情報セキュリティとは、そのような状態を意味すると理解されており、そのような状態では、そうする権利を持たない人による情報の表示、変更、または破壊の可能性、ならびに付随する電磁放射および干渉による情報漏えい、コンピュータ技術のオブジェクト間を転送する際の特別な傍受(破壊)デバイスが除外されます。 ..。情報セキュリティには、意図しない破壊(技術的な障害)からの情報の保護も含まれます。
情報保護は、処理された情報の機密性と整合性、およびユーザーが情報を利用できるようにすることを目的とした一連の対策です。
機密性-機密情報を秘密に保ち、そのアクセスは狭い範囲のユーザー(個人または組織)に制限されます。
整合性は、情報が所定の形式と品質を保持する存在下でのプロパティです。
アクセシビリティとは、ユーザーが必要とする形式、場所、時間、およびユーザーが必要とするときの情報の状態です。
情報保護の目標は、データの整合性の侵害、機密性、または消費者が情報にアクセスできないことによって引き起こされる管理の損失を最小限に抑えることです。
公式部分(インターネットからのコピー&ペースト手順)は終了しました。現在は非公式です。練習から。
この記事は、カザフスタン共和国国立銀行(規制当局)の規則が適用されない企業の責任者を対象に書かれています。
ほとんどの管理者(そしてそれほど多くはない)は「情報セキュリティ」をどのように理解していますか?
「情報セキュリティ」というフレーズを付けて欠員を投稿する場合、雇用主(企業)はどういう意味ですか?
実際には、ほとんどの人は情報セキュリティをある種の技術的手段、たとえばネットワーク保護デバイス(ファイアウォール)または従業員追跡ソフトウェア(いわゆるDLP-データ損失防止)またはアンチウイルスと関連付けます。
前述の手段は情報のセキュリティに関連していますが、保護されたオブジェクト(情報)の安全性、その整合性、および可用性を保証するものではありません。どうして?
非常に単純な理由で、情報のセキュリティを確保することはプロセスであり、デバイスやソフトウェアではありません。ほとんどのマネージャーと同様に(だけでなく)、それらは万能薬であり保護であると考えています。
たとえば、50人のユーザーがいる小さな商社を考えてみましょう。ユーザーとは、任意のデバイス(コンピューター、ラップトップ、タブレット、携帯電話)を介して会社の情報システム(IS)にアクセスできるすべての従業員を意味します。 IPへのアクセスとは、電子メール、インターネット、データベース、ファイルなどへのあらゆるアクセスを意味します。
私たちの会社のリーダーの考え方(私たちの例を含む)は、西洋のリーダーの考え方とは根本的に異なります-私は上司であり、何でもできます。インターネットへの無制限のアクセス、またはコンピューターにソフトウェアをインストールする機能を含みます。情報セキュリティの観点から、そのようなリーダーはまさにその情報セキュリティに対する主な脅威です。どうして?彼は情報セキュリティの問題に無能であり、前述のように、システム管理者、または同じシステム管理者の推奨で最近購入した高価なデバイスがある場合、これはすべて同じ情報セキュリティを提供する必要があると考えているためです。専門家も高価なデバイスも、意図的にメールを送信する手間を省くことができると言えます(たとえば。ru-誰もが愛している)、攻撃者はウイルスではない悪意のあるソフトウェアを送信しますが、たとえば、コンピューターを介してIPにアクセスできるようにするスクリプトのようなものになります。 mail.ruメールボックスからファイルをダウンロードします(たとえば、「supplier.docの要件」と呼ばれます-スクリプトが起動されます(当然、知らないうちに)。
したがって、攻撃者はあなたのネットワークにアクセスし、その後静かに彼の活動を拡大し、出来上がり!ある「晴れた」日、あなたは突然発見します(必要なものに下線を引きます):
- すべてのデータベースは暗号化されています。メールで身代金の手紙を受け取りました。
- すべてのファイルが破棄されます。スマイリーがあなたのメールに来ました:);
- ネットワークが機能していないだけです。
- 顧客のデータが任意のサイトに投稿されている。
- 競合他社はあなたの実際の状況を学びました。
- 実際の財務実績が公開されました。
- サプライヤーは、あなたが最近署名した契約に基づく請求(情報の完全性の侵害)を提示します。契約は、署名の前夜に攻撃者によって変更され(弁護士、会計士、コマーシャルディレクター、その他の関係者はすでに確認済みです)、サーバー上のフォルダーに保存しました。
- あなたとあなたの秘書がどういうわけかあなたの妻に届いた紙のクリップで作られたパンティーでテーブルの上で踊っていた監視カメラからのあなたの企業のパーティーのビデオ録画。
- 等
ネットワークが機能しないことやデータ漏えいにより、商社はどのような損失を被りますか?大きなもの。損失は、顧客への未出荷の製品のコストだけでなく、ISが非アクティブな期間の人員の維持コスト、電気のコスト、家賃、評判の損失などによっても計算されます。監視カメラからの記録については黙っています(結果を予測することは困難です:)。
多くは憤慨するでしょう-これらはすべてホラーストーリーです。引数は通常次のとおりです。
- バックアップがあります。
- 国内で最もクールな情報セキュリティ会社によって設定された最新モデルのファイアウォールがあります。
- 最も高価なアンチウイルスがあります。
- 我々は持っています...
通常、そのような議論は無数にありますが、上記の場合、何も保証されません。
バックアップ
バックアップは、情報を保護するための最も基本的な方法の1つであり、その整合性、可用性、および安全性です。
だが:
- バックアップのスケジュールはありますか?
- バックアップが機能していることを確認しますか?
- システム管理者によってバックアップがテストされましたか(テスト復元がありましたか)?
- バックアップはどのくらいの頻度でテストされましたか?
- バックアップはありますか?
実際には、上記のリストのほとんどすべてが存在しないか、通常は火災後に実行されます(それでも、長くは続きません)。
セキュリティデバイス(防火壁)
情報に対する主な脅威である機密性、整合性、および可用性(CIA)は、通常、内部から発生します。不満を持った従業員、前述の上司、会計士(ウイルスの繁殖地にいた感染したフラッシュドライブを持っている-税務署)、普通の従業員。多くの場合、「IPにアクセスするための手順を文書化していますか」という質問に対して、多くの人が「これは何ですか」という空白の外観で答えます。または、「ネットワークの外部(および内部)境界が資格のある人々によってセキュリティについてチェックされた」という質問-なぜですか?これは、すべて同じ情報セキュリティを参照しているためです。実際には、ほとんどの企業はどちらか一方、または3番目のいずれかを持っていません。彼らはそれが必要な理由を一度も行ったことがないか、まったく知りません(しかし、彼らは欠員に「情報セキュリティ」と書いています)。ファイアウォールは万能薬ではありません。これは、IPの外部境界と内部境界の両方を保護するために設計された技術ツールです。そして、そのコストにもかかわらず、アマチュアによって設定された場合、それはあなたに保護を提供しません。これは銃を撃つことと比較することができます-それは高価になる可能性がありますが、不適切な射手(悪いダンサー)がターゲットに当たることを保証するものではありません。
アンチウイルス
何人-非常に多くのアンチウイルス。上記のように、アンチウイルスは万能薬ではありません。これは情報セキュリティ手段の1つに過ぎず、オペレーティングシステム、グループポリシー、アクセス権、規制されたバックアップ手順、情報セキュリティの基本に関するユーザーへのトレーニングと通知、および情報セキュリティの要塞を強化できるその他の手段の適切な設定を除外または上書きしません。
情報セキュリティに特に重点を置いた従業員を雇う必要がありますか、それとも情報セキュリティを確保するためにセキュリティデバイス(防火壁)とアンチウイルスのマスクを急いで購入する必要がありますか?
番号。最初の段階では、何かを購入したり、誰かを雇ったり、その他の急いで行動したりする必要はありません。
以下は、情報セキュリティシステムを構築するために実行する必要のあるアクションの簡略化されたアルゴリズムです。
0.情報セキュリティシステムをどのように構築するかを決定します-いつものように(CIS空間全体ですべてがどのように行われるか-お尻を通して、そしてショーのために、私たちは話し、会議で賢い人々をし、忘れました)、または一般的に受け入れられている基準に従います。
質問0の答えが「いつものように」であれば、貴重な時間を無駄にして読むのをやめることはできません。
1.保護する対象と理由を決定します。これを説明する文書は通常「情報セキュリティポリシー」と呼ばれます。このドキュメントでは、情報の保護を確実にするために必要な特定の手段、技術的なデバイス、設定、およびその他のアクションについては説明していません。
2.社内で利用可能なリソース(ハードウェアとソフトウェア)のリストを作成します。多くの場合、申請者の要件には、「Kerio FW、Cisco、Mikrotik、Ubuntu、pfsense」などのソフトウェアと機器のリストが記載されています。在庫があるものすべてがあなたを守ると真剣に考えていますか?まったく逆です。
3.情報システムへのユーザーアクセス(顧客、パートナーなど)のマトリックスを作成して話し合います。アクセスマトリックスとは何ですか。ISシステムに誰が、どこで、どのレベルでアクセスできるかについて明確な文書がある場合です。
4.バックアップ手順を管理するドキュメントを作成します。
5.物理的、技術的、ソフトウェア、管理など、情報セキュリティのすべての手段を説明するドキュメントを作成します。
6.企業の従業員向けの情報セキュリティに関するトレーニングセッションを準備して実施します。四半期ごとに行います。
7.責任のある従業員に、プロセス全体を自分で提供できるかどうか、またはサードパーティの関与が必要かどうか(または追加の従業員を雇う必要があるかどうか)を尋ね
ます。8。IPの浸透をテストします(いわゆる浸透テスト)。
9.次のドキュメントを作成または修正します。
- 故障(設備、人為的および自然災害、その他の損害)が発生した場合のIS(情報システム)の復旧。
- 抗ウイルス保護規制;
- バックアップのバックアップとテストの手順を規制する文書。
- データベースの制御と復元を規制する文書(ある場合)。
- , ;
- , ;
- , ( );
- ( );
- , (WiFi) ;
- , ;
- ( );
- , ;
- ( ).
10.外部および内部の状況に応じて、手順と規制を毎月監視および調整します。
11.笑顔。あなたがよく構造化され、透明で、理解可能で管理しやすい情報システムを持っていれば、悪魔は描かれているほど悪くはありません。あなた(マネージャー)、ユーザー(従業員)、そしてできればシステム管理者の両方にとって理解できることです。
自分を大事にして下さい。