“ози сайт използва бисквитки (cookies). јко желаете можете да научите повече тук. –азбрах

Ќовини  оментари
бр. 6, 2007

–ол€та на »“ е съществена, но защитата на информаци€та има много други различни лица

Ќапоследък информационната сигурност е една от най-разискваните теми.  акво точно включва т€? ¬ тази стати€ ще се спрем на основните и компоненти според ISO 17799, както и на други важни аспекти, свързани със защитата на информаци€та

от Ќад€  ръстева, 13 юни 2007 0 5263 прочитани€,
—траница 1 от 2

ƒел€н Ѕойчев, началник отдел “”правление на информационни€ риск”,
ING Ѕанк клон —офи€

ћеждународни€т стандарт ISO 17799 систематизира правилата за управление на информационната сигурност. “ой се използва и като критерий за оценка на механизмите на сигурност на организационно ниво, включително за административни, процедурни и физически мерки за защита. —поред ISO 17799 информационната сигурност има 3 основни компонента (фиг. 1):

 онфиденциалност (Confidentiality)
“ози компонент осигур€ва достъпа на упълномощените лица (или процеси) до информаци€та. —ъществуват различни методи на контрол на достъпа като основните са:
  • базиран на рол€та на служител€ в организаци€та (Role based); 
  • мандатен (Mandatory based) – най-често използван в арми€та – особеното при този метод, е че субектите имат достъп до информаци€та със съответното ниво и всички по-долни нива; 
  • предоставен по усмотрение (Discretionary access) – достъпът се дава от упълномощен администратор. 

“ипично нивата на конфиденциалност са от 4 до 6, като най-ниското (публично) е 1.

÷€лост (Integrity)

 омпонентът осигур€ва данните срещу неоторизирана пром€на, ко€то би могла да бъде извършена неволно от оторизиран или от неоторизиран потребител, а би могла да бъде и просто техническа грешка. ќтражение е на това до колко можем да си позволим дадена информаци€ да бъде променена и какви биха били последстви€та от подобна пром€на. “ипичен пример е важно мениджърско решение, взето въз основата на некоректни (променени) данни.
ћерките за защита на целостта са използване на хеш функци€, прилагане на принципа на „четирите очи”, т.е. действието по пром€на на данните, изисква намесата на двама (а пон€кога и трима) оператори.

ƒостъпност (Availability)
ќтраз€ва времето, през което информаци€та може да е недостъпна, без това да има отрицателни последици.  акто и при конфиденциалността нивата са 4 до 6, като на практика това означава период от н€колко минути за високите нива до 2-3 и повече дни.

»зброените 3 компонента са валидни за сигурността на вс€какъв вид информаци€, независимо от това дали се съхран€ва върху електронен носител или по друг начин – на харти€ например.

¬ажни аспекти
„есто като част от политиката за сигурност се разглеждат и плановете за непрекъсваемост на бизнеса (Business Continuity Plan - BCP) и ¬ъзстанов€ване след срив (Disaster Recovery Plan - DRP. ¬ т€х са включени всички дейности, включително и свързаните с информационните технологии, които са идентифицирани като критически и основни за бизнеса. —ъщо така в BCP и DRP се дефинират действи€та и мерките, предприемани в случай на срив, за да могат съответните процеси да продължат без никакво или с минимално прекъсване. ћного е важно да бъде проведен предварително точен анализ на дейностите и възможните щети при т€хното прекъсване (преки и непреки), както и анализ на разходите за продължаване на дейността.

–ол€та на »“
ћного компании ползват различни защитни системи като прокси-сървъри, firewalls, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS). »зползват се възможностите за защита и контрол на достъпа на различни операционни системи, файлови сървъри, бази данни и др. —ъздават се резервни копи€. „есто компаниите създават защитен периметър на своите мрежи.

ћакар напоследък, с въвеждането на outsourcing, рол€та на периметъра при защитата да намал€ва, т€ остава неизменна част от ц€лостната защита. ¬сички изброени средства и мерки са важна част на информационната сигурност. ѕогрешно е обаче да се см€та, че защитата на информаци€ зависи само и изц€ло от информационните технологии и специалистите, които ги осигур€ват. ¬ъпреки че рол€та на »“ е съществена, т€ далеч не покрива всички аспекти на сигурността. Ќапример, ако поверителни документи бъдат изпратени по факс на грешен номер или на грешен e-mail –конфиденциалността е нарушена. ƒокументи, забравени на общ принтер или копирна машина биха могли да бъдат подменени – т.е. да бъде нарушена целостта, или унищожени, което означава нарушаване на достъпността.

 акво тр€бва да се защитава и до каква степен?
Ќе е възможно, а и не е необходимо да се защитава ц€лата информаци€ (или поне не в еднаква степен). «а да се определи какви мерки за защита на сигурността тр€бва да се вземат, е необходимо първо да се класифицира информаци€та, да се определ€т нейните нива на конфиденциалност, ц€лост и достъпност. ≈дин от начините е чрез анализ на въздействието върху бизнеса (Business Impact Analysis). —ред разпространените методи за изпълнението на тази задача са: SPRINT, IRAM, SARA, FIRM, NIST RA. ¬ъз основа на класификаци€та тр€бва да се определ€т съответните мерки като тип на автентикаци€та, нужда от криптиране, ниво на физическа защита, степен на резервираност и др. ¬ажен фактор при определ€не на мерките е и т€хната цена.

”правление на информационни€ риск
≈тапите при осигур€ване на защитата на информационната среда са н€колко:

1. »“ сигурност. «астъпен е основно технологични€ риск: у€звимости на операционната система, отделните приложени€, мрежово оборудване както и системи за защита. ћерките са свързани предимно с информационните технологии и се прилагат главно като следствие на възникнали инциденти, в съответствие с най-добри практики и препоръки на производителите на софтуер и хардуер, както и по препоръка след консултации с компании, специализирани в сигурността. 
1 2

 ќћ≈Ќ“ј–» ќ“  

 ќћ≈Ќ“ј–»

“р€бва да сте регистриран потребител, за да коментирате стати€та
"–ол€та на »“ е съществена, но защитата на информаци€та има много други различни лица"



    

ѕолезни страници
    «а нас | јудитори€ | –еклама |  онтакти | ќбщи услови€ |
    ƒействителни собственици на насто€щото издание са »во √еоргиев ѕрокопиев и “еодор »ванов «ахов