Компоненти на Информациската безбедност или квалитети се т.е. Доверливост, Интегритет и Достапност (ДИД). Информатичките системи може да се поделат на три главни компоненти – хардвер, софтвер и врски/комуникатори со цел да ги идентификуваат и применуваат стандардите на индустриска безбедност, како начин за заштита и спречување на три нивоа, физико, лично и организациско. Всушност постапките и стартегиите се спроведуваат со цел да им бидат доближени на луѓето (администратори, корисници и оператори) начините за употреба на алатките за обезбедување безбедност на информациите во рамките на организациите.
Под информациска безбедност се подразбира заштита на информациите и информациските системи од неовластен пристап, искористување, обелоденување, прекин, модификација, проучување, испитување, снимање или уништување.
Поимот информациска безбедност, компјутерска безбедност и информациско осигурување имаат допирни точки и поради тоа честопати погрешно се употребуваат. Областите меѓусебно се поврзани и споделуваат заеднички цели кои се насочени кон заштита на доверливоста, интегритетот и достапноста на инфромациите, меѓутоа меѓу нив постојат значајни разлики.
Разликите се најочиглени во пристапот на одреден предмет, методот кој се користи, и областите на кои се сконцентрирани. Информациската безбедност се занимава со доверливост, интегритетот и достапноста на податоците независно од нивната форма- електронска, печатена или некоја друга форма.
Компјутерската безбедност се фокусира на обезбедување достапност и правилно дејствување на компјутерскиот систем без оглед на зачуваните или обработени податоци во компјутерот.
Владите, војската, корпорациите, финансиските институции, болниците и приватните бизниси имаат натрупано многу доверливи информации за нивните вработени, потрошувачите, производите, истаржувањата и финансиската состојба. Најголен дел од информациите денеска се собираат, обработуваат и зачувуваат на електронски компјутери и се пренесуваат преку мрежите до други компјутери.
Дали треба да се дозволи доверливите информации за деловните клиенти, финансиите, или новиот производ да паднат во рацете на конкуренцијата, таков пропуст во безбедноста може да доведе до пропаѓање на бизнисот, сидски постапки, па дури и банкрот. Заштитата на доверливите информации е потреба во бизнисот, во многу случаи е од етичка и правна важност.
За поединецот, информациската безбедност значително влијае на приватноста, што во различни култури различно се толкува.
Информацискта безбедност како оделна област постепено се развивала низ годините. Постојат повеќе начини да се напредува во оваа област. Понудени се повеќе области за специјализација како што се заштита на мрежи и инфраструктура, заштита на апликации и бази на податоци, испробување на безбедноста, ревизија на информациските системи, планирање на континуитетот на бизнисот и наука за дигитална форензика.
Историја
Со самото појавување на записките, шефовите на држави и влади и воени команданти ја согледале потребата од механизам за заштита на доверливоста на пишаната кореспонденција и изнаоѓање начин за откривање на фалсификати.
Јулиј Цезар бил заслужен за пронаоѓањето на Цезаровата шифра во 50-тите години п.н.е., која била формирана за да се спречи неговите тајна пораки да бидат прочитани, т.е. да паднат во погрешни раце.
Втората светска војна донела многу напредок во сферата на информациската безбедност и го одбележала почетокот на професионалната сфера на информациската безбедност.
На крајот од 20 век и почетокот од 21 век бил забележан значителен напредок во областа на телекомуникациите, компјутерскиот хардвер и софтвер, и кодирањето на податоци. Достапноста на помала, помоќна и помалку скапа компјутерска опрема ја става електронска обработка на податоци на дофат на малите бизниси и на приватните корисници. Овие компјутери многу брзо станаа меѓусебно поврзани преку мрежа генерички наречена Интернет или World Wide Web ( Светски распространета мрежа).
Брзиот раст и широката распространетост на електронска обработка на податоци и електронски бизнис спроведена преку Интернет, заедно со бројните појавувања на меѓународниот тероризам, ја наметнаале потребата од подобри методи за заштита на компјутерите и информациите што ги чуваат, обработуваат и пренесуваат. Академските дисциплини компјутерската безбедност, безбедноста на информациите и осигурување на информациите се појавиле заедно со голем број професионални организации - сите споделуваале заедничките цели за обезбедување на безбедноста и сигурноста на информациските системи.
Основни принципи
Клучни концепти
Веќе дваесетина години, информациската безбедност ги одржува доверливоста, интегритетот и достапноста (познати како тријада скатено ДИД) како основните принципи на информациската безбедност.
Постојано се дебатира околу проширувањето дали да се додаде нова вредност кон ова класично трио. Понекогаш се предлагаат други принципи, како што е на пример одговорноста, да се додада, меѓутоа истакнато е дека тематики како што е неотповикливоста не се вклопуваат во рамките на три основни концепти. Со самото тоа што регулирањето на компјутерските системи е во пораст (особено во западните земји), законитоста станува основна грижа за практичните безбедносни инсталации.
Во 2002 година, Дон Паркер предложи алтернативен модел за класичната ДИД тријада што тој го нарече шест атомски елементи на информациите. Елементите се доверливост, поседување, интегритет, оригиналност, достапноста и корисност. Основаноста на Паркеровата хексада е предмет на дебата меѓу професионалците за безбедност.
Доверливост
Доверливоста е термин кој поконкретно значи да се спречи објавување на информации на неовластени поединци или системи. На пример, за една трансакција со кредитна картичка на интернет потребно е да се внесе бројот на кредитната картичка за да бидат средствата пренесени од купувачот до трговец, а потоа од трговецот до мрежата која ја обработува трансакцијата. Системот се обидува да ја одржи доверливоста со шифрирање на бројот на картичката за време на преносот, со ограничување на места каде што може да се појави (во базите на податоци, податотеки, печатени на фискални сметки, и така натаму), и со ограничување на пристапот до местата каде што се чуваат.Ако неовластен субјект го добива бројот на картичката на било кој начин, настанало рушење на доверливоста.
