นโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศขององค์กร นโยบายและหลักการรักษาความปลอดภัยข้อมูลขององค์กร

ซอฟต์แวร์ TSF นอกเคอร์เนลประกอบด้วยแอปพลิเคชันที่เชื่อถือได้ซึ่งใช้ในการปรับใช้ฟังก์ชันความปลอดภัย โปรดทราบว่าไลบรารีที่ใช้ร่วมกัน รวมถึงโมดูล PAM ในบางกรณี ถูกใช้โดยแอปพลิเคชันที่เชื่อถือได้ อย่างไรก็ตาม ไม่มีอินสแตนซ์ใดที่ไลบรารีแบบแบ่งใช้จะถือเป็นออบเจ็กต์ที่เชื่อถือได้ คำสั่งที่เชื่อถือได้สามารถจัดกลุ่มได้ดังนี้

  • การเริ่มต้นระบบ
  • การระบุและการรับรองความถูกต้อง
  • แอปพลิเคชั่นเครือข่าย
  • การประมวลผลเป็นชุด
  • การจัดการระบบ
  • การตรวจสอบระดับผู้ใช้
  • การสนับสนุนการเข้ารหัส
  • การสนับสนุนเครื่องเสมือน

ส่วนประกอบการดำเนินการเคอร์เนลสามารถแบ่งออกเป็นสามส่วน ได้แก่ เคอร์เนลหลัก เธรดเคอร์เนล และโมดูลเคอร์เนล ขึ้นอยู่กับวิธีดำเนินการ

  • แกนหลักประกอบด้วยโค้ดที่ทำงานเพื่อให้บริการ เช่น การให้บริการการเรียกของระบบของผู้ใช้ หรือการให้บริการเหตุการณ์ข้อยกเว้น หรือการขัดจังหวะ โค้ดเคอร์เนลที่คอมไพล์ส่วนใหญ่จัดอยู่ในหมวดหมู่นี้
  • เธรดเคอร์เนล ในการดำเนินการงานประจำบางอย่าง เช่น การล้างแคชของดิสก์หรือการเพิ่มหน่วยความจำโดยการสลับบล็อกเพจที่ไม่ได้ใช้ เคอร์เนลจะสร้างกระบวนการหรือเธรดภายใน เธรดได้รับการกำหนดเวลาเหมือนกับกระบวนการปกติ แต่ไม่มีบริบทในโหมดที่ไม่มีสิทธิ์ เธรดเคอร์เนลทำหน้าที่ภาษา C เคอร์เนลเฉพาะ เธรดเคอร์เนลอยู่ในพื้นที่เคอร์เนลและทำงานในโหมดสิทธิพิเศษเท่านั้น
  • โมดูลเคอร์เนลและโมดูลเคอร์เนลไดรเวอร์อุปกรณ์เป็นส่วนของโค้ดที่สามารถโหลดและยกเลิกการโหลดเข้าและออกจากเคอร์เนลได้ตามต้องการ ขยายการทำงานของเคอร์เนลโดยไม่จำเป็นต้องรีบูตระบบ เมื่อโหลดแล้ว โค้ดออบเจ็กต์เคอร์เนลโมดูลเคอร์เนลจะสามารถเข้าถึงโค้ดเคอร์เนลและข้อมูลอื่นๆ ได้ในลักษณะเดียวกับโค้ดออบเจ็กต์เคอร์เนลที่เชื่อมโยงแบบคงที่
ไดรเวอร์อุปกรณ์คือโมดูลเคอร์เนลชนิดพิเศษที่ช่วยให้เคอร์เนลสามารถเข้าถึงฮาร์ดแวร์ที่เชื่อมต่อกับระบบได้ อุปกรณ์เหล่านี้อาจเป็นฮาร์ดไดรฟ์ จอภาพ หรืออินเทอร์เฟซเครือข่าย ไดรเวอร์สื่อสารกับเคอร์เนลส่วนที่เหลือผ่านอินเทอร์เฟซที่กำหนดซึ่งช่วยให้เคอร์เนลสามารถจัดการกับอุปกรณ์ทั้งหมดในลักษณะที่เป็นสากล โดยไม่คำนึงถึงการใช้งานพื้นฐาน

เคอร์เนลประกอบด้วยระบบย่อยแบบลอจิคัลที่มีฟังก์ชันการทำงานที่หลากหลาย แม้ว่าเคอร์เนลจะเป็นโปรแกรมปฏิบัติการเพียงโปรแกรมเดียว แต่บริการต่างๆ ที่เคอร์เนลมีให้สามารถแยกและรวมเป็นส่วนประกอบทางลอจิคัลที่แตกต่างกันได้ ส่วนประกอบเหล่านี้โต้ตอบเพื่อให้มีฟังก์ชันเฉพาะ แกนกลางประกอบด้วยระบบย่อยลอจิคัลต่อไปนี้:

  • ระบบย่อยไฟล์และระบบย่อย I/O: ระบบย่อยนี้ใช้ฟังก์ชันที่เกี่ยวข้องกับอ็อบเจ็กต์ระบบไฟล์ ฟังก์ชันที่นำมาใช้รวมถึงฟังก์ชันที่อนุญาตให้กระบวนการสร้าง ดูแลรักษา โต้ตอบกับ และลบอ็อบเจ็กต์ระบบไฟล์ ออบเจ็กต์เหล่านี้ประกอบด้วยไฟล์ปกติ ไดเร็กทอรี ลิงก์สัญลักษณ์ ฮาร์ดลิงก์ ไฟล์เฉพาะสำหรับอุปกรณ์บางประเภท ไปป์ที่มีชื่อ และซ็อกเก็ต
  • ระบบย่อยกระบวนการ: ระบบย่อยนี้ใช้ฟังก์ชันที่เกี่ยวข้องกับการจัดการกระบวนการและการจัดการเธรด ฟังก์ชันที่นำมาใช้ทำให้คุณสามารถสร้าง กำหนดเวลา ดำเนินการ และลบกระบวนการและหัวเรื่องของเธรดได้
  • ระบบย่อยหน่วยความจำ: ระบบย่อยนี้ใช้ฟังก์ชันที่เกี่ยวข้องกับการจัดการทรัพยากรหน่วยความจำระบบ ฟังก์ชันที่นำมาใช้ประกอบด้วยฟังก์ชันที่สร้างและจัดการหน่วยความจำเสมือน รวมถึงการจัดการอัลกอริธึมการเพจและตารางเพจ
  • ระบบย่อยเครือข่าย: ระบบย่อยนี้ใช้ UNIX และซ็อกเก็ตโดเมนอินเทอร์เน็ตและอัลกอริธึมที่ใช้ในการกำหนดเวลาแพ็กเก็ตเครือข่าย
  • ระบบย่อยไอพีซี: ระบบย่อยนี้ใช้ฟังก์ชันที่เกี่ยวข้องกับกลไก IPC คุณลักษณะที่นำมาใช้ ได้แก่ คุณลักษณะที่อำนวยความสะดวกในการแลกเปลี่ยนข้อมูลระหว่างกระบวนการที่มีการควบคุม ช่วยให้สามารถแบ่งปันข้อมูลและซิงโครไนซ์การดำเนินการเมื่อโต้ตอบกับทรัพยากรที่ใช้ร่วมกัน
  • ระบบย่อยโมดูลเคอร์เนล: ระบบย่อยนี้ใช้โครงสร้างพื้นฐานเพื่อรองรับโมดูลที่โหลดได้ ฟังก์ชันที่นำไปใช้ได้แก่ การโหลด การเริ่มต้น และการยกเลิกการโหลดโมดูลเคอร์เนล
  • ส่วนขยายความปลอดภัยของ Linux: ส่วนขยายความปลอดภัยของ Linux ใช้แง่มุมด้านความปลอดภัยต่างๆ ที่มีให้ทั่วทั้งเคอร์เนล รวมถึงเฟรมเวิร์ก Linux Security Module (LSM) กรอบงาน LSM ทำหน้าที่เป็นพื้นฐานสำหรับโมดูลที่อนุญาตให้มีการดำเนินการตามนโยบายความปลอดภัยต่างๆ รวมถึง SELinux SELinux เป็นระบบย่อยเชิงตรรกะที่สำคัญ ระบบย่อยนี้ใช้ฟังก์ชันการควบคุมการเข้าถึงที่จำเป็นเพื่อให้สามารถเข้าถึงระหว่างวิชาและวัตถุทั้งหมดได้
  • ระบบย่อยไดรเวอร์อุปกรณ์: ระบบย่อยนี้ให้การสนับสนุนอุปกรณ์ฮาร์ดแวร์และซอฟต์แวร์ต่างๆ ผ่านอินเทอร์เฟซทั่วไปที่ไม่ขึ้นอยู่กับอุปกรณ์
  • ระบบย่อยการตรวจสอบ: ระบบย่อยนี้ใช้ฟังก์ชันที่เกี่ยวข้องกับการบันทึกเหตุการณ์ที่มีความสำคัญด้านความปลอดภัยในระบบ ฟังก์ชันที่นำมาใช้ ได้แก่ ฟังก์ชันที่บันทึกทุกการเรียกของระบบเพื่อบันทึกเหตุการณ์ที่มีความสำคัญต่อความปลอดภัย และฟังก์ชันที่ใช้การรวบรวมและบันทึกข้อมูลการตรวจสอบ
  • ระบบย่อยเควีเอ็ม: ระบบย่อยนี้ดำเนินการบำรุงรักษาวงจรชีวิตของเครื่องเสมือน โดยดำเนินการคำสั่งให้เสร็จสิ้น ซึ่งใช้สำหรับคำสั่งที่ต้องมีการตรวจสอบเพียงเล็กน้อยเท่านั้น สำหรับการจบคำสั่งอื่น ๆ KVM จะเรียกส่วนประกอบพื้นที่ผู้ใช้ QEMU
  • การเข้ารหัสลับ API: ระบบย่อยนี้จัดเตรียมไลบรารีการเข้ารหัสเคอร์เนลภายในสำหรับส่วนประกอบเคอร์เนลทั้งหมด มันมีการเข้ารหัสเบื้องต้นสำหรับผู้โทร

เคอร์เนลเป็นส่วนหลักของระบบปฏิบัติการ โดยสื่อสารโดยตรงกับฮาร์ดแวร์ ใช้การแบ่งปันทรัพยากร ให้บริการทั่วไปแก่แอปพลิเคชัน และป้องกันไม่ให้แอปพลิเคชันเข้าถึงฟังก์ชันที่ขึ้นอยู่กับฮาร์ดแวร์โดยตรง บริการที่เคอร์เนลมอบให้ได้แก่:

1. การจัดการการดำเนินการตามกระบวนการ รวมถึงการดำเนินการสร้าง การยกเลิก หรือการระงับ และการแลกเปลี่ยนข้อมูลระหว่างกระบวนการ ประกอบด้วย:

  • การกำหนดเวลากระบวนการที่เทียบเท่าสำหรับการดำเนินการบน CPU
  • การแยกกระบวนการบน CPU โดยใช้โหมดการแบ่งเวลา
  • ดำเนินการกระบวนการบน CPU
  • การระงับเคอร์เนลหลังจากควอนตัมเวลาที่กำหนดหมดลง
  • การจัดสรรเวลาเคอร์เนลให้กับกระบวนการอื่น
  • การจัดกำหนดการเวลาเคอร์เนลใหม่เพื่อดำเนินการกระบวนการที่ถูกระงับ
  • จัดการข้อมูลเมตาที่เกี่ยวข้องกับความปลอดภัยของกระบวนการ เช่น UID, GID, แท็ก SELinux และตัวระบุคุณลักษณะ
2. การจัดสรร RAM สำหรับกระบวนการดำเนินการ การดำเนินการนี้รวมถึง:
  • การอนุญาตที่ได้รับจากเคอร์เนลให้ประมวลผลการแบ่งปันพื้นที่ที่อยู่บางส่วนภายใต้เงื่อนไขบางประการ อย่างไรก็ตามเคอร์เนลจะปกป้องพื้นที่ที่อยู่ของกระบวนการเองจากการรบกวนจากภายนอก
  • หากระบบมีหน่วยความจำว่างเหลือน้อย เคอร์เนลจะเพิ่มหน่วยความจำโดยการเขียนกระบวนการชั่วคราวลงในหน่วยความจำระดับที่สองหรือสลับ
  • การโต้ตอบที่ประสานงานกับฮาร์ดแวร์เครื่องเพื่อสร้างที่อยู่เสมือนกับการแมปที่อยู่ทางกายภาพที่สร้างการแมประหว่างที่อยู่ที่สร้างโดยคอมไพเลอร์และที่อยู่ทางกายภาพ
3. การบำรุงรักษาวงจรชีวิตของเครื่องเสมือน ซึ่งรวมถึง:
  • กำหนดขีดจำกัดของทรัพยากรที่กำหนดค่าโดยแอปพลิเคชันจำลองสำหรับเครื่องเสมือนที่กำหนด
  • การรันโค้ดโปรแกรมเครื่องเสมือนเพื่อดำเนินการ
  • จัดการการปิดเครื่องเสมือนโดยทำตามคำสั่งให้เสร็จสิ้นหรือชะลอคำสั่งให้เสร็จสิ้นเพื่อจำลองพื้นที่ผู้ใช้
4. การบำรุงรักษาระบบไฟล์ ซึ่งรวมถึง:
  • การจัดสรรหน่วยความจำรองเพื่อการจัดเก็บและการดึงข้อมูลผู้ใช้อย่างมีประสิทธิภาพ
  • การจัดสรรหน่วยความจำภายนอกสำหรับไฟล์ผู้ใช้
  • รีไซเคิลพื้นที่จัดเก็บข้อมูลที่ไม่ได้ใช้
  • การจัดโครงสร้างระบบไฟล์ (ใช้หลักการจัดโครงสร้างที่ชัดเจน)
  • การปกป้องไฟล์ผู้ใช้จากการเข้าถึงโดยไม่ได้รับอนุญาต
  • การจัดระเบียบการเข้าถึงกระบวนการควบคุมไปยังอุปกรณ์ต่อพ่วง เช่น เทอร์มินัล เทปไดรฟ์ ดิสก์ไดรฟ์ และอุปกรณ์เครือข่าย
  • การจัดระเบียบการเข้าถึงข้อมูลร่วมกันสำหรับหัวเรื่องและออบเจ็กต์ ให้การเข้าถึงที่มีการควบคุมตามนโยบาย DAC และนโยบายอื่น ๆ ที่นำมาใช้โดย LSM ที่โหลด
เคอร์เนล Linux เป็นเคอร์เนลระบบปฏิบัติการประเภทหนึ่งที่ใช้การกำหนดเวลาด้วยการขอจองงาน ในเคอร์เนลที่ไม่มีคุณสมบัตินี้ การประมวลผลโค้ดเคอร์เนลจะดำเนินต่อไปจนกว่าจะเสร็จสิ้น เช่น ตัวกำหนดเวลาไม่สามารถจัดกำหนดการงานใหม่ได้ในขณะที่อยู่ในเคอร์เนล นอกจากนี้ รหัสเคอร์เนลถูกกำหนดให้ดำเนินการร่วมกันโดยไม่มีการกำหนดเวลาล่วงหน้า และการดำเนินการของโค้ดนั้นจะดำเนินต่อไปจนกว่าจะยุติและกลับสู่พื้นที่ผู้ใช้ หรือจนกว่าจะบล็อกอย่างชัดเจน ในเคอร์เนลที่มีการยึดถือล่วงหน้า คุณสามารถยึดงานไว้ล่วงหน้า ณ จุดใดก็ได้ ตราบใดที่เคอร์เนลอยู่ในสถานะที่สามารถกำหนดเวลาใหม่ได้อย่างปลอดภัย

ในหัวข้อนี้ ฉันจะพยายามรวบรวมคู่มือเกี่ยวกับการพัฒนาเอกสารด้านกฎระเบียบในด้านความปลอดภัยของข้อมูลสำหรับโครงสร้างเชิงพาณิชย์โดยพิจารณาจากประสบการณ์ส่วนตัวและเนื้อหาจากเครือข่าย

คุณจะพบคำตอบสำหรับคำถามต่างๆ ได้ที่นี่:

  • เหตุใดจึงจำเป็นต้องมีนโยบายความปลอดภัยของข้อมูล
  • วิธีการเขียน;
  • วิธีการใช้งาน

ความจำเป็นในการมีนโยบายการรักษาความปลอดภัยของข้อมูล
ส่วนนี้อธิบายถึงความจำเป็นในการใช้นโยบายความปลอดภัยของข้อมูลและเอกสารประกอบที่ไม่ได้อยู่ในภาษาที่สวยงามของตำราเรียนและมาตรฐาน แต่ใช้ตัวอย่างจากประสบการณ์ส่วนตัว
ทำความเข้าใจเป้าหมายและวัตถุประสงค์ของแผนกรักษาความปลอดภัยข้อมูล
ประการแรก นโยบายนี้มีความจำเป็นเพื่อสื่อถึงเป้าหมายและวัตถุประสงค์ด้านความปลอดภัยของข้อมูลของบริษัทแก่ธุรกิจ ธุรกิจต้องเข้าใจว่าความปลอดภัยไม่ได้เป็นเพียงเครื่องมือในการตรวจสอบการรั่วไหลของข้อมูลเท่านั้น แต่ยังช่วยลดความเสี่ยงของบริษัทอีกด้วย และเพิ่มผลกำไรของบริษัทด้วย
ข้อกำหนดนโยบายเป็นพื้นฐานสำหรับการดำเนินการตามมาตรการป้องกัน
นโยบายการรักษาความปลอดภัยของข้อมูลเป็นสิ่งจำเป็นในการกำหนดมาตรการป้องกันในบริษัท นโยบายจะต้องได้รับการอนุมัติจากฝ่ายบริหารสูงสุดของบริษัท (CEO, คณะกรรมการ ฯลฯ)

มาตรการป้องกันใดๆ ถือเป็นการประนีประนอมระหว่างการลดความเสี่ยงและประสบการณ์ของผู้ใช้ เมื่อผู้เชี่ยวชาญด้านความปลอดภัยบอกว่ากระบวนการไม่ควรเกิดขึ้นในทางใดทางหนึ่งเนื่องจากมีความเสี่ยง เขาจะถามคำถามที่สมเหตุสมผลเสมอ: “มันจะเกิดขึ้นได้อย่างไร” ผู้เชี่ยวชาญด้านความปลอดภัยจำเป็นต้องเสนอรูปแบบกระบวนการที่ความเสี่ยงเหล่านี้ได้รับการบรรเทาลงในระดับที่น่าพอใจต่อธุรกิจ

นอกจากนี้ การใช้มาตรการป้องกันใดๆ เกี่ยวกับการโต้ตอบของผู้ใช้กับระบบข้อมูลของบริษัทมักจะทำให้เกิดปฏิกิริยาเชิงลบจากผู้ใช้เสมอ พวกเขาไม่ต้องการเรียนรู้ซ้ำ อ่านคำแนะนำที่พัฒนาขึ้นสำหรับพวกเขา ฯลฯ ผู้ใช้มักถามคำถามที่สมเหตุสมผล:

  • เหตุใดฉันจึงต้องทำงานตามแผนงานของคุณไม่ใช่วิธีง่ายๆที่ฉันเคยใช้
  • ผู้คิดเรื่องทั้งหมดนี้ขึ้นมา
การปฏิบัติแสดงให้เห็นว่าผู้ใช้ไม่สนใจเกี่ยวกับความเสี่ยง คุณสามารถอธิบายให้เขาฟังเป็นเวลานานและน่าเบื่อเกี่ยวกับแฮกเกอร์ ประมวลกฎหมายอาญา ฯลฯ จะไม่มีอะไรเกิดขึ้นนอกจากการเสียเซลล์ประสาท
หากบริษัทของคุณมีนโยบายการรักษาความปลอดภัยของข้อมูล คุณสามารถให้คำตอบที่กระชับและกระชับได้:
มาตรการนี้ถูกนำมาใช้เพื่อให้สอดคล้องกับข้อกำหนดของนโยบายความปลอดภัยข้อมูลของบริษัท ซึ่งได้รับการอนุมัติจากหน่วยงานบริหารสูงสุดของบริษัท

ตามกฎแล้ว หลังจากนี้พลังงานของผู้ใช้ส่วนใหญ่จะลดลง ผู้ที่เหลืออยู่สามารถขอให้เขียนบันทึกถึงฝ่ายบริหารสูงสุดของบริษัทแห่งนี้ได้ นี่คือที่ที่ส่วนที่เหลือจะถูกกำจัด เพราะถึงแม้จะมีข้อความดังกล่าว เราก็สามารถพิสูจน์ความจำเป็นของมาตรการที่ดำเนินการกับฝ่ายบริหารได้เสมอ การกินขนมปังของเราไม่ไร้ประโยชน์ใช่ไหม? มีสองสิ่งที่ควรคำนึงถึงเมื่อพัฒนานโยบาย
  • กลุ่มเป้าหมายของนโยบายความปลอดภัยของข้อมูลคือผู้ใช้ปลายทางและผู้บริหารระดับสูงของบริษัท ซึ่งไม่เข้าใจการแสดงออกทางเทคนิคที่ซับซ้อน แต่ต้องคุ้นเคยกับข้อกำหนดของนโยบาย
  • ไม่จำเป็นต้องพยายามยัดเยียดสิ่งที่ไม่เหมาะสม รวมทุกสิ่งที่คุณทำได้ไว้ในเอกสารนี้! ควรมีเป้าหมายด้านความปลอดภัยของข้อมูล วิธีการบรรลุเป้าหมาย และความรับผิดชอบเท่านั้น! ไม่มีรายละเอียดทางเทคนิค เว้นแต่จะต้องมีความรู้เฉพาะด้าน นี่คือเอกสารทั้งหมดสำหรับคำแนะนำและข้อบังคับ


เอกสารขั้นสุดท้ายจะต้องเป็นไปตามข้อกำหนดดังต่อไปนี้:
  • ความกะทัดรัด - เอกสารจำนวนมากจะทำให้ผู้ใช้หวาดกลัว ไม่มีใครอ่านเอกสารของคุณเลย (และคุณจะใช้วลีนี้มากกว่าหนึ่งครั้ง: "นี่เป็นการละเมิดนโยบายความปลอดภัยของข้อมูลที่คุณคุ้นเคย")
  • การเข้าถึงคนทั่วไป - ผู้ใช้จะต้องเข้าใจสิ่งที่เขียนไว้ในนโยบาย (เขาจะไม่มีวันอ่านหรือจำคำและวลี "การตัดไม้" "รูปแบบผู้บุกรุก" "เหตุการณ์ความปลอดภัยของข้อมูล" "โครงสร้างพื้นฐานข้อมูล" "เทคโนโลยี" ”, “มานุษยวิทยา”, “ปัจจัยเสี่ยง” ฯลฯ)
จะบรรลุเป้าหมายนี้ได้อย่างไร?

ในความเป็นจริงทุกอย่างง่ายมาก: นโยบายความปลอดภัยของข้อมูลควรเป็นเอกสารระดับแรกควรขยายและเสริมด้วยเอกสารอื่น ๆ (ข้อบังคับและคำแนะนำ) ซึ่งจะอธิบายบางสิ่งที่เฉพาะเจาะจงอยู่แล้ว
การเปรียบเทียบกับรัฐสามารถนำมาเปรียบเทียบได้ เอกสารระดับแรกคือรัฐธรรมนูญ และหลักคำสอน แนวคิด กฎหมาย และกฎระเบียบอื่นๆ ที่มีอยู่ในรัฐเป็นเพียงส่วนเสริมและควบคุมการดำเนินการตามบทบัญญัติของรัฐเท่านั้น แผนภาพโดยประมาณแสดงในรูป

เพื่อไม่ให้โจ๊กเปื้อนจานเรามาดูตัวอย่างนโยบายความปลอดภัยของข้อมูลที่สามารถพบได้บนอินเทอร์เน็ต

จำนวนหน้าที่มีประโยชน์* เต็มไปด้วยเงื่อนไข คะแนนโดยรวม
OJSC แก๊ซพรอมแบงค์ 11 สูงมาก
กองทุนพัฒนาผู้ประกอบการ JSC “ดามู” 14 สูง เอกสารที่ซับซ้อนสำหรับการอ่านอย่างมีวิจารณญาณ คนทั่วไปจะไม่อ่าน และถ้าอ่านก็จะไม่เข้าใจและจะจำไม่ได้
JSC NC "คาซมูเนย์แก๊ส" 3 ต่ำ เอกสารเข้าใจง่าย ไม่มีศัพท์เทคนิคมากเกินไป
JSC "สถาบันวิศวกรรมวิทยุตั้งชื่อตามนักวิชาการ A.L. Mints" 42 สูงมาก เอกสารที่ซับซ้อนสำหรับการอ่านอย่างมีวิจารณญาณ คนทั่วไปจะไม่อ่าน - มีจำนวนหน้ามากเกินไป

* ฉันเรียกจำนวนหน้าที่ไม่มีสารบัญ หน้าชื่อเรื่อง และหน้าอื่นๆ ที่ไม่มีข้อมูลเฉพาะเจาะจงว่ามีประโยชน์

ประวัติย่อ

นโยบายความปลอดภัยของข้อมูลควรแบ่งออกเป็นหลายหน้า เพื่อให้บุคคลทั่วไปเข้าใจได้ง่าย และอธิบายในแง่ทั่วไปเกี่ยวกับเป้าหมายความปลอดภัยของข้อมูล วิธีการบรรลุเป้าหมาย และความรับผิดชอบของพนักงาน
การดำเนินการและการใช้นโยบายการรักษาความปลอดภัยของข้อมูล
หลังจากได้รับอนุมัตินโยบายความปลอดภัยของข้อมูลแล้ว คุณต้อง:
  • ทำให้พนักงานที่มีอยู่ทุกคนคุ้นเคยกับนโยบายนี้
  • ทำให้พนักงานใหม่ทุกคนคุ้นเคยกับนโยบายนี้ (วิธีที่ดีที่สุดคือหัวข้อสำหรับการสนทนาแยกต่างหาก เรามีหลักสูตรเบื้องต้นสำหรับผู้มาใหม่ซึ่งฉันจะให้คำอธิบาย)
  • วิเคราะห์กระบวนการทางธุรกิจที่มีอยู่เพื่อระบุและลดความเสี่ยง
  • มีส่วนร่วมในการสร้างกระบวนการทางธุรกิจใหม่เพื่อไม่ให้รถไฟวิ่งตามในภายหลัง
  • พัฒนากฎระเบียบ ขั้นตอน คำแนะนำ และเอกสารอื่นๆ ที่เสริมนโยบาย (คำแนะนำในการเข้าถึงอินเทอร์เน็ต คำแนะนำในการเข้าถึงพื้นที่หวงห้าม คำแนะนำในการทำงานกับระบบข้อมูลของบริษัท ฯลฯ)
  • ทบทวนนโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศและเอกสารการรักษาความมั่นคงปลอดภัยสารสนเทศอื่น ๆ อย่างน้อยไตรมาสละครั้งเพื่อนำมาปรับปรุง

สำหรับคำถามและข้อเสนอแนะยินดีต้อนรับในความคิดเห็นและ PMs

คำถาม %ชื่อผู้ใช้%

ส่วนเรื่องการเมือง พวกหัวหน้าไม่ชอบสิ่งที่ผมต้องการเป็นคำพูดง่ายๆ พวกเขาบอกฉันว่า: “นอกจากฉันและคุณและพนักงานไอทีอีก 10 คนที่รู้และเข้าใจทุกอย่างแล้ว เรามีอีก 200 คนที่ไม่เข้าใจอะไรเกี่ยวกับเรื่องนี้ ครึ่งหนึ่งเป็นผู้รับบำนาญ”
ฉันปฏิบัติตามเส้นทางของคำอธิบายที่สั้นโดยเฉลี่ย เช่น กฎการป้องกันไวรัส และด้านล่างฉันเขียนบางอย่างเช่นมีนโยบายการป้องกันไวรัส ฯลฯ แต่ฉันไม่เข้าใจว่าผู้ใช้ลงนามในนโยบายหรือไม่ แต่อีกครั้งที่เขาจำเป็นต้องอ่านเอกสารอื่นๆ อีกจำนวนมาก ดูเหมือนว่าเขาได้ย่อนโยบายให้สั้นลง แต่ดูเหมือนว่าเขาไม่ได้ทำเลย

ที่นี่ฉันจะใช้เส้นทางของการวิเคราะห์กระบวนการ
สมมติว่าการป้องกันไวรัส ตามหลักเหตุผลแล้ว มันควรจะเป็นเช่นนั้น

ไวรัสมีความเสี่ยงอะไรบ้างต่อเรา? การละเมิดความสมบูรณ์ (ความเสียหาย) ของข้อมูล การละเมิดความพร้อมใช้งาน (การหยุดทำงานของเซิร์ฟเวอร์หรือพีซี) ของข้อมูล หากเครือข่ายได้รับการจัดระเบียบอย่างเหมาะสม ผู้ใช้ไม่ควรมีสิทธิ์ของผู้ดูแลระบบในระบบ นั่นคือเขาไม่ควรมีสิทธิ์ในการติดตั้งซอฟต์แวร์ (และไวรัส) เข้าสู่ระบบ ดังนั้นผู้รับบำนาญจึงตกงานเนื่องจากพวกเขาไม่ได้ทำธุรกิจที่นี่

ใครสามารถลดความเสี่ยงที่เกี่ยวข้องกับไวรัสได้? ผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบโดเมน ผู้ดูแลระบบโดเมนถือเป็นบทบาทที่ละเอียดอ่อน มอบให้กับพนักงานแผนกไอที เป็นต้น ดังนั้นพวกเขาจึงควรติดตั้งโปรแกรมป้องกันไวรัส ปรากฎว่าพวกเขายังรับผิดชอบต่อกิจกรรมของระบบป้องกันไวรัสด้วย ดังนั้นพวกเขาจะต้องลงนามในคำแนะนำในการจัดการป้องกันไวรัส จริงๆ แล้วความรับผิดชอบนี้จะต้องเขียนไว้ในคำแนะนำ ตัวอย่างเช่น เจ้าหน้าที่รักษาความปลอดภัยออกกฎ ผู้ดูแลระบบดำเนินการ

คำถาม %ชื่อผู้ใช้%

ถ้าอย่างนั้นคำถามก็คือ สิ่งที่ไม่ควรรวมอยู่ในคำแนะนำของความรับผิดชอบของ Anti-Virus ZI ในการสร้างและใช้งานไวรัส (หรือมีบทความและไม่สามารถกล่าวถึงได้)? หรือว่าจำเป็นต้องรายงานไวรัสหรือพฤติกรรมผิดปกติของพีซีไปยังฝ่ายช่วยเหลือหรือเจ้าหน้าที่ไอที

ผมจะมองจากมุมมองการบริหารความเสี่ยงอีกครั้ง พูดได้เลยว่ากลิ่นนี้ของ GOST 18044-2007
ในกรณีของคุณ “พฤติกรรมแปลกๆ” ไม่จำเป็นต้องเป็นไวรัสเสมอไป นี่อาจเป็นระบบเบรกหรือเบรกเป็นต้น ดังนั้นนี่ไม่ใช่เหตุการณ์ แต่เป็นเหตุการณ์ความปลอดภัยของข้อมูล ตาม GOST อีกครั้ง บุคคลใดก็ตามสามารถรายงานเหตุการณ์ได้ แต่เป็นไปได้ที่จะเข้าใจว่าเป็นเหตุการณ์หรือไม่หลังจากการวิเคราะห์เท่านั้น

ดังนั้น คำถามของคุณนี้ไม่ส่งผลให้เกิดนโยบายความปลอดภัยของข้อมูลอีกต่อไป แต่ส่งผลต่อการจัดการเหตุการณ์ นโยบายของคุณควรระบุว่า บริษัทจะต้องมีระบบการจัดการเหตุการณ์.

นั่นคืออย่างที่คุณเห็น การดำเนินการด้านการบริหารของนโยบายนั้นขึ้นอยู่กับผู้ดูแลระบบและเจ้าหน้าที่รักษาความปลอดภัยเป็นหลัก ผู้ใช้จะเหลือสิ่งที่กำหนดเอง

ดังนั้นคุณต้องจัดทำ "ขั้นตอนการใช้ SVT ในบริษัท" ซึ่งคุณต้องระบุความรับผิดชอบของผู้ใช้ เอกสารนี้ควรสัมพันธ์กับนโยบายความปลอดภัยของข้อมูลและเป็นคำอธิบายสำหรับผู้ใช้

เอกสารนี้สามารถระบุได้ว่าผู้ใช้จำเป็นต้องแจ้งหน่วยงานที่เหมาะสมเกี่ยวกับกิจกรรมที่ผิดปกติของคอมพิวเตอร์ คุณสามารถเพิ่มทุกสิ่งทุกอย่างที่กำหนดเองได้ที่นั่น

โดยรวมแล้วคุณต้องทำให้ผู้ใช้คุ้นเคยกับเอกสารสองฉบับ:

  • นโยบายความปลอดภัยของข้อมูล (เพื่อให้เขาเข้าใจว่ากำลังทำอะไรอยู่และทำไม ไม่โยกเรือ ไม่สาบานเมื่อแนะนำระบบควบคุมใหม่ ฯลฯ )
  • “ขั้นตอนการใช้ SVT ในบริษัท” นี้ (เพื่อให้เขาเข้าใจว่าต้องทำอย่างไรในสถานการณ์เฉพาะ)

ดังนั้น เมื่อใช้ระบบใหม่ คุณเพียงเพิ่มบางอย่างลงใน "ขั้นตอน" และแจ้งให้พนักงานทราบเกี่ยวกับเรื่องนี้โดยการส่งขั้นตอนทางอีเมล (หรือผ่าน EDMS หากมี)

แท็ก:

  • ความปลอดภัยของข้อมูล
  • การจัดการความเสี่ยง
  • นโยบายความปลอดภัย
เพิ่มแท็ก

ในโลกสมัยใหม่ แนวคิดของ “นโยบายการรักษาความปลอดภัยของข้อมูล” สามารถตีความได้ทั้งในความหมายกว้างและแคบ สำหรับความหมายแรกที่กว้างขึ้นนั้นหมายถึงระบบการตัดสินใจที่ซับซ้อนซึ่งทำโดยองค์กรบางแห่งซึ่งได้รับการจัดทำเป็นเอกสารอย่างเป็นทางการและมุ่งเป้าไปที่การรับรองความปลอดภัยขององค์กร ในแง่แคบ แนวคิดนี้หมายถึงเอกสารที่มีความสำคัญในท้องถิ่น ซึ่งระบุข้อกำหนดด้านความปลอดภัย ระบบมาตรการที่ใช้ ความรับผิดชอบของพนักงาน และกลไกการควบคุม

นโยบายความปลอดภัยของข้อมูลที่ครอบคลุมคือการรับประกันการทำงานที่มั่นคงของบริษัทใดๆ ความครอบคลุมอยู่ที่ความรอบคอบและความสมดุลของระดับการป้องกันตลอดจนการพัฒนามาตรการและระบบควบคุมที่ถูกต้องในกรณีที่มีการละเมิด

วิธีการขององค์กรทั้งหมดมีบทบาทสำคัญในการสร้างแผนการรักษาความปลอดภัยข้อมูลที่เชื่อถือได้ เนื่องจากการใช้ข้อมูลที่ผิดกฎหมายเป็นผลมาจากการกระทำที่เป็นอันตราย ความประมาทเลินเล่อของบุคลากร และไม่ใช่ปัญหาทางเทคนิค เพื่อให้บรรลุผลที่ดี คุณต้องมีปฏิสัมพันธ์ที่ครอบคลุมของมาตรการองค์กร กฎหมาย และทางเทคนิค ซึ่งควรยกเว้นการเจาะระบบโดยไม่ได้รับอนุญาตทั้งหมด

ความปลอดภัยของข้อมูลคือการรับประกันการดำเนินงานที่ราบรื่นของบริษัทและการพัฒนาที่มั่นคง อย่างไรก็ตาม พื้นฐานสำหรับการสร้างระบบป้องกันคุณภาพสูงควรเป็นคำตอบสำหรับคำถามต่อไปนี้:

    ระบบข้อมูลคืออะไร และต้องมีการป้องกันความปลอดภัยระดับใด?

    ใครสามารถสร้างความเสียหายให้กับบริษัทโดยการขัดขวางการทำงานของระบบสารสนเทศ และใครบ้างที่สามารถใช้ข้อมูลที่ได้รับ?

    ความเสี่ยงดังกล่าวจะลดลงให้เหลือน้อยที่สุดได้อย่างไรโดยไม่กระทบต่อการทำงานที่ราบรื่นขององค์กร?

    ดังนั้นแนวคิดด้านความปลอดภัยของข้อมูลจึงควรได้รับการพัฒนาเป็นการส่วนตัวสำหรับองค์กรเฉพาะและตามความสนใจขององค์กร บทบาทหลักในลักษณะเชิงคุณภาพนั้นมีบทบาทโดยมาตรการขององค์กรซึ่งรวมถึง:

      การจัดระบบควบคุมการเข้าออกที่จัดตั้งขึ้น สิ่งนี้ทำเพื่อป้องกันการเข้าไปในอาณาเขตของบริษัทอย่างเป็นความลับและโดยไม่ได้รับอนุญาตโดยบุคคลที่ไม่ได้รับอนุญาต รวมถึงการควบคุมการเข้าพักในสถานที่และเวลาออกเดินทาง

      การทำงานร่วมกับพนักงาน สาระสำคัญอยู่ที่การจัดการปฏิสัมพันธ์กับพนักงานและการสรรหาบุคลากร สิ่งสำคัญคือต้องทำความคุ้นเคย เตรียมและสอนกฎเกณฑ์ในการทำงานกับข้อมูล เพื่อให้พนักงานทราบถึงขีดจำกัดของความลับ

      นโยบายความปลอดภัยของข้อมูลยังกำหนดให้มีการใช้วิธีการทางเทคนิคที่มีโครงสร้างซึ่งมุ่งเป้าไปที่การสะสม การรวบรวม และเพิ่มการรักษาความลับ

      ดำเนินงานที่มุ่งติดตามบุคลากรในแง่ของการใช้ข้อมูลที่เป็นความลับและการพัฒนามาตรการที่ควรให้ความคุ้มครอง

    ค่าใช้จ่ายในการดำเนินนโยบายดังกล่าวไม่ควรเกินความเสียหายที่อาจเกิดขึ้นอันเป็นผลมาจากการสูญเสีย

    นโยบายความปลอดภัยของข้อมูลและประสิทธิผลส่วนใหญ่ขึ้นอยู่กับจำนวนข้อกำหนดที่บริษัทนำเสนอ ซึ่งทำให้สามารถลดระดับความเสี่ยงให้อยู่ในระดับที่ต้องการได้

สำหรับองค์กร ข้อมูลถือเป็นทรัพยากรที่สำคัญ นโยบายความปลอดภัยของข้อมูลกำหนดมาตรการที่จำเป็นในการปกป้องข้อมูลจากการได้มา การทำลายโดยไม่ได้ตั้งใจหรือโดยเจตนา ฯลฯ พนักงานแต่ละคนขององค์กรมีหน้าที่รับผิดชอบในการปฏิบัติตามนโยบายความปลอดภัย เป้าหมายของนโยบายความปลอดภัยคือ:

  • การดำเนินการเข้าถึงทรัพยากรของบริษัทอย่างต่อเนื่องเพื่อการปฏิบัติหน้าที่ตามปกติของพนักงาน
  • การจัดหาทรัพยากรข้อมูลที่สำคัญ
  • การปกป้องความสมบูรณ์ของข้อมูล
  • การกำหนดระดับความรับผิดชอบและหน้าที่ของพนักงานในการใช้งานความปลอดภัยของข้อมูลในองค์กร
  • ทำงานเพื่อทำให้ผู้ใช้คุ้นเคยกับความเสี่ยงที่เกี่ยวข้องกับข้อมูล ทรัพยากรขององค์กร

พนักงานควรได้รับการตรวจสอบเป็นระยะเพื่อให้มั่นใจว่าสอดคล้องกับนโยบายการรักษาความปลอดภัยของข้อมูล กฎนโยบายนำไปใช้กับทรัพยากรและข้อมูลทั้งหมดขององค์กร บริษัทเป็นเจ้าของสิทธิ์ในการเป็นเจ้าของทรัพยากรคอมพิวเตอร์ ข้อมูลทางธุรกิจ ซอฟต์แวร์ที่ได้รับอนุญาตและสร้างขึ้น เนื้อหาเมล และเอกสารประเภทต่างๆ

สำหรับสินทรัพย์ข้อมูลทั้งหมดขององค์กร จะต้องมีบุคคลที่เหมาะสมซึ่งรับผิดชอบในการใช้สินทรัพย์บางอย่าง

การควบคุมการเข้าถึงระบบสารสนเทศ

หน้าที่ทั้งหมดจะต้องดำเนินการบนคอมพิวเตอร์ที่ได้รับอนุมัติให้ใช้ในองค์กรเท่านั้น การใช้อุปกรณ์พกพาและอุปกรณ์จัดเก็บข้อมูลของคุณจะทำได้เมื่อได้รับอนุมัติเท่านั้น ข้อมูลที่เป็นความลับทั้งหมดจะต้องถูกจัดเก็บในรูปแบบที่เข้ารหัสบนฮาร์ดไดรฟ์ที่ติดตั้งซอฟต์แวร์เข้ารหัสฮาร์ดไดรฟ์ สิทธิของพนักงานต่อระบบสารสนเทศควรได้รับการตรวจสอบเป็นระยะ หากต้องการใช้การเข้าถึงทรัพยากรข้อมูลที่ได้รับอนุญาต การเข้าสู่ระบบจะต้องดำเนินการโดยใช้ชื่อผู้ใช้และรหัสผ่านที่ไม่ซ้ำกัน รหัสผ่านจะต้องเป็นไปตาม นอกจากนี้ ในระหว่างพักงานหรือพนักงานไม่อยู่ในที่ทำงาน ควรเรียกใช้ฟังก์ชันโปรแกรมรักษาหน้าจอเพื่อปิดกั้นเครื่องที่ทำงาน

การเข้าถึงระบบข้อมูลองค์กรของบุคคลที่สาม

พนักงานแต่ละคนจะต้องแจ้งบริการรักษาความปลอดภัยข้อมูลว่าเขากำลังให้บุคคลที่สามสามารถเข้าถึงทรัพยากรเครือข่ายข้อมูลได้

การเข้าถึงระยะไกล

พนักงานที่ใช้อุปกรณ์พกพาส่วนตัวอาจร้องขอการเข้าถึงเครือข่ายข้อมูลองค์กรจากระยะไกล ห้ามพนักงานที่ทำงานนอกสถานที่และเข้าถึงระยะไกลคัดลอกข้อมูลจากเครือข่ายองค์กร นอกจากนี้ พนักงานดังกล่าวไม่สามารถมีการเชื่อมต่อกับเครือข่ายต่างๆ ที่ไม่ใช่ขององค์กรได้มากกว่าหนึ่งรายการ คอมพิวเตอร์ที่เข้าถึงระยะไกลจะต้องมี .

การเข้าถึงอินเทอร์เน็ต

การเข้าถึงดังกล่าวควรได้รับอนุญาตเพื่อวัตถุประสงค์ทางธุรกิจเท่านั้น และไม่ใช่เพื่อการใช้งานส่วนตัว ต่อไปนี้เป็นคำแนะนำ:

  • ห้ามมิให้เยี่ยมชมแหล่งข้อมูลบนเว็บที่ถือว่าเป็นการล่วงละเมิดต่อสังคม หรือมีเนื้อหาเกี่ยวกับเรื่องเพศ โฆษณาชวนเชื่อ ฯลฯ
  • พนักงานไม่ควรใช้อินเทอร์เน็ตเพื่อจัดเก็บข้อมูลของบริษัท
  • พนักงานที่มีบัญชีที่จัดทำโดยผู้ให้บริการสาธารณะจะถูกห้ามไม่ให้ใช้อุปกรณ์ขององค์กร
  • ไฟล์ทั้งหมดจากอินเทอร์เน็ตจะต้องสแกนหาไวรัส
  • ห้ามการเข้าถึงอินเทอร์เน็ตสำหรับผู้ที่ไม่ใช่พนักงานทุกคน

การป้องกันอุปกรณ์

พนักงานควรคำนึงถึงการนำการรักษาความปลอดภัยทางกายภาพไปใช้กับอุปกรณ์ที่ใช้จัดเก็บหรือประมวลผลข้อมูลองค์กร ห้ามมิให้กำหนดค่าฮาร์ดแวร์และซอฟต์แวร์ด้วยตนเอง

ฮาร์ดแวร์

ผู้ใช้ที่ทำงานกับข้อมูลที่เป็นความลับจะต้องมีห้องแยกต่างหากเพื่อจำกัดการเข้าถึงพวกเขาและสถานที่ทำงานทางกายภาพ

พนักงานแต่ละคนที่ได้รับอุปกรณ์จากองค์กรเพื่อใช้ชั่วคราว (การเดินทางเพื่อธุรกิจ) จะต้องดูแลและไม่ปล่อยทิ้งไว้โดยไม่มีใครดูแล ในกรณีที่สูญหายหรือเกิดเหตุฉุกเฉินอื่น ๆ ข้อมูลในคอมพิวเตอร์จะต้องได้รับการเข้ารหัสล่วงหน้า

การฟอร์แมตข้อมูลก่อนบันทึกหรือทำลายสื่อไม่รับประกันความสะอาดของอุปกรณ์ 100% นอกจากนี้ พอร์ตข้อมูลบนคอมพิวเตอร์เดสก์ท็อปควรถูกบล็อก เว้นแต่พนักงานจะได้รับอนุญาตให้คัดลอกข้อมูล

ซอฟต์แวร์

ซอฟต์แวร์ทั้งหมดที่ติดตั้งบนคอมพิวเตอร์องค์กรเป็นทรัพย์สินขององค์กรและต้องใช้สำหรับงานราชการ ห้ามมิให้พนักงานติดตั้งซอฟต์แวร์อื่นเป็นการส่วนตัวโดยไม่ยินยอมกับบริการรักษาความปลอดภัยข้อมูล คอมพิวเตอร์เดสก์ท็อปทั้งหมดต้องมีชุดซอฟต์แวร์ขั้นต่ำ:

  • ซอฟต์แวร์ป้องกันไวรัส
  • ซอฟต์แวร์เข้ารหัสฮาร์ดไดรฟ์
  • ซอฟต์แวร์เข้ารหัสอีเมล

พนักงานบริษัทจะต้องไม่:

  • บล็อกหรือติดตั้งซอฟต์แวร์ป้องกันไวรัสอื่น ๆ
  • เปลี่ยนการตั้งค่าความปลอดภัย

รัฐบาลสามารถใช้ข้อความอิเล็กทรอนิกส์ (แม้จะลบไปแล้ว) ได้ เจ้าหน้าที่หรือคู่แข่งทางการค้าในศาลเพื่อเป็นหลักฐาน ดังนั้นเนื้อหาของข้อความจะต้องเป็นไปตามมาตรฐานองค์กรในด้านจริยธรรมทางธุรกิจอย่างเคร่งครัด

พนักงานไม่สามารถส่งข้อมูลที่เป็นความลับของบริษัทผ่านทางไปรษณีย์โดยไม่มีการเข้ารหัส พนักงานไม่ได้รับอนุญาตให้ใช้กล่องจดหมายสาธารณะ สำหรับการไหลของเอกสาร ควรใช้เฉพาะกล่องจดหมายของบริษัทเท่านั้น ต่อไปนี้เป็นการกระทำที่ไม่สามารถแก้ไขได้เมื่อใช้อีเมล:

  • การส่งอีเมลแบบกลุ่มไปยังผู้ใช้ระดับองค์กรทั้งหมด
  • การส่งข้อความส่วนตัวโดยใช้ทรัพยากรอีเมลของบริษัท
  • สมัครรับจดหมายข่าวกล่องจดหมายของบริษัท
  • การส่งเอกสารที่ไม่เกี่ยวข้องกับงาน

การรายงานเหตุการณ์ การตอบสนอง และการรายงาน

พนักงานทุกคนจะต้องรายงานช่องโหว่ด้านความปลอดภัยที่น่าสงสัย นอกจากนี้จะต้องไม่เปิดเผยจุดอ่อนในระบบรักษาความปลอดภัยที่พนักงานทราบ หากมีข้อสงสัยเกี่ยวกับไวรัสหรือการกระทำที่เป็นอันตรายอื่น ๆ ในคอมพิวเตอร์ พนักงานจะต้อง:

  • แจ้งเจ้าหน้าที่รักษาความปลอดภัยข้อมูล
  • อย่าเปิดคอมพิวเตอร์ที่ติดไวรัสและอย่าใช้งาน
  • อย่าเชื่อมต่อคอมพิวเตอร์กับเครือข่ายข้อมูลองค์กร

สถานที่ที่มีวิธีการป้องกันทางเทคนิค

การประชุม/การประชุมที่เป็นความลับทั้งหมดจะต้องจัดขึ้นในห้องที่กำหนดเท่านั้น ห้ามผู้เข้าร่วมนำอุปกรณ์บันทึกเสียง (เสียง/วิดีโอ) และโทรศัพท์มือถือเข้ามาในสถานที่โดยไม่ได้รับความยินยอมจากบริการรักษาความปลอดภัยข้อมูล พนักงานสามารถบันทึกเสียง/วิดีโอได้โดยได้รับอนุญาตจากบริการรักษาความปลอดภัยข้อมูล

ในหัวข้อนี้ ฉันจะพยายามรวบรวมคู่มือเกี่ยวกับการพัฒนาเอกสารด้านกฎระเบียบในด้านความปลอดภัยของข้อมูลสำหรับโครงสร้างเชิงพาณิชย์โดยพิจารณาจากประสบการณ์ส่วนตัวและเนื้อหาจากเครือข่าย

คุณจะพบคำตอบสำหรับคำถามต่างๆ ได้ที่นี่:

  • เหตุใดจึงจำเป็นต้องมีนโยบายความปลอดภัยของข้อมูล
  • วิธีการเขียน;
  • วิธีการใช้งาน

ความจำเป็นในการมีนโยบายการรักษาความปลอดภัยของข้อมูล
ส่วนนี้อธิบายถึงความจำเป็นในการใช้นโยบายความปลอดภัยของข้อมูลและเอกสารประกอบที่ไม่ได้อยู่ในภาษาที่สวยงามของตำราเรียนและมาตรฐาน แต่ใช้ตัวอย่างจากประสบการณ์ส่วนตัว
ทำความเข้าใจเป้าหมายและวัตถุประสงค์ของแผนกรักษาความปลอดภัยข้อมูล
ประการแรก นโยบายนี้มีความจำเป็นเพื่อสื่อถึงเป้าหมายและวัตถุประสงค์ด้านความปลอดภัยของข้อมูลของบริษัทแก่ธุรกิจ ธุรกิจต้องเข้าใจว่าความปลอดภัยไม่ได้เป็นเพียงเครื่องมือในการตรวจสอบการรั่วไหลของข้อมูลเท่านั้น แต่ยังช่วยลดความเสี่ยงของบริษัทอีกด้วย และเพิ่มผลกำไรของบริษัทด้วย
ข้อกำหนดนโยบายเป็นพื้นฐานสำหรับการดำเนินการตามมาตรการป้องกัน
นโยบายการรักษาความปลอดภัยของข้อมูลเป็นสิ่งจำเป็นในการกำหนดมาตรการป้องกันในบริษัท นโยบายจะต้องได้รับการอนุมัติจากฝ่ายบริหารสูงสุดของบริษัท (CEO, คณะกรรมการ ฯลฯ)

มาตรการป้องกันใดๆ ถือเป็นการประนีประนอมระหว่างการลดความเสี่ยงและประสบการณ์ของผู้ใช้ เมื่อผู้เชี่ยวชาญด้านความปลอดภัยบอกว่ากระบวนการไม่ควรเกิดขึ้นในทางใดทางหนึ่งเนื่องจากมีความเสี่ยง เขาจะถามคำถามที่สมเหตุสมผลเสมอ: “มันจะเกิดขึ้นได้อย่างไร” ผู้เชี่ยวชาญด้านความปลอดภัยจำเป็นต้องเสนอรูปแบบกระบวนการที่ความเสี่ยงเหล่านี้ได้รับการบรรเทาลงในระดับที่น่าพอใจต่อธุรกิจ

นอกจากนี้ การใช้มาตรการป้องกันใดๆ เกี่ยวกับการโต้ตอบของผู้ใช้กับระบบข้อมูลของบริษัทมักจะทำให้เกิดปฏิกิริยาเชิงลบจากผู้ใช้เสมอ พวกเขาไม่ต้องการเรียนรู้ซ้ำ อ่านคำแนะนำที่พัฒนาขึ้นสำหรับพวกเขา ฯลฯ ผู้ใช้มักถามคำถามที่สมเหตุสมผล:

  • เหตุใดฉันจึงต้องทำงานตามแผนงานของคุณไม่ใช่วิธีง่ายๆที่ฉันเคยใช้
  • ผู้คิดเรื่องทั้งหมดนี้ขึ้นมา
การปฏิบัติแสดงให้เห็นว่าผู้ใช้ไม่สนใจเกี่ยวกับความเสี่ยง คุณสามารถอธิบายให้เขาฟังเป็นเวลานานและน่าเบื่อเกี่ยวกับแฮกเกอร์ ประมวลกฎหมายอาญา ฯลฯ จะไม่มีอะไรเกิดขึ้นนอกจากการเสียเซลล์ประสาท
หากบริษัทของคุณมีนโยบายการรักษาความปลอดภัยของข้อมูล คุณสามารถให้คำตอบที่กระชับและกระชับได้:
มาตรการนี้ถูกนำมาใช้เพื่อให้สอดคล้องกับข้อกำหนดของนโยบายความปลอดภัยข้อมูลของบริษัท ซึ่งได้รับการอนุมัติจากหน่วยงานบริหารสูงสุดของบริษัท

ตามกฎแล้ว หลังจากนี้พลังงานของผู้ใช้ส่วนใหญ่จะลดลง ผู้ที่เหลืออยู่สามารถขอให้เขียนบันทึกถึงฝ่ายบริหารสูงสุดของบริษัทแห่งนี้ได้ นี่คือที่ที่ส่วนที่เหลือจะถูกกำจัด เพราะถึงแม้จะมีข้อความดังกล่าว เราก็สามารถพิสูจน์ความจำเป็นของมาตรการที่ดำเนินการกับฝ่ายบริหารได้เสมอ การกินขนมปังของเราไม่ไร้ประโยชน์ใช่ไหม? มีสองสิ่งที่ควรคำนึงถึงเมื่อพัฒนานโยบาย
  • กลุ่มเป้าหมายของนโยบายความปลอดภัยของข้อมูลคือผู้ใช้ปลายทางและผู้บริหารระดับสูงของบริษัท ซึ่งไม่เข้าใจการแสดงออกทางเทคนิคที่ซับซ้อน แต่ต้องคุ้นเคยกับข้อกำหนดของนโยบาย
  • ไม่จำเป็นต้องพยายามยัดเยียดสิ่งที่ไม่เหมาะสม รวมทุกสิ่งที่คุณทำได้ไว้ในเอกสารนี้! ควรมีเป้าหมายด้านความปลอดภัยของข้อมูล วิธีการบรรลุเป้าหมาย และความรับผิดชอบเท่านั้น! ไม่มีรายละเอียดทางเทคนิค เว้นแต่จะต้องมีความรู้เฉพาะด้าน นี่คือเอกสารทั้งหมดสำหรับคำแนะนำและข้อบังคับ


เอกสารขั้นสุดท้ายจะต้องเป็นไปตามข้อกำหนดดังต่อไปนี้:
  • ความกะทัดรัด - เอกสารจำนวนมากจะทำให้ผู้ใช้หวาดกลัว ไม่มีใครอ่านเอกสารของคุณเลย (และคุณจะใช้วลีนี้มากกว่าหนึ่งครั้ง: "นี่เป็นการละเมิดนโยบายความปลอดภัยของข้อมูลที่คุณคุ้นเคย")
  • การเข้าถึงคนทั่วไป - ผู้ใช้จะต้องเข้าใจสิ่งที่เขียนไว้ในนโยบาย (เขาจะไม่มีวันอ่านหรือจำคำและวลี "การตัดไม้" "รูปแบบผู้บุกรุก" "เหตุการณ์ความปลอดภัยของข้อมูล" "โครงสร้างพื้นฐานข้อมูล" "เทคโนโลยี" ”, “มานุษยวิทยา”, “ปัจจัยเสี่ยง” ฯลฯ)
จะบรรลุเป้าหมายนี้ได้อย่างไร?

ในความเป็นจริงทุกอย่างง่ายมาก: นโยบายความปลอดภัยของข้อมูลควรเป็นเอกสารระดับแรกควรขยายและเสริมด้วยเอกสารอื่น ๆ (ข้อบังคับและคำแนะนำ) ซึ่งจะอธิบายบางสิ่งที่เฉพาะเจาะจงอยู่แล้ว
การเปรียบเทียบกับรัฐสามารถนำมาเปรียบเทียบได้ เอกสารระดับแรกคือรัฐธรรมนูญ และหลักคำสอน แนวคิด กฎหมาย และกฎระเบียบอื่นๆ ที่มีอยู่ในรัฐเป็นเพียงส่วนเสริมและควบคุมการดำเนินการตามบทบัญญัติของรัฐเท่านั้น แผนภาพโดยประมาณแสดงในรูป

เพื่อไม่ให้โจ๊กเปื้อนจานเรามาดูตัวอย่างนโยบายความปลอดภัยของข้อมูลที่สามารถพบได้บนอินเทอร์เน็ต

จำนวนหน้าที่มีประโยชน์* เต็มไปด้วยเงื่อนไข คะแนนโดยรวม
OJSC แก๊ซพรอมแบงค์ 11 สูงมาก
กองทุนพัฒนาผู้ประกอบการ JSC “ดามู” 14 สูง เอกสารที่ซับซ้อนสำหรับการอ่านอย่างมีวิจารณญาณ คนทั่วไปจะไม่อ่าน และถ้าอ่านก็จะไม่เข้าใจและจะจำไม่ได้
JSC NC "คาซมูเนย์แก๊ส" 3 ต่ำ เอกสารเข้าใจง่าย ไม่มีศัพท์เทคนิคมากเกินไป
JSC "สถาบันวิศวกรรมวิทยุตั้งชื่อตามนักวิชาการ A.L. Mints" 42 สูงมาก เอกสารที่ซับซ้อนสำหรับการอ่านอย่างมีวิจารณญาณ คนทั่วไปจะไม่อ่าน - มีจำนวนหน้ามากเกินไป

* ฉันเรียกจำนวนหน้าที่ไม่มีสารบัญ หน้าชื่อเรื่อง และหน้าอื่นๆ ที่ไม่มีข้อมูลเฉพาะเจาะจงว่ามีประโยชน์

ประวัติย่อ

นโยบายความปลอดภัยของข้อมูลควรแบ่งออกเป็นหลายหน้า เพื่อให้บุคคลทั่วไปเข้าใจได้ง่าย และอธิบายในแง่ทั่วไปเกี่ยวกับเป้าหมายความปลอดภัยของข้อมูล วิธีการบรรลุเป้าหมาย และความรับผิดชอบของพนักงาน
การดำเนินการและการใช้นโยบายการรักษาความปลอดภัยของข้อมูล
หลังจากได้รับอนุมัตินโยบายความปลอดภัยของข้อมูลแล้ว คุณต้อง:
  • ทำให้พนักงานที่มีอยู่ทุกคนคุ้นเคยกับนโยบายนี้
  • ทำให้พนักงานใหม่ทุกคนคุ้นเคยกับนโยบายนี้ (วิธีที่ดีที่สุดคือหัวข้อสำหรับการสนทนาแยกต่างหาก เรามีหลักสูตรเบื้องต้นสำหรับผู้มาใหม่ซึ่งฉันจะให้คำอธิบาย)
  • วิเคราะห์กระบวนการทางธุรกิจที่มีอยู่เพื่อระบุและลดความเสี่ยง
  • มีส่วนร่วมในการสร้างกระบวนการทางธุรกิจใหม่เพื่อไม่ให้รถไฟวิ่งตามในภายหลัง
  • พัฒนากฎระเบียบ ขั้นตอน คำแนะนำ และเอกสารอื่นๆ ที่เสริมนโยบาย (คำแนะนำในการเข้าถึงอินเทอร์เน็ต คำแนะนำในการเข้าถึงพื้นที่หวงห้าม คำแนะนำในการทำงานกับระบบข้อมูลของบริษัท ฯลฯ)
  • ทบทวนนโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศและเอกสารการรักษาความมั่นคงปลอดภัยสารสนเทศอื่น ๆ อย่างน้อยไตรมาสละครั้งเพื่อนำมาปรับปรุง

สำหรับคำถามและข้อเสนอแนะยินดีต้อนรับในความคิดเห็นและ PMs

คำถาม %ชื่อผู้ใช้%

ส่วนเรื่องการเมือง พวกหัวหน้าไม่ชอบสิ่งที่ผมต้องการเป็นคำพูดง่ายๆ พวกเขาบอกฉันว่า: “นอกจากฉันและคุณและพนักงานไอทีอีก 10 คนที่รู้และเข้าใจทุกอย่างแล้ว เรามีอีก 200 คนที่ไม่เข้าใจอะไรเกี่ยวกับเรื่องนี้ ครึ่งหนึ่งเป็นผู้รับบำนาญ”
ฉันปฏิบัติตามเส้นทางของคำอธิบายที่สั้นโดยเฉลี่ย เช่น กฎการป้องกันไวรัส และด้านล่างฉันเขียนบางอย่างเช่นมีนโยบายการป้องกันไวรัส ฯลฯ แต่ฉันไม่เข้าใจว่าผู้ใช้ลงนามในนโยบายหรือไม่ แต่อีกครั้งที่เขาจำเป็นต้องอ่านเอกสารอื่นๆ อีกจำนวนมาก ดูเหมือนว่าเขาได้ย่อนโยบายให้สั้นลง แต่ดูเหมือนว่าเขาไม่ได้ทำเลย

ที่นี่ฉันจะใช้เส้นทางของการวิเคราะห์กระบวนการ
สมมติว่าการป้องกันไวรัส ตามหลักเหตุผลแล้ว มันควรจะเป็นเช่นนั้น

ไวรัสมีความเสี่ยงอะไรบ้างต่อเรา? การละเมิดความสมบูรณ์ (ความเสียหาย) ของข้อมูล การละเมิดความพร้อมใช้งาน (การหยุดทำงานของเซิร์ฟเวอร์หรือพีซี) ของข้อมูล หากเครือข่ายได้รับการจัดระเบียบอย่างเหมาะสม ผู้ใช้ไม่ควรมีสิทธิ์ของผู้ดูแลระบบในระบบ นั่นคือเขาไม่ควรมีสิทธิ์ในการติดตั้งซอฟต์แวร์ (และไวรัส) เข้าสู่ระบบ ดังนั้นผู้รับบำนาญจึงตกงานเนื่องจากพวกเขาไม่ได้ทำธุรกิจที่นี่

ใครสามารถลดความเสี่ยงที่เกี่ยวข้องกับไวรัสได้? ผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบโดเมน ผู้ดูแลระบบโดเมนถือเป็นบทบาทที่ละเอียดอ่อน มอบให้กับพนักงานแผนกไอที เป็นต้น ดังนั้นพวกเขาจึงควรติดตั้งโปรแกรมป้องกันไวรัส ปรากฎว่าพวกเขายังรับผิดชอบต่อกิจกรรมของระบบป้องกันไวรัสด้วย ดังนั้นพวกเขาจะต้องลงนามในคำแนะนำในการจัดการป้องกันไวรัส จริงๆ แล้วความรับผิดชอบนี้จะต้องเขียนไว้ในคำแนะนำ ตัวอย่างเช่น เจ้าหน้าที่รักษาความปลอดภัยออกกฎ ผู้ดูแลระบบดำเนินการ

คำถาม %ชื่อผู้ใช้%

ถ้าอย่างนั้นคำถามก็คือ สิ่งที่ไม่ควรรวมอยู่ในคำแนะนำของความรับผิดชอบของ Anti-Virus ZI ในการสร้างและใช้งานไวรัส (หรือมีบทความและไม่สามารถกล่าวถึงได้)? หรือว่าจำเป็นต้องรายงานไวรัสหรือพฤติกรรมผิดปกติของพีซีไปยังฝ่ายช่วยเหลือหรือเจ้าหน้าที่ไอที

ผมจะมองจากมุมมองการบริหารความเสี่ยงอีกครั้ง พูดได้เลยว่ากลิ่นนี้ของ GOST 18044-2007
ในกรณีของคุณ “พฤติกรรมแปลกๆ” ไม่จำเป็นต้องเป็นไวรัสเสมอไป นี่อาจเป็นระบบเบรกหรือเบรกเป็นต้น ดังนั้นนี่ไม่ใช่เหตุการณ์ แต่เป็นเหตุการณ์ความปลอดภัยของข้อมูล ตาม GOST อีกครั้ง บุคคลใดก็ตามสามารถรายงานเหตุการณ์ได้ แต่เป็นไปได้ที่จะเข้าใจว่าเป็นเหตุการณ์หรือไม่หลังจากการวิเคราะห์เท่านั้น

ดังนั้น คำถามของคุณนี้ไม่ส่งผลให้เกิดนโยบายความปลอดภัยของข้อมูลอีกต่อไป แต่ส่งผลต่อการจัดการเหตุการณ์ นโยบายของคุณควรระบุว่า บริษัทจะต้องมีระบบการจัดการเหตุการณ์.

นั่นคืออย่างที่คุณเห็น การดำเนินการด้านการบริหารของนโยบายนั้นขึ้นอยู่กับผู้ดูแลระบบและเจ้าหน้าที่รักษาความปลอดภัยเป็นหลัก ผู้ใช้จะเหลือสิ่งที่กำหนดเอง

ดังนั้นคุณต้องจัดทำ "ขั้นตอนการใช้ SVT ในบริษัท" ซึ่งคุณต้องระบุความรับผิดชอบของผู้ใช้ เอกสารนี้ควรสัมพันธ์กับนโยบายความปลอดภัยของข้อมูลและเป็นคำอธิบายสำหรับผู้ใช้

เอกสารนี้สามารถระบุได้ว่าผู้ใช้จำเป็นต้องแจ้งหน่วยงานที่เหมาะสมเกี่ยวกับกิจกรรมที่ผิดปกติของคอมพิวเตอร์ คุณสามารถเพิ่มทุกสิ่งทุกอย่างที่กำหนดเองได้ที่นั่น

โดยรวมแล้วคุณต้องทำให้ผู้ใช้คุ้นเคยกับเอกสารสองฉบับ:

  • นโยบายความปลอดภัยของข้อมูล (เพื่อให้เขาเข้าใจว่ากำลังทำอะไรอยู่และทำไม ไม่โยกเรือ ไม่สาบานเมื่อแนะนำระบบควบคุมใหม่ ฯลฯ )
  • “ขั้นตอนการใช้ SVT ในบริษัท” นี้ (เพื่อให้เขาเข้าใจว่าต้องทำอย่างไรในสถานการณ์เฉพาะ)

ดังนั้น เมื่อใช้ระบบใหม่ คุณเพียงเพิ่มบางอย่างลงใน "ขั้นตอน" และแจ้งให้พนักงานทราบเกี่ยวกับเรื่องนี้โดยการส่งขั้นตอนทางอีเมล (หรือผ่าน EDMS หากมี)

แท็ก: เพิ่มแท็ก



บทความที่เกี่ยวข้อง