Problemy ochrony informacji w przedsiębiorstwie
- Józef Muszyński,
- 01.05.2003
Zagrożenia
Warstwy chroniące przed różnymi typami zagrożeń
W wypadku interfejsów personalnych mogą być używane metody socjotechniki w celu zdobycia od pracowników informacji użytecznej bezpośrednio lub zapewniającej dostęp do takiej informacji. Przedmiotem działań socjotechnicznych może być także help desk, nieświadomie dostarczający numer modemu, hasło itp. nieupoważnionym osobom.
W obszarze fizycznym zagrożenie spowodowane jest dostaniem się do budynków i pomieszczeń niepowołanych osób. Informacja niejawna, jeżeli nie jest udostępniana w sposób bezpieczny, będzie ich łatwym łupem. Głównym zagrożeniem jest tu nieuprawniony dostęp do informacji. Inne fizyczne zagrożenia to: kradzieże laptopów, naturalne katastrofy i zgubienie nośników danych podczas transportu.
Zagrożenia powyższe mogą spowodować utratę, kopiowanie, usuwanie, udostępnianie lub modyfikowanie istotnej informacji albo zatrzymanie funkcjonowania związanej z nią usługi (utrata zaufania, integralności lub dostępności).
Środki zaradcze
Podstawowe zagrożenia sieci przedsiębiorstwa
- Uwierzytelnianie użytkowników i obiektów.
- Szyfrowanie w celu ochrony informacji niejawnej.
- Podpisy cyfrowe do uwierzytelniania i niezaprzeczalności.
- Kontrola dostępu.
- Izolowanie zasobów.
- Kontrola antywirusowa i szkodliwej zawartości.
- Uszczelnianie – zabezpieczanie instalacji i konfiguracji.
- Środki zwiększające dyspozycyjność: składowanie, redundancja, gorące rezerwy, RAID, kopie przechowywane poza ośrodkiem.
- Monitorowanie.
Ochrona interfejsów fizycznych to przede wszystkim ograniczanie dostępu – zamykane pokoje, wejścia, zamki szyfrowe, rejestracja dostępu, niszczenie dokumentów, kontrola laptopów, izolacja zasobów, ich składowanie, redundancja itp.
Spodziewając się, że podstawowe źródło ataku znajduje się wewnątrz organizacji, należy zmienić zakres środków zaradczych, ponieważ atakujący może uzyskać autoryzację, obchodząc mechanizmy kontroli dostępu. W tym wypadku są istotne w obszarze personalnym:
- jasne reguły polityki bezpieczeństwa;
- odpowiedzialność, dobrze określone obowiązki, zaufanie;
- egzekwowanie stosowania reguł polityki bezpieczeństwa;
- monitorowanie, audyt;
- szyfrowanie;
- składowania awaryjne i archiwizujące, redundancja.