Du kan hjelpe ved å legge til referanser eller fjerne upublisert innhold. Se samtalesiden for mer informasjon.
Den sikkerheten til informasjonssystemer ( ISS ) eller mer bare datasikkerhet , er alle de tekniske, organisatoriske, juridiske og menneskelige ressurser som er nødvendige for gjennomføringen av midler for å hindre uautorisert bruk, misbruk, modifikasjon eller underslag av informasjonssystemet . Å sikre sikkerheten til informasjonssystemet er en aktivitet for informasjonssystemstyring .
I dag er sikkerhet et stort tema for selskaper så vel som for alle aktørene rundt det. Den er ikke lenger bare begrenset til datavitenskapsmannens rolle. Det langsiktige målet er å opprettholde tilliten til brukere og kunder. Det langsiktige målet er konsistensen av hele informasjonssystemet. På kort sikt er målet at alle skal ha tilgang til informasjonen de trenger. Standarden for håndteringssystemer for informasjonssikkerhet (ISMS) er ISO / CEI 27001 som understreker konfidensialitet - integritet - tilgjengelighet , det vil si på fransk tilgjengelighet , integritet og konfidensialitet .
Informasjonssystemledere har lenge vært opptatt av å sikre data. Den mest utbredte sak, og utvilsomt en forløper i form av informasjon sikkerhet , forblir sikring av strategisk og militær informasjon. The United States Department of Defense (DoD) er opprinnelsen til TCSEC , et oppslagsverk om emnet. Likeledes har prinsippet om sikkerhetsnivå på flere nivåer sitt utspring i forskning på å løse militære informasjonssikkerhetsproblemer . Den forsvar i dybden , rett ut av en gammel militær praksis, og fortsatt relevant i dag. Denne praksisen består i å sikre hver delmengde av et system.
Konsekvensene av dårlig sikkerhet kan påvirke organisasjoner, men også privatlivet til en eller flere personer, særlig ved formidling av konfidensiell informasjon som bankopplysninger, deres økonomiske situasjoner, konfidensielle koder osv. Generelt er oppbevaring av data knyttet til enkeltpersoner gjenstand for juridiske forpliktelser regulert av personvernloven .
I dag er det generelt akseptert at sikkerhet ikke kan garanteres 100% og derfor ofte krever mobilisering av et stort utvalg av tiltak for å redusere sjansene for penetrasjon av informasjonssystemer.
“Informasjonssystemet representerer en viktig arv fra organisasjonen, som må beskyttes. IT-sikkerhet handler om å sikre at en organisasjons maskinvare- eller programvareressurser bare brukes til det tiltenkte formålet. "
Sikkerheten til informasjonssystemer har følgende mål (CAID):
Andre aspekter kan også betraktes som sikkerhetsmål for informasjonssystemer, for eksempel:
Når sikkerhetsmålene er bestemt, kan risikoen som veier på hvert av disse elementene estimeres i henhold til truslene . Det generelle nivået av informasjonssystemsikkerhet er definert av sikkerhetsnivået til den svakeste lenken. Forholdsregler og mottiltak må vurderes ut fra sårbarhetene som er spesifikke for konteksten informasjonssystemet skal gi service og støtte til.
For dette er det nødvendig å estimere:
For å sikre informasjonssystemer vedtar tilnærmingen en vanlig evolusjonsspiral: slutten av en syklus fører til starten på en ny, som i Deming-hjulet . I sikkerhet består dette av:
vurdere risikoen og kritikken hvilke risikoer og trusler, på hvilke data og hvilke aktiviteter, med hvilke konsekvenser?Det er viktig å ta hensyn til eiendeler som har verdi ved å definere et omfang av informasjonssystemet styringssystem . Det kan fokuseres på hele selskapet, på et bestemt nettsted, på en tjeneste avhengig av selskapets strategi. Bedriftens intellektuelle kapital integrerer sensitiv informasjon , denne informasjonsarven må beskyttes. Selskapet må derfor få på plass en sikkerhetspolicy for informasjonssystemer, datasikkerhet og identifikasjonsmekanismer . I tillegg er det nødvendig å definere en ISMS-policy, som er selskapets forpliktelse til et visst antall punkter når det gjelder sikkerhet. Disse to punktene utgjør hjørnesteinen i WSIS , med sikte på å etablere ISO / IEC 27001-standarden og dermed bringe tillit til interessentene.
Trinn 2: RisikovurderingÅ prøve å sikre et informasjonssystem innebærer å prøve å beskytte seg mot forsettlige trusler og mer generelt mot alle risikoene som kan ha innflytelse på sikkerheten til denne eller informasjonen den behandler.
Metode for risikoanalyseDet finnes forskjellige metoder for risikoanalyse på informasjonssystemet. Her er de vanligste risikovurderingsmetodene:
I Frankrike var den første utviklede metoden Marion. I dag er den erstattet, selv om noen selskaper har beholdt denne innledende modellen, av Méhari-metoden ( Harmonisert metode for risikoanalyse ) utviklet av CLUSIF , og av EBIOS-metoden ( Uttrykk for behov og identifisering av målsikkerhet ) utviklet av National Information Systems Security Agency ( ANSSI ).
I England er Cramm en risikoanalysemetode utviklet av den britiske regjeringsorganisasjonen ACTC (Central Communications and Telecommunications Agency). Dette er den britiske regjeringens foretrukne risikoanalysemetode, men den brukes også av mange andre land.
USA bruker OCTAVE ( Operationally Critical Threat, Asset, and Sulnerability Evaluation ), utviklet av Carnegie Mellon University.
Internasjonalt brukes ISO / IEC 27005 , som er en internasjonal standard møtepunkt for punkt kravene til ISO / IEC 27001- sertifisering . Det er den siste standarden, dessuten er den lett anvendelig fordi den er pragmatisk.
Metode | Forfatter | Land |
---|---|---|
Risikovurdering | Platina i kvadrat | Storbritannia |
Afhankelijkheids | Nederlandsk departement | Nederland |
ISAMM | Evosec | Belgia |
IT-Grundschutz | BSI | Tyskland |
Magerit | Spansk departement | Spania |
Migrene | AMTEC / ElsagDatamat | Italia |
SP 800-30 | NIST | USA |
ISO 17799 | ISO | Internasjonal |
ISO 13335 | ISO | Internasjonal |
ISO 14408 | ISO | Internasjonal |
Selv om formålet med disse metodene er det samme, kan begrepene og uttrykkene som brukes, variere. De som er brukt ovenfor er generelt inspirert av Feros- metoden .
Paradoksalt nok, i selskaper, viser definisjonen av målbare og relevante "IS-sikkerhets" -indikatorer som deretter lar definisjonen av rimelige tidsmål nås, være delikat. For å måle ytelse kan vi angi tilstander for installasjon av verktøy eller prosedyrer som indikatorer, men resultatindikatorene er mer komplekse å definere og vurdere, for eksempel de som gjelder “virusvarsler” .
Identifiser eiendelerDette består i å lage en liste over alle viktige informasjonselementer innenfor ISMS-omkretsen. Det finnes forskjellige typer eiendeler:
For identifisering av eiendeler oppstår tre problemer:
Det er nå viktig å ha sikkerhetsplaner for virksomheten for å sikre kontinuitet og gjenoppretting hvis en katastrofe inntreffer (Business recovery plan ). Disse planene prøver å minimere tap av data og øke responsen i tilfelle en større katastrofe. En effektiv forretningskontinuitetsplan er praktisk talt gjennomsiktig for brukerne, og garanterer dataintegritet uten tap av informasjon.
Identifiser ansvarlige personerDet er personen som er ansvarlig for et gode som svarer på det. Dette er vanligvis den som best vet verdien og effekten av tilgjengeligheten , integriteten og konfidensialiteten til eiendelene . I et selskap er det generelt den som har ansvaret for sikkerheten til informasjonssystemene som kjenner informasjonskapitalen best.
Identifiser sårbarheterHver børsnoterte eiendel har sårbarheter; den er en iboende egenskap for eiendelen som utsetter den for trusler.
Identifiser og modell truslerDe tidligere identifiserte sårbarhetene utsetter eiendeler for trusler. Den ISO / CEI 27001 standarden krever identifisering av trusler for alle børsnoterte eiendeler.
De viktigste truslene som et informasjonssystem kan konfronteres med er:
ISO 27001- standarden forplikter evaluering av konsekvenser; slik som: tap av konfidensialitet, tilgjengelighet eller integritet. Dette tilsvarer å gi en tredimensjonal score ( konfidensialitet , tilgjengelighet og integritet ), i henhold til definerte kriterier, for hver eiendel .
Identifiser skaderFire typer skader kan påvirke organisasjonens informasjonssystem:
Dette innebærer å sette informasjonen tilbake i miljøsammenheng og derfor ta hensyn til tiltakene som allerede er på plass ( f.eks. Hvis en kundefil allerede er kryptert, er sannsynligheten for at konfidensialiteten er kompromittert begrenset). Det er mulig å vurdere forestillingen om sannsynligheten ved å score på en skala fra 1 til 5.
Anslå risikonivåTildelingen av en endelig poengsum vil gjenspeile det faktiske risikonivået mens man tar hensyn til elementene ovenfor. ISO 27001- standarden pålegger ingen formel, det er derfor opp til implementøren å velge den. Det kan være en poengsum fra 0 til 100 eller en fargekode.
Trinn 3: Behandle risikoen og identifiser gjenværende risikoSelskapet kan håndtere de identifiserte risikoene på fire måter:
Godta risikoen ad hoc-løsning når forekomsten av risikoen gir akseptable konsekvenser for selskapet. Unngå risikoen løsning når konsekvensene av et angrep anses for farlig for selskapet. Overfør risikoen løsning når selskapet ikke på egen hånd kan møte risikoen (tegne forsikring eller underleverandør ). Reduser risikoen løsning for å gjøre risikoen akseptabel.Til slutt må vi ikke glemme å ta hensyn til "restrisikoene" som vedvarer etter implementeringen av alle sikkerhetstiltakene. Ytterligere beskyttelsestiltak må iverksettes for å gjøre disse risikoene akseptable.
Trinn 4: Velg tiltakene som skal implementeres (vedlegg A til ISO / IEC 27001)Implementeringen av ISO2 / CEI 27001-standarden foregår vanligvis i fem komplementære faser:
De planleggingen scenen identifiserer hvilke tiltak som skal tas i organisasjonen, men ikke tillater dem å bli satt på plass konkret. De må organiseres, nødvendige midler velges og ansvar defineres ved å etablere en risikobehandlingsplan. Dette trinnet faller inn under prosjektledelse .
Implementere sikkerhetstiltakMange tekniske midler kan implementeres for å sikre informasjonssystemets sikkerhet . Det anbefales å velge de nødvendige, tilstrekkelige og rettferdige virkemidlene. Her er en ikke-uttømmende liste over tekniske midler som kan oppfylle visse sikkerhetsbehov for informasjonssystemet:
En av de nye funksjonene i ISO / IEC 27001 er å kreve regelmessige sikkerhetskontroller. Lederen må velge indikatorer som måler påliteligheten. De kan være av to slag:
Å informere personalet er viktig for å lykkes med et IS-sikkerhetsprosjekt, slik at de forstår dets nytte og vet hvordan de kan bruke det. Det er derfor god praksis å gjøre alle ansatte oppmerksomme på IT-sikkerhetsspørsmål for organisasjonen, på en generell måte. Denne forklaringen må huske organisasjonens forpliktelser, og gi veldig praktiske eksempler og interne prosedyrer for å unngå de vanligste hendelsene. Ansatte som er direkte involvert i IT-sikkerhet må opplæres slik at de vet hvordan de bruker verktøyene riktig.
Opplæring, inkludert psykologisk vaksinering mot sosialteknikk, gjør det mulig for folk å motstå fristelser til å avvike fra sikkerhetsprosedyrer og prinsipper.
Administrer ISMS hver dagDen ISO / IEC 27001 standarden krever ikke bare gjennomføringen av et sikkerhetssystem, men også bevis for sin effektivitet. Bedrifter må derfor håndtere ressursene sine ordentlig og utvikle sporbarhet .
Rask hendelsesdeteksjon og responsDenne fasen er basert på teorien om tidsbasert sikkerhet . Prinsippet er å ta hensyn til tiden det tar for et sikkerhetsangrep å lykkes. I løpet av denne tiden må selskapet kunne oppdage og svare på trusselen, med en ekstra sikkerhetsmargin.
Det må være kontrollmåter for å overvåke effektiviteten av ISMS så vel som dets samsvar.
Det er verktøy for å sjekke dette som:
De interne revisjonene Revisjonen planla i god tid og ringte til lytterne.
Den interne kontrollen : Overvåker kontinuerlig i organisasjonen for å sikre at alle bruker prosedyrene daglig.
Anmeldelser: Ta et skritt tilbake for å justere WSIS og dets omgivelser.
Vi kan hjelpe oss selv ved å:
Etter å ha markert eventuelle feil takket være Check-fasen, er det viktig å analysere dem og få på plass: