Rządowe uznanie ochrony informacji.

Niektóre ważne wydarzenia z historii ochrony informacji (IA) dotyczące inicjatyw rządowych. W szczególności na IA duży wpływ miał rozwój norm bezpieczeństwa począwszy od lat 80. XX wieku, publikacja przełomowej publikacji Computers and Risk w 1991 r. oraz ustanowienie programu InfraGard pod koniec lat 90. w celu ochrony krytycznej infrastruktury w USA.

Standardy IA. Pod koniec lat siedemdziesiątych Departament Obrony Stanów Zjednoczonych “ustanowił Inicjatywę Bezpieczeństwa Komputerowego w celu wspierania powszechnej dostępności zaufanych systemów komputerowych.” Autor wstępnego raportu, który później stał się Kryteriami Oceny Systemów Komputerowych Zaufanych (TCSEC), Standardem DoD 5200.28, napisał, Zaufane systemy komputerowe to systemy operacyjne, które uniemożliwiają użytkownikom uzyskanie dostępu do większej ilości informacji niż te, do których są uprawnieni. Takie systemy są bardzo pożądane, ponieważ więcej przetwarzania jest powierzane komputerom, a mniej informacji powinno być udostępniane wszystkim użytkownikom systemu. Wraz z tym zapotrzebowaniem pojawia się potrzeba sprawdzenia integralności systemów komputerowych na rynku … TCSEC otrzymał pomarańczową okładkę i stał się znany jako “Pomarańczowa Księga”. Pod kierownictwem dyrektora National Computer Security Center (NCSC), Patricka Gallaghera i innych, Agencja Bezpieczeństwa Narodowego (NSA) wydała “tęczową serię” książki, które znacząco wpłynęły na kierunek IA w USA i na świecie. Seria Rainbow doprowadziła do podobnych wysiłków w innych krajach, których kulminacją był System Oceny Kryteriów i Walidacji (CCEVS), który stał się międzynarodowym standardem definiowania poziomów bezpieczeństwa dla systemów i oprogramowanie oraz do określania dopuszczalnych metod testowania i certyfikowania zgodności systemu z takie standardy.

Zagrożone komputery. W 1988 r. Agencja ds. Zaawansowanych Projektów Badawczych w Dziedzinie Obronności (DARPA) zwróciła się do Rady ds. Informatyki i Technologii (przemianowanej na Radę ds. Informatyki i Telekomunikacji w NRC w 1990 r.) o zbadanie problemów bezpieczeństwa komputerowego i komunikacyjnego wpływających na rząd USA i przemysł. Komitet ds. Bezpieczeństwa Systemu NZP opublikował wyniki w czytelnej i pouczającej książce Komputery zagrożone: Bezpieczne komputery w epoce informacyjnej. W skład Komitetu weszli eksperci o nienagannych kwalifikacjach, w tym dyrektorzy największych dostawców komputerowych, takich jak HP, DEC i IBM; od firm zaawansowanych technologicznie, takich jak Shearson, Lehman, Hutton Inc. i Rockwell International; uniwersytety takie jak Harvard i MIT; i think tanków takich jak RAND Corporation. Publiczne nieporozumienie to domniemana rozbieżność w centrum uwagi wojska i handlu: wojsko jest zwykle opisywane jako związane z zewnętrznymi zagrożeniami i problemem ujawniania, podczas gdy firmy są bardziej zaniepokojone wewnętrznymi zagrożeniami integralności danych. Wręcz przeciwnie, wojsko i handel muszą chronić dane w podobny sposób. Różnice wynikają przede wszystkim z (1) wyrafinowania izasoby dostępne dla rządów, które próbują zniszczyć zagraniczne systemy wojskowe; (2) stosunkowo silny nacisk militarny na zapobieganie w porównaniu z potrzebą komercyjną dowodu, który można wykorzystać w postępowaniu sądowym; oraz (3) dostępność dla wojska głębokich kontroli personelu, w przeciwieństwie do ograniczeń nałożonych na naruszenie prywatności w sektorze komercyjnym. Niektóre z bardziej interesujących kwestii podniesionych przez Komitet NRC potwierdzają, że:

  • Ze względu na szybkie i nieciągłe tempo innowacji w dziedzinie komputerów “w odniesieniu do bezpieczeństwa komputerowego przeszłość nie jest dobrym prognostykiem przyszłości”;
  • Systemy wbudowane (te, w których mikroprocesor nie jest dostępny do przeprogramowania przez użytkownika, np. systemy obrazowania medycznego) otwierają nas na większe ryzyko wynikające z niewystarczającego zapewnienia jakości (np. błąd oprogramowania w akceleratorze liniowym Therac 25 zabił trzech pacjentów poprzez napromienianie ich więcej ponad 100 razy większa niż przewidziana dawka promieniowania);
  • Praca w sieci pozwala zaszkodzić wielu innym systemom: “Połączenie zapewnia niemal ekologiczny smak bezpieczeństwa; tworzy zależności, które mogą zaszkodzić, a także przynieść korzyści społeczności … “

Komitet zaproponował główne zalecenia, podsumowane w następujący sposób:

1. Nacisk na wdrożenie ogólnie przyjętych zasad bezpieczeństwa systemu, w tym:

  • Standardy zapewnienia jakości, które uwzględniają względy bezpieczeństwa;
  • Kontrola dostępu dla operacji, jak również danych (np. Dowolnego z systemów menu, które uniemożliwiają dostęp do systemu operacyjnego);
  • Jednoznaczna identyfikacja użytkownika (ID) i uwierzytelnianie (np. Profile osobiste i ręczne generatory haseł)
  • Ochrona kodu wykonywalnego (np. Flagi pokazujące, że niektóre moduły obiektów są “produkowane” lub “instalowane” i tym samym stosują ścisłą kontrolę dostępu, która zapobiegałaby nieautoryzowanej modyfikacji – jak w systemach kontroli konfiguracji);
  • Logowanie bezpieczeństwa (np. Logowanie nie powiodło się próby otwarcia pliku i naruszenia hasła logowania);
  • Przypisanie administratora bezpieczeństwa do każdego przedsiębiorstwa;
  • Szyfrowanie danych;
  • Narzędzia wsparcia operacyjnego służące do sprawdzania stanu i skuteczności środków bezpieczeństwa (np. Narzędzia audytu);
  • Niezależne audyty bezpieczeństwa systemu przez osoby niebiorące bezpośredniego udziału w programowaniu lub zarządzaniu systemem kontrolowanego systemu;
  • Analiza zagrożeń oceniająca zagrożenia dla bezpieczeństwa wynikające z różnych niesprawności i przypadków naruszenia bezpieczeństwa (np. Konsekwencje ingerencji w dane pacjentów w szpitalach).

2. Podejmij teraz konkretne krótkoterminowe działania:

  • Opracuj zasady bezpieczeństwa dla swojej organizacji, zanim pojawi się problem;
  • Skorzystaj z Pomarańczowej Książki (TCSEC, z serii Rainbow Narodowego Centrum Bezpieczeństwa Komputerowego) C2 i B1, aby zdefiniować wytyczne dotyczące bezpieczeństwa;
  • Poprawić rozwój systemów oprogramowania poprzez stosowanie lepszych metod zapewnienia jakości;
  • Współtworzenie dobrowolnych grup branżowych opracowujących nowoczesne standardy bezpieczeństwa i wdrażających te standardy w komercyjnym oprogramowaniu;
  • Spraw, aby efektywne zabezpieczenia były domyślne w oprogramowaniu i sprzęcie (spraw, aby zamiast wyłączać je, włączać wyłączne bezpieczeństwo)

3. Ucz się i nauczaj o bezpieczeństwie:

  • Zbuduj repozytorium danych o incydentach;
  • Wspieranie edukacji w zakresie bezpiecznych systemów inżynieryjnych, zarówno poprzez zachęcanie uniwersytetów do zapewnienia podyplomowych szkoleń z zakresu bezpieczeństwa, jak i poprzez zachęcanie przemysłu do uwzględnienia szkoleń z zakresu bezpieczeństwa w ramach projektów inżynierii oprogramowania;
  • Naucz początkujących o bezpieczeństwie i etyce w użytkowaniu i programowaniu komputerów (np. NCSA pracuje nad projektem badawczo-rozwojowym, którego celem jest zbadanie przekonań, postaw i zachowań dotyczących kwestii etycznych w informatyce w szkołach, szkołach wyższych i uniwersytetach).

4. Wyjaśnić kryteria kontroli wywozu i stworzyć forum arbitrażu (sprzedawcy sprzętu i oprogramowania od lat narzekają, że arbitralne nałożenie surowych restrykcji eksportowych utrudnia konkurencyjność USA na rynkach zagranicznych bez istotnego wsparcia bezpieczeństwa narodowego).

5. Finansować i prowadzić niezbędne badania w takich obszarach, jak:

  • Modułowość zabezpieczeń: wpływ na bezpieczeństwo łączenia modułów ze znanymi właściwościami bezpieczeństwa;
  • Modele polityki bezpieczeństwa: bardziej subtelne wymagania, takie jak integralność i dostępność, nadal nie są łatwo reprezentowane przez struktury kontrolne;
  • Oszacowanie kosztów: powinny istnieć lepsze sposoby mierzenia kosztów i korzyści mechanizmów bezpieczeństwa w poszczególnych aplikacjach;
  • Nowa technologia: w szczególności tworzenie sieci prowadzi do większej złożoności (np. Jak połączyć “wzajemnie podejrzane organizacje”);
  • Zapewnienie jakości dla bezpieczeństwa: jak mierzyć skuteczność;
  • Narzędzia do modelowania: standardy dla graficznych reprezentacji relacji bezpieczeństwa analogicznych do diagramów stosowanych w metodyce dekompozycji funkcjonalnej i obiektowej metodologii projektowania programu;
  • Zautomatyzowane procedury: narzędzia audytu i monitorowania dla zespołu zarządzania centrum danych;
  • Niezaprzeczalność: łączenie potrzeby szczegółowego rejestrowania działań użytkownika z wartościami prywatności;
  • Kontrola zasobów: jak zapewnić legalne wykorzystywanie prawnie zastrzeżonego oprogramowania i danych (np. uniemożliwić więcej niż licencjonowaną liczbę użytkowników dostępu do systemu, zapobiegając kradzieży oprogramowania);
  • Obwody bezpieczeństwa: jak pogodzić potrzebę połączenia sieciowego z ograniczeniami wynikającymi z wymagań bezpieczeństwa (“Jeśli na przykład sieć zezwala na pocztę, ale nie na usługi katalogowe … można wysłać mniej poczty, ponieważ nie ma możliwości wyszukania adresu odbiorcy”).

Rozdział 2 raportu NRC, Concepts of Information Security, to 25-stronicowa strona poświęcona bezpieczeństwu systemów informatycznych, którą można przekazać każdemu menedżerowi, który musi zostać poinformowany, dlaczego proponujesz wydać tak dużo pieniędzy na ochronę systemów komputerowych. Autorzy obejmują podstawowe aspekty bezpieczeństwa informacji (poufność, integralność i dostępność); kontrola zarządzania (indywidualna odpowiedzialność, audyt i rozdział obowiązków); ryzyko (prawdopodobieństwo ataku lub uszkodzenia) i słabe punkty (słabe punkty); i kwestie prywatności. W Załączniku 2.2 autorzy zgłaszają nieformalną ankietę przeprowadzoną w kwietniu 1989 r. Na 30 prywatnych firmach z różnych dziedzin. Konsensus wśród ankietowanych zawierał następujące podstawowe standardy bezpieczeństwa systemów informatycznych (w razie potrzeby pokaż je swojemu kierownikowi):

  • Unikalne identyfikatory, blokowanie dostępu po przekroczeniu maksymalnej liczby błędnych prób logowania, wyświetlanie ostatniego pomyślnego dostępu w czasie logowania, wygaśnięcie hasła i identyfikatora;
  • Nie zezwalaj na osadzanie haseł podczas logowania, nie ujawniaj haseł podczas wpisywania, wymuszaj minimalną długość (6), przechowuj hasła zaszyfrowane, skanuj proponowane hasła, aby wyeliminować łatwe słowa;
  • Zezwalaj na ścisłą kontrolę dostępu do plików;
  • Wykrywać i interdyktować wirusy, certyfikować oprogramowanie jako wolne od wirusów, zapewniać szyfrowanie danych, nadpisywać usunięte pliki, aby zapobiec odzyskowi, wymusić ścisłe powiązanie danych produkcyjnych z programami produkcyjnymi;
  • Zautomatyzowany limit czasu dla nieaktywnych sesji, unikalna identyfikacja terminali i stacji roboczych podczas logowania;
  • Monitorowanie bezpieczeństwa sieci, blokowanie modemu, oddzwanianie, automatyczne szyfrowanie danych podczas transmisji;
  • Ścieżki audytu, w tym naruszenia bezpieczeństwa;
  • Zasadniczo stosowane standardy bezpieczeństwa, które mogą być używane przez sprzedawców i użytkowników do oceny różnych urządzeń i oprogramowania dla określonych środowisk.

Dwadzieścia lat później specjaliści ds. ochrony informacji przesunęli się poza kwestie techniczne, aby podkreślić kontrolę organizacyjną. Na przykład ankieta przeprowadzona w 2003 r. Przez członków stowarzyszenia Information Systems Security Association zawierała wśród respondentów te praktyki w zakresie bezpieczeństwa informacji:

  • Kontrola dostępu: 73%
  • Pisemna polityka bezpieczeństwa informacji: 72%
  • Zgodność z obowiązującymi przepisami i regulacjami: 66%
  • Tworzenie organizacji i procesu wdrażania polityki: 59%
  • Program uświadamiający i szkoleniowy: 57%
  • Regularne monitorowanie, przegląd i audyt: 57%
  • Planowanie ciągłości działania: 57%
  • Ocena ryzyka i zarządzanie ryzykiem: 56%

W 2007 r. Gary S. Miliefsky zaproponował następujące siedem priorytetów dotyczących bezpieczeństwa informacji korporacyjnych:

1. Zasady

2. Świadomość i szkolenie

3. Samodzielne oceny bezpieczeństwa informacji

4. Samodzielne oceny zgodności z przepisami

5. Szyfrowanie w całej firmie

6. Zarządzaj wszystkimi zasobami firmy

7. Przetestuj planowanie ciągłości działania (BCP) i plan odzyskiwania po awarii (DRP)

Wydział Bezpieczeństwa Komputerowego Laboratorium Technologii Informacyjnych przy Narodowym Instytucie Standardów i Technologii wydał projekt modelu odniesienia, który obejmował następujące “programowe, integracyjne i systemowe działania bezpieczeństwa, które zazwyczaj są częścią programu bezpieczeństwa informacji”:

  • Programuj działania bezpieczeństwa
  • Przegląd roczny i kwartalny oraz raportowanie programu bezpieczeństwa informacji
  • Zapasy aktywów
  • Świadomość i specjalistyczne szkolenie w zakresie bezpieczeństwa
  • Ciągłość operacji
  • Reagowania na incydenty
  • Okresowe testowanie i ocena
  • Plan działania i kamienie milowe
  • Warunki i procedury
  • Zarządzanie ryzykiem
  • Działania integracyjne
  • Ryzyko biznesowe
  • Planowanie kapitałowe i kontrola inwestycji (CPIC)
  • Zarządzanie konfiguracją
  • Architektura korporacyjna (EA)
  • Ochrona środowiska
  • Zasoby ludzkie
  • Bezpieczeństwo personelu
  • Bezpieczeństwo fizyczne
  • Prywatność
  • Zarządzanie rekordami
  • Plan strategiczny
  • Cykl życia systemu rozwoju (SDLC)
  • Działania związane z bezpieczeństwem systemu
  • Skategoryzuj system informacyjny
  • Wybierz Kontrola bezpieczeństwa
  • Uzupełnij kontrolę bezpieczeństwa
  • Kontrola dokumentów bezpieczeństwa
  • Zaimplementuj zabezpieczenia
  • Oceń kontrolę bezpieczeństwa
  • Autoryzuj system informacyjny
  • Monitoruj zabezpieczenia

 

 

 

 

 

 

Jedna myśl do “Rządowe uznanie ochrony informacji.”

  1. Dobry, rzeczowy, konkretny, bez przysłowiowego lania wody.
    Nie cierpię artykułów które nic nie wnoszą i są pisane chyba
    dla samego pisania. Tutaj mamy ewidentne przeciwieństwo tego.
    I to mnie niezmiernie cieszy. Pozdrawiam autora i czekam
    na więcej

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *