Politiques de sécurité de l'information. Politique de sécurité de l'information de l'organisation

Connaissances en informatique
Politique sécurité de l'information(IB) est un ensemble de mesures, règles et principes qui sont guidés dans leur pratique quotidienne par les employés d'une entreprise / organisation afin de protéger les ressources d'information.

Au cours du temps qui s'est écoulé depuis l'émergence du concept même de sécurité de l'information, de nombreuses politiques similaires ont été développées - dans chaque entreprise, la direction décide elle-même comment et quelles informations protéger (en plus des cas soumis à des exigences légales Fédération Russe). Les politiques sont généralement formalisées : les réglementations correspondantes sont élaborées. Les employés de l'entreprise sont tenus de se conformer à un tel document. Bien que tous ces documents ne deviennent pas effectifs à la fin. Ci-dessous, nous examinerons toutes les composantes d'une politique de sécurité de l'information et définirons les principaux aspects nécessaires à son efficacité.

A quoi sert la formalisation de la protection de l'information ?

Les dispositions de la politique de sécurité de l'information apparaissent le plus souvent sous la forme d'un document séparé conformément aux exigences du régulateur - l'organisation qui réglemente les règles de travail entités juridiques dans une industrie particulière. S'il n'y a pas de disposition sur la sécurité de l'information, alors certaines représailles à l'encontre du contrevenant ne sont pas exclues, pouvant même entraîner la suspension des activités de ce dernier.

Aussi, la politique de sécurité est une composante obligatoire de certaines normes (locales ou internationales). Il est nécessaire de répondre aux exigences spécifiques qui sont généralement mises en avant par les auditeurs externes qui étudient les activités de l'organisation. L'absence de politique de sécurité génère des réponses négatives, et de telles évaluations affectent négativement des indicateurs tels que la notation, le niveau de fiabilité, l'attractivité des investissements, etc.

Les documents sur la sécurité de l'information voient le jour lorsque la haute direction comprend la nécessité d'une approche structurée du sujet de la sécurité de l'information. De telles solutions peuvent être mises en œuvre après la mise en place de moyens techniques, lorsqu'il y a une prise de conscience que ces moyens doivent être gérés, ils doivent être sous contrôle constant. Souvent, la sécurité de l'information inclut également le problème des relations avec le personnel (un employé peut être considéré non seulement comme une personne à protéger, mais aussi comme un objet dont l'information doit être protégée), d'autres aspects et facteurs qui vont au-delà de la seule protection. réseau informatique et empêcher tout accès non autorisé à celui-ci.

La présence de dispositions pertinentes indique la cohérence de l'organisation en matière de sécurité de l'information, sa maturité. Une formulation claire des règles de sécurité de l'information est la preuve qu'en ce processus des progrès importants ont été accomplis.

Échec des stratégies

La simple présence d'un document portant le nom « Règlement sur la sécurité de l'information » n'est pas une garantie de la sécurité de l'information en tant que telle. S'il n'est envisagé que dans le contexte du respect de certaines exigences, mais sans application pratique, l'effet sera nul.

Une politique de sécurité inefficace, comme le montre la pratique, est de deux types : formulée avec compétence, mais pas mise en œuvre, et mise en œuvre, mais pas clairement formulée.

Le premier, en règle générale, est assez courant dans les organisations dans lesquelles la personne responsable de la protection des informations télécharge simplement des documents similaires à partir d'Internet, effectue des modifications minimales et effectue des règles générales pour approbation de la direction. À première vue, cette approche semble pragmatique. Les principes de sécurité dans différentes organisations, même si l'orientation de leurs activités est différente, sont souvent similaires. Mais des problèmes de sécurité de l'information peuvent survenir lorsque l'on passe d'un concept général de sécurité de l'information à un travail quotidien avec des documents tels que des procédures, des méthodes, des normes, etc. La politique de sécurité ayant été initialement formulée pour une structure différente, certaines difficultés sont possibles avec l'adaptation de documents du quotidien.

La politique inefficace du second type comprend une tentative de résoudre le problème non pas en adoptant des plans stratégiques généraux, mais en prenant des décisions sur le moment. Par exemple, Administrateur du système fatigué du fait que les utilisateurs par leurs manipulations négligentes perturbent le réseau, prend les mesures suivantes: prend une feuille de papier et en dix minutes, notez les règles (ce qui est autorisé et ce qui ne l'est pas, qui est autorisé à accéder aux données d'une certaine propriété , et qui ne l'est pas) et titre c'est "Politique". Si la direction approuve une telle « Politique », elle peut ensuite servir de base aux activités de la structure dans le domaine de la sécurité de l'information pendant des années, créant des problèmes tangibles : par exemple, avec l'introduction de nouvelles technologies, vous ne pouvez pas toujours installer le logiciel nécessaire. En conséquence, des exceptions aux règles commencent à être autorisées (par exemple, une sorte de programme est nécessaire, il est coûteux et l'employé convainc la direction d'utiliser la version sans licence contrairement aux règles de sécurité précédemment établies), ce qui annule tout protection.

Développement d'un système de sécurité de l'information efficace

Pour créer un système de sécurité de l'information efficace, les éléments suivants doivent être développés :

  • le concept de sécurité de l'information (définit la politique globale, ses principes et ses objectifs) ;
  • normes (règles et principes de protection de l'information dans chaque domaine spécifique);
  • procédure (description des actions spécifiques de protection des informations lors de l'utilisation de celles-ci : données personnelles, procédure d'accès aux supports d'informations, systèmes et ressources) ;
  • instructions ( Description détaillée quoi et comment faire pour organiser la sécurité de l'information et garantir les normes existantes).

Tous les documents ci-dessus doivent être interconnectés et ne pas se contredire.

En outre, pour une organisation efficace de la protection de l'information, des plans d'urgence doivent être élaborés. Ils sont nécessaires en cas de remise en état des systèmes d'information en cas de force majeure : accidents, sinistres, etc.

Structure du concept de protection

Remarquons tout de suite : le concept de sécurité de l'information n'est pas identique à une stratégie. Le premier est statique, tandis que le second est dynamique.

Les principales sections du concept de sécurité sont les suivantes :

  • définition de la sécurité de l'information ;
  • structure de sécurité;
  • une description du mécanisme de contrôle de sécurité ;
  • l'évaluation des risques;
  • sécurité de l'information : principes et normes ;
  • devoirs et responsabilités de chaque division, bureau ou département dans la mise en œuvre de la défense supports d'information et d'autres données ;
  • références à d'autres règles de sécurité.

De plus, une section décrivant les principaux critères d'efficacité dans le domaine de la protection ne sera pas superflue. une information important... Les indicateurs d'efficacité de la protection sont nécessaires, en premier lieu, par le top management. Ils permettent d'évaluer objectivement l'organisation de la sécurité sans entrer dans les nuances techniques. Le responsable de l'organisation de la sécurité a également besoin de connaître les critères clairs d'évaluation de l'efficacité de la sécurité de l'information afin de comprendre comment la direction évaluera son travail.

Liste des exigences de base pour la documentation de sécurité

Une politique de sécurité doit être formulée en tenant compte de deux aspects principaux :

  1. Le public cible de toutes les informations sur la sécurité - les cadres intermédiaires et les employés ordinaires ne connaissent pas la terminologie technique spécifique, mais doivent comprendre et assimiler les informations fournies lors de la lecture des instructions.
  2. L'instruction doit être concise et en même temps contenir toutes les information nécessaire sur la politique actuelle. Personne n'étudiera le "folio" volumétrique en détail, encore moins le mémoriser.

De ce qui précède, deux exigences pour le matériel méthodologique sur la sécurité découlent :

  • ils doivent être rédigés en russe simple, sans utilisation de termes techniques particuliers ;
  • le texte sur la sécurité devrait contenir des objectifs, des moyens de les atteindre, indiquant l'attribution de mesures de responsabilité en cas de non-respect de la sécurité de l'information. Tout! Aucune information technique ou autre spécifique.

Organisation et mise en œuvre de la sécurité de l'information

Une fois la documentation de sécurité de l'information prête, une organisation planifiée du travail est nécessaire pour sa mise en œuvre dans le travail quotidien. Cela nécessite:

  • familiariser l'équipe avec la politique de traitement de l'information approuvée ;
  • présenter cette politique de traitement de l'information à tous les nouveaux employés (par exemple, organiser des séminaires ou des cours d'information pour fournir des explications complètes) ;
  • étudier attentivement les processus commerciaux existants afin de détecter et de minimiser les risques ;
  • participer activement à la promotion de nouveaux processus d'affaires, afin de ne pas devenir désespérément à la traîne dans le domaine de la sécurité de l'information ;
  • élaborer des supports méthodologiques et informatifs détaillés, des instructions complémentaires à la politique de traitement de l'information (par exemple, les règles d'accès au travail sur Internet, la procédure d'entrée dans les locaux avec accès limité, une liste des canaux d'information par lesquels vous pouvez transférer des données confidentielles, des instructions pour travailler avec les systèmes d'information, etc.) ;
  • une fois tous les trois mois, réviser et corriger l'accès à l'information, la procédure de travail avec elle, mettre à jour la documentation adoptée pour le SI, surveiller et étudier en permanence les menaces SI existantes.

Personnes essayant d'obtenir un accès non autorisé à des informations

En conclusion, nous classons ceux qui peuvent ou veulent obtenir un accès non autorisé à l'information.

Extérieurs potentiels :

  1. Les visiteurs du bureau.
  2. Employés précédemment licenciés (en particulier ceux qui sont partis avec un scandale et savent comment accéder à l'information).
  3. Les pirates.
  4. Des structures tierces, y compris des concurrents, ainsi que des groupes criminels.

Initiés potentiels :

  1. Utilisateurs d'ordinateurs parmi les employés.
  2. Programmeurs, administrateurs système.
  3. Personnel technique.

Pour l'organisation protection fiable les informations de chacun des groupes répertoriés nécessitent ses propres règles. Si un visiteur peut simplement emporter avec lui une sorte de dépliant contenant des données importantes, alors une personne du personnel technique doit créer un point d'entrée et de sortie non enregistré du LAN. Chacun des cas est une fuite d'informations. Dans le premier cas, il suffit de développer les règles de conduite pour le personnel du bureau, dans le second - de recourir à moyens techniques qui augmentent la sécurité des informations, tels que les systèmes DLP et les systèmes SIEM qui empêchent les fuites des réseaux informatiques.

Lors du développement de la sécurité de l'information, il est nécessaire de prendre en compte les spécificités des groupes répertoriés et de prévoir des mesures efficaces pour éviter les fuites d'informations pour chacun d'entre eux.

Politique de sécurité de l'information - un ensemble de lois, mesures, règles, exigences, restrictions, instructions, documents normatifs, recommandations, etc., réglementant la procédure de traitement des informations et visant à protéger les informations contre certains types de menaces.

La politique de sécurité de l'information est un document fondamental pour assurer l'ensemble du cycle de sécurité de l'information dans une entreprise. Par conséquent, la haute direction de l'entreprise doit être intéressée par la connaissance et le strict respect de ses principaux points par tout le personnel de l'entreprise. Tous les employés des services responsables du régime de sécurité de l'information de l'entreprise doivent être familiarisés avec la politique de sécurité de l'information contre signature. Après tout, ils seront chargés de vérifier le respect des exigences de la politique de sécurité de l'information et la connaissance de ses points essentiels par le personnel de l'entreprise en ce qui les concerne. Le processus de réalisation de ces inspections, les responsabilités des agents chargés de ces inspections et un calendrier des inspections devraient également être définis.

Une politique de sécurité de l'information peut être élaborée à la fois pour une composante distincte d'un système d'information et pour un système d'information dans son ensemble. La politique de sécurité de l'information doit prendre en compte les caractéristiques suivantes du système d'information : informatique, environnement informatique, environnement physique, environnement utilisateur, règles de contrôle d'accès, etc.

La politique de sécurité de l'information devrait garantir l'utilisation complète des normes juridiques, morales et éthiques, des mesures organisationnelles et techniques, des logiciels, du matériel et des outils logiciels et matériels pour assurer la sécurité de l'information, ainsi que déterminer les règles et procédures pour leur utilisation. La politique de sécurité de l'information doit reposer sur les principes suivants : continuité de la protection, suffisance des mesures et moyens de protection, leur conformité avec la probabilité de mise en œuvre des menaces, rentabilité, flexibilité de la structure, facilité de gestion et d'utilisation, etc.

Une politique de sécurité est un ensemble de mesures préventives visant à protéger les données confidentielles et processus d'informationà l'entreprise. La politique de sécurité comprend des exigences pour le personnel, les gestionnaires et les services techniques. Les grandes orientations du développement de la politique de sécurité :

  • déterminer quelles données et dans quelle mesure doivent être protégées,
  • déterminer qui et quels dommages peuvent infliger à l'entreprise sur le plan informationnel,
  • calcul des risques et détermination d'un schéma pour les réduire à une valeur acceptable.

Il existe deux systèmes pour évaluer la situation actuelle dans le domaine de la sécurité de l'information dans l'entreprise. On les appelle au sens figuré recherche ascendante et recherche descendante. La première méthode est assez simple, nécessite beaucoup moins d'investissement en capital, mais a également moins de capacités. Il est basé sur le schéma bien connu : « Vous êtes un intrus. Quelles sont vos actions ? C'est-à-dire que le service de sécurité de l'information, basé sur des données sur tous les types d'attaques connus, essaie de les appliquer en pratique afin de vérifier si une telle attaque est possible à partir d'un attaquant réel.

La méthode « top-down » est au contraire une analyse détaillée de l'ensemble du schéma existant de stockage et de traitement de l'information. La première étape de cette méthode consiste, comme toujours, à déterminer quels objets et flux d'informations doivent être protégés. Elle est suivie d'une étude de l'état actuel du système de sécurité de l'information afin de déterminer laquelle des méthodes classiques de sécurité de l'information a déjà été mise en œuvre, dans quelle mesure et à quel niveau. À la troisième étape, tous les objets d'information sont classés en classes en fonction de leur confidentialité, de leurs exigences d'accessibilité et d'intégrité (immuabilité).

L'étape suivante consiste à déterminer les dommages qu'une divulgation ou une autre attaque sur chaque objet d'information spécifique peut causer à l'entreprise. Cette étape est appelée "calcul du risque". En première approximation, le risque est le produit des « dommages possibles d'une attaque » par la « probabilité d'une telle attaque ».

La politique de sécurité de l'information devrait contenir des clauses dans lesquelles les informations des sections suivantes seraient présentes :


  • concept de sécurité de l'information;
  • détermination des composants et ressources du système d'information pouvant devenir sources de failles de sécurité de l'information et de leur niveau de criticité ;
  • comparaison des menaces avec les objets de protection ;
  • l'évaluation des risques;
  • évaluation du montant des pertes possibles associées à la mise en œuvre des menaces ;
  • évaluation des coûts de construction d'un système de sécurité de l'information ;
  • détermination des exigences relatives aux méthodes et moyens d'assurer la sécurité de l'information ;
  • sélection de solutions de sécurité de l'information de base ;
  • organisation des travaux de restauration et assurer le fonctionnement continu du système d'information ;
  • règles de contrôle d'accès.

La politique de sécurité de l'information de l'entreprise est très importante pour assurer la sécurité complète de l'entreprise. Matériel et logiciel, il peut être mis en œuvre à l'aide de solutions DLP.

Publications associées

29 avril 2014 De nombreuses entreprises achètent des gadgets mobiles pour leurs employés qui sont souvent en voyage d'affaires à leurs propres frais. Dans ces conditions, la DSI a un besoin urgent de contrôler les appareils qui ont accès aux données de l'entreprise, mais en même temps sont situés en dehors du périmètre du réseau de l'entreprise.

Quelles que soient la taille de l'organisation et les spécificités de son système d'information, le travail pour assurer le régime SI comprend généralement les étapes suivantes (Figure 1) :

- définir le périmètre (limites) du système de management de la sécurité de l'information et préciser les objectifs de sa création ;

- l'évaluation des risques;

- sélection de contre-mesures pour assurer le mode SI ;

- Gestion des risques ;

- audit du système de management du SI ;

- élaboration d'une politique de sécurité.

DIV_ADBLOCK340 ">

Étape 3. Structuration des contre-mesures pour protéger les informations aux principaux niveaux suivants : administratif, procédural, logiciel et matériel.

Étape 4. Mise en place de la procédure de certification et d'accréditation des systèmes d'information d'entreprise pour la conformité aux normes SI. Nomination de la fréquence des réunions sur le thème de la sécurité de l'information au niveau de la direction, y compris la révision périodique des dispositions de la politique de sécurité de l'information, ainsi que la procédure de formation de toutes les catégories d'utilisateurs du système d'information dans le domaine de la sécurité de l'information . On sait que l'élaboration de la politique de sécurité d'une organisation est l'étape la moins formalisée. Cependant, ces dernières années, c'est ici que se sont concentrés les efforts de nombreux spécialistes de la sécurité de l'information.

Étape 5. Définir la portée (limites) du système de gestion de la sécurité de l'information et préciser les objectifs de sa création. A ce stade, les limites du système dont le mode de sécurité de l'information doit être assuré sont déterminées. En conséquence, le système de gestion de la sécurité de l'information est construit à l'intérieur de ces limites. Il est recommandé que la description même des limites du système soit effectuée selon le plan suivant :

- la structure de l'organisation. Présentation de la structure existante et des changements qui sont censés être introduits dans le cadre du développement (modernisation) du système automatisé ;

- les ressources du système d'information à protéger. Il est conseillé de considérer les ressources Système automatisé les classes suivantes : SVT, données, système et logiciel d'application. Toutes les ressources ont de la valeur pour l'organisation. Pour les évaluer, un système de critères et une méthodologie pour obtenir des résultats selon ces critères devraient être sélectionnés ;

· Élaboration de principes pour la classification des actifs informationnels de l'entreprise et l'évaluation de leur sécurité ;

· L'évaluation des risques informationnels et leur gestion ;

· Formation des salariés de l'entreprise aux méthodes de sécurité de l'information, réalisation de briefings et suivi des connaissances et compétences pratiques de mise en œuvre de la politique de sécurité par les salariés de l'entreprise ;

Conseil aux chefs d'entreprise sur les questions de gestion risques liés à l'information;

· Coordination des politiques et règlements de sécurité privée entre les divisions de l'entreprise;

· Contrôle du travail des services de qualité et d'automatisation de l'entreprise avec le droit de vérifier et d'approuver les rapports et documents internes ;

· Interaction avec le service du personnel de l'entreprise pour vérifier les données personnelles des employés lors de l'embauche;

· Organisation de mesures pour éliminer les situations d'urgence ou les urgences dans le domaine de la protection de l'information en cas de survenance ;

Intégrité de l'information - l'existence d'une information sous une forme non déformée (inchangée par rapport à certains de ses états fixes). Habituellement, les sujets sont intéressés à fournir une propriété plus large - la fiabilité de l'information, qui consiste en l'adéquation (exhaustivité et précision) de l'affichage de l'état Domaine et directement l'intégrité de l'information, c'est-à-dire sa non-distorsion.

Il y a une distinction entre l'intégrité statique et dynamique. Afin de violer l'intégrité statique, un attaquant peut : saisir des données incorrectes ; Pour modifier les données. Parfois des changements de données significatifs, parfois des informations de service. Les menaces à l'intégrité dynamique sont la violation de l'atomicité des transactions, la réorganisation, le vol, la duplication de données ou l'introduction de messages supplémentaires (paquets réseau, etc.). Les actions correspondantes dans un environnement en réseau sont appelées écoute active.

L'intégrité n'est pas seulement compromise par la falsification ou l'altération des données, mais aussi par le refus de les mesures prises... S'il n'existe aucun moyen d'assurer la « non-répudiation », les données informatiques ne peuvent être considérées comme des preuves. Non seulement les données, mais aussi les programmes sont potentiellement vulnérables du point de vue de la violation de l'intégrité. L'injection de logiciels malveillants est un exemple d'une telle violation.

pertinent et hautement menace dangereuse est l'introduction de rootkits (un ensemble de fichiers installés dans le système afin de modifier sa fonctionnalité standard de manière malveillante et secrète), de bots (un programme qui effectue automatiquement une certaine mission ; un groupe d'ordinateurs sur lesquels des bots du même type fonctionner est appelé un botnet), des passages secrets ( malware commandes d'écoute sur des ports TCP ou UDP spécifiques) et les logiciels espions Logiciel(programme malveillant conçu pour compromettre les données confidentielles des utilisateurs. Par exemple, Back Orifice et les chevaux de Troie Netbus vous permettent de contrôler systèmes personnalisés avec différentes versions de MS-Windows.

Menace de confidentialité

La menace d'une violation de la confidentialité est que l'information est connue de quelqu'un qui n'a pas le pouvoir d'y accéder. Parfois, le terme « fuite » est utilisé en relation avec la menace d'une violation de la confidentialité.

La confidentialité de l'information est une caractéristique (propriété) de l'information déterminée (attribuée) subjectivement, indiquant la nécessité d'imposer des restrictions sur l'éventail des sujets qui ont accès à cette information, et fournie par la capacité du système (environnement) à préserver les informations spécifiées en secret des sujets qui n'ont pas l'autorité pour y accéder. Les conditions objectives d'une telle restriction de la disponibilité de l'information pour certains sujets résident dans la nécessité de protéger leurs intérêts légitimes vis-à-vis d'autres sujets des relations d'information.

Les informations confidentielles peuvent être divisées en informations de sujet et de service. Les informations de service (par exemple, les mots de passe des utilisateurs) n'appartiennent pas à un domaine spécifique, elles jouent un rôle technique dans le système d'information, mais leur divulgation est particulièrement dangereuse, car elle entraîne un accès non autorisé à toutes les informations, y compris les informations sur le sujet. Les menaces non techniques dangereuses à la confidentialité sont des méthodes d'influence morale et psychologique, telles que la "mascarade" - effectuer des actions sous le couvert d'une personne habilitée à accéder aux données. Les menaces désagréables contre lesquelles il est difficile de se défendre comprennent l'abus de pouvoir. Sur de nombreux types de systèmes, un utilisateur privilégié (par exemple, un administrateur système) est capable de lire n'importe quel fichier (non crypté), d'accéder à la messagerie de n'importe quel utilisateur.

Actuellement, les attaques dites de phishing les plus courantes. La pêche (pêche - pêche) est un type de fraude sur Internet dont le but est d'accéder aux données confidentielles des utilisateurs - identifiants et mots de passe. Ceci est réalisé en menant envois en masse e-mails au nom de marques populaires, ainsi que des messages privés au sein de divers services, par exemple, au nom de banques, de services (Rambler, Mail.ru) ou à l'intérieur réseaux sociaux(Facebook, Vkontakte, Odnoklassniki.ru). Les hameçonneurs ciblent aujourd'hui les clients des banques et des systèmes de paiement électronique. Par exemple, aux États-Unis, se faisant passer pour l'Internal Revenue Service, les hameçonneurs ont collecté des données importantes sur les contribuables en 2009.

Le logiciel TSF off-core se compose d'applications de confiance utilisées pour mettre en œuvre des fonctionnalités de sécurité. Notez que les bibliothèques partagées, y compris les modules PAM, sont dans certains cas utilisées par des applications de confiance. Cependant, il n'y a aucun cas où la bibliothèque partagée elle-même est considérée comme un objet de confiance. Les commandes de confiance peuvent être regroupées comme suit.

  • Initialisation du système
  • Identification et authentification
  • Applications réseau
  • Le traitement par lots
  • La gestion du système
  • Audit de niveau utilisateur
  • Support cryptographique
  • Prise en charge des machines virtuelles

Les composants d'exécution du noyau peuvent être divisés en trois parties constitutives : le noyau principal, les threads du noyau et les modules du noyau, selon la façon dont ils seront exécutés.

  • Le noyau principal comprend du code qui est exécuté pour fournir un service, tel que le service d'un appel système utilisateur ou le service d'un événement d'exception ou d'une interruption. La plupart des codes noyau compilés entrent dans cette catégorie.
  • Fils de noyau. Le noyau crée des processus ou des threads internes pour effectuer certaines tâches courantes, telles que l'effacement des caches disque ou la libération de mémoire en déchargeant les blocs de page inutilisés. Les threads sont planifiés comme les processus normaux, mais ils n'ont pas de contexte en mode non privilégié. Les threads du noyau exécutent certaines fonctions du langage du noyau C. Les threads du noyau sont situés dans l'espace noyau et ne s'exécutent qu'en mode privilégié.
  • Le module de noyau et le module de noyau de pilote de périphérique sont des morceaux de code qui peuvent être chargés et déchargés dans et depuis le noyau selon les besoins. ils s'étendent Fonctionnalité noyaux sans avoir besoin de redémarrer le système. Une fois chargé, le code objet du module noyau peut accéder à d'autres codes et données du noyau de la même manière que le code objet du noyau lié de manière statique.
Un pilote de périphérique est un type spécial de module de noyau qui permet au noyau d'accéder au matériel connecté au système. Ces périphériques peuvent être des disques durs, des moniteurs ou des interfaces réseau. Le pilote communique avec le reste du noyau via une interface spécifique qui permet au noyau de traiter tous les périphériques d'une manière universelle indépendamment de leurs implémentations sous-jacentes.

Le noyau se compose de sous-systèmes logiques qui fournissent diverses fonctionnalités. Même si le noyau est le seul programme exécutable, les divers services qu'il fournit peuvent être séparés et combinés en différents composants logiques. Ces composants interagissent pour fournir des fonctionnalités spécifiques. Le noyau se compose des sous-systèmes logiques suivants :

  • Sous-système de fichiers et sous-système d'E/S: Ce sous-système implémente des fonctions liées aux objets système de fichiers. Fonctions implémentées incluent ceux qui permettent à un processus de créer, maintenir, interagir avec et supprimer des objets du système de fichiers. Ces objets incluent des fichiers normaux, des répertoires, des liens symboliques, des liens physiques, des fichiers spécifiques au périphérique, des canaux nommés et des sockets.
  • Sous-système de processus: Ce sous-système implémente des fonctions liées au contrôle des processus et au contrôle des threads. Les fonctions implémentées vous permettent de créer, planifier, exécuter et supprimer des processus et des principaux de thread.
  • Sous-système de mémoire: Ce sous-système implémente des fonctions liées à la gestion des ressources mémoire du système. Les fonctions implémentées incluent celles qui créent et gèrent mémoire virtuelle, y compris la gestion des algorithmes de pagination et des tables de pagination.
  • Sous-système réseau: ce sous-système implémente des sockets et des algorithmes de domaine UNIX et Internet utilisés pour planifier les paquets réseau.
  • Sous-système IPC: Ce sous-système implémente des fonctions liées aux mécanismes IPC. Les fonctionnalités mises en œuvre incluent celles qui facilitent l'échange contrôlé d'informations entre les processus en leur permettant de partager des données et de synchroniser leur exécution lors de l'interaction avec une ressource partagée.
  • Sous-système de modules de noyau: ce sous-système implémente l'infrastructure pour prendre en charge les modules chargeables. Les fonctions implémentées incluent le chargement, l'initialisation et le déchargement des modules du noyau.
  • Rallonges Sécurité Linux : Les extensions de sécurité Linux implémentent divers aspects de la sécurité qui sont fournis pour l'ensemble du noyau, y compris le framework Linux Security Module (LSM). Le framework LSM sert de framework aux modules pour permettre la mise en œuvre de diverses politiques de sécurité, y compris SELinux. SELinux est un sous-système logique important. Ce sous-système implémente des fonctions de contrôle d'accès obligatoires pour obtenir un accès entre tous les objets et objets.
  • Sous-système de pilote de périphérique: Ce sous-système implémente la prise en charge de divers matériels et périphériques logiciels via une interface commune indépendante de l'appareil.
  • Sous-système d'audit: Ce sous-système met en œuvre des fonctions liées à l'enregistrement des événements critiques pour la sécurité dans le système. Les fonctions implémentées incluent celles qui capturent chaque appel système pour capturer les événements critiques pour la sécurité et celles qui implémentent la collecte et l'enregistrement des pistes d'audit.
  • Sous-système KVM: Ce sous-système implémente la maintenance du cycle de vie de la machine virtuelle. Il effectue l'achèvement des instructions, utilisé pour les instructions qui ne nécessitent que de petites vérifications. Pour tout autre achèvement de l'instruction, KVM appelle le composant d'espace utilisateur QEMU.
  • API de chiffrement: Ce sous-système fournit une bibliothèque cryptographique interne au noyau pour tous les composants du noyau. Il fournit des primitives cryptographiques pour les appelants.

Le noyau est la partie principale système opérateur... Il interagit directement avec le matériel, met en œuvre le partage des ressources, fournit des services communs aux applications et empêche les applications d'accéder directement aux fonctions dépendantes du matériel. Les services fournis par le noyau incluent :

1. Gestion de l'exécution des processus, y compris les opérations de leur création, fin ou suspension, et la communication interprocessus. Ils comprennent:

  • Planification équivalente des processus à exécuter sur le CPU.
  • Fractionnement des processus dans la CPU à l'aide du mode time-split.
  • Exécution du processus dans la CPU.
  • Suspension du noyau après l'expiration du quantum de temps qui lui est alloué.
  • Allouer du temps au noyau pour exécuter un autre processus.
  • Replanification de l'heure du noyau pour exécuter un processus suspendu.
  • Gérez les métadonnées liées à la sécurité des processus telles que les UID, les GID, les étiquettes SELinux, les identifiants de fonctionnalités.
2. Isolement mémoire vive pour le processus exécutable. Cette opération comprend :
  • Autorisation du noyau pour les processus de partager une partie de leur espace d'adressage sous certaines conditions ; cependant, le noyau protège le propre espace d'adressage du processus des interférences extérieures.
  • Si le système manque de mémoire libre, le noyau libère de la mémoire en écrivant temporairement le processus dans la mémoire de second niveau ou dans l'espace d'échange.
  • Interaction coordonnée avec le matériel de la machine pour établir un mappage des adresses virtuelles aux adresses physiques, qui mappe les adresses générées par le compilateur aux adresses physiques.
3. Cycle de vie des services machines virtuelles qui comprend:
  • Définissez des limites sur les ressources configurées par l'application d'émulation pour une machine virtuelle donnée.
  • Lancer code de programme machine virtuelle pour l'exécution.
  • Gérez l'arrêt des machines virtuelles en exécutant une instruction ou en retardant l'achèvement d'une instruction pour émuler l'espace utilisateur.
4. Maintenance du système de fichiers. Il comprend:
  • Allocation de mémoire secondaire pour un stockage et une récupération efficaces des données utilisateur.
  • Mise en évidence mémoire externe pour les fichiers personnalisés.
  • Recycler l'espace de stockage inutilisé.
  • Organisation de la structure du système de fichiers (en utilisant des principes de structuration clairs).
  • Protéger les fichiers des utilisateurs contre les accès non autorisés.
  • Organisation de l'accès contrôlé des processus à périphériques tels que les terminaux, les lecteurs de bande, les lecteurs de disque et les périphériques réseau.
  • Organisation de l'accès mutuel aux données pour les sujets et les objets, fournissant un accès contrôlé basé sur la politique DAC et toute autre politique mise en œuvre par le LSM chargé.
Le noyau Linux est un type de noyau de système d'exploitation qui implémente une planification préemptive. Dans les noyaux qui n'ont pas cette capacité, l'exécution du code du noyau se poursuit jusqu'à la fin, c'est-à-dire le planificateur n'est pas capable de replanifier une tâche tant qu'elle est dans le noyau. De plus, l'exécution du code du noyau est planifiée conjointement, sans planification préemptive, et l'exécution de ce code se poursuit jusqu'à ce qu'il se termine et retourne dans l'espace utilisateur, ou jusqu'à ce qu'il soit explicitement bloqué. Dans les noyaux préemptifs, il est possible de décharger une tâche à tout moment pendant que le noyau est dans un état dans lequel il est sûr de replanifier.

Dans ce sujet, je vais essayer de compiler un manuel de développement documents réglementaires dans le domaine de la sécurité de l'information pour une structure commerciale, s'appuyant sur expérience personnelle et des matériaux du réseau.

Ici vous pouvez trouver des réponses aux questions:

  • à quoi sert la politique de sécurité de l'information ;
  • comment le composer;
  • comment l'utiliser.

La nécessité d'une politique de sécurité de l'information
Cette section décrit la nécessité de mettre en œuvre une politique de sécurité de l'information et des documents connexes non pas dans le beau langage des manuels et des normes, mais en utilisant des exemples tirés de l'expérience personnelle.
Comprendre les buts et objectifs du département de la sécurité de l'information
Tout d'abord, une politique est nécessaire afin de transmettre à l'entreprise les buts et objectifs de la sécurité de l'information de l'entreprise. Une entreprise doit comprendre qu'un responsable de la sécurité n'est pas seulement un outil pour enquêter sur les fuites de données, mais aussi un assistant pour minimiser les risques de l'entreprise, et donc augmenter la rentabilité de l'entreprise.
Exigences de la politique - Base de mise en œuvre des sauvegardes
La politique de sécurité de l'information est nécessaire pour justifier la mise en place de mesures de protection dans l'entreprise. La politique doit être approuvée par la plus haute instance administrative de l'entreprise (PDG, conseil d'administration, etc.)

Toute mesure de protection est un compromis entre la réduction des risques et l'expérience utilisateur. Lorsqu'un agent de sécurité dit que le processus ne devrait en aucun cas se dérouler en raison de l'apparition de certains risques, on lui pose toujours une question raisonnable : « Comment cela devrait-il se produire ? » Le responsable de la sécurité doit se voir proposer un modèle de processus dans lequel ces risques sont réduits dans une certaine mesure, ce qui est satisfaisant pour l'entreprise.

Dans le même temps, toute application de toute mesure de protection concernant l'interaction de l'utilisateur avec le système d'information de l'entreprise provoque toujours une réaction négative de la part de l'utilisateur. Ils ne veulent pas réapprendre, lire les instructions élaborées pour eux, etc. Très souvent, les utilisateurs posent des questions raisonnables :

  • pourquoi devrais-je travailler selon votre schéma inventé, et pas ceux d'une manière simple que j'ai toujours utilisé
  • qui a inventé tout ça
La pratique a montré que l'utilisateur ne se soucie pas des risques, on peut lui expliquer longuement et fastidieusement les hackers, le code pénal, etc., il n'en sortira qu'un gaspillage de cellules nerveuses.
Si l'entreprise a une politique de sécurité de l'information, vous pouvez donner une réponse concise et succincte :
cette mesure a été introduite pour répondre aux exigences de la politique de sécurité de l'information de l'entreprise, qui a été approuvée par la plus haute instance administrative de l'entreprise

En règle générale, après la disparition de l'énergie de la plupart des utilisateurs. Les autres peuvent être invités à écrire une note à cette plus haute instance administrative de l'entreprise. Le reste est éliminé ici. Car même si la note y va, on peut toujours prouver la nécessité des mesures prises devant la direction. On ne mange pas notre pain pour rien, non ? Il y a deux choses à garder à l'esprit lors de l'élaboration de votre politique.
  • Le public cible de la politique de sécurité de l'information sont les utilisateurs finaux et la haute direction de l'entreprise qui ne comprennent pas les expressions techniques complexes, mais doivent être familiarisés avec les dispositions de la politique.
  • Il n'est pas nécessaire d'essayer de fourrer quelque chose d'improductif pour inclure tout ce que vous pouvez dans ce document ! Il ne devrait y avoir que des objectifs de sécurité de l'information, des méthodes pour les atteindre et des responsabilités ! Pas de détails techniques s'ils nécessitent des connaissances spécifiques. Ce sont tous des matériaux pour les instructions et les règlements.


Le document final doit répondre aux exigences suivantes :
  • concision - un grand volume d'un document effraiera n'importe quel utilisateur, personne ne lira jamais votre document (et vous utiliserez la phrase plus d'une fois : "il s'agit d'une violation de la politique de sécurité de l'information qui vous a été présentée")
  • l'accessibilité à un simple profane - l'utilisateur final doit comprendre CE QUI est écrit dans la politique (il ne lira jamais et ne se souviendra jamais des mots et expressions "journalisation", "modèle d'intrus", "incident de sécurité de l'information", "infrastructure de l'information", "homme -fabriqué", "fabriqué par l'homme", "Facteur de risque", etc.)
Comment cela peut il etre accompli?

En fait, tout est très simple : une politique de sécurité de l'information doit être un document de premier niveau, elle doit être étoffée et complétée par d'autres documents (règlements et instructions), qui décriront déjà quelque chose de précis.
Une analogie peut être établie avec l'État : le document de premier niveau est la constitution, et les doctrines, concepts, lois et autres actes normatifs existant dans l'État ne font que compléter et régler la mise en œuvre de ses dispositions. Un schéma approximatif est présenté sur la figure.

Afin de ne pas salir de bouillie sur une assiette, regardons simplement des exemples de politiques de sécurité de l'information que l'on peut trouver sur Internet.

Nombre de pages utiles * Chargé de termes Score global
OJSC "Gazprombank" 11 Très haut
Fonds de développement de l'entrepreneuriat Damu JSC 14 Haute Un document difficile pour une lecture réfléchie, le profane ne lira pas, et s'il lit, il ne comprendra pas et ne se souviendra pas
JSC NC "KazMunayGas" 3 Faible Un document facile à comprendre, pas surchargé de termes techniques
JSC "Institut d'ingénierie radio nommé d'après l'académicien A. L. Mints" 42 Très haut Un document complexe pour une lecture réfléchie, le profane ne lira pas - il y a trop de pages

* Utile j'appelle le nombre de pages sans table des matières, page de titre et autres pages qui ne portent pas d'informations spécifiques

Résumé

Une politique de sécurité de l'information doit tenir sur plusieurs pages, être facile à comprendre pour le profane, décrire en termes généraux les objectifs de la sécurité de l'information, les méthodes pour les atteindre et la responsabilité des employés.
Mise en œuvre et utilisation de la politique de sécurité de l'information
Après approbation de la politique SI, il faut :
  • se familiariser avec la politique de tous les employés existants ;
  • familiariser tous les nouveaux employés avec la politique (la meilleure façon de procéder est un sujet pour une conversation séparée, nous avons un cours d'introduction pour les nouveaux arrivants, dans lequel je parle avec des explications);
  • analyser les processus commerciaux existants afin d'identifier et de minimiser les risques ;
  • participer à la création de nouveaux processus métiers, pour ne pas courir après le train ;
  • élaborer des règlements, des procédures, des instructions et d'autres documents complétant la politique (instructions pour fournir l'accès à Internet, instructions pour fournir l'accès aux salles à accès limité, instructions pour travailler avec systèmes d'information entreprises, etc.) ;
  • réviser la politique SI et les autres documents SI au moins une fois par trimestre afin de les mettre à jour.

Pour les questions et suggestions, bienvenue dans les commentaires et MP.

Question% nom d'utilisateur%

Quant à la politique, les patrons n'aiment pas ce que je veux. en mots simples... Ils me disent : "Nous avons ici, outre vous et moi, et 10 autres informaticiens qui eux-mêmes savent et comprennent tout, il y en a 200 qui n'y comprennent rien, la moitié sont des retraités."
J'ai suivi le chemin de la brièveté moyenne des descriptions, par exemple, les règles protection antivirus, et ci-dessous j'écris comme s'il y avait une politique de protection antivirus, etc. Mais je ne comprends pas si l'utilisateur signe pour la politique, mais encore une fois, il doit lire un tas d'autres documents, il semble qu'il ait réduit la politique, mais il semble que non.

Ici, j'irais dans la voie de l'analyse des processus.
Disons une protection antivirus. Logiquement, il devrait en être ainsi.

Quels sont les risques des virus ? Violation de l'intégrité (endommagement) des informations, violation de la disponibilité (temps d'arrêt des serveurs ou des PC) des informations. À bonne organisation réseau, l'utilisateur ne doit pas disposer des droits d'administrateur local sur le système, c'est-à-dire qu'il ne doit pas avoir le droit d'installer des logiciels (et donc des virus) dans le système. Ainsi, les retraités tombent, car ils ne font pas d'affaires ici.

Qui peut réduire les risques associés aux virus ? Utilisateurs avec des droits d'administrateur de domaine. Administrateur de domaine - un rôle sensible, attribué aux employés des services informatiques, etc. En conséquence, ils devraient installer des antivirus. Il s'avère qu'ils sont également responsables de l'activité du système antivirus. En conséquence, ils doivent également signer les instructions sur l'organisation de la protection antivirus. En fait, cette responsabilité doit être prescrite dans les instructions. Par exemple, les lecteurs bezopasnik, les administrateurs exécutent.

Question% nom d'utilisateur%

Alors la question est, quelle responsabilité pour la création et l'utilisation de virus ne devrait pas être incluse dans les instructions de l'Anti-Virus ZI (ou il y a un article et ne peut pas être mentionné) ? Ou qu'ils sont obligés de signaler un virus ou un comportement étrange du PC au Help Desk ou aux responsables informatiques ?

Encore une fois, je regarderais du côté de la gestion des risques. Ça sent le GOST 18044-2007, pour ainsi dire.
Dans votre cas, un "comportement étrange" n'est pas nécessairement un virus. Cela peut être un frein système ou un gposhek, etc. Par conséquent, il ne s'agit pas d'un incident, mais d'un événement lié à la sécurité de l'information. Là encore, selon GOST, toute personne peut déclarer un événement, mais il est possible de comprendre un incident ou pas seulement après analyse.

Ainsi, votre question ne se traduit plus en politique de sécurité de l'information, mais en gestion des incidents. Ici, dans votre politique, il devrait être précisé que l'entreprise doit disposer d'un système de gestion des incidents.

Autrement dit, comme vous pouvez le constater, l'exécution administrative de la politique est principalement confiée aux administrateurs et aux agents de sécurité. Les utilisateurs se retrouvent avec un personnalisé.

Par conséquent, vous devez établir une certaine « Procédure d'utilisation de la TCC dans l'entreprise », où vous devez indiquer les responsabilités des utilisateurs. Ce document doit être en corrélation avec la politique de sécurité de l'information et être, pour ainsi dire, une explication pour l'utilisateur.

Dans ce document, vous pouvez spécifier que l'utilisateur est tenu d'informer l'autorité compétente d'une activité informatique anormale. Eh bien, tout le reste est personnalisé, vous pouvez y ajouter.

Au total, vous devez familiariser l'utilisateur avec deux documents :

  • Politique du SI (afin qu'il comprenne ce qui est fait et pourquoi, ne fait pas bouger le bateau, ne jure pas lors de l'introduction de nouveaux systèmes de contrôle, etc.)
  • cette « Procédure d'utilisation de la TCC dans l'entreprise » (afin qu'il comprenne quoi faire exactement dans des situations spécifiques)

En conséquence, lors de l'introduction nouveau système, vous ajoutez simplement quelque chose à la « Commande » et en informez les employés en envoyant la commande par e-mail (ou via l'EDMS, s'il y en a un).

Balises : ajouter des balises

Vous avez aimé l'article ? A partager avec des amis :
Vous pouvez également être intéressé par