Dasar keselamatan maklumat organisasi. Dasar keselamatan maklumat dan prinsip organisasinya

Perisian TSF di luar kernel terdiri daripada aplikasi yang dipercayai yang digunakan untuk melaksanakan fungsi keselamatan. Ambil perhatian bahawa perpustakaan kongsi, termasuk modul PAM dalam beberapa kes, digunakan oleh aplikasi yang dipercayai. Walau bagaimanapun, tidak ada contoh di mana perpustakaan kongsi itu sendiri dianggap sebagai objek yang dipercayai. Perintah yang dipercayai boleh dikumpulkan seperti berikut.

  • Inisialisasi sistem
  • Pengenalan dan Pengesahan
  • Aplikasi Rangkaian
  • Pemprosesan Kelompok
  • Pengurusan sistem
  • Audit peringkat pengguna
  • Sokongan kriptografi
  • Sokongan mesin maya

Komponen pelaksanaan kernel boleh dibahagikan kepada tiga bahagian komponen: kernel utama, thread kernel, dan modul kernel, bergantung pada cara ia akan dilaksanakan.

  • Teras termasuk kod yang dijalankan untuk menyediakan perkhidmatan, seperti melayan panggilan sistem pengguna atau melayan peristiwa pengecualian atau gangguan. Kebanyakan kod kernel yang disusun termasuk dalam kategori ini.
  • Benang kernel. Untuk melaksanakan tugas rutin tertentu, seperti mengosongkan cache cakera atau membebaskan memori dengan menukar blok halaman yang tidak digunakan, kernel mencipta proses dalaman atau benang. Benang dijadualkan seperti proses biasa, tetapi ia tidak mempunyai konteks dalam mod yang tidak mempunyai keistimewaan. Benang kernel melaksanakan fungsi bahasa kernel C tertentu. Benang kernel terletak dalam ruang kernel dan dijalankan hanya dalam mod istimewa.
  • Modul kernel dan modul kernel pemacu peranti ialah kepingan kod yang boleh dimuatkan dan dipunggah masuk dan keluar dari kernel mengikut keperluan. Mereka memanjangkan fungsi kernel tanpa perlu but semula sistem. Setelah dimuatkan, kod objek modul kernel boleh mengakses kod dan data kernel lain dengan cara yang sama seperti kod objek kernel yang dipautkan secara statik.
Pemacu peranti ialah jenis modul kernel khas yang membolehkan kernel mengakses perkakasan yang disambungkan kepada sistem. Peranti ini boleh menjadi pemacu keras, monitor atau antara muka rangkaian. Pemacu berkomunikasi dengan seluruh kernel melalui antara muka yang ditentukan yang membolehkan kernel menangani semua peranti secara universal, tanpa mengira pelaksanaan asasnya.

Kernel terdiri daripada subsistem logik yang menyediakan pelbagai fungsi. Walaupun kernel adalah satu-satunya program boleh laku, pelbagai perkhidmatan yang disediakannya boleh diasingkan dan digabungkan ke dalam komponen logik yang berbeza. Komponen ini berinteraksi untuk menyediakan fungsi tertentu. Teras terdiri daripada subsistem logik berikut:

  • Subsistem fail dan subsistem I/O: Subsistem ini melaksanakan fungsi yang berkaitan dengan objek sistem fail. Fungsi yang dilaksanakan termasuk fungsi yang membenarkan proses mencipta, menyelenggara, berinteraksi dengan dan memadam objek sistem fail. Objek ini termasuk fail biasa, direktori, pautan simbolik, pautan keras, fail khusus untuk jenis peranti tertentu, paip bernama dan soket.
  • Subsistem proses: Subsistem ini melaksanakan fungsi yang berkaitan dengan pengurusan proses dan pengurusan benang. Fungsi yang dilaksanakan membolehkan anda membuat, menjadualkan, melaksanakan dan memadamkan proses dan subjek benang.
  • Subsistem ingatan: Subsistem ini melaksanakan fungsi yang berkaitan dengan pengurusan sumber memori sistem. Fungsi yang dilaksanakan termasuk fungsi yang mencipta dan mengurus memori maya, termasuk mengurus algoritma halaman dan jadual halaman.
  • Subsistem rangkaian: Subsistem ini melaksanakan UNIX dan soket domain Internet dan algoritma yang digunakan untuk menjadualkan paket rangkaian.
  • Subsistem IPC: Subsistem ini melaksanakan fungsi yang berkaitan dengan mekanisme IPC. Ciri yang dilaksanakan termasuk ciri yang memudahkan pertukaran maklumat terkawal antara proses, membolehkan mereka berkongsi data dan menyegerakkan pelaksanaannya apabila berinteraksi dengan sumber yang dikongsi.
  • Subsistem modul kernel: Subsistem ini melaksanakan infrastruktur untuk menyokong modul yang boleh dimuatkan. Fungsi yang dilaksanakan termasuk memuatkan, memulakan dan memunggah modul kernel.
  • Sambungan Keselamatan Linux: Sambungan keselamatan Linux melaksanakan pelbagai aspek keselamatan yang disediakan di seluruh kernel, termasuk rangka kerja Modul Keselamatan Linux (LSM). Rangka kerja LSM berfungsi sebagai asas untuk modul yang membenarkan pelaksanaan pelbagai dasar keselamatan, termasuk SELinux. SELinux ialah subsistem logik yang penting. Subsistem ini melaksanakan fungsi kawalan capaian mandatori untuk mencapai capaian antara semua subjek dan objek.
  • Subsistem Pemacu Peranti: Subsistem ini menyediakan sokongan untuk pelbagai peranti perkakasan dan perisian melalui antara muka yang sama dan bebas peranti.
  • Subsistem audit: Subsistem ini melaksanakan fungsi yang berkaitan dengan merekod peristiwa kritikal keselamatan dalam sistem. Fungsi yang dilaksanakan termasuk fungsi yang menangkap setiap panggilan sistem untuk merekodkan peristiwa kritikal keselamatan dan fungsi yang melaksanakan pengumpulan dan rakaman data audit.
  • Subsistem KVM: Subsistem ini melaksanakan penyelenggaraan kitaran hayat mesin maya. Ia melaksanakan penyiapan arahan, yang digunakan untuk arahan yang memerlukan pemeriksaan kecil sahaja. Untuk sebarang penyelesaian arahan lain, KVM memanggil komponen ruang pengguna QEMU.
  • API Kripto: Subsistem ini menyediakan perpustakaan kriptografi dalaman kernel untuk semua komponen kernel. Ia menyediakan primitif kriptografi untuk pemanggil.

Kernel adalah bahagian utama sistem pengendalian. Ia berkomunikasi secara langsung dengan perkakasan, melaksanakan perkongsian sumber, menyediakan perkhidmatan biasa kepada aplikasi, dan menghalang aplikasi daripada mengakses terus fungsi yang bergantung kepada perkakasan. Perkhidmatan yang disediakan oleh kernel termasuk:

1. Pengurusan pelaksanaan proses, termasuk operasi penciptaan, penamatan atau penggantungan, dan pertukaran data antara proses. Ini termasuk:

  • Penjadualan proses yang setara untuk pelaksanaan pada CPU.
  • Membahagikan proses pada CPU menggunakan mod perkongsian masa.
  • Melaksanakan proses pada CPU.
  • Menggantung kernel selepas kuantum masa yang diperuntukkan telah tamat tempoh.
  • Peruntukan masa kernel kepada proses lain.
  • Menjadualkan semula masa kernel untuk melaksanakan proses yang digantung.
  • Uruskan metadata berkaitan keselamatan proses seperti UID, GID, teg SELinux, pengecam ciri.
2. Peruntukan RAM untuk proses perlaksanaan. Operasi ini termasuk:
  • Kebenaran yang diberikan oleh kernel untuk memproses untuk berkongsi sebahagian daripada ruang alamat mereka di bawah syarat tertentu; walau bagaimanapun, kernel melindungi ruang alamat proses itu sendiri daripada gangguan luar.
  • Jika sistem kekurangan memori bebas, kernel membebaskan memori dengan menulis proses sementara ke memori peringkat kedua atau swap.
  • Interaksi yang diselaraskan dengan perkakasan mesin untuk mewujudkan alamat maya kepada pemetaan alamat fizikal yang mewujudkan pemetaan antara alamat yang dijana pengkompil dan alamat fizikal.
3. Penyelenggaraan kitaran hayat mesin maya, yang merangkumi:
  • Menetapkan had pada sumber yang dikonfigurasikan oleh aplikasi emulasi untuk mesin maya tertentu.
  • Menjalankan kod program mesin maya untuk pelaksanaan.
  • Mengendalikan penutupan mesin maya sama ada dengan melengkapkan arahan atau menangguhkan penyiapan arahan untuk meniru ruang pengguna.
4. Penyelenggaraan sistem fail. Ia termasuk:
  • Peruntukan memori sekunder untuk penyimpanan yang cekap dan mendapatkan semula data pengguna.
  • Memperuntukkan memori luaran untuk fail pengguna.
  • Kitar semula ruang storan data yang tidak digunakan.
  • Menyusun struktur sistem fail (menggunakan prinsip penstrukturan yang jelas).
  • Melindungi fail pengguna daripada capaian yang tidak dibenarkan.
  • Mengatur akses proses terkawal kepada peranti persisian seperti terminal, pemacu pita, pemacu cakera dan peranti rangkaian.
  • Menganjurkan akses bersama kepada data untuk subjek dan objek, menyediakan akses terkawal berdasarkan dasar DAC dan sebarang dasar lain yang dilaksanakan oleh LSM yang dimuatkan.
Kernel Linux ialah sejenis kernel OS yang melaksanakan penjadualan dengan preemption tugas. Dalam kernel yang tidak mempunyai ciri ini, pelaksanaan kod kernel diteruskan sehingga selesai, i.e. penjadual tidak mampu menjadualkan semula tugas semasa ia berada dalam kernel. Selain itu, kod kernel dijadualkan untuk dilaksanakan secara kooperatif, tanpa penjadualan awalan, dan pelaksanaan kod itu diteruskan sehingga ia ditamatkan dan kembali ke ruang pengguna, atau sehingga ia disekat secara eksplisit. Dalam kernel preemptive, adalah mungkin untuk mendahului tugas pada bila-bila masa selagi kernel berada dalam keadaan yang selamat untuk menjadualkan semula.

Dalam topik ini, saya akan cuba menyusun manual mengenai pembangunan dokumentasi pengawalseliaan dalam bidang keselamatan maklumat untuk struktur komersial, berdasarkan pengalaman peribadi dan bahan dari rangkaian.

Di sini anda boleh mendapatkan jawapan kepada soalan:

  • mengapa dasar keselamatan maklumat diperlukan;
  • cara mengarangnya;
  • bagaimana untuk menggunakannya.

Keperluan untuk dasar keselamatan maklumat
Bahagian ini menerangkan keperluan untuk melaksanakan dasar keselamatan maklumat dan dokumen yang disertakan bukan dalam bahasa indah buku teks dan standard, tetapi menggunakan contoh daripada pengalaman peribadi.
Memahami matlamat dan objektif jabatan keselamatan maklumat
Pertama sekali, dasar itu perlu untuk menyampaikan kepada perniagaan matlamat dan objektif keselamatan maklumat syarikat. Perniagaan mesti memahami bahawa keselamatan bukan sahaja alat untuk menyiasat kebocoran data, tetapi juga pembantu dalam meminimumkan risiko syarikat, dan oleh itu dalam meningkatkan keuntungan syarikat.
Keperluan dasar adalah asas untuk melaksanakan langkah perlindungan
Dasar keselamatan maklumat adalah perlu untuk mewajarkan pengenalan langkah perlindungan dalam syarikat. Polisi mesti diluluskan oleh badan pentadbiran tertinggi syarikat (CEO, lembaga pengarah, dsb.)

Sebarang langkah perlindungan adalah kompromi antara pengurangan risiko dan pengalaman pengguna. Apabila pakar keselamatan mengatakan bahawa proses tidak sepatutnya berlaku dalam beberapa cara kerana kemunculan risiko tertentu, dia sentiasa ditanya soalan yang munasabah: "Bagaimana ia harus berlaku?" Profesional keselamatan perlu mencadangkan model proses di mana risiko ini dikurangkan sedikit sebanyak memuaskan perniagaan.

Selain itu, sebarang aplikasi sebarang langkah perlindungan berhubung interaksi pengguna dengan sistem maklumat syarikat sentiasa menyebabkan reaksi negatif daripada pengguna. Mereka tidak mahu belajar semula, membaca arahan yang dibangunkan untuk mereka, dsb. Selalunya pengguna bertanya soalan yang munasabah:

  • mengapa saya harus bekerja mengikut skema ciptaan anda, dan bukan cara mudah yang selalu saya gunakan
  • yang datang dengan semua ini
Amalan telah menunjukkan bahawa pengguna tidak mengambil berat tentang risiko, anda boleh menjelaskan kepadanya untuk masa yang lama dan membosankan tentang penggodam, kod jenayah, dan lain-lain, tiada apa yang akan datang daripadanya tetapi pembaziran sel saraf.
Jika syarikat anda mempunyai dasar keselamatan maklumat, anda boleh memberikan jawapan yang ringkas dan padat:
langkah ini diperkenalkan untuk mematuhi keperluan dasar keselamatan maklumat syarikat, yang telah diluluskan oleh badan pentadbiran tertinggi syarikat

Sebagai peraturan, selepas ini tenaga kebanyakan pengguna berkurangan. Mereka yang kekal boleh diminta untuk menulis memo kepada badan pentadbiran tertinggi syarikat ini. Di sinilah selebihnya dihapuskan. Kerana walaupun nota itu pergi ke sana, kami sentiasa dapat membuktikan keperluan untuk langkah-langkah yang diambil kepada pengurusan. Tidak sia-sia kita makan roti kita, bukan? Terdapat dua perkara yang perlu diingat semasa membangunkan dasar.
  • Khalayak sasaran dasar keselamatan maklumat ialah pengguna akhir dan pengurusan atasan syarikat, yang tidak memahami ungkapan teknikal yang kompleks, tetapi mesti biasa dengan peruntukan dasar tersebut.
  • Tidak perlu cuba menjejalkan yang tidak sesuai, masukkan semua yang anda boleh dalam dokumen ini! Hanya perlu ada matlamat keselamatan maklumat, kaedah untuk mencapainya dan tanggungjawab! Tiada butiran teknikal melainkan ia memerlukan pengetahuan khusus. Ini semua bahan untuk arahan dan peraturan.


Dokumen akhir mesti memenuhi keperluan berikut:
  • singkatnya - jumlah dokumen yang besar akan menakutkan mana-mana pengguna, tiada siapa yang akan membaca dokumen anda (dan anda akan lebih daripada sekali menggunakan frasa: "ini adalah pelanggaran dasar keselamatan maklumat yang anda telah biasakan")
  • kebolehaksesan kepada orang biasa - pengguna akhir mesti memahami APA yang tertulis dalam dasar (dia tidak akan pernah membaca atau mengingati perkataan dan frasa "pembalakan", "model penceroboh", "insiden keselamatan maklumat", "infrastruktur maklumat", "teknogenik ”, “antropogenik” ", "faktor risiko", dsb.)
Bagaimana untuk mencapai ini?

Sebenarnya, semuanya sangat mudah: dasar keselamatan maklumat harus menjadi dokumen peringkat pertama, ia harus diperluas dan ditambah dengan dokumen lain (peraturan dan arahan), yang sudah akan menerangkan sesuatu yang khusus.
Analogi boleh dibuat dengan negara: dokumen peringkat pertama ialah perlembagaan, dan doktrin, konsep, undang-undang dan peraturan lain yang wujud di negeri itu hanya melengkapi dan mengawal pelaksanaan peruntukannya. Gambar rajah anggaran ditunjukkan dalam rajah.

Untuk tidak mencalit bubur di pinggan, mari kita lihat contoh dasar keselamatan maklumat yang boleh didapati di Internet.

Bilangan halaman yang berguna* Sarat dengan istilah Kedudukan keseluruhan
OJSC Gazprombank 11 Sangat tinggi
Dana Pembangunan Keusahawanan JSC “Damu” 14 tinggi Dokumen yang kompleks untuk bacaan yang bernas, rata-rata orang tidak akan membacanya, dan jika mereka membacanya, mereka tidak akan memahaminya dan tidak akan mengingatnya.
JSC NC "KazMunayGas" 3 rendah Dokumen yang mudah difahami, tidak sarat dengan istilah teknikal
JSC "Institut Kejuruteraan Radio dinamakan sempena Ahli Akademik A. L. Mints" 42 Sangat tinggi Dokumen yang kompleks untuk bacaan yang bernas, orang biasa tidak akan membacanya - terdapat terlalu banyak halaman

* Saya memanggil berguna bilangan halaman tanpa jadual kandungan, halaman tajuk dan halaman lain yang tidak membawa maklumat khusus

Ringkasan

Dasar keselamatan maklumat harus dimuatkan ke dalam beberapa halaman, mudah difahami oleh orang biasa, dan menerangkan secara umum matlamat keselamatan maklumat, kaedah untuk mencapainya dan tanggungjawab pekerja.
Pelaksanaan dan penggunaan dasar keselamatan maklumat
Selepas kelulusan dasar keselamatan maklumat, anda mesti:
  • membiasakan semua pekerja sedia ada dengan dasar;
  • membiasakan semua pekerja baharu dengan dasar ini (cara terbaik untuk melakukan ini adalah topik untuk perbincangan berasingan; kami mempunyai kursus pengenalan untuk pendatang baru, di mana saya memberi penjelasan);
  • menganalisis proses perniagaan sedia ada untuk mengenal pasti dan meminimumkan risiko;
  • mengambil bahagian dalam penciptaan proses perniagaan baharu, supaya tidak mengejar kereta api nanti;
  • membangunkan peraturan, prosedur, arahan dan dokumen lain yang melengkapkan dasar (arahan untuk menyediakan akses kepada Internet, arahan untuk menyediakan akses ke kawasan larangan, arahan untuk bekerja dengan sistem maklumat syarikat, dll.);
  • semak dasar keselamatan maklumat dan dokumen keselamatan maklumat lain sekurang-kurangnya sekali setiap suku untuk mengemas kininya.

Untuk pertanyaan dan cadangan, dialu-alukan di komen dan PM.

Soalan %username%

Bagi politik, bos tidak suka apa yang saya mahu dengan kata-kata mudah. Mereka memberitahu saya: "Selain saya dan anda serta 10 pekerja IT lain yang sendiri mengetahui dan memahami segala-galanya, kami mempunyai 2 ratus yang tidak memahami apa-apa tentang perkara ini, separuh daripada mereka adalah pesara."
Saya mengikuti laluan purata ringkasan perihalan, contohnya, peraturan perlindungan anti-virus, dan di bawah saya menulis sesuatu seperti terdapat dasar perlindungan anti-virus, dsb. Tetapi saya tidak faham jika pengguna menandatangani polisi itu, tetapi sekali lagi dia perlu membaca sekumpulan dokumen lain, nampaknya dia telah memendekkan polisi itu, tetapi nampaknya dia tidak melakukannya.

Di sini saya akan mengambil jalan analisis proses.
Katakan perlindungan antivirus. Secara logiknya, sepatutnya begitu.

Apakah risiko yang ditimbulkan oleh virus kepada kita? Pelanggaran integriti (kerosakan) maklumat, pelanggaran ketersediaan (masa henti pelayan atau PC) maklumat. Jika rangkaian disusun dengan betul, pengguna tidak sepatutnya mempunyai hak pentadbir tempatan dalam sistem, iaitu, dia tidak sepatutnya mempunyai hak untuk memasang perisian (dan oleh itu virus) ke dalam sistem. Oleh itu, pesara jatuh, kerana mereka tidak menjalankan perniagaan di sini.

Siapa yang boleh mengurangkan risiko yang berkaitan dengan virus? Pengguna dengan hak pentadbir domain. Pentadbir domain ialah peranan yang sensitif, diberikan kepada pekerja jabatan IT, dsb. Sehubungan itu, mereka harus memasang antivirus. Ternyata mereka juga bertanggungjawab terhadap aktiviti sistem anti-virus. Sehubungan itu, mereka mesti menandatangani arahan untuk mengatur perlindungan anti-virus. Sebenarnya, tanggungjawab ini mesti ditulis dalam arahan. Sebagai contoh, pengawal keselamatan memerintah, pentadbir melaksanakan.

Soalan %username%

Kemudian persoalannya ialah, apa yang tidak boleh dimasukkan dalam arahan tanggungjawab Anti-Virus ZI untuk penciptaan dan penggunaan virus (atau ada artikel dan tidak boleh disebut)? Atau mereka dikehendaki melaporkan virus atau tingkah laku PC aneh kepada Meja Bantuan atau orang IT?

Sekali lagi, saya akan melihat dari perspektif pengurusan risiko. Ini bau, boleh dikatakan, GOST 18044-2007.
Dalam kes anda, "tingkah laku aneh" tidak semestinya virus. Ini mungkin brek sistem atau brek, dsb. Sehubungan itu, ini bukan insiden, tetapi peristiwa keselamatan maklumat. Sekali lagi, menurut GOST, mana-mana orang boleh melaporkan peristiwa, tetapi adalah mungkin untuk memahami sama ada ia adalah insiden atau bukan hanya selepas analisis.

Oleh itu, soalan anda ini tidak lagi diterjemahkan ke dalam dasar keselamatan maklumat, tetapi ke dalam pengurusan insiden. Polisi anda harus menyatakan itu syarikat mesti mempunyai sistem pengendalian insiden.

Iaitu, seperti yang anda lihat, pelaksanaan pentadbiran dasar terletak terutamanya kepada pentadbir dan pegawai keselamatan. Pengguna ditinggalkan dengan barangan tersuai.

Oleh itu, anda perlu menyediakan beberapa "Prosedur untuk menggunakan SVT dalam syarikat", di mana anda mesti menunjukkan tanggungjawab pengguna. Dokumen ini harus berkait dengan dasar keselamatan maklumat dan boleh dikatakan, penjelasan untuk pengguna.

Dokumen ini boleh menunjukkan bahawa pengguna dikehendaki memberitahu pihak berkuasa yang berkenaan tentang aktiviti komputer yang tidak normal. Nah, anda boleh menambah segala-galanya tersuai di sana.

Secara keseluruhan, anda perlu membiasakan pengguna dengan dua dokumen:

  • dasar keselamatan maklumat (supaya dia memahami apa yang sedang dilakukan dan mengapa, tidak menggegarkan bot, tidak bersumpah apabila memperkenalkan sistem kawalan baharu, dsb.)
  • "Prosedur untuk menggunakan SVT dalam syarikat" ini (supaya dia memahami apa sebenarnya yang perlu dilakukan dalam situasi tertentu)

Sehubungan itu, apabila melaksanakan sistem baharu, anda hanya menambah sesuatu pada "Prosedur" dan memberitahu pekerja tentang perkara ini dengan menghantar prosedur melalui e-mel (atau melalui EDMS, jika ada).

Tag:

  • Keselamatan maklumat
  • Pengurusan risiko
  • Dasar keselamatan
Tambah tag

Dalam dunia moden, konsep "dasar keselamatan maklumat" boleh ditafsirkan dalam pengertian yang luas dan sempit. Bagi maksud pertama yang lebih luas, ia menandakan sistem keputusan yang kompleks yang dibuat oleh organisasi tertentu, didokumenkan secara rasmi dan bertujuan untuk memastikan keselamatan perusahaan. Dalam erti kata yang sempit, konsep ini bermaksud dokumen berkepentingan tempatan, yang menyatakan keperluan keselamatan, sistem langkah yang diambil, tanggungjawab pekerja dan mekanisme kawalan.

Dasar keselamatan maklumat yang komprehensif adalah jaminan kestabilan fungsi mana-mana syarikat. Keseluruhannya terletak pada pertimbangan dan keseimbangan tahap perlindungan, serta pembangunan langkah-langkah dan sistem kawalan yang betul sekiranya berlaku sebarang pelanggaran.

Semua kaedah organisasi memainkan peranan penting dalam mewujudkan skim keselamatan maklumat yang boleh dipercayai, kerana penggunaan maklumat yang menyalahi undang-undang adalah hasil daripada tindakan berniat jahat, kecuaian kakitangan, dan bukan masalah teknikal. Untuk mencapai hasil yang baik, anda memerlukan interaksi komprehensif langkah-langkah organisasi, undang-undang dan teknikal, yang sepatutnya mengecualikan semua penembusan tanpa kebenaran ke dalam sistem.

Keselamatan maklumat adalah jaminan kelancaran operasi syarikat dan pembangunannya yang stabil. Walau bagaimanapun, asas untuk membina sistem perlindungan berkualiti tinggi haruslah jawapan kepada soalan berikut:

    Apakah sistem data dan apakah tahap perlindungan keselamatan yang diperlukan?

    Siapa yang boleh menyebabkan kerosakan kepada syarikat dengan mengganggu fungsi sistem maklumat dan siapa yang boleh menggunakan maklumat yang diterima?

    Bagaimanakah risiko sedemikian boleh dikurangkan kepada tahap minimum tanpa mengganggu kelancaran fungsi organisasi?

    Oleh itu, konsep keselamatan maklumat harus dibangunkan secara peribadi untuk perusahaan tertentu dan mengikut kepentingannya. Peranan utama dalam ciri kualitatifnya dimainkan oleh langkah-langkah organisasi, yang termasuk:

      Organisasi sistem kawalan capaian yang mantap. Ini dilakukan untuk mengelakkan kemasukan rahsia dan tanpa kebenaran ke dalam wilayah syarikat oleh orang yang tidak dibenarkan, serta kawalan ke atas penginapan di premis dan masa keluar.

      Bekerja dengan pekerja. Intipatinya terletak pada mengatur interaksi dengan kakitangan dan merekrut kakitangan. Ia juga penting untuk membiasakan diri dengan mereka, menyediakan dan mengajar peraturan untuk bekerja dengan maklumat supaya pekerja mengetahui had kerahsiaannya.

      Dasar keselamatan maklumat juga menyediakan penggunaan berstruktur cara teknikal yang bertujuan untuk pengumpulan, pengumpulan dan peningkatan kerahsiaan.

      Menjalankan kerja yang bertujuan untuk memantau kakitangan dari segi penggunaan maklumat sulit mereka dan membangunkan langkah-langkah yang harus memastikan perlindungannya.

    Kos untuk melaksanakan polisi sedemikian tidak boleh melebihi potensi kerosakan yang akan berlaku akibat kerugiannya.

    Dasar keselamatan maklumat dan keberkesanannya sebahagian besarnya bergantung pada bilangan keperluan yang dikemukakan kepadanya oleh syarikat, yang memungkinkan untuk mengurangkan tahap risiko ke tahap yang diperlukan.

Bagi sesebuah perusahaan, maklumatnya merupakan sumber penting. Dasar keselamatan maklumat mentakrifkan langkah yang perlu untuk melindungi maklumat daripada pemerolehan, pemusnahan, dsb. Setiap pekerja perusahaan bertanggungjawab untuk mematuhi dasar keselamatan. Matlamat dasar keselamatan adalah:

  • Pelaksanaan akses berterusan kepada sumber syarikat untuk prestasi biasa tugas mereka oleh pekerja
  • Menyediakan sumber maklumat kritikal
  • Perlindungan integriti data
  • Penetapan tahap tanggungjawab dan fungsi pekerja untuk pelaksanaan keselamatan maklumat di perusahaan
  • Bekerja untuk membiasakan pengguna dengan risiko yang berkaitan dengan maklumat. sumber perusahaan

Pekerja hendaklah diperiksa secara berkala untuk memastikan pematuhan dengan dasar keselamatan maklumat. Peraturan dasar digunakan untuk semua sumber dan maklumat perusahaan. Syarikat memiliki hak untuk pemilikan sumber pengkomputeran, maklumat perniagaan, perisian berlesen dan dicipta, kandungan mel dan pelbagai jenis dokumen.

Untuk semua aset maklumat sesebuah perusahaan, mesti ada orang yang sesuai dengan tanggungjawab untuk penggunaan aset tertentu.

Kawalan capaian kepada sistem maklumat

Semua tugas mesti dilaksanakan hanya pada komputer yang diluluskan untuk digunakan dalam perusahaan. Penggunaan peranti mudah alih dan peranti storan anda hanya boleh dilakukan dengan kelulusan. Semua maklumat sulit mesti disimpan dalam bentuk yang disulitkan pada cakera keras yang dilengkapi dengan perisian penyulitan cakera keras. Hak pekerja terhadap sistem maklumat hendaklah disemak secara berkala. Untuk melaksanakan akses yang dibenarkan kepada sumber maklumat, log masuk ke sistem mesti dilaksanakan menggunakan nama pengguna dan kata laluan yang unik. Kata laluan mesti memenuhi . Selain itu, semasa rehat, atau apabila pekerja tidak hadir di tempat kerjanya, fungsi penyelamat skrin harus dicetuskan untuk menyekat mesin yang berfungsi.

Akses pihak ketiga kepada sistem maklumat perusahaan

Setiap pekerja mesti memberitahu perkhidmatan keselamatan maklumat bahawa dia menyediakan pihak ketiga akses kepada sumber rangkaian maklumat.

Akses jauh

Pekerja yang menggunakan peranti mudah alih peribadi boleh meminta akses jauh ke rangkaian maklumat perusahaan. Pekerja yang bekerja di luar tapak dan mempunyai akses jauh dilarang daripada menyalin data daripada rangkaian korporat. Selain itu, pekerja sedemikian tidak boleh mempunyai lebih daripada satu sambungan ke rangkaian berbeza yang bukan milik perusahaan. Komputer dengan capaian jauh mesti mengandungi .

akses internet

Akses sedemikian hanya dibenarkan untuk tujuan perniagaan dan bukan untuk kegunaan peribadi. Berikut adalah cadangan:

  • Dilarang melawati sumber web yang dianggap menyinggung masyarakat atau mengandungi kandungan seksual, propaganda, dsb.
  • Pekerja tidak seharusnya menggunakan Internet untuk menyimpan data syarikat
  • Pekerja yang mempunyai akaun yang disediakan oleh pembekal awam dilarang menggunakan peralatan perusahaan
  • Semua fail dari Internet mesti diimbas untuk mengesan virus
  • Akses Internet adalah dilarang untuk semua bukan pekerja

Perlindungan peralatan

Pekerja juga harus berhati-hati dalam melaksanakan keselamatan fizikal untuk peralatan di mana data perusahaan disimpan atau diproses. Dilarang mengkonfigurasi perkakasan dan perisian secara manual; pakar perkhidmatan keselamatan maklumat tersedia untuk ini.

Perkakasan

Pengguna yang bekerja dengan maklumat sulit mesti mempunyai bilik yang berasingan untuk menyekat akses kepada mereka dan tempat kerja mereka secara fizikal.

Setiap pekerja, setelah menerima peralatan daripada perusahaan untuk kegunaan sementara (perjalanan perniagaan), mesti menjaganya dan tidak meninggalkannya tanpa pengawasan. Sekiranya berlaku kehilangan atau situasi kecemasan lain, data pada komputer mesti disulitkan terlebih dahulu.

Memformat data sebelum merakam atau memusnahkan media bukanlah jaminan 100% terhadap kebersihan peranti. Selain itu, port data pada komputer meja harus disekat, melainkan pekerja mempunyai kebenaran untuk menyalin data.

Perisian

Semua perisian yang dipasang pada komputer perusahaan adalah hak milik perusahaan dan mesti digunakan untuk tugas rasmi. Adalah dilarang untuk pekerja memasang perisian lain secara peribadi tanpa bersetuju dengan perkhidmatan keselamatan maklumat. Semua komputer meja mesti mempunyai set perisian minimum:

  • Perisian antivirus
  • Perisian penyulitan cakera keras
  • Perisian penyulitan e-mel

Pekerja syarikat tidak boleh:

  • menyekat atau memasang perisian antivirus lain
  • tukar tetapan keselamatan

Mesej elektronik (walaupun telah dipadam) boleh digunakan oleh kerajaan. pihak berkuasa atau pesaing perniagaan di mahkamah sebagai bukti. Oleh itu, kandungan mesej mesti mematuhi piawaian korporat dalam bidang etika perniagaan.

Pekerja tidak boleh menghantar maklumat sulit syarikat melalui mel tanpa penyulitan. Pekerja juga tidak dibenarkan menggunakan peti surat awam. Untuk aliran dokumen, hanya peti mel korporat harus digunakan. Berikut ialah tindakan yang tidak boleh diselesaikan apabila melaksanakan e-mel:

  • mel berkumpulan kepada semua pengguna perusahaan
  • menghantar mesej peribadi menggunakan sumber e-mel syarikat
  • langganan peti mel syarikat surat berita
  • menghantar bahan yang tidak berkaitan dengan kerja

Pelaporan, tindak balas dan pelaporan insiden

Semua pekerja mesti melaporkan sebarang kelemahan keselamatan yang disyaki. Juga, kelemahan dalam sistem keselamatan yang diketahui pekerja tidak boleh didedahkan. Jika terdapat syak wasangka virus atau tindakan pemusnah lain pada komputer, pekerja mesti:

  • memaklumkan kakitangan keselamatan maklumat
  • jangan hidupkan komputer yang dijangkiti dan jangan gunakannya
  • Jangan sambungkan komputer ke rangkaian maklumat perusahaan

Premis dengan kaedah perlindungan teknikal

Semua mesyuarat/mesyuarat sulit hendaklah diadakan hanya di bilik yang ditetapkan. Peserta dilarang membawa peranti rakaman (Audio/video) dan telefon bimbit ke dalam premis tanpa kebenaran perkhidmatan keselamatan maklumat. Rakaman audio/video boleh dibuat oleh pekerja dengan kebenaran daripada perkhidmatan keselamatan maklumat.

Dalam topik ini, saya akan cuba menyusun manual mengenai pembangunan dokumentasi pengawalseliaan dalam bidang keselamatan maklumat untuk struktur komersial, berdasarkan pengalaman peribadi dan bahan dari rangkaian.

Di sini anda boleh mendapatkan jawapan kepada soalan:

  • mengapa dasar keselamatan maklumat diperlukan;
  • cara mengarangnya;
  • bagaimana untuk menggunakannya.

Keperluan untuk dasar keselamatan maklumat
Bahagian ini menerangkan keperluan untuk melaksanakan dasar keselamatan maklumat dan dokumen yang disertakan bukan dalam bahasa indah buku teks dan standard, tetapi menggunakan contoh daripada pengalaman peribadi.
Memahami matlamat dan objektif jabatan keselamatan maklumat
Pertama sekali, dasar itu perlu untuk menyampaikan kepada perniagaan matlamat dan objektif keselamatan maklumat syarikat. Perniagaan mesti memahami bahawa keselamatan bukan sahaja alat untuk menyiasat kebocoran data, tetapi juga pembantu dalam meminimumkan risiko syarikat, dan oleh itu dalam meningkatkan keuntungan syarikat.
Keperluan dasar adalah asas untuk melaksanakan langkah perlindungan
Dasar keselamatan maklumat adalah perlu untuk mewajarkan pengenalan langkah perlindungan dalam syarikat. Polisi mesti diluluskan oleh badan pentadbiran tertinggi syarikat (CEO, lembaga pengarah, dsb.)

Sebarang langkah perlindungan adalah kompromi antara pengurangan risiko dan pengalaman pengguna. Apabila pakar keselamatan mengatakan bahawa proses tidak sepatutnya berlaku dalam beberapa cara kerana kemunculan risiko tertentu, dia sentiasa ditanya soalan yang munasabah: "Bagaimana ia harus berlaku?" Profesional keselamatan perlu mencadangkan model proses di mana risiko ini dikurangkan sedikit sebanyak memuaskan perniagaan.

Selain itu, sebarang aplikasi sebarang langkah perlindungan berhubung interaksi pengguna dengan sistem maklumat syarikat sentiasa menyebabkan reaksi negatif daripada pengguna. Mereka tidak mahu belajar semula, membaca arahan yang dibangunkan untuk mereka, dsb. Selalunya pengguna bertanya soalan yang munasabah:

  • mengapa saya harus bekerja mengikut skema ciptaan anda, dan bukan cara mudah yang selalu saya gunakan
  • yang datang dengan semua ini
Amalan telah menunjukkan bahawa pengguna tidak mengambil berat tentang risiko, anda boleh menjelaskan kepadanya untuk masa yang lama dan membosankan tentang penggodam, kod jenayah, dan lain-lain, tiada apa yang akan datang daripadanya tetapi pembaziran sel saraf.
Jika syarikat anda mempunyai dasar keselamatan maklumat, anda boleh memberikan jawapan yang ringkas dan padat:
langkah ini diperkenalkan untuk mematuhi keperluan dasar keselamatan maklumat syarikat, yang telah diluluskan oleh badan pentadbiran tertinggi syarikat

Sebagai peraturan, selepas ini tenaga kebanyakan pengguna berkurangan. Mereka yang kekal boleh diminta untuk menulis memo kepada badan pentadbiran tertinggi syarikat ini. Di sinilah selebihnya dihapuskan. Kerana walaupun nota itu pergi ke sana, kami sentiasa dapat membuktikan keperluan untuk langkah-langkah yang diambil kepada pengurusan. Tidak sia-sia kita makan roti kita, bukan? Terdapat dua perkara yang perlu diingat semasa membangunkan dasar.
  • Khalayak sasaran dasar keselamatan maklumat ialah pengguna akhir dan pengurusan atasan syarikat, yang tidak memahami ungkapan teknikal yang kompleks, tetapi mesti biasa dengan peruntukan dasar tersebut.
  • Tidak perlu cuba menjejalkan yang tidak sesuai, masukkan semua yang anda boleh dalam dokumen ini! Hanya perlu ada matlamat keselamatan maklumat, kaedah untuk mencapainya dan tanggungjawab! Tiada butiran teknikal melainkan ia memerlukan pengetahuan khusus. Ini semua bahan untuk arahan dan peraturan.


Dokumen akhir mesti memenuhi keperluan berikut:
  • singkatnya - jumlah dokumen yang besar akan menakutkan mana-mana pengguna, tiada siapa yang akan membaca dokumen anda (dan anda akan lebih daripada sekali menggunakan frasa: "ini adalah pelanggaran dasar keselamatan maklumat yang anda telah biasakan")
  • kebolehaksesan kepada orang biasa - pengguna akhir mesti memahami APA yang tertulis dalam dasar (dia tidak akan pernah membaca atau mengingati perkataan dan frasa "pembalakan", "model penceroboh", "insiden keselamatan maklumat", "infrastruktur maklumat", "teknogenik ”, “antropogenik” ", "faktor risiko", dsb.)
Bagaimana untuk mencapai ini?

Sebenarnya, semuanya sangat mudah: dasar keselamatan maklumat harus menjadi dokumen peringkat pertama, ia harus diperluas dan ditambah dengan dokumen lain (peraturan dan arahan), yang sudah akan menerangkan sesuatu yang khusus.
Analogi boleh dibuat dengan negara: dokumen peringkat pertama ialah perlembagaan, dan doktrin, konsep, undang-undang dan peraturan lain yang wujud di negeri itu hanya melengkapi dan mengawal pelaksanaan peruntukannya. Gambar rajah anggaran ditunjukkan dalam rajah.

Untuk tidak mencalit bubur di pinggan, mari kita lihat contoh dasar keselamatan maklumat yang boleh didapati di Internet.

Bilangan halaman yang berguna* Sarat dengan istilah Kedudukan keseluruhan
OJSC Gazprombank 11 Sangat tinggi
Dana Pembangunan Keusahawanan JSC “Damu” 14 tinggi Dokumen yang kompleks untuk bacaan yang bernas, rata-rata orang tidak akan membacanya, dan jika mereka membacanya, mereka tidak akan memahaminya dan tidak akan mengingatnya.
JSC NC "KazMunayGas" 3 rendah Dokumen yang mudah difahami, tidak sarat dengan istilah teknikal
JSC "Institut Kejuruteraan Radio dinamakan sempena Ahli Akademik A. L. Mints" 42 Sangat tinggi Dokumen yang kompleks untuk bacaan yang bernas, orang biasa tidak akan membacanya - terdapat terlalu banyak halaman

* Saya memanggil berguna bilangan halaman tanpa jadual kandungan, halaman tajuk dan halaman lain yang tidak membawa maklumat khusus

Ringkasan

Dasar keselamatan maklumat harus dimuatkan ke dalam beberapa halaman, mudah difahami oleh orang biasa, dan menerangkan secara umum matlamat keselamatan maklumat, kaedah untuk mencapainya dan tanggungjawab pekerja.
Pelaksanaan dan penggunaan dasar keselamatan maklumat
Selepas kelulusan dasar keselamatan maklumat, anda mesti:
  • membiasakan semua pekerja sedia ada dengan dasar;
  • membiasakan semua pekerja baharu dengan dasar ini (cara terbaik untuk melakukan ini adalah topik untuk perbincangan berasingan; kami mempunyai kursus pengenalan untuk pendatang baru, di mana saya memberi penjelasan);
  • menganalisis proses perniagaan sedia ada untuk mengenal pasti dan meminimumkan risiko;
  • mengambil bahagian dalam penciptaan proses perniagaan baharu, supaya tidak mengejar kereta api nanti;
  • membangunkan peraturan, prosedur, arahan dan dokumen lain yang melengkapkan dasar (arahan untuk menyediakan akses kepada Internet, arahan untuk menyediakan akses ke kawasan larangan, arahan untuk bekerja dengan sistem maklumat syarikat, dll.);
  • semak dasar keselamatan maklumat dan dokumen keselamatan maklumat lain sekurang-kurangnya sekali setiap suku untuk mengemas kininya.

Untuk pertanyaan dan cadangan, dialu-alukan di komen dan PM.

Soalan %username%

Bagi politik, bos tidak suka apa yang saya mahu dengan kata-kata mudah. Mereka memberitahu saya: "Selain saya dan anda serta 10 pekerja IT lain yang sendiri mengetahui dan memahami segala-galanya, kami mempunyai 2 ratus yang tidak memahami apa-apa tentang perkara ini, separuh daripada mereka adalah pesara."
Saya mengikuti laluan purata ringkasan perihalan, contohnya, peraturan perlindungan anti-virus, dan di bawah saya menulis sesuatu seperti terdapat dasar perlindungan anti-virus, dsb. Tetapi saya tidak faham jika pengguna menandatangani polisi itu, tetapi sekali lagi dia perlu membaca sekumpulan dokumen lain, nampaknya dia telah memendekkan polisi itu, tetapi nampaknya dia tidak melakukannya.

Di sini saya akan mengambil jalan analisis proses.
Katakan perlindungan antivirus. Secara logiknya, sepatutnya begitu.

Apakah risiko yang ditimbulkan oleh virus kepada kita? Pelanggaran integriti (kerosakan) maklumat, pelanggaran ketersediaan (masa henti pelayan atau PC) maklumat. Jika rangkaian disusun dengan betul, pengguna tidak sepatutnya mempunyai hak pentadbir tempatan dalam sistem, iaitu, dia tidak sepatutnya mempunyai hak untuk memasang perisian (dan oleh itu virus) ke dalam sistem. Oleh itu, pesara jatuh, kerana mereka tidak menjalankan perniagaan di sini.

Siapa yang boleh mengurangkan risiko yang berkaitan dengan virus? Pengguna dengan hak pentadbir domain. Pentadbir domain ialah peranan yang sensitif, diberikan kepada pekerja jabatan IT, dsb. Sehubungan itu, mereka harus memasang antivirus. Ternyata mereka juga bertanggungjawab terhadap aktiviti sistem anti-virus. Sehubungan itu, mereka mesti menandatangani arahan untuk mengatur perlindungan anti-virus. Sebenarnya, tanggungjawab ini mesti ditulis dalam arahan. Sebagai contoh, pengawal keselamatan memerintah, pentadbir melaksanakan.

Soalan %username%

Kemudian persoalannya ialah, apa yang tidak boleh dimasukkan dalam arahan tanggungjawab Anti-Virus ZI untuk penciptaan dan penggunaan virus (atau ada artikel dan tidak boleh disebut)? Atau mereka dikehendaki melaporkan virus atau tingkah laku PC aneh kepada Meja Bantuan atau orang IT?

Sekali lagi, saya akan melihat dari perspektif pengurusan risiko. Ini bau, boleh dikatakan, GOST 18044-2007.
Dalam kes anda, "tingkah laku aneh" tidak semestinya virus. Ini mungkin brek sistem atau brek, dsb. Sehubungan itu, ini bukan insiden, tetapi peristiwa keselamatan maklumat. Sekali lagi, menurut GOST, mana-mana orang boleh melaporkan peristiwa, tetapi adalah mungkin untuk memahami sama ada ia adalah insiden atau bukan hanya selepas analisis.

Oleh itu, soalan anda ini tidak lagi diterjemahkan ke dalam dasar keselamatan maklumat, tetapi ke dalam pengurusan insiden. Polisi anda harus menyatakan itu syarikat mesti mempunyai sistem pengendalian insiden.

Iaitu, seperti yang anda lihat, pelaksanaan pentadbiran dasar terletak terutamanya kepada pentadbir dan pegawai keselamatan. Pengguna ditinggalkan dengan barangan tersuai.

Oleh itu, anda perlu menyediakan beberapa "Prosedur untuk menggunakan SVT dalam syarikat", di mana anda mesti menunjukkan tanggungjawab pengguna. Dokumen ini harus berkait dengan dasar keselamatan maklumat dan boleh dikatakan, penjelasan untuk pengguna.

Dokumen ini boleh menunjukkan bahawa pengguna dikehendaki memberitahu pihak berkuasa yang berkenaan tentang aktiviti komputer yang tidak normal. Nah, anda boleh menambah segala-galanya tersuai di sana.

Secara keseluruhan, anda perlu membiasakan pengguna dengan dua dokumen:

  • dasar keselamatan maklumat (supaya dia memahami apa yang sedang dilakukan dan mengapa, tidak menggegarkan bot, tidak bersumpah apabila memperkenalkan sistem kawalan baharu, dsb.)
  • "Prosedur untuk menggunakan SVT dalam syarikat" ini (supaya dia memahami apa sebenarnya yang perlu dilakukan dalam situasi tertentu)

Sehubungan itu, apabila melaksanakan sistem baharu, anda hanya menambah sesuatu pada "Prosedur" dan memberitahu pekerja tentang perkara ini dengan menghantar prosedur melalui e-mel (atau melalui EDMS, jika ada).

Tag: Tambah tag



ARTIKEL BERKAITAN