V bob. Axborot xavfsizligi va himoyasini ta'minlash

Axborot xavfsizligi siyosati.

1. Umumiy holat

Ushbu axborot xavfsizligi siyosati ( Keyinchalik - Siyosat ) axborot xavfsizligini ta'minlash muammosi bo'yicha qarashlar tizimini belgilaydi va maqsad va vazifalarni, shuningdek, axborot infratuzilmasi ob'ektlari, shu jumladan axborot xavfsizligini ta'minlashning tashkiliy, texnologik va protsessual jihatlarini tizimli bayon qiladi. axborot markazlari, ma'lumotlar banklari va tashkilotning aloqa tizimlari. Ushbu Siyosat Rossiya Federatsiyasining amaldagi qonunchiligi talablarini va axborot infratuzilmasi ob'ektlarini rivojlantirishning yaqin istiqbollarini, shuningdek, zamonaviy tashkiliy-texnik usullarning xususiyatlari va imkoniyatlarini hisobga olgan holda ishlab chiqilgan. axborotni himoya qilish.

Siyosatning asosiy qoidalari va talablari tashkilotning barcha tarkibiy bo'linmalariga nisbatan qo'llaniladi.

Siyosat axborot infratuzilmasi obʼyektlarining axborot xavfsizligini taʼminlash sohasida yagona siyosatni shakllantirish va amalga oshirish, muvofiqlashtirilgan boshqaruv qarorlarini qabul qilish va axborot xavfsizligini taʼminlashga qaratilgan amaliy chora-tadbirlarni ishlab chiqish, davlat hokimiyati va boshqaruvi organlarining tarkibiy boʻlinmalari faoliyatini muvofiqlashtirish uchun uslubiy asos hisoblanadi. axborot xavfsizligi talablariga rioya qilgan holda axborot obyektlarini, infratuzilmasini yaratish, rivojlantirish va ulardan foydalanish bo‘yicha ishlarni amalga oshirishda tashkilot.

Siyosat binolarni muhofaza qilishni tashkil etish va axborot infratuzilmasi tarkibiy qismlarining xavfsizligi va jismoniy yaxlitligini, tabiiy ofatlardan va elektr ta'minoti tizimidagi nosozliklardan himoya qilishni ta'minlash masalalarini tartibga solmaydi, biroq u axborot xavfsizligi tizimini yaratishni o'z ichiga oladi. butun tashkilotning xavfsizlik tizimi bilan bir xil kontseptual asoslarda.

Siyosatni amalga oshirish tegishli ko'rsatmalar, qoidalar, protseduralar, ko'rsatmalar, ko'rsatmalar va tashkilotda axborot xavfsizligini baholash tizimi bilan ta'minlanadi.

Siyosat quyidagi atamalar va ta'riflardan foydalanadi:

Avtomatlashtirilgan tizim ( AS) — belgilangan funktsiyalarni bajarish uchun axborot texnologiyalarini amalga oshiradigan xodimlar va ularning faoliyatini avtomatlashtirish vositalari majmuasidan iborat tizim.

Axborot infratuzilmasi- axborot makonining ishlashi va rivojlanishini ta'minlaydigan tashkiliy tuzilmalar tizimi va axborotning o'zaro ta'siri. Axborot infratuzilmasi axborot markazlari, ma'lumotlar va bilimlar banklari, aloqa tizimlari majmuasini o'z ichiga oladi va iste'molchilarga axborot resurslaridan foydalanishni ta'minlaydi.

Axborot resurslari ( IR) - bu alohida hujjatlar va hujjatlarning alohida massivlari, hujjatlar va hujjatlar massivlari axborot tizimlari (kutubxonalar, arxivlar, fondlar, ma’lumotlar bazalari va boshqa axborot tizimlari).

Axborot tizimi (IP) - axborotni qayta ishlash tizimi va tegishli tashkiliy resurslar ( insoniy, texnik, moliyaviy va boshqalar.) axborotni taqdim etuvchi va tarqatuvchi.

Xavfsizlik - manfaatlarni himoya qilish holati ( maqsadlar) tahdidlar qarshisida tashkilotlar.

Axborot xavfsizligi ( IB) — axborot sohasidagi tahdidlar bilan bog'liq xavfsizlik. Xavfsizlikka AT xossalari majmuini - axborot aktivlarining mavjudligi, yaxlitligi, maxfiyligini ta'minlash orqali erishiladi. IS mulklarining ustuvorligi ushbu aktivlarning manfaatlar uchun qiymati bilan belgilanadi ( maqsadlar) tashkilot.

Axborot aktivlarining mavjudligi - axborot aktivlari vakolatli foydalanuvchiga, foydalanuvchi talab qilgan shaklda va joyda hamda unga kerak bo'lgan vaqtda taqdim etilishidan iborat bo'lgan tashkilot AT mulki.

Axborot aktivlarining yaxlitligi - tashkilotning axborot aktivlarida aniqlangan o'zgarishlarni o'zgarishsiz yoki to'g'ri saqlash uchun uning axborot xavfsizligi mulki.

Axborot aktivlarining maxfiyligi - Tashkilotning axborot xavfsizligining mulki, bu axborot aktivlarini qayta ishlash, saqlash va uzatish axborot aktivlari faqat vakolatli foydalanuvchilar, tizim ob'ektlari yoki jarayonlari uchun mavjud bo'ladigan tarzda amalga oshirilishidan iborat.

Axborot xavfsizligi tizimi ( NIB) — himoya choralari, himoya vositalari va ularni ishlatish jarayonlari, shu jumladan resurs va ma'muriy ( tashkiliy) xavfsizlik.

Ruxsatsiz kirish- xodimning rasmiy vakolatlarini buzgan holda ma'lumotlarga kirish, ushbu ma'lumotlarga kirish huquqiga ega bo'lmagan shaxslar tomonidan ochiq foydalanish uchun yopiq ma'lumotlarga kirish yoki ushbu ma'lumotlarga kirish huquqiga ega bo'lgan shaxs tomonidan ma'lumotlarga kirish. xizmat vazifalarini bajarish uchun zarur bo'lgan miqdordan oshib ketadigan miqdorda.

2. Axborot xavfsizligiga qo'yiladigan umumiy talablar

Axborot xavfsizligi talablari ( Keyinchalik -IB ) AT boshqaruv jarayonlari doirasida tashkilot faoliyatining mazmuni va maqsadlarini aniqlash.

Ushbu talablar quyidagi sohalar uchun tuzilgan:

rollarni taqsimlash va taqsimlash va xodimlarga ishonch;
axborot infratuzilmasi ob'ektlarining hayot aylanish bosqichlari;
ruxsatsiz kirishdan himoya qilish ( Keyinchalik - NSD ), kirishni boshqarish va ro'yxatdan o'tish avtomatlashtirilgan tizimlar, telekommunikatsiya uskunalari va avtomatik telefon stansiyalarida va boshqalarda;
virusga qarshi himoya;
internet resurslaridan foydalanish;
kriptografik axborotni himoya qilish vositalaridan foydalanish;
shaxsiy ma'lumotlarni himoya qilish.

3. Himoya qilinadigan ob'ektlar

Himoya qilinishi kerak bo'lgan asosiy ob'ektlar:

axborot resurslari taqdim etish shakli va turidan qat'i nazar, hujjatlar va ma'lumotlar massivlari ko'rinishida taqdim etilgan, shu jumladan maxfiy va ochiq ma'lumotlar;
axborot resurslarini shakllantirish, tarqatish va ulardan foydalanish tizimi, kutubxonalar, arxivlar, ma'lumotlar bazalari va ma'lumotlar banklari, axborot texnologiyalari, axborotni to'plash, qayta ishlash, saqlash va uzatish qoidalari va tartiblari, texnik va xizmat ko'rsatish xodimlari;
axborot infratuzilmasi, shu jumladan, axborotni qayta ishlash va tahlil qilish tizimlari, uni qayta ishlash, uzatish va namoyish qilish uchun texnik va dasturiy vositalar, shu jumladan axborot almashish va telekommunikatsiya kanallari, tizimlar va axborot xavfsizligi tizimlari, axborot infratuzilmasi tarkibiy qismlari joylashgan ob'ektlar va binolar.

3.1. Avtomatlashtirilgan tizimning xususiyatlari

Turli toifadagi ma'lumotlar AUda tarqaladi. Himoyalangan ma'lumotni bitta korporativ tarmoqning turli pastki tarmoqlaridan turli foydalanuvchilar almashishi mumkin.

Bir qator AS quyi tizimlari tashqi ( davlat va tijorat, rus va xorijiy) axborot uzatishning maxsus vositalaridan foydalangan holda kommutatsiyalangan va ajratilgan aloqa kanallari orqali tashkilotlar.

AU texnik vositalari majmuasiga ma'lumotlarni qayta ishlash vositalari kiradi ( ish stantsiyalari, ma'lumotlar bazasi serverlari, pochta serverlari va boshqalar.), global tarmoqlarga kirish imkoniyati bilan mahalliy tarmoqlarda ma'lumotlar almashinuvi vositalari ( kabellar, ko'priklar, shlyuzlar, modemlar va boshqalar.), shuningdek saqlash joylari ( shu jumladan arxivlash) ma'lumotlar.

AU faoliyatining asosiy xususiyatlari quyidagilardan iborat:

axborotni qayta ishlash va uzatish uchun ko'p sonli turli texnik vositalarni yagona tizimga birlashtirish zarurati;
hal qilinishi kerak bo'lgan turli xil vazifalar va qayta ishlangan ma'lumotlar turlari;
Yagona ma'lumotlar bazasida turli maqsadlar, tegishlilik va maxfiylik darajalari uchun ma'lumotlarni birlashtirish;
tashqi tarmoqlarga ulanish kanallarining mavjudligi;
faoliyatning uzluksizligi;
jismoniy jihatdan yagona tarmoqqa birlashtirilgan xavfsizlik darajalari bo'yicha turli talablarga ega bo'lgan quyi tizimlarning mavjudligi;
foydalanuvchilar va xizmat ko'rsatuvchi xodimlarning turli toifalari.

Umuman olganda, yagona AS telekommunikatsiya vositalari orqali o'zaro bog'langan bo'linmalarning lokal tarmoqlari yig'indisidir. Har bir mahalliy tarmoq o'zaro bog'langan va o'zaro ta'sir qiluvchi bir qator avtomatlashtirilgan quyi tizimlarni birlashtiradi ( texnologik saytlar), tashkilotning alohida tarkibiy bo'linmalari tomonidan muammolarni hal qilishni ta'minlash.

Axborotlashtirish ob'ektlariga quyidagilar kiradi:

texnologik uskunalar ( kompyuter texnikasi, tarmoq va kabel uskunalari);
axborot resurslari;
dasturiy ta'minot ( operatsion tizimlar, ma'lumotlar bazasini boshqarish tizimlari, umumiy tizim va amaliy dasturlar);
avtomatlashtirilgan aloqa va ma'lumotlarni uzatish tizimlari (telekommunikatsiyalar);
ulanish kanallari;
ofis maydoni.

3.2. Himoya qilinishi kerak bo'lgan tashkilot axborot aktivlarining turlari

Turli darajadagi maxfiylik ma'lumotlari cheklangan tarqatish ma'lumotlarini o'z ichiga olgan tashkilotning AS quyi tizimlarida tarqaladi ( xizmat, tijorat, shaxsiy ma'lumotlar) va ochiq ma'lumot.

AU hujjat aylanishida quyidagilar mavjud:

to'lov topshiriqnomalari va moliyaviy hujjatlar;
hisobotlar ( moliyaviy, tahliliy va boshqalar.);
shaxsiy hisoblar to'g'risidagi ma'lumotlar;
Shaxsiy ma'lumotlar;
cheklangan tarqatiladigan boshqa ma'lumotlar.

AUda aylanib yuradigan va quyidagi turdagi axborot aktivlari tarkibidagi barcha ma'lumotlar himoya qilinishi kerak:

tijorat va rasmiy sirni tashkil etuvchi ma'lumotlar, ularga kirish Federal qonunga muvofiq ma'lumotlar egasi sifatida tashkilot tomonidan cheklangan. Axborot, axborotlashtirish va axborotni muhofaza qilish bo'yicha "Huquqlar va federal qonun" Tijorat sirlari haqida »;
shaxsiy ma'lumotlar, ularga kirish Federal qonunga muvofiq cheklangan " Shaxsiy ma'lumotlar haqida »;
axborotning yaxlitligi va mavjudligini ta'minlash nuqtai nazaridan ochiq axborot.

3.3. Avtomatlashtirilgan tizim foydalanuvchilari toifalari

Tashkilotda AU axborot resurslariga kirish uchun turli xil vakolatlarga ega bo'lishi kerak bo'lgan ko'plab foydalanuvchilar va xizmat ko'rsatuvchi xodimlar toifalari mavjud:

oddiy foydalanuvchilar ( oxirgi foydalanuvchilar, tashkiliy bo'linmalar xodimlari);
server ma'murlari ( fayl serverlari, dastur serverlari, ma'lumotlar bazasi serverlari), mahalliy tarmoqlar va amaliy tizimlar;
tizim dasturchilari ( umumiy dasturiy ta'minotni saqlash uchun javobgardir) foydalanuvchilarning serverlari va ish stansiyalarida;
amaliy dasturlarni ishlab chiquvchilar;
kompyuter texnikasining texnik vositalariga xizmat ko'rsatish bo'yicha mutaxassislar;
axborot xavfsizligi ma'murlari va boshqalar.

3.4. Avtomatlashtirilgan tizimning asosiy komponentlarining zaifligi

AU ning eng zaif komponentlari tarmoq ish stantsiyalari - avtomatlashtirilgan ish stantsiyalari ( Keyinchalik - AWP ) ishchilar. Axborotga ruxsatsiz kirishga urinishlar yoki ruxsatsiz harakatlarga urinishlar ( qasddan va qasddan) kompyuter tarmog'ida. Ish stantsiyalarining apparat va dasturiy ta'minoti konfiguratsiyasini buzish va ularning ishlash jarayonlariga noqonuniy aralashuv ma'lumotlarning bloklanishiga, muhim vazifalarni o'z vaqtida hal qilishning iloji yo'qligiga va alohida ish stantsiyalari va quyi tizimlarning ishlamay qolishiga olib kelishi mumkin.

Ajratilgan fayl serverlari, ma'lumotlar bazasi serverlari va dastur serverlari kabi tarmoq elementlari maxsus himoyaga muhtoj. Ayirboshlash protokollari va server resurslariga kirishni farqlash vositalarining kamchiliklari himoyalangan ma'lumotlarga ruxsatsiz kirish imkonini beradi va turli quyi tizimlarning ishlashiga ta'sir qiladi. Bunday holda, urinishlar masofadan turib amalga oshirilishi mumkin ( tarmoq stantsiyalaridan) va to'g'ridan-to'g'ri ( server konsolidan) serverlarning ishlashiga va ularni himoya qilishga ta'siri.

Ko'priklar, shlyuzlar, markazlar, routerlar, kalitlar va boshqalar tarmoq qurilmalari, aloqa kanallari va vositalari ham himoyaga muhtoj. Ulardan tajovuzkorlar tarmoq operatsiyalarini qayta tashkil etish va tartibsizlantirish, uzatiladigan ma'lumotlarni ushlab qolish, trafikni tahlil qilish va ma'lumotlar almashinuvi jarayonlariga aralashishning boshqa usullarini amalga oshirish uchun ishlatilishi mumkin.

4. Axborot xavfsizligining asosiy tamoyillari

4.1. Xavfsiz ishlashning umumiy tamoyillari

Muammoni o'z vaqtida aniqlash. Tashkilot o'z biznes maqsadlariga ta'sir qilishi mumkin bo'lgan muammolarni o'z vaqtida aniqlashi kerak.
Muammolarning rivojlanishini bashorat qilish. Tashkilot sababni aniqlashi kerak mumkin bo'lgan muammolar va shu asosda ularning rivojlanishining aniq prognozini qurish.
Muammolarning biznes maqsadlariga ta'sirini baholash. Tashkilot aniqlangan muammolarning ta'sirini etarli darajada baholashi kerak.
Himoya choralarining etarliligi. Tashkilot bunday choralarni amalga oshirish xarajatlarini va tahdidlarni amalga oshirishdan mumkin bo'lgan yo'qotishlarni hisobga olgan holda tahdid va qoidabuzarlik modellariga mos keladigan himoya choralarini tanlashi kerak.
Himoya choralarining samaradorligi. Tashkilot qabul qilingan himoya choralarini samarali amalga oshirishi kerak.
Qarorlarni qabul qilish va amalga oshirishda tajribadan foydalanish. Tashkilot qarorlarni qabul qilish va ularni amalga oshirishning barcha darajalarida o'z tajribasi va boshqa tashkilotlar tajribasini to'plashi, umumlashtirishi va foydalanishi kerak.
Xavfsiz ishlash tamoyillarining uzluksizligi. Tashkilot xavfsiz ishlash tamoyillarini amalga oshirishning uzluksizligini ta'minlashi kerak.
Himoya choralarining nazorat qilinishi. Tashkilot faqat to'g'ri ishlashi tekshirilishi mumkin bo'lgan himoya choralarini qo'llashi kerak va tashkilot xavfsizlik choralarining tashkilotning biznes maqsadlariga ta'sirini hisobga olgan holda, himoya choralarining muvofiqligi va ularni amalga oshirish samaradorligini muntazam ravishda baholashi kerak.

4.2. Axborot xavfsizligini ta'minlashning maxsus tamoyillari

Axborot xavfsizligining maxsus tamoyillarini amalga oshirish tashkilotda axborot xavfsizligini boshqarish jarayonlarining etuklik darajasini oshirishga qaratilgan.
Maqsadlarni aniqlash. Tashkilotning funktsional va axborot xavfsizligi maqsadlari ichki hujjatda aniq belgilanishi kerak. Noaniqlik " noaniqlik"Tashkiliy tuzilma, xodimlarning roli, axborot xavfsizligi siyosati va qabul qilingan himoya choralarining etarliligini baholashning mumkin emasligi.
Mijozlaringiz va xodimlaringizni bilish. Tashkilot o'z mijozlari haqida ma'lumotga ega bo'lishi kerak, xodimlarni diqqat bilan tanlash ( ishchilar), aktivlarni boshqarish tashkiloti faoliyati uchun qulay ishonch muhitini yaratadigan korporativ etikani ishlab chiqish va saqlash.
Shaxslashtirish va rollar va mas'uliyatlarni adekvat taqsimlash. Tashkilot mansabdor shaxslarining uning aktivlari bilan bog'liq qarorlar uchun javobgarligi shaxsiylashtirilishi va asosan kafillik shaklida amalga oshirilishi kerak. U tashkilot maqsadlariga ta'sir qilish darajasiga mos kelishi, siyosatda mustahkamlanishi, nazorat qilinishi va takomillashtirilishi kerak.
Rollarning funksiyalar va protseduralarga muvofiqligi va ularning mezon va baholash tizimi bilan taqqoslanishi. Rollar bajariladigan funktsiyalarni va ularni amalga oshirish bo'yicha tashkilot tartiblarini etarli darajada aks ettirishi kerak. O'zaro bog'liq rollarni belgilashda ularni bajarishning zarur ketma-ketligini hisobga olish kerak. Rol uni amalga oshirish samaradorligini baholash mezonlariga mos kelishi kerak. O'ynagan rolning asosiy mazmuni va sifati aslida unga qo'llaniladigan baholash tizimi bilan belgilanadi.
Xizmatlar va xizmatlarning mavjudligi. Tashkilot o'z mijozlari va pudratchilari uchun tegishli shartnomalarda belgilangan muddatlarda xizmatlar va xizmatlar mavjudligini ta'minlashi kerak ( kelishuvlar) va/yoki boshqa hujjatlar.
Axborot xavfsizligining kuzatuvchanligi va baholanishi. Har qanday tavsiya etilgan himoya choralari ularni qo'llash natijasi aniq bo'lishi uchun ishlab chiqilishi kerak, biz kuzatamiz ( shaffof) va tegishli vakolatga ega bo'lgan tashkilot bo'limi tomonidan baholanishi mumkin.

5. Axborot xavfsizligining maqsad va vazifalari

5.1. Avtomatlashtirilgan tizimda axborot munosabatlarining sub'ektlari

AU dan foydalanish va axborot xavfsizligini ta'minlashda huquqiy munosabatlarning sub'ektlari quyidagilardir:

Tashkilot axborot resurslarining egasi sifatida;
AESning ishlashini ta'minlovchi tashkilotning bo'linmalari;
tashkilotning tarkibiy bo'linmalari xodimlari, ularga yuklangan funktsiyalarga muvofiq AUda ma'lumotlardan foydalanuvchilar va provayderlar sifatida;
ASda to'plangan, saqlanadigan va qayta ishlanadigan yuridik va jismoniy shaxslar;
AUni yaratish va faoliyat yuritishda ishtirok etgan boshqa yuridik va jismoniy shaxslar ( tizim komponentlarini ishlab chiquvchilar, axborot texnologiyalari sohasida turli xizmatlarni ko'rsatish bilan shug'ullanadigan tashkilotlar va boshqalar.).

Axborot munosabatlarining sanab o'tilgan sub'ektlari quyidagilarni ta'minlashdan manfaatdor:

ma'lum bir ma'lumotning maxfiyligi;
ishonchlilik ( to'liqlik, aniqlik, adekvatlik, yaxlitlik) ma `lumot;
noto'g'ri so'zlardan himoya qilish ( ishonchsiz, buzilgan) ma `lumot;
zarur ma'lumotlarga o'z vaqtida kirish;
qonuniy huquqlarni buzganlik uchun javobgarlikni farqlash ( manfaatlar) axborot munosabatlarining boshqa sub'ektlari va axborot bilan ishlashning belgilangan qoidalari;
axborotni qayta ishlash va uzatish jarayonlarini doimiy monitoring qilish va boshqarish imkoniyati;
axborotning bir qismini uning noqonuniy takrorlanishidan himoya qilish ( mualliflik huquqlarini, axborot egasining huquqlarini himoya qilish va boshqalar.).

5.2. Axborot xavfsizligi maqsadi

Axborot xavfsizligini ta'minlashning asosiy maqsadi axborot munosabatlari sub'ektlarini AU faoliyati jarayoniga tasodifiy yoki qasddan ruxsatsiz aralashuv yoki unda aylanib yuruvchi ma'lumotlarga ruxsatsiz kirish va uning noqonuniy kirishi orqali ularga mumkin bo'lgan moddiy, ma'naviy yoki boshqa zararlardan himoya qilishdir. foydalanish.

Ushbu maqsadga axborotning quyidagi xususiyatlarini va uni qayta ishlashning avtomatlashtirilgan tizimini doimiy ravishda ta'minlash va saqlash orqali erishiladi:

ro'yxatdan o'tgan foydalanuvchilar uchun qayta ishlangan ma'lumotlarning mavjudligi;
aloqa kanallari orqali saqlanadigan, qayta ishlanadigan va uzatiladigan ma'lumotlarning ma'lum bir qismining maxfiyligi;
aloqa kanallari orqali saqlanadigan, qayta ishlanadigan va uzatiladigan axborotning yaxlitligi va haqiqiyligi.

5.3. Axborot xavfsizligi maqsadlari

Axborot xavfsizligini ta'minlashning asosiy maqsadiga erishish uchun AES axborot xavfsizligi tizimi quyidagi vazifalarni samarali hal qilishni ta'minlashi kerak:

ruxsatsiz shaxslar tomonidan AUning ishlash jarayoniga aralashuvidan himoya qilish;
ro'yxatdan o'tgan foydalanuvchilarning AU apparat, dasturiy va axborot resurslariga kirishini farqlash, ya'ni ruxsatsiz kirishdan himoya qilish;
tizim jurnallarida himoyalangan AS resurslaridan foydalanganda foydalanuvchi harakatlarini ro'yxatga olish va xavfsizlik bo'limlari mutaxassislari tomonidan ushbu jurnallar tarkibini tahlil qilish orqali tizim foydalanuvchilari harakatlarining to'g'riligini davriy nazorat qilish;
ruxsatsiz o'zgartirishdan himoya qilish va butunlikni nazorat qilish ( o'zgarmasligini ta'minlash) dasturlarni bajarish muhiti va buzilish holatlarida uni tiklash;
AUda qo'llaniladigan dasturiy ta'minotni ruxsatsiz o'zgartirishdan va yaxlitligini nazorat qilishdan himoya qilish, shuningdek tizimni ruxsatsiz dasturlarni, shu jumladan kompyuter viruslarini kiritishdan himoya qilish;
axborotni qayta ishlash, saqlash va aloqa kanallari orqali uzatish jarayonida texnik kanallar orqali chiqib ketishdan himoya qilish;
saqlanadigan, qayta ishlanadigan va aloqa kanallari orqali uzatiladigan axborotni ruxsatsiz oshkor qilish yoki buzishdan himoya qilish;
axborot almashinuvida ishtirok etuvchi foydalanuvchilarning autentifikatsiyasini ta'minlash;
kalit tizimining bir qismi buzilganda kriptografik axborotni himoya qilish vositalarining omon qolishini ta'minlash;
axborot xavfsizligiga tahdidlar manbalarini, axborot munosabatlarining manfaatdor subyektlariga zarar yetkazilishiga sabab bo‘ladigan sabablar va shart-sharoitlarni o‘z vaqtida aniqlash, axborot xavfsizligiga tahdid va salbiy tendentsiyalarga tezkor javob berish mexanizmini yaratish;
jismoniy va yuridik shaxslarning noqonuniy xatti-harakatlari natijasida etkazilgan zararni minimallashtirish va mahalliylashtirish uchun shart-sharoitlar yaratish, salbiy ta'sirni susaytirish va axborot xavfsizligini buzish oqibatlarini bartaraf etish.

5.4. Axborot xavfsizligi muammolarini hal qilish yo'llari

Axborot xavfsizligi muammolarini hal qilishda quyidagilarga erishiladi:

himoya qilinishi kerak bo'lgan barcha tizim resurslarini qat'iy hisobga olish ( axborot, vazifalar, aloqa kanallari, serverlar, AWP);
axborotni qayta ishlash jarayonlarini va tashkilotning tarkibiy bo'linmalari xodimlarining harakatlarini, shuningdek, atom elektr stansiyasining dasturiy va texnik vositalariga texnik xizmat ko'rsatish va o'zgartirishni amalga oshiruvchi xodimlarning harakatlarini axborot xavfsizligi bo'yicha tashkiliy-ma'muriy hujjatlar asosida tartibga solish;
axborot xavfsizligi bo'yicha tashkiliy-ma'muriy hujjatlar talablarining to'liqligi, real maqsadga muvofiqligi va izchilligi;
axborot xavfsizligini ta'minlash bo'yicha amaliy chora-tadbirlarni tashkil etish va amalga oshirish uchun mas'ul xodimlarni tayinlash va o'qitish;
har bir xodimga AES resurslaridan foydalanish bo'yicha o'z funktsional vazifalarini bajarish uchun zarur bo'lgan minimal vakolatlarni berish;
atom elektr stansiyasining texnik va dasturiy ta’minotidan foydalanuvchi va ularga xizmat ko‘rsatuvchi barcha xodimlar tomonidan axborot xavfsizligi bo‘yicha tashkiliy-ma’muriy hujjatlar talablariga aniq bilim va qat’iy rioya qilish;
ma'lumotlarni avtomatlashtirilgan qayta ishlash jarayonlarida ishtirok etadigan va AU resurslariga kirish huquqiga ega bo'lgan har bir xodimning o'z funktsional majburiyatlari doirasidagi harakatlari uchun shaxsiy javobgarligi;
dasturiy ta'minot, texnik vositalar va ma'lumotlarni himoya qilish bo'yicha tashkiliy-texnik chora-tadbirlar komplekslaridan foydalangan holda axborotni qayta ishlashning texnologik jarayonlarini amalga oshirish;
texnik jihozlarning jismoniy yaxlitligini ta'minlash bo'yicha samarali chora-tadbirlarni ko'rish va AES komponentlarini himoya qilishning zarur darajasini doimiy ravishda ta'minlash;
texnik qo'llash ( dasturiy ta'minot va apparat) tizim resurslarini himoya qilish va ulardan foydalanishni doimiy ma'muriy qo'llab-quvvatlash vositalari;
axborot oqimlarini chegaralash va cheklangan tarqatiladigan axborotni himoyalanmagan aloqa kanallari orqali uzatishni taqiqlash;
xodimlar tomonidan axborot xavfsizligi talablariga rioya etilishi ustidan samarali nazorat;
doimiy monitoring tarmoq resurslari, zaifliklarni aniqlash, kompyuter tarmog'i xavfsizligiga tashqi va ichki tahdidlarni o'z vaqtida aniqlash va zararsizlantirish;
tashkilot manfaatlarini axborot xavfsizligi sohasidagi noqonuniy harakatlardan huquqiy himoya qilish.
ko‘rilayotgan chora-tadbirlar va foydalanilayotgan axborotni himoya qilish vositalarining samaradorligi va yetarliligini doimiy tahlil qilish, atom elektr stansiyasida axborotni himoya qilish tizimini takomillashtirish bo‘yicha takliflar ishlab chiqish va amalga oshirish.

6 ta axborot xavfsizligi tahdidlari

6.1. Axborot xavfsizligi tahdidlari va ularning manbalari

Atom elektr stantsiyasida qayta ishlangan axborot xavfsizligiga eng xavfli tahdidlar quyidagilardir:

maxfiylikni buzish ( oshkor qilish, oqish) rasmiy yoki tijorat sirini tashkil etuvchi ma'lumotlar, shu jumladan shaxsiy ma'lumotlar;
noto'g'ri ishlash ( ishning tartibsizligi) AU, axborotni blokirovka qilish, texnologik jarayonlarni buzish, muammolarni o'z vaqtida hal qilishni buzish;
yaxlitlikni buzish ( buzish, almashtirish, yo'q qilish) axborot, dasturiy ta'minot va AUning boshqa resurslari.

AESning axborot xavfsizligiga tahdidlarning asosiy manbalari:

tabiiy va texnogen xarakterdagi noxush hodisalar;
terrorchilar, jinoyatchilar;
maqsadli buzg'unchi harakatlarni, shu jumladan kompyuter viruslari va boshqa turdagi zararli kodlar va hujumlarni amalga oshiruvchi kompyuter kiberjinoyatchilari;
dasturiy ta'minot va apparat vositalari, sarf materiallari, xizmatlar va boshqalarni etkazib beruvchilar;
uskunani o'rnatish, ishga tushirish va uni ta'mirlashni amalga oshiruvchi pudratchilar;
nazorat qiluvchi va nazorat qiluvchi organlarning talablariga, amaldagi qonun hujjatlariga rioya qilmaslik;
nosozliklar, nosozliklar, dasturiy ta'minot va apparatlarning yo'q qilinishi / shikastlanishi;
AUdagi jarayonlarning qonuniy ishtirokchisi bo'lgan va berilgan vakolatlar doirasidan tashqarida harakat qiladigan xodimlar;
AUdagi jarayonlarning qonuniy ishtirokchisi bo'lgan va berilgan vakolatlar doirasida harakat qiladigan xodimlar.

6.2. Axborot xavfsizligining buzilishiga olib keladigan beixtiyor harakatlar va ularning oldini olish choralari

AUdagi ma'lumotlarni qayta ishlash jarayonlariga bevosita kirish huquqiga ega bo'lgan tashkilot xodimlari axborot xavfsizligining buzilishiga olib kelishi mumkin bo'lgan qasddan tasodifiy xatti-harakatlarning potentsial manbai hisoblanadi.

Axborot xavfsizligini buzishga olib keladigan asosiy maqsadsiz harakatlar (odamlar tomonidan tasodifan, johillik, e'tiborsizlik yoki beparvolik tufayli, qiziquvchanlik tufayli, lekin yomon niyatsiz qilingan harakatlar) va bunday xatti-harakatlarning oldini olish va ular keltiradigan zararni minimallashtirish choralari ko'rsatilgan 1-jadval.

1-jadval

Axborot xavfsizligini buzishga olib keladigan asosiy harakatlar
Tizimning qisman yoki to'liq ishlamay qolishiga yoki apparat yoki dasturiy ta'minotning ishlashining buzilishiga olib keladigan xodimlarning harakatlari; uskunani uzish yoki qurilmalar va dasturlarning ish rejimlarini o'zgartirish; tizimning axborot resurslarini yo'q qilish ( uskunaga qasddan shikast etkazish, muhim ma'lumotlarga ega dasturlar yoki fayllarni, shu jumladan tizimni o'chirish, buzish, aloqa kanallariga zarar etkazish, saqlash vositalariga qasddan shikast etkazish va hk.)	Tashkiliy chora-tadbirlar ( ). Ehtiyotsiz huquqbuzarliklarning oldini olish uchun jismoniy vositalardan foydalanish. Texnik qo'llash ( apparat va dasturiy ta'minot) resurslarga kirishni farqlash vositalari. Muhim resurslarni bron qilish.
Agar noto'g'ri ishlatilsa, tizim ish faoliyatini yo'qotishi mumkin bo'lgan dasturlarni ruxsatsiz ishga tushirish ( muzlash yoki aylanish) yoki tizimda qaytarib bo'lmaydigan o'zgarishlarni amalga oshirish ( saqlash vositalarini formatlash yoki qayta qurish, ma'lumotlarni o'chirish va h.k.)	Tashkiliy chora-tadbirlar ( barcha potentsial xavfli dasturlarni ish stantsiyasidan olib tashlash). Texnik qo'llash ( apparat va dasturiy ta'minot) ish stantsiyasida dasturlarga kirishni farqlash vositalari.
Yozib olinmagan dasturlarni ruxsatsiz kiritish va ulardan foydalanish ( xodimlarning o'z xizmat vazifalarini bajarishi uchun zarur bo'lmagan o'yin, o'quv, texnologik va boshqalar) keyinchalik resurslarni asossiz isrof qilish bilan ( protsessor vaqti, tasodifiy kirish xotirasi, tashqi muhitdagi xotira va boshqalar.)	Tashkiliy chora-tadbirlar ( taqiqlar kiritish). Texnik qo'llash ( apparat va dasturiy ta'minot) yozib olinmagan dasturlarning ruxsatsiz kiritilishi va ishlatilishining oldini olishni anglatadi.
Kompyuteringizga tasodifiy virus infektsiyasi	Tashkiliy chora-tadbirlar ( harakatlarni tartibga solish, taqiqlarni kiritish). Texnologik chora-tadbirlar ( viruslarni aniqlash va yo'q qilish uchun maxsus dasturlardan foydalanish). Kompyuter viruslari bilan infektsiyani oldini oluvchi apparat va dasturiy vositalardan foydalanish.
Kirishni boshqarish atributlarini oshkor qilish, uzatish yoki yo'qotish ( parollar, shifrlash kalitlari yoki elektron imzo, identifikatsiya kartalari, ruxsatnomalar va boshqalar.)	Tashkiliy chora-tadbirlar ( harakatlarni tartibga solish, taqiqlar kiritish, javobgarlikni kuchaytirish). Belgilangan detallarning xavfsizligini ta'minlash uchun jismoniy vositalardan foydalanish.
Tashkiliy cheklovlarga e'tibor bermaslik ( belgilangan qoidalar) tizimda ishlaganda	Tashkiliy chora-tadbirlar ( ). Qo'shimcha jismoniy va texnik himoya vositalaridan foydalanish.
Xavfsizlik xodimlari tomonidan himoya vositalarini noto'g'ri ishlatish, sozlash yoki noto'g'ri o'chirish	Tashkiliy chora-tadbirlar ( xodimlarni tayyorlash, mas'uliyat va nazoratni kuchaytirish).
Noto'g'ri ma'lumotlarni kiritish	Tashkiliy chora-tadbirlar ( mas'uliyat va nazoratni kuchaytirdi). Ma'lumotlarni kiritish operatorlarining xatolarini nazorat qilish bo'yicha texnologik chora-tadbirlar.

6.3. Axborot xavfsizligini buzishga qaratilgan qasddan harakatlar va ularning oldini olish choralari

Asosiy qasddan harakatlar ( g'arazli maqsadlarda, tazyiq ostida, qasos olish istagida va hokazo.), zavodning axborot xavfsizligi buzilishiga olib keladigan va ularning oldini olish va etkazilishi mumkin bo'lgan zararni kamaytirish choralari ko'rsatilgan. 2-jadval.

jadval 2

Axborot xavfsizligini buzishga olib keladigan asosiy qasddan harakatlar	Tahdidlarning oldini olish va zararni kamaytirish choralari
Avtomatlashtirilgan tizimning barcha yoki ba'zi eng muhim tarkibiy qismlarining jismoniy yo'q qilinishi yoki yaroqsizligi ( qurilmalar, muhim tizim ma'lumotlarini tashuvchilar, xodimlar va boshqalar.), hisoblash tizimlarining ishlashini ta'minlash uchun quyi tizimlarni uzish yoki o'chirish ( elektr ta'minoti, aloqa liniyalari va boshqalar.)	Tashkiliy chora-tadbirlar ( harakatlarni tartibga solish, taqiqlarni kiritish). Qasddan huquqbuzarlik sodir etilishining oldini oluvchi jismoniy vositalardan foydalanish. Muhim resurslarni bron qilish.
Tizim xodimlarining soniga agentlarni kiritish ( xavfsizlik uchun mas'ul ma'muriy guruh, shu jumladan), ishga qabul qilish ( poraxo'rlik, shantaj, tahdid va boshqalar bilan.) himoyalangan resurslarga kirish uchun muayyan huquqlarga ega foydalanuvchilar	Tashkiliy chora-tadbirlar ( kadrlarni tanlash, joylashtirish va ular bilan ishlash, nazorat va mas’uliyatni kuchaytirish). Xodimlarning harakatlarini avtomatik ro'yxatga olish.
Axborot tashuvchilarni o'g'irlash ( bosma nashrlar, magnit disklar, lentalar, saqlash qurilmalari va butun shaxsiy kompyuterlar), sanoat chiqindilarini o'g'irlash ( bosma nashrlar, yozuvlar, tashlab ketilgan ommaviy axborot vositalari va boshqalar.)	Tashkiliy chora-tadbirlar ( ).
Axborot tashuvchilarni ruxsatsiz nusxalash, tasodifiy kirish xotirasidan va tashqi xotira qurilmalaridan qoldiq ma'lumotlarni o'qish	Tashkiliy chora-tadbirlar ( himoyalangan axborotga ega ommaviy axborot vositalarini saqlash va ulardan foydalanishni tashkil etish). Himoyalangan resurslarga kirishni cheklashning texnik vositalarini qo'llash va hujjatlarning qog'oz nusxalarini olishni avtomatik tarzda ro'yxatga olish.
Parollarni va kirishni boshqarishning boshqa tafsilotlarini noqonuniy olish ( yashirin usullar bilan, foydalanuvchilarning e'tiborsizligidan foydalangan holda, tanlash orqali, dasturiy ta'minot xatcho'plari bilan tizim interfeysini taqlid qilish va boshqalar.) keyinchalik ro'yxatdan o'tgan foydalanuvchi sifatida niqoblangan holda.	Tashkiliy chora-tadbirlar ( harakatlarni tartibga solish, taqiqlarni kiritish, kadrlar bilan ishlash). Parollar, kalitlar va boshqa tafsilotlarni ushlab qolish uchun dasturlarni amalga oshirishga to'sqinlik qiladigan texnik vositalardan foydalanish.
Noyob jismoniy xususiyatlarga ega foydalanuvchilar uchun AWP-lardan ruxsatsiz foydalanish, masalan, tarmoqdagi ish stantsiyasining soni, jismoniy manzil, aloqa tizimidagi manzil, apparat kodlash birligi va boshqalar.	Tashkiliy chora-tadbirlar ( binolarga kirishni qat'iy tartibga solish va ushbu AWPlarda ishlashga ruxsat berish). Kirishni boshqarishning jismoniy va texnik vositalarini qo'llash.
Dasturiy ta'minotni ruxsatsiz o'zgartirish - "xatcho'plar" va "viruslar" dasturiy ta'minotini joriy etish ( Troyan otlari va hasharotlar), ya'ni e'lon qilingan funktsiyalarni amalga oshirish uchun kerak bo'lmagan, ammo himoyalangan ma'lumotlarni ro'yxatdan o'tkazish va uzatish yoki tizimning ishlashini tartibga solish uchun xavfsizlik tizimini yengish, tizim resurslariga yashirin va noqonuniy kirish imkonini beradigan dasturlarning bunday bo'limlari.	Tashkiliy chora-tadbirlar ( ishga qabul qilishni qat'iy tartibga solish). AWP apparat va dasturiy ta'minot konfiguratsiyasini ruxsatsiz o'zgartirishning oldini olish va kirishni farqlashning jismoniy va texnik vositalaridan foydalanish. Dasturiy ta'minotning yaxlitligini nazorat qilish vositalarini qo'llash.
Aloqa kanallari orqali uzatiladigan ma'lumotlarni ushlab turish, maxfiy ma'lumotlarni olish va almashish protokollarini, tarmoqqa kirish qoidalarini va foydalanuvchilarni avtorizatsiya qilish qoidalarini aniqlashtirish uchun ularni tahlil qilish, keyinchalik ularni tizimga kirishga taqlid qilishga urinishlar.	Aloqa kanallarini jismoniy himoya qilish. O'tkazilayotgan axborotni kriptografik himoya qilish vositalarini qo'llash.
Ma'lumotlarni ruxsatsiz o'zgartirish, maxfiy ma'lumotlarga kirish, quyi tizimlar ishini tartibsizlantirish va boshqalar uchun umumiy foydalanishdagi tarmoqlardan tizimning ishlash jarayoniga aralashish.	Tashkiliy chora-tadbirlar ( umumiy foydalanish tarmoqlarida ulanish va ishlashni tartibga solish). Maxsus texnik himoya vositalaridan foydalanish ( xavfsizlik devorlari, xavfsizlikni boshqarish va tizim resurslariga hujumlarni aniqlash va boshqalar.).

6.4. Ma'lumotlar texnik kanallar orqali chiqib ketadi

AES texnik vositalaridan foydalanish jarayonida ma'lumotlarning oqishi yoki yaxlitligini buzish, texnik vositalarning ishlashini buzishning quyidagi kanallari mumkin:

texnik vositalardan va axborot uzatish liniyalaridan axborot signalining yon elektromagnit nurlanishi;
elektron kompyuterlar yordamida qayta ishlangan informatsion signalni idoralarning nazorat qilinadigan hududidan tashqariga chiqadigan simlar va liniyalarga qabul qilish, shu jumladan. topraklama va elektr ta'minoti davrlarida;
ma'lumotni ushlab turish uchun turli xil elektron qurilmalar ( shu jumladan "Xatcho'plar") aloqa kanallari yoki axborotni qayta ishlashning texnik vositalariga ulangan;
displey ekranlari va boshqa optik vositalar yordamida ma'lumotlarni ko'rish;
yaxlitligini buzish uchun apparat yoki dasturiy ta'minotga ta'sir qilish ( halokat, buzilish) axborot, texnik vositalarning, axborotni himoya qilish vositalarining ishlashi va maxsus joriy etilgan elektron va dasturiy vositalar orqali ma'lumot almashishning o'z vaqtida, shu jumladan elektromagnit "Xatcho'plar").

Axborotni qayta ishlash va xavfsizligini ta'minlashning o'ziga xos xususiyatlarini, maxfiy ma'lumotlarning chiqib ketish xavfini hisobga olgan holda ( shaxsiy ma'lumotlar, shu jumladan) texnik kanallar orqali tashkilot uchun ahamiyatsiz.

6.5. Ehtimoliy bosqinchining norasmiy modeli

Huquqbuzar - taqiqlangan operatsiyalarni amalga oshirishga uringan shaxs ( harakat) xato, jaholat yoki qasddan yovuzlik bilan ( shaxsiy manfaatlardan tashqari) yoki usiz ( o'yin yoki zavq uchun, o'zini o'zi tasdiqlash maqsadida va hokazo.) va buning uchun turli imkoniyatlar, usul va vositalardan foydalanish.

AESni himoya qilish tizimi tizimdagi huquqbuzarlarning quyidagi mumkin bo'lgan turlari haqidagi taxminlarga asoslanishi kerak ( shaxslar toifasini, motivatsiyani, malakani, maxsus vositalar mavjudligini va boshqalarni hisobga olgan holda.):

« Tajribasiz (e'tiborsiz) foydalanuvchi»- taqiqlangan operatsiyalarni bajarishga urinishi mumkin bo'lgan xodim, o'z vakolatlaridan tashqari AU himoyalangan resurslariga kirishi, noto'g'ri ma'lumotlarni kiritishi va hokazo. noto'g'ri, layoqatsizlik yoki beparvolik bilan yomon niyatsiz va faqat standartdan foydalangan holda harakatlar ( unga mavjud) apparat va dasturiy ta'minot.
« Oshiq"- o'zini-o'zi tasdiqlash uchun yoki g'arazli niyatlarsiz mudofaa tizimini engib o'tishga harakat qilayotgan xodim" sportga qiziqish". Himoya tizimini yengish va taqiqlangan harakatlarni amalga oshirish uchun u resurslarga kirish uchun qo'shimcha vakolatlarni olishning turli usullaridan foydalanishi mumkin ( ismlar, parollar va boshqalar. boshqa foydalanuvchilar), himoya tizimini qurishdagi kamchiliklar va mavjud xodimlar ( ish stantsiyasiga o'rnatilgan) dasturlar ( ruxsat etilgan vositalardan foydalanish bo'yicha o'z vakolatlarini oshirib, ruxsat etilmagan harakatlar). Bundan tashqari, u qo'shimcha nostandart instrumental va texnologik dasturlardan foydalanishga harakat qilishi mumkin ( tuzatuvchilar, yordamchi dasturlar), mustaqil ravishda ishlab chiqilgan dasturlar yoki standart qo'shimcha texnik vositalar.
« Firibgar"- g'ayriqonuniy texnologik operatsiyalarni amalga oshirishga, soxta ma'lumotlarni kiritishga va shunga o'xshash harakatlarni g'arazli maqsadlarda, majburlash yoki g'arazli niyatda amalga oshirishga urinishi mumkin bo'lgan, lekin faqat muntazam ( ish stantsiyasida o'rnatilgan va u uchun mavjud) o'z nomidan yoki boshqa xodim nomidan apparat va dasturiy ta'minot ( uning ismini va parolini bilish, ish joyida qisqa muddat yo'qligidan foydalanish va h.k.).
« Tashqi tajovuzkor (buzg'unchi)»- begona yoki sobiq xodim xudbin manfaatlar, qasos yoki qiziquvchanlik tufayli, ehtimol boshqalar bilan til biriktirib, maqsadli harakat qilganligi. U axborot xavfsizligini buzishning barcha usullaridan, umumiy tarmoqlar uchun xos bo'lgan xavfsizlik tizimlarini buzish usullari va vositalaridan foydalanishi mumkin ( ayniqsa IP-ga asoslangan tarmoqlar), shu jumladan, dasturiy xatcho'plarni masofadan joriy etish va maxsus instrumental va texnologik dasturlardan foydalanish, almashinuv protokollarining mavjud zaif tomonlari va tashkilot AS tarmog'i tugunlarini himoya qilish tizimidan foydalangan holda.
« Ichki hujumchi» - tizim foydalanuvchisi sifatida ro'yxatdan o'tgan, g'arazli manfaatlar yoki qasos olish maqsadida, ehtimol tashkilot xodimlari bo'lmagan shaxslar bilan til biriktirib, maqsadli harakat qilgan xodim. U xavfsizlik tizimini buzishning barcha usullari va vositalaridan, shu jumladan kirish tafsilotlarini olishning yashirin usullaridan, passiv vositalardan (tizim tarkibiy qismlarini o'zgartirmasdan ushlab turishning texnik vositalari), faol ta'sir qilish usullari va vositalaridan foydalanishi mumkin. texnik vositalarni o'zgartirish, ma'lumotlarni uzatish kanallariga ulanish, dasturiy xatcho'plarni joriy etish va maxsus instrumental va texnologik dasturlardan foydalanish), shuningdek, ichkaridan va jamoat tarmoqlaridan ta'sirlarning kombinatsiyasi.

Insayder quyidagi toifadagi xodimlar bo'lishi mumkin:

AU ning ro'yxatdan o'tgan oxirgi foydalanuvchilari ( bo'limlar va filiallar xodimlari);
ishchilarga AU bilan ishlashga ruxsat berilmagan;
atom elektr stantsiyasining texnik vositalariga xizmat ko'rsatuvchi xodimlar ( muhandislar, texniklar);
dasturiy ta'minotni ishlab chiqish va texnik xizmat ko'rsatish bo'limlari xodimlari ( amaliy va tizim dasturchilari);
tashkilotning binolari va binolariga xizmat ko'rsatadigan texnik xodimlar ( farroshlar, elektrchilar, santexniklar va karnay qismlari joylashgan binolar va binolarga kirish huquqiga ega bo'lgan boshqa ishchilar);
turli darajadagi rahbarlar.

ishdan bo'shatilgan ishchilar;
tashkilot hayotini ta'minlash masalalari bo'yicha o'zaro hamkorlik qiluvchi tashkilotlar vakillari ( energiya, suv, issiqlik ta'minoti va boshqalar.);
uskunalar, dasturiy ta'minot, xizmatlar va boshqalarni etkazib beruvchi firmalar vakillari;
jinoiy tashkilotlar va raqobatchi tijorat tuzilmalari a'zolari yoki ularning nomidan ish yurituvchi shaxslar;
tashqi tarmoqlardan tasodifan yoki ataylab tarmoqqa kirgan shaxslar ( "Hackerlar").

Xodimlar orasidan foydalanuvchilar va xizmat ko'rsatuvchi xodimlar resurslardan foydalanish bo'yicha ma'lum vakolatlari va axborotni qayta ishlash texnologiyasini yaxshi bilishlari tufayli ruxsatsiz harakatlarni amalga oshirish uchun eng katta imkoniyatlarga ega. Ushbu tartibbuzarlar guruhining xatti-harakatlari amaldagi qoidalar va qoidalarni buzish bilan bevosita bog'liq. Ushbu qoidabuzarlar guruhi jinoiy tuzilmalar bilan o'zaro munosabatlarda ayniqsa xavflidir.

Ishdan bo'shatilgan ishchilar o'z maqsadlariga erishish uchun ish texnologiyasi, himoya choralari va kirish huquqlari haqidagi bilimlaridan foydalanishlari mumkin.

Jinoiy tuzilmalar tashqi tahdidlarning eng agressiv manbai hisoblanadi. O'z rejalarini amalga oshirish uchun ushbu tuzilmalar qonunni ochiqdan-ochiq buzishi va tashkilot xodimlarini o'z faoliyatiga barcha kuch va vositalar bilan jalb qilishlari mumkin.

Hackerlar eng yuqori texnik malakaga ega va AUda qo'llaniladigan dasturiy ta'minotning zaif tomonlari haqida bilimga ega. Ular ishlaydigan yoki ishdan bo'shatilgan ishchilar va jinoiy tuzilmalar bilan aloqa qilishda eng katta xavf tug'diradi.

Uskunalar va axborot tizimlarini ishlab chiqish, etkazib berish va ta'mirlash bilan shug'ullanadigan tashkilotlar vaqti-vaqti bilan axborot resurslariga bevosita kirish imkoniyatiga ega bo'lganligi sababli tashqi xavf tug'diradi. Jinoiy tuzilmalar himoyalangan ma'lumotlarga kirish uchun ushbu tashkilotlardan o'z a'zolarini vaqtinchalik ish bilan ta'minlash uchun foydalanishi mumkin.

7. Axborot xavfsizligi sohasidagi texnik siyosat

7.1. Texnik siyosatning asosiy qoidalari

Axborot xavfsizligi sohasida texnik siyosatni amalga oshirish faqat bitta alohida vosita yordamida emas, balki axborot xavfsizligining zarur darajasini ta'minlash mumkin emasligidan kelib chiqishi kerak. faoliyat), balki ularning oddiy kombinatsiyasi yordamida ham. Ularni bir-biri bilan tizimli muvofiqlashtirish zarur ( murakkab dastur) va AU ning individual ishlab chiqilgan elementlari texnik () optimal nisbati bilan himoyalangan dizayndagi yagona axborot tizimining bir qismi sifatida ko'rib chiqilishi kerak. apparat, dasturiy ta'minot) mablag'lar va tashkiliy chora-tadbirlar.

AES ma'lumotlarining xavfsizligini ta'minlash bo'yicha texnik siyosatni amalga oshirishning asosiy yo'nalishlari ruxsatsiz kirish va maxsus ta'sirlar natijasida axborot resurslarini o'g'irlash, yo'qotish, sizib chiqish, yo'q qilish, buzish yoki qalbakilashtirishdan himoya qilishni ta'minlashdan iborat.

Axborot xavfsizligini ta'minlash bo'yicha texnik siyosatning ko'rsatilgan yo'nalishlari doirasida quyidagilar amalga oshiriladi:

ijrochilarni qabul qilish uchun ruxsat berish tizimini joriy etish ( foydalanuvchilar, xizmat ko'rsatish xodimlari) maxfiy xarakterdagi ishlar, hujjatlar va ma'lumotlarga;
ijrochilar va ruxsatsiz shaxslarning maxfiy xarakterdagi ishlar olib boriladigan hamda axborotlashtirish va aloqa vositalari joylashgan binolar va binolarga kirishini cheklash ( saqlanadi, uzatiladi) to'g'ridan-to'g'ri axborotlashtirish va aloqa vositalariga tegishli bo'lgan maxfiy ma'lumotlar;
foydalanuvchilar va xizmat ko'rsatuvchi xodimlarning axborot resurslariga, AU tarkibiga kiradigan turli darajadagi va maqsadlardagi quyi tizimlardagi ma'lumotlarni qayta ishlash va himoya qilish uchun dasturiy ta'minotga kirishini farqlash;
hujjatlarni, ma'lumotlar massivlarini ro'yxatga olish, foydalanuvchilar va xizmat ko'rsatuvchi xodimlarning harakatlarini ro'yxatga olish, ruxsatsiz kirish va foydalanuvchilarning, xizmat ko'rsatuvchi xodimlarning va ruxsatsiz shaxslarning harakatlarini nazorat qilish;
avtomatlashtirilgan quyi tizimlarga virus dasturlari, dasturiy xatcho'plar kiritilishining oldini olish;
kompyuter texnikasi va aloqa vositalari orqali qayta ishlangan va uzatiladigan axborotni kriptografik himoya qilish;
mashina saqlash vositalarini ishonchli saqlash, kriptografik kalitlar ( asosiy ma'lumotlar) va ularning aylanishi, o'g'irlik, almashtirish va yo'q qilish bundan mustasno;
texnik vositalarni zarur zaxiralash va massivlar va axborot tashuvchilarni takrorlash;
avtomatlashtirilgan quyi tizimlarning turli elementlari tomonidan yaratilgan soxta emissiyalar va pikaplar darajasi va axborot mazmunini kamaytirish;
nazorat qilinadigan hududdan tashqariga chiqadigan axborotlashtirish ob'ektlarining elektr ta'minoti sxemalarini, topraklama va boshqa sxemalarini elektr izolyatsiyasi;
optik va lazerli kuzatish vositalariga qarshi turish.

7.2. Axborot xavfsizligi rejimini shakllantirish

AES xavfsizligiga aniqlangan tahdidlarni hisobga olgan holda, axborot xavfsizligi rejimi AESda va uni qo'llab-quvvatlovchi infratuzilmada aylanib yuruvchi ma'lumotlarni tabiiy yoki sun'iy xarakterdagi tasodifiy yoki qasddan ta'sirlardan himoya qilish bo'yicha usullar va chora-tadbirlar majmui sifatida shakllantirilishi kerak. axborot egalariga yoki foydalanuvchilariga zarar yetkazish.

Axborot xavfsizligi rejimini shakllantirish bo'yicha chora-tadbirlar majmui quyidagilarni o'z ichiga oladi:

avtomatlashtirilgan tizimda axborot xavfsizligining tashkiliy-huquqiy rejimini o'rnatish ( me'yoriy hujjatlar, xodimlar bilan ishlash, ish yuritish);
cheklangan tarqatiladigan ma'lumotlarni texnik kanallar orqali sizib chiqishidan himoya qilish bo'yicha tashkiliy-texnik tadbirlarni amalga oshirish;
ruxsat etilmagan xatti-harakatlarning oldini olishga qaratilgan tashkiliy va dasturiy-texnik chora-tadbirlar ( kirish) AU axborot resurslariga;
tasodifiy yoki qasddan ta'sirlardan keyin cheklangan tarqatiladigan axborot resurslarini himoya qilish vositalari va tizimlarining ishlashini nazorat qilish bo'yicha chora-tadbirlar majmui.

8. Axborot xavfsizligini ta'minlash choralari, usullari va vositalari

8.1. Tashkiliy chora-tadbirlar

Tashkiliy chora-tadbirlar- bu AESning ishlash jarayonlarini, ularning resurslaridan foydalanishni, texnik xizmat ko'rsatuvchi xodimlarning faoliyatini, shuningdek foydalanuvchilarning tizim bilan o'zaro munosabati tartibini tartibga soluvchi tashkiliy chora-tadbirlardir xavfsizlik tahdidlarini amalga oshirish va ular amalga oshirilgan taqdirda zarar miqdorini kamaytirish.

8.1.1. Xavfsizlik siyosatini shakllantirish

Tashkiliy chora-tadbirlarning asosiy maqsadi axborotni muhofaza qilish sohasidagi yondashuvlarni aks ettiruvchi axborot xavfsizligi sohasida siyosatni shakllantirish va zarur resurslarni ajratish va ishlarning holatini monitoring qilish orqali uning amalga oshirilishini ta'minlashdan iborat.

Amaliy nuqtai nazardan, AES xavfsizligi siyosatini ikki darajaga bo'lish kerak. Yuqori darajaga butun tashkilot faoliyatiga ta'sir qiluvchi qarorlar kiradi. Bunday echimlarga misol bo'lishi mumkin:

axborot xavfsizligini ta’minlash bo‘yicha kompleks dasturni shakllantirish yoki qayta ko‘rib chiqish, uni amalga oshirish uchun mas’ul shaxslarni aniqlash;
maqsadlarni shakllantirish, maqsadlarni belgilash, axborot xavfsizligi sohasidagi faoliyat sohalarini belgilash;
xavfsizlik dasturini amalga oshirish bo'yicha qarorlar qabul qilish, ular umuman tashkilot darajasida ko'rib chiqiladi;
tartibga solish ( qonuniy) xavfsizlik savollari ma'lumotlar bazasi va boshqalar.

Quyi darajadagi siyosat maqsadlarga erishish va axborot xavfsizligi muammolarini hal qilish tartibi va qoidalarini belgilaydi va ushbu qoidalarning tafsilotlarini (tartibga soladi):

axborot xavfsizligi siyosati doirasi qanday;
axborot xavfsizligi siyosatini amalga oshirish uchun mas'ul mansabdor shaxslarning roli va mas'uliyati qanday;
cheklangan ma'lumotlardan foydalanish huquqiga kim ega;
kim va qanday sharoitda ma'lumotni o'qishi va o'zgartirishi mumkin va hokazo.

Pastki darajadagi siyosat:

maxfiy axborot resurslariga nisbatan o‘zboshimchalik, monopoliya yoki ruxsat etilmagan harakatlar ehtimolini istisno qilgan holda, axborot munosabatlarini tartibga solishni ta’minlash;
sirlarni almashishning koalitsiyaviy va ierarxik tamoyillari va usullarini va cheklangan tarqatiladigan ma'lumotlarga kirishni cheklashni belgilash;
kriptografik himoya qilishning dasturiy-texnik vositalarini, buzg‘unchilikka qarshi kurashish, autentifikatsiya qilish, avtorizatsiya qilish, identifikatsiya qilish va axborot munosabatlari subyektlarining huquq va majburiyatlarini amalga oshirish kafolatlarini ta’minlovchi boshqa himoya mexanizmlarini tanlash.

8.1.2. Texnik vositalardan foydalanishni tartibga solish

Xavfsiz avtomatlashtirilgan ish stantsiyalari va Bank serverlarining ishlashi ishonchli avtomatik qulflar, signalizatsiya qurilmalari bilan jihozlangan va doimiy qo'riqlanadigan yoki nazorat qilinadigan xonalarda amalga oshirilishi kerak, bu binolarga ruxsat etilmagan shaxslarning nazoratsiz kirishi va himoyalangan resurslarning jismoniy xavfsizligini ta'minlash imkoniyatini istisno qiladi. binolarda joylashgan ( AWP, hujjatlar, kirish tafsilotlari va boshqalar.). Bunday AWPlarning texnik vositalarini joylashtirish va o'rnatish kirishni vizual ko'rish imkoniyatini istisno qilishi kerak ( qaytarib olingan) unga aloqador bo'lmagan shaxslarning ma'lumotlari. Ularda o'rnatilgan asbob-uskunalar bilan binolarni tozalash ushbu texnik vositalar tayinlangan mas'ul shaxs yoki bo'linma bo'yicha navbatchi ishtirokida himoyalangan resurslarga ruxsatsiz kirishni istisno qiladigan choralarni ko'rgan holda amalga oshirilishi kerak.

Cheklangan ma'lumotlarni qayta ishlash jarayonida binolarda faqat ushbu ma'lumotlar bilan ishlashga ruxsat berilgan xodimlar bo'lishi kerak.

Ish kunining oxirida himoyalangan ish stantsiyalari o'rnatilgan binolar himoyaga topshirilishi kerak.

Rasmiy hujjatlarni va himoyalangan ma'lumotlarga ega mashina vositalarini saqlash uchun xodimlarga metall shkaflar, shuningdek hujjatlarni yo'q qilish vositalari taqdim etiladi.

Maxfiy ma'lumotlarni qayta ishlash yoki saqlash uchun foydalaniladigan texnik vositalar muhrlangan bo'lishi kerak.

8.1.3. Xodimlarni axborot resurslaridan foydalanishga qabul qilishni tartibga solish

Ruxsat beruvchi qabul qilish tizimi doirasida quyidagilar belgilanadi: kimga, kimga, qanday ma'lumot va qaysi turdagi kirish uchun va qanday sharoitlarda taqdim etilishi mumkin; Barcha foydalanuvchilar uchun ma'lum operatsiyalar uchun mavjud bo'lgan AU ma'lumotlari va dasturiy ta'minot resurslarini aniqlashni o'z ichiga olgan kirishni boshqarish tizimi ( o'qish, yozish, o'zgartirish, o'chirish, bajarish) belgilangan dasturiy va apparat vositalaridan foydalanish.

Ishchilarni AU bilan ishlashga qabul qilish va ularning resurslaridan foydalanish qat'iy tartibga solinishi kerak. AU quyi tizimlari foydalanuvchilarining tarkibi va vakolatlaridagi har qanday o'zgarishlar belgilangan tartibda amalga oshirilishi kerak.

AUdagi ma'lumotlarning asosiy foydalanuvchilari tashkilotning tarkibiy bo'linmalari xodimlaridir. Har bir foydalanuvchi uchun vakolat darajasi quyidagi talablarga rioya qilgan holda alohida belgilanadi:

ochiq va maxfiy ma'lumotlar iloji boricha turli serverlarda joylashtiriladi;
har bir xodim o'zining mehnat majburiyatlariga muvofiq ishlashi kerak bo'lgan ma'lumotlarga nisbatan faqat unga belgilangan huquqlardan foydalanadi;
boshliq o'z qo'l ostidagilarning ma'lumotlarini ko'rish huquqiga ega;
eng muhim texnologik operatsiyalar qoidaga muvofiq amalga oshirilishi kerak "Ikki qo'lda"- kiritilgan ma'lumotlarning to'g'riligi ma'lumotlarni kiritish huquqiga ega bo'lmagan boshqa mansabdor shaxs tomonidan tasdiqlanadi.

AESda va AESda ishlashga qabul qilingan barcha xodimlar ma'lumotlarni avtomatlashtirilgan qayta ishlashning belgilangan tartibini, o'z ixtiyoridagi himoyalangan tizim resurslarini saqlash, ulardan foydalanish va uzatish qoidalarini buzganliklari uchun shaxsan javobgar bo'lishi kerak. Ishga qabul qilishda har bir xodim maxfiy ma'lumotlarni saqlash talablariga rioya qilish va ularni buzganlik uchun javobgarlik, shuningdek AUda himoyalangan ma'lumotlar bilan ishlash qoidalariga rioya qilish bo'yicha majburiyatni imzolashi kerak.

AU quyi tizimlarida himoyalangan ma'lumotlarni qayta ishlash tasdiqlangan texnologik ko'rsatmalarga muvofiq amalga oshirilishi kerak ( buyurtmalar) ushbu quyi tizimlar uchun.

Foydalanuvchilar, himoyalangan ish stantsiyalari uchun zarur texnologik ko'rsatmalar, shu jumladan axborot xavfsizligini ta'minlash talablari ishlab chiqilishi kerak.

8.1.4. Ma'lumotlar bazalarini saqlash va axborot resurslarini o'zgartirish jarayonlarini tartibga solish

AUda ma'lumotlar bazalarini saqlash bo'yicha barcha operatsiyalar va ishchilarni ushbu ma'lumotlar bazalari bilan ishlashga qabul qilish qat'iy tartibga solinishi kerak. AU ma'lumotlar bazalari foydalanuvchilarining tarkibi va vakolatlaridagi har qanday o'zgarishlar belgilangan tartibda amalga oshirilishi kerak.

Ismlarni taqsimlash, parollarni yaratish, ma'lumotlar bazalariga kirishni farqlash qoidalarini ta'minlash Axborot texnologiyalari bo'limi xodimlariga yuklangan. Bunday holda, ma'lumotlar bazasi va operatsion tizimlarni himoya qilishning standart va qo'shimcha vositalaridan foydalanish mumkin.

8.1.5. Texnik xizmat ko'rsatish jarayonlarini tartibga solish va apparat va dasturiy ta'minot resurslarini o'zgartirish

Himoya qilinadigan tizim resurslari ( vazifalar, dasturlar, AWP) qat'iy hisobga olinadi ( tegishli shakllar yoki maxsus ma'lumotlar bazalaridan foydalanishga asoslangan).

Himoyalangan ma'lumotlar qayta ishlanadigan yoki himoyalangan resurslarga kirish mumkin bo'lgan avtomatlashtirilgan ish stantsiyalarining apparat va dasturiy ta'minot konfiguratsiyasi ushbu AWP foydalanuvchilariga yuklangan funktsional vazifalar doirasiga mos kelishi kerak. Barcha foydalanilmagan (keraksiz) ma'lumotlarni kiritish-chiqarish qurilmalari ( COM, USB, LPT portlari, floppi disklar, CD va boshqa saqlash vositalari) bunday AWP-larda o'chirilishi (o'chirilishi), keraksiz dasturiy ta'minot va AWS disklaridagi ma'lumotlar ham o'chirilishi kerak.

Texnik xizmat ko'rsatishni, texnik xizmat ko'rsatishni va himoya qilishni tashkil qilishni soddalashtirish uchun ish stantsiyalari jihozlanishi kerak dasturiy ta'minot orqali va birlashtirilgan sozlanishi ( belgilangan qoidalarga muvofiq).

Yangi AWPlarni ishga tushirish va apparat va dasturiy ta'minot konfiguratsiyasidagi barcha o'zgarishlar, tashkilot AS dagi mavjud AWPlar faqat belgilangan tartibda amalga oshirilishi kerak.

Barcha dasturiy ta'minot ( tashkilot mutaxassislari tomonidan ishlab chiqilgan, ishlab chiqaruvchilardan olingan yoki sotib olingan) belgilangan tartibda sinovdan o'tkazilishi va tashkilot dasturlari depozitariga o'tkazilishi kerak. AU quyi tizimlarida faqat belgilangan tartibda depozitariydan olingan dasturiy ta'minot o'rnatilishi va ishlatilishi kerak. ASda dasturiy ta'minot depozitariysiga kiritilmagan dasturiy ta'minotdan foydalanishni taqiqlash kerak.

Dasturiy ta'minotni ishlab chiqish, ishlab chiqilgan va sotib olingan dasturiy ta'minotni sinovdan o'tkazish, dasturiy ta'minotni ishga tushirish belgilangan tartibda amalga oshirilishi kerak.

8.1.6. Foydalanuvchilarni o'qitish va o'qitish

AUga kirishni ta'minlashdan oldin uning foydalanuvchilari, shuningdek, boshqaruv va texnik xizmat ko'rsatuvchi xodimlar maxfiy ma'lumotlar ro'yxati va ularning vakolatlari darajasi, shuningdek talablarni belgilaydigan tashkiliy va ma'muriy, me'yoriy, texnik va ekspluatatsion hujjatlar bilan tanishishlari kerak. va bunday ma'lumotlarni qayta ishlash tartibi.

Yuqoridagi barcha sohalarda ma'lumotni himoya qilish faqat foydalanuvchilar ma'lum bir intizomni ishlab chiqqandan keyin mumkin, ya'ni. AUda ishlaydigan har bir kishi uchun majburiy bo'lgan normalar. Ushbu normalar AU ning normal ishlashini buzadigan, qo'shimcha resurs xarajatlarini keltirib chiqaradigan, saqlangan va qayta ishlangan ma'lumotlarning yaxlitligini buzadigan, qonuniy foydalanuvchilarning manfaatlarini buzadigan har qanday qasddan yoki qasddan bo'lmagan harakatlarni taqiqlashni o'z ichiga oladi.

Ish paytida AESning ma'lum quyi tizimlaridan foydalanadigan barcha xodimlar atom elektr stantsiyasini ularga tegishli qismda himoya qilish bo'yicha tashkiliy va ma'muriy hujjatlarni bilishlari, texnologik ko'rsatmalarni va ularning xavfsizligini ta'minlash bo'yicha umumiy majburiyatlarni bilishlari va ularga qat'iy rioya qilishlari kerak. ma `lumot. Himoyalangan ma'lumotlarni qayta ishlashga ruxsat etilgan shaxslarga ushbu hujjatlarning talablarini etkazish bo'lim boshliqlari tomonidan ularning imzosi bilan amalga oshirilishi kerak.

8.1.7. Axborot xavfsizligi talablarini buzganlik uchun javobgarlik

Tashkilot xodimlari tomonidan axborot xavfsizligi talablarining har bir jiddiy buzilishi uchun xizmat tekshiruvi o'tkazilishi kerak. Jinoyatchilarga nisbatan tegishli choralar ko‘rilishi kerak. Axborotni xavfsiz avtomatlashtirilgan qayta ishlashni ta'minlash bo'yicha belgilangan qoidalarni buzgan holda sodir etilgan harakatlar uchun xodimlarning javobgarlik darajasi etkazilgan zarar, g'arazli niyatning mavjudligi va boshqa omillar bilan belgilanishi kerak.

Foydalanuvchilarning o'z harakatlari uchun shaxsiy javobgarlik tamoyilini amalga oshirish uchun quyidagilar zarur:

foydalanuvchilarning individual identifikatsiyasi va ular tomonidan boshlangan jarayonlar, ya'ni. ular uchun identifikatorni o'rnatish, uning asosida kirishning haqiqiyligi printsipiga muvofiq kirish farqlanadi;
foydalanuvchi autentifikatsiyasi ( autentifikatsiya) parollar, boshqa jismoniy asosdagi kalitlar va boshqalar asosida;
ro'yxatdan o'tish ( ro'yxatga olish) sana va vaqtni, so'ralayotgan va so'ralayotgan resurslarning identifikatorlarini, o'zaro aloqa turini va uning natijasini ko'rsatgan holda axborot tizimi resurslariga kirishni nazorat qilish mexanizmlarining ishlashi;
ruxsatsiz kirish urinishlariga munosabat ( signal, blokirovka va boshqalar.).

8.2. Texnik himoya vositalari

Texnik ( apparat va dasturiy ta'minot) himoya vositalari - AU tarkibiga kiruvchi va (mustaqil ravishda yoki boshqa vositalar bilan birgalikda) himoya funktsiyalarini bajaradigan turli xil elektron qurilmalar va maxsus dasturlar ( foydalanuvchilarni identifikatsiya qilish va autentifikatsiya qilish, resurslarga kirishni farqlash, hodisalarni ro'yxatga olish, axborotni kriptografik himoya qilish va boshqalar.).

Himoya qilishning barcha sohalarida atom elektr stantsiyasida ma'lumotlar xavfsizligini ta'minlashning barcha talablari va tamoyillarini hisobga olgan holda, himoya tizimiga quyidagi vositalar kiritilishi kerak:

foydalanuvchilar va ma'ruzachi elementlarini autentifikatsiya qilish vositalari ( terminallar, vazifalar, ma'lumotlar bazasi elementlari va boshqalar.) axborot va qayta ishlangan ma'lumotlarning maxfiylik darajasiga mos keladigan;
ma'lumotlarga kirishni cheklash vositalari;
ma'lumotlarni uzatish liniyalari va ma'lumotlar bazalaridagi axborotni kriptografik himoya qilish vositalari;
muomalani ro'yxatga olish va himoyalangan axborotdan foydalanishni nazorat qilish vositalari;
aniqlangan buzish yoki buzish urinishlariga javob berish vositalari;
soxta emissiyalar va pikaplar darajasi va axborot mazmunini kamaytirish vositalari;
optik kuzatish vositalaridan himoya qilish vositalari;
viruslar va zararli dasturlardan himoya qilish;
AC elementlarini ham, uskuna joylashgan binolarning strukturaviy elementlarini ham elektrdan ajratish vositalari.

Ruxsatsiz hujumlardan himoya qilishning texnik vositalariga quyidagi asosiy vazifalarni hal qilish yuklangan:

ismlar va/yoki maxsus jihozlardan foydalangan holda foydalanuvchilarni identifikatsiya qilish va autentifikatsiya qilish ( Xotira, Smart karta va boshqalarni bosing.);
foydalanuvchilarning kirishini tartibga solish jismoniy qurilmalar ish stantsiyalari ( disklar, kirish-chiqish portlari);
mantiqiy disklar, kataloglar va fayllarga kirishni tanlab (ixtiyoriy) boshqarish;
ish stantsiyasida va fayl serverida himoyalangan ma'lumotlarga kirishni vakolatli (majburiy) farqlash;
mahalliy va tarmoq drayverlarida joylashgan ishlashga ruxsat berilgan dasturlarning yopiq dasturiy muhitini yaratish;
kompyuter viruslari va zararli dasturlarning kirib kelishidan himoya qilish;
avtomatik rejimda va administrator buyruqlari bilan himoya tizimining modullari, disk tizimi maydonlari va ixtiyoriy fayllar ro'yxatlarining yaxlitligini nazorat qilish;
xavfsiz jurnalda foydalanuvchi harakatlarini ro'yxatdan o'tkazish, ro'yxatga olishning bir necha darajalari mavjudligi;
fayl serveridagi ma'lumotlarni himoya qilish tizimini barcha foydalanuvchilarning, shu jumladan tarmoq ma'murining kirishidan himoya qilish;
tarmoqning ish stansiyalarida kirishni farqlash vositalarini sozlashni markazlashtirilgan holda boshqarish;
ish stantsiyalarida sodir bo'lgan barcha buzish hodisalarini ro'yxatdan o'tkazish;
tarmoq foydalanuvchilarining ishini operativ nazorat qilish, ish stantsiyalarining ishlash rejimlarini o'zgartirish va blokirovka qilish imkoniyati ( zarur bo'lsa) tarmoqdagi istalgan stansiya.

Texnik himoya vositalarini muvaffaqiyatli qo'llash quyida sanab o'tilgan talablarning bajarilishi tashkiliy chora-tadbirlar va foydalaniladigan jismoniy himoya vositalari bilan ta'minlanishini nazarda tutadi:

AU ning barcha tarkibiy qismlarining jismoniy yaxlitligi ta'minlanadi;
har bir xodim ( tizim foydalanuvchisi) o'ziga xos tizim nomiga va o'zining funktsional vazifalarini bajarish uchun zarur bo'lgan tizim resurslariga kirish uchun minimal vakolatga ega;
ish stantsiyalarida instrumental va texnologik dasturlardan foydalanish ( test yordamchi dasturlari, tuzatuvchilar va boshqalar.), xavfsizlik choralarini buzish yoki chetlab o'tishga urinishlarga ruxsat berish cheklangan va qat'iy tartibga solinadi;
himoyalangan tizimda dasturlash foydalanuvchilari mavjud emas, dasturlarni ishlab chiqish va disk raskadrovka qilish esa himoyalangan tizimdan tashqarida amalga oshiriladi;
apparat va dasturiy ta'minot konfiguratsiyasidagi barcha o'zgarishlar qat'iy belgilangan tartibda amalga oshiriladi;
tarmoq uskunasi ( markazlar, kalitlar, marshrutizatorlar va boshqalar.) begonalar yeta olmaydigan joylarda joylashgan ( maxsus xonalar, shkaflar va boshqalar.);
axborot xavfsizligi xizmati axborot xavfsizligi vositalarining ishlashi uchun uzluksiz boshqaruv va ma'muriy yordamni amalga oshiradi.

8.2.1. Foydalanuvchi identifikatori va autentifikatsiya vositalari

Ruxsatsiz shaxslarning AUga kirishiga yo'l qo'ymaslik uchun tizim har bir qonuniy foydalanuvchini (yoki cheklangan foydalanuvchilar guruhlarini) tanib olishini ta'minlash kerak. Buning uchun tizimda ( himoyalangan joyda) har bir foydalanuvchining bir qancha atributlarini saqlashi kerak, ular orqali ushbu foydalanuvchini aniqlash mumkin. Kelajakda tizimga kirishda va agar kerak bo'lsa, tizimda muayyan harakatlarni amalga oshirishda foydalanuvchi o'zini identifikatsiyalashi shart, ya'ni. tizimda unga tayinlangan identifikatorni ko'rsating. Bundan tashqari, identifikatsiya qilish uchun turli xil qurilmalardan foydalanish mumkin: magnit kartalar, kalit qo'shimchalar, floppi disklar va boshqalar.

autentifikatsiya ( haqiqiyligini tasdiqlash) foydalanuvchilarning o'ziga xos xususiyatlarini (parametrlarini) tekshirish, parollar (maxfiy so'zlar) yoki autentifikatsiyaning maxsus vositalaridan foydalanish asosida amalga oshirilishi kerak.

8.2.2. Avtomatlashtirilgan tizim resurslariga kirishni chegaralash vositalari

Foydalanuvchini tan olgandan so'ng, tizim foydalanuvchini avtorizatsiya qilishi kerak, ya'ni foydalanuvchiga qanday huquqlar berilganligini aniqlaydi, ya'ni. qanday ma'lumotlardan va qanday foydalanishi mumkinligi, qanday dasturlarni bajarishi, qachon, qancha vaqt va qaysi terminallardan ishlashi, qanday tizim resurslaridan foydalanishi mumkinligi va hokazo. Foydalanuvchini avtorizatsiya qilish quyidagi kirishni boshqarish mexanizmlari yordamida amalga oshirilishi kerak:

atributlar sxemalari, ruxsatnomalar ro'yxati va boshqalardan foydalanishga asoslangan kirishni tanlab boshqarish mexanizmlari;
resurs konfidensialligi belgilari va foydalanuvchilarning kirish darajasidan foydalanishga asoslangan vakolatli kirishni boshqarish mexanizmlari;
ishonchli dasturiy ta'minotning yopiq muhitini ta'minlash mexanizmlari ( Har bir foydalanuvchi uchun ruxsat etilgan dasturlarning ro'yxati) tizimga kirgan foydalanuvchilarni aniqlash va autentifikatsiya qilish mexanizmlari tomonidan qo'llab-quvvatlanadi.

Muayyan texnik himoya vositalarining javobgarlik sohalari va vazifalari ushbu vositalar uchun hujjatlarda tasvirlangan ularning imkoniyatlari va ishlash xususiyatlaridan kelib chiqqan holda belgilanadi.

Kirishni boshqarishning texnik vositalari kirishni boshqarishning yagona tizimining ajralmas qismi bo'lishi kerak:

nazorat qilinadigan hududga;
alohida xonalarda;
AU elementlariga va axborot xavfsizligi tizimining elementlariga ( jismoniy kirish);
AU resurslariga ( matematik kirish);
axborot omborlariga ( saqlash vositalari, hajmlar, fayllar, ma'lumotlar to'plami, arxivlar, ma'lumotnomalar, yozuvlar va boshqalar.);
faol manbalarga ( amaliy dasturlar, vazifalar, so'rov shakllari va boshqalar.);
operatsion tizimga, tizim dasturlari va xavfsizlik dasturlari va boshqalar.

8.2.3. Dasturiy ta'minot va axborot resurslarining yaxlitligini ta'minlash va monitoring qilish vositalari

Taqdim etilgan qayta ishlash texnologiyasi bilan belgilanadigan dasturiy ta'minot muhitining o'zgarmasligini ta'minlash va ma'lumotlarni ruxsatsiz tuzatishdan himoya qilish uchun dasturlar, qayta ishlangan ma'lumotlar va himoya vositalarining yaxlitligini nazorat qilish:

nazorat summalarini hisoblash vositalari;
elektron imzo yordamida;
muhim manbalarni ularning asosiy nusxalari bilan solishtirish vositalari ( va yaxlitligi buzilgan taqdirda tiklash);
kirishni boshqarish vositalari ( o'zgartirish yoki o'chirish huquqi bilan kirishni rad etish).

Axborot va dasturlarni ruxsatsiz yo'q qilish yoki buzishdan himoya qilish uchun quyidagilarni ta'minlash kerak:

tizim jadvallari va ma'lumotlarini takrorlash;
disklardagi ma'lumotlarni duplekslash va aks ettirish;
operatsiyalarni kuzatish;
operatsion tizim va foydalanuvchi dasturlari, shuningdek foydalanuvchi fayllari yaxlitligini davriy nazorat qilish;
virusga qarshi himoya va nazorat;
oldindan tuzilgan sxema bo'yicha ma'lumotlarni zaxiralash.

8.2.4. Xavfsizlik hodisalarini boshqarish

Boshqaruv barcha hodisalarni ta'minlashi kerak ( foydalanuvchi harakatlari, ruxsatsiz shaxslarga urinishlar va boshqalar.), bu xavfsizlik siyosatining buzilishiga olib kelishi va inqirozli vaziyatlarning paydo bo'lishiga olib kelishi mumkin. Nazorat quyidagi imkoniyatlarni ta'minlashi kerak:

tarmoqning asosiy tugunlari va tarmoqni tashkil etuvchi aloqa uskunalarini, shuningdek tarmoqning asosiy segmentlarida tarmoq faoliyatini doimiy monitoring qilish;
foydalanuvchilarning korporativ va umumiy tarmoq xizmatlaridan foydalanishini nazorat qilish;
xavfsizlik hodisalari jurnallarini yuritish va tahlil qilish;
axborot xavfsizligiga tashqi va ichki tahdidlarni o‘z vaqtida aniqlash.

Xavfsizlik hodisalarini ro'yxatdan o'tkazishda tizim jurnalida quyidagi ma'lumotlar qayd etilishi kerak:

tadbirning sanasi va vaqti;
mavzu identifikatori ( foydalanuvchi, dastur) ro'yxatga olingan harakatni bajarish;
harakat ( agar kirish so'rovi ro'yxatga olingan bo'lsa, u holda kirish ob'ekti va turi belgilanadi).

Nazorat quyidagi hodisalar aniqlanishi va qayd etilishini ta'minlashi kerak:

foydalanuvchi tizimga kirish;
foydalanuvchining tarmoqqa kirishi;
muvaffaqiyatsiz kirish yoki tarmoqqa urinish ( noto'g'ri parol);
fayl serveriga ulanish;
dasturni ishga tushirish;
dasturni yakunlash;
ishga tushirish uchun mavjud bo'lmagan dasturni ishga tushirishga urinish;
kirish imkoni bo'lmagan katalogga kirishga urinish;
foydalanuvchiga kirish imkoni bo'lmagan diskdan ma'lumotlarni o'qish / yozishga urinish;
foydalanuvchi kirish imkoni bo'lmagan diskdan dasturni ishga tushirishga urinish;
himoya tizimining dasturlari va ma'lumotlarining yaxlitligini buzish va boshqalar.

Ruxsatsiz shaxslarning aniqlangan faktlariga javob berishning quyidagi asosiy usullari qo'llab-quvvatlanishi kerak ( ehtimol xavfsizlik administratori ishtirokida):

NSD haqidagi ma'lumotlar egasiga uning ma'lumotlariga xabar berish;
dasturni o'chirish ( vazifalar) keyingi ijro bilan;
ma'lumotlar bazasi ma'muri va xavfsizlik ma'murini xabardor qilish;
terminalni uzish ( ish stantsiyasi), NSD tomonidan tarmoqdagi axborot yoki noqonuniy harakatlarga urinishlar qilingan;
huquqbuzarni ro'yxatdan o'tgan foydalanuvchilar ro'yxatidan chiqarib tashlash;
signalizatsiya signalizatsiyasi va boshqalar.

8.2.5. Kriptografik axborot xavfsizligi

Atom elektr stansiyasi axborot xavfsizligi tizimining eng muhim elementlaridan biri axborotni aloqa kanallari orqali uzatish va kompyuter tashuvchilarda saqlash jarayonida ruxsatsiz kirishdan himoya qilishning kriptografik usullari va vositalaridan foydalanish bo‘lishi kerak.

AUda axborotni kriptografik himoya qilishning barcha vositalari asosiy kriptografik yadro asosida qurilishi kerak. Tashkilot kriptografik vositalardan foydalanish huquqi uchun qonun bilan belgilangan litsenziyalarga ega bo'lishi kerak.

AUda qo'llaniladigan kriptografik himoya vositalarining kalit tizimi kriptografik omon qolish va asosiy ma'lumotlarning buzilishidan ko'p darajali himoyani, foydalanuvchilarni himoya darajalari va ularning bir-biri bilan va boshqa darajadagi foydalanuvchilar bilan o'zaro ta'sir qilish zonalari bo'yicha ajratishni ta'minlashi kerak.

Aloqa kanallari orqali ma'lumotlarni uzatishda maxfiylik va taqlid muhofazasi tizimda abonent va kanallarni shifrlash vositalaridan foydalanish orqali ta'minlanishi kerak. Abonent va kanal ma'lumotlarini shifrlashning kombinatsiyasi uning butun yo'l bo'ylab oxirigacha himoyasini ta'minlashi, kommutatsiya markazlarining apparat va dasturiy ta'minotidagi nosozliklar va nosozliklar tufayli noto'g'ri yo'naltirilgan taqdirda axborotni himoya qilishi kerak.

Tarqalgan axborot resurslariga ega tizim bo'lgan AU, shuningdek, xabarlarning yaxlitligini va haqiqiyligini qonuniy tasdiqlovchi tasdiqlashni, shuningdek, foydalanuvchilarning, abonent stantsiyalarining autentifikatsiyasini va vaqtni tasdiqlashni ta'minlash uchun elektron imzolarni yaratish va tekshirish vositalaridan foydalanishi kerak. xabarlarni yuborish. Bunday holda standartlashtirilgan elektron imzo algoritmlaridan foydalanish kerak.

8.3. Axborot xavfsizligini boshqarish

AESda axborot xavfsizligi tizimini boshqarish xavfsizlik tizimining tarkibiy qismlariga maqsadli ta'sir ko'rsatadi ( tashkiliy, texnik, dasturiy va kriptografik) asosiy xavfsizlik tahdidlarini amalga oshirish kontekstida AESda aylanayotgan axborot xavfsizligining talab qilinadigan ko'rsatkichlari va standartlariga erishish uchun.

Axborot xavfsizligi tizimini boshqarishni tashkil etishdan asosiy maqsad axborotni qayta ishlash, saqlash va uzatish jarayonida himoya qilish ishonchliligini oshirishdan iborat.

Axborot xavfsizligi tizimini boshqarish boshqaruv organlari, texnik, dasturiy va kriptografik vositalar, shuningdek tashkiliy chora-tadbirlar va turli darajadagi o'zaro ta'sir qiluvchi boshqaruv punktlari yig'indisi bo'lgan ixtisoslashtirilgan boshqaruv quyi tizimi tomonidan amalga oshiriladi.

Boshqaruv quyi tizimining funktsiyalari: axborot, boshqaruv va yordamchi.

Axborot funktsiyasi himoya tizimining holatini doimiy monitoring qilish, xavfsizlik ko'rsatkichlarining ruxsat etilgan qiymatlarga muvofiqligini tekshirish va xavfsizlik operatorlarini atom elektr stantsiyasida yuzaga keladigan va axborot xavfsizligi buzilishiga olib kelishi mumkin bo'lgan vaziyatlar to'g'risida darhol xabardor qilishdan iborat. . Himoya tizimining holatini kuzatish uchun ikkita talab mavjud: to'liqlik va ishonchlilik. To'liqlik barcha himoya vositalarini va ularning ishlash parametrlarini qamrab olish darajasini tavsiflaydi. Boshqarishning ishonchliligi boshqariladigan parametrlar qiymatlarining ularning haqiqiy qiymatiga muvofiqlik darajasini tavsiflaydi. Nazorat ma'lumotlarini qayta ishlash natijasida himoya tizimining holati to'g'risidagi ma'lumotlar hosil bo'ladi, ular umumlashtiriladi va yuqori nazorat punktlariga uzatiladi.

Nazorat funktsiyasi ma'lum bir vaqtning o'zida mavjud bo'lgan sharoitlarda axborot xavfsizligi talablarini hisobga olgan holda AESning texnologik operatsiyalarini amalga oshirish rejalarini shakllantirish, shuningdek, axborot zaifligi holatining joylashishini aniqlash va uning chiqib ketishining oldini olishdir. axborot xavfsizligi tahdidlari paydo bo'ladigan AES bo'limlarini zudlik bilan blokirovka qilish. ... Nazorat funktsiyalariga hujjatlar va axborot tashuvchilar, parollar va kalitlarni hisobga olish, saqlash va berish kiradi. Shu bilan birga, parollar, kalitlarni yaratish, kirishni boshqarish vositalariga texnik xizmat ko'rsatish, AS dasturiy muhitiga kiritilgan yangi dasturiy vositalarni qabul qilish, dasturiy muhitning standartga muvofiqligini nazorat qilish, shuningdek, texnologik jarayonni nazorat qilish. Maxfiy ma'lumotlarni qayta ishlash Axborot texnologiyalari boshqarmasi va Iqtisodiy xavfsizlik boshqarmasi xodimlariga yuklatiladi.

Boshqaruv quyi tizimining yordamchi funktsiyalariga himoyalangan ma'lumotlar bilan avtomatlashtirilgan tizimda bajarilgan barcha operatsiyalarni hisobga olish, axborotning chiqib ketishining mumkin bo'lgan kanallarini tahlil qilish va aniqlash uchun hisobot hujjatlarini shakllantirish va statistik ma'lumotlarni to'plash kiradi.

8.4. Himoya tizimining samaradorligini nazorat qilish

Axborotni himoya qilish tizimining samaradorligini monitoring qilish unga ruxsatsiz kirish natijasida axborot sizib chiqishini o‘z vaqtida aniqlash va oldini olish, shuningdek, axborotni yo‘q qilishga, axborot texnologiyalarini yo‘q qilishga qaratilgan mumkin bo‘lgan maxsus harakatlarning oldini olish maqsadida amalga oshiriladi.

Axborotni muhofaza qilish chora-tadbirlari samaradorligini baholash belgilangan talablarga muvofiqligini tashkiliy, apparat va dasturiy nazorat vositalaridan foydalangan holda amalga oshiriladi.

Nazorat axborotni himoya qilish tizimining standart vositalari yordamida ham, maxsus nazorat va texnologik monitoring vositalari yordamida ham amalga oshirilishi mumkin.

8.5. Shaxsiy ma'lumotlarning axborot xavfsizligini ta'minlash xususiyatlari

Shaxsiy ma'lumotlarni tasniflash shaxsiy ma'lumotlar sub'ekti uchun shaxsiy ma'lumotlarning xavfsizlik xususiyatlarini yo'qotish oqibatlarining og'irligiga muvofiq amalga oshiriladi.

Shaxsiy ma'lumotlar haqida "Shaxsiy ma'lumotlarning maxsus toifalariga;
Federal qonunga muvofiq tasniflangan shaxsiy ma'lumotlar " Shaxsiy ma'lumotlar haqida “Biometrik shaxsiy ma’lumotlarga;
shaxsiy ma'lumotlarning maxsus toifalariga, biometrik shaxsiy ma'lumotlarga, ommaviy yoki anonimlashtirilgan shaxsiy ma'lumotlarga tegishli bo'lmagan shaxsiy ma'lumotlar;
Federal qonunga muvofiq tasniflangan shaxsiy ma'lumotlar " Shaxsiy ma'lumotlar haqida "Ommaga ochiq yoki anonim shaxsiy ma'lumotlarga.

Shaxsiy ma'lumotlarni uchinchi shaxsga o'tkazish Federal qonun yoki shaxsiy ma'lumotlar sub'ektining roziligi asosida amalga oshirilishi kerak. Agar tashkilot shaxsiy ma'lumotlarni qayta ishlashni shartnoma asosida uchinchi shaxsga topshirgan bo'lsa, bunday shartnomaning muhim sharti uchinchi tomonning shaxsiy ma'lumotlarning maxfiyligini va shaxsiy ma'lumotlarning xavfsizligini ta'minlash majburiyatidir. ularni qayta ishlash jarayonida.

Tashkilot, agar Rossiya Federatsiyasi qonunlarida boshqacha qoida nazarda tutilgan bo'lmasa, quyidagi hollarda Rossiya Federatsiyasi qonunlarida belgilangan muddatlarda shaxsiy ma'lumotlarni qayta ishlashni to'xtatishi va to'plangan shaxsiy ma'lumotlarni yo'q qilishi kerak:

qayta ishlash maqsadlariga erishilganda yoki ularga erishish zarurati bo'lmasa;
shaxsiy ma'lumotlar sub'ektining yoki Shaxsiy ma'lumotlar sub'ektlarining huquqlarini himoya qilish bo'yicha vakolatli organning talabiga binoan - agar shaxsiy ma'lumotlar to'liq bo'lmagan, eskirgan, ishonchsiz, noqonuniy ravishda olingan yoki qayta ishlashning belgilangan maqsadlari uchun zarur bo'lmasa;
shaxsiy ma'lumotlar sub'ekti o'zining shaxsiy ma'lumotlarini qayta ishlashga roziligini bekor qilganda, agar Rossiya Federatsiyasi qonunchiligiga muvofiq bunday rozilik zarur bo'lsa;
agar operator tomonidan shaxsiy ma'lumotlarni qayta ishlashda yo'l qo'yilgan qoidabuzarliklarni bartaraf etishning iloji bo'lmasa.

Tashkilot quyidagilarni belgilashi va hujjatlashtirishi kerak:

shaxsiy ma'lumotlarni yo'q qilish tartibi ( shaxsiy ma'lumotlarning moddiy tashuvchilari, shu jumladan);
shaxsiy ma'lumotlar sub'ektlarining so'rovlarini ko'rib chiqish tartibi ( yoki ularning qonuniy vakillari) shaxsiy ma'lumotlarini qayta ishlash to'g'risida;
shaxsiy ma'lumotlar sub'ektlarining huquqlarini himoya qilish bo'yicha vakolatli organ yoki shaxsiy ma'lumotlar sohasida nazorat va nazoratni amalga oshiruvchi boshqa nazorat organlari tomonidan so'rovlar bo'yicha harakatlar tartibi;
AUni shaxsiy ma'lumotlar axborot tizimlari sifatida tasniflashga yondashuv ( Keyinchalik - ISPDN );
ISPD ro'yxati. ISPD ro'yxati ASni o'z ichiga olishi kerak, uni yaratish va ishlatish maqsadi shaxsiy ma'lumotlarni qayta ishlashdir.

Har bir PDIS uchun quyidagilar aniqlanishi va hujjatlashtirilishi kerak:

shaxsiy ma'lumotlarni qayta ishlash maqsadi;
qayta ishlangan shaxsiy ma'lumotlarning hajmi va mazmuni;
shaxsiy ma'lumotlar va ularni qayta ishlash usullari bilan harakatlar ro'yxati.

Shaxsiy ma'lumotlarning hajmi va mazmuni, shuningdek, shaxsiy ma'lumotlarni qayta ishlash harakatlari va usullari ro'yxati qayta ishlash maqsadlariga mos kelishi kerak. Agar amalga oshirilishi ISPD tomonidan qo'llab-quvvatlanadigan axborot texnologik jarayonini amalga oshirish uchun ma'lum shaxsiy ma'lumotlarni qayta ishlashga hojat qolmasa, ushbu shaxsiy ma'lumotlar o'chirilishi kerak.

ISPDN-da shaxsiy ma'lumotlar xavfsizligini ta'minlashga qo'yiladigan talablar, odatda, tashkiliy, texnologik, texnik va dasturiy ta'minot chora-tadbirlari, axborotni himoya qilish vositalari va mexanizmlari majmuasi bilan amalga oshiriladi.

Amalga oshirishni tashkil etish va ( yoki) shaxsiy ma'lumotlar xavfsizligini ta'minlash bo'yicha talablarni amalga oshirish shaxsiy ma'lumotlar xavfsizligini ta'minlash uchun mas'ul bo'lgan tashkilotning tarkibiy bo'linmasi yoki mansabdor shaxsi (xodimi) yoki shartnoma asosida kontragent tomonidan amalga oshirilishi kerak. maxfiy ma'lumotlarning texnik muhofazasini ta'minlash uchun litsenziyaga ega bo'lgan tashkilot.

Tashkilotning ISPD yaratilishi (ISPD) ishlab chiqish va tasdiqlashni o'z ichiga olishi kerak. bayonot) texnik topshiriqda nazarda tutilgan yaratilayotgan tizim uchun tashkiliy, ma'muriy, dizayn va ekspluatatsion hujjatlar. Hujjatlar qayta ishlangan shaxsiy ma'lumotlarning xavfsizligini ta'minlash masalalarini aks ettirishi kerak.

Kontseptsiyalarni, texnik shartlarni ishlab chiqish, ISPDni loyihalash, yaratish va sinovdan o'tkazish, qabul qilish va ishga tushirish shaxsiy ma'lumotlar xavfsizligini ta'minlash uchun mas'ul bo'lgan tarkibiy bo'linma yoki mansabdor shaxs (xodim) bilan kelishilgan holda va nazorati ostida amalga oshirilishi kerak.

Tashkilotning ISPD ga tegishli barcha axborot aktivlari zararli kod ta'siridan himoyalangan bo'lishi kerak. Tashkilot shaxsiy ma'lumotlarning xavfsizligini antivirusdan himoya qilish orqali ta'minlash talablarini va ushbu talablarning bajarilishini nazorat qilish tartibini aniqlashi va hujjatlashtirishi kerak.

Tashkilot aloqa portlariga, kirish / chiqish qurilmalariga, olinadigan saqlash vositalariga va ISPDN tashqi xotira qurilmalariga kirishni boshqarish imkonini beruvchi kirishni boshqarish tizimiga ega bo'lishi kerak.

Tashkilotning ISPD operatsion va xizmat ko'rsatish bo'linmalari rahbarlari shaxsiy ma'lumotlarning ISPDNda qayta ishlash jarayonida xavfsizligini ta'minlaydi.

ISPDN-da shaxsiy ma'lumotlarni qayta ishlaydigan xodimlar ko'rsatmalarga muvofiq harakat qilishlari kerak ( ko'rsatmalar, qoidalar va boshqalar.), ISPD bo'yicha operatsion hujjatlarning bir qismi bo'lgan va IS texnik hujjatlari talablariga javob beradi.

Tashkilotning ISPD ISni ta'minlash uchun talablarni amalga oshiradigan himoya vositalari va himoya mexanizmlarini boshqarish bo'yicha majburiyatlar buyruqlar bilan belgilanadi ( buyurtmalar) Axborot texnologiyalari bo'limi mutaxassislari bo'yicha.

Axborot texnologiyalari bo'limi mutaxassislari va shaxsiy ma'lumotlarni qayta ishlash bilan shug'ullanadigan xodimlarning ishlash tartibi ko'rsatmalar bilan belgilanishi kerak ( ko'rsatmalar), ISPD ishlab chiqaruvchisi tomonidan ISPD uchun operatsion hujjatlarning bir qismi sifatida tayyorlangan.

Belgilangan ko'rsatmalar ( qo'llanmalar):

axborot xavfsizligi sohasidagi xodimlarning malakasiga qoʻyiladigan talablarni, shuningdek muhofaza qilinadigan obʼyektlarning dolzarb roʻyxatini va uni yangilash qoidalarini belgilash;
to'liq tegishli ( vaqt bo'yicha) foydalanuvchi huquqlari to'g'risidagi ma'lumotlar;
axborot xavfsizligi bo'yicha mutaxassis uchun zarur bo'lgan hajmda axborotni qayta ishlash texnologiyasi to'g'risidagi ma'lumotlarni o'z ichiga olishi;
hodisalar jurnallarini tahlil qilish tartibi va chastotasini belgilash ( log arxivlari);
boshqa harakatlarni tartibga solish.

Axborot texnologiyalari departamenti mutaxassislarining mas'uliyati sohasida qo'llaniladigan himoya vositalari va axborotni buzishdan himoya qilish mexanizmlarining konfiguratsiya parametrlari ISPD bo'yicha operatsion hujjatlarda belgilanadi. O'rnatilgan konfiguratsiya parametrlarini tekshirish tartibi va chastotasi operatsion hujjatlarda belgilanadi yoki ichki hujjat bilan tartibga solinadi, tekshirishlar yiliga kamida bir marta o'tkazilishi kerak.

Tashkilot ISPDN texnik vositalari joylashgan va shaxsiy ma'lumotlar tashuvchilari saqlanadigan binolarga ruxsatsiz shaxslarning kirishini nazorat qilishni va ruxsatsiz kirish uchun to'siqlar mavjudligini ta'minlaydigan binolarga kirish tartibini belgilashi va hujjatlashtirishi kerak. binolar. Belgilangan tartib tarkibiy bo'linma yoki mansabdor shaxs tomonidan ishlab chiqilishi kerak ( xodim), jismoniy xavfsizlik rejimini ta'minlash uchun mas'ul va tarkibiy bo'linma yoki mansabdor shaxs tomonidan kelishilgan ( xodim), shaxsiy ma'lumotlarning xavfsizligini ta'minlash uchun mas'ul va Iqtisodiy xavfsizlik boshqarmasi.

ISPD foydalanuvchilari va xizmat ko'rsatish xodimlari ruxsatsiz va ( yoki) ro'yxatdan o'tmagan ( nazoratsiz) shaxsiy ma'lumotlarni nusxalash. Shu maqsadda tashkiliy va texnik choralar ruxsatsiz va ( yoki) ro'yxatdan o'tmagan ( nazoratsiz) shaxsiy ma'lumotlardan nusxa ko'chirish, shu jumladan begonalashtirilgan ( almashtirilishi mumkin) saqlash vositalari, ma'lumotlarni nusxalash va uzatish uchun mobil qurilmalar, aloqa portlari va turli interfeyslarni amalga oshiradigan kirish / chiqish qurilmalari ( shu jumladan simsiz), mobil qurilmalarni saqlash qurilmalari ( Masalan, noutbuklar, PDAlar, smartfonlar, mobil telefonlar), shuningdek, foto va video qurilmalar.

Shaxsiy xavfsizlikni nazorat qilish axborot xavfsizligi bo'yicha mutaxassis tomonidan axborotni himoya qilish tizimining standart vositalari yordamida ham, maxsus nazorat va texnologik monitoring vositalari yordamida ham amalga oshiriladi.

ZIP faylni yuklab oling (65475)

Hujjatlar foydali bo'ldi - "like" qo'ying yoki:

Rossiya Federatsiyasining axborot xavfsizligini ta'minlash ma'lumotlarni saqlash va uzatishda katta rol o'ynaydigan rivojlanayotgan va istiqbolli sohadir.

Rossiya Federatsiyasining axborot xavfsizligi tizimi

So'nggi paytlarda har qanday tashkilot yoki jismoniy shaxs Internetda yoki kompyuterlarda saqlanadigan juda katta miqdordagi umumlashtirilgan ma'lumotlarga ega, shuning uchun bunday katta hajmdagi ma'lumotlar tez-tez sizib ketishiga sabab bo'ldi, ammo hech kim maxfiy va maxfiy ma'lumotlarni xohlamaydi. notanish odamlarga biror narsa tushdi, aslida buning uchun siz axborot xavfsizligini ta'minlash uchun ehtiyot choralarini ko'rishingiz kerak.

Ushbu sohadagi statistik ma'lumotlar shuni ko'rsatadiki, bir qator mamlakatlarda axborot xavfsizligini ta'minlash bo'yicha ma'lum choralar allaqachon qo'llanila boshlandi, ular umumiy qabul qilingan, ammo boshqa statistik ma'lumotlar ham borki, firibgarlar nafaqat maxfiy ma'lumotlarga kirishga urinishlarini to'xtatmagan. , aksincha, yaxshilanish bilan kiberjinoyatchilar uni chetlab o'tish yoki buzishning yangi usullarini topmoqdalar, shuning uchun hozirgi vaqtda biz firibgarlik faoliyatining kamayishi emas, balki ko'payishi tendentsiyasini kuzatishimiz mumkin. Shuni qo'shimcha qilmoqchimanki, hozirda Rossiya Federatsiyasining axborot ta'minoti juda tez rivojlanmoqda va ijobiy o'sish tendentsiyasiga ega, ilgari Rossiya Federatsiyasida axborot ta'minotining bunday yuqori darajasi bo'lmagan.

Mutlaqo har qanday tashkilot yoki korxona maxfiy ma'lumotlarni yo'qotish xavfi juda yuqori ekanligini juda yaxshi tushunadi, shuning uchun ular sizib chiqishining oldini olish va maxfiy ma'lumotlar shundayligicha qolishiga ishonch hosil qilish uchun qo'llaridan kelganini qiladilar, ammo sxema professional emas, u katta hajmdagi ma'lumotlarni himoya qiladi. ma'lumot beradi va firibgarlar uchun ko'plab harakatlarni yopadi, ammo undagi bo'shliqlar hali ham saqlanib qolmoqda, shuning uchun vakolatli dasturchilar xavfsizlik tizimlarini chetlab o'tib, maxfiy ma'lumotlarga kirishadi, keyinchalik ular noqonuniy maqsadlarda foydalaniladi.

AXBT funksiyalari va shartlari

Har qanday xavfsizlik tizimida mavjud bo'lishi kerak bo'lgan Rossiya Federatsiyasi axborot xavfsizligi tizimining asosiy funktsiyalari:

Intrusion tahdidlarini darhol aniqlash. Ushbu tahdidni bartaraf etish va tajovuzkorlar kompaniyaga va jismoniy shaxsga moddiy va ma'naviy zarar etkazishi mumkin bo'lgan ma'lumotlarga kirish kanalini yopish;
Korxona faoliyatidagi buzilishlarni erta aniqlash va axborot xavfsizligi zaiflashgan yoki xakerlik tahdidi ostida bo'lgan vaziyatlarga javob berish mexanizmini yaratish;
Jismoniy yoki yuridik shaxs tomonidan korxonaga yetkazilishi mumkin bo‘lgan zararning o‘rnini imkon qadar tezroq qoplash, yo‘qolgan ma’lumotlar uning ishiga va belgilangan vazifalarga erishishga ta’sir qilmasligi uchun korxona faoliyatini muddatidan oldin tiklash uchun shart-sharoitlar yaratiladi. korxona uchun.

Media monitoringi haqida video:

AXBTning axborot bazasi va tamoyillari

Yuqoridagi vazifalar odamga axborot xavfsizligi tizimlarini taqdim etish nima uchun ekanligini va uning real sharoitlarda qanday ishlashini tushunishi uchun etarli ma'lumot bazasini taqdim etadi.

Tashkilotlar va korxonalar tomonidan boshqarilishi kerak bo'lgan, maxfiy ma'lumotlarni buzg'unchilardan himoya qiladigan axborot xavfsizligi tizimini yaratish tamoyillari.

O'zingizning ma'lumotlaringizning yuqori darajasini ta'minlash uchun siz ma'lum printsiplarga amal qilishingiz kerakligi uzoq vaqtdan beri ma'lum, chunki ularsiz axborotni qo'llab-quvvatlash sxemasi osongina chetlab o'tiladi, shuning uchun siz doimo ma'lumot haqiqatan ham ekanligiga ishonch hosil qila olmaysiz. tasniflangan.

Shunday qilib, Rossiya Federatsiyasining axborot xavfsizligi tizimining birinchi va eng muhim printsipi tizimni takomillashtirish va takomillashtirish bo'yicha doimiy ishdir, chunki rivojlanish texnologiyalari to'xtamaydi, maxfiy ma'lumotlarni buzish va olishga qaratilgan firibgarlik harakatlarining rivojlanishi mutlaqo mumkin emas. bunga arziydi, shuning uchun bunday sxema doimiy ravishda takomillashtirilishi kerak. Mavjud xavfsizlik tizimini imkon qadar tez-tez tekshirish va sinab ko'rish kerak - bu jihat axborot xavfsizligi tizimini qurishning birinchi tamoyiliga kiritilgan, siz tizimni tahlil qilishingiz va iloji bo'lsa, uning himoyadagi kamchiliklari va zaif tomonlarini aniqlashingiz kerak. tajovuzkorlar aslida foydalanadigan. Agar siz bo'shliqlar yoki ma'lumotlarning chiqib ketish usullarini topsangiz, darhol xavfsizlik tizimini yangilashingiz va topilgan bo'shliqlar zudlik bilan yopilishi va firibgarlar uchun ochiq bo'lishi uchun uni takomillashtirishingiz kerak. Ushbu tamoyilga asoslanib, siz shunchaki xavfsizlik tizimini o'rnatishingiz va maxfiy ma'lumotlaringizga xotirjam munosabatda bo'lolmaysiz, chunki bu tizim doimiy ravishda tahlil qilinishi, takomillashtirilishi va takomillashtirilishi kerak;
Ikkinchi tamoyil - tizim xavfsizligining barcha imkoniyatlaridan, korxona ishining u yoki bu tomoni uchun mas'ul bo'lgan har bir alohida fayl uchun barcha funktsiyalardan foydalanish, ya'ni xavfsizlik tizimidan to'liq va har tomonlama foydalanish kerak, shunda butun arsenal. ushbu tizim xizmatda bo'lishi kerak;
Uchinchi va oxirgi tamoyil - bu xavfsizlik tizimidan yaxlit foydalanish, uni alohida qismlarga ajratmaslik, individual funktsiyalarni hisobga olish va shu bilan boshqa darajadagi xavfsizlikni ta'minlash kerak. muhim fayllar va kamroq ahamiyatga ega. U turli funktsiyalarni bajaradigan, lekin bitta tizimni tashkil etuvchi ko'p sonli viteslarga ega bo'lgan ulkan mexanizm kabi ishlaydi.

Vizheo pr sanoat tizimlarining xavfsizligini ta'minlaydi:

Qonunchilik va AXBT

Axborot xavfsizligini ta’minlash tizimining o‘ta muhim jihati davlat huquqni muhofaza qilish organlari bilan hamkorlik va bu tizimning qonuniyligidir. Sizni axborot xavfsizligini ta'minlaydigan kompaniya xodimlarining yuqori professionalligi muhim rol o'ynaydi, unutmangki, kompaniyaning maxfiy ma'lumotlarini oshkor etmaslik to'g'risida shartnoma ushbu kompaniya va uning xodimlari bilan tuzilishi kerak, chunki barcha xavfsizlik tizimining to'liq ishlashini ta'minlaydigan xodimlar axborot firmalariga kirish huquqiga ega bo'ladilar, shuning uchun siz xodimlar ushbu ma'lumotni o'z maqsadlari uchun olishdan manfaatdor bo'lgan uchinchi shaxslarga o'tkazmasligi yoki kompaniyangiz ishiga putur etkazmasligi haqida kafolatlarga ega bo'lishingiz kerak.

Agar siz ushbu printsip va shartlarni e'tiborsiz qoldirsangiz, sizning xavfsizligingiz sizni yuqori darajadagi himoya bilan ta'minlay olmaydi, shuning uchun ma'lumotlar tajovuzkorlar uchun doimiy ravishda mavjud emasligiga kafolatlar bo'lmaydi va bu juda yomon ta'sir qilishi mumkin. korxona faoliyati.

Har qanday ob'ektning axborot xavfsizligini ta'minlashga qo'yiladigan talablar

Prinsiplar nafaqat bilish, balki ularni amalga oshirish imkoniyatiga ega bo'lishi kerak, aynan shu uchun axborot xavfsizligini himoya qilish tizimiga bir qator talablar mavjud bo'lib, ular printsiplarning o'zi kabi majburiydir.

Ideal xavfsizlik sxemasi bo'lishi kerak:

Markazlashtirilgan. Xavfsizlik tizimini har doim markazlashtirilgan tarzda boshqarish kerak, shuning uchun korxonaning axborot xavfsizligi tizimi u biriktirilgan korxonaning o'zi tuzilishiga o'xshash bo'lishi kerak. Bu yerga axborot xavfsizligi (ISSB);
Rejalashtirilgan. Axborotni himoya qilishni ta'minlashning umumiy maqsadlaridan kelib chiqqan holda, tizimning muayyan jihati uchun mas'ul bo'lgan har bir xodim har doim xavfsizlik tizimini takomillashtirish va joriyidan foydalanish bo'yicha batafsil rejaga ega bo'lishi kerak. Bu himoyalangan ob'ektning maxfiy ma'lumotlarini himoya qilishning eng yuqori darajasini ta'minlaydigan yagona integral sxema sifatida ishlashi uchun axborotni himoya qilish uchun zarur;
Konkretlashtirilgan. Har bir xavfsizlik sxemasi himoya qilishning o'ziga xos mezonlariga ega bo'lishi kerak, chunki turli korxonalar turli xil afzalliklarga ega, ba'zilari ishlab chiqarish jarayonini buzish uchun korxona raqobatchilari foydalanishi mumkin bo'lgan maxsus fayllarni himoya qilishlari kerak. Boshqa kompaniyalar muhimlik darajasidan qat'i nazar, har bir faylni yaxlit himoyaga muhtoj, shuning uchun ma'lumotni himoya qilishdan oldin, aynan nima uchun kerakligini hal qilishingiz kerak;
Faol. Axborotni himoya qilishni har doim juda faol va maqsadli ravishda ta'minlash kerak. Bu nimani anglatadi? Bu shuni anglatadiki, xavfsizlik bazasini ta'minlovchi firma, albatta, mutaxassislar va tahlilchilarni o'z ichiga olgan bo'limga ega bo'lishi kerak. Xavfsizlik tamoyilingiz nafaqat mavjud tahdidlarni bartaraf etish va ma'lumotlar bazasidagi bo'shliqlarni topish, balki yuzaga kelishi mumkin bo'lgan tahdidlarning oldini olish uchun voqeaning mumkin bo'lgan stsenariysini oldindan bilishi kerak, shuning uchun tahliliy bo'lim juda muhim qismdir. axborot himoyasini ta'minlash tuzilmasi.Buni unutmang va bu jihatga alohida e'tibor qaratishga harakat qiling. "Ogohlantirilgan - qurollangan";
Universal. Sizning sxemangiz mutlaqo har qanday sharoitga moslasha olishi kerak, ya'ni ma'lumotlar bazasi qaysi vositada saqlanganligi muhim emas va u qaysi tilda taqdim etilishi va qaysi formatda joylashganligi muhim emas. Agar siz uni boshqa formatga yoki boshqa vositaga o'tkazmoqchi bo'lsangiz, bu ma'lumotlarning sizib chiqishiga olib kelmasligi kerak;
G'ayrioddiy. Sizning axborot xavfsizligi rejangiz noyob bo'lishi kerak, ya'ni u boshqa korxonalar yoki firmalar tomonidan qo'llaniladigan o'xshash sxemalardan farq qilishi kerak. Misol uchun, agar siznikiga o'xshash ma'lumotlarni himoya qilish sxemasiga ega bo'lgan boshqa korxona hujumga uchragan bo'lsa va tajovuzkorlar unda teshik topa olgan bo'lsa, u holda resursni buzish ehtimoli sezilarli darajada oshadi, shuning uchun bu borada siz individuallikni ko'rsatishingiz kerak va korxonangiz uchun ilgari hech bir joyda ko'rsatilmagan yoki foydalanilmagan xavfsizlik sxemasini o'rnating va shu bilan korxonangizning maxfiy ma'lumotlarini himoya qilish darajasini oshiring;
Ochiq. U o'zgarishlar, tuzatishlar va takomillashtirish nuqtai nazaridan ochiq bo'lishi kerak, ya'ni agar siz o'zingizning xavfsizlik tizimingizni himoya qilishda bo'shliq topsangiz yoki uni yaxshilashni istasangiz, kirish bilan bog'liq muammolarga duch kelmasligingiz kerak, chunki bu ma'lum miqdorni talab qilishi mumkin. tizimga kirish vaqti. bazani buzish mumkin bo'lgan vaqt, shuning uchun uni o'zingizning kompaniyangiz va Rossiya Federatsiyasining axborot xavfsizligini ta'minlovchi kompaniya uchun ochiq qiling, bu sizning axborot tizimlaringizning saqlanishi unga bog'liq;
Iqtisodiy. Samaradorlik har qanday xavfsizlik tizimi uchun oxirgi talabdir, siz hamma narsani hisoblashingiz va Rossiya Federatsiyasining axborot xavfsizligi tizimlarini axborotni qo'llab-quvvatlash xarajatlari sizning ma'lumotlaringiz qiymatidan oshmasligiga ishonch hosil qilishingiz kerak. Masalan, xavfsizlik rejasi qanchalik qimmat va mukammal bo'lmasin, uni buzish yoki chetlab o'tish imkoniyati mavjud, chunki agar xohlasangiz, har qanday himoyada kamchilik topilishi mumkin va agar siz bunday rejaga ko'p pul sarflasangiz. xavfsizlik sxemasi, lekin bir vaqtning o'zida ma'lumotlarning o'zi bunchalik ko'p pul talab qilmaydi, bu shunchaki kompaniya byudjetiga salbiy ta'sir ko'rsatishi mumkin bo'lgan befoyda isrofgarchilikdir.

IDM yechimlari haqida video:

Ikkilamchi AXBT talablari

Yuqorida, xavfsizlik tizimining to'liq ishlashi uchun zarur bo'lgan asosiy talablar sanab o'tilgan, tizim uchun majburiy bo'lmagan qo'shimcha talablar beriladi:

Xavfsizlik sxemasidan foydalanish juda oson bo'lishi kerak, ya'ni himoyalangan ma'lumotlarga ega bo'lgan har qanday xodim, agar kerak bo'lsa, unga ko'p vaqt sarflamasligi kerak, chunki bu asosiy ishga xalaqit beradi, sxema qulay va qulay bo'lishi kerak. "shaffof", lekin faqat sizning korxonangiz ichida;
Har bir xodim yoki ishonchli shaxs himoyalangan ma'lumotlarga kirish uchun qandaydir imtiyozga ega bo'lishi kerak. Yana bir misol keltiraman: siz korxona direktorisiz va korxonangizda siz ishonadigan va kirishni ta'minlay oladigan bir qator xodimlar ishlaydi, lekin siz buni qilmaysiz va faqat siz va kompaniyaning axborot xavfsizligi tizimini ta'minlovchi xodimlari. Ma'lum bo'lishicha, hisobotlarni yoki boshqa himoyalangan fayllarni ko'rib chiqishga muhtoj bo'lgan buxgalteringiz va boshqa xodimlaringiz bittasiga kirish uchun ishdan bo'shashlari, sizni yoki ishdan himoya qiluvchi kompaniya xodimlarini ajratib qo'yishlari kerak. fayl, bu bilan korxona ishi buziladi va uning samaradorligi pasayadi. Shuning uchun, xodimlaringizga ularga va o'zingizga qulaylik yaratish uchun imtiyozlar bering;
Himoyani osongina va tezda o'chirib qo'yish qobiliyati, chunki axborotni himoya qilish korxona faoliyatiga sezilarli darajada to'sqinlik qiladigan holatlar mavjud, bu holda siz axborotni himoya qilish tizimini osongina o'chirib qo'yishingiz va kerak bo'lganda yoqishingiz kerak;
Axborot xavfsizligi sxemasi har bir himoya predmetidan alohida ishlashi kerak, ya'ni ular o'zaro bog'liq bo'lmasligi kerak;
Sizga axborot xavfsizligi tizimini taqdim etuvchi kompaniya vaqti-vaqti bilan uni buzishga harakat qilishi kerak, u boshqa loyihalarda ishlaydigan dasturchilardan buni qilishni so'rashi mumkin, agar ular muvaffaqiyat qozonsa, darhol bu qanday sodir bo'lganligini va qaerda ekanligini bilib olishingiz kerak. xavfsizlik tizimidagi zaiflik, uni imkon qadar tezroq zararsizlantirish;
Sizning korxonangiz batafsil hisobotlarga ega bo'lmasligi kerak va batafsil tavsif Sizning ma'lumotlaringizni himoya qilish mexanizmlari, bunday ma'lumotlarga faqat korxona egasi va axborotni himoya qilishni ta'minlovchi kompaniya ega bo'lishi kerak.

Axborotni ta'minlash tizimi - bosqichlar

Muhim element - bu Rossiya Federatsiyasining axborot xavfsizligi tizimini ishlab chiqish va o'rnatishda bosqichma-bosqich harakatlar.

Dastlab, himoya tizimini yaratishda siz uchun intellektual mulk nima ekanligini aniqlab olishingiz kerak. Misol uchun, korxona uchun intellektual mulk - bu har bir chiqarilgan mahsulot, uni takomillashtirish, yangi mahsulotlarni ishlab chiqarish va ishlab chiqish va korxonani yaxshilash uchun g'oyalar, umuman olganda, sizga foyda keltiradigan barcha narsalar haqida bilim va aniq ma'lumot. Agar siz intellektual mulk nima ekanligini aniqlay olmasangiz, axborot tizimlarini taqdim etish sxemasi qanchalik yaxshi bo'lmasin, u sizni yuqori darajadagi himoya bilan ta'minlay olmaydi, shuningdek, siz himoyalanmagan ma'lumotlarni yo'qotish xavfini tug'dirasiz, bu esa keyinchalik yuzaga keladi. ma'naviy va moddiy yo'qotishlarga olib keladi, shuning uchun dastlab bu nuqtaga alohida e'tibor berilishi kerak.

Siz uchun intellektual mulk nima ekanligini aniqlaganingizdan so'ng, uning hajmi va xususiyatlaridan qat'i nazar, har qanday tashkilot uchun umumiy qabul qilingan quyidagi bosqichlarga o'tishingiz kerak:

Axborot tizimlari bilan ta'minlashni rejalashtirish o'z ta'sirini ko'rsatadigan muayyan chegaralarni belgilash;
Himoya tizimining zaif tomonlarini doimiy ravishda o'rganish va aniqlash;
Muayyan xavfsizlik siyosatini belgilash va tahdid aniqlanganda tez va samarali choralar ko'rish;
Axborot xavfsizligi tizimini doimiy tekshirish;
Himoya tizimining batafsil rejasini tuzish;
Oldindan tuzilgan rejaning aniq bajarilishi.

Kibernetika asoschisi Norbert Viner ma'lumot o'ziga xos xususiyatlarga ega va uni energiyaga ham, materiyaga ham bog'lab bo'lmaydi, deb hisoblagan. Axborotning hodisa sifatidagi alohida maqomi ko'plab ta'riflarni keltirib chiqardi.

ISO / IEC 2382: 2015 "Axborot texnologiyalari" standartining lug'atida quyidagi izoh berilgan:

Axborot (axborotni qayta ishlash sohasida)- elektron shaklda taqdim etilgan, qog'ozda yozilgan, yig'ilishda yoki boshqa vositada ifodalangan, moliya instituti tomonidan qarorlar qabul qilish, pul mablag'larini ko'chirish, stavkalarni belgilash, kreditlar berish, operatsiyalarni qayta ishlash va hokazolar uchun foydalaniladigan har qanday ma'lumotlar, shu jumladan komponentlarni qayta ishlash tizimi dasturiy ta'minot.

Axborot xavfsizligi kontseptsiyasini ishlab chiqish uchun axborot deganda turli usullarda, shu jumladan kompyuter tarmoqlarida va boshqa axborot tizimlarida to'plash, saqlash, qayta ishlash (tahrirlash, o'zgartirish), foydalanish va uzatish uchun mavjud bo'lgan ma'lumotlar tushuniladi.

Bunday ma'lumotlar yuqori qiymatga ega va uchinchi shaxslar tomonidan tajovuz ob'ektiga aylanishi mumkin. Axborot xavfsizligi tizimlarini yaratish asosida axborotni tahdidlardan himoya qilish istagi yotadi.

Huquqiy asos

2017 yil dekabr oyida Rossiyada Axborot xavfsizligi doktrinasi qabul qilindi. Hujjatda IB axborot sohasidagi milliy manfaatlarni himoya qilish holati sifatida belgilangan. Milliy manfaatlar ostida bu holat jamiyat, shaxs va davlat manfaatlari majmui tushuniladi, har bir manfaatlar guruhi jamiyatning barqaror faoliyat yuritishi uchun zarurdir.

Doktrina tushuncha hujjatidir. Axborot xavfsizligini ta'minlash bilan bog'liq huquqiy munosabatlar "Davlat sirlari to'g'risida", "Axborot to'g'risida", "Shaxsiy ma'lumotlarni himoya qilish to'g'risida" gi federal qonunlar va boshqalar bilan tartibga solinadi. Asosiy me'yoriy hujjatlar asosida axborotni muhofaza qilishning alohida masalalariga bag'ishlangan hukumat qarorlari va idoraviy normativ hujjatlar ishlab chiqiladi.

Axborot xavfsizligi ta'rifi

Axborot xavfsizligi strategiyasini ishlab chiqishdan oldin kontseptsiyaning o'ziga xos asosiy ta'rifini qabul qilish kerak, bu esa ma'lum usullar va himoya usullaridan foydalanishga imkon beradi.

Sanoat amaliyotchilarining fikriga ko'ra, axborot xavfsizligi deganda axborot, uning tashuvchilari va infratuzilmasi xavfsizligining barqaror holati tushuniladi, bu axborot bilan bog'liq jarayonlarning tabiiy va sun'iy xarakterdagi qasddan yoki qasddan bo'lmagan ta'sirlardan yaxlitligi va barqarorligini ta'minlaydi. Ta'sirlar axborot munosabatlari sub'ektlariga zarar etkazishi mumkin bo'lgan IS tahdidlari sifatida tasniflanadi.

Shunday qilib, axborotni muhofaza qilish deganda axborot xavfsizligiga real yoki sezilayotgan tahdidlarning oldini olishga, shuningdek hodisalar oqibatlarini bartaraf etishga qaratilgan huquqiy, ma’muriy, tashkiliy va texnik chora-tadbirlar majmui tushuniladi. Axborotni himoya qilish jarayonining uzluksizligi axborot aylanishining barcha bosqichlarida: axborotni yig'ish, saqlash, qayta ishlash, foydalanish va uzatish jarayonida tahdidlarga qarshi kurashni kafolatlashi kerak.

Ushbu tushunchada axborot xavfsizligi tizim faoliyatining xususiyatlaridan biriga aylanadi. Vaqtning har bir daqiqasida tizim o'lchanadigan darajadagi xavfsizlikka ega bo'lishi kerak va tizim xavfsizligini ta'minlash tizimning ishlash muddati davomida barcha vaqt oralig'ida amalga oshiriladigan uzluksiz jarayon bo'lishi kerak.

Infografikada o'zimizning ma'lumotlarimizdan foydalaniladiSearchInform.

Axborot xavfsizligi nazariyasida axborot xavfsizligi sub'ektlari deganda axborotning egalari va foydalanuvchilari tushuniladi va nafaqat doimiy foydalanuvchilar (xodimlar), balki alohida hollarda ma'lumotlar bazalariga kirish huquqiga ega bo'lgan foydalanuvchilar, masalan, ma'lumot so'ragan davlat organlari. Bir qator hollarda, masalan, bank axborot xavfsizligi standartlarida ma'lum ma'lumotlarga ega bo'lgan aktsiyadorlar - yuridik shaxslar axborot egalari sifatida tasniflanadi.

Qo'llab-quvvatlovchi infratuzilma, axborot xavfsizligi asoslari nuqtai nazaridan, kompyuterlar, tarmoqlar, telekommunikatsiya uskunalari, binolar, hayotni ta'minlash tizimlari va xodimlarni o'z ichiga oladi. Xavfsizlikni tahlil qilishda tizimlarning barcha elementlarini o'rganish, ko'pchilik ichki tahdidlarning tashuvchisi sifatida xodimlarga alohida e'tibor berish kerak.

Axborot xavfsizligini boshqarish va zararni baholash uchun maqbullik tavsifi qo'llaniladi, shuning uchun zarar maqbul yoki qabul qilinishi mumkin emas deb aniqlanadi. Har bir kompaniya uchun pul shaklida yoki, masalan, obro'ga yo'l qo'yiladigan zarar ko'rinishida etkazilgan zararning maqbulligi uchun o'z mezonlarini belgilash foydalidir. Davlat muassasalarida boshqa xususiyatlar, masalan, boshqaruv jarayoniga ta'sir qilish yoki fuqarolarning hayoti va sog'lig'iga etkazilgan zarar darajasini aks ettirish mumkin. Axborotning muhimligi, ahamiyati va qiymatining mezonlari axborot massivining hayot aylanishi davomida o'zgarishi mumkin, shuning uchun ularni o'z vaqtida qayta ko'rib chiqish kerak.

Tor ma'noda axborot tahdidi - bu axborotning chiqib ketishi, o'g'irlanishi, oshkor etilishi yoki tarqalishiga olib kelishi mumkin bo'lgan himoya ob'ektiga ta'sir qilishning ob'ektiv imkoniyati. Kengroq maʼnoda axborot xavfsizligiga tahdidlar maqsadi davlat, tashkilot va shaxsga zarar yetkazish boʻlgan yoʻnaltirilgan axborot taʼsirini oʻz ichiga oladi. Bu tahdidlarga, masalan, tuhmat, qasddan noto'g'ri ma'lumot berish va nomaqbul reklama kiradi.

Har qanday tashkilot uchun axborot xavfsizligi kontseptsiyasining uchta asosiy savoli

Nimani himoya qilish kerak?

Qanday turdagi tahdidlar ustunlik qiladi: tashqi yoki ichki?

Qanday himoya qilish kerak, qanday usullar va vositalar bilan?

IS tizimi

Kompaniya uchun axborot xavfsizligi tizimi - yuridik shaxs asosiy tushunchalarning uchta guruhini o'z ichiga oladi: yaxlitlik, mavjudlik va maxfiylik. Har birining ostida juda ko'p xususiyatlarga ega tushunchalar mavjud.

ostida yaxlitlik ma'lumotlar bazalarining, boshqa ma'lumotlar massivlarining tasodifiy yoki qasddan yo'q qilinishiga, ruxsatsiz o'zgarishlarga barqarorligini anglatadi. Butunlikni quyidagicha ko'rish mumkin:

statik, ma'lum bir texnik topshiriq bo'yicha yaratilgan va foydalanuvchilarning asosiy faoliyati uchun talab qilinadigan konfiguratsiya va ketma-ketlikda zarur bo'lgan ma'lumotlar miqdorini o'z ichiga olgan ma'lumotlar ob'ektlarining o'zgarmasligi, haqiqiyligida ifodalanadi;
dinamik, axborot xavfsizligiga zarar etkazmasdan, murakkab harakatlar yoki operatsiyalarni to'g'ri bajarishni nazarda tutadi.

Dinamik yaxlitlikni nazorat qilish uchun ma'lumotlar oqimini tahlil qiluvchi, masalan, moliyaviy, va xabarlarni o'g'irlash, takrorlash, qayta yo'naltirish va tartibni o'zgartirish holatlarini aniqlaydigan maxsus texnik vositalar qo'llaniladi. Kirish yoki mavjud ma'lumotlarga asoslangan harakatlarni amalga oshirish to'g'risida qaror qabul qilinganda halollik asosiy xususiyat sifatida talab qilinadi. Buyruqlar tartibini yoki harakatlar ketma-ketligini buzish texnologik jarayonlarni, dastur kodlarini tavsiflashda va shunga o'xshash boshqa holatlarda katta zarar etkazishi mumkin.

Mavjudligi vakolatli sub'ektlarga ularni qiziqtirgan ma'lumotlarga kirish yoki almashish imkonini beruvchi mulkdir. Qonuniylashtirish yoki sub'ektlarni avtorizatsiya qilishning asosiy talabi kirishning turli darajalarini yaratishga imkon beradi. Tizimning ma'lumot berishdan bosh tortishi har qanday tashkilot yoki foydalanuvchilar guruhi uchun muammoga aylanadi. Bunga misol qilib, tizimdagi nosozliklar yuzaga kelganda davlat xizmatlari saytlariga kirish imkoni yo‘qligi ko‘pchilik foydalanuvchilarni zarur xizmatlar yoki ma’lumotlarni olish imkoniyatidan mahrum qiladi.

Maxfiylik ushbu foydalanuvchilar uchun mavjud bo'lgan ma'lumotlarning mulki: dastlab kirishga ruxsat berilgan sub'ektlar va jarayonlar. Aksariyat kompaniya va tashkilotlar konfidensiallikni axborot xavfsizligining asosiy elementi sifatida qabul qiladi, ammo amalda uni to'liq amalga oshirish qiyin. Axborot xavfsizligi kontseptsiyalari mualliflari uchun mavjud bo'lgan ma'lumotlarning tarqalishi kanallari to'g'risidagi barcha ma'lumotlar mavjud emas va ko'plab texnik himoya vositalarini, shu jumladan kriptografik vositalarni erkin sotib olish mumkin emas, ayrim hollarda aylanma cheklangan.

Axborot xavfsizligining teng xususiyatlari foydalanuvchilar uchun har xil qiymatlarga ega, shuning uchun ma'lumotlarni himoya qilish kontseptsiyalarini ishlab chiqishda ikkita ekstremal toifa. Davlat sirlari bilan bog'liq bo'lgan kompaniya yoki tashkilotlar uchun maxfiylik asosiy parametrga aylanadi, davlat xizmatlari yoki ta'lim muassasalari uchun eng muhim parametr - foydalanish imkoniyati.

Axborot xavfsizligi to'plami

Axborot xavfsizligi tushunchalarida himoyalangan obyektlar

Subyektlarning farqi himoya qilish ob'ektlarining farqlarini keltirib chiqaradi. Himoya qilinadigan ob'ektlarning asosiy guruhlari:

barcha turdagi axborot resurslari (resurs deganda moddiy ob'ekt tushuniladi: qattiq disk, boshqa vosita, ma'lumotlar va ma'lumotlarga ega bo'lgan hujjat, uni aniqlash va sub'ektlarning ma'lum bir guruhiga belgilashga yordam beradi);
fuqarolarning, tashkilotlarning va davlatning axborotdan foydalanish huquqlari, uni qonun doirasida olish imkoniyati; kirish faqat me'yoriy-huquqiy hujjatlar bilan cheklanishi mumkin, inson huquqlarini buzadigan har qanday to'siqlarni tashkil etishga yo'l qo'yilmaydi;
ma'lumotlarni yaratish, ulardan foydalanish va tarqatish tizimi (tizimlar va texnologiyalar, arxivlar, kutubxonalar, me'yoriy hujjatlar);
jamoatchilik ongini shakllantirish tizimi (ommaviy axborot vositalari, internet resurslari, ijtimoiy institutlar, ta'lim muassasalari).

Har bir ob'ekt axborot xavfsizligi va jamoat tartibiga tahdidlardan himoya qilish uchun maxsus chora-tadbirlar tizimini o'z ichiga oladi. Har bir holatda axborot xavfsizligini ta'minlash ob'ektning o'ziga xos xususiyatlarini hisobga olgan holda tizimli yondashuvga asoslanishi kerak.

Kategoriyalar va saqlash vositalari

Rossiya huquq tizimi, huquqni qo'llash amaliyoti va o'rnatilgan ijtimoiy munosabatlar ma'lumotni kirish mezonlari bo'yicha tasniflaydi. Bu sizga axborot xavfsizligini ta'minlash uchun zarur bo'lgan muhim parametrlarni aniqlashtirish imkonini beradi:

qonun talablari asosida foydalanish cheklangan ma'lumotlar (davlat siri, tijorat siri, shaxsiy ma'lumotlar);
jamoat mulki bo'lgan ma'lumotlar;
ma'lum shartlar ostida taqdim etiladigan umumiy foydalanish mumkin bo'lgan ma'lumotlar: pullik ma'lumotlar yoki kirish uchun ruxsat berishingiz kerak bo'lgan ma'lumotlar, masalan, kutubxona kartasi;
muomalasi va tarqalishi qonunlar yoki korporativ standartlar talablari bilan cheklangan xavfli, zararli, yolg‘on va boshqa turdagi ma’lumotlar.

Birinchi guruh ma'lumotlari ikkita himoya usuliga ega. Davlat siri, qonunga ko'ra, bu davlat tomonidan himoyalangan ma'lumotlar bo'lib, ularning erkin tarqatilishi mamlakat xavfsizligiga zarar etkazishi mumkin. Bular harbiy, tashqi siyosat, razvedka, kontrrazvedka va davlatning iqtisodiy faoliyati sohasidagi ma'lumotlar. Ushbu ma'lumotlar guruhining egasi davlatning o'zi. Davlat sirlarini himoya qilish choralarini ko'rishga vakolatli organlar Mudofaa vazirligi, Federal xavfsizlik xizmati (FSB), Tashqi razvedka xizmati va Texnik va eksport nazorati federal xizmati (FSTEC).

Maxfiy ma'lumotlar- tartibga solishning ko'p qirrali ob'ekti. Maxfiy axborotni tashkil etishi mumkin boʻlgan maʼlumotlar roʻyxati Prezidentning “Maxfiy maʼlumotlar roʻyxatini tasdiqlash toʻgʻrisida”gi 188-son qarorida keltirilgan. Bu shaxsiy ma'lumotlar; tergov va sud jarayonining siri; rasmiy sir; kasb siri (tibbiy, notarial, advokat); tijorat siri; ixtirolar va foydali modellar to'g'risidagi ma'lumotlar; mahkumlarning shaxsiy ishlarida mavjud bo'lgan ma'lumotlar, shuningdek sud hujjatlarini majburiy ijro etish to'g'risidagi ma'lumotlar.

Shaxsiy ma'lumotlar ochiq va maxfiy rejimda mavjud. Barcha foydalanuvchilar uchun ochiq va ochiq bo'lgan shaxsiy ma'lumotlarning bir qismi ism, familiya, otasining ismini o'z ichiga oladi. 152-FZ "Shaxsiy ma'lumotlar to'g'risida" ga muvofiq shaxsiy ma'lumotlar sub'ektlari quyidagilarga haqli:

axborot o'zini o'zi belgilash;
shaxsiy ma'lumotlarga kirish va ularga o'zgartirishlar kiritish;
shaxsiy ma'lumotlarni va ularga kirishni bloklash;
shaxsiy ma'lumotlarga nisbatan uchinchi shaxslarning noqonuniy xatti-harakatlari ustidan shikoyat qilish;
etkazilgan zararni qoplash uchun.

Bunga huquq davlat organlari to'g'risidagi nizomlarda, federal qonunlarda, Roskomnadzor yoki FSTEC tomonidan berilgan shaxsiy ma'lumotlar bilan ishlash litsenziyalarida mustahkamlangan. Keng toifadagi odamlarning shaxsiy ma'lumotlari bilan professional ravishda ishlaydigan kompaniyalar, masalan, aloqa operatorlari Roskomnadzor tomonidan yuritiladigan reestrga kirishlari kerak.

Axborot xavfsizligi nazariyasi va amaliyotining alohida ob'ekti kirish ochiq va yopiq bo'lgan axborot tashuvchilardir. Axborot xavfsizligi kontseptsiyasini ishlab chiqishda ommaviy axborot vositalarining turiga qarab himoya usullari tanlanadi. Asosiy saqlash vositalari:

bosma va elektron ommaviy axborot vositalari, ijtimoiy tarmoqlar, Internetdagi boshqa resurslar;
do'stlik, oilaviy, kasbiy aloqalar asosida ma'lumotlarga ega bo'lgan tashkilot xodimlari;
axborotni uzatuvchi yoki saqlaydigan aloqa vositalari: telefonlar, ATSlar, boshqa telekommunikatsiya uskunalari;
barcha turdagi hujjatlar: shaxsiy, rasmiy, davlat;
mustaqil axborot ob'ekti sifatida dasturiy ta'minot, ayniqsa uning versiyasi ma'lum bir kompaniya uchun maxsus o'zgartirilgan bo'lsa;
ma'lumotlarni avtomatik ravishda qayta ishlaydigan elektron saqlash vositalari.

Axborot xavfsizligi kontseptsiyalarini ishlab chiqish maqsadida axborot xavfsizligi vositalari odatda normativ (norasmiy) va texnik (rasmiy)ga bo'linadi.

Norasmiy himoya vositalari hujjatlar, qoidalar, hodisalar, rasmiy vositalar maxsus texnik vositalar va dasturiy ta'minotdir. Belgilash axborot xavfsizligi tizimlarini yaratishda mas'uliyat sohalarini taqsimlashga yordam beradi: himoya qilishning umumiy boshqaruvi bilan ma'muriy xodimlar me'yoriy usullarni, IT mutaxassislari esa mos ravishda texnik usullarni qo'llaydilar.

Axborot xavfsizligi asoslari nafaqat axborotdan foydalanish nuqtai nazaridan, balki uni himoya qilish bilan ishlash nuqtai nazaridan ham vakolatlarni chegaralashni nazarda tutadi. Vakolatlarning bunday chegaralanishi ham bir necha darajadagi nazoratni talab qiladi.

Rasmiy himoya vositalari

Axborot xavfsizligining texnik vositalarining keng doirasi quyidagilarni o'z ichiga oladi:

Jismoniy himoya vositalari. Bu mexanik, elektr, elektron mexanizmlar bo'lib, ular axborot tizimlaridan mustaqil ravishda ishlaydi va ularga kirish uchun to'siqlar yaratadi. Qulflar, shu jumladan elektronlar, ekranlar, panjurlar tizimlar bilan beqarorlashtiruvchi omillarning aloqasi uchun to'siqlar yaratish uchun mo'ljallangan. Guruh xavfsizlik tizimlari bilan to'ldiriladi, masalan, videokameralar, videoregistratorlar, ma'lumot olishning texnik vositalari joylashgan hududda harakat yoki elektromagnit nurlanish darajasining oshib ketishini aniqlaydigan sensorlar, o'rnatilgan qurilmalar.

Uskuna himoyasi. Bular axborot va telekommunikatsiya tizimlariga kiritilgan elektr, elektron, optik, lazer va boshqa qurilmalardir. Axborot tizimlariga texnik vositalarni kiritishdan oldin muvofiqlikni ta'minlash kerak.

Dasturiy ta'minot axborot xavfsizligi bilan bog'liq aniq va murakkab muammolarni hal qilish uchun mo'ljallangan oddiy va tizimli, murakkab dasturlardir. Murakkab yechimlarga ham misol qilib keltirish mumkin: birinchisi sizib chiqishining oldini olish, axborotni qayta formatlash va axborot oqimlarini qayta yo‘naltirish uchun xizmat qiladi, ikkinchisi axborot xavfsizligi sohasidagi hodisalardan himoya qiladi. Dasturiy ta'minot apparat qurilmalarining quvvatini talab qiladi va o'rnatish vaqtida qo'shimcha zaxiralarni ta'minlash kerak.

30 kun davomida bepul sinovdan o'tishi mumkin. Tizimni o'rnatishdan oldin SearchInform muhandislari mijozning kompaniyasida texnik audit o'tkazadilar.

TO maxsus vositalar axborot xavfsizligi diskdagi ma'lumotlarni shifrlaydigan va tashqi aloqa kanallari orqali qayta yo'naltiriladigan turli kriptografik algoritmlarni o'z ichiga oladi. Axborotni o'zgartirish korporativ axborot tizimlarida ishlaydigan dasturiy va apparat usullari yordamida amalga oshirilishi mumkin.

Axborot xavfsizligini kafolatlaydigan barcha vositalar ma'lumotlarning qiymatini dastlabki baholash va uni xavfsizlikni ta'minlash uchun sarflangan resurslar qiymati bilan solishtirgandan so'ng, birgalikda qo'llanilishi kerak. Shu sababli, mablag'lardan foydalanish bo'yicha takliflar tizimlarni ishlab chiqish bosqichida shakllantirilishi kerak va tasdiqlash byudjetlarni tasdiqlash uchun mas'ul bo'lgan boshqaruv darajasida amalga oshirilishi kerak.

Xavfsizlikni ta'minlash uchun barcha zamonaviy ishlanmalarni, dasturiy ta'minot va apparat vositalarini himoya qilish vositalarini, tahdidlarni kuzatib borish va ruxsatsiz kirishdan himoya qilish tizimlariga o'z vaqtida o'zgartirishlar kiritish zarur. Faqatgina tahdidlarga javob berishning adekvatligi va tezkorligi kompaniya ishida yuqori darajadagi maxfiylikka erishishga yordam beradi.

Birinchi nashr 2018 yilda chiqarilgan. Ushbu noyob dastur xodimlarning psixologik portretlarini yaratadi va ularni xavf guruhlariga ajratadi. Axborot xavfsizligini ta'minlashning bunday yondashuvi yuzaga kelishi mumkin bo'lgan hodisalarni oldindan bilish va oldindan chora ko'rish imkonini beradi.

Norasmiy himoya vositalari

Norasmiy himoya vositalari me’yoriy, ma’muriy va axloqiy-axloqiy guruhlarga bo‘linadi. Himoyaning birinchi darajasida tashkilot faoliyatidagi jarayon sifatida axborot xavfsizligini tartibga soluvchi tartibga soluvchi vositalar kiradi.

Normativ vositalar

Jahon amaliyotida tartibga solish vositalarini ishlab chiqishda ular ISni himoya qilish standartlariga amal qiladi, asosiysi ISO / IEC 27000. Standart ikkita tashkilot tomonidan yaratilgan:

ISO - standartlashtirish bo'yicha xalqaro komissiya, ishlab chiqarish va boshqaruv jarayonlari sifatini sertifikatlash bo'yicha xalqaro miqyosda tan olingan aksariyat metodologiyalarni ishlab chiqadi va tasdiqlaydi;
IEC - Xalqaro energetika komissiyasi, u standartga axborot xavfsizligi tizimlari, uni ta'minlash vositalari va usullari haqidagi tushunchasini kiritdi.

ISO / IEC 27000-2016 ning joriy versiyasi axborot xavfsizligini ta'minlash uchun zarur bo'lgan tayyor standartlar va tasdiqlangan usullarni taklif etadi. Usullar mualliflarining fikricha, axborot xavfsizligining asosi ishlab chiqishdan keyingi nazoratgacha bo‘lgan barcha bosqichlarni izchil va izchil amalga oshirishda yotadi.

Axborot xavfsizligi standartlariga muvofiqligini tasdiqlovchi sertifikat olish uchun barcha tavsiya etilgan texnikalarni to'liq amalga oshirish kerak. Agar sertifikat olishning hojati bo'lmasa, standartning har qanday oldingi versiyalarini ISO / IEC 27000-2002 dan boshlab yoki tavsiyaviy xarakterga ega bo'lgan Rossiya GOSTlarini ishlab chiqish uchun asos sifatida qabul qilishga ruxsat beriladi. o'zlarining axborot xavfsizligi tizimlari.

Standartni o'rganish natijalariga ko'ra, axborot xavfsizligiga taalluqli ikkita hujjat ishlab chiqilmoqda. Asosiy, ammo kamroq rasmiy - bu korxonaning axborot xavfsizligi tushunchasi bo'lib, u tashkilotning axborot tizimlari uchun axborot xavfsizligi tizimini joriy etish choralari va usullarini belgilaydi. Kompaniyaning barcha xodimlari rioya qilishi kerak bo'lgan ikkinchi hujjat - bu direktorlar kengashi yoki ijroiya organi darajasida tasdiqlangan axborot xavfsizligi to'g'risidagi nizom.

Kompaniya darajasidagi lavozimga qo'shimcha ravishda, tijorat sirini tashkil etuvchi ma'lumotlar ro'yxati, mehnat shartnomalariga ilovalar, maxfiy ma'lumotlarni oshkor qilish uchun javobgarlikni ta'minlash, boshqa standartlar va usullar ishlab chiqilishi kerak. Ichki qoidalar va qoidalar amalga oshirish mexanizmlari va javobgarlik choralarini o'z ichiga olishi kerak. Ko'pincha, choralar intizomiy xarakterga ega va qoidabuzar tijorat siri rejimining buzilishidan keyin ishdan bo'shatishgacha bo'lgan jiddiy sanktsiyalar bilan ta'minlanishiga tayyor bo'lishi kerak.

Tashkiliy va ma'muriy chora-tadbirlar

Xavfsizlik xodimlari uchun axborot xavfsizligini himoya qilish bo'yicha ma'muriy faoliyat doirasida ijodkorlik uchun imkoniyatlar mavjud. Bular arxitektura va rejalashtirish yechimlari bo‘lib, majlislar xonalari va boshqaruv idoralarini tinglashdan himoya qilish, axborotga kirishning turli darajalarini o‘rnatish imkonini beradi. Muhim tashkiliy chora-tadbirlar kompaniya faoliyatini ISO / IEC 27000 standartlariga muvofiq sertifikatlash, individual apparat va dasturiy ta'minot tizimlarini sertifikatlash, ob'ektlar va ob'ektlarni zarur xavfsizlik talablariga muvofiqligini sertifikatlash va himoyalangan massivlar bilan ishlash uchun zarur bo'lgan litsenziyalarni olish bo'ladi. ma `lumot.

Xodimlar faoliyatini tartibga solish nuqtai nazaridan Internetga, tashqi elektron pochtaga va boshqa resurslarga kirish uchun so'rovlar tizimini shakllantirish muhim ahamiyatga ega. Elektron pochta kanallari orqali davlat organlariga uzatiladigan moliyaviy va boshqa ma’lumotlar xavfsizligini ta’minlash uchun elektron raqamli imzoni olish alohida element hisoblanadi.

Axloqiy va axloqiy choralar

Axloqiy va axloqiy choralar shaxsning maxfiy ma'lumotlarga yoki muomalasi cheklangan ma'lumotlarga shaxsiy munosabatini belgilaydi. Korxona faoliyatiga tahdidlarning ta'siri bo'yicha xodimlarning bilim darajasini oshirish xodimlarning ongi va mas'uliyat darajasiga ta'sir qiladi. Axborot rejimini buzish, jumladan, parollarni uzatish, ommaviy axborot vositalariga ehtiyotsizlik bilan munosabatda bo'lish, shaxsiy suhbatlarda maxfiy ma'lumotlarni tarqatish kabi holatlarga qarshi kurashish uchun xodimning shaxsiy vijdoniga e'tibor qaratish talab etiladi. Korporativ axborot xavfsizligi tizimiga bo'lgan munosabatga bog'liq bo'lgan xodimlarning samaradorligi ko'rsatkichlarini belgilash foydali bo'ladi.

Axborot xavfsizligi, axborotni muhofaza qilish kabi, xavfsizlik tizimini joriy etish orqali amalga oshiriladigan xavfsizlikni ta'minlashga qaratilgan murakkab vazifadir. Axborotni himoya qilish muammosi ko'p qirrali va murakkab bo'lib, bir qator muhim vazifalarni qamrab oladi. Axborot xavfsizligi muammolari ma'lumotlarni qayta ishlash va uzatishning texnik vositalarining jamiyat hayotining barcha sohalariga va birinchi navbatda, kompyuter tizimlariga kirib borishi bilan doimiy ravishda keskinlashib bormoqda.

Bugungi kunga kelib, axborot xavfsizligini ta'minlashi kerak bo'lgan uchta asosiy tamoyil ishlab chiqilgan:

ma'lumotlar yaxlitligi - axborotning yo'qolishiga olib keladigan nosozliklardan himoya qilish, shuningdek ma'lumotlarni ruxsatsiz yaratish yoki yo'q qilishdan himoya qilish;

ma'lumotlarning maxfiyligi;

Ishlashdagi nosozlik yoki xatolar jiddiy oqibatlarga olib kelishi mumkin bo'lgan kompyuter tizimlarini ishlab chiqishda kompyuter xavfsizligini ta'minlash masalalari ustuvor ahamiyat kasb etadi. Kompyuter xavfsizligini ta'minlashga qaratilgan ko'plab choralar ma'lum bo'lib, ularning asosiylari texnik, tashkiliy va huquqiydir.

Axborot xavfsizligini ta'minlash qimmatga tushadi, bu nafaqat xavfsizlikni sotib olish yoki o'rnatish xarajatlari, balki oqilona xavfsizlik chegaralarini mohirona belgilash va tizimning shunga mos ravishda ishlayotganligini ta'minlash qiyin.

Tegishli tahlil o'tkazilgunga qadar xavfsizlik funktsiyalarini loyihalash, sotib olish yoki o'rnatish mumkin emas.

Saytda axborot xavfsizligi va uning milliy xavfsizlik tizimidagi o‘rni tahlil qilinadi, axborot sohasidagi hayotiy manfaatlar va ularga tahdidlar aniqlanadi. Axborot urushi masalalari, axborot qurollari, axborot xavfsizligini ta'minlash tamoyillari, asosiy vazifalari va funktsiyalari, funktsiyalari. davlat tizimi axborot xavfsizligi, axborot xavfsizligi sohasidagi mahalliy va xorijiy standartlar. Axborot xavfsizligini taʼminlashning huquqiy masalalariga ham katta eʼtibor qaratilmoqda.

Shuningdek, hisobga olinadi umumiy masalalar ma'lumotlarni qayta ishlashning avtomatlashtirilgan tizimlarida (ASOD), axborotni himoya qilishning predmeti va ob'ektlarida, ASODda axborotni himoya qilish vazifalari. ASOD da qasddan xavfsizlik tahdidlarining turlari va axborotni himoya qilish usullari ko'rib chiqiladi. Foydalanuvchi autentifikatsiya qilish usullari va vositalari va ularning kompyuter resurslariga kirishini differentsiallashtirish, asbob-uskunalarga kirishni nazorat qilish, oddiy va dinamik o'zgaruvchan parollardan foydalanish, oddiy parol sxemalarini o'zgartirish usullari, funksional usullar ko'rib chiqiladi.

Axborot xavfsizligi tizimini qurishning asosiy tamoyillari.

Ob'ekt uchun axborot xavfsizligi tizimini yaratishda quyidagi tamoyillarga amal qilish kerak:

Axborot xavfsizligi tizimini takomillashtirish va rivojlantirish jarayonining uzluksizligi, bu axborotni himoya qilishning eng oqilona usullari, usullari va usullarini asoslash va joriy etish, doimiy monitoring, to'siqlar va zaif tomonlarni, axborotning chiqib ketishi va ruxsatsiz kirishning mumkin bo'lgan kanallarini aniqlashdan iborat.

Axborotni ishlab chiqarish va qayta ishlashning barcha bosqichlarida mavjud himoya vositalarining butun arsenalidan kompleks foydalanish. Shu bilan birga, foydalanilayotgan barcha vositalar, usullar va chora-tadbirlar yagona, yaxlit mexanizm – axborot xavfsizligi tizimiga birlashtiriladi.

Mumkin bo'lgan ichki va tashqi tahdidlarning o'zgarishiga qarab himoya mexanizmlarining ishlashini monitoring qilish, yangilash va to'ldirish.

Foydalanuvchilar tegishli tarzda o'qitilgan va barcha o'rnatilgan maxfiylik amaliyotlariga rioya qilishadi. Ushbu talabni qondirmasdan turib, hech qanday axborot xavfsizligi tizimi zarur himoya darajasini ta'minlay olmaydi.

Xavfsizlikni ta'minlashning eng muhim sharti qonuniylik, etarlilik, shaxs va korxona manfaatlari muvozanatini saqlash, xodimlar va rahbariyatning o'zaro javobgarligi, davlat huquqni muhofaza qilish organlari bilan o'zaro munosabatlardir.

10) Axborot xavfsizligini qurish bosqichlari

Qurilish bosqichlari.

1. Axborot tizimini har tomonlama tahlil qilish

turli darajadagi korxonalar. Xavf tahlili.

2. Tashkiliy-ma'muriy va

normativ hujjatlar.

3. Ta'lim, malaka oshirish va

mutaxassislarni qayta tayyorlash.

4. Axborot holatini har yili qayta baholash

korxona xavfsizligi

11) Xavfsizlik devori

Firewall va antivirus paketlari.

Xavfsizlik devori (ba'zan xavfsizlik devori deb ataladi) kompyuteringiz xavfsizligini yaxshilashga yordam beradi. U boshqa kompyuterlardan kompyuterga keladigan ma'lumotlarni cheklaydi, bu kompyuterdagi ma'lumotlarni yaxshiroq boshqarish imkonini beradi va kompyuterga ruxsatsiz ulanishga harakat qiladigan odamlar yoki dasturlardan (jumladan, viruslar va qurtlardan) himoya chizig'ini ta'minlaydi. Xavfsizlik devorini Internet yoki LANdan keladigan ma'lumotlarni (ko'pincha trafik deb ataladi) tekshiradigan chegara posti sifatida tasavvur qiling. Ushbu tekshirish paytida xavfsizlik devori belgilangan parametrlarga muvofiq kompyuterga ma'lumotni rad etadi yoki ruxsat beradi.

Xavfsizlik devori nimadan himoya qiladi?

Xavfsizlik devori MUMKIN:

1. Kompyuter viruslari va "qurtlarni" kompyuterga kirishni bloklash.

2. Foydalanuvchiga maxsus ulanish so‘rovlarini bloklash yoki ruxsat berishni tanlashni taklif qiling.

3. Yozuvlarni saqlash (xavfsizlik jurnali) - foydalanuvchining iltimosiga binoan - kompyuterga ulanish uchun ruxsat etilgan va bloklangan urinishlarni qayd etish.

Xavfsizlik devori nimadan himoya qilmaydi?

U qila olmaydi:

1. Kompyuter viruslari va "qurtlari" kompyuterga allaqachon kirgan bo'lsa, ularni aniqlang yoki zararsizlantiring.

3. Spam yoki ruxsatsiz xatlarni pochta qutingizga etib borishini bloklang.

UCHUN VA DASTURIY TA'MINOT FIREWALLLARI

Uskuna xavfsizlik devorlari- juda tez, ishonchli, lekin juda qimmat bo'lgan individual qurilmalar, shuning uchun ular odatda faqat katta kompyuter tarmoqlarini himoya qilish uchun ishlatiladi. Uy foydalanuvchilari uchun marshrutizatorlar, kalitlarga, simsiz ulanish nuqtalariga va hokazolarga o'rnatilgan xavfsizlik devorlari optimal hisoblanadi.Birlashtirilgan router-faervollar hujumlardan ikki tomonlama himoya qiladi.

Dasturiy ta'minot xavfsizlik devori xavfsizlik dasturidir. Asosan, u apparat xavfsizlik devoriga o'xshaydi, lekin u foydalanuvchi uchun qulayroqdir: u ko'proq tayyor sozlamalarga ega va ko'pincha sozlashda yordam beradigan sehrgarlarga ega. Uning yordami bilan siz boshqa dasturlarga Internetga kirishga ruxsat berishingiz yoki rad etishingiz mumkin.

Antivirus dasturi (antivirus)- kompyuter viruslarini, shuningdek, umuman istalmagan (zararli deb hisoblangan) dasturlarni aniqlash va bunday dasturlar tomonidan zararlangan (o'zgartirilgan) fayllarni tiklash, shuningdek, profilaktika maqsadida - fayllar yoki operatsion tizimni zararli kod bilan yuqtirishning (modifikatsiyasining) oldini olish uchun har qanday dastur .

12) Hisoblash tizimlarining tasnifi

Abonent tizimlarining hududiy joylashuviga qarab

Kompyuter tarmoqlarini uchta asosiy sinfga bo'lish mumkin:

global tarmoqlar (WAN - Wide Area Network);

mintaqaviy tarmoqlar (MAN - Metropolitan Area Network);

Lokal tarmoqlar (LAN - Local Area Network).

Asosiy LAN topologiyalari

LAN topologiyasi - bu tarmoq tugunlari ulanishlarining geometrik diagrammasi.

Kompyuter tarmog'i topologiyalari juda boshqacha bo'lishi mumkin, ammo

mahalliy tarmoqlar uchun faqat uchtasi odatiy hisoblanadi:

Ring,

Yulduz shaklidagi.

Har qanday kompyuter tarmog'i to'plam sifatida qaralishi mumkin

Tugun- to'g'ridan-to'g'ri ulangan har qanday qurilma

tarmoqning uzatish vositasi.

Ring topologiyasi yopiq egri chiziqli tarmoq tugunlarini ulashni ta'minlaydi - uzatish muhiti kabeli. Bir xostning chiqishi boshqasining kirishiga ulanadi. Ring haqida ma'lumot tugundan tugunga uzatiladi. Transmitter va qabul qiluvchi o'rtasidagi har bir oraliq tugun yuborilgan xabarni uzatadi. Qabul qiluvchi tugun faqat unga yuborilgan xabarlarni taniydi va qabul qiladi.

Ring topologiyasi nisbatan kam joy egallagan tarmoqlar uchun ideal. Unda markaziy markaz yo'q, bu tarmoqning ishonchliligini oshiradi. Axborotni qayta uzatish har qanday turdagi kabellardan uzatish vositasi sifatida foydalanish imkonini beradi.

Bunday tarmoqning tugunlariga xizmat ko'rsatishning izchil intizomi uning ishlashini pasaytiradi va tugunlardan birining ishdan chiqishi halqaning yaxlitligini buzadi va axborot uzatish yo'lini saqlab qolish uchun maxsus choralarni talab qiladi.

Shina topologiyasi- eng oddiylaridan biri. U uzatish vositasi sifatida koaksiyal kabeldan foydalanish bilan bog'liq. Uzatuvchi tarmoq tugunidan olingan ma'lumotlar avtobus bo'ylab har ikki yo'nalishda ham taqsimlanadi. Oraliq tugunlar kiruvchi xabarlarni uzatmaydi. Ma'lumot barcha tugunlarga keladi, lekin faqat u yo'naltirilgan xabarni oladi. Xizmat intizomi parallel.

Bu yuqori samarali avtobus LANni ta'minlaydi. Tarmoqni kengaytirish va sozlash, shuningdek, turli tizimlarga moslashish oson.Shina topologiyasi tarmog'i alohida tugunlarning mumkin bo'lgan nosozliklariga chidamli.

Shina topologiyasi tarmoqlari hozirda eng keng tarqalgan. Shuni ta'kidlash kerakki, ular qisqa va bir xil tarmoq ichida har xil turdagi kabellardan foydalanishga ruxsat bermaydi.

Yulduzli topologiya periferik tugunlar bog'langan markaziy tugun tushunchasiga asoslanadi. Har bir periferik tugunning markaziy tugun bilan alohida aloqa liniyasi mavjud. Barcha ma'lumotlar tarmoqdagi axborot oqimlarini o'tkazadigan, o'zgartiradigan va yo'naltiradigan markaziy hub orqali uzatiladi.

Yulduzli topologiya LAN tugunlarining bir-biri bilan o'zaro ta'sirini sezilarli darajada soddalashtiradi, oddiyroqlardan foydalanishga imkon beradi. tarmoq adapterlari... Shu bilan birga, yulduz topologiyasiga ega bo'lgan LANning ishlashi butunlay markaziy saytga bog'liq.

Haqiqiy kompyuter tarmoqlarida yanada rivojlangan topologiyalardan foydalanish mumkin, ular ba'zi hollarda ko'rib chiqilganlarning kombinatsiyasini ifodalaydi.

Muayyan topologiyani tanlash LANni qo'llash sohasi, uning tugunlarining geografik joylashuvi va umuman tarmoqning o'lchami bilan belgilanadi.

Internet- umumiy foydalanishdagi telekommunikatsiya kanallari (ajratilgan telefon analog va raqamli liniyalari, optik aloqa kanallari va radiokanallar, shu jumladan sun'iy yo'ldosh aloqa liniyalari) orqali bir-biri bilan axborot almashuvchi ko'plab hududiy kompyuter tarmoqlari va kompyuterlarni birlashtiruvchi butunjahon axborot kompyuter tarmog'i.

ISP- tarmoq xizmati provayderi - kompyuter tarmoqlariga ulanish xizmatlarini ko'rsatuvchi shaxs yoki tashkilot.

Xost (inglizcha mezbondan - "mehmonni qabul qiluvchi")- har qanday interfeyslarda server rejimida "mijoz-server" formatida xizmatlar ko'rsatadigan va ushbu interfeyslarda yagona aniqlangan har qanday qurilma. Aniqroq holatda xost deganda mahalliy yoki global tarmoqqa ulangan har qanday kompyuter yoki server tushunilishi mumkin.

Tarmoq protokoli- tarmoqqa ulangan ikki yoki undan ortiq qurilmalar o'rtasida ulanish va ma'lumotlar almashish imkonini beruvchi qoidalar va harakatlar (harakatlar ketma-ketligi) to'plami.

IP-manzil (IP-manzil, ingliz Internet protokoli manzilining qisqartmasi)- IP protokoli yordamida qurilgan kompyuter tarmog'idagi tugunning yagona tarmoq manzili. Internetda global noyob manzillar talab qilinadi; mahalliy tarmoqda ishlashda tarmoq ichidagi manzilning o'ziga xosligi talab qilinadi. IPv4 versiyasida IP manzili 4 bayt uzunlikda.

Domen nomi - Internet-serverlarning manzillarini topishga yordam beruvchi ramziy nom.

13) Tengdoshga topshiriqlar

Yaxshi ishingizni bilimlar bazasiga yuborish oddiy. Quyidagi shakldan foydalaning

Talabalar, aspirantlar, bilimlar bazasidan o‘z o‘qishlarida va ishlarida foydalanayotgan yosh olimlar sizdan juda minnatdor bo‘lishadi.

http://www.allbest.ru/ saytida joylashtirilgan

Kirish

1. Axborotlarning tasnifi
2. Axborot xavfsizligi

2.1 Axborotga tahdidlar
2.2 Maxfiy ma'lumotlarga tahdidlar.
2.3 Axborotni muhofaza qilish sohalari
2.4 Axborot xavfsizligi tizimi

Xulosa
Foydalanilgan manbalar ro'yxati
Kirish
Har bir axborot resursi, xoh u foydalanuvchining kompyuteri, xoh korporativ server, xoh tarmoq uskunasi, barcha turdagi tahdidlardan himoyalangan bo'lishi kerak. Fayl tizimlari, tarmoq va boshqalar himoyalangan bo'lishi kerak. Ularning xilma-xilligi tufayli biz ushbu maqolada himoyani amalga oshirish usullarini ko'rib chiqmaymiz.
Biroq, yuz foiz himoyani ta'minlash mumkin emasligini tushunish kerak. Shu bilan birga, esda tutish kerak: xavfsizlik darajasi qanchalik yuqori bo'lsa, tizim qanchalik qimmat bo'lsa, foydalanuvchi uchun undan foydalanish shunchalik noqulay bo'ladi, bu esa inson omilidan himoyalanishning yomonlashishiga olib keladi. Misol tariqasida eslatib o'tamizki, parolning haddan tashqari murakkabligi foydalanuvchi uni monitorga, klaviaturaga va hokazolarga yopishtiruvchi qog'oz varag'iga yozishga majbur bo'lishiga olib keladi.
Axborot xavfsizligi muammolarini hal qilishga qaratilgan keng ko'lamli dasturiy ta'minot mavjud. Bular antivirus dasturlari, xavfsizlik devorlari, operatsion tizimning o'rnatilgan vositalari va boshqalar. Ammo shuni yodda tutish kerakki, himoyadagi eng zaif bo'g'in har doim insondir! Axir, har qanday dasturiy ta'minotning ishlashi uni yozish sifatiga va u yoki bu himoya vositasini o'rnatgan ma'murning savodxonligiga bog'liq.
Shu munosabat bilan ko'plab tashkilotlar axborotni himoya qilish xizmatlarini (bo'limlarini) yaratadilar yoki o'zlarining IT bo'limlariga tegishli vazifalarni yuklaydilar. Shu bilan birga, siz IT xizmatini u uchun g'ayrioddiy funktsiyalar bilan zaryadlash mumkin emasligini tushunishingiz kerak. Bu bir necha marta aytilgan va yozilgan. Deylik, tashkilotingizda axborot xavfsizligi bo‘limi mavjud. Keyin nima qilish kerak? Qayerdan boshlash kerak?
Siz xodimlarni o'qitishdan boshlashingiz kerak! Va kelajakda bu jarayonni muntazam ravishda amalga oshiring. Xodimlarni axborot xavfsizligi asoslariga o'rgatish axborot xavfsizligi bo'limining doimiy vazifasiga aylanishi kerak. Va bu yiliga kamida ikki marta amalga oshirilishi kerak.
1. Axborot tasnifi
Tarixan, ma'lumotni tasniflash masalasi ko'tarilishi bilanoq (birinchi navbatda, bu davlatga tegishli ma'lumotlarga taalluqlidir), u darhol maxfiylik (maxfiylik) darajasiga ko'ra tasniflana boshlaydi. Axborotni qayta ishlash tizimlariga qo'yiladigan umumiy talablar orasida mavjudlik, yaxlitlik, kuzatuvchanlikni ta'minlash talablari, agar umuman bo'lsa, o'tish paytida esga olinadi.
Agar bunday nuqtai nazarni davlat sirlarini ta'minlash zarurati bilan qandaydir tarzda oqlash mumkin bo'lsa, uni boshqa mavzuga o'tkazish shunchaki kulgili ko'rinadi. Masalan, Ukraina qonunchiligining talablariga ko'ra, ma'lumot egasining o'zi uning maxfiylik darajasini belgilaydi (agar bu ma'lumot davlatga tegishli bo'lmasa).
Ko'pgina sohalarda maxfiy ma'lumotlarning ulushi nisbatan kichik. Ochiq ma'lumotlarning oshkor etilishidan ko'rgan zarari unchalik katta bo'lmagan holda, foydalanish imkoniyati, yaxlitlik yoki noqonuniy nusxa ko'chirishdan himoyalanish kabi xususiyatlar eng muhim xususiyatlar bo'lishi mumkin. Misol sifatida onlayn nashrning veb-saytini ko'rib chiqing. Birinchi o'rin, mening fikrimcha, ma'lumotlarning maxfiyligi emas, balki mavjudligi va yaxlitligi bo'ladi. Ma'lumotni faqat pozitsiya va maxfiylik nuqtai nazaridan baholash va tasniflash hech bo'lmaganda teskari samara beradi.
Buni esa faqat axborotni himoya qilishga anʼanaviy yondashuvning torligi, maxfiy (maxfiy) boʻlmagan maʼlumotlarning mavjudligi, yaxlitligi va kuzatilishini taʼminlash boʻyicha tajribaning etishmasligi bilan izohlash mumkin.
Axborotni ahamiyati bo'yicha tasniflash sxemasi
MA `LUMOT

A. Alohida ahamiyatga ega (tanqidiylik)

B. O'ta maxfiy (SS)

C. sir (c)

D. rasmiy foydalanish uchun

F. Va ochiq tabiat (O)

Himoya nuqtai nazaridan "Axborot" bir qator muhim xususiyatlarga ega:

1. Maxfiylik – qiymati amaldagi qonun hujjatlariga muvofiq axborot egasi tomonidan belgilangan, undan foydalanishning cheklanishini aks ettiruvchi axborotning mulki.

2. Mavjudlik - axborotni olish imkoniyati darajasini belgilaydigan axborotning xususiyati.

3. Ishonchlilik – axborotning unga ishonch darajasini belgilovchi xususiyati.

4. Yaxlitlik – axborotning foydalanishga strukturaviy yaroqliligini belgilovchi xususiyatdir.

Himoyalangan ma'lumotlarning maxfiylik toifalari

· To'liq maxfiy - qonun talablariga muvofiq maxfiy deb topilgan ma'lumotlar yoki oshkor etilishi og'ir moliyaviy-iqtisodiy oqibatlarga olib kelishi mumkinligi sababli rahbariyat qarori bilan tarqatilishiga cheklov kiritilgan ma'lumotlar. bankrotlikgacha bo'lgan tashkilot uchun;

· Maxfiy – ushbu turkumga “to‘liq maxfiy” toifasiga kirmaydigan, tarqatilishiga cheklashlar amaldagi qonun hujjatlarida axborot egasi sifatida unga berilgan huquqlarga muvofiq rahbariyat qarori bilan kiritilgan ma’lumotlarni o‘z ichiga oladi. uning oshkor etilishi katta yo'qotishlarga va tashkilotning raqobatbardoshligini yo'qotishiga olib kelishi mumkinligi (mijozlar, sheriklar yoki xodimlarning manfaatlariga jiddiy zarar etkazishi);

· Ochiq – bu turkumga maxfiyligi talab qilinmaydigan ma’lumotlar kiradi.

Himoyalangan axborotning yaxlitligi toifalari

· Yuqori - ruxsatsiz o'zgartirish yoki soxtalashtirish tashkilotga katta zarar etkazishi mumkin bo'lgan ma'lumotlar;

· Past - bu toifaga ruxsatsiz o'zgartirishlar tashkilotga, uning mijozlariga, sheriklariga yoki xodimlariga kichik zarar etkazishi mumkin bo'lgan ma'lumotlarni o'z ichiga oladi;

· Talablar yo'q - bu toifaga uning yaxlitligi va haqiqiyligini ta'minlash uchun talab qilinmaydigan ma'lumotlar kiradi.

2. Axborot xavfsizligi

Axborot xavfsizligi axborot muhitining xavfsizlik holati bo'lsa, axborotni muhofaza qilish himoyalangan axborotning sizib chiqishini, himoyalangan axborotga ruxsatsiz va qasddan ta'sir qilishning oldini olish bo'yicha faoliyat, ya'ni ushbu holatga erishishga qaratilgan jarayondir.

Tashkilotning axborot xavfsizligi - tashkilotning axborot muhiti, uning shakllanishi, ishlatilishi va rivojlanishini ta'minlaydigan xavfsizlik holati.

Zamonaviy jamiyatda axborot sohasi ikkita tarkibiy qismga ega: axborot va texnik (inson tomonidan sun'iy ravishda yaratilgan, texnologiya, texnologiya dunyosi va boshqalar) va axborot-psixologik (jonli tabiatning tabiiy dunyosi, shu jumladan insonning o'zi). Shunga ko'ra, in umumiy holat Jamiyatning (davlatning) axborot xavfsizligi ikki komponent bilan ifodalanishi mumkin: axborot-texnik xavfsizlik va axborot va psixologik (psixofizik) xavfsizlik.

Axborot (ma'lumotlar) xavfsizligi - axborot (ma'lumotlar) xavfsizligining holati, bunda uning (ularning) maxfiyligi, mavjudligi va yaxlitligi ta'minlanadi.

Axborot xavfsizligi - ma'lumotlarning maxfiyligi, yaxlitligi va mavjudligini himoya qilish.

Axborot xavfsizligi - axborot yoki uni qayta ishlash vositalarining maxfiyligi, yaxlitligi, mavjudligi, rad etilmasligi, javobgarligi, haqiqiyligi va ishonchliligini aniqlash, erishish va saqlash bilan bog'liq barcha jihatlar.

2.1 Axborot tahdidlari

Axborot tahdidi deganda, axborotning xususiyatlarining ruxsatsiz o'zgarishiga olib keladigan (maxfiylik, mavjudlik, ishonchlilik, yaxlitlik) axborot sohasiga nisbatan potentsial yoki haqiqatda mumkin bo'lgan harakatlar tushuniladi.

Yakuniy ko'rinishga ko'ra, quyidagi axborot tahdidlarini ajratish mumkin:

1.Kirish.

2. O'zgartirish.

3. Vayronagarchilik.

4. Bloklash.

Axborot tahdidlarining maxsus amalga oshirilishi axborot tahdidi stsenariylari deb ataladi.

Maxfiy ma'lumotlar bilan tanishish turli yo'llar va usullarda amalga oshirilishi mumkin, eng muhimi esa ma'lumotlarning o'zida o'zgarishlarning yo'qligi.

Ma'lumotlarning maxfiyligi yoki maxfiyligini buzish, ular uchun mo'ljallanmagan shaxslar bilan tanishish bilan bog'liq. Qaysi ma'lumotlar maxfiy yoki maxfiy ekanligi ushbu ma'lumotlarning egasi yoki egasi tomonidan hal qilinadi. Shuningdek, ular unga kirish huquqiga ega bo'lgan shaxslar doirasini aniqlaydilar. Axborotning maxfiyligini buzish unga huquqqa ega bo'lmagan shaxslar tomonidan ular bilan tanishish va maxfiylik belgisini (ahamiyatini) ruxsatsiz o'zgartirish orqali sodir bo'lishi mumkin.

Axborotni o'zgartirish maxfiylik, ishonchlilik, yaxlitlik kabi xususiyatlarni o'zgartirishga qaratilgan bo'lib, bu ma'lumotlar tarkibi va mazmunini o'zgartirishni nazarda tutadi. Axborotni o'zgartirish uning to'liq yo'q qilinishini anglatmaydi.

Axborotni yo'q qilish, qoida tariqasida, axborotning yaxlitligiga qaratilgan va uning to'liq yo'q qilinishiga olib keladi. Axborotning yaxlitligini buzish axborotni yo'qotishdan iborat. Agar ma'lumot yo'qolsa, u qaytarib bo'lmaydigan tarzda yo'qoladi va hech qanday vosita bilan qayta tiklanmaydi. Yo'qotish saqlash muhitining yo'q qilinishi yoki yo'q qilinishi yoki uning yo'qolishi, bir nechta yozuvlar bilan tashuvchidagi ma'lumotlarning o'chirilishi, o'zgaruvchan xotiraga ega qurilmalarda elektr ta'minotining uzilishi tufayli sodir bo'lishi mumkin. Axborot yo'q qilinganda, axborotdan foydalanish imkoniyati ham buziladi.

Axborotni blokirovka qilish unga kirishning yo'qolishiga olib keladi, ya'ni. ma'lumotlarning mavjud emasligiga. Axborotning mavjudligi shundan iboratki, undan foydalanish huquqiga ega bo'lgan sub'ekt uni o'zi uchun qulay shaklda o'z vaqtida olish imkoniyatiga ega bo'lishi kerak. Agar siz ma'lumotga kirish huquqini yo'qotsangiz, u hali ham mavjud, lekin siz undan foydalana olmaysiz. Bular. sub'ekt uni o'qiy olmaydi, nusxa olmaydi, boshqa mavzuga o'tkaza olmaydi yoki foydalanish uchun qulay shaklda taqdim eta olmaydi. Kirishning yo'qolishi avtomatlashtirilgan tizimlarning (AS) ba'zi uskunalarining yo'qligi yoki noto'g'ri ishlashi, biron bir mutaxassisning yo'qligi yoki uning etarli malakaga ega emasligi, ba'zi dasturiy ta'minotning yo'qligi yoki ishlamasligi, begona ma'lumotlarni qayta ishlash uchun AS resurslaridan foydalanish, nosozliklar bilan bog'liq bo'lishi mumkin. AS qo'llab-quvvatlash tizimlari va boshqalar.Axborot yo'qolmaganligi sababli, unga kirishni yo'qotish sabablarini bartaraf etgandan so'ng olish mumkin.

Axborot uchun sanab o'tilgan tahdidlar ketma-ket va parallel amalga oshirish majmuasi shaklida namoyon bo'lishi mumkin. Axborot xususiyatlarining buzilishi bilan bog'liq axborot tahdidlarini amalga oshirish nazorat qilish rejimining buzilishiga va pirovardida ma'naviy va (yoki) moddiy yo'qotishlarga olib keladi.

Yuqorida sanab o'tilgan ma'lumotlarga tahdidlarni quyidagi sohalarda tasniflash mumkin:

ob'ektlar bo'yicha:

Xodimlar,

Moddiy va moliyaviy qadriyatlar,

· Ma `lumot;

zarar uchun:

Cheklash,

Muhim,

· Muhim emas;

ko'rinish sabablari uchun

O'z-o'zidan,

· Maqsadli;

ob'ektga nisbatan:

Ichki,

· Tashqi;

harakatning tabiati bo'yicha:

Faol,

· Passiv.

Axborot tahdidlarining manbalari ham ichki, ham tashqi bo'lishi mumkin. Ko'pincha bunday bo'linish hududiy asosda va axborotni muhofaza qilish ob'ektiga mansublik asosida sodir bo'ladi.

Axborot tahdidlarining manbalari

O'rtacha darajadagi tashqi va ichki tahdidlarning nisbati quyidagicha tavsiflanishi mumkin:

· 82% tahdidlar kompaniyaning o'z xodimlari tomonidan yoki ularning bevosita yoki bilvosita ishtirokida sodir etiladi;

· 17% tahdidlar tashqaridan - tashqi tahdidlar;

· Tahdidlarning 1% tasodifiy shaxslar tomonidan sodir etiladi.

Axborot tahdidlari vektor xarakteriga ega, ya'ni. har doim ma'lum maqsadlarga intiladi va aniq ob'ektlarga qaratilgan.

Maxfiy ma'lumotlar manbalari - bu odamlar, hujjatlar, nashrlar, texnik vositalar, ishlab chiqarish va mehnat faoliyatini ta'minlashning texnik vositalari, mahsulotlar va ishlab chiqarish chiqindilari.

Huquqni muhofaza qilish va sud-huquq sohasida axborot xavfsizligini ta'minlashning eng muhim ob'ektlariga quyidagilar kiradi:

Huquqni muhofaza qilish funktsiyalarini amalga oshiruvchi federal ijro etuvchi hokimiyat organlari, sud organlari, ularning axborot-hisoblash markazlari, ilmiy-tadqiqot muassasalari va ta'lim muassasalarining maxsus ma'lumotlar va xizmat ko'rsatish xarakteridagi tezkor ma'lumotlarni o'z ichiga olgan axborot resurslari;

· Axborot-hisoblash markazlari, ularning axborot, texnik, dasturiy ta'minoti va normativ-huquqiy ta'minoti;

· Axborot infratuzilmasi (axborot va kompyuter tarmoqlari, boshqaruv punktlari, tugunlar va aloqa liniyalari).

2.2 Maxfiy ma'lumotlarga tahdidlar.

Axborot kommunikatsiya tizimlari uchun bitta umumiy qoida mavjud bo'lib, bu umuman axborot xavfsizligini tushunish uchun juda muhimdir. Axborot har doim murojaat qilinadi va har doim egasiga ega. Bundan tashqari, maqsadni belgilash o'zboshimchalik bilan emas, balki ma'lumot egasi tomonidan belgilanadi. Agar ushbu huquq xabarda ta'kidlangan bo'lsa (tasniflash ko'rsatilgan), unda ma'lumotlar maxfiy bo'ladi. Ushbu ma'lumotni olgan holda, foydalanuvchi uni o'zboshimchalik bilan tasarruf qila olmaydi, u unga tegishli emas (agar egalik huquqi o'tkazilmagan bo'lsa).

Mulk huquqi mamlakatda amaldagi qonun hujjatlari bilan belgilanadi. Mulk turiga qarab, maxfiy ma'lumotlar davlat, tijorat yoki shaxsiy ma'lumotlarga bo'linishi mumkin. Bu topshiriq bo'ysunuvchi usulda, kamayib boruvchi ierarxiya bilan amalga oshiriladi.

Davlat sirini tashkil etuvchi ma'lumotlar ro'yxati davlat tomonidan o'z muassasa va muassasalari nomidan shakllantiriladi. Ushbu ma'lumotlar mamlakatning jismoniy, bo'ysunuvchi, yuridik va jismoniy shaxslari uchun majburiy sirdir.

Tijorat sirini belgilovchi ma'lumotlar ro'yxati tijorat korxonasi tomonidan tuziladi. Bu ularning xavfsizligi va himoyasini ham ta'minlaydi.

Shaxsiy sirlar shaxs tomonidan belgilanadi. Tabiiyki, ushbu ma'lumotlarning xavfsizligi va himoyasi uning tashvishidir, garchi huquqiy himoya davlatda.

Maxfiy ma'lumotlarni qonunga xilof ravishda olib qo'yish uning axborot manbalari tomonidan oshkor etilishi, texnik vositalar orqali ma'lumotlarning chiqib ketishi va himoyalangan ma'lumotlarga ruxsatsiz kirish tufayli mumkin.

Maxfiy ma'lumotlarni noqonuniy olib qo'yishga olib keladigan harakatlar:

oshkor qilish,

· Oqish,

· Ruxsatsiz kirish.

1. Oshkor qilish - maxfiy ma'lumotlarga ega bo'lgan, ularga ruxsat etilmagan shaxslarni ular bilan tanishtirishga olib kelgan qasddan yoki ehtiyotsizlikdir.

Oshkora qilish maxfiy ma'lumotlar bilan bog'lanish, uzatish, taqdim etish, uzatish, nashr etish, yo'qotish va boshqa shakllarda ayirboshlash va harakatlarda ifodalanadi. Oshkora axborot tarqatishning rasmiy va norasmiy kanallari orqali amalga oshiriladi.

Rasmiy aloqalarga ish uchrashuvlari, konferentsiyalar, muzokaralar va shunga o'xshash aloqa shakllari kiradi: rasmiy ish va ilmiy hujjatlarni rasmiy ma'lumotlarni uzatish (pochta, telefon, telegraf va boshqalar) orqali almashish.

Norasmiy muloqotga shaxsiy muloqotlar, ko‘rgazmalar, seminarlar, konferensiyalar va boshqa ommaviy tadbirlar, shuningdek ommaviy axborot vositalari (matbaa, gazeta, intervyular, radio, televideniya va boshqalar) kiradi.

Qoida tariqasida, maxfiy ma'lumotlarni oshkor qilish sababi xodimlarning sirlarni himoya qilish qoidalarini bilmasligi va ularga ehtiyotkorlik bilan rioya qilish zarurligini tushunmaslik (yoki noto'g'ri tushunish) hisoblanadi. Bu erda shuni ta'kidlash kerakki, ushbu jarayondagi sub'ekt himoyalangan sirlarning manbai (egasi) hisoblanadi.

Ushbu harakatning axborot xususiyatlarini ta'kidlash kerak. Ma'lumotlar mazmunli, mazmunli, tartibli, asosli, hajmli va ko'pincha real vaqt rejimida uzatiladi. Ko'pincha muloqot qilish imkoniyati mavjud. Ma'lumotlar ma'lum bir mavzuga qaratilgan va hujjatlashtirilgan. Tajovuzkorni qiziqtirgan ma'lumotlarni olish uchun ikkinchisi deyarli minimal kuch sarflaydi va oddiy huquqiy texnik vositalardan foydalanadi.

2. Oqish - maxfiy ma'lumotlarning tashkilotdan yoki u ishonib topshirilgan shaxslar doirasidan tashqariga ma'lumotlarning chiqib ketishining texnik kanallari orqali nazoratsiz chiqib ketishi.

Axborotning sizib chiqishi turli texnik kanallar orqali amalga oshiriladi. Ma'lumki, ma'lumot odatda energiya yoki materiya orqali tashiladi yoki uzatiladi. Bu akustik (tovush) yoki elektromagnit nurlanish yoki qog'oz varag'i va boshqalar.

Buni hisobga olgan holda, jismoniy tabiatiga ko'ra, ma'lumotni uzatishning quyidagi yo'llari mumkinligini ta'kidlash mumkin: yorug'lik nurlari, tovush to'lqinlari, elektromagnit to'lqinlar, materiallar va moddalar.

Shunga ko'ra, axborot oqish kanallari vizual-optik, akustik, elektromagnit va moddiy-materiallarga bo'linadi. Axborot oqish kanali odatda maxfiy ma'lumotlar manbasidan tajovuzkorga o'tadigan jismoniy yo'l sifatida tushuniladi, bu orqali ikkinchisi himoyalangan ma'lumotlarga kirishi mumkin.

Axborot oqish kanalini shakllantirish uchun ma'lum fazoviy, energiya va vaqtinchalik sharoitlar, shuningdek, tajovuzkor tomonida ma'lumotni qabul qilish, qayta ishlash va tuzatish uchun tegishli uskunaning mavjudligi talab qilinadi.

3. Ruxsatsiz kirish - himoyalangan sirlarga kirish huquqiga ega bo'lmagan shaxs tomonidan maxfiy ma'lumotlarni qonunga xilof ravishda qasddan tortib olish.

Ushbu harakatlarni amalga oshirish uchun tajovuzkor turli xil texnik vositalar yordamida himoyalangan ob'ektga kirib borishi kerak. Kompyuter texnologiyalarining rivojlanishi bilan himoyalangan ma'lumotlarga masofadan ruxsatsiz kirish yoki boshqacha aytganda, kompyuterni buzish mumkin bo'ldi.

Yuqoridagilarni hisobga olgan holda, maxfiy ma'lumotlarni noqonuniy olib qo'yishga qanday shartlar yordam beradi degan savolni ko'rib chiqish kerak:

l oshkor qilish (xodimlarning haddan tashqari gapiruvchanligi) - 32%;

l Raqobatchilar va jinoiy guruhlar tomonidan pora olish va hamkorlikka ishontirish orqali ruxsatsiz kirish - 24%;

l Korxonada axborot xavfsizligini ta'minlash bo'yicha tegishli nazorat va qat'iy shart-sharoitlarning yo'qligi - 14%;

l An'anaviy ishlab chiqarish tajribasi almashinuvi - 12%;

l Axborot tizimlaridan nazoratsiz foydalanish - 10%;

l Xodimlar o'rtasida nizolar yuzaga kelishi uchun zarur shartlarning mavjudligi - 8%.

2.3 Axborotni muhofaza qilish sohalari

Adabiyotlarda axborot xavfsizligi vositalarining quyidagi tasnifi taklif etiladi.

Ruxsatsiz kirishdan himoya qilish vositalari (NSD):

· Majburiy kirishni nazorat qilish;

· Tanlangan kirishni boshqarish;

· Rolga asoslangan kirishni boshqarish;

· Logging (shuningdek, Audit deb ataladi).

· Axborot oqimlarini tahlil qilish va modellashtirish tizimlari (CASE-tizimlari).

Tarmoq monitoringi tizimlari:

· Bosqinlarni aniqlash va oldini olish tizimlari (IDS / IPS).

· Protokol analizatorlari.

· Antivirus vositalari.

· Faervollar.

Kriptografik vositalar:

· Shifrlash;

· Raqamli imzo.

· Zaxira tizimlari.

Uzluksiz elektr ta'minoti tizimlari:

· Uzluksiz quvvat manbalari;

· Ortiqcha yuklanish;

· Voltaj generatorlari.

Autentifikatsiya tizimlari:

· Parol;

· Sertifikat;

· Biometrik.

· Ishlarning yorilishi va jihozlarning o'g'irlanishining oldini olish uchun vositalar.

· Binolarga kirishni nazorat qilish vositalari.

Himoya tizimlarini tahlil qilish uchun asboblar:

· Monitoring dasturiy mahsuli.

Axborot xavfsizligini ta'minlashning o'rnatilgan amaliyotini hisobga olgan holda, axborotni himoya qilishning quyidagi yo'nalishlari ajratiladi:

1. Huquqiy himoya – bular axborotni qonuniy asosda himoya qilishni ta’minlovchi maxsus qonunlar, boshqa me’yoriy hujjatlar, qoidalar, tartiblar va chora-tadbirlardir;

2. Tashkiliy himoya - ijrochilarning faoliyati va munosabatlarini me'yoriy-huquqiy asosda tartibga solish, maxfiy ma'lumotlarni noqonuniy egallash, ichki va tashqi tahdidlarning namoyon bo'lishini istisno qiladigan yoki sezilarli darajada murakkablashtiradi.

3. Muhandislik-texnik muhofaza - maxfiy axborotni himoya qilish manfaatlarida ulardan foydalanish bo'yicha maxsus organlar, texnik vositalar va chora-tadbirlar majmui.

Axborotni himoya qilishni amalga oshirish uchun xavfsizlik tizimi yaratiladi.

Xavfsizlik tizimi deganda biz shaxsning, korxonalarning va davlatning hayotiy manfaatlarini ichki va tashqi tahdidlardan himoya qilishni ta'minlaydigan maxsus organlar, xizmatlar, vositalar, usullar va chora-tadbirlarning tashkiliy yig'indisini tushunamiz.

Xavfsizlik tizimi ichida axborotni himoya qilish tizimi mavjud.

Axborot xavfsizligini tashkiliy va muhandislik ta'minoti.

Tashkiliy himoya - ishlab chiqarish faoliyatini va ijrochilarning munosabatlarini me'yoriy-huquqiy asosda tartibga solish, bu maxfiy ma'lumotlarni noqonuniy ravishda olish va ichki va tashqi tahdidlarning namoyon bo'lishini istisno qiladigan yoki sezilarli darajada murakkablashtiradi.

Tashkiliy himoya quyidagilarni ta'minlaydi:

· Xavfsizlik, rejim, xodimlar bilan ishlash, hujjatlar bilan ishlashni tashkil etish;

· xavfsizlikning ichki va tashqi tahdidlarini aniqlash uchun xavfsizlik va axborot-tahliliy faoliyatning texnik vositalaridan foydalanish.

Axborotni himoya qilishning ishonchli mexanizmini yaratishda tashkiliy chora-tadbirlar muhim rol o'ynaydi, chunki maxfiy ma'lumotlardan ruxsatsiz foydalanish ehtimoli ko'p jihatdan texnik jihatlar bilan emas, balki zararli harakatlar, foydalanuvchilar yoki xavfsizlik xodimlarining beparvoligi, beparvoligi va beparvoligi bilan belgilanadi. Ushbu jihatlarning ta'sirini texnik vositalar bilan oldini olish deyarli mumkin emas. Bu maxfiy ma'lumotlar xavfini istisno qiladigan (yoki hech bo'lmaganda minimallashtiradigan) tashkiliy, huquqiy va tashkiliy va texnik chora-tadbirlar majmuini talab qiladi.

Tashkiliy chora-tadbirlar cheklovchi xarakterdagi chora-tadbirlar bo'lib, ular asosan axborotni qayta ishlashning texnik vositalaridan foydalanish va ulardan foydalanishni tartibga solishga qisqartiriladi. Ular, qoida tariqasida, tashkilotning kuchlari tomonidan eng oddiy tashkiliy chora-tadbirlar yordamida amalga oshiriladi.

Asosiy tashkiliy faoliyatga quyidagilar kiradi:

· Rejim va muhofazani tashkil etish. Ularning maqsadi ruxsatsiz shaxslarning hududiga va binolariga yashirin kirib borish imkoniyatini istisno qilishdir; xodimlar va tashrif buyuruvchilarning o'tishi va harakatlanishini nazorat qilish qulayligini ta'minlash;

· mustaqil kirish tizimlari bilan maxfiy ish turining alohida ishlab chiqarish zonalarini yaratish;

· Kompaniya xodimlarining vaqtinchalik ish va hududda bo'lishini nazorat qilish va ularga rioya qilish;

· Ishonchli kirish nazoratini tashkil etish va ta'minlash va xodimlar va tashrif buyuruvchilarni nazorat qilish va boshqalar;

· Xodimlarni tanlash va joylashtirish, shu jumladan xodimlar bilan tanishish, ularni o'rganish, maxfiy ma'lumotlar bilan ishlash qoidalariga o'rgatish, axborotni muhofaza qilish qoidalarini buzganlik uchun javobgarlik choralari bilan tanishtirish va boshqalarni nazarda tutadigan xodimlar bilan ishlashni tashkil etish. ;

· Hujjatlar va hujjatlashtirilgan axborot bilan ishlashni tashkil etish, shu jumladan hujjatlar va maxfiy axborot vositalarini ishlab chiqish va ulardan foydalanishni tashkil etish, ularni hisobga olish, rasmiylashtirish, qaytarish, saqlash va yo‘q qilish;

· Maxfiy ma'lumotlarni yig'ish, qayta ishlash, to'plash va saqlash uchun texnik vositalardan foydalanishni tashkil etish;

· maxfiy ma’lumotlarga nisbatan ichki va tashqi tahdidlarni tahlil qilish va uning himoyasini ta’minlash chora-tadbirlarini ishlab chiqish bo‘yicha ishlarni tashkil etish;

· Xodimlarning maxfiy ma'lumotlar bilan ishlashi, hujjatlar va texnik vositalarni hisobga olish, saqlash va yo'q qilish tartibi ustidan tizimli nazoratni amalga oshirish bo'yicha ishlarni tashkil etish.

Har bir aniq holatda tashkiliy chora-tadbirlar ma'lum bir tashkilot uchun ma'lum sharoitlarda ma'lumotlar xavfsizligini ta'minlashga qaratilgan o'ziga xos shakl va mazmunga ega.

· muhofaza qilinadigan hudud (hudud) chegaralarini aniqlash;

· nazorat qilinadigan hudud doirasida maxfiy axborotni qayta ishlash uchun foydalaniladigan texnik vositalarni aniqlash;

· “xavfli” ta’rifi, bino va inshootlarning texnik vositalari va konstruktiv xususiyatlari, axborot oqib chiqishi kanallarini shakllantirish imkoniyati nuqtai nazaridan;

· Buzg'unchilar tomonidan maxfiy ma'lumotlar manbalariga kirishning mumkin bo'lgan usullarini aniqlash;

· Axborotni himoya qilishni barcha mavjud vositalar yordamida aniqlash, aniqlash va nazorat qilish bo'yicha chora-tadbirlarni amalga oshirish.

Tashkiliy chora-tadbirlar muayyan cheklovchi choralarda ifodalanadi. Bunday cheklovchi choralarni hududiy, fazoviy va vaqtinchalik kabi ajratish mumkin.

Hududiy cheklovlar manbalarni erga yoki binolar va binolarga mohirona joylashtirishga qisqartiriladi, aloqalarni tinglash yoki radioelektron qurilmalardan signallarni ushlash bundan mustasno.

Fazoviy cheklovlar ma'lum signallarning nurlanish yo'nalishlarini tanlashda ifodalanadi eng kam imkoniyat ularning jinoyatchilar tomonidan ushlanishi.

Vaqt cheklovlari texnik vositalarning ishlash vaqtini minimal darajaga qisqartirish, yashirin aloqa usullarini qo'llash, shifrlash va boshqa himoya choralarida namoyon bo'ladi.

Tashkiliy faoliyatning eng muhim vazifalaridan biri ob'ektning, uning binolarining texnik xavfsizligi holatini aniqlash, maxfiy ma'lumotlarni noqonuniy olib qo'yish, uni oshkor qilish, sizib chiqish va ruxsatsiz kirishni taqiqlash imkoniyatini istisno qiluvchi tashkiliy chora-tadbirlarni tayyorlash va amalga oshirishdir. himoyalangan sirlar.

Tashkiliy chora-tadbirlarning o'ziga xos yo'nalishi shaxsiy kompyuterlar, axborot tizimlari va tarmoqlarini himoya qilishni tashkil etishdir.

Muhandislik va texnik himoya - bu maxfiy ma'lumotlarni himoya qilish manfaatlarida foydalanish uchun maxsus organlar, texnik vositalar va chora-tadbirlar majmui.

Muhandislik-texnik himoya vositalari oʻzlarining funktsional maqsadlariga koʻra, muhandislik-texnik himoya vositalari quyidagi guruhlarga boʻlinadi:

b jismoniy vositalar, shu jumladan turli vositalar tajovuzkorlarning himoya qilish ob'ektlariga va maxfiy ma'lumotlarning moddiy tashuvchilariga jismoniy kirishiga (yoki kirishiga) to'sqinlik qiladigan va xodimlarni, moddiy resurslarni, moliya va ma'lumotlarni noqonuniy ta'sirlardan himoya qiladigan tuzilmalar;

l apparat. Axborot xavfsizligi manfaatlarida foydalaniladigan qurilmalar, qurilmalar, gadjetlar va boshqa texnik yechimlar;

l turli maqsadlar va ma'lumotlarni qayta ishlash (to'plash, to'plash, saqlash, qayta ishlash va uzatish) vositalari uchun axborot tizimlarida maxsus dasturlar, dasturiy komplekslar va axborot xavfsizligi tizimlarini qamrab oluvchi dasturiy ta'minot;

b kriptografik vositalar, turli shifrlash usullaridan foydalangan holda kompyuterda saqlanadigan va qayta ishlanadigan aloqa tizimlari va tarmoqlari orqali uzatiladigan axborotni himoya qilishning maxsus matematik va algoritmik vositalari.

Shubhasiz, axborotni himoya qilish vositalarining bunday bo'linishi o'zboshimchalik bilan amalga oshiriladi, chunki amalda ular juda tez-tez o'zaro ta'sir qiladi va axborotni yopish algoritmlaridan keng foydalangan holda dasturiy va apparat modullari shaklida kompleksda amalga oshiriladi.

Jismoniy vositalar - bu buzg'unchilarning yo'lida to'siqlar yaratish uchun mo'ljallangan turli xil qurilmalar, gadjetlar, tuzilmalar, apparatlar, mahsulotlar.

Jismoniy vositalarga mexanik, elektromexanik, elektron, elektro-optik, radiotexnika va boshqa vositalarga ruxsatsiz kirishni (kirish, chiqish), pul mablag'lari va materiallarni olib o'tish (olib chiqish) va boshqa mumkin bo'lgan jinoiy harakatlarni taqiqlovchi vositalar kiradi.

Ushbu vositalar quyidagi vazifalarni hal qilish uchun ishlatiladi:

Korxona hududini muhofaza qilish va uni nazorat qilish;

Binolarni, ichki binolarni muhofaza qilish va ularni nazorat qilish;

Uskunalar, mahsulotlar, moliya va axborotni himoya qilish;

Binolar va binolarga nazorat ostida kirishni amalga oshirish.

Ob'ektlarni himoya qilishning barcha jismoniy vositalarini uch toifaga bo'lish mumkin: oldini olish vositalari, aniqlash vositalari va tahdidlarni bartaraf etish tizimlari. Masalan, o'g'ri signallari va CCTV tahdidlarni aniqlash vositalaridir. Ob'ektlar atrofidagi to'siqlar hududga ruxsatsiz kirishning oldini olish vositasi bo'lib, mustahkamlangan eshiklar, devorlar, shiftlar, derazalardagi panjaralar va boshqa choralar ham kirishdan, ham boshqa jinoiy harakatlardan (tinglash, o'q otish, granata va portlovchi moddalarni otish va boshqalar) himoya qiladi. ) ... Söndürme vositalari tahdidlarni bartaraf etish tizimlari sifatida tasniflanadi.

Umuman olganda, jismoniy tabiati va funktsional maqsadiga ko'ra, ushbu toifadagi barcha vositalarni quyidagi guruhlarga bo'lish mumkin:

Xavfsizlik va xavfsizlik va yong'in tizimlari;

Xavfsizlik televizori;

Xavfsiz yoritish;

Jismoniy himoya vositalari.

Axborotni himoya qilishning apparat vositalariga ishlash printsipi, qurilmalari va imkoniyatlari bo'yicha eng xilma-xil vositalar, maxfiy ma'lumotlarning oshkor etilishini bostirish, sizib chiqishdan himoya qilish va maxfiy ma'lumotlar manbalariga ruxsatsiz kirishga qarshi kurashishni ta'minlaydigan texnik dizaynlar kiradi.

Axborot xavfsizligini ta'minlash uchun uskunalar quyidagi vazifalarni hal qilish uchun ishlatiladi:

Axborot oqishining mumkin bo'lgan kanallari mavjudligi uchun ishlab chiqarish faoliyatini qo'llab-quvvatlash uchun texnik vositalarni maxsus tadqiqotlar o'tkazish;

Turli ob'ektlar va binolarda ma'lumotlarning sizib chiqishi kanallarini aniqlash;

Axborot oqish kanallarini lokalizatsiya qilish;

Sanoat josusligi vositalarini qidirish va aniqlash;

Maxfiy ma'lumotlar manbalariga ruxsatsiz kirishga va boshqa harakatlarga qarshi kurashish.

Maxsus guruhga kompyuterlar va ular asosidagi aloqa tizimlarining apparat himoyasi kiradi.

Uskunani himoya qilish vositalari alohida shaxsiy kompyuterlarda ham, tarmoqning turli darajalari va bo'limlarida ham qo'llaniladi: kompyuterlarning markaziy protsessorlarida, ularning operativ xotirasida (RAM), kirish-chiqish kontrollerlarida, tashqi xotirada, terminallarda va boshqalar.

Markaziy protsessorlarni (CPU) himoya qilish uchun kodning ortiqchaligi qo'llaniladi - mashina ko'rsatmalari (maxfiylik bitlari) va zahira registrlari (CPU qurilmalarida) formatlarida qo'shimcha bitlarni yaratish. Shu bilan birga, yordamchi operatsiyalarni foydalanuvchi vazifalarini to'g'ridan-to'g'ri hal qilish operatsiyalaridan ajratib turadigan protsessorning ikkita mumkin bo'lgan ish rejimi taqdim etiladi. Bu apparat tomonidan amalga oshirilgan maxsus uzilish tizimi bilan amalga oshiriladi.

Kompyuterlar va axborot tarmoqlarini apparat himoyasi chora-tadbirlaridan biri chegaralar yoki maydonlarni belgilash orqali operativ xotiraga kirishni cheklashdir. Buning uchun nazorat registrlari va ma'lumotlarni himoya qilish registrlari yaratiladi. Qo'shimcha paritet bitlari ham qo'llaniladi, bu kodni zahiralash usulining o'zgarishi.

Dasturlar va ma'lumotlarning maxfiylik darajasini ko'rsatish uchun foydalanuvchilar toifalari, maxfiylik bitlari deb ataladigan bitlar qo'llaniladi (bular ikki yoki uchta qo'shimcha bit bo'lib, ular yordamida foydalanuvchilar, dasturlar va ma'lumotlarning maxfiyligi toifalari kodlanadi).

RAMda ishlov berilgandan keyin qolgan ma'lumotlarni o'qishni oldini olish uchun maxsus o'chirish sxemasi qo'llaniladi. Bunday holda, operativ xotirani o'chirish buyrug'i yaratiladi va xotira blokining manzili ko'rsatiladi, bu ma'lumotdan ozod qilinishi kerak. Ushbu sxema ma'lum bir xotira blokining barcha kataklariga nol yoki boshqa belgilar ketma-ketligini yozadi, bu avval yuklangan ma'lumotlarning ishonchli tarzda o'chirilishini ta'minlaydi.

Uskuna himoyasi foydalanuvchi terminallarida ham qo'llaniladi. Ro'yxatdan o'tmagan terminalni ulashda ma'lumotlarning sizib chiqishini oldini olish uchun so'ralgan ma'lumotni berishdan oldin so'rov olingan terminalni aniqlash (avtomatik ravishda kod yoki raqamni aniqlash) kerak. Ko'p foydalanuvchi rejimida bu identifikatsiya terminali etarli emas. Foydalanuvchini autentifikatsiya qilish, ya'ni uning haqiqiyligi va vakolatini aniqlash kerak. Bu ham zarur, chunki tizimda ro'yxatdan o'tgan turli foydalanuvchilar faqat alohida fayllarga va ulardan foydalanish uchun qat'iy cheklangan huquqlarga ega bo'lishlari mumkin.

Terminal uskunasiga kiritilgan kod generatori ko'pincha terminalni identifikatsiyalash uchun ishlatiladi va foydalanuvchi autentifikatsiyasi uchun kalitlar, shaxsiy kod kartalari, shaxsiy identifikator va foydalanuvchi ovozi yoki uning barmoqlari shaklini aniqlash qurilmalari kabi apparat vositalaridan foydalaniladi. Ammo autentifikatsiya qilishning eng keng tarqalgan vositasi - bu apparat tomonidan emas, balki dasturiy ta'minot tomonidan tekshiriladigan parollar.

Dasturiy ta'minotni himoya qilish vositalari.

Kompyuteringizni boshqa birovning kirishidan himoya qilish vositalari juda xilma-xildir va ularni quyidagi guruhlarga bo'lish mumkin:

b Umumiy dasturiy ta'minot tomonidan taqdim etilgan o'zini o'zi himoya qilish vositalari. Dasturiy ta'minotning o'ziga xos yoki uni sotish bilan birga keladigan xavfsizlik xususiyatlari.

b kompyuter tizimining bir qismi sifatida himoya vositalari. Uskunalar, disklar va standart qurilmalarni himoya qilish. Dasturlarning bajarilishi muayyan harakatlarga, maxsus ehtiyot choralariga bog'liq.

b Axborot so'rovi bilan himoya vositalari. Foydalanuvchining vakolatini aniqlash uchun qo'shimcha ma'lumotlarni kiritishni talab qiladi.

b faol himoya vositalari. Maxsus holatlar yuzaga kelganda (noto'g'ri parol kiritish va h.k.) ishga tushiriladi.

b Passiv himoya vositalari. Oldini olish, nazorat qilish, dalillarni qidirish va boshqalarga qaratilgan.

Maxfiy ma'lumotlar xavfsizligini ta'minlash uchun dasturlardan foydalanishning quyidagi yo'nalishlarini ajratib ko'rsatish mumkin:

Axborotni ruxsatsiz kirishdan himoya qilish;

Axborot va dasturlarni nusxalashdan himoya qilish;

Axborot va dasturlarni viruslardan himoya qilish;

Aloqa kanallarini dasturiy himoya qilish.

Ushbu sohalarning har biri uchun professional tashkilotlar tomonidan ishlab chiqilgan va bozorlarda tarqatiladigan etarli miqdordagi yuqori sifatli dasturiy mahsulotlar mavjud.

Himoya dasturlari quyidagi turdagi maxsus dasturlarga ega:

Uskuna, fayllar va foydalanuvchi autentifikatsiyasini identifikatsiya qilish;

Texnik vositalar va foydalanuvchilarning ishlashini ro'yxatga olish va nazorat qilish;

Axborotni qayta ishlashning cheklangan rejimlarini saqlash;

Kompyuterning operatsion vositalarini himoya qilish va amaliy dasturlar foydalanuvchilar;

Foydalanishdan keyin xotiradagi ma'lumotlarni yo'q qilish;

Resurslardan foydalanishni nazorat qilish;

Turli maqsadlar uchun qo'shimcha himoya dasturlari.

Kriptografik himoya

Aloqa kanallari orqali uzatiladigan maxfiy xabar, telefon suhbati yoki kompyuter maʼlumotlarini ruxsatsiz shaxslarga mutlaqo tushunarsiz boʻladigan tarzda matematik usullar bilan oʻzgartirish.

Tashkiliy-texnik chora-tadbirlar ishlab chiqarish va mehnat faoliyatini ta'minlashning texnik vositalari orqali maxfiy ma'lumotlarning oshkor etilishi va tarqalishini blokirovka qilishni, shuningdek binolarning konstruksiya elementlariga o'rnatilgan maxsus texnik vositalar va potentsial shakllantiruvchi texnik vositalardan foydalangan holda sanoat josusligining texnik vositalariga qarshi kurashishni ta'minlaydi. ma'lumotlarning tarqalishi kanallari.

Ushbu maqsadlar uchun quyidagilardan foydalanish mumkin:

Passiv himoya qilishning texnik vositalari, masalan, cheklovchi filtrlar va tarmoqlarni himoya qilish uchun akustik elektr va elektromagnit tizimlarni ajratish uchun shunga o'xshash vositalar. telefon aloqasi, quvvat manbai, radio va boshqalar.

Faol himoya qilishning texnik vositalari: akustik shovqin va elektromagnit shovqin sensorlari.

Axborotni muhofaza qilishning tashkiliy-texnik tadbirlarini fazoviy, rejimli va energiyaga bo'lish mumkin.

Fazoviy chora-tadbirlar radiatsiya naqshining kengligini kamaytirishda, radioelektron uskunalarning (RES) nurlanish naqshining yon va orqa qismlarini zaiflashtirishda ifodalanadi.

Rejim choralari aloqa vositalari orqali ma'lumotlarni uzatishning yashirin usullaridan foydalanishga qisqartiriladi: shifrlash, kvazi o'zgaruvchan uzatish chastotalari va boshqalar.

Energiya - bu radiatsiya intensivligining pasayishi va RES ning qisqartirilgan quvvatlarda ishlashi.

Texnik chora-tadbirlar - bu maxsus, garov nurlanishidan himoyalangan (xavfsiz) texnik vositalar yoki vositalarni sotib olish, o'rnatish va ishlab chiqarish jarayonida foydalanishni ta'minlaydigan, PEMI muhofaza qilinadigan hudud chegarasidan oshmaydigan chora-tadbirlar.

Maxfiy ma'lumotlarni himoya qilishning texnik choralarini yashirish, bostirish va dezinformatsiyaga bo'lish mumkin.

Yashirish radio sukunatidan foydalanish va buzg'unchilarning qabul qilish vositalariga passiv aralashuvni yaratishda ifodalanadi.

Bostirish tajovuzkorlarning vositalariga faol aralashmoqda.

Dezinformatsiya - aloqa va axborotni qayta ishlashning texnik vositalarining noto'g'ri ishlashini tashkil etish; chastotalar va aloqa qoidalaridan foydalanish rejimlarini o'zgartirish; faoliyat va identifikatsiyaning yolg'on ochuvchi belgilarini ko'rsatish.

Texnik xarakterdagi himoya choralari ma'lum bir texnik qurilmaga yoki muayyan uskunaga qaratilgan bo'lishi mumkin va maxfiy muzokaralar paytida uskunani o'chirish yoki cheklovchilar, filtr buferlari va shovqinni bostirish qurilmalari kabi ba'zi himoya vositalaridan foydalanish kabi choralarda ifodalanadi.

2.4 Axborot xavfsizligi tizimi

axborot xavfsizligi yaxlitligi

Xavfsizlik tizimi deganda shaxsning, korxonalarning, davlatning hayotiy manfaatlarini ichki va tashqi tahdidlardan himoya qilishni ta'minlaydigan maxsus organlar, xizmatlar, vositalar, usullar va chora-tadbirlarning tashkiliy yig'indisi tushuniladi.

Xavfsizlik tizimi

l Axborotni muhofaza qilish bo'yicha rejalar va chora-tadbirlarni ishlab chiqish;

l xavfsizlikni ta'minlash organlari, kuchlari va vositalarini shakllantirish, saqlash va rivojlantirish;

b Himoya qilinadigan ob'ektlarni tiklash

l tahdidlarni aniqlash;

b tahdidning oldini olish;

l tahdidni zararsizlantirish;

l tahdidni bostirish;

b tahdidning lokalizatsiyasi;

l tahdidning aks etishi;

b tahdidni yo'q qilish

Axborot xavfsizligi tizimi (SIS) - bu axborotni ichki va tashqi tahdidlardan himoya qilishni ta'minlaydigan vositalar, usullar va chora-tadbirlarning uyushgan majmuidir.

Axborotni himoya qilishga tizimli yondashuv nuqtai nazaridan ma'lum talablar qo'yiladi. Axborotni himoya qilish quyidagilar bo'lishi kerak:

1. Uzluksiz.

2. Rejalashtirilgan. Har bir xizmat o'z vakolati doirasida axborotni himoya qilish rejasini ishlab chiqadi.

3. Fokuslangan. Muayyan maqsad manfaati uchun himoya qilinadigan narsa himoya qilinadi.

4. Maxsus. Ob'ektiv ravishda himoya qilinishi kerak bo'lgan maxsus ma'lumotlar himoyalangan.

5. Faol.

6. Ishonchli.

7. Universal. Bu ma'lumot sızıntısının har qanday kanallari uchun amal qiladi.

8. Integratsiyalashgan. Barcha kerakli himoya turlari va shakllari qo'llaniladi.

Ushbu talablarni amalga oshirish uchun axborot xavfsizligi tizimi quyidagi xavfsizlikka ega bo'lishi mumkin:

1. Huquqiy.

2. Tashkiliy. Har xil turdagi xizmatlar.

3. Apparat. Axborotni himoya qilishning texnik vositalari.

4. Axborot. Axborot, ma'lumotlar, ko'rsatkichlar.

5. Dasturiy ta'minot. Dasturlar.

6. Matematik. Matematik usullar.

7. Tilshunoslik. Til aloqa vositalari.

8. Normativ va uslubiy. Xizmat ko'rsatish qoidalari, amaliy usullar.

Usullar - maxfiy ma'lumotlarni himoya qilish bo'yicha belgilangan maqsadga erishish uchun kuch va vositalardan foydalanish tartibi va usullari.

Axborotni himoya qilish usullari - bu ma'lumotlarning maxfiyligi, yaxlitligi, to'liqligi va mavjudligini ta'minlaydigan, ichki va tashqi tahdidlarga qarshi kurashadigan texnikalar, kuchlar va vositalarning kombinatsiyasi.

Axborot xavfsizligiga quyidagilarga qaratilgan chora-tadbirlar tizimi erishiladi:

· Tahdidlarning oldini olish. Tahdidning oldini olish - ularning yuzaga kelish ehtimolini oldindan ko'rish manfaatlarida axborot xavfsizligini ta'minlashga qaratilgan profilaktik chora-tadbirlar;

· Tahdidlarni aniqlash. Tahdidlarni aniqlash real yoki potentsial tahdidlarning paydo bo'lish ehtimolini va ularning oldini olish bo'yicha o'z vaqtida chora-tadbirlarni tizimli tahlil qilish va nazorat qilishda ifodalanadi;

· Tahdidlarni aniqlash. Aniqlash real tahdidlarni va aniq jinoiy faoliyatni aniqlashga qaratilgan;

· Jinoiy harakatlarni mahalliylashtirish va tahdidlarni yoki aniq jinoiy harakatlarni bartaraf etish choralarini ko'rish;

· Tahdidlar va jinoiy harakatlar oqibatlarini bartaraf etish va status-kvoni tiklash.

Mumkin bo'lgan tahdidlar va noqonuniy xatti-harakatlarning oldini olish xodimlarning xavfsizlik va axborotni himoya qilish muammosiga chuqur ongli munosabatda bo'lish muhitini yaratishdan tortib, jismoniy va noqonuniy himoya qilishning chuqur, qatlamli tizimini yaratishgacha bo'lgan turli xil choralar va vositalar bilan ta'minlanishi mumkin. apparat, dasturiy va kriptografik vositalar.

Tahdidlarning oldini olish, shuningdek, yaqinlashib kelayotgan noqonuniy harakatlar, rejalashtirilgan o'g'irlik, tayyorgarlik harakatlari va jinoiy harakatlarning boshqa elementlari to'g'risida ma'lumot olish (agar xohlasangiz - va olish) orqali ham mumkin. Shu maqsadda xavfsizlik xodimlari ham xodimlar jamoasida, ayniqsa uning kompaniyasining asosiy yo'nalishlarida, ham raqobatchilar va jinoiy guruhlar o'rtasidagi vaziyatni monitoring qilish va xolisona baholash manfaatlarida axborot beruvchilar bilan ishlashlari kerak.

Tahdidlarning oldini olishda xavfsizlik xizmatining axborot-tahliliy faoliyati jinoyatchilik holatini, raqobatchilar va hujumchilarning faoliyatini chuqur tahlil qilish asosida juda muhim o‘rin tutadi.

Aniqlashning maqsadi - tovarlar va mahsulotlarni ishlab chiqarish va sotish bozorida jinoiy tuzilmalar yoki raqobatchilar tomonidan jinoiy harakatlarga tayyorgarlik ko'rish mumkin bo'lgan ma'lumotlarni to'plash, to'plash va tahliliy qayta ishlash bo'yicha chora-tadbirlarni amalga oshirish.

Tahdidni aniqlash - u yoki bu turdagi zararni keltirib chiqaradigan muayyan tahdidlar va ularning manbalarini aniqlash harakati. Bunday harakatlarga o'g'irlik yoki firibgarlik faktlarini, shuningdek maxfiy ma'lumotlarni oshkor qilish faktlarini yoki tijorat siri manbalariga ruxsatsiz kirish holatlarini aniqlash kiradi.

Tahdidlarni bostirish yoki mahalliylashtirish - joriy tahdidni va aniq jinoiy harakatlarni bartaraf etishga qaratilgan harakatlar. Masalan, ventilyatsiya tizimlari orqali axborot oqib chiqishining akustik kanali tufayli maxfiy suhbatlarni tinglashning bostirilishi.

Oqibatlarni bartaraf etish tahdidning boshlanishidan oldingi holatini tiklashga qaratilgan.

Har bir tahdid turining o'ziga xos usullari, kuchlari va vositalari bor, deb taxmin qilish tabiiydir.

Xulosa

Adekvat darajadagi xavfsizlikni ta'minlashda inson omili muhim ahamiyatga ega bo'lganligi sababli, barcha xodimlar yuzaga kelishi mumkin bo'lgan tahdid va muammolardan xabardor bo'lishlari va o'z ishlarida kompaniyaning axborot xavfsizligi siyosatini amalga oshirishlari kerak. Bunga erishish uchun muhim ma'lumotlarga ega bo'lgan xodimlarni o'qitish kerak.

Kompaniyaning xavfsizlik xizmati jismoniy xavfsizlikni va resurslarga kirishni nazorat qilishni ta'minlashi kerak:

· Xodimlarning ish joylari, laboratoriya va server xonalari alohida xonalarda joylashtirilishi kerak;

· Ishlab chiqarish jarayonlarining uzluksizligini ta'minlash uchun kompaniyaning rivojlanish markazi ichidagi resurslarga kirish, shuningdek, xavfsizlikni samarali nazorat qilish kerak;

· Qimmatbaho tizimlar va maxfiy axborot tashuvchilari bo'lgan binolarga kirish tunu-kun kuzatilishi kerak.

Shuningdek, kompaniya biznesning uzluksizligi rejasini ishlab chiqishi va amalga oshirishi kerak. Ushbu rejada asosiy xavflar va xavfsizlikka tahdidlar, asosiy ishlab chiqarish jarayonlarining to'xtatilishining oldini olish va favqulodda vaziyatlardan keyin ularni tiklash usullari aniqlanishi kerak. Reja muntazam ravishda ichki auditlar, ofatlarni tiklash va favqulodda vaziyatlarga javob berish mashqlarini o'z ichiga olishi kerak.

Axborot sizib chiqishining oldini olish bo‘yicha texnik chora-tadbirlar kompaniyada ILDP (Information Leakage Detection and Prevention) toifasidagi axborot tizimlarini joriy etishni o‘z ichiga oladi. Bular axborot xavfsizligi siyosatini amalga oshirish uchun mo'ljallangan vositalardir. Texnik vositalar mumkin bo'lgan kanallar orqali uzatiladigan ma'lumotlarni tahlil qilishi va agar maxfiy ma'lumotlar aniqlansa, kompaniyaning axborot xavfsizligi qoidalari va siyosatiga muvofiq uning chiqib ketishining oldini olishi kerak.

Shuni yodda tutish kerakki, ma'lumotlarning tarqalishidan universal 100% himoya hech qaerda mavjud emas va hech qachon bo'lmaydi. Binobarin, axborotni sizib chiqishidan himoya qilish darajasini himoya qilish xarajatlari va himoyalangan axborotning o'zi narxining nisbati sifatida aniqlash mumkin.

Ro'yxat vafoydalanamizey adabiyot

1. Barmen Skott. Axborot xavfsizligi qoidalarini ishlab chiqish. M .: Uilyams, 2002 .-- 208 b. - ISBN 5-8459-0323-8, ISBN 1-5787-0264-X.

2. Bastrikov, M.V. Axborotni boshqarish texnologiyalari: Darslik / MV Bastrikov, OP Ponomarev; "KVSHU" instituti .- Kaliningrad: "KVSHU" instituti nashriyoti, 2005 yil

3. Domarev VV Axborot texnologiyalari xavfsizligi. Tizimli yondashuv- K .: OOO TID Dia Soft, 2004 .-- 992 b.

4. Zapechnikov SV, Miloslavskaya NG, Tolstoy AI, Ushakov DV Ochiq tizimlarning axborot xavfsizligi. 2 jildda.

5. Axborot xavfsizligi va axborotni muhofaza qilish: Darslik. - Rostov-na-Don: Rossiya Ichki ishlar vazirligining Rostov yuridik instituti, 2004. - 82 p.

6. Shangin V. F. Himoya kompyuter ma'lumotlari... Samarali usullar va vositalar. M .: DMK Press, 2008 .-- 544 b. - ISBN 5-94074-383-8.

7. Shcherbakov A. Yu. Zamonaviy kompyuter xavfsizligi. Nazariy asos. Amaliy jihatlar. - M .: Knijniy mir, 2009 .-- 352 b. - ISBN 978-5-8041-0378-2.

8. "Axborot xavfsizligi xizmati: birinchi qadamlar" // ComputerPress 9 "2008 (http://www.compress.ru/Index.aspx)

Allbest.ru saytida e'lon qilingan

...

Shunga o'xshash hujjatlar

Axborot va axborot muhitining tasodifiy yoki qasddan ta'sirlardan xavfsizligi holati. Axborot xavfsizligi maqsadlari, tahdidlarning tasnifi. Axborotning maxfiyligini, yaxlitligini, mavjudligini ta'minlash; shaxsning huquqiy himoyasi.

taqdimot 04/11/2016 qo'shilgan

Axborotning ahamiyatiga ko'ra tasnifi. Himoyalangan ma'lumotlarning maxfiyligi va yaxlitligi toifalari. Axborot xavfsizligi tushunchasi, axborot tahdidlari manbalari. Axborotni muhofaza qilish sohalari. Dasturiy ta'minotni kriptografik himoya qilish usullari.

muddatli ish, 21.04.2015 qo'shilgan

Integratsiyalashgan axborot xavfsizligi tizimini tashkil etishga korxona faoliyati turining ta'siri. Himoyalangan ma'lumotlarning tarkibi. Tashkilot ma'lumotlariga ruxsatsiz kirish uchun potentsial kanallar. Axborot xavfsizligi tizimining samaradorligi.

amaliyot hisoboti, 31/10/2013 qo'shilgan

Axborot xavfsizligi tushunchasi, ma'nosi va yo'nalishlari. Axborot xavfsizligini tashkil etishda tizimli yondashuv, axborotni ruxsatsiz kirishdan himoya qilish. Axborot xavfsizligi vositalari. Axborot xavfsizligi usullari va tizimlari.

referat, 11/15/2011 qo'shilgan

Axborot xavfsizligi tushunchasi va asosiy tamoyillari. Avtomatlashtirilgan tizimlarda xavfsizlik tushunchasi. Axborot xavfsizligi va axborotni himoya qilish, litsenziyalash va sertifikatlash jarayonlari sohasidagi Rossiya Federatsiyasi qonunchiligining asoslari.

ma'ruzalar kursi, qo'shilgan 04/17/2012

Axborot xavfsizligi, ma'lumotlarning maxfiyligi va yaxlitligini ta'minlashning asosiy jihatlari. Axborotning yaxlitligi va mavjudligini buzadigan tahdidlarga misollar. Axborot tizimlaridagi sub'ektlar, ob'ektlar va operatsiyalar, kirish huquqi.

test, 30.12.2010 qo'shilgan

Tasvirlar (nashrlar), logotiplar, shiorlarni chop etish bo'yicha xizmatlar ko'rsatuvchi tashkilotning axborot xavfsizligini tahlil qilish. Axborotni arxivlash vositalari. Kompyuter viruslari tasnifi, antivirus dasturlari. Kompyuter infektsiyasining oldini olish.

amaliyot hisoboti, 12/19/2014 qo'shilgan

Bankning strukturaviy va fazoviy modellari. Shartli birlik narxlari. Xavfsizlik tahdidlarini modellashtirish. Axborot tarqalishining eng xavfli texnik kanallari darajalari tizimi. Korxonada axborot xavfsizligini tashkil etishga qo'yiladigan talablar.

test, 24/04/2014 qo'shilgan

Tizimlarning axborot xavfsizligi deganda ma'lumotlarning jismoniy xavfsizligini, maxfiyligini, ishonchliligini, o'z vaqtidaligini, ma'lumotlarni kiritish, saqlash, qayta ishlash va uzatish uchun foydalaniladigan vositalarning kafolatlangan ishlashini ta'minlash tushuniladi.

muddatli ish, 29.11.2008 yil qo'shilgan

Axborot talablari: mavjudligi, yaxlitligi va maxfiyligi. Markaziy razvedka boshqarmasi modeli axborot xavfsizligi sifatida, ma'lumotlarning mavjudligi, yaxlitligi va maxfiyligini himoya qilishga asoslangan. To'g'ridan-to'g'ri va bilvosita tahdidlar, axborotni himoya qilish vositalari.