Организационные меры компьютерной безопасности включают

Обновлено: 05.07.2024

Меры безопасности данных, определенные Обработчиком данных в этом Приложении, были согласованы как обязательные.

1. Конфиденциальность (статья 32(1)(b) GDPR)

1.1. Входной контроль

Разделение объекта на отдельные зоны безопасности;
Защита от физического доступа, например через стальные двери, комнаты без окон или защищенные окна;
Защита зон безопасности с помощью электронной системы контроля доступа;
Наблюдение за объектом службами безопасности и регистрация доступа на объект;
Видеонаблюдение за всеми важными для безопасности зонами безопасности, такими как входы, аварийные выходы и серверные комнаты;
Централизованное назначение и отзыв разрешений на доступ;
Идентификация всех посетителей с помощью удостоверения личности;
Обязательная идентификация в зонах безопасности для всех сотрудников и посетителей;
Посетителей всегда должны сопровождать сотрудники.

1.2. Контроль доступа

1.3. Управление доступом

Обработчик данных обязан предотвращать несанкционированные действия в системах обработки данных. Соответственно, доступ к данным есть только у соответствующего контролера и небольшой группы администраторов с индивидуальными именами. Технические меры должны гарантировать, что контролер не сможет просматривать, изменять или удалять данные других контролеров. В экземпляре OpenProject доступ контролируется с помощью комплексной концепции управления доступом и авторизации на основе ролей. В экземпляре OpenProject права распределяются контроллером путем назначения соответствующих ролей и прав. Кроме того, контроллер имеет возможность адаптировать предварительно настроенные роли и права для своей организации к своим потребностям через административный интерфейс. Доступ к данным Контролера для представителей службы поддержки клиентов Обработчика ограничен основными данными и данными для выставления счетов, необходимыми для выполнения их функций обслуживания клиентов и выставления счетов за услуги хостинга. Представители службы поддержки клиентов не имеют доступа к данным клиентов в экземпляре OpenProject. Администраторам разрешен доступ к данным клиента только в случае возникновения ошибки, которую не могут устранить только Контролер и/или служба поддержки клиентов Обработчика.

1.4. Управление разделением

Все записи данных, которые собираются, обрабатываются или используются системами и приложениями обработчика, явно и четко закреплены за соответствующим обработчиком и технически отделены от других данных. Системы обработки данных Оператора специально разработаны для обработки данных, которая ограничивается конкретной целью и конкретным клиентом. Таким образом, доступ к данным другого клиента технически невозможен.

1,5. Псевдонимизация (статья 32(1)(a) в сочетании со статьей 25(1) GDPR)

Псевдонимизация предназначена для обеспечения невозможности или значительного затруднения идентификации субъекта данных, затронутого обработкой данных. Данные об удаленных пользователях в OpenProject анонимизируются, поэтому больше невозможно связать такие данные с соответствующими лицами.

2. Честность (статья 32(1)(b) GDPR)

2.1. Передать управление

Контроль за передачей данных Контролера обеспечивается различными техническими и организационными мерами безопасности. В рамках этих мер Обработчик никогда не хранит данные Контролера за пределами вычислительного центра. Сотрудники оператора вычислительного центра не имеют физического или технического доступа к данным Контроллера, поэтому они не могут ни просматривать, ни стирать, ни изменять такие данные. Резервные копии данных хранятся исключительно в зашифрованном виде. Данные Администратора не передаются на физических носителях данных. В целях выставления счетов за услуги платежные данные передаются в учетные системы Оператора по зашифрованному соединению.

2.2. Контроль ввода

Обработчик должен гарантировать прозрачность и/или документирование обработки данных. Для этого все записи, сделанные в системах и приложениях, протоколируются Процессором. Журналы архивируются и удаляются после достижения цели или на основании требований законодательства. Приложение OpenProject поддерживает ввод и изменение собственных данных исключительно через пользовательские интерфейсы и интерфейсы, предусмотренные для этой цели, в соответствии с детальной концепцией контроля доступа и авторизации на основе ролей. Для многих объектов Контроллер также может просматривать историю изменений данных через веб-интерфейс (например, рабочие пакеты, вики-страницы, репозитории SCM).

