信息安全被理解为处于这种状态,在这种状态下,信息安全排除了无权查看,更改或破坏信息的人的可能性,以及由于附带的电磁辐射和干扰,在计算机技术之间转移而使用的特殊拦截(破坏)设备导致的信息泄漏...信息安全还包括保护信息免受意外破坏(技术故障)。
信息保护是旨在确保所处理信息的机密性和完整性以及用户信息可用性的一组措施。
机密性-保持机密敏感信息,只有少数用户(个人或组织)才能访问。
完整性是信息存在时保持预定形式和质量的一种属性。
可访问性是指信息的状态,即信息的形式,位置和时间以及用户所需的时间。
信息保护的目标是最大程度地减少因违反数据完整性,机密性或消费者无法访问信息而造成的管理损失。
正式部分(来自Internet的复制粘贴过程)结束。现在是非官方的。从实践。
本文是为不适用哈萨克斯坦共和国国家银行(监管机构)规则的公司负责人撰写的。
大多数经理(不是那么多)如何理解“信息安全”?
雇主(公司)发布职位空缺时提到“信息安全”一词是什么意思?
实际上,大多数人将信息安全与某种技术手段相关联,例如,网络保护设备(防火墙)或员工跟踪软件(所谓的DLP-数据丢失防护)或防病毒软件。
前述手段与信息安全有关,但绝不保证受保护对象(信息)的安全,其完整性和可用性。为什么?
出于非常简单的原因-确保信息安全是一个过程,而不是任何设备和软件,就像大多数管理人员一样(并且不仅如此),他们认为它们是灵丹妙药和保护措施。
以一家有50个用户的小型贸易公司为例。用户是指可以通过任何设备(计算机,笔记本电脑,平板电脑,移动电话)访问公司信息系统(IS)的所有员工。对IP的访问意味着对电子邮件,Internet,数据库,文件等的任何访问。
我们公司(包括我们的榜样)的领导者的心态与西方国家的领导者根本不同-我是老板,我无所不能。包括无限制地访问Internet或在计算机上安装任何软件的能力。从信息安全的角度来看,这种领导者是对该信息安全的主要威胁。为什么?因为他在信息安全问题上不称职,并且如上所述,他认为-如果有系统管理员,或者他是在同一位系统管理员的建议下最近购买的某些昂贵的设备-所有这些都必须提供相同的信息安全性。我可以说,没有专家和昂贵的设备可以避免您故意发送邮件(例如邮件)。ru-受到所有人的喜爱),攻击者将发送任何不是病毒的恶意软件,但例如,将使用某种脚本,使您可以通过计算机访问IP。您从mail.ru邮箱下载文件(例如,它称为“ supplier.doc的要求”)-脚本启动(自然地,您不知道)。
因此,攻击者可以访问您的网络,然后悄悄地扩展其活动,瞧!有一天,您会突然发现(强调必要的内容):
- 您所有的数据库都是加密的。您已经收到一封赎金信;
- 您的所有文件均被销毁。您的邮件中出现一个笑脸:);
- 您的网络无法正常工作;
- 您客户的数据已发布在任何网站上;
- 您的竞争对手了解了您的真实情况;
- 您的真实财务业绩已公开发布;
- 供应商根据您最近签订的合同向您提出任何索赔(违反信息完整性)。攻击者在签署前夕更改了合同(您的律师,会计师,商业总监和其他官员已经检查了合同)并将其保存在服务器上的文件夹中。
- 通过监控摄像头录制公司聚会的录像,您和您的秘书在桌上用回形针制成的内裤跳舞,不知何故到达了您妻子;
- 等等
贸易公司会因网络不工作或数据泄漏而蒙受什么损失?大个子 损失不仅通过未运送产品给客户的成本来计算,还通过在IS处于不活动状态期间的维护人员成本,电费,租金,声誉损失等来计算。我们将对监视摄像机的录音保持沉默(很难预测后果:)。
许多人会愤慨-所有这些都是恐怖的故事。参数通常如下:
- 我们有备份;
- 我们拥有该国最酷的信息安全公司设置的最新型号的防火墙;
- 我们拥有最昂贵的防病毒软件;
- 我们有...
通常有无数这样的论点,在上述情况下,这些论点不能保证您获得任何东西。
后备
备份是保护信息的最基本方法之一-完整性,可用性和安全性。
但:
- 您有备份时间表吗?
- 您确定备份正常吗?
- 您的备份是否已由系统管理员测试(是否有测试还原)?
- 备份多久测试一次?
- 完全有备份吗?
根据实践,上面给出的几乎整个列表都不存在,或者通常在大火后执行(即使这样,也不会持续很长时间)。
安全装置(防火墙)
信息的主要威胁-机密性,完整性和可用性(CIA)-通常来自内部。心怀不满的员工,上述老板,会计师(带有被感染病毒的闪存驱动器,他们曾经是病毒的滋生地-纳税人),普通员工。通常,对于“您是否记录了访问IP的过程”这个问题,许多人以空白的表情回答“这是什么?”。还是“是否由合格人员检查网络的外部(内部)边界”以解决问题?为什么?这是因为所有这些都指相同的信息安全性。从实践中看,大多数公司没有一个或另一个,也没有第三家,他们从来没有做过,或者根本不知道为什么这样做是必要的(尽管如此,他们空缺地写了“信息安全”)。防火墙不是万能药。这是一种旨在保护IP外部和内部外围的技术工具。尽管成本高昂,但如果由业余爱好者设置,它将无法为您提供保护。这可以与开枪相提并论,虽然价格昂贵,但不能保证无能的射手(坏舞者)会击中目标。
防毒软件
多少人-这么多的防病毒软件。如上所述,防病毒不是万能药。这只是信息安全手段之一,不会排除或覆盖操作系统,组策略,访问权限,受规管的备份过程,对信息安全基础知识进行培训和通知用户以及其他可增强信息安全基础的措施的适当设置。
您是否需要雇用一名特别关注信息安全的员工,还是急忙购买安全设备(防火墙)和防病毒软件的面具以确保信息安全?
没有。在第一阶段,您无需购买任何东西,雇用任何人或进行其他轻率的动作。
以下是构建信息安全系统必须采取的简化操作算法。
0.决定您将如何建立信息安全系统-照常(整个CIS空间中的工作是如何完成的-通过交谈和展示,我们进行了交谈,在会议上做过聪明的人而忘了),还是根据公认的标准。
如果对问题0的回答是“照常”,您将不再浪费您的宝贵时间并停止阅读。
1.确定要保护的内容和原因。描述此问题的文档通常称为“信息安全策略”。本文档未描述确保信息保护所需的任何特定措施,技术设备,设置和其他操作。
2.列出公司中可用的资源(硬件和软件)列表。通常在申请人的要求中,提到软件和设备列表“ Kerio FW,Cisco,Mikrotik,Ubuntu,pfsense”等。您是否真的认为库存中的所有物品都能保护您?恰恰相反。
3.创建并讨论用户对信息系统的访问矩阵(客户,合作伙伴等)。什么是访问矩阵:当有明确的文档时,是谁,什么地方和什么级别可以访问IS系统。
4.创建一个管理备份过程的文档。
5.创建一个描述所有信息安全手段的文档-物理,技术,软件,管理。
6.为企业员工准备和举办有关信息安全的培训课程。每季度做一次。
7.询问负责的员工,他是否将能够独自提供整个过程,还是需要第三方的介入(或雇用其他员工)
。8.测试您的IP渗透性(所谓的渗透测试)。
9.创建或更正以下文档:
- 在发生故障(设备,人为和自然灾害,其他破坏)的情况下恢复信息系统(信息系统);
- 反病毒保护法规;
- 规范备份和测试备份程序的文件;
- 规范数据库控制和恢复的文件(如果有);
- , ;
- , ;
- , ( );
- ( );
- , (WiFi) ;
- , ;
- ( );
- , ;
- ( ).
10.根据外部和内部情况,每月监视和调整程序和规定。
11.微笑。如果您具有结构良好,透明,可理解且易于管理的信息系统,那么魔鬼并不像他所描绘的那样糟糕。对您(经理),用户(雇员)和系统管理员而言都是可以理解的。
好好照顾自己。