Organisatorische Maßnahmen zur Kontrolle und Verwaltung der Informationssicherheit

In Systemen mit einem hohen Maß an Sicherheit werden Spezialisten, die während des Betriebs eine Reihe von Automatisierungstools für ein Informationssystem warten, in drei Kategorien unterteilt:

  • Benutzer, dh Vertreter des Organisationsinhabers des Informationssystems, die bei der Arbeit mit Informationen betriebliche Aufgaben ausführen;
  • Technisches Personal, das das normale Funktionieren des Informationssystems unterstützt;
  • Beamte des Informationssicherheitsdienstes, die der Verwaltung des Organisationsinhabers des Informationssystems unterstellt sind.

Wenn eine Reihe von Automatisierungswerkzeugen für die Informationsverarbeitung, ein automatisiertes Steuerungssystem, ein Informationsnetzwerk oder das gesamte Informationssystem zur Versorgung der Bevölkerung verwendet werden, tritt ein anderer Benutzertyp auf und das Risiko eines unbefugten Zugriffs auf Informationen wird erheblich erhöht (z. B. bei automatisierten Banksteuerungssystemen).

Um die Sicherheit von Informationen zu gewährleisten, wird der Zugriff darauf sowohl vertikal als auch horizontal in der Struktur des Organisationsinhabers des gesamten Informationssystems, einer Reihe von Automatisierungstools für die Informationsverarbeitung, eines automatisierten Steuerungssystems oder Netzwerks, einschließlich Kategorien von Spezialisten und Benutzern, begrenzt.

Eine besondere Kategorie sind Spezialisten und Beamte des Informationssicherheitsdienstes, die über Sicherheitskontrollen verfügen und Zugang zu geschützten Informationen haben können. Hier gibt es jedoch Möglichkeiten zur Abgrenzung und Einschränkung des Zugriffs, die nach Möglichkeit umgesetzt werden müssen.

Das verabschiedete System der Aufgabenteilung zwischen einzelnen Mitarbeitern kann erheblich zur Erhöhung der Informationssicherheit der Mitarbeiter beitragen.

Die folgenden Grundsätze der Arbeitsorganisation werden empfohlen

  • Minimierung der Informationen, die den Mitarbeitern zur Verfügung stehen. Jeder Mitarbeiter sollte nur die Informationen kennen, die für die erfolgreiche Erfüllung seiner Aufgaben erforderlich sind.
  • Minimierung der Personalbeziehungen. Die Organisation des technologischen Prozesses zum Sammeln und Verarbeiten von Informationen und Planen der Räumlichkeiten sollte die Kontakte des Personals bei der Ausführung von Arbeiten so weit wie möglich ausschließen oder minimieren. Systemprogrammierer und -ingenieure sollten sich bei Bedarf im Informationsverarbeitungsraum aufhalten und niemals in den Bereich des Informations- und Datenaufbereitungsbereichs usw. gehen.
  • Gewaltenteilung (Privilegien). In Systemen mit hohen Sicherheitsanforderungen wird ein kritischer Vorgang durchgeführt, nachdem zwei Mitarbeiter ihre Notwendigkeit bestätigt haben. Eine Änderung der Benutzerrechte wird beispielsweise nur durchgeführt, wenn der Leiter und der Mitarbeiter des Informationssicherheitssystems gleichzeitig ihre Kennwörter von ihren Terminals an das System senden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.