Kategoriyalar Ma'lumotlar
Vazifalarni hal qilishda ishlatiladigan barcha turdagi ma'lumotlarni ajratish (Maxfiylik toifasini sozlash, aniqlikdagi ma'lumotlar turlarining yaxlitligi va mavjudligi).
Ushbu kompyuterda hal qilingan barcha vazifalar toifalari.
Qayta ishlov berilgan ma'lumotlarning maksimal toifalariga asoslanib, kompyuter kategoriyasi qayta ishlanadi.
Inventarizatsiya manbalari
Tashkilotda ma'lumotlarni himoya qilish haqida gaplashishdan oldin, siz nimani himoya qilmoqchisiz va qanday manbalaringiz borligini tushunishingiz kerak. Buning uchun, inventarizatsiya ishlari bo'yicha ishlashni amalga oshirish va himoya qilinadigan tashkilotning avtomatlashtirilgan tizimining barcha manbalarini tahlil qilish kerak:
Xavfsizlik bilan muhofaza qilish uchun inventarizatsiya va resurslarni tasniflash uchun maxsus ishchi guruh tuziladi. Unda tashkilotda ma'lumotlarni avtomatlashtirilgan ma'lumotlarni avtomatlashtirilgan ish bilan qayta ishlash masalalarini ko'rib chiqishda yordam beradigan tashkilotning kompyuter xavfsizligi bo'linmalari va tashkilotning boshqa bo'linmalari mutaxassislari kiradi.
Kerakli tashkiliy va huquqiy maqom tomonidan yaratilgan guruh uchun tashkilot rahbariyatining tegishli tartibi e'lon qilinadi, bu tashkilotning tegishli bo'linmalarining barcha rahbarlari tahsilatda ishchi guruhiga yordam berishlari va zarur yordam ko'rsatishi kerakligini ko'rsatadi barcha kompyuterlarning.
Guruhning ishlashi paytida ularga yordam berish uchun ularning rahbarlarining bo'linmalari ushbu bo'limlarda avtomatlashtirilgan ma'lumotlarni qayta ishlash to'g'risida batafsil ma'lumotga ega bo'lgan xodimlarni ajratishlari kerak.
Ushbu buyruq barcha turdagi birliklarning barcha menejerlarini jalb qilish bo'yicha olib kelinmoqda.
Tashkilot va avtomatlashtirilgan quyi tizimlarning so'rovi davomida kompyuterlardan foydalangan barcha funktsional vazifalar, shuningdek, ushbu vazifalarni hal qilish uchun ishlatiladigan barcha turdagi ma'lumotlar aniqlanadi va tavsiflanadi.
Tadqiqot oxirida tashkilotda hal qilingan vazifa shakli tuzilgan. Turli xilma-xil bo'linmalardagi bir xil vazifa boshqacha deb atash mumkinligini tushunish kerak va aksincha, turli vazifalar bir xil nomga ega bo'lishi mumkin. Shu bilan birga, jihozning funktsional vazifalarini hal qilishda ishlatiladigan dasturiy vositalar amalga oshiriladi.
Shuni ta'kidlash kerakki, so'rov davomida barcha turdagi ma'lumotlar (kiruvchi, chiquvchi, saqlanadigan, qayta ishlangan va boshqalar) aniqlanadi. Shuni yodda tutish kerakki, aniqlash uchun maxfiy ma'lumotlar, balki yaxlitlik yoki mavjudlikning buzilishi zarurligini, balki tashkilotga nisbatan aniq zarar etkazishi mumkinligini yodda tutish kerak.
Tashkilotda ishlov berilgan ma'lumotni tahlil qilganda, uning xususiyatlarini buzish natijasida yuzaga keladigan oqibatlarning jiddiyligini baholash kerak. Buning uchun siz u bilan ishlaydigan mutaxassislar (sinov, so'rovlar) mutaxassislar. Shu bilan birga, bu birinchi navbatda, bu ma'lumotni noqonuniy foydalanadigan yoki unga ta'sir qiladigan yoki ta'sir ko'rsatadigan kimsalarni aniqlash uchun. Agar mumkin bo'lgan zarar miqdorini miqdoriy baholash imkonsiz bo'lsa, uni sifatli baho berish (past, yuqori, juda yuqori).
Tashkilotda hal qilingan vazifalarni tahlil qilishda parvoz qilishning toifasini tushunish uchun ruxsat etilgan vaqtni kechiktirish vaqti, ularning yechimini va ularning mavjudligini buzishda (to'siqlarni to'sib qo'yishda oqibatlarning jiddiyligini aniqlash kerak.
Tahlil davomida ma'lumotlarning har bir turlari maxfiylik ma'lum darajada (maxfiylik) bilan bog'liq (amaldagi qonunchilik va huquqshunoslik tashkilotlari talablari asosida).
Shu bilan birga, tarkibiy qismning menejerlaridan (etakchi mutaxassislardan) ma'lumotlarning o'ziga xos turlarining maxfiyligi, maxfiylik xususiyatlari va yaxlitligini buzgan zararni shaxsiy baholarni aniqlash uchun topilgan.
Tahlil so'ngida himoya qilinadigan axborot resurslari ro'yxati tuziladi.
Keyin ushbu ro'yxat IT va kompyuter xavfsizlik bo'limlari bo'limlari rahbarlari va tashkilot rahbariyatiga muvofiqlashtiradi.
Ushbu bosqich oxirida funktsional vazifalarni tasniflash kerak. Tashkilotning bo'linmalari rahbarlari tomonidan kiritilgan mavjudlik talablariga binoan va u xizmat bilan kelishilgan barcha qo'llanmalar toifalarda hal qilingan barcha tegishli vazifalar tasniflanadi.
Kelajakda IT xizmatlari va axborot xavfsizligi bo'limidan foydalanish har bir vazifa tarkibi (axborot, dasturi) tarkibini aniqlash va ulardan foydalanilgan xavfsizlik vositalarini o'rnatish uchun ushbu vazifa va ko'rsatmalarga ma'lumot berish kerak Uning echimlari (masalan, foydalanuvchilar guruhlarining ko'rsatilgan vazifalarga kirish huquqi). Kelgusida, ushbu ma'lumot asosida kompyuterlar ushbu vazifani hal qilishda sozlanadi.
Keyingi bosqichda kompyuterlar toifalangan. Kompyuter turkumi bu vazifalarni hal qilishda ishlatiladigan maxsus vazifalar toifasi va ushbu vazifalarni hal qilishda ishlatiladigan ma'lumotlarning maxfiyligi va yaxlitligi asosida belgilangan. Kompyuterlar kategoriyasi to'g'risidagi ma'lumotlar uning shaklida kiritilgan.
Resurs inventarizatsiyasi kontseptsiyasi nafaqat mavjud faol va passiv tarmoq resurslarini tashkilot tomonidan sotib olingan uskunalar (va uning to'liqligi) ro'yxatiga kiritishni o'z ichiga oladi. Ushbu protsedura Microsoft Sudems boshqaruv serveri kabi tegishli dasturiy ta'minot yordamida amalga oshiriladi. Bu shuningdek, barcha mumkin bo'lgan dasturlarning ro'yxatini tuzish, ushbu tashkilotda qo'llanilgan dasturiy ta'minot jamg'armasi fondini tashkil etuvchi tarmoq kartasini yaratishni, o'z ichiga olgan litsenziyalangan dasturiy ta'minot jamg'armasi fondini tashkil etish, o'z-o'zidan dasturlar uchun asos yaratish Rivojlanish.
Shuni ta'kidlash kerakki, dasturni himoya qilish boshqarmasi vazifalari va "mantiqiy bombalarning barcha turlari" bo'lmagan taqdirda, faqat Axborotni himoya qilish boshqarmasi tomonidan tasdiqlanganidan keyingina ishga qabul qilinishi mumkin.
Shu munosabat bilan mamlakatimizda ochiq kodli dasturiy ta'minot kodini ishlatish moyilligini alohida ta'kidlashni istardim. Men bahslashmayman, u mukammal resurslarni tejashni ta'minlaydi. Biroq, menimcha, bu holda xavfsizlik muammosi endigina tizimni ishlab chiqaruvchiga, balki sizning ma'muringizga ham ishonish masalasiga aylanadi. Va agar u qancha tushishini eslasangiz, bu holatda sirlaringizni sotib olish to'g'ridan-to'g'ri tashqi hujumni amalga oshirishdan ko'ra ancha oson va arzonroq degan xulosaga kelish qiyin emas. Eslatib o'tamiz, muvaffaqiyatli hujumlarning aksariyati insayderlar, ya'ni kompaniya xodimlarini amalga oshirganligini eslash kerak.
Menimcha, agar u erda mantiqiy bomba yo'qligini kafolatlashda sizga etkazilgan bo'lsa, faqat sizga etarlicha zarar etkazishi mumkin bo'lsa, faqat sizga jiddiy zarar etkazishi mumkin bo'lsa, erkin taqsimlangan dasturiy ta'minotni qo'llash. Barcha turlar xatcho'plar va "qora harakatlar". Bundan tashqari, kafillar tashkilotining kafolati kafolati uchun moddiy javobgarlikka tortilishi kerak, bu mening fikrimcha, imkonsizdir. Biroq, tanlov siznikidir.
Tekshiruvdan so'ng, algoritmlar va dasturlar jamg'armasiga kiritilgan dasturiy ta'minot (ma'lumot nusxasi tekshirilgan fayl fayllari va ishlab chiqaruvchining eng yaxshi elektron imzosi ilova qilinishi kerak). Kelajakda, yangilanishlarning versiyalarini o'zgartirganda, dasturiy ta'minot odatiy tarzda amalga oshiriladi.
Kelgusida o'rnatilgan dasturiy ta'minot, o'rnatish sanasi to'g'risidagi ma'lumotlar, ushbu vazifalar, familiyalar, familiyalar, yuz va konfiguratura shakllari, yuz va konfiguratura shaklida har bir kompyuter shaklida kiritiladi. Bunday formulalar yaratilgandan so'ng, axborot xavfsizligi xizmati haqiqiy pozitsiyaning real pozitsiyasining shakllanishiga muvofiqligini muntazam ravishda tekshirish kerak.
Axborot xavfsizligi xizmatini yaratishning keyingi bosqichi xavfsizlik siyosatini yaratish uchun asos bo'lishi kerak bo'lgan tashkilotning xavfini tahlil qilishdir.
Bugungi kunda hech kim hech qachon ma'lumotni himoya qilish haqida o'ylamaydigan tashkilotni topa olishimiz dargumon. Shu bilan birga, axborot xavfsizligini o'zgartirishning to'g'ri tushunchasi tashkiliy va texnik tadbirlar majmui sifatida to'g'ri tushunish mumkin emas. Uning garovining eng muhim elementi - bu shaxs va u buzilishining asosiy omili.
Axborot xavfsizligi tashkiliy va texnik tadbirlar majmui sifatida qabul qilinishi kerak, chunki maxfiylik, yaxlitlik va foydalanishning nafaqat tashkiliy tadbirlar, balki texnik choralarda amalga oshirilmaydi.
Aytaylik, siz faqat texnik tadbirlarni himoya qilishga qaror qilyapsiz, shuningdek, tashkiliy hujjatlar umuman yo'q. Bu ko'pincha IT bo'limi yoki Axborot xavfsizligi bo'limining boshlig'i (IB) rahbari - IT-tuzilmalarning sobiq vakili tomonidan amalga oshirilgan bo'lsa, bu ko'pincha sodir bo'ladi. Bu holatda nima bo'ladi? Aytaylik, kompaniya xodimlaridan biri muntazam ravishda maxfiy ma'lumotlarni elektron pochta orqali raqobatchilarga etkazadi. Siz oqishingizni topdingiz, lekin sizda hujjatlar yo'q, shuning uchun xodimni jazolang (masalan, uni ishdan bo'shatsangiz), siz shunchaki haqingiz yo'q. Agar buni qilsangiz, aqlli tajovuzkor sizga o'zining konstitutsiyaviy huquqlarini shaxsiy yozishmalarga buzgani uchun sudga beradi. Eng qayg'uli narsa shundaki, bu qonuniy ravishda u mutlaqo to'g'ri bo'ladi: Sizning tashkilotingiz ichida barcha ma'lumotlar uchun uzatiladigan barcha ma'lumotlar yozilmaydi elektron pochta Tashkilotingizga tegishli manzillardan - bu kompaniyaning mulki.
Ikkinchi ekstremalni ko'rib chiqing. Odatda bu sobiq harbiy xizmatchilar va maxsus xizmat xodimlariga xosdir. Sizda juda yaxshi hujjatlar mavjud, ammo ularni mutlaqo sog'inmaysiz texnik yordam. Bu holatda nima bo'ladi? Sizning xodimlaringiz tez-tez yoki keyinchalik ularni tashkil etish va hech kim ularni boshqarmaydi, ularni hech kim boshqara olmaydi, uni muntazam ravishda amalga oshiradi.
Shunday qilib, axborot xavfsizligi - bu tashkiliy va texnik tadbirlarni o'z ichiga olgan moslashuvchan tizim. Bu erda yanada muhim choralar yoki ahamiyatsiz choralar yoki ahamiyatsiz choralar ko'rilganligini tushunish kerak. Bu juda muhim. Ma'lumotingizdagi biron bir mavzu ishlayotganda tarmoqning barcha nuqtalarida himoya choralarini kuzatish kerak. (Bu holatda bu holatda u foydalanuvchi tizimi, jarayon, jarayoni, kompyuter yoki axborotni qayta ishlash uchun dasturiy ta'minot sifatida tushuniladi). Kompyuter foydalanuvchisi yoki tashkilot serveri to'liq himoyalangan bo'lishi kerak bo'lgan har bir axborot manbai. Fayl tizimlari, tarmoq va boshqalar himoyalangan bo'lishi kerak. Biz bu erda muhokama qilmaymiz.
Axborotni himoya qilish vazifasini hal qilishga qaratilgan juda katta miqdordagi dasturiy ta'minot mavjud. Bular operatsion tizimlar uchun antivirus dasturlari va tarmoq ekranlari va tarmoqli asboblar. Biroq, eng zaif omil har doim inson bo'lib qoladi. Har qanday dasturiy ta'minotning ishlashi uning yozish sifatiga, uni o'rnatgan ma'mur savodxonligidan bog'liq.
Ushbu munosabatlardagi ko'plab tashkilotlar axborotni himoya qilish bo'limlarini yaratadilar yoki IT bo'limlariga xavfsizlik muammolarini o'rnatadilar. Ammo birdan ko'proq vaqt o'tgach, IT xizmatiga funktsiyani olishning iloji yo'qligi ta'kidlandi. Aytaylik, IT Xavfsizlik boshqarmasi sizning tashkilotingizda yaratilgan. Keyingi nima qilish kerak? O'z faoliyatini qayerdan boshlash kerak?
Do'stlaringiz bilan baham: |