Jak każdy temat, tak i ten można z pewnością ująć inaczej. Za zaprezentowanym podejściem przemawia prostota i przejrzystość. Ważnym warunkiem powodzenia jest równoległe wdrażanie wszystkich trzech grup zabezpieczeń. Stosunkowo wysokie koszty należy traktować jak polisę ubezpieczeniową, którą wykupuje się, aby zapobiegać bardzo wysokim kosztom występującym w nieprzewidzianych momentach.
Grupa pierwsza - metody administracyjno-organizacyjne
Metody administracyjno-organizacyjne to zbiór zabezpieczeń organizacyjnych, proceduralnych i osobowych w organizacji oraz jej systemów teleinformatycznych.
Dokumentów w zakresie bezpieczeństwa zasobów - analiz, koncepcji, procedur wdrożeniowych, przetargowych - nie da się uniknąć
Metody administracyjno-organizacyjne to polityka bezpieczeństwa i zarządzanie bezpieczeństwem informacji, to organizacja systemu bezpieczeństwa informacji na poziomie adekwatnym do wrażliwości danych i skali / intensywności zagrożeń, to opracowywanie i wdrażanie procedur zabezpieczających, dobór kadr i ich doskonalenie, ciągłe (bieżące) prowadzenie analiz ryzyka, wnioskowanie o koniecznych modyfikacjach systemu i wdrażanie ich.
Metody administracyjno-organizacyjne to głównie:
Analiza wrażliwych zasobów – co i do jakiego stopnia należy chronić oraz przed kim / przed czym (w tym wyodrębnienie zasobów najwrażliwszych i ich klasyfikowanie);
Okresowe analizy stanu bezpieczeństwa informacji i systemów teleinformatycznych (w tym procedury i stopień ich przestrzegania przez pracowników);
Okresowe analizy ryzyka powstania zagrożeń (scenariusze zagrożeń z prawdopodobieństwem wystąpienia, szacunkowymi szkodami, metodani zapobiegania, osobami odpowiedzialnymi za działania w tym zakresie itp.);
Sporządzenie koncepcji i wdrożenie polityki bezpieczeństwa informacji, co oznacza też zapoznanie z koncepcją wszystkich pracowników i wdrożenie ich do przestrzegania procedur;
Dobór kadr i ich szkolenie ustawiczne, w tym szkolenie wszystkich stykających się z jakimikolwiek elementami systemu teleinformatycznego lub wrażliwymi informacjami (de facto dotyczy to wszystkich pracowników bez względu na zajmowane stanowisko).
Grupa druga - metody techniczne
Metody techniczne to przedsięwzięcia i rozwiązania techniczne mające na celu zabezpieczenie informacji i danych przed ich utratą, przechwytem niepożądanym modyfikowaniem, a także wspierające zabezpieczenia fizyczne.
Szyfrowanie danych i transmisji, ale też archiwizowanie, kopie zapasowe, kopie bezpieczeństwa...
Należą do nich m.in:
Rozwiązania i metody kryptograficzne, programowo-sprzętowe zapewnienie bezpieczeństwa systemów teleinformatycznych, ochrona elektromagnetyczna, elektroniczne systemy ochrony obiektów i zasobów teleinformatycznych;
Kryptograficzne zabezpieczanie danych / informacji przez ich szyfrowanie, szyfrowanie komunikacji / transmisji itp.;
Programowo-sprzętowe zabezpieczanie środowiska pracy w systemach teleinformatycznych przez aplikację antywirusów, zapór sieciowych, archiwizację i kopie zapasowe, ustanawianie metod dostępu do systemów;
Ochrony przed ulotem promieniowania elektromagnetycznego mogącego być nośnikiem informacji oraz przed dostępem takiego promieniowania, co mogłoby prowadzić do uszkodzenia sprzętu, ingerencji w system itp.
Grupa trzecia - metody fizyczne
Metody fizyczne sprowadza się ochrony tych obiektów organizacji, które fizycznie mieszczą systemy teleinformatyczne oraz ich poszczególne elementy, w których ludzie pracują na tych systemach oraz dokumentów dotyczących tych systemów przed nieupoważnionym do nich fizycznym dostępem.
Ochrona fizyczna z systemem regulowania i kontrolowania dostępu do obiektów oraz do poszczególnych pomieszczeń, z systemami ostrzegania o próbach nieupoważnionego dostępu i alarmowania o uzyskaniu takiego dostępu.
Tak, jak dbamy o infrastrukturę bezpieczeństwa, tak dokumenty i ich cyfrowe wersje wyciekają (bądź nie)
Implementowanie systemów sygnalizujących zagrożenia, nieuprawniony dostęp do systemu lub jego elementu (urządzeń), do obiektów i instalacji;
Systemy ochrony osób i mienia w tym fizyczne (płoty, znaki ostrzegawcze), elektroniczne o charakterze monitoringu ciągłego, zarówno na terenie obiektów (wewnątrz budynków i między nimi), jak i obszar bezpośrednio przyległy do obiektów;
Współpraca ze służbami porządkowymi i organami ścigania.
Tylko stosowanie wszystkich trzech grup może ukształtować pożądany poziom bezpieczeństwa. Najtańszym i jednocześnie naczęściej zaniedbywanym elementem jest świadomość zagrożeń wśród personelu i nieprzestrzeganie najbardziej podstawowych procedur.
Dokumentów w zakresie bezpieczeństwa zasobów - analiz, koncepcji, procedur wdrożeniowych, przetargowych - nie da się uniknąć
Szyfrowanie danych i transmisji, ale też archiwizowanie, kopie zapasowe, kopie bezpieczeństwa...
Tak, jak dbamy o infrastrukturę bezpieczeństwa, tak dokumenty i ich cyfrowe wersje wyciekają (bądź nie)