Keamanan informasi dipahami sebagai keadaan seperti itu, di mana ia mengecualikan kemungkinan untuk melihat, mengubah atau menghancurkan informasi oleh orang-orang yang tidak memiliki hak untuk melakukannya, serta kebocoran informasi karena radiasi dan interferensi elektromagnetik kolateral, perangkat intersepsi (penghancuran) khusus saat mentransfer antar objek teknologi komputer ... Keamanan informasi juga mencakup perlindungan informasi dari kerusakan yang tidak disengaja (kegagalan teknis).
Perlindungan informasi adalah serangkaian tindakan yang bertujuan untuk memastikan kerahasiaan dan integritas informasi yang diproses, serta ketersediaan informasi bagi pengguna.
Kerahasiaan - menjaga kerahasiaan informasi sensitif, yang aksesnya terbatas pada lingkaran pengguna yang sempit (individu atau organisasi).
Integritas adalah properti dengan keberadaan informasi yang mempertahankan bentuk dan kualitas yang telah ditentukan.
Aksesibilitas adalah keadaan informasi ketika dalam bentuk, tempat dan waktu yang dibutuhkan pengguna, dan pada saat dia membutuhkannya.
Tujuan perlindungan informasi adalah untuk meminimalkan kerugian dalam pengelolaan yang disebabkan oleh pelanggaran integritas data, kerahasiaan, atau tidak dapat diaksesnya informasi kepada konsumen.
Bagian resmi (prosedur salin-tempel dari Internet) sudah berakhir. Sekarang tidak resmi. Dari latihan.
Artikel ini ditulis untuk kepala perusahaan yang tidak menerapkan aturan Bank Nasional Republik Kazakhstan (regulator).
Bagaimana kebanyakan manajer (dan tidak begitu banyak) memahami "keamanan informasi"?
Apa yang dimaksud pemberi kerja (perusahaan) ketika mereka memposting lowongan dengan menyebutkan frasa "Keamanan Informasi"?
Dari praktiknya, kebanyakan orang mengaitkan keamanan informasi dengan beberapa jenis sarana teknis, misalnya, perangkat perlindungan jaringan (firewall) atau perangkat lunak pelacakan karyawan (disebut DLP - pencegahan kehilangan data) atau antivirus.
Cara-cara tersebut di atas berkaitan dengan keamanan informasi, tetapi sama sekali tidak menjamin keamanan objek yang dilindungi (informasi), integritas dan ketersediaannya. Mengapa?
Untuk alasan yang sangat sederhana - memastikan keamanan informasi adalah sebuah proses, bukan perangkat apa pun, perangkat lunak, yang, seperti kebanyakan manajer (dan tidak hanya), menganggapnya sebagai obat mujarab dan perlindungan.
Ambil contoh, sebuah perusahaan perdagangan kecil dengan 50 pengguna. Yang kami maksud dengan pengguna adalah semua karyawan yang memiliki akses ke sistem informasi (IS) perusahaan melalui perangkat apa pun (komputer, laptop, tablet, ponsel). Akses ke IP berarti akses apa pun - ke email, ke Internet, ke database, file, dll.
Mentalitas para pemimpin di perusahaan kita (termasuk contoh kita) secara fundamental berbeda dari yang ada di Barat - saya bosnya, saya bisa melakukan apa saja. Termasuk akses tak terbatas ke Internet atau kemampuan untuk menginstal perangkat lunak apa pun di komputer. Dari sudut pandang keamanan informasi, pemimpin seperti itu adalah ancaman utama bagi keamanan informasi itu sendiri. Mengapa? Karena dia tidak kompeten dalam masalah keamanan informasi, dan berpikir, seperti yang disebutkan di atas - bahwa jika ada administrator sistem, atau beberapa perangkat mahal yang baru-baru ini dia beli atas rekomendasi dari administrator sistem yang sama - semua ini HARUS memberikan keamanan informasi yang sama. Saya dapat mengatakan bahwa tidak ada spesialis dan tidak ada perangkat mahal yang akan menyelamatkan Anda dari mengirim email dengan sengaja (misalnya, email.ru - sangat disukai oleh semua orang), penyerang akan mengirim perangkat lunak berbahaya apa pun yang bukan virus, tetapi misalnya akan berupa semacam skrip yang memungkinkan Anda mendapatkan akses ke IP melalui komputer Anda. Anda mengunduh file dari kotak surat mail.ru Anda (misalnya, ini disebut "Persyaratan untuk supplier.doc" - skrip diluncurkan (secara alami tanpa sepengetahuan Anda).
Seorang penyerang memperoleh akses ke jaringan Anda, kemudian secara diam-diam memperluas aktivitasnya dan voila! Suatu hari yang "baik", Anda tiba-tiba menemukan (menggarisbawahi yang diperlukan):
- semua database Anda dienkripsi. Anda telah menerima surat tebusan melalui surat Anda;
- semua file Anda dihancurkan. Smiley telah masuk ke email Anda :);
- jaringan Anda tidak berfungsi;
- data pelanggan Anda telah diposting di situs mana pun;
- pesaing Anda mempelajari keadaan Anda yang sebenarnya;
- kinerja keuangan Anda yang sebenarnya telah tersedia untuk umum;
- pemasok memberi Anda klaim apa pun berdasarkan kontrak yang baru-baru ini Anda tanda tangani (melanggar integritas informasi). Kontrak diubah oleh penyerang pada malam penandatanganan (pengacara Anda, akuntan, direktur komersial dan pejabat lainnya telah memeriksanya) dan menyimpannya dalam folder di server.
- rekaman video pesta perusahaan Anda dari kamera pengintai, di mana Anda dan sekretaris Anda menari di atas meja dengan celana dalam yang terbuat dari klip kertas entah bagaimana sampai ke istri Anda;
- dll.
Kerugian apa yang akan ditanggung oleh perusahaan perdagangan dari fakta bahwa jaringan tidak berfungsi atau karena kebocoran data? Yang besar. Kerugian dihitung tidak hanya dengan biaya produk yang tidak terkirim ke pelanggan, tetapi juga oleh biaya pemeliharaan personel selama periode tidak aktifnya IS, biaya listrik, sewa, kerugian reputasi, dll. Kami akan tetap diam tentang rekaman dari kamera pengintai (sulit untuk memprediksi konsekuensinya :).
Banyak yang akan marah - semua ini adalah cerita horor. Argumennya biasanya sebagai berikut:
- kami memiliki cadangan;
- kami memiliki firewall model terbaru yang disiapkan oleh perusahaan keamanan informasi paling keren di negara ini;
- kami memiliki antivirus paling mahal;
- kita punya...
Biasanya ada argumen semacam itu yang tak terhitung jumlahnya, yang dalam kasus di atas tidak menjamin Anda apa pun.
Cadangan
Pencadangan adalah salah satu cara paling dasar untuk melindungi informasi - integritas, ketersediaan, dan keamanannya.
Tapi:
- apakah kamu punya jadwal cadangan?
- apakah Anda yakin backup Anda berfungsi?
- Apakah cadangan Anda telah diuji (apakah ada pemulihan uji coba) oleh administrator sistem Anda?
- Seberapa sering pencadangan diuji?
- apakah ada cadangan sama sekali?
Dari latihan, hampir seluruh daftar yang diberikan di atas tidak ada, atau biasanya dilakukan setelah kebakaran (dan bahkan kemudian, tidak lama).
Perangkat keamanan (firewall)
Ancaman utama terhadap informasi - kerahasiaan, integritas, dan ketersediaannya (CIA) - biasanya datang dari dalam. Karyawan yang tidak puas, para bos yang disebutkan di atas, akuntan (dengan flash drive yang terinfeksi yang telah berada di tempat berkembang biak virus - pajak), karyawan biasa. Seringkali, untuk pertanyaan “apakah Anda telah mendokumentasikan prosedur untuk mengakses IP”, banyak orang menjawab dengan tatapan kosong - “apa ini?”. Atau pertanyaan "apakah perimeter eksternal (dan internal) jaringan diperiksa oleh orang yang memenuhi syarat untuk keamanan" - mengapa? Ini karena semuanya mengacu pada keamanan informasi yang sama. Dari praktiknya, sebagian besar perusahaan tidak memiliki salah satu atau yang lainnya, atau yang ketiga, mereka tidak pernah melakukannya atau tidak tahu sama sekali mengapa hal itu perlu (namun mereka menulis dalam lowongan "keamanan informasi"). Firewall bukanlah obat mujarab.Ini adalah alat teknis yang dirancang untuk melindungi perimeter eksternal dan internal IP Anda. Dan terlepas dari biayanya, itu tidak akan memberi Anda perlindungan jika dipasang oleh seorang amatir. Ini dapat dibandingkan dengan menembakkan senjata - biayanya mahal, tetapi tidak menjamin penembak yang tidak kompeten (penari yang buruk) akan mengenai target.
Anti Virus
Berapa banyak orang - begitu banyak antivirus. Antivirus, seperti yang disebutkan di atas, bukanlah obat mujarab. Ini hanyalah salah satu cara keamanan informasi, yang tidak mengecualikan atau mengesampingkan pengaturan yang sesuai dari sistem operasi, kebijakan grup, hak akses, prosedur pencadangan yang diatur, pelatihan dan memberi tahu pengguna tentang dasar-dasar keamanan informasi dan tindakan lain yang dapat memperkuat benteng keamanan informasi.
Apakah Anda perlu merekrut karyawan dengan fokus khusus pada keamanan informasi, atau buru-buru membeli masker untuk perangkat keamanan (firewall) dan antivirus untuk memastikan keamanan informasi?
Tidak. Pada tahap pertama, Anda tidak perlu membeli apa pun, mempekerjakan siapa pun, dan melakukan tindakan gegabah lainnya.
Di bawah ini adalah algoritma tindakan yang disederhanakan yang harus diambil untuk membangun sistem keamanan informasi.
0. Putuskan bagaimana Anda akan membangun sistem keamanan informasi - seperti biasa (bagaimana segala sesuatu dilakukan di seluruh ruang CIS - melalui keledai dan untuk pertunjukan, kami berbicara, melakukan pertemuan orang pintar dan lupa), atau sesuai dengan standar yang berlaku umum.
Jika jawaban soal 0 "seperti biasa", Anda tidak bisa lagi membuang waktu berharga Anda dan berhenti membaca.
1. Putuskan apa dan mengapa harus melindungi. Dokumen yang menjelaskan hal ini biasanya disebut "Kebijakan Keamanan Informasi". Dokumen tersebut tidak menjelaskan tindakan khusus, perangkat teknis, pengaturan, dan tindakan lain yang diperlukan untuk memastikan perlindungan informasi.
2. Buatlah daftar sumber daya (perangkat keras dan perangkat lunak) yang tersedia di perusahaan. Seringkali dalam persyaratan untuk pelamar, daftar perangkat lunak dan peralatan "Kerio FW, Cisco, Mikrotik, Ubuntu, pfsense", dll. Disebutkan. Apakah Anda benar-benar berpikir bahwa semua yang Anda miliki akan melindungi Anda? Justru sebaliknya.
3. Membuat dan mendiskusikan matriks akses pengguna (pelanggan, mitra, dll.) Ke sistem informasi. Apa itu matriks akses: ini adalah ketika ada dokumen yang jelas siapa, di mana dan level apa yang memiliki akses ke sistem IS.
4. Buat dokumen yang mengatur prosedur pencadangan.
5. Buat dokumen yang menjelaskan semua sarana keamanan informasi - fisik, teknis, perangkat lunak, administratif.
6. Mempersiapkan dan melakukan sesi pelatihan tentang keamanan informasi bagi karyawan perusahaan. Lakukan setiap tiga bulan.
7. Tanyakan kepada karyawan yang bertanggung jawab apakah dia akan dapat menyediakan seluruh proses sendiri atau memerlukan keterlibatan pihak ketiga (atau mempekerjakan karyawan tambahan)
8. Uji IP Anda untuk penetrasi (yang disebut tes penetrasi).
9. Buat atau perbaiki dokumen berikut:
- pemulihan IS (sistem informasi) jika terjadi kegagalan (peralatan, buatan manusia dan bencana alam, kerusakan lainnya);
- peraturan perlindungan anti-virus;
- dokumen yang mengatur prosedur untuk membuat cadangan dan menguji cadangan;
- dokumen yang mengatur kontrol dan pemulihan database (jika ada);
- , ;
- , ;
- , ( );
- ( );
- , (WiFi) ;
- , ;
- ( );
- , ;
- ( ).
10. Memantau dan menyesuaikan prosedur dan regulasi secara bulanan sesuai dengan situasi eksternal dan internal.
11. Senyum. Iblis tidak seburuk yang digambarkan jika Anda memiliki sistem informasi yang terstruktur dengan baik, transparan, dapat dimengerti, dan dapat diatur. Dapat dimengerti baik untuk Anda (manajer), untuk pengguna Anda (karyawan) dan mudah-mudahan untuk administrator sistem Anda.
Jaga dirimu.