Segíthet referenciák hozzáadásával vagy a közzé nem tett tartalom eltávolításával. További részletekért lásd a beszélgetés oldalt .
Az információs rendszerek biztonsága ( ISS ), vagy egyszerűbben a számítógépes biztonság , mindazon technikai, szervezési, jogi és emberi erőforrás, amely az információs rendszer illetéktelen használatának, visszaélésének, módosításának vagy visszaélésének megakadályozását célzó eszközök megvalósításához szükséges . Az információs rendszer biztonságának biztosítása az információs rendszerek kezelésének tevékenysége .
Ma a biztonság a vállalatok, valamint a körülötte lévő összes szereplő számára fontos kérdés. Ez már nem korlátozódik kizárólag a számítástechnikus szerepére. Hosszú távú célja a felhasználók és az ügyfelek bizalmának fenntartása. A középtávú cél a teljes információs rendszer következetessége. Rövid távon az a cél, hogy mindenki hozzáférjen a szükséges információkhoz. Az információbiztonsági irányítási rendszerekkel (ISMS) foglalkozó szabvány az ISO / CEI 27001, amely hangsúlyozza a titoktartást - az integritást - a rendelkezésre állást , vagyis francia nyelven az elérhetőség , az integritás és a titoktartás .
Az információs rendszerek vezetői régóta foglalkoznak az adatok biztonságával. A legelterjedtebb eset, és kétségkívül a prekurzor a tájékoztatás biztonság továbbra is a biztosító stratégiai és katonai információkat. Az Egyesült Államok Védelmi Minisztériuma (DoD) a TCSEC , a témával foglalkozó referenciamunka eredete . Hasonlóképpen, a többszintű biztonság elve a katonai információbiztonsági problémák megoldásának kutatásából ered . A védelem mélyrehatóan , egy régi katonai gyakorlatból kiindulva, és ma is releváns. Ez a gyakorlat a rendszer minden részhalmazának biztosításából áll.
A rossz biztonság következményei kihathatnak a szervezetekre, de egy vagy több ember magánéletére is, különösen olyan bizalmas információk terjesztése révén, mint például banki adataik, pénzügyi helyzetük, bizalmas kódjaik stb. Általában az egyénekre vonatkozó adatok megőrzése az adatvédelmi törvény által szabályozott jogi kötelezettségek tárgya .
Manapság általánosan elfogadott vélemény, hogy a biztonság nem garantálható 100% -osan, és ezért leggyakrabban egy olyan intézkedés mozgósítását igényli, amely csökkenti az információs rendszerek behatolásának esélyét.
„Az információs rendszer a szervezet alapvető örökségét képviseli, amelyet meg kell védeni. Az informatikai biztonság arról szól, hogy a szervezet hardveres vagy szoftveres erőforrásait csak a rendeltetésüknek megfelelően használják fel. "
Az információs rendszerek biztonsága a következő célokat tűzi ki (CAID):
Egyéb szempontok is tekinthetők az információs rendszerek biztonsági célkitűzéseinek, például:
A biztonsági célok meghatározása után az egyes elemekre nehezedő kockázatok megbecsülhetők a fenyegetések szerint . Az információs rendszer biztonságának általános szintjét a leggyengébb láncszem biztonsági szintje határozza meg. Az óvintézkedéseket és az ellenintézkedéseket annak a környezetnek a sérülékenysége alapján kell megfontolni, amelynek az információs rendszernek a szolgáltatást és támogatást kell nyújtania.
Ehhez meg kell becsülni:
Az információs rendszerek biztonsága érdekében a megközelítés egy szabályos evolúciós spirált alkalmaz: a ciklus vége egy új kezdetéhez vezet, mint a Deming-kerékben . Biztonságban ez a következőkből áll:
értékelje a kockázatokat és azok kritikusságát milyen kockázatok és fenyegetések, milyen adatokra és tevékenységekre, milyen következményekkel járnak?Fontos figyelembe venni az értékkel bíró eszközöket az információs rendszer- irányítási rendszer hatókörének meghatározásával . A vállalat stratégiájától függően az egész vállalatra, egy adott helyszínre, egy szolgáltatásra lehet összpontosítani. A vállalatok szellemi tőkéje integrálja az érzékeny információkat , ezt az információs örökséget meg kell védeni. A vállalatnak ezért biztonsági politikát kell kialakítania az információs rendszerek, az adatbiztonság és az azonosítási mechanizmusok tekintetében . Ezenkívül meg kell határozni az ISMS-politikát, amely a vállalat elkötelezettsége bizonyos pontok mellett a biztonság szempontjából. Ez a két pont képezi a WSIS alapkövét , amelynek célja az ISO / IEC 27001 szabvány megteremtése, és ezáltal az érdekeltek bizalma.
2. lépés: KockázatértékelésAz információs rendszer biztosításának megkísérlése azt jelenti, hogy megpróbálja megvédeni magát a szándékos fenyegetésekkel, és általánosabban minden olyan kockázattal szemben , amely befolyásolhatja ennek a rendszernek vagy az általa feldolgozott információknak a biztonságát.
Kockázatelemzési módszerAz információs rendszeren különféle kockázatelemzési módszerek léteznek. Íme a leggyakoribb kockázatértékelési módszerek:
Franciaországban az első módszer a Marion volt . Mára a CLUSIF által kifejlesztett Méhari módszerrel ( Harmonizált kockázatelemzési módszer ) és az EBIOS módszerrel ( Az igények kifejezése és a célok biztonságának meghatározása ) váltotta fel, még akkor is, ha néhány vállalat megtartotta ezt a kezdeti modellt. Nemzeti Információs Rendszerek Biztonsági Ügynöksége ( ANSSI ).
Angliában a Cramm egy kockázatelemzési módszer, amelyet az angliai kormányzati szervezet, az ACTC (Central Communications and Telecommunications Agency) fejlesztett ki. Ez az Egyesült Királyság kormánya által preferált kockázatelemzési módszer, de sok más ország is alkalmazza.
Az Egyesült Államok az OCTAVE-t ( Operationally Critical Threat, Asset and Vulnerability Evaluation ) használja, amelyet a Carnegie Mellon Egyetem fejlesztett ki.
Nemzetközi viszonylatban az ISO / IEC 27005 szabványt alkalmazzák , amely az ISO / IEC 27001 tanúsítás követelményeinek megfelelő nemzetközi szabványos találkozási pont . Ez a legújabb szabvány, ráadásul könnyen alkalmazható, mert pragmatikus.
Módszer | Szerző | Ország |
---|---|---|
Kockázatértékelés | Platina négyzet | Egyesült Királyság |
Afhankelijkheids | Holland minisztérium | Hollandia |
ISAMM | Evosec | Belgium |
IT-Grundschutz | BSI | Németország |
Magerit | Spanyol minisztérium | Spanyolország |
Migra | AMTEC / ElsagDatamat | Olaszország |
SP 800-30 | NIST | USA |
ISO 17799 | ISO | Nemzetközi |
ISO 13335 | ISO | Nemzetközi |
ISO 14408 | ISO | Nemzetközi |
Noha ezeknek a módszereknek a célja ugyanaz, a használt kifejezések és kifejezések változhatnak. A fentieket általában a Feros- módszer ihlette .
Paradox módon a vállalatoknál a mérhető és releváns IS- mutatók meghatározása kényesnek bizonyul, amelyek lehetővé teszik az ésszerű időcélok meghatározását. A teljesítmény mérésére indikátorokként kijelölhetjük az eszközök vagy eljárások telepítésének állapotát, de az eredménymutatókat bonyolultabban lehet meghatározni és értékelni, például a „vírus riasztásokkal” kapcsolatban .
Azonosítsa az eszközöketEz abból áll, hogy összeállít egy listát az ISMS kerület összes fontos információs eleméről. Különböző típusú eszközök vannak:
Az eszközök azonosítása során három probléma merül fel:
A katasztrófa bekövetkezte esetén a folyamatosság és a helyreállítás biztosításához elengedhetetlen az üzleti biztonsági tervek megléte (üzleti helyreállítási terv ). Ezek a tervek megpróbálják minimalizálni az adatvesztést és növelni a reagálókészséget súlyos katasztrófa esetén. A hatékony üzletmenet-folytonossági terv gyakorlatilag átlátható a felhasználók számára, és információvesztés nélkül garantálja az adatok integritását .
Határozza meg a felelős személyeketA jóért felelős személy válaszol érte. Általában ez ismeri a legjobban az eszközök elérhetőségének , integritásának és titkosságának értékét és hatását . Egy vállalatnál általában az információs eszközöket ismeri a legjobban az információs rendszerek biztonságáért felelős személy .
A sérülékenységek azonosításaMinden felsorolt eszköz biztonsági réssel rendelkezik; ez az eszköz belső tulajdonsága, amely fenyegetéseknek teszi ki.
A fenyegetések azonosítása és modellezéseA korábban azonosított biztonsági rések veszélyeket jelentenek az eszközök számára. Az ISO / CEI 27001 szabvány megköveteli az összes felsorolt eszköz fenyegetésének azonosítását .
A fő fenyegetések, amelyekkel egy információs rendszer szembesülhet, a következők:
Az ISO 27001 szabvány kötelezi a következmények értékelését; mint például: a titoktartás, a rendelkezésre állás vagy az integritás elvesztése. Ez azt jelenti, hogy minden eszközre háromdimenziós pontszámot adunk meg ( titoktartás , rendelkezésre állás és integritás ), meghatározott kritériumok szerint .
Azonosítsa a kártNégyféle kár érintheti a szervezet információs rendszerét:
Ez magában foglalja az információs eszköz visszahelyezését a környezeti kontextusba, és ezért a már meglévő intézkedések figyelembevételét ( pl. Ha egy ügyfélfájl már titkosítva van, akkor korlátozott annak valószínűsége, hogy a titkosságát veszélyeztetik). 1-től 5-ig terjedő skálán lehet értékelni a valószínűség fogalmát .
Becsülje meg a kockázati szinteketA végső pontszám kiosztása a fenti tényezők figyelembevételével tükrözi a tényleges kockázat szintjét. Az ISO 27001 szabvány nem ír elő semmilyen képletet, ezért a kivitelezőnek kell megválasztania. Ez lehet 0 és 100 közötti pontszám vagy színkód.
3. lépés: Kezelje a kockázatot és azonosítsa a maradék kockázatotA vállalat négyféle módon képes kezelni az azonosított kockázatokat :
Fogadja el a kockázatot ad hoc megoldás, amikor a kockázat bekövetkezése elfogadható következményekkel jár a vállalat számára. Kerülje a kockázatot megoldás, amikor a támadás következményeit túl veszélyesnek tartják a vállalat számára. Vigye át a kockázatot megoldás, amikor a vállalat saját eszközeivel (biztosításkötés vagy alvállalkozás ) nem tud szembenézni a kockázattal . Csökkentse a kockázatot megoldás a kockázat elfogadhatóvá tétele érdekében.Végül nem szabad megfeledkeznünk az összes biztonsági intézkedés végrehajtása után fennmaradó „fennmaradó kockázatok” figyelembevételéről . További védintézkedéseket kell tenni ezen kockázatok elfogadhatósága érdekében.
4. lépés: Válassza ki a végrehajtandó intézkedéseket (az ISO / IEC 27001 A. melléklete)Az ISO2 / CEI 27001 szabvány megvalósítása általában öt egymást kiegészítő szakaszban történik:
A tervezési szakasz meghatározza a szervezetben megteendő intézkedéseket, de nem teszi lehetővé azok konkrét megvalósítását. Meg kell szervezni őket, a szükséges eszközöket ki kell választani és a felelősségeket egy kockázatkezelési terv elkészítésével kell meghatározni. Ez a lépés a projekt menedzsmentje alá tartozik .
Biztonsági intézkedések bevezetéseSzámos technikai eszköz valósítható meg az információs rendszerek biztonságának biztosítása érdekében . Célszerű a szükséges, elegendő és igazságos eszközöket választani. Az alábbiakban felsoroljuk azokat a technikai eszközöket, amelyek kielégítik az információs rendszerek bizonyos biztonsági igényeit:
Az ISO / IEC 27001 egyik új funkciója a rendszeres biztonsági ellenőrzések megkövetelése. A vezetőnek olyan mutatókat kell választania, amelyek mérik a megbízhatóságát. Kétféle lehet:
A személyzet tájékoztatása elengedhetetlen az IS biztonsági projekt sikeréhez, hogy megértsék annak hasznosságát és tudják, hogyan kell alkalmazni. Ez tehát jó gyakorlat , hogy hogy a személyzet valamennyi tagja tisztában az informatikai biztonsági kérdések a szervezet számára, hogy általános jelleggel. Ennek a magyarázatnak fel kell idéznie a szervezet kötelezettségvállalásait, és nagyon praktikus példákat és belső eljárásokat kell tartalmaznia a legáltalánosabb események elkerülése érdekében. Az informatikai biztonsággal közvetlenül foglalkozó alkalmazottakat ki kell képezni, hogy tudják, hogyan kell helyesen használni az eszközöket.
A képzés, ideértve a pszichológiai oltást a szociális mérnöki technikákkal szemben, lehetővé teszi az emberek számára, hogy ellenálljanak a kísértéseknek, hogy eltérjenek a biztonsági eljárásoktól és elvektől.
Az ISMS napi kezeléseAz ISO / IEC 27001 szabvány nemcsak egy biztonsági rendszer megvalósítását követeli meg, hanem annak hatékonyságának igazolását is. A vállalatoknak ezért megfelelően kezelniük kell erőforrásaikat és fejleszteniük kell a nyomon követhetőséget .
Gyors eseményfelismerés és reagálásEz a szakasz az időalapú biztonság elméletén alapul . Az elv az, hogy figyelembe kell venni a biztonsági támadás sikeréhez szükséges időt. Ez alatt az idő alatt a vállalatnak képesnek kell lennie a veszély felderítésére és reagálására további biztonsági tűréssel.
Rendelkeznie kell ellenőrzési eszközökkel az ISMS hatékonyságának és annak megfelelőségének ellenőrzésére.
Vannak eszközök ennek ellenőrzésére, például:
A belső ellenőrzések Audit jó előre megtervezték és meghallgatták a hallgatókat.
A belső ellenőrzés : A szervezeten belül folyamatosan figyelemmel kíséri, hogy mindenki naponta alkalmazza az eljárásokat.
Vélemények: Tegyen egy lépést vissza a WSIS és környezete összehangolásához.
Segíthetünk magunkon:
Miután az Ellenőrzési fázisnak köszönhetően kiemelte az esetleges meghibásodásokat, fontos ezeket elemezni és helyrehozni: