Napomena: Predavanje razmatra osnovne koncepte informacijske sigurnosti. Upoznavanje sa Saveznim zakonom "O informacijama, informacionim tehnologijama i zaštiti informacija".

GOST " Zaštita informacija... Osnovni pojmovi i definicije "uvodi koncept bezbednost informacija kao stanje informacijske sigurnosti, u kojem se pruža povjerljivost, dostupnost i integritet.

• Povjerljivost- stanje informacija, u kojem pristup njima imaju samo subjekti koji imaju pravo na njih.
• Integritet- stanje informacija u kojem nema nikakvih promjena ili se promjena vrši samo namjerno od strane subjekata koji na to imaju pravo;
• Dostupnost- stanje informacija u kojem subjekti sa pravom pristupa mogu neometano da ih ostvaruju.

Pretnje bezbednosti informacija- skup uvjeta i faktora koji stvaraju potencijalnu ili stvarnu opasnost od narušavanja informacijske sigurnosti [,]. Napadom naziva se pokušajem provođenja prijetnje, a onaj tko učini takav pokušaj - uljez... Potencijalni uljezi se zovu izvori prijetnji.

Prijetnja je posljedica prisutnosti ranjivosti ili ranjivosti u informacionom sistemu. Ranjivosti mogu nastati iz različitih razloga, na primjer, kao rezultat nenamjernih grešaka programera pri pisanju programa.

Prijetnje se mogu klasificirati prema nekoliko kriterija:

• uključeno svojstva informacija(dostupnost, integritet, povjerljivost) protiv kojih su prijetnje usmjerene;
• komponentama informacionih sistema koji su na meti pretnji (podaci, programi, hardver, prateću infrastrukturu);
• metodom implementacije (slučajne / namjerne, prirodne radnje / radnje koje je napravio čovjek);
• prema lokaciji izvora prijetnji (unutar / izvan razmatranog IS -a).

Osiguranje informacijske sigurnosti složen je zadatak koji zahtijeva Složen pristup... Razlikuju se sljedeći nivoi zaštite podataka:

1. zakonodavni - zakoni, propisi i drugi dokumenti Ruske Federacije i međunarodne zajednice;
2. administrativne - skup mjera koje lokalno rukovodstvo preduzima od strane uprave organizacije;
3. proceduralni nivo - mere bezbednosti koje sprovode ljudi;
4. softverskom i hardverskom nivou- direktno sredstvo zaštite podataka.

Zakonodavni nivo je osnova za izgradnju sistema bezbjednosti informacija, jer daje osnovne pojmove predmetnom području i određuje kaznu za potencijalne uljeze. Ovaj nivo igra ulogu koordinatora i vodiča i pomaže u održavanju negativnog (i kaznenog) stava u društvu prema ljudima koji krše informacijsku sigurnost.

1.2. Federalni zakon "O informacijama, informacionim tehnologijama i zaštiti informacija"

U ruskom zakonodavstvu osnovni zakon u oblasti zaštite informacija je Savezni zakon "O informacijama, informacionim tehnologijama i zaštiti informacija" od 27. jula 2006., broj 149-FZ. Stoga, osnovni koncepti i rješenja sadržani u zakonu zahtijevaju pažljivo razmatranje.

Zakon uređuje odnose koji proizlaze iz:

• ostvarivanje prava na pretraživanje, primanje, prijenos, proizvodnju i širenje informacija;
• aplikacija informacione tehnologije;
• osiguravanje zaštite informacija.

Zakon daje osnovne definicije u oblasti zaštite informacija. Evo nekih od njih:

• informacije- informacije (poruke, podaci) bez obzira na oblik njihovog predstavljanja;
• informacione tehnologije- procese, metode pretraživanja, prikupljanja, skladištenja, obrade, pružanja, širenja informacija i načine implementacije takvih procesa i metoda;
• Informacioni sistem- skup informacija sadržanih u bazama podataka i informacionim tehnologijama i tehničkim sredstvima koja osiguravaju njihovu obradu;
• držač informacija- osoba koja je samostalno stvorila informacije ili je na osnovu zakona ili sporazuma primila pravo da odobri ili ograniči pristup informacijama utvrđenim bilo kojim kriterijumom;
• operator informacionog sistema- građanin ili pravno lice koje upravlja informacionim sistemom, uključujući obradu informacija sadržanih u njegovim bazama podataka.
• povjerljivost informacija- obavezan zahtjev za osobu koja ima pristup određenim podacima da te podatke ne prenosi trećim stranama bez pristanka njenog vlasnika.

Članom 4. Zakona formulisana su načela pravnog uređenja odnosa u oblasti informacija, informacionih tehnologija i zaštite informacija:

1. sloboda pretraživanja, primanja, prenosa, proizvodnje i širenja informacija na bilo koji zakonit način;
2. uspostavljanje ograničenja pristupa informacijama samo prema saveznim zakonima;
3. otvorenost informacija o aktivnostima državnih organa i organa lokalne samouprave i slobodan pristup tim podacima, osim u slučajevima utvrđenim saveznim zakonima;
4. ravnopravnost jezika naroda Ruske Federacije u stvaranju informacionih sistema i njihovom radu;
5. osiguravanje sigurnosti Ruske Federacije tokom stvaranja informacionih sistema, njihovog rada i zaštite informacija koje sadrže;
6. pouzdanost informacija i pravovremenost njihovog pružanja;
7. nepovredivost privatnog života, neprihvatljivost prikupljanja, skladištenja, upotrebe i širenja informacija o privatnom životu osobe bez njenog pristanka;
8. neprihvatljivost uspostavljanja regulatornim pravnim aktima bilo kakvih prednosti korištenja nekih informacionih tehnologija u odnosu na druge, osim ako je obavezna upotreba određenih informacionih tehnologija za stvaranje i rad državnih informacionih sistema utvrđena saveznim zakonima.

Svi se podaci dijele na javno dostupna i ograničeno pristup... Javno dostupne informacije uključuju opće poznate informacije i druge informacije, pristup kojima nije ograničen. Zakon definira informacije koje se ne mogu ograničiti, poput informacija o okolišu ili aktivnostima vladinih agencija. Takođe je predviđeno da Ograničenje pristupa informacije su uspostavljene saveznim zakonima radi zaštite temelja ustavnog sistema, morala, zdravlja, prava i legitimnih interesa drugih, radi osiguranja odbrane zemlje i državne sigurnosti. Obavezno je poštivanje povjerljivosti informacija, čiji je pristup ograničen saveznim zakonima.

Zabranjeno je zahtijevati od građanina (pojedinca) da dostavi podatke o svom privatnom životu, uključujući podatke koji predstavljaju ličnu ili porodičnu tajnu, te da takve podatke prima protiv volje građanina (pojedinca), osim ako saveznim zakonima nije drugačije određeno.

1. informacije se slobodno distribuiraju;
2. informacije dogovorene o osobama koje učestvuju u relevantnom odnosu;
3. informacije koje su, u skladu sa saveznim zakonima, podložne pružanju ili distribuciji;
4. informacije čija je distribucija u Ruskoj Federaciji ograničena ili zabranjena.

Zakon utvrđuje ekvivalent elektronske poruke potpisane elektronskim digitalnim potpisom ili drugim analogom ručno potpisanog dokumenta i dokumenta potpisanog ručno potpisanim potpisom.

Daje se sljedeća definicija zaštite informacija - to je usvajanje pravnih, organizacijskih i tehničkih mjera usmjerenih na:

1. osiguravanje zaštite informacija od neovlaštenog pristupa, uništavanja, izmjene, blokiranja, kopiranja, pružanja, distribucije, kao i od drugih nezakonitih radnji u vezi s takvim informacijama;
2. poštivanje povjerljivosti ograničenih informacija;
3. ostvarivanje prava na pristup informacijama.

Vlasnik informacija, operater informacijskog sistema u slučajevima utvrđenim zakonodavstvom Ruske Federacije, dužni su osigurati:

1. sprečavanje neovlašćenog pristupa informacijama i (ili) njihov prenos licima koja nemaju pravo na pristup informacijama;
2. pravovremeno otkrivanje činjenica neovlaštenog pristupa informacijama;
3. sprečavanje mogućnosti nastanka štetnih posledica kršenja procedure za pristup informacijama;
4. sprečavanje uticaja na tehnička sredstva obrade informacija, usled čega je njihovo funkcionisanje poremećeno;
5. mogućnost trenutnog oporavka informacija izmijenjenih ili uništenih zbog neovlaštenog pristupa tim podacima;
6. stalna kontrola nad osiguravanjem nivoa informacijske sigurnosti.

Tako Federalni zakon "O informacijama, informacionim tehnologijama i zaštiti informacija" stvara pravnu osnovu za razmjenu informacija u Ruskoj Federaciji i definira prava i obaveze njenih subjekata.

Računarski informatičke tehnologije koje se brzo razvijaju unose značajne promjene u naše živote. Informacije su postale roba koja se može kupiti, prodati, razmijeniti. Štaviše, troškovi informacija često su stotine puta veći od troškova računarskog sistema u kojem su uskladišteni.

Dobrobit, a ponekad i život mnogih ljudi, zavisi od stepena sigurnosti informacionih tehnologija. Tolika je cijena komplikacija i rasprostranjene distribucije automatiziranih sistema za obradu informacija.

Under bezbednost informacija znači sigurnost informacijskog sistema od slučajnog ili namjernog ometanja koje šteti vlasnicima ili korisnicima informacija.

U praksi su najvažnija tri aspekta informacijske sigurnosti:

• dostupnost(mogućnost dobijanja potrebne informacijske usluge u razumnom roku);
• integritet(relevantnost i dosljednost informacija, njihova zaštita od uništenja i neovlaštenih promjena);
• povjerljivost(zaštita od neovlaštenog čitanja).

Kršenje dostupnosti, integriteta i povjerljivosti informacija može biti uzrokovano raznim opasnim učincima na informacijske računalne sisteme.

Glavne prijetnje sigurnosti informacija

Savremeni informacioni sistem je složen sistem koji se sastoji od velikog broja komponenti različitog stepena autonomije, koje su međusobno povezane i razmjenjuju podatke. Gotovo svaka komponenta može biti oštećena ili oštećena. Komponente automatizovanog informacionog sistema mogu se podijeliti u sljedeće grupe:

• hardver- računari i njihove komponente (procesori, monitori, terminali, perifernih uređaja- diskete, štampači, kontroleri, kablovi, komunikacione linije itd.);
• softvera- kupljeni programi, izvor, objekt, moduli učitavanja; operativni sistemi i sistemski programi (kompajleri, povezivači itd.), pomoćni programi, dijagnostički programi itd .;
• podataka- čuvaju se privremeno i trajno, na magnetnim medijima, štampaju, arhivu, sistemske evidencije itd .;
• osoblje- uslužno osoblje i korisnici.

Opasni uticaji na računarski informacioni sistem mogu se podijeliti na slučajne i namjerne. Analiza iskustva u projektiranju, proizvodnji i radu informacijskih sustava pokazuje da su informacije izložene različitim slučajnim utjecajima u svim fazama životnog ciklusa sistema. Razlozi slučajni uticaji tokom rada mogu biti:

• hitni slučajevi zbog prirodnih katastrofa i nestanka struje;
• hardverski kvarovi i kvarovi;
• greške u softveru;
• greške u radu osoblja;
• smetnje u komunikacijskim linijama zbog utjecaja okoline.

Namerni uticaji- ovo su namjerne radnje počinioca. Zaposleni, posetilac, takmičar ili plaćenik mogu delovati kao prestupnik. Postupci počinitelja mogu biti posljedica različitih motiva:

• nezadovoljstvo zaposlenika njegovom karijerom;
• mito;
• znatiželja;
• takmičarska borba;
• želju da se potvrdi po svaku cijenu.

Hipotetički model potencijalnog uljeza može se sastaviti:

• kvalifikaciju počinioca na nivou programera ovog sistema;
• prekršitelj može biti ili neovlaštena osoba ili legitimni korisnik sistema;
• prekršitelj zna informacije o principima sistema;
• počinitelj bira najslabiju kariku u odbrani.

Najčešći i najrazličitiji tip računarskog kršenja je neovlašteni pristup(NSD). NSD koristi bilo koju grešku u sistemu zaštite, a moguće je uz neracionalan izbor zaštitnih sredstava, njihovu pogrešnu instalaciju i konfiguraciju.

Razvrstajmo kanale NSD -a putem kojih je moguće ukrasti, promijeniti ili uništiti informacije:

• Preko osobe:
  • krađa nosača informacija;
  • čitanje informacija sa ekrana ili tastature;
  • čitanje informacija iz ispisa.
• Kroz program:
  • presretanje lozinki;
  • dešifriranje šifriranih informacija;
  • kopiranje podataka od mobilnog operatera.
• Preko hardvera:
  • povezivanje posebno dizajniranog hardvera koji omogućava pristup informacijama;
  • presretanje lažnog elektromagnetskog zračenja iz opreme, komunikacijskih vodova, mreža za napajanje itd.

Posebnu pažnju treba obratiti na prijetnje kojima računarske mreže mogu biti izložene. Glavna karakteristika bilo kojeg računarska mreža sastoji se u činjenici da su njegove komponente raspoređene u prostoru. Komunikacija između mrežnih čvorova odvija se fizički pomoću mrežnih linija i programski pomoću mehanizma poruka. U tom slučaju se upravljačke poruke i podaci koji se šalju između mrežnih čvorova prenose u obliku razmjenjivih paketa. Računarske mreže karakteriše činjenica da su tzv daljinski napadi... Uljez može biti udaljen hiljadama kilometara od napadnutog objekta, a ne samo određeni računar, već i informacije koje se prenose mrežnim komunikacijskim kanalima mogu biti napadnute.

Bezbednost informacija

Formiranje režima bezbjednosti informacija je složen problem. Mjere za njegovo rješavanje mogu se podijeliti u pet nivoa:

1. zakonodavni (zakoni, propisi, standardi itd.);
2. moralno-etički (sve vrste normi ponašanja čije nepoštivanje dovodi do pada prestiža određene osobe ili cijele organizacije);
3. administrativne (opšte radnje koje preduzima uprava organizacije);
4. fizičke (mehaničke, elektro- i elektro-mehaničke prepreke na mogućim putevima prodora potencijalnih uljeza);
5. hardver i softver (elektronički uređaji i posebni programi za zaštitu informacija).

Formira se jedan skup svih ovih mjera usmjerenih na suzbijanje sigurnosnih prijetnji kako bi se mogućnost štete svela na minimum sistem zaštite.

Pouzdan sistem zaštite mora biti u skladu sa sljedećim principima:

• Cijena zaštitne opreme trebala bi biti manja od iznosa mogućeg oštećenja.
• Svaki korisnik treba imati minimalni skup privilegija potrebnih za rad.
• Što je zaštita učinkovitija, korisniku je lakše raditi s njom.
• Mogućnost isključenja u slučaju nužde.
• Stručnjaci vezani za sistem zaštite moraju u potpunosti razumjeti principe njegovog funkcioniranja i, u slučaju teških situacija, na njih adekvatno odgovoriti.
• Cijeli sistem za obradu informacija mora biti zaštićen.
• Programeri sigurnosnog sistema ne bi trebali biti među onima koje će ovaj sistem kontrolirati.
• Sigurnosni sistem mora pružiti dokaze o ispravnosti svog rada.
• Oni koji se bave zaštitom informacija moraju lično odgovarati.
• Preporučljivo je objekte zaštite podijeliti u grupe tako da kršenje zaštite u jednoj od grupa ne utječe na sigurnost drugih.
• Pouzdan sigurnosni sistem mora biti u potpunosti testiran i dogovoren.
• Zaštita postaje učinkovitija i fleksibilnija ako dozvoli da administrator promijeni njene parametre.
• Sigurnosni sistem treba dizajnirati s pretpostavkom da će korisnici činiti ozbiljne greške i da generalno imaju najgore namjere.
• Najvažnije i najvažnije odluke moraju donijeti ljudi.
• Postojanje sigurnosnih mehanizama trebalo bi sakriti što je više moguće od korisnika čiji je rad pod kontrolom.

Hardver i softver za zaštitu informacija

Uprkos činjenici da su savremeni operativni sistemi za personalnih računara, kao što su Windows 2000, Windows XP i Windows NT, imaju vlastite podsisteme zaštite, važnost stvaranja dodatnih alata za zaštitu ostaje. Činjenica je da većina sustava nije u stanju zaštititi podatke izvan njih, na primjer, tijekom razmjene mrežnih informacija.

Hardver i softver za zaštitu informacija mogu se podijeliti u pet grupa:

1. Sistemi identifikacije (prepoznavanja) i autentifikacije (autentifikacije) korisnika.
2. Sistemi za šifriranje podataka sa diska.
3. Sistemi za šifriranje podataka koji se prenose preko mreža.
4. Elektronski sistemi za autentifikaciju podataka.
5. Alati za upravljanje kriptografskim ključevima.

1. Sistemi za identifikaciju i autentifikaciju korisnika

Koriste se za ograničavanje pristupa slučajnim i ilegalnim korisnicima resursima računarskog sistema. Opći algoritam za rad takvih sustava je pribaviti informacije od korisnika koje dokazuju njegov identitet, provjeriti njihovu autentičnost, a zatim ovom korisniku omogućiti (ili ne omogućiti) mogućnost rada sa sistemom.

Prilikom izgradnje ovih sistema javlja se problem izbora informacija na osnovu kojih se provode postupci identifikacije i autentifikacije korisnika. Mogu se razlikovati sljedeće vrste:

• tajne podatke koje korisnik ima (lozinka, tajni ključ, lični identifikator itd.); korisnik mora zapamtiti ove podatke ili se za njih mogu koristiti posebna sredstva za pohranu;
• fiziološke parametre osobe (otisci prstiju, iscrtavanje šarenice oka itd.) ili karakteristike ponašanja (posebnosti rada na tastaturi itd.).

Razmatraju se sistemi zasnovani na prvoj vrsti informacija tradicionalno... Sistemi koji koriste drugu vrstu informacija nazivaju se biometrijski... Treba napomenuti da postoji trend u razvoju naprednih sistema biometrijske identifikacije.

2. Sistemi za šifriranje diskova

Da bi informacije bile neprijatne za neprijatelja, koristi se skup metoda transformacije podataka, tzv kriptografija[iz grčkog. kryptos- skriveno i grapho- pisanje].

Sistemi za šifriranje mogu izvesti kriptografsku transformaciju podataka na razini datoteke ili diska. Programi prvog tipa uključuju arhive kao što su ARJ i RAR, koji omogućuju korištenje kriptografskih metoda za zaštitu arhivskih datoteka. Primjer sistema drugog tipa je program za šifriranje Diskreet, koji je dio popularnog softverski paket Norton Utilities, najbolja kripta.

Još jedna klasifikacijska karakteristika sistema za šifriranje diska je način na koji funkcioniraju. Prema načinu funkcioniranja sistema za šifriranje podataka na disku podijeljeni su u dvije klase:

• transparentni sistemi šifriranja;
• sistemi posebno pozvani na šifriranje.

U transparentnim sistemima za šifriranje (šifriranje u hodu), kriptografske transformacije se izvode u stvarnom vremenu, nezapaženo od strane korisnika. Na primjer, korisnik zapisuje dokument pripremljen u uređivaču teksta na zaštićeni disk, a zaštitni sistem ga šifrira tokom procesa pisanja.

Sistemi klase II obično su pomoćni programi koji se moraju posebno pozvati za izvođenje šifriranja. To uključuje, na primjer, arhive s ugrađenom zaštitom lozinkom.

Većina sistema koji nude postavljanje lozinke za dokument ne šifriraju informacije, već samo daju zahtjev za lozinku prilikom pristupa dokumentu. Ovi sistemi uključuju MS Office, 1C i mnoge druge.

3. Sistemi za šifriranje podataka koji se prenose preko mreža

Postoje dvije glavne metode šifriranja: šifriranje kanala i šifriranje terminala (pretplatnika).

Kada šifriranje kanala sve informacije koje se prenose komunikacijskim kanalom, uključujući i servisne informacije, zaštićene su. Ova metoda šifriranja ima sljedeću prednost - ugrađivanje postupaka šifriranja na sloj podatkovne veze omogućuje upotrebu hardvera, što poboljšava performanse sistema. Međutim, ovaj pristup ima i značajne nedostatke:

• šifriranje podataka usluge komplicira mehanizam usmjeravanja mrežnih paketa i zahtijeva dešifriranje podataka u posrednim komunikacijskim uređajima (pristupnici, repetitori itd.);
• šifriranje servisnih informacija može dovesti do pojave statističkih obrazaca u šifriranim podacima, što utječe na pouzdanost zaštite i nameće ograničenja u korištenju kriptografskih algoritama.

End-to-end (pretplatničko) šifriranje omogućuje vam da osigurate povjerljivost podataka koji se prenose između dva pretplatnika. U ovom slučaju zaštićen je samo sadržaj poruka, a svi servisni podaci ostaju otvoreni. Nedostatak je mogućnost analiziranja informacija o strukturi razmjene poruka, na primjer, o pošiljatelju i primatelju, o vremenu i uvjetima prijenosa podataka, kao i o količini prenesenih podataka.

4. Sistemi za elektronsku autentifikaciju podataka

Prilikom razmjene podataka putem mreža javlja se problem autentifikacije autora dokumenta i samog dokumenta, tj. autentifikacija autora i provjera odsustva promjena u primljenom dokumentu. Za provjeru autentičnosti podataka koristi se kôd za provjeru autentičnosti poruke (imitacija umetka) ili elektronički potpis.

Imitacija umetka generira se iz otvorenih podataka pomoću posebne transformacije šifriranja pomoću tajnog ključa i prenosi se komunikacijskim kanalom na kraju šifriranih podataka. Umetanje imitacije provjerava primalac koji posjeduje tajni ključ ponavljanjem postupka koji je pošiljalac prethodno obavio nad primljenim javnim podacima.

Elektronski digitalni potpis predstavlja relativno malu količinu dodatnih informacija za provjeru autentičnosti prenesenih s potpisanim tekstom. Pošiljalac formira digitalni potpis pomoću tajnog ključa pošiljaoca. Primalac provjerava potpis pomoću javnog ključa pošiljatelja.

Tako se za implementaciju imitacijskog umetanja koriste principi simetrične enkripcije, a za implementaciju elektroničkog potpisa - asimetrični. Kasnije ćemo detaljnije proučiti ova dva sistema šifriranja.

5. Alati za upravljanje kriptografskim ključevima

Sigurnost bilo kojeg kriptosistema određena je korištenim kriptografskim ključevima. U slučaju nesigurnog upravljanja ključevima, napadač može doći do ključnih informacija i dobiti potpuni pristup svim informacijama u sistemu ili na mreži.

Postoje sljedeće vrste funkcija upravljanja ključevima: generiranje, skladištenje i distribucija ključeva.

Načini generiranje ključeva za simetrične i asimetrične kriptosisteme su različiti. Za generiranje ključeva simetričnih kriptosustava koristi se hardver i softver za generiranje slučajnih brojeva. Generiranje ključeva za asimetrične kriptosisteme je teže, jer ključevi moraju imati određena matematička svojstva. Zadržimo se na ovom pitanju detaljnije pri proučavanju simetričnih i asimetričnih kriptosustava.

Funkcija skladištenje uključuje organizaciju sigurnog skladištenja, računovodstva i raspolaganja ključnim podacima. Kako bi se osigurala sigurna pohrana ključeva, oni su šifrirani pomoću drugih ključeva. Ovaj pristup dovodi do koncepta ključne hijerarhije. Hijerarhija ključeva obično uključuje glavni ključ (tj. Glavni ključ), ključ za šifriranje ključa i ključ za šifriranje podataka. Valja napomenuti da je generiranje i pohrana glavnog ključa kritično pitanje u zaštiti kriptovaluta.

Distribucija je najkritičniji proces u upravljanju ključevima. Ovaj proces mora osigurati tajnost ključeva za distribuciju i mora biti brz i precizan. Ključevi se distribuiraju među korisnicima mreže na dva načina:

• korišćenje direktne razmene ključeva sesije;
• koristeći jedan ili više ključnih distribucijskih centara.

Spisak dokumenata

1. O DRŽAVNOJ TAJNI. Zakon Ruske Federacije od 21. jula 1993. br. 5485-1 (izmijenjen Saveznim zakonom br. 131-FZ od 6. oktobra 1997.).
2. O INFORMACIJAMA, INFORMACIJAMA I ZAŠTITI INFORMACIJA. Federalni zakon Ruske Federacije od 20. februara 1995. br. 24-FZ. Usvojila Državna duma 25. januara 1995. godine.
3. O PRAVNOJ ZAŠTITI PROGRAMA ZA ELEKTRONSKA RAČUNARA I BAZE PODATAKA. Zakon Ruske Federacije od 23. septembra 1992. br. 3524-1.
4. O ELEKTRONSKOM DIGITALNOM POTPISU. Federalni zakon Ruske Federacije od 10. januara 2002. br. 1-FZ.
5. O AUTORSKIM I Srodnim pravima. Zakon Ruske Federacije od 9. jula 1993. br. 5351-1.
6. O FEDERALNIM VLADINIM KOMUNIKACIJAMA I INFORMACIJSKIM TIJELIMA. Zakon Ruske Federacije (sa izmjenama i dopunama Ukazom predsjednika Ruske Federacije od 24. decembra 1993. br. 2288; Saveznim zakonom od 7. novembra 2000. br. 135-FZ.
7. Propisi o akreditaciji ispitnih laboratorija i tela za sertifikaciju sredstava bezbednosti informacija u skladu sa zahtevima za bezbednost informacija / Državna tehnička komisija pri predsedniku Ruske Federacije.
8. Uputstvo o postupku označavanja sertifikata o usaglašenosti, njihovih kopija i sertifikacionih sredstava za zaštitu informacija / Državna tehnička komisija pri predsedniku Ruske Federacije.
9. Propisi o certifikaciji objekata informatizacije u skladu sa zahtjevima sigurnosti informacija / Državna tehnička komisija pri predsjedniku Ruske Federacije.
10. Propisi o certifikaciji sredstava za zaštitu informacija u skladu sa zahtjevima za sigurnost informacija: s dodacima u skladu s Uredbom Vlade Ruske Federacije od 26. juna 1995. br. predsjednik Ruske Federacije.
11. Propisi o državnom licenciranju aktivnosti u oblasti zaštite informacija / Državna tehnička komisija pri predsjedniku Ruske Federacije.
12. Automatizovani sistemi. Zaštita od neovlaštenog pristupa informacijama. Klasifikacija automatizovanih sistema i zahtjevi za zaštitu informacija: Vodič / Državna tehnička komisija pri predsjedniku Ruske Federacije.
13. Koncept zaštite računarske opreme i automatiziranih sistema od neovlaštenog pristupa informacijama: Vodič / Državna tehnička komisija pri predsjedniku Ruske Federacije.
14. Računarske mogućnosti. Zaštitni zidovi. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama: Vodič / Državna tehnička komisija pri predsjedniku Ruske Federacije.
15. Računarske mogućnosti. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama: Vodič / Državna tehnička komisija pri predsjedniku Ruske Federacije.
16. Zaštita informacija. Posebni zaštitni znakovi. Klasifikacija i opći zahtjevi: Vodič / Državna tehnička komisija pri predsjedniku Ruske Federacije.
17. Zaštita od neovlaštenog pristupa informacijama. Termini i definicije: Vodič / Državna tehnička komisija pri predsjedniku Ruske Federacije.

Osiguranje informacijske sigurnosti složen je društveno-društveni, pravni, ekonomski i naučni problem. Samo sveobuhvatno rješenje njenih ciljeva i zadataka istovremeno u više nivoa moći će izvršiti regulatorni utjecaj na osiguranje informacijske sigurnosti zemlje. Rad u ovoj oblasti trebao bi imati ne samo praktičnu orijentaciju, već i naučnu osnovu.

Glavni ciljevi osiguranja informacijske sigurnosti određeni su na temelju održivih prioriteta nacionalne i ekonomske sigurnosti koji zadovoljavaju dugoročne interese društvenog razvoja, a koji uključuju:

Očuvanje i jačanje ruske državnosti i političke stabilnosti u društvu;

Očuvanje i razvoj demokratskih institucija društva, osiguravanje prava i sloboda građana, jačanje vladavine prava i reda i mira;

Osiguravanje dostojnog mjesta i uloge zemlje u svjetskoj zajednici;

Osiguranje teritorijalnog integriteta zemlje;

Osiguravanje progresivnog društveno-ekonomskog razvoja;

Očuvanje nacionalnih kulturnih vrijednosti i tradicija.

