Můžete pomoci přidáním odkazů nebo odebráním nepublikovaného obsahu. Další podrobnosti najdete na diskusní stránce .
Bezpečnost informačních systémů ( ISS ), nebo jednodušeji počítačové bezpečnosti , je veškeré technické, organizační, právní a lidských zdrojů nezbytných pro realizaci prostředků, jejichž cílem je zabránit neoprávněnému použití, zneužití, modifikaci či neoprávněné užití informačního systému . Zajištění bezpečnosti informačního systému je činnost správy informačního systému .
Dnes je bezpečnost hlavním problémem jak pro společnosti, tak pro všechny hráče kolem ní. Již se neomezuje pouze na roli počítačového vědce. Jeho dlouhodobým cílem je udržovat důvěru uživatelů a zákazníků. Střednědobým cílem je konzistence celého informačního systému. Z krátkodobého hlediska je cílem, aby měl každý přístup k informacím, které potřebuje. Standardem zabývajícím se systémy řízení bezpečnosti informací (ISMS) je ISO / CEI 27001, který zdůrazňuje důvěrnost - integrita - dostupnost , to znamená ve francouzštině dostupnost , integrita a důvěrnost .
Manažeři informačních systémů se dlouhodobě zabývají zabezpečením dat. Nejrozšířenějším případem a nepochybně předchůdcem, pokud jde o informační bezpečnost , zůstává zabezpečení strategických a vojenských informací. United States Department of Defense (DoD) je původem TCSEC , referenční práce na toto téma. Podobně princip víceúrovňové bezpečnosti má svůj původ ve výzkumu řešení problémů vojenské bezpečnosti informací . Obrana do hloubky , jako vystřižená ze staré vojenské praxi, a stále aktuální. Tato praxe spočívá v zabezpečení každé podmnožiny systému.
Důsledky špatného zabezpečení mohou ovlivnit organizace, ale také soukromý život jednoho nebo více lidí, zejména šířením důvěrných informací, jako jsou jejich bankovní údaje, jejich finanční situace, jejich důvěrné kódy atd. Obecně je uchovávání údajů týkajících se fyzických osob předmětem zákonných povinností upravených zákonem o ochraně údajů .
Dnes se obecně uznává, že bezpečnost nelze zaručit na 100%, a proto je nejčastěji nutné mobilizovat soubor opatření ke snížení šancí na proniknutí do informačních systémů.
„Informační systém představuje základní dědictví organizace, které je třeba chránit. Zabezpečení IT znamená zajistit, aby se hardwarové nebo softwarové prostředky organizace používaly pouze k zamýšlenému účelu. "
Zabezpečení informačních systémů má následující cíle (CAID):
Za bezpečnostní cíle informačních systémů lze považovat i další aspekty, například:
Jakmile budou stanoveny cíle zabezpečení, lze podle hrozeb odhadnout rizika vážící se u každého z těchto prvků . Celková úroveň zabezpečení informačního systému je definována úrovní zabezpečení nejslabšího článku. Opatření a protiopatření je třeba zvážit na základě zranitelností specifických pro kontext, v němž má informační systém poskytovat služby a podporu.
K tomu je nutné odhadnout:
Pro zabezpečení informačních systémů využívá tento přístup pravidelnou evoluční spirálu: konec cyklu vede k začátku nového, jako v Demingově kolečku . Z hlediska bezpečnosti se jedná o:
posoudit rizika a jejich kritičnost jaká rizika a hrozby, na jakých datech a jaké činnosti, s jakými důsledky?Je důležité vzít v úvahu aktiva, která mají hodnotu, definováním rozsahu systému pro správu informačního systému . Může být zaměřen na celou společnost, na konkrétní web, na službu v závislosti na strategii společnosti. Intelektuální kapitál společností integruje citlivé informace , toto informační dědictví musí být chráněno. Společnost proto musí zavést bezpečnostní politiku pro informační systémy, zabezpečení dat a identifikační mechanismy . Kromě toho je nutné definovat politiku ISMS, což je závazek společnosti k určitému počtu bodů z hlediska bezpečnosti. Tyto dva body tvoří základní kámen WSIS s cílem stanovit normu ISO / IEC 27001 a tím přinést důvěru zúčastněným stranám.
Krok 2: Posouzení rizikPokus o zabezpečení informačního systému se rovná pokusu chránit se před úmyslnými hrozbami a obecněji před všemi riziky, která mohou mít vliv na bezpečnost tohoto nebo informací, které zpracovává.
Metoda analýzy rizikNa informačním systému existují různé metody analýzy rizik. Zde jsou nejběžnější metody hodnocení rizik:
Ve Francii byla první vyvinutou metodou Marion. Dnes byl nahrazen, i když si některé společnosti ponechaly tento původní model, metodou Méhari ( Harmonizovaná metoda analýzy rizik ) vyvinutou společností CLUSIF a metodou EBIOS ( Vyjádření potřeb a identifikace cílů zabezpečení ) vyvinutou Národní agentura pro bezpečnost informačních systémů ( ANSSI ).
V Anglii je Cramm metodou analýzy rizik vyvinutou britskou vládní organizací ACTC (Central Communications and Telecommunications Agency). Toto je britská vláda upřednostňovaná metoda analýzy rizik, ale používá ji také mnoho dalších zemí.
Spojené státy používají OCTAVE ( Operationally Critical Threat, Asset, and Vulnerability Evaluation ) vyvinuté Carnegie Mellon University.
V mezinárodním měřítku se používá ISO / IEC 27005 , což je mezinárodní standard splňující požadavky certifikace ISO / IEC 27001 . Je to nejnovější standard, navíc je snadno použitelný, protože je pragmatický.
Metoda | Autor | Země |
---|---|---|
Posouzení rizik | Platina na druhou | Spojené království |
Afhankelijkheids | Nizozemské ministerstvo | Holandsko |
ISAMM | Evosec | Belgie |
IT-Grundschutz | BSI | Německo |
Magerit | Španělské ministerstvo | Španělsko |
Migra | AMTEC / ElsagDatamat | Itálie |
SP 800-30 | NIST | USA |
ISO 17799 | ISO | Mezinárodní |
ISO 13335 | ISO | Mezinárodní |
ISO 14408 | ISO | Mezinárodní |
Ačkoli účel těchto metod je stejný, použité výrazy a výrazy se mohou lišit. Výše uvedené jsou obecně inspirovány Ferosovou metodou .
Paradoxně se ve společnostech ukazuje definice měřitelných a relevantních ukazatelů „bezpečnosti IS“, které poté umožňují dosažení přiměřených časových cílů, křehká. Pro měření výkonu můžeme označit jako indikátory stavy instalace nástrojů nebo postupů, ale indikátory výsledků jsou definovatelnější a hodnotitelnější, například ty, které se týkají „virových výstrah“ .
Identifikujte aktivaTo spočívá v vytvoření seznamu všech důležitých informačních prvků v rámci obvodu ISMS. Existují různé typy aktiv:
Pro identifikaci aktiv vznikají tři problémy:
Nyní je nezbytné mít zavedeny obchodní plány zabezpečení, které zajistí kontinuitu a obnovu v případě, že dojde ke katastrofě (Business recovery plan ). Tyto plány se pokoušejí minimalizovat ztrátu dat a zvýšit odezvu v případě velké katastrofy. Efektivní business continuity plán je v podstatě transparentní pro uživatele a zajišťuje datovou integritu , aniž by došlo ke ztrátě informací.
Určete odpovědné osobyJe to osoba odpovědná za dobro, kdo za to odpovídá. To je obvykle ten, který nejlépe zná hodnotu a dopad dostupnosti , z integrity a důvěrnosti těchto aktiv . Ve společnosti je to obvykle osoba odpovědná za bezpečnost informačních systémů, kdo nejlépe zná informační aktiva.
Identifikujte zranitelná místaKaždé uvedené aktivum má slabá místa; jedná se o vnitřní vlastnost aktiva, která jej vystavuje hrozbám.
Identifikujte a modelujte hrozbyDříve identifikované chyby zabezpečení vystavují aktiva hrozbám. 27001 Norma ISO / CEI vyžaduje identifikaci hrozeb pro všechny uvedené aktiv.
Mezi hlavní hrozby, s nimiž lze informační systém postavit, patří:
ISO 27001 norma ukládá vyhodnotit důsledky; jako: ztráta důvěrnosti, dostupnosti nebo integrity. To odpovídá poskytnutí trojrozměrného skóre ( důvěrnost ; dostupnost a integrita ) podle definovaných kritérií pro každé aktivum .
Zjistěte poškozeníInformační systém organizace může ovlivnit čtyři typy poškození:
To zahrnuje uvedení informačního aktiva zpět do jeho environmentálního kontextu, a tedy zohlednění opatření, která jsou již zavedena ( např. Pokud je soubor zákazníka již zašifrován, je pravděpodobnost narušení jeho důvěrnosti omezená). Pojem pravděpodobnosti je možné posoudit skóre na stupnici od 1 do 5.
Odhad úrovně rizikaPřidělení konečného skóre bude odrážet skutečnou úroveň rizika při zohlednění výše uvedených prvků. ISO 27001 norma neukládá žádný vzorec, je tedy na realizátora jej vybrat. Může to být skóre od 0 do 100 nebo barevný kód.
Krok 3: Léčte riziko a identifikujte zbytkové rizikoSpolečnost může identifikovaná rizika řešit čtyřmi způsoby:
Přijměte riziko ad hoc řešení, pokud má vznik rizika za následek přijatelné důsledky pro společnost. Vyhněte se riziku řešení, když jsou důsledky útoku považovány za příliš nebezpečné pro společnost. Přeneste riziko řešení, kdy společnost nemůže čelit riziku vlastními prostředky (uzavření pojištění nebo subdodávky ). Snižte riziko řešení, aby bylo riziko přijatelné.Na závěr nesmíme zapomenout vzít v úvahu „zbytková rizika“, která přetrvávají po provedení všech bezpečnostních opatření. Aby byla tato rizika přijatelná, je třeba přijmout další ochranná opatření .
Krok 4: Vyberte opatření, která mají být implementována (příloha A k ISO / IEC 27001)Implementace normy ISO2 / CEI 27001 obecně probíhá v pěti doplňkových fázích:
Fáze plánování identifikuje opatření, která mají být v organizaci přijata, ale neumožňuje jejich konkrétní provedení. Musí být organizovány, musí být vybrány nezbytné prostředky a definovány odpovědnosti stanovením plánu léčby rizik. Tento krok spadá pod řízení projektu .
Nasazení bezpečnostních opatřeníK zajištění bezpečnosti informačního systému lze implementovat mnoho technických prostředků . Je vhodné zvolit nezbytné, dostatečné a spravedlivé prostředky. Zde je neúplný seznam technických prostředků, které mohou splnit určité bezpečnostní potřeby informačního systému:
Jednou z nových funkcí ISO / IEC 27001 je vyžadovat pravidelné bezpečnostní kontroly. Manažer musí zvolit ukazatele, které měří jeho spolehlivost. Mohou být dvojího druhu:
Informování zaměstnanců je nezbytné pro úspěch bezpečnostního projektu IS, aby pochopili jeho užitečnost a věděli, jak jej aplikovat. Je proto dobrým zvykem informovat všechny zaměstnance obecně o problémech zabezpečení IT v jejich organizaci. Toto vysvětlení musí připomenout závazky organizace a uvést velmi praktické příklady a interní postupy, jak se vyhnout nejběžnějším událostem. Zaměstnanci přímo zapojení do bezpečnosti IT musí být vyškoleni, aby věděli, jak správně používat nástroje.
Školení, včetně psychologického očkování proti technikám sociálního inženýrství, umožňuje lidem odolat pokušení odchýlit se od bezpečnostních postupů a zásad.
Spravujte ISMS denněISO / IEC 27001 vyžaduje nejen zavedení bezpečnostního systému, ale také důkaz o jeho účinnosti. Společnosti proto musí řádně spravovat své zdroje a rozvíjet sledovatelnost .
Rychlá detekce a reakce na incidentyTato fáze je založena na teorii časové bezpečnosti . Principem je vzít v úvahu čas potřebný k úspěšnému provedení bezpečnostního útoku. Během této doby musí být společnost schopna detekovat hrozbu a reagovat na ni s další rezervou bezpečnosti.
Musí existovat kontrolní prostředky pro monitorování účinnosti ISMS a jeho dodržování.
Existují nástroje, které to kontrolují, například:
Interní audity Audit plánována s dostatečným předstihem a volá na posluchačů.
Vnitřní kontroly : Neustále monitoruje v rámci organizace, aby zajistily, že každý platí postupy denně.
Recenze: Udělejte krok zpět a přizpůsobte WSIS a jeho prostředí.
Můžeme si pomoci:
Po zvýraznění chybných funkcí díky fázi Kontrola je důležité je analyzovat a zavést: