7 основных принципов ИТ-безопасности

Когда дело касается информационных технологий, безопасность - это постоянная проблема . Кражи данных , взлом , вредоносное ПО и множество других угроз - этого достаточно, чтобы не дать любому ИТ-специалисту спать по ночам. В этой статье мы рассмотрим основные принципы и передовые методы, которые ИТ-специалисты используют для обеспечения безопасности своих систем.

Цель информационной безопасности

Информационная безопасность следует трем всеобъемлющим принципам, часто называемым триадой ЦРУ (конфиденциальность, целостность и доступность).

  • Конфиденциальность: это означает, что информация видна или используется только людьми, имеющими к ней доступ. Необходимо принять соответствующие меры безопасности, чтобы конфиденциальная информация оставалась конфиденциальной и защищена от несанкционированного раскрытия и посторонних глаз.

  • Целостность: этот принцип гарантирует целостность и точность данных и защищает их от изменений. Это означает, что любые изменения информации неавторизованным пользователем невозможны (или, по крайней мере, обнаруживаются), а изменения авторизованных пользователей отслеживаются.

  • Доступность: этот принцип гарантирует, что информация будет полностью доступна в любое время, когда она понадобится авторизованным пользователям. Это означает, что все системы, используемые для хранения, обработки и защиты всех данных, должны постоянно работать правильно.

Итак, вооруженные этими высокоуровневыми принципами, специалисты по ИТ-безопасности разработали передовой опыт, чтобы помочь организациям обеспечить безопасность своей информации. 

Лучшие практики ИТ-безопасности

Существует множество передовых практик в области ИТ-безопасности, которые относятся к определенным отраслям или предприятиям, но некоторые применяются широко.

Защита баланса с утилитой

Компьютеры в офисе можно было бы полностью защитить, если бы все модемы были вырваны и всех выгнали из комнаты - но тогда они никому не пригодятся. Вот почему одна из самых больших проблем в области ИТ-безопасности - найти баланс между доступностью ресурсов и конфиденциальностью и целостностью ресурсов.

Вместо того, чтобы пытаться защитить себя от всех видов угроз, большинство ИТ-отделов сосредотачиваются сначала на изоляции наиболее важных систем, а затем на поиске приемлемых способов защиты остальных, не делая их бесполезными. Некоторые из низкоприоритетных систем могут быть кандидатами для автоматического анализа, поэтому наиболее важные системы остаются в центре внимания.

Назначьте минимальные привилегии

Чтобы система защиты информации работала, она должна знать, кому разрешено видеть и делать определенные вещи. Кому-то из бухгалтеров, например, не нужно видеть все имена в клиентской базе данных , но ему может потребоваться увидеть цифры по продажам. Это означает, что системному администратору необходимо назначить доступ по типу работы человека и, возможно, потребуется дополнительно уточнить эти ограничения в соответствии с организационным разделением. Это гарантирует, что в идеале главный финансовый директор будет иметь доступ к большему количеству данных и ресурсов, чем младший бухгалтер.

Тем не менее, ранг не означает полный доступ. Генеральному директору компании может потребоваться больше данных, чем другим лицам, но им не нужен автоматический полный доступ к системе. Человеку должны быть предоставлены минимальные привилегии, необходимые для выполнения его или ее обязанностей. Если обязанности человека изменятся, изменится и его привилегия. Назначение минимальных привилегий снижает шансы на то, что Джо из отдела дизайна выйдет за дверь со всеми маркетинговыми данными.

Определите свои уязвимости и планируйте заранее

Не все ваши ресурсы одинаково ценны. Некоторые данные важнее других, например база данных, содержащая всю учетную информацию о ваших клиентах, включая их банковские идентификаторы, номера социального страхования, адреса или другую личную информацию.

В то же время не все ресурсы одинаково уязвимы. Например, информация, хранящаяся в физически разделенных системах хранения, не связанных с основной сетью, намного безопаснее, чем информация, доступная на BYOD всех ваших сотрудников (принесите свои собственные устройства).

Перспективное планирование для различных типов угроз (например, хакеров , DDoS - атак , или просто фишинговых писем таргетинга ваших сотрудников), а также позволяет оценить риск каждый объект может столкнуться на практике.

Определение того, какие данные более уязвимы и / или более важны, поможет вам определить уровень безопасности, который вы должны использовать для их защиты, и соответствующим образом разработать свои стратегии безопасности.

Используйте независимую защиту

Это не только военный принцип, но и принцип ИТ-безопасности. Использование одной действительно хорошей защиты, такой как протоколы аутентификации , полезно только до тех пор, пока кто-то ее не нарушит. Когда используется несколько уровней независимой защиты, злоумышленник должен использовать несколько различных стратегий, чтобы пройти через них.

Внедрение этого типа многоуровневой сложности не обеспечивает стопроцентной защиты от атак, но снижает шансы на успешную атаку.

Готовьтесь к худшему, планируйте лучшее

Если ничего не помогает, вы все равно должны быть готовы к худшему. Планирование отказа поможет свести к минимуму его фактические последствия в случае его возникновения. Наличие резервного хранилища или отказоустойчивых систем позволяет ИТ-отделу постоянно отслеживать меры безопасности и быстро реагировать на нарушения .

Если нарушение не является серьезным, бизнес или организация могут продолжать работу в режиме резервного копирования, пока проблема будет устранена. ИТ-безопасность - это не только ограничение ущерба от нарушений, но и предотвращение и смягчение его последствий.

Резервное копирование, резервное копирование, резервное копирование

В идеале система безопасности никогда не будет взломана, но когда нарушение безопасности все же происходит, событие должно быть записано. Фактически, ИТ-персонал часто записывает столько, сколько может, даже когда нарушения не происходит.

Иногда причины нарушений не очевидны постфактум, поэтому важно иметь данные для обратного отслеживания. Данные о взломах в конечном итоге помогут улучшить систему и предотвратить будущие атаки, даже если изначально это не имеет смысла.

Частые тесты

Хакеры постоянно совершенствуют свое мастерство, а это значит, что информационная безопасность должна развиваться, чтобы не отставать. ИТ-специалисты проводят тесты, проводят оценку рисков, перечитывают план аварийного восстановления , проверяют план обеспечения непрерывности бизнеса в случае атаки, а затем делают это снова и снова.

ИТ-безопасность - это сложная работа, которая требует внимания к деталям, но в то же время требует более высокого уровня осведомленности. Однако, как и многие задачи, которые на первый взгляд кажутся сложными, ИТ-безопасность можно разбить на основные этапы, которые могут упростить процесс. Нельзя сказать, что это упрощает задачу, но это действительно держит ИТ-специалистов в напряжении.

Другие статьи: