On entend par sécurité de l'information un tel état de celle-ci, dans lequel elle exclut la possibilité de visualiser, de modifier ou de détruire des informations par des personnes qui n'ont pas le droit de le faire, ainsi que les fuites d'informations dues à des rayonnements électromagnétiques collatéraux et des interférences, des dispositifs spéciaux d'interception (de destruction) lors du transfert entre des objets de la technologie informatique ... La sécurité des informations comprend également la protection des informations contre la destruction involontaire (défaillances techniques).
La protection des informations est un ensemble de mesures visant à garantir la confidentialité et l'intégrité des informations traitées, ainsi que la disponibilité des informations pour les utilisateurs.
Confidentialité - garder secrètes des informations sensibles, dont l'accès est limité à un cercle restreint d'utilisateurs (individus ou organisations).
L'intégrité est une propriété en présence de laquelle l'information conserve une forme et une qualité prédéterminées.
L'accessibilité est l'état de l'information lorsqu'elle se présente sous la forme, au lieu et au moment dont l'utilisateur a besoin et au moment où il en a besoin.
Le but de la protection des informations est de minimiser les pertes de gestion causées par la violation de l'intégrité des données, la confidentialité ou l'inaccessibilité des informations aux consommateurs.
La partie officielle (la procédure de copier-coller depuis Internet) est terminée. Désormais non officiel. De la pratique.
Cet article a été rédigé pour les chefs d'entreprises pour lesquelles les règles de la Banque nationale de la République du Kazakhstan (le régulateur) ne sont pas applicables.
Comment la plupart des gestionnaires (et pas tellement) comprennent-ils la «sécurité de l'information»?
Que signifient les employeurs (entreprises) lorsqu'ils publient des postes vacants avec la mention «Sécurité de l'information»?
Par pratique, la plupart des gens associent la sécurité de l'information à un certain type de moyen technique, par exemple, un dispositif de protection du réseau (pare-feu) ou un logiciel de suivi des employés (appelé DLP - prévention de la perte de données) ou un antivirus.
Les moyens précités concernent la sécurité de l'information, mais ne garantissent en aucun cas la sécurité de l'objet protégé (information), son intégrité et sa disponibilité. Pourquoi?
Pour une raison très simple - assurer la sécurité de l'information est un processus, et non un appareil, un logiciel qui, comme la plupart des gestionnaires (et pas seulement), pensent qu'ils sont une panacée et une protection.
Prenons, par exemple, une petite société commerciale comptant 50 utilisateurs. Par utilisateurs, nous entendons tous les employés qui ont accès au système d'information (SI) de l'entreprise via n'importe quel appareil (ordinateur, ordinateur portable, tablette, téléphone mobile). L'accès à l'IP signifie tout accès - au courrier électronique, à Internet, aux bases de données, aux fichiers, etc.
La mentalité des dirigeants de nos entreprises (y compris notre exemple) est fondamentalement différente de celles de l'Occident - je suis le patron, je peux tout faire. Y compris un accès illimité à Internet ou la possibilité d'installer n'importe quel logiciel sur un ordinateur. Du point de vue de la sécurité de l'information, un tel leader est la principale menace pour cette même sécurité de l'information. Pourquoi? Parce qu'il est incompétent dans la question de la sécurité de l'information et pense, comme mentionné ci-dessus - que s'il y a un administrateur système, ou un appareil coûteux qu'il a récemment acheté sur la recommandation du même administrateur système - tout cela DOIT fournir la même sécurité de l'information. Je peux dire qu'aucun spécialiste et aucun appareil coûteux ne vous évitera d'envoyer délibérément votre courrier (par exemple, mail.ru - si aimé de tout le monde) l'attaquant enverra tout logiciel malveillant qui ne sera pas un virus, mais par exemple sera une sorte de script qui vous permettra d'accéder à votre adresse IP via votre ordinateur. Vous téléchargez le fichier depuis votre boîte aux lettres mail.ru (par exemple, il s'appelle "Exigences pour le fournisseur.doc" - le script est lancé (naturellement à votre insu).
Un attaquant accède ainsi à votre réseau, étend ensuite tranquillement ses activités et le tour est joué! Un "beau" jour, vous découvrez tout à coup (soulignez le nécessaire):
- toutes vos bases de données sont cryptées. Vous avez reçu une lettre de rançon dans votre courrier;
- tous vos fichiers sont détruits. Un smiley est venu à votre mail :);
- votre réseau ne fonctionne tout simplement pas;
- les données de vos clients ont été publiées sur des sites;
- vos concurrents ont appris votre situation réelle;
- votre performance financière réelle est devenue accessible au public;
- le fournisseur vous présente toute réclamation au titre du contrat que vous avez récemment signé (violation de l'intégrité des informations). Le contrat a été modifié par l'attaquant à la veille de la signature (vos avocats, comptables, directeur commercial et autres responsables l'ont déjà vérifié) et l'a sauvegardé dans un dossier sur le serveur.
- enregistrement vidéo de votre fête d' entreprise à partir de caméras de surveillance, où vous et votre secrétaire dansiez sur la table dans des culottes faites de trombones, d'une manière ou d'une autre, jusqu'à votre femme;
- etc.
Quelles pertes la société commerciale subira-t-elle du fait que le réseau ne fonctionne pas ou en raison d'une fuite de données? De grands. Les pertes sont calculées non seulement par le coût des produits non expédiés aux clients, mais également par le coût de maintien du personnel pendant la période d'inactivité du SI, le coût de l'électricité, le loyer, les pertes de réputation, etc. Nous garderons le silence sur les enregistrements des caméras de surveillance (il est difficile de prévoir les conséquences :).
Beaucoup seront indignés - ce sont toutes des histoires d'horreur. Les arguments sont généralement les suivants:
- nous avons des sauvegardes;
- nous avons un pare-feu du dernier modèle mis en place par la société de sécurité de l'information la plus cool du pays;
- nous avons l'antivirus le plus cher;
- nous avons...
Il existe généralement d'innombrables arguments de ce type, qui dans le cas ci-dessus ne vous garantissent rien.
Sauvegardes
La sauvegarde est l'un des moyens les plus élémentaires de protéger les informations: leur intégrité, leur disponibilité et leur sécurité.
Mais:
- avez-vous un calendrier de sauvegarde?
- êtes-vous sûr que vos sauvegardes fonctionnent?
- Vos sauvegardes ont-elles été testées (y a-t-il eu un test de restauration) par votre administrateur système?
- À quelle fréquence la sauvegarde a-t-elle été testée?
- y a-t-il une sauvegarde du tout?
De la pratique, presque toute la liste donnée ci-dessus est soit absente, soit est généralement effectuée après un incendie (et même alors, pas pour longtemps).
Dispositif de sécurité (pare-feu)
La principale menace pesant sur l'information - sa confidentialité, son intégrité et sa disponibilité (CIA) - vient généralement de l'intérieur. Des employés mécontents, les patrons susmentionnés, des comptables (avec leurs clés USB infectées qui ont été dans le terreau des virus - celui des impôts), des employés ordinaires. Souvent, à la question «avez-vous des procédures documentées pour accéder à l'IP», de nombreuses personnes répondent avec un regard vide - «qu'est-ce que c'est?». Ou la question «le périmètre externe (et interne) du réseau a-t-il été contrôlé par des personnes qualifiées pour la sécurité» - pourquoi? C'est parce que tout fait référence à la même sécurité de l'information. De pratique, la plupart des entreprises n'ont ni l'une ni l'autre, ni la troisième, elles n'ont jamais fait ou ne savent pas du tout pourquoi c'est nécessaire (mais elles écrivent néanmoins dans les postes vacants «sécurité de l'information»). Le pare-feu n'est pas une panacée.Il s'agit d'un outil technique conçu pour protéger à la fois le périmètre externe et interne de votre IP. Et malgré son coût, il ne vous fournira pas de protection s'il est installé par un amateur. Cela peut être comparé au tir avec une arme à feu - cela peut être coûteux, mais ne garantit pas que le tireur inepte (mauvais danseur) atteindra la cible.
Antivirus
Combien de personnes - autant d'antivirus. L'antivirus, comme mentionné ci-dessus, n'est pas une panacée. Il ne s'agit que d'un des moyens de sécurité de l'information, qui n'exclut ni n'annule le paramétrage approprié des systèmes d'exploitation, des politiques de groupe, des droits d'accès, des procédures de sauvegarde réglementées, de la formation et de l'information des utilisateurs sur les bases de la sécurité de l'information et d'autres mesures qui peuvent renforcer le bastion de la sécurité de l'information.
Avez-vous besoin d'embaucher un employé avec un accent particulier sur la sécurité de l'information, ou de vous précipiter et d'acheter des masques pour les dispositifs de sécurité (pare-feu) et les antivirus pour assurer la sécurité des informations?
Non. À la première étape, vous n'avez rien à acheter, à embaucher qui que ce soit et à faire d'autres actions téméraires.
Vous trouverez ci-dessous un algorithme simplifié des actions à entreprendre pour construire un système de sécurité de l'information.
0. Décidez comment vous allez construire un système de sécurité de l'information - comme d'habitude (comment tout est fait dans tout l'espace CIS - à travers le cul et pour le spectacle, nous avons parlé, avons fait des gens intelligents lors de réunions et oublié), ou conformément aux normes généralement acceptées.
Si la réponse à la question 0 est "comme d'habitude", vous ne pouvez plus perdre votre temps précieux et arrêter de lire.
1. Décidez quoi et pourquoi protéger. Le document qui décrit cela est généralement appelé «Politique de sécurité de l'information». Le document ne décrit pas les mesures spécifiques, les dispositifs techniques, les paramètres et autres actions nécessaires pour assurer la protection des informations.
2. Faites une liste des ressources (matériel et logiciel) disponibles dans l'entreprise. Souvent, dans les exigences pour les candidats, une liste de logiciels et équipements "Kerio FW, Cisco, Mikrotik, Ubuntu, pfsense", etc. est mentionnée. Pensez-vous sérieusement que tout ce que vous avez en stock vous protégera? Plutôt l'inverse.
3. Créer et discuter des matrices d'accès des utilisateurs (clients, partenaires, etc.) au système d'information. Qu'est-ce qu'une matrice d'accès: c'est quand il y a un document clair qui, où et à quel niveau a accès au système SI.
4. Créez un document régissant la procédure de sauvegarde.
5. Créez un document décrivant tous les moyens de sécurité de l'information - physique, technique, logiciel, administratif.
6. Préparer et animer des sessions de formation sur la sécurité de l'information pour les employés de l'entreprise. Faites-les tous les trimestres.
7. Demandez à l'employé responsable s'il sera en mesure de fournir tout le processus par lui-même ou si cela nécessite la participation d'un tiers (ou l'embauche d'un employé supplémentaire)
8. Testez votre IP pour la pénétration (le soi-disant test de pénétration).
9. Créez ou corrigez les documents suivants:
- remise en état du SI (système d'information) en cas de panne (matériel, catastrophes d'origine humaine et naturelle, autres dommages);
- les règlements de protection antivirus;
- un document réglementant la procédure de sauvegarde et de test des sauvegardes;
- un document réglementant le contrôle et la restauration des bases de données (le cas échéant);
- , ;
- , ;
- , ( );
- ( );
- , (WiFi) ;
- , ;
- ( );
- , ;
- ( ).
10. Surveiller et ajuster les procédures et règlements sur une base mensuelle en fonction de la situation externe et interne.
11. Souriez. Le diable n'est pas aussi mauvais qu'il est dépeint si vous avez un système d'information bien structuré, transparent, compréhensible et gérable. Compréhensible à la fois pour vous (le responsable), pour vos utilisateurs (employés) et, espérons-le, pour votre administrateur système.
Prenez soin de vous.