Możesz pomóc, dodając odniesienia lub usuwając nieopublikowane treści. Zobacz stronę dyskusji po więcej szczegółów.
Bezpieczeństwo systemów informacyjnych ( ISS ) lub prościej bezpieczeństwa komputerowego , to wszystkie techniczne, organizacyjne, prawne i ludzkie zasoby niezbędne do wdrożenia środków mających na celu zapobieganie nieautoryzowanym użyciem, nadużyciu, modyfikacji lub przywłaszczenie systemu informacyjnego . Zapewnienie bezpieczeństwa systemu informatycznego jest czynnością zarządzania systemem informatycznym .
Dziś bezpieczeństwo jest głównym problemem zarówno dla firm, jak i dla wszystkich graczy wokół niego. Nie ogranicza się już wyłącznie do roli informatyka. Jej długofalowym celem jest utrzymanie zaufania użytkowników i klientów. Celem średnioterminowym jest spójność całego systemu informacyjnego. W krótkim okresie celem jest, aby każdy miał dostęp do potrzebnych informacji. Normą dotyczącą systemów zarządzania bezpieczeństwem informacji (ISMS) jest ISO/CEI 27001, która podkreśla poufność – integralność – dostępność , to znaczy francuską dostępność , integralność i poufność .
Menedżerowie systemów informatycznych od dawna zajmują się zabezpieczaniem danych. Najbardziej rozpowszechnionym przypadkiem i niewątpliwie prekursorem w zakresie bezpieczeństwa informacji pozostaje zabezpieczanie informacji strategicznej i wojskowej. Stany Zjednoczone Departament Obrony (DoD) jest pochodzenia TCSEC , dzieło odniesienia w tej sprawie. Podobnie zasada wielopoziomowego bezpieczeństwa wywodzi się z badań nad rozwiązywaniem wojskowych problemów bezpieczeństwa informacji . Obrony w głębi , prosto ze starej praktyki wojskowej i nadal aktualne. Ta praktyka polega na zabezpieczeniu każdego podzbioru systemu.
Konsekwencje słabego bezpieczeństwa mogą mieć wpływ na organizacje, ale także na życie prywatne jednej lub kilku osób, w szczególności poprzez rozpowszechnianie poufnych informacji, takich jak dane bankowe, ich sytuacja finansowa, poufne kody itp. Ogólnie rzecz biorąc, ochrona danych dotyczących osób fizycznych jest przedmiotem zobowiązań prawnych uregulowanych w ustawie o ochronie danych .
Obecnie powszechnie przyjmuje się, że bezpieczeństwa nie można zagwarantować w 100% i dlatego najczęściej wymaga mobilizacji szeregu środków, aby zmniejszyć szanse penetracji systemów informatycznych.
„System informacyjny stanowi istotne dziedzictwo organizacji, które należy chronić. Bezpieczeństwo IT polega na zapewnieniu, że zasoby sprzętowe lub programowe organizacji są wykorzystywane wyłącznie zgodnie z ich przeznaczeniem. "
Bezpieczeństwo systemów informatycznych ma następujące cele (CAID):
Inne aspekty można również uznać za cele bezpieczeństwa systemów informatycznych, takie jak:
Po określeniu celów bezpieczeństwa można oszacować ryzyko ważące każdy z tych elementów w zależności od zagrożeń . Ogólny poziom bezpieczeństwa systemu informatycznego jest określony przez poziom bezpieczeństwa najsłabszego ogniwa. Należy rozważyć środki ostrożności i środki zaradcze w oparciu o słabe punkty specyficzne dla kontekstu, w którym system informacyjny ma świadczyć usługi i wsparcie.
W tym celu należy oszacować:
W celu zabezpieczenia systemów informatycznych podejście przyjmuje regularną ewolucyjną spiralę: koniec cyklu prowadzi do początku nowego, jak w kole Deminga . W bezpieczeństwie składa się to z:
ocenić ryzyka i ich krytyczność jakie ryzyka i zagrożenia, na jakich danych i jakie działania, z jakimi konsekwencjami?Istotne jest uwzględnienie aktywów mających wartość poprzez określenie zakresu systemu zarządzania systemem informatycznym . Może być skoncentrowany na całej firmie, na konkretnej stronie, na usłudze w zależności od strategii firmy. Kapitał intelektualny firm integruje wrażliwe informacje , to dziedzictwo informacyjne musi być chronione. Firma musi zatem wprowadzić politykę bezpieczeństwa systemów informatycznych, bezpieczeństwa danych i mechanizmów identyfikacji . Ponadto konieczne jest zdefiniowanie polityki SZBI, czyli zobowiązania firmy do określonej liczby punktów w zakresie bezpieczeństwa. Te dwa punkty stanowią kamień węgielny WSIS , mając na celu ustanowienie normy ISO/IEC 27001, a tym samym wzbudzenie zaufania wśród interesariuszy.
Krok 2: Ocena ryzykaPróba zabezpieczenia systemu informatycznego jest równoznaczna z próbą ochrony przed celowymi zagrożeniami, a bardziej ogólnie przed wszystkimi zagrożeniami, które mogą mieć wpływ na bezpieczeństwo tego systemu lub przetwarzanych przez niego informacji.
Metoda analizy ryzykaIstnieją różne metody analizy ryzyka w systemie informacyjnym. Oto najczęstsze metody oceny ryzyka:
We Francji pierwszą opracowaną metodą była Marion. Dziś został on zastąpiony, nawet jeśli niektóre firmy zachowały ten pierwotny model, metodą Méhari ( Zharmonizowana metoda analizy ryzyka ) opracowaną przez CLUSIF oraz metodą EBIOS ( Wyrażanie potrzeb i identyfikacja celów bezpieczeństwa ) opracowaną przez Krajowa Agencja Bezpieczeństwa Systemów Informatycznych ( ANSSI ).
W Anglii Cramm to metoda analizy ryzyka opracowana przez brytyjską organizację rządową ACTC (Central Communications and Telecommunications Agency). Jest to preferowana przez rząd Wielkiej Brytanii metoda analizy ryzyka, ale jest również stosowana przez wiele innych krajów.
Stany Zjednoczone korzystają z OCTAVE ( Operational Critical Threat, Asset, and Vulnerability Evaluation ), opracowanego przez Carnegie Mellon University.
Na arenie międzynarodowej stosowany jest ISO/IEC 27005 , który jest międzynarodowym standardem spełniającym punkt po punkcie wymagania certyfikacji ISO/IEC 27001 . Jest to najnowszy standard, a ponadto jest łatwy do zastosowania, ponieważ jest pragmatyczny.
metoda | Autor | Kraj |
---|---|---|
Ocena ryzyka | Platynowy kwadrat | Wielka Brytania |
Afhankelijkheids | Ministerstwo holenderskie | Holandia |
ISAMM | Evosec | Belgia |
IT-Grundschutz | BSI | Niemcy |
Magerit | Ministerstwo Hiszpanii | Hiszpania |
Migracja | AMTEC / ElsagDatamat | Włochy |
SP 800-30 | NIST | USA |
ISO 17799 | ISO | Międzynarodowy |
ISO 13335 | ISO | Międzynarodowy |
ISO 14408 | ISO | Międzynarodowy |
Chociaż cel tych metod jest taki sam, użyte terminy i wyrażenia mogą się różnić. Te użyte powyżej są na ogół inspirowane metodą Ferosa .
Paradoksalnie, w firmach delikatna okazuje się definicja mierzalnych i odpowiednich wskaźników „bezpieczeństwa SI” , które następnie pozwalają na określenie rozsądnych celów czasowych do osiągnięcia. Aby zmierzyć wydajność, możemy wyznaczyć jako wskaźniki stany instalacji narzędzi lub procedur, ale wskaźniki rezultatu są bardziej złożone do zdefiniowania i oceny, na przykład te dotyczące „alertów wirusowych” .
Zidentyfikuj zasobyPolega to na sporządzeniu listy wszystkich ważnych elementów informacyjnych w obrębie SZBI. Istnieją różne rodzaje zasobów:
Przy identyfikacji aktywów pojawiają się trzy problemy:
Obecnie niezbędne jest posiadanie biznesowych planów bezpieczeństwa, aby zapewnić ciągłość i odzyskiwanie w przypadku awarii ( Plan odzyskiwania firmy ). Plany te mają na celu zminimalizowanie utraty danych i zwiększenie szybkości reakcji w przypadku poważnej awarii. Skuteczne planu ciągłości działania jest praktycznie niewidoczny dla użytkowników i gwarantuje danych integralności bez utraty informacji.
Zidentyfikuj osoby odpowiedzialneTo osoba odpowiedzialna za dobro odpowiada za nie. Zazwyczaj jest to jeden, który najlepiej zna wartość i wpływ dostępności , o integralności i poufności tych aktywów . W firmie to zazwyczaj osoba odpowiedzialna za bezpieczeństwo systemów informatycznych najlepiej zna zasoby informacyjne.
Zidentyfikuj lukiKażdy wymieniony zasób ma luki w zabezpieczeniach; jest to nieodłączna właściwość zasobu, która naraża go na zagrożenia.
Identyfikuj i modeluj zagrożeniaZidentyfikowane wcześniej podatności narażają zasoby na zagrożenia. Norma ISO / CEI 27001 wymaga identyfikacji zagrożeń dla wszystkich wymienionych aktywów.
Główne zagrożenia, z jakimi może się zmierzyć system informatyczny to:
ISO 27001 norma nakazuje ocenę skutków; takich jak: utrata poufności, dostępności lub integralności. Sprowadza się to do przyznania punktacji trójwymiarowej ( poufność ; dostępność i integralność ), zgodnie z określonymi kryteriami, dla każdego zasobu .
Zidentyfikuj uszkodzeniaNa system informacyjny organizacji mogą mieć wpływ cztery rodzaje uszkodzeń:
Wiąże się to z umieszczeniem zasobu informacyjnego z powrotem w jego kontekście środowiskowym, a zatem z uwzględnieniem środków, które już obowiązują ( np. jeśli plik klienta jest już zaszyfrowany, prawdopodobieństwo narażenia jego poufności jest ograniczone). Pojęcie prawdopodobieństwa można ocenić punktowo w skali od 1 do 5.
Oszacuj poziomy ryzykaPrzyznanie ostatecznej punktacji będzie odzwierciedlało rzeczywisty poziom ryzyka z uwzględnieniem powyższych elementów. ISO 27001 norma nie narzuca żadnego wzoru, dlatego do realizatora, aby go wybrać. Może to być punktacja od 0 do 100 lub kod koloru.
Krok 3: Potraktuj ryzyko i zidentyfikuj ryzyko rezydualneFirma może radzić sobie ze zidentyfikowanymi ryzykami na 4 sposoby:
Zaakceptuj ryzyko rozwiązanie doraźne, gdy wystąpienie ryzyka powoduje akceptowalne reperkusje dla firmy. Unikaj ryzyka rozwiązanie, gdy konsekwencje ataku są uważane za zbyt niebezpieczne dla firmy. Przenieś ryzyko rozwiązanie, gdy firma nie może stawić czoła ryzyku własnymi środkami (ubezpieczenie lub podwykonawstwo ). Zmniejsz ryzyko rozwiązanie, aby ryzyko było akceptowalne.Wreszcie nie możemy zapomnieć o uwzględnieniu „ryzyka szczątkowego”, które utrzymuje się po wdrożeniu wszystkich środków bezpieczeństwa. Aby te zagrożenia były akceptowalne, należy podjąć dodatkowe środki ochronne .
Krok 4: Wybierz środki do wdrożenia (załącznik A do ISO/IEC 27001)Wdrożenie standardu ISO2 / CEI 27001 generalnie odbywa się w pięciu uzupełniających się fazach:
Etap planowania identyfikuje środki, które należy podjąć w organizacji, ale nie pozwala na ich konkretne wdrożenie. Muszą być zorganizowane, niezbędne środki wybrane, a obowiązki określone poprzez ustalenie planu postępowania z ryzykiem. Ten krok wchodzi w zakres zarządzania projektami .
Wdróż środki bezpieczeństwaW celu zapewnienia bezpieczeństwa systemu informatycznego można zastosować wiele środków technicznych . Wskazane jest, aby wybrać niezbędne, wystarczające i uczciwe środki. Oto niewyczerpująca lista środków technicznych, które mogą spełnić określone potrzeby w zakresie bezpieczeństwa systemów informatycznych:
Jedną z nowych funkcji ISO/IEC 27001 jest wymóg regularnych kontroli bezpieczeństwa. Menedżer musi wybrać wskaźniki, które mierzą jego wiarygodność. Mogą być dwojakiego rodzaju:
Informowanie personelu ma zasadnicze znaczenie dla powodzenia projektu bezpieczeństwa IS, aby zrozumieli jego przydatność i wiedzieli, jak go zastosować. Jest to zatem dobra praktyka , aby uczynić wszyscy pracownicy świadomi kwestii bezpieczeństwa IT dla ich organizacji, w sposób ogólny. Wyjaśnienie to musi przypominać o zobowiązaniach organizacji oraz podawać bardzo praktyczne przykłady i procedury wewnętrzne, aby uniknąć najczęstszych incydentów. Pracownicy bezpośrednio zajmujący się bezpieczeństwem IT muszą zostać przeszkoleni, aby wiedzieli, jak prawidłowo korzystać z narzędzi.
Szkolenie, w tym szczepienie psychologiczne przeciwko technikom socjotechniki, pozwala ludziom oprzeć się pokusom odejścia od procedur i zasad bezpieczeństwa.
Zarządzaj SZBI na co dzieńNorma ISO / IEC 27001 nie tylko wymaga wdrożenia systemu bezpieczeństwa, ale również dowód jego skuteczności. Firmy muszą zatem właściwie zarządzać swoimi zasobami i rozwijać identyfikowalność .
Szybkie wykrywanie i reagowanie na incydentyTa faza opiera się na teorii bezpieczeństwa opartego na czasie . Zasadą jest uwzględnienie czasu potrzebnego do powodzenia ataku na bezpieczeństwo. W tym czasie firma musi być w stanie wykryć zagrożenie i zareagować na nie z dodatkowym marginesem bezpieczeństwa.
Muszą istnieć środki kontroli w celu monitorowania skuteczności SZBI oraz jego zgodności.
Istnieją narzędzia, które to sprawdzają, takie jak:
Wewnętrzny audyt Audyt planowane z dużym wyprzedzeniem i wzywając słuchaczy.
Kontrola wewnętrzna : Stale monitoruje w organizacji, aby zapewnić, że wszyscy codziennie stosują procedury.
Recenzje: Zrób krok wstecz, aby dostosować WSIS i jego środowisko.
Możemy sobie pomóc poprzez:
Po wykryciu ewentualnych usterek dzięki fazie Check ważne jest, aby je przeanalizować i wprowadzić: