Kirim pekerjaan baik Anda di basis pengetahuan sederhana. Gunakan formulir di bawah ini.

Siswa, mahasiswa pascasarjana, ilmuwan muda yang menggunakan basis pengetahuan dalam studi dan pekerjaan mereka akan sangat berterima kasih kepada Anda.

Diposting pada http://www.allbest.ru/

1. Konsep dasar keamanan informasi dan keamanan informasi

perlindungan keamanan informasi

Keamanan Informasi  - Ini adalah kegiatan untuk mencegah kebocoran informasi yang dilindungi, efek yang tidak sah dan tidak diinginkan pada informasi yang dilindungi.

Obyek perlindungan  - informasi, pembawa informasi atau proses informasi yang diperlukan untuk memastikan perlindungan sesuai dengan tujuan perlindungan informasi yang dimaksud.

Tujuan dari keamanan informasi adalah  Ini adalah hasil yang diinginkan dari perlindungan data. Tujuan melindungi informasi mungkin untuk mencegah kerusakan pada pemilik, pemilik, pengguna informasi sebagai akibat dari kemungkinan kebocoran informasi dan / atau dampak yang tidak sah dan tidak diinginkan terhadap informasi.

Efektivitas keamanan informasi -  tingkat kepatuhan hasil perlindungan informasi terhadap tujuan.

Perlindungan kebocoran informasi  - kegiatan untuk mencegah penyebaran informasi yang dilindungi secara tidak terkendali dari pengungkapannya, akses tidak sah (akses tidak sah) ke informasi yang dilindungi dan penerimaan informasi yang dilindungi oleh penyerang.

Perlindungan informasi dari pengungkapan  - kegiatan untuk mencegah pemberian informasi yang tidak sah ke sejumlah penerima informasi yang tidak terkontrol.

Perlindungan informasi dari akses tidak sah  - kegiatan untuk mencegah penerimaan informasi yang dilindungi oleh subjek yang berkepentingan yang melanggar hak atau aturan akses ke informasi yang dilindungi yang dibuat oleh dokumen hukum atau oleh pemilik atau pemilik informasi. Entitas yang tertarik yang melakukan akses tidak sah ke informasi yang dilindungi mungkin adalah negara, badan hukum, sekelompok individu, termasuk organisasi publik, individu individu.

Sistem Keamanan Informasi - seperangkat badan dan / atau pelaksana, teknik perlindungan informasi yang digunakan oleh mereka, serta objek perlindungan, diorganisir dan berfungsi sesuai dengan aturan yang ditetapkan oleh dokumen hukum, organisasi, administrasi dan peraturan yang relevan tentang perlindungan informasi.

Di bawah keamanan informasi  memahami keamanan informasi dari kenalan yang melanggar hukum, transformasi dan perusakan, serta keamanan sumber daya informasi dari efek yang mengganggu kinerja mereka. Sifat dari efek ini bisa sangat beragam.

Ini termasuk upaya intrusi, kesalahan personel, kegagalan perangkat keras dan perangkat lunak, dan bencana alam (gempa bumi, angin topan, kebakaran), dll.

Modern sistem otomatis  (AC) memproses informasi  adalah sistem kompleks yang terdiri dari sejumlah besar komponen dengan berbagai tingkat otonomi, yang saling berhubungan dan bertukar data. Hampir setiap komponen dapat terpapar atau rusak. Komponen Pembicara  dapat dibagi menjadi beberapa kelompok berikut:

- perangkat keras  - komputer dan komponennya;

- perangkat lunak  - program yang dibeli, sumber, objek, memuat modul; OS dan program sistem, utilitas, program diagnostik, dll;

- data  - disimpan sementara dan secara permanen, pada media magnetik, cetak, arsip, log sistem, dll.

- staf -  personel dan pengguna layanan.

Salah satu fitur untuk memastikan keamanan informasi dalam NPP adalah bahwa konsep abstrak seperti informasi, objek dan subjek sistem sesuai dengan representasi fisik di lingkungan komputer:

- untuk menyajikan informasi -- media penyimpanan komputer  dalam bentuk perangkat eksternal sistem komputer, RAM, file, catatan, dll.

- objek sistem  - komponen sistem pasif yang menyimpan, menerima atau mengirimkan informasi. Akses ke suatu objek berarti akses ke informasi yang terkandung di dalamnya;

- subyek sistem -  komponen aktif dari sistem, yang dapat menyebabkan aliran informasi dari objek ke subjek atau perubahan keadaan sistem. Subjek dapat berupa pengguna, program dan proses aktif.

2. Sifat dasardan informasi sehubungan dengan keamanan informasi

Kerahasiaan data - ini adalah status yang diberikan kepada data dan menentukan tingkat perlindungan yang diperlukan. Informasi rahasia harus diketahui hanya untuk subjek yang sah dan diverifikasi (resmi) dari sistem (pengguna, proses, program). Untuk subjek lain dari sistem, informasi ini seharusnya tidak diketahui.

Pembentukan gradasi tentang pentingnya melindungi informasi yang dilindungi (objek perlindungan) disebut kategorisasi informasi yang dilindungi.

Di bawah integritas informasi  properti informasi disimpan untuk menjaga struktur dan / atau kontennya dalam proses transfer dan penyimpanan. Integritas informasi dipastikan jika data dalam sistem tidak berbeda secara semantik dari data dalam dokumen sumber, yaitu, jika tidak ada distorsi yang disengaja atau disengaja atau kehancurannya. Memastikan integritas data adalah salah satu tugas sulit untuk melindungi informasi.

Keandalan informasi -  informasi properti pada output sistem sesuai dengan informasi yang diterima pada inputnya. Secara kuantitatif D. dan. Diperkirakan dengan indikator seperti waktu antara kesalahan informasi, intensitas kesalahan informasi, probabilitas infalibilitas ... informasi properti, yang dinyatakan dalam kepemilikan ketat pada subjek, yang merupakan sumbernya, atau ke subjek dari mana informasi ini diterima.

Nilai informasi hukum  Ini berarti bahwa dokumen yang merupakan pembawa informasi memiliki kekuatan hukum.

Ketersediaan data. Pekerjaan pengguna dengan data hanya dimungkinkan jika ia memiliki akses ke data tersebut.

Akses ke informasi -  memperoleh oleh subjek kemungkinan berkenalan dengan informasi, termasuk dengan bantuan sarana teknis. Subjek akses ke informasi -  hubungan pihak dalam proses informasi.

Efisiensi akses ke informasi  - adalah kemampuan informasi atau sumber daya informasi untuk dapat diakses oleh pengguna akhir sesuai dengan kebutuhan operasionalnya.

Pemilik Informasi  - subjek yang sepenuhnya mengimplementasikan kekuasaan kepemilikan, penggunaan, pembuangan informasi sesuai dengan tindakan legislatif.

Pemilik informasi  - suatu entitas yang terlibat dalam kepemilikan dan penggunaan informasi dan melaksanakan kuasa pembuangan dalam batas-batas hak yang ditetapkan oleh hukum dan / atau pemilik informasi.

Pengguna (konsumen) informasi - subjek menggunakan informasi yang diterima dari pemiliknya, pemilik atau perantara sesuai dengan hak dan aturan yang ditetapkan untuk akses ke informasi atau dengan pelanggaran mereka.

Hak untuk mengakses informasi ~  seperangkat aturan untuk akses ke informasi yang ditetapkan oleh dokumen hukum atau oleh pemilik atau pemilik informasi.

Aturan Akses Informasi  - seperangkat aturan yang mengatur prosedur dan ketentuan untuk akses subjek ke informasi dan operatornya.

Ada akses resmi dan tidak sah ke informasi.

Akses resmi  informasi adalah akses ke informasi yang tidak melanggar aturan kontrol akses yang ditetapkan. Aturan kontrol akses digunakan untuk mengatur hak akses ke komponen sistem.

Akses tidak sah  informasi - pelanggaran aturan kontrol akses yang ditetapkan. Seseorang atau proses yang melakukan akses tidak sah ke informasi melanggar aturan kontrol akses. NSD adalah jenis pelanggaran komputer yang paling umum.

Bertanggung jawab untuk melindungi sistem komputer dari akses tidak sah ke informasi administrator keamanan.

3. Identifikasi, otentikasi, otorisasi

Danpengidentifikasisubjek - beberapa informasi yang mengidentifikasi subjek. Entitas yang memiliki ID terdaftar adalah legal (subjek hukum). Identifikasi Subjek -  Ini adalah prosedur untuk mengenali subjek oleh pengidentifikasi. Identifikasi dilakukan ketika subjek mencoba masuk ke sistem (jaringan). Otentikasi Subjek  - ini adalah otentikasi subjek dengan pengidentifikasi yang diberikan. Prosedur otentikasi menetapkan apakah subjeknya adalah orang yang ia nyatakan sendiri. Otorisasi Subjek  - Ini adalah prosedur untuk menyediakan entitas hukum yang telah berhasil melewati identifikasi dan otentikasi otoritas yang relevan dan sumber daya yang tersedia dari sistem (jaringan).

4. Analisis Ancaman Keamanan Informasi

Di bawah terancam  (dalam arti umum) biasanya memahami peristiwa potensial (dampak, proses atau fenomena) yang dapat menyebabkan kerusakan pada minat seseorang. Lebih jauh di bawah ancaman keamanan  Pemrosesan informasi SA akan memahami kemungkinan pemaparan terhadap AU, yang secara langsung atau tidak langsung dapat merusak keamanannya.

Klasifikasi kemungkinan ancaman terhadap keamanan informasi AU dapat dilakukan sesuai dengan kriteria dasar berikut.

Berdasarkan sifat kejadian:

ancaman alami disebabkan oleh efek pada AU dari proses fisik objektif atau fenomena alam;

ancaman buatan  keamanan loudspeaker yang disebabkan oleh aktivitas manusia.

Dengan tingkat manifestasi yang disengaja:

ancaman yang disebabkan oleh kesalahan atau kelalaian  personel, misalnya, penggunaan peralatan pelindung yang tidak kompeten, input data yang salah, dll.;

ancaman tindakan yang disengajaseperti tindakan penyusup.

Dengan sumber ancaman langsung:

lingkungan alammis. bencana alam, badai magnet, dll.

seorang priamisalnya, merekrut dengan menyuap staf, mengungkapkan data rahasia, dll.

perangkat keras dan perangkat lunak resmiMisalnya, penghapusan data, kegagalan OS;

perangkat lunak / perangkat keras yang tidak sah, misalnya, infeksi komputer dengan virus dengan fungsi merusak.

Menurut posisi sumber ancaman:

di luar zona yang terkendali AU,  misalnya, intersepsi data yang dikirim melalui saluran komunikasi, intersepsi elektromagnetik palsu, akustik, dan perangkat radiasi lainnya;

dalam area yang terkendali AUseperti penggunaan perangkat mendengarkan, pencurian hasil cetak, rekaman, media penyimpanan, dll;

langsung ke speaker,  misalnya, penggunaan sumber daya AS yang salah.

Menurut tingkat ketergantungan pada aktivitas AU:

terlepas dari aktivitas AU,  misalnya, pembukaan cipher enkripsi informasi;

hanya selama pemrosesan data,  misalnya, ancaman terhadap eksekusi dan penyebaran virus perangkat lunak.

Menurut tingkat dampak pada AU:

ancaman pasifyang, ketika diimplementasikan, tidak mengubah apa pun dalam struktur dan konten AU, misalnya, ancaman menyalin data rahasia;

ancaman aktifyang, ketika terpapar, membuat perubahan dalam struktur dan konten AU, misalnya, pengenalan Trojan horse dan virus.

Berdasarkan tahapan akses pengguna atau program ke sumber daya

ancaman yang muncul pada tahap akses ke sumber daya AU,  seperti ancaman akses tidak sah ke AU;

ancaman yang memanifestasikan diri setelah mengizinkan akses ke sumber daya AU,  seperti ancaman penggunaan sumber daya AU yang tidak sah atau tidak benar.

Dengan cara mengakses sumber daya AU:

ancaman yang dibuat menggunakan jalur akses standar ke sumber daya AU,  misalnya, penerimaan ilegal kata sandi dan perincian lain dari kontrol akses dengan penyamaran selanjutnya sebagai pengguna terdaftar;

ancaman yang dibuat dengan menggunakan jalur non-standar tersembunyi untuk mengakses sumber daya AC, misalnya, akses tidak sah ke sumber daya AS dengan menggunakan kemampuan OS tanpa dokumen.

Di lokasi saat ini dari informasi yang disimpan dan diproses di AU:

ancaman untuk mengakses informasi yang disimpan pada perangkat penyimpanan eksternalMisalnya, penyalinan informasi sensitif yang tidak sah dari hard disk;

ancaman untuk mengakses informasi dalam memori, misalnya, membaca informasi residual dari RAM, akses ke area memori sistem oleh program aplikasi;

ancaman akses ke informasi yang beredar di jalur komunikasi,misalnya, koneksi ilegal ke jalur komunikasi dengan entri berikutnya dari pesan palsu atau modifikasi dari pesan yang dikirimkan, koneksi ilegal ke jalur komunikasi untuk tujuan substitusi langsung dari pengguna yang sah, diikuti dengan memasukkan disinformasi dan memaksakan pesan palsu;

ancaman akses informasiditampilkan di terminal atau dicetak pada printer , misalnya, merekam informasi yang ditampilkan pada kamera video tersembunyi.

Alasan efek acaksaat mengoperasikan AU dapat:

· Situasi darurat karena bencana alam dan pemadaman listrik;

· Kegagalan dan kegagalan peralatan;

· Bug perangkat lunak;

· Kesalahan dalam pekerjaan staf dan pengguna;

· Gangguan dalam jalur komunikasi karena efek dari lingkungan eksternal.

Kesalahan dalam perangkat lunak adalah jenis gangguan komputer yang umum. Server perangkat lunak, workstation, router, dll. Ditulis oleh orang-orang, sehingga hampir selalu mengandung kesalahan. Semakin tinggi kompleksitas perangkat lunak tersebut, semakin besar kemungkinan mendeteksi kesalahan dan kerentanan di dalamnya. Sebagian besar dari mereka tidak menimbulkan bahaya, beberapa dapat menyebabkan konsekuensi serius, seperti penyerang mendapatkan kontrol atas server, kerusakan server, penggunaan sumber daya yang tidak sah (menggunakan komputer sebagai batu loncatan untuk serangan, dll.). Biasanya kesalahan semacam itu dihilangkan dengan bantuan paket layanan yang dirilis secara teratur oleh produsen perangkat lunak. Instalasi tepat waktu dari paket-paket tersebut merupakan prasyarat untuk keamanan informasi.

Ancaman Disengajaterkait dengan tindakan yang ditargetkan dari pelaku. Sebagai pelanggar bisa menjadi karyawan, pengunjung, pesaing, tentara bayaran, dll.

5. NSD ke dalamformasi. Cara untuk mendapatkan tamper switch

Akses tidak sah- bentuk pelanggaran komputer yang paling umum dan beragam. Inti dari akses tidak sah adalah untuk mendapatkan akses pengguna (pelanggar) ke objek yang melanggar aturan kontrol akses, yang dibuat sesuai dengan kebijakan keamanan organisasi. NSD menggunakan kesalahan dalam sistem perlindungan dan dimungkinkan dengan pilihan sarana perlindungan yang tidak rasional, pemasangan dan konfigurasi yang salah. Sistem akses yang tidak sah dapat diimplementasikan sebagai sarana standar AU, dan perangkat keras dan lunak yang dirancang khusus.

Saluran utama dari akses tidak sah yang melaluinya pelanggar dapat mengakses komponen AU dan melakukan pencurian, modifikasi, dan / atau penghancuran informasi:

· Saluran reguler untuk mengakses informasi ketika digunakan oleh pelanggar, serta oleh pengguna yang sah di luar wewenang mereka;

· Panel kontrol teknologi;

· Jalur komunikasi antara perangkat keras AC;

· Sisi radiasi elektromagnetik dari peralatan, jalur komunikasi, jaringan catu daya dan pentanahan, dll.

Dari beragam metode dan teknik akses yang tidak sah, kami akan fokus pada pelanggaran umum dan terkait berikut ini:

· Intersepsi kata sandi;

· "Masquerade";

· Penggunaan hak secara ilegal.

Intersepsi kata sandi  dilakukan oleh program yang dirancang khusus. Ketika pengguna yang sah mencoba masuk ke sistem, program pencegat mensimulasikan pada layar tampilan input nama pengguna dan kata sandi pengguna, yang segera diteruskan ke pemilik program pencegat, setelah itu pesan kesalahan ditampilkan di layar dan OS mengembalikan kontrol.

"Masquerade"  - Ini adalah kinerja tindakan apa pun oleh satu pengguna atas nama pengguna lain yang memiliki wewenang yang sesuai. Tujuan dari "penyamaran" adalah untuk menetapkan tindakan apa pun kepada pengguna lain atau untuk menetapkan otoritas dan hak istimewa pengguna lain. Contoh penerapan "topeng" adalah:

· Masuk ke sistem dengan nama dan kata sandi pengguna lain;

· Mengirim pesan di jaringan atas nama pengguna lain.

"Masquerade" sangat berbahaya dalam sistem pembayaran elektronik perbankan, di mana identifikasi klien yang tidak tepat karena "bola bertopeng" seorang penyerang dapat menyebabkan kerugian besar bagi klien hukum bank.

Penggunaan hak secara ilegal. Sebagian besar sistem keamanan menetapkan set hak khusus untuk melakukan fungsi yang ditentukan. Setiap pengguna mendapatkan seperangkat keistimewaannya sendiri: pengguna biasa - minimum, administrator - maksimum. Perampasan hak yang tidak sah, misalnya, dengan cara "menyamar", mengarah pada kemungkinan pelaku melakukan tindakan tertentu untuk mem-bypass sistem perlindungan. Perlu dicatat bahwa perampasan hak secara ilegal dimungkinkan baik dengan adanya kesalahan dalam sistem keamanan, atau karena kelalaian administrator dalam mengelola sistem dan menetapkan hak istimewa.

Dianggap bahwa, terlepas dari jenis ancaman tertentu atau klasifikasi yang berorientasi pada masalah, AU memenuhi kebutuhan operatornya jika sifat-sifat penting berikut dari informasi dan sistem pemrosesannya dipastikan: kerahasiaan, integritas, dan ketersediaan.

Dengan kata lain, sesuai dengan pendekatan yang ada, dianggap bahwa keamanan informasi NPP dipastikan jika level tertentu dipertahankan untuk sumber daya informasi dalam sistem:

· Kerahasiaan (ketidakmungkinan menerima informasi yang tidak sah);

· Integritas (ketidakmungkinan modifikasi yang tidak sah atau tidak disengaja);

· Aksesibilitas (kemampuan untuk mendapatkan informasi yang diperlukan dalam waktu yang wajar).

7. Kriteria keamanan umum

Kriteria umum adalah seperangkat bagian yang independen tetapi saling terkait.

Presentasi dan model umum -  mendefinisikan konsep dan prinsip keseluruhan dari penilaian keamanan TI, model penilaian keseluruhan, dan desain untuk membangun tujuan keamanan TI, untuk memilih dan mendefinisikan persyaratan keamanan TI dan untuk menggambarkan spesifikasi tingkat tinggi untuk produk dan sistem. Selain itu, ini memberikan kategori pengguna dengan indikasi dari berbagai bagian OC, di mana kepentingan mereka dalam kriteria penilaian keselamatan disajikan.

Persyaratan Fitur Keamanan -  menetapkan seperangkat komponen fungsional sebagai cara standar untuk mengekspresikan persyaratan fungsional untuk objek penilaian.

Persyaratan Jaminan Keamanan -  Ini mencakup komponen jaminan penilaian, dikelompokkan ke dalam keluarga dan kelas, serta tingkat jaminan penilaian, yang menentukan peringkat sesuai dengan tingkat kepuasan persyaratan, dan juga kriteria evaluasi untuk profil keamanan  dan tugas keamanan.

Profil keamanan yang ditentukan sebelumnya - berisi contoh profil perlindungan, termasuk persyaratan keselamatan fungsional dan persyaratan jaminan evaluasi yang diidentifikasi dalam kriteria baseline (ITSEC, CTCRES, FC, TCSEC), serta persyaratan yang tidak terwakili dalam kriteria baseline.

8. Konsep kriteria umum

Sesuai dengan konsep OK, persyaratan keamanan objek penilaian dibagi menjadi dua kategori: persyaratan fungsional dan persyaratan garansi.

Masuk persyaratan fungsional ok  menjelaskan fungsi dari objek evaluasi, yang menjamin keamanan TI. Misalnya, persyaratan fungsional mencakup persyaratan identifikasi, otentikasi (otentikasi) pengguna, pencatatan (audit), dll.

Persyaratan Garansi  mencerminkan kualitas objek penilaian, memberikan dasar untuk keyakinan bahwa langkah-langkah keamanan yang diperlukan objek diimplementasikan dengan benar dan efisien. Jaminan diperoleh berdasarkan studi tentang tujuan, struktur, dan fungsi objek evaluasi.

Dalam OC, persyaratan fungsional dan garansi disajikan dalam gaya umum yang sama dan menggunakan organisasi dan terminologi yang sama.

Term kelas  digunakan untuk pengelompokan persyaratan keamanan yang paling umum. Semua anggota kelas memiliki maksud yang sama dengan perbedaan dalam lingkup tujuan keamanan.

Anggota kelas diberi nama keluarga.  Keluarga adalah pengelompokan serangkaian persyaratan keamanan yang memastikan pemenuhan bagian tertentu dari tujuan keamanan, tetapi mungkin berbeda dalam hal penekanan atau kekakuan.

Anggota keluarga diberi nama komponen.  Komponen menjelaskan sekumpulan persyaratan keamanan khusus - sekumpulan persyaratan keamanan terkecil untuk dimasukkan dalam struktur yang didefinisikan dalam QA.

Komponen dibangun dari barang.  Elemen tersebut adalah tingkat persyaratan keamanan terendah dan tak terpisahkan, di mana kepuasan mereka dinilai.

Organisasi persyaratan keamanan dalam hierarki QA elemen-komponen-kelas-keluarga  membantu konsumen untuk mengidentifikasi komponen dengan benar segera setelah ancaman keamanan terhadap objek penilaian diidentifikasi.

9. Konsep dasarkebijakan keamanan

Kebijakan keamanan - seperangkat hukum, aturan, dan norma perilaku yang menentukan bagaimana suatu organisasi memproses, melindungi, dan menyebarluaskan informasi. Sebagai contoh, aturan menentukan kapan pengguna memiliki hak untuk beroperasi dengan set data tertentu dan sistem yang lebih andal, kebijakan keamanan yang lebih ketat dan lebih beragam. Bergantung pada kebijakan yang dirumuskan, Anda dapat memilih mekanisme tertentu yang menjamin keamanan sistem. Kebijakan keamanan adalah komponen aktif perlindungan, yang mencakup analisis kemungkinan ancaman dan pilihan tindakan pencegahan.

Kebijakan keamanan menentukan strategi manajemen bidang keamanan informasi, serta ukuran perhatian dan jumlah sumber daya yang dianggap perlu untuk memberikan panduan. Kebijakan keamanan disusun berdasarkan analisis risiko yang diakui sebagai nyata untuk IP organisasi.

Ketika analisis risiko dilakukan dan strategi ditentukan untuk melindungi keadaan program, implementasi yang harus memberikan keamanan informasi. Penentuan urutan kontrol ditentukan oleh program.

Kebijakan keamanan biasanya dibuat dalam bentuk dokumen, termasuk bagian seperti deskripsi masalah, area aplikasi, posisi organisasi, distribusi peran dan tanggung jawab, sanksi, dll.

Deskripsi masalah.Informasi yang beredar dalam jaringan lokal sangat penting. Jaringan lokal memungkinkan pengguna untuk berbagi program dan data, yang meningkatkan risiko keamanan, sehingga setiap komputer di jaringan membutuhkan lebih banyak perlindungan. Langkah-langkah keamanan yang ditingkatkan ini adalah subjek dari dokumen ini.

Lingkup.   Ruang lingkup kebijakan ini mencakup semua perangkat keras, perangkat lunak, dan sumber daya informasi yang termasuk dalam jaringan lokal perusahaan.

Posisi organisasi.   Tujuan utamanya adalah untuk memastikan integritas, ketersediaan, dan kerahasiaan data, serta kelengkapan dan relevansinya.

10. Raspenugasan peran dan tanggung jawab

Kepala Divisi  bertanggung jawab untuk mengomunikasikan ketentuan kebijakan keamanan kepada pengguna dan untuk kontak dengan mereka.

Administrator LAN  memastikan kelanjutan operasi jaringan dan bertanggung jawab untuk mengimplementasikan tindakan teknis yang diperlukan untuk mengimplementasikan kebijakan keamanan.

Administrator Layanan  bertanggung jawab atas layanan spesifik, dan khususnya untuk membangun perlindungan sesuai dengan kebijakan keamanan umum.

Pengguna mereka bekerja dengan jaringan lokal sesuai dengan kebijakan keamanan, mematuhi instruksi orang-orang yang bertanggung jawab atas aspek keamanan tertentu, memberi tahu manajemen tentang semua situasi yang mencurigakan.

Sanksi.  Pelanggaran kebijakan keamanan dapat membuat jaringan lokal dan informasi yang beredar di dalamnya menjadi risiko yang tidak dapat diterima. Kasus pelanggaran keamanan oleh personel harus segera ditinjau oleh manajemen untuk tindakan disipliner, hingga dan termasuk pemecatan.

Tindakan manajemen untuk memastikan keamanan informasi

Tujuan utama dari langkah-langkah yang diambil di tingkat manajerial adalah pembentukan program kerja di bidang keamanan informasi dan memastikan implementasinya dengan mengalokasikan sumber daya yang diperlukan dan melaksanakan pemantauan berkala terhadap keadaan. Dasar dari program ini adalah kebijakan keamanan multi-level, yang mencerminkan pendekatan terintegrasi organisasi untuk melindungi sumber daya dan aset informasinya.

Dari sudut pandang praktis, kebijakan keamanan dapat dibagi menjadi tiga level : atas, tengah dan bawah.

Tingkat atas  Kebijakan keamanan menentukan keputusan yang memengaruhi organisasi secara keseluruhan. Keputusan ini bersifat sangat umum dan datang, sebagai suatu peraturan, dari pimpinan organisasi.

Solusi tersebut dapat mencakup elemen-elemen berikut:

* perumusan tujuan yang ditempuh oleh organisasi di bidang keamanan informasi, definisi arahan umum dalam mencapai tujuan ini;

* Pembentukan atau revisi program komprehensif untuk memastikan keamanan informasi, mengidentifikasi mereka yang bertanggung jawab untuk mempromosikan program;

* menyediakan basis material untuk kepatuhan terhadap hukum dan peraturan;

* perumusan keputusan manajemen tentang implementasi program keamanan, yang harus dipertimbangkan di tingkat organisasi secara keseluruhan.

Tingkat rata-rata kebijakan keamanan menentukan resolusi masalah yang terkait dengan aspek keamanan informasi tertentu, tetapi penting untuk berbagai sistem yang dioperasikan oleh organisasi. Contoh masalah tersebut adalah sikap terhadap akses Internet (masalah menggabungkan kebebasan untuk menerima informasi dengan perlindungan terhadap ancaman eksternal), penggunaan komputer di rumah, dll.

Tingkat yang lebih rendah Kebijakan keamanan mengacu pada layanan spesifik. Ini mencakup dua aspek - tujuan dan aturan untuk pencapaian mereka, oleh karena itu, kadang-kadang sulit untuk dipisahkan dari masalah implementasi. Berbeda dengan dua tingkat atas, kebijakan yang dipermasalahkan harus lebih rinci, yaitu, mengikuti kebijakan keamanan tingkat bawah, perlu untuk menjawab, misalnya, pertanyaan-pertanyaan berikut:

* yang memiliki hak untuk mengakses objek yang didukung oleh layanan;

* seberapa jauh akses ke layanan diatur.

11. Struktur Kebijakan Keamanan

Biasanya, kebijakan keamanan mencakup kebijakan keamanan dasar, kebijakan keamanan khusus, dan kebijakan keamanan prosedural.

Ketentuan utama kebijakan keamanan organisasi dijelaskan dalam dokumen-dokumen berikut:

1. Tinjauan kebijakan keamanan - mengungkap tujuan kebijakan keamanan, menjelaskan struktur, menetapkan secara rinci siapa yang bertanggung jawab untuk apa;

2. Deskripsi kebijakan keamanan dasar - menetapkan tindakan yang diizinkan dan dilarang, serta kontrol yang diperlukan;

3. Panduan Arsitektur Keamanan - menjelaskan penerapan mekanisme keamanan dalam arsitektur komputer yang digunakan dalam jaringan organisasi.

Komponen utama dari kebijakan keamanan organisasi adalah kebijakan keamanan dasar.

12. Prosedur keamanan

Prosedur keamanan adalah tambahan yang penting dan penting bagi kebijakan keamanan. Kebijakan keamanan hanya menggambarkan apa yang harus dilindungi dan apa aturan dasar perlindungan. Prosedur keamanan menentukan bagaimana melindungi sumber daya dan apa saja mekanisme untuk menegakkan kebijakan, mis., Bagaimana menerapkan kebijakan keamanan.

Pada dasarnya, prosedur keamanan adalah petunjuk langkah demi langkah untuk melakukan tugas operasional. Seringkali prosedur adalah alat yang dengannya kebijakan diubah menjadi tindakan nyata.

Prosedur keamanan merinci tindakan yang harus diambil ketika menanggapi peristiwa tertentu; memberikan respons cepat dalam situasi kritis; membantu menghilangkan masalah satu titik kegagalan dalam pekerjaan.

Banyak prosedur terkait keamanan harus distandarisasi di departemen mana pun. Contohnya termasuk prosedur untuk membuat cadangan dan mematikan penyimpanan salinan yang dilindungi sistem, serta prosedur untuk mengeluarkan pengguna dari status aktif dan / atau mengarsipkan login dan kata sandi pengguna, diterapkan segera setelah pengguna meninggalkan organisasi.

13 . Konsep dasar perlindungan kriptografi dari informasi

Di bawah sandi  memahami sekumpulan transformasi yang dapat dibalik dari sekumpulan data terbuka menjadi sekumpulan data terenkripsi yang ditentukan oleh kunci dan algoritma konversi kriptografi. Ada banyak algoritma kriptografi yang berbeda. Tujuan dari algoritma ini adalah keamanan informasi. Melindungi informasi yang sama berasal dari ancaman yang berbeda dan dengan cara yang berbeda. Untuk memberikan perlindungan yang andal dan memadai menggunakan cryptoalgorithm (QA), Anda perlu memahami jenis QA apa dan jenis algoritma apa yang lebih cocok untuk memecahkan masalah tertentu.

Hashing

Enkripsi simetrismenggunakan kunci yang sama untuk mengenkripsi dan mendekripsi informasi.

Enkripsi simetris dibagi menjadi dua jenis: blokir  dan mengalir, meskipun harus dicatat bahwa dalam beberapa klasifikasi mereka tidak dipisahkan dan dianggap bahwa enkripsi aliran adalah enkripsi satuan panjang unit.

Blokir enkripsidicirikan oleh fakta bahwa informasi tersebut dibagi menjadi blok-blok dengan panjang tetap (misalnya, 64 atau 128 bit). Pada saat yang sama, di pesawat ruang angkasa yang berbeda atau bahkan dalam mode operasi yang berbeda dari algoritma yang sama, blok dapat dienkripsi baik secara independen satu sama lain dan "dengan kopling", yaitu, ketika hasil enkripsi dari blok data saat ini tergantung pada nilai blok sebelumnya atau pada hasil mengenkripsi blok sebelumnya.

Enkripsi aliranpertama-tama, ini digunakan ketika informasi tidak dapat dibagi menjadi blok - katakanlah, ada aliran data tertentu, masing-masing karakter yang perlu dienkripsi dan dikirim, tanpa menunggu sisa data yang cukup untuk membentuk blok. Aliran algoritma enkripsi mengenkripsi data sedikit demi sedikit atau dengan karakter.

Enkripsi asimetris

Electronic Digital Signature (EDS)digunakan untuk mengkonfirmasi integritas dan kepengarangan data dengan andal.

1 4 . Enkripsi cryptosystem simetris

Dalam algoritma kriptografi simetris, blok informasi (kunci) yang sama digunakan untuk mengenkripsi dan mendekripsi pesan. Meskipun algoritma untuk memengaruhi data yang dikirimkan mungkin diketahui oleh orang yang tidak berwenang, itu tergantung pada kunci rahasia, yang hanya dimiliki oleh pengirim dan penerima. Cryptoalgorithms simetris mengkonversi blok kecil data (1 bit atau 32-128 bit) tergantung pada kunci rahasia sedemikian rupa sehingga Anda dapat membaca pesan asli hanya jika Anda tahu kunci rahasia ini.

Cryptosystem simetris memungkinkan untuk menyandikan dan mendekode file dengan panjang sewenang-wenang berdasarkan kriptoalgoritma simetris.

Fitur karakteristik cryptoalgorithms blok simetris adalah transformasi blok informasi input dengan panjang tetap dan penerimaan blok hasil dengan volume yang sama, yang tidak dapat diakses untuk dibaca oleh pihak ketiga yang tidak memiliki kunci.

Algoritme kriptografi dianggap persisten sempurna jika, untuk membaca blok data yang dienkripsi, perlu untuk mengulangi semua kunci yang mungkin sampai pesan yang didekripsi bermakna. Dalam kasus umum, kekuatan cipher blok hanya bergantung pada panjang kunci dan meningkat secara eksponensial dengan pertumbuhannya. Algoritma kriptografi yang idealnya kuat harus memenuhi persyaratan penting lainnya. Kunci konversi ini dibuat, dengan sumber yang diketahui dan nilai blok terenkripsi, hanya dapat dikenali dengan menelusuri nilainya.

15 . Algoritma kriptografi asimetris

Enkripsi asimetrisditandai dengan penggunaan dua jenis kunci: terbuka - untuk mengenkripsi informasi dan rahasia - untuk mendekripsi. Kunci rahasia dan publik terkait satu sama lain dalam hubungan yang agak rumit.

Algoritma kriptografi RSA diusulkan pada tahun 1978. Algoritma ini menjadi algoritma kunci publik pertama yang dapat bekerja baik dalam mode enkripsi data maupun dalam mode tanda tangan digital. Keandalan algoritma RSA didasarkan pada kesulitan memfaktorkan sejumlah besar

Dalam kriptosistem RSA asimetris, jumlah kunci yang digunakan terkait dengan jumlah pelanggan oleh hubungan linier (dalam sistem pengguna N, kunci 2N digunakan), dan bukan kuadratik, seperti dalam sistem simetris.

Perlu dicatat bahwa kinerja RSA secara signifikan lebih rendah daripada kinerja DES, dan implementasi perangkat lunak dan perangkat keras kriptoalgoritma RSA jauh lebih rumit daripada DES. Oleh karena itu, cryptosystem RSA biasanya digunakan ketika mengirimkan sejumlah kecil pesan.

16 . Digital elektroniksaya memiliki fungsi tanda tangan dan hashing

Tanda Tangan Digital Elektronik  (EDS) digunakan untuk mengkonfirmasi integritas dan kepengarangan data dengan andal.

Hashing- ini adalah metode kriptografi, yang merupakan transformasi kontrol informasi: dari data ukuran tak terbatas dengan melakukan transformasi kriptografi, nilai hash dari panjang tetap dihitung yang secara unik sesuai dengan data awal.

Algoritma hashing dapat dijelaskan sebagai berikut.

Langkah 1. Menginisialisasi register nilai hash. Jika panjang pesan tidak melebihi 256 bit - lanjut ke langkah 3, jika melebihi, lanjutkan ke langkah 2.

Langkah 2. Perhitungan berulang dari nilai hash 256-bit blok data hash menggunakan nilai hash blok sebelumnya disimpan dalam register. Perhitungan mencakup tindakan berikut:

* Pembuatan kunci enkripsi berdasarkan pada blok data hash;

* Enkripsi nilai hash yang disimpan dalam register dalam bentuk empat blok masing-masing 64 bit sesuai dengan algoritma GOST 28147--89 dalam mode penggantian sederhana;

* Mencampur hasilnya.

Perhitungan dilakukan hingga panjang data input mentah kurang dari atau sama dengan 256 bit. Dalam hal ini, lanjutkan ke langkah 3.

Langkah 3. Tambahkan bit nol bagian mentah pesan ke 256 bit. Perhitungan nilai hash sama dengan langkah 2. Sebagai hasilnya, nilai hash yang diinginkan muncul di register.

17 . Otentikasi, otorisasi, dan adminaksi pengguna

Pengidentifikasi subjek adalah beberapa informasi yang secara unik mengidentifikasinya. Ini bisa berupa angka atau serangkaian karakter yang menamai subjek ini.

Identifikasi  - prosedur pengenalan pengguna dengan pengidentifikasi (nama). Fungsi ini dilakukan ketika pengguna berusaha memasuki jaringan.

Otentikasi  - prosedur otentikasi pengguna, proses, atau perangkat yang diklaim. Pemeriksaan ini memungkinkan Anda memverifikasi dengan andal bahwa pengguna (proses atau perangkat) persis seperti yang ia nyatakan sendiri.

Identifikasi dan otentikasi adalah proses pengenalan dan otentikasi subjek yang saling terkait (pengguna). Keputusan sistem selanjutnya tergantung pada mereka: apakah mungkin untuk memungkinkan akses ke sumber daya sistem untuk pengguna atau proses tertentu. Setelah subjek diidentifikasi dan diautentikasi, subjek disahkan.

Otorisasi  - Prosedur untuk memberikan subjek dengan kekuatan dan sumber daya tertentu dalam sistem ini. Dengan kata lain, otorisasi menetapkan ruang lingkup operasinya dan sumber daya yang tersedia untuknya. Jika sistem tidak dapat secara andal membedakan orang yang berwenang dari orang yang tidak berwenang, maka kerahasiaan dan integritas informasi dalam sistem ini dapat dilanggar.

Administrasi  - pendaftaran tindakan pengguna di jaringan, termasuk upayanya untuk mengakses sumber daya.

Bergantung pada entitas entitas yang disajikan, proses otentikasi dapat dibagi berdasarkan:

* pengetahuan tentang sesuatu. Contohnya termasuk kata sandi, PIN kode identifikasi pribadi, dan kunci rahasia dan publik.

* memiliki sesuatu. Ini biasanya kartu magnetik, kartu pintar, sertifikat, dan perangkat;

* setiap karakteristik yang melekat. Kategori ini mencakup metode berdasarkan pengecekan karakteristik biometrik pengguna (suara, iris dan retina, sidik jari, geometri telapak tangan, dll.).

18 . Otentikasi Berbasis Kata Sandi

Prinsip dasar "sistem masuk tunggal" menyiratkan kecukupan prosedur otentikasi pengguna satu kali untuk mengakses semua sumber daya jaringan. Oleh karena itu, dalam sistem operasi modern, layanan otentikasi terpusat disediakan, yang dilakukan oleh salah satu server jaringan dan menggunakan database (DB) untuk pekerjaannya. Basis data ini menyimpan kredensial untuk pengguna jaringan, termasuk ID pengguna dan kata sandi, serta informasi lainnya.

Prosedur otentikasi pengguna sederhana dalam jaringan dapat direpresentasikan sebagai berikut. Saat mencoba masuk ke jaringan, pengguna memanggil ID dan kata sandinya. Data ini dikirim ke server otentikasi untuk diproses. Dalam database yang disimpan di server otentikasi, ID pengguna adalah entri yang sesuai. Kata sandi diekstraksi darinya dan dibandingkan dengan kata sandi yang dimasukkan oleh pengguna. Jika cocok, otentikasi berhasil - pengguna menerima status hukum dan menerima hak-hak dan sumber daya jaringan yang ditentukan untuk statusnya oleh sistem otorisasi.

Skema otentikasi berdasarkan kata sandi tradisional yang dapat digunakan kembali tidak cukup aman. Kata sandi seperti itu dapat dicegat, dipecahkan, dimata-matai, atau dicuri. Yang lebih dapat diandalkan adalah prosedur otentikasi berdasarkan kata sandi satu kali.

Inti dari skema kata sandi satu kali adalah penggunaan kata sandi yang berbeda dengan setiap permintaan akses baru. Kata sandi dinamis satu kali hanya valid untuk satu login, dan kemudian berakhir. Bahkan jika itu dicegat, itu akan sia-sia. Mekanisme kata sandi dinamis adalah salah satu cara terbaik untuk melindungi proses otentikasi dari ancaman luar. Biasanya, sistem otentikasi kata sandi satu kali digunakan untuk memverifikasi pengguna jarak jauh.

Kata sandi satu kali dapat dihasilkan oleh perangkat keras atau perangkat lunak.

19 . Ancaman keamanan OS

Ancaman keamanan OS dapat diklasifikasikan sesuai dengan berbagai aspek implementasi mereka.

1. Untuk tujuan serangan:

* pembacaan informasi yang tidak sah;

* perubahan informasi yang tidak sah;

* penghancuran informasi tanpa izin;

* Penghancuran OS secara penuh atau sebagian.

2. Menurut prinsip dampak pada sistem operasi.

* Penggunaan saluran yang dikenal (legal) untuk mendapatkan informasi; misalnya, ancaman pembacaan file yang tidak sah, akses pengguna yang didefinisikan secara tidak benar, yaitu akses diizinkan bagi pengguna yang, menurut kebijakan keamanan, akses harus ditolak;

* penggunaan saluran informasi yang tersembunyi; misalnya, penggunaan berbahaya kemampuan OS tidak berdokumen;

* membuat saluran baru untuk menerima informasi menggunakan bookmark program.

3. Dengan jenis kerentanan keamanan yang digunakan oleh penyerang:

* kebijakan keamanan yang tidak memadai, termasuk kesalahan administrator sistem;

* kesalahan dan fitur tidak terdokumentasi dari perangkat lunak OS, termasuk apa yang disebut palka - secara tidak sengaja atau sengaja dibangun ke dalam sistem "input layanan", yang memungkinkan untuk mem-bypass sistem perlindungan;

* Tab perangkat lunak yang sebelumnya diterapkan.

4. Dengan sifat dampak pada sistem operasi:

* dampak aktif - tindakan tidak sah dari penyerang dalam sistem;

* dampak pasif - pengamatan yang tidak sah dari penyerang pada proses yang terjadi dalam sistem.

Ancaman terhadap keamanan OS juga dapat diklasifikasikan menurut fitur-fitur seperti: cara penyerang bertindak, cara serangan yang digunakan, objek serangan, metode pengaruh pada objek serangan, keadaan objek OS diserang pada saat serangan.

OS dapat dikenakan serangan khas berikut:

* pemindaian sistem file. Penyerang memindai sistem file komputer dan mencoba membaca (atau menyalin) semua file secara berurutan. Cepat atau lambat, setidaknya satu kesalahan administrator terdeteksi. Akibatnya, penyerang memperoleh akses ke informasi yang harus dilarang kepadanya;

* pemilihan kata sandi. Ada beberapa metode untuk memilih kata sandi pengguna:

Payudara total;

Total brute force, dioptimalkan oleh statistik kemunculan karakter atau menggunakan kamus;

Pemilihan kata sandi menggunakan pengetahuan pengguna (namanya, nama keluarga, tanggal lahir, nomor telepon, dll.);

* mencuri informasi kunci. Seorang penyerang dapat memata-matai kata sandi yang diketik oleh pengguna, atau memulihkan kata sandi yang diketikkan oleh pengguna dengan gerakan tangannya di keyboard. Media informasi utama (kartu pintar) dapat dengan mudah dicuri;

* pengumpulan sampah. Dalam banyak sistem operasi, informasi yang dihancurkan oleh pengguna tidak secara fisik dihancurkan, tetapi ditandai sebagai dihancurkan (yang disebut sampah). Penyerang memulihkan informasi ini, memindai dan menyalin fragmen-fragmen minat;

* penyalahgunaan wewenang. Penyerang, menggunakan bug dalam perangkat lunak OS atau kebijakan keamanan, menerima kekuatan yang lebih besar dari yang diberikan kepadanya sesuai dengan kebijakan keamanan. Ini biasanya dicapai dengan menjalankan program atas nama pengguna lain;

* bookmark program. Bookmark perangkat lunak yang diterapkan dalam OS tidak memiliki perbedaan yang signifikan dari kelas-kelas penanda perangkat lunak lainnya;

* Program serakah adalah program yang secara sengaja menangkap sebagian besar sumber daya komputer, sehingga program lain tidak dapat berjalan atau berjalan sangat lambat. Menjalankan program serakah dapat merusak OS.

20 . Konsep OS yang aman

Suatu sistem operasi disebut protected jika ia menyediakan sarana perlindungan terhadap kelas-kelas utama ancaman. Sistem operasi yang aman harus mengandung sarana untuk membatasi akses pengguna ke sumber dayanya, serta sarana untuk mengautentikasi pengguna yang mulai bekerja dengan sistem operasi. Selain itu, OS yang dilindungi harus mengandung cara untuk melawan dekomisioning OS yang disengaja atau tidak disengaja.

Jika OS memberikan perlindungan bukan dari semua kelas ancaman utama, tetapi hanya dari beberapa, OS semacam itu disebut dilindungi sebagian.

Pendekatan untuk membangun OS yang aman

Ada dua pendekatan utama untuk menciptakan sistem operasi yang aman - terfragmentasi dan kompleks. Dengan pendekatan yang terpisah-pisah, perlindungan terhadap satu ancaman pertama-tama diorganisasikan, kemudian terhadap yang lain, dll. Contoh dari pendekatan yang terpisah-pisah adalah situasi ketika OS tanpa perlindungan diambil sebagai dasar, paket anti-virus, sistem enkripsi, sistem untuk mendaftarkan tindakan pengguna, dll. Dipasang di sana.

Saat menggunakan pendekatan terpisah, subsistem perlindungan OS adalah serangkaian produk perangkat lunak yang berbeda, biasanya dari berbagai produsen. Alat-alat perangkat lunak ini beroperasi secara independen satu sama lain, sementara hampir tidak mungkin untuk mengatur interaksi dekat mereka. Selain itu, elemen individual dari subsistem proteksi tersebut mungkin tidak berfungsi dengan benar di hadapan satu sama lain, yang mengarah pada penurunan tajam dalam keandalan sistem.

Dengan pendekatan terintegrasi, fungsi pelindung dimasukkan ke dalam OS pada tahap desain arsitektur OS dan merupakan bagian integral darinya. Elemen-elemen yang terpisah dari subsistem perlindungan, yang dibuat atas dasar pendekatan terpadu, saling berhubungan erat dalam menyelesaikan berbagai tugas terkait dengan organisasi perlindungan informasi, oleh karena itu konflik antara komponen-komponen individualnya hampir tidak mungkin. Sebagai aturan, subsistem perlindungan OS, dibuat berdasarkan pendekatan terpadu, dirancang sedemikian rupa sehingga elemen-elemennya dapat diganti. Modul perangkat lunak yang sesuai dapat diganti dengan modul lain.

21 . Fungsi utama dari subsistem keamanan OS

Subsistem perlindungan OS melakukan fungsi-fungsi utama berikut.

1. Identifikasi dan otentikasi. Tidak ada pengguna yang dapat mulai bekerja dengan OS tanpa mengidentifikasi dirinya atau menyediakan sistem dengan informasi otentikasi yang mengkonfirmasi bahwa pengguna benar-benar adalah yang ia klaim.

2. Kontrol akses. Setiap pengguna sistem hanya memiliki akses ke objek-objek OS di mana ia telah diberikan akses sesuai dengan kebijakan keamanan saat ini.

3. Audit. OS mencatat dalam peristiwa log khusus yang berpotensi berbahaya untuk menjaga keamanan sistem.

4. Manajemen kebijakan keamanan. Kebijakan keamanan harus terus dipertahankan dalam keadaan yang memadai, yaitu, ia harus secara fleksibel menanggapi perubahan dalam kondisi operasi sistem operasi. Kebijakan keamanan dikelola oleh administrator sistem menggunakan alat yang sesuai yang dibangun ke dalam OS.

5. Fungsi kriptografi. Keamanan informasi tidak terpikirkan tanpa menggunakan alat keamanan kriptografi. Enkripsi digunakan dalam OS ketika menyimpan dan mentransfer melalui saluran komunikasi kata sandi pengguna dan beberapa data lain yang sangat penting untuk keamanan sistem.

6. Fungsi jaringan. Sistem operasi modern, sebagai suatu peraturan, tidak bekerja secara terpisah, tetapi sebagai bagian dari jaringan komputer lokal dan / atau global. Sistem operasi komputer di jaringan yang sama berinteraksi satu sama lain untuk menyelesaikan berbagai tugas, termasuk tugas yang berkaitan langsung dengan keamanan informasi.

2 2. Kontrol akses  Objek OS

Konsep dasar dari proses membedakan akses ke objek-objek OS adalah objek akses, metode akses ke objek dan subjek akses.

Akses objek  (atau hanya sebuah objek) disebut elemen OS, akses dimana pengguna dan subjek akses lainnya dapat dibatasi secara sewenang-wenang. Kemampuan untuk mengakses objek OS ditentukan tidak hanya oleh arsitektur OS, tetapi juga oleh kebijakan keamanan saat ini. Objek akses berarti sumber daya perangkat keras dan sumber daya perangkat lunak, yaitu semua akses itu dikendalikan.

Metode akses  sebuah objek adalah operasi yang didefinisikan untuk objek. Jenis operasi tergantung pada objek. Misalnya, prosesor hanya dapat menjalankan perintah, segmen memori dapat ditulis dan dibaca, pembaca kartu magnetik hanya dapat membaca, dan akses file dapat didefinisikan sebagai membaca, menulis, dan menambahkan.

Subjek akses  panggil entitas apa pun yang dapat memulai operasi pada objek (mengakses objek dengan beberapa metode akses). Biasanya diasumsikan bahwa himpunan subjek akses dan himpunan objek akses tidak tumpang tindih. Terkadang subjek akses mencakup proses yang berjalan di sistem. Namun, lebih logis untuk mengasumsikan bahwa subjek akses adalah pengguna yang atas nama proses itu dilakukan. Secara alami, subjek akses berarti bukan pengguna fisik yang bekerja dengan komputer, tetapi pengguna "logis" yang menjalankan proses OS.

Dengan demikian, objek akses adalah apa yang sedang diakses, subjek akses adalah orang yang mengakses, dan metode akses adalah bagaimana akses dilakukan.

23 Audit

Prosedur audit sehubungan dengan OS adalah untuk mendaftar di log khusus, yang disebut log audit atau log keamanan, peristiwa yang mungkin berbahaya bagi OS. Pengguna sistem dengan hak untuk membaca log audit disebut auditor.

Di antara peristiwa yang dapat menimbulkan bahaya bagi OS biasanya adalah sebagai berikut:

* masuk atau keluar;

* operasi file (buka, tutup, ganti nama, hapus);

* akses ke sistem jarak jauh;

* Perubahan hak istimewa atau atribut keamanan lainnya.

Persyaratan audit .   Subsistem audit OS harus memenuhi persyaratan berikut.

1. Hanya OS yang dapat menambahkan entri ke log audit.

2. Tidak ada subjek akses, termasuk OS itu sendiri, yang dapat mengedit atau menghapus entri individu dalam log audit.

3. Hanya pengguna dengan hak terkait yang dapat melihat log audit.

4. Hanya pengguna audi-tori yang dapat menghapus log audit. Setelah menghapus log, entri secara otomatis dibuat bahwa log audit telah dihapus, menunjukkan waktu pembersihan log dan nama pengguna yang membersihkan log. OS harus mendukung kemampuan untuk menyimpan log audit sebelum membersihkannya di file lain.

5. Ketika log audit OS penuh, OS lumpuh (hang). Setelah reboot, hanya auditor yang dapat bekerja dengan sistem. OS akan beroperasi normal hanya setelah membersihkan log audit.

Kebijakan audit   - adalah seperangkat aturan yang menentukan acara mana yang harus dicatat dalam log audit. Untuk memastikan perlindungan OS yang andal, peristiwa berikut harus dicatat dalam log audit:

* mencoba masuk / keluar pengguna dari sistem;

Dokumen serupa

Konsep keamanan informasi, konsep dan klasifikasi, jenis ancaman. Karakteristik sarana dan metode melindungi informasi dari ancaman yang tidak disengaja, dari ancaman gangguan yang tidak sah. Metode perlindungan informasi kriptografis dan firewall.

makalah, ditambahkan 10/30/2009


Ancaman eksternal terhadap keamanan informasi, bentuk manifestasinya. Metode dan cara perlindungan terhadap spionase industri, tujuannya: mendapatkan informasi tentang pesaing, penghancuran informasi. Cara akses yang tidak sah ke informasi rahasia.

ujian, ditambahkan 09/18/2016


Konsep, makna dan arah keamanan informasi. Pendekatan sistematis untuk organisasi keamanan informasi, perlindungan informasi dari akses yang tidak sah. Sarana perlindungan informasi. Metode dan sistem keamanan informasi.

abstrak, ditambahkan pada 15/11/2011


Tujuan keamanan informasi. Sumber ancaman informasi utama ke Rusia. Pentingnya keamanan informasi untuk berbagai spesialis dari perspektif perusahaan dan pemangku kepentingan. Metode melindungi informasi dari ancaman informasi yang disengaja.

presentasi ditambahkan pada 12/27/2010


Analisis risiko keamanan informasi. Evaluasi terhadap solusi yang ada dan yang direncanakan. Kompleks langkah-langkah organisasi untuk memastikan keamanan informasi dan keamanan informasi perusahaan. Uji kasus implementasi proyek dan deskripsinya.

tesis, ditambahkan 19.12.2012


Konsep dasar keamanan informasi dan keamanan informasi. Klasifikasi dan konten, sumber, dan prasyarat munculnya kemungkinan ancaman terhadap informasi. Area utama perlindungan terhadap senjata informasi (dampak), layanan keamanan jaringan.

abstrak, ditambahkan pada 30/04/2010


Konsep dasar di bidang keamanan informasi. Sifat tindakan yang melanggar kerahasiaan, akurasi, integritas dan ketersediaan informasi. Cara membuat ancaman: pengungkapan, kebocoran informasi dan akses tidak sah ke sana.

presentasi ditambahkan pada 25/07/2013


Jenis ancaman keamanan informasi. Arahan utama dan langkah-langkah untuk melindungi informasi elektronik. Menyerang berarti dampak informasi. Kejahatan informasi, terorisme. Tindakan perlindungan yang terkait dengan keamanan informasi.

abstrak, ditambahkan 27/12/2011


Sistem pembentukan mode keamanan informasi. Tugas-tugas keamanan informasi masyarakat. Sarana perlindungan informasi: metode dan sistem utama. Perlindungan informasi dalam jaringan komputer. Ketentuan tindakan legislatif paling penting dari Rusia.

abstrak, ditambahkan 01/20/2014


Konsep dan prinsip dasar keamanan informasi. Konsep keamanan dalam sistem otomatis. Dasar-dasar undang-undang Federasi Rusia di bidang keamanan informasi dan perlindungan informasi, perizinan dan proses sertifikasi.

Komputer pribadi, sistem kontrol, dan jaringan yang berdasarkan pada mereka dengan cepat memasuki semua area aktivitas manusia (misalnya, militer, komersial, perbankan, penelitian, dll.). Secara luas menggunakan komputer dan jaringan berdasarkan pada mereka untuk memproses, menyimpan dan mengirimkan informasi, perlu untuk melindunginya dari kemungkinan akses ke sana oleh orang yang tidak berwenang, kehilangan atau distorsi. Menurut statistik, lebih dari 80% perusahaan menderita kerugian finansial karena integritas dan kerahasiaan data yang digunakan.

Selain informasi yang merupakan rahasia negara atau komersial, ada informasi yang merupakan kekayaan intelektual. Informasi tersebut dapat mencakup hasil penelitian ilmiah, program yang memastikan berfungsinya komputer, program permainan, klip audio dan video. Biaya informasi semacam itu di dunia adalah beberapa triliun dolar setahun. Penyalinannya yang tidak sah mengurangi pendapatan perusahaan dan penulis yang terlibat dalam pengembangannya.

Meningkatnya kompleksitas metode dan cara mengorganisir pemrosesan mesin dan meluasnya penggunaan Internet global menyebabkan informasi menjadi semakin rentan. Ini difasilitasi oleh faktor-faktor seperti volume yang terus meningkat dari data yang sedang diproses, akumulasi dan penyimpanan data di tempat-tempat terbatas, perluasan terus-menerus dari lingkaran pengguna yang memiliki akses ke sumber daya, program dan data, tingkat perlindungan perangkat keras dan perangkat lunak komputer dan sistem komunikasi yang tidak memadai, dll.

Mempertimbangkan semua faktor ini, perlindungan informasi dalam proses pengumpulan, penyimpanan, dan transmisi menjadi sangat penting.

Konsep dasar keamanan informasi.

Pertimbangkan sejumlah definisi yang digunakan dalam uraian tentang cara dan metode perlindungan informasi dalam sistem pemrosesan otomatis, yang dibangun berdasarkan teknologi komputer.

Sistem komputer (CS) adalah sistem organisasi dan teknis yang mewakili kombinasi komponen berikut:

Sarana teknis pemrosesan dan pengiriman data;

Metode dan pemrosesan algoritma dalam bentuk perangkat lunak yang sesuai;

Data (informasi tentang berbagai media dan sedang diproses);

Pengguna (orang yang menggunakan COP untuk memenuhi kebutuhan informasi);

Obyek (setiap elemen COP, akses yang dapat dibatasi sewenang-wenang);

Subjek (entitas apa pun yang dapat memulai operasi pada objek - pengguna, proses).

Keamanan informasi adalah keadaan CS, di mana ia mampu menahan efek destabilisasi ancaman informasi eksternal dan internal tanpa menciptakan ancaman yang sama dengan elemen CS itu sendiri dan lingkungan eksternal.

Kerahasiaan informasi adalah properti informasi yang hanya dapat diakses oleh lingkaran terbatas pengguna akhir dan subjek akses lainnya yang telah menjalani verifikasi yang sesuai dan diizinkan untuk menggunakannya.

Integritas informasi adalah properti untuk melestarikan struktur dan kontennya selama penyimpanan, penggunaan, dan transfer.

Keandalan informasi adalah properti yang dinyatakan dalam kepemilikan informasi yang ketat terhadap subjek, yang merupakan sumbernya.

Akses ke informasi - kemampuan subjek untuk melakukan tindakan tertentu dengan informasi.

Akses resmi ke informasi - akses dengan implementasi aturan kontrol akses ke informasi.

Akses tidak sah ke informasi (NSD) - akses yang melanggar aturan pembatasan akses informasi, menggunakan sarana standar yang disediakan oleh COP (perangkat lunak atau perangkat keras).

Aturan kontrol akses - pengaturan hak akses subjek ke komponen sistem tertentu.

Identifikasi - menerima dari subjek akses ke informasi yang memungkinkan Anda memilihnya dari berbagai subjek (nama, nomor seri atau akun, dll.).

Otentikasi - menerima informasi dari subjek yang mengkonfirmasikan bahwa subjek yang dapat diidentifikasi adalah siapa yang ia klaim (kata sandi, parameter biometrik, dll.).

Ancaman keamanan informasi COP - kemungkinan mempengaruhi informasi yang diproses oleh COP, dengan pandangan untuk distorsi, penghancuran, penyalinan atau pemblokiran, serta kemungkinan dampak pada komponen-komponen COP, yang menyebabkan kegagalan operasi mereka.

Kerentanan COP - karakteristik apa pun yang dapat mengarah pada realisasi ancaman.

Serangan COP - tindakan penyerang, diambil untuk mendeteksi kerentanan COP dan mendapatkan akses tidak sah ke informasi.

Aman atau diamankan oleh CS-CS, dilengkapi dengan langkah-langkah perlindungan untuk menghadapi ancaman keamanan.

Serangkaian perlindungan berarti seperangkat alat perangkat keras dan perangkat lunak yang menjamin keamanan informasi.

Kebijakan keamanan - seperangkat aturan dan peraturan yang mengatur pengoperasian sarana perlindungan terhadap serangkaian ancaman tertentu.

Discretionary model of access control - cara untuk membedakan akses subyek ke objek, di mana hak akses ditentukan oleh beberapa daftar hak akses subjek terhadap objek. Implementasi model ini adalah sebuah matriks, barisnya adalah subjek, dan kolom adalah objek; elemen matriks mencirikan set hak akses.

Model kontrol akses yang berkuasa penuh adalah cara untuk membedakan akses subyek ke objek, di mana setiap objek diberi tingkat kerahasiaan, dan setiap subjek memiliki tingkat kepercayaan di dalamnya. Dalam hal ini, subjek dapat memperoleh akses ke objek jika tingkat kepercayaannya tidak kurang dari tingkat kerahasiaan objek.

Di bawah keamanan informasi   memahami keadaan keamanan data yang diproses, disimpan, dan ditransmisikan dari sosialisasi, konversi, dan penghancuran yang melanggar hukum, serta keadaan keamanan sumber daya informasi dari dampak yang bertujuan mengganggu kinerja mereka.

Sifat dari efek ini bisa sangat beragam. Ini termasuk upaya intrusi, kesalahan personel, dan kegagalan perangkat keras dan lunak, bencana alam (gempa bumi, angin topan, kebakaran, dll.). Ancaman keamanan utama dalam jaringan komputer perusahaan dianalisis secara rinci dalam Bagian 2.

Keamanan informasi sistem dan jaringan komputer dicapai dengan mengambil serangkaian tindakan untuk memastikan kerahasiaan, integritas, keandalan, nilai hukum informasi, kecepatan akses ke sana, serta untuk memastikan integritas dan ketersediaan sumber daya informasi dan komponen-komponen sistem atau jaringan. Properti dasar yang terdaftar dari informasi memerlukan interpretasi yang lebih lengkap.

Kerahasiaan informasi - properti ini hanya dapat diakses oleh lingkaran terbatas pengguna sistem informasi tempat informasi ini beredar. Pada dasarnya, kerahasiaan informasi adalah miliknya untuk diketahui hanya oleh subyek yang sah dan terverifikasi dari sistem (pengguna, proses, program). Selama sisa mata pelajaran sistem informasi tidak diketahui.

Di bawah integritas informasi   propertinya adalah untuk melestarikan struktur dan / atau kontennya dalam proses transfer dan penyimpanan. Integritas informasi dipastikan jika data dalam sistem tidak berbeda dalam hal semantik dari data dalam dokumen sumber, yaitu, jika tidak ada distorsi disengaja atau disengaja atau kehancurannya.

Keandalan informasi   - properti, yang dinyatakan dalam kepemilikan informasi yang ketat terhadap subjek, yang merupakan sumbernya, atau kepada subjek, dari mana informasi tersebut diterima.

Nilai informasi hukum   berarti bahwa dokumen, yang merupakan pembawa informasi, memiliki kekuatan hukum.

Di bawah akses ke informasi itu berarti memahami dan memproses informasi, khususnya, menyalin, memodifikasi atau menghancurkan. Ada akses resmi dan tidak sah ke informasi. Akses resmi ke informasi   tidak melanggar aturan kontrol akses yang ditetapkan.

Akses tidak sah   ditandai dengan pelanggaran aturan kontrol akses yang ditetapkan. Seseorang atau proses yang melakukan akses tidak sah ke informasi melanggar aturan kontrol akses tersebut. Akses tidak sah adalah jenis pelanggaran komputer yang paling umum.

Aturan Kontrol Akses   berfungsi untuk mengatur hak akses ke komponen sistem.

Efisiensi akses ke informasi   - adalah kemampuan informasi atau sumber daya informasi yang tersedia bagi pengguna akhir sesuai dengan kebutuhan operasionalnya.

Integritas komponen sumber daya atau sistem   - ini adalah propertinya yang tidak berubah dalam arti semantik ketika sistem berfungsi dalam kondisi distorsi acak atau disengaja atau pengaruh destruktif.

Ketersediaan komponen sumber daya atau sistem   - ini adalah propertinya yang tersedia untuk pengguna yang sah dari sistem. Sekelompok konsep seperti identifikasi, otentikasi, otorisasi dikaitkan dengan akses ke informasi dan sumber daya sistem.

Setiap objek sistem (jaringan) dikaitkan dengan beberapa informasi (angka, string karakter) yang mengidentifikasi objek. Informasi ini pengidentifikasi   objek sistem (jaringan). Objek dengan pengenal terdaftar dipertimbangkan legal (legal ).

Identifikasi objek   - ini adalah prosedur untuk mengenali objek dengan pengidentifikasinya. Ini dieksekusi ketika suatu benda mencoba memasuki sistem (jaringan).

Tahap selanjutnya dari interaksi sistem dengan objek adalah otentikasi. Otentikasi Objek   Apakah otentikasi objek dengan pengidentifikasi yang diberikan. Prosedur otentikasi menetapkan apakah objek persis seperti yang dinyatakannya.

Setelah mengidentifikasi dan mengautentikasi objek, otorisasi dilakukan.

Otorisasi objek   - Ini adalah prosedur untuk menyediakan entitas yang sah yang telah berhasil melewati identifikasi dan otentikasi otoritas yang relevan dan sumber daya yang tersedia dari sistem (jaringan).

Di bawah ancaman keamanan   Untuk suatu sistem (jaringan), dampak yang mungkin secara langsung atau tidak langsung merugikan keamanannya dipahami. Kerusakan keamanan   menyiratkan pelanggaran keadaan keamanan informasi yang terkandung dan diproses dalam sistem (jaringan).

Konsep kerentanan sistem komputer (jaringan) terkait erat dengan konsep ancaman keamanan. Kerentanan sistem   (jaringan) adalah karakteristik sistem komputer, yang penggunaannya dapat mengarah pada realisasi ancaman.

Menyerang sistem komputer   (jaringan) adalah tindakan yang diambil oleh penyerang untuk menemukan dan menggunakan kerentanan sistem tertentu. Dengan demikian, serangan adalah realisasi dari ancaman keamanan.

Melawan ancaman keamanan adalah tujuan yang dirancang untuk dicapai oleh sistem dan jaringan komputer. Sistem yang aman atau aman   - Ini adalah sistem dengan fitur keamanan yang berhasil dan efektif menghadapi ancaman keamanan.

Kompleks sarana perlindungan   adalah seperangkat jaringan perangkat lunak dan perangkat keras. Seperangkat alat perlindungan dibuat dan dipelihara sesuai dengan kebijakan keamanan informasi dari sistem yang diadopsi oleh organisasi.

Kebijakan keamanan   - adalah seperangkat aturan, peraturan dan rekomendasi praktis yang mengatur pengoperasian alat perlindungan sistem komputer (jaringan) terhadap serangkaian ancaman keamanan yang diberikan.

Jaringan korporat adalah sistem komputer terdistribusi yang melakukan pemrosesan informasi otomatis. Masalah memastikan keamanan informasi adalah pusat dari sistem komputer tersebut. Mengamankan jaringan perusahaan melibatkan pengorganisasian melawan setiap intrusi yang tidak sah ke dalam jaringan perusahaan, serta upaya untuk memodifikasi, mencuri, menonaktifkan atau menghancurkan komponen-komponennya, yaitu, melindungi semua komponen jaringan perusahaan (perangkat keras, perangkat lunak, data, dan personel).

Ada dua pendekatan untuk masalah memastikan keamanan jaringan perusahaan: “terfragmentasi” dan kompleks.

« Fragmentaris » pendekatan   ditujukan untuk melawan ancaman yang jelas dalam kondisi yang diberikan. Sebagai contoh penerapan pendekatan ini, Anda dapat menentukan: alat kontrol akses terpisah, alat enkripsi mandiri, program anti-virus khusus, dll. Keuntungan dari pendekatan ini adalah selektivitas yang tinggi terhadap ancaman tertentu. Kelemahan yang signifikan adalah kurangnya lingkungan pemrosesan informasi yang aman dan bersatu. Tindakan terpisah untuk melindungi informasi memberikan perlindungan terhadap objek tertentu dari jaringan perusahaan hanya dari ancaman tertentu. Bahkan sedikit modifikasi terhadap ancaman akan menyebabkan hilangnya efektivitas perlindungan.

Pendekatan terintegrasi   berfokus pada menciptakan lingkungan pemrosesan informasi yang aman di jaringan perusahaan, menyatukan berbagai tindakan pencegahan yang heterogen. Organisasi dari lingkungan pemrosesan informasi yang dilindungi memungkinkan Anda untuk menjamin tingkat keamanan jaringan perusahaan tertentu, yang dapat dikaitkan dengan keunggulan yang tidak diragukan dari pendekatan terintegrasi. Kerugiannya termasuk pembatasan kebebasan bertindak bagi pengguna jaringan perusahaan, sensitivitas terhadap kesalahan dalam menginstal dan mengkonfigurasi alat perlindungan, dan kompleksitas manajemen.

Pendekatan terintegrasi digunakan untuk melindungi jaringan perusahaan dari organisasi besar atau jaringan perusahaan kecil yang melakukan tugas yang bertanggung jawab atau memproses informasi sensitif. Pelanggaran keamanan informasi dalam jaringan perusahaan dari organisasi besar dapat menyebabkan kerusakan materi yang sangat besar, baik bagi organisasi maupun pelanggan mereka. Oleh karena itu, organisasi semacam itu dipaksa untuk memberikan perhatian khusus pada jaminan keamanan dan menerapkan perlindungan komprehensif. Pendekatan terintegrasi menganut sebagian besar perusahaan dan lembaga komersial negara bagian dan besar. Pendekatan ini tercermin dalam berbagai standar.

Pendekatan komprehensif untuk keamanan didasarkan pada kebijakan keamanan yang dikembangkan untuk jaringan perusahaan tertentu.

Definisi dan tujuan keamanan informasi.

Dalam percakapan dengan spesialis perlindungan data, sering ditemukan bahwa pandangan dan terminologi dalam bidang yang relatif baru ini kadang-kadang berbeda hampir berlawanan. Dengan pertanyaan langsung tentang keamanan informasi, seseorang dapat mendengar istilah multi-level seperti "perlindungan data", "kontrol penggunaan", "perang melawan peretas", dll.

Sementara itu, ada definisi yang ditetapkan tentang keamanan informasi itu sendiri dan lingkaran konsep yang berdekatan dengannya. Kadang-kadang mereka berbeda dari spesialis (atau sekolah) yang berbeda. Itu terjadi, dalam definisi mereka hanya menggunakan sinonim, kadang-kadang bahkan seluruh kelompok konsep dipertukarkan. Oleh karena itu, pada awalnya perlu untuk mendefinisikan dengan jelas apa yang akan dibahas dalam artikel ini. Meskipun kedua penulis menerima pendidikan di bidang keamanan informasi yang sepenuhnya independen satu sama lain, namun, definisi dan konsep mereka hampir bersamaan, sehingga diputuskan untuk menggunakan pendekatan khusus ini. Untuk seluruh area pengetahuan yang dicakup oleh buku ini, istilah "keamanan informasi" akan digunakan. Terkadang, terutama dalam klasifikasi agen tenaga kerja asing, "keamanan informasi" dianggap sebagai salah satu subbagian dari keamanan umum, bersama dengan konsep seperti "keamanan komputer", "keamanan jaringan", "keamanan telekomunikasi", "keamanan data".

Menurut pendapat kami, konsep "keamanan informasi" lebih luas, karena mencakup segala sesuatu yang berinteraksi dengan informasi, dan semua konsep di atas adalah subbagian atau bidang keamanan informasi tertentu.

Keamanan informasi adalah serangkaian tindakan yang menyediakan faktor-faktor berikut untuk informasi yang dicakupnya:

• kerahasiaan - kesempatan untuk berkenalan dengan informasi (itu adalah dengan data atau informasi yang membawa beban semantik, dan bukan urutan bit yang mewakili mereka) tersedia hanya untuk orang-orang yang memiliki kekuatan yang relevan;
• integritas - kemampuan untuk membuat perubahan dalam informasi (sekali lagi, ini adalah ungkapan semantik) harus hanya mereka yang berwenang untuk melakukannya;
• ketersediaan - kemungkinan memperoleh akses resmi ke informasi oleh orang yang berwenang dalam periode waktu yang sesuai yang disahkan untuk bekerja.

Terkadang dimungkinkan untuk memenuhi definisi faktor-faktor yang tercantum dalam varian yang berlawanan, misalnya pengungkapan atau pengungkapan, modifikasi (perubahan atau distorsi) dan penghancuran atau pemblokiran. Hal utama adalah tidak mendistorsi makna yang melekat dalam definisi ini.

Ini bukan daftar lengkap faktor, ketiga konsep ini disorot, karena mereka biasanya ditemukan di hampir semua definisi keamanan informasi dan tidak menimbulkan kontroversi. Menurut pendapat kami, perlu untuk memasukkan faktor tambahan dan memahami perbedaan di antara mereka, yaitu:

• akuntansi, yaitu, semua tindakan signifikan seseorang yang dilakukan olehnya dalam kerangka kerja yang dikendalikan oleh sistem keamanan (bahkan jika mereka tidak melampaui aturan yang ditetapkan untuk orang itu), harus dicatat dan dianalisis;
• non-repudiation atau banding (tipikal organisasi di mana dokumen elektronik dipertukarkan dengan hukum, keuangan atau signifikansi lainnya), yaitu orang yang mengirim informasi ke orang lain tidak dapat meninggalkan fakta pengiriman informasi, dan orang yang menerima informasi tidak dapat menolak fakta penerimaannya.

Perbedaan antara kedua faktor ini, mungkin tidak segera terlihat, adalah sebagai berikut. Akuntansi biasanya dilakukan dengan menggunakan buku catatan elektronik, yang digunakan terutama oleh layanan resmi, dan perbedaan utamanya adalah dalam keteraturan analisis jurnal-jurnal ini. Banding disediakan oleh kriptografi (tanda tangan digital elektronik), dan fitur karakteristiknya adalah kemungkinan menggunakannya sebagai bukti dalam kasus eksternal, misalnya, di pengadilan, tergantung pada ketersediaan undang-undang yang relevan.

Mekanisme keamanan informasi

Faktor objektif yang tercantum atau tujuan keamanan informasi disediakan dengan menggunakan mekanisme atau prinsip berikut:

• kebijakan - seperangkat aturan formal (yang secara resmi disetujui atau ditetapkan secara tradisional) yang mengatur berfungsinya mekanisme keamanan informasi;
• identifikasi - definisi (pengakuan) dari masing-masing peserta dalam proses interaksi informasi sebelum konsep keamanan informasi diterapkan kepadanya;
• otentikasi - memastikan keyakinan bahwa peserta dalam proses pertukaran informasi diidentifikasi dengan benar, yaitu, benar-benar orang yang pengenalnya ia presentasikan;
• kontrol akses - pembuatan dan pemeliharaan seperangkat aturan yang menentukan izin untuk mengakses sumber daya dan tingkat akses ini untuk setiap peserta dalam proses pertukaran informasi;
• otorisasi - pembentukan profil hak untuk peserta tertentu dalam proses pertukaran informasi (dikonfirmasi atau anonim) dari serangkaian aturan kontrol akses;
• auditing dan pemantauan - pelacakan teratur peristiwa yang terjadi dalam proses pertukaran informasi, dengan pendaftaran dan analisis peristiwa penting atau mencurigakan yang telah ditentukan sebelumnya. Konsep "audit" dan "pemantauan" agak berbeda, karena yang pertama melibatkan analisis peristiwa setelah fakta, dan yang kedua dekat dengan real-time;
• insiden respons - seperangkat prosedur atau kegiatan yang dilakukan jika terjadi pelanggaran atau dugaan pelanggaran keamanan informasi;
• manajemen konfigurasi - menciptakan dan memelihara fungsi lingkungan pertukaran informasi dalam kondisi kerja dan sesuai dengan persyaratan keamanan informasi;
• manajemen pengguna - memastikan kondisi kerja pengguna di lingkungan pertukaran informasi sesuai dengan persyaratan keamanan informasi.

Dalam hal ini, pengguna dipahami sebagai semua orang yang menggunakan lingkungan informasi ini, termasuk administrator;
  manajemen risiko - memastikan kepatuhan dengan kemungkinan kerugian dari pelanggaran keamanan informasi dari kekuatan peralatan pelindung (yaitu, biaya konstruksi mereka);
  memastikan keberlanjutan - menjaga lingkungan pertukaran informasi dalam kondisi kerja minimum yang dapat diterima dan kepatuhan terhadap persyaratan keamanan informasi dalam pengaruh eksternal atau internal yang merusak.

Dengan demikian, terdaftar bahwa tujuan keamanan informasi yang didefinisikan di atas tercapai (dalam beberapa sumber, prinsip-prinsip yang dijelaskan, misalnya, otentikasi, dibawa ke tujuan). Menurut pendapat kami, otentikasi saja tidak dapat menjadi tujuan keamanan informasi. Ini hanyalah metode untuk menentukan peserta dalam pertukaran informasi untuk menentukan lebih lanjut, misalnya, kebijakan mengenai kerahasiaan atau aksesibilitas yang harus diterapkan kepada peserta ini.

Perangkat Keamanan Informasi

Sekarang kita akan mempertimbangkan sarana atau cara apa yang ada di mana prinsip atau mekanisme yang dijelaskan diimplementasikan. Tentu saja, tidak mungkin untuk memberikan daftar lengkap di sini - ini sangat tergantung pada situasi khusus mengingat aspek keamanan informasi ini atau itu dipertimbangkan. Selain itu, ada kemungkinan bahwa seseorang ingin memindahkan beberapa item dari daftar mekanisme ke daftar dana atau sebaliknya. Alasan kami memiliki dasar sebagai berikut. Misalnya, staf terlibat dalam audit yang menyediakan akuntansi. Ini berarti bahwa personil adalah sarana, audit adalah mekanisme, dan akuntansi adalah tujuan. Atau kata sandi yang menyediakan otentikasi disimpan dalam bentuk terenkripsi, otentikasi mendahului, misalnya, izin untuk mengubah. Ini berarti bahwa kriptografi adalah cara melindungi kata sandi, kata sandi digunakan untuk mekanisme otentikasi, dan otentikasi mendahului integritas.

Kami daftar alat utama (alat) keamanan informasi:

• personel - orang yang akan memastikan implementasi keamanan informasi dalam semua aspek, yaitu, mengembangkan, mengimplementasikan, memelihara, memantau dan melaksanakan;
• dukungan regulasi - dokumen yang menciptakan ruang hukum untuk berfungsinya keamanan informasi;
• model keamanan - skema keamanan informasi yang tertanam dalam sistem atau lingkungan informasi khusus ini;
• kriptografi - metode dan cara mengubah informasi menjadi bentuk yang membuat operasi yang tidak sah dengannya (membaca dan / atau modifikasi) menjadi sulit atau tidak mungkin, bersama dengan metode dan cara membuat, menyimpan dan mendistribusikan kunci - objek informasi khusus yang menerapkan sanksi ini;
• perangkat lunak anti-virus - alat untuk mendeteksi dan menghancurkan kode berbahaya (virus, Trojan, dll.);
• firewall - akses perangkat kontrol dari satu jaringan informasi ke yang lain;
• pemindai keamanan - perangkat untuk memeriksa kualitas berfungsinya model keamanan untuk sistem informasi khusus ini;
• sistem deteksi serangan - perangkat untuk memantau aktivitas di lingkungan informasi, kadang-kadang dengan kemungkinan partisipasi independen dalam aktivitas tertentu;
• cadangan - menyimpan salinan sumber daya informasi yang berlebihan jika kemungkinan kehilangan atau kerusakannya;
• duplikasi (redundansi) - pembuatan perangkat alternatif yang diperlukan untuk berfungsinya lingkungan informasi, yang dimaksudkan untuk kasus kegagalan perangkat utama;
• rencana kedaruratan - seperangkat tindakan yang dimaksudkan untuk implementasi jika peristiwa terjadi atau terjadi tidak dengan cara yang telah ditentukan sebelumnya oleh aturan keamanan informasi;
• pelatihan pengguna - melatih peserta aktif di lingkungan informasi untuk bekerja sesuai dengan persyaratan keamanan informasi.

Mungkin, beberapa konsep terlalu terintegrasi (kriptografi), beberapa, sebaliknya, terlalu rinci (pemindai). Tujuan utama dari daftar ini adalah untuk menunjukkan seperangkat khas, karakteristik untuk perusahaan yang mengembangkan layanan keamanan informasi.

Arah utama keamanan informasi

Sekarang tinggal mempertimbangkan arah utama keamanan informasi, yang kadang-kadang dibedakan di antara mereka sendiri. Sebenarnya, menurut pendapat kami hanya ada dua di antaranya - keamanan fisik dan komputer.Namun, dengan mempertimbangkan perbedaan dalam definisi, kita dapat mengkarakterisasi mereka sebagai berikut.

Keamanan Fisik - memastikan keamanan peralatan itu sendiri, yang dimaksudkan untuk berfungsinya lingkungan informasi, mengontrol akses orang ke peralatan ini. Selain itu, ini dapat mencakup konsep melindungi pengguna lingkungan informasi dari dampak fisik pengganggu, serta melindungi informasi non-virtual (cetak keras - cetakan, direktori telepon resmi, alamat rumah karyawan, media eksternal yang rusak, dll.).

Keamanan komputer (keamanan jaringan, keamanan telekomunikasi, keamanan data) - memastikan perlindungan informasi dalam bentuk virtualnya. Dimungkinkan untuk membedakan tahap-tahap pencarian informasi di lingkungan, dan sesuai dengan prinsip-prinsip ini, untuk membagi, misalnya, komputer (di tempat pembuatan, penyimpanan atau pemrosesan informasi) dan keamanan jaringan (saat meneruskan), tetapi ini, pada prinsipnya, melanggar gambaran komprehensif keamanan. Satu-satunya hal yang logis untuk disepakati adalah istilah keamanan data, atau lebih tepatnya, keamanan data dalam aplikasi ini. Faktanya adalah bahwa dalam paket perangkat lunak tertentu, model keamanan dapat diimplementasikan sedemikian rupa sehingga akan membutuhkan spesialis individu (atau bahkan layanan) untuk memeliharanya. Dalam hal ini, dimungkinkan untuk memisahkan konsep keamanan data (dari aplikasi tertentu) dan keamanan jaringan (dari lingkungan informasi lainnya).

Tahap selanjutnya melibatkan penciptaan kondisi bagi kita untuk berbicara bahasa yang sama, yaitu, pengenalan set definisi dasar.

Terminologi

Jadi, untuk berbicara dalam bahasa yang dapat dimengerti oleh semua orang, perlu untuk memperkenalkan sejumlah definisi. Daftar ini sengaja sedikit diperluas, yang diperlukan untuk buku ini, dalam arti bahwa tidak semua istilah yang ditunjukkan di sini akan digunakan lebih lanjut dalam teks. Di satu sisi, ini dilakukan secara khusus untuk membantu mereka yang akan terus membuat materi regulasi, metodologis, dan keamanan informasi lainnya secara independen. Beberapa dokumen ini, yang mungkin bersifat kompleks atau teknis, harus didahului oleh bagian definisi untuk menghindari perbedaan dan penyimpangan makna. Dalam hal ini, dimungkinkan untuk mengambil bagian ini sebagai dasar dan menggunakan definisi yang disediakan di sini atau memodifikasinya jika perlu.

Kata-kata yang hati-hati dari definisi tersebut sangat penting ketika sebuah organisasi mulai bekerja pada pengembangan keamanan informasi memasuki beberapa hubungan formal (misalnya, kontrak) dengan subjek yang memiliki gagasan subjek yang lemah (misalnya, dengan pelanggan, mitra, atau pemasok mereka). Faktanya adalah bahwa kadang-kadang bahkan konsep yang sederhana dan tampak jelas, seperti informasi atau kata sandi, dapat dirasakan dengan cara yang berbeda dan kemudian menjadi subyek perselisihan. Di sisi lain, pembaca tidak perlu menghafal semua istilah yang ditunjukkan di sini untuk keberhasilan penguasaan materi artikel. Sebagaimana diperlukan dengan penggunaan lebih lanjut, definisi yang diperlukan akan diulang, mungkin dalam versi yang lebih sederhana.

Informasi akan disebut data yang disajikan dalam satu bentuk atau lainnya, cocok untuk penyimpanan, pemrosesan dan / atau transmisi. Berkenaan dengan keamanan informasi dari sudut pandang praktis, mudah untuk membedakan bentuk-bentuk informasi berikut:

• elektronik (sinyal listrik, area magnetisasi, dll.);
• print (cetakan, buku, dll.);
• visual (gambar di layar, slide, poster, dll.);
• pendengaran (pembicaraan orang, autoinformers suara, dll).

Obyek kami akan memanggil sumber daya informasi aktual, yaitu, kumpulan informasi tertentu yang tidak terpisahkan, yang mencakup data yang dikombinasikan oleh tema umum, tugas, metode pemrosesan, dll.
Subjek - pengguna informasi atau proses yang memproses sekumpulan informasi (objek) tertentu dan diperhitungkan, sebagaimana diterapkan pada pertimbangan ini, pada saat penggunaan objek tertentu.
Karena itu, objeknya adalah   itu adalah semacam pasif, dan subjeknya adalah peserta aktif dalam proses pertukaran informasi.
Sistem informasi -   ini adalah jenis kumpulan subjek yang berpotensi terbuka yang bekerja pada serangkaian objek, dan subjek dari satu sistem biasanya memiliki tujuan atau sasaran yang sama.
Ruang informasi -   ini adalah seperangkat sistem informasi yang saling berinteraksi, dan satu bagian dari sistem ini mungkin memiliki kepentingan lain, termasuk yang berseberangan secara langsung, daripada yang lain.
Aturan Keamanan Informasi - daftar tindakan yang diizinkan dan / atau dilarang untuk subjek dari sistem informasi. Aturan semacam itu dapat didefinisikan tidak hanya untuk orang (pengguna, administrator, dll.), Tetapi juga untuk proses (misalnya, proses menyediakan akses ke firewall).
Hak (Hak. Eng) - seperangkat tindakan yang diizinkan (aturan) untuk subjek yang diberikan, bagian dari profil subjek.

Tidak sah akan dianggap sebagai tindakan yang dilakukan oleh subjek (atau bagian dari subjek), di mana tindakan ini tidak didefinisikan sebagai diizinkan (atau didefinisikan sebagai dilarang) oleh aturan keamanan informasi.

Alat Informasi -   perangkat pendukung informasi dengan bantuan yang berfungsi atau disediakan dalam sistem informasi
Ancamannya adalah   kemungkinan penerapan pelanggaran aturan keamanan informasi tertentu.
Kerentanan (Kerentanan Bahasa Inggris) - ketidakamanan atau kesalahan dalam suatu objek atau sistem informasi yang mengarah atau dapat menyebabkan ancaman.
Serang - implementasi praktis dari ancaman atau upaya untuk mengimplementasikannya menggunakan satu atau lain kerentanan.
Kecelakaan -   sebuah insiden tidak sah yang bersifat luar biasa, membawa dampak destruktif pada suatu objek atau sistem informasi.
Pengguna - seseorang, subjek sistem informasi, menjalankan fungsi bisnis di dalamnya, yaitu, menggunakan objek untuk tujuan produksi.
Admin - seseorang, subjek sistem informasi, menciptakan kondisi bagi pengguna untuk bekerja di dalamnya.
Pengendali -   subjek (belum tentu seseorang!) dari sistem informasi yang mengontrol penggunaan sistem informasi oleh pengguna dan administrator sesuai dengan aturan yang telah ditentukan (aturan keamanan informasi).
Laki-laki itu -   orang, subjek sistem informasi, mengejar tujuan yang egois atau destruktif, bertentangan dengan tujuan bisnis dari sistem.
ID (nama, login) -   seperangkat simbol yang mewakili nama unik dari objek atau subjek tertentu dalam sistem informasi yang diberikan (dalam sistem yang berbeda, dapat diulang). Memungkinkan Anda mengidentifikasi pengguna secara unik saat masuk ke sistem, menentukan haknya di dalamnya, merekam tindakan, dll.
Kata Sandi (kata sandi Inggris) -   urutan rahasia karakter yang terkait dengan subjek dan hanya diketahui olehnya, yang memungkinkannya untuk mengotentikasi, yaitu, untuk mengkonfirmasi kesesuaian esensi sebenarnya dari subjek dengan pengidentifikasi yang disajikan kepadanya di pintu masuk.

Profil (Keuntungan Bahasa Inggris) -   satu set instalasi dan konfigurasi khusus untuk subjek atau objek tertentu dan menentukan operasinya dalam sistem informasi.
Enkripsi (eng. Enkripsi) -   proses membawa informasi ke dalam bentuk di mana tidak mungkin atau secara signifikan sulit untuk mengekstrak data yang bermakna darinya tanpa memiliki pengetahuan tambahan khusus (kunci).
Dekripsi (dekripsi) -   prosesnya terbalik dengan proses enkripsi, mis., restorasi dengan bantuan informasi kunci yang sesuai dalam bentuk aslinya, yang memungkinkan untuk mengekstrak data semantik darinya.
Kriptanalisis -   seperangkat metode dan alat untuk melakukan (atau proses itu sendiri) mendekripsi informasi tanpa memiliki kunci yang diperlukan.
Dokumen Elektronik - kumpulan data dalam representasi elektronik, yang dapat dengan transformasi standar disajikan dalam bentuk yang dapat dibaca manusia, termasuk sebagai dokumen di atas kertas; adalah unit pertukaran informasi yang tidak dapat dibagi, yaitu dapat ditransfer (diterima) atau tidak ditransfer (tidak diterima) hanya secara keseluruhan; terdiri dari elemen yang disebut detail dokumen.
Kunci pribadi (kunci pribadi, kunci rahasia) - urutan byte rahasia yang dimaksudkan untuk membentuk subjek tanda tangan digital elektronik untuk dokumen elektronik.
Kunci publik (kunci publik) -   urutan byte yang terkait dengan kunci pribadi dan dimaksudkan untuk memverifikasi tanda tangan digital dari dokumen elektronik. Kunci publik harus ada pada pihak yang mengandalkan.

Bab ini sengaja memberikan definisi yang tidak lengkap dari kunci privat dan publik. Definisi-definisi ini kemungkinan besar paling banyak diterapkan, karena tombol-tombol ini paling sering digunakan untuk tanda tangan digital elektronik. Syarat-syarat ini harus dimasukkan dalam kasus di mana tanggung jawab ditugaskan untuk keamanan kunci rahasia dan kebutuhan muncul untuk pengiriman kunci publik yang tepat waktu. Rincian penggunaan semua jenis kunci, serta algoritma enkripsi dan tanda tangan digital dikhususkan untuk bagian dari buku Kdan.

Tanda tangan digital elektronik (EDS) (tanda tangan digital bahasa Inggris) -   blok data format tertentu, dibentuk atas dasar kunci pribadi yang dipegang hanya oleh subjek yang berwenang, secara unik terkait dengan dokumen elektronik tertentu dan digunakan untuk memverifikasi keaslian (kepengarangan) dan integritas dokumen elektronik ini.
Tanda Tangan Digital Elektronik yang Benar - tanda tangan digital elektronik dari dokumen elektronik, yang memberikan hasil positif ketika diverifikasi oleh kunci publik yang sesuai.
Model Keamanan -   seperangkat prinsip, skema dan mekanisme (kadang-kadang dengan indikasi alat dan instrumen khusus) yang dirancang untuk memastikan keamanan informasi dalam sistem informasi khusus ini.
Kesalahan - tindakan yang tidak direncanakan, direncanakan sebelumnya (dalam bentuk tindakan atau tidak bertindak) yang dilakukan oleh subjek (pengguna atau proses) yang mewakili atau dapat menimbulkan ancaman terhadap keamanan informasi.
Program jahat - modul program yang dapat dieksekusi, skrip, makro atau kode program lain yang dibuat untuk tujuan melanggar keamanan informasi. Tujuan dari program jahat adalah untuk menetapkan: penggunaan minimum - tidak sah bagian sumber daya informasi, maksimum - perolehan kendali penuh atas suatu objek atau sistem informasi dengan maksud untuk penggunaannya yang tidak sah lebih lanjut. Program jahat mencakup virus dan Trojan.
Virus - program jahat, fitur utama di antaranya adalah kemungkinan reproduksi otomatis (mungkin dengan modifikasi diri) dan distribusi ke sistem informasi baru tanpa kontrol dari pencipta. Biasanya, tujuan utama virus adalah untuk melakukan tindakan merusak, meskipun ada virus yang dibuat untuk hiburan. Paling sering, pencipta virus tidak menerima manfaat materi apa pun dari operasinya, tetapi kadang-kadang, misalnya, sebagai bagian dari persaingan industri, pembuatan virus dapat dibayar oleh pelanggan.
Program trojan, trojan, trojan horse (trojari bahasa Inggris) -   Program jahat, sering kali termasuk keylogger dan melakukan tindakan tidak sah dan tidak berdokumen, kadang-kadang bahkan dengan fungsi kendali jarak jauh oleh penyerang, dibuat dengan tujuan dengan sengaja melanggar keamanan informasi sistem. Pada saat yang sama, Trojan sering menutupi kegiatan tidak sah dengan melakukan sejumlah tindakan yang didokumentasikan bermanfaat bagi pengguna.

Dengan perkembangan teknologi jaringan, Trojan muncul, menembus sistem berdasarkan prinsip virus komputer. Hibrida semacam itu menggunakan properti dari program jahat dan jahat untuk keperluan penyusup. Yang paling sulit di antara mereka, yang "dibebaskan untuk kebebasan" di suatu tempat dalam jaringan perusahaan dan berkembang biak seperti virus normal, pada akhirnya dapat mencapai tujuan utama mereka, yang mungkin terlindungi dengan baik dari serangan langsung dari luar. Setelah itu, trojan melakukan tugas pelanggaran keamanannya dan memberi tahu pembuatnya bahwa tugasnya telah selesai. Varian primitif dari program Trojan dapat melakukan trik kotor kecil seperti mengirim atas nama pengguna yang secara tidak sengaja meluncurkan program, ancaman atau kutukan kepada pengguna jaringan lainnya.

Bookmark (perangkat keras, perangkat lunak) - fungsionalitas berbahaya (program), diimplementasikan sebagai salah satu fungsi tersembunyi dari sistem atau objek. Tidak seperti Trojan yang memasuki sistem dari luar, mereka dibuat oleh sebagian besar pengembang sistem. Istilah tambahan yang digunakan adalah "pintu belakang", palka (pintu jebakan Inggris adalah fungsi tidak berdokumen yang diletakkan oleh pengembang saat membuat sistem / objek dan tidak dihilangkan karena alasan apa pun, bom logika - fungsi dipicu ketika kondisi tertentu terpenuhi).
Status sistem kepercayaan -   keadaan di mana perilaku sistem dalam hal keamanan informasi tepat sesuai dengan spesifikasi, program jahat tidak berfungsi dalam sistem, belum ada dan tidak ada kemungkinan akses tidak sah ke data untuk membaca dan / atau modifikasi.
PIN -    nomor identifikasi pribadi, pengenal digital yang ditetapkan untuk suatu objek atau subjek. Terkadang digunakan sebagai analog kata sandi, misalnya, dalam sistem kartu plastik.
Token (Token Bahasa Inggris) -   secara umum, operator data, pengaturan keamanan pemiliknya. Biasanya beberapa media eksternal yang tidak mudah menguap dirancang untuk menyimpan kata sandi yang panjang, kunci kriptografi dan informasi keamanan lainnya yang tidak dapat disimpan seseorang dalam ingatannya. Akses ke data token juga dapat dilindungi dengan kata sandi atau PIN;
Sistem sampah (sistem sampah Inggris) - satu set data yang digunakan oleh sistem atau objek untuk bekerja dan tidak dimaksudkan untuk analisis asing, tetapi untuk alasan apa pun yang tersedia untuk pihak ketiga. Sangat menarik bagi penyerang, karena dapat menyimpan data tentang fitur sistem, informasi tidak langsung tentang data rahasia, atau bahkan kata sandi dan kunci kriptografi.
Sehubungan dengan istilah-istilah ini, perlu untuk menyebutkan konsep dump memori (eng Memory dump) - "snapshot"   keadaan RAM perangkat yang digunakan untuk menentukan penyebab kegagalan ketika sistem gagal. Biasanya dibuat dan disimpan sebagai file di disk. Dalam kasus kontak dengan penyerang dapat menyebabkan kerusakan yang sangat serius pada keamanan sistem.
Perangkat Lunak Pihak Ketiga -   perangkat lunak yang tidak diizinkan untuk digunakan dalam ruang informasi ini dan tidak terdaftar oleh layanan resmi.

Sejumlah istilah yang digunakan kemudian yang tidak secara langsung berkaitan dengan keamanan informasi ditransfer ke Daftar Istilah agar tidak mengacaukan bab ini dengan terlalu banyak informasi. Hal ini juga diperlukan untuk mencatat tampilan dalam teks dari kata "organisasi", "perusahaan" yang identik dengan kata "perusahaan" dalam arti subjek buku ini. Selain itu, istilah "proses bisnis", "logika bisnis" akan muncul. Dalam hal ini, kata "bisnis" berarti "apa yang ditentukan sebelumnya oleh tujuan produksi dari perusahaan yang diberikan."

Tugas dan prinsip organisasi layanan keamanan informasi

Bab ini membahas proses birokrasi yang diperlukan untuk pembentukan layanan keamanan di perusahaan, lebih ditujukan untuk manajer layanan atau bagi mereka yang terlibat secara profesional dalam strategi dan taktik pengembangan struktural organisasi. Oleh karena itu, pembaca yang lebih tertarik pada aspek teknis dapat dengan mudah beralih ke Bab 4, pembuatan layanan keamanan.

Bagi mereka yang masih memutuskan untuk membaca bab ini, kami mencatat bahwa menyelesaikan masalah dan masalah yang dijelaskan di sini dapat bermanfaat dalam mencegah konflik produksi dan ketidakkonsistenan yang mungkin timbul karena kekhususan dari layanan keamanan informasi.

Tugas Layanan Keamanan Informasi

Meskipun tampak jelas dari tugas-tugas layanan keamanan informasi ("layanan keamanan harus memberikan keamanan - apa lagi?"), Banyak pertanyaan muncul yang tidak muncul pada pandangan pertama. Kami membagi pertanyaan atau masalah ini ke dalam kelompok berikut:

• penempatan layanan keamanan informasi;
• interaksinya dengan layanan lain;
• hierarki subordinasi.

Dengan kata lain, perlu untuk menentukan di mana layanan keamanan informasi harus ditempatkan dalam struktur staf perusahaan, bagaimana ia akan berinteraksi dengan divisi lain (terutama dengan divisi teknologi informasi), dan berapa banyak kepala harus berdiri di antara kepala keamanan dan direktur perusahaan.

Ada sejumlah rekomendasi tentang penempatan, interaksi, dan subordinasi dari layanan keamanan, baik yang maju, sebagian besar dari Barat, yang berfokus pada dunia elektronik, dan yang lama, masih Soviet, yang berasal dari departemen pertama. Menurut pendapat kami, prosedur ini sangat tergantung pada banyak faktor dari perusahaan tertentu, bahkan mungkin seperti hubungan informal yang ada antara karyawan. Jika prioritas di perusahaan adalah efisiensi layanan keamanan informasi, maka aspek-aspek tersebut tidak dapat diabaikan. Agar tidak menggambarkan kerangka kerja yang kaku untuk semua ini, kami sarankan Anda mempertimbangkan masalah dan menjawab pertanyaan yang muncul. Dari tanggapan yang diterima menjadi jelas bagaimana dan di mana layanan keamanan informasi harus ditempatkan di pohon organisasi perusahaan.

Apa yang harus dilakukan oleh dinas keamanan?

• Mengelola alat keamanan yang ada (firewall, paket anti-virus, sistem deteksi serangan, dll.)?
• Mengembangkan model dan skema untuk melindungi informasi, membuat keputusan tentang memperoleh alat keamanan baru?
• Memantau pekerjaan pengguna ruang informasi perusahaan?
• Kelompok mana - hanya pengguna akhir atau juga administrator sistem?
• Di mana fokus utama perhatian layanan - pada pengguna internal (menurut statistik, sebagian besar pelanggaran keamanan informasi - baik sengaja maupun tidak sengaja - dihasilkan dari dalam perusahaan) atau untuk perlindungan dari akses dari ruang informasi eksternal?

Tanpa keraguan, masalah keamanan informasi harus dipertimbangkan dalam setiap item yang terdaftar. Namun, aplikasi mungkin berbeda dan tergantung pada berbagai alasan yang biasanya tidak disediakan oleh rekomendasi Barat, seperti kurangnya personel yang berkualifikasi.

Dua situasi yang berbeda dapat menjadi contoh dari solusi yang berbeda: layanan keamanan informasi hanya menganalisis situasi, mengembangkan model dan memutuskan apakah perlu untuk mendapatkan perlindungan, sementara administrasinya dilakukan sebagai bagian dari pekerjaan biasa divisi teknologi informasi. Pilihan sebaliknya - akuisisi peralatan pelindung dilakukan dalam kerangka strategi umum pengembangan teknologi informasi perusahaan, dan pekerjaan khusus tentang pemasangan dan dukungan peralatan pelindung dilakukan oleh layanan keamanan informasi.

Bagaimana interaksi dengan layanan teknologi informasi, dan khususnya dengan administrator jaringan dan sistem?

• Spesialis keamanan informasi memiliki kendali penuh atas sistem informasi, sama dengan hak administrator sistem.
• Spesialis keamanan mengambil bagian dalam administrasi sistem, misalnya, dalam menetapkan hak pengguna.
• Spesialis keamanan dalam sistem informasi memiliki akses ke semua objek, tetapi mereka hanya memiliki hak untuk membaca informasi tentang mereka.
• Spesialis keamanan informasi tidak memiliki akses ke sistem, mereka menggunakan log, laporan konfigurasi, dll. Untuk memantau pekerjaan administrator.

Semua opsi ini sengaja ditunjukkan, karena masalah hubungan antara layanan keamanan dan, katakanlah, administrator jaringan lokal bisa sangat tegang, terutama jika layanan hanya dibuat, dan administrator telah menjalankan fungsinya selama beberapa tahun.

• Bagaimana jika administrator benar-benar bekerja dengan jujur ​​untuk waktu yang lama, dan spesialis keamanan hanya datang ke organisasi, tetapi memerlukan hak signifikan dalam sistem untuk diri mereka sendiri dan pembatasan hak administrator? Apa yang harus dilakukan jika administrator dalam kasus ini memutuskan untuk meninggalkan organisasi?
• Tetapi bagaimana jika kualifikasi spesialis keamanan dalam sistem informasi tertentu secara signifikan lebih rendah daripada administrator, dan mereka dapat, dengan hak-hak tertentu, mengganggu operasi sistem?
• Bagaimana jika sistem dirancang sedemikian rupa sehingga untuk mengontrol administrator, Anda perlu kontrol penuh atas seluruh sistem?

Ada lebih banyak pertanyaan daripada jawaban, keputusan harus dibuat mengingat semua masalah ini.

Ada kemungkinan bahwa proses transfer atau pembagian hak yang menyakitkan harus diperpanjang untuk jangka waktu yang lama, sampai spesialis keamanan mendapatkan pengalaman yang relevan dan administrator secara bertahap tidak terbiasa dengan sebagian, dan kemudian kontrol penuh.

Berapa banyak langkah pengambilan keputusan tentang keamanan informasi yang harus ada?

Jika kepala layanan keamanan informasi secara langsung berada di bawah direktur perusahaan dan menyerahkan rancangan keputusan secara langsung, maka ini memungkinkan untuk menyalahgunakan posisinya (karena manajer puncak kemungkinan besar tidak sangat kompeten dalam teknologi informasi, tetapi ia merespons kata keamanan dengan semua dokumen). Jika proses menyetujui suatu keputusan terlalu terdistribusi di seluruh manajer dan diulur dari waktu ke waktu, ada risiko bahwa akan ada keterlambatan dalam membuat keputusan penting (namun, ak untuk layanan lain). Selain itu, jika perwakilan dari poin-poin perjanjian tidak kompeten dalam masalah keamanan, maka banyak waktu akan dihabiskan secara tidak produktif untuk mengklarifikasi masalah dan menyepakati pendapat.

• Apakah proses pengambilan keputusan tentang keamanan informasi konsisten dengan strategi keseluruhan untuk pengembangan teknologi informasi?
• Apakah akan ada fasilitas keamanan yang dipasang di ruang informasi perusahaan yang akan mengganggu pengoperasian sistem informasi lainnya?

Dalam hal ini, ada rekomendasi khusus yang menyarankan bahwa layanan keamanan informasi tidak boleh disubordinasikan langsung ke direktur, tetapi ke komite keamanan tertentu, yang akan dihadiri, di satu sisi, oleh spesialis yang dapat menilai kualitas solusi yang diusulkan, di sisi lain, manajer yang dapat menyetujui keputusan yang dibuat. eksekusi wajib.