3. Честность (статья 32(1)(b) GDPR)

3.1. Контроль доступности

Обработчик должен защищать персональные данные от случайного уничтожения или потери.Для этого архитектура систем обработки данных Процессора, включая сетевую инфраструктуру, электропитание и подключение к Интернету, должна быть спроектирована с резервированием. Чтобы предотвратить потерю данных, необходимо внедрить комплексную концепцию резервного копирования и восстановления. Данные контроллера постоянно резервируются в отдельной зоне доступности с помощью механизма репликации. Кроме того, ежедневно делаются полные резервные копии всех систем и данных. Системы и приложения постоянно контролируются с точки зрения доступности, функциональности, безопасности и использования. Имеется письменный план действий в чрезвычайных ситуациях для восстановления резервных копий в случае потери или уничтожения.

3.2. Возможность быстрого восстановления (статья 32(1)(c) GDPR)

Необходимо принять меры для быстрого восстановления данных в случае их потери. Комбинация резервных систем и решений для резервного копирования используется для защиты от потери данных контроллера. Все данные резервируются не реже одного раза в день. В случае потери данных эти данные можно восстановить из существующих резервных копий. Данные хранятся в независимых зонах доступности.

2. Доступность и отказоустойчивость (статья 32(1)(b GDPR)

Отказоустойчивость означает способность противостоять атакам или быстро возвращать системы в рабочее состояние после атаки. Технические системы платформы OpenProject способны справляться с ожидаемыми разрушительными событиями без существенного нарушения их функциональности. ИТ-системы постоянно укрепляются для защиты от известных атак, таких как атаки типа «отказ в обслуживании». Кроме того, каждый важный компонент выполнен с резервированием, так что в случае неисправности происходит автоматическое переключение на исправный компонент. Дополнительные емкости также могут быть гибко заменены или расширены. Платформа OpenProject имеет современную многоуровневую архитектуру. В рамках этой архитектуры доступ к аспектам через сетевые отключения технически настолько ограничен, что, например, доступ к системе управления базами данных невозможен из Интернета, а возможен только доступ к балансировщикам нагрузки. Существуют аварийные планы, которые в случае неисправности содержат точные инструкции по восстановлению желаемого состояния. Эти планы действий в чрезвычайных ситуациях и концепции защиты постоянно пересматриваются, и соответствующие сотрудники проходят регулярное обучение в связи с их развертыванием.

5. Управление защитой данных

5.1. Контактные данные Оператора(ов) или представителя(ей) Оператора

Г-н. Дэвид Хеймбургер (сотрудник по защите данных)

5.2. Процесс регулярного тестирования, оценки и анализа (статья 32(1)(d); статья 25(1) GDPR)

Должен быть реализован процесс регулярного тестирования, анализа и оценки эффективности технических и организационных мер по обеспечению безопасности обработки. Эта мера должна быть реализована с помощью системы управления защитой данных. Эффективность реализованных технических и организационных мер должна быть проверена и оптимизирована в рамках непрерывного процесса улучшения. В рамках этих усилий должен проводиться регулярный аудит внешним аккредитованным экспертом.

5.3. Управление реагированием на инциденты; канал отчетности

Должны быть приняты меры для обеспечения того, чтобы Обработчик информировал Контролера без неоправданной задержки в случае утечки персональных данных или подозрений в утечке персональных данных. Все договорные партнеры по договору обязаны сообщать об инцидентах, связанных с защитой данных, в установленные законом сроки. Внутренние процессы обеспечивают участие сотрудника по защите данных в случае инцидентов, связанных с защитой данных.

5.4. Защита данных по умолчанию (статья 25(2) GDPR)

Должны быть реализованы соответствующие технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только те персональные данные, которые необходимы для каждой конкретной цели обработки. По истечении тестового этапа, а также после прекращения договорных отношений, собранные данные клиентов должны быть удалены в течение трех месяцев. Кроме того, клиент может самостоятельно удалять отдельных пользователей в своей установке OpenProject. Это приводит к удалению следующих персональных данных:

Имя,
Адрес электронной почты,
Номер телефона,
Имя пользователя,
Изображение профиля пользователя (аватар).

Созданные данные, например комментарии к рабочим пакетам, после удаления назначаются анонимному пользователю.

5.5. Контроль подрядчика

Обработчик обрабатывает данные, предоставленные ему в соответствии с применимым договором, и при этом обеспечивает соблюдение законодательных положений и требований, определенных договором, в рамках инструкций, предоставленных Контролером. Платформа OpenProject имеет интерфейс администрирования, через который Контроллер может управлять своей учетной записью клиента.Контроллер указывает свои данные доступа в своей учетной записи пользователя во время первоначального процесса создания учетной записи. Только лица, у которых есть такие данные доступа, могут вводить, изменять или удалять данные клиента в рамках своих полномочий. Требование письменной формы применяется ко всем другим задачам, которые Контролер не может выполнять самостоятельно через административный интерфейс.

CyberAgent снижает различные риски, связанные с информационной безопасностью, в четырех областях: "Организация", "Люди", "Технологии" и "Офис". Для дальнейшего роста бизнеса мы защищаем наших пользователей, усиливая меры информационной безопасности и предоставляя надежные, безопасные и защищенные услуги.

Чтобы гарантировать, что мы можем быстро и всесторонне реагировать на каждую угрозу безопасности, у нас есть организация под названием «Офис кибербезопасности (CyberAgent CSIRT)», в которую входят представители каждого бизнеса и отдела, такие как информационные системы, юридические вопросы, связи с общественностью, внутреннего аудита и продвижения безопасности, включая двух исполнительных директоров, и у нас есть система управления информационной безопасностью в масштабах всей группы. У нас также есть специальная организация безопасности под названием «Группа содействия безопасности», которая состоит из опытных специалистов по безопасности, чтобы предотвратить инциденты информационной безопасности, которые меняются и становятся все более сложными с каждым днем, и обеспечить, чтобы мы могли беспрепятственно реагировать на них.
Cybersecurity Office (CyberAgent CSIRT) является членом Nippon CSIRT Association и Forum of Incident Response and Security Teams (FIRST) и осуществляет надлежащее реагирование на инциденты, работая вместе с внешними организациями.

Схема системы информационной безопасности
Сотрудники службы безопасности каждого отдела собираются в Офисе кибербезопасности (CyberAgent CSIRT)

Чтобы повысить осведомленность об информационной безопасности среди всех сотрудников, мы собираем и предоставляем информацию и разъясняем им, например, запуск специального информационного веб-сайта с публикацией контента с использованием манги, чтобы объяснить важность безопасности в простой для понимания форме от различные точки зрения.

Мы также проводим обучение по вопросам безопасности для сотрудников, использующих систему электронного обучения. Мы поощряем сотрудников приобретать знания, необходимые для их профессии, предоставляя контент, адаптированный к обязанностям каждого сотрудника, например, контент для инженеров по разработке услуг или специалистов по планированию услуг, в дополнение к контенту, который помогает понять основы информационной безопасности и защиты личной информации. Закон.

Внутренние системы
Мы централизованно управляем учетными записями сотрудников с помощью системы управления пользователями, подключенной к базе данных отдела кадров, и ограничиваем использование внутренних систем и доступ к внутренней сети неавторизованными пользователями.
У нас есть меры защиты от вредоносных программ, начиная от общей защиты от вирусов и заканчивая расширенными мерами защиты от вредоносных программ в зависимости от профессии и уровня риска бизнеса и операций. Мы всегда контролируем систему, чтобы обнаруживать кибератаки из внешних источников и реагировать на них.

Разработка услуг
Security Promotion Group, специальная организация по безопасности систем, разработала рекомендации по безопасности при разработке услуг. У нас есть система поддержки для безопасной разработки услуг, которая готова реагировать на консультации с подразделениями на этапах планирования и проектирования услуг.
У нас также есть система для централизованного управления учетными записями среды разработки и надлежащего управления пользователями и правами для каждого проекта. Мы проводим диагностику уязвимостей перед выпуском новых сервисов для решения проблем, которые могут привести к инцидентам безопасности. Также раз в год мы проводим диагностику уязвимостей основных действующих сервисов.

Офис
Доступ в офисы контролируется картой безопасности. Мы внедрили усиленные меры информационной безопасности, например, для контроля доступа в помещения и установки камер видеонаблюдения в зависимости от уровня безопасности обрабатываемой информации.

Центр обработки данных
Наш центр обработки данных оснащен всеми средствами защиты от стихийных бедствий, обеспечивающими безопасное управление личной информацией и системной инфраструктурой.Дата-центр разделен на зоны от 1 до 7 уровня в зависимости от уровня важности и приняты различные меры для предотвращения стихийных бедствий и предотвращения человеческих рисков, в том числе контроль доступа в здание и помещения с сотрудниками службы безопасности и аутентификацией по картам, проверка принесенных устройств вход и выход, а также мониторинг с помощью многоэлементной аутентификации и камер безопасности.

Учитывая, что информация является самым ценным активом любой организации, информационная безопасность является одной из самых важных областей для каждого бизнеса и каждого человека. Глядя на общую картину, примерно 86% всех веб-сайтов имели серьезную уязвимость в 2015 году. 1 Учитывая эту статистику, меры безопасности, такие как пароли, защита данных, брандмауэры, антивирус, ОС и мобильное шифрование, мониторинг сети и обучение, являются обязательными аспектами для рассмотрите возможность защиты наиболее важных активов организации.

В этом документе основное внимание уделяется организационному уровню, а также важности каждого человека в организации. Учитывая стремительное развитие технологий вокруг нас, мы определяем ключевые проблемы безопасности и меры, о которых должна знать организация, а также шаги, направленные на минимизацию общего риска потери данных и информации. Внедрение этих мер безопасности имеет ключевое значение для любой организации, которая хочет продвинуться вперед и получить преимущество над своими конкурентами.

В течение многих лет информационным технологиям часто не уделялось должного внимания. В настоящее время, с развитием Интернета, увеличением спроса на связь и усилением конкуренции, современные организации стремятся максимально использовать информационные технологии, чтобы получить конкурентное преимущество на рынке. Информационные технологии — жизненно важная и неотъемлемая часть всех организаций, от крупных корпораций до малых предприятий.

В современном мире независимо от того, есть ли в организации небольшая сеть, управляемая и контролируемая небольшой группой людей, или несколько больших баз данных и мэйнфреймов, которыми управляет большая команда профессионалов, информационные технологии всегда присутствуют в структуре организации. По мере того, как крупные корпорации стремятся максимизировать богатство акционеров и получить преимущество на все более конкурентных нишевых рынках, все больше менеджеров и руководителей высшего звена ищут возможности и потенциальные преимущества, которые обеспечивает сильная структура информационной безопасности. В современном мире инноваций и технологических достижений информационные технологии превращаются из второстепенных в обязательные требования практически во всех аспектах деятельности организаций.

Как упоминалось ранее, информация является одним из важнейших активов любой организации. Имея это в виду, организации должны обеспечивать целостность, конфиденциальность и высокую доступность своих данных. Из-за большого объема конкуренции в мире постоянно существуют угрозы информационной безопасности, которые ставят под угрозу благополучие организации. Чтобы иметь управляемость, конфиденциальность информации и безопасность; организации принимают различные меры для защиты от потенциальных атак и потери информации.

В этом документе рассматриваются различные меры безопасности, которые организации должны внедрить, чтобы защитить свой самый ценный актив — информацию. В этой статье мы обосновываем, что должны делать компании и организации, чтобы оставаться в безопасности и защищаться от потоков, реализуя следующие меры безопасности 1 .

Защита данных и различной информации с помощью паролей.
Защита данных и способы восстановления, если меры безопасности организации были нарушены.
Создание и внедрение безопасных сред с использованием брандмауэров, антивирусного программного обеспечения 2 и шифрования важной информации. 3
Мониторинг сети для выявления потенциальных угроз и уязвимостей.
Информация о безопасности и мерах безопасности.

Обзор мер безопасности

Чтобы организации могли поддерживать высокий уровень целостности информации и минимизировать риски, настоятельно рекомендуется внедрить меры безопасности. Технические и организационные меры безопасности являются практически повседневным требованием для минимизации рисков при сохранении конфиденциальности, управляемости и масштабируемости организации. Меры безопасности, такие как политики и правила, позволяют организации поддерживать, внедрять, администрировать и проверять свою безопасность. В случае возникновения каких-либо угроз или атак на организацию меры помогают снизить любые риски, а также быстро принять контрмеры.

Очень важно, чтобы в организациях были приняты строгие меры безопасности, потому что их отсутствие может стать причиной того, что организация останется в бизнесе в течение длительного периода времени и подаст заявление о банкротстве.

Введение в пароли

Для организаций поддерживать высокий уровень целостности информации и минимизировать риски; одной из наиболее часто применяемых мер безопасности во всех аспектах информационных технологий является защита информации всех видов с использованием паролей. Защита паролем используется практически для всего; начиная от электронной почты, серверов, блогов, личных учетных записей и практически всего, к чему мы имеем доступ. Согласно Webopedia, пароль — это «секретная последовательность символов, позволяющая пользователю получить доступ к файлу, компьютеру или программе» [16]. Просто пароли создаются для обеспечения безопасности и защиты целостности всего, к чему вы обращаетесь; начиная от электронной почты, банковских счетов, баз данных и т. д.

Протоколы и политики паролей

По мере того, как хакеры совершенствуют свои навыки вторжения, они делают все больше и больше в разработке лучших протоколов безопасности и аутентификации. Системы безопасности создаются, чтобы требовать дополнительной сложности пароля, более частой смены пароля, ограничения простых паролей, а также невозможности повторного использования пароля, который использовался ранее. Например, в Национальной футбольной лиге все отделы и команды информационных технологий регулярно проверяются, чтобы предотвратить утечку важных паролей. Поскольку команды собирают много информации, такой как номера кредитных карт и адреса, от своих клиентов всякий раз, когда они покупают билеты на игры или товары, командам необходимо обеспечить безопасность личности своих клиентов. Лига проверяет все системы, в которых хранится эта информация, и ищет уязвимости.

"80% инцидентов безопасности были связаны с использованием слабых административных паролей"

Поскольку пароли так легко предугадывать 2 [9], системы меняются, чтобы требовать от пользователей создавать пароли, которые гораздо труднее угадать. Чтобы пользователи не могли постоянно угадывать пароль до тех пор, пока он не будет правильно угадан, существуют политики, настроенные на блокировку учетных записей после определенного количества неудачных попыток. Согласно отчету о глобальной безопасности Trustwave за 2013 год, в котором проанализировано более 300 взломов в 18 странах; заявил, что «80% инцидентов безопасности были связаны с использованием слабых административных паролей» [3].

Использование ненадежных паролей или учетных данных по умолчанию по-прежнему остается одним из основных недостатков организаций. Это большая уязвимость, которой часто пользуются хакеры. Хакеры могут легко взломать несложные пароли, написав программу, которая просматривает разные слова в словаре и комбинирует слова с последовательностью чисел. Если в организации нет политики, которая блокирует учетную запись пользователя после нескольких неудачных попыток ввода пароля, организация может быть легко взломана.

Кроме того, в отчете сделан вывод о том, что люди по-прежнему записывают пароли на бумаге, и это представляет большой риск. Поскольку эта бумага плавает по офису или дому, неавторизованные пользователи могут использовать ее для доступа к информации. Также было много случаев, когда такая информация, как пароли, была легко украдена и продана посторонним.

Обучение безопасности паролей

Чтобы свести к минимуму уязвимости, связанные с паролями, организации и отдельные лица должны взять на себя ответственность. В первую очередь, обучение членов организации основным методам обеспечения безопасности, а также передовым методам работы с паролями. Сотрудники, как правило, являются целью всех атак, потому что они используют простые или одинаковые точные пароли для всего [2]. Хакеры и отдельные лица нацеливаются на сотрудников, пытаясь украсть их пароли с помощью фишинговых атак и множества других различных методов. Чрезвычайно важно инвестировать в обучение сотрудников вопросам безопасности.

Многие организации внедряют политики и правила, требующие от отдельных лиц посещения ежеквартальных семинаров, на которых проводится обучение передовому опыту. Организации внедряют дополнительные меры отслеживания, которые отслеживают все аспекты жизненно важных данных; в котором они могут точно определить человека, если это необходимо.

Стандартизация политик и мер безопасности

Современным организациям очень важно стандартизировать реализацию безопасности на всех платформах и устройствах. Это упрощает управление благодаря централизованному доступу. Согласно NIST (Национальный институт стандартов и технологий), для установки надежного пароля рекомендуются следующие методы: использование не менее 12 символов, использование не менее одного верхнего регистра, двух специальных символов в качестве комбинации нижнего регистра [14]. NIST рекомендует пользователям не выбирать общие фразы, строку цифр или ваш идентификатор пользователя.

Если сотрудники организации будут следовать рекомендациям, приведенным выше, и будут внедрены политики безопасности, согласно которым пользователи вынуждены периодически менять свой пароль, безопасность организации в целом повысится, и у злоумышленников будет меньше шансов взломать систему.

Защита данных и аварийное восстановление

Защита данных необходима организации для защиты наиболее важных активов организации. Для организации жизненно важно быть информированным о принципах защиты данных и лучших практиках. Организация должна установить политики и процедуры для защиты данных. В случае аварии план защиты данных будет четко определять, как организация может действовать в этих критических ситуациях, включая инциденты высокой срочности. В этом разделе мы обсудим некоторые из основных факторов обеспечения защиты данных в организации, некоторые шаги, которые необходимо предпринять для снижения рисков, и проанализируем ключевые факторы защиты данных.

Политика и правила защиты данных

В мире, где технологии быстро развиваются, а риски растут с каждым днем, основными движущими факторами реализации защиты данных являются соблюдение нормативных требований и реагирование на инциденты. После бурного начала двадцать первого века правительство установило особые требования к защите данных организаций, работающих в строго регулируемых отраслях, таких как финансовые услуги, здравоохранение и фармацевтика. Например, правительство Соединенных Штатов обязано хранить финансовую информацию в течение длительного времени для аудита и соблюдения требований финансовых учреждений. Это делается для защиты заинтересованных сторон организации и предотвращения повторения ситуации, подобной Enron. В строго регулируемых отраслях существуют определенные требования, которым должны следовать организации. На следующем изображении показана разбивка общего количества угроз финансовым учреждениям в мире в 2013 году[10].

У организаций должны быть правила для событий, связанных с их данными. То, как организация будет вести себя, и шаги, которые необходимо предпринять в случае бедствия, будут подробно описаны в Плане защиты данных. Согласно выводам McAfee, 50% организаций считают, что высшее руководство склонно вкладывать средства в защиту данных исключительно в результате какого-либо нарушения [18]. Некоторые из причин финансирования усилий по защите данных включают необходимость соблюдения нормативных требований, ответ на недавний инцидент с утечкой данных в организации, чувство ответственности за защиту информационных активов, общественные усилия в отношении нарушений безопасности и, наконец, желание защитить благо компании. репутация. Крайне важно, чтобы компания стремилась быть ответственной и реализовывала эти меры как чувство ответственности за защиту своих активов.

После выявления риска часть плана защиты данных должна включать разделы с описанием шагов по снижению риска. Чтобы снизить риск, организации должны внедрить постоянный мониторинг соответствия, наблюдения ключевых членов организации, автоматизированные инструменты мониторинга соответствия, оценку рисков, контролируемую самооценку и тестирование аварийного восстановления. Часто по закону организации обязаны проводить тестирование аварийного восстановления ежегодно или ежеквартально.

Политики аварийного восстановления и их реализация

Политики аварийного восстановления — это просто рекомендации, которые должна иметь организация для соблюдения обязательных правил, установленных государственными органами на случай аварии.

Строго регулируемые отрасли, такие как финансовые услуги, фармацевтика и банковское дело, входят в число основных отраслей, в которых необходимо иметь планы аварийного восстановления.

План аварийного восстановления состоит из руководств, методов и подробного анализа действий организаций в случае аварии. Это показывает, как организация защищена и какие меры организация должна принять в случае стихийного бедствия. Например, организация может защитить все свои данные с помощью удаленных резервных копий. В случае аварии они смогут восстановить данные в другие системы, при этом данные будут удалены. Они продемонстрируют эффективность, протестировав политики.

Организация должна защищать свои самые важные активы и постоянно внедрять новейшие политики. Организации, которые обычно не следят за своими наиболее важными политиками, такими как защита данных и политики в случае стихийных бедствий, чаще всего подвергаются взлому со стороны хакеров.

Брандмауэры

При настройке безопасности информационных технологий в организации брандмауэры являются важной частью обеспечения безопасности рабочего места. Без настройки брандмауэра рабочее место будет уязвимо для хакеров и вирусов при использовании Интернета. Настройка брандмауэра обычно является первым шагом, который необходимо предпринять, чтобы убедиться, что сеть организации защищена и безопасна в использовании.

Введение в брандмауэры

Брандмауэр — это устройство безопасности для сети организации, которое контролирует, что и кто может получить доступ к сети в любой момент времени [17]. Весь трафик, поступающий в сеть организации из внешнего источника, должен проходить через брандмауэр, чтобы убедиться, что информация, к которой осуществляется доступ, не находится под угрозой. То, как брандмауэр определяет, является ли что-то угрозой или нет, основано на политике брандмауэра, настроенной отделом информационной безопасности. Брандмауэр отфильтрует запрос; проверьте доменное имя и IP-адрес, а также убедитесь, что информация поступает из заранее определенного приемлемого местоположения. Если брандмауэр определяет, что проходящие данные неприемлемы, пользователь все равно может переопределить брандмауэр, чтобы разрешить прохождение трафика, если он считает, что это безопасно. Политику брандмауэра можно обновить, добавив местоположения, которые считаются безопасными, и исключив небезопасные местоположения. Брандмауэры также позволяют пользователям получать доступ к сети извне, если они предоставляют правильные учетные данные, такие как имя пользователя и пароль.

Брандмауэры могут быть как аппаратными, так и программными. Аппаратные брандмауэры устанавливаются как внешний компонент между компьютерной сетью организации и интернет-провайдером. Эти устройства брандмауэра устанавливаются на маршрутизаторы, чтобы упростить работу пользователя, поскольку маршрутизаторы часто используются, когда доступ требуется нескольким пользователям. Программные брандмауэры обычно устанавливаются в операционной системе, которая запускает серверы в организациях или на компьютерах, используемых пользователями, и они полезны для добавления дополнительного уровня защиты.

Брандмауэры нового поколения

В теории все звучит великолепно, но какие функции безопасности нового поколения делают брандмауэры нового поколения лучше? Несмотря на то, что между старыми и новыми брандмауэрами есть много общего, брандмауэры следующего поколения включают в себя такие функции, как интегрированная система предотвращения вторжений (IPS), предотвращение потери данных (DLP), поддержка двух стеков IPv4 и IPv6 и встроенный безопасный беспроводной контроллер. [12]. Компании должны иметь эти функции всякий раз, когда они планируют внедрить новый брандмауэр, потому что это повысит безопасность их сети и организации.

Угрозы безопасности постоянно развиваются, а требования соответствия становятся все более сложными. Организации должны разработать всеобъемлющую политику информационной безопасности, чтобы решить обе проблемы. Политика информационной безопасности позволяет координировать и применять программу безопасности, а также сообщать о мерах безопасности третьим сторонам и внешним аудиторам.

Чтобы быть эффективной, политика информационной безопасности должна:

Охватить сквозные процессы безопасности в организации
Быть осуществимым и практичным
Регулярно получать обновления в соответствии с потребностями бизнеса и возникающими угрозами.
Сосредоточьтесь на бизнес-целях вашей организации.

В этой статье:

Важность политики информационной безопасности

Политики информационной безопасности могут иметь следующие преимущества для организации:

Обеспечивает целостность, доступность и конфиденциальность данных — эффективная политика информационной безопасности стандартизирует правила и процессы, которые защищают от векторов, угрожающих целостности, доступности и конфиденциальности данных.
Защищает конфиденциальные данные. Политики информационной безопасности отдают приоритет защите интеллектуальной собственности и конфиденциальных данных, таких как информация, позволяющая установить личность (PII).
Сводит к минимуму риск инцидентов, связанных с безопасностью. Политика информационной безопасности помогает организациям определять процедуры для выявления и устранения уязвимостей и рисков. В нем также подробно описаны способы быстрого реагирования, позволяющие свести к минимуму ущерб во время инцидента, связанного с безопасностью.
Выполняет программы безопасности в организации. Политики информационной безопасности обеспечивают основу для оперативных процедур.
Предоставляет четкое заявление о безопасности для третьих сторон. Политики информационной безопасности обобщают состояние безопасности организации и объясняют, как организация защищает ИТ-ресурсы и активы. Они упрощают быстрое реагирование на сторонние запросы информации от клиентов, партнеров и аудиторов.
Помогает соблюдать нормативные требования. Создание политики информационной безопасности может помочь организациям выявить пробелы в безопасности, связанные с нормативными требованиями, и устранить их.

12 элементов политики информационной безопасности

Политика безопасности может быть настолько широкой, насколько вы хотите, включая все, что связано с ИТ-безопасностью и безопасностью соответствующих физических активов, но при этом может применяться в полном объеме. В следующем списке представлены некоторые важные соображения при разработке политики информационной безопасности.

1. Цель

Сначала укажите цель политики, которая может заключаться в следующем:

Создайте общий подход к информационной безопасности.
Обнаружение и предотвращение нарушений информационной безопасности, таких как неправомерное использование сетей, данных, приложений и компьютерных систем.
Поддерживать репутацию организации и выполнять этические и юридические обязательства.
Уважать права клиентов, в том числе реагировать на запросы и жалобы о несоблюдении требований.

2. Аудитория

Определите аудиторию, к которой применяется политика информационной безопасности. Вы также можете указать, какие аудитории не подпадают под действие политики (например, сотрудники другого подразделения, которое занимается безопасностью отдельно, могут не подпадать под действие политики).

3. Цели информационной безопасности

Помогите своему руководству договориться о четко определенных целях в отношении стратегии и безопасности. Информационная безопасность сосредоточена на трех основных целях:

Конфиденциальность. Доступ к данным и информационным ресурсам имеют только авторизованные лица.
Целостность. Данные должны быть неповрежденными, точными и полными, а ИТ-системы должны поддерживаться в рабочем состоянии.
Доступность. Пользователи должны иметь доступ к информации или системам, когда это необходимо.

4. Полномочия и политика управления доступом

Иерархический шаблон. У старшего менеджера могут быть полномочия решать, какие данные можно передавать и кому. Политика безопасности может иметь разные условия для старшего менеджера и младшего сотрудника. В политике должен быть указан уровень полномочий в отношении данных и ИТ-систем для каждой организационной роли.
Политика сетевой безопасности. Пользователи могут получать доступ к сетям и серверам компании только через уникальные логины, требующие аутентификации, включая пароли, биометрические данные, удостоверения личности или токены. Вы должны отслеживать все системы и записывать все попытки входа в систему.

5. Классификация данных

Политика должна классифицировать данные по категориям, которые могут включать «совершенно секретно», «секретно», «конфиденциально» и «общедоступно». Ваша цель при классификации данных:

Чтобы гарантировать, что конфиденциальные данные не будут доступны лицам с более низким уровнем допуска.
Чтобы защитить очень важные данные и избежать ненужных мер безопасности для неважных данных.

6. Поддержка данных и операции

Правила защиты данных — системы, в которых хранятся личные данные или другие конфиденциальные данные, — должны быть защищены в соответствии с организационными стандартами, передовой практикой, отраслевыми стандартами соответствия и соответствующими нормативными актами. Большинство стандартов безопасности требуют как минимум шифрования, брандмауэра и защиты от вредоносных программ.
Резервное копирование данных. Зашифруйте резервные копии данных в соответствии с лучшими отраслевыми практиками. Надежно храните резервные копии или перемещайте резервные копии в безопасное облачное хранилище.
Перемещение данных. Передавайте данные только по защищенным протоколам. Шифровать любую информацию, копируемую на портативные устройства или передаваемую по общедоступной сети.

7. Осведомленность о безопасности и поведение

Поделитесь политиками ИТ-безопасности со своим персоналом. Проводите учебные занятия, чтобы информировать сотрудников о ваших процедурах и механизмах безопасности, включая меры по защите данных, меры защиты доступа и классификацию конфиденциальных данных.

Социальная инженерия. Особое внимание уделите опасности атак с использованием социальной инженерии (например, фишинговых писем).Возложить на сотрудников ответственность за обнаружение, предотвращение и сообщение о таких атаках.
Политика чистоты на рабочем месте. Защитите ноутбуки с помощью тросового замка. Уничтожьте документы, которые больше не нужны. Держите принтер в чистоте, чтобы документы не попали в чужие руки.
Политика приемлемого использования Интернета — определите, как следует ограничивать доступ в Интернет. Разрешаете ли вы YouTube, веб-сайты социальных сетей и т. д.? Блокируйте нежелательные веб-сайты с помощью прокси-сервера.

8. Политика шифрования

Шифрование включает в себя кодирование данных, чтобы сделать их недоступными или скрытыми от неавторизованных лиц. Это помогает защитить данные, хранящиеся в состоянии покоя и при передаче между местоположениями, а также гарантирует, что конфиденциальные, частные и конфиденциальные данные останутся конфиденциальными. Это также может повысить безопасность связи клиент-сервер. Политика шифрования помогает организациям определить:

Устройства и носители, которые организация должна шифровать
Когда шифрование является обязательным
Минимальные стандарты, применимые к выбранному программному обеспечению для шифрования.

9. Политика резервного копирования данных

Политика резервного копирования данных определяет правила и процедуры создания резервных копий данных. Это неотъемлемый компонент общей защиты данных, обеспечения непрерывности бизнеса и стратегии аварийного восстановления. Вот ключевые функции политики резервного копирования данных:

Определяет всю информацию, которую организация должна резервировать.
Определяет частоту резервного копирования, например, когда выполнять первоначальное полное резервное копирование и когда запускать добавочное резервное копирование.
Определяет место хранения резервных копий данных.
Список всех ролей, отвечающих за процессы резервного копирования, например администратора резервного копирования и членов ИТ-команды.

10. Ответственность, права и обязанности персонала

Назначьте сотрудников для проверки доступа пользователей, обучения, управления изменениями, управления инцидентами, внедрения и периодического обновления политики безопасности. Обязанности должны быть четко определены как часть политики безопасности.

11. Тесты повышения безопасности системы

Политика информационной безопасности должна ссылаться на контрольные показатели безопасности, которые организация будет использовать для защиты критически важных систем, например контрольные показатели Центра информационной безопасности (CIS) для Linux, Windows Server, AWS и Kubernetes.

12. Ссылки на правила и стандарты соответствия

Политика информационной безопасности должна содержать ссылки на правила и стандарты соответствия, влияющие на организацию, такие как GDPR, CCPA, PCI DSS, SOX и HIPAA.

Читайте также: