Dostupnost sigurnosti informacija. Sigurnost podataka: osiguranje sigurnosti informacija

Osnivač kibernetike, Norbert Wiener, vjerovao je da informacije imaju jedinstvene karakteristike i da se ne mogu pripisati ni energiji ni materiji. Poseban status informacije kao fenomena doveo je do mnogih definicija.

U rječniku standarda ISO / IEC 2382: 2015 "Informacijska tehnologija" dato je sljedeće tumačenje:

Informacije (u oblasti obrade informacija)- svi podaci predstavljeni u elektronskom obliku, napisani na papiru, izraženi na sastanku ili na bilo kom drugom mediju, koje finansijska institucija koristi za donošenje odluka, kretanje sredstava, određivanje kamatnih stopa, odobravanje kredita, obradu transakcija itd., uključujući komponente softver sistemi za obradu.

Za razvoj koncepta informacione sigurnosti (IS), informacije se shvataju kao informacije koje su dostupne za prikupljanje, skladištenje, obradu (uređivanje, transformaciju), korišćenje i prenos na različite načine, uključujući i u računarskim mrežama i drugim informacionim sistemima.

Takve informacije imaju veliku vrijednost i mogu postati predmetom zadiranja od strane trećih lica. Želja za zaštitom informacija od prijetnji leži u osnovi stvaranja sistema informacione sigurnosti.

Pravna osnova

U decembru 2017. Rusija je usvojila Doktrinu informacione sigurnosti. U dokumentu je IB definisana kao stanje zaštite nacionalnih interesa u informatička sfera... U ovom slučaju, nacionalni interesi se shvataju kao ukupnost interesa društva, pojedinca i države, svaka grupa interesa neophodna je za stabilno funkcionisanje društva.

Doktrina je koncept papir. Pravni odnosi koji se odnose na informacionu sigurnost uređeni su saveznim zakonima "O državnim tajnama", "O informacijama", "O zaštiti ličnih podataka" i dr. Na osnovu temeljnih normativnih akata izrađuju se vladine uredbe i resorni normativni akti o privatnim pitanjima zaštite informacija.

Definicija informacione sigurnosti

Prije izrade strategije informacione sigurnosti potrebno je usvojiti osnovnu definiciju samog koncepta, što će omogućiti korištenje određenog skupa metoda i metoda zaštite.

Praktičari iz industrije predlažu da se informaciona sigurnost shvati kao stabilno stanje sigurnosti informacija, njihovih nosilaca i infrastrukture, koje osigurava integritet i stabilnost procesa vezanih za informacije od namjernih ili nenamjernih uticaja prirodne i vještačke prirode. Uticaji su klasifikovani kao IS prijetnje koje mogu naštetiti subjektima informacionih odnosa.

Dakle, zaštita informacija će značiti skup pravnih, administrativnih, organizacionih i tehničkih mjera usmjerenih na sprječavanje stvarnih ili uočenih prijetnji sigurnosti informacija, kao i na otklanjanje posljedica incidenata. Kontinuitet procesa zaštite informacija treba da garantuje borbu protiv pretnji u svim fazama informacionog ciklusa: u procesu prikupljanja, skladištenja, obrade, korišćenja i prenošenja informacija.

Sigurnost informacija u ovom shvatanju, to postaje jedna od karakteristika performansi sistema. U svakom trenutku, sistem mora imati mjerljiv nivo sigurnosti, a osiguranje sigurnosti sistema mora biti kontinuiran proces koji se odvija u svim vremenskim intervalima tokom životnog vijeka sistema.

Infografika koristi naše podatkeSearchInform.

U teoriji informacione sigurnosti, subjekti informacione sigurnosti se shvataju kao vlasnici i korisnici informacija, i to ne samo korisnici na stalnoj osnovi (zaposleni), već i korisnici koji pristupaju bazama podataka u izolovanim slučajevima, na primjer, državni organi koji traže informacije. U brojnim slučajevima, na primjer, u standardima sigurnosti bankarskih informacija, dioničari se rangiraju kao vlasnici informacija - pravna lica kojoj pripadaju određeni podaci.

Prateća infrastruktura, sa stanovišta osnova informacione sigurnosti, uključuje računare, mreže, telekomunikacionu opremu, prostorije, sisteme za održavanje života i osoblje. Prilikom analize sigurnosti potrebno je proučiti sve elemente sistema, pri čemu posebnu pažnju posvećujemo osoblju kao nosiocu većine unutrašnjih prijetnji.

Za upravljanje bezbednošću informacija i procenu štete koristi se karakteristika prihvatljivosti, pa se šteta utvrđuje kao prihvatljiva ili neprihvatljiva. Korisno je da svako preduzeće utvrdi sopstvene kriterijume za prihvatljivost štete u novčanoj formi ili, na primer, u vidu prihvatljive štete po ugled. U javnim ustanovama mogu se usvojiti i druge karakteristike, na primjer, uticaj na proces upravljanja ili odraz stepena oštećenja života i zdravlja građana. Kriterijumi materijalnosti, važnosti i vrijednosti informacija mogu se promijeniti tokom trajanja životni ciklus Informacioni niz, stoga, treba blagovremeno pregledati.

Informaciona prijetnja u užem smislu je objektivna prilika da se utiče na objekt zaštite, što može dovesti do curenja, krađe, otkrivanja ili širenja informacija. U širem smislu, prijetnje sigurnosti informacija će uključivati usmjerene informacijske utjecaje, čija je svrha nanošenje štete državi, organizaciji i pojedincu. Takve prijetnje uključuju, na primjer, klevetu, namjerno lažno predstavljanje i neprikladno oglašavanje.

Tri glavna pitanja koncepta informacione sigurnosti za svaku organizaciju

Šta zaštititi?

Koje vrste prijetnji prevladavaju: vanjske ili unutrašnje?

Kako zaštititi, kojim metodama i sredstvima?

IS sistem

Sistem informacione bezbednosti preduzeća - pravnog lica obuhvata tri grupe osnovnih pojmova: integritet, dostupnost i poverljivost. Ispod svakog se nalaze koncepti sa mnogo karakteristika.

Ispod integritet znači otpornost baza podataka, drugih nizova informacija na slučajno ili namjerno uništenje, neovlaštene promjene. Integritet se može posmatrati kao:

statički, izraženo u nepromjenjivosti, autentičnosti informacionih objekata za one objekte koji su kreirani prema specifičnom tehničkom zadatku i sadrže količinu informacija potrebnu korisnicima za svoje glavne aktivnosti, u potrebnoj konfiguraciji i redoslijedu;
dinamičan, što podrazumijeva ispravno izvršavanje složenih radnji ili transakcija, bez ugrožavanja sigurnosti informacija.

Za kontrolu dinamičkog integriteta koriste se posebna tehnička sredstva koja analiziraju protok informacija, na primjer, finansijskih, i identifikuju slučajeve krađe, dupliciranja, preusmjeravanja i preuređivanja poruka. Integritet kao ključna karakteristika je potreban kada se odluke donose na osnovu pristiglih ili dostupnih informacija za poduzimanje radnji. Kršenje redosleda komandi ili redosleda radnji može prouzrokovati veliku štetu u slučaju opisivanja tehnoloških procesa, programskih kodova iu drugim sličnim situacijama.

Dostupnost je svojstvo koje ovlaštenim subjektima omogućava pristup ili razmjenu podataka od interesa za njih. Ključni zahtjev legitimacije ili autorizacije subjekata omogućava stvaranje različitim nivoima pristup. Odbijanje sistema da pruži informacije postaje problem za svaku organizaciju ili grupu korisnika. Primjer je nedostupnost sajtova javnih servisa u slučaju kvara sistema, što mnogim korisnicima uskraćuje mogućnost da dobiju potrebne usluge ili informacije.

Povjerljivost znači svojstvo informacija koje će biti dostupne tim korisnicima: subjektima i procesima kojima je inicijalno dozvoljen pristup. Većina kompanija i organizacija povjerljivost doživljava kao ključni element informacione sigurnosti, ali u praksi ju je teško u potpunosti implementirati. Autorima koncepta informacione sigurnosti nisu dostupni svi podaci o postojećim kanalima curenja informacija, a mnoga tehnička sredstva zaštite, uključujući i kriptografska, ne mogu se besplatno kupiti, u nekim slučajevima je promet ograničen.

Jednaka svojstva informacione sigurnosti imaju različite vrijednosti za korisnike, pa otuda i dvije ekstremne kategorije u razvoju koncepata zaštite podataka. Za kompanije ili organizacije povezane sa državnim tajnama, povjerljivost će postati ključni parametar, za javne službe ili obrazovne institucije najvažniji parametar je dostupnost.

Sažetak sigurnosti informacija

Zaštićeni objekti u konceptima sigurnosti informacija

Razlika u subjektima dovodi do razlika u objektima zaštite. Glavne grupe zaštićenih objekata:

informacijski resursi svih vrsta (resurs znači materijalni objekt: HDD, drugi medij, dokument sa podacima i detaljima koji pomažu da se identifikuje i uputi na njega određenu grupu predmeti);
prava građana, organizacija i države na pristup informacijama, mogućnost njihovog dobijanja u okviru zakona; pristup se može ograničiti samo regulatornim pravnim aktima, nedopustivo je organizovanje bilo kakvih barijera koje krše ljudska prava;
sistem za kreiranje, korišćenje i distribuciju podataka (sistemi i tehnologije, arhivi, biblioteke, regulatorni dokumenti);
sistem za formiranje javne svijesti (mediji, internet resursi, društvene institucije, obrazovne institucije).

Svaki objekat podrazumeva poseban sistem mera zaštite od pretnji po bezbednost informacija i javni red. Osiguravanje informacione sigurnosti u svakom slučaju treba da se zasniva na sistematskom pristupu koji uzima u obzir specifičnosti objekta.

Kategorije i mediji za skladištenje

Ruski pravni sistem, praksa sprovođenja zakona i uspostavljeni društveni odnosi klasifikuju informacije prema kriterijumima dostupnosti. Ovo vam omogućava da razjasnite bitne parametre potrebne za osiguravanje sigurnosti informacija:

informacije kojima je pristup ograničen na osnovu zakonskih uslova (državne tajne, poslovne tajne, lični podaci);
informacije u otvoreni pristup;
javno dostupne informacije koje se pružaju pod određenim uslovima: plaćene informacije ili podaci za koje je potrebno izdati pristup, na primjer, bibliotečka karta;
opasne, štetne, lažne i druge vrste informacija čiji je promet i distribucija ograničen ili zahtjevima zakona ili korporativnih standarda.

Informacije iz prve grupe imaju dva načina zaštite. Državna tajna, prema zakonu, radi se o informacijama zaštićenim od strane države, čija besplatna distribucija može štetiti bezbjednosti zemlje. To su podaci iz oblasti vojne, vanjske politike, obavještajnih, kontraobavještajnih i ekonomskih aktivnosti države. Vlasnik ove grupe podataka je sama država. Organi nadležni za preduzimanje mjera zaštite državne tajne su Ministarstvo odbrane, Federalna služba bezbjednosti (FSB), Spoljno obavještajna služba i Federalna služba za tehničku i izvoznu kontrolu (FSTEC).

Povjerljiva informacija- višestruki objekt regulacije. Lista informacija koje mogu predstavljati povjerljive informacije sadržana je u predsjedničkom dekretu br. 188 „O odobravanju liste povjerljivih informacija“. Ovo su lični podaci; tajnost istrage i sudskog postupka; službena tajna; profesionalna tajna (liječnička, javnobilježnička, advokatska); poslovna tajna; informacije o izumima i korisnim modelima; podatke sadržane u ličnim dosijeima osuđenih, kao i podatke o prinudnom izvršenju sudskih akata.

Lični podaci postoje u otvorenom i povjerljivom načinu rada. Dio ličnih podataka otvorenih i dostupnih svim korisnicima uključuje ime, prezime, patronim. Prema FZ-152 "O ličnim podacima", subjekti ličnih podataka imaju pravo:

informaciono samoopredeljenje;
pristup ličnim podacima i unošenje promjena u njih;
blokirati lične podatke i pristup njima;
podnošenje žalbe protiv nezakonitih radnji trećih lica počinjenih u vezi sa ličnim podacima;
da nadoknadi nastalu štetu.

Pravo na to je sadržano u propisima o državnim organima, saveznim zakonima, dozvolama za rad sa ličnim podacima koje izdaje Roskomnadzor ili FSTEC. Kompanije koje profesionalno rade sa ličnim podacima širokog spektra ljudi, na primjer, telekom operateri, moraju ući u registar koji vodi Roskomnadzor.

Poseban predmet u teoriji i praksi informacione sigurnosti su nosioci informacija kojima je pristup otvoren i zatvoren. Prilikom izrade koncepta informacijske sigurnosti odabiru se metode zaštite ovisno o vrsti medija. Glavni medij za pohranu:

štampani i elektronski mediji, društvene mreže, drugi resursi na Internetu;
zaposleni u organizaciji koji imaju pristup informacijama na osnovu prijateljskih, porodičnih, profesionalnih veza;
komunikaciona sredstva koja prenose ili čuvaju informacije: telefoni, automatske telefonske centrale, druga telekomunikaciona oprema;
dokumenti svih vrsta: lični, službeni, državni;
softver kao nezavisan informacioni objekat, posebno ako je njegova verzija modifikovana posebno za određenu kompaniju;
elektronski mediji za skladištenje koji obrađuju podatke na automatski način.

Za potrebe razvoja koncepata informacione bezbednosti, sredstva informacione bezbednosti se obično dele na normativna (neformalna) i tehnička (formalna).

Neformalna sredstva zaštite su dokumenti, pravila, događaji, formalna sredstva su posebna tehnička sredstva i softver. Razgraničenje pomaže u raspodjeli područja odgovornosti prilikom kreiranja sistema informacione sigurnosti: sa općim upravljanjem zaštitom, administrativno osoblje primjenjuje normativne metode, a IT stručnjaci, odnosno tehničke.

Osnove informacione bezbednosti podrazumevaju razgraničenje ovlašćenja ne samo u pogledu korišćenja informacija, već i u pogledu rada na njihovoj zaštiti. Ovo razgraničenje ovlašćenja takođe zahteva nekoliko nivoa kontrole.

Formalni pravni lijekovi

Širok spektar tehničkih sredstava informacione sigurnosti uključuje:

Fizička zaštitna oprema. To su mehanički, električni, elektronski mehanizmi koji funkcionišu nezavisno od informacionih sistema i stvaraju barijere za pristup njima. Brave, uključujući elektronske, ekrane, roletne su dizajnirane da stvaraju prepreke za kontakt destabilizirajućih faktora sa sistemima. Grupu dopunjuju sigurnosni sistemi, na primjer, video kamere, video rekorderi, senzori koji detektuju kretanje ili prekoračenje stepena elektromagnetnog zračenja u području lokacije tehničkih sredstava za pronalaženje informacija, ugrađenih uređaja.

Hardverska zaštita. To su električni, elektronski, optički, laserski i drugi uređaji koji su ugrađeni u informacione i telekomunikacione sisteme. Prije uvođenja hardvera u informacione sisteme potrebno je osigurati kompatibilnost.

Softver su jednostavni i sistemski, složeni programi dizajnirani za rješavanje specifičnih i složenih problema vezanih za sigurnost informacija. Primjer složenih rješenja su i: prva služe za sprječavanje curenja, preformatiranje informacija i preusmjeravanje tokova informacija, druga pružaju zaštitu od incidenata u oblasti informacione sigurnosti. Softver je zahtjevan za snagu hardverskih uređaja, te se prilikom instalacije moraju obezbijediti dodatne rezerve.

može se besplatno testirati 30 dana. Pre instaliranja sistema, SearchInform inženjeri će izvršiti tehničku proveru u kompaniji kupca.

TO specifičnim sredstvima informaciona sigurnost uključuje različite kriptografske algoritme koji šifriraju informacije na disku i preusmjeravaju preko vanjskih komunikacijskih kanala. Transformacija informacija može se desiti korišćenjem softverskih i hardverskih metoda koje deluju u korporativnim informacionim sistemima.

Sva sredstva koja garantuju sigurnost informacija treba koristiti u kombinaciji, nakon preliminarne procene vrednosti informacija i poređenja sa troškovima resursa utrošenih na bezbednost. Dakle, prijedloge za korištenje sredstava treba formulisati već u fazi razvoja sistema, a odobravanje na nivou menadžmenta koji je odgovoran za odobravanje budžeta.

Kako bismo osigurali sigurnost, potrebno je pratiti sva moderna razvoja, softverska i hardverska sredstva zaštite, prijetnje i pravovremeno vršiti izmjene u vlastitim sistemima zaštite od neovlaštenog pristupa. Samo adekvatnost i ažurnost odgovora na prijetnje pomoći će da se to postigne visoki nivo povjerljivost u radu kompanije.

Prvo izdanje objavljeno je 2018. Ovaj jedinstveni program kreira psihološke portrete zaposlenih i svrstava ih u rizične grupe. Ovaj pristup osiguravanju sigurnosti informacija omogućava vam da predvidite moguće incidente i preduzmete mjere unaprijed.

Neformalni pravni lijekovi

Neformalni lijekovi su grupisani u normativne, administrativne i moralno-etičke. Na prvom nivou zaštite su regulatorna sredstva koja regulišu sigurnost informacija kao proces u aktivnostima organizacije.

Regulatorna sredstva

U svjetskoj praksi, pri razvoju regulatornih alata, oni se rukovode standardima zaštite IS-a, od kojih je glavni ISO/IEC 27000. Standard su kreirale dvije organizacije:

ISO - Međunarodna komisija za standardizaciju, koja razvija i odobrava većinu međunarodno priznatih metodologija za sertifikaciju kvaliteta proizvodnje i procesa upravljanja;
IEC - Međunarodna energetska komisija, koja je u standard uvela svoje razumijevanje sistema sigurnosti informacija, sredstava i metoda za njihovo osiguranje

Trenutna verzija ISO/IEC 27000-2016 nudi gotove standarde i proverene metode neophodne za implementaciju informacione bezbednosti. Prema autorima metoda, osnova informacione sigurnosti leži u doslednosti i doslednoj implementaciji svih faza od razvoja do post-kontrole.

Za dobijanje sertifikata koji potvrđuje usklađenost sa standardima informacione sigurnosti, potrebno je u potpunosti implementirati sve preporučene tehnike. Ako nema potrebe za dobijanjem sertifikata, bilo šta od više rane verzije standarda, počevši od ISO / IEC 27000-2002, ili ruskih GOST-ova, koji su preporučljive prirode.

Na osnovu rezultata proučavanja standarda razvijaju se dva dokumenta koja se odnose na sigurnost informacija. Glavni, ali manje formalan, je koncept informacione bezbednosti preduzeća, koji definiše mere i metode implementacije sistema bezbednosti informacija za informacione sisteme organizacije. Drugi dokument kojeg moraju poštovati svi zaposleni u kompaniji je propis o informacionoj bezbednosti odobren na nivou odbora direktora ili izvršnog organa.

Pored pozicije na nivou kompanije, potrebno je izraditi liste podataka koji predstavljaju poslovnu tajnu, anekse ugovora o radu, osiguranje odgovornosti za odavanje povjerljivih podataka, druge standarde i metode. Interna pravila i propisi treba da sadrže mehanizme implementacije i mjere odgovornosti. Najčešće su mjere disciplinske prirode, a prekršilac mora biti spreman na činjenicu da će kršenje režima poslovne tajne biti praćeno značajnim sankcijama, uključujući i otkaz.

Organizacione i administrativne mjere

U okviru administrativne aktivnosti da bi se zaštitila sigurnost informacija za sigurnosno osoblje, postoji prostor za kreativnost. Riječ je o arhitektonsko-planerskim rješenjima koja omogućavaju zaštitu sala za sastanke i menadžment ureda od prisluškivanja, te uspostavljanje različitih nivoa pristupa informacijama. Važne organizacione mere biće sertifikacija delatnosti kompanije u skladu sa standardima ISO/IEC 27000, sertifikacija pojedinačnih hardverskih i softverskih sistema, sertifikacija subjekata i objekata za usklađenost sa potrebnim bezbednosnim zahtevima, dobijanje licenci neophodnih za rad sa zaštićenim nizovima podataka.

Sa stanovišta regulisanja delatnosti osoblja biće važno formulisati sistem zahteva za pristup Internetu, eksternoj elektronskoj pošti i drugim resursima. Poseban element će biti i prijem elektronskog digitalnog potpisa radi povećanja sigurnosti finansijskih i drugih informacija koje se prenose državnim organima putem elektronske pošte.

Moralne i etičke mjere

Moralno-etičke mjere određuju lični stav osobe prema povjerljiva informacija ili informacije ograničene u opticaju. Povećanje nivoa znanja zaposlenih o uticaju pretnji na aktivnosti kompanije utiče na stepen svesti i odgovornosti zaposlenih. Za borbu protiv kršenja režima informisanja, uključujući, na primjer, prijenos lozinki, nepažljivo rukovanje medijima, širenje povjerljivih podataka u privatnim razgovorima, potrebno je fokusiranje na ličnu savjesnost zaposlenika. Biće korisno utvrditi indikatore efikasnosti osoblja, koji će zavisiti od odnosa prema njima korporativni sistem IB.

Politika sigurnosti informacija.

1. Opće odredbe

Ova politika sigurnost informacija ( dalje - Politika ) definiše sistem pogleda na problem osiguranja sigurnosti informacija i predstavlja sistematski iskaz ciljeva i zadataka, kao i organizacionih, tehnoloških i proceduralnih aspekata osiguranja sigurnosti informacija objekata informacione infrastrukture, uključujući skup informacija centri, banke podataka i komunikacioni sistemi organizacije. Ova Politika je razvijena uzimajući u obzir zahtjeve važećeg zakonodavstva Ruske Federacije i kratkoročne izglede za razvoj objekata informacione infrastrukture, kao i karakteristike i mogućnosti savremenih organizaciono-tehničkih metoda i hardvera i softvera za zaštita informacija.

Glavne odredbe i zahtjevi Politike primjenjuju se na sve strukturne odjele organizacije.

Politika je metodološka osnova za formiranje i provođenje jedinstvene politike u oblasti osiguranja sigurnosti informacija objekata informacione infrastrukture, donošenja koordinisanih upravljačkih odluka i razvoja praktičnih mjera u cilju osiguranja informacione sigurnosti, koordinacije aktivnosti strukturnih odjela organizaciju pri obavljanju poslova na kreiranju, razvoju i radu informacionih objekata infrastrukturu u skladu sa zahtevima informacione bezbednosti.

Politika ne reguliše pitanja organizovanja zaštite prostorija i obezbjeđenja sigurnosti i fizičkog integriteta komponenti informacione infrastrukture, zaštite od elementarnih nepogoda i kvarova u sistemu napajanja, ali podrazumijeva izgradnju sistema informacione sigurnosti. na istim konceptualnim osnovama kao i sistem bezbednosti organizacije u celini.

Implementacija politike je obezbeđena odgovarajućim smernicama, propisima, procedurama, uputstvima, smernicama i sistemom za procenu bezbednosti informacija u organizaciji.

Politika koristi sljedeće termine i definicije:

automatizovani sistem ( AS) — sistem koji se sastoji od osoblja i kompleksa sredstava za automatizaciju njihovih aktivnosti, koji implementira informacionu tehnologiju za obavljanje uspostavljenih funkcija.

Informaciona infrastruktura- sistem organizacionih struktura koje obezbeđuju funkcionisanje i razvoj informacioni prostor i komunikacijski alati. Informaciona infrastruktura uključuje skup informacionih centara, banaka podataka i znanja, komunikacionih sistema i omogućava potrošačima pristup informacionim resursima.

Informativni izvori ( IR) - to su zasebni dokumenti i zasebni nizovi dokumenata, dokumenata i nizovi dokumenata u informacionim sistemima ( biblioteke, arhive, fondove, baze podataka i druge informacione sisteme).

Informacioni sistem (IP) - sistem za obradu informacija i pripadajuće organizacione resurse ( ljudski, tehnički, finansijski itd.) koji daju i šire informacije.

sigurnost - stanje zaštite interesa ( ciljevi) organizacije suočene sa prijetnjama.

Sigurnost informacija ( IB) — sigurnost u vezi sa prijetnjama u informacionoj sferi. Sigurnost se postiže osiguravanjem skupa svojstava IS-a – dostupnosti, integriteta, povjerljivosti informacijske imovine. Prioritet imovine IS određen je vrijednošću ove imovine za kamate ( ciljevi) organizacija.

Dostupnost informacionih sredstava - svojstvo IS-a organizacije, koje se sastoji u tome da se informaciona sredstva dostavljaju ovlašćenom korisniku, i to u obliku i na mestu koje korisnik zahteva, iu trenutku kada su mu potrebna.

Integritet informacionih sredstava - svojstvo informacijske sigurnosti organizacije da održava nepromijenjene ili ispravlja otkrivene promjene u svojoj informacijskoj imovini.

Povjerljivost informacijske imovine - svojstvo informacione sigurnosti organizacije, koja se sastoji u tome da se obrada, skladištenje i prijenos informacijske imovine odvija na način da je informacijska imovina dostupna samo ovlaštenim korisnicima, sistemskim objektima ili procesima.

Sistem bezbednosti informacija ( NIB) — skup zaštitnih mjera, zaštitne opreme i procesa njihovog rada, uključujući resursne i administrativne ( organizaciono) odredba.

Neovlašteni pristup- pristup informacijama kojim se krše službena ovlaštenja zaposlenog, pristup informacijama koje su zatvorene za javni pristup osobama koje nemaju dozvolu za pristup ovim informacijama ili pristup informacijama od strane osobe koja ima pravo pristupa ovim informacijama u iznosu koji premašuje iznos neophodan za obavljanje službenih dužnosti.

2. Opšti zahtjevi za sigurnost informacija

Zahtjevi sigurnosti informacija ( dalje -IB ) utvrđuje sadržaj i ciljeve aktivnosti organizacije u okviru procesa upravljanja IS-om.

Ovi zahtjevi su formulirani za sljedeća područja:

dodjela i raspodjela uloga i povjerenje u osoblje;
faze životnog ciklusa objekata informacione infrastrukture;
zaštita od neovlaštenog pristupa ( dalje - NSD ), kontrola pristupa i registracija u automatizovani sistemi, u telekomunikacionoj opremi i automatskim telefonskim centralama i dr.;
antivirusna zaštita;
korištenje Internet resursa;
korištenje sredstava kriptografske zaštite informacija;
zaštita ličnih podataka.

3. Objekti koje treba zaštititi

Glavni objekti koje treba zaštiti su:

informacionih resursa prezentovani u obliku dokumenata i niza informacija, bez obzira na oblik i vrstu njihovog predstavljanja, uključujući poverljive i otvorene informacije;
sistem za formiranje, distribuciju i korišćenje informacionih resursa, biblioteke, arhive, baze podataka i banke podataka, informacione tehnologije, propisi i procedure za prikupljanje, obradu, skladištenje i prijenos informacija, tehničko i uslužno osoblje;
informacionu infrastrukturu, uključujući sisteme za obradu i analizu informacija, hardver i softver za njihovu obradu, prenos i prikaz, uključujući razmjenu informacija i telekomunikacione kanale, sisteme i sisteme informacione sigurnosti, objekte i prostorije u kojima se nalaze komponente informacione infrastrukture.

3.1. Karakteristike automatizovanog sistema

AU kruže informacije različitih kategorija. Zaštićene informacije mogu dijeliti različiti korisnici iz različitih podmreža jedne korporativne mreže.

Brojni AS podsistemi omogućavaju interakciju sa eksternim ( državni i komercijalni, ruski i strani) organizacije na komutiranim i namjenskim kanalima komunikacije koristeći posebna sredstva za prenos informacija.

Kompleks tehničkih sredstava AU uključuje sredstva za obradu podataka ( radne stanice, serveri baze podataka, mail serveri itd.), sredstvo za razmjenu podataka u lokalnim mrežama sa mogućnošću pristupa globalnim mrežama ( kablovi, mostovi, gateway-i, modemi, itd.), kao i skladišne prostore ( uklj. arhiviranje) podaci.

Glavne karakteristike funkcionisanja AU uključuju:

potreba za integracijom u jedinstven sistem veliki broj razna tehnička sredstva za obradu i prenos informacija;
širok izbor zadataka koje treba riješiti i vrste obrađenih podataka;
kombinovanje informacija za različite namene, pripadnost i nivoe poverljivosti u zajedničkim bazama podataka;
dostupnost kanala za povezivanje sa eksternim mrežama;
kontinuitet funkcionisanja;
prisustvo podsistema sa različitim zahtevima u pogledu nivoa bezbednosti, fizički ujedinjenih u jedinstvenu mrežu;
razne kategorije korisnika i uslužnog osoblja.

Uopšteno govoreći, jedan AS je skup lokalnih mreža pododjeljaka, međusobno povezanih putem telekomunikacija. Svaka lokalna mreža objedinjuje niz međusobno povezanih i međusobno povezanih automatiziranih podsistema ( tehnološke lokacije), osiguravanje rješavanja problema po pojedinim strukturnim odjeljenjima organizacije.

Objekti informatizacije su:

tehnološka oprema ( kompjuterska oprema, mrežna i kablovska oprema);
informacioni resursi;
softver ( operativni sistemi, sistemi za upravljanje bazama podataka, opšti sistemski i aplikativni softver);
automatizirani sustavi komunikacije i prijenosa podataka (telekomunikacije);
kanali povezivanja;
poslovni prostor.

3.2. Vrste informacijskih sredstava organizacije koje treba zaštititi

Informacije različitih nivoa povjerljivosti kruže u AS podsistemima organizacije i sadrže informacije ograničene distribucije ( uslužni, komercijalni, lični podaci) i otvorene informacije.

Tok dokumenata AU sadrži:

nalozi za plaćanje i finansijski dokumenti;
izvještaji ( finansijski, analitički itd.);
informacije o ličnim računima;
Lična informacija;
ostale informacije ograničene distribucije.

Sve informacije koje kruže u AU i sadržane u sljedećim vrstama informacijske imovine podliježu zaštiti:

informacije koje predstavljaju poslovnu i službenu tajnu, čiji je pristup ograničen od strane organizacije, kao vlasnika informacija, u skladu sa Saveznim zakonom" O informacijama, informatizaciji i zaštiti informacija "Prava i savezni zakon" O poslovnim tajnama »;
lični podaci, pristup kojima je ograničen u skladu sa saveznim zakonom" O ličnim podacima »;
otvorene informacije, u smislu osiguranja integriteta i dostupnosti informacija.

3.3. Kategorije korisnika automatizovanog sistema

Organizacija ima veliki broj kategorija korisnika i uslužnog osoblja, koji moraju imati različite ovlasti za pristup informacionim resursima AU:

obični korisnici ( krajnji korisnici, zaposleni u organizacionim jedinicama);
administratori servera ( serveri datoteka, serveri aplikacija, serveri baza podataka), lokalne mreže i aplikativni sistemi;
sistemski programeri ( odgovoran za održavanje opšteg softvera) na serverima i radnim stanicama korisnika;
Programeri aplikacijskog softvera;
specijaliste za održavanje tehničkih sredstava računarske tehnike;
administratori za sigurnost informacija itd.

3.4. Ranjivost glavnih komponenti automatizovanog sistema

Najranjivije komponente AU su mrežne radne stanice - automatizirane radne stanice ( dalje - AWP ) radnici. Pokušaji neovlaštenog pristupa informacijama ili pokušaji neovlaštenih radnji ( nenamjerno i namjerno) v računarsku mrežu... Kršenja konfiguracije hardvera i softvera radnih stanica i nezakonito miješanje u procese njihovog funkcionisanja mogu dovesti do blokiranja informacija, nemogućnosti pravovremenog rješavanja važnih zadataka i kvara pojedinih radnih stanica i podsistema.

Mrežni elementi kao što su namenski serveri datoteka, serveri baza podataka i serveri aplikacija zahtevaju posebnu zaštitu. Nedostaci protokola razmjene i načina razlikovanja pristupa serverskim resursima mogu omogućiti neovlašteni pristup zaštićenim informacijama i uticati na rad različitih podsistema. U ovom slučaju, pokušaji se mogu napraviti kao daljinski ( sa mrežnih stanica) i direktno ( sa serverske konzole) uticaj na rad servera i njihovu zaštitu.

Mostovi, pristupnici, čvorišta, ruteri, svičevi i drugi mrežni uređaji, veze i komunikacije također trebaju zaštitu. Uljezi ih mogu koristiti za restrukturiranje i dezorganizaciju mrežnih operacija, presretanje prenesenih informacija, analizu prometa i implementaciju drugih metoda ometanja procesa razmjene podataka.

4. Osnovni principi informacione sigurnosti

4.1. Opći principi sigurnog rada

Pravovremenost otkrivanja problema. Organizacija treba na vrijeme identificirati probleme koji bi mogli utjecati na njene poslovne ciljeve.
Predvidljivost razvoja problema. Organizacija mora identificirati uzročnost mogući problemi i na osnovu toga izgraditi tačnu prognozu njihovog razvoja.
Procjena uticaja problema na poslovne ciljeve. Organizacija će adekvatno procijeniti uticaj identifikovanih problema.
Adekvatnost zaštitnih mjera. Organizacija treba da izabere zaštitne mjere koje su adekvatne modelima prijetnji i prestupnika, uzimajući u obzir troškove implementacije takvih mjera i iznos mogućih gubitaka od implementacije prijetnji.
Učinkovitost zaštitnih mjera. Organizacija će efikasno sprovoditi preduzete zaštitne mere.
Koristeći iskustvo u donošenju i implementaciji odluka. Organizacija treba da akumulira, generalizuje i koristi kako vlastito iskustvo tako i iskustva drugih organizacija na svim nivoima odlučivanja i njihove implementacije.
Kontinuitet principa sigurnog rada. Organizacija će osigurati kontinuitet primjene principa sigurnog rada.
Upravljivost zaštitnih mjera. Organizacija treba da primenjuje samo one zaštitne mere za koje se može potvrditi da ispravno funkcionišu, a organizacija treba da redovno procenjuje adekvatnost zaštitnih mera i efektivnost njihove primene, uzimajući u obzir uticaj zaštitnih mera na poslovne ciljeve organizacije.

4.2. Posebni principi za osiguranje informacione sigurnosti

Primena posebnih principa informacione bezbednosti ima za cilj povećanje stepena zrelosti procesa upravljanja bezbednošću informacija u organizaciji.
Definicija ciljeva. Funkcionalni i informacioni ciljevi organizacije treba da budu eksplicitno definisani u internom dokumentu. Neizvjesnost vodi do “ neodređenost”Organizaciona struktura, kadrovske uloge, politike informacione bezbednosti i nemogućnost procene adekvatnosti preduzetih zaštitnih mera.
Poznavanje vaših kupaca i zaposlenih. Organizacija mora imati informacije o svojim klijentima, pažljivo birati osoblje ( radnici), razvijaju i održavaju korporativnu etiku, koja stvara povoljno okruženje povjerenja za aktivnosti organizacije za upravljanje imovinom.
Personifikacija i adekvatna podjela uloga i odgovornosti. Odgovornost službenika organizacije za odluke u vezi sa njenom imovinom treba da bude personifikovana i sprovedena uglavnom u obliku jemstva. Treba da bude adekvatan stepenu uticaja na ciljeve organizacije, da bude fiksiran u politikama, kontrolisan i unapređen.
Adekvatnost uloga funkcijama i procedurama i njihova uporedivost sa kriterijumima i sistemom ocjenjivanja. Uloge treba da adekvatno odražavaju funkcije koje se obavljaju i procedure za njihovu implementaciju usvojene u organizaciji. Prilikom dodjele međusobno povezanih uloga treba uzeti u obzir neophodan redoslijed njihove implementacije. Uloga mora biti u skladu sa kriterijumima za ocjenu efektivnosti njene implementacije. Glavni sadržaj i kvalitet uloge koju igra zapravo određuje sistem ocjenjivanja koji se na nju primjenjuje.
Dostupnost usluga i usluga. Organizacija mora osigurati za svoje kupce i izvođače dostupnost usluga i usluga u utvrđenim rokovima utvrđenim relevantnim ugovorima ( sporazumi) i/ili druga dokumenta.
Uočljivost i evaluabilnost informacione sigurnosti. Sve predložene zaštitne mjere moraju biti osmišljene tako da je učinak njihove primjene jasno vidljiv, vidljiv ( transparentan) i može biti procijenjen od strane odjela organizacije sa odgovarajućim ovlaštenjima.

5. Ciljevi i zadaci informacione sigurnosti

5.1. Subjekti informacionih odnosa u automatizovanom sistemu

Subjekti pravnih odnosa prilikom korišćenja AU i obezbeđivanja sigurnosti informacija su:

Organizacija kao vlasnik informacionih resursa;
odjeljenja organizacije koja obezbjeđuje rad NPP;
zaposleni u strukturnim odjeljenjima organizacije, kao korisnici i pružaoci informacija u AU u skladu sa funkcijama koje su im dodijeljene;
pravna i fizička lica, informacije o kojima se akumuliraju, čuvaju i obrađuju u AS;
druga pravna i fizička lica uključena u stvaranje i rad AU ( programeri sistemskih komponenti, organizacije uključene u pružanje različitih usluga u ovoj oblasti informacione tehnologije i sl.).

Navedeni subjekti informacionih odnosa zainteresovani su da obezbede:

povjerljivost određene informacije;
pouzdanost ( potpunost, tačnost, adekvatnost, integritet) informacije;
zaštita od nametanja lažnih ( nepouzdan, iskrivljen) informacije;
blagovremen pristup potrebnim informacijama;
razlikovanje odgovornosti za povrede zakonskih prava ( interesovanja) drugi subjekti informacionih odnosa i utvrđena pravila za postupanje sa informacijama;
mogućnost kontinuiranog praćenja i upravljanja procesima obrade i prijenosa informacija;
zaštita dijela informacija od njihovog nezakonitog umnožavanja ( zaštita autorskih prava, prava vlasnika informacija itd.).

5.2. Cilj sigurnosti informacija

Osnovni cilj osiguranja sigurnosti informacija je zaštita subjekata informatičkih odnosa od moguće materijalne, moralne ili druge štete po njih slučajnim ili namjernim neovlaštenim miješanjem u proces funkcionisanja AU ili neovlaštenim pristupom informacijama koje kruže u njoj i njegove nezakonite upotrebe.

Ovaj cilj se postiže osiguranjem i stalnim održavanjem sljedećih svojstava informacija i automatiziranog sistema za njihovu obradu:

dostupnost obrađenih informacija za registrovane korisnike;
povjerljivost određenog dijela informacija koje se čuvaju, obrađuju i prenose komunikacijskim kanalima;
integritet i autentičnost informacija koje se čuvaju, obrađuju i prenose komunikacijskim kanalima.

5.3. Ciljevi informacione sigurnosti

Da bi se ostvario glavni cilj osiguranja informacione sigurnosti, sistem informacione sigurnosti NPP-a mora obezbijediti efikasno rješenje za sljedeće zadatke:

zaštita od uplitanja u proces funkcionisanja AU od strane neovlašćenih lica;
diferencijacija pristupa registrovanih korisnika hardverskim, softverskim i informacionim resursima AU, odnosno zaštita od neovlašćenog pristupa;
registraciju radnji korisnika pri korištenju zaštićenih AS resursa u sistemskim logovima i periodičnu kontrolu ispravnosti radnji korisnika sistema analizom sadržaja ovih dnevnika od strane stručnjaka iz sektora sigurnosti;
zaštita od neovlaštenih modifikacija i kontrola integriteta ( obezbeđivanje nepromenljivosti) okruženje za izvršavanje programa i njegovo obnavljanje u slučaju kršenja;
zaštita od neovlaštenih modifikacija i kontrola integriteta softvera koji se koristi u AU, kao i zaštita sistema od uvođenja neovlaštenih programa, uključujući kompjuterske viruse;
zaštita informacija od curenja tehničkim kanalima tokom njihove obrade, skladištenja i prijenosa putem komunikacijskih kanala;
zaštita informacija koje se čuvaju, obrađuju i prenose putem komunikacijskih kanala od neovlaštenog otkrivanja ili izobličenja;
obezbjeđivanje autentifikacije korisnika koji sudjeluju u razmjeni informacija;
osiguranje opstojnosti alata za zaštitu kriptografskih informacija kada je dio ključnog sistema kompromitovan;
blagovremeno utvrđivanje izvora prijetnji informacionoj bezbjednosti, uzroka i uslova koji doprinose oštećenju zainteresovanih subjekata informacionih odnosa, stvaranje mehanizma za brzo reagovanje na prijetnje informacionoj bezbjednosti i negativne trendove;
stvaranje uslova za minimiziranje i lokalizaciju štete prouzrokovane protivpravnim radnjama fizičkih i pravnih lica, slabljenje negativnog uticaja i otklanjanje posledica narušavanja informacione bezbednosti.

5.4. Načini rješavanja problema sigurnosti informacija

Rješenje problema informacione sigurnosti postiže se:

strogo računovodstvo svih resursa sistema koji su podložni zaštiti ( informacije, zadaci, komunikacioni kanali, serveri, AWP);
regulisanje procesa obrade informacija i postupanja zaposlenih u strukturnim jedinicama organizacije, kao i postupanja osoblja koje obavlja poslove održavanja i modifikacije softvera i hardvera nuklearne elektrane, na osnovu organizacionih i administrativnih dokumenata o informacionoj bezbednosti;
potpunost, stvarna izvodljivost i konzistentnost zahtjeva organizacionih i administrativnih dokumenata o informacionoj sigurnosti;
imenovanje i obuku službenika odgovornih za organizaciju i sprovođenje praktičnih mjera za osiguranje sigurnosti informacija;
osnaživanje svakog zaposlenog sa minimumom potrebnim za ispunjavanje njegovih funkcionalnih dužnosti sa ovlaštenjem pristupa resursima nuklearne elektrane;
jasno poznavanje i striktno poštovanje svih zaposlenih koji koriste i održavaju hardver i softver nuklearne elektrane, zahtjeva organizacionih i administrativnih dokumenata o informacionoj sigurnosti;
ličnu odgovornost za svoje postupke svakog zaposlenog koji učestvuje, u okviru svojih funkcionalnih dužnosti, u procesima automatizovane obrade informacija i ima pristup resursima AU;
sprovođenje tehnoloških procesa obrade informacija korišćenjem kompleksa organizaciono-tehničkih mera zaštite softvera, hardvera i podataka;
donošenje efikasnih mjera za osiguranje fizičkog integriteta tehničke opreme i kontinuirano održavanje potrebnog nivoa zaštite komponenti NEK;
primjena tehničkih ( softver i hardver) sredstva zaštite sistemskih resursa i stalnu administrativnu podršku za njihovo korištenje;
razgraničenje tokova informacija i zabrana prenosa informacija ograničene distribucije kroz nezaštićene komunikacione kanale;
efikasna kontrola poštovanja od strane zaposlenih zahtjeva informacione sigurnosti;
stalno praćenje mrežni resursi, identifikacija ranjivosti, blagovremeno otkrivanje i neutralizacija vanjskih i unutrašnjih prijetnji sigurnosti računarske mreže;
pravnu zaštitu interesa organizacije od nezakonitih radnji u oblasti informacione bezbednosti.
sprovođenje kontinuirane analize efikasnosti i dovoljnosti preduzetih mjera i korištenih sredstava zaštite informacija, izrada i implementacija prijedloga za unapređenje sistema zaštite informacija u nuklearnoj elektrani.

6 prijetnji sigurnosti informacija

6.1. Prijetnje sigurnosti informacija i njihovi izvori

Najopasnije prijetnje sigurnosti informacija koje se obrađuju u nuklearnoj elektrani su:

kršenje povjerljivosti ( otkrivanje, curenje) podatke koji predstavljaju službenu ili poslovnu tajnu, uključujući lične podatke;
neispravan ( neorganizovanost rada) AU, blokiranje informacija, kršenje tehnoloških procesa, ometanje pravovremenog rješavanja problema;
povreda integriteta ( izobličenje, zamjena, uništenje) informacije, softver i drugi resursi AU.

Glavni izvori prijetnji informacionoj sigurnosti NPP su:

štetni događaji prirodnog i ljudskog karaktera;
teroristi, kriminalci;
kompjuterski cyber kriminalci koji izvode ciljane destruktivne radnje, uključujući upotrebu kompjuterski virusi i druge vrste zlonamjernih kodova i napada;
dobavljači softvera i hardvera, potrošnog materijala, usluga itd.;
izvođači koji izvode montažu, puštanje u rad opreme i njenu popravku;
nepoštovanje zahtjeva nadzornih i regulatornih tijela, važećeg zakonodavstva;
kvarovi, kvarovi, uništenje/oštećenje softvera i hardvera;
zaposleni koji su legalni učesnici u procesima u AU i deluju van okvira datih ovlašćenja;
zaposleni koji su legalni učesnici u procesima u AU i deluju u okviru datih ovlašćenja.

6.2. Nenamjerne radnje koje dovode do narušavanja sigurnosti informacija i mjere za njihovo sprječavanje

Zaposleni u organizaciji koji imaju direktan pristup procesima obrade informacija u AU potencijalni su izvor nenamjernih slučajnih radnji koje mogu dovesti do narušavanja informacione sigurnosti.

Velike nenamjerne radnje koje dovode do narušavanja sigurnosti informacija (radnje koje ljudi izvode slučajno, neznanjem, nepažnjom ili nemarom, iz radoznalosti, ali bez zle namjere) i daju se mjere za sprječavanje takvih radnji i smanjenje štete koju uzrokuju Tabela 1.

Tabela 1

Glavne radnje koje dovode do narušavanja sigurnosti informacija
Radnje zaposlenih koje dovode do djelomičnog ili potpunog kvara sistema ili narušavanja performansi hardvera ili softvera; isključivanje opreme ili promjena načina rada uređaja i programa; uništavanje informacionih resursa sistema ( nenamjerno oštećenje opreme, brisanje, izobličenje programa ili datoteka sa važnim informacijama, uključujući sistemske, oštećenje komunikacijskih kanala, nenamjerno oštećenje medija za pohranu itd.)	Organizacione mjere ( ). Upotreba fizičkih sredstava za sprječavanje nenamjernog činjenja prekršaja. Primjena tehničkih ( hardvera i softvera) način razlikovanja pristupa resursima. Rezervacija kritičnih resursa.
Neovlašteno pokretanje programa koji, ako se nestručno koriste, mogu uzrokovati gubitak performansi sistema ( zamrzava ili petlje) ili provođenje nepovratnih promjena u sistemu ( formatiranje ili restrukturiranje medija za pohranu, brisanje podataka itd.)	Organizacione mjere ( uklanjanje svih potencijalno opasnih programa sa radne stanice). Primjena tehničkih ( hardvera i softvera) način razlikovanja pristupa programima na radnoj stanici.
Neovlašteno uvođenje i korištenje nesnimljenih programa ( igre, obuke, tehnološke i druge koje nisu neophodne zaposlenima za obavljanje službenih poslova) uz naknadno nerazumno trošenje resursa ( procesorsko vrijeme, memorija sa slučajnim pristupom, memorija na vanjskim medijima itd.)	Organizacione mjere ( nametanje zabrana). Primjena tehničkih ( hardvera i softvera) znači sprječavanje neovlaštenog uvođenja i korištenja nesnimljenih programa.
Nenamjerna infekcija vašeg računara virusom	Organizacione mjere ( regulisanje radnji, uvođenje zabrana). tehnološke mjere ( korištenje posebnih programa za otkrivanje i uništavanje virusa). Upotreba hardverskih i softverskih alata koji sprečavaju zarazu računarskim virusima.
Otkrivanje, prijenos ili gubitak atributa kontrole pristupa ( lozinke, ključevi za šifrovanje ili elektronski potpis, identifikacione kartice, propusnice itd.)	Organizacione mjere ( regulisanje postupanja, uvođenje zabrana, jačanje odgovornosti). Upotreba fizičkih sredstava kako bi se osigurala sigurnost navedenih detalja.
Zanemarivanje organizacionih ograničenja ( uspostavljena pravila) prilikom rada u sistemu	Organizacione mjere ( ). Upotreba dodatnih fizičkih i tehničkih sredstava zaštite.
Nestručno korištenje, podešavanje ili neodgovarajuće onesposobljavanje zaštitne opreme od strane sigurnosnog osoblja	Organizacione mjere ( obuka kadrova, jačanje odgovornosti i kontrole).
Unošenje pogrešnih podataka	Organizacione mjere ( povećana odgovornost i kontrola). Tehnološke mjere za kontrolu grešaka operatera unosa podataka.

6.3. Namjerne radnje za narušavanje sigurnosti informacija i mjere za njihovo sprječavanje

Osnovne namjerne radnje ( u sebične svrhe, pod prisilom, iz želje za osvetom itd.), koje dovode do narušavanja informacione sigurnosti nuklearne elektrane, a mjere za njihovo sprječavanje i smanjenje moguće štete dane su u Tabela 2.

tabela 2

Glavne namjerne radnje koje dovode do narušavanja sigurnosti informacija	Mjere za sprječavanje prijetnji i minimiziranje štete
Fizičko uništenje ili onesposobljavanje svih ili nekih od najvažnijih komponenti automatiziranog sistema ( uređaji, nosioci važnih sistemskih informacija, osoblje itd.), onemogućavanje ili onemogućavanje podsistema kako bi se osiguralo funkcionisanje računarskih sistema ( napajanje, komunikacione linije itd.)	Organizacione mjere ( regulisanje radnji, uvođenje zabrana). Upotreba fizičkih sredstava za sprječavanje namjernog činjenja prekršaja. Rezervacija kritičnih resursa.
Uvođenje agenata u broj osoblja sistema ( uključujući administrativnu grupu odgovornu za sigurnost), zapošljavanje ( podmićivanjem, ucenama, pretnjama itd.) korisnici koji imaju određena prava pristupa zaštićenim resursima	Organizacione mjere ( odabir, raspoređivanje i rad sa kadrovima, jačanje kontrole i odgovornosti). Automatska registracija kadrovskih akcija.
Krađa nosača informacija ( otisci, magnetni diskovi, trake, uređaji za pohranu podataka i cijeli PC), krađa industrijskog otpada ( ispisi, zapisi, odbačeni mediji itd.)	Organizacione mjere ( ).
Neovlašteno kopiranje nosača informacija, čitanje preostalih informacija iz memorije nasumičnog pristupa i s vanjskih uređaja za pohranu	Organizacione mjere ( organizacija skladištenja i korišćenja medija sa zaštićenim informacijama). Primjena tehničkih sredstava razgraničenja pristupa zaštićenim resursima i automatska registracija prijema štampanih kopija dokumenata.
Nezakonito primanje lozinki i drugih detalja kontrole pristupa ( prikrivenim sredstvima, korišćenjem nemara korisnika, selekcijom, imitacijom interfejsa sistema softverskim obeleživačima itd.) s naknadnim prerušavanjem u registrirani korisnik.	Organizacione mjere ( regulisanje postupanja, uvođenje zabrana, rad sa kadrovima). Upotreba tehničkih sredstava koja sprečavaju implementaciju programa za presretanje lozinki, ključeva i drugih detalja.
Neovlašteno korištenje AWP-a za korisnike sa jedinstvenim fizičkim karakteristikama, kao što je broj radne stanice u mreži, fizička adresa, adresa u komunikacijskom sistemu, jedinica za hardversko kodiranje itd.	Organizacione mjere ( striktno regulisanje pristupa prostorijama i prijem na rad na ovim AWP). Primjena fizičkih i tehničkih sredstava kontrole pristupa.
Neovlaštena modifikacija softvera - uvođenje softverskih "markera" i "virusa" ( Trojanski konji i bube), odnosno takvi dijelovi programa koji nisu potrebni za implementaciju deklarisanih funkcija, ali koji omogućavaju prevazilaženje sistema zaštite, tajni i nezakonit pristup sistemskim resursima u cilju registracije i prijenosa zaštićenih informacija ili dezorganizacije funkcionisanja sistem	Organizacione mjere ( striktno regulisanje prijema na posao). Korišćenje fizičkih i tehničkih sredstava za razlikovanje pristupa i sprečavanje neovlašćenih modifikacija hardverske i softverske konfiguracije AWP-a. Primjena alata za kontrolu integriteta softvera.
Presretanje podataka koji se prenose komunikacijskim kanalima, njihova analiza u cilju dobijanja povjerljivih informacija i razjašnjavanja protokola razmjene, pravila za ulazak u mrežu i autorizacije korisnika, uz naknadne pokušaje imitacije istih da prodru u sistem	Fizička zaštita komunikacijskih kanala. Primjena sredstava kriptografske zaštite prenesenih informacija.
Ometanje javnih mreža u procesu funkcionisanja sistema u cilju neovlašćene izmjene podataka, pristupa povjerljivim informacijama, dezorganizacije rada podsistema i sl.	Organizacione mjere ( regulisanje priključenja i rada u javnim mrežama). Upotreba posebnih tehničkih sredstava zaštite ( firewall, sigurnosne kontrole i otkrivanje napada na sistemske resurse, itd.).

6.4. Informacije cure kroz tehničke kanale

Tokom rada tehničke opreme NEK mogući su sljedeći kanali curenja ili narušavanja integriteta informacija, poremećaja rada tehničke opreme:

bočno elektromagnetno zračenje informativnog signala iz tehničkih sredstava i vodova za prijenos informacija;
presretanje informativnog signala, obrađenog elektronskim kompjuterima, do žica i vodova koji izlaze izvan kontrolisanog područja kancelarija, uklj. na krugovima za uzemljenje i napajanje;
razne elektronskih uređaja presretanje informacija ( uklj. "Oznake") povezan sa komunikacionim kanalima ili tehničkim sredstvima za obradu informacija;
Gledanje informacija sa ekrana i drugih sredstava za njihovo prikazivanje pomoću optičkih sredstava;
uticaj na hardver ili softver kako bi se narušio integritet ( uništenje, izobličenje) informacije, operativnost tehničkih sredstava, sredstava informacione sigurnosti i blagovremenost razmjene informacija, uključujući i elektromagnetne, putem posebno implementiranih elektronskih i softverskih alata ( "Oznake").

Uzimajući u obzir specifičnosti obrade i osiguravanja sigurnosti informacija, opasnost od curenja povjerljivih informacija ( uključujući lične podatke) tehničkim kanalima su irelevantni za organizaciju.

6.5. Neformalni model vjerovatnog uljeza

Prestupnik je lice koje je pokušalo da izvrši zabranjene radnje ( akcija) greškom, neznanjem ili namjerno sa zlobom ( iz stečenih interesa) ili bez njega ( radi igre ili zadovoljstva, u svrhu samopotvrđivanja itd.) i korištenjem raznih mogućnosti, metoda i sredstava za to.

Sistem zaštite NPP treba da se zasniva na pretpostavkama o sledećim mogućim tipovima prekršilaca u sistemu ( uzimajući u obzir kategoriju lica, motivaciju, kvalifikacije, dostupnost specijalnih sredstava itd.):

« Neiskusan (nepažljiv) korisnik»- zaposlenik koji može pokušati da izvrši zabranjene radnje, pristupi zaštićenim resursima AU preko svojih ovlasti, unese netačne podatke itd. radnje greškom, nekompetentnošću ili nemarom bez zle namjere i korištenjem samo standardnih ( na raspolaganju mu) hardver i softver.
« Ljubavnik"- zaposleni koji pokušava savladati sistem odbrane bez sebičnih ciljeva i zle namjere, radi samopotvrđivanja ili iz" sportsko interesovanje". Da bi savladao sistem zaštite i počinio zabranjene radnje, može koristiti različite metode dobijanje dodatnih ovlaštenja za pristup resursima ( imena, lozinke itd. drugim korisnicima), nedostaci u izgradnji sistema zaštite i raspoloživog kadra ( instaliran na radnoj stanici) programi ( nedozvoljene radnje prekoračenjem svojih ovlaštenja za korištenje dozvoljenih sredstava). Osim toga, može pokušati koristiti dodatni nestandardni instrumentalni i tehnološki softver ( debuggers, uslužni programi), samostalno razvijeni programi ili standardna dodatna tehnička sredstva.
« Scammer"- zaposleni koji pod prisilom ili iz zlonamjerne namjere može pokušati da izvrši nezakonite tehnološke radnje, unese lažne podatke i slične radnje, ali koristeći samo redovne ( instaliran na radnoj stanici i dostupan joj) hardver i softver u svoje ime ili u ime drugog zaposlenog ( poznavanje njegovog imena i lozinke, korištenje njegovog kratkotrajnog odsustva s radnog mjesta, itd.).
« Vanjski uljez (uljez)“- autsajder ili bivši zaposlenik koji djeluje namjerno iz sebičnih interesa, iz osvete ili radoznalosti, moguće u dosluhu s drugima. On može koristiti čitav niz metoda narušavanja sigurnosti informacija, metoda i sredstava razbijanja sigurnosnih sistema tipičnih za javne mreže ( posebno mreže zasnovane na IP-u), uključujući daljinsku implementaciju softverskih obeleživača i korišćenje posebnih instrumentalnih i tehnoloških programa, koristeći postojeće slabosti protokola razmene i sistema zaštite čvorova AS mreže organizacije.
« Unutrašnji napadač»- zaposlenik registrovan kao korisnik sistema, koji djeluje ciljano iz sebičnih interesa ili osvete, eventualno u dosluhu sa osobama koje nisu zaposleni u organizaciji. Može da koristi čitav niz metoda i sredstava hakovanja sigurnosnog sistema, uključujući tajne metode dobijanja podataka o pristupu, pasivna sredstva (tehnička sredstva presretanja bez modifikacije komponenti sistema), metode i sredstva aktivnog uticaja ( modifikacija tehničkih sredstava, povezivanje na kanale za prenos podataka, uvođenje softverskih obeleživača i korišćenje posebnih instrumentalnih i tehnoloških programa), kao i kombinacija uticaja kako iznutra tako i iz javnih mreža.

Insajder može biti osoba iz sljedećih kategorija osoblja:

registrovani krajnji korisnici AU ( zaposleni u odjeljenjima i filijalama);
radnicima nije dozvoljeno da rade sa AU;
osoblje koje servisira tehnička sredstva nuklearne elektrane ( inženjeri, tehničari);
zaposleni u odjelima za razvoj i održavanje softvera ( programeri aplikacija i sistema);
tehničko osoblje koje opslužuje zgrade i prostorije organizacije ( čistači, električari, vodoinstalateri i drugi radnici koji imaju pristup zgradama i prostorijama u kojima se nalaze komponente zvučnika);
lideri različitih nivoa.

otpušteni radnici;
predstavnici organizacija koji komuniciraju po pitanjima osiguranja života organizacije ( snabdijevanje energijom, vodom, toplinom itd.);
predstavnici firmi koje isporučuju opremu, softver, usluge itd.;
članovi kriminalnih organizacija i konkurentskih privrednih struktura ili lica koja djeluju u njihovo ime;
osobe koje su slučajno ili namjerno ušle u mrežu sa vanjskih mreža ( "hakeri").

Korisnici i servisno osoblje iz redova radnika imaju najveće mogućnosti za neovlašćene radnje, zbog određenih ovlaštenja za pristup resursima i dobrog poznavanja tehnologije obrade informacija. Radnje ove grupe prekršilaca direktno su povezane sa kršenjem postojećih pravila i propisa. Ova grupa prekršilaca je posebno opasna u interakciji sa kriminalnim strukturama.

Otpušteni radnici mogu iskoristiti svoje znanje o tehnologiji rada, zaštitnim mjerama i pravima pristupa za postizanje svojih ciljeva.

Kriminalne strukture predstavljaju najagresivniji izvor vanjskih prijetnji. Da bi sprovele svoje planove, ove strukture mogu otvoreno kršiti zakon i uključiti zaposlene u organizaciji u svoje aktivnosti svim silama i sredstvima koja su im na raspolaganju.

Hakeri imaju najviše tehničke kvalifikacije i znanje o slabostima softvera koji se koristi u AU. Oni predstavljaju najveću prijetnju u interakciji sa zaposlenima ili otpuštenim radnicima i kriminalnim strukturama.

Organizacije koje se bave razvojem, nabavkom i popravkom opreme i informacionih sistema predstavljaju vanjsku prijetnju zbog činjenice da s vremena na vrijeme imaju direktan pristup informacionim resursima. Kriminalne strukture mogu koristiti ove organizacije za privremeno zapošljavanje svojih članova kako bi dobili pristup zaštićenim informacijama.

7. Tehnička politika u oblasti informacione bezbednosti

7.1. Glavne odredbe tehničke politike

Implementacija tehničke politike u oblasti informacione bezbednosti mora polaziti od premise da je nemoguće obezbediti potreban nivo informacione bezbednosti ne samo uz pomoć jedne odvojena sredstva (aktivnost), ali i uz pomoć njihove jednostavne kombinacije. Neophodna je njihova sistemska međusobna koordinacija ( kompleksna primena), a pojedinačne elemente AU koji se razvijaju treba smatrati dijelom jedinstvenog informacioni sistem u zaštićenoj verziji sa optimalan odnos tehnički ( hardver, softver) sredstva i organizacione mjere.

Osnovni pravci sprovođenja tehničke politike za obezbjeđivanje sigurnosti informacija NPP-a su obezbjeđivanje zaštite informacionih resursa od krađe, gubitka, curenja, uništenja, izobličenja ili krivotvorenja usled neovlašćenog pristupa i posebnih uticaja.

U okviru naznačenih pravaca tehničke politike za osiguranje sigurnosti informacija, sprovodi se:

implementacija sistema izdavanja dozvola za prijem izvođača ( korisnici, servisno osoblje) radovima, dokumentima i informacijama povjerljive prirode;
ograničavanje pristupa izvođača i neovlašćenih lica zgradama i prostorijama u kojima se obavljaju poslovi povjerljive prirode i na kojima se nalaze sredstva informatizacije i komunikacije ( pohranjeni, prenošeni) informacije povjerljive prirode, direktno na sama sredstva informatizacije i komunikacije;
diferencijacija pristupa korisnika i uslužnog osoblja informacionim resursima, softveru za obradu i zaštitu informacija u podsistemima različitih nivoa i namena uključenih u AU;
registracija dokumenata, informacionih nizova, registracija postupanja korisnika i uslužnog osoblja, kontrola neovlašćenog pristupa i postupanja korisnika, uslužnog osoblja i neovlašćenih lica;
sprečavanje unošenja virusnih programa, softverskih oznaka u automatizovane podsisteme;
kriptografska zaštita informacija koje se obrađuju i prenose pomoću računalne tehnologije i komunikacija;
pouzdano skladištenje mašinskih medija za pohranu, kriptografskih ključeva ( ključne informacije) i njihov promet, isključujući krađu, zamjenu i uništavanje;
neophodna rezervacija tehničkih sredstava i umnožavanje nizova i nosača informacija;
smanjenje nivoa i informacionog sadržaja lažnih emisija i hvatača koje stvaraju različiti elementi automatizovanih podsistema;
električna izolacija strujnih krugova, uzemljenja i drugih strujnih krugova objekata informatizacije koji izlaze izvan kontrolisanog područja;
suprotstavljanje optičkim i laserskim sredstvima posmatranja.

7.2. Formiranje režima informacione bezbednosti

Uzimajući u obzir utvrđene prijetnje sigurnosti NEK-a, potrebno je formirati režim informacione sigurnosti kao skup metoda i mjera za zaštitu informacija koje kruže u NEK i njenoj pratećoj infrastrukturi od slučajnih ili namjernih uticaja prirodne ili vještačke prirode, koji podrazumijevaju štetu vlasnicima ili korisnicima informacija.

Skup mjera za formiranje režima informacione sigurnosti uključuje:

uspostavljanje organizaciono-pravnog režima informacione bezbednosti u automatizovanom sistemu ( regulatorna dokumenta, rad sa kadrovima, kancelarijski rad);
sprovođenje organizacionih i tehničkih mjera za zaštitu informacija ograničene distribucije od curenja tehničkim kanalima;
organizacione i softversko-tehničke mjere za sprječavanje neovlaštenih radnji ( pristup) na informativne resurse AU;
skup mera za kontrolu funkcionisanja sredstava i sistema za zaštitu informacionih resursa ograničene distribucije nakon slučajnih ili namernih uticaja.

8. Mere, metode i sredstva informacione bezbednosti

8.1. Organizacione mjere

Organizacione mjere- riječ je o organizacijskim mjerama kojima se uređuju procesi funkcionisanja NE, korištenje njihovih resursa, aktivnosti osoblja za održavanje, kao i postupak interakcije korisnika sa sistemom na način da se najviše komplikuje ili isključuje mogućnost provođenje sigurnosnih prijetnji i smanjenje količine štete u slučaju njihove implementacije.

8.1.1. Formiranje bezbednosne politike

Osnovni cilj organizacionih mjera je formiranje politike u oblasti informacione bezbjednosti koja odražava pristupe zaštiti informacija i obezbjeđivanje njene implementacije izdvajanjem potrebnih resursa i praćenjem stanja.

Sa praktične tačke gledišta, bezbednosnu politiku NEK treba podeliti na dva nivoa. Gornji nivo uključuje odluke koje utiču na aktivnosti organizacije kao celine. Primjer takvih rješenja može biti:

formiranje ili revizija sveobuhvatnog programa informacione bezbednosti, određivanje odgovornih za njegovu implementaciju;
formulisanje ciljeva, postavljanje ciljeva, definisanje oblasti delovanja u oblasti informacione bezbednosti;
donošenje odluka o sprovođenju programa bezbednosti koje se razmatraju na nivou organizacije u celini;
obezbjeđivanje regulatornih ( legalno) baza podataka o sigurnosnim pitanjima itd.

Politika nižeg nivoa definiše procedure i pravila za postizanje ciljeva i rešavanje problema bezbednosti informacija i detaljno (reguliše) ova pravila:

koji je obim politike informacione sigurnosti;
koje su uloge i odgovornosti službenika odgovornih za sprovođenje politike informacione bezbednosti;
ko ima pravo pristupa ograničenim informacijama;
ko i pod kojim uslovima može da čita i menja informacije itd.

Politika nižeg nivoa bi trebala:

obezbijedi regulisanje informacionih odnosa, isključujući mogućnost proizvoljnih, monopolskih ili neovlašćenih radnji u odnosu na povjerljive izvore informacija;
definišu koalicione i hijerarhijske principe i metode za razmenu tajni i razgraničenje pristupa informacijama ograničene distribucije;
biraju softverska i hardverska sredstva kriptografske zaštite, suzbijanja neovlaštenog pristupa, autentikacije, autorizacije, identifikacije i drugih zaštitnih mehanizama koji daju garancije za ostvarivanje prava i odgovornosti subjekata informacionih odnosa.

8.1.2. Regulisanje pristupa tehničkim sredstvima

Rad sigurnih automatizovanih radnih stanica i servera Banke mora se odvijati u prostorijama opremljenim pouzdanim automatskim bravama, alarmima i stalno čuvanim ili nadgledanim, isključujući mogućnost nekontrolisanog ulaska u prostorije neovlašćenih lica i osiguravajući fizičku sigurnost zaštićenih resursa. nalazi se u prostorijama ( AWP, dokumenti, detalji pristupa, itd.). Postavljanje i ugradnja tehničkih sredstava takvih AWP-a treba isključiti mogućnost vizuelnog pregleda ulaza ( povučen) informacije od osoba koje nisu povezane s tim. Čišćenje prostorija sa opremom koja je u njima ugrađena vršiti u prisustvu odgovornog lica, kome su dodeljena ova tehnička sredstva, odnosno dežurnog u jedinici, uz poštovanje mera koje isključuju pristup neovlašćenih lica štićenom resurse.

Tokom obrade ograničenih informacija, samo osoblje ovlašteno za rad sa ovim informacijama treba biti prisutno u prostorijama.

Na kraju radnog dana, prostorije sa instaliranim zaštićenim AWP-ima moraju se predati pod zaštitu.

Za čuvanje kancelarijskih dokumenata i mašinskih medija sa zaštićenim informacijama zaposlenima su obezbeđeni metalni ormari, kao i sredstva za uništavanje dokumenata.

Tehnička sredstva koja se koriste za obradu ili pohranjivanje povjerljivih informacija moraju biti zapečaćena.

8.1.3. Regulacija prijema zaposlenih na korišćenje informacionih resursa

U okviru sistema dozvoljenog prijema utvrđuje se: ko, kome, koje informacije i za koju vrstu pristupa se i pod kojim uslovima mogu dati; sistem kontrole pristupa, koji uključuje definiciju za sve korisnike AU informacija i softverskih resursa koji su im dostupni za određene operacije ( čitati, pisati, mijenjati, brisati, izvršiti) korištenjem navedenih softverskih i hardverskih alata za pristup.

Prijem radnika za rad sa AU i pristup njihovim resursima mora biti strogo reguliran. Sve promjene u sastavu i ovlaštenjima korisnika podsistema AU treba izvršiti u skladu sa utvrđenom procedurom.

Glavni korisnici informacija u AU su zaposleni u strukturnim odjeljenjima organizacije. Nivo ovlaštenja za svakog korisnika određuje se pojedinačno, poštujući sljedeće zahtjeve:

otvorene i povjerljive informacije se stavljaju, kad god je to moguće, na različite servere;
svaki zaposleni koristi samo prava koja su mu propisana u vezi sa informacijama sa kojima treba da radi u skladu sa svojim radnim obavezama;
šef ima pravo da vidi informacije svojih podređenih;
najkritičnije tehnološke operacije treba izvesti prema pravilu "U dvije ruke"- tačnost unesenih podataka potvrđuje drugo službeno lice koje nema pravo unosa podataka.

Svi zaposleni primljeni na rad u NPP i osoblje za održavanje NPP moraju snositi ličnu odgovornost za kršenje utvrđene procedure automatizovane obrade informacija, pravila čuvanja, korišćenja i prenosa zaštićenih resursa sistema kojima raspolažu. Prilikom zapošljavanja svaki zaposleni mora potpisati Obavezu o poštovanju uslova za čuvanje povjerljivih informacija i odgovornosti za njihovo kršenje, kao i o poštovanju pravila za rad sa zaštićenim informacijama u AU.

Obrada zaštićenih informacija u AU podsistemima mora se vršiti u skladu sa odobrenim tehnološkim uputstvima ( naređenja) za ove podsisteme.

Za korisnike, zaštićene radne stanice, potrebno je izraditi potrebna tehnološka uputstva, uključujući i zahtjeve za osiguranje sigurnosti informacija.

8.1.4. Regulisanje procesa održavanja baza podataka i modifikacije informacionih resursa

Sve operacije održavanja baza podataka u AU i prijem radnika za rad sa tim bazama podataka moraju biti strogo regulisani. Sve promjene u sastavu i ovlaštenju korisnika baza podataka AU treba izvršiti u skladu sa utvrđenom procedurom.

Distribucija imena, generisanje lozinki, održavanje pravila za razlikovanje pristupa bazama podataka povereno je zaposlenima u Sektoru za informacione tehnologije. U ovom slučaju mogu se koristiti i standardna i dodatna sredstva zaštite DBMS-a i operativnih sistema.

8.1.5. Regulacija procesa održavanja i modifikacije hardverskih i softverskih resursa

Sistemski resursi koje treba zaštititi ( zadaci, programi, AWP) podliježu strogom računovodstvu ( na osnovu korišćenja odgovarajućih obrazaca ili specijalizovanih baza podataka).

Konfiguracija hardvera i softvera automatizovanih radnih stanica na kojima se obrađuju zaštićene informacije ili sa kojih je moguć pristup zaštićenim resursima mora odgovarati opsegu funkcionalnih dužnosti dodeljenih korisnicima ove AWS. Svi neiskorišteni (nepotrebni) uređaji za unos-izlaz informacija ( COM, USB, LPT portovi, flopi disk drajvovi, CD i drugi mediji za skladištenje) na takvim AWP-ovima moraju biti onemogućeni (obrisani), nepotreban softver i podaci sa AWS diskova također moraju biti izbrisani.

Radi pojednostavljenja održavanja, održavanja i organizacije zaštite, radne stanice treba da budu opremljene softverom i konfigurisane na jedinstven način ( u skladu sa utvrđenim pravilima).

Puštanje u rad novih AWP-a i sve promjene u konfiguraciji hardvera i softvera, postojećih AWP-a u AS-u organizacije treba izvršiti samo po utvrđenom redoslijedu.

Sav softver ( razvijen od strane stručnjaka organizacije, dobijen ili nabavljen od proizvođača) treba testirati na propisan način i prenijeti u depozitar programa organizacije. U podsistemima AU treba instalirati i koristiti samo softver koji je primljen od depozitara u skladu sa utvrđenom procedurom. Treba zabraniti upotrebu softvera u AS-u koji nije uključen u skladište softvera.

Razvoj softvera, testiranje razvijenog i kupljenog softvera, prenos softvera u rad treba da se vrši u skladu sa utvrđenom procedurom.

8.1.6. Obuka i edukacija korisnika

Prije nego što omoguće pristup AU, njeni korisnici, kao i osoblje za upravljanje i održavanje, moraju biti upoznati sa listom povjerljivih informacija i svojim nivoom ovlaštenja, kao i organizacionom i administrativnom, regulatornom, tehničkom i operativnom dokumentacijom koja utvrđuje zahtjeve. i postupak za obradu takvih informacija.

Zaštita informacija u svim navedenim oblastima moguća je tek nakon što korisnici razviju određenu disciplinu, tj. norme koje su obavezujuće za sve koji rade u AU. Ove norme uključuju zabranu bilo kakvih namjernih ili nenamjernih radnji koje remete normalan rad AU, uzrokuju dodatne troškove resursa, narušavaju integritet pohranjenih i obrađenih informacija, narušavaju interese legitimnih korisnika.

Svi zaposleni koji u svom radu koriste određene podsisteme nuklearke moraju biti upoznati sa organizacionim i administrativnim dokumentima za zaštitu nuklearne elektrane u smislu njihove brige, moraju poznavati i striktno se pridržavati tehnoloških uputstava i opštih obaveza radi osiguranja sigurnosti informacija. Dostavljanje uslova iz ovih dokumenata licima koja su primljena na obradu zaštićenih informacija dužni su da izvrše rukovodioci odjeljenja uz njihov potpis.

8.1.7. Odgovornost za kršenje zahtjeva sigurnosti informacija

Za svako ozbiljno kršenje zahtjeva za sigurnost informacija od strane zaposlenih u organizaciji, treba sprovesti službenu istragu. Protiv počinilaca moraju se preduzeti odgovarajuće mjere. Stepen odgovornosti osoblja za radnje počinjene kršenjem utvrđenih pravila za osiguranje bezbedne automatizovane obrade informacija treba da se određuje na osnovu prouzrokovane štete, prisustva zle namere i drugih faktora.

Za implementaciju principa lične odgovornosti korisnika za svoje postupke potrebno je:

individualna identifikacija korisnika i procesa koje oni iniciraju, tj. uspostavljanje identifikatora za njih, na osnovu kojeg će se vršiti diferencijacija pristupa u skladu sa principom valjanosti pristupa;
autentifikacija korisnika ( autentifikaciju) na osnovu lozinki, ključeva na drugoj fizičkoj osnovi, itd.;
registracija ( logging) rad mehanizama za kontrolu pristupa resursima informacionog sistema, sa naznakom datuma i vremena, identifikatora traženih i traženih resursa, vrste interakcije i njenog rezultata;
reakcija na pokušaje neovlaštenog pristupa ( alarm, blokiranje itd.).

8.2. Tehnička sredstva zaštite

Tehnički ( hardvera i softvera) zaštitna oprema - razni elektronski uređaji i specijalni programi koji su dio AU i obavljaju (samostalno ili u kombinaciji s drugim sredstvima) zaštitne funkcije ( identifikacija i autentifikacija korisnika, razlikovanje pristupa resursima, registracija događaja, kriptografska zaštita informacija itd.).

Uzimajući u obzir sve zahtjeve i principe osiguranja sigurnosti informacija u nuklearnoj elektrani u svim oblastima zaštite, u sistem zaštite treba uključiti sljedeća sredstva:

sredstva za autentifikaciju korisnika i elemenata zvučnika ( terminali, zadaci, stavke baze podataka, itd.) koji odgovara stepenu povjerljivosti informacija i obrađenih podataka;
sredstva za razgraničenje pristupa podacima;
sredstva kriptografske zaštite informacija u linijama za prijenos podataka iu bazama podataka;
sredstva registracije prometa i kontrole korištenja zaštićenih informacija;
sredstva za reagovanje na otkrivene pokušaje neovlaštenog pristupa;
sredstva za smanjenje nivoa i sadržaja informacija lažnih emisija i hvatača;
sredstva zaštite od optičkih sredstava za posmatranje;
zaštita od virusa i zlonamjernog softvera;
sredstva za električno razdvajanje i AU elemenata i konstruktivnih elemenata prostorija u kojima se nalazi oprema.

Tehničkim sredstvima zaštite od neovlaštenih napada povjereno je rješavanje sljedećih glavnih zadataka:

identifikacija i autentifikacija korisnika pomoću imena i/ili posebnog hardvera ( Dodirnite Memorija, pametna kartica itd.);
regulisanje pristupa korisnika fizičkim uređajima radnih stanica ( diskovi, ulazno-izlazni portovi);
selektivna (diskreciona) kontrola pristupa logičkim diskovima, direktorijumima i datotekama;
autoritativno (obavezno) razlikovanje pristupa zaštićenim podacima na radnoj stanici i na serveru datoteka;
stvaranje zatvorenog softversko okruženje dozvoljeno pokretanje programa koji se nalaze i na lokalnim i na mrežnim diskovima;
zaštita od prodora kompjuterskih virusa i zlonamjernog softvera;
kontrola integriteta modula sistema zaštite, disk sistemskih područja i proizvoljnih lista fajlova u automatskom režimu i administratorskim komandama;
registracija radnji korisnika u zaštićenom časopisu, prisustvo nekoliko nivoa registracije;
zaštita sistema zaštite podataka na serveru datoteka od pristupa svih korisnika, uključujući i administratora mreže;
centralizovano upravljanje postavkama sredstava diferencijacije pristupa na radnim stanicama mreže;
registraciju svih neovlaštenih događaja koji se dešavaju na radnim stanicama;
operativna kontrola rada korisnika mreže, promjena načina rada radnih stanica i mogućnost blokiranja ( ako je potrebno) bilo koju stanicu na mreži.

Uspješna primjena tehničkih sredstava zaštite pretpostavlja da se organizacionim mjerama i korištenim fizičkim sredstvima zaštite obezbijedi ispunjenje sljedećih zahtjeva:

osiguran je fizički integritet svih komponenti AU;
svaki zaposleni ( korisnik sistema) ima jedinstven naziv sistema i minimalno ovlaštenje za pristup sistemskim resursima neophodnim za obavljanje njegovih funkcionalnih dužnosti;
korištenje instrumentalnih i tehnoloških programa na radnim stanicama ( uslužni programi za testiranje, debugeri itd.), dozvoljavanje pokušaja hakovanja ili zaobilaženja sigurnosnih mjera, ograničeno je i strogo regulirano;
u zaštićenom sistemu nema korisnika programiranja, a razvoj i otklanjanje grešaka programa se vrši izvan zaštićenog sistema;
sve promjene u konfiguraciji hardvera i softvera vrše se na strogo utvrđen način;
mrežni hardver ( čvorišta, prekidači, ruteri itd.) nalazi se na mjestima nepristupačnim strancima ( posebne prostorije, ormari itd.);
služba za sigurnost informacija vrši kontinuirano upravljanje i administrativnu podršku za funkcionisanje alata za sigurnost informacija.

8.2.1. Alati za identifikaciju korisnika i autentifikaciju

Kako bi se spriječilo da neovlaštene osobe pristupe AU, potrebno je osigurati da sistem prepozna svakog legitimnog korisnika (ili ograničene grupe korisnika). Da biste to učinili, u sistemu ( na zaklonjenom mestu) treba pohraniti određeni broj atributa svakog korisnika po kojima se ovaj korisnik može identificirati. Ubuduće, prilikom ulaska u sistem, a po potrebi i prilikom obavljanja određenih radnji u sistemu, korisnik je dužan da se identifikuje, tj. naznačiti identifikator koji mu je dodijeljen u sistemu. Osim toga, za identifikaciju se mogu koristiti različite vrste uređaja: magnetne kartice, umetci za ključeve, diskete itd.

Autentifikacija ( potvrda autentičnosti) korisnike treba izvršiti na osnovu upotrebe lozinki (tajnih riječi) ili posebnih sredstava provjere autentičnosti jedinstvene karakteristike(parametara) korisnika.

8.2.2. Sredstva za razgraničenje pristupa resursima Automatizovanog sistema

Nakon prepoznavanja korisnika, sistem mora ovlastiti korisnika, odnosno odrediti koja se prava dodeljuju korisniku, tj. koje podatke i kako može koristiti, koje programe može izvršavati, kada, koliko dugo i sa kojih terminala može raditi, koje sistemske resurse može koristiti itd. Autorizaciju korisnika treba izvršiti korištenjem sljedećih mehanizama kontrole pristupa:

selektivni mehanizmi kontrole pristupa zasnovani na korišćenju šema atributa, lista dozvola, itd.;
autoritativni mehanizmi kontrole pristupa zasnovani na korišćenju oznaka poverljivosti resursa i nivoa pristupa korisnika;
mehanizmi za obezbeđivanje zatvorenog okruženja pouzdanog softvera ( pojedinačne za svakog korisnika liste dozvoljenih programa za pokretanje) podržan mehanizmima za identifikaciju i autentifikaciju korisnika kada se prijave na sistem.

Područja odgovornosti i zadaci pojedinih tehničkih sredstava zaštite utvrđuju se na osnovu njihovih mogućnosti i karakteristika rada opisanih u dokumentaciji za ova sredstva.

Tehnička sredstva kontrole pristupa treba da budu sastavni deo jedinstvenog sistema kontrole pristupa:

u kontrolisano područje;
u odvojenim prostorijama;
na elemente AU i elemente sistema informacione bezbednosti ( fizički pristup);
na resurse AU ( matematički pristup);
na skladišta informacija ( mediji za skladištenje, tomovi, fajlovi, skupovi podataka, arhive, reference, zapisi, itd.);
na aktivne resurse ( aplikativni programi, zadaci, obrasci zahtjeva itd.);
na operativni sistem, sistemske programe i programe zaštite itd.

8.2.3. Sredstva za osiguranje i praćenje integriteta softvera i informacionih resursa

Kontrolu integriteta programa, obrađenih informacija i sredstava zaštite, kako bi se osigurala nepromjenjivost softverskog okruženja, utvrđena predviđenom tehnologijom obrade, i zaštita od neovlaštenog ispravljanja informacija treba obezbijediti:

sredstva za izračunavanje kontrolnih suma;
sredstvima elektronski potpis;
sredstva za poređenje kritičnih resursa sa njihovim glavnim kopijama ( i oporavak u slučaju povrede integriteta);
sredstva kontrole pristupa ( uskraćivanje pristupa uz pravo izmjene ili brisanja).

Kako bi se informacije i programi zaštitili od neovlaštenog uništavanja ili izobličenja, potrebno je osigurati:

dupliciranje sistemskih tabela i podataka;
dupleksiranje i preslikavanje podataka na diskovima;
praćenje transakcija;
periodična kontrola integriteta operativni sistem i korisničke programe, kao i korisničke datoteke;
antivirusna zaštita i kontrola;
pravljenje rezervnih kopija podataka prema unaprijed utvrđenoj šemi.

8.2.4. Kontrole sigurnosnih događaja

Kontrole treba da osiguraju da svi događaji ( radnje korisnika, pokušaji neovlaštenih osoba itd.), što može dovesti do kršenja bezbjednosne politike i dovesti do nastanka kriznih situacija. Kontrole treba da obezbede mogućnost da:

stalno praćenje ključnih čvorova mreže i komunikacione opreme koja formira mrežu, kao i mrežne aktivnosti u ključnim segmentima mreže;
kontrola korišćenja korporativnih i javnih mrežnih usluga od strane korisnika;
održavanje i analiziranje dnevnika sigurnosnih događaja;
blagovremeno otkrivanje eksternih i internih pretnji informacionoj bezbednosti.

Prilikom registracije sigurnosnih događaja u sistemskom dnevniku potrebno je zabilježiti sljedeće informacije:

datum i vrijeme događaja;
identifikator subjekta ( korisnik, program) obavljanje registrovane radnje;
akcija ( ako je zahtjev za pristup registriran, tada se označavaju objekt i tip pristupa).

Kontrole treba da osiguraju da se otkriju i zabilježe sljedeći događaji:

prijava korisnika na sistem;
prijava korisnika na mrežu;
neuspješna prijava ili pokušaj mreže ( neispravna lozinka);
povezivanje sa serverom datoteka;
pokretanje programa;
završetak programa;
pokušaj pokretanja programa koji nije dostupan za pokretanje;
pokušaj da se dobije pristup nedostupnom direktorijumu;
pokušaj čitanja / pisanja informacija s diska koji je nedostupan korisniku;
pokušaj pokretanja programa s diska nedostupnog korisniku;
narušavanje integriteta programa i podataka sistema zaštite i dr.

Treba podržati sljedeće glavne načine reagovanja na otkrivene činjenice neovlaštenih osoba ( eventualno uz učešće administratora sigurnosti):

obavještavanje vlasnika podataka o NSD njegovim podacima;
otkazivanje programa ( zadataka) sa daljim izvršenjem;
obavještavanje administratora baze podataka i administratora sigurnosti;
odspajanje terminala ( radna stanica) od kojih je NSD pokušavao da informiše ili nezakonito postupi na mreži;
isključenje prekršioca sa liste registrovanih korisnika;
alarmna signalizacija itd.

8.2.5. Sigurnost kriptografskih informacija

Jedan od najvažnijih elemenata sistema informacione bezbednosti nuklearne elektrane treba da bude upotreba kriptografskih metoda i sredstava zaštite informacija od neovlašćenog pristupa prilikom njihovog prenosa komunikacijskim kanalima i skladištenja na računarskim medijima.

Sva sredstva kriptografske zaštite informacija u AU bi trebala biti bazirana na osnovnom kriptografskom jezgru. Organizacija mora imati licence utvrđene zakonom za pravo korištenja kriptografskih medija.

Ključni sistem sredstava kriptografske zaštite koji se koristi u AU treba da obezbijedi kriptografsku preživljavanje i zaštitu na više nivoa od kompromitovanja ključnih informacija, razdvajanje korisnika po nivoima zaštite i zonama njihove međusobne interakcije i korisnicima drugih nivoa.

Povjerljivost i imitacija zaštite informacija prilikom njihovog prenosa putem komunikacionih kanala treba osigurati korištenjem pretplatničkih i kanalskih enkripcija u sistemu. Kombinacija pretplatničkog i kanalnog enkripcije informacija trebala bi osigurati njihovu zaštitu od kraja do kraja duž cijelog puta prolaska, zaštititi informacije u slučaju njihovog pogrešnog preusmjeravanja zbog kvarova i kvarova hardvera i softvera komutacijskih centara.

AU, koja je sistem sa distribuiranim informacionim resursima, takođe treba da koristi sredstva za generisanje i verifikaciju elektronskih potpisa kako bi osigurala integritet i pravno dokaznu potvrdu autentičnosti poruka, kao i autentifikaciju korisnika, pretplatničkih stanica i potvrde vrijeme slanja poruka. U tom slučaju treba koristiti standardizirane algoritme elektronskog potpisa.

8.3. Upravljanje sigurnošću informacija

Upravljanje sistemom informacione bezbednosti u nuklearnoj elektrani je ciljani uticaj na komponente sistema bezbednosti ( organizacione, tehničke, softverske i kriptografske) u cilju postizanja potrebnih indikatora i standarda za sigurnost informacija koje kruže u NPP-u u kontekstu implementacije glavnih sigurnosnih prijetnji.

Osnovni cilj organizovanja upravljanja sistemom informacione bezbednosti je povećanje pouzdanosti zaštite informacija tokom njihove obrade, skladištenja i prenosa.

Upravljanje sistemom informacione bezbednosti sprovodi specijalizovani kontrolni podsistem, koji predstavlja skup kontrolnih tela, tehničkih, softverskih i kriptografskih sredstava, kao i organizacionih mera i međusobno povezanih kontrolnih tačaka različitih nivoa.

Funkcije upravljačkog podsistema su: informacijska, upravljačka i pomoćna.

Informacijska funkcija se sastoji u kontinuiranom praćenju stanja sistema zaštite, provjeravanju usklađenosti sigurnosnih indikatora s dozvoljenim vrijednostima i odmah obavještavanju sigurnosnih operatera o situacijama koje nastaju u nuklearnoj elektrani koje mogu dovesti do narušavanja informacione sigurnosti. . Dva su zahtjeva za praćenje stanja sistema zaštite: kompletnost i pouzdanost. Kompletnost karakteriše stepen pokrivenosti svih sredstava zaštite i parametara njihovog funkcionisanja. Pouzdanost upravljanja karakteriše stepen adekvatnosti vrednosti kontrolisanih parametara njihovoj pravoj vrednosti. Kao rezultat obrade kontrolnih podataka, generiše se informacija o stanju sistema zaštite, koja se generalizuje i prenosi na više kontrolne tačke.

Kontrolna funkcija se sastoji u formiranju planova za provođenje tehnoloških operacija nuklearne elektrane, uzimajući u obzir zahtjeve informacione sigurnosti u uslovima koji vladaju za ovog trenutka vreme, kao i u određivanju lokacije situacije informacione ranjivosti i sprečavanju njenog curenja promptno blokiranjem delova NE na kojima nastaju pretnje po bezbednost informacija. Kontrolne funkcije uključuju računovodstvo, skladištenje i izdavanje dokumenata i nosača informacija, lozinki i ključeva. Istovremeno, generisanje lozinki, ključeva, održavanje sredstava kontrole pristupa, prihvatanje novih softverskih alata uključenih u AS softversko okruženje, kontrola usklađenosti softverskog okruženja sa standardom, kao i kontrola nad tehnološkim proces obrade povjerljivih informacija dodijeljen je zaposlenima u Odjeljenju za informacione tehnologije i Odjeljenju za ekonomsku sigurnost.

Pomoćne funkcije kontrolnog podsistema obuhvataju obračun svih operacija koje se obavljaju u automatizovanom sistemu sa zaštićenim informacijama, formiranje izveštajne dokumentacije i prikupljanje statističkih podataka u cilju analize i identifikacije potencijalnih kanala curenja informacija.

8.4. Praćenje efikasnosti sistema zaštite

Praćenje efikasnosti sistema zaštite informacija vrši se u cilju blagovremenog identifikovanja i sprečavanja curenja informacija usled neovlašćenog pristupa istim, kao i sprečavanja eventualnih posebnih radnji u cilju uništavanja informacija, uništavanja informacione tehnologije.

Procjena efikasnosti mjera zaštite informacija vrši se korištenjem organizacionih, hardverskih i softverskih kontrola usklađenosti sa utvrđenim zahtjevima.

Kontrola se može vršiti kako uz pomoć standardnih sredstava sistema zaštite informacija, tako i uz pomoć posebnih sredstava kontrole i tehnološkog praćenja.

8.5. Karakteristike osiguranja informacione sigurnosti ličnih podataka

Klasifikacija ličnih podataka vrši se u skladu sa težinom posledica gubitka bezbednosnih svojstava ličnih podataka za subjekta ličnih podataka.

O ličnim podacima ”Na posebne kategorije ličnih podataka;
lični podaci klasifikovani u skladu sa saveznim zakonom" O ličnim podacima ”Na biometrijske lične podatke;
lični podaci koji se ne mogu pripisati posebnim kategorijama ličnih podataka, biometrijski lični podaci, javno dostupni ili anonimizirani lični podaci;
lični podaci klasifikovani u skladu sa saveznim zakonom" O ličnim podacima ”Na javno dostupne ili anonimizirane lične podatke.

Prenos ličnih podataka trećem licu mora se izvršiti na osnovu saveznog zakona ili saglasnosti subjekta ličnih podataka. U slučaju da organizacija na osnovu sporazuma povjeri obradu ličnih podataka trećoj strani, bitan uslov takvog ugovora je obaveza treće strane da osigura povjerljivost ličnih podataka i sigurnost ličnih podataka. tokom njihove obrade.

Organizacija mora prestati s obradom ličnih podataka i uništiti prikupljene lične podatke, osim ako nije drugačije određeno zakonodavstvom Ruske Federacije, u rokovima utvrđenim zakonodavstvom Ruske Federacije u sljedećim slučajevima:

nakon postizanja ciljeva obrade ili ako nema potrebe za njihovim postizanjem;
na zahtjev subjekta ličnih podataka ili Ovlaštenog organa za zaštitu prava subjekata ličnih podataka - ako su lični podaci nepotpuni, zastarjeli, nepouzdani, nezakonito pribavljeni ili nisu potrebni za navedenu svrhu obrade;
kada subjekt ličnih podataka opozove svoj pristanak za obradu njegovih ličnih podataka, ako je takav pristanak potreban u skladu sa zakonodavstvom Ruske Federacije;
ako je operateru nemoguće da otkloni prekršaje učinjene u obradi ličnih podataka.

Organizacija mora definisati i dokumentovati:

postupak uništavanja ličnih podataka ( uključujući materijalne nosioce ličnih podataka);
postupak obrade zahtjeva subjekata ličnih podataka ( ili njihovih zakonskih zastupnika) o obradi njihovih ličnih podataka;
postupak postupanja po zahtjevima nadležnog organa za zaštitu prava subjekata podataka o ličnosti ili drugih nadzornih organa koji vrše kontrolu i nadzor u oblasti ličnih podataka;
pristup klasifikaciji AU kao informacionih sistema ličnih podataka ( dalje - ISPDN );
ISPD lista. Lista ISPD-a treba da sadrži AS, čija je svrha stvaranja i korištenja obrada ličnih podataka.

Za svaki PDIS, sljedeće će biti identificirano i dokumentirano:

svrhu obrade ličnih podataka;
obim i sadržaj obrađenih ličnih podataka;
spisak radnji sa ličnim podacima i metode njihove obrade.

Obim i sadržaj ličnih podataka, kao i lista radnji i metoda obrade ličnih podataka moraju odgovarati svrsi obrade. U slučaju da za provedbu informaciono-tehnološkog procesa čiju implementaciju podržava ISPD, nema potrebe za obradom određenih osobnih podataka, ovi lični podaci se moraju izbrisati.

Zahtjevi za osiguranje sigurnosti ličnih podataka u ISPDN-u se uglavnom realizuju kompleksom organizacionih, tehnoloških, tehničkih i softverskih mjera, sredstava i mehanizama za zaštitu informacija.

Organizacija implementacije i ( ili) implementaciju zahtjeva za osiguranje sigurnosti ličnih podataka treba da vrši strukturna jedinica ili službeno lice (zaposlenik) organizacije odgovorno za osiguranje ličnih podataka, ili na ugovornoj osnovi organizacija - druga strana organizacije licencirane za pružanje tehničke zaštite povjerljivih informacija.

Stvaranje ISPD-a organizacije treba da uključi razvoj i odobrenje ( izjava) organizacionu, administrativnu, projektnu i operativnu dokumentaciju za sistem koji se stvara predviđenu projektnim zadatkom. Dokumentacija treba da odražava pitanja osiguranja sigurnosti obrađenih ličnih podataka.

Razvoj koncepata, tehničkih specifikacija, projektovanje, kreiranje i testiranje, prihvatanje i puštanje u rad ISPD-a treba da se obavlja po dogovoru i pod kontrolom strukturne jedinice ili službenika (zaposlenika) odgovornog za osiguranje bezbednosti ličnih podataka.

Sva informaciona sredstva koja pripadaju ISPD-u organizacije moraju biti zaštićena od efekata zlonamjernog koda... Organizacija mora utvrditi i dokumentovati zahtjeve za osiguranje sigurnosti ličnih podataka antivirusnom zaštitom i proceduru praćenja implementacije ovih zahtjeva.

Organizacija treba da ima sistem kontrole pristupa koji kontroliše pristup komunikacionim portovima, ulaznim/izlaznim uređajima, prenosivim mašinskim medijima i eksterni diskovi informacije ISPDN.

Rukovodioci operativnih i servisnih ISPD odjeljenja organizacije osiguravaju sigurnost ličnih podataka tokom njihove obrade u ISPDN-u.

Zaposleni koji obrađuju lične podatke u ISPDN-u moraju postupati u skladu sa uputstvima ( smjernice, propisi itd.), koji je dio operativne dokumentacije o ISPD-u, te su u skladu sa zahtjevima dokumenata za osiguranje IS-a.

Odgovornosti za administraciju zaštitnih sredstava i zaštitnih mehanizama kojima se sprovode zahtjevi za osiguranje IS ISPD-a organizacije dodeljuju se naredbama ( naređenja) o specijalistima Katedre za informacione tehnologije.

Procedura za stručnjake Odsjeka za informacione tehnologije i osoblje uključeno u obradu ličnih podataka treba da bude utvrđeno uputstvima ( smjernice), koje priprema ISPD programer kao dio operativne dokumentacije za ISPD.

Navedene upute ( vodstvo):

utvrđuje uslove za kvalifikacije kadrova u oblasti informacione bezbednosti, kao i ažurnu listu zaštićenih objekata i pravila za njeno ažuriranje;
sadrže potpuno relevantne ( po vremenu) podatke o pravima korisnika;
sadrže podatke o tehnologiji obrade informacija u količini potrebnoj za stručnjaka za sigurnost informacija;
uspostaviti redoslijed i učestalost analize dnevnika događaja ( log arhive);
regulišu druge radnje.

Konfiguracijski parametri zaštitnih sredstava i mehanizama za zaštitu informacija od neovlaštenog pristupa koji se koriste u oblasti odgovornosti stručnjaka Odsjeka za informacione tehnologije određeni su u operativnoj dokumentaciji na ISPD-u. Postupak i učestalost provjera instaliranih konfiguracijskih parametara utvrđuju se u operativnoj dokumentaciji ili uređuju internim dokumentom, a provjere se obavljaju najmanje jednom godišnje.

Organizacija mora utvrditi i dokumentovati proceduru pristupa prostorijama u kojima se nalaze tehnička sredstva ISPDN-a i pohranjuju nosioci ličnih podataka, obezbjeđujući kontrolu pristupa prostorijama neovlašćenih lica i prisutnost prepreka za neovlašćene osobe. ulazak u prostorije. Navedenu proceduru treba da izradi strukturna jedinica ili službeno lice ( zaposlenog), odgovorna za osiguranje režima fizičke sigurnosti i dogovorena od strane strukturne jedinice ili službenika ( zaposlenog), odgovorna za osiguranje sigurnosti ličnih podataka, i Odjeljenje za ekonomsku sigurnost.

Korisnici i servisno osoblje ISPD-a ne bi trebalo da obavljaju neovlašćene i ( ili) neregistrovan ( nekontrolisano) kopiranje ličnih podataka. U tu svrhu, organizaciono-tehničke mjere trebale bi zabraniti neovlašteno i ( ili) neregistrovan ( nekontrolisano) kopiranje ličnih podataka, uključujući korištenje otuđenih ( zamjenjiv) mediji za pohranu podataka, mobilni uređaji za kopiranje i prijenos informacija, komunikacioni portovi i ulazno/izlazni uređaji koji implementiraju različita sučelja ( uključujući bežični), uređaji za pohranu mobilnih uređaja ( na primjer, laptopovi, džepni personalni računari, pametni telefoni, mobilni telefoni ), kao i foto i video uređaji.

Kontrolu lične sigurnosti vrši specijalista za informatičku sigurnost, kako uz pomoć standardnih sredstava sistema zaštite informacija, tako i uz pomoć posebnih kontrolnih sredstava i tehnološkog praćenja.

Skinuti ZIP fajl (65475)

Dokumenti su dobro došli - stavite "like" ili:

Ako postoji prijetnja, moraju postojati metode zaštite i suprotstavljanja.... Metode su sredstva za postizanje zadatih zadataka i redosled metoda za korišćenje snaga za zaštitu poverljivih informacija.

Princip ljudskog djelovanja na podsvijest je osmišljen da se postigne pozitivni rezultati... Iskustvo profesionalaca u oblasti informacione bezbednosti sasvim je jasno definisalo sveukupnost sredstava, snaga i tehnika koje imaju za cilj garantovanje bezbednosti informacija ili pouzdanosti informacija.

Osiguravanje pouzdanosti informacija ili sigurnosti informacija postiže se sljedećim radnjama koje imaju za cilj:

Identifikacija prijetnji se izražava u urednoj analizi i kontroli dopuštenih pojava potencijalnih ili stvarnih prijetnji, kao i pravovremenim mjerama za njihovo sprječavanje;
prevencija prijetnji se postiže osiguravanjem sigurnosti informacija ili pouzdanosti informacija u korist proaktivnog i njihovog pojavljivanja.
otkrivanje prijetnji analizom rizika;
Uključivanje mjera za otklanjanje prijetnji ili krivičnih djela i lokalizacija krivičnih djela;
otkrivanje prijetnji se postiže utvrđivanjem konkretnih kriminalnih radnji i stvarnih prijetnji;
otklanjanje posljedica u pogledu prijetnji i konkretnih krivičnih radnji. Vraćanje statusa quo (slika 1).

Metode zaštite informacija:

prepreka - sredstvo fizičkog sprečavanja napadača da deluje na kritične informacije
kontrola pristupa - sredstvo zaštite informacija kroz regulisanje korišćenja svih IS resursa u IT. Takve metode treba da štite od informacija
Algoritmi enkripcije - metode se implementiraju i tokom skladištenja i obrade informacija. Prilikom prenošenja informacija, ovo je glavni i jedini način zaštite
Regulacija je stvaranje uslova za čuvanje i obradu informacija u informacionom sistemu, pod kojim se u najvećoj meri primenjuju standardi i norme zaštite.
Prinuda je sredstvo zaštite koje primorava korisnike da se pridržavaju pravila rada u informacionom sistemu
Podsticaj je sredstvo zaštite kojim se podstiču korisnici informacionog sistema da ne krše pravila, zbog etičkih i moralnih standarda
Hardver - uređaji koji su ugrađeni u računarske mehanizme ili su povezani pomoću interfejsa
fizička sredstva - razne inženjerske strukture koje štite osoblje, informacije, uređaje, stvari od uljeza
Softver - softver koji se ugrađuje u informacioni sistem radi implementacije zaštite
Organizacioni alati - postižu se na osnovu regulatornih dokumenata koji regulišu rad zaposlenih na način da se realizuje maksimalna zaštita informacionog sistema

Sprečavanje nezakonitih radnji i mogućih može se obezbijediti raznim sredstvima i mjerama, od poštovanja odnosa između zaposlenih organizacionim metodama do zaštite hardverskom, fizičkom, softverskom i metodama (ili ili). Prevencija prijetnji je moguća i putem pribavljanja informacija o pripremnim radnjama, pripremljenim radnjama, planiranoj krađi i drugim elementima krivičnih radnji. Za takve svrhe potrebno je sa informatorima u različitim sferama djelovanja sa različitim zadacima. Neki posmatraju i daju objektivnu procjenu postojećeg stanja. Drugi procjenjuju odnose zaposlenih unutar tima u različitim dijelovima preduzeća. Drugi pak rade među kriminalnim grupama i konkurentima.

Slika 1

Za prevenciju prijetnji vrlo važnu ulogu imaju aktivnosti informaciono-analitičke službe sigurnosti koje se baziraju na analizi posebne situacije i aktivnosti napadača i konkurenata. Ako imate pristup Internetu, sigurnosna usluga. I takođe ili.

Zaštita od otkrivanja podataka svodi se na kreiranje kataloga informacija koje su poslovna tajna u preduzeću. Ovaj katalog informacija treba dostaviti svakom zaposlenom u preduzeću, uz pismenu obavezu da taj zaposlenik čuva ovu tajnu. Jedna od važnih radnji je sistem kontrole očuvanja integriteta i povjerljivosti poslovnih tajni.

Zaštita povjerljivih informacija od curenja radova na osnovu obračuna, identifikacije i kontrole mogućih puteva curenja u konkretnim situacijama, kao i provođenje tehničkih, organizacionih, organizacionih i tehničkih mjera za njihovo uništavanje.

Zaštita povjerljivih informacija od neovlaštenog pristupa djeluje na osnovu provođenja tehničkih, organizacionih, organizacionih i tehničkih procedura za suzbijanje neovlaštenog pristupa. Kao i kontrola metoda neovlaštenog pristupa i analize.

U praksi, sve aktivnosti u određenoj meri koriste tehničke, a dele se u tri grupe (slika 2):

organizacioni (u oblasti tehničkih sredstava);
tehnički.
organizacione i tehničke;

Slika 2

Referenca za odbrambene akcije

Zaštitni rad, kao i tehnike i postupci za održavanje informacione sigurnosti, klasifikuju se prema karakteristikama i objektima zaštite, koji se dele na sledeće parametre:

Po orijentaciji – zaštitne metode se mogu klasifikovati kao akcije, kurs za zaštitu kadrova, finansijskih i materijalnih sredstava i informacija kao fond.

Po metodama - ovo je detekcija (na primjer:) ili, upozorenje, detekcija, potiskivanje i restauracija.

U pravcima - to je zaštita zasnovana na zakonskim metodama, organizacionim i inženjerskim i tehničkim radnjama.

U pogledu pokrivenosti, zaštitna oprema može imati za cilj zaštitu perimetra preduzeća, pojedinačnih prostorija, zgrada, određenih grupa opreme, tehničkih sredstava i sistema, pojedinačni elementi(kuće, prostorije, oprema) opasni sa stanovišta neovlašćenog pristupa njima.

Razlog za informacije mogu biti ljudi, otpad, tehnička sredstva itd. Nosioci informacija mogu biti akustična i elektromagnetna polja, ili supstance (proizvod, papir, materijal). Medij za širenje je surovo okruženje ili vazdušni prostor.

Počinilac može imati sva potrebna sredstva za prijem elektromagnetne i akustične energije, zračni nadzor i mogućnost analize materijala za prezentaciju informacija.

Predstavljanje informacija u realnim oblicima. Da biste isključili nezakonitu zapljenu povjerljivih informacija, trebali biste obraditi signal ili izvor informacija prigušenim ili drugim sredstvima šifriranja.

Sa povećanjem stope korišćenja i distribucije informacionih mreža (ili) i računara, povećava se uloga različitih faktora koji uzrokuju otkrivanje, curenje i neovlašćeni pristup informacijama. Ovo su:

greške;
zlonamerno ili neovlašćeno ponašanje zaposlenih i korisnika;
hardverske zadane postavke ili greške u programima;
prirodne katastrofe, udesi različitog porijekla i opasnosti;
greške korisnika i osoblja;
greške kod.

S tim u vezi, glavni ciljevi zaštite informacija u informacione mreže a PC je:

sprečavanje curenja i gubitaka informacija, smetnji i presretanja na svim nivoima uticaja, za sve geografski odvojene objekte;
osiguranje prava korisnika i pravnih normi u vezi PRISTUP na informacije i druge resurse, uključujući administrativni pregled aktivnosti informisanja, uključujući radnje lične odgovornosti za praćenje načina rada i pravila korišćenja;

Slika 3

zaključci

1. Osiguranje pouzdanosti ili sigurnosti informacija postiže se organizacionim, tehničkim i organizaciono-tehničkim postupcima, od kojih se svaka obezbjeđuje jedinstvenim metodama, sredstvima i mjerama sa odgovarajućim parametrima.

2. Raznovrsne radnje i uslovi koji doprinose nezakonitoj ili nezakonitoj asimilaciji povjerljivih podataka, primoravaju upotrebu ne manje različitih metoda, sredstava, snaga i osiguravaju sigurnost ili pouzdanost informacija.

3. Glavni zadaci zaštite informacija su garantovanje povjerljivosti, integriteta i dovoljnosti informacionih resursa. I da ga uvede u sistem.

4. Metode obezbjeđivanja zaštite informacija treba da budu usmjerene na proaktivan temperament djelovanja usmjerenih na proaktivne načine sprječavanja mogućih prijetnji poslovnim tajnama.

Sigurnost informacija, kao i zaštita informacija, kompleksan je zadatak koji ima za cilj obezbjeđenje sigurnosti, koji se realizuje implementacijom sigurnosnog sistema. Problem zaštite informacija je višestruk i složen i obuhvata niz važnih zadataka. Problemi informacione sigurnosti stalno se pogoršavaju prodorom tehničkih sredstava za obradu i prenos podataka u sve sfere društva, a prije svega u kompjuterske sisteme.

Do danas tri osnovni principi da informaciona bezbednost treba da obezbedi:

integritet podataka - zaštita od kvarova koji dovode do gubitka informacija, kao i zaštita od neovlašćenog stvaranja ili uništavanja podataka;

povjerljivost informacija;

U razvoju računarskih sistema, čiji kvar ili greške u radu mogu dovesti do ozbiljnih posledica, pitanja računarske bezbednosti postaju prioritet. Poznato je mnogo mjera koje imaju za cilj osiguranje kompjuterske sigurnosti, a glavne su tehničke, organizacione i pravne.

Osiguravanje sigurnosti informacija je skupo, ne samo zbog cijene kupovine ili instaliranja sigurnosnih mjera, već i zbog toga što je teško vješto definirati granice razumne sigurnosti i osigurati da se sistem održava i radi u skladu s tim.

Sigurnosne funkcije možda neće biti dizajnirane, kupljene ili instalirane dok se ne izvrši odgovarajuća analiza.

Sajt analizira informacionu bezbednost i njeno mesto u sistemu nacionalne bezbednosti, identifikuje vitalne interese u informacionoj sferi i pretnje po njih. Razmatraju se pitanja informacionog rata, informaciono oružje, principi, glavni zadaci i funkcije obezbjeđenja informacione bezbjednosti, funkcije državnog sistema za osiguranje informacione bezbjednosti, domaći i strani standardi u oblasti informacione bezbjednosti. Značajna pažnja se poklanja i pravnim pitanjima sigurnosti informacija.

Takođe se razmatraju opšta pitanja zaštite informacija u sistemima automatizovane obrade podataka (ASOD), predmet i objekti zaštite informacija, zadaci zaštite informacija u ASOD-u. Razmatraju se vrste namjernih sigurnosnih prijetnji i metode zaštite informacija u ASOD-u. Metode i sredstva provjere autentičnosti korisnika i razlikovanja njihovog pristupa računarski resursi, kontrola pristupa opremi, upotreba jednostavnih i dinamički promenljivih lozinki, metode modifikacije šeme jednostavne lozinke, funkcionalne metode.

Osnovni principi izgradnje sistema informacione bezbednosti.

Prilikom izgradnje sistema informacione sigurnosti za objekat treba se voditi sljedećim principima:

Kontinuitet procesa unapređenja i razvoja sistema informacione bezbednosti, koji se sastoji u opravdavanju i primeni najracionalnijih metoda, metoda i načina zaštite informacija, kontinuiranom praćenju, identifikovanju uskih grla i slabosti i potencijalnih kanala curenja informacija i neovlašćenog pristupa.

Sveobuhvatno korištenje cjelokupnog arsenala raspoloživih sredstava zaštite u svim fazama proizvodnje i obrade informacija. Istovremeno, svi korišteni alati, metode i mjere objedinjeni su u jedinstven, holistički mehanizam - sistem informacione sigurnosti.

Praćenje funkcionisanja, ažuriranje i dopuna zaštitnih mehanizama u zavisnosti od promena mogućih unutrašnjih i eksternih pretnji.

Korisnici su adekvatno obučeni i poštuju sve uspostavljene prakse privatnosti. Bez ispunjavanja ovog zahtjeva, nijedan sistem informacione sigurnosti ne može pružiti potreban nivo zaštite.

Najvažniji uslov osiguranje sigurnosti su zakonitost, dovoljnost, održavanje ravnoteže interesa pojedinca i preduzeća, međusobna odgovornost osoblja i menadžmenta, interakcija sa državnim agencijama za provođenje zakona.

10) Faze izgradnje informacione sigurnosti

Faze izgradnje.

1. Sveobuhvatna analiza informacionog sistema

preduzeća na različitim nivoima. Analiza rizika.

2. Razvoj organizacionih i administrativnih i

regulatorni dokumenti.

3. Obuka, profesionalni razvoj i

prekvalifikacija specijalista.

4. Godišnja ponovna procjena stanja informacija

sigurnost preduzeća

11) Firewall

Zaštitni zidovi i antivirusni paketi.

Zaštitni zid (koji se ponekad naziva i zaštitni zid) pomaže u poboljšanju sigurnosti vašeg računara. Ograničava informacije koje ulaze u vaš računar sa drugih računara, omogućavajući vam bolju kontrolu podataka na vašem računaru i pružajući liniju odbrane vašeg računara od ljudi ili programa (uključujući viruse i crve) koji se neovlašćeno pokušavaju povezati sa vašim računarom. Zamislite firewall kao granični stup koji pregleda informacije (često se nazivaju prometom) koje dolaze sa Interneta ili lokalna mreža... Tokom ove provjere, zaštitni zid odbija ili dozvoljava informacije računaru prema navedenim parametrima.

Od čega štiti zaštitni zid?

Firewall MOŽE:

1. Blokirajte kompjuterske viruse i "crve" da pristupe računaru.

2. Zamolite korisnika da odabere da li će blokirati ili dozvoliti određene zahtjeve za povezivanje.

3. Voditi evidenciju (sigurnosni dnevnik) - na zahtjev korisnika - evidentirati dozvoljene i blokirane pokušaje povezivanja na računar.

Od čega firewall ne štiti?

On ne može:

1. Otkrijte ili neutralizirajte kompjuterske viruse i "crve" ako su već ušli u računar.

3. Blokirajte neželjenu poštu ili neovlaštene e-mailove da stignu u vašu pristiglu poštu.

HARDVERSKI I SOFTVERSKI ZAŠTITNI ZIDOVI

Hardverski zaštitni zidovi- pojedinačni uređaji koji su veoma brzi, pouzdani, ali veoma skupi, pa se najčešće koriste samo za zaštitu velikih računarskih mreža. Za kućne korisnike optimalni su firewall ugrađeni u rutere, prekidače, bežične pristupne tačke itd. Kombinovani ruter-firewall pružaju dvostruku zaštitu od napada.

Softverski zaštitni zid je sigurnosni program. U principu, sličan je hardverskom zaštitnom zidu, ali je lakši za korisnika: ima više gotovih postavki i često ima čarobnjake koji vam pomažu u postavljanju. Uz njegovu pomoć, drugim programima možete dozvoliti ili zabraniti pristup Internetu.

Antivirusni program (antivirus)- bilo koji program za otkrivanje kompjuterskih virusa, kao i neželjenih (koji se smatraju zlonamjernim) programa općenito i vraćanje datoteka zaraženih (modificiranih) tim programima, kao i za profilaksu - sprječavanje infekcije (modifikacije) datoteka ili operativnog sistema zlonamjernim kodom .

12) Klasifikacija računarskih sistema

U zavisnosti od teritorijalne lokacije pretplatničkih sistema

Računarske mreže se mogu podijeliti u tri glavne klase:

globalne mreže (WAN - Wide Area Network);

regionalne mreže (MAN - Metropolitan Area Network);

Lokalne mreže (LAN - Local Area Network).

Osnovne LAN topologije

LAN topologija je geometrijski dijagram veza mrežnih čvorova.

Topologije računarskih mreža mogu biti veoma različite, ali

za lokalne mreže, tipične su samo tri:

prsten,

U obliku zvijezde.

Bilo koja računarska mreža može se smatrati zbirkom

Knot- bilo koji uređaj na koji je direktno povezan

prenosni medij mreže.

Topologija prstena omogućava povezivanje mrežnih čvorova sa zatvorenom krivom - kablom za prenosni medij. Izlaz jednog hosta je povezan sa ulazom drugog. Informacije o prstenu se prenose od čvora do čvora. Svaki međučvor između predajnika i prijemnika prenosi poslanu poruku. Prijemni čvor prepoznaje i prima samo poruke upućene njemu.

Topologija prstena je idealna za mreže koje zauzimaju relativno malo prostora. Nedostaje mu centralno čvorište, što povećava pouzdanost mreže. Ponovni prijenos informacija omogućava korištenje bilo koje vrste kablova kao prijenosnog medija.

Dosljedna disciplina servisiranja čvorova takve mreže smanjuje njene performanse, a kvar jednog od čvorova narušava integritet prstena i zahtijeva posebne mjere za očuvanje putanje prijenosa informacija.

Topologija sabirnice- jedan od najjednostavnijih. Povezan je sa upotrebom koaksijalnog kabla kao prenosnog medija. Podaci iz prijenosnog mrežnog čvora se propagiraju duž magistrale u oba smjera. Međučvorovi ne emituju dolazne poruke. Informacije stižu u sve čvorove, ali samo onaj na koji je upućena poruka prima. Servisna disciplina je paralelna.

Ovo obezbeđuje LAN sabirnice visokih performansi. Mreža se lako širi i konfiguriše, kao i prilagođava različitim sistemima. Mreža topologije sabirnice je otporna na mogući kvarovi pojedinačni čvorovi.

Mreže magistralne topologije su trenutno najčešće. Treba napomenuti da su kratki i ne dozvoljavaju upotrebu različitih vrsta kablova unutar iste mreže.

Topologija zvijezda zasniva se na konceptu centralnog čvora na koji su povezani periferni čvorovi. Svaki periferni čvor ima svoju zasebnu komunikacijsku liniju sa centralnim čvorom. Sve informacije se prenose kroz centralno čvorište, koje prenosi, prebacuje i usmjerava tokove informacija u mreži.

Topologija u obliku zvijezde uvelike pojednostavljuje međusobnu interakciju LAN čvorova, omogućava korištenje jednostavnijih mrežni adapteri... Istovremeno, performanse LAN-a sa topologijom zvijezde u potpunosti zavise od centralne lokacije.

U stvarnim računarskim mrežama mogu se koristiti naprednije topologije, koje u nekim slučajevima predstavljaju kombinacije razmatranih.

Izbor određene topologije određen je područjem primjene LAN-a, geografskom lokacijom njegovih čvorova i dimenzijom mreže u cjelini.

Internet- svjetska informatička računarska mreža, koja predstavlja objedinjenje mnogih regionalnih računarskih mreža i računara koji međusobno razmjenjuju informacije putem javnih telekomunikacijskih kanala (namjenske telefonske analogne i digitalne linije, optički komunikacioni kanali i radio kanali, uključujući i satelitske komunikacione linije).

ISP- provajder mrežnih usluga - osoba ili organizacija koja pruža usluge povezivanja na računarske mreže.

Domaćin (od engleskog host - "domaćin koji prima goste")- svaki uređaj koji pruža usluge u formatu "klijent-server" u serverskom režimu na bilo kom interfejsu i jedinstveno je definisan na tim interfejsima. U konkretnijem slučaju, host se može shvatiti kao bilo koji računar ili server povezan na lokalnu ili globalnu mrežu.

Mrežni protokol- skup pravila i radnji (slijed radnji), koji omogućava povezivanje i razmjenu podataka između dva ili više uređaja povezanih na mrežu.

IP adresa (IP adresa, skraćenica od engleske Internet Protocol Address)- jedinstveno mrežna adresačvor u računarskoj mreži izgrađenoj preko IP-a. Globalno jedinstvene adrese su potrebne na Internetu; u slučaju rada u lokalnoj mreži potrebna je jedinstvenost adrese unutar mreže. U IPv4 verziji, IP adresa je duga 4 bajta.

Ime domena- simbolično ime koje pomaže u pronalaženju adresa internetskih servera.

13) Peer-to-Peer zadaci

Firmware za zaštitu od neovlaštenog pristupa uključuje mjere za identifikaciju, autentifikaciju i kontrolu pristupa informacionom sistemu.

Identifikacija je dodjela jedinstvenih identifikatora subjektima pristupa.

Ovo uključuje RFID oznake, biometrijske tehnologije, magnetne kartice, univerzalne magnetne ključeve, prijave, itd.

Autentifikacija - provjera da subjekt pristupa pripada prikazanom identifikatoru i potvrda njegove autentičnosti.

Procedure autentifikacije uključuju lozinke, pin kodove, pametne kartice, usb ključeve, digitalne potpise, ključeve sesije, itd. Proceduralni dio sredstava za identifikaciju i autentifikaciju je međusobno povezan i zapravo predstavlja osnovnu osnovu svih softvera i hardvera za obezbjeđivanje informacione sigurnosti, budući da su svi ostali servisi dizajnirani da služe određenim subjektima, ispravno prepoznatim od strane informacionog sistema. Generalno, identifikacija omogućava subjektu da se identifikuje za informacioni sistem, a uz pomoć autentifikacije, informacioni sistem potvrđuje da je subjekt zaista ono za koga se predstavlja. Na osnovu prolaska ove operacije, vrši se operacija za omogućavanje pristupa informacionom sistemu. Procedure kontrole pristupa omogućavaju ovlaštenim subjektima da vrše radnje dozvoljene propisima, a informacioni sistem da kontroliše te radnje na ispravnost i ispravnost rezultata. Kontrola pristupa omogućava sistemu da sakrije od korisnika podatke kojima oni nemaju pristup.

Sljedeće sredstvo softverske i hardverske zaštite je evidencija informacija i revizija.

Logiranje obuhvata prikupljanje, akumulaciju i skladištenje informacija o događajima, radnjama, rezultatima koji su se desili tokom rada informacionog sistema, pojedinačnih korisnika, procesa i svih softvera i hardvera koji čine informacioni sistem preduzeća.

Pošto svaka komponenta informacionog sistema ima unapred određen skup mogućih događaja u skladu sa programiranim klasifikatorima, događaji, radnje i rezultati se dele na:

vanjski, uzrokovan djelovanjem drugih komponenti,
unutrašnje, uzrokovano djelovanjem same komponente,
na strani klijenta, uzrokovano radnjama korisnika i administratora.

Revizija informacija se sastoji u provođenju operativne analize u realnom vremenu ili u datom periodu.

Na osnovu rezultata analize ili se generiše izveštaj o događajima koji su se desili, ili se pokreće automatski odgovor na vanrednu situaciju.

Implementacijom evidentiranja i revizije rješavaju se sljedeći zadaci:

držanje korisnika i administratora odgovornim;
pružanje mogućnosti rekonstrukcije slijeda događaja;
otkrivanje pokušaja narušavanja sigurnosti informacija;
pružanje informacija za identifikaciju i analizu problema.

Zaštita informacija je često nemoguća bez upotrebe kriptografskih sredstava. Koriste se za osiguranje rada enkripcije, kontrole integriteta i servisa autentifikacije, kada sredstva autentifikacije korisnik pohranjuje u šifriranom obliku. Postoje dvije glavne metode šifriranja: simetrična i asimetrična.

Kontrola integriteta vam omogućava da utvrdite autentičnost i identitet objekta, koji je niz podataka, pojedinačni delovi podataka, izvor podataka, kao i da se osigura da je nemoguće označiti radnju koja se izvršava u sistemu nizom informacija. Implementacija kontrole integriteta zasniva se na tehnologijama transformacije podataka korištenjem enkripcije i digitalnih certifikata.

Drugi važan aspekt je upotreba shieldinga, tehnologije koja omogućava, ograničavajući pristup subjektima informacionim resursima, da kontroliše sve tokove informacija između informacionog sistema preduzeća i eksternih objekata, nizova podataka, subjekata i protivsubjekata. Kontrola toka se sastoji u njihovom filtriranju i, ako je potrebno, pretvaranju prenesenih informacija.

Zadatak zaštite je da zaštiti interne informacije od potencijalno neprijateljskih vanjskih faktora i subjekata. Glavni oblik implementacije zaštite su firewall ili firewall, različitih tipova i arhitektura.

Budući da je jedan od znakova informacione sigurnosti dostupnost informacionih resursa, obezbjeđivanje visokog nivoa dostupnosti je važan pravac u implementaciji softverskih i hardverskih mjera. Posebno su podijeljene dvije oblasti: osiguranje tolerancije grešaka, tj. neutraliziraju sistemske kvarove, sposobnost rada kada se pojave greške, te osiguravaju sigurno i brzi oporavak nakon neuspjeha, tj. servisabilnost sistema.

Osnovni zahtev za informacione sisteme je da uvek rade sa zadatom efikasnošću, minimalnim vremenom nedostupnosti i brzinom reagovanja.

U skladu s tim, dostupnost informacionih resursa obezbjeđuje se:

korištenje strukturalne arhitekture, što znači da se pojedinačni moduli mogu deaktivirati, ako je potrebno, ili brzo zamijeniti bez oštećenja ostalih elemenata informacionog sistema;
osiguranje tolerancije na greške zbog: korištenja autonomnih elemenata prateće infrastrukture, uvođenja viška kapaciteta u konfiguraciju softvera i hardvera, hardverske redundantnosti, replikacije informacionih resursa unutar sistema, Rezervna kopija podaci itd.
osiguranje upotrebljivosti smanjenjem vremena dijagnoze i otklanjanja kvarova i njihovih posljedica.

Sigurni komunikacijski kanali su još jedna vrsta alata za sigurnost informacija.

Funkcionisanje informacionih sistema neminovno je povezano sa prenosom podataka, stoga je neophodno da preduzeća obezbede zaštitu prenetih informacionih resursa korišćenjem sigurnih komunikacionih kanala. Mogućnost neovlaštenog pristupa podacima prilikom prenosa saobraćaja otvorenim komunikacijskim kanalima je zbog njihove dostupnosti javnosti. Budući da se "komunikacije cijelom dužinom ne mogu fizički zaštititi, stoga je bolje u početku poći od pretpostavke njihove ranjivosti i, shodno tome, osigurati zaštitu." Za to se koriste tehnologije tuneliranja čija je suština inkapsulacija podataka, tj. zapakuju ili umotaju prenete pakete podataka, uključujući sve atribute usluge, u sopstvene koverte. Prema tome, tunel je sigurna veza kroz otvorene komunikacione kanale preko kojih se prenose kriptografski zaštićeni paketi podataka. Tuneliranje se koristi da bi se osigurala povjerljivost saobraćaja skrivanjem servisnih informacija i osiguravanjem povjerljivosti i integriteta prenesenih podataka kada se koristi zajedno sa kriptografskim elementima informacionog sistema. Kombinacija tuneliranja i enkripcije omogućava implementaciju VPN-a. U ovom slučaju, krajnje tačke tunela koji implementiraju virtuelne privatne mreže su zaštitni zidovi koji služe za povezivanje organizacija sa eksternim mrežama.

Vatrozidovi kao tačke implementacije usluga virtuelnog privatnog umrežavanja

Dakle, tuneliranje i enkripcija su dodatne transformacije koje se izvode u procesu filtriranja mrežnog saobraćaja uz translaciju adresa. Krajevi tunela, pored korporativnih firewall-a, mogu biti lični i mobilni računari zaposlenih, tačnije, njihovi lični firewall i firewall. Ovakav pristup osigurava funkcioniranje sigurnih komunikacijskih kanala.

Procedure sigurnosti informacija

Procedure informacione sigurnosti se obično razlikuju na administrativnom i organizacionom nivou.

Administrativni postupci obuhvataju opšte radnje koje rukovodstvo organizacije preduzima za regulisanje svih poslova, radnji, poslova u oblasti obezbeđivanja i održavanja informacione bezbednosti, koje se sprovode izdvajanjem potrebnih resursa i praćenjem efektivnosti preduzetih mera.
Organizacioni nivo predstavlja procedure za obezbeđivanje informacione bezbednosti, uključujući upravljanje osobljem, fizičku zaštitu, održavanje operativnosti hardverske i softverske infrastrukture, blagovremeno otklanjanje narušavanja bezbednosti i planiranje radova na oporavku.

S druge strane, razlika između upravnih i organizacionih postupaka je besmislena, jer postupci jednog nivoa ne mogu postojati odvojeno od drugog, čime se narušava međusobna povezanost zaštite. fizički sloj, lična i organizaciona zaštita u konceptu informacione sigurnosti. U praksi, uz osiguranje informacione sigurnosti organizacije, ne zanemaruju se administrativne ili organizacione procedure, pa ih je logičnije posmatrati kao integrisani pristup, jer oba nivoa utiču na fizički, organizacioni i lični nivo zaštite informacija.

Osnova za složene procedure za osiguranje informacione sigurnosti je sigurnosna politika.

Politika sigurnosti informacija

Politika sigurnosti informacija u organizaciji, to je skup dokumentovanih odluka koje donosi menadžment organizacije i koje imaju za cilj zaštitu informacija i povezanih resursa.

U organizacionom i upravljačkom smislu, politika sigurnosti informacija može biti jedan dokument ili sastavljena u obliku više nezavisnih dokumenata ili naloga, ali u svakom slučaju treba da obuhvati sljedeće aspekte zaštite informacionog sistema organizacije:

zaštita objekata informacionog sistema, informacionih resursa i neposrednog poslovanja sa njima;
zaštita svih operacija vezanih za obradu informacija u sistemu, uključujući softver za obradu;
zaštita komunikacijskih kanala, uključujući žičane, radio, infracrvene, hardverske itd.;
zaštita hardverskog kompleksa od kolateralnog elektromagnetnog zračenja;
upravljanje sigurnošću, uključujući održavanje, nadogradnje i administrativne radnje.

Svaki od aspekata treba detaljno opisati i dokumentovati u internim dokumentima organizacije. Interni dokumenti pokrivaju tri nivoa procesa zaštite: gornji, srednji i donji.

Dokumenti o politici bezbednosti informacija visokog nivoa odražavaju glavni pristup organizacije zaštiti sopstvenih informacija i usklađenosti sa nacionalnim i/ili međunarodnim standardima. U praksi, organizacija ima samo jedan dokument najvišeg nivoa pod nazivom „Koncept sigurnosti informacija“, „Propisi o sigurnosti informacija“ itd. Formalno, ovi dokumenti nisu povjerljive vrijednosti, njihova distribucija nije ograničena, ali se mogu izdati u izdanju za internu upotrebu i javno objavljivanje.

Dokumenti srednjeg nivoa su strogo povjerljivi i odnose se na specifične aspekte informacione sigurnosti organizacije: korištene alate za sigurnost informacija, sigurnost baze podataka, komunikacije, kriptografske alate i druge informacije i ekonomske procese organizacije. Dokumentacija je implementirana u obliku internih tehničkih i organizacionih standarda.

Dokumenti nižeg nivoa dijele se na dvije vrste: pravilnik o radu i uputstvo za upotrebu. Pravilnik o radu je strogo povjerljiv i namijenjen je samo licima koja na dužnosti obavljaju poslove na administraciji pojedinačnih službi informacione sigurnosti. Uputstva za rad mogu biti povjerljiva ili javna; namijenjeni su osoblju organizacije i opisuju proceduru rada sa pojedinim elementima informacionog sistema organizacije.

Svetsko iskustvo pokazuje da je politika informacione bezbednosti uvek dokumentovana samo u velikim kompanijama koje imaju razvijen informacioni sistem koji nameću povećane zahteve za informacionu bezbednost, srednja preduzeća najčešće imaju samo delimično dokumentovanu politiku informacione bezbednosti, male organizacije u ogromnoj većini imaju nije briga za dokumentovanje sigurnosne politike. Bez obzira na to da li je format dokumentovanja holistički ili distribuiran, sigurnosni način je osnovni aspekt.

Postoje dva različita pristupa koji čine osnovu politika sigurnosti informacija:

"Sve što nije zabranjeno je dozvoljeno."
"Zabranjeno je sve što nije dozvoljeno."

Osnovni nedostatak prvog pristupa je da je u praksi nemoguće predvidjeti sve opasne slučajeve i zabraniti ih. Nema sumnje da treba koristiti samo drugi pristup.

Organizacioni nivo informacione sigurnosti

Sa stanovišta zaštite informacija, organizacione procedure za osiguranje informacione sigurnosti predstavljene su kao „regulisanje proizvodnih aktivnosti i odnosa izvođača na pravnom osnovu koji isključuje ili značajno otežava nezakonito sticanje poverljivih informacija i ispoljavanje internih i spoljne pretnje."

Mjere upravljanja kadrovima usmjerene na organizovanje rada sa osobljem u cilju obezbjeđivanja informacione sigurnosti uključuju razdvajanje dužnosti i minimiziranje privilegija. Podjela dužnosti propisuje raspodjelu nadležnosti i područja odgovornosti u kojoj jedna osoba nije u mogućnosti da poremeti kritičan proces za organizaciju. Ovo smanjuje vjerovatnoću greške i zloupotrebe. Minimizacija privilegija propisuje da se korisnicima daje samo onaj nivo pristupa koji odgovara potrebi obavljanja službene dužnosti. Ovo smanjuje štetu od slučajnog ili namjernog lošeg ponašanja.

Fizička zaštita podrazumeva razvoj i donošenje mera za neposrednu zaštitu objekata u kojima se nalaze informacioni resursi organizacije, okolnih teritorija, elemenata infrastrukture, računara, nosača podataka i hardverskih komunikacionih kanala. Ovo uključuje kontrolu fizičkog pristupa, zaštitu od požara, zaštitu prateće infrastrukture, zaštitu od prisluškivanja podataka i zaštitu mobilnih sistema.

Održavanje operativnosti softverske i hardverske infrastrukture sastoji se u sprečavanju stohastičkih grešaka koje prijete oštećenjem hardverskog kompleksa, kvara programa i gubitka podataka. Glavni pravci u ovom aspektu su pružanje korisničke i softverske podrške, upravljanje konfiguracijom, backup, upravljanje medijima, dokumentacijom i preventivnim radom.

Brzo otklanjanje sigurnosnih prekršaja ima tri glavna cilja:

Lokalizacija incidenta i smanjenje pričinjene štete;
Identifikacija počinioca;
Sprečavanje ponovljenih kršenja.

Konačno, planiranje sanacije vam omogućava da se pripremite za nesreće, smanjite štetu od njih i održite sposobnost funkcioniranja barem na minimum.

Korištenje softvera i hardvera i sigurnih komunikacijskih kanala treba implementirati u organizaciji na osnovu integriranog pristupa razvoju i odobravanju svih administrativnih i organizacionih regulatornih procedura za osiguranje informacione sigurnosti. Inače, donošenje određenih mjera ne garantuje zaštitu informacija, a često, naprotiv, izaziva curenje povjerljivih informacija, gubitak kritičnih podataka, oštećenje hardverske infrastrukture i poremećaj softverskih komponenti informacionog sistema organizacije.

Metode sigurnosti informacija

Za savremena preduzeća karakterističan je distribuirani informacioni sistem koji omogućava uzimanje u obzir distribuiranih kancelarija i skladišta kompanije, finansijsko računovodstvo i kontrolu upravljanja, informacije iz baze klijenata, uzimanje u obzir uzorka po pokazateljima i tako dalje. Dakle, skup podataka je veoma značajan, a u ogromnoj većini su to informacije koje su od prioritetnog značaja za kompaniju u komercijalnom i ekonomskom smislu. Naime, osiguranje povjerljivosti podataka komercijalne vrijednosti jedan je od glavnih zadataka osiguranja informacione sigurnosti u kompaniji.

Osiguravanje informacione sigurnosti u preduzeću treba da bude regulisana sledećim dokumentima:

Propisi o sigurnosti informacija. Uključuje formulisanje ciljeva i zadataka za osiguranje informacione bezbednosti, listu internih propisa o alatima za bezbednost informacija i pravilnik o upravljanju distribuiranim informacionim sistemom kompanije. Pristup propisima ograničen je na menadžment organizacije i šefa odjela za automatizaciju.
Propisi za tehničku podršku zaštite informacija. Dokumenti su povjerljivi, pristup je ograničen na zaposlenike odjela za automatizaciju i više rukovodstvo.
Propisi za administraciju distribuiranog sistema informacione sigurnosti. Pristup propisima ograničen je na zaposlene u odeljenju za automatizaciju odgovorne za administraciju informacionog sistema i na viši menadžment.

Istovremeno, ove dokumente ne treba ograničavati, već treba razraditi niže nivoe. U suprotnom, ako preduzeće nema druge dokumente koji se odnose na informacionu bezbednost, onda će to ukazivati na nedovoljan stepen administrativne podrške za informacionu bezbednost, jer ne postoje dokumenti nižeg nivoa, posebno uputstva za rad pojedinih elemenata informacioni sistem.

Obavezne organizacione procedure uključuju:

osnovne mjere za diferenciranje osoblja prema stepenu pristupa informacionim resursima,
fizička zaštita ureda kompanije od direktnog prodora i prijetnji uništenja, gubitka ili presretanja podataka,
održavanje operativnosti hardverske i softverske infrastrukture organizovano je u vidu automatizovanog pravljenja rezervnih kopija, daljinske verifikacije medija za skladištenje podataka, pruža se korisnička i softverska podrška na zahtev.

Ovo takođe treba da uključi regulisane mere za reagovanje i eliminisanje slučajeva kršenja bezbednosti informacija.

U praksi se često primećuje da preduzeća ne posvećuju dovoljno pažnje ovom pitanju. Sve radnje u ovom pravcu izvode se isključivo u ispravnom stanju, što povećava vrijeme za otklanjanje slučajeva kršenja i ne garantuje sprečavanje ponovljenih kršenja informacione sigurnosti. Osim toga, potpuno je odsutna praksa planiranja akcija za otklanjanje posljedica nesreća, curenja informacija, gubitka podataka i kritičnih situacija. Sve to značajno pogoršava informacionu sigurnost preduzeća.

Na nivou softvera i hardvera treba implementirati trostepeni sistem informacione sigurnosti.

Minimalni kriterijumi za osiguranje informacione sigurnosti:

1. Modul kontrole pristupa:

implementirano zatvoren ulaz u informacioni sistem je nemoguće ući u sistem van verifikovanih radnih mesta;
implementiran pristup sa ograničenom funkcionalnošću sa mobilnih personalnih računara za zaposlene;
autorizacija se vrši korištenjem prijava i lozinki koje generiraju administratori.

2. Modul za enkripciju i kontrolu integriteta:

koristi se asimetrična metoda šifriranja za prenesene podatke;
nizovi kritičnih podataka pohranjeni su u bazama podataka u šifriranom obliku, što im ne dozvoljava pristup čak i ako je informacioni sistem kompanije hakovan;
kontrola integriteta je osigurana jednostavnim digitalno potpisan svi informacioni resursi koji se čuvaju, obrađuju ili prenose unutar informacionog sistema.

3. Modul za zaštitu:

implementiran je sistem filtera u zaštitnim zidovima koji vam omogućava kontrolu svih tokova informacija kroz komunikacijske kanale;
eksterne veze sa globalnim informacionim resursima i javnim komunikacionim kanalima mogu se ostvariti samo preko ograničenog skupa verifikovanih radnih stanica koje imaju ograničenu vezu sa korporativnim informacionim sistemom;
bezbedan pristup sa radnih mesta zaposlenih za obavljanje službenih dužnosti realizuje se kroz dvostepeni sistem proxy servera.

Konačno, sa tehnologijama tuneliranja, preduzeće mora implementirati VPN u skladu sa tipičnim modelom dizajna kako bi osigurao sigurne komunikacijske kanale između različitih odjela kompanije, partnera i kupaca kompanije.

Unatoč činjenici da se komunikacije direktno odvijaju preko mreža sa potencijalom nizak nivo povjerenja, tehnologije tuneliranja korištenjem kriptografskih alata mogu pružiti pouzdanu zaštitu svih prenesenih podataka.

zaključci

Osnovni cilj svih mjera koje se preduzimaju u oblasti informacione sigurnosti je zaštita interesa preduzeća, na ovaj ili onaj način vezanih za informacione resurse kojima raspolaže. Iako interesi preduzeća nisu ograničeni na određenu oblast, svi se fokusiraju na dostupnost, integritet i povjerljivost informacija.

Problem osiguranja informacione sigurnosti objašnjava se sa dva glavna razloga.

Informacioni resursi koje preduzeće akumulira su dragoceni.
Kritična zavisnost od informacionih tehnologija određuje njihovu široku upotrebu.

S obzirom na široku paletu postojećih prijetnji sigurnosti informacija, kao što je uništenje važna informacija, neovlašćeno korištenje povjerljivih podataka, prekidi u radu preduzeća zbog narušavanja informacionog sistema, može se zaključiti da sve to objektivno dovodi do velikih materijalnih gubitaka.

U osiguranju informacione sigurnosti značajnu ulogu imaju softverski i hardverski alati koji imaju za cilj kontrolu nad računarskim entitetima, tj. oprema, softverski elementi, podaci, koji čine posljednju i najprioritetniju liniju informacione sigurnosti. Prijenos podataka također mora biti siguran u kontekstu održavanja njegove povjerljivosti, integriteta i dostupnosti. Stoga se u savremenim uslovima koriste tehnologije tuneliranja u kombinaciji sa kriptografskim sredstvima za obezbeđivanje sigurnih komunikacijskih kanala.

Književnost

Galatenko V.A. Standardi sigurnosti informacija. - M.: Internet univerzitet informacionih tehnologija, 2006.
Partyka T.L., Popov I.I. Sigurnost informacija. - M.: Forum, 2012.