In der IT-Welt brauen sich zunehmend Probleme hinsichtlich der Informationssicherheit auf. In der Tat ist das World Wide Web zu einer globalen Plattform für den Austausch und die Speicherung von Informationen geworden, und das Wort Internet ist jedem bekannt. In der modernen Welt ist es schwierig, ein Unternehmen zu finden, das keine Internet-Technologien verwendet: alle Arten von Anwendungen, Gadgets, IOT-Geräten - all dies ist gefährdet. Daher werden wir über die Grundlagen der Informationssicherheit sprechen, nämlich die Zugangskontrolle.
Ich möchte einige scheinbar offensichtliche Aspekte der Informationssicherheit diskutieren. Ironischerweise unterschätzen viele die Bedeutung der Sicherheit oder halten ihre Maßnahmen für ausreichend. Es sei an
den Mahn-Krüger-Effekt erinnert, dessen Kern darin besteht, dass Menschen mit geringen Qualifikationen in einigen Bereichen falsche Schlussfolgerungen ziehen. Daher die erfolglosen Entscheidungen im Geschäft, die sie nicht realisieren können.
Informationssicherheit - Dies ist ein Bereich, in dem es nicht zulässig ist, etwas anzunehmen und nach dem Prinzip zu handeln, "wenn nur für die Art". Informationssicherheit sollte das ultimative Ziel sein, ein Hebel im Geschäft, der Verluste und Kosten minimiert und Ihre Daten schützt. Die größte Gefahr für das Unternehmen ist der menschliche Faktor. Dank der geschickten Manipulation eines Mitarbeiters kann ein Angreifer Ihr System gefährden. Leider gibt es ein Missverständnis, dass Ihr Unternehmen sicher ist, wenn Sie über einen starken technischen Schutz verfügen (alle Arten von IDS, Betrugsbekämpfungssystemen, Virenschutzprogrammen, DLP, Firewalls). Dies ist jedoch nicht der Fall. Unsere Psychologie ist vorhersehbar, und in den meisten Fällen werden unsere Impulse durch Angst und vorschnelle Handlungen ausgelöst. Nehmen Sie zum Beispiel banale Angriffe per Post: Der Mitarbeiter erhielt einen Brief, in dem er darauf hinwies, dass ein System, in dem er registriert ist, kompromittiert ist. Diese Nachricht wird ihn sicherlich erschrecken, und mit größerer Wahrscheinlichkeit wird er dem Link folgen und seine Daten an Angreifer weitergeben. Daher ist es wichtig, den Zugriff korrekt zu konfigurieren und die Fähigkeiten der Mitarbeiter in Bezug auf Informationssicherheit zu verbessern. Eine ganze "Wissenschaft" widmet sich diesem Thema - Social Engineering, aber irgendwann beim nächsten Mal, und heute werden wir über die Organisation der Zugangskontrolle sprechen.
Jede Aufgabe wird am besten aus einem anderen Blickwinkel betrachtet. Dies gilt auch für die Zugangskontrolle: Die Installation von Virenschutzmitteln und anderen Schutzmaßnahmen reicht nicht aus. Aus logischen Überlegungen ergibt sich optional die folgende Formel:
Ein gutes Zugangskontrollsystem = administrative Maßnahmen + technische Maßnahmen + physischer Schutz.Was ist in Verwaltungsmaßnahmen enthalten? Ja, alles ist sehr einfach! Dies ist die korrekte Organisation der Dokumentation im Informationssicherheits-Managementsystem. Eine gute Sicherheitspolitik, Risikobewertungsmethoden, interne Audits, Verfahren und Mitarbeiterschulungen - all dies trägt zur ordnungsgemäßen Organisation der Sicherheit in Unternehmen bei.
In der Sicherheitsrichtlinie ist es am wichtigsten, die Ziele des Unternehmens und den Umfang (welche Einheiten diese Richtlinie abdeckt) widerzuspiegeln und auch die Anforderungen des Geschäfts, der Partner und der Kunden zu berücksichtigen. Das Unternehmen sollte Informationsressourcen identifizieren, und diejenigen Vermögenswerte, die einen sorgfältigeren Umgang erfordern, sollten nach Bedeutung und Wert klassifiziert werden. Um festzustellen, wer Zugriff auf Assets hat und für die Implementierung von Informationssicherheitsmaßnahmen verantwortlich ist, können Sie die Rollentabelle verwenden (die Tabelle gibt die Rollen an und wer ist für die Zuweisung verantwortlich). Eine weitere wichtige Phase ist die Schulung: Laden Sie Spezialisten ein oder stellen Sie diejenigen ein, die Ihre Mitarbeiter über Netzwerksicherheitsregeln informieren (z. B. Was Phishing ist, wie man es erkennt, wie man einen Social Engineer knackt und welche Site sicher ist). Dies sind sehr wichtige Aspekte, da der menschliche Faktor die am stärksten gefährdete Verbindung darstellt. Interne Audits helfen Ihnen dabei, die Mängel Ihres Informationssicherheits-Managementsystems zu identifizieren, festzustellen, welche Abteilungen anfällig sind und welche Abteilungen fortgeschrittene Schulungen benötigen, und zu verstehen, ob die in der Richtlinie festgelegten Anforderungen eingehalten werden. Es ist wichtig, einen kompetenten Prüfer zu wählen, der den Zustand Ihres Systems sorgfältig auf Einhaltung der Regeln überprüft. Dank der Risikobewertungsmethode können Sie die Wahrscheinlichkeit bestimmter Bedrohungen berechnen sowie vorhandene Bedrohungen erkennen und weitere Maßnahmen in Bezug auf Risiken auswählen.
Nach Hardware schreiben wir verschiedene Software und Hardware sowie Informationssicherheitsdienste zu. Dies können Kennwortsysteme, Firewalls, Sicherheitsscanner, sichere Protokolle, Betriebssysteme usw. sein. Sehr vorsichtig müssen Sie mit Passwortsystemen umgehen. Da sie immer unter der Kontrolle von Angreifern stehen, sind sie am stärksten gefährdet. Bei der Kommunikation mit einer großen Anzahl von Personen bemerkte ich, wie einfach und nachlässig der Passwortschutz ist (sie entwickeln einfache Passwörter, speichern sie an zugänglichen Orten), ohne zu bemerken, dass ein Angreifer sie leicht knacken kann. Nehmen Sie zum Beispiel eine Art Angriff wie Brute Force (was Brute Force-Passwörter bedeutet). Angenommen, Sie haben nicht wirklich über Ihr Passwort phantasiert und einen gemeinsamen Hacker ausgewählt. Wenn Sie Ihre E-Mails kennen und verschiedene Wörterbücher verwenden, werden Sie eine Übereinstimmung finden und Ihr System gefährden. Alles ist einfach! Es lohnt sich auch, Mitarbeiter an Phishing-E-Mails zu erinnern und sie daran zu erinnern: Öffnen Sie keine Links und geben Sie ein Passwort ein, atmen Sie ein und finden Sie es heraus.
Nun, der dritte ist der physische Schutz: Schlösser, Spezialschutz, Videokameras, Zugangssysteme und so weiter.
Ich möchte mich auch auf drei Methoden der Zugriffskontrolle konzentrieren. Wenn Ihre Arbeit mit vertraulichen Daten und vertraulichen Informationen verbunden ist, sollten Sie die obligatorische Zugriffskontrollmethode beachten. Die Besonderheit dieser Methode liegt in ihrer Hierarchie, da Mitarbeitern und Objekten (Dateien, Dokumente usw.) eine bestimmte hierarchische Sicherheitsstufe zugewiesen wird. Die Sicherheitsstufe eines Objekts kennzeichnet seinen Wert und wird entsprechend der Stufe mit einem Sicherheitsetikett versehen.
Das Sicherheitsniveau kennzeichnet das Maß an Vertrauen in den Mitarbeiter sowie seine Verantwortung für diese Informationen. Das Betriebssystem weist dem Mitarbeiter bestimmte Attribute zu, dank derer der Mitarbeiter im Rahmen seiner offiziellen Befugnisse Zugriff erhält. Betrachten Sie das folgende Beispiel. Nehmen wir an, wir haben mehrere Zugriffsebenen:
- Streng geheime Informationen (Zugriff verweigert);
- Geheime Informationen;
- Informationen zum eingeschränkten Zugriff;
- Informationen zum freien Zugang.
Wir haben auch Benutzer, die unterschiedliche Zugriffsebenen auf die oben genannten Informationen haben:
- Benutzer 1 - arbeitet mit Verschlusssachen;
- Benutzer 2 - arbeitet mit Informationen mit eingeschränktem Zugriff;
- Benutzer 3 - arbeitet mit freien Zugangsinformationen.
Stellen wir uns die Struktur unseres Systems in Form des folgenden Diagramms vor, in dem RW-Lese- und Schreibberechtigungen, R-Leseberechtigungen, W-Schreibberechtigungen:
Aus dem Diagramm folgt:
Benutzer 1 hat das Recht, Objekte zu lesen und zu schreiben, die für die Arbeit mit Verschlusssachen bestimmt sind, sowie das Recht, Objekte mit begrenzten und freien Informationen zu lesen.
Benutzer 2 hat das Recht, Objekte zu lesen und zu schreiben, die zu den Informationen mit eingeschränktem Zugriff gehören, und hat auch das Recht, Objekte mit Informationen über freien Zugriff zu lesen und Objekte mit geheimen Informationen zu schreiben.
Benutzer 3: hat das Recht, Objekte mit freien Zugriffsinformationen zu lesen und zu schreiben sowie Objekte mit eingeschränktem Zugriff und geheimen Informationen zu schreiben.
Allen Benutzern wird jedoch der Zugriff auf Objekte mit streng geheimen Informationen verweigert.
Die einfachste Methode wird als diskretionär angesehen, was als weit verbreitet angesehen wird. Das Wesentliche des Zugriffs ist einfach: Der Eigentümer des Objekts entscheidet, wem und in welcher Form (Lesen, Schreiben usw.) Zugriff gewährt wird. Die Methode kann mithilfe von Zugriffslisten oder einer Zugriffsmatrix implementiert werden. Sie müssen jedoch berücksichtigen, dass ein Mitarbeiter mit bestimmten Rechten Ihr Objekt zur Verwendung auf ein anderes übertragen kann, ohne Sie darüber zu informieren. Wenn Sie mit wichtigen Informationen arbeiten, sollten Sie daher vorsichtig mit dieser Methode sein.
Lassen Sie uns als Nächstes über die rollenbasierte Zugriffssteuerungsmethode sprechen. Das Wesentliche dieser Methode ist einfach: Zwischen Benutzern des Systems und ihren Berechtigungen werden Zwischenentitäten angezeigt, die als Rollen bezeichnet werden. Bei der Methode wird davon ausgegangen, dass jedem Benutzer mehrere Rollen zugewiesen werden können, um Zugriff auf die erforderlichen Informationen zu erhalten. Diese Methode eliminiert den Missbrauch von Rechten, da sie das Prinzip der geringsten Privilegien implementiert.
Es bietet nur den Zugang zu einem Mitarbeiter, der in seinen Verantwortungsbereich fällt. Diese Methode implementiert auch das Prinzip der Aufgabentrennung, das die Verwaltung von Informationsressourcen vereinfacht. Der Nachteil dieser Methode besteht darin, dass sie bei einer großen Anzahl von Benutzern und Rollen schwierig zu implementieren ist, da sie teuer ist.
Es gibt andere Methoden, aber über die wichtigsten gesprochen. Alle oben genannten Methoden zur Organisation des Zugriffs sind ein wichtiger Schritt für die Sicherheit Ihres Unternehmens. Daher lohnt es sich, sie genau zu beachten.