Poglavlje V. Osiguravanje sigurnosti i zaštite informacija

Politika informacijske sigurnosti.

1. Opće odredbe

Ova Politika sigurnost informacija (dalje - Politika ) definira sustav pogleda na problem osiguranja informacijske sigurnosti i predstavlja sustavni prikaz ciljeva i zadataka, kao i organizacijskih, tehnoloških i proceduralnih aspekata osiguranja informacijske sigurnosti objekata informacijske infrastrukture, uključujući skup informacijskih centara, banke podataka i komunikacijski sustavi organizacije. Ova Politika je razvijena uzimajući u obzir zahtjeve važećeg zakonodavstva Ruske Federacije i neposredne izglede za razvoj objekata informacijske infrastrukture, kao i karakteristike i mogućnosti suvremenih organizacijskih i tehničkih metoda te hardvera i softvera za informacijsku sigurnost. .

Glavne odredbe i zahtjevi Politike odnose se na sve strukturne odjele organizacije.

Politika je metodološka osnova za formiranje i provedbu jedinstvene politike u području osiguranja informacijske sigurnosti objekata informacijske infrastrukture, donošenja koordiniranih upravljačkih odluka i razvoja praktičnih mjera usmjerenih na osiguranje informacijske sigurnosti, koordinacije aktivnosti strukturnih odjela organizacije tijekom stvaranja, razvoja i rada objekata informacijske infrastrukture.infrastrukture u skladu sa zahtjevima informacijske sigurnosti.

Politika ne uređuje organizaciju sigurnosti prostora i osiguranje sigurnosti i fizičkog integriteta komponenti informacijske infrastrukture, zaštitu od elementarnih nepogoda i kvarova u sustavu opskrbe energijom, već pretpostavlja izgradnju sustava informacijske sigurnosti na istoj koncepciji. osnova kao sigurnosni sustav organizacije u cjelini.

Provedba politike osigurava se odgovarajućim smjernicama, pravilnicima, postupcima, uputama, metodološka uputstva te sustav za procjenu informacijske sigurnosti u organizaciji.

Politika koristi sljedeće pojmove i definicije:

Automatizirani sustav ( AC) — sustav koji se sastoji od osoblja i skupa automatiziranih alata za njihove aktivnosti, implementirajući informacijsku tehnologiju za obavljanje utvrđenih funkcija.

Informacijska infrastruktura— sustav organizacijskih struktura koje osiguravaju funkcioniranje i razvoj informacijskog prostora i sredstva informacijske interakcije. Informacijska infrastruktura uključuje skup informacijskih centara, banaka podataka i znanja, komunikacijskih sustava, a potrošačima omogućuje pristup informacijskim resursima.

Informativni izvori ( IR) – to su zasebni dokumenti i zasebni nizovi dokumenata, dokumenti i nizovi dokumenata u informacijski sustavi (knjižnice, arhive, fondove, baze podataka i druge informacijske sustave).

Informacijski sistem (IP) - sustav obrade informacija i odgovarajući organizacijski resursi ( ljudski, tehnički, financijski itd.) koji pružaju i šire informacije.

Sigurnost - stanje zaštite interesa ( ciljevi) organizacije u uvjetima prijetnje.

Sigurnost informacija ( JE) — sigurnost vezana uz prijetnje u informacijskoj sferi. Sigurnost se postiže osiguravanjem skupa svojstava informacijske sigurnosti - dostupnosti, cjelovitosti, povjerljivosti informacijske imovine. Prioritet svojstava informacijske sigurnosti određen je vrijednošću navedene imovine za interese ( ciljevi) organizacije.

Dostupnost informacijskih sredstava - svojstvo informacijske sigurnosti organizacije, koje se sastoji u činjenici da se informacijska sredstva daju ovlaštenom korisniku, u obliku i na mjestu koje korisnik zahtijeva, te u vrijeme kada su mu potrebna.

Integritet informacijske imovine - sposobnost informacijske sigurnosti organizacije da ostane nepromijenjena ili ispravi otkrivene promjene u njezinoj informacijskoj imovini.

Povjerljivost informacijske imovine - svojstvo informacijske sigurnosti organizacije, koje se sastoji u činjenici da se obrada, pohranjivanje i prijenos informacijskih sredstava provodi na način da su informacijska sredstva dostupna samo ovlaštenim korisnicima, objektima sustava ili procesima.

Sustav informacijske sigurnosti ( NIB) — skup zaštitnih mjera, zaštitne opreme i procesa za njihov rad, uključujući resurse i administrativne ( organizacijski) odredba.

Neovlašten pristup– pristup informaciji povredom službenih ovlasti zaposlenika, pristup informaciji zatvorenoj za javnost od strane osoba koje nemaju dopuštenje za pristup tim informacijama ili ostvarivanje pristupa informacijama od strane osobe koja ima pravo pristupa tim informacijama u iznosu većem od potrebno za obavljanje službenih dužnosti.

2. Opći zahtjevi za osiguranje informacijske sigurnosti

Zahtjevi za informacijsku sigurnost ( dalje -JE ) odrediti sadržaj i ciljeve aktivnosti organizacije u okviru procesa upravljanja informacijskom sigurnošću.

Ovi zahtjevi formulirani su za sljedeća područja:

dodjela i raspodjela uloga i povjerenje u osoblje;
faze životni ciklus objekti informacijske infrastrukture;
zaštita od neovlaštenog pristupa ( dalje - NSD ), kontrola pristupa i registracija u automatizirani sustavi, u telekomunikacijskoj opremi i automatskim telefonskim centralama itd.;
antivirusna zaštita;
korištenje internetskih izvora;
korištenje alata za kriptografsku zaštitu informacija;
zaštita osobnih podataka.

3. Objekti koji se štite

Glavni objekti koje treba zaštititi su:

informacijski resursi, prikazane u obliku dokumenata i nizova informacija, bez obzira na oblik i vrstu njihovog prikaza, uključujući povjerljive i javne informacije;
sustav formiranja, distribucije i korištenja informacijskih resursa, knjižnice, arhivi, baze podataka i banke podataka, informacijske tehnologije, propisi i postupci za prikupljanje, obradu, pohranu i prijenos informacija, tehničko i uslužno osoblje;
informacijska infrastruktura, uključujući sustave za obradu i analizu informacija, hardver i softver za njihovu obradu, prijenos i prikaz, uključujući kanale razmjene informacija i telekomunikacije, sustave i sredstva zaštite informacija, objekte i prostore u kojima se nalaze komponente informacijske infrastrukture.

3.1. Značajke automatiziranog sustava

U AS-u kruže informacije različitih kategorija. Zaštićene informacije mogu dijeliti različiti korisnici iz različitih podmreža jedne poslovne mreže.

Niz AS podsustava omogućuje interakciju s vanjskim ( državne i trgovačke, ruske i strane) organizacije putem dial-upa i korištenjem namjenskih komunikacijskih kanala posebna sredstva prijenos informacija.

Kompleks tehničkih sredstava AS uključuje alate za obradu podataka ( radne stanice, poslužitelji baza podataka, poslužitelji pošte itd.), sredstva razmjene podataka u lokalnim računalnim mrežama s mogućnošću pristupa globalnim mrežama ( kabelski sustav, mostovi, pristupnici, modemi itd.), kao i skladišne prostore ( uklj. arhiviranje) podataka.

Glavne značajke rada AS-a uključuju:

potreba za kombiniranjem velikog broja različitih tehničkih sredstava za obradu i prijenos informacija u jedan sustav;
veliki izbor zadataka koje treba riješiti i vrsta podataka koji se obrađuju;
objedinjavanje informacija različitih namjena, pripadnosti i razina povjerljivosti u jedinstvene baze podataka;
dostupnost kanala za povezivanje s vanjskim mrežama;
kontinuitet rada;
prisutnost podsustava s različitim zahtjevima za razine sigurnosti, fizički ujedinjenih u jednu mrežu;
raznolikost kategorija korisnika i servisnog osoblja.

Općenito, jedan AS je skup lokalnih računalnih mreža odjela međusobno povezanih putem telekomunikacija. Svaka lokalna računalna mreža integrira niz međusobno povezanih automatiziranih podsustava ( tehnološka područja), pružanje rješenja za probleme po pojedinim strukturnim dijelovima organizacije.

Objekti informatizacije uključuju:

tehnološka oprema ( računalna oprema, mrežna i kabelska oprema);
informativni resursi;
softver ( operativni sustavi, sustavi za upravljanje bazama podataka, opći sistemski i aplikacijski softver);
automatizirani komunikacijski i prijenosni sustavi podataka (telekomunikacije);
kanali veze;
uredski prostori.

3.2. Vrste organizacijske informacijske imovine koju treba zaštititi

Informacije različitih razina povjerljivosti kruže u AS podsustavima organizacije, sadrže informacije ograničene distribucije ( službeni, komercijalni, osobni podaci) i javno informiranje.

Tijek AS dokumenata sadrži:

nalozi za plaćanje i financijski dokumenti;
izvještaji ( financijski, analitički itd.);
informacije o osobnim računima;
Osobne informacije;
druge ograničene informacije.

Sve informacije koje kruže AS-om i sadržane su u sljedeće vrste informacijska sredstva:

informacije koje predstavljaju komercijalnu i službenu tajnu, čiji je pristup ograničen od strane organizacije, kao vlasnika informacija, u skladu s odredbama Saveznog zakona " O informacijama, informatizaciji i zaštiti informacija » prava i savezni zakon « O poslovnim tajnama »;
osobni podaci, čiji je pristup ograničen u skladu sa Saveznim zakonom " O osobnim podacima »;
otvorenim informacijama, u smislu osiguranja cjelovitosti i dostupnosti informacija.

3.3. Kategorije korisnika Automatiziranog sustava

Organizacija ima velik broj kategorija korisnika i servisnog osoblja koji moraju imati različite ovlasti za pristup informacijskim resursima AS-a:

obični korisnici ( krajnji korisnici, zaposlenici organizacijskih jedinica);
administratori poslužitelja ( poslužitelji datoteka, poslužitelji aplikacija, poslužitelji baza podataka), lokalne računalne mreže i aplikacijski sustavi;
sistemski programeri ( odgovoran za održavanje općeg softvera) na poslužiteljima i radnim stanicama korisnika;
programeri aplikacijskog softvera;
stručnjaci za održavanje računalnog hardvera;
administratori informacijske sigurnosti itd.

3.4. Ranjivost glavnih komponenti automatiziranog sustava

Najranjivije komponente AS-a su mrežne radne stanice – automatizirane radne stanice ( dalje - AWS ) radnici. Pokušaji neovlaštenog pristupa informacijama ili pokušaji neovlaštenih radnji ( nenamjerno i namjerno) na računalnoj mreži. Povrede hardverske i softverske konfiguracije radnih stanica i nezakonito uplitanje u procese njihovog funkcioniranja mogu dovesti do blokiranja informacija, nemogućnosti pravovremenog rješavanja važnih problema i kvara pojedinih radnih stanica i podsustava.

Mrežni elementi kao što su namjenski poslužitelji datoteka, poslužitelji baza podataka i aplikacijski poslužitelji zahtijevaju posebnu zaštitu. Nedostaci protokola razmjene i načina ograničavanja pristupa resursima poslužitelja mogu omogućiti neovlašteni pristup zaštićenim informacijama i utjecati na rad različitih podsustava. U tom slučaju, pokušaji se mogu učiniti na daljinu ( od mrežnih stanica), i izravno ( s konzole poslužitelja) utjecaj na rad poslužitelja i njihove sigurnosne mjere.

Mostovi, pristupnici, čvorišta, usmjerivači, preklopnici i drugo mrežni uređaji Komunikacijski kanali i sredstva također trebaju zaštitu. Napadači ih mogu koristiti za restrukturiranje i ometanje mreže, presretanje prenesenih informacija, analizu prometa i implementaciju drugih metoda ometanja procesa razmjene podataka.

4. Temeljna načela informacijske sigurnosti

4.1. Opća načela sigurnog rada

Pravovremeno otkrivanje problema. Organizacija mora odmah otkriti probleme koji bi potencijalno mogli utjecati na njezine poslovne ciljeve.
Predvidljivost razvoja problema. Organizacija mora identificirati uzročno-posljedične odnose mogući problemi i na temelju toga izgraditi točnu prognozu njihova razvoja.
Procjena utjecaja problema na poslovne ciljeve. Organizacija mora adekvatno procijeniti utjecaj identificiranih problema.
Adekvatnost zaštitnih mjera. Organizacija mora odabrati zaštitne mjere koje su primjerene modelima prijetnji i uljeza, uzimajući u obzir troškove provedbe takvih mjera i visinu mogućih gubitaka od izvršenja prijetnji.
Učinkovitost zaštitnih mjera. Organizacija mora učinkovito provoditi poduzete mjere zaštite.
Korištenje iskustva pri donošenju i provedbi odluka. Organizacija mora akumulirati, generalizirati i koristiti kako vlastito iskustvo tako i iskustvo drugih organizacija na svim razinama donošenja i izvršenja odluka.
Kontinuitet načela sigurnog rada. Organizacija mora osigurati kontinuiranu primjenu načela sigurnog rada.
Upravljivost zaštitnih mjera. Organizacija bi trebala provoditi samo kontrole za koje se može potvrditi da rade ispravno, a organizacija bi trebala redovito ocjenjivati primjerenost kontrola i učinkovitost njihove provedbe, uzimajući u obzir utjecaj kontrola na poslovne ciljeve organizacije.

4.2. Posebna načela za osiguranje informacijske sigurnosti

Implementacija posebnih načela informacijske sigurnosti usmjerena je na povećanje razine zrelosti procesa upravljanja informacijskom sigurnošću u organizaciji.
Definicija ciljeva. Funkcionalni ciljevi i ciljevi informacijske sigurnosti trebaju biti eksplicitno definirani u internom dokumentu. Neizvjesnost dovodi do “ neodređenost” organizacijska struktura, uloge osoblja, politike informacijske sigurnosti i nemogućnost procjene primjerenosti poduzetih zaštitnih mjera.
Poznavanje vaših kupaca i zaposlenika. Organizacija mora imati informacije o svojim klijentima, pažljivo odabrati osoblje ( radnika), razvijati i održavati korporativnu etiku, koja stvara povoljno okruženje povjerenja za aktivnosti upravljanja imovinom organizacije.
Personifikacija i adekvatna podjela uloga i odgovornosti. Odgovornost dužnosnika organizacije za odluke vezane uz njezinu imovinu trebala bi biti personificirana i provoditi se prvenstveno u obliku jamstva. Mora biti primjeren stupnju utjecaja na ciljeve organizacije, evidentiran u politikama, kontroliran i poboljšan.
Adekvatnost uloga funkcijama i procedurama te njihova usporedivost s kriterijima i sustavom ocjenjivanja. Uloge moraju primjereno odražavati funkcije koje se obavljaju i procedure za njihovu provedbu usvojene u organizaciji. Pri dodjeljivanju međusobno povezanih uloga mora se voditi računa o potrebnom slijedu njihove provedbe. Uloga mora biti u skladu s kriterijima za procjenu učinkovitosti njezine provedbe. Glavni sadržaj i kvaliteta uloge koja se obavlja zapravo su određeni sustavom ocjenjivanja koji se na nju primjenjuje.
Dostupnost usluga. Organizacija mora osigurati dostupnost usluga i usluga za svoje klijente i druge ugovorne strane u utvrđenim vremenskim okvirima određenim relevantnim ugovorima ( sporazumi) i/ili druge dokumente.
Opservabilnost i procjenjivost podrške informacijskoj sigurnosti. Sve predložene zaštitne mjere moraju biti osmišljene tako da je rezultat njihove primjene jasno vidljiv ( transparentan) i može ih ocijeniti odjel organizacije s odgovarajućim ovlaštenjima.

5. Ciljevi i zadaci pružanja sigurnosnih informacija

5.1. Subjekti informacijskih odnosa u Automatiziranom sustavu

Subjekti pravnih odnosa pri korištenju AS-a i osiguravanju informacijske sigurnosti su:

Organizacija kao vlasnik informacijskih resursa;
odjeljenja organizacije koja osigurava rad NEK;
zaposlenici strukturnih odjela organizacije, kao korisnici i dobavljači informacija u AS-u u skladu s funkcijama koje su im dodijeljene;
pravne i fizičke osobe, informacije o kojima se prikupljaju, pohranjuju i obrađuju u AS-u;
druge pravne i fizičke osobe uključene u proces stvaranja i rada AS ( programeri komponenti sustava, organizacije uključene u pružanje različitih usluga na terenu informacijske tehnologije i tako dalje.).

Navedeni subjekti informacijskih odnosa zainteresirani su za osiguranje:

povjerljivost određenog dijela informacija;
pouzdanost ( cjelovitost, točnost, primjerenost, cjelovitost) informacije;
zaštita od nametanja lažnih ( nepouzdan, iskrivljen) informacije;
pravodoban pristup potrebnim informacijama;
razgraničenje odgovornosti za povrede zakonskih prava ( interesa) drugi subjekti informacijskih odnosa i utvrđena pravila rukovanje informacijama;
mogućnost kontinuiranog praćenja i upravljanja procesima obrade i prijenosa informacija;
zaštita nekih informacija od ilegalnog umnožavanja ( zaštita autorskih prava, prava vlasnika informacija itd.).

5.2. Svrha informacijske sigurnosti

Glavni cilj osiguranja informacijske sigurnosti je zaštititi subjekte informacijskih odnosa od mogućeg nanošenja materijalne, moralne ili druge štete slučajnim ili namjernim neovlaštenim miješanjem u proces funkcioniranja AS-a ili neovlaštenim pristupom informacijama koje kruže u njemu i njegovim nezakonita uporaba.

Ovaj cilj se postiže osiguranjem i stalnim održavanjem sljedećih svojstava informacija i automatiziranog sustava za njihovu obradu:

dostupnost obrađenih informacija registriranim korisnicima;
povjerljivost određenog dijela informacija koje se pohranjuju, obrađuju i prenose komunikacijskim kanalima;
cjelovitost i autentičnost informacija koje se pohranjuju, obrađuju i prenose komunikacijskim kanalima.

5.3. Zadaci informacijske sigurnosti

Za postizanje glavnog cilja osiguranja informacijske sigurnosti, sustav informacijske sigurnosti NEK mora osigurati učinkovito rješenje sljedećih zadataka:

zaštita od uplitanja u proces rada AS od strane neovlaštenih osoba;
ograničenje pristupa registriranim korisnicima hardverskim, programskim i informacijskim resursima AS-a, odnosno zaštita od neovlaštenog pristupa;
bilježenje radnji korisnika pri korištenju zaštićenih AS resursa u zapisnicima sustava i povremeno praćenje ispravnosti radnji korisnika sustava analiziranjem sadržaja tih dnevnika od strane stručnjaka odjela sigurnosti;
zaštita od neovlaštene izmjene i kontrola integriteta ( osiguravanje nepromjenjivosti) okruženje za izvršavanje programa i njegovo vraćanje u slučaju kršenja;
zaštita od neovlaštene izmjene i kontrola integriteta softvera koji se koristi u AS-u, kao i zaštita sustava od uvođenja neovlaštenih programa, uključujući računalne viruse;
zaštita informacija od curenja tehničkim kanalima tijekom njihove obrade, pohrane i prijenosa komunikacijskim kanalima;
zaštita podataka pohranjenih, obrađenih i prenesenih putem komunikacijskih kanala od neovlaštenog otkrivanja ili iskrivljavanja;
osiguranje autentifikacije korisnika koji sudjeluju u razmjeni informacija;
osiguravanje održivosti mjera zaštite kriptografskih informacija u slučaju kompromitacije dijela sustava ključeva;
pravodobno utvrđivanje izvora ugroza informacijske sigurnosti, uzroka i uvjeta koji pogoduju nanošenju štete zainteresiranim subjektima informacijskih odnosa, stvaranje mehanizma za brz odgovor na ugroze informacijske sigurnosti i negativne trendove;
stvaranje uvjeta za minimiziranje i lokaliziranje štete nastale nezakonitim radnjama fizičkih i pravnih osoba, ublažavanje negativnog utjecaja i otklanjanje posljedica narušavanja informacijske sigurnosti.

5.4. Načini rješavanja problema informacijske sigurnosti

Rješavanje problema osiguranja informacijske sigurnosti postiže se:

strogo razmatranje svih resursa sustava koje treba zaštititi ( informacije, zadaci, komunikacijski kanali, poslužitelji, radne stanice);
reguliranje procesa obrade informacija i radnji zaposlenika strukturnih odjela organizacije, kao i radnji osoblja koje obavlja održavanje i modifikaciju softvera i hardvera AS-a, na temelju organizacijskih i administrativnih dokumenata o pitanjima informacijske sigurnosti;
cjelovitost, stvarna izvedivost i dosljednost zahtjeva organizacijskih i upravnih dokumenata o pitanjima osiguranja informacijske sigurnosti;
imenovanje i osposobljavanje djelatnika odgovornih za organiziranje i provedbu praktičnih mjera za osiguranje informacijske sigurnosti;
davanje svakom zaposleniku minimalnih ovlasti potrebnih za obavljanje njegovih funkcionalnih dužnosti za pristup resursima AS-a;
jasno poznavanje i stroga usklađenost svih zaposlenika koji koriste i servisiraju AS hardver i softver sa zahtjevima organizacijskih i administrativnih dokumenata o pitanjima informacijske sigurnosti;
osobna odgovornost za svoje postupke svakog zaposlenika koji u okviru svojih funkcionalnih dužnosti sudjeluje u procesima automatizirane obrade informacija i ima pristup resursima AS-a;
implementacija tehnološki procesi obrada informacija korištenjem kompleksa organizacijskih i tehničkih mjera za zaštitu softvera, hardvera i podataka;
poduzimanje učinkovitih mjera za osiguranje fizičkog integriteta tehničke opreme i kontinuirano održavanje potrebne razine sigurnosti komponenti NEK;
primjena tehničkih ( softver i hardver) sredstva zaštite resursa sustava i kontinuirana administrativna podrška za njihovo korištenje;
razgraničenje informacijskih tokova i zabrana prijenosa informacija ograničene distribucije nezaštićenim komunikacijskim kanalima;
učinkovita kontrola usklađenosti zaposlenika sa zahtjevima informacijske sigurnosti;
stalno praćenje mrežni resursi, prepoznavanje ranjivosti, pravovremeno otkrivanje i neutraliziranje vanjskih i unutarnjih prijetnji sigurnosti računalne mreže;
pravna zaštita interesa organizacije od nezakonitih radnji u području informacijske sigurnosti.
provođenje kontinuirane analize učinkovitosti i dostatnosti poduzetih mjera i korištenih sredstava informacijske sigurnosti, izrada i implementacija prijedloga za unapređenje sustava informacijske sigurnosti u AS.

6. Prijetnje informacijskoj sigurnosti

6.1. Prijetnje informacijskoj sigurnosti i njihovi izvori

Najopasnije prijetnje sigurnosti informacija koje se obrađuju u AS-u su:

povreda povjerljivosti ( otkrivanje, curenje) informacije koje predstavljaju službenu ili poslovnu tajnu, uključujući osobne podatke;
kvar ( neorganiziranost rada) AS, blokiranje informacija, poremećaj tehnoloških procesa, nepravovremeno rješavanje problema;
povreda integriteta ( iskrivljenje, zamjena, uništenje) informacije, softver i drugi AS resursi.

Glavni izvori prijetnji sigurnosti AS informacija su:

štetni događaji prirodne i umjetno izazvane prirode;
teroristi, kriminalni elementi;
računalni napadači koji provode ciljane destruktivne utjecaje, uključujući korištenje računalni virusi i druge vrste zlonamjernih kodova i napada;
dobavljači softvera i hardvera, potrošnog materijala, usluga itd.;
izvođači koji provode instalaciju, puštanje u rad opreme i njen popravak;
nepoštivanje zahtjeva nadzornih i regulatornih tijela, važećeg zakonodavstva;
kvarovi, kvarovi, uništenje/oštećenje softvera i hardvera;
zaposlenici koji su zakoniti sudionici procesa u AS-u i djeluju izvan okvira dodijeljenih ovlasti;
zaposlenici koji su pravni sudionici procesa u AS-u i djeluju u okviru dobivenih ovlasti.

6.2. Nenamjerne radnje koje dovode do kršenja informacijske sigurnosti i mjere za njihovo sprječavanje

Organizacijski zaposlenici koji imaju izravan pristup procesima obrade informacija u automatiziranom sustavu potencijalni su izvor nenamjernih slučajnih radnji koje mogu dovesti do narušavanja informacijske sigurnosti.

Glavne nenamjerne radnje koje dovode do kršenja informacijske sigurnosti (radnje koje počine osobe slučajno, iz neznanja, nepažnje ili nemara, iz radoznalosti, ali bez zle namjere) te su navedene mjere za sprječavanje takvih radnji i umanjivanje štete koju uzrokuju stol 1.

stol 1

Glavne radnje koje dovode do kršenja informacijske sigurnosti
Postupci zaposlenika koji dovode do djelomičnog ili potpunog kvara sustava ili kvara hardvera ili softvera; isključivanje opreme ili promjena načina rada uređaja i programa; uništavanje informacijskih resursa sustava ( nenamjerno oštećenje opreme, brisanje, oštećenje programa ili datoteka iz važna informacija, uključujući sistemske, oštećenje komunikacijskih kanala, nenamjerno oštećenje medija za pohranu itd.)	Organizacijske mjere ( ). Uporaba fizičkih sredstava za sprječavanje nenamjernog počinjenja prekršaja. Primjena tehničkih ( hardver i softver) sredstva za ograničavanje pristupa resursima. Rezervacija kritičnih resursa.
Neovlašteno pokretanje programa koji, ako se koriste nestručno, mogu uzrokovati gubitak funkcionalnosti sustava ( zamrzavanje ili petlja) ili stvaranje nepovratnih promjena u sustavu ( formatiranje ili restrukturiranje medija za pohranu, brisanje podataka itd.)	Organizacijske mjere ( uklanjanje svih potencijalno opasnih programa s radne stanice). Primjena tehničkih ( hardver i softver) sredstva za ograničavanje pristupa programima na automatiziranim radnim stanicama.
Neovlašteno unošenje i korištenje neregistriranih programa ( igraćih, edukativnih, tehnoloških i drugih koji zaposlenicima nisu nužni za obavljanje službenih dužnosti) s naknadnim nerazumnim trošenjem resursa ( CPU vrijeme, RAM, memorija na vanjskom mediju itd.)	Organizacijske mjere ( uvođenje zabrana). Primjena tehničkih ( hardver i softver) sredstva koja sprječavaju neovlaštenu implementaciju i korištenje neobjavljenih programa.
Nenamjerno zaraziti vaše računalo virusima	Organizacijske mjere ( regulacija radnji, uvođenje zabrana). Tehnološke mjere ( korištenje posebnih programa za otkrivanje i uništavanje virusa). Korištenje hardvera i softvera za sprječavanje infekcije računalnim virusima.
Otkrivanje, prijenos ili gubitak atributa kontrole pristupa ( lozinke, ključevi za šifriranje ili elektronički potpisi, identifikacijske kartice, propusnice itd.)	Organizacijske mjere ( regulacija postupaka, uvođenje zabrana, povećana odgovornost). Korištenje fizičkih sredstava za osiguranje sigurnosti navedenih detalja.
Zanemarujući organizacijska ograničenja ( utvrđena pravila) pri radu u sustavu	Organizacijske mjere ( ). Korištenje dodatnih fizičkih i tehničkih sredstava zaštite.
Nestručna uporaba, konfiguracija ili nezakonito onesposobljavanje zaštitne opreme od strane sigurnosnog osoblja	Organizacijske mjere ( osposobljavanje kadrova, jačanje odgovornosti i kontrole).
Unos netočnih podataka	Organizacijske mjere ( jačanje odgovornosti i kontrole). Tehnološke mjere kontrole pogrešaka operatera za unos podataka.

6.3. Namjerne radnje za kršenje informacijske sigurnosti i mjere za njihovo sprječavanje

Osnovne namjerne radnje ( iz sebičnih razloga, pod prisilom, iz želje za osvetom itd.), što dovodi do narušavanja informacijske sigurnosti postrojenja, te su navedene mjere za njihovo sprječavanje i smanjenje moguće štete Tablica 2.

tablica 2

Glavne namjerne radnje koje dovode do kršenja informacijske sigurnosti	Mjere za sprječavanje prijetnji i smanjenje štete
Fizičko uništenje ili kvar svih ili nekih od najvažnijih komponenti automatiziranog sustava ( uređaji, mediji važnih informacija o sustavu, osoblje itd.), onesposobljavanje ili onesposobljavanje podsustava za osiguranje funkcioniranja računalnih sustava ( napajanje, komunikacijske linije itd.)	Organizacijske mjere ( regulacija radnji, uvođenje zabrana). Uporaba fizičkih sredstava za sprječavanje namjernog počinjenja prekršaja. Rezervacija kritičnih resursa.
Uvođenje agenata u osoblje sustava ( uključujući upravnu skupinu odgovornu za sigurnost), zapošljavanje ( podmićivanjem, ucjenama, prijetnjama itd.) korisnici koji imaju određena dopuštenja za pristup zaštićenim resursima	Organizacijske mjere ( odabir, postavljanje i rad s kadrovima, jačanje kontrole i odgovornosti). Automatska registracija radnji osoblja.
Krađa medija za pohranu ( ispise, magnetske diskove, vrpce, uređaje za pohranu i cijela osobna računala), krađa industrijskog otpada ( ispisi, zapisi, otpisani mediji za pohranjivanje itd.)	Organizacijske mjere ( ).
Neovlašteno kopiranje medija za pohranu, čitanje preostalih informacija iz RAM-a i vanjskih uređaja za pohranu	Organizacijske mjere ( organizacija čuvanja i korištenja medija sa zaštićenim podacima). Korištenje tehničkih sredstava za ograničavanje pristupa zaštićenim resursima i automatsku registraciju primitka tiskanih kopija dokumenata.
Nezakonito stjecanje lozinki i drugih detalja kontrole pristupa ( posredstvom agenta, korištenjem nepažnje korisnika, odabirom, simulacijom sučelja sustava softverskim knjižnim oznakama itd.) s naknadnim maskiranjem u registriranog korisnika.	Organizacijske mjere ( regulacija radnji, uvođenje zabrana, rad s osobljem). Korištenje tehničkih sredstava koja sprječavaju implementaciju programa za presretanje lozinki, ključeva i drugih detalja.
Neovlašteno korištenje korisničkih radnih stanica koje imaju jedinstvene fizičke karakteristike, kao što je broj radne stanice na mreži, fizička adresa, adresa u komunikacijskom sustavu, hardverska jedinica za kodiranje itd.	Organizacijske mjere ( stroga regulacija pristupa prostorijama i dozvola za rad na tim radnim stanicama). Primjena fizičkih i tehničkih sredstava kontrole pristupa.
Neovlaštena izmjena softvera - unošenje softverskih “bookmarka” i “virusa” ( "Trojanski konji" i "bube"), odnosno takve dijelove programa koji nisu potrebni za provedbu deklariranih funkcija, ali vam omogućuju nadilaženje sigurnosnog sustava, tajni i ilegalni pristup resursi sustava u svrhu snimanja i prijenosa zaštićenih podataka ili ometanja funkcioniranja sustava	Organizacijske mjere ( stroga regulacija pristupa radu). Korištenje fizičkih i tehničkih sredstava kontrole pristupa i sprječavanja neovlaštene izmjene hardverske i programske konfiguracije radne stanice. Primjena alata za praćenje integriteta programa.
Presretanje podataka koji se prenose komunikacijskim kanalima, njihova analiza u svrhu dobivanja povjerljivih informacija i pojašnjenja protokola razmjene, pravila za ulazak u mrežu i autorizaciju korisnika, uz naknadne pokušaje imitiranja istih za prodor u sustav	Fizička zaštita komunikacijskih kanala. Primjena sredstava kriptografske zaštite prenesenih informacija.
Ometanje procesa funkcioniranja sustava iz javnih mreža u svrhu neovlaštene izmjene podataka, pristupa povjerljivim informacijama, ometanja rada podsustava i sl.	Organizacijske mjere ( reguliranje priključka i rada u javnim mrežama). Uporaba posebnih tehničkih sredstava zaštite ( vatrozidi, alati za kontrolu sigurnosti i otkrivanje napada na resurse sustava itd.).

6.4. Curenje informacija kroz tehničke kanale

Prilikom rada tehničke opreme NEK mogući su sljedeći kanali curenja ili kršenja cjelovitosti informacija, poremećaj rada tehničke opreme:

bočno elektromagnetsko zračenje informativnog signala tehničkih sredstava i vodova za prijenos informacija;
usmjeravanje informativnog signala obrađenog elektroničkom računalnom opremom na žice i vodove koji se protežu izvan kontroliranog područja ureda, uklj. na krugovima uzemljenja i napajanja;
razne elektronički uređaji presretanje informacija ( uklj. "Oznake"), povezan s komunikacijskim kanalima ili tehničkim sredstvima za obradu informacija;
Gledanje informacija sa zaslona i drugih načina prikazivanja pomoću optičkih sredstava;
utjecaj na hardver ili softver u cilju narušavanja integriteta ( destrukcija, izobličenje) informacije, operativnost tehničkih sredstava, sredstva informacijske sigurnosti i pravodobnost razmjene informacija, uključujući elektromagnetske, putem posebno implementiranih elektroničkih i programskih alata ( "Oznake").

Uzimajući u obzir specifičnosti obrade i osiguravanja sigurnosti informacija, opasnost od curenja povjerljivih informacija ( uključujući osobne podatke) tehničkim kanalima su irelevantni za organizaciju.

6.5. Neformalni model vjerojatnog prekršitelja

Prekršitelj je osoba koja je pokušala izvršiti zabranjene radnje ( akcije) greškom, neznanjem ili svjesno sa zlom namjerom ( iz sebičnih interesa) ili bez njega ( radi igre ili zadovoljstva, radi samopotvrđivanja i sl.) i za to koristeći različite mogućnosti, metode i sredstva.

Sustav zaštite NEK treba graditi na temelju pretpostavki o sljedećim mogućim vrstama uljeza u sustavu ( uzimajući u obzir kategoriju osoba, motivaciju, kvalifikacije, dostupnost posebnih sredstava itd.):

« Neiskusan (neoprezan) korisnik“- zaposlenik koji bi mogao pokušati obavljati zabranjene radnje, pristupati zaštićenim resursima AS-a preko svojih ovlasti, unositi netočne podatke i sl. radnje zbog pogreške, nestručnosti ili nemara bez zle namjere i korištenjem samo redovitih ( njemu na raspolaganju) hardver i softver.
« Amater" - zaposlenik koji pokušava prevladati obrambeni sustav bez sebičnih ciljeva ili zle namjere, radi samopotvrđivanja ili iz " sportski interes" Da bi prevladao obrambeni sustav i počinio zabranjene radnje, može koristiti razne metode dobivanje dodatnih dozvola za pristup resursima ( imena, lozinke itd. drugim korisnicima), nedostaci u konstrukciji sustava zaštite i osoblju koje njime raspolaže ( instaliran na radnoj stanici) programi ( neovlaštene radnje prekoračenjem ovlasti za korištenje dopuštenih sredstava). Osim toga, može pokušati koristiti dodatne nestandardne alate i tehnološki softver ( debuggers, pomoćni programi), neovisno razvijeni programi ili standardna dodatna tehnička sredstva.
« prevarant"- zaposlenik koji može pokušati obavljati nedopuštene tehnološke radnje, upisivati lažne podatke i slične radnje za osobnu korist, pod prisilom ili iz zle namjere, ali koristeći samo redovite ( instaliran na radnoj stanici i njemu dostupan) hardver i softver u svoje ime ili u ime drugog zaposlenika ( poznavanje njegovog imena i lozinke, korištenje njegove kratkotrajne odsutnosti s radnog mjesta i sl.).
« Vanjski uljez (napadač)“- autsajder ili bivši zaposlenik koji djeluje namjerno iz sebičnih interesa, osvete ili znatiželje, moguće u dogovoru s drugim osobama. Može koristiti cijeli niz metoda za narušavanje informacijske sigurnosti, metode i sredstva hakiranja sigurnosnih sustava karakterističnih za javne mreže ( posebno mreže temeljene na IP-u), uključujući daljinsku implementaciju softverskih knjižnih oznaka i korištenje posebnih instrumentalnih i tehnoloških programa, koristeći postojeće slabosti u protokolima razmjene i sustavu zaštite mrežnih čvorova organizacije.
« Interni napadač“—zaposlenik registriran kao korisnik sustava, koji djeluje namjerno iz sebičnih interesa ili osvete, moguće u dosluhu s osobama koje nisu zaposlenici organizacije. Može koristiti cijeli niz metoda i sredstava hakiranja sigurnosnog sustava, uključujući tajne metode dobivanja podataka o pristupu, pasivna sredstva (tehnička sredstva presretanja bez modificiranja komponenti sustava), metode i sredstva aktivnog utjecaja ( izmjena tehničkih sredstava, povezivanje s kanalima prijenosa podataka, implementacija programskih knjižnih oznaka i uporaba posebnih instrumentalnih i tehnoloških programa), kao i kombinacije utjecaja iznutra i iz javnih mreža.

Unutarnji prijestupnik može biti osoba iz sljedećih kategorija osoblja:

registrirani krajnji korisnici AS-a ( zaposlenici odjela i ispostava);
zaposlenici koji ne smiju raditi s nuklearnim elektranama;
osoblje koje servisira tehničku opremu NEK ( inženjeri, tehničari);
zaposlenici odjela za razvoj i održavanje softvera ( programeri aplikacija i sustava);
tehničko osoblje koje opslužuje zgrade i prostorije organizacije ( čistači, električari, vodoinstalateri i ostali radnici koji imaju pristup zgradama i prostorima u kojima se nalaze AS komponente);
menadžeri na raznim razinama.

otpušteni radnici;
predstavnici organizacija koji sudjeluju u pitanjima osiguranja života organizacije ( opskrba energijom, vodom, toplinom itd.);
predstavnici tvrtki dobavljača opreme, softvera, usluga itd.;
članovi kriminalnih organizacija i konkurentskih komercijalnih struktura ili osobe koje djeluju u njihovo ime;
osobe koje su slučajno ili namjerno ušle u mreže s vanjskih mreža ( "hakeri").

Korisnici i servisno osoblje među zaposlenicima imaju najveće mogućnosti za provođenje neovlaštenih radnji, zbog činjenice da imaju određene ovlasti pristupa resursima i dobrog poznavanja tehnologije obrade informacija. Radnje ove skupine prekršitelja izravno su povezane s kršenjem važećih pravila i propisa. Ova skupina prekršitelja predstavlja posebnu opasnost u interakciji s kriminalnim strukturama.

Raseljeni radnici mogu koristiti svoje znanje o tehnologiji rada, zaštitnim mjerama i pravima pristupa za postizanje svojih ciljeva.

Kriminalne strukture predstavljaju najagresivniji izvor vanjskih prijetnji. Za provedbu svojih planova, ove strukture mogu otvoreno kršiti zakon i uključiti zaposlenike organizacije u svoje aktivnosti sa svim silama i sredstvima koja su im dostupna.

Hakeri imaju najviše tehničke kvalifikacije i znanje o slabostima softvera koji se koristi u AS-u. Najveću prijetnju predstavljaju u interakciji s radnim ili otpuštenim zaposlenicima i kriminalnim organizacijama.

Organizacije uključene u razvoj, nabavu i popravak opreme i informacijskih sustava predstavljaju vanjsku prijetnju zbog činjenice da povremeno imaju izravan pristup informacijskim resursima. Kriminalne strukture mogu koristiti ove organizacije za privremeno zapošljavanje svojih članova kako bi dobili pristup zaštićenim informacijama.

7. Tehnička politika u području informacijske sigurnosti

7.1. Osnovne odredbe tehničke politike

Provedba tehničke politike u području informacijske sigurnosti trebala bi se temeljiti na premisi da je nemoguće osigurati potrebnu razinu informacijske sigurnosti ne samo pomoću jednog zasebnog alata ( Događaji), ali i uz pomoć njihove jednostavne kombinacije. Potrebno ih je sustavno međusobno usklađivati ( složena primjena), a pojedinačne elemente AS-a koji se razvijaju treba smatrati dijelom jedinstvenog informacijskog sustava u sigurnom dizajnu s optimalnom ravnotežom tehničkih ( Hardver softver) sredstva i organizacijske mjere.

Glavni pravci provedbe tehničke politike za osiguranje sigurnosti informacija AS-a su osiguranje zaštite informacijskih izvora od krađe, gubitka, curenja, uništenja, iskrivljavanja ili krivotvorenja uslijed neovlaštenog pristupa i posebnih utjecaja.

U okviru navedenih područja tehničke politike za osiguranje informacijske sigurnosti provode se:

provedba sustava izdavanja dozvola za dopuštenje izvođača ( korisnici, servisno osoblje) na djela, dokumente i podatke povjerljive naravi;
ograničavanje pristupa izvođačima i neovlaštenim osobama zgradama i prostorima u kojima se obavljaju povjerljivi poslovi i nalaze informacijska i komunikacijska sredstva na kojima ( pohranjeno, preneseno) podatke povjerljive prirode, neposredno u sredstva informiranja i komunikacije;
diferencijacija pristupa korisnika i servisnog osoblja informacijskim resursima, programskoj opremi za obradu i zaštitu informacija u podsustavima različitih razina i namjena uključenih u AS;
knjigovodstvo dokumenata, informacijskih nizova, evidentiranje radnji korisnika i servisnog osoblja, nadzor nad neovlaštenim pristupom i radnjama korisnika, servisnog osoblja i neovlaštenih osoba;
sprječavanje unošenja virusnih programa i softverskih knjižnih oznaka u automatizirane podsustave;
Kriptografska zaštita informacija koje se obrađuju i prenose pomoću računalne tehnologije i komunikacija;
pouzdana pohrana računalnih medija za pohranu, kriptografskih ključeva ( ključne informacije) i njihov promet, isključujući krađu, zamjenu i uništenje;
potrebna redundancija tehničkih sredstava i umnožavanje nizova i medija za pohranu;
smanjenje razine i informativnog sadržaja sporednih emisija i smetnji koje stvaraju različiti elementi automatiziranih podsustava;
električna izolacija napajanja, uzemljenja i drugih krugova informacijskih objekata koji se protežu izvan kontroliranog područja;
suprotstavljanje optičkim i laserskim nadzornim sustavima.

7.2. Formiranje režima informacijske sigurnosti

Uzimajući u obzir identificirane prijetnje sigurnosti postrojenja, režim informacijske sigurnosti treba formirati kao skup metoda i mjera za zaštitu informacija koje kruže u postrojenju i njegovoj pratećoj infrastrukturi od slučajnih ili namjernih utjecaja prirodne ili umjetne prirode, uzrokuju štetu vlasnicima ili korisnicima informacija.

Skup mjera za stvaranje režima informacijske sigurnosti uključuje:

uspostavljanje organizacijskog i pravnog režima informacijske sigurnosti u AS ( regulatorni dokumenti, rad s osobljem, uredski rad);
provedba organizacijskih i tehničkih mjera za zaštitu informacija ograničene distribucije od curenja tehničkim kanalima;
organizacijske, programske i tehničke mjere za sprječavanje neovlaštenih radnji ( pristup) izvorima informacija AS-a;
skup mjera za kontrolu funkcioniranja sredstava i sustava za zaštitu informacijskih izvora ograničene distribucije nakon slučajnih ili namjernih udara.

8. Mjere, metode i sredstva osiguranja informacijske sigurnosti

8.1. Organizacijske mjere

Organizacijske mjere- to su mjere organizacijske naravi kojima se regulira funkcioniranje nuklearnih elektrana, korištenje njihovih resursa, djelovanje osoblja održavanja, kao i redoslijed interakcije korisnika sa sustavom na način da se maksimalno komplicira ili otkloniti mogućnost provedbe sigurnosnih prijetnji i smanjiti iznos štete u slučaju njihove provedbe.

8.1.1. Formiranje sigurnosne politike

Glavni cilj organizacijskih mjera je formulirati politiku informacijske sigurnosti koja odražava pristupe informacijskoj sigurnosti, te osigurati njezinu provedbu dodjelom potrebnih resursa i praćenjem stanja.

S praktičnog gledišta, preporučljivo je politiku nuklearne sigurnosti podijeliti na dvije razine. Najviša razina uključuje odluke koje utječu na aktivnosti organizacije kao cjeline. Primjer takvih rješenja može biti:

formiranje ili revizija cjelovitog programa informacijske sigurnosti, utvrđivanje odgovornih za njegovu provedbu;
formuliranje ciljeva, postavljanje zadataka, određivanje područja djelovanja u području informacijske sigurnosti;
donošenje odluka o pitanjima vezanim uz provedbu sigurnosnog programa, koja se razmatraju na razini organizacije kao cjeline;
pružanje regulatornih ( pravni) baza podataka o sigurnosnim problemima itd.

Politika niže razine definira postupke i pravila za postizanje ciljeva i rješavanje problema informacijske sigurnosti te detaljizira (uređuje) ta pravila:

koji je opseg politike informacijske sigurnosti;
koje su uloge i odgovornosti službenika odgovornih za provedbu politike informacijske sigurnosti;
tko ima pravo pristupa ograničenim informacijama;
tko i pod kojim uvjetima može čitati i mijenjati informacije itd.

Politika niže razine trebala bi:

predvidjeti propise o informacijskim odnosima koji isključuju mogućnost proizvoljnog, monopolističkog ili neovlaštenog djelovanja u odnosu na povjerljive izvore informacija;
odrediti koalicijska i hijerarhijska načela i metode za dijeljenje tajni i ograničavanje pristupa ograničenim informacijama;
odabrati programsku i hardversku opremu za kriptografsku zaštitu, suzbijanje neovlaštenog pristupa, autentifikaciju, autorizaciju, identifikaciju i druge sigurnosne mehanizme koji daju jamstva za provedbu prava i odgovornosti subjekata informacijskih odnosa.

8.1.2. Reguliranje pristupa tehničkim sredstvima

Rad zaštićenih radnih stanica i poslužitelja Banke mora se odvijati u prostorijama opremljenim pouzdanim automatskim bravama, alarmnim sustavima i stalno pod stražom ili nadzorom, isključujući mogućnost nekontroliranog ulaska neovlaštenih osoba u prostorije i osiguravajući fizičku sigurnost zaštićenih resursa. nalazi se u prostorijama ( AWS, dokumenti, detalji pristupa itd.). Postavljanje i ugradnja tehničkih sredstava takvih radnih stanica treba isključiti mogućnost vizualnog pregleda ulaza ( izlaz) informacije od strane osoba koje s njim nisu povezane. Čišćenje prostorija u kojima je ugrađena oprema mora se obavljati u nazočnosti odgovorne osobe kojoj su ta tehnička sredstva dodijeljena ili dežurne osobe jedinice, uz pridržavanje mjera za sprječavanje pristupa neovlaštenih osoba zaštićenim objektima. resursi.

Samo osoblje ovlašteno za rad s ovim informacijama treba biti prisutno u prostorijama tijekom obrade ograničenih podataka.

Na kraju radnog dana, prostorije s instaliranim zaštićenim automatiziranim radnim mjestima moraju se staviti pod stražu.

Za pohranu službenih dokumenata i računalnih medija sa zaštićenim podacima zaposlenicima su osigurani metalni ormari, kao i sredstva za uništavanje dokumenata.

Tehnička sredstva koja se koriste za obradu ili pohranu povjerljivih podataka moraju biti zapečaćena.

8.1.3. Regulacija pristupa zaposlenika korištenju informacijskih resursa

U okviru sustava dopuštanja pristupa utvrđuje se: tko, kome, koje podatke i za koju vrstu pristupa može dati i pod kojim uvjetima; sustav kontrole pristupa, koji uključuje određivanje za sve korisnike AS informacijskih i programskih resursa koji su im dostupni za određene operacije ( čitati, pisati, mijenjati, brisati, izvršavati) korištenjem određenih alata za pristup softveru i hardveru.

Dozvola radnika za rad s nuklearnim elektranama i pristup njihovim resursima moraju biti strogo regulirani. Sve promjene u sastavu i ovlastima korisnika AS podsustava moraju se izvršiti prema utvrđenoj proceduri.

Glavni korisnici informacija u AS-u su zaposlenici strukturnih odjela organizacije. Razina ovlasti svakog korisnika određuje se pojedinačno, poštujući sljedeće zahtjeve:

otvorene i povjerljive informacije nalaze se na različitim poslužiteljima kad god je to moguće;
svaki zaposlenik uživa samo prava koja su mu propisana u vezi s informacijama s kojima mora raditi u skladu sa svojim radnim obvezama;
šef ima pravo pregledavati podatke svojih podređenih;
najkritičnije tehnološke operacije moraju se provoditi prema pravilu "dvije ruke"— točnost unesenih podataka potvrđuje druga službena osoba koja nema pravo unosa podataka.

Svi zaposlenici primljeni na rad u postrojenju i osoblje za održavanje pogona moraju snositi osobnu odgovornost za kršenje utvrđenog postupka automatizirane obrade informacija, pravila pohranjivanja, korištenja i prijenosa zaštićenih resursa sustava kojima raspolažu. Svaki zaposlenik pri zapošljavanju mora potpisati Obvezu poštivanja uvjeta čuvanja povjerljivih podataka i odgovornosti za njihovo kršenje, kao i poštivanja pravila za rad sa zaštićenim podacima u AS-u.

Obrada zaštićenih informacija u AS podsustavima mora se provoditi u skladu s odobrenim tehnološkim uputama ( narudžbe) za ove podsustave.

Za korisnike zaštićene radnim stanicama moraju se izraditi potrebne tehnološke upute, uključujući zahtjeve za osiguranje informacijske sigurnosti.

8.1.4. Regulacija procesa održavanja baza podataka i izmjene informacijskih izvora

Svi poslovi održavanja baza podataka u AS-u i prijem zaposlenika za rad s tim bazama moraju biti strogo regulirani. Sve promjene u sastavu i ovlastima korisnika baza podataka AS moraju se izvršiti prema utvrđenoj proceduri.

Distribucija imena, generiranje lozinki, održavanje pravila za zabranu pristupa bazama podataka odgovornost je djelatnika Odjela za informacijske tehnologije. U ovom slučaju mogu se koristiti i standardni i dodatni alati za zaštitu DBMS-a operativni sustavi.

8.1.5. Regulacija procesa održavanja i izmjena hardverskih i softverskih resursa

Resursi sustava koje treba zaštititi ( zadaci, programi, radne stanice) podliježu strogom računovodstvu ( na temelju korištenja odgovarajućih obrazaca ili specijaliziranih baza podataka).

Hardverska i programska konfiguracija automatiziranih radnih stanica na kojima se obrađuju zaštićeni podaci ili s kojih je moguć pristup zaštićenim resursima mora odgovarati opsegu funkcionalnih odgovornosti dodijeljenih korisnicima te radne stanice. Svi neiskorišteni (dodatni) ulazno/izlazni uređaji ( COM, USB, LPT priključci, disketni pogoni, CD-ovi i drugi mediji za pohranu) na takvim radnim stanicama moraju biti onemogućeni (obrisani), programski alati i podaci nepotrebni za rad također moraju biti izbrisani s diskova radne stanice.

Radi pojednostavljenja održavanja, održavanja i organizacije zaštite, automatizirana radna mjesta moraju biti opremljena softverom i konfigurirana na unificiran način ( u skladu s utvrđenim pravilima).

Puštanje u rad novih radnih stanica i sve promjene u konfiguraciji hardvera i softvera, postojećih radnih stanica u automatiziranim sustavima organizacije moraju se provoditi samo na utvrđeni način.

Sav softver ( razvijeni od strane stručnjaka organizacije, primljeni ili kupljeni od proizvodnih tvrtki) moraju se testirati u skladu s utvrđenom procedurom i prenijeti u depozitorij programa organizacije. U AS podsustavima smije se instalirati i koristiti samo softver koji je na propisani način zaprimljen od depozitorija. Trebalo bi zabraniti korištenje softvera u AS-u koji nije uključen u depozitorij softvera.

Razvoj programske opreme, testiranje razvijene i nabavljene programske opreme, stavljanje programske opreme u rad mora se provoditi prema utvrđenoj proceduri.

8.1.6. Trening i edukacija korisnika

Prije pružanja pristupa sustavu, njegovi korisnici, kao i osoblje za upravljanje i održavanje, moraju biti upoznati s popisom povjerljivih informacija i njihovom razinom ovlasti, kao i organizacijskom, regulatornom, tehničkom i operativnom dokumentacijom koja definira zahtjeve i postupak za obradu takvih informacija.

Zaštita podataka u svim navedenim područjima moguća je tek nakon što korisnici razviju određenu disciplinu, tj. standarde koji su obvezni za sve koji rade u postrojenju. Takve norme uključuju zabranu bilo kakvih namjernih ili nenamjernih radnji koje krše normalan rad AS, uzrokuju dodatne troškove resursa, narušavaju cjelovitost pohranjenih i obrađenih informacija i narušavaju interese legitimnih korisnika.

Svi zaposlenici koji tijekom rada koriste pojedine podsustave NE moraju poznavati organizacijske i upravne akte zaštite NE koji se na njih odnose, moraju poznavati i strogo se pridržavati tehnoloških uputa i općih odgovornosti za osiguranje informacijske sigurnosti. Priopćavanje zahtjeva ovih dokumenata osobama ovlaštenim za obradu zaštićenih podataka dužni su uz potpis izvršiti voditelji odjela.

8.1.7. Odgovornost za kršenje zahtjeva informacijske sigurnosti

Za svako ozbiljno kršenje zahtjeva informacijske sigurnosti od strane zaposlenika organizacije potrebno je provesti internu istragu. Protiv odgovornih moraju se poduzeti odgovarajuće mjere. Opseg odgovornosti osoblja za radnje počinjene u suprotnosti s utvrđenim pravilima za osiguranje sigurne automatizirane obrade informacija trebao bi se odrediti prema prouzročenoj šteti, prisutnosti zle namjere i drugim čimbenicima.

Za provedbu načela osobne odgovornosti korisnika za svoje postupke potrebno je:

individualnu identifikaciju korisnika i procesa koje su oni pokrenuli, tj. uspostavljanje identifikatora iza njih, na temelju kojeg će se pristup razlikovati u skladu s načelom razumnosti pristupa;
provjera autentičnosti korisnika ( ovjera) na temelju lozinki, ključeva na raznim fizičkim bazama itd.;
registracija ( sječa) rad mehanizama za kontrolu pristupa resursima informacijskog sustava, s naznakom datuma i vremena, identifikatora tražitelja i traženih resursa, vrste interakcije i njezinog rezultata;
odgovor na pokušaje neovlaštenog pristupa ( alarm, blokada itd.).

8.2. Tehnička sredstva zaštite

tehnički ( hardver i softver) zaštitna oprema - razni elektronički uređaji i posebni programi, uključeni u NEK i obavljaju (samostalno ili u kombinaciji s drugim sredstvima) zaštitne funkcije ( identifikacija i autentifikacija korisnika, ograničenje pristupa resursima, registracija događaja, kriptografska zaštita informacija itd.).

Uzimajući u obzir sve zahtjeve i načela za osiguranje sigurnosti informacija u automatiziranom sustavu u svim područjima zaštite, u sustav zaštite moraju biti uključena sljedeća sredstva:

sredstva autentifikacije korisnika i AS elemenata ( terminali, zadaci, elementi baze podataka itd.), što odgovara stupnju povjerljivosti informacija i obrađenih podataka;
sredstva za ograničavanje pristupa podacima;
sredstva kriptografske zaštite informacija u podatkovnim linijama i bazama podataka;
sredstva za registraciju liječenja i praćenje korištenja zaštićenih podataka;
sredstva za odgovor na otkriveni neovlašteni pristup ili pokušaj neovlaštenog pristupa;
sredstva za smanjenje razine i sadržaja informacija lažnih emisija i smetnji;
sredstva zaštite od opreme za optički nadzor;
zaštita od virusa i malwarea;
sredstva za električnu izolaciju kako AS elemenata tako i strukturnih elemenata prostora u kojem se oprema nalazi.

Tehnička sredstva zaštite od neovlaštenog pristupa odgovorna su za rješavanje sljedećih glavnih zadataka:

identifikacija i autentifikacija korisnika korištenjem imena i/ili posebnog hardvera ( Touch Memory, Smart Card, itd.);
reguliranje pristupa korisnika fizičke uređaje radne stanice ( diskovi, I/O portovi);
selektivna (diskrecijska) kontrola pristupa logičke pogone, imenici i datoteke;
autoritativno (obavezno) ograničenje pristupa zaštićenim podacima na radnoj stanici i na datotečnom poslužitelju;
stvaranje zatvorenog softverskog okruženja programa koji se mogu izvoditi, smještenih na lokalnim i mrežnim pogonima;
zaštita od prodora računalnih virusa i zlonamjernog softvera;
praćenje integriteta modula sustava zaštite, područja diska sustava i proizvoljnih popisa datoteka u automatski način rada i administratorskim naredbama;
registracija radnji korisnika u sigurnom dnevniku, prisutnost nekoliko razina registracije;
zaštitu podataka iz sigurnosnog sustava na datotečnom poslužitelju od pristupa svih korisnika, uključujući mrežnog administratora;
centralizirano upravljanje postavkama kontrole pristupa na mrežnim radnim stanicama;
registracija svih NSD događaja koji se događaju na radnim stanicama;
operativni nadzor nad radom korisnika mreže, mijenjanje načina rada radnih stanica i mogućnost blokade ( ako je potrebno) bilo koja mrežna stanica.

Uspješna uporaba tehničkih sredstava zaštite podrazumijeva da je organizacijskim mjerama i korištenim fizičkim sredstvima zaštite osigurano ispunjavanje dolje navedenih zahtjeva:

osiguran je fizički integritet svih komponenti AS-a;
svaki zaposlenik ( korisnik sustava) ima jedinstveno ime sustava i minimalne ovlasti potrebne za obavljanje svojih funkcionalnih dužnosti za pristup resursima sustava;
korištenje instrumentalnih i tehnoloških programa na radnim stanicama ( testni uslužni programi, programi za ispravljanje pogrešaka itd.), dopuštanje pokušaja hakiranja ili zaobilaženja sigurnosnih mjera, ograničeno je i strogo regulirano;
u zaštićenom sustavu nema korisnika programiranja, a razvoj i otklanjanje pogrešaka programa odvija se izvan zaštićenog sustava;
sve promjene konfiguracije hardvera i softvera vrše se na strogo utvrđen način;
mrežni hardver ( čvorišta, preklopnici, usmjerivači itd.) nalazi se na mjestima nedostupnim vanjskim osobama ( posebne prostorije, ormari i sl.);
Služba informacijske sigurnosti pruža kontinuiranu upravljačku i administrativnu podršku za rad alata informacijske sigurnosti.

8.2.1. Alati za identifikaciju i autentifikaciju korisnika

Kako bi se spriječio pristup AS-u od strane neovlaštenih osoba, potrebno je osigurati da sustav može prepoznati svakog legitimnog korisnika (ili ograničene grupe korisnika). Da biste to učinili u sustavu ( na zaštićenom mjestu) određeni broj karakteristika svakog korisnika mora biti pohranjen po kojima se taj korisnik može identificirati. Ubuduće, prilikom prijave u sustav, a po potrebi i prilikom obavljanja određenih radnji u sustavu, korisnik je dužan identificirati se, tj. navesti identifikator koji mu je dodijeljen u sustavu. Osim toga, za identifikaciju se mogu koristiti razne vrste uređaja: magnetske kartice, ulošci za ključeve, diskete itd.

Ovjera ( ovjera) korisnika treba provoditi na temelju upotrebe lozinki (tajnih riječi) ili posebnih sredstava provjere autentičnosti za provjeru jedinstvenih karakteristika (parametara) korisnika.

8.2.2. Sredstva za ograničavanje pristupa resursima automatiziranog sustava

Nakon prepoznavanja korisnika, sustav mora autorizirati korisnika, odnosno odrediti koja prava korisnik ima, tj. koje podatke i kako može koristiti, koje programe može izvršavati, kada, koliko dugo i s kojih terminala može raditi, koje resurse sustava može koristiti itd. Autorizacija korisnika mora se provesti pomoću sljedećih mehanizama kontrole pristupa:

selektivne mehanizme kontrole pristupa koji se temelje na korištenju shema atributa, popisa dopuštenja itd.;
autoritativni mehanizmi kontrole pristupa temeljeni na oznakama osjetljivosti resursa i razinama korisničkih dozvola;
mehanizmi za osiguranje zatvorenog okruženja pouzdanog softvera ( pojedinačni popisi programa dopuštenih za pokretanje za svakog korisnika), podržan mehanizmima za identifikaciju i autentifikaciju korisnika kada se prijavljuju u sustav.

Područja odgovornosti i zadaće pojedinih tehničkih sredstava zaštite utvrđuju se na temelju njihovih sposobnosti i pogonskih svojstava opisanih u dokumentaciji za ta sredstva.

Tehnička sredstva kontrole pristupa moraju biti sastavni dio jedinstvenog sustava kontrole pristupa:

na kontrolirani teritorij;
odvojiti sobe;
na AS elemente i elemente sustava informacijske sigurnosti ( fizički pristup);
resursima AS ( programsko-matematički pristup);
u spremišta informacija ( mediji za pohranu, volumeni, datoteke, skupovi podataka, arhive, reference, zapisi itd.);
na aktivne resurse ( aplikacijski programi, zadaci, obrasci zahtjeva itd.);
na operativni sustav, sistemski programi i programi zaštite itd.

8.2.3. Alati za osiguranje i nadzor integriteta softvera i informacijskih resursa

Praćenje cjelovitosti programa, obrađenih informacija i sigurnosnih sredstava, kako bi se osigurala nepromjenjivost programskog okruženja određenog dostavljenom tehnologijom obrade, te zaštita od neovlaštenog ispravljanja informacija, mora biti osigurano:

sredstva za izračunavanje kontrolnih zbrojeva;
sredstva Elektronički potpis;
način usporedbe kritičnih izvora s njihovim referentnim kopijama ( i vraćanje u slučaju povrede cjelovitosti);
sredstva kontrole pristupa ( zabrana pristupa s pravima izmjene ili brisanja).

Kako bi se informacije i programi zaštitili od neovlaštenog uništavanja ili iskrivljavanja, potrebno je osigurati:

dupliciranje sistemskih tablica i podataka;
dupleks i zrcaljenje podataka na diskovima;
praćenje transakcija;
periodično praćenje integriteta operativnog sustava i korisničkih programa, kao i korisničkih datoteka;
antivirusna zaštita i kontrola;
sigurnosno kopiranje podataka prema unaprijed određenoj shemi.

8.2.4. Kontrole sigurnosnih događaja

Kontrole moraju osigurati da su svi događaji otkriveni i zabilježeni ( radnje korisnika, pokušaji neovlaštenog pristupa itd.), što može dovesti do kršenja sigurnosne politike i dovesti do kriznih situacija. Kontrole bi trebale pružiti mogućnost:

stalni nadzor ključnih mrežnih čvorova i komunikacijske opreme za formiranje mreže, kao i mrežne aktivnosti u ključnim segmentima mreže;
praćenje korištenja korporativnih i javnih mrežnih usluga od strane korisnika;
održavanje i analiziranje zapisnika sigurnosnih događaja;
pravovremeno otkrivanje vanjskih i unutarnjih prijetnji informacijskoj sigurnosti.

Prilikom bilježenja sigurnosnih događaja, sljedeće informacije trebaju biti zabilježene u dnevniku sustava:

datum i vrijeme događaja;
ID subjekta ( korisnik, program) provođenje registrirane radnje;
akcija ( ako je zahtjev za pristupom zabilježen, objekt i vrsta pristupa su zabilježeni).

Kontrole moraju biti sposobne otkriti i zabilježiti sljedeće događaje:

prijava korisnika;
prijava korisnika na mrežu;
neuspjeli pokušaj prijave na sustav ili mrežu ( netočan unos lozinke);
veza s poslužiteljem datoteka;
pokretanje programa;
završetak programa;
pokušaj pokretanja programa koji nije dostupan za pokretanje;
pokušaj pristupa nedostupnom imeniku;
pokušaj čitanja/pisanja informacija s diska koji je nedostupan korisniku;
pokušaj pokretanja programa s diska koji je nedostupan korisniku;
narušavanje integriteta programa i podataka sigurnosnog sustava itd.

Trebalo bi podržati sljedeće osnovne metode reagiranja na otkrivene činjenice nezakonite aktivnosti ( moguće uz sudjelovanje sigurnosnog administratora):

obavještavanje vlasnika o nepoštivanju njegovih podataka;
otkazivanje programa ( zadaci) od daljnje ovrhe;
obavijest administratoru baze podataka i sigurnosnom administratoru;
onesposobljavanje terminala ( radna stanica), s kojeg je izvršen pokušaj neovlaštenog pristupa informacijama ili nezakonitih radnji na mreži;
isključenje prekršitelja s popisa registriranih korisnika;
davanje znaka za uzbunu itd.

8.2.5. Kriptografska sredstva zaštite informacija

Jedan od najvažnijih elemenata AS sustava informacijske sigurnosti trebala bi biti uporaba kriptografskih metoda i sredstava zaštite informacija od neovlaštenog pristupa kada se one prenose komunikacijskim kanalima i pohranjuju na računalne medije za pohranu.

Sva sredstva kriptografske zaštite informacija u AS-u moraju biti izgrađena na bazi osnovne kriptografske jezgre. Da bi imala pravo na korištenje kriptografskih medija, organizacija mora imati licence utvrđene zakonom.

Ključni sustav sredstava kriptografske zaštite koji se koristi u AS-u mora osigurati kriptografsku održivost i višerazinsku zaštitu od kompromitacije ključnih informacija, odvajanje korisnika po razinama zaštite i područjima njihove međusobne interakcije i interakcije s korisnicima drugih razina.

Povjerljivost i imitacija zaštite informacija tijekom njihovog prijenosa komunikacijskim kanalima mora biti osigurana korištenjem pretplatničkih i kanalskih enkripcijskih sredstava u sustavu. Kombinacija pretplatničke i kanalske enkripcije informacija trebala bi osigurati njihovu end-to-end zaštitu na cijelom prijenosnom putu, zaštititi informaciju u slučaju njezinog pogrešnog prosljeđivanja zbog kvarova i kvarova hardvera i softvera komutacijskih centara.

AS, koji je sustav s distribuiranim informacijskim resursima, također mora koristiti sredstva za generiranje i provjeru elektroničkih potpisa, osiguravajući cjelovitost i pravno dokazivu potvrdu autentičnosti poruka, kao i autentifikaciju korisnika, pretplatničkih bodova i potvrdu vremena. slanja poruka. U tom slučaju moraju se koristiti standardizirani algoritmi elektroničkog potpisa.

8.3. Upravljanje sustavom informacijske sigurnosti

Upravljanje sustavom informacijske sigurnosti u AS-u je ciljani utjecaj na komponente sigurnosnog sustava ( organizacijski, tehnički, programski i kriptografski) radi postizanja potrebnih pokazatelja i standarda sigurnosti informacija koje kruže AS-om u kontekstu realizacije velikih sigurnosnih prijetnji.

Glavni cilj organiziranja upravljanja sustavom informacijske sigurnosti je povećanje pouzdanosti zaštite informacija tijekom njihove obrade, pohrane i prijenosa.

Upravljanje sustavom informacijske sigurnosti provodi se specijaliziranim upravljačkim podsustavom koji predstavlja skup kontrolnih, tehničkih, programskih i kriptografskih alata te organizacijskih mjera i kontrolnih točaka različitih razina koje međusobno djeluju.

Funkcije upravljačkog podsustava su: informacijska, upravljačka i pomoćna.

Informacijska funkcija sastoji se od kontinuiranog praćenja stanja sustava zaštite, provjere usklađenosti sigurnosnih pokazatelja prihvatljive vrijednosti te trenutno obavještavanje sigurnosnih operatera o situacijama koje se javljaju u postrojenju koje bi mogle dovesti do kršenja informacijske sigurnosti. Dva su zahtjeva za praćenje stanja sustava zaštite: cjelovitost i pouzdanost. Potpunost karakterizira stupanj pokrivenosti svih sredstava zaštite i parametre njihova funkcioniranja. Pouzdanost kontrole karakterizira stupanj primjerenosti vrijednosti kontroliranih parametara njihovih pravo značenje. Kao rezultat obrade kontrolnih podataka generiraju se informacije o stanju sustava zaštite koje se sumiraju i prenose višim kontrolnim točkama.

Kontrolna funkcija je formuliranje planova za provedbu tehnoloških operacija postrojenja, uzimajući u obzir zahtjeve za informacijskom sigurnošću u uvjetima koji prevladavaju u određenom trenutku, kao i određivanje lokacije situacije informacijske ranjivosti i spriječiti njegovo curenje promptnim blokiranjem područja postrojenja u kojima se pojavljuju prijetnje informacijskoj sigurnosti. Funkcije upravljanja uključuju računovodstvo, skladištenje i izdavanje dokumenata i informacijskih medija, lozinki i ključeva. Istovremeno, generiranje lozinki, ključeva, održavanje alata za kontrolu pristupa, prihvaćanje novog softvera uključenog u programsko okruženje AS, praćenje usklađenosti programskog okruženja sa standardom, kao i praćenje napredovanja tehnološkog procesa obrade povjerljivih podataka dodijeljen je djelatnicima odjela informacijskih tehnologija i odjela ekonomske sigurnosti.

Pomoćne funkcije kontrolnog podsustava uključuju bilježenje svih operacija koje se izvode u AS-u sa zaštićenim informacijama, generiranje izvještajnih dokumenata i prikupljanje statističkih podataka u svrhu analize i identificiranja potencijalnih kanala curenja informacija.

8.4. Praćenje učinkovitosti sustava zaštite

Praćenje učinkovitosti sustava informacijske sigurnosti provodi se s ciljem pravovremenog prepoznavanja i sprječavanja curenja informacija uslijed neovlaštenog pristupa istima, kao i sprječavanja mogućih posebnih utjecaja usmjerenih na uništavanje informacija i uništavanje informacijskih sredstava.

Učinkovitost mjera informacijske sigurnosti procjenjuje se pomoću organizacijskih, tehničkih i softverskih kontrola usklađenosti s utvrđenim zahtjevima.

Kontrola se može provoditi kako standardnim alatima sustava informacijske sigurnosti tako i posebnim kontrolnim alatima i tehnološkim nadzorom.

8.5. Značajke osiguranja informacijske sigurnosti osobnih podataka

Klasifikacija osobnih podataka provodi se u skladu s težinom posljedica gubitka sigurnosnih svojstava osobnih podataka za subjekt osobnih podataka.

O osobnim podacima ” na posebne kategorije osobnih podataka;
osobni podaci klasificirani u skladu sa Saveznim zakonom “ O osobnim podacima ” na biometrijske osobne podatke;
osobni podaci koji se ne mogu svrstati u posebne kategorije osobnih podataka, biometrijski osobni podaci, javno dostupni ili anonimizirani osobni podaci;
osobni podaci klasificirani u skladu sa Saveznim zakonom “ O osobnim podacima ” na javno dostupne ili anonimizirane osobne podatke.

Prijenos osobnih podataka trećoj strani mora se izvršiti na temelju saveznog zakona ili privole subjekta osobnih podataka. Ako organizacija na temelju ugovora povjeri obradu osobnih podataka trećoj strani, bitan uvjet takvog ugovora je obveza treće strane da osigura povjerljivost osobnih podataka i sigurnost osobnih podataka tijekom njihove obrade. .

Organizacija mora prestati obrađivati osobne podatke i uništiti prikupljene osobne podatke, osim ako nije drugačije određeno zakonodavstvom Ruske Federacije, u rokovima utvrđenim zakonodavstvom Ruske Federacije u sljedećim slučajevima:

nakon postizanja svrhe obrade ili kada više ne postoji potreba za postizanjem iste;
na zahtjev subjekta osobnih podataka ili Ovlaštenog tijela za zaštitu prava subjekata osobnih podataka – ako su osobni podaci nepotpuni, zastarjeli, nevjerodostojni, nezakonito dobiveni ili nisu nužni za navedenu svrhu obrade;
kada subjekt osobnih podataka povuče privolu za obradu svojih osobnih podataka, ako je takva privola potrebna u skladu sa zakonodavstvom Ruske Federacije;
ako operateru nije moguće otkloniti povrede počinjene tijekom obrade osobnih podataka.

Organizacija mora definirati i dokumentirati:

postupak uništavanja osobnih podataka ( uključujući materijalne nositelje osobnih podataka);
postupak obrade zahtjeva nositelja osobnih podataka ( odnosno njihovi zakonski zastupnici) u vezi s obradom njihovih osobnih podataka;
postupak postupanja u slučaju zahtjeva Ovlaštenog tijela za zaštitu prava subjekata osobnih podataka ili drugih nadzornih tijela koja provode kontrolu i nadzor u području osobnih podataka;
pristup klasifikaciji AS-a kao informacijskih sustava osobnih podataka ( dalje - ISPDn );
popis ISPDn. Popis ISPD mora sadržavati AS čija je svrha izrade i korištenja obrada osobnih podataka.

Za svaki ISPD potrebno je identificirati i dokumentirati sljedeće:

svrha obrade osobnih podataka;
opseg i sadržaj obrađenih osobnih podataka;
popis radnji s osobnim podacima i načinima njihove obrade.

Opseg i sadržaj osobnih podataka, kao i popis radnji i načina obrade osobnih podataka moraju odgovarati svrsi obrade. U slučaju da za provedbu informacijsko-tehnološkog procesa, čiju provedbu podupire ISPD, nema potrebe za obradom određenih osobnih podataka, te osobne podatke potrebno je izbrisati.

Zahtjevi za osiguranjem sigurnosti osobnih podataka u ISPD-u u pravilu se provode skupom organizacijskih, tehnoloških, tehničkih i programskih mjera, sredstava i mehanizama za zaštitu informacija.

Organizacija izvršenja i ( ili) provedbu zahtjeva za osiguranje sigurnosti osobnih podataka mora provoditi strukturna jedinica ili službenik (zaposlenik) organizacije odgovoran za osiguranje sigurnosti osobnih podataka, ili na ugovornoj osnovi od strane organizacije - druge ugovorne strane organizacije koja ima licencu za obavljanje poslova tehničke zaštite povjerljivih podataka.

Stvaranje ISPD-a organizacije mora uključivati razvoj i odobrenje ( izjava) organizacijsku, administrativnu, projektnu i radnu dokumentaciju za sustav koji se stvara predviđen tehničkim specifikacijama. Dokumentacija mora odražavati pitanja osiguranja sigurnosti obrađenih osobnih podataka.

Razvoj koncepta, tehničkih specifikacija, projektiranje, izrada i testiranje, prijam i puštanje u rad ISPD-a moraju se provoditi uz odobrenje i pod kontrolom ustrojstvene jedinice ili službene osobe (zaposlenika) odgovorne za osiguranje sigurnosti osobnih podataka.

Sva informacijska imovina koja pripada informacijskim sustavima organizacije mora biti zaštićena od utjecaja zlonamjernog koda. Organizacija mora definirati i dokumentirati zahtjeve za osiguranje sigurnosti osobnih podataka korištenjem antivirusne zaštite te postupak praćenja provedbe tih zahtjeva.

Organizacija mora imati uspostavljen sustav kontrole pristupa za kontrolu pristupa komunikacijskim priključcima, ulazno/izlaznim uređajima, prijenosnim medijima za pohranu i vanjski diskovi ISPDn informacije.

Voditelji operativnih i servisnih jedinica ISPD-a organizacije osiguravaju sigurnost osobnih podataka prilikom obrade u ISPD-u.

Zaposlenici koji obrađuju osobne podatke u ISPD-u dužni su postupati u skladu s uputama ( upravljanje, propisi itd.), uključeni u operativnu dokumentaciju o ISPD-u, te u skladu sa zahtjevima dokumenata o informacijskoj sigurnosti.

Odgovornosti za administriranje sigurnosnih alata i sigurnosnih mehanizama koji provode zahtjeve za osiguravanje informacijske sigurnosti organizacije ISPD dodjeljuju se nalozima ( narudžbe) za stručnjake iz odjela informatike.

Postupak postupanja stručnjaka Odjela za informatiku i osoblja uključenog u obradu osobnih podataka mora biti utvrđen uputama ( priručnike), koje izrađuje nositelj izrade ISPD-a u sklopu operativne dokumentacije za ISPD.

Dane upute ( priručnike):

utvrditi zahtjeve za kvalifikacije osoblja u području informacijske sigurnosti, kao i trenutni popis zaštićenih objekata i pravila za njegovo ažuriranje;
sadržavati u cijelosti struju ( s vremenom) podaci o korisničkim dopuštenjima;
sadržavati podatke o tehnologiji obrade informacija u opsegu potrebnom za stručnjaka za informacijsku sigurnost;
utvrditi postupak i učestalost analize zapisa događaja ( arhive časopisa);
reguliraju druge radnje.

Konfiguracijski parametri sigurnosnih alata i mehanizama za zaštitu podataka od neovlaštenog pristupa podacima koji se koriste u području odgovornosti stručnjaka Odjela za informacijske tehnologije utvrđeni su operativnom dokumentacijom o ISPD-u. Postupak i učestalost provjere instaliranih konfiguracijskih parametara utvrđeni su u pogonskoj dokumentaciji ili uređeni internim aktom, a provjere se moraju provoditi najmanje jednom godišnje.

Organizacija mora definirati i dokumentirati postupak pristupa prostorijama u kojima se nalazi tehnička oprema ISPD i pohranjuju nosači osobnih podataka, osiguravajući kontrolu pristupa prostorijama neovlaštenih osoba i postojanje prepreka za neovlašteni ulazak u prostorije. Navedeni postupak mora razviti strukturna jedinica ili službenik ( zaposlenik), odgovoran za osiguranje režima fizičke sigurnosti i dogovoren od strane ustrojstvene jedinice ili službenika ( zaposlenik), odgovoran za osiguranje sigurnosti osobnih podataka, te Odjel ekonomske sigurnosti.

Korisnici i servisno osoblje ISPD-a ne smiju obavljati neovlaštene i ( ili) nije registriran ( nekontrolirano) kopiranje osobnih podataka. U tu svrhu organizacijskim i tehničkim mjerama treba zabraniti neovlašteno i ( ili) nije registriran ( nekontrolirano) kopiranje osobnih podataka, uključujući korištenje otuđenih ( zamjenjiv) mediji za pohranu, mobilni uređaji za kopiranje i prijenos informacija, komunikacijski priključci i ulazno/izlazni uređaji koji implementiraju različita sučelja ( uključujući bežični), mobilni uređaji za pohranu ( na primjer, prijenosna računala, džep osobnih računala, pametni telefoni, Mobiteli ), kao i uređaji za snimanje fotografija i videa.

Kontrolu sigurnosti osobnih podataka provodi stručnjak za informacijsku sigurnost, kako standardnim alatima sustava informacijske sigurnosti tako i posebnim kontrolnim alatima i tehnološkim nadzorom.

Preuzmite ZIP datoteku (65475)

Ako su dokumenti korisni, lajkajte ili:

Osiguranje informacijske sigurnosti Ruske Federacije je razvojni i obećavajući sektor koji igra veliku ulogu u pohranjivanju i prijenosu podataka.

Sustav informacijske sigurnosti Ruske Federacije

U novije vrijeme svaka organizacija ili pojedinac ima vrlo veliku količinu generaliziranih informacija koje su pohranjene na internetu ili na računalima, tako velika količina informacija postala je razlogom da vrlo često cure, ali nitko ne bi želio klasificirati i povjerljive informacije o nečemu došle su do znanja strancima, zapravo, u tu svrhu potrebno je poduzeti mjere opreza kako bi se osigurala sigurnost informacija.

Statistike u ovom području pokazuju da je niz zemalja već počeo primjenjivati određene mjere informacijske sigurnosti koje su postale općeprihvaćene, ali postoje i drugi statistički podaci koji pokazuju da prevaranti ne samo da nisu prestali pokušavati doći do osjetljivih informacija, naprotiv , s poboljšanjem , napadači pronalaze nove načine da ga zaobiđu ili hakiraju, tako da ovaj trenutak možda vidimo rastući trend prijevarne aktivnosti umjesto trenda pada. Želio bih dodati da se sada informacijska podrška Ruske Federacije razvija prilično brzo i ima pozitivan trend rasta, prije ovog visoka razina nije bilo pružanja informacija u Ruskoj Federaciji.

Apsolutno svaka organizacija ili poduzeće savršeno dobro razumije da je prijetnja od gubitka povjerljivih podataka prilično velika, pa svim silama pokušavaju spriječiti curenje i osigurati da povjerljivi podaci ostanu klasificirani kao takvi, ali shema nije profesionalna, ona štiti veliku količinu informacija i zatvara mnoge prolaze prevarantima, ali u njemu i dalje ostaju praznine, pa se događa da kompetentni programeri zaobiđu sigurnosne sustave i dođu do tajnih informacija koje onda koriste u nezakonite svrhe.

Funkcije i uvjeti sustava informacijske sigurnosti

Glavne funkcije sustava informacijske sigurnosti Ruske Federacije, koje moraju biti prisutne u svakom sigurnosnom sustavu:

Trenutno otkrivanje prijetnji upada. Otklanjanje ove prijetnje i zatvaranje kanala pristupa informacijama uz pomoć kojih napadači mogu materijalno i moralno naštetiti poduzeću i pojedincu;
Stvaranje mehanizma za brzo prepoznavanje kršenja u radu poduzeća i reagiranje na situacije u kojima je informacijska sigurnost u oslabljenom stanju ili pod prijetnjom hakiranja;
Stvaraju se uvjeti za što bržu nadoknadu eventualne štete koju poduzeću prouzroče pojedinac ili pravna osoba te uvjeti za brzu uspostavu rada poduzeća kako izgubljeni podaci ne bi mogli utjecati na njegovo poslovanje i postizanje ciljeva postavljenih za poduzeće. poduzeće.

Video o praćenju medija:

Informacijska baza i principi ISMS-a

Navedeni zadaci već pružaju dovoljnu informacijsku bazu da osoba shvati zašto su potrebni sustavi informacijske sigurnosti i kako oni funkcioniraju u stvarnim uvjetima.

Načela za izgradnju sustava informacijske sigurnosti koja bi trebala voditi organizacije i poduzeća pri zaštiti povjerljivih informacija od uljeza.

Odavno je poznato da se za visoku razinu vlastite informiranosti morate voditi određenim načelima, jer bez njih shema informacijska podrška lako će se zaobići, stoga ne možete uvijek biti sigurni da su informacije doista povjerljive.

Dakle, prvo i najvažnije načelo sustava informacijske sigurnosti Ruske Federacije je kontinuirani rad na poboljšanju i poboljšanju sustava, budući da razvojne tehnologije ne miruju, kao ni razvoj lažnih aktivnosti usmjerenih na hakiranje i dobivanje tajnih podataka , stoga takvu shemu treba stalno poboljšavati. Potrebno je što češće provjeravati i testirati postojeći sigurnosni sustav – ovaj aspekt je uključen u prvi princip izgradnje sustava informacijske sigurnosti; potrebno je analizirati sustav i, ako je moguće, identificirati njegove obrambene propuste i slabosti koje napadači napadaju. zapravo će koristiti. Kada pronađete praznine ili bilo kakve načine curenja informacija, trebali biste odmah ažurirati mehanizam sigurnosnog sustava i modificirati ga tako da se pronađene praznine odmah zatvore i nedostupne prevarantima. Na temelju ovog načela, vrijedi naučiti da ne možete jednostavno instalirati sigurnosni sustav i biti mirni oko svojih tajnih podataka, budući da se ovaj sustav mora stalno analizirati, poboljšavati i poboljšavati;
Drugi princip je korištenje punog potencijala sigurnosti sustava, svih funkcija za svaku pojedinačnu datoteku koja je odgovorna za jedan ili drugi aspekt poslovanja poduzeća, odnosno sigurnosni sustav mora se koristiti u cijelosti i sveobuhvatno, tako da cijeli arsenal dostupan ovom sustavu mora biti u službi;
Treće i posljednje načelo je holističko korištenje sigurnosnog sustava; ne biste ga trebali rastaviti na zasebne dijelove, razmotriti pojedinačne funkcije, čime se osiguravaju različite razine sigurnosti važne datoteke i manje važno. Djeluje kao jedan ogroman mehanizam, koji ima veliki broj zupčanika koji obavljaju različite funkcije, ali čine jedan sustav.

Video o osiguravanju sigurnosti industrijskih sustava:

Zakonodavstvo i ISPS

Vrlo važan aspekt sustava informacijske sigurnosti je suradnja s državnim agencijama za provođenje zakona i zakonitost ovog sustava. Važnu ulogu ima i visoka razina profesionalnosti zaposlenika tvrtke koja vam osigurava informacijsku sigurnost, ne zaboravite da s tvrtkom i njezinim zaposlenicima morate sklopiti ugovor o neotkrivanju tajnih podataka tvrtke, budući da svi zaposlenici koji osiguravaju puni rad sigurnosnog sustava imat će pristup informacijama tvrtke, stoga morate imati jamstva da zaposlenici neće premjestiti ova informacija trećim stranama zainteresiranim za dobivanje za osobnu korist ili za potkopavanje rada vašeg poduzeća.

Ako zanemarite ova načela i uvjete, tada vam vaša sigurnost neće moći pružiti potrebnu visoku razinu zaštite, stoga neće biti jamstva da su podaci stalno izvan dohvata napadača, a to može imati vrlo loše utjecati na poslovanje poduzeća.

Zahtjevi za osiguranje informacijske sigurnosti bilo kojeg objekta

Načela morate ne samo poznavati, već ih i znati primijeniti u praksi, zbog čega postoji niz zahtjeva za sustav zaštite informacijske sigurnosti koji moraju biti ispunjeni, kao i sama načela.

Idealna sigurnosna shema trebala bi biti:

Centralizirano. Sigurnosnim sustavom uvijek se mora upravljati centralizirano, stoga sustav informacijske sigurnosti poduzeća mora biti sličan strukturi samog poduzeća kojemu je priključen ovu metodu osiguranje informacijske sigurnosti (ISIS);
Planirani. Temeljem općih ciljeva osiguranja informacijske sigurnosti, svaki pojedini zaposlenik odgovoran za određeni aspekt sustava uvijek treba imati detaljan plan poboljšanja sigurnosnog sustava i korištenja postojećeg. To je potrebno kako bi zaštita informacija djelovala kao jedna holistička shema, koja će osigurati najvišu razinu zaštite povjerljivih informacija štićenog objekta;
Konkretizirano. Svaka sigurnosna shema mora imati posebne kriterije zaštite, budući da različita poduzeća imaju različite preferencije, neka trebaju zaštititi određene datoteke koje konkurenti poduzeća mogu koristiti kako bi potkopali proizvodni proces. Druge tvrtke trebaju holističku zaštitu za svaku datoteku, bez obzira na njenu važnost, pa prije nego što instalirate informacijsku zaštitu, odlučite za što vam je točno potrebna;
Aktivan. Uvijek je potrebno vrlo aktivno i ciljano osigurati zaštitu informacija. Što to znači? To znači da tvrtka koja pruža sigurnosnu bazu mora imati odjel sastavljen od stručnjaka i analitičara. Budući da vaš sigurnosni princip ne samo da treba eliminirati postojeće prijetnje i pronaći rupe u bazi podataka, već i unaprijed znati mogući razvoj događaja kako biste spriječili moguće prijetnje i prije nego što se pojave, stoga je analitički odjel vrlo važan dio u struktura informacijske sigurnosti, Ne zaboravite na ovo i pokušajte obratiti posebnu pozornost na ovaj aspekt. "Unaprijed upozoren je unaprijed naoružan";
Univerzalni. Vaša bi se shema trebala moći prilagoditi apsolutno svim uvjetima, odnosno nije važno na kojem je mediju pohranjena vaša baza podataka, niti bi trebalo biti važno na kojem je jeziku predstavljena iu kojem formatu je sadržana. Ako ga želite prenijeti u drugi format ili na drugi medij, to ne bi trebalo uzrokovati curenje informacija;
Neobično. Vaš plan informacijske sigurnosti mora biti jedinstven, odnosno mora se razlikovati od sličnih shema koje koriste druga poduzeća ili tvrtke. Na primjer, ako je napadnuto drugo poduzeće koje ima shemu zaštite podataka sličnu vašoj, a napadači su uspjeli pronaći rupu u njoj, tada se vjerojatnost da će resurs biti hakiran značajno povećava, pa u tom pogledu trebate pokazati individualnost i uspostavite za svoje poduzeće sigurnosnu shemu koja se nikada prije nije pojavila niti je korištena bilo gdje, čime se povećava razina zaštite povjerljivih podataka vašeg poduzeća;
Otvoren. Trebao bi biti otvoren u smislu promjena, prilagodbi i poboljšanja, odnosno, ako nađete rupu u obrani vlastitog sigurnosnog sustava ili ga želite poboljšati, ne biste trebali imati problema s pristupom, jer pristup sustavu može odvojite neko vrijeme, tijekom kojeg baza podataka može biti hakirana, pa je otvorite za vlastitu tvrtku i tvrtku koja pruža informacijsku sigurnost za Rusku Federaciju, o čemu ovisi očuvanje vaših informacijskih sustava;
Ekonomičan. Ekonomičnost je posljednji uvjet za svaki sigurnosni sustav, morate sve izračunati i pobrinuti se da troškovi informacijske podrške za informacijske sigurnosne sustave Ruske Federacije ni u kojem slučaju ne premašuju vrijednost vaših informacija. Na primjer, koliko god sigurnosni dizajn bio skup i napredan, još uvijek postoji mogućnost da ga se može hakirati ili zaobići, budući da se po želji može pronaći rupa u bilo kojoj sigurnosti, a ako potrošite puno novca na takvu sigurnosni dizajn, ali u isto vrijeme, sami podaci ne vrijede toliki novac, onda je to jednostavno besmisleno trošenje koje može negativno utjecati na proračun poduzeća.

Video o IDM rješenjima:

Zahtjevi sekundarne informacijske sigurnosti

Gore su navedeni osnovni zahtjevi potrebni za puni rad sigurnosnog sustava, au nastavku će biti navedeni zahtjevi koji nisu obvezni za sustav:

Sigurnosna shema bi trebala biti prilično jednostavna za korištenje, odnosno svaki zaposlenik koji ima pristup zaštićenim informacijama, ako je potrebno, ne bi trebao trošiti puno vremena na to, jer će to ometati glavni posao; shema bi trebala biti praktična i “transparentno”, ali samo unutar vaše tvrtke;
Svaki zaposlenik ili ovlašteni predstavnik mora imati određene privilegije za pristup zaštićenim informacijama. Opet ću dati primjer: vi ste direktor poduzeća i u vašem pogonu radi niz zaposlenika kojima vjerujete i mogu omogućiti pristup, ali vi to ne činite, već samo vi i zaposlenici tvrtke koji pružaju informacijskom sigurnosnom sustavu imati pristup, ispada da će vaš računovođa i drugi zaposlenici, koji moraju pogledati izvješća ili druge zaštićene datoteke, morati podići pogled s posla, otrgnuti vas ili zaposlenike tvrtke koji pružaju sigurnost s posla, kako bi dobiti pristup jednoj datoteci, čime se ugrožava rad poduzeća i smanjuje njegova učinkovitost. Stoga osigurajte privilegije svojim zaposlenicima kako biste njima i sebi olakšali posao;
Mogućnost jednostavnog i brzog deaktiviranja zaštite, budući da postoje situacije kada će zaštita informacija značajno otežati rad poduzeća, u ovom slučaju trebali biste moći lako deaktivirati i po potrebi uključiti sustav zaštite informacija;
Shema informacijske sigurnosti mora funkcionirati odvojeno od svakog subjekta sigurnosti, odnosno ne smiju biti međusobno povezani;
Tvrtka koja vam pruža informacijski sigurnosni sustav trebala bi ga sama povremeno pokušati hakirati, može tražiti od svojih programera koji rade na drugim projektima da to učine, ako uspiju, tada moraju odmah otkriti kako se to točno dogodilo i gdje je slabost u sigurnosni sustav postoji, kako bi se neutralizirao što je brže moguće;
Vaše poduzeće ne bi trebalo imati detaljna izvješća i Detaljan opis mehanizama za zaštitu vaših podataka, takve informacije trebaju biti dostupne samo vlasniku poduzeća i tvrtki koja pruža informacijsku sigurnost.

Sustav informacijske podrške - faze

Važan element je fazno djelovanje u razvoju i instaliranju sustava za osiguranje informacijske sigurnosti Ruske Federacije.

U početku, prilikom izrade sustava zaštite, morate odrediti što je točno za vas intelektualno vlasništvo. Na primjer, za poduzeće intelektualno vlasništvo je znanje i točna informacija o svakom proizvedenom proizvodu, njegovim poboljšanjima, proizvodnji i razvoju novih proizvoda i idejama za unapređenje poduzeća, općenito, sve ono što vam u konačnici donosi profit. Ako ne možete odrediti što je za vas intelektualno vlasništvo, koliko god dobra shema podrške informacijskim sustavima bila, neće vam moći pružiti visoku razinu zaštite, a također riskirate gubitak nezaštićenih informacija, što će kasnije dovesti moralnim i materijalnim gubicima, tako da ovoj točki treba u početku posvetiti posebnu pozornost.

Nakon što odredite što za vas predstavlja intelektualno vlasništvo, trebali biste prijeći na sljedeće faze, općenito prihvaćene za apsolutno svaku organizaciju, bez obzira na njezinu veličinu i specifikacije:

Postavljanje određenih granica unutar kojih plan podrške informacijskim sustavima ima svoju valjanost;
Konstantno proučavanje i prepoznavanje slabosti u sigurnosnom sustavu;
Postavljanje specifične sigurnosne politike i brzo poduzimanje protumjera kada se prijetnja identificira;
Kontinuirana provjera sustava informacijske sigurnosti;
Izrada detaljnog plana sustava zaštite;
Točna provedba prethodno sastavljenog plana.

Tvorac kibernetike Norbert Wiener smatrao je da informacija ima jedinstvena svojstva i da se ne može pripisati ni energiji ni materiji. Poseban status informacije kao fenomena iznjedrio je mnoge definicije.

Rječnik norme ISO/IEC 2382:2015 “Informacijska tehnologija” daje sljedeće tumačenje:

Informacije (u području obrade informacija)- sve podatke predstavljene u elektroničkom obliku, napisane na papiru, izražene na sastanku ili smještene u bilo kojem drugom mediju, koje koristi financijska institucija za donošenje odluka, premještanje sredstava, postavljanje stopa, davanje zajmova, obradu transakcija itd., uključujući obradu komponenti sistemski softver.

Za razvoj koncepta informacijske sigurnosti (IS), pod informacijom se podrazumijeva informacija koja je dostupna za prikupljanje, pohranu, obradu (uređivanje, konverziju), korištenje i prijenos na različite načine, uključujući u računalnim mrežama i drugim informacijskim sustavima.

Takve informacije su vrlo vrijedne i mogu postati meta napada trećih strana. Želja za zaštitom informacija od prijetnji je temelj stvaranja sustava informacijske sigurnosti.

Pravna osnova

U prosincu 2017. Rusija je usvojila Doktrinu informacijske sigurnosti. Dokument definira informacijsku sigurnost kao stanje zaštite nacionalnih interesa u informacijskoj sferi. Pod nacionalnim interesima u u ovom slučaju razumije ukupnost interesa društva, pojedinca i države, svaka skupina interesa nužna je za stabilno funkcioniranje društva.

Doktrina je konceptualni dokument. Uređuju se pravni odnosi vezani uz osiguranje informacijske sigurnosti savezni zakoni“O državnim tajnama”, “O informacijama”, “O zaštiti osobnih podataka” i dr. Na temelju temeljnih propisa izrađuju se državni propisi i resorni propisi o privatnim pitanjima zaštite informacija.

Definicija informacijske sigurnosti

Prije izrade strategije informacijske sigurnosti potrebno je usvojiti osnovnu definiciju samog pojma koja će omogućiti korištenje određenog skupa metoda i načina zaštite.

Praktičari iz industrije predlažu da se informacijska sigurnost razumije kao stabilno stanje sigurnosti informacija, njihovih medija i infrastrukture, koje osigurava cjelovitost i otpornost procesa povezanih s informacijama na namjerne ili nenamjerne utjecaje prirodne i umjetne prirode. Utjecaji se klasificiraju u obliku prijetnji informacijskoj sigurnosti koje mogu nanijeti štetu subjektima informacijskih odnosa.

Stoga ćemo pod informacijskom sigurnošću podrazumijevati skup pravnih, administrativnih, organizacijskih i tehničkih mjera usmjerenih na sprječavanje stvarnih ili percipiranih prijetnji informacijskoj sigurnosti, kao i otklanjanje posljedica incidenata. Kontinuitet procesa zaštite informacija mora jamčiti borbu protiv prijetnji u svim fazama informacijskog ciklusa: u procesu prikupljanja, pohrane, obrade, korištenja i prijenosa informacija.

Informacijska sigurnost u ovakvom shvaćanju postaje jedna od karakteristika performansi sustava. U svakom trenutku sustav mora imati mjerljivu razinu sigurnosti, a osiguranje sigurnosti sustava mora biti kontinuirani proces koji se provodi u svim vremenskim intervalima tijekom životnog vijeka sustava.

Infografika koristi podatke iz naših vlastitih"TražiInform".

U teoriji informacijske sigurnosti pod subjektima informacijske sigurnosti podrazumijevaju se vlasnici i korisnici informacija, ali i ne samo korisnici stalna osnova(zaposlenici), ali i korisnici koji pristupaju bazama podataka u izoliranim slučajevima, na primjer, državne agencije traže informacije. U nekim slučajevima, primjerice, u standardima bankovne informacijske sigurnosti vlasnicima informacija smatraju se dioničari - pravne osobe koje posjeduju određene podatke.

Prateća infrastruktura, sa stajališta osnova informacijske sigurnosti, uključuje računala, mreže, telekomunikacijsku opremu, prostore, sustave za održavanje života i osoblje. Pri analizi sigurnosti potrebno je proučavati sve elemente sustava, s posebnim osvrtom na osoblje kao nositelja većine unutarnjih prijetnji.

Za upravljanje informacijskom sigurnošću i procjenu štete koristi se karakteristika prihvatljivosti, čime se šteta određuje kao prihvatljiva ili neprihvatljiva. Korisno je da svaka tvrtka uspostavi svoje kriterije za prihvatljivu štetu u novčanom obliku ili, primjerice, u obliku prihvatljive štete za ugled. U državnim institucijama mogu se usvojiti i druge karakteristike, na primjer, koje utječu na proces upravljanja ili odražavaju stupanj oštećenja života i zdravlja građana. Kriteriji materijalnosti, važnosti i vrijednosti informacija mogu se promijeniti tijekom životnog ciklusa informacijskog niza, te se stoga moraju revidirati na vrijeme.

Informacijska prijetnja u užem smislu prepoznaje se kao objektivna prilika za utjecaj na objekt zaštite, što može dovesti do curenja, krađe, otkrivanja ili širenja informacija. U širem smislu prijetnje informacijskoj sigurnosti će uključivati ciljane utjecaje informacijske prirode, čija je svrha nanošenje štete državi, organizaciji ili pojedincu. Takve prijetnje uključuju, na primjer, klevetu, namjerno lažno predstavljanje i netočno oglašavanje.

Tri glavna pitanja koncepta informacijske sigurnosti za svaku organizaciju

Što zaštititi?

Koje vrste prijetnji prevladavaju: vanjske ili unutarnje?

Kako se zaštititi, kojim metodama i sredstvima?

Sustav informacijske sigurnosti

Sustav informacijske sigurnosti za tvrtku - pravna osoba uključuje tri skupine osnovnih pojmova: cjelovitost, dostupnost i povjerljivost. Ispod svakoga kriju se koncepti s više karakteristika.

Pod, ispod integritet odnosi se na otpornost baza podataka i drugih informacijskih nizova na slučajno ili namjerno uništenje i neovlaštene promjene. Koncept integriteta može se promatrati kao:

statički, izraženo u nepromjenjivosti, autentičnosti informacijskih objekata na one objekte koji su kreirani prema specifičnoj tehničkoj specifikaciji i sadrže količine informacija koje su potrebne korisnicima za njihove glavne aktivnosti, u potrebnoj konfiguraciji i redoslijedu;
dinamičan, što podrazumijeva ispravno izvršavanje složenih radnji ili transakcija bez nanošenja štete sigurnosti informacija.

Za kontrolu dinamičke cjelovitosti koriste se posebna tehnička sredstva koja analiziraju tijek informacija, primjerice financijskih, te identificiraju slučajeve krađe, umnožavanja, preusmjeravanja i promjene redoslijeda poruka. Integritet kao osnovna karakteristika je potreban kada se odluke o poduzimanju radnji donose na temelju pristiglih ili dostupnih informacija. Povreda redoslijeda naredbi ili redoslijeda radnji može izazvati veliku štetu u slučaju opisa tehnoloških procesa, programskih kodova iu drugim sličnim situacijama.

Dostupnost je svojstvo koje ovlaštenim subjektima omogućuje pristup ili razmjenu podataka koji ih zanimaju. Ključni zahtjev legitimacije ili ovlaštenja subjekata omogućuje stvaranje različite razine pristup. Neuspjeh sustava u pružanju informacija postaje problem za bilo koju organizaciju ili korisničku skupinu. Primjer je nedostupnost web stranica državnih službi u slučaju kvara sustava, što mnogim korisnicima uskraćuje mogućnost dobivanja potrebnih usluga ili informacija.

Povjerljivost znači svojstvo informacije da bude dostupna tim korisnicima: subjekti i procesi kojima je pristup inicijalno odobren. Većina tvrtki i organizacija percipira povjerljivost kao ključni element informacijske sigurnosti, no u praksi ju je teško u potpunosti implementirati. Nisu svi podaci o postojećim kanalima curenja informacija dostupni autorima koncepata informacijske sigurnosti, a mnoga tehnička sredstva zaštite, uključujući kriptografska, ne mogu se slobodno kupiti, u nekim slučajevima je promet ograničen.

Jednaka svojstva informacijske sigurnosti imaju različite vrijednosti za korisnike, stoga postoje dvije ekstremne kategorije pri razvoju koncepata zaštite podataka. Za tvrtke ili organizacije povezane s državnom tajnom, povjerljivost će biti ključni parametar, za javne službe ili obrazovne ustanove najvažniji parametar je dostupnost.

Sažetak informacijske sigurnosti

Objekti zaštite u konceptima informacijske sigurnosti

Iz razlika u subjektima proizlaze razlike u objektima zaštite. Glavne skupine zaštićenih objekata:

informacijski resursi svih vrsta (resurs se shvaća kao materijalni objekt: HDD, drugi medij, dokument s podacima i pojedinostima pomoću kojih se može identificirati i svrstati u određenu skupinu subjekata);
prava građana, organizacija i države na pristup informacijama, mogućnost njihova dobivanja u okviru zakona; pristup se može ograničiti samo propisima, neprihvatljivo je postavljanje bilo kakvih barijera koje krše ljudska prava;
sustav za stvaranje, korištenje i distribuciju podataka (sustavi i tehnologije, arhivi, knjižnice, regulatorni dokumenti);
sustav za formiranje javne svijesti (masovni mediji, internetski resursi, društvene institucije, obrazovne ustanove).

Svaki objekt zahtijeva poseban sustav mjera zaštite od prijetnji informacijskoj sigurnosti i javnom redu. Osiguranje informacijske sigurnosti u svakom slučaju treba se temeljiti na sustavnom pristupu koji uzima u obzir specifičnosti objekta.

Kategorije i mediji

Ruski pravni sustav, praksa provedbe zakona i postojeći društveni odnosi klasificiraju informacije prema kriterijima pristupačnosti. To vam omogućuje razjašnjavanje bitnih parametara potrebnih za osiguranje informacijske sigurnosti:

informacije kojima je pristup ograničen na temelju zakonskih zahtjeva (državne tajne, poslovne tajne, osobni podaci);
informacije u otvoreni pristup;
javno dostupne informacije koje se daju pod određenim uvjetima: plaćene informacije ili podaci za koje je potrebno dopuštenje za korištenje, na primjer, iskaznica knjižnice;
opasne, štetne, lažne i druge vrste informacija, čije je kruženje i širenje ograničeno ili zakonskim zahtjevima ili korporativnim standardima.

Informacije iz prve skupine imaju dva sigurnosna načina. Državna tajna, prema zakonu, riječ je o podacima pod zaštitom države čije bi slobodno širenje moglo naštetiti sigurnosti zemlje. Riječ je o podacima iz područja vojnih, vanjskopolitičkih, obavještajnih, protuobavještajnih i gospodarskih aktivnosti države. Vlasnik ove grupe podataka je sama država. Tijela ovlaštena za poduzimanje mjera zaštite državne tajne su Ministarstvo obrane, Savezna služba sigurnosti (FSB), Služba za vanjske obavještajne poslove, Savezna služba za tehničku i izvoznu kontrolu (FSTEK).

Povjerljive informacije- višestruki predmet regulacije. Popis podataka koji mogu predstavljati povjerljive podatke sadržan je u Predsjedničkom dekretu br. 188 „O odobrenju popisa povjerljivih podataka.” Ovo su osobni podaci; tajnost istrage i sudskog postupka; službena tajna; profesionalna povjerljivost (medicinska, javnobilježnička, odvjetnička); poslovna tajna; informacije o izumima i korisnim modelima; informacije sadržane u osobni poslovi osuđenim osobama, kao i podatke o prisilnom izvršenju sudskih akata.

Osobni podaci postoje u otvorenom i povjerljivom načinu rada. Dio osobnih podataka koji je otvoren i dostupan svim korisnicima uključuje ime, prezime i patronim. Prema Saveznom zakonu-152 "O osobnim podacima", subjekti osobnih podataka imaju pravo:

za informacijsko samoodređenje;
za pristup osobnim osobnim podacima i njihovu promjenu;
blokirati osobne podatke i pristup istima;
žaliti se protiv nezakonitih radnji trećih osoba počinjenih u vezi s osobnim podacima;
za naknadu prouzročene štete.

Pravo na sadržano je u propisima o državnim tijelima, saveznim zakonima i dozvolama za rad s osobnim podacima koje izdaje Roskomnadzor ili FSTEC. Tvrtke koje profesionalno rade s osobnim podacima širokog spektra ljudi, na primjer, telekom operateri, moraju ući u registar koji vodi Roskomnadzor.

Zaseban objekt u teoriji i praksi informacijske sigurnosti su nositelji informacija kojima pristup može biti otvoren i zatvoren. Prilikom izrade koncepta informacijske sigurnosti metode zaštite odabiru se ovisno o vrsti medija. Glavni medij za pohranu:

tiskani i elektronički mediji, društveni mediji, ostali resursi na internetu;
zaposlenici organizacije koji imaju pristup informacijama na temelju svojih prijateljskih, obiteljskih i profesionalnih veza;
komunikacijska sredstva koja prenose ili pohranjuju informacije: telefoni, automatske telefonske centrale, druga telekomunikacijska oprema;
dokumenti svih vrsta: osobni, službeni, državni;
softver kao neovisni informacijski objekt, osobito ako je njegova verzija modificirana posebno za određenu tvrtku;
elektronički mediji za pohranu koji automatski obrađuju podatke.

U svrhu razvoja koncepata informacijske sigurnosti sredstva informacijske sigurnosti obično se dijele na regulatorna (neformalna) i tehnička (formalna).

Neformalna sredstva zaštite su dokumenti, pravila, mjere, a formalna sredstva posebna tehnička sredstva i softver. Razlika pomaže u raspodjeli područja odgovornosti pri stvaranju sustava informacijske sigurnosti: uz opće upravljanje zaštitom, administrativno osoblje provodi regulatorne metode, a IT stručnjaci, sukladno tome, provode tehničke.

Osnove informacijske sigurnosti pretpostavljaju podjelu ovlasti ne samo u pogledu korištenja informacija, već iu pogledu rada na njihovoj zaštiti. Takva podjela vlasti zahtijeva i nekoliko razina kontrole.

Formalni pravni lijekovi

Širok raspon tehničkih sredstava zaštite informacija uključuje:

Fizička sredstva zaštite. To su mehanički, električni, elektronički mehanizmi koji djeluju neovisno o informacijskim sustavima i stvaraju prepreke pristupu istima. Brave, uključujući elektroničke, zasloni i sjenila dizajnirani su za stvaranje prepreka kontaktu destabilizirajućih čimbenika sa sustavima. Skupina je dopunjena sigurnosnim sustavima, primjerice video kamerama, videorekorderima, senzorima koji detektiraju kretanje ili prekoračenje razine elektromagnetskog zračenja u prostoru gdje se nalaze tehnička sredstva za prikupljanje informacija i ugrađeni uređaji.

Hardverska zaštita. To su električni, elektronički, optički, laserski i drugi uređaji koji se ugrađuju u informacijsko-telekomunikacijske sustave. Prije implementacije hardvera u informacijske sustave potrebno je osigurati kompatibilnost.

Softver- to su jednostavni i sustavni, sveobuhvatni programi namijenjeni rješavanju specifičnih i složenih problema vezanih uz osiguranje informacijske sigurnosti. Primjeri složenih rješenja uključuju: prva služe za sprječavanje curenja, preformatiranje informacija i preusmjeravanje protoka informacija, potonja pružaju zaštitu od incidenata u području informacijske sigurnosti. Programski alati zahtjevni su za snagu hardverskih uređaja, a tijekom instalacije potrebno je osigurati dodatne rezerve.

Možete ga isprobati besplatno 30 dana. Prije instaliranja sustava, SearchInform inženjeri će provesti tehnički pregled u tvrtki kupca.

DO specifična sredstva Informacijska sigurnost uključuje različite kriptografske algoritme koji omogućuju šifriranje informacija na disku i preusmjeravanje putem vanjskih komunikacijskih kanala. Pretvorba informacija može se dogoditi pomoću softverskih i hardverskih metoda koje rade u korporativnim informacijskim sustavima.

Sva sredstva koja jamče sigurnost informacija moraju se koristiti zajedno, nakon preliminarna procjena vrijednost informacije i njezina usporedba s cijenom resursa utrošenih na zaštitu. Stoga prijedlozi korištenja sredstava trebaju biti formulirani već u fazi razvoja sustava, a odobrenje treba dati na razini uprave koja je odgovorna za odobravanje proračuna.

Kako bismo osigurali sigurnost, potrebno je pratiti sva suvremena dostignuća, softversku i hardversku zaštitu, prijetnje te pravovremeno mijenjati vlastite sustave zaštite od neovlaštenog pristupa. Samo adekvatan i brz odgovor na prijetnje pomoći će u postizanju visoke razine povjerljivosti u radu tvrtke.

Prvo izdanje objavljeno je 2018. Ovaj jedinstveni program sastavlja psihološke portrete zaposlenika i raspoređuje ih u rizične skupine. Ovaj pristup informacijskoj sigurnosti omogućuje vam da predvidite moguće incidente i poduzmete mjere unaprijed.

Neformalni pravni lijekovi

Neformalna sredstva zaštite grupiraju se u normativna, upravna i moralno-etička. Na prvoj razini zaštite nalaze se regulatorna sredstva koja reguliraju informacijsku sigurnost kao proces u aktivnostima organizacije.

Regulatorna sredstva

U svjetskoj praksi, pri razvoju regulatornih alata, vode se standardima zaštite informacijske sigurnosti, od kojih je glavni ISO/IEC 27000. Normu su izradile dvije organizacije:

ISO - Međunarodno povjerenstvo za normizaciju, koje razvija i odobrava većinu međunarodno priznatih metoda za certifikaciju kvalitete procesa proizvodnje i upravljanja;
IEC - Međunarodna energetska komisija, koja je u normu unijela svoje razumijevanje sustava informacijske sigurnosti, sredstava i metoda za njezino osiguranje.

Trenutna verzija ISO/IEC 27000-2016 nudi gotove standarde i provjerene tehnike potrebne za implementaciju informacijske sigurnosti. Prema autorima metoda, temelj informacijske sigurnosti leži u sustavnom i dosljednom provođenju svih faza od razvoja do naknadne kontrole.

Za dobivanje certifikata koji potvrđuje usklađenost sa standardima informacijske sigurnosti potrebno je u potpunosti implementirati sve preporučene prakse. Ako nema potrebe za dobivanjem certifikata, moguće je prihvatiti bilo koju od ranijih verzija norme, počevši od ISO/IEC 27000-2002 ili ruskih GOST-ova, koji su savjetodavne prirode, kao osnovu za razvoj vlastite informacijski sigurnosni sustavi.

Na temelju rezultata proučavanja norme izrađuju se dva dokumenta koja se odnose na informacijsku sigurnost. Glavni, ali manje formalan je koncept informacijske sigurnosti poduzeća, koji određuje mjere i metode implementacije sustava informacijske sigurnosti za informacijske sustave organizacije. Drugi dokument kojeg su dužni pridržavati se svi zaposlenici tvrtke je pravilnik o informacijskoj sigurnosti, odobren na razini upravnog odbora ili izvršnog tijela.

Osim propisa na razini poduzeća, potrebno je izraditi popise podataka koji predstavljaju poslovnu tajnu, anekse ugovora o radu kojima se utvrđuje odgovornost za otkrivanje povjerljivih podataka te druge standarde i metodologije. Interne norme i pravila moraju sadržavati mehanizme provedbe i mjere odgovornosti. Najčešće su mjere stegovne prirode, a prekršitelj mora biti spreman na činjenicu da će kršenje režima poslovne tajne biti popraćeno značajnim sankcijama, uključujući i otkaz.

Organizacijske i administrativne mjere

U sklopu upravnih poslova zaštite informacijske sigurnosti zaštitari imaju prostora za kreativnost. To uključuje arhitektonska i planska rješenja koja omogućuju zaštitu soba za sastanke i ureda uprave od prisluškivanja te uspostavljanje različitih razina pristupa informacijama. Važne organizacijske mjere bit će certificiranje djelatnosti tvrtke prema standardima ISO/IEC 27000, certificiranje pojedinačnih hardverskih i softverskih sustava, certificiranje subjekata i objekata za usklađenost s potrebnim sigurnosnim zahtjevima, dobivanje licenci potrebnih za rad sa zaštićenim informacijskim nizovima.

Sa stajališta reguliranja aktivnosti osoblja bit će važno formalizirati sustav zahtjeva za pristup Internetu, vanjski e-pošta, ostali resursi. Zaseban element bit će elektronički prijem digitalni potpis kako bi se poboljšala sigurnost financijskih i drugih informacija koje se šalju vladinim agencijama putem e-pošte.

Moralno-etičke mjere

Moralno-etičke mjere određuju osobni stav osobe prema povjerljivim informacijama ili informacijama ograničenog prometa. Povećanje razine znanja zaposlenika o utjecaju prijetnji na poslovanje poduzeća utječe na stupanj svijesti i odgovornosti zaposlenika. Za borbu protiv kršenja informacija, uključujući, na primjer, prijenos lozinki, nemarno rukovanje medijima i širenje povjerljivih podataka u privatnim razgovorima, potrebno je naglasiti osobnu svijest zaposlenika. Bit će korisno utvrditi pokazatelje uspješnosti osoblja, koji će ovisiti o odnosu prema korporativnom sustavu informacijske sigurnosti.

Sigurnost informacija, kao i zaštita informacija, složena je zadaća usmjerena na osiguranje sigurnosti koja se provodi implementacijom sigurnosnog sustava. Problem informacijske sigurnosti višestruk je i složen te obuhvaća niz važnih zadataka. Problemi informacijske sigurnosti stalno se pogoršavaju prodiranjem tehničkih sredstava za obradu i prijenos podataka, a prije svega računalnih sustava u sve sfere društva.

Do danas su formulirana tri osnovna načela koja bi trebala osigurati informacijska sigurnost:

cjelovitost podataka - zaštita od kvarova koji dovode do gubitka informacija, kao i zaštita od neovlaštenog stvaranja ili uništenja podataka;

povjerljivost podataka;

Prilikom razvoja računalnih sustava, čiji kvar ili greške u radu mogu dovesti do ozbiljnih posljedica, pitanja računalne sigurnosti postaju prioritet. Postoje mnoge mjere usmjerene na osiguranje računalne sigurnosti, a glavne su tehničke, organizacijske i pravne.

Osiguravanje informacijske sigurnosti skup je posao, ne samo zbog troškova nabave ili ugradnje sigurnosnih mjera, već i zbog toga što je teško adekvatno definirati granice razumne sigurnosti i osigurati pravilno održavanje sustava.

Proizvodi za informacijsku sigurnost ne bi se trebali dizajnirati, kupovati ili instalirati dok se ne provede odgovarajuća analiza.

Stranica analizira informacijsku sigurnost i njezino mjesto u sustavu nacionalne sigurnosti, identificirajući vitalne interese u informacijskoj sferi i prijetnje njima. Pitanja informacijskog ratovanja, informacijsko oružje, načela, glavne zadaće i funkcije osiguranja informacijske sigurnosti, funkcije državni sustav osiguranje informacijske sigurnosti, domaći i strani standardi u području informacijske sigurnosti. Značajna pozornost posvećena je i pravnim pitanjima informacijske sigurnosti.

Također u obzir opća pitanja zaštita informacija u sustavima automatizirane obrade podataka (ADS), predmet i objekti zaštite informacija, zadaće zaštite informacija u ADS. Razmatraju se vrste namjernih sigurnosnih prijetnji i načini zaštite podataka u ASOD-u. Metode i sredstva potvrđivanja autentičnosti korisnika i ograničavanje njihovog pristupa računalni resursi, kontrola pristupa opremi, korištenje jednostavnih i dinamički promjenjivih lozinki, metode za modificiranje sklopa jednostavne lozinke, funkcionalne metode.

Osnovni principi izgradnje sustava informacijske sigurnosti.

Prilikom izgradnje sustava informacijske sigurnosti objekta treba se rukovoditi sljedećim načelima:

Kontinuitet procesa unaprjeđenja i razvoja sustava informacijske sigurnosti koji se sastoji od opravdavanja i implementacije najracionalnijih metoda, metoda i načina zaštite informacija, kontinuiranog praćenja, prepoznavanja uskih grla i slabosti te potencijalnih kanala curenja informacija i neovlaštenog pristupa.

Integrirano korištenje cjelokupnog arsenala raspoloživih sredstava zaštite u svim fazama proizvodnje i obrade informacija. Istovremeno, sva sredstva, metode i aktivnosti koje se koriste objedinjuju se u jedinstven, cjelovit mehanizam - sustav informacijske sigurnosti.

Praćenje funkcioniranja, ažuriranje i dopuna mehanizama zaštite ovisno o promjenama mogućih unutarnjih i vanjskih prijetnji.

Pravilna obuka korisnika i njihovo poštivanje svih utvrđenih pravila povjerljivosti. Bez ispunjavanja ovog zahtjeva niti jedan sustav informacijske sigurnosti ne može pružiti potrebnu razinu zaštite.

Najvažniji uvjet za osiguranje sigurnosti je zakonitost, dostatnost, održavanje ravnoteže interesa pojedinca i poduzeća, međusobna odgovornost osoblja i uprave, interakcija s državnim agencijama za provođenje zakona.

10) Faze izgradnje informacijske sigurnosti

Faze izgradnje.

1. Sveobuhvatna analiza informacijskog sustava

poduzeća na različitim razinama. Analiza rizika.

2. Razvoj organizacijskih, administrativnih i

regulatorni dokumenti.

3. Osposobljavanje, usavršavanje i

prekvalifikacija specijalista.

4. Godišnja ponovna procjena stanja informacija

sigurnost poduzeća

11) Vatrozid

Vatrozidi i antivirusni paketi.

Vatrozid (ponekad se naziva i vatrozid) čini vaše računalo sigurnijim. Ograničava informacije koje u vaše računalo dolaze s drugih računala, omogućujući vam bolju kontrolu podataka na vašem računalu i pružajući vašem računalu liniju obrane od ljudi ili programa (uključujući viruse i crve) koji se neovlašteno pokušavaju povezati s vašim računalom . Vatrozid možete zamisliti kao graničnu postaju koja provjerava informacije (često zvane promet) koje dolaze s interneta ili lokalna mreža. Tijekom ovog skeniranja, vatrozid odbija ili dopušta informacijama da uđu u računalo na temelju postavki koje postavite.

Od čega štiti vatrozid?

Vatrozid MOŽE:

1. Blokirajte računalnim virusima i crvima pristup vašem računalu.

2. Tražite od korisnika da odabere blokiranje ili dopuštanje određenih zahtjeva za povezivanje.

3. Voditi evidenciju (sigurnosni dnevnik) – na zahtjev korisnika – evidentiranje dopuštenih i blokiranih pokušaja povezivanja s računalom.

Od čega vatrozid ne štiti?

On ne može:

1. Otkrijte ili neutralizirajte računalne viruse i crve ako su već ušli u računalo.

3. Blokirajte neželjenu poštu ili neovlaštenu poštu kako vam ne bi stigla u pristiglu poštu.

HARDVERSKI I SOFTVERSKI VATROZIDOVI

Hardverski vatrozidi- pojedinačni uređaji koji su vrlo brzi, pouzdani, ali vrlo skupi, pa se najčešće koriste samo za zaštitu velikih računalnih mreža. Za kućne korisnike optimalni su vatrozidi ugrađeni u routere, switcheve, bežične pristupne točke itd. Kombinirani routeri-vatrozidi pružaju dvostruku zaštitu od napada.

Softverski vatrozid je sigurnosni program. Djeluje na sličan način kao hardverski vatrozid, ali je lakši za korištenje: ima više gotovih postavki i često ima programe čarobnjake koji pomažu u konfiguraciji. Uz njegovu pomoć možete dopustiti ili zabraniti drugim programima pristup Internetu.

Antivirusni program (antivirus)- svaki program za otkrivanje računalnih virusa, kao i neželjenih (smatraju se malicioznim) programa općenito i vraćanje datoteka zaraženih (modificiranih) takvim programima, kao i za prevenciju - sprječavanje infekcije (modifikacije) datoteka ili operativnog sustava zlonamjernim kodom .

12) Klasifikacija računalnih sustava

Ovisno o teritorijalnom položaju pretplatničkih sustava

Računalne mreže mogu se podijeliti u tri glavne klase:

globalne mreže (WAN - Wide Area Network);

regionalne mreže (MAN - Metropolitan Area Network);

Lokalne mreže (LAN - Local Area Network).

Osnovne LAN topologije

LAN topologija je geometrijski dijagram veza mrežnih čvorova.

Topologije računalnih mreža mogu biti vrlo različite, ali

Za lokalne mreže tipične su samo tri:

Prsten,

U obliku zvijezde.

Bilo koja računalna mreža može se smatrati skupom

Čvor- bilo koji uređaj izravno povezan s

prijenosni medij mreže.

Topologija prstena osigurava povezivanje mrežnih čvorova u zatvorenoj krivulji – kabel prijenosnog medija. Izlaz jednog mrežnog čvora povezan je s ulazom drugog. Informacije se prenose duž prstena od čvora do čvora. Svaki posredni čvor između odašiljača i primatelja prenosi poslanu poruku. Prijemni čvor prepoznaje i prima samo poruke upućene njemu.

Topologija prstena idealna je za mreže koje zauzimaju relativno mali prostor. Ne postoji središnji čvor, što povećava pouzdanost mreže. Prijenos informacija omogućuje korištenje bilo koje vrste kabela kao prijenosnog medija.

Dosljedna disciplina u servisiranju čvorova takve mreže smanjuje njenu izvedbu, a kvar jednog od čvorova narušava cjelovitost prstena i zahtijeva poduzimanje posebnih mjera za očuvanje putanje prijenosa informacija.

Topologija sabirnice- jedan od najjednostavnijih. Povezan je s korištenjem koaksijalnog kabela kao prijenosnog medija. Podaci iz odašiljačkog mrežnog čvora distribuiraju se duž sabirnice u oba smjera. Srednji čvorovi ne emitiraju dolazne poruke. Informacije stižu do svih čvorova, ali samo onaj kojem su upućene prima poruku. Disciplina servisa je paralelna.

Ovo osigurava visoke performanse LAN s topologijom sabirnice. Mrežu je lako proširiti i konfigurirati te prilagoditi različitim sustavima.Mreža sabirničke topologije otporna je na moguće kvarove pojedinih čvorova.

Mreže s topologijom sabirnice danas su najčešće. Treba napomenuti da su kratki i ne dopuštaju korištenje različitih vrsta kabela unutar iste mreže.

Topologija zvijezde temelji se na konceptu središnjeg čvora na koji su povezani periferni čvorovi. Svaki periferni čvor ima svoju zasebnu komunikacijsku liniju sa središnjim čvorom. Sve informacije prenose se kroz središnji čvor, koji prenosi, prebacuje i usmjerava tokove informacija u mreži.

Zvjezdasta topologija uvelike pojednostavljuje međusobnu interakciju LAN čvorova i omogućuje korištenje jednostavnijih mrežni adapteri. U isto vrijeme, izvedba LAN-a s topologijom zvijezda u potpunosti ovisi o središnjem čvoru.

U stvarnim računalnim mrežama mogu se koristiti razvijenije topologije koje u nekim slučajevima predstavljaju kombinaciju razmatranih.

Odabir određene topologije određen je opsegom LAN-a, geografskim položajem njegovih čvorova i veličinom mreže kao cjeline.

Internet– svjetska informacijska računalna mreža, koja je skup više regionalnih računalnih mreža i računala koja međusobno razmjenjuju informacije putem javnih telekomunikacijskih kanala (namjenskih telefonskih analognih i digitalnih linija, optičkih komunikacijskih kanala i radijskih kanala, uključujući satelitske komunikacijske linije).

Davatelj- pružatelj mrežnih usluga - osoba ili organizacija koja pruža usluge povezivanja na računalne mreže.

Domaćin (od engleskog domaćina - "domaćin koji prima goste")- bilo koji uređaj koji pruža usluge u formatu "klijent-poslužitelj" u poslužiteljskom načinu rada preko bilo kojeg sučelja i jedinstveno je definiran na tim sučeljima. U specifičnijem slučaju, host se može shvatiti kao bilo koje računalo, poslužitelj spojen na lokalnu ili globalnu mrežu.

Mrežni protokol- skup pravila i radnji (slijed radnji) koji omogućuje povezivanje i razmjenu podataka između dva ili više uređaja spojenih na mrežu.

IP adresa (IP adresa, skraćenica za Internet Protocol Address)- jedinstvena mrežna adresa čvora u računalnoj mreži izgrađenoj korištenjem IP protokola. Internet zahtijeva globalno jedinstvene adrese; u slučaju rada na lokalnoj mreži potrebna je jedinstvenost adrese unutar mreže. U verziji IPv4 protokola, IP adresa je duga 4 bajta.

Naziv domene - simbolično ime koje pomaže pronaći adrese internetskih poslužitelja.

13) Zadaci peer-to-peer mreže

Pošaljite svoj dobar rad u bazu znanja jednostavno je. Koristite obrazac u nastavku

Studenti, diplomanti, mladi znanstvenici koji koriste bazu znanja u svom studiju i radu bit će vam vrlo zahvalni.

Objavljeno na http://www.allbest.ru/

Uvod

1. Klasifikacija informacija
2. Informacijska sigurnost

2.1 Informacijske prijetnje
2.2 Prijetnje povjerljivim informacijama.
2.3 Područja zaštite informacija
2.4 Sustav informacijske sigurnosti

Zaključak
Popis korištenih izvora
Uvod
Svaki informacijski resurs, bilo da se radi o računalu korisnika, serveru organizacije ili mrežnoj opremi, mora biti zaštićen od svih vrsta prijetnji. Datotečni sustavi, mreža itd. moraju biti zaštićeni. U ovom članku nećemo razmatrati metode za provedbu zaštite zbog njihove velike raznolikosti.
Međutim, treba shvatiti da je nemoguće pružiti 100% zaštitu. Istodobno, morate zapamtiti: što je viša razina sigurnosti, to je skuplji sustav, to korisniku postaje neugodnije koristiti, što u skladu s tim dovodi do pogoršanja zaštite od ljudskog faktora. Primjera radi, prisjetimo se da prekompliciranje lozinke dovodi do toga da ju je korisnik prisiljen zapisati na komad papira koji lijepi na monitor, tipkovnicu itd.
Postoji širok raspon softvera namijenjenog rješavanju problema informacijske sigurnosti. Ovaj antivirusni programi, vatrozidi, ugrađeni alati operativnog sustava i još mnogo toga. Ipak, vrijedi zapamtiti da je najranjivija karika u obrani uvijek osoba! Uostalom, izvedba bilo kojeg softvera ovisi o kvaliteti njegovog pisanja i pismenosti administratora koji konfigurira ovaj ili onaj sigurnosni alat.
S tim u vezi, mnoge organizacije stvaraju službe za zaštitu informacija (odjele) ili postavljaju odgovarajuće zadatke svojim IT odjelima. Istodobno, morate razumjeti da IT uslugu ne možete opteretiti funkcijama koje su joj neuobičajene. O tome je već više puta rečeno i napisano. Dakle, pretpostavimo da je vaša organizacija stvorila odjel za informacijsku sigurnost. Što učiniti sljedeće? Gdje početi?
Morate početi s obukom zaposlenika! I u budućnosti učinite ovaj proces redovitim. Osposobljavanje osoblja o osnovama informacijske sigurnosti trebala bi biti stalna zadaća odjela informacijske sigurnosti. I to treba učiniti najmanje dva puta godišnje.
1. Klasifikacija informacija
Povijesno gledano, čim se postavi pitanje klasifikacije informacija (prvenstveno se to odnosi na informacije koje pripadaju državi), one se odmah počinju klasificirati prema stupnju tajnosti (povjerljivosti). Ako se sjete zahtjeva za osiguranje dostupnosti, cjelovitosti, uočljivosti, onda u prolazu, redom Opći zahtjevi sustavima za obradu informacija.
Ako se takvo stajalište još nekako može opravdati potrebom osiguranja državnih tajni, onda njegovo prebacivanje u drugo predmetno područje izgleda jednostavno smiješno. Na primjer, prema zahtjevima ukrajinskog zakonodavstva, vlasnik informacija sam određuje razinu njihove povjerljivosti (ako te informacije ne pripadaju državi).
U mnogim je područjima udio povjerljivih informacija relativno mali. Za otvorene informacije, čija je šteta od otkrivanja mala, najvažnija svojstva mogu biti svojstva kao što su dostupnost, cjelovitost ili zaštita od neovlaštenog kopiranja. Uzmimo web stranicu internetske publikacije kao primjer. Po mom mišljenju, na prvom će mjestu biti dostupnost i cjelovitost informacija, a ne njihova povjerljivost. Ocjenjivati i klasificirati podatke samo s pozicije i tajnosti je u najmanju ruku neproduktivno.
A to se jedino može objasniti skučenošću tradicionalnog pristupa zaštiti informacija, nedostatkom iskustva u osiguranju dostupnosti, cjelovitosti i preglednosti informacija koje nisu tajne (povjerljive).
Shema za klasifikaciju informacija po važnosti
INFORMACIJA

A. Od posebne važnosti (OV)

B. Strogo tajno (SS)

C. tajna (c)

D. za službenu upotrebu

F. I otvoreni znak (O)

Sa sigurnosne točke gledišta, "Informacija" ima niz značajnih svojstava:

1. Povjerljivost je svojstvo informacije čiju vrijednost utvrđuje vlasnik informacije, odražavajući ograničenje pristupa istoj, u skladu s postojećim zakonodavstvom.

2. Dostupnost – svojstvo informacije koje određuje stupanj mogućnosti dobivanja informacije.

3. Pouzdanost je svojstvo informacije koje određuje stupanj povjerenja u nju.

4. Cjelovitost je svojstvo informacije koje određuje strukturnu prikladnost informacije za uporabu.

Kategorije povjerljivosti zaštićenih podataka

· potpuno povjerljive - informacije koje su priznate kao povjerljive u skladu sa zahtjevima zakona ili informacije čija je distribucija ograničena odlukom uprave zbog činjenice da bi njihovo otkrivanje moglo dovesti do teških financijskih i gospodarskih posljedica za organizaciju, uključujući stečaj;

· povjerljivo - ova kategorija uključuje informacije koje nisu klasificirane kao "potpuno povjerljive", ograničenja na širenje kojih su uvedena odlukom uprave u skladu s pravima koja su mu kao vlasniku informacija dodijeljena važećim zakonodavstvom zbog činjenica da njegovo otkrivanje može dovesti do značajne štete i gubitka konkurentnosti organizacije (prouzrokujući značajnu štetu interesima njezinih klijenata, partnera ili zaposlenika);

· otvoreno - ova kategorija uključuje informacije koje ne moraju biti povjerljive.

Kategorije integriteta zaštićenih podataka

· visoka - informacije čija bi neovlaštena izmjena ili krivotvorenje mogla dovesti do značajne štete za organizaciju;

· nisko - ova kategorija uključuje informacije čija bi neovlaštena izmjena mogla dovesti do manje štete za organizaciju, njezine klijente, partnere ili zaposlenike;

· bez zahtjeva - ova kategorija uključuje informacije za koje ne postoje zahtjevi za osiguranjem cjelovitosti i autentičnosti.

2. Informacijska sigurnost

Dok je informacijska sigurnost stanje sigurnosti informacijskog okruženja, informacijska zaštita je aktivnost sprječavanja curenja zaštićene informacije, neovlaštenih i nenamjernih utjecaja na zaštićenu informaciju, odnosno proces kojim se to stanje postiže.

Informacijska sigurnost organizacije je stanje sigurnosti informacijskog okruženja organizacije, koje osigurava njegovo formiranje, korištenje i razvoj.

U suvremenom društvu informacijska sfera ima dvije komponente: informacijsko-tehničku (svijet tehnologije koju je čovjek umjetno stvorio itd.) i informacijsko-psihološku (prirodni svijet žive prirode, uključujući i samog čovjeka). Sukladno tome, u općem slučaju, informacijsku sigurnost društva (države) možemo prikazati s dvije komponente: informacijsko-tehnička sigurnost i informacijsko-psihološka (psihofizička) sigurnost.

Sigurnost informacija (podataka) je stanje sigurnosti informacija (podataka) u kojem je osigurana njihova (njihova) povjerljivost, dostupnost i cjelovitost.

Informacijska sigurnost -- zaštita povjerljivosti, cjelovitosti i dostupnosti informacija.

Informacijska sigurnost - svi aspekti koji se odnose na definiranje, postizanje i održavanje povjerljivosti, cjelovitosti, dostupnosti, neporecivosti, odgovornosti, autentičnosti i pouzdanosti informacija ili sredstava za njihovu obradu.

2.1 Informacijske prijetnje

Pod prijetnjama informacijama podrazumijevamo moguće ili stvarno moguće radnje u odnosu na informacijsku sferu, koje dovode do neovlaštenih promjena svojstava informacija (povjerljivost, dostupnost, pouzdanost, cjelovitost).

Na temelju njihove konačne manifestacije mogu se identificirati sljedeće prijetnje informacijama:

1. Uvod.

2. Izmjena.

3. Uništavanje.

4. Blokiranje.

Specifične implementacije informacijskih prijetnji nazivaju se scenariji informacijskih prijetnji.

Upoznavanje s povjerljivim podacima može se odvijati na različite načine i metode, ali je bitno da se sami podaci ne mijenjaju.

Povreda povjerljivosti ili tajnosti informacija povezana je s upoznavanjem s njima od strane onih kojima nije bila namijenjena. Koji je podatak povjerljiv ili tajan odlučuje vlasnik ili posjednik tog podatka. Oni također određuju krug ljudi koji imaju pristup tome. Povreda tajnosti podataka može se dogoditi upoznavanjem s istima od strane osoba koje na to nemaju pravo i neovlaštenom izmjenom stupnja tajnosti (značaja).

Promjena informacija usmjerena je na promjenu takvih svojstava kao što su povjerljivost, pouzdanost, cjelovitost, što podrazumijeva promjenu sastava i sadržaja informacija. Promjena informacija ne podrazumijeva njihovo potpuno uništenje.

Uništavanje informacija usmjereno je, u pravilu, na cjelovitost informacije i dovodi do njezina potpunog uništenja. Povreda integriteta informacija uključuje gubitak informacija. Ako se informacija izgubi, izgubljena je zauvijek i ne može se vratiti ni na koji način. Do gubitka može doći zbog uništenja ili uništenja medija za pohranu ili njegovog gubitka, zbog brisanja informacija na mediju s višestrukim zapisima, zbog nestanka struje u uređajima s nestabilnom memorijom. Kada je informacija uništena, također je narušeno svojstvo dostupnosti informacije.

Blokiranje informacije dovodi do gubitka pristupa istoj, tj. na nedostupnost informacija. Dostupnost informacija leži u činjenici da ih subjekt koji ih ima pravo koristiti mora moći pravodobno primiti u obliku koji mu odgovara. Ako izgubite pristup informacijama, oni i dalje postoje, ali ih ne možete koristiti. Oni. subjekt se s njim ne može upoznati, kopirati, prenijeti na drugi subjekt ili ga predstaviti u obliku pogodnom za korištenje. Gubitak pristupa može biti posljedica nepostojanja ili neispravnosti neke opreme automatiziranih sustava (AS), odsutnosti bilo kojeg stručnjaka ili njegove nedovoljne kvalifikacije, nepostojanja ili neoperativnosti nekog softvera, upotrebe resursa AS-a za obradu stranih informacija, kvar AS potpornih sustava itd. Budući da se podaci ne gube, pristup im se može dobiti nakon otklanjanja razloga gubitka pristupa.

Navedene prijetnje informacijama mogu se manifestirati u obliku kompleksa sekvencijalnih i paralelnih implementacija. Provedba prijetnji informacijama povezanih s kršenjem svojstava informacija dovodi do kršenja režima kontrole i na kraju do moralnih i (ili) materijalnih gubitaka.

Gore navedene informacijske prijetnje mogu se klasificirati u sljedeća područja:

po objektima:

· Osoblje,

· materijalna i financijska sredstva,

· informacije;

po šteti:

· Ultimativno,

· Značajno,

· Beznačajno;

zbog izgleda

· Prirodno,

· Namjeran;

u odnosu na objekt:

· Interno,

· Vanjski;

po prirodi djelovanja:

· Aktivno,

· Pasivno.

Izvori informacijskih prijetnji mogu biti unutarnji i vanjski. Najčešće se takva podjela događa na teritorijalnoj osnovi i na temelju pripadnosti objektu zaštite informacija.

Izvori informacijskih prijetnji

Omjer vanjskih i unutarnjih prijetnji na prosječnoj razini može se okarakterizirati na sljedeći način:

· 82% prijetnji počinili su zaposlenici tvrtke ili uz njihovo izravno ili neizravno sudjelovanje;

· 17% prijetnji dolazi izvana – vanjske prijetnje;

· 1% prijetnji počinili su nasumični pojedinci.

Informacijske prijetnje su vektorske prirode, tj. uvijek slijede određene ciljeve i usmjereni su na određene objekte.

Izvori povjerljivih podataka su ljudi, dokumenti, publikacije, tehnički mediji, tehnička sredstva za podršku proizvodnje i rada, proizvodi i proizvodni otpad.

Najvažniji objekti osiguranja informacijske sigurnosti u sferi provedbe zakona i pravosuđa uključuju:

· informacijski resursi saveznih izvršnih tijela koja provode funkcije provedbe zakona, pravosudnih tijela, njihovih informacijskih i računalnih centara, istraživačkih institucija i obrazovnih ustanova, koji sadrže posebne informacije i operativne podatke službene prirode;

· informacijsko-računski centri, njihova informacijska, tehnička, programska i regulatorna podrška;

· informacijska infrastruktura (informacijske računalne mreže, kontrolne točke, čvorovi i komunikacijske linije).

2.2 Prijetnje povjerljivim informacijama.

Za informacijsko komunikacijske sustave postoji jedan opći položaj, vrlo važno za razumijevanje informacijske sigurnosti općenito. Informacije su uvijek adresirane i uvijek imaju vlasnika. Štoviše, ciljanje nije proizvoljno, već ga određuje vlasnik informacija. Ako je to pravo istaknuto u poruci (označena je klasifikacija), tada podaci postaju povjerljivi. Nakon što je primio te podatke, korisnik njima ne može samovoljno raspolagati, oni mu ne pripadaju (osim ako nije došlo do prijenosa vlasništva).

Prava vlasništva određena su zakonodavstvom koje je na snazi u zemlji. Ovisno o vrsti imovine, povjerljive informacije mogu se klasificirati kao državne, komercijalne ili osobne. Ova korelacija je napravljena podređeno, sa silaznom hijerarhijom.

Popis podataka koji čine državnu tajnu utvrđuje država koju zastupaju njezine institucije i ustanove. Ovi podaci su obvezna tajna za pojedinačne, niže rangirane pravne i fizičke osobe u zemlji.

Popis podataka koji definiraju poslovnu tajnu formira trgovačko poduzeće. Također osigurava njihovu sigurnost i zaštitu.

Osobne tajne određuje pojedinac. Naravno, njegova je briga sigurnost i zaštita tih podataka, iako pravna zaštita iza države.

Protuzakonito stjecanje povjerljivih informacija moguće je zbog njihovog otkrivanja od strane izvora informacija, zbog curenja informacija tehničkim sredstvima te zbog neovlaštenog pristupa zaštićenim informacijama.

Radnje koje dovode do nezakonitog stjecanja povjerljivih podataka:

· Otkrivanje,

· Curenje,

· Neovlašten pristup.

1. Otkrivanje je namjerno ili nepažljivo postupanje s povjerljivim podatkom koje je dovelo do upoznavanja s njim osoba koje ih nisu smjele znati.

Otkrivanje se izražava u komunikaciji, prijenosu, davanju, prosljeđivanju, objavljivanju, gubitku i drugim oblicima razmjene i postupanja s povjerljivim podacima. Objava se provodi formalnim i neformalnim kanalima širenja informacija.

Formalna komunikacija uključuje poslovne sastanke, konferencije, pregovore i slične oblike komunikacije: razmjena službenih poslovnih i znanstvenih dokumenata putem prijenosa službenih informacija (pošta, telefon, telegraf i dr.).

Neformalne komunikacije uključuju osobnu komunikaciju, izložbe, seminare, konferencije i druge javne događaje, kao i medije (tisak, novine, intervjue, radio, televiziju itd.).

U pravilu, razlog za otkrivanje povjerljivih podataka je taj što zaposlenici ne poznaju dovoljno pravila zaštite tajni i ne razumiju (ili pogrešno razumiju) potrebu da ih se pažljivo pridržavaju. Ovdje je važno napomenuti da je subjekt u ovom procesu izvor (vlasnik) zaštićene tajne.

Vrijedno je napomenuti informativne značajke ove akcije. Informacije su značajne, smislene, uređene, obrazložene, opsežne i često se isporučuju u stvarnom vremenu. Često postoji prilika za dijalog. Informacije su usmjerene na određeno tematsko područje i dokumentirane su. Za dobivanje informacija od interesa za napadača, potonji troši gotovo minimalan napor i koristi jednostavna, legalna tehnička sredstva.

2. Curenje je nekontrolirano odavanje povjerljivih podataka izvan organizacije ili kruga osoba kojima je ono povjereno tehničkim kanalima curenja informacija.

Informacije cure raznim tehničkim kanalima. Poznato je da se informacije općenito prenose ili prenose ili energijom ili materijom. To je ili akustika (zvuk), ili elektromagnetsko zračenje, ili list papira itd.

Uzimajući ovo u obzir, može se tvrditi da su po fizikalnoj prirodi mogući sljedeći načini prijenosa informacija: svjetlosne zrake, zvučni valovi, elektromagnetski valovi, materijali i tvari.

Sukladno tome kanale curenja informacija dijelimo na vizualno-optičke, akustičke, elektromagnetske i materijalne. Pod kanalom curenja informacija obično se podrazumijeva fizički put od izvora povjerljivih informacija do napadača, preko kojeg potonji može dobiti pristup zaštićenim informacijama.

Za formiranje kanala curenja informacija potrebni su određeni prostorni, energetski i vremenski uvjeti, kao i prisutnost odgovarajuće opreme za primanje, obradu i snimanje informacija na strani napadača.

3. Neovlašteni pristup je protupravno namjerno stjecanje povjerljivih podataka od strane osobe koja nema pravo pristupa zaštićenoj tajni.

Za provedbu ovih radnji napadač mora prodrijeti u štićeni objekt koristeći različita tehnička sredstva. S razvojem računalne tehnologije postao je dostupan daljinski neovlašteni pristup zaštićenim informacijama ili drugim riječima hakiranje računala.

Uzimajući u obzir navedeno, ostaje razmotriti pitanje koji uvjeti pridonose protupravnom stjecanju povjerljivih podataka:

b Razotkrivanje (pretjerana pričljivost zaposlenika) - 32%;

ʹ Neovlašteni pristup kroz podmićivanje i poticanje na suradnju od strane konkurenata i kriminalnih skupina - 24%;

b Nedostatak odgovarajuće kontrole i strogih uvjeta za osiguranje informacijske sigurnosti u tvrtki - 14%;

b Tradicionalna razmjena proizvodnih iskustava - 12%;

b Nekontrolirano korištenje informacijskih sustava - 10%;

ʹ Preduvjeti za nastanak sukoba među zaposlenicima - 8%.

2.3 Područja zaštite informacija

Literatura nudi sljedeću klasifikaciju alata za informacijsku sigurnost.

· Sredstva zaštite od neovlaštenog pristupa (NSD):

· Obvezna kontrola pristupa;

· Selektivna kontrola pristupa;

· Kontrola pristupa temeljena na ulogama;

· Zapisivanje (također nazvano revizija).

· Sustavi za analizu i modeliranje tokova informacija (CASE sustavi).

· Sustavi nadzora mreže:

· Sustavi za otkrivanje i sprječavanje upada (IDS/IPS).

· Analizatori protokola.

· Antivirusni proizvodi.

· Vatrozidi.

· Kriptografska sredstva:

· Šifriranje;

· Digitalni potpis.

· Sigurnosni sustavi.

· Sustavi neprekidni izvor napajanja:

· Neprekidni izvori napajanja;

· Učitaj sigurnosnu kopiju;

· Generatori napona.

· Sustavi provjere autentičnosti:

· Lozinka;

· Certifikat;

· Biometrija.

· Sredstva za sprječavanje provala i krađe opreme.

· Oprema za kontrolu pristupa prostorijama.

· Alati za analizu sigurnosnih sustava:

· Softverski proizvod za praćenje.

Uzimajući u obzir dosadašnju praksu osiguranja informacijske sigurnosti, razlikuju se sljedeća područja zaštite informacija:

1. Pravna zaštita su posebni zakoni, drugi propisi, pravila, postupci i mjere kojima se osigurava zaštita informacija na pravnoj osnovi;

2. Organizacijska zaštita je uređenje djelatnosti i odnosa izvođača na pravnoj osnovi koja isključuje ili znatno otežava protupravno stjecanje povjerljivih podataka i pojavu unutarnjih i vanjskih prijetnji.

3. Inženjersko-tehnička zaštita je skup posebnih tijela, tehničkih sredstava i mjera za njihovu uporabu u interesu zaštite povjerljivih podataka.

Za provedbu zaštite informacija stvara se sigurnosni sustav.

Pod sustavom sigurnosti podrazumijevamo organizacijski skup posebnih tijela, službi, sredstava, metoda i mjera kojima se osigurava zaštita vitalnih interesa pojedinaca, poduzeća i države od unutarnjih i vanjskih prijetnji.

U sklopu sigurnosnog sustava nalazi se i sustav zaštite informacija.

Organizacijska i inženjerska podrška informacijskoj sigurnosti.

Organizacijska zaštita je reguliranje proizvodnih aktivnosti i odnosa između izvođača na pravnoj osnovi koja isključuje ili značajno otežava protupravno stjecanje povjerljivih informacija i pojavu unutarnjih i vanjskih prijetnji.

Organizacijska zaštita osigurava:

· organizacija sigurnosti, režim, rad s osobljem, s dokumentima;

· korištenje tehničkih sigurnosnih sredstava i informacijsko-analitičkih aktivnosti za prepoznavanje unutarnjih i vanjskih sigurnosnih prijetnji.

Organizacijske mjere igraju značajnu ulogu u stvaranju pouzdanog mehanizma zaštite informacija, budući da je mogućnost neovlaštenog korištenja povjerljivih informacija u velikoj mjeri određena ne tehničkim aspektima, već zlonamjernim radnjama, nemarom, nemarom i nemarom korisnika ili zaštitarskog osoblja. Utjecaj ovih aspekata je gotovo nemoguće izbjeći tehničkim sredstvima. Za to je potreban skup organizacijskih, pravnih i organizacijsko-tehničkih mjera kojima bi se otklonila (ili barem minimizirala) mogućnost opasnosti od povjerljivih podataka.

Organizacijske mjere su mjere restriktivne prirode, a svode se uglavnom na reguliranje pristupa i uporabe tehničkih sredstava obrade informacija. Obično ih provodi sama organizacija korištenjem jednostavnih organizacijskih mjera.

Glavne organizacijske aktivnosti uključuju:

· organizacija režima i sigurnosti. Njihov cilj je isključiti mogućnost tajnog ulaska na teritorij i prostorije neovlaštenih osoba; osiguravanje pogodnosti kontrole prolaza i kretanja zaposlenika i posjetitelja;

· stvaranje odvojenih proizvodnih zona na temelju vrste povjerljivog rada s neovisnim sustavima pristupa;

· kontrolu i poštivanje privremenog režima rada i boravka na području osoblja poduzeća;

· organiziranje i održavanje pouzdane kontrole pristupa i kontrole zaposlenika i posjetitelja i sl.;

· organiziranje rada sa zaposlenicima, što uključuje odabir i postavljanje osoblja, uključujući upoznavanje sa zaposlenicima, njihovo proučavanje, obuku u pravilima rada s povjerljivim informacijama, upoznavanje sa kaznama za kršenje pravila informacijske sigurnosti i dr.;

· organiziranje rada s dokumentima i dokumentiranim informacijama, uključujući organiziranje izrade i korištenja dokumenata i medija povjerljivih podataka, njihovo evidentiranje, izvršenje, vraćanje, pohranjivanje i uništavanje;

· organiziranje korištenja tehničkih sredstava za prikupljanje, obradu, prikupljanje i pohranjivanje povjerljivih podataka;

· organiziranje rada na analizi unutarnjih i vanjskih prijetnji povjerljivim informacijama i izradi mjera za osiguranje njihove zaštite;

· organiziranje poslova za provođenje sustavnog praćenja rada osoblja s povjerljivim podacima, postupak evidentiranja, pohranjivanja i uništavanja dokumenata i tehničkih medija.

U svakom konkretnom slučaju, organizacijske mjere imaju specifičan oblik i sadržaj za određenu organizaciju, usmjerene na osiguranje sigurnosti informacija u određenim uvjetima.

· određivanje granica zaštićenog pojasa (teritorija);

· identifikaciju tehničkih sredstava koja se koriste za obradu povjerljivih podataka unutar kontroliranog područja;

· definicija "opasnog", s gledišta mogućnosti stvaranja kanala curenja informacija, tehničkih sredstava i značajki dizajna zgrada i građevina;

· utvrđivanje mogućih načina da napadači prodru u izvore povjerljivih informacija;

· provođenje mjera otkrivanja, prepoznavanja i praćenja zaštite podataka svim raspoloživim sredstvima.

Organizacijske mjere izražavaju se u određenim mjerama ograničenja. Takve restriktivne mjere možemo razlikovati kao teritorijalne, prostorne i vremenske.

Teritorijalna ograničenja svode se na vješto lociranje izvora na zemlji ili u zgradama i prostorijama, isključujući prisluškivanje razgovora ili presretanje signala radioelektroničkih sredstava.

Prostorna ograničenja izražavaju se u izboru smjerova zračenja određenih signala prema najmanje moguće njihovo presretanje od strane napadača.

Vremenska ograničenja očituju se u smanjenju vremena rada tehničkih sredstava na najmanju moguću mjeru, korištenjem skrivenih komunikacijskih metoda, enkripcije i drugih sigurnosnih mjera.

Jedna od najvažnijih zadaća organizacijske djelatnosti je utvrđivanje stanja tehničke sigurnosti objekta, njegovih prostorija, priprema i provođenje organizacijskih mjera koje isključuju mogućnost protupravnog stjecanja povjerljivih informacija, zabranu njihovog otkrivanja, curenja i neovlaštenog pristupa zaštićene tajne.

Posebno područje organizacijskih mjera je organizacija zaštite osobnih računala, informacijskih sustava i mreža.

Inženjersko-tehnička zaštita je skup posebnih tijela, tehničkih sredstava i mjera za njihovu uporabu u interesu zaštite povjerljivih podataka.

Sredstva inženjersko-tehničke zaštite prema funkcionalnoj namjeni razvrstavaju se u sljedeće skupine:

b fizička sredstva, uključujući raznim sredstvima i strukture koje sprječavaju fizički prodor (ili pristup) napadača štićenim objektima i materijalnim nositeljima povjerljivih informacija te štite osoblje, materijalna dobra, financije i informacije od nezakonitih utjecaja;

b hardver. Instrumenti, uređaji, uređaji i druga tehnička rješenja koja se koriste u interesu informacijske sigurnosti;

b softverski alati koji pokrivaju posebne programe, programski sustavi i sustavi informacijske sigurnosti u informacijskim sustavima za različite namjene i načine obrade (prikupljanje, akumulacija, pohrana, obrada i prijenos) podataka;

b kriptografski alati, posebna matematička i algoritamska sredstva za zaštitu informacija koje se prenose komunikacijskim sustavima i mrežama, pohranjuju se i obrađuju na računalu korištenjem različitih metoda šifriranja.

Očito je ova podjela alata za informacijsku sigurnost prilično proizvoljna, jer u praksi oni vrlo često međusobno djeluju i implementiraju se u kompleksu u obliku softverskih i hardverskih modula uz široku upotrebu algoritama za zatvaranje informacija.

Fizička sredstva su različiti uređaji, uređaji, strukture, uređaji i proizvodi koji su dizajnirani za stvaranje prepreka na putu napadača.

Fizička sredstva su mehanička, elektromehanička, elektronička, elektrooptička, radijska i druga sredstva za zabranu neovlaštenog pristupa (ulaska, izlaska), unošenja (iznošenja) sredstava i materijala i drugih mogućih oblika kaznenih djela.

Ovi se alati koriste za rješavanje sljedećih problema:

Sigurnost teritorija poduzeća i nadzor nad njim;

Sigurnost zgrada, unutarnjih prostora i nadzor nad njima;

Zaštita opreme, proizvoda, financija i informacija;

Omogućiti kontrolirani pristup zgradama i prostorijama.

Sva fizička sredstva zaštite objekata mogu se podijeliti u tri kategorije: sredstva upozorenja, sredstva detekcije i sustavi za otklanjanje prijetnji. Sigurnosni alarmi i CCTV, na primjer, alati su za otkrivanje prijetnji. Ograde oko objekata su sredstvo sprječavanja neovlaštenog ulaska na teritorij, a ojačana vrata, zidovi, stropovi, rešetke na prozorima i druge mjere služe kao zaštita od proboja i drugih kriminalnih radnji (prisluškivanje, granatiranje, bacanje granata i eksploziva i dr.) . Oprema za gašenje požara odnosi se na sustave za uklanjanje prijetnji.

Općenito, prema svojoj fizičkoj prirodi i funkcionalnoj namjeni, svi proizvodi u ovoj kategoriji mogu se podijeliti u sljedeće skupine:

Sigurnosni i protupožarni sustavi;

Sigurnosna televizija;

Sigurnosna rasvjeta;

Sredstva fizičke zaštite.

Hardverski uređaji za informacijsku sigurnost uključuju širok raspon tehničkih dizajna u smislu principa rada, dizajna i mogućnosti, osiguravajući suzbijanje otkrivanja, zaštitu od curenja i sprječavanje neovlaštenog pristupa izvorima povjerljivih informacija.

Hardverski alati za informacijsku sigurnost koriste se za rješavanje sljedećih zadataka:

Provođenje posebnih studija tehničkih sredstava za podršku proizvodnim aktivnostima za prisutnost mogućih kanala curenja informacija;

Identifikacija kanala curenja informacija na različitim objektima i prostorijama;

Lokalizacija kanala curenja informacija;

Traženje i otkrivanje sredstava industrijske špijunaže;

Suzbijanje neovlaštenog pristupa izvorima povjerljivih informacija i drugih radnji.

U posebnu skupinu spada hardver za zaštitu računala i na njima temeljenih komunikacijskih sustava.

Hardverska zaštita koristi se kako u pojedinačnim osobnim računalima tako i na različitim razinama i dijelovima mreže: u središnjim procesorima računala, u njihovoj operativnoj pohrani (RAM), ulazno-izlaznim kontrolerima, vanjskim uređajima za pohranu podataka, terminalima itd.

Za stražu središnje procesne jedinice(CPU) rezervacija koda se koristi - stvaranje dodatnih bitova u formatima strojnih instrukcija (bitovi tajnosti) i pričuvnih registara (u CPU uređajima). Istodobno su predviđena dva moguća načina rada procesora koji odvajaju pomoćne operacije od operacija koje izravno rješavaju probleme korisnika. U tu svrhu koristi se poseban sustav prekida ugrađen u hardver.

Jedna od mjera hardverske zaštite računala i informacijskih mreža je ograničavanje pristupa RAM-u postavljanjem granica ili polja. U tu svrhu izrađuju se kontrolni upisnici i upisnici zaštite podataka. Koriste se i dodatni paritetni bitovi - varijanta metode rezervacije koda.

Za označavanje stupnja povjerljivosti programa i podataka, kategorija korisnika koriste se bitovi koji se nazivaju bitovi povjerljivosti (to su dva ili tri dodatna bita, uz pomoć kojih se kodiraju kategorije privatnosti korisnika, programa i podataka).

Kako bi se spriječilo čitanje podataka preostalih nakon obrade u RAM, koristi se poseban sklop za brisanje. U ovom slučaju, generira se naredba za brisanje RAM-a i naznačena je adresa memorijskog bloka koji se mora osloboditi informacija. Ovaj sklop zapisuje nule ili neki drugi niz znakova u sve ćelije određenog memorijskog bloka, osiguravajući da su prethodno učitani podaci sigurno izbrisani.

Hardverska zaštita također se koristi u korisničkim terminalima. Kako bi se spriječilo curenje informacija prilikom spajanja neregistriranog terminala, prije izdavanja traženih podataka potrebno je identificirati (automatski odrediti kod ili broj) terminal s kojeg je zahtjev došao. U višekorisničkom načinu rada ovaj identifikacijski terminal nije dovoljan. Potrebno je autentificirati korisnika, odnosno utvrditi njegov identitet i ovlasti. Ovo je također potrebno jer različiti korisnici registrirani u sustavu mogu imati pristup samo zasebne datoteke i strogo ograničene ovlasti njihove uporabe.

Za identifikaciju terminala najčešće se koristi generator koda koji je uključen u hardver terminala, a za autentifikaciju korisnika hardver poput ključeva, osobnih kodnih kartica, osobnog identifikatora, uređaja za prepoznavanje glasa korisnika ili oblika njegovih prstiju. Ali najčešći način provjere autentičnosti su lozinke, koje se ne provjeravaju hardverskim, već softverskim alatima za provjeru autentičnosti.

Alati za zaštitu softvera.

Sredstva za zaštitu vašeg računala od stranih upada vrlo su raznolika i mogu se svrstati u skupine kao što su:

b Mjere samozaštite predviđene općim softverom. Elementi zaštite svojstveni sami sebi softver ili prateći njegovu prodaju.

ʹ Zaštita znači kao dio računalnog sustava. Zaštita opreme, diskova i standardnih uređaja. Izvršenje programa ovisi o određenim radnjama i posebnim mjerama opreza.

ʹ Alati za zaštitu sa zahtjevom za informacijama. Zahtijevaj unos dodatne informacije u svrhu identifikacije ovlaštenja korisnika.

ʹ Sredstva aktivne zaštite. Pokreće se kada nastupe posebne okolnosti (unesite Netočna lozinka itd.).

ʹ Sredstva pasivne zaštite. Usmjeren na upozorenje, kontrolu, traženje dokaza i sl.

Mogu se razlikovati sljedeća područja korištenja programa za osiguranje sigurnosti povjerljivih informacija:

Zaštita informacija od neovlaštenog pristupa;

Zaštita informacija i programa od kopiranja;

Zaštita informacija i programa od virusa;

Programska zaštita komunikacijskih kanala.

Za svako od ovih područja postoji dovoljan broj visokokvalitetnih softverskih proizvoda koje su razvile profesionalne organizacije i koji se distribuiraju na tržištima.

Alati za zaštitu softvera imaju sljedeće vrste posebnih programa:

Identifikacija hardvera, datoteka i provjera autentičnosti korisnika;

Evidentiranje i kontrola rada tehničke opreme i korisnika;

Održavanje ograničenih načina obrade informacija;

Zaštita pogona računala i aplikacijski programi korisnici;

Uništavanje informacija u pohrani nakon uporabe;

Kontrola korištenja resursa;

Pomoćni programi zaštite za razne namjene.

Kriptografske zaštite

Pretvorba matematičkim metodama tajne poruke, telefonskog razgovora ili računalnih podataka koji se prenose komunikacijskim kanalima na takav način da vanjskim osobama postaju potpuno nerazumljivi.

Organizacijskim i tehničkim mjerama osigurava se sprječavanje otkrivanja i curenja povjerljivih podataka putem tehničkih sredstava za podršku proizvodnim i radnim aktivnostima, kao i suzbijanje tehničkih sredstava industrijske špijunaže uz pomoć posebnih tehničkih sredstava ugrađenih na konstrukcijske elemente građevinskih objekata i tehničkih sredstava koja potencijalno formiraju kanale za curenje informacija.

U ove svrhe moguće je koristiti:

Tehnička sredstva pasivne zaštite, na primjer, filtri za ograničavanje i slična sredstva za odvajanje akustičnih električnih i elektromagnetskih mrežnih zaštitnih sustava telefonska komunikacija, napajanje, radio itd.

Tehnička sredstva aktivne zaštite: senzori za akustičnu buku i elektromagnetske smetnje.

Organizacijske i tehničke mjere zaštite informacija mogu se podijeliti na prostorne, režimske i energetske.

Prostorne mjere izražavaju se u smanjenju širine dijagrama zračenja, slabljenju bočnih i stražnjih režnjeva dijagrama zračenja radioelektroničke opreme (RES).

Režimske mjere svode se na korištenje skrivenih metoda prijenosa informacija putem komunikacija: enkripcije, kvazivarijabilne frekvencije prijenosa itd.

Energija - to je smanjenje intenziteta zračenja i rad OIE na smanjenim snagama.

Tehničke mjere su mjere kojima se osigurava nabava, ugradnja i uporaba u procesu proizvodne djelatnosti posebnih, od pobočnog zračenja zaštićenih (sigurnih) tehničkih sredstava ili sredstava čiji PEMI ne prelazi granicu zaštićenog područja.

Tehničke mjere zaštite povjerljivih podataka mogu se podijeliti na skrivanje, zataškavanje i dezinformiranje.

Skrivanje se izražava u korištenju radijske šutnje i stvaranju pasivnih smetnji prihvatnim sredstvima napadača.

Suzbijanje je stvaranje aktivnog ometanja sredstvima napadača.

Dezinformiranje je organiziranje lažnog rada tehničkih sredstava komunikacije i obrade informacija; promjene načina korištenja frekvencija i komunikacijskih propisa; prikazivanje lažnih demaskirajućih znakova aktivnosti i identifikacije.

Zaštitne mjere tehničke prirode mogu biti usmjerene na određeni tehnički uređaj ili određenu opremu, a izražavaju se u mjerama kao što su isključivanje opreme tijekom povjerljivih razgovora ili korištenje određenih zaštitnih uređaja kao što su limiteri, tampon filtri i uređaji za buku.

2.4 Sustav informacijske sigurnosti

cjelovitost informacijske sigurnosti

Sigurnosni sustav

b Izrada planova i mjera zaštite podataka;

ʹ Formiranje, osiguranje i razvoj tijela, snaga i sredstava za osiguranje sigurnosti;

ʹ Obnavljanje zaštićenih objekata

b Identifikacija prijetnje;

ʹ Sprječavanje prijetnje;

ʹ Neutralizacija prijetnje;

ʹ Suzbijanje prijetnje;

b Lokalizacija prijetnje;

ʹ Odbijanje prijetnje;

ʹ Uništenje prijetnje

Sustav informacijske sigurnosti (IPS) je organizirani skup posebnih tijela sredstava, metoda i mjera kojima se osigurava zaštita informacija od unutarnjih i vanjskih prijetnji.

Sa stajališta sustavnog pristupa zaštiti informacija nameću se određeni zahtjevi. Zaštita informacija treba biti:

1. Kontinuirano.

2. Planirano. Svaka služba izrađuje plan zaštite informacija u svom djelokrugu.

3. Svrhovito. Ono što je zaštićeno je ono što se mora zaštititi u interesu određenog cilja.

4. Specifični. Štite se određeni podaci koji su objektivno predmet zaštite.

5. Aktivan.

6. Pouzdan.

7. Univerzalni. Odnosi se na sve kanale curenja informacija.

8. Sveobuhvatno. Primjenjuju se sve potrebne vrste i oblici zaštite.

Za provedbu ovih zahtjeva, sustav informacijske sigurnosti može imati sljedeću podršku:

1. Pravni.

2. Organizacijski. Razne vrste usluga.

3. Hardver. Tehnička sredstva informacijske sigurnosti.

4. Informativni. Informacije, podaci, pokazatelji.

5. Softver. Programi.

6. matematički. Matematičke metode.

7. Jezični. Jezična sredstva komunikacije.

8. Normativno-metodološki. Propisi za djelatnost službi, praktične metode.

Metode su red i načini uporabe snaga i sredstava za postizanje cilja zaštite tajnih podataka.

Metode zaštite informacija skup su tehnika, snaga i sredstava kojima se osigurava povjerljivost, cjelovitost, cjelovitost i dostupnost informacija te suprotstavlja unutarnjim i vanjskim prijetnjama.

Osiguranje informacijske sigurnosti ostvaruje se sustavom mjera usmjerenih na:

· prevencija prijetnji. Prevencija prijetnji su preventivne mjere za osiguranje informacijske sigurnosti kako bi se spriječila mogućnost njihovog nastanka;

· prepoznavanje prijetnji. Identifikacija prijetnji izražava se u sustavnoj analizi i kontroli mogućnosti nastanka stvarnih ili potencijalnih prijetnji i pravovremenim mjerama za njihovo sprječavanje;

· otkrivanje prijetnji. Cilj detekcije je identificirati stvarne prijetnje i specifične kriminalne aktivnosti;

· lokalizacija kaznenih djela i poduzimanje mjera za otklanjanje opasnosti ili konkretnih kaznenih djela;

· otklanjanje posljedica prijetnji i kaznenih djela i uspostavljanje statusa quo.

Prevenciju mogućih prijetnji i nezakonitih radnji moguće je osigurati različitim mjerama i sredstvima, od stvaranja klime duboko osviještenog odnosa zaposlenika prema problemu sigurnosti i zaštite informacija do stvaranja dubokog, slojevitog sustava zaštite fizičkim, hardverskim, programska i kriptografska sredstva.

Prevencija prijetnji moguća je i pribavljanjem (ako želite – i pribavljanjem) informacija o predstojećim protupravnim radnjama, planiranim krađama, pripremnim radnjama i drugim elementima kaznenih djela. U tu svrhu potrebno je da službenici sigurnosti rade s doušnicima u interesu praćenja i objektivne procjene situacije kako unutar tima zaposlenika, posebno u glavnim područjima svoje tvrtke, tako i izvan nje, među konkurentima i kriminalnim skupinama.

U sprječavanju prijetnji vrlo značajnu ulogu imaju informativno-analitičke aktivnosti zaštitarske službe temeljene na dubinskoj analizi kriminalističke situacije i aktivnosti konkurenata i napadača.

Identifikacija je usmjerena na provođenje aktivnosti prikupljanja, akumulacije i analitičke obrade podataka o mogućoj pripremi kriminalnih radnji od strane kriminalnih struktura ili konkurenata na tržištu proizvodnje i prodaje roba i proizvoda.

Detekcija prijetnji je čin identificiranja specifičnih prijetnji i njihovih izvora koji uzrokuju jednu ili drugu vrstu štete. Takve radnje mogu uključivati otkrivanje krađe ili prijevare, kao i otkrivanje povjerljivih informacija ili slučajeve neovlaštenog pristupa izvorima poslovnih tajni.

Suzbijanje ili obuzdavanje prijetnji radnje su usmjerene na uklanjanje stalne prijetnje i specifičnih kriminalnih aktivnosti. Na primjer, suzbijanje prisluškivanja povjerljivih razgovora zbog akustičnog kanala curenja informacija kroz ventilacijske sustave.

Otklanjanje posljedica ima za cilj ponovno uspostavljanje stanja koje je prethodilo nastanku opasnosti.

Prirodno je pretpostaviti da svaka vrsta prijetnje ima svoje specifične metode, snage i sredstva.

Zaključak

Budući da je ljudski faktor ključan za osiguranje odgovarajuće razine sigurnosti, svi zaposlenici moraju imati razumijevanja za moguće prijetnje i probleme te u svom radu moraju implementirati politiku informacijske sigurnosti tvrtke. Kako bi se to postiglo, zaposlenicima koji imaju pristup kritičnim informacijama mora se omogućiti obuka.

Sigurnosna služba tvrtke mora osigurati fizičku sigurnost i kontrolu pristupa resursima:

· Radna mjesta zaposlenika, laboratoriji i server sobe trebaju biti smješteni u odvojenim prostorijama;

· Pristup resursima, kao i sigurnost unutar razvojnog centra tvrtke, moraju biti učinkovito kontrolirani kako bi se osigurao kontinuitet proizvodnih procesa;

· Pristup prostorijama sa skupim sustavima i povjerljivim medijima mora biti kontroliran 24 sata dnevno.

Tvrtka također mora razviti i implementirati plan za osiguranje kontinuiteta poslovanja. Ovaj plan treba identificirati glavne rizike i sigurnosne prijetnje, metode za sprječavanje gašenja ključnih proizvodnih procesa i njihovo ponovno uspostavljanje nakon izvanrednih situacija. Plan bi trebao uključivati redovite interne revizije, oporavak od katastrofe i vježbe hitnog odgovora.

Tehničke mjere za sprječavanje curenja informacija uključuju uvođenje informacijskih sustava klase ILDP (Information Leakage Detection and Prevention) u tvrtku. To su alati dizajnirani za implementaciju politika informacijske sigurnosti. Tehnička sredstva moraju analizirati informacije koje se prenose mogućim kanalima i, ako se otkriju povjerljive informacije, spriječiti njihovo curenje u skladu s pravilima i politikama informacijske sigurnosti tvrtke.

Važno je zapamtiti da univerzalna 100% zaštita od curenja informacija ne postoji nigdje niti će ikada postojati. Posljedično, stupanj zaštite informacija od curenja može se odrediti kao omjer troškova zaštite i troškova same zaštićene informacije.

Popis ikoristimoo književnost

1. Barmen Scott. Razvoj pravila informacijske sigurnosti. M.: Williams, 2002. -- 208 str. -- ISBN 5-8459-0323-8, ISBN 1-5787-0264-X.

2. Bastrikov, M.V. Informacijske tehnologije upravljanja: Udžbenik / M.V. Bastrikov, O.P. Ponomarev; Institut "KVSHU". - Kaliningrad: Izdavačka kuća Instituta "KVSHU", 2005.

3. Domarev V.V. Sigurnost informacijskih tehnologija. Sustavski pristup- K.: LLC TID Dia Soft, 2004. - 992 str.

4. Zapechnikov S.V., Miloslavskaya N.G., Tolstoy A.I., Ushakov D.V. Informacijska sigurnost otvoreni sustavi. U 2 sv.

5. Informacijska sigurnost i zaštita informacija: Udžbenik. - Rostov na Donu: Rostovski pravni institut Ministarstva unutarnjih poslova Rusije, 2004. - 82 str.

6. Šangin V. F. Obrana računalne informacije. Učinkovite metode i sredstva. M.: DMK Press, 2008. - 544 str. -- ISBN 5-94074-383-8.

7. Shcherbakov A. Yu. Moderna računalna sigurnost. Teorijska osnova. Praktični aspekti. - M.: Book World, 2009. - 352 str. -- ISBN 978-5-8041-0378-2.

8. “Informacijska sigurnosna služba: prvi koraci” // ComputerPress 9 "2008 (http://www.compress.ru/Index.aspx)

Objavljeno na Allbest.ru

...

Slični dokumenti

Stanje sigurnosti informacija i informacijskog okruženja od slučajnih ili namjernih utjecaja. Ciljevi informacijske sigurnosti, klasifikacija prijetnji. Osiguravanje povjerljivosti, cjelovitosti i dostupnosti informacija; pravna zaštita osobe.

prezentacija, dodano 11.04.2016

Klasifikacija informacija po značaju. Kategorije povjerljivosti i cjelovitosti zaštićenih podataka. Pojam informacijske sigurnosti, izvori informacijskih prijetnji. Područja zaštite informacija. Programske kriptografske metode zaštite.

kolegij, dodan 21.04.2015

Utjecaj vrste djelatnosti poduzeća na organizaciju cjelovitog sustava informacijske sigurnosti. Sastav zaštićene informacije. Potencijalni kanali za neovlašteni pristup organizacijskim informacijama. Učinkovitost sustava informacijske sigurnosti.

izvješće o praksi, dodano 31.10.2013

Pojam, značenje i pravci informacijske sigurnosti. Sustavni pristup organiziranju informacijske sigurnosti, zaštiti informacija od neovlaštenog pristupa. Alati za informacijsku sigurnost. Metode i sustavi informacijske sigurnosti.

sažetak, dodan 15.11.2011

Pojam i temeljna načela informacijske sigurnosti. Pojam sigurnosti u automatiziranim sustavima. Osnove ruskog zakonodavstva u području informacijske sigurnosti i zaštite informacija, procesa licenciranja i certificiranja.

tečaj predavanja, dodan 17.04.2012

Osnovni aspekti osiguranja informacijske sigurnosti, povjerljivosti i cjelovitosti informacija. Primjeri prijetnji koje narušavaju integritet i dostupnost informacija. Subjekti, objekti i operacije u informacijskim sustavima, prava pristupa.

test, dodan 30.12.2010

Analiza informacijske sigurnosti organizacije koja pruža usluge ispisa slika (printova), logotipa, slogana. Alati za arhiviranje informacija. Klasifikacija računalnih virusa, antivirusni programi. Sprječavanje infekcije računala.

izvješće o praksi, dodano 19.12.2014

Strukturalni i prostorni modeli banke. Uvjetne cijene po jedinici informacije. Modeliranje sigurnosnih prijetnji. Sustav rangiranja najopasnijih kanala curenja tehničkih informacija. Zahtjevi za organizaciju informacijske sigurnosti u poduzeću.

test, dodan 24.04.2014

Informacijska sigurnost sustava podrazumijeva održavanje fizičke sigurnosti, povjerljivosti, pouzdanosti, pravovremenosti informacija, zajamčenu operativnost sredstava koja se koriste za unos, pohranu, obradu i prijenos podataka.

kolegij, dodan 29.11.2008

Informacijski zahtjevi: dostupnost, cjelovitost i povjerljivost. Model CIA-e kao informacijske sigurnosti, koji se temelji na zaštiti dostupnosti, cjelovitosti i povjerljivosti informacija. Izravne i neizravne prijetnje, načini zaštite informacija.