklassniki .ru). Fishers po synojnë klientët e bankave dhe sistemeve të pagesave elektronike sot. Për shembull, në Shtetet e Bashkuara, të maskuar si Shërbimi i të Ardhurave të Brendshme, phishers mblodhën të dhëna të rëndësishme për taksapaguesit në vitin 2009.

Objektivi: Ofrimi i menaxhimit dhe mbështetjes në fushën e sigurisë së informacionit nga menaxhmenti në përputhje me kërkesat e biznesit, si dhe me kuadrin aktual ligjor dhe rregullator. Menaxhmenti duhet të vendosë një drejtim të qartë strategjik dhe të demonstrojë mbështetje dhe përkushtim ndaj sigurisë së informacionit duke publikuar dhe mbajtur një politikë të sigurisë së informacionit për të gjithë organizatën.

Një politikë e sigurisë së informacionit është dokumenti më i rëndësishëm në sistemin e menaxhimit të sigurisë së informacionit të një organizate (ISMS), duke shërbyer si një nga mekanizmat kryesorë të sigurisë.

Sipas ISO 17799, një politikë e dokumentuar e sigurisë së informacionit duhet të deklarojë përkushtimin e menaxhmentit dhe të krijojë një qasje për menaxhimin e sigurisë së informacionit, të përcaktojë konceptin e sigurisë së informacionit, objektivat dhe qëllimin e tij kryesor, të përmbajë dispozita themelore për përcaktimin e qëllimeve dhe mekanizmave të kontrollit, duke përfshirë një kornizë për vlerësimin dhe menaxhimin e rreziqeve dhe shumë të tjera.

Sipas ISO 27001, një politikë e sigurisë së informacionit është një nëngrup i një dokumenti më të përgjithshëm - një politikë ISMS, e cila përfshin dispozitat kryesore për përcaktimin e objektivave të ISMS dhe përcakton drejtimin dhe parimet e përgjithshme të veprimtarisë në lidhje me sigurinë e informacionit, duke marrë duke marrë parasysh kërkesat e biznesit, kuadrin legjislativ ose rregullator, detyrimet kontraktuale, vendosjen e kritereve për vlerësimin e rreziqeve, etj.

Politika e sigurisë së informacionit të një organizate dhe politika ISMS e një organizate mund të përshkruhen në një dokument. Zhvillimi i një dokumenti të tillë nuk është një detyrë e lehtë dhe shumë e përgjegjshme. Nga njëra anë, politika e sigurisë së informacionit duhet të jetë mjaft gjithëpërfshirëse dhe e kuptueshme për të gjithë punonjësit e organizatës. Nga ana tjetër, i gjithë sistemi i masave për të garantuar sigurinë e informacionit është ndërtuar mbi bazën e këtij dokumenti, prandaj ai duhet të jetë mjaft i plotë dhe gjithëpërfshirës. Çdo lëshim dhe paqartësi mund të ndikojë seriozisht në funksionimin e ISMS të organizatës. Politika e sigurisë së informacionit duhet të jetë plotësisht në përputhje me kërkesat e standardeve ndërkombëtare ISO 27001/17799. Ky është një parakusht për një certifikim të suksesshëm.

BS ISO / IEC 27001: 2005 4.2.1 b) Politika ISMS:

Përcaktoni një politikë ISMS për sa i përket karakteristikave të biznesit, organizatës, vendndodhjes, burimeve dhe teknologjisë që:

    përfshin një bazë për përcaktimin e qëllimeve të saj dhe vendos një drejtim dhe parime të përgjithshme të veprimtarisë në lidhje me sigurinë e informacionit;

    merr parasysh kërkesat e biznesit dhe ligjore ose rregullatore dhe detyrimet kontraktuale të sigurisë;

    integrohet me kontekstin strategjik të menaxhimit të rrezikut në organizatë, në të cilën do të bëhet krijimi dhe mirëmbajtja e ISMS;

    vendos kriteret për vlerësimin e rreziqeve (shih 4.2.1c)); dhe

    miratuar nga menaxhmenti.

SHËNIM: Ky Standard Ndërkombëtar e trajton një politikë ISMS si një mbibashkësi të një politike të sigurisë së informacionit. Këto politika mund të përshkruhen në një dokument.

BS ISO / IEC 17799: 2005 5.1.1 Politika e dokumentuar e sigurisë së informacionit:

Mekanizmi i kontrollit

Politika e dokumentuar e sigurisë së informacionit duhet të miratohet nga menaxhmenti, të publikohet dhe t'u komunikohet të gjithë njerëzve në organizatë dhe palëve të jashtme për të cilat zbatohet.

Udhëzues zbatimi

Një politikë e dokumentuar e sigurisë së informacionit duhet të deklarojë angazhimin e menaxhmentit dhe të krijojë një qasje për menaxhimin e sigurisë së informacionit në organizatë. Politika e dokumentuar duhet të përmbajë deklaratat e mëposhtme:

    përcaktimi i konceptit të sigurisë së informacionit, objektivat e tij kryesore, shtrirja dhe rëndësia e sigurisë si një mekanizëm që bën të mundur shkëmbimin e informacionit (shih Hyrje);

    një deklaratë e synimit të menaxhmentit për të mbështetur arritjen e objektivave dhe respektimin e parimeve të sigurisë së informacionit në përputhje me qëllimet dhe strategjinë e biznesit;

    udhëzime për vendosjen e objektivave dhe kontrolleve, duke përfshirë një kornizë për vlerësimin dhe menaxhimin e rreziqeve;

    një shpjegim i shkurtër i politikave të sigurisë, standardeve, parimeve dhe kërkesave të një rëndësie të veçantë për organizatën, duke përfshirë:

      pajtueshmërinë me kërkesat ligjore, rregullatore dhe kontraktuale;

      kërkesat e ndërgjegjësimit të sigurisë, edukimit dhe trajnimit;

      menaxhimi i vazhdimësisë së biznesit;

      pasojat e shkeljeve të politikës së sigurisë së informacionit;

    përcaktimin e përgjegjësisë së përgjithshme dhe individuale për menaxhimin e sigurisë së informacionit, duke përfshirë raportimin e incidenteve të sigurisë;

    lidhjet me dokumentet që mund të mbështesin politikën, të tilla si politikat dhe procedurat më të detajuara të sigurisë për sistemet individuale të informacionit, ose rregullat e sigurisë që përdoruesit duhet të ndjekin.

Kjo politikë e sigurisë së informacionit duhet t'u komunikohet të gjithë përdoruesve të organizatës në një formë që të jetë e përditësuar, e aksesueshme dhe e kuptueshme për lexuesit e synuar.

Informacioni tjetër

Politika e sigurisë së informacionit duhet të jetë pjesë e një politike më të përgjithshme të dokumentuar. Nëse politika e sigurisë së informacionit shtrihet përtej kufijve të organizatës, duhet të merren masa për të parandaluar zbulimin e informacionit konfidencial. Për më shumë informacion, shihni ISO / IEC 13335-1: 2004.

Nën politikën e sigurisë organizatat kuptojnë grupin e vendimeve të dokumentuara të menaxhimit që synojnë mbrojtjen e informacionit dhe burimeve shoqëruese. Politika e sigurisë është mjeti me të cilin kryhen aktivitetet në sistemin informatik kompjuterik të organizatës. Në përgjithësi, politikat e sigurisë përcaktohen nga mjedisi kompjuterik i përdorur dhe pasqyrojnë nevojat specifike të organizatës.

Në mënyrë tipike, një sistem informacioni i korporatës është një kompleks kompleks i pajisjeve dhe softuerëve heterogjenë, ndonjëherë të koordinuar dobët: kompjuterë, sisteme operative, pajisje rrjeti, DBMS, aplikacione të ndryshme. Të gjithë këta komponentë zakonisht kanë mbrojtjet e tyre që duhet të përputhen. Prandaj, një politikë efektive e sigurisë është thelbësore si një platformë e qëndrueshme për sigurimin e sistemit të korporatës. Ndërsa sistemi kompjuterik rritet dhe integrohet në rrjetin global, është e nevojshme të sigurohet që të mos ketë dobësi në sistem, pasi të gjitha përpjekjet për të mbrojtur informacionin mund të zhvlerësohen nga vetëm një mbikëqyrje.

Ju mund të ndërtoni një politikë sigurie që specifikon se kush ka akses në asete dhe aplikacione specifike, çfarë rolesh dhe përgjegjësish kanë individë të veçantë dhe procedura sigurie që diktojnë qartë se si duhet të kryhen detyra specifike sigurie. Karakteristikat individuale të punës së një punonjësi mund të kërkojnë akses në informacione që nuk duhet të jenë të disponueshme për punonjësit e tjerë. Për shembull, një menaxher i burimeve njerëzore mund të ketë akses në informacionin privat të çdo punonjësi, ndërsa një specialist raportues mund të ketë akses vetëm në të dhënat financiare të atyre punonjësve. Dhe një punonjës i zakonshëm do të ketë akses vetëm në informacionin e tij personal.

Politika e sigurisë përcakton pozicionin e organizatës për përdorimin racional të kompjuterëve dhe rrjetit, si dhe procedurat për parandalimin dhe reagimin ndaj incidenteve të sigurisë. Në një sistem të madh të korporatës, mund të zbatohet një gamë e gjerë politikash të ndryshme, nga politikat e biznesit deri te rregullat specifike për aksesin në grupet e të dhënave. Këto politika përcaktohen plotësisht nga nevojat specifike të organizatës.

Konceptet bazëpolitikat e sigurisë

Politika e sigurisë përcakton strategjinë e menaxhimit të sigurisë së informacionit, si dhe nivelin e vëmendjes dhe sasinë e burimeve që menaxhmenti i konsideron të përshtatshme.

Politika e sigurisë bazohet në një analizë të rreziqeve që njihen si reale për sistemin e informacionit të organizatës. Kur kryhet analiza e rrezikut dhe përcaktohet strategjia e mbrojtjes, hartohet një program, zbatimi i të cilit duhet të garantojë sigurinë e informacionit. Për këtë program ndahen burime, caktohen persona përgjegjës, përcaktohet rendi i kontrollit të ekzekutimit të programit etj.

Për t'u njohur me konceptet bazë të politikave të sigurisë, le të shqyrtojmë, si një shembull specifik, një rrjet hipotetik të zonës lokale që i përket një organizate dhe një politikë sigurie të lidhur me të.

Politika e sigurisë e një organizate duhet të strukturohet si një dokument politikash konciz, lehtësisht i kuptueshëm i politikave të nivelit të lartë, i mbështetur nga një grup dokumentesh më specifike të politikave dhe procedurave të specializuara të sigurisë.

Politika e nivelit të lartë të sigurisë duhet të rishikohet periodikisht për të siguruar që ajo adreson nevojat aktuale të organizatës. Ky dokument është hartuar në atë mënyrë që politika të jetë relativisht e pavarur nga teknologjia. Nëse po, ky dokument politikash nuk ka nevojë të ndryshohet shumë shpesh.

Një politikë sigurie zakonisht hartohet në formën e një dokumenti që përfshin seksione të tilla si përshkrimi i problemit, fushëveprimi, pozicioni i organizatës, shpërndarja e roleve dhe përgjegjësive, sanksionet, etj.

Përshkrimi i problemit. Informacioni që qarkullon brenda rrjetit lokal është kritik. Një rrjet lokal i lejon përdoruesit të ndajnë programe dhe të dhëna, gjë që rrit rrezikun e sigurisë. Prandaj, secili nga kompjuterët në rrjet ka nevojë për mbrojtje më të fortë. Këto masa të shtuara sigurie janë objekt i këtij dokumenti. Dokumenti ka këto objektiva: t'u tregojë punonjësve të organizatës rëndësinë e mbrojtjes së mjedisit të rrjetit, të përshkruajë rolin e tyre në garantimin e sigurisë dhe gjithashtu të caktojë përgjegjësi specifike për mbrojtjen e informacionit që qarkullon në rrjet.

Zona e aplikimit. Objekti i kësaj politike mbulon të gjithë harduerin, softuerin dhe burimet e informacionit të përfshira në rrjetin lokal të ndërmarrjes. Politika synon gjithashtu njerëzit që punojnë me rrjetin, duke përfshirë përdoruesit, nënkontraktorët dhe furnitorët.

Pozicioni i organizatës. Qëllimi i organizatës është të sigurojë integritetin, disponueshmërinë dhe konfidencialitetin e të dhënave, si dhe plotësinë dhe rëndësinë e tyre. Objektivat më specifike janë:

    sigurimi i një niveli sigurie që përputhet me dokumentet rregullatore;

    respektimi i fizibilitetit ekonomik në zgjedhjen e masave mbrojtëse (kostot e mbrojtjes nuk duhet të tejkalojnë dëmin e vlerësuar nga një shkelje e sigurisë së informacionit);

    sigurimi i sigurisë në çdo zonë funksionale të rrjetit lokal;

    sigurimin e llogaridhënies së të gjitha veprimeve të përdoruesve me informacion dhe burime;

    ofrimi i analizës së informacionit të regjistrimit;

    ofrimi i përdoruesve me informacion të mjaftueshëm për të ruajtur me vetëdije regjimin e sigurisë;

    zhvillimi i planeve për rikuperim pas aksidenteve dhe situatave të tjera kritike për të gjitha zonat funksionale me qëllim sigurimin e vazhdimësisë së rrjetit;

    sigurimin e pajtueshmërisë me ligjet në fuqi dhe politikën e sigurisë së korporatës.

Shpërndarja e roleve dhe përgjegjësive. Për zbatimin e objektivave të mësipërm janë përgjegjës zyrtarët dhe përdoruesit e rrjetit përkatës.

Shefat e departamenteve janë përgjegjës për komunikimin e dispozitave të politikës së sigurisë me përdoruesit dhe për kontaktimin e tyre.

garantojnë funksionimin e vazhdueshëm të rrjetit dhe janë përgjegjës për zbatimin e masave teknike të nevojshme për zbatimin e politikës së sigurisë.

Administratorët e Shërbimit janë përgjegjës për shërbime specifike dhe, në veçanti, për të siguruar që mbrojtja të ndërtohet në përputhje me politikën e përgjithshme të sigurisë.

Përdoruesit janë të detyruar të punojnë me rrjetin lokal në përputhje me politikën e sigurisë, të respektojnë urdhrat e personave përgjegjës për disa aspekte të sigurisë, të informojnë menaxhmentin për të gjitha situatat e dyshimta.

Më shumë detaje mbi rolet dhe përgjegjësitë e oficerëve dhe përdoruesve të internetit janë dhënë më poshtë.

Sanksionet. Shkelja e një politike sigurie mund të ekspozojë rrjetin lokal dhe informacionin që qarkullon në të ndaj rrezikut të papranueshëm. Incidentet e sigurisë nga personeli duhet të adresohen menjëherë nga menaxhmenti për veprime disiplinore deri dhe duke përfshirë përfundimin.

Informacion shtese. Ekipet specifike të zbatuesve mund të kenë nevojë për dokumente shtesë për t'u rishikuar, të tilla si politika dhe procedura të specializuara të sigurisë dhe udhëzime të tjera. Nevoja për dokumente shtesë të politikës së sigurisë varet kryesisht nga madhësia dhe kompleksiteti i organizatës. Një organizatë mjaft e madhe mund të kërkojë politika të specializuara sigurie përveç politikës bazë. Organizatat më të vogla kanë nevojë vetëm për një nëngrup politikash të specializuara. Shumë nga këto dokumente mbështetëse mund të jenë mjaft të shkurtra - një deri në dy faqe në gjatësi.

Nga pikëpamja praktike, politikat e sigurisë mund të ndahen në tre nivele: e sipërme, e mesme dhe e poshtme.

Niveli i sipërm politika e sigurisë përcakton vendimet që prekin organizatën në tërësi. Këto vendime janë shumë të përgjithshme në natyrë dhe zakonisht vijnë nga udhëheqja e organizatës.

Vendime të tilla mund të përfshijnë elementët e mëposhtëm:

    formulimin e qëllimeve që ndjek organizata në fushën e sigurisë së informacionit, përcaktimin e drejtimeve të përgjithshme në arritjen e këtyre qëllimeve;

    formimi ose rishikimi i një programi gjithëpërfshirës të sigurisë së informacionit, identifikimi i personave përgjegjës për promovimin e programit;

    sigurimin e bazës materiale për të qenë në përputhje me ligjet dhe rregulloret;

    formulimi i vendimeve të menaxhimit për zbatimin e programit të sigurisë, të cilat duhet të merren parasysh në nivel të organizatës në tërësi.

Politika e sigurisë së nivelit të lartë artikulon objektivat e sigurisë së informacionit të organizatës për sa i përket integritetit, disponueshmërisë dhe konfidencialitetit. Nëse një organizatë është përgjegjëse për mbajtjen e bazave të të dhënave kritike për misionin, prioriteti i parë duhet të jetë integriteti të dhëna. Për një organizatë shitjesh, rëndësia e informacionit në lidhje me shërbimet dhe çmimet e ofruara, si dhe të saj disponueshmëria numri maksimal i blerësve të mundshëm. Organizata e regjimit do të kujdeset para së gjithash konfidencialiteti informacion, domethënë për mbrojtjen e tij nga aksesi i paautorizuar.

niveli i sipërm kryhet menaxhimi i burimeve të sigurisë dhe koordinimi i përdorimit të këtyre burimeve, caktimi i personelit të posaçëm për mbrojtjen e sistemeve kritike dhe mbajtja e kontakteve me organizata të tjera që sigurojnë ose kontrollojnë regjimin e sigurisë.

Politika e nivelit të lartë duhet të përcaktojë qartë sferën e ndikimit të saj. Kjo mund të jetë e gjitha sistemet kompjuterike në një organizatë, ose edhe më shumë nëse politika rregullon disa aspekte të përdorimit të kompjuterëve të tyre në shtëpi nga punonjësit. Është gjithashtu e mundur që vetëm sistemet më të rëndësishme të përfshihen në sferën e ndikimit.

Politika duhet të përcaktojë përgjegjësitë e zyrtarëve për të zhvilluar programin e sigurisë dhe për ta zbatuar atë, domethënë, politika mund të shërbejë si bazë për llogaridhënien e stafit.

Politika e nivelit të lartë merret me tre aspekte të respektimit të ligjit dhe kryerjes së disiplinës. Së pari, organizata duhet të jetë në përputhje me ligjet ekzistuese. Së dyti, duhet të monitorohen veprimet e atyre që janë përgjegjës për zhvillimin e programit të sigurisë. Së treti, është e nevojshme të sigurohet disiplina ekzekutive e stafit nëpërmjet një sistemi shpërblimesh dhe ndëshkimesh.

Niveli mesatar politika e sigurisë përcakton zgjidhjen e çështjeve që lidhen me aspekte të caktuara të sigurisë së informacionit, por të rëndësishme për sisteme të ndryshme të operuara nga organizata.

Shembuj të çështjeve të tilla janë qëndrimet ndaj aksesit në internet (problemi i kombinimit të lirisë së marrjes së informacionit me mbrojtjen nga kërcënimet e jashtme), përdorimi i kompjuterëve në shtëpi, etj.

Politika e sigurisë së nivelit të mesëm duhet të përcaktojë pikat e mëposhtme për çdo aspekt të sigurisë së informacionit:

    përshkrimi i aspektit- pozicioni i organizatës mund të formulohet në një formë mjaft të përgjithshme si një grup qëllimesh që organizata ndjek në këtë aspekt;

    zona e aplikimit- duhet të specifikojë se ku, kur, si, në lidhje me kë dhe çfarë zbatohet kjo politikë sigurie;

    rolet dhe përgjegjësitë- dokumenti duhet të përmbajë informacion për zyrtarët përgjegjës për zbatimin e politikës së sigurisë në jetë;

    sanksione - politika duhet të përmbajë një përshkrim të përgjithshëm të veprimeve të ndaluara dhe dënimet për to;

    pikat e kontaktit- duhet të dijë se ku të drejtohet për sqarime, ndihmë dhe informacione shtesë. Një zyrtar është zakonisht pika e kontaktit.

Niveli më i ulët politika e sigurisë zbatohet për shërbime specifike. Kjo politikë përfshin dy aspekte: qëllimet dhe rregullat për arritjen e tyre - prandaj ndonjëherë është e vështirë ta ndash atë nga çështjet e zbatimit. Ndryshe nga dy nivelet e larta, politika në fjalë duhet të jetë më e detajuar.

Këtu janë disa shembuj të pyetjeve që duhet të marrin përgjigje kur ndiqni një politikë sigurie të nivelit të ulët:

    kush ka të drejtë të aksesojë objektet e mbështetura nga shërbimi;

    si organizohet qasja në distancë në shërbim.

Politika e sigurisë së nivelit të ulët mund të vijë nga konsideratat e integritetit, disponueshmërisë dhe konfidencialitetit, por nuk duhet të ndalet në to. Në përgjithësi, qëllimet duhet të lidhin objektet e shërbimit dhe të ndërveprojnë në mënyrë domethënëse me to.

Nga qëllimet, rrjedhin rregullat e sigurisë që përshkruajnë se kush mund të bëjë çfarë dhe në çfarë kushtesh. Sa më të detajuara të jenë rregullat, sa më qartë dhe formalisht të përcaktohen, aq më lehtë është të mbështetet zbatimi i tyre me softuer dhe masa teknike. Lejet e objekteve zakonisht specifikohen më formalisht.

Këtu është një përshkrim më i detajuar i përgjegjësive të secilës kategori të personelit.

Shefat e departamenteve janë përgjegjës për komunikimin e dispozitave të politikës së sigurisë tek përdoruesit. Ata janë të detyruar të:

    mbani parasysh gjithmonë çështjet e sigurisë. Sigurohuni që vartësit e tyre të bëjnë të njëjtën gjë;

    të kryejë analizën e rrezikut, duke identifikuar asetet që kërkojnë mbrojtje dhe dobësi të sistemit, duke vlerësuar sasinë e dëmit të mundshëm nga një shkelje e sigurisë dhe duke zgjedhur mjete efektive të mbrojtjes;

    organizimi i trajnimit të personelit për masat e sigurisë. Kushtojini vëmendje të veçantë çështjeve që lidhen me kontrollin antivirus;

    informoni administratorët e rrjetit lokal dhe administratorët e shërbimeve për ndryshimet në statusin e secilit prej vartësve (transferimi në një punë tjetër, shkarkimi, etj.);

    sigurojnë që çdo kompjuter në divizionet e tyre të ketë një host ose administrator të sistemit i cili është përgjegjës për sigurinë dhe i cili është i kualifikuar për të kryer këtë rol.

Administratorët e rrjetit lokal garantojnë funksionimin e vazhdueshëm të rrjetit dhe janë përgjegjës për zbatimin e masave teknike të nevojshme për zbatimin e politikës së sigurisë. Ata janë të detyruar të:

    për të siguruar mbrojtjen e pajisjeve të rrjetit lokal, duke përfshirë ndërfaqet me rrjete të tjera;

    t'i përgjigjet menjëherë dhe në mënyrë efektive ngjarjeve kërcënuese. Informoni administratorët e shërbimit për përpjekjet për të shkelur mbrojtjen;

    përdorin mjete të provuara për auditimin dhe zbulimin e situatave të dyshimta. Analizoni informacionin e regjistrimit në baza ditore në lidhje me rrjetin në përgjithësi dhe me serverët e skedarëve në veçanti;

    mos abuzoni me fuqitë tuaja të mëdha. Përdoruesit kanë të drejtën e privatësisë;

    zhvillojnë procedura dhe përgatisin udhëzime për mbrojtjen e rrjetit lokal nga programet me qëllim të keq. Ndihmon në zbulimin dhe eliminimin e kodit me qëllim të keq;

    rezervoni rregullisht informacionin e ruajtur në serverët e skedarëve;

    bëni të gjitha ndryshimet në konfigurimin e harduerit dhe softuerit të rrjetit;

    sigurohuni që procedura e identifikimit dhe vërtetimit të jetë e detyrueshme për aksesin në burimet e rrjetit. Jepni përdoruesve emrat e hyrjes dhe fjalëkalimet fillestare vetëm pas plotësimit të formularëve të regjistrimit;

    kontrolloni periodikisht besueshmërinë e mbrojtjes së rrjetit lokal. Parandaloni përdoruesit e paautorizuar të fitojnë privilegje.

Administratorët e Shërbimit janë përgjegjës për shërbime specifike dhe, në veçanti, për të siguruar që mbrojtja të ndërtohet në përputhje me politikën e përgjithshme të sigurisë. Ata janë të detyruar të:

    menaxhoni të drejtat e aksesit të përdoruesit në objektet e shërbimit;

    t'i përgjigjet menjëherë dhe në mënyrë efektive ngjarjeve kërcënuese. Të ofrojë ndihmë në zmbrapsjen e kërcënimit, identifikimin e dhunuesve dhe sigurimin e informacionit për ndëshkimin e tyre;

    rezervoni rregullisht informacionin e përpunuar nga shërbimi;

    t'u sigurojë përdoruesve emrat e hyrjes dhe fjalëkalimet fillestare vetëm pasi të plotësojnë formularët e regjistrimit;

    analizoni informacionin e regjistrimit në lidhje me shërbimin në baza ditore. Monitoroni rregullisht shërbimin për softuer me qëllim të keq;

    kontrolloni periodikisht besueshmërinë e mbrojtjes së shërbimit. Parandaloni përdoruesit e paautorizuar të fitojnë privilegje.

Përdoruesit janë të detyruar të punojnë me rrjetin lokal në përputhje me politikën e sigurisë, të respektojnë urdhrat e personave përgjegjës për disa aspekte të sigurisë, të informojnë menaxhmentin për të gjitha situatat e dyshimta. Ata janë të detyruar të:

    njohin dhe respektojnë ligjet, rregullat e miratuara në këtë organizatë, politikën e sigurisë, procedurat e sigurisë. Përdorni mekanizmat e disponueshëm të sigurisë për të garantuar konfidencialitetin dhe integritetin e informacionit të tyre;

    përdorni një mekanizëm për mbrojtjen e skedarëve dhe vendosni siç duhet të drejtat e aksesit;

    zgjidhni fjalëkalime me cilësi të lartë, ndryshoni ato rregullisht. Mos i shkruani fjalëkalimet në letër, mos i ndani me të tjerët;

    informoni administratorët ose menaxhmentin për shkeljet e sigurisë dhe situata të tjera të dyshimta;

    mos përdorni dobësi në mbrojtjen e shërbimeve dhe rrjetit lokal në tërësi. Mos kryeni punë të paautorizuar me të dhëna, mos ndërhyni me përdoruesit e tjerë;

    jepni gjithmonë informacionin e saktë të identifikimit dhe vërtetimit, mos u përpiqni të punoni në emër të përdoruesve të tjerë;

    siguroni kopje rezervë të informacionit nga hard disku i kompjuterit tuaj;

    di se si funksionon softueri me qëllim të keq, si depërton dhe përhapet. Të njohë dhe të ndjekë procedurat për parandalimin e depërtimit të kodit keqdashës, zbulimin dhe shkatërrimin e tij;

    të njohë dhe të ndjekë rregullat e sjelljes në situata emergjente, sekuencën e veprimeve në eliminimin e pasojave të aksidenteve.

Masat e menaxhimit të sigurisë së informacionit. Qëllimi kryesor i masave të marra në nivel menaxherial është të formulojë një program pune në fushën e sigurisë së informacionit dhe të sigurojë zbatimin e tij duke ndarë burimet e nevojshme dhe duke kryer monitorim të rregullt të gjendjes së punëve. Themeli i këtij programi është një politikë sigurie me shumë shtresa që pasqyron qasjen e integruar të një organizate për mbrojtjen e burimeve dhe aseteve të informacionit të saj.

Politika e sigurisë së informacionit është një grup ligjesh, masash, rregullash, kërkesash, kufizimesh, udhëzimesh, rregulloresh, rekomandimesh, etj., që rregullojnë procedurën e përpunimit të informacionit dhe synojnë mbrojtjen e informacionit nga lloje të caktuara të kërcënimeve.

Politika e sigurisë së informacionit është një dokument themelor për të siguruar të gjithë ciklin e sigurisë së informacionit në një kompani. Prandaj, drejtuesit e lartë të kompanisë duhet të jenë të interesuar për njohjen dhe respektimin e rreptë të pikave kryesore të saj nga i gjithë personeli i kompanisë. Të gjithë punonjësit e departamenteve përgjegjëse për regjimin e sigurisë së informacionit të kompanisë duhet të njihen me politikën e sigurisë së informacionit kundrejt nënshkrimit. Në fund të fundit, ata do të jenë përgjegjës për të kontrolluar respektimin e kërkesave të politikës së sigurisë së informacionit dhe njohjen e pikave kryesore të saj nga personeli i kompanisë për sa i përket asaj që ka të bëjë me ta. Duhet të përcaktohen gjithashtu procesi për kryerjen e inspektimeve të tilla, përgjegjësitë e zyrtarëve që kryejnë inspektime të tilla dhe një plan i inspektimeve.

Një politikë e sigurisë së informacionit mund të zhvillohet si për një komponent të veçantë të një sistemi informacioni ashtu edhe për një sistem informacioni në tërësi. Politika e sigurisë së informacionit duhet të marrë parasysh karakteristikat e mëposhtme të sistemit të informacionit: teknologjinë e përpunimit të informacionit, mjedisin kompjuterik, mjedisin fizik, mjedisin e përdoruesit, rregullat e kontrollit të aksesit, etj.

Politika e sigurisë së informacionit duhet të sigurojë përdorimin gjithëpërfshirës të standardeve ligjore, morale dhe etike, masave organizative dhe teknike, softuerëve, harduerit dhe softuerëve dhe mjeteve harduerike për të garantuar sigurinë e informacionit, si dhe të përcaktojë rregullat dhe procedurat për përdorimin e tyre. Politika e sigurisë së informacionit duhet të bazohet në parimet e mëposhtme: vazhdimësia e mbrojtjes, mjaftueshmëria e masave dhe mjeteve të mbrojtjes, përputhja e tyre me gjasat e zbatimit të kërcënimeve, kosto-efektiviteti, fleksibiliteti i strukturës, lehtësia e menaxhimit dhe përdorimit, etj.

Një politikë sigurie është një grup masash parandaluese për të mbrojtur të dhënat konfidenciale dhe proceset e informacionit në një ndërmarrje. Politika e sigurisë përfshin kërkesat për personelin, menaxherët dhe shërbimet teknike. Drejtimet kryesore të zhvillimit të politikës së sigurisë:

  • duke përcaktuar se cilat të dhëna dhe sa seriozisht duhet të mbrohen,
  • përcaktimi se kush dhe çfarë dëmi mund t'i shkaktojë kompanisë në aspektin e informacionit,
  • llogaritja e rreziqeve dhe përcaktimi i një skeme për reduktimin e tyre në një vlerë të pranueshme.

Ekzistojnë dy sisteme për vlerësimin e situatës aktuale në fushën e sigurisë së informacionit në ndërmarrje. Në mënyrë figurative quhen kërkime nga poshtë-lart dhe kërkime nga lart-poshtë. Metoda e parë është mjaft e thjeshtë, kërkon shumë më pak investime kapitale, por gjithashtu ka më pak aftësi. Ai bazohet në skemën e njohur: "Ti je një ndërhyrës. Cilat janë veprimet e tua?" Kjo do të thotë, shërbimi i sigurisë së informacionit, bazuar në të dhënat për të gjitha llojet e njohura të sulmeve, përpiqet t'i zbatojë ato në praktikë për të kontrolluar nëse një sulm i tillë është i mundur nga një sulmues i vërtetë.

Metoda "nga lart-poshtë" është, përkundrazi, një analizë e detajuar e të gjithë skemës ekzistuese për ruajtjen dhe përpunimin e informacionit. Hapi i parë në këtë metodë është, si gjithmonë, përcaktimi se cilat objekte dhe rrjedha informacioni duhet të mbrohen. Kjo pasohet nga një studim i gjendjes aktuale të sistemit të sigurisë së informacionit për të përcaktuar se cila nga metodat klasike të sigurisë së informacionit është zbatuar tashmë, në çfarë mase dhe në çfarë niveli. Në fazën e tretë, të gjitha objektet e informacionit klasifikohen në klasa në përputhje me konfidencialitetin e tij, kërkesat për aksesueshmëri dhe integritet (pandryshueshmëri).

Hapi tjetër është të zbuloni se sa dëm serioz mund t'i sjellë kompanisë një zbulim ose sulm tjetër ndaj çdo objekti specifik informacioni. Kjo fazë quhet "llogaritja e rrezikut". Në një përafrim të parë, rreziku është produkt i "dëmtimit të mundshëm nga një sulm" nga "probabiliteti i një sulmi të tillë".

Politika e sigurisë së informacionit duhet të përmbajë klauzola në të cilat do të ishte i pranishëm informacioni i seksioneve të mëposhtme:


  • koncepti i sigurisë së informacionit;
  • përcaktimi i përbërësve dhe burimeve të sistemit të informacionit që mund të bëhen burime të shkeljeve të sigurisë së informacionit dhe nivelit të kritikitetit të tyre;
  • krahasimi i kërcënimeve me objektet e mbrojtjes;
  • vlerësimi i rrezikut;
  • vlerësimi i sasisë së humbjeve të mundshme që lidhen me zbatimin e kërcënimeve;
  • vlerësimi i kostove të ndërtimit të një sistemi të sigurisë së informacionit;
  • përcaktimin e kërkesave për metodat dhe mjetet e sigurimit të sigurisë së informacionit;
  • përzgjedhja e zgjidhjeve bazë të sigurisë së informacionit;
  • organizimi i punës restauruese dhe sigurimi i funksionimit të vazhdueshëm të sistemit të informacionit;
  • rregullat e kontrollit të aksesit.

Politika e sigurisë së informacionit të ndërmarrjes është shumë e rëndësishme për të garantuar sigurinë gjithëpërfshirëse të ndërmarrjes. Hardware dhe software, ai mund të zbatohet duke përdorur zgjidhje DLP.

Publikime të ngjashme

29 Prill 2014 Shumë kompani blejnë pajisje celulare me shpenzimet e tyre për punonjësit që janë shpesh në udhëtime pune. Në këto kushte, departamenti i IT-së ka nevojë urgjente të kontrollojë pajisjet që kanë akses në të dhënat e korporatës, por në të njëjtën kohë ndodhen jashtë perimetrit të rrjetit të korporatës.

Artikujt kryesorë të lidhur

Lëvizje të ndryshme të miut vertikalisht dhe horizontalisht
Lëvizje të ndryshme të miut vertikalisht dhe horizontalisht
Si të kompresoni teksturat në fallout 4
Si të kompresoni teksturat në fallout 4
Mbetet vetëm për të kuptuar nivelin e kërkuar
Mbetet vetëm për të kuptuar nivelin e kërkuar
Kategoritë:
© 2021 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.