Evaluarea riscurilor și clasificarea documentelor/datelor în cadrul firmei

Articol postat de:

riscuri

Cat de mult trebuie investit in securitate? De cata securitate este nevoie? Vom defini mai intai acest proces pentru ca va deveni baza de formulare a cerintelor de securitate. Este, de asemenea, o preconditie pentru stabilirea unui proces de succes de definire a politicii, si pentru succesul in definirea proceselor de evaluare a riscurilor care pot ajuta in remedierea unui proces de administrare gresita a utilizatorului. Scopul evaluarii riscurilor si a proceselor de clasificare a datelor este de a obtine din partea responsabilului cu securitatea (RS) orientarea efectiva a proprietarilor resurselor (PR) atunci cand trebuie sa raspunda la intrebarea “de cata securitate este nevoie?”.

Procesul de clasificare a datelor/evaluare a riscurilor (CD/ER) contine o serie de discutii oficiale si documentate intre RS si PR. Prima discutie implica clasificarea de date. In definirea procesului CD/ER, RS ar trebui sa stabileasca o schema clara care sa se potriveasca nevoilor intregii organizatii. O schema tipica ofera 3-5 categorii si reguli generale care sa orienteze repartizarea fiecarei inregistrari majore de date sau aplicatii de sistem intr-una din acele categorii. Categoriile depind de valoarea datelor pentru afacere si, in general, sunt sub forma de public, privat, confidential si restrictionat. La sfarsitul primei runde de discutii, toate inregistrarile de date detinute de respectivul PR ar trebui atribuite unei categorii. RS documenteaza rezultatul si PR aproba documentul. Datele care au fost clasificate la un nivel mai mic al importantei si valorii lor nu vor fi discutate in cadrul intalnirilor ulterioare.

A doua discutie este despre evaluarea riscului. Pentru pregatirea acestei discutii, RS trebuie sa investigheze doua domenii pentru fiecare dintre resursele de mare valoare identificate in cadrul etapei de clasificare a datelor. Posibilele surse de amenintare trebuie identificate, iar masurile existente de securitate care anihileaza acea amenintare trebuie documentate. Discutia consta in ajungerea la un acord intre RS si PR cu privire la amenintarile care nu sunt in mod curent contracarate in totalitate de masuri de securitate si la un acord cu referire la oportunitatea investitiilor aditionale de securitate.

Amenintarile reziduale . acelea care nu sunt anihilate de masuri planificate si existente de securitate . trebuie sa fie documentate. Apoi PR trebuie sa ia decizia de a accepta riscurile reziduale in planul operational al afacerii . si probabil sa constientizeze pierderi potentiale sau sa accepte sa investeasca bani si timp in plus in masuri de securitate. Este sarcina RS sa propuna coordonatele initiale ale acelor masuri. Informatiile necesare pentru a crea aceste coordonate sunt stranse in cadrul etapei de definire a cerintelor.

Cea de-a treia discutie dintre RS si PR este despre drepturile de acces la informatii. RS preia informatii de la PR despre cine ar trebui sa aiba diferite tipuri de acces la date. Procesul prin care utilizatorii sunt identificati si li se acorda acces la resursele calculatorului sau ale retelei pentru a-si indeplini sarcinile de serviciu se numeste procesul de administrare a utilizatorului (AU). Acest proces ar trebui sa includa o metoda de rezolvare a exceptiilor de la regulile generale stabilite pentru aceste permisiuni.

Executarea procesului AU poate fi facuta fie de un departament administrativ central, fie de grupuri din cadrul fiecarui departament al firmei. Procesul trebuie sa fie consistent, indiferent de cine sau cum este executat. Sarcina RS ar trebui sa auditeze performanta acestui proces constant.

Una dintre modalitatile de imbunatatire a amplitudinii procesului AU este prin utilizarea permisiunilor in functie de rol. Prin aceasta abordare, drepturile de acces sunt acordate in functie de diferite roluri care pot fi atribuite unui individ drept urmare a sarcinilor pe care le are in cadrul firmei. Identificarea rolurilor adecvate pentru firma poate sa fie un proces de lunga durata. Anumite tehnologii avansate indica cerinte speciale pentru procesul AU. PKI este in general implementat folosindu-se o declaratie de practica certificata care defineste conditiile de eliberare, anulare si folosire a certificatelor digitale pe care se bazeaza PKI. O declaratie de practica certificata este de 60-90 de pagini.

Sursa: DataSecurity


Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>