Азбука на Киберсигурността

А – Активи – Нещо стойностно, изискващо защита (хардуер, софтуер, данни, репутация)
Б – Бекъп или Резервно копиране
В – Вие – Вашите действия / бездействия са от решаващо значение за поддържането на ефективна среда за сигурност
Г – GDPR (Общ Регламент за Защита на Личните Данни) 
Д – Доверие
Е – Етика – Правилата, които управляват поведението на индивида.
Ж – живот на хакера в корпоративната мрежа (неговата продължителност преди да бъде открит и изхвърлен оттам)
З – Заплахи – Винаги присъстват и обикновено се появяват, когато са най-малко очаквани, а също и Защитни стени и разделяне на задълженията – Минимизиране на потенциала за „инцидентно посегателство“, а също и Загуби, Измама и Злоупотреба – трите основни въздействия на инцидент със сигурността; зониране / разделяне – установете защитни слоеве и минимизирайте въздействието на инцидентите
И – Индивидуална отчетност / отговорност – Лица, отговорни за собствените си действия 
К – Ключове за предотвратяване на инциденти – информираност, спазване, здрав разум
Л – Закони и разпоредби – Определете основни цели за контрол / сигурност
М – Моделна рамка – Свързва потребностите от обучение с ролите и отговорностите
Н – Необходимо да знаете – Ограничава достъпа до данни, поставя цел за текущо обучение
О – Осигуряване на качество / Контрол на качеството – Гарантиране на целостта на процеса, а също и Обучение за сигурност – най-добрата възвръщаемост на инвестициите на всяка защита, а също и Описание на заданието / Функция на заданието – Определя ролите на индивида в организацията
П – Политики и процедури – какво да постигнем и как да го постигнем а също – Противодействия и контрол – Предотвратяване, откриване и възстановяване от инциденти със сигурността
Р – Резервно копие – Трите най-важни защитни мерки – архивиране, архивиране, архивиране
С – Собственост – установява отговорност / отчетност за защита на активите
Т – Тестване на сигурността с одити, асесмънти и пентестинг
У – Уязвимости – Слабости в сигурността, чрез които заплахите засягат системата, а също и Уникални идентификатори – Осигуряват индивидуална отчетност и улесняват контрола на достъпа
Ф – Финансови загуби
Х – Хакери / кракери – Натрапници, които са заплахи за всяка система
Ц – Цели – Поверителност, интегритет и наличност
Ч – Човешки Фактор, най-слабото а потенциално и най-силното звено в киберсигурността

Искате ли още?

Четете нататък!

Активи — Активите са нещо ценно, което изисква защита. Стойността на актив може да бъде парична или непарична. Например компютърната система има ясна парична стойност, която може да бъде изразена като цена на придобиване или замяна. Данните обаче са актив, който може да има парична стойност (цената за придобиване), непарична стойност (загуба на доверие на обществеността относно точността на данните) или и двете.

Бекъп — Архивирането на данни и / или процеси са критични гаранции във всяка среда на ИТ сигурност. Концепцията за архивиране включва създаване и тестване на планове за възстановяване при бедствия и непрекъснатост на оперативните планове, както и подготовка на копия на файлове с данни, които се съхраняват „извън вреден начин“.

Етика – съвкупност от правила, които управляват поведението на индивида. Това е продукт от житейския опит на този индивид и представлява основа за вземане на решение кое е правилно и грешно при вземане на решения. В днешната среда етиката, за съжаление, е ситуативна (т.е. определението на индивида за това, кое е правилно и грешно се променя в зависимост от естеството на конкретна ситуация). Например, човек може да вярва, че е неправилно да проникнеш в нечия къща, но не смята, че е неправилно да пробиеш в нечия компютърна система.

Защитни стени – Защитни стени и разделяне на задълженията – Защитните стени и разделянето на задълженията имат сходни структури и допълнителни цели: защитната стена е техническа защита, която осигурява разделяне между дейности, системи или компоненти на системата, така че да се задържи във вътрешната мрежа даден провал или слабост в сигурността и да няма въздействие. За други дейности или системи (напр. налагане на отделяне на Интернет от локална мрежа). Разделянето на задълженията по подобен начин осигурява да се гарантира, че никое отделно лице (действащо самостоятелно) не може да компрометира даден елемент от мрежата. И в двата случая се използват процедурни и технически гаранции за прилагане на основна политика за сигурност, така, че дейностите с висок риск трябва да бъдат отделени от дейности с нисък риск и едно лице не трябва да може да компрометира цялата.

Заплахи – Заплахите са действия или събития (умишлени или непреднамерени), които ако бъдат реализирани, ще доведат до загуба, измама, злоупотреба или прекъсване на операциите. Заплахите винаги присъстват и скоростта на възникване на заплаха не може да бъде контролирана. Следователно защитните мерки за сигурност на ИТ трябва да бъдат проектирани така, че да предотвратяват или минимизират всяко въздействие върху засегнатата ИТ система.

Индивидуална Отчетност и Отговорност – Индивидуална отчетност / отговорност – Основен принцип на сигурността на информационните технологии е, че хората трябва да бъдат отговорни за своите действия. Ако това не се спазва и налага, не е възможно да се преследва успешно онези, които умишлено повреждат или нарушават системата, или да се обучават онези, чиито действия имат непредвидени неблагоприятни ефекти. Концепцията за индивидуална отчетност води до необходимостта от много защитни мерки като идентификатори на потребители, одитни пътеки и правила за разрешаване на достъп.

Ключове за предотвратяване на инциденти —Много инциденти със сигурността на информационните технологии са предотвратими, ако хората включат три основни понятия в ежедневните си дейности: първо, осъзнаване – хората трябва да са наясно със стойността на активите, които използват, за да вършат работата си и естеството на свързани заплахи и уязвимости; второ, съответствие – хората трябва да спазват установените защитни мерки (например сканиране на дискети, смяна на пароли, извършване на архивиране); и три, здрав разум – ако нещо изглежда твърде хубаво, за да е вярно, то по принцип е така.

Контрол на качеството – Осигуряването и контрола на качеството са два процеса, които се използват за гарантиране на последователност и целост на защитните мерки за сигурност. По-конкретно, тези процеси са предназначени да гарантират, че противодействията за сигурност се изпълняват според указанията при всички натоварвания и работни условия.

Необходимост да знаете — Необходимостта да се знае е може да бъде погледната от две гледни точки: първо, нужда от достъп до информация, за да се свърши работа; и второ, трябва да знаете като двигател за продължаване на обучението. В първия случай достъпът до информация и процеси трябва да бъде ограничен до този, който индивидът изисква да си върши работата. Този подход минимизира потенциала за неоторизирани дейности и увеличава максимално потенциала, който индивидът познава и разбира естеството на заплахите и уязвимостите, свързани с използването или поддържането на ИТ система; и второ, предвид скоростта на технологичните промени, хората трябва да знаят характеристиките на тези технологии, за да могат по-добре да се справят с конкретни уязвими места.

Политики и Процедури — ротиводействия и контрол – Противодействия, контрол и предпазни мерки са термини, които често се използват синонимно. Те се отнасят до процедурите и техниките, използвани за предотвратяване на възникване на инцидент със сигурност, за откриване на инцидент, който се случва или е настъпил, и предоставят възможност за реагиране или възстановяване от инцидент със сигурност. Защитна защита може да бъде парола за идентификатор на потребителя, резервен план, който предвижда външно съхранение на копия на критични файлове, пътеки за одит, които позволяват свързване на конкретни действия с физически лица или някоя от редица други технически или процедурни техники. По принцип защитата е предназначена да защити активите и наличието на ИТ системи. Също така: Противодействие и контрол – Противодействие, контрол и предпазни мерки са термини, които често се използват синонимно. Те се отнасят до процедурите и техниките, използвани за предотвратяване на възникване на инцидент със сигурността, за откриване на инцидент, който се случва или е настъпил, и предоставят възможност за реакция или възстановяване от инцидент със сигурност. Защита може да бъде парола за идентификатор на потребителя, резервен план, който предвижда външно съхранение на копия на критични файлове, пътеки за одит, които позволяват свързване на конкретни действия с физически лица или някоя от редица други технически или процедурни техники. По принцип защитата е предназначена да защити активите и наличието на информационните системи.

Собственост — Отговорността за сигурността на една ИТ система или актив трябва да бъде възложена на едно и също лице, което може да се идентифицира, и на едно, висше длъжностно лице в рамките на тази организация. Това осигурява отчетност за пробивите в сигурността и установяване на веригата на командване, която разрешава достъп до и използване на системните активи. Тази концепция за индивидуална отговорност и власт обикновено се нарича собственост или управление. Собствеността върху актив (особено данни) обикновено се запазва, дори когато този актив се прехвърля на друга организация. Например данъчните данни, споделяни от НАП с други държавни агенции, трябва да бъдат защитени в съответствие с националното и европейско законодателство.

Уязвимости – Уязвимостите са слабости в защитата на дадена ИТ система. Заплахите могат да експлоатират или да действат чрез уязвимост, за да повлияят неблагоприятно на ИТ системата. Защитните мерки се използват за смекчаване или премахване на уязвимости.

Управление на риска – Управлението на риска е процесът, при който заплахите, уязвимостите и потенциалните въздействия от инциденти със сигурността се оценяват спрямо разходите за внедряване на защитата. Целта на Управлението на риска е да се осигури разумна защита на всички ИТ активи срещу отпадъци, измами, злоупотреби и прекъсване на операциите. Управлението на риска придобива все по-голямо значение, тъй като обхватът на потенциалните заплахи нараства, докато наличните ресурси намаляват.

Хакери или Кракери — Първоначално терминът „хакер“ е приложен за хора, които се фокусират върху научаването на всичко възможно за ИТ, често за сметка на много други аспекти на живота (включително сън и хранене). „Кракер“ е всеки човек, който използва напреднали познания за мрежи или интернет, за да компрометира мрежовата сигурност. Обикновено, когато традиционният хакер компрометира сигурността на информационната система, целта е била академична (т.е. учебно упражнение) и всяко произтичащо от това увреждане или унищожаване е било неволно. Понастоящем терминът хакер се използва по-широко, за да опише всеки индивид, който се опитва да компрометира сигурността на ИТ система, особено тези, чието намерение е да причини смущения или да получи неправомерен достъп до данни. Дейността на хакерите / кракерите обикновено получава голямо покритие в печата, въпреки че по-обикновените инциденти със сигурността, причинени от неволни действия на оторизирани потребители, обикновено водят до по-големи прекъсвания и загуби.

Цели — Целите на програмата за ИТ сигурност могат да бъдат обобщени с три думи: конфиденциалност – данните трябва да бъдат защитени от неразрешено разкриване; цялостност – ИТ системите не трябва да позволяват процеси или данни да бъдат променяни без разрешение; и осигуряване на непрекъсваем достъп до ИТ системите.

Източник: NIST

Picture of Alexander Sverdlov

Alexander Sverdlov

Leave a Reply