DigiFence

Բիզնեսի տեղեկատվությունը գոյություն ունի բարդ էկոհամակարգում, որը զուգորդվում է բազմաթիվ տեխնոլոգիաների, կարգավորող պահանջների, ստանդարտների, բիզնես գործընթացների, մատակարարների, անվտանգության սպառնալիքների, համակարգի խոցելիությունների և շուկայի ճնշումների հետ: Այս տեղեկատվությունը տեղափոխվում է տեղեկատվական հոսքերի միջոցով ցանցեր, բազմաթիվ ծրագրեր, տվյալների բազաներ, սերվերներ և այլն: Ներկայիս աշխարհում այդ տեղեկատվության մեծ մասը պետք է համապատասխանի տեղեկատվական անվտանգության երեք սկզբունքներին՝ հասանելիություն, ամբողջականություն և գաղտնիություն:

Կառավարել տեղեկատվական ակտիվները

Տեղեկատվական ակտիվների կառավարումը սկսվում է գույքագրումից: Գույքագրումը պետք է փաստաթղթավորի ապարատային սարքերը, ծրագրերը, տվյալների բազաները և այլ տեղեկատվական ակտիվները:

Գնահատել սպառնալիքները և խոցելիությունները

Սպառնալիքները տեղեկատվական ակտիվների համար վտանգի աղբյուր են: Խոցելիությունը առկա է մարդկանց, գործընթացների և տեխնոլոգիաների մեջ: Կարևոր է թվարկել բոլոր համապատասխան սպառնալիքները, դասակարգել դրանք և առաջնահերտություն տալ՝ ելնելով դրանց կարևորությունից: Խորհուրդ է տրվում խոցելիությունների ցուցակ կազմել և դրանք դասակարգել` ելնելով կազմակերպության վրա դրանց ազդեցությունից:

Կառավարել ռիսկերը

Ռիսկերի կառավարումը կենտրոնանում է ռիսկերը խուսափելու, մեղմելու կամ փոխանցելու վրա: Այն սկսվում է ռիսկերի ցանկով, որոնք դասակարգվում են ըստ դրանց առաջացման հավանականության և կազմակերպության վրա դրանց ազդեցության: Հավանականությունն ու ազդեցությունը միասին որոշում են, թե ինչպես են այդ ռիսկերին առաջնահերդություն տրվում: Բարձր ազդեցության ռիսկը, որի առաջացման հավանականության մեծ է, կազմակերպության համար գերակա ռիսկ է:

Օգտագործել բազմաֆակտորային վավերացում

Համակարգչային հաշվի մուտքի համար լրացուցիչ ստուգումը կնվազեցնի ֆիշինգի ամենահաջողված գրոհները:

Ծածկագրել սարքերը

Բոլոր կրիտիկական սարքերը պետք է ծածկագրվեն, ներառյալ` համակարգիչները, շարժական սարքերը, կոշտ սկավառակները և տեղեկատվական կրիչները: Սարքերը ծածկագրելը նշանակում է, որ տվյալներն անհասկանալի են առանց գաղտնագրման բանալու: Եթե ինչ-որ մեկը հասանելիություն է ստանում դյուրակիր համակարգչին կամ սմարտֆոնին, նա հեշտությամբ կարող է հասանելիություն ստանալ չծածկագրված ֆայլերին և տվյալներին:

Օգտագործել հաջորդ սերնդի ֆայերվոլ

Հաջորդ սերնդի ֆայերվոլը տեխնոլոգիայի երրորդ սերնդի մաս է, այսինքն այն համատեղում է ստանդարտ ֆայերվոլը ավելի բարդ գործառույթներով` ներխուժման փորձը հայտնաբերելու և կանխելու համար: Նա հիմնականում պարունակում է հակավիրուսային ծրագրային ապահովում, որը պարբերաբար թարմացվում է նոր սպառնալիքներ հայտնաբերելու համար:

Վեբ կոնտենտի ֆիլտրում

Օգտագործել վեբ ծրագրային ֆայերվոլ (WAF)` վեբ կոնտենտի ֆիլտրումը կարգավորելու համար: Ֆիլտրումը աշխատում է նույնականացնելով վեբ էջի ծագումը կամ բովանդակությունը` որոշված կանոնների հիման վրա: Սա օգնում է խուսափել վնասաբեր վեբ էջեր այցելելուց: Կոնտենտի ֆիլտրումը զգալիորեն բարելավում է անվտանգությունը՝ արգելափակելով վնասաբեր կամ ռիսկային կայքերը՝ օգտագործելով քաղաքականության վրա հիմնված հսկողություն և կանխում է վնասաբեր ծրագրերի ներբեռնումը:

Պաշտպանել հաճախորդների տվյալները

Կազմակերպության զգայուն տվյալների կորուստը կամ գողությունը այլ հարց է, իսկ հաճախորդների տվյալներինը՝ մեկ այլ հարց: Դա ունի լուրջ իրավական հետևանքներ, ուստի մեծ ուշադրություն պետք է դարձնել հաճախորդների տվյալներին: Սովորաբար հաճախորդի տվյալները անցնում են բազմաթիվ կետերի միջոցով: Էլեկտրոնային առևտրի կամ այլ կերպ կայքի միջոցով վճարումներ կատարելու դեպքում, զգայուն տեղեկատվության առաջին տրանզիտը (ներառյալ անունները և քարտի տվյալները) հաճախորդի վեբ դիտարկիչից դեպի էլեկտրոնային առևտրի վեբ սերվեր է: Այս տվյալները պաշտպանելու լավագույն միջոցն է օգտագործել վեբ կայքում SSL հավաստագիր և HTTPS պրոտոկոլ, հատկապես այն էջերում, որոնք հավաքում են զգայուն տվյալներ: Դա կապահովի հաճախորդի տվյալների ծածկագրման գործընթացը: Հաճախորդի տվյալները կազմակերպության ներսում փոխանցելու դեպքում պետք է կիրառել վերը նկարագրված բոլոր անվտանգության միջոցները, հատկապես նրանք, որոնք վերաբերում են համացանցում պահպանմանը և փոխանցմանը:

Պատահարների կառավարում և աղետի վերականգնում

Անվտանգության խախտումները, ՏՏ ակտիվների կորուստը, կրիտիկական տվյալների պատահական ջնջումը կամ տվյալների մշակման կենտրոնում էլեկտրաէներգիայի անջատումը պատահարների օրինակներ են: Պատահարների արձագանքման պատշաճ մշակված պլանը հստակ նկարագրում է գործողությունները ամենատարածված պատահարների համար: Այն պատահարները, որոնք աղետալի են իրենց բնույթով, կառավարվում են աղետների վերականգնման (DR) պլանի համաձայն

Դասընթացների անցկացում

Անվտանգության ոլորտում աշխատակիցների վերապատրաստումը հաճախ անտեսված է, սակայն այն անվտանգության ծրագրի իրականացման հանգուցային տարր է: Տեխնոլոգիական և անվտանգության բոլոր միջոցները ոչինչ չեն նշանակում, եթե աշխատակիցները անուշադրության են մատնում իրենց դյուրակիր համակարգիչները, միանում աշխատատեղից դուրս անապահով ցանցերին կամ տեղյակ չեն, թե ինչն է կասկածելի վարքագիծը

Երրորդ կողմերի կառավարում

Տեղեկատվության բարդ էկոհամակարգը հաճախ ներառում է երրորդ կողմեր, ինչպիսիք են մատակարարները և միջնորդները: Երրորդ կողմի կազմակերպություններում անապահով ցանցերը կամ գործելակերպը, որոնք կապված են բիզնեսի հետ, կարող են ստեղծել անվտանգության խնդիրներ: Լավ ելակետ է թվարկել բոլոր երրորդ կողմերին, որոնց հետ կազմակերպությունը վարում է բիզնես և առաջնահերթություն տալ այդ ցուցակում` ընդհանուր տեղեկատվության և տեղեկատվության կարևորության հիման վրա: Այնուհետև կազմակերպությունը կարող է պարզել, թե ինչպիսի անվտանգության միջոցներ են կիրառվում երրորդ կողմում և պահանջել անհրաժեշտ վերահսկողություն:

Կիբեռանվտանգության ստուգում

Կիբեռանվտանգության ստուգումը պետք է հստակ պատկերացում տա կազմակերպության խնդրահարույց ոլորտների վերաբերյալ, և թե ինչ խնդիրներով պետք է զբաղվել կազմակերպության կիբեռանվտանգության հարցում: