الآن لدى كل شخص أو مؤسسة معلومات تفيد بعدم وجود رغبة في النشر ، أو على العكس من ذلك ، هناك خطط لنقول وداعًا لها بأعلى سعر ممكن. ولهذا ، هناك حاجة إلى سياسة أمنية. هذا هو وقت التشغيل ، وتتمثل مهمته في منع التوزيع غير المنضبط للبيانات التي يجب ألا تكون معروفة لعامة الناس. إنها تعمل على مسائل تتعلق بالفقد المحتمل أو عدم الوصول ، والتي ستؤثر في أي حال على العمل. أيضا ، إذا كان هذا لا يزال يحدث ، وعادة ما يتم توفير مجموعة من التدابير للحد من الضرر. في الواقع ، السياسة الأمنية هي مجموعة من القواعد واللوائح المتعلقة بمعدات وموظفي المنظمة ، والتي تنطبق عليها أيضًا. كيف ينبغي تعظيم فعاليتها؟
التعقيد قبل كل شيء
يجب معالجة مسألة حماية المعلومات بشكل كامل ، ولكن أولاً وقبل كل شيء ، من الضروري حظر جميع قنوات فقدان البيانات الممكنة. يعد ذلك ضروريًا لأن تطبيق التدابير الفردية لا يؤدي تقريبًا إلى زيادة أمان النظام بأكمله. لنلقِ نظرة على مثال. لدينا منزل. في ذلك ، قمنا بتركيب باب مدرع به أقفال معقدة للغاية. لكن في نفس الوقت تركنا النوافذ مفتوحة! هل منزلنا محمي؟ الجواب هو لا. ومع ذلك ، إذا كنا لا نزال لا نعيش في منزل من طابق واحد ، ولكن في الطابق 125 من ناطحة سحاب ، فإننا سنزيد الأمان قليلاً. ينطبق مبدأ مماثل على الحماية في نظم المعلومات. يمكن أن تؤدي التدابير المنفصلة إلى زيادة السلامة بشكل كبير أو إحداث تأثير ضئيل. في أي حال ، من الضروري أن نقترب من وجهة نظر التعقيد.
ما هو مرغوب فيه أن تفعل؟
في كثير من الأحيان ، من أجل ضمان الأمن ، فإنهم ينشئون نظامًا متكاملًا متكاملًا لحماية المعلومات (CSIS) ، وهو مزيج من التدابير الهندسية والتنظيمية ، فضلاً عن البرامج والأجهزة. معا ، فإنها تضمن التشغيل العادي للأنظمة الآلية. إدارة السياسة الأمنية أمر مرغوب فيه ليس فقط الاعتماد على تكنولوجيا الكمبيوتر ، ولكن أيضًا على موظفي المنظمة.
التدابير التنظيمية
إنه عنصر مهم للغاية وغالبًا ما يتم الاستهانة به. في إطار التدابير التنظيمية فهم تطوير وتنفيذ في الممارسة العملية لسياسة رسمية بشأن أمن المعلومات. وهذا يشمل:
- صياغة توصيف الوظيفة الذي يجب على المستخدمين وموظفي الخدمة الالتزام به.
- تطوير قواعد الإدارة لمكونات النظام الفردية.
- وضع خطة عمل لتحديد محاولات الوصول غير المصرح بها.
- وضع قواعد تنص على محاسبة وتخزين واستنساخ وتدمير وسائط المعلومات السرية.
- دراسة قضايا تحديد الهوية.
- وضع خطة في حالة تعطل معدات الحماية ووقوع موقف بالغ الصعوبة.
- تدريب جميع المستخدمين على القواعد والتوصية بأمن المعلومات ، وكذلك مراقبة تنفيذها.
مشاكل في تجاهل التدابير التنظيمية
ماذا سيحدث إذا لم تقم بإجراء التدريب في هذا المجال؟ ثم يصبح الناس الجزء الأكثر صعوبة في نظام الدفاع. غالبًا ما تكون نتيجة تجاهل هذا الجانب هي استحالة استعادة نظام المعلومات بشكل عام. ولن تتحقق دائمًا أهداف السياسة الأمنية ومع وجود مشاكل كبيرة. ولكن حتى لو كانت هناك نسخة احتياطية من البيانات ، فسيتطلب الأمر إعادة بعض الوقت.بالإضافة إلى ذلك ، سيسهل إنشاء التعليمات العمل في المواقف التي تم فيها إنشاء كل شيء بواسطة موظف ، واستعادته أو صقله بواسطة موظف آخر.
أهم جانب من التدابير التنظيمية
يجب تدريب المستخدمين على التعرف على المهاجمين. دعنا نعطي بعض الأمثلة التي ستوضح لك مدى صعابها:
- يتلقى الموظف مكالمة أو بريدًا إلكترونيًا من المدير أو مدير كبير آخر يطلب كلمة المرور الخاصة به ، والتي ستتيح الوصول إلى قاعدة البيانات لاختبار النظام أو تعديل مكون البرنامج أو أداء مهمة معقولة أخرى. وستكون النتيجة هي استلام المحتال إمكانية إزالته أو تشويه كبير ، مما سيترتب عليه خسائر.
- يزور الموظف صفحة الويب الخاصة بشركته ، كما يعتقد ، ولكنه مزيف بالفعل. يدخل بياناته. وهذا كل شيء - يستطيع المهاجم الوصول إلى النظام. علاوة على ذلك ، حتى لا يدرك الموظف أنه غير موجود ، يمكن تنفيذ إعادة التوجيه والتفويض التلقائي على الموقع الرسمي.
- يتم إرفاق الموظف المصاب بمهاجم باستخدام الوسائط التي سيفتح البرنامج عليها الوصول إلى قاعدة البيانات أو يحذفها أو يتخذ بعض الإجراءات غير السارة.
وهذه ليست جميع الخيارات الممكنة ، ولكن فقط بعض.
إعداد أساس نظام أمن المعلومات المتكامل
يتطلب تطوير سياسة أمنية اتباع نهج جاد وشامل. يتم ذلك على مراحل. تحتاج أولاً إلى فحص نظام المعلومات والاتصالات. تحليل هيكلها ، طوبولوجيا ، مكونات ، جرد لموارد المعلومات. يجب تحديد هوية جميع المالكين والمستخدمين وتمتلك الوثائق ذات الصلة. اعتمادا على أهمية ، مختلفة نسور السرية. يجب أن نتذكر أن سياسة الأمان تعتمد على البيانات التي تم جمعها وتحليلها. كلما تمت معالجة مجموعة المعلومات ، كانت النتيجة النهائية أفضل.
محددة مع الحماية
من الضروري بناء نموذج تهديد. في ذلك ، يتم تقديم نظام الكمبيوتر كمجموعة من الخدمات. كل واحد منهم لديه مجموعة من الوظائف الخاصة به ، والتي تتيح لك تحديد العديد من التهديدات. من بينها:
- تهديدات للخصوصية. يتضمن ذلك كل ما يتعلق بالقراءة غير المصرح بها للمحتويات ؛
- تهديدات النزاهة. كل ما يتعلق بالتعديل غير المصرح به أو يستلزم تدمير المعلومات ؛
- تهديدات الوصول. ويشمل ذلك إمكانية إساءة استخدام نظام المعلومات ؛
- تهديدات الملاحظة. يستكشف جميع إمكانيات المشاكل مع تحديد وضمان التحكم في إجراءات المستخدم.
يجب أن يكون لأطر السياسة الأمنية حلول لكل تهديد محتمل. ولكن في الوقت نفسه ، من الضروري الالتزام بخط معقول. لذلك ، ليس من المنطقي تحديد سرية المعلومات المنشورة على الموقع الرسمي للمنظمة ويجب أن تكون في متناول جميع الراغبين في الفكرة.
طبيعة التهديدات
يتم تحديده من خلال ما يعمل كسبب للمشاكل. هناك ثلاثة أنواع:
- شخصية طبيعية. ويشمل ذلك الكوارث الطبيعية والحرائق والمشاكل المماثلة. يفعلون أكبر الأضرار المادية. من الصعب للغاية الدفاع ضدهم. لكن احتمال مثل هذا التهديد هو الأدنى. كحماية ، يتم استخدام وضع على المناطق المختلفة والسمات الهيكلية للمبنى (سماكة الجدار ، والحماية من الحرائق ، وهلم جرا).
- الطابع الفني. وهذا يشمل الحوادث ، تعطل المعدات ، الأعطال. أنها تسبب أضرارا عالية نسبيا. أنها محمية منهم باستخدام آليات تكرار البيانات.
- العامل البشري. من قبل لا يفهم دائما نية الشر المقصود.يمكن أن يشمل ذلك أيضًا أخطاء في تصميم وتشغيل وتطوير مكونات النظام والإجراءات غير المقصودة من قبل المستخدمين. من وجهة نظر تقنية بحتة ، لا تشكل سيدة التنظيف غير المدربة في غرفة الخادم تهديدًا للمعدات أكثر من مجموعة منظمة ومتمرسة من المفرقعات الحاسوبية.
تتمثل أهداف السياسة الأمنية في منع هذه المشكلات ، وإذا حدثت ، فقم بتنفيذ مجموعة من التدابير التي تقلل من الأضرار التي تم تلقيها.
ميزات نموذج التهديد
عند تطويره ، يجب أن يؤخذ في الاعتبار أن الأنواع المختلفة من المعلومات يجب أن يكون لها نظام أمان مختلف. لذلك ، فيما يتعلق بالبيانات العامة الموجودة على موقع الويب ، يمكننا القول أنه من الضروري الاهتمام بنزاهتها وسهولة الوصول إليها. نظرًا لأن الجميع يجب أن يراهم ، يمكن تجاهل مشكلة الخصوصية. بينما يجب حماية البيانات التي يتم تداولها داخل الشركة من الوصول غير المصرح به. لكن الحماية الكاملة لكل شيء على أعلى مستوى يتطلب الكثير من القوة والموارد. لذلك ، يتم تحديدهم بأهم البيانات ، والتي تضمن أكبر قدر من الأمان. وغيرها من المعلومات محمية وفقا لقيمتها.
نموذج الدخيل
إنه مبني على الناس. وهي تحدد جميع الأنواع الممكنة للمخالفين وتقدم لهم وصفًا مفصلاً. لذلك ، يتم إنشاء النماذج بالنسبة إلى البسكويت المحترف والمرتزقة عديمي الخبرة والمثليون العاديين وموظفي المؤسسة. يتم توفير أكبر خطر في هذه الحالة من قبل. ويرجع ذلك إلى حقيقة أن لديهم المجموعة اللازمة من المعرفة والوسائل التقنية للقيام بالوصول غير المصرح به. يتبع المهنيين موظفو المؤسسات ، حيث يمكنهم الوصول إلى المعلومات ، ويمكنهم أيضًا التعرف على تنظيم النظام الأمني. هذا يوفر بالفعل الحد الأدنى من الفرص للتأثير على الموارد. لذلك ، إذا كان هناك دافع ، يمكن للموظفين أن يتسببوا في ضرر كبير (وهو أمر غير شائع بشكل عام). وإذا لجأ المهاجمون إليهم أيضًا ، فهذه قصة محزنة عمومًا.
الوثائق
عند الانتهاء من جميع الخطوات السابقة ، يتم وضع جميع الأوراق اللازمة ، مثل: "سياسة أمن المعلومات" ، و "اختصاصات إنشاء CSIS" وغيرها من القضايا. بعد ذلك ، يتم تنفيذ مجموعة مختارة من حماية البرمجيات والأجهزة ، ويتم تكوين خصائصها. في النهاية ، يتم تطوير الوثائق حول "المشروع الفني لإنشاء CSIS". عندما يكون كل شيء جاهزًا ، يكون من الممكن بالفعل البدء في تنفيذ الأدوات والإجراءات والطرق المحددة لحماية نظام المعلومات.
سيطرة
ولكن مجرد خلق لا يكفي. من الضروري أيضًا التأكد من أن كل شيء يعمل بشكل صحيح ، وأن نرى بشكل دوري أن هذه الحالة لا تزال قائمة. للقيام بذلك ، يتم تنفيذ مراقبة النزاهة وتوضيح المتطلبات (المراجعة) ويتم تحليل حالة نظام المعلومات. إذا تحدثنا عن المسؤول المسؤول عن الأمان ، فإن القاعدة "المسؤول الجيد هو شخص لديه القدرة على النوم بشكل مستمر" لا تنطبق هنا. نظام المعلومات هو كائن ديناميكي تتغير فيه الظروف الداخلية والخارجية باستمرار. وبالمثل ، فإن بنية المنظمة ليست شيئًا دائمًا. قد يتم إنشاء وحدات أو أقسام هيكلية جديدة أو خدمات (مثل الدعم أو قواعد البيانات) ، أو سيكون هناك انتقال من غرفة إلى أخرى. تتغير المعلومات التي يتم تداولها عبر النظام أيضًا. لذلك ، يجب أن تأخذ السياسة الأمنية في نظم المعلومات في الاعتبار جميع الجوانب المذكورة أعلاه وأن تأخذها في الاعتبار. هذا لا يعني أن الأمن شيء استقر. لا ، بالنظر إلى الحاجة إلى التحسين المستمر والتكيف مع التحديات ، سيكون من الأفضل أن نسميها عملية.
تقييم النتائج
تستخدم لتحديد الفعالية.هناك تقنيات خاصة يمكنك من خلالها تحديد هذه المعلمة. إن إجراء مثل هذا الفحص بمفرده أمر صعب للغاية نظرًا لحقيقة أنه كان ينبغي القضاء على جميع العيوب المرئية من قبل منشئي نظام الحماية. لذلك ، وكقاعدة عامة ، يتم تكليف هذه المهمة في الغالب بطرف ثالث. وهي ، من موقع مختلف ، ستقترب من الاختبار ، ومن المحتمل جدًا أنها ستكون قادرة على ملاحظة بقعة ضعيفة فاتها المطورون أنفسهم. في الواقع ، يعمل هؤلاء المفتشون كمفرقعات ، لكنهم استفادوا بالفعل من استخدام جميع البيانات الممكنة في شكل مدفوعات نقدية من الشركة نفسها. من هذه اللحظات التي يتم فيها تنفيذ السياسة الأمنية.
استنتاج
ربما من غير المنطقي أن تقوم الشركات الصغيرة بتطوير سياستها الأمنية الخاصة. لكن بالنسبة للشركات الكبيرة التي تخطط للعمل لفترة طويلة جدًا ، قد تكون قيمتها في بعض الأوقات غير عادية. إذا تم تطوير سياسة أمنية على مستوى عالٍ ، فإن ممثلي الشركة قد لا يعرفون أبدًا ما الذي يحميهم منها. وحتى لو بدا الأمر غير منطقي ، فإن استخدام هذه التجربة في أي مجال من مجالات النشاط أمر في غاية الأهمية.