د اطلاعاتو د امنیت پلټنه: اهداف، میتودونه او اسباب، بېلګه ده. د بانک د معلوماتو د امنیت د تفتیش

نن، هر څوک د کابو سپيڅلي عبارت دی چې د معلوماتو د خاوند پوهيږي، په نړۍ کې لري. همدا لامل دی چې په غلا زموږ د وخت محرم معلومات د ټولو او په کېسو کې هڅه کوي. په دې برخه کې بې ساري ګامونه او د ممکنه بريدونو په وړاندې د ساتنې وسيله تطبيق شوي دي. که څه هم، کله کله کېدی شي چې تاسو ته د تصدۍ د معلوماتو د امنيت يوه پلټنه ترسره کړي. دا څه دي او ولې دا ټول اوس، او هڅه وکړي چې پوه.

په عمومي تعريف د معلوماتو د امنیت د پلټنې په یوه څه ده؟

څوک به د پېچلو ساينسي اصطلاحاتو اغېز نه کوي، او هڅه کوي تر څو د ځان لپاره د اساسي مفاهيمو معلوم، په تر ټولو ساده ژبه (لپاره د "dummies" د خلکو دا د تفتیش په نامه شي) هغوی تشریح.

د پیچلې پیښو نوم د ځان لپاره خبرې کوي. د اطلاعاتو د امنیت د تفتیش د یوه خپلواکه د تاييد یا د کتني ته د معلوماتو د سیستم (IS) د هر شرکت، اداره یا سازمان د ځانګړي جوړ معیارونو او شاخصونو پر بنسټ د امنيت ډاډمن کړي.

په ساده له پلوه، د مثال په توګه، د پلټنې د بانک د معلوماتو د امنیت جوش شو، تر څو، د بریښنایي پیسو د خوندیتوب، د بانکدارۍ د پټوالي ساتنه، او په کې له بهر څخه د نهاد غیر مسؤلو کسانو د فعاليتونو د لاسوهنې په صورت کې داسې نور. D.، په کارولو سره د د مشتريانو د ډيټابيس کې جوړه بانکي عملیاتو له خوا د ساتنې د کچې ارزونه د بريښنايې او کمپیوټر اسانتیاوې لري.

یقینا، د لوستونکو په منځ کې هلته لږ تر لږه یو کس چې د پور او يا د امانت، د بانک سره چې هيڅ نه لري د پروسس یو وړاندیز د کور او یا د ګرځنده تلیفون په نامه ده. همدغه ته د اخیستلو د تطبيق وړ او له يو شمېر دوکانونو وړاندې کوي. ته وګرځو چې ستاسو د کوټې راووتلې؟

دا ډیر ساده دی. که چيرې يو کس پخوا د پور واخیست او یا په یوه کان حساب پانګونه، البته، د خپلو معلوماتو په یوه عام زيرمه پیرودونکو. کله چې تاسو د يو بل بانک او يا پلورنځي څخه غوښتنه کولای شي يوازې يو پای وي: په اړه د معلوماتو په ناقانونه توګه د دریمې ډلې راغلل. څنګه؟ په عمومي توګه، دوه لاري شتون لري: یا خو دا وه غلا، او يا د بانک ته د دریم ګوندونو شعوري کارکوونکو ته وسپارل. د دې لپاره داسې کارونه نه پېښ شي، او تاسو وخت ته اړتيا لري تر څو د معلوماتو د بانک د امنیتي يوه پلټنه ترسره کړي، او دا نه يواځې د کمپیوټر یا "د اوسپنې د" د ساتنې وسيله، خو د ادارې ټول کارکوونکي د تطبيق وړ.

د معلوماتو د امنیت د تفتیش اصلي لارښوونو

لکه څنګه چې د پلټنې د ساحې په اړه، یو د واکمنۍ په توګه، دوی څو دي:

• د شيانو د معلوماتو د پروسو کې لاس پوره پوستې (کمپيوټر اتومات سیستم، د مخابراتو، پذيرايي، د معلوماتو د لیږد او د پروسس، مرکزونو، د محرم د غونډو ودانيو، د څارنې سيستم، او داسې نور معنی)؛
• د سره محدود لاسرسی د محرمو معلوماتو د ساتنې په اعتبار چک (د ممکنه ضایعاتو او بالقوه امنيتي سوريو چینلونو اجازه سره د معياري او غير معياري ميتودونو د کارولو لاسرسی دا له بهر څخه هوډ)؛
• د لپاره د الکترومقناطيسي وړانګو او لاسوهنو څخه مخامخ د ټولو برېښنايي هارډویر او ځايي کمپيوټر سيستم وګورئ، دوی ته اجازه اړوي بند یا دې ته اړشول چې راوړي؛
• پروژې يوه برخه، چې د هغې عملي پلي کولو کې د رامنځته کېدو او د امنیت مفهوم غوښتنلیک کار شامل دي (د کمپيوټر سيستم، مرکزونو، ارتباطاتو اسانتیاوې، او داسې نور د ساتنې).

کله چې د تفتیش ته راځي؟

نه د پېچلو شرايطو کې چې د دفاع له مخکې مات شو، کولای شي چې په یو سازمان د معلوماتو د امنیت د تفتیش ترسره، او په ځينو نورو مواردو کې ذکر.

په خاصه توګه، د دغو شامل دي د نورو شرکتونو له خوا د شرکت د پراختيا، ديونوي، د استملاک، نیونه، د کاروبار د مفاهیمو او يا لارښود، یو هیواد کې دننه په نړیوال قانون کې د قانون بدلونونه او یا، د معلوماتو د بنسټونو پرځای جدي بدلونونو د کورس کې بدلون راولي.

د پلټنې د ډولونو

نن، د ډیرو شنونکو او کارپوهانو په وينا د د پلټنې د دې ډول ډېر ډلبندۍ، نه رامنځته کیږي. له همدې امله، د فرقې ته په ځینو مواردو کې ټولګيو کیدای شي خورا خپل سر. سره له دې، چې په عمومي توګه، د معلوماتو د امنیت د تفتیش کیدای شی په خارجي او داخلي ویشل.

یو خارجي تفتیش خپلواکه کارپوهانو څوک حق نه لري خوا ترسره شو، معمولا د ده یو وخت وګوره، چې کېدای شي د مدیریت، د سهم، د قانون د پلي کوونکو ادارو، او نور پیل شي داسې باور کیږي چې د معلوماتو د امنیت بهرني تفتیش سپارښتنه (خو نه required) د وخت د یوې دورې لپاره په منظمه توګه ترسره کړي. خو د ځينو موسسو او خصوصي تشبثات، د قانون له مخې، دا فرض ده (د مثال په توګه، مالي موسسو او سازمانونو، د ګډو ګټو شرکتونو، او نور.).

داخلي پلټنې د معلوماتو د امنيت يو ثابت پروسه. دا په یوه ځانګړي "د داخلي تفتيش د مقررات" پر بنسټ ولاړه ده. دا څه دي؟ په حقیقت کې، د دې تصدیق فعالیتونه ترسره سازمان کې، په شرایطو کې د ادارې لخوا د تصويب کړه. له خوا د شرکت ځانګړي جوړښتي زراعتی د معلوماتو د امنیت د تفتیش.

د پلټنې د بديل د ډلبندۍ

د پورته تشریح فرقې ته په عمومي صورت ټولګيو سربيره، موږ کولای شو څو برخو کې د نړیوالې طبقه توپير:

• د پوهانو د کارپوهانو د شخصي تجربو، د هغې د ترسره کولو پر بنسټ د معلوماتو د امنیت او د معلوماتو د سیستمونو د حالت د کتلو؛
• تصدیق سیستمونه او د امنيتي تدابيرو لپاره له نړیوالو معیارونو سره (د ISO 17799) او د ملي حقوقي اسنادو د فعاليت دې برخه کې د تنظيمولو د مطابقت؛
• د سره د تخنیکي وسایلو په موخه په سافټ ویر او هارډویر پیچلې احتمالی ستونزی په ګوته کارول د معلوماتو د سیستم د خوندیتوب د شننو.

کله کله دا کارول کيداي شي او د تش په نامه جامع پلټنه کې، چې د پورته ډولونه ټول شامل دي. په ضمن کې، هغه د ټولو موخه پایلې ورکوي.

لاريون موخې او اهداف

هر تایید، که داخلي او یا خارجي، سره د ټاکلو موخو او اهدافو ته پيليږي. په ساده، تاسو ته معلومه کړي چې ولې، څنګه او څه به ازمویل شي ته اړتيا لري. دا به د ټول بهیر ترسره لا طرزالعمل معلوم کړي.

دندې، تکيه لري چې د شرکت، موسسه، اداره او د هغې د فعالیتونو ځانګړی جوړښت کیدای شي خورا ډېر. که څه هم، کوی- د ټولو د دې د خلاصون، د معلوماتو د امنیت د تفتیش موټي هدف:

• د معلوماتو د امنیت او د معلوماتو د سیستم د دولت ارزونه؛
• د ممکنه خطرونو سره په خارجي IP او د ډول مداخلې امکان موډلونه نفوذ د خطر تحلیل؛
• په امنيتي سيستم سوريو او تشې د ځايتابه؛
• د د د د د اوسني معیارونو او مقرراتي او قانوني اعمالو د معلوماتو سيستم د امنيت په مناسبه کچه تحلیل؛
• د پرمختګ او د سپارښتنو د موجوده جبران د موجوده ستونزو د لرې کولو، او همدارنګه د ښه والي او د نوی پرمختګ په معرفي کولو کې.

ميتودولوژي او تفتیش وسیلې

اوس څنګه د چک او هغه څه ګامونه پورته او د دې مانا دا هم د يو څو کلمو.

د معلوماتو د امنیت د تفتیش د څو پړاوونو کې جوړه شوی ده:

• د تصدیق په پروسیجرونو په نوښت (د مفتش د حقونو او مسوولیتونو روښانه تعريف، د مفتش د پلان د چمتو کولو سره او د مدیریت د خپلو همغږۍ ګوري، د مطالعې د پولو د پوښتنې، د سازمان د ژمنې غړي ښیو ته پاملرنه او د اړوندو معلوماتو پر وخت برابرول)؛
• د لومړنیو معلوماتو (د امنيت د جوړښت، د امنيت د بڼې د ویشلو، د ترلاسه کولو او د مخابراتو چینلونو او له نورو جوړښتونو د IP د متقابل عمل، د کمپيوټر د شبکو د کاروونکو د مراتبو، د هوډ پروتوکولونو، او داسې نور معلومات، هوډ د برابرولو لپاره د سيسټم د ګټورتيا تحلیل میتودونه د امنيت په کچه) د راټولولو؛
• يو جامع او یا قسمي د تفتیش د ترسره کولو؛
• ارقامو د تحلیل (د هر ډول او د مطابقت د خطرونو تحلیل)؛
• سپارښتنې د صدور د بالقوه ستونزو د حل لپاره؛
• راپور نسل.

په لومړي پړاو کې ده تر ټولو ساده، ځکه چې خپله پرېکړه ده د شرکت د مدیریت او د مفتش تر منځ یوازې. د تحلیل پولو کولای شي د کارکوونکو او یا سهم عمومي غونډه کې پام کې ونیول شي. د حقوقي برخه کې دا ټول او نور اړوند.

د اساسي معلوماتو د راټولو په دوهم پړاو کې، چې ايا دا يو د معلوماتو د امنیتي او یا خارجي خپلواک تصدیق داخلي پلټنې ده تر ټولو منابعو ته اړتیا لری. دا ده چې د حقیقت چې په دې پړاو کې تاسو باید نه یوازې د تخنیکي اسنادو د ټولو هارډویر او سافټ په تړاو معاینه، خو هم د تنګ مرکې د شرکت د کارکوونکو له امله، او په ډيرو مواردو کې هم د ځانګړو پوښتنلیکونه یا سروې ګانې د ډکولو.

لکه څنګه چې د تخنیکي اسنادو لپاره، دا مهمه ده چې د خپلو کارکوونکو د پيدايښته جوړښت پر معلوماتو او د لاس رسي د حقونو د لومړیتوب په کچه د سافټ ویر رامنځته ساتنې په توګه تر لاسه کړي، چې د نظام په کچه او د درخواست سافټ (، د کاروبار د غوښتنليکونو چليز غونډال، د دوی د ادارې او حساب) په ګوته کړي، او همدارنګه او غیر پروګرام ډول (Antivirus پوستکالي، والز، او داسې نور). برسېره پر دې، په دې کې شامل دي د شبکو او د مخابراتي خدمتونو د وړاندې کوونکو د بشپړ تصدیق (شبکې د سازمان، د پروتوکولونو لپاره په تړاو کارول کیږي، د مخابراتو چینلونو د ډولونو، د انتقال او د استوګنې په لارو د معلوماتو د بهېږي، او نور). لکه څنګه چې څرګنده ده، په دې کې د ډېر وخت نیسي.

په بل پړاو کې، د معلوماتو د امنيت د پلټنې د ميتودونو. دوی درې:

• د خطر تحلیل (په ډير ستونزمن ډول تخنیک، پر بنسټ چې د IP تخلف د نفوذ او د ټولو ممکنه میتودونو او وسایلو په کارولو سره د خپلو بشپړتیا د پلټونکې ادارې هوډ)؛
• سره د معيارونو او قانون (پر بنسټ د کې د چارو د اوسني حالت په پرتله او د نړیوالو معیارونو او د معلوماتو د امنیت په برخه کې د کورنیو د اسنادو د غوښتنو د ساده او تر ټولو عملي میتود) د مطابقت د ارزونې؛
• د ګډو میتود دی چې په لومړيو دوو ترکیبوي.

د خپل تحلیل د تصديق د پايلو د ترلاسه کولو وروسته. د بسپنو د پلټنې د معلوماتو د امنیت، چې د تحلیل لپاره کارول شوي دي، کولای شي خورا ډېر توپير لري شي. دا ټول د تشبث، د معلوماتو د ډول، د سافټ تاسو وکاروي، ساتنه او داسې نور. خو، لکه څنګه کولای شي په لومړۍ طريقه کې ليدل کيږي، د مفتش په عمده لري ترڅو په خپله تجربه تکیه د ځانګړتياوو په اړه لري.

او دا چې یوازې د دې مانا ده چې دا بايد د معلوماتي ټکنالوژۍ او د مالوماتو د ساتنې په برخه کې په بشپړه توګه د وړ وي. د دې تحليل، د مفتش په اساس او د ممکنه خطرونو محاسبه کوي.

په یاد ولرئ چې دا بايد په چليز غونډال يا د پروګرام کارول، د مثال په توګه نه يوازې د چلند، د سوداګرئ لپاره او یا د محاسبې، خو ته هم په روښانه توګه پوه شي چې څنګه د يو بريد کولای شي د غال، د زيان رسيدو او د معلوماتو د له منځه وړلو، د سرغړونې د شرطونه رامنځته کولو په موخه د معلوماتو سیستم ته د نفوذ په کمپیوټر، د وایرسونه یا ککړي شوي د خپريدو.

د پلټنې د موندنو او سپارښتنو ته د ستونزو د حل لپاره د ارزونې

پر بنسټ د تحلیل د ساتنې د وضعیت په اړه د چارو کارپوه ورسېدې او سپارښتنې د موجودو او یا د احتمالي ستونزو د حل لپاره، د امنیت لوړولو، او داسې نور ورکوي د سپارښتنې نه بايد په مناسبه اندازه یوازې وي، خو هم د شرکت ځانګړتیاوې د حقایقو په روښانه ډول وتړل. په بل عبارت، په زیاتوالي د کمپیوټر یا سافټ د سازونې ټکي نه دي منل شوي. دا په مساوي توګه پرته د خپل مقصد، د ځای او د مناسب ټاکل شوې د "د اعتبار وړ" پرسونل، د نوي تعقیب سیسټمونه نصب د ګوښه مشوره تطبيق وړ دي.

پر بنسټ د تحلیل، د حاکميت په توګه، هلته د څو خطر ډلو دي. په دې صورت کې، چې راټول يو لنډيز راپور دوه کلیدي شاخصونو کاروي: (. د شتمنيو د تاوان، د شهرت د کمولو، د انځور تاوان او داسې نور) د یو برید د احتمال او په پايله کې د زيانونو د شرکت ته لامل. که څه هم، د ډلو د فعالیت په ورته نه دي. د مثال په توګه، د برید د احتمال د ټیټې کچې شاخص دی ښه. د زيان - د مخالف وي.

یوازې د بیا یو راپور چې تفصيلات ټولو پړاوونو کې، میتودونه او د څېړنې وسيله رنګ تالیف. د شرکت او د مفتش - هغه سره د مشرتابه موافقه وکړه او د دواړو خواوو لاسلیک کړ. که د پلټنې د کورني، ده د اړونده د جوړښت واحد، وروسته چې د هغه په، بیا، د مشر له خوا لاسليک په سر د يو راپور.

د اطلاعاتو امنیت پلټنه: مثال

په پای کې، چې موږ د يوه حالت کې، چې مخکې وشول ساده مثال په توګه په پام کې. ډیر، له خوا په لاره، دا به ډېره اشنا ښکاري.

د مثال په توګه، د یو شرکت د تدارکاتو د کارکوونکو او په متحده ایالاتو کې، په ICQ فوري رسول کمپيوټر جوړ (د کارکوونکي او د شرکت نوم د نوم لپاره څرګند دلايل ده په نوم نه). خبرې اترې شوي دي کټ مټ له خوا د دغه پروګرام په وسيله ترسره کړي دي. خو د "ICQ" کې د امنيت له پلوه خورا منونکو. په هغه وخت کې او يا ليکنې د کارت شمېرې ځان کارمند نه یو ایمیل ادرس نه لري، او يا يوازې نه يې غوښتل ورکړم. پر ځای يې هغه ته د E-mail، او آن غیر شتون دعامه استعمال په شان څه ته اشاره وکړه.

څه به د بريد؟ لکه څنګه چې د معلوماتو د امنیت د پلټنې په یوه خوا کې ښودل شوي، دا به ورته شپول کټ ثبت شي او جوړ نوم لیکنې یو بل ترمینل کې به دا وي،، او بیا کولای شي Mirabilis شرکت چې د خاوند ICQ خدمت، پټنوم د پرځای غوښتنې ته یو پیغام واستوي له امله خپل له لاسه (چې به ترسره شي ). چې یو موجود غل او مالدارۍ وزارت د رهبرۍ - د پست سرور دترلاسه نه و، دا د رهبرۍ شامل شو.

په پایله کې، د هغه سره د ورکړل ICQ Number ته د مکتوب د لاسرسي تر لاسه او د عرضه کوونکي ته د مالونو دترلاسه په پته کې د يو هېواد د بدلون خبر ورکوي. په دې ډول، د مالونو ته د نامعلوم منزل ته واستول. او دا تر ټولو بې ضرره بیلګه ده. نو، ګډوډو چلند. او نور جدي هېکرانو چې کولای شي ډېر هغه څه په اړه ...

پایلې

دلته ده په يوه رالېږل شوې او د ټولو چې د IP د امنيت د پلټنې سره تړاو لري. البته، دا د دا د ټولو اړخونو له خوا نه اغیزمن. دليل يې دا دی چې په یوازې د ستونزو او د خپل چلند لارو د جوړولو د يو زيات شمېر لاملونه اغيزه کوي، نو په هر صورت کې د روش دی په کلکه انفرادي. برسېره پر دې، د معلوماتو د امنیت د پلټنې د لارو او وسیلو کولای شي د مختلفو ICS توپير لري. که څه هم، زه فکر کوم، د ډېرو د داسې ازموینو عمومي اصول هم په لومړنيو ښوونځيو په کچه شي څرګند.