දැනට තිබෙන පාඩම්...

Monday, April 17, 2017

Information Security ගැන ඔබ දන්නේ මොනවාද? - 2 පාඩම

තවත් පරක්කු කරන්නේ මොකටද කියලා අපේ අලුත් පාඩමේ දෙවෙනි කොටසටත් අපි අාවා. අද කොටසෙන් අපි කථා කරන්නේ Information Security Management ගැන.
Security වල ප්‍රධාන පියවර 3කට බෙදන්න පුලුවන්...

  • Availability - මේ මගින් reliability නැත්නම් විශ්වාසනීයත්වය හා timely access to data and resources to authorized individuals තවත් විදියකට කියනවානම් දත්ත හා අවශ්‍ය සම්පත් ඊට බලය අැති අයට අවශ්‍ය වේලාවේදී ලබාගැනීමේ හැකියාව
  • Integrity - අපි මේකටම කියනවා අවංකත්වය කියලත්. දත්ත හා පද්ධතිවල නිරවද්‍ය බව තහවුරු කරන්න හා වැඩි කරන්න වගේම දත්ත භාවිතා කිරීමේ අයිතිය, දත්ත භාවිතය ඒවා කියවීමට අයිතියක් නැති අයගෙන් අෑත් කර තබාගැනීමත් මීට අයිතියි.
  • Confidentiality - මේ මගින් තහවුරු කරගන්නේ necessary level of secrecy, ගැලපෙන ප්‍රමාණයට රහස්‍යභාවය. ඒ වගේම unauthorized disclosure - අනවශ්‍ය හෙළිදරවු වීම් වලක්වනවා.
සාමාන්‍යයෙන් පෞද්ගලික අංශයේ ව්‍යාපාර වල දත්තවල integrity හා availability වලට වැදගත්කමක් ලබාදෙනවා.

නමුත් අාරක්ෂක අංශ වලට වැදගත් වෙන්නේ confidentiality .

Vulnerability - මේකෙන් කියවෙන්නේ අනතුරට පත්විය හැකි බව ගැන
මේකෙ අර්ථ දැක්වීම තියෙන්නේ "A software, hardware, or procedural weakness that may provide an attacker the open door he is looking to enter a computer or network and have unauthorized access to resources within the environment. "
සරලවම කියනවානම් පරිසරය තුල පරිගණකයට පහරදෙන්නෙකුට ඊට පහසුකම් සළසාදීමට උදව් වන මෘදුකාංගයක් දෘඩාංගයක් හෝ පවතින යම් දුර්වලතාවයකට අපි කියන්නෙ Vulnerability කියලා.

  • Serverයක් තුල run වෙන services
  • OS තුල අැති unpatched applications
  • Restrict වුනේ නැති Dial -in access modems
  • Firewall තුල තියෙන open ports
  • Password Management වල තිබෙන දුර්වලතා 
Threat - තොරතුරු වලට හෝ පද්ධතියට සිදුවන ඔිනෑම විදිහේ අනතුරක් . යම් පුද්ගලයෙක් හෝ දෙයක් විශේෂ අනතුරුදායක vulnerability තත්වයක් හදුනාගෙන ඒ තත්වය සමාගමට විරුද්ධව භාවිතා කිරීමත් මේ නමින් හදුන්වන්න පුලුවන්. මේ විදියට මේ අඩුපාඩු වලින් වාසි ලබාගන්න පුද්ගලයාට අපි කියනවා threat agent කියලා. 
මේ threat agent වෙන්න පුලුවන් කිහිප දෙනෙක් ඉන්නවා.
  • Firewall port හරහා පරිගණකයකට අැතුල්වන පිටස්තරයන්
  • Security policy බිද වැටෙන අාකාරයට data access කරන ඔිනෑම ක්‍රියාවලියක්
  • නොදැන වැරදි විදියට system access කරන නිළධාරියෙක්
Risk - Vulnerabilityයකින් අැතිවන වාසිය ගන්න threat agent කෙනෙකුට අැති සම්භාවිතාව හා ඊට අනුරූපව ව්‍යාපාරයට අැති බලපෑම
Exposure - මේක යම් අාකාරයක උදාහරණයක් threat agent පාඩු ලබපු, යම් හෙළිදරව් වීමක් නිසා.


Countermeasures - මේකටම තමයි safeguard කියන්නෙත්.  මේක පාවිච්චි කරලා potential risk mitigate නැත්නම් අඩු කරගන්න පුලුවන්.

  • Strong Password Management
  • BIOS නැතිනම් Basic Input/Output System වල passwords implemet කිරීම
  • කාර්යමණ්ඩලයට security awareness සම්බන්ධ training දෙන්න පුලුවන්.
Threat agent --විසින් නිර්මාණය කරනවා-->Threat --අයුතු ලෙස ගන්නවා -->Vulnerability --මෙහෙයවනවා --> Risk-- හානිවෙන්න පුලුවන් -->Asset වලට -- ගැටලුවක් වෙන්න පුලුවන් --> Exposure වලට -- countermeasure කරන්න පුලුවන් --> Safeguard -- සෘජුවම බලපානවා --> Threat agentට

අාරක්ෂාව සම්බන්ධව වගකියන්නෙ කවුද???
සමාගමක ඉහළ කළමණාකාරීත්වය සෘජුවම වගකිව යුතුයි සමාගමේ තොරතුරු හා දේපළවල  අාරක්ෂාව සම්බන්ධව. ඒක IT adminගේ වගකීමක් නෙවෙයි. ඉහළ කළමණාකාරීත්වය අවශ්‍ය සම්පත්, අරමුදල් සැපයීම වගකීම් බෙදාදීම් වගේ දේවල් කරන්න ඔින. ඒ වගේම අාරක්ෂණ ක්‍රියාවලියේ ප්‍රගතිය පාලනය මෙයාලගෙ වගකීමක්. අාරක්ෂණ ක්‍රියාවලියේ වැඩකරන කණ්ඩායම වැඩ අාරම්භ කරන්න ඔින ඉහළ කළමණාකාරීත්වයේ අදහස් වලට අනුකුලව. 
Security Policy - මේක සමාගමක අාරක්ෂණ ක්‍රියාවලියේ පිටපතක් විදියට ඉදලා පියවරෙන් පියවර අවශ්‍ය පරිදි ගොඩනැගෙන්න ඉඩලබාදෙනවා.මේක හදන්නේ ඉහළ කළමණාකාරීත්වය. 
Security Policies වර්ග 3යි.
  1. Issue Specific Policies - functional implementing policy කියන්නෙත් මෙයාටම තමයි. තවදුරටත් email policy වගේ වැදගත් issues වලට අවශ්‍ය වෙනවා.
  2. System specific policies - මෙයා represent කරන්නේ management decisions. ඒවා හුගක් දුරට අදාල වෙන්නේ actual computers, networks, applications හා data වලට.
  3. Organizational Policies - අායතනයේ අනාගත අාරක්ෂක වැඩපිලිවෙළ සම්බන්ධ scope හා directions සපයන්නේ මේ මගින්.
ඉහළ කළමණාකාරීත්වය තමයි Security administration පත්කිරීම කරන්නේ. මේ admin තනි පුද්ගලයෙක් වෙන්නත් පුලුවන්. පුද්ගල කණ්ඩායමක් වෙන්නත් පුලුවන්.මේ තනතුරේ මූලික වගකීම වෙන්නේ අාරක්ෂණ ක්‍රියාවලියේ හුගක් විෂය කොටස් පාලනය කිරීම.

Due Diligence - මේක තමයි සමාගම මුහුණදෙන අවදානම් තත්ව හදුනාගන්නා හා ඒ සම්බන්ධව පරීක්ෂණ පැවැත්වීම 
Due Care - මේ මගින් තමයි අදාල අවදානම් වලින් ගැලවීමට අවශ්‍ය countermeasures සපයන්නේ මේ මගින් 
යම් සමාගමක් මේ due diligence හෝ due care පිළිබද පුහුණුවක් ලබාගන්නේ නැත්නම් නමුත් ඔවුන්ගේ දේපළ සම්බන්ධ පැහැදිලි වගකීමක් ඔවුන්ට තිබෙනවානම් ඒ අයට විරුද්ධව නීතිමය ක්‍රියාමාර්ගයක් වුවත් ගැනීමේ හැකියාවක් පවතිනවා. යම් හානියක් වුනොතින් ඒවා ඔවුන්ගේ නොසැලකිල්ල නිසා වුන දේවල් බවට ඔවුනටම වගකීමේ පැවරීමේ හැකියාවක් පවතිනවා.

සාමාන්‍ය අාරක්ෂණ වැඩසටහනක අරමුණු 3යි.
  1. කෙටිකාලීන අරමුණු
  2. මධ්‍යකාලීන අරමුණු
  3. දිගුකාලීන අරමුණු
අාරක්ෂණ පාලන ක්‍රියාවලිය
පරිගණක අාරක්ෂණය විශේෂයෙන්ම අනවසර දත්ත පිටතට යෑම්, අනවසර දත්ත යාවත්කාලීන වීම් හෝ පරිගණක පද්ධතියම අනවසර භාවිතය හෝ වෙනස් කිරීම, Denial of Service වගේ කරුණු නිසා ප්‍රධාන කරුණු 3කට බෙදන්න පුලුවන්.
  1. Administrative Control
  2. Technical Controls
  3. Physical Controls
  • Administrative Control - policies, standards, procedures හා guidelines නිර්මාණය හා පළකිරීම මෙහි කාර්යයක්
  • Technical Controls - control mechanisms නිර්මාණය හා නඩත්තුව, රහස් පද හා සම්පත් කළමණාකරණය, හදුනාගැනීම හා සහතික කරගැනීමේ මාර්ගය, අාරක්ෂණ උපාංග, යටිතල පහසුකම් සකස් කිරීම තමයි මේකෙන් කෙරෙන්නෙ.
  • Physical Controls - තනි තනිව භාවිතාකළ හැකිවන පරිද්දෙන් දෙපාර්තුමේන්තු අතර පාලනයක් සිදුකිරීම , පද්ධති පරික්ෂාකිරීම හා අනවශ්‍ය floppy හා CD rom අාදිය ඉවත්කිරීම, lock අාදිය දැමීම හා නඩත්තුව
Information Risk Management වලින් තමයි අපේ පරිසරයේ තියෙන අවදානම් හදුනාගෙන ඒවා වර්ගීකරණය කරලා පාලනය කරගත හැකි මට්ටමකට අඩු කරගෙන නිවැරදි ක්‍රමෝපායන් වලින් තත්වය පාලනය කරන්නේ. 

අවදානම් ප්‍රධාන කොටස් කිහිපයකට වර්ගීකරණය කරන්න පුලුවන්.
  • Physical Damage- ගින්දර, වතුර, බලශක්ති අහිමිවීම් හා ස්වභාවික විපත්
  • Human Interaction - අහම්බෙන් හෝ හිතාමතා සිදුකරණ ක්‍රියාවක් නිසා නිෂ්පාදන ක්‍රියාවලියට බලපෑම් අැති කරන්න පුලුවන්
  • Equipment Malfunction - පද්ධති හෝ සවිකර අැති උපාංග වල දෝෂ
  • Inside and Outside attacks - Hacking, crack කිරීම් හා පහරදීම්
  • Data misuse - වෙළද රහස් පිටතට ලබාදීම, බොරු කිරීම්, ඔත්තු බැලීම්, හොරකම් කිරීම්
  • Data Loss - දත්ත භාවිතයේදී වන නොසැලකිලිමත් බව නිසා දැනුවත්ව හෝ නොදැනුවත්ව දත්ත අහිමි වීම්
  • Application Error - පරිගණක දෝෂ, අාදාන දෝෂ හා Buffer overflows
Risk Analysis - සිදුවුන හානිය පැහැදිලිව හදුනාගෙන වුනු හානිය තක්සේරු කරගන්නවා. ඉන්පසු අාරක්ෂක පිළියම් යෙදිය යුතු ස්ථාන සොයාගන්නවා. මේක උදව්වක් වෙනවා අවදානම් පිළිවෙළට හදාගන්න(prioritize). ඒ වගේම ඉහළ කළමණාකාරීත්වය දැනුවත් කරන්න යන වියදම් සම්බන්ධව. 


Organizational Security Policy -
මෙහි ප්‍රධාන features කිහිපයක් අඩංගුයි.




  • අාරක්ෂණ වැඩසටහනක් සකස් වෙන්නේ කෙසේද? ඒ වැඩසටහනේ අරමුණු හා ඒවාට ලගාවන අාකාරය කොහොමද? වගකීම් ලබාදෙන්නේ කොහොමද?
  • අාරක්ෂාවේ උපායමාර්ගික වැදගත්කම හා අාකෘතියට අදාලවන වලංගුභාවය පවත්වාගෙන යන්නේ කොහොමද?
  • Policy මගින් කථා කරන්න ඔින අදාල වන නීති රෙගුලාසි හා ඒවා තෘප්තිමත් වීමට ඉටු විය යුතු කාර්යභාරය සම්බන්ධව
  • අායතනයේ අරමුණු වලින් තමයි policy නිර්මාණය වීමට උදව් වෙන්නේ. policy කියන ලියවිල්ල කියවීමේදී තේරුම් ගන්න පහසු වෙන්න ඔින වැඩ කරන අය policy ලියවිල්ල අත් පොතක් විදියට පාවිච්චි කරන්න පුලුවන් විදියට.
  • policy ලියවිල්ල නිර්මාණය විය යුත්තේ හා භාවිතා විය යුත්තේ සියළු ව්‍යාපාර කටයුතු වල කොටසක් වෙන විදිහට.
  • අපේ සමාගම තමන්ගේ ස්වරූපය වෙනස් කරන සෑම වෙලාවකම, අළුත් ව්‍යාපාරයක් හා සම්බන්ධ වන සෑම වෙලාවකම හිමිකාරීත්වය මාරු වෙන සෑම මොහොතකම policy ලියවිල්ලත් ඒ හා අනුරූපව වෙනස් විය යුතුයි.
  • වෙනස් වන සෑම අවස්ථාවකදීම ඒවා දින හා අංක යොදා පීලිවෙළට තැබිය යුතුයි.
  • policy ලියවිල්ල මත පාලනය වන සියලුම පිරිස් හට අදාල අවස්ථාවලට අනුව විසදුම් ලබාගත යුතුයි. මුළුමනින්ම policy ලියවිල්ල තුලින්ම විසදුම් ලබාගත යුතු වන්නේ නැහැ.
Policies ප්‍රධාන අාකාර 3යි
  1. Regulatory - ඔිනෑම අායතනයක් තමන්ට අදාලවන industry regulations වලට අදාලවුන standards වල පවතිනවාද කියන දේ තහවුරු කරන්නෙ මේ වර්ගය විසින්
  2. Advisory - මේ වර්ගය විසින් ඉතා ප්‍රබල ලෙස employeesලා ට අවවාද කරනවා අායතනය තුල තමන්ගේ හැසිරීම් හා ක්‍රියාවන් පවත්වාගත යුත්තේ කෙසේද යන්න සම්බන්ධව
  3. Informative - අායතනයට අදාල වේවි කියලා සිතෙන විදියේ මාතෘකා පිළිබදව employeesලාව දැනුවත් කරන්නේ මේ policyයෙන්. බලකිරීමක් නොවුනත් මේකත් කරන්නෙ ඉගැන්වීමක්.
Standards - මේවා භාවිතා වන්නේ නියෝගකළ ක්‍රියාකාරකම් නීති, රෙගුලාසි වගේ දේවල් සදහන් කරන්න. මේවා internal, external හෝ mandated(රාජ්‍ය නීති රෙගුලාසි) විදියට කොටස් වලට බෙදන්න පුලුවන්. මේ standards පාවිච්චි කරනවා specify කරගන්න දෘඩාංග හා මෘදුකාංග නිෂ්පාදන භාවිතා කරන අාකාරය සම්බන්ධව. usersලා ගේ හැසිරීම නිරීක්ෂණය කරන නිර්නායකයක් විදිහටත් මෙය භාවිතා වෙනවා.

Baseline - පද්ධතිය අාරක්ෂා කරගන්න අවශ්‍ය අවම අාරක්ෂා මට්ටම කොපමණක්ද කියන දේ define කරන්න තමයි මේක භාවිතා වෙන්නේ.

Guidelines - අපිට standards වගයක් ලැබුනත් ඒවා නිවැරදි විදිහට ගැලපෙන්නේ නැත්නම් පාරිභෝගිකයන්ට හා IT කාර්යමණ්ඩලයට ලබාදී තිබෙන උපදෙස් 

Procedures - යම් අරමුණක් සාක්ෂාත් කරගන්න පියවරෙන් පියවර සිදුකරනු ලබන ක්‍රියාකාරකම් වලට කියනවා procedures කියලා.

Information Classification - අපි දත්ත අාරක්ෂා කරන්න යොදාගන්න ක්‍රම වලට යන වියදම , අායතනයක අයවැයට සෑහෙන්න බලපානවා. හොදම වියදම් අඩු ක්‍රමයට කරන විදිහ ගැන තොරතුරු දෙන්නෙ Data classification වලින්. classifications කිහිපයක් තියෙන්න පුලුවන්. ඒවාට අදාලව වෙන වෙනම ක්‍රියාවලි තියෙන්න පුලුවන්. ඒ හැම ක්‍රමයකින්ම කියවෙන්න data අරගන්නෙ කොහොමද, පාවිච්චි කරන්නෙ කොහොමද, විනාශ කරන්නෙ කොහොමද කියන කාරණාව.

Information classifications ප්‍රධාන කොටස් 2යි.

  1. Private Business Classification
  2. Military classification
1. Private Business Classification Levels- ප්‍රධාන අාකාර 4යි
  • Confidential : මේ තොරතුරු, තොරතුරු පනත නිදහස යටතේ හෙළිදරව් disclosure වලින් නිදහස් කර අැත
  • Private : පෞද්ගලිකත්ව පරිසරය මත පදනම් වූ තොරතුරු. මේවා අායතනය තුල භාවිතයට පමණයි.
  • Sensitive : අනවසර වෙනස් වීමක් නිසා රහස්‍යභාවය හෝ විශ්වාසවන්ත භාවය නැතිවීමක් විය හැකි තොරතුරු
  • Public
2.Military Classifications - ප්‍රධාන අාකාර 5යි.
  • Top Secret : රටක ජනාධිපතිවරයෙකුට වගේ හිමිවන ඉහළ මට්ටමක්
  • Secret : රහස්‍ය පරිසරයක් මත පැවතිය යුතු තොරතුරු. මේවා හෙළිදරව් වීම නිසා අති විශාල හානියක් වීමට හැකියි
  • Confidential : මේ තොරතුරු පිටතට දීම නිසා රටේ ජාතික අාරක්ෂාවට යම් හානියක් වෙන්න පුලුවන්.
  • Sensitive but unclassified - කුඩා රහසක් වුනාට පිටතට ගියොත් විශාල හානියක්වෙන්න පුලුවන්. පරීක්ෂණයක ප්‍රතිඵල / සොෟඛය තොරතුරු වගේ දේවල්
  • Unclassified
Data Owner - මේ පුද්ගලයා සාමාන්‍යයෙන් කළමණාකරණ කණ්ඩායමේ සාමාජිකයෙක්. විශේෂ business unit ක ප්‍රධානියා වශයෙන් කටයුතු කරනවා. අදාල විෂය කොටසේ පවතින සියලුම තොරතුරු වල ultimate responsibility නැත්නම් අසාමාන්‍ය වගකීමක් ඔහු වෙත පැවරෙනවා. security controls ගැන, backup requirements හා classifications වලට අදාල security requirments වල වගකීම වගේම data access කරන්න ඔින කවුද නැත්තේ කවුද කියලා තීරණය කරන්නෙත් ඔහු.

Data Custodian - මොහු තමයි  data maintain හා  protection වලට ඉන්න පුද්ගලයා. මේ රාජකාරිය හුගක් වෙලාවට IT department ම සිදුකරනවා. නිවැරදි පරිදි data backups ලබාගැනීම, කාලයෙන් කාලයට දත්තවල intergrity validate කිරීම වගේ දේවල් මෙයා කරනවා.

Hardware Software වලට නඩත්තුවක් ලබාදුන්නත් දුර්වලම විදියට අාරක්ෂාව තර්ජනයට ලක්වෙන්නෙ මිනිසුන් අතින්.
Hacker attacks, outside espionage හෝ equipment failureටත් වැඩියෙන් security issues අැතිවෙනවා අහම්බෙන් වන අත්වැරදීම්, පුහුණුව මදිකම, සිතාමතා හෝ අහම්බෙන් අැතුල්වීම් වලදි. අනාගතයේ කරන දේවල් අපිට අනාවැකි පළකරන්න බැරි නිසා හානි අවම කරගන්න තමයි උත්සාහ කරන්න ඔින. 

Nondisclosure agreements - අලුතින් වැඩට පැමිණෙන සියලු දෙනා අායතනය හා සියලු දත්ත ප්‍රවේසම් කරන බවට වන පොරොන්දුව

Separation of duties - critical task නැත්නම් භාරදූර කාර්යභාරයක් තනිව අවසන් කරන්න අමාරුයි කියන කරුණ තහවුරු කරනවා.  Separation of duties කියන ක්‍රමය පුරුදු වෙන අායතනයක් collusion සිදුකිරීමට fraud කරන්නම ඔින. 

Collusion - මේ කියන්නෙ කුමන්ත්‍රණයක් ගැන. අවම වශයෙන් මිනිසුන් දෙදෙනෙක් කණ්ඩායමක් විදියට වැඩ කරනවා වංචාවක් කිරීමට.

Personnel Controls
  • Rotation of duties - හැම වෙලාවකම යම් පුද්ගලයෙක් තනි තනතුරක හුගකාලයක් සිටීම නුවනට හුරු නෑ. ඒ විදියට නැතුව දිගටම සිටියොත් ඔහු වැඩකරන කොටස තුල අාධිපත්‍යය ඔහු රදවා ගන්නවා.
  • Mandatory Vacations - sensitive data areas වල වැඩකරන අයව අනිවාර්යය නිවාඩු යැවිය යුතුමයි. යැවුන පසු අනෙක් අයට අදාල තනතුරු බලන ගමන්ම කලින් කෙනාගේ වංචාවල් සොයා බලන්න භාවිතා කරන්නත් පුලුවන්.
Employee termination - සාමාජිකයෙකු අායතනය හැරයන අවස්ථාවක ඔහු/ අැය අායතනය හැර යා යුතුයි හැකි ඉක්මනින් කළමණාකරුවෙකුගේ අනුදැනුම යටතේ. අායතනය සතු ඔහු භාවිතා කළ සියලු භාණ්ඩ ඔහු අාපසු බාරදිය යුතුයි. අදාල පුද්ගලයාගේ අායතනය සතු සියලු ගිණුම් වසා දැමිය යුතුයි.

Security Awareness Program - අායතනික දත්තවල අාරක්ෂාවට අායතනයේ සියලු දෙනාටම යම්කාලයක පුහුණුවක් ලබාදිය යතුයි.කළමණාකාරීත්වය පාරිභෝගිකයන් හා කාර්ය මණ්ඩලයට වෙන වෙනම පුහුණුව ලබාදිය යුතුයි.

සෑහෙන ලොකු පාඩම් කොටසක් පුලුවන් කරම් සරළව ඉදිරිපත් කලේ. ගැටලු තියෙනවාකම් පහළ ලින්කුව මගින් ලබාදෙන්න යාලුවනේ.
 




No comments:

Post a Comment

What is PowerShell -1

PowerShell mainly using by system administrators and system engineers to their daily work.  This task based command line mainly created by ...