Нарушување на доверливоста може да се појави во многу форми. Дозволувајќи некому да ви погледне преку рамо додека работите со доверливи информации на вашиот компјутер може да доведе до рушење на доверливоста. Доколку лаптоп компјутер кој содржи доверливи информации за вработените на компанијата е украден или продаден, тоа би можело да резултира со повреда на доверливоста. Давање доверливите информации преку телефон ја руши доверливоста ако повикувачот не е овластен да ја поседува информацијата.
Доверливоста е потребна (но не е доволна) за одржување на приватноста на луѓето чии лични податоци се содржани во системот. [Се бара извор]
Интегритет
Во областа на информациската безбедност, под интегритет се подразбира дека податоците не можат да се менуваат без тоа да биде забележано. Ова не е истото со референцијален интегритет во базите на податоци, иако на тоа може да се гледа како на специфичен случај на доследност како што се подразбира во класичните трансакциски процеси. Интегритет може да е нарушен кога пораката е изменета додека трае преносот. Системите за информациска безбедност обично обезбедуваат интегритет на пораката што е во прилог на зачувување на доверливост на податоците.
Достапност
За да може било кој систем за информациска безбедност да ја оствари својата цел, информација мора да биде на располагање кога е тоа потребно. Ова значи дека компјутерски системи кои се користат за чување и обработка на информациите, контролите врз безбедноста кои се користат за да ги заштитат, и протокот на информации кој се користи за пристап треба да функционираат правилно.Системите кои нудат висококвалитетна достапност имаат за цел да бидат на располагање без прекин, да го спречат прекинот на услугата поради прекини во напојувањето, хардверски грешки, и надградби на системот. Обезбедување на достапноста, исто така, вклучува спречување на напад врз услугата.
Автентичност
Во пресметките, електронскиот бизнис и информациската безбедност неопходна е да се потврди веродостојноста на податоците, трансакциите, комуникациите и документите (физички или електронски). Исто така важно е за да се провери дека двете вклучени страни се тие кои тврдат дека тие се, односно да се потврди нивната автентичност.
Неотповикливост
Според законот, под поимот неотповикливост се подразбира намерата на поединецот да ги исполнат своите обврски кон договорот. Тоа исто така значи дека едната страна кој ја врши трансакцијата не може да го одрече добивањето на трансакцијата, ниту пак другата страна може да негира дека ја испратила трансакција.
Електронската трговија ја користи технологијата како што се дигитални потписи и енкрипција за да се утврди автентичноста и неотповикливоста.
Управување со ризик
Сеопфатен пристап кон темата управување со ризик е надвор од опсегот на овој текст. Сепак, ќе бидат приложени корисни дефиницијата за управување со ризик, како и основна терминологија и најчесто користен пристап на управување со ризик.
Ревидиран прирачникот од 2006 година ја дава следнава дефиниција за управување со ризик:Управување со ризикот е процес на идентификување на слабостите и заканите кои се однесуваат изворите на информации користени од страна на определена организација во остварувањето на деловните цели и одлучување кои контрамерки, ако има такви, да се преземат за намалување на ризикот на прифатливо ниво, врз основа на вредноста на информацискиот ресурс за организацијата.[2]
Постојат две нејасностии во дефиницијата. Прво, процесот на управување со ризик е постојан итерактивен процес кој трае неограничено. Деловната атмосфера постојано се менува и нови закани и слабости се појавуваат секој ден. Второ,со изборот на контрамерки за контрола на компјутерите кои се користи за управување со ризици мора да одржуваат рамнотежа помеѓу продуктивноста, економичноста, делотворност на контрамерките и вредноста на заштитените информациски средства.
Ризик е веројатноста дека ќе се случи нешто непосакувано што предизвикува штета на информациското средство (или загуба на средства). Слабоста значи можност да се загрози или да се предизвика штета на информациското средство. Закана е се (човечки или друг фактор), кој има потенцијал да предизвика штети.
Веројатноста дека заканата ќе ја злоупотреби слабоста да предизвика штета создава ризик. Кога заканата ја искористува слабоста за да напраи штета, тоа има влијание. Според смислата на информациската безбедност, ова влијание доведува до загуба на достапноста, интегритетот и доверливоста, а веројатно и други загуби (изгубени приходи, губење на животот, губење на недвижен имот). Треба да се истакне дека не е можно да се идентификуваат сите ризици, ниту пак е можно да се елиминира сите ризици. Ризикот кој не може да се предвиден се ризик кој останува неанализиран.
Процена на ризикот се врши од страна на тим од луѓе кои имаат познавања на одредени области на бизнисот. Составот на тимот може да варира според различните аспекти на бизнисот кои се проценуваат. Проценката може да се заснова на субјективна квалитативна анализа врз основа на мислење создадени според инфомираноста, или пак на историски податоци кои се достапни,во тој случај анализатата се потпира на квантитативно анализирање.
Истражувањето покажа дека најслаба точка во повеќето информациски системи е човечки фактор (корисник, операторот, дизајнер) [3] Кодот ISO / IEC 27002:2005 за управување со информациската безбедност препорачува следново да се испитува за време на проценката на ризикот:
- безбедносна политика,
- организирање на информациската безбедност,
- управување со средства,
- безбедност на човечките ресурси,
- физичка безбедност и безбедност на животната средина,
- управување со комуникации и операции,
- контрола на пристап,
- набавување на информациски системи, развој и одржување,
- управување со незгоди поврзани со инфомациската безбедност,
- управување со континуитетот на бизнисот, и
- усогласување со регулативите.
Во поширока смисла, процесот на управување со ризик се состои од:
- Утврдување на имотот и проценка на вредноста. Вклучени се: луѓе, згради, хардвер, софтвер, податоци (електронски, печатени и други), резерви.
- Извршување проценката на заканата. Вклучени се: природни појави, војна, несреќи, дејствија со задна намера кои потекнуваат од или надвор од организацијата.
- Проценка на слабостите, а за секоја слабост, пресметување која е веројатноста да биде искористена за лоши цели. Проценување на политики, процедури, стандарди, обука, физичка безбедност, контролата на квалитетот, техничката безбедност.
- Пресметување на влијанието што секоја закана може да го има врз средствата. Користење квалитативна или квантитативна анализа.
- Утврдување, избирање и спроведување соодветна контрола. Соодветна реакција. Треба да се земем предвид продуктивноста, ефикасноста, и вредноста на средството.
- Проценка на ефикасноста на мерките за контрола. Потврдување дека контролата ја обезбедува потребната заштита на ефикасноста без да има забележителен недостаток на продуктивност.
За секој даден ризик, извршниот менаџмент може да избере да го прифати ризикот врз основа на релативно ниска вредност на средството, релативно ниска честота на појавување и на релативно ниските влијание врз бизнисот. Или, пак, раководството може да избере да се намали ризикот избирајќи и спроведувајќи соодветни мерки за контрола за намалување на ризикот. Во некои случаи, ризикот може да се пренесе на друг бизнис при осигурување или при снабдување со инфомации кои потекнуваат од надворешни извори [4] Спорно е постоењето на некои ризици. Во такви случаи раководството може да одлучи да го негира постоењето на ризикот. Ова само по себе е потенцијален ризик. [Се бара извор]
Контрола
При ублажување на последици од ризик се употребуваат знаењата од областа на менаџментот како што е спроведување на една или повеќе од трите различни видови на контрола.
Административна контрола
Административнни контроли (исто така наречени процедурални контроли) се состои од одобрување на пишани начела, постапки, стандарди и упатства. Административните контроли ја формираат шемата за водење на бизнис и управувањето со луѓе. Ги информираат луѓето како да се води бизнисот и како да се споведуваат секојдневните активности. Законите и прописите кои се создадени од страна на владините тела се исто така еден вид на административна контрола, бидејќи тие го информираат деловниот сектор. Некои индустриски сектори имаат политики, процедури, стандарди и правила кои мора да се следат – Поставените стандарди за безбедност на податоците на платежната индустриска картичка (ПИК) конкретно на Виза и Мастер картичките се таков пример. Други примери на административна контрола се корпоративната безбедносна политика, политиката за лозинка, политиката на вработување и дисциплинарната политика.
Логичката и физичката контрола се засноваат на административните контроли. Административните контроли се од огромно значење.
Логичка контрола
Логичките контроли (исто така наречени технички контроли) го употребуваат софтверот и податоците за следење и контролира на пристапот до информации и компјутерски системи. Примери за логички конроли се - лозинки, мрежните заштитни ѕидови, систем за откривање упаѓање во мрежи, листи за контрола на пристапот и кодирање на податоци.
Често занемарувана логичка контрола е принципот на ограничен пристап. Принципот на ограничен пристап налага на поединецот, програмата или системскиот процес да не им биде дадени поголем пристап од најосновниот за извршување на одредена задача. Банален пример за непочитување на принципот на ограничен пристап е влегувањето во оперативниот систем Windows како административен корисник за да сурфате или прочитате електронска порака. Овој принцип е непочитуван и кога одредено лице со текот на времето се здобива со дополнителен пристап. Ова се случува кога настанува промена во должностите на вработените, или тие се промовираат на нова позиција, или се преместуваат на друг оддел. Со новите обврски им се додава пристап кој честопати едноставно е последователен на претходно дозволениот пристап кој можеби не е веќе соодветен или потребен.
Физичка контрола
Под поимот физичка контрола се подразбира следење и контрола на деловната средина и на компјутерската опрема. Исто така се подразбира следење и контрола на пристап до и од ваква опрема. На пример: врати, брави, греење и климатизација, чад и пожар, системи за гаснење на пожар, камери, барикади, грабеж, чувари, кабловска брави, итн. Одвојување на мрежата и работно место во функционалните области е исто така физичка контрола.
Важна физичката контрола која често се занемарува е поделбата на должностите. Со поделбата на должностите се оневозможува индивидуалецот да може сам да изврши критична задача. На пример: некој вработен кој поднесува барање за надомест не треба истовремено да биде надлежен за исплата, за печатење или проверка. Еден програмер за апликации не треба истовремено да биде администратор на опслужувачот или администратор на базата на податоци - Овие улоги и одговорности мора да бидат одделени една од друга. [5]
Внатрешна одбрана
Информациската безбедност мора да овозможи заштита на информацијата во текот на нејзиното постоење, од самото создавањето на информацијата па сè до пласирањето на истата. Информациите мора да бидат заштитени додека циркулираат но и кога се во мирување. Во текот на своето постоење информациите можат да поминат преку многу различни системи за обработка и преку многу различни делови од системи за обработка. Постојат многу различни начини на информирање и информациските системи можат да бидат загрозени. За целосна заштита на информациите за време на нивното постоење, секоја компонента од системот за обработка на информации мора да има сопствена механизми за заштита. Создавањето, насобирањето и совпаѓањето на безбедносните мерки се нарекува внатрешна одбрана. Силата на било кој систем не е поголема од неговата најслабата алка. Користејќи одбрана во внатрешната стратегија, доколку една мерка за одбрана е неуспешна, постои друга која ќе ја замени за да се проодлжи со заштитата.
Трите видови на контроли( административна, логичка и фиизчка) може да бидат основа на стратегијата за внатрешна одбрана. Според овој пристап, внатрешната одбрана може да биде разбрана како три различни слоеви поставени еден врз друг. Доколку си ја претставиме внатрешната одбраната како слоеви од кромид, каде податоците се суштината, луѓето се следниот надворешниот слој, додека сигурноста на мрежите и апликациите го формира останатиот слој, можеме да добиеме подобра претстава за внатрешната одбрана. И двете перспективи се подеднакво веродостојни и секоја дава драгоцени увид во спроведувањето на добра стратегија за внатрешна одбрана.
Класификација на инфомациска безбедност
Важен аспект на информациската безбедност и управување со ризик е препознавањето на вредноста на информации и дефинирање на соодветни постапки и потребна заштита на информации. Сите информации се различни и потребен е различен степен на заштита. Ова налага да се направи класификација на безбедноста.
Првиот чекор во информациската класификацијата е да се одреди член од повисокото раководство кој располага со одредена информација која треба да биде класифицирана. Следно, се разработува политика за класификација. Политиката треба да ги опише различните класификациони називи, дефинирање на критериумите со кои информациите се означуваат, како и список на потребните безбедносни контроли за секоја класификација.
Некои фактори кои влијаат врз класифицирањето на информаците се вредноста која ја има информации за организацијата, колку долго постои информацијата и дали податоци застаруваат. Законите и другите регулаторни барања се исто така важни при класифицирање на информациите.
Класифицирањето на називите на информациската безбедност кои се избрани да се употребуваат зависат од природата на организацијата, како на пример -
- Во деловниот сектор, како што називите: Јавни, Осетливи, Приватна, Доверливи.
- Во државниот сектор, како што се називите: Некласифицирани, Осетливи но некласифицирани, Ограничени, Доверливи, Тајна, Строго доверлива и нивните еквиваленти кои не се од англиското говорно подрачје.
- Во меѓусекторските формации се користи Протоколот на Семафорот, кој се состои од: бел, зелен, жолт и црвен.
Сите вработени во организацијата, како и деловните партнери, мора да бидат обучени за класификационата шема и да ги разберат потребните безбедносни контроли и процедури за справување со класификација. Класификациите на одредена информација треба периодично да се ревидираат за да потврди веродостојноста и потребните безбедносни контроли.
Контрола на пристап
Пристап до информација мора да биде ограничена на луѓе кои се овластени за пристап до информациите. Компјутерските програми, и во многу случаи компјутерите кои ја обработуваат информацијата мора да бидат овластени. Ова налага механизмите да можат да го контролираат пристапот до заштитената информација. Софистицираноста на механизмите за контрола на пристапот треба да бидат усогласени со вредноста на заштитената информација - колку по осетлива или вредна е информацијата, толку посилен треба да биде и контролниот механизм. Основата на која се градат механизмите за контрола се засноваат на идентификација и проверка на автентичноста.
Идентификација е всушност тврдење кој или што некој е. Ако некој ја даде изјавата: "Здраво, моето име е John Doe" тој тврди кој е всушност. Сепак, неговото тврдење може но и не мора да биде вистино. Пред да може John Doe да биде овластен да има пристап до заштитена информација, ќе биде потребно да се потврди дека лицето кое тврди дека се John Doe навистина е John Doe.
Проверка на автентичноста е чин на потврдување на изјавата за идентитетот. Кога John Doe оди во банка за да повлече готовина, тој му кажува на овластеното лице дека тој е John Doe (изјава за идентитет). Овластеното лице бара да види слика на личната карта, му ја подава и возачката дозвола. Овластеното лице ја проверува дозволата за да биде сигурен дека John Doe е на сликата и прави споредба меќу фотографијата на дозволата со лицето кое тврди дека е John Doe. Доколку фотографијата и името се однесуваат на истата личност, тогаш овластеното лице потврдува дека тоа е John Doe, кој веќе дал таква изјава.
Постојат три различни видови на информации кои можат да се користат за потврдување на автентичноста: нешто што го знаете, нешто што поседувате, или нешто што сте. Примери за нешто што го знаете се работите како ПИН, лозинка, или моминско презиме на мајка ви. Примери за нешто што поседувате се возачка дозвола или магнетна картичка за удар. Нешто што сте се однесува на биометрика. Примери на биометрика вклучуваат отпечатоци на дланка, отисоци од прсти, бојата на гласот и скенирање на ретината на окото. За да може да се потврди автентичноста треба да се дадат информации од две или три различни видови на автентични информации. На пример, нешто што го знаете и нешто што поседувате. Ова се нарекува двоен фактор на проверка.
На компјутерските системи кои се во употреба и денес, корисничкото име е најчестата форма за идентификација и лозинката е најчестата форма на проверка. Корисничките имиња и лозинки ја постигнаа својата цел, но во нашиот модерен свет тие веќе не се доволни. Корисничките имиња и лозинки се полека се заменува со пософистицирани механизми за проверка.
Откако одредено лице, програма или компјутер успешно ќе се идентификуваат и ќе бидат логиран, следното што треба да се направи е да се определи на какви информациските ресурси им се дозволува пристап и какви активности ќе им биде дозволено да извршуваат (погледнување, создавање, бришење или промена). Ова се нарекува овластување.
Овластување за пристап до информации и други компјутерски услуги започнува со административни политики и процедури. Политиките пропишуваат до какви информациите и компјутерски услуги може да се има пристап и под какви услови. Механизмите за контрола на пристапот се конфигурирани за да ги спроведуваат овие политики.
Различни компјутерски системи се опремени со различни видови на механизми за контрола на пристап - некои дури може да понудат различен избор на механизми законтрола на пристап. Понудите за системи на механизмите за контрола на пристап ќе се засноваат врз еден од три пристапи за контрола на пристап или може да потекнуваат од комбинација на три пристапи.
Со недискрециониот пристап се утврдуваат целосната контрола на пристап во централизирана администрација. Пристапот до информации и други ресурси обично се заснова на функцијата на поединци (нивната улога) во организацијата или задачите кои поединецот треба да ги исполни. Дискрециониот пристап му овозможува на оној кој ја создал или ја поседува информацијата можност да го контролира на пристапот до овие средства. Според задолжителна контрола на пристап, пристапот е одобрен или одбиен зависно од класификацијата на безбедноста доделени на информацискиот ресурс.
Примери на заеднички механизми за контрола на пристап кои се во употреба денес се пристап заснован на улога кој е достапен во многу напредни системи за управување на бази на податоци, едноставно дозволи за работа со податотеки предвидени во UNIX и Windows оперативните системи, Group Policy Objects предвидени во Windows мрежните системи, Kerberos, RADIUS,TACACS, и едноставна список на пристап до многу заштитни места и насочувачи.
За да бидат ефективни, политики и други безбедносни контроли мора да бидат применлива и потврдени. Со помош на делотворните политики се птврдува одговорноста на луѓето за своите постапки. Сите успешни и неуспешни потврди на автентичноста мора да бидат најавени, и секаков пристап до информации мора да биде забележан на некој начин. [Се бара извор]
Криптографија
Информациската безбедност се потпира на криптографијата за да ја трансформира употребливата информација во форма што ја прави неупотреблива за никој друг освен на овластен корисник; овој процес се нарекува шифрирање. Информациите коишто биле шифрирани (неупотребливи) може да се трансформира назад во својата оригинална форма од страна на овластениот корисник, кој го поседува шифрарникот, преку процесот на дешифрирање. Криптографија се користи во информациската безбедност за да се заштитат информациите од неовластено или случајно откривање додека информациите е во транзит (или по електронски пат или физички) и додека информациите се чуваат.
Криптографија овозможува информациска безбедност користејќи други корисни апликации, како и вклучувајќи подобрени методи за проверка, преглед на порака, дигитални потписи, неотповикливост, и шифрирана мрежа на комуникации. Постара помалку безбедна примена како телнет и ftp полека се заменуваат со посигурни апликации како што ssh кои користат шифрирани комуникациски мрежи. Безжични комуникации може да биде шифрирана со протоколи како WPA/WPA2 или постарите (и помалку безбедна) WEP. Кабелските комуникации (како ITU-T G.hn) се обезбедени со користење на AES и X.1035 шифрарникот за потврдување на автентичноста и размена на клучни шифри. Софтверски апликации како што се GnuPG или PGP може да се употреби за шифрирање на податотеки со податоци и електронска пошта.
Со криптографија може да се предизвика безбедносни проблеми кога не е спроведувана правилно. Криптографски решенија треба да се имплементираат за користење на индустријата прифатени решенија кои биле подложени на строги ревидирања од страна на независни експерти во криптографија.Должината и јачината на шифрраниот клуч е исто така важен елемент. Клуч кој е слаб или премногу краток ќе создаде послаби шифри. Копчињата кои се користат за кодирање и декодирање треба да се еднакво заштитени како и секоја друга доверливи информации. Тие мора да бидат заштитени од неовластено откривање и уништување и мора да бидат достапни кога е потребно. Решенијата PKI се однесуваат на многу од проблемите што се составен дел од управувањето со шифрарникот.
Процес
Термините разумно и претпазливо лице, со должно внимание и почит се користат во областа на финансиите, хартии од вредност и Законот веќе многу години. Во последниве години овие термини ја нашле својата употреба во областа на компјутерите и информациската безбедност. Насоките за донесување пресуда во рамките на сојузните држави на САД овозможи корпорациските службеници одговорни за неуспехот да практикуваат должно внимание и грижа во управувањето со нивните информациски системи.
Во светот на бизнисот, акционерите, клиентите, деловните партнери и влади имаат очекување дека корпоративните службеници ќе започнат бизнис во согласност со прифатените деловни практики и во согласност со законите и другите регулаторни барања. Ова е често опишуван како правило на"разумно и претпазливо лице". Грижата на разумното лице е да потврди дека сè што е потребно за да функционира бизнисот е направено според деловниот принцип и тоа на легален и етички начин. Разумната личност е, исто така, вредна (свесна, внимателелна, и секогаш во тек).
Во областа на информациската безбедност, Харис [6] ги нуди следниве дефиниции на должно внимание и почит:
"Направените чекори сè со цел да заштитат и да покажат дека компанијата презема одговорност за активностите кои се одвиваат и ги има направено потребните чекори за да се помогне во заштитата на компанијата, нејзините ресурси, како и вработените." И, (должно внимание и почит е) "континуирани активности со кои се потврдува дека механизмите за заштита постојано се одржуваат и оперираат."
Треба да се обрне внимание кон две битни точки во овие дефиниции. Прво, за должно внимание, направени се чекори за да се покаже - ова значи дека чекорите може да биде потврдена, измерени, па дури и да дадат видливи артефакти. Второ, за должна почит, постојат континуирани активности - тоа значи дека луѓето всушност ги вршеле активностите за следење и одржување на заштитни механизми, и овие активности се во тек.
Безбедно раководење
Институтот за Софтверско инженерство на Универзитетот Карнеги Мелон, во изданието под наслов "Управање со безбедност на претпријатијата (УБП)", ги дефинира одликите на делотворно безбедносно раководење. Тие вклучуваат:
- Поопширни теми во склопот на претпријатието
- Водачите преземаат одговорност
- Рагледувани како деловни барање
- Засновани на ризик
- Улоги, одговорности, и распределување на утврдените должности
- Се однесуваат и се спроведуваат во политиката
- Соодветни извори на обврски
- Обучени и свесен работен кадар
- Развојна животниот стартегија
- Предвидено, извршено, мерливо, и мерено
- Извршена ревизија и ревидирање
План за одговорност при настанување на инцидент
Главна статија: Управување со инциденти во компјутерска безбедност
- Избор на членовите на тимот
- Дефинирање на улоги, одговорности и авторитет
- Дефинирање на безбедносен инцидент
- Дефинирање на инцидент кој може да се репортира
- Обука
- Детекција
- Класификација
- Ескалација
- Задржување
- Искоренување
- Документација
Управување со промени
Главна статија: Управување со промени
Управување со промените е формален процес на насочување и контролирање на промените кои настануваат во средината каде се обработуваат инфомациите. Тука се вклучени и промените кои настануваат во компјутерите, мрежата, опслужувачите и софтверите. Целта на управување со промени е намалување на ризиците кои ги наметнуваат промените, кои настануваат во средината каде се обработуваат инфомациите и подобрување на стабилноста и сигурноста во средината каде се обработуваат инфомациите и притоа настануваат промени. Управувањето со промените нема за цел да спречи или попречува потребните промени да се спроведуваат.
Секоја промена која настанува во средината каде се обработуваат инфомациите наметнува одредена доза на можност од ризик. Дури и навидум едноставни промени може да предизвикаат неочекувани ефекти. Една од основните задачи на управувањето е управувањето со ризик. Управувањето со промените е метод за управување со ризик наметнат од промените кои настануваат во средината каде се обработуваат информаците. Процесот на управување со промени гарантира дека промените не се спроведени во несоодветно време, кога можат да ги нарушат важните деловни процеси или да ги попречуваат другите промени кои се спроведуваат.
Нема потреба секоја промена да биде управувана. Некои промени се дел од секојдневната рутина на обработка на информации и се придржуваат на претходно дефинирани постапки, со што се намалува нивото на ризик во средината каде се обработуваат инфомациите. Создавање нова корисничка сметка или употребувањето на нов компјутер се примери на промени кои обично не е потребно да се управуваат. Сепак, преместувањето на акциските податотеки на корисникот, или надградба на опслужувач за електронска пошта повлекува многу повисоко ниво на ризик во средината каде се обработува инфомацијата затоа што овие активности не се од оние кои се изведуваат секојдневно. Првите критични чекори во управување со промените се (а) дефинирање на промени (како и пренесување на оваа дефиниција) и (б) дефинирање на опсегот на системски промени.
Управувањето со промени обично е надгледувано од Одборот за ревидирање на промени кој го сочинуваат претставници од важните деловни сектори, безбедност, вмрежување, администратори на системи, управување со бази на податоци, развој на апликативни системи, работен простор за поддршка и биро за помош. Задачите на Одборот за ревидирање на промени може да се поедностават со употреба на автоматска апликација за проток на работните задачи. Одговорноста на Одборот за ревидирање на промени е да се погрижи процесите на управувањето со промени да бидат документирани. Поцесот на управување со промени се одвива на следниов начин:
- Побарано: Секој може да побара промена. Лицето што го прави барањето за промена може но и не мора да биде истата личност која ја врши анализа или ја спроведува промената. Откако барањето за промена ќе биде примено, првично подлежи на преглед за да се утврди дали бараната промена е соодветна со деловниот профил и практиките на организацијата, и да се утврди висината на потребните средства потребни за спроведување на промени.
- Одобрено: Со помош на управувањето се води бизнисот и се контролира распределбата на ресурсите. Поради тоа овластените лица за управувањето т.е менаџерите треба да ги одобрат барањата за измени и да определат приоритет при споведувањето на секоја промена. Менаџерите можат да одлучат да не го прифатат барањето за промена доколку барањето не е соодветно со деловниот профил на организацијата, индустриските стандарди или најсоодветните практики. Менаџерите, исто така, можат да одлучат да го одбијат барањето за промена ако за спроведување на промената потребни се повеќе ресурси отколку што можат да бидат одвоени за конкретната промена.
- Планирано: Под планирана промена се подразбира проучување на опсегот и влијанието на предложената промена; анализирање на сложеноста на промената; распределување на ресурсите и развој, проверување и документирање на планот за проведување и планот за повлекување доколку има потреба од тоа. Потребно е дефинирање на критериуми врз основа на кои може да се одлучи повлекување од првичниот план.
- Проверување: Секоја промена треба да биде проверена пред да се примени во средина каде се произведува и твори. Проверката треба да се изведе во средина каде нема да настанат несакани последици, средина која е одраз на реалната средина каде се создава и твори. Планот за повлекување исто така мора да се провери.
- Распоредување: Дел од одговорност на Одборот за ревидирање е да помогне околку распоредувањето на промените со разгледување на датумот за предложените спроведувања поради тоа што можат да настанат некои поклопувања со промените во распоредот на други промени или важни деловни активности.
- Пренесување: Откако промената ќе биде поставена во распоредот, таа информација мора да биде пренесена. Се врши пренесување за да можат другите да го известат Одборот за ревидирање на промени за некоја друга промена или важна деловна активност и да се добегне преклопување доколку во распоредот настанат промени. Со пренесувањето исто така се известуваат корисниците на Бирото за помош дека ќе се случи некоја промена. Друга одговорноста на Одборот за ревидирање на промени е да се осигури дека оние кои ќе се засегнати од промената или имаат некој интерес од таа промена се навремени известени за настанатите промени во распоредот.
- Спроведување: Промената мора да биде спроведена во точно одреден рок. Дел од процесот на планирање е да се развие план за спроведување, план за проверување, план за повлекување. Доколку спроведувањето на промената или спроведувањето на проверката не е успешно, или пак доколку се појави некоја друга непредвидена пречка, тогаш се спроведува планот за повлекување.
• Документирање: Сите промени мора да бидат документирани. Во документацијата се вклучува првичните барања за промени, одобрувањето на барањето, назначените приоритети, спроведувањето, проверувањето и планот за повлекување, резултатите добиени според критиките на Одборот за ревидирање на промени, датумот/ времето кога промената е успешно спроведена, или пак е несупешно спроведена или одложена.
• Ревидирање на промената по нејзиното спроведување: Одборот за ревидирање на промени треба даја ревидира промената по нејзиното спроведување. Особено е важно да се ревидираат неуспешните или повлечените промени. Одборот за ревидирање на промени треба да ги разбери проблемите кои се појавиле и трба да изнајде начин за поправање на грешките.
Постапките за управување со промените коишто се едноставни да се следат и лесени за употреба во голема мера можат да го намалат севкупниот ризик кој се создава при промени во средината каде што се обработува информацијата. Добро спроведените постапки за управување со промени го подобруваат квалитетот и успехот на промените при нивното спроведување. Ова се постигнато со планирање, ревидирање, документација и пренесување.
Библиотеката за Инфраструктура на Инфоматичката технологија обезбедува корисни насоки при спроведувањето ефикасни и ефективни програми за управување со промени.
Континуитет на бизнисот
( Оваа статија е во форма на есеј кој претставува личен став )
Континуитетот на бизносот е механизам со кој една организација може да ги одржи да функционираат и критичните деловни единици, за време на планирани или непланирани прекини кои влијаат на нормалното работење, со повикување на планирани и управувани процеси.
За разлика од она што повеќето луѓе мислат, континуитетот на бизнисот немора да биде поврзан со ИТ системот или процесот, едноставно поради тоа што станува збор само за бизнисот. Денес е реалност бизнисот да биде нарушен или да му влијае некоја непогода. Независно од тоа дали катастрофата е природна или поради влијание на човекот, таа влијае како на нормалниот живот така и на бизнисот. Значи, зошто планирање е толку важно? Дозволете да се соочиме со фактот дека " за бизнисот во глобала дојдоа посветли денови ", без разлика дали се планира обновување на бизнисот или не, едноставно поради тоа што под бизнис се подразбира заработување на пари за преживување.
Планираме само за да бидеме подобро подготвени да се соочиме со тоа, знаејќи дека и најдобрите планови неможат да успеат во целост. Планирање помага да се намалат трошоците за обновување и оперативните трошоци.
За да може во бизносот да се направат ефикасни планови, треба да се фокусираме врз следните клучни прашања. Повеќето од нив се општо познати.
- Доколку се случи некоја катастрофа, кои се првите неколку работи што треба да се направат? Треба ли да им се ѕвони на луѓето да се провери дали се добри или пак треба да се побара банката дали парите се сè уште сигурни? Ова е прашањата кои ни налагаат да рагираме во итен случај. Услугата за справување со итни случаи го презема првиот чекор во вакви случаи. Доколку катастрофата е премногу силна итно треба да се повика Тимот за справување со кризи.
- Кои аспекти на бизнисот треба првично да се санкционираат? Оној кој материјално е најсилен или оној кој повлекува најмногу трошоци, или пак оној кој дава најголема сигурност дека може да се проодлжи понатаму? Ова се критичните сектори на секој бизнис. Не постои магично решени во овој случај, никој ги нема сите одговори. Бизнисите треба да го изнајдат одговорот кој ги исполнуваат барањата на бизнис во најголема мера.
- Кога треба да започнам со обновување на бизнисот? Ова се т.н. Цели во период на обнова. Треба да се дефинира колку ќе чини обновата на бизнисот.
- Што се е потребно за да се обнови бизнисот?машини, записи... храна, вода, луѓе... Постојат толку многу аспекти. Трошоците стануваат се поевидентни... деловните водачи треба да се справат со континуитетот на бизнисот. Треба да се подзастане малку. Мојот менаџер потрошени 200.000 УСД минатиот месец и изготви План за справување со катастрофи, што всушност се слуши со тој план? Планот за справување со катастрофи е дел од сеопфатниот План за континуитет на бизнисот.
- Каде може да се обнови бизнисот од... Дали центарот за бизнис ќе ми даде простор за работа, или многумина ќе чекаат на ред поради истата причина како мене?
6. Но, штом еднаш се опоравам од катастрофата и продолжам да работат со намален капацитет на производство, бидејќи моите главни оператори се недостапни, колку долго тоа може да трае? Со ова се дефинира флексибилноста на бизнисот.
- Сега кога знам како да го водам својот бизнис. Како да сум сигурен дека мојот план ќе ги даде очекуваните резултати? Многу експери ќе ви предложат проверка на планот барем еднаш во годината, проверка дали планот е соодветен, ревидирање или ажурирање на годишно ниво или пак кога настанува некоја промена во бизнисот.
Стартегија за опоравување од катастрофи
Додека планот за континуитет на бизнисот сеопфатно се справува со несаканите последици од катастрофи, Стартегија за опоравување од катастрофи, која произлегува од овој план, е фокусирана на преземање на неопходни чекори за да може да се продолжи со нормално работење во најкус можен рок. Стартегија за опоравување од катастрофи се спроведува веднаш по несреќата и налага конкретни чекори кои треба да се преземаат со цел да се настанатите штети во инфраструктура на информатичката технологија [7].
Закони и прописи
Подолу е наведена делумната список на владини закони и прописит на Европската Унија, Велика Британија, Канада и Соединетите Американски Држави кои имаат или ќе имаат значителен ефект врз обработката на податоците и инфомациската безбедност. Исто така беа вклучени важни регулативи во индустрискиот сектор, кога имаат значително влијание врз инфомациската безбедност
- Одредбата за заштита на податоците на Велика Британија од 1998 година изготви нови одредби за обработка на информациите кои се однесуваат на поединци, вклучувајќи го и добивањето, одржување, употреба или откривање на таквите информации. Директивата на Европската Унија за заштита на податоците бара сите земји членки на Европскта Унија да усвојта национални прописи за да се стандардизира заштитата на личните податоци на граѓаните низ Европската Унија.
- Со Одредба на Парламентот на Велика Британија за злоупотреба на компјутерски системи од 1990 година криминалот врз компјутерските системи се смета за криминален прекршок (на пример дешифрирањето - понекогаш погрешно се нарекува хакерство). Одредбата стана модел врз кој неколку други земји, вклучувајќи ги Канада и Република Ирска започнаа со изготвување на сопствени закони за инфомацикса безбедност.
- Законот на Европската Унија за задржување на податоците налага давателите на интернет услуга и телефонските компании да ги чуваат податоците за секоја електронска порака и телефонски разговор направен во период од шест месеци до две години.
- Сојузниот закон на Соединетите Американски Држави за Правата на семејставата на образование и Одредбата за приватност ја штити приватноста на студентските записи додека студираат. Законот важи за сите училишта кои добиваат средства од Одделот за образование на Соединетите Американски Држави. Всушност, училиштата треба прво да поседуваат писмена дозвола од родител или ученик за да можат да користат некоја информација од студенсткиот записник.
- Законот за преносливост и одговорност за здравственото осигурување од 1996 година бара усвојување на националните стандарди за електронски пренос на здравствената заштита, национален идентификатор за давателите на услуги, планови за здравствено осигурување и усвојување на стандардите за работодавачите во тој сектор. Се налага давателите на здравствени услуги, давателите на осигурителни услуги и работодавците во тој сектор да обезбедат заштита на безбедноста и приватноста на здравствени податоци.
- Одредбата од 1999 година( Gramm-Leach-Bliley Act ) исто така познат како Одредба за модрнизација на финансиските услуги, ја заштитува приватноста и безбедноста на приватните финансиски информации кои финансиските институции ги собираат, чуваат и обработуваат.
- Делот 404 од Одредбата (Sarbanes-Oxley Act of 2002 ) бара од јавните трговски компании да ја проценат ефикасноста на внатрешните контроли на финансиското извештаи во годишните извештаи што се поднесуваат на крајот на секоја фискална година. Шефот на информации службеници е одговорен за безбедноста, за точноста и веродостојноста на системи кои управуваат и известуваат на финансиските податоци. Одредбата, исто така, налага трговските компаниите јавно да ангажираат независни ревизори кои мора да ги потврдат и оценат своите проценки.
- Стандард за безбедност на податоците во индустријата со платежни картички - воспоставува сеопфатен барања за подобрување на безбедноста на податоците на платежните сметки. Стандардот е поставен од Советот за безбедносни стандарди. Овој стандард е повеќефункционален бидејќи вклучува барања за управување со безбедност, политики, процедури, мрежна архитектура, софтвер за дизајн и други критични заштитни мерки.
- Државен закон за известување при прекршок на безбедноста - бараат од бизнисот, непрофитните и државните институции да ги известат корисниците кога шифрираните "лични податоци"претрпуваат штета, загубена или пак се украдени.
- Одредба за електронска документација и заштита на личните податоци - одредба за поддршка и промоција на електронското тргување заштитувајќи ги лични податоци кои се собрани, се користат или се даваат во одредени околности, преку обезбедување употреба на електронски средства за комуникација или запишување на информациите, или трансакции.
Стандардизација
Меѓународната организација за стандардизација (МОС) е конзорциум од националните институции од 157 земји кои воспоставуваат стандарди, кој е координиран од секретаријатот во Женева, Швајцарија. Меѓународната организација за стандардизација е најголемиот инвеститорот во светот на стандардите. Меѓународната организација за стандардизација: Информатичка технологија - безбедносни техники – Систем за обезбедување информатичка сигурност, Информатичка технологија - безбедносни техники - Правилник за работа при управување со информациската безбедност, Информатичка технологија – Управување со услуги и Информатичка технологија - безбедносни техники - Системи за управување со информациска сигурност - Услови - се од особен интерес за експертите за информациска безбедност.
Националниот институт за стандарди и технологија во Соединетите Американски Држави е нерегулаторна федерална агенција во рамките на американското Министерство за трговија. Одделот за Компјутерска безбедност при Националниот институт за стандарди и технологија развива стандарди, параметрите, тестови и проверка на програми, како и објавува стандардите и насоките за зголемување на безбедноста при информатичкото планирање, имплементација, управување и работење. Националниот институт за стандарди и технологија, е исто така заштитник на Сојузниот стандард за обработка на податоци во Соединетите Американски Држави.
Интернет општеството е општество составено од професионално членство со повеќе од 100 организацијата и над 20.000 поединечни членови во повеќе од 180 земји. Од интернет општеството произлегуваат водачи кои можат да дадат решение на прашањата што се спротивставуваат на иднината на интернетот. Интернет општесвтото е заедница за групите кои се одговорни за стандардите за интернет инфраструктурата, вклучувајќи го работното тело на интернет инжинерството.
Форумот за информацикса безбедност е глобалена непрофитна организација од неколку стотици водечки организации во финансиските услуги, производство, телекомуникации, широка потрошувачка, Владата, како и други области. Форумот ги презема истражувања од областа на практиките за информациската безбедност и нуди совети двапати во годината за своите Стандарди за соодветни практики, нуди и советувачи кои им посветуваат поголемо внимание на членовите во Форумот.
Каталозите за оновна заштита на Инфоматичките технологии (Прирачникот за основна заштита кој се појави пред 2005година ) се збирка на документи од германската Федерална канцеларија за безбедност во информатичка технологија, корисна за откривање и справување со слабите точки кои се однесуваат на средината на информатичката технологиј. Колекцијата опфаќа над 3000 страници со вовед и каталози.
Професионалност
Професионализмот во Информациската безбедност е единство од знаење што луѓето кои работат во сферата на Информацикската безбедност и сличните области (Информациско осигурување и компјутерска безбедност) треба да го поседуваат и демонстрираат со помош на сертификати кои ги добиле од добро почитувани организации.
Тука,исто така, опфатен е и воспитно-образовниот процес кој налага да се исполнат различни задачи од овие области.
Усвојувањето на информатичката технологија е секогаш во подем и се распространува во се поорганизирана инфраструктура за граѓански и воени организации. Секој може да се вклучат во виртуелната војна (Cyberwar). Сосема е извесно дека една нација мора да има професионалци кои поседуваат многу вштини за да ги задоволат своите витални интереси.
Заклучок
Информациската безбедност е постојан процес кој поради должна почит и грижа постојано се грижи зазаштита на информацијата, информациските системи од неовластен пристап, искористување, обелоденување, уништување, модификација, нарушување или дистрибуција. Овој процес кој никогаш не престанува вклучува постојана обука, проценка, заштита, следење и откривање, соодветно реагирање при настанување на инцидент и негова санкција, документација и ревизија. Поради сето ова информациската безбедност е неопходен сегмент на сите операции кои се вршат во одреден бизнис независно од неговиот домен.