Informacijska varnost: Razlika med redakcijama

 

 

Ko upravljanje ublaži tveganje, bo to narejeno z izvršitvijo ene ali več od treh različnih tipov kontrole:

Pomembna fizična kontrola, ki je pogosto prezrta, je ločenost obveznosti, ki zagotovi, da posameznik ne more kritično opraviti naložene naloge. Primer: zaposleni, ki predloži zahtevo za odškodnino, prav tako ne more odobriti plačila. Programer prav tako ne more biti administrator za strežnik ali administrator baze podatkov – te vloge in obveznosti morajo biti ločene.

 

 

Pomemben aspekt informacijske varnosti in upravljanja z varnostjo je prepoznati pomembnost informacije in določanje primernih postopkov in varnostnih zahtev za informacijo. Vse informacije niso enakovredne in zato tudi ne zahtevajo enake stopnje zaščite. Tu pa nastane potreba po varnostni klasifikaciji informacij.

Vsi zaposleni v organizaciji, kot tudi poslovni partnerji, morajo biti izurjeni in tako obvladovati razvrstitveno shemo, pomembno pa je tudi, da razumejo potrebne varnostne nadzore ter obravnavane postopke pri vsaki klasifikaciji. Zaupna informacije mora biti občasno tudi ocenjena, saj je s tem zagotovljeno, da je razvrstitev za informacijo še vedno primerna, poskrbljeno pa je tudi za varnosti nadzor, ki je za klasifikacijo potreben.

 

 

Dostop do zaščitenih informacij mora biti omejen na ljudi, ki so pooblaščeni za dostop do teh informacij. Računalniški programi in v veliko primerih tudi računalniki, ki obdelujejo informacije morajo imeti prav tako pooblastilo oziroma dovolilnico. To zahteva, da so mehanizmi na mestu kjer kontrolirajo dostop do zaščitenih informacij. Dovršenost mehanizmov za nadzor dostopa mora biti enakovredna vrednosti zaščitenih informacij- bolj občutljiva oziroma dragocena kot je informacija, ostrejši morajo biti mehanizmi nadzora. Temelja na katerih so zgrajeni mehanizmi za nadzirani dostop sta identifikacija in avtentikacija.

Politike in drugi varnosti nadzori morajo biti izvršljivi in podprti, saj bodo le tako učinkoviti. Učinkovita politika pa mora poskrbi tudi za to, da se ljudje čutijo odgovorne za svoje dejanja. Vsak napačen in uspešen poskus avtentikacije mora biti zabeležen, prav tako pa mora vsak dostop do informacije pustiti neko revizijsko sled.

 

 

Pri informacijski varnosti se uporablja kriptografija za preoblikovanje oblike informacij in sicer se informacija preoblikuje v formo, ki je uporabna samo za pooblaščene uporabnike. Ta proces imenujemo šifriranje. Informacija, ki smo jo šifrirali se lahko preoblikuje nazaj v prvotno obliko s pomočo pooblaščenega uporabnika, ki ima šifrirni ključ. Ta postopek imenujemo dešifriranje. Kriptografija se uporablja za zaščito informacij pred nepooblaščenimi ali naključnimi odkritji, med prenosom informacij (elektronskem ali fizičnem) in skladiščenjem.

Kriptografija lahko ogrozi varnost kadar ni pravilno implementitana. Kriptografske rešitve morajo vsebovati preverjene in javno objavljene ter široko sprejete algoritme, ki so prestale stroge preglede neodvisnih strokovnjakov na področju kriptografije. Dolžina in jakost šifrirnega ključa sta prav tako pomembna. Ključ, ki se uporablja za šifriranje in dešifriranje mora biti zaščiten z enako mero strogosti kot katerekoli zaupne informacije. Informacije morajo biti zaščitene pred nepooblaščenimi zlorabami, hkrati pa morajo biti na voljo, kadar je to potrebno. PKI (Public Key Cryptography) rešitve pokrivajo številne probleme, ki se navezujejo na ravnanje s ključi.

 

 

Varnost informacij mora zaščititi informacije skozi njihov celoten obstoj, od njihovega nastanka do odstranitve. Informacija mora biti zaščitena tako med gibanjem kot mirovanjem. Skozi celoten obstoj mora informacija preiti skozi številne različne sisteme procesiranja. Informacije in informacijski sistemi so lahko ogroženi na različne načine. Za popolno zaščito informacije skozi njeno življensko dobo, mora imeti vsaka komponenta informacijskega sistema procesiranja svoj lasten mehanizem zaščite. Izgradnja, povezovanje in prekrivanje varnostnih meril se imenuje globinska obramba. Jakost posameznega sistema ni večja kot je jakost najšibkejšega člena. Z uporabo strategije globinske zaščite je omogočena učinkovita zaščita tudi ob okvari posameznega obrambnega sistema.

Potrebno je nameniti pozornost dvema pomembnima točkama v navedenih definicijah. Prvič, koraki prikazujejo- to pomeni, da so lahko koraki preverjeni ter merjeni. Drugič, ponavljajoče se aktivnosti- to pomeni, da posamezniki dejansko opazujejo in vzdržujejo zaščitne mehanizme, te aktivnosti so redne.

 

 

Med karakteristike uspešnega varnostnega nadzora vključujemo:

 

 

 

Pravilniki(ne tehnični), ki obravnavajo:

*Dokumentacijo.

 

 

Upravljanje sprememb predstavlja formalen proces vodenja in kontroliranja sprememb v okolju obdelave informacij. To vključuje spremembe v namizju računalnika, omrežju, strežnikih in programski opremi. Namen upravljanja sprememb je zmanjšanje tveganja, ki ga povzročijo spremembe pri obdelavi podatkov in izboljšanje stabilnosti in zanesljivosti predelovalnega okolja. Smoter upravljanja sprememb ni onemogočanje ali oviranje nujnih sprememb, ki morajo biti izvedene.