على نحو متزايد ، القضايا المتعلقة بأمن المعلومات تختمر في عالم تكنولوجيا المعلومات. في الواقع ، أصبحت شبكة الويب العالمية منصة عالمية لتبادل المعلومات وتخزينها ، وأصبحت كلمة الإنترنت مألوفة للجميع. في العالم الحديث ، من الصعب العثور على شركة لا تستخدم تقنيات الإنترنت: جميع أنواع التطبيقات والأدوات الذكية وأجهزة IOT - كل هذا في خطر. لذلك ، سنتحدث عن أساسيات أمن المعلومات ، وهي التحكم في الوصول.
أود مناقشة بعض الجوانب التي تبدو واضحة لأمن المعلومات. ومن المفارقات أن الكثيرين يستخفون بأهمية الأمن أو يعتبرون أن تدابيرهم كافية. تجدر الإشارة
إلى تأثير Dunning-Krueger ، الذي يتمثل جوهره في أن الأشخاص ذوي المؤهلات المنخفضة في بعض المناطق يقومون باستنتاجات خاطئة. ومن هنا جاءت القرارات غير الناجحة في مجال الأعمال التي لم يتمكنوا من إدراكها.
أمن المعلومات - هذا مجال لا يجوز فيه افتراض أي شيء والتصرف وفقًا لمبدأ "إذا كان يجب القيام به من أجل الأنواع فقط". يجب أن يكون أمن المعلومات هو الهدف النهائي ، وهو وسيلة في العمل تقلل من الخسائر والنفقات ، وتحمي بياناتك. أكبر خطر على الشركة هو العامل البشري. في الواقع ، وبفضل التلاعب الذكي للموظف ، فإن المهاجم قادر على اختراق نظامك. لسوء الحظ ، هناك اعتقاد خاطئ بأنه إذا كان لديك حماية تقنية قوية (جميع أنواع المعرفات ، وأنظمة مكافحة الاحتيال ، ومضادات الفيروسات ، و DLP ، والجدران النارية) ، فإن عملك آمن ، لكن هذا ليس كذلك. علم النفس لدينا يمكن التنبؤ به ، وفي معظم الحالات ، تكون دوافعنا ناجمة عن أعمال الخوف والطفح الجلدي. خذ على سبيل المثال ، الهجمات العادية عبر البريد: تلقى الموظف خطابًا يفيد بأن نظامًا ما تم تسجيله قد تعرض للاختراق. هذا الخبر سيخيفه بالتأكيد ، وباحتمال أكبر سيتابع الرابط ، ويعطي بياناته للمهاجمين. لذلك ، من المهم تكوين الوصول بشكل صحيح وتحسين مهارات الموظفين في أمن المعلومات. يتم تخصيص "علوم" كاملة لهذا الموضوع - الهندسة الاجتماعية ، ولكن حول هذا الوقت في وقت ما في المرة القادمة ، واليوم سوف نتحدث عن تنظيم التحكم في الوصول.
من الأفضل مشاهدة أي مهمة من زاوية مختلفة ، وهذا ينطبق أيضًا على التحكم في الوصول: تثبيت برامج مكافحة الفيروسات ووسائل الحماية الأخرى ليست كافية. من التفكير المنطقي ، كخيار ، تظهر الصيغة التالية:
نظام مراقبة وصول جيد = تدابير إدارية + تدابير تقنية + حماية مادية.ما هو مدرج في التدابير الإدارية؟ نعم ، كل شيء بسيط جدا! هذا هو التنظيم الصحيح للوثائق في نظام إدارة أمن المعلومات. إن وجود سياسة أمنية جيدة ومنهجيات تقييم المخاطر والتدقيق الداخلي والإجراءات وتدريب الموظفين - كل هذا يساهم في التنظيم السليم للأمن في الأعمال التجارية.
في سياسة الأمن ، من المهم للغاية أن تعكس أهداف الشركة ونطاقها (أي الوحدات التي تغطيها هذه السياسة) ، وكذلك مراعاة متطلبات الأعمال والشركاء والعملاء. يجب على الشركة تحديد أصول المعلومات ، وينبغي تصنيف تلك الأصول التي تتطلب معالجة أكثر حذراً حسب الأهمية والقيمة. لتحديد من الذي لديه حق الوصول إلى الأصول والمسؤول عن تنفيذ تدابير أمان المعلومات ، يمكنك استخدام جدول الأدوار (يشير الجدول إلى الأدوار ومن المسؤول عن ما يتم تخصيصه). هناك مرحلة مهمة أخرى هي التدريب: دعوة المتخصصين أو توظيف أولئك الذين سيخبرون موظفيك بقواعد أمان الشبكة (على سبيل المثال: ما هو التصيد الاحتيالي ، وكيفية التعرف عليه ، وكيفية كسر مهندس اجتماعي وأي موقع آمن). هذه جوانب مهمة للغاية ، لأن العامل الإنساني هو الحلقة الأكثر ضعفًا. ستساعدك عمليات المراجعة الداخلية في تحديد أوجه القصور في نظام إدارة أمن المعلومات لديك ، وتحديد الإدارات التي تكون عرضة للإصابة وأي إدارات تحتاج إلى تدريب متقدم ، وفهم ما إذا كانت المتطلبات المحددة في السياسة يتم اتباعها أم لا. من المهم أن تختار مدققًا كفؤًا سيتحقق بعناية من حالة النظام لديك للتأكد من توافقه. بفضل منهجية تقييم المخاطر ، يمكنك حساب احتمال وجود تهديدات معينة ، وكذلك اكتشاف التهديدات الموجودة واختيار المزيد من الإجراءات فيما يتعلق بالمخاطر.
بواسطة الأجهزة ، ننسب مختلف البرامج والأجهزة ، وخدمات أمن المعلومات. يمكن أن يكون أنظمة كلمة المرور وجدران الحماية والماسحات الضوئية الأمنية والبروتوكولات الآمنة وأنظمة التشغيل وما إلى ذلك. بعناية فائقة تحتاج إلى أن تكون مع أنظمة كلمة المرور. نظرًا لأنهم يخضعون دائمًا لتدقيق المهاجمين ، فهم الأكثر عرضة للخطر. من خلال التواصل مع عدد كبير من الأشخاص ، لاحظت مدى سهولة وإهمال حماية كلمة المرور (يأتوا بكلمات مرور بسيطة ، ويخزنونها في أماكن يسهل الوصول إليها) ، ولا يدركون أن المهاجم يمكنه القضاء عليهم بسهولة. على سبيل المثال ، خذ نوعًا من الهجوم مثل القوة الغاشمة (التي تعني كلمات مرور القوة الغاشمة). لنفترض أنك لم تتخيل حقًا كلمة المرور الخاصة بك وأخذت متسللًا شائعًا ، وفي الوقت نفسه ، فإن معرفة بريدك الإلكتروني ، باستخدام قواميس مختلفة ، سيجد نظامًا يتوافق مع نظامك. كل شيء بسيط! يجدر أيضًا تذكر وتذكير الموظفين برسائل البريد الإلكتروني المخادعة: لا تفتح الروابط وتدخل كلمة مرور ، وتنفّسها وتكتشفها.
حسنًا ، الحماية الثالثة: الأقفال والحماية الخاصة وكاميرات الفيديو وأنظمة الوصول وما إلى ذلك.
أريد أيضًا التركيز على ثلاث طرق للتحكم في الوصول. إذا كان عملك مرتبطًا ببيانات حساسة ومعلومات حساسة وأسرار دولة ، فيجب عليك الانتباه إلى طريقة التحكم في الوصول الإلزامي. تكمن خصوصية هذه الطريقة في تسلسلها الهرمي ، نظرًا لأن الموظفين والأشياء (الملفات والمستندات وما إلى ذلك) قد تم تعيينهم لمستوى هرمي معين من الأمان. يميز مستوى أمان كائن ما قيمته ، ووفقًا للمستوى ، يتم تعيين ملصق أمان له.
يميز مستوى الأمان درجة الثقة في الموظف ، وكذلك مسؤوليته عن هذه المعلومات. يقوم نظام التشغيل بتعيين سمات معينة للموظف ، وذلك بفضل منح الموظف إمكانية الوصول في إطار صلاحياته الرسمية. النظر في المثال التالي ، دعنا نقول لدينا العديد من مستويات الوصول:
- معلومات سرية للغاية (تم رفض الوصول) ؛
- معلومات سرية
- معلومات الوصول المقيد ؛
- حرية الوصول إلى المعلومات.
لدينا أيضًا مستخدمون لديهم مستويات مختلفة من الوصول إلى المعلومات المذكورة أعلاه:
- المستخدم 1 - يعمل مع معلومات سرية ؛
- المستخدم 2 - يعمل مع معلومات الوصول المحدود ؛
- المستخدم 3 - يعمل مع معلومات الوصول الحر.
دعونا نتخيل هيكل نظامنا في شكل الرسم البياني التالي ، حيث RW - أذونات القراءة والكتابة ، أذونات القراءة - R ، أذونات الكتابة W:
من الشكل التالي:
يحق للمستخدم 1 قراءة وكتابة الكائنات المخصصة للعمل مع معلومات سرية ، وكذلك الحق في قراءة الكائنات بمعلومات محدودة ومجانية.
لدى المستخدم 2 الحق في قراءة وكتابة الكائنات التي تنتمي إلى معلومات الوصول المقيد ، وله أيضًا الحق في قراءة الكائنات التي تحتوي على معلومات الوصول الحر والحق في كتابة الكائنات ذات المعلومات السرية.
المستخدم 3: له الحق في قراءة وكتابة الكائنات ذات معلومات الوصول الحر ، وكذلك الحق في كتابة الكائنات ذات الوصول المحدود والمعلومات السرية.
لكن جميع المستخدمين محرومون من الوصول إلى الأشياء التي تحتوي على معلومات سرية للغاية.
تعتبر أبسط طريقة تقديرية ، والتي تعتبر شائعة للغاية. جوهر الوصول بسيط: مالك الكائن يقرر من الذي يمنح حق الوصول وبأي شكل (القراءة والكتابة وما إلى ذلك). يمكن تنفيذ هذه الطريقة باستخدام قوائم الوصول أو مصفوفة الوصول ، ولكن عليك أن تضع في اعتبارك أنه يمكن لموظف لديه حقوق معينة نقل كائنك إلى شخص آخر للاستخدام دون إخطارك. لذلك ، إذا كنت تعمل مع معلومات مهمة ، يجب أن تكون حذراً من هذه الطريقة.
بعد ذلك ، دعنا نتحدث عن طريقة التحكم في الوصول القائمة على الدور. جوهر هذه الطريقة بسيط: بين مستخدمي النظام وامتيازاتهم تظهر كيانات وسيطة ، والتي تسمى الأدوار. تفترض الطريقة أنه يمكن تعيين عدة أدوار لكل مستخدم ، مما يوفر الوصول إلى المعلومات الضرورية. هذه الطريقة تلغي إساءة استخدام الحقوق ، لأنها تنفذ مبدأ الأقل امتيازًا.
إنه يوفر فقط هذا المستوى من الوصول إلى الموظف الذي يقع في نطاق مسؤوليته. أيضًا ، تطبق هذه الطريقة مبدأ الفصل بين الواجبات ، مما يبسط إدارة أصول المعلومات. عيب هذه الطريقة هو أنه من الصعب تنفيذها عندما يكون هناك عدد كبير من المستخدمين والأدوار ، لأنها مكلفة.
هناك طرق أخرى ، ولكن تحدثت عن أكثر مفتاح. تعتبر جميع أساليب تنظيم الوصول المذكورة أعلاه خطوة مهمة في أمن شركتك وبالتالي فهي تستحق الاهتمام بها عن كثب.