يُفهم أن أمن المعلومات يعني مثل هذه الحالة ، والتي تستبعد إمكانية عرض المعلومات أو تغييرها أو إتلافها من قبل الأشخاص الذين ليس لديهم الحق في القيام بذلك ، وكذلك تسرب المعلومات بسبب الإشعاع الكهرومغناطيسي الجانبي والتداخل ، وأجهزة الاعتراض (التدمير) الخاصة عند النقل بين كائنات تكنولوجيا الكمبيوتر ... يشمل أمن المعلومات أيضًا حماية المعلومات من التدمير غير المقصود (الأعطال الفنية).
حماية المعلومات هي مجموعة من الإجراءات التي تهدف إلى ضمان سرية وسلامة المعلومات المعالجة ، فضلاً عن توافر المعلومات للمستخدمين.
السرية - الاحتفاظ بسرية المعلومات الحساسة التي يقتصر الوصول إليها على دائرة ضيقة من المستخدمين (أفراد أو مؤسسات).
النزاهة هي خاصية تحتفظ المعلومات في وجودها بشكل وجودة محددين مسبقًا.
إمكانية الوصول هي حالة المعلومات عندما تكون بالشكل والمكان والزمان اللذين يحتاجهما المستخدم ، وفي الوقت الذي يحتاج إليه.
الغرض من حماية المعلومات هو تقليل الخسارة في الإدارة بسبب انتهاك سلامة البيانات أو السرية أو عدم إمكانية الوصول إلى المعلومات للمستهلكين.
انتهى الجزء الرسمي (إجراء النسخ واللصق من الإنترنت). الآن غير رسمي. من الممارسة.
كُتب هذا المقال لرؤساء الشركات الذين لا تنطبق عليهم قواعد البنك الوطني لجمهورية كازاخستان (المنظم).
كيف يفهم معظم المديرين (وليس الكثير) "أمن المعلومات"؟
ماذا يقصد أصحاب العمل (الشركات) عند نشر وظائف شاغرة مع ذكر عبارة "أمن المعلومات"؟
من خلال الممارسة العملية ، يربط معظم الأشخاص أمان المعلومات بنوع من الوسائل التقنية ، على سبيل المثال ، جهاز حماية الشبكة (جدار الحماية) أو برنامج تتبع الموظفين (ما يسمى DLP - منع فقدان البيانات) أو مكافحة الفيروسات.
الوسائل المذكورة أعلاه تتعلق بأمن المعلومات ، ولكنها لا تضمن بأي حال سلامة الكائن المحمي (المعلومات) وسلامته وتوافره. لماذا ا؟
لسبب بسيط للغاية - ضمان أمن المعلومات هو عملية ، وليس أي جهاز ، أو برمجيات ، والتي ، مثل معظم المديرين (وليس فقط) ، تعتقد أنها الدواء الشافي والحماية.
خذ على سبيل المثال شركة تجارية صغيرة تضم 50 مستخدمًا. نعني بالمستخدمين جميع الموظفين الذين يمكنهم الوصول إلى نظام المعلومات (IS) للشركة من خلال أي جهاز (كمبيوتر ، كمبيوتر محمول ، جهاز لوحي ، هاتف محمول). الوصول إلى IP يعني أي وصول - إلى البريد الإلكتروني ، والإنترنت ، وقواعد البيانات ، والملفات ، وما إلى ذلك.
تختلف عقلية القادة في شركاتنا (بما في ذلك مثالنا) اختلافًا جوهريًا عن العقلية الغربية - أنا الرئيس ، يمكنني فعل أي شيء. بما في ذلك الوصول غير المحدود إلى الإنترنت أو القدرة على تثبيت أي برنامج على جهاز الكمبيوتر. من وجهة نظر أمن المعلومات ، مثل هذا القائد هو التهديد الرئيسي لأمن المعلومات بالذات. لماذا ا؟ لأنه غير كفء في مسألة أمن المعلومات ، ويفكر ، كما ذكر أعلاه - أنه إذا كان هناك مسؤول نظام ، أو بعض الأجهزة باهظة الثمن التي اشتراها مؤخرًا بناءً على توصية من نفس مسؤول النظام - كل هذا يجب أن يوفر نفس أمان المعلومات. أستطيع أن أقول أنه لا يوجد متخصص ولا جهاز باهظ الثمن سيوفر عليك من إرسال بريدك عمدًا (على سبيل المثال.ru - محبوب جدًا من قبل الجميع) ، سيرسل المهاجم أي برنامج ضار لن يكون فيروساً ، ولكن على سبيل المثال سيكون نوعًا من البرامج النصية التي تسمح لك بالوصول إلى IP الخاص بك من خلال جهاز الكمبيوتر الخاص بك. يمكنك تنزيل الملف من صندوق بريد mail.ru الخاص بك (على سبيل المثال ، يُسمى "متطلبات المورد.doc" - يتم تشغيل البرنامج النصي (بشكل طبيعي بدون علمك).
وبالتالي ، يتمكن المهاجم من الوصول إلى شبكتك ، وبالتالي يوسع أنشطته بهدوء وفويلا! ذات يوم "جيد" ، تكتشف فجأة (ضع علامة على ما هو ضروري):
- جميع قواعد البيانات الخاصة بك مشفرة. لقد تلقيت رسالة فدية في بريدك ؛
- تم تدمير جميع ملفاتك. جاء ابتسامة إلى بريدك :) ؛
- شبكتك لا تعمل فقط ؛
- تم نشر بيانات عملائك على أي مواقع ؛
- تعلم منافسيك حالتك الحقيقية ؛
- أصبح أدائك المالي الحقيقي متاحًا للجمهور ؛
- يقدم لك المورد أي مطالبات بموجب العقد الذي وقعته مؤخرًا (انتهاك سلامة المعلومات). تم تغيير العقد من قبل المهاجم عشية التوقيع (قام المحامون والمحاسبون والمدير التجاري والمسؤولون الآخرون بفحصه بالفعل) وحفظه في ملف على الخادم.
- تسجيل فيديو لحفل شركتك من كاميرات المراقبة ، حيث كنت ترقص أنت وسكرتيرك على الطاولة في سراويل داخلية مصنوعة من مشابك ورقية وصلت إلى زوجتك بطريقة ما ؛
- إلخ
ما الخسائر التي ستتكبدها الشركة التجارية من حقيقة أن الشبكة لا تعمل أو بسبب تسرب البيانات؟ الكبار. يتم حساب الخسائر ليس فقط من خلال تكلفة المنتجات غير المشحونة للعملاء ، ولكن أيضًا من خلال تكلفة صيانة الموظفين لفترة عدم نشاط IS ، وتكلفة الكهرباء ، والإيجار ، وخسائر السمعة ، إلخ. سنلتزم الصمت حيال التسجيلات من كاميرات المراقبة (من الصعب التنبؤ بالعواقب :).
سيكون الكثيرون ساخطين - كل هذه قصص رعب. عادة ما تكون الحجج على النحو التالي:
- لدينا نسخ احتياطية.
- لدينا جدار حماية من أحدث طراز تم إنشاؤه بواسطة أروع شركة لأمن المعلومات في الدولة ؛
- لدينا أغلى مضاد فيروسات ؛
- نحن لدينا...
عادة ما يكون هناك عدد لا يحصى من هذه الحجج ، والتي في الحالة المذكورة أعلاه لا تضمن لك أي شيء.
النسخ الاحتياطية
النسخ الاحتياطي هو أحد الطرق الأساسية لحماية المعلومات - سلامتها وتوافرها وسلامتها.
لكن:
- هل لديك جدول نسخ احتياطي؟
- هل أنت متأكد من أن النسخ الاحتياطية الخاصة بك تعمل؟
- هل تم اختبار النسخ الاحتياطية الخاصة بك (هل كان هناك اختبار استعادة) بواسطة مسؤول النظام؟
- كم مرة تم اختبار النسخ الاحتياطي؟
- هل هناك نسخة احتياطية على الإطلاق؟
من الناحية العملية ، فإن القائمة الكاملة المذكورة أعلاه إما غائبة ، أو يتم إجراؤها عادة بعد الحريق (وحتى ذلك الحين ، ليس لفترة طويلة).
جهاز الأمن (جدار الحماية)
عادةً ما يأتي التهديد الرئيسي للمعلومات - سريتها وسلامتها وتوافرها (CIA) - من الداخل. الموظفين الساخطين ، الرؤساء المذكورين أعلاه ، المحاسبين (بأقراصهم المحمولة المصابة الذين كانوا في أرض خصبة للفيروسات - الضرائب الأولى) ، موظفون عاديون. غالبًا ، على السؤال "هل لديك إجراءات موثقة للوصول إلى IP" ، يجيب العديد من الأشخاص بنظرة فارغة - "ما هذا؟". أو السؤال "هل تم فحص المحيط الخارجي (والداخلي) للشبكة من قبل أشخاص مؤهلين للأمن" - لماذا؟ هذا لأنه يشير جميعًا إلى نفس أمن المعلومات. من الناحية العملية ، فإن معظم الشركات ليس لديها واحدة أو أخرى ، أو الثالثة ، فهي لم تفعل أو لا تعرف على الإطلاق سبب ضرورة ذلك (ولكن مع ذلك تكتب في الوظائف الشاغرة "أمن المعلومات"). جدار الحماية ليس حلاً سحريًا.هذه أداة تقنية مصممة لحماية المحيط الخارجي والداخلي لعنوان IP الخاص بك. وعلى الرغم من تكلفته ، فإنه لن يوفر لك الحماية إذا تم إعداده بواسطة أحد الهواة. يمكن مقارنة ذلك بإطلاق النار من مسدس - قد يكون مكلفًا ، لكنه لا يضمن إصابة مطلق النار غير الكفؤ (راقص سيء) بالهدف.
مضاد للفيروسات
كم عدد الأشخاص - الكثير من مضادات الفيروسات. مضاد الفيروسات ، كما ذكر أعلاه ، ليس حلاً سحريًا. هذه مجرد واحدة من وسائل أمن المعلومات ، والتي لا تستبعد أو تتجاوز الإعداد المناسب لأنظمة التشغيل ، وسياسات المجموعة ، وحقوق الوصول ، وإجراءات النسخ الاحتياطي المنظمة ، وتدريب المستخدمين وإعلامهم بأساسيات أمن المعلومات وغيرها من التدابير التي يمكن أن تعزز حصن أمن المعلومات.
هل تحتاج إلى توظيف موظف مع التركيز بشكل خاص على أمن المعلومات ، أو الإسراع وشراء أقنعة لأجهزة الأمان (جدران الحماية) وبرامج مكافحة الفيروسات لضمان أمن المعلومات؟
لا. في المرحلة الأولى ، لا تحتاج إلى شراء أي شيء وتوظيف أي شخص والقيام بأعمال متهورة أخرى.
يوجد أدناه خوارزمية مبسطة للإجراءات التي يجب اتخاذها لبناء نظام أمن المعلومات.
0. قرر كيف ستنشئ نظامًا لأمن المعلومات - كالمعتاد (كيف يتم كل شيء في مساحة رابطة الدول المستقلة بالكامل - من خلال المؤخرة والعرض والتحدث وتكوين الأشخاص الأذكياء في الاجتماعات والنسيان) ، أو وفقًا للمعايير المقبولة عمومًا.
إذا كانت إجابة السؤال 0 "كالمعتاد" ، فلا يمكنك أن تضيع وقتك الثمين وتتوقف عن القراءة.
1. قرر ماذا ولماذا تحمي. عادةً ما يسمى المستند الذي يصف ذلك "سياسة أمان المعلومات". لا يصف المستند أي تدابير محددة ، وأجهزة تقنية ، وإعدادات وإجراءات أخرى مطلوبة لضمان حماية المعلومات.
2. قم بعمل قائمة بالموارد (الأجهزة والبرامج) المتوفرة في الشركة. غالبًا ما يتم ذكر قائمة البرامج والمعدات في متطلبات المتقدمين "Kerio FW و Cisco و Mikrotik و Ubuntu و pfsense" وما إلى ذلك. هل تعتقد بجدية أن كل ما لديك في المخزن سيحميك؟ العكس تماما.
3. إنشاء ومناقشة مصفوفات وصول المستخدم (العملاء ، الشركاء ، إلخ) إلى نظام المعلومات. ما هي مصفوفة الوصول: هي عندما يكون هناك وثيقة واضحة من وأين وما هو مستوى الوصول إلى نظام نظم المعلومات.
4. إنشاء وثيقة تحكم إجراء النسخ الاحتياطي.
5. إنشاء مستند يصف جميع وسائل أمن المعلومات - المادية والتقنية والبرمجية والإدارية.
6. إعداد وعقد دورات تدريبية حول أمن المعلومات لموظفي المنشأة. افعلها كل ثلاثة أشهر.
7. اسأل الموظف المسؤول عما إذا كان سيكون قادرًا على توفير العملية برمتها بمفرده أم أنها تتطلب مشاركة طرف ثالث (أو تعيين موظف إضافي)
8. اختبر عنوان IP الخاص بك للتحقق من الاختراق (ما يسمى باختبار الاختراق).
9. قم بإنشاء أو تصحيح المستندات التالية:
- استعادة IS (نظام المعلومات) في حالة الفشل (المعدات ، والكوارث من صنع الإنسان والطبيعية ، والأضرار الأخرى) ؛
- لوائح الحماية من الفيروسات ؛
- وثيقة تنظم إجراءات النسخ الاحتياطي واختبار النسخ الاحتياطية ؛
- وثيقة تنظم مراقبة واستعادة قواعد البيانات (إن وجدت) ؛
- , ;
- , ;
- , ( );
- ( );
- , (WiFi) ;
- , ;
- ( );
- , ;
- ( ).
10. مراقبة وتعديل الإجراءات والأنظمة على أساس شهري بما يتوافق مع الوضع الخارجي والداخلي.
11. ابتسم. الشيطان ليس بالسوء الذي يصوره إذا كان لديك نظام معلومات جيد التنظيم وشفاف ومفهوم ويمكن التحكم فيه. يمكن فهمه لك (المدير) ولمستخدميك (الموظفين) ونأمل أن يكون مسؤول النظام لديك.
اعتني بنفسك.