U skladu s ovim prioritetima, glavni zadaci osiguranja informacijske sigurnosti su:

Identifikacija, procjena i predviđanje izvora prijetnji bezbjednosti informacija;

Izrada državne politike za osiguranje informacijske sigurnosti, skupa mjera i mehanizama za njeno provođenje;

Razvoj regulatornog okvira za osiguranje informacijske sigurnosti, koordiniranje aktivnosti državnih tijela i preduzeća radi osiguranja informacijske sigurnosti;

Razvoj sistema za osiguranje informacijske sigurnosti, poboljšanje njegove organizacije, oblika, metoda i sredstava za sprječavanje, suzbijanje i neutraliziranje prijetnji po informacijsku sigurnost i otklanjanje posljedica njenog kršenja;

Osiguravanje aktivnog učešća zemlje u procesima stvaranja globalne upotrebe informacione mreže i sistema.

Najvažniji principi informacijske sigurnosti su:

1) zakonitost mera za otkrivanje i sprečavanje krivičnih dela u informacionoj sferi;

2) kontinuitet implementacije i poboljšanje sredstava i metoda kontrole i zaštite informacionog sistema;

3) ekonomsku izvodljivost, odnosno uporedivost moguće štete i troškova osiguranja informacijske sigurnosti

4) složenost korištenja cijelog arsenala raspoloživih sredstava zaštite u svim odjeljenjima kompanije i u svim fazama procesa informiranja.

Implementacija procesa zaštite informacija uključuje nekoliko faza:

Određivanje objekta zaštite: pravo na zaštitu izvora informacija, procjena troškova izvora informacija i njegovih glavnih elemenata, trajanje životnog ciklusa izvora informacija, putanja informacionog procesa prema funkcionalnim podjelama kompanija;

Identifikacija izvora prijetnji (konkurenti, kriminalci, zaposlenici itd.), Ciljevi prijetnji (upoznavanje, izmjene, uništavanje itd.), Mogući kanali za implementaciju prijetnji (otkrivanje, curenje podataka itd.);

Određivanje potrebnih mjera zaštite;

Procjena njihove efikasnosti i ekonomske izvodljivosti;

Sprovođenje preduzetih mjera, uzimajući u obzir odabrane kriterijume;

Prenošenje osoblja o preduzetim mjerama, praćenje njihove efikasnosti i otklanjanje (sprječavanje) posljedica prijetnji.

Implementacija opisanih faza, u stvari, predstavlja proces upravljanja informacionom sigurnošću objekta i osigurava ga sistem upravljanja koji osim samog kontrolisanog (zaštićenog) objekta uključuje i sredstva za praćenje njegovog stanja, mehanizam za upoređivanje trenutnog stanja sa potrebnim, kao i mehanizam za kontrolu radnji za lokalizaciju i sprečavanje štete od pretnji. U ovom slučaju, preporučljivo je kao kriterij upravljanja smatrati postizanje minimalne štete u informacijama, a svrha upravljanja je osigurati traženo stanje objekta u smislu njegove informacijske sigurnosti.

Metode zaštite informacija dijele se na pravne, organizacione i tehničke i ekonomske.

TO pravne metode Osiguranje informacijske sigurnosti uključuje razvoj regulatornih pravnih akata koji uređuju odnose u informacijskoj sferi, te regulatornih metodoloških dokumenata o sigurnosti informacija. Najvažnija područja ove aktivnosti su:

Izmjene i dopune zakonodavstva koje uređuje odnose u oblasti bezbjednosti informacija, u cilju stvaranja i unapređenja sistema bezbjednosti informacija, otklanjanja unutrašnjih kontradikcija u saveznom zakonodavstvu, kontradikcija vezanih za međunarodne ugovore, kao i radi konkretizacije pravnih normi kojima se utvrđuje odgovornost za prekršaje u oblasti bezbjednosti informacija;

Zakonodavno razgraničavanje ovlašćenja u oblasti obezbjeđenja definisanja ciljeva, zadataka i mehanizama za učešće u ovoj djelatnosti javnih udruženja, organizacija i građana;

Razvoj i usvajanje regulatornih pravnih akata kojima se utvrđuje odgovornost pravnih i fizičkih lica za neovlašten pristup informacijama, njihovo nezakonito kopiranje, izobličenje i nezakonitu upotrebu, namjerno širenje netočnih informacija, nezakonito otkrivanje povjerljiva informacija, korištenje službenih informacija ili informacija koje sadrže poslovne tajne u kriminalne i plaćeničke svrhe;

Pojašnjenje statusa stranih novinskih agencija, medija i novinara, kao i investitora pri privlačenju stranih ulaganja za razvoj domaće informacijske infