De plus en plus, les problèmes de sécurité de l'information se préparent dans le monde informatique. En effet, le World Wide Web est devenu une plate-forme mondiale pour l'échange et le stockage d'informations, et le mot Internet est familier à tous. Dans le monde moderne, il est difficile de trouver une entreprise qui n'utiliserait pas les technologies Internet: toutes sortes d'applications, gadgets, dispositifs IOT - tout cela est en danger. Par conséquent, nous parlerons des bases de la sécurité de l'information, à savoir le contrôle d'accès.
Je voudrais discuter de certains aspects apparemment évidents de la sécurité de l'information. Ironiquement, beaucoup sous-estiment l'importance de la sécurité ou considèrent leurs mesures suffisantes. Il convient de rappeler
l'effet Dunning-Krueger, dont l' essence est que les personnes peu qualifiées dans certains domaines tirent des conclusions erronées. D'où les décisions infructueuses en affaires qu'ils ne sont pas en mesure de réaliser.
Sécurité de l'information - c'est un domaine dans lequel il n'est pas permis de supposer quoi que ce soit et d'agir selon le principe "ne serait-ce que pour faire pour l'espèce". La sécurité des informations doit être l'objectif ultime, un levier dans l'entreprise qui minimise les pertes et les dépenses et protège vos données. Le plus grand danger pour l'entreprise est le facteur humain. En effet, grâce à la manipulation astucieuse d'un employé, un attaquant est en mesure de compromettre votre système. Malheureusement, il existe une idée fausse selon laquelle si vous disposez d'une solide protection technique (toutes sortes d'IDS, de systèmes antifraude, d'antivirus, de DLP, de pare-feu), votre entreprise est en sécurité, mais ce n'est pas le cas. Notre psychologie est prévisible et, dans la plupart des cas, nos impulsions sont déclenchées par la peur et des actions téméraires. Prenons, par exemple, des attaques banales par la poste: l'employé a reçu une lettre indiquant qu'un système dans lequel il est enregistré est compromis. Cette nouvelle lui fera certainement peur et, avec une plus grande probabilité, il suivra le lien, donnant ses données aux attaquants. Par conséquent, il est important de configurer correctement l'accès et d'améliorer les compétences des employés en matière de sécurité de l'information. Toute une «science» est consacrée à ce sujet - l'ingénierie sociale, mais à ce sujet la prochaine fois, et aujourd'hui nous parlerons de l'organisation du contrôle d'accès.
Toute tâche est mieux vue sous un angle différent, cela s'applique également au contrôle d'accès: l'installation d'antivirus et d'autres moyens de protection ne suffit pas. Du raisonnement logique, en option, la formule suivante émerge:
Un bon système de contrôle d'accès = mesures administratives + mesures techniques + protection physique.Qu'est-ce qui est inclus dans les mesures administratives? Oui, tout est très simple! Il s'agit de l'organisation correcte de la documentation dans le système de gestion de la sécurité de l'information. Une bonne politique de sécurité, des méthodologies d'évaluation des risques, des audits internes, des procédures, la formation du personnel - tout cela contribue à la bonne organisation de la sécurité en entreprise.
Dans la politique de sécurité, il est très important de refléter les objectifs de l'entreprise et la portée (les unités couvertes par cette politique), ainsi que de prendre en compte les exigences de l'entreprise, des partenaires et des clients. L'entreprise doit identifier les actifs informationnels, et les actifs qui nécessitent un traitement plus attentif doivent être classés par importance et valeur. Pour déterminer qui a accès aux actifs et est responsable de la mise en œuvre des mesures de sécurité des informations, vous pouvez utiliser le tableau des rôles (le tableau indique les rôles et qui est responsable de ce qui est alloué). Une autre étape importante est la formation: invitez des spécialistes ou engagez ceux qui informeront vos employés des règles de sécurité du réseau (par exemple: qu'est-ce que le phishing, comment le reconnaître, comment pirater un ingénieur social et quel site est sûr). Ce sont des aspects très importants, car c'est le facteur humain qui est le maillon le plus vulnérable. Les audits internes vous aideront à identifier les lacunes de votre système de gestion de la sécurité de l'information, à déterminer quels services sont vulnérables et quels services ont besoin d'une formation avancée, et à comprendre si les exigences spécifiées dans la politique sont respectées. Il est important de choisir un auditeur compétent qui vérifiera soigneusement l'état de votre système pour le respect des règles. Grâce à la méthodologie d'évaluation des risques, vous pouvez calculer la probabilité de certaines menaces, détecter les menaces existantes et choisir d'autres actions en matière de risques.
Par matériel, nous attribuons divers logiciels et matériels, des services de sécurité de l'information. Il peut s'agir de systèmes de mots de passe, de pare-feu, de scanners de sécurité, de protocoles sécurisés, de systèmes d'exploitation, etc. Vous devez être extrêmement prudent avec les systèmes de mot de passe. Puisqu'ils sont toujours sous le contrôle des attaquants, ils sont les plus à risque. En communiquant avec un grand nombre de personnes, j'ai remarqué à quel point ils sont faciles et négligents pour la protection par mot de passe (ils inventent des mots de passe simples, les stockent dans des endroits accessibles), sans se rendre compte qu'un attaquant peut facilement les casser. Par exemple, prenez un type d'attaque tel que la force brute (qui signifie des mots de passe de force brute). Supposons que vous n'ayez pas vraiment fantasmé sur votre mot de passe et que vous ayez pris un pirate informatique courant, en connaissant votre courrier, l'utilisation de divers dictionnaires trouvera une correspondance et compromettra votre système. Tout est simple! Il convient également de rappeler et de rappeler aux employés les e-mails de phishing: n'ouvrez pas de liens et entrez un mot de passe, respirez et comprenez-le.
Eh bien, le troisième est la protection physique: verrous, protection spéciale, caméras vidéo, systèmes d'accès, etc.
Je veux également me concentrer sur trois méthodes de contrôle d'accès. Si votre travail est lié à des données sensibles et des informations sensibles, des secrets d'État, vous devez faire attention à la méthode de contrôle d'accès obligatoire. La particularité de cette méthode réside dans sa hiérarchie, puisque les employés et les objets (fichiers, documents, etc.) se voient attribuer un certain niveau hiérarchique de sécurité. Le niveau de sécurité d'un objet caractérise sa valeur et, en fonction du niveau, une étiquette de sécurité lui est affectée.
Le niveau de sécurité caractérise le degré de confiance envers l'employé ainsi que sa responsabilité vis-à-vis de ces informations. Le système d'exploitation attribue certains attributs au salarié, grâce auxquels ce dernier se voit accorder l'accès dans le cadre de ses pouvoirs officiels. Prenons l'exemple suivant, disons que nous avons plusieurs niveaux d'accès:
- Informations top secrètes (accès refusé);
- Informations secrètes;
- Informations d'accès restreint;
- Informations d'accès gratuit.
Nous avons également des utilisateurs qui ont différents niveaux d'accès aux informations ci-dessus:
- Utilisateur 1 - travaille avec des informations classifiées;
- Utilisateur 2 - travaille avec des informations d'accès limité;
- Utilisateur 3 - fonctionne avec des informations d'accès gratuit.
Imaginons la structure de notre système sous la forme du diagramme suivant, où RW - autorisations de lecture et d'écriture, R - autorisations de lecture, W - autorisations d'écriture:
Il ressort du diagramme que:
L'utilisateur 1 a le droit de lire et d'écrire des objets destinés à travailler avec des informations classifiées, ainsi que le droit de lire des objets avec des informations limitées et gratuites.
L'utilisateur 2 a le droit de lire et d'écrire des objets appartenant aux informations d'accès restreint, et a également le droit de lire des objets avec des informations d'accès libre et le droit d'écrire des objets avec des informations secrètes.
Utilisateur 3: a le droit de lire et d'écrire des objets avec des informations d'accès libre, ainsi que le droit d'écrire des objets avec un accès limité et des informations secrètes.
Mais tous les utilisateurs se voient refuser l'accès aux objets contenant des informations top secrètes.
La méthode la plus simple est considérée comme discrétionnaire, ce qui est considéré comme assez courant. L'essence de l'accès est simple: le propriétaire de l'objet décide à qui accorder l'accès et sous quelle forme (lecture, écriture, etc.). La méthode peut être implémentée à l'aide de listes d'accès ou d'une matrice d'accès, mais vous devez considérer qu'un employé avec certains droits peut transférer votre objet à un autre pour l'utiliser sans vous en informer. Par conséquent, si vous travaillez avec des informations importantes, vous devez vous méfier de cette méthode.
Ensuite, parlons de la méthode de contrôle d'accès basée sur les rôles. L'essence de cette méthode est simple: entre les utilisateurs du système et leurs privilèges apparaissent des entités intermédiaires, appelées rôles. La méthode suppose que pour chaque utilisateur plusieurs rôles peuvent être attribués, donnant accès aux informations nécessaires. Cette méthode élimine l'abus de droit, car elle met en œuvre le principe du moindre privilège.
Il fournit uniquement ce niveau d'accès à un employé qui relève de son domaine de responsabilité. De plus, cette méthode met en œuvre le principe de séparation des fonctions, ce qui simplifie la gestion des actifs informationnels. L'inconvénient de cette méthode est qu'elle est difficile à mettre en œuvre lorsqu'il y a un grand nombre d'utilisateurs et de rôles, car elle est coûteuse.
Il existe d'autres méthodes, mais a parlé de la clé. Toutes les méthodes ci-dessus d'organisation de l'accès sont une étape importante dans la sécurité de votre entreprise et il convient donc d'y prêter une attention particulière.