Зараз кожна людина або організація має інформацію, яку немає бажання опубліковувати, або, навпаки, існують плани якомога дорожче розпрощатися з нею. І для цього і необхідна політика безпеки. Це така напрацювання, в завдання якої входить припинення неконтрольованого розповсюдження даних, які не повинні бути відомі широкому загалу. Вона опрацьовує питання можливої ​​втрати або неотримання доступу, що в будь-якому випадку позначиться на роботі. Також, якщо таке все ж сталося, зазвичай передбачений комплекс заходів, щоб мінімізувати збиток. По суті, політика безпеки - це сукупність норм і правил щодо техніки і персоналу організації, на яку вона ж і поширюється. Як випливає максимізувати її ефективність?

Комплексність понад усе

Питання захисту інформації має вирішуватися повністю, але перш за все необхідно блокувати всі можливі канали втрати даних. Це необхідно робити через те, що застосування окремих заходів майже не збільшує безпеку всієї системи. Давайте розглянемо на прикладі. У нас є будинок. У ньому ми встановили броньовані двері, в якій є надскладні замки. Але при цьому ми залишили відкритими вікна! Чи захищений наше житло? Відповідь очевидна - ні. Хоча, якщо ми все ж живемо не в одноповерховому будинку, а на 125-му поверсі хмарочоса, то все ж трохи підвищимо безпеку. За схожим принципом діє і захист в інформаційних системах. Окремі заходи можуть значно збільшити безпеку, або принести мінімальний ефект. У будь-якому випадку необхідно підходити з точки зору комплексності.

Що бажано робити?

Найчастіше, щоб забезпечити безпеку, створюють повноцінну комплексну систему захисту інформації (КСЗІ), яка є сукупністю інженерних і організаційних заходів, а також програмно-апаратних засобів. Разом вони і забезпечують нормальну роботу автоматизованих систем. Управління політикою безпеки бажано здійснювати не тільки покладаючись на комп'ютерну техніку, а й на персонал організації.

організаційні заходи

Є дуже важливою і часто недооціненою складовою. Під організаційними заходами розуміють розробку і застосування на практики офіційної політики щодо інформаційної безпеки. Сюди відносять:

  1. Складань посадових інструкцій, яких повинні дотримуватися користувачі і представники обслуговуючого персоналу.
  2. Розробка правил адміністрування окремих компонентів системи.
  3. Створення плану дії при виявленні спроби несанкціонованого доступу.
  4. Розробка правил, які будуть обумовлювати облік, зберігання, розмноження і знищення носіїв конфіденційної інформації.
  5. Опрацювання питань ідентифікації.
  6. Розробка плану при виході засобів захисту з ладу і виникнення надзвичайно ситуації.
  7. Навчання всіх користувачів правилам і рекомендація інформаційної безпеки, а також відстеження їх виконань.

Проблеми при ігноруванні організаційних заходів

Що буде, якщо не провести підготовку за цим напрямком? Тоді люди перетворюються в найскладніше ланка системи захисту. Результатом ігнорування даного аспекту часто є навіть неможливість відновлення інформаційної системи взагалі. І цілі політики безпеки будуть досягатися не завжди і з великими проблемами. Але навіть якщо резервну копію даних, на відтворення знадобиться певний час. До того ж створення інструкцій дозволить полегшити роботу в ситуаціях, коли все створювалося одним співробітником, а відновлюється або допрацьовується іншим.

Найважливіший аспект організаційних заходів

Слід навчити користувачів розпізнавати атаки зловмисників. Давайте наведемо кілька прикладів, які продемонструють вам, наскільки вони хитрі:

  1. Співробітник отримує дзвінок або електронного листа від директора або іншого високопоставленого управлінця з проханням надати свій пароль, який дасть доступ до бази даних, щоб протестувати систему, провести модифікацію програмної складової або виконати іншу правдоподібну завдання. Результатом стане отримання шахраєм можливості її видалення або значного спотворення, що спричинить за собою збитки.
  2. Співробітник заходить на веб-сторінку, як він вважає, своєї компанії, але насправді підробленої. Вводить свої дані. І все - зловмисник має доступ до системи. Причому, щоб працівник не здогадався, що він не там, може здійснитися перенаправлення і автоматична авторизація на офіційному сайті.
  3. Співробітникові підкидається інфікований зловмисником носій, програма на якому відкриє доступ до бази даних, видалить її або зробить ще якісь неприємні дії.

І це не всі можливі варіанти, а лише деякі.

Підготовка основи комплексної системи захисту інформації

Розробка політики безпеки вимагає серйозного і всеосяжного підходу. Це робиться поетапно. Спочатку необхідно обстежити інформаційно-телекомунікаційну систему. Проводиться аналіз її архітектури, топології, складових частин, інвентаризація інформаційних ресурсів. Всі власники і користувачі повинні бути ідентифіковані і володіти відповідною документацією. Залежно від важливості присвоюються різні грифи секретності. Слід запам'ятати, що політика безпеки будується на основі зібраних і проаналізованих даних. Чим більший масив інформації буде оброблений, тим кращим вийде кінцевий результат.

Визначаємося з захистом

Необхідно побудувати модель загроз. У ній комп'ютерна система представлена ​​у вигляді набору послуг. Кожна з них має свою сукупність функцій, що дозволяє визначити безліч загроз. Серед них:

  1. Загрози конфіденційності. Сюди відносять все, що пов'язано з несанкціонованим ознайомленням вмісту;
  2. Загрози цілісності. Все, що відноситься до несанкціонованої модифікації або тягне знищення інформації;
  3. Загрози доступності. Сюди відносять можливості нецільового використання інформаційної системи;
  4. Загрози спостережливості. Тут опрацьовуються всі можливості проблем з ідентифікацією та забезпечення контролю дій користувачів.

Основи політики безпеки повинні мати рішення для кожної можливої ​​загрози. Але разом з тим необхідно дотримуватися розумної межі. Так, немає сенсу опрацьовувати конфіденційність інформації, яка розміщена на офіційному сайті організації і за задумкою повинна бути доступною для ознайомлення всім бажаючим.

характер загроз

Він визначається тим, що виступає в якості причини проблем. Виділяють три типи:

  1. Природного характеру. Сюди відносять стихійні лиха, пожежі і схожі проблеми. Вони завдають найбільший фізичний шкоди. Від них найскладніше захиститься. Але ймовірність виникнення такої загрози найнижча. Як захист використовується розміщення на різній території і конструктивні особливості будівлі (потовщення стіни, протипожежний захист і так далі).
  2. Технічного характеру. Сюди відносять аварії, відмови обладнання, збої. Вони завдають відносно високий збиток. Захищаються від них за допомогою механізмів дублювання даних.
  3. Людський фактор. Під ним не завжди розуміють навмисний злий умисел. Сюди можна віднести також помилки проектування, експлуатації, розробки компонентів системи, ненавмисні дії користувачів. З чисто технічної точки зору, не проінструктував прибиральниця в серверній кімнаті представляє не меншу загрозу для апаратури, ніж організована і досвідчена група комп'ютерних зломщиків.

Завдання політики безпеки - це недопущення даних проблем, а в разі, якщо вони все ж сталися, то втілення в життя комплексу заходів, який мінімізує отриманий збиток.

Особливості моделі загроз

При її опрацювання слід враховувати, що різні види інформації повинні мати різну систему безпеки. Так, щодо публічних даних, що знаходяться на веб-сайті, можна сказати, що необхідно подбати про їх цілісності і доступності. Оскільки їх повинні бачити все, то питання конфіденційності можна проігнорувати. Тоді як дані, що циркулюють усередині компанії, повинні бути захищені від несанкціонованого доступу. Але повноцінний захист усього за найвищим розрядом вимагає багато сил і ресурсів. Тому визначаються з найбільш важливими даними, яким і забезпечується найбільша безпеку. А інша інформація захищається відповідно до своєї цінністю.

модель порушника

Вона будується щодо людей. Вона визначає всі можливі типи порушників і дає їм докладну характеристику. Так, моделі створюються щодо професійних зломщиків, недосвідчених найманців, простих хуліганів, співробітників підприємства. Найбільшу небезпеку в даному випадку надають перші. Це через те, що у них є необхідний набір знань і технічних засобів, щоб здійснювати несанкціонований доступ. За професіоналами слідують співробітники підприємств, оскільки вони мають доступ до інформації, а також можуть бути ознайомлені з організацією системи безпеки. Це вже дає мінімальні можливості впливу на ресурси. Тому при наявності мотивації співробітники можуть завдати значної шкоди (що, загалом-то, не є рідкістю). А якщо до них ще й звернуться зловмисники, то це взагалі сумна історія.

документація

Коли виконані всі попередні етапи, то опрацьовуються всі потрібні папери, як то: «Політика безпеки інформації», «Технічне завдання по створенню КСЗІ» та інші моменти. Після цього проводиться вибір програмних та апаратних засобів захисту, і конфігуруються їх характеристики. В кінцевому підсумку розробляється документація по «Технічний проект зі створення КСЗІ». Коли все готово, то вже можна приступати до впровадження обраних засобів, заходів і способів захисту інформаційної системи.

Але просто створити мало. Необхідно ще переконатися, що все працює правильно, і періодично дивитися, що цей стан зберігається. Для цього проводиться контроль цілісності, уточнень вимог (доробка) і аналізується стан інформаційної системи. Якщо говорити про адміністратора, який відповідає за безпеку, то правило «хороший адмін - це той, хто має можливість постійно спати» тут не діє. Інформаційна система є динамічним об'єктом, в якому постійно змінюються внутрішні і зовнішні умови. Точно також не є чимось постійним і структура організації. Можуть створюватися нові структурні підрозділи або відділи, служби (як то підтримки або бази даних) або відбудеться переїзд з одного приміщення в інше. Також змінюється інформація, що циркулює по системі. Тому політика безпеки в інформаційних системах повинна враховувати всі наведені аспекти і брати їх до уваги. Не можна сказати, що безпека - це щось встояти. Ні, з огляду на необхідність постійного вдосконалення і підгонки під виклики, її краще буде називати процесом.

оцінка результату

Використовується для визначення ефективності. Існують спеціальні методики, за допомогою яких можна визначити цей параметр. Ось тільки проводить подібну перевірку своїми силами досить складно з огляду на те, що всі видимі вади повинні були усунутися творцями системи захисту. Тому, як правило, це завдання часто доручають третій стороні. А вона, вже з іншої позиції, підійде до перевірки і цілком можливо, що зможе помітити слабке місце, яке було упущено самими розробниками. По суті, такі перевіряючі виступають в ролі зломщиків, але вони вже отримали свою вигоду від використання всіх можливих даних у вигляді оплати грошовими коштами від самої компанії. Ось з таких моментів і робиться реалізація політики безпеки.

висновок

Можливо, малому бізнесу і немає сенсу розробляти свою політику безпеки. Але для великих підприємств, які планують функціонувати ще дуже довго, її цінність в певні моменти часу може виявитися надзвичайної. Якщо політика безпеки буде розроблена на високому рівні, то представники компанії можуть навіть ніколи не дізнатися, від чого вона їх захистила. І навіть якщо здається, що вона не має сенсу, використання даної напрацювання в будь-якій сфері діяльності є надзвичайно важливою.