Unter Informationssicherheit wird ein solcher Zustand verstanden, in dem die Möglichkeit des Anzeigens, Änderns oder Zerstörens von Informationen durch Personen, die nicht dazu berechtigt sind, sowie des Informationsverlusts aufgrund von elektromagnetischer Kollateralstrahlung und Interferenz sowie spezieller Abhör- (Zerstörungs-) Geräte beim Transfer zwischen Objekten der Computertechnologie ausgeschlossen ist ... Informationssicherheit umfasst auch den Schutz von Informationen vor unbeabsichtigter Zerstörung (technische Fehler).
Der Informationsschutz ist eine Reihe von Maßnahmen, die darauf abzielen, die Vertraulichkeit und Integrität der verarbeiteten Informationen sowie die Verfügbarkeit von Informationen für Benutzer sicherzustellen.
Vertraulichkeit - Geheimhaltung vertraulicher Informationen, deren Zugriff auf einen engen Kreis von Benutzern (Einzelpersonen oder Organisationen) beschränkt ist.
Integrität ist eine Eigenschaft, bei deren Informationen Informationen eine vorgegebene Form und Qualität behalten.
Zugänglichkeit ist der Status von Informationen, wenn diese in der Form, dem Ort und der Zeit vorliegen, die der Benutzer benötigt, und zu dem Zeitpunkt, zu dem er sie benötigt.
Ziel des Informationsschutzes ist es, Verwaltungsverluste zu minimieren, die durch Verstöße gegen die Datenintegrität, Vertraulichkeit oder Unzugänglichkeit von Informationen für Verbraucher verursacht werden.
Der offizielle Teil (das Kopieren und Einfügen aus dem Internet) ist beendet. Jetzt inoffiziell. Aus der Praxis.
Dieser Artikel wurde für die Leiter von Unternehmen verfasst, für die die Vorschriften der Nationalbank der Republik Kasachstan (der Aufsichtsbehörde) nicht gelten.
Wie verstehen die meisten Manager (und nicht so sehr) "Informationssicherheit"?
Was bedeuten Arbeitgeber (Unternehmen), wenn sie offene Stellen mit dem Begriff "Informationssicherheit" veröffentlichen?
In der Praxis verbinden die meisten Menschen Informationssicherheit mit technischen Mitteln, beispielsweise einem Netzwerkschutzgerät (Firewall) oder einer Mitarbeiterverfolgungssoftware (sogenanntes DLP - Data Loss Prevention) oder Antivirus.
Die oben genannten Mittel beziehen sich auf die Informationssicherheit, garantieren jedoch in keiner Weise die Sicherheit des geschützten Objekts (der Information), seine Integrität und Verfügbarkeit. Warum?
Aus einem sehr einfachen Grund - die Gewährleistung der Informationssicherheit ist ein Prozess und keine Geräte- oder Software, die, wie die meisten Manager (und nicht nur), als Allheilmittel und Schutz betrachten.
Nehmen wir zum Beispiel ein kleines Handelsunternehmen mit 50 Benutzern. Unter Benutzern verstehen wir alle Mitarbeiter, die über ein beliebiges Gerät (Computer, Laptop, Tablet, Mobiltelefon) Zugriff auf das Informationssystem (IS) des Unternehmens haben. Zugriff auf die IP bedeutet jeden Zugriff - auf E-Mail, auf das Internet, auf Datenbanken, Dateien usw.
Die Mentalität der Führungskräfte in unseren Unternehmen (einschließlich unseres Beispiels) unterscheidet sich grundlegend von der im Westen - ich bin der Chef, ich kann alles tun. Einschließlich uneingeschränktem Zugang zum Internet oder der Möglichkeit, Software auf einem Computer zu installieren. Unter dem Gesichtspunkt der Informationssicherheit ist ein solcher Marktführer die Hauptbedrohung für genau diese Informationssicherheit. Warum? Da er in der Frage der Informationssicherheit inkompetent ist und, wie oben erwähnt, der Meinung ist, dass ein Systemadministrator oder ein teures Gerät, das er kürzlich auf Empfehlung desselben Systemadministrators gekauft hat, die gleiche Informationssicherheit bieten MUSS. Ich kann sagen, dass kein Spezialist und kein teures Gerät Sie davor bewahrt, Ihre Post (z. B. Post) absichtlich zu versenden.ru - so beliebt bei allen), sendet der Angreifer jede schädliche Software, die kein Virus ist, sondern beispielsweise eine Art Skript, mit dem Sie über Ihren Computer auf Ihre IP zugreifen können. Sie laden die Datei aus Ihrer Mail.ru-Mailbox herunter (z. B. "Anforderungen für die Datei vendor.doc") - das Skript wird gestartet (natürlich ohne Ihr Wissen).
Ein Angreifer erhält so Zugriff auf Ihr Netzwerk, erweitert anschließend leise seine Aktivitäten und voila! An einem "schönen" Tag entdecken Sie plötzlich (unterstreichen das Notwendige):
- Alle Ihre Datenbanken sind verschlüsselt. Sie haben einen Lösegeldbrief in Ihrer Post erhalten;
- Alle Ihre Dateien werden zerstört. Ein Smiley kam zu Ihrer Mail :);
- Ihr Netzwerk funktioniert einfach nicht.
- Die Daten Ihrer Kunden wurden auf allen Websites veröffentlicht.
- Ihre Konkurrenten haben Ihren tatsächlichen Zustand erfahren.
- Ihre tatsächliche finanzielle Leistung ist öffentlich zugänglich geworden.
- Der Lieferant legt Ihnen alle Ansprüche aus dem kürzlich von Ihnen unterzeichneten Vertrag vor (Verletzung der Integrität der Informationen). Der Vertrag wurde vom Angreifer am Vorabend der Unterzeichnung geändert (Ihre Anwälte, Buchhalter, kaufmännischen Leiter und andere Beamte haben ihn bereits überprüft) und in einem Ordner auf dem Server gespeichert.
- Videoaufzeichnung Ihrer Firmenfeier von Überwachungskameras, wo Sie und Ihre Sekretärin in Unterhosen aus Büroklammern auf dem Tisch tanzten, gelangte irgendwie zu Ihrer Frau;
- etc.
Welche Verluste entstehen dem Handelsunternehmen durch die Tatsache, dass das Netzwerk nicht funktioniert oder durch Datenlecks? Grosse. Verluste werden nicht nur anhand der Kosten für nicht versendete Produkte an Kunden berechnet, sondern auch anhand der Kosten für die Wartung des Personals für den Zeitraum der Inaktivität des IS, der Kosten für Strom, Miete, Reputationsverluste usw. Wir werden über Aufnahmen von Überwachungskameras schweigen (es ist schwierig, die Konsequenzen vorherzusagen :).
Viele werden empört sein - all dies sind Horrorgeschichten. Die Argumente lauten normalerweise wie folgt:
- Wir haben Backups.
- Wir haben eine Firewall des neuesten Modells, die von der coolsten Informationssicherheitsfirma des Landes eingerichtet wurde.
- Wir haben das teuerste Antivirenprogramm.
- wir haben...
In der Regel gibt es unzählige solcher Argumente, die Ihnen im obigen Fall nichts garantieren.
Backups
Backup ist eine der grundlegendsten Möglichkeiten zum Schutz von Informationen - Integrität, Verfügbarkeit und Sicherheit.
Aber:
- Haben Sie einen Backup-Zeitplan?
- Sind Sie sicher, dass Ihre Backups funktionieren?
- Wurden Ihre Backups von Ihrem Systemadministrator getestet (gab es eine Testwiederherstellung)?
- Wie oft wurde das Backup getestet?
- Gibt es überhaupt ein Backup?
In der Praxis fehlt fast die gesamte oben angegebene Liste entweder oder wird normalerweise nach einem Brand durchgeführt (und selbst dann nicht lange).
Sicherheitsgerät (Firewall)
Die Hauptbedrohung für Informationen - ihre Vertraulichkeit, Integrität und Verfügbarkeit (CIA) - kommt normalerweise von innen. Unzufriedene Mitarbeiter, die oben genannten Chefs, Buchhalter (mit ihren infizierten Flash-Laufwerken, die sich auf dem Nährboden für Viren befanden - die Steuer), normale Mitarbeiter. Auf die Frage „Haben Sie Verfahren für den Zugriff auf IP dokumentiert?“ Antworten viele Menschen häufig mit einem leeren Blick: „Was ist das?“. Oder die Frage „Wurde der externe (und interne) Umfang des Netzwerks von qualifizierten Personen auf Sicherheit überprüft?“ - warum? Dies liegt daran, dass sich alles auf dieselbe Informationssicherheit bezieht. Aus der Praxis haben die meisten Unternehmen weder das eine noch das andere oder das dritte Unternehmen haben noch nie oder wissen gar nicht, warum dies notwendig ist (dennoch schreiben sie in offenen Stellen „Informationssicherheit“). Firewall ist kein Allheilmittel.Dies ist ein technisches Tool zum Schutz des externen und internen Umfangs Ihrer IP. Und trotz seiner Kosten bietet es Ihnen keinen Schutz, wenn es von einem Amateur eingerichtet wird. Dies kann mit dem Schießen einer Waffe verglichen werden - es kann teuer sein, garantiert jedoch nicht, dass der unfähige Schütze (schlechter Tänzer) das Ziel trifft.
Antivirus
Wie viele Menschen - so viele Virostatika. Antivirus ist, wie oben erwähnt, kein Allheilmittel. Dies ist nur eines der Tools für die Informationssicherheit, die die entsprechende Einstellung von Betriebssystemen, Gruppenrichtlinien, Zugriffsrechten, regulierten Sicherungsverfahren, Schulung und Information der Benutzer über die Grundlagen der Informationssicherheit und andere Maßnahmen, die die Bastion der Informationssicherheit stärken können, nicht ausschließen oder überschreiben.
Müssen Sie einen Mitarbeiter mit einem besonderen Schwerpunkt auf Informationssicherheit einstellen oder Masken für Sicherheitsgeräte (Firewalls) und Virenschutzprogramme kaufen, um die Informationssicherheit zu gewährleisten?
Nein. In der ersten Phase müssen Sie nichts kaufen, niemanden einstellen und andere vorschnelle Aktionen ausführen.
Im Folgenden finden Sie einen vereinfachten Algorithmus für Aktionen, die zum Aufbau eines Informationssicherheitssystems ausgeführt werden müssen.
0. Entscheiden Sie, wie Sie ein Informationssicherheitssystem aufbauen möchten - wie üblich (wie alles im gesamten GUS-Raum erledigt wird - durch den Arsch und zur Show, wir haben gesprochen, kluge Leute bei Besprechungen gemacht und vergessen) oder nach allgemein anerkannten Standards.
Wenn die Antwort auf Frage 0 "wie gewohnt" lautet, können Sie Ihre kostbare Zeit nicht mehr verschwenden und aufhören zu lesen.
1. Entscheiden Sie, was und warum Sie schützen möchten. Das Dokument, das dies beschreibt, wird normalerweise als "Informationssicherheitsrichtlinie" bezeichnet. Das Dokument beschreibt keine spezifischen Maßnahmen, technischen Geräte, Einstellungen und sonstigen Maßnahmen, die zum Schutz der Informationen erforderlich sind.
2. Erstellen Sie eine Liste der Ressourcen (Hardware und Software), die im Unternehmen verfügbar sind. In den Anforderungen für Bewerber wird häufig eine Liste von Software und Geräten "Kerio FW, Cisco, Mikrotik, Ubuntu, pfsense" erwähnt. Denken Sie ernsthaft, dass alles, was Sie auf Lager haben, Sie schützen wird? Ganz im Gegenteil.
3. Erstellen und diskutieren Sie Matrizen für den Benutzerzugriff (Kunden, Partner usw.) auf das Informationssystem. Was ist eine Zugriffsmatrix? Wenn ein klares Dokument vorliegt, wer, wo und auf welcher Ebene Zugriff auf das IS-System hat.
4. Erstellen Sie ein Dokument, das den Sicherungsvorgang regelt.
5. Erstellen Sie ein Dokument, das alle Arten der Informationssicherheit beschreibt - physische, technische, Software- und administrative.
6. Bereiten Sie Schulungen zur Informationssicherheit für Mitarbeiter des Unternehmens vor und führen Sie diese durch. Mach sie vierteljährlich.
7. Fragen Sie den verantwortlichen Mitarbeiter, ob er den gesamten Prozess selbst durchführen kann oder ob ein Dritter hinzugezogen werden muss (oder ob ein zusätzlicher Mitarbeiter eingestellt werden muss).
8. Testen Sie Ihre IP auf Penetration (sogenannter Penetrationstest).
9. Erstellen oder korrigieren Sie die folgenden Dokumente:
- Wiederherstellung des IS (Informationssystems) im Falle eines Ausfalls (Ausrüstung, vom Menschen verursachte Katastrophen und Naturkatastrophen, sonstige Schäden);
- Antivirenschutzbestimmungen;
- ein Dokument, das das Verfahren zum Sichern und Testen von Sicherungen regelt;
- ein Dokument, das die Kontrolle und Wiederherstellung von Datenbanken regelt (falls vorhanden);
- , ;
- , ;
- , ( );
- ( );
- , (WiFi) ;
- , ;
- ( );
- , ;
- ( ).
10. Überwachen und passen Sie die Verfahren und Vorschriften monatlich an die externe und interne Situation an.
11. Lächle. Der Teufel ist nicht so schlimm wie er dargestellt wird, wenn Sie ein gut strukturiertes, transparentes, verständliches und überschaubares Informationssystem haben. Verständlich sowohl für Sie (den Manager) als auch für Ihre Benutzer (Mitarbeiter) und hoffentlich für Ihren Systemadministrator.
Passen Sie auf sich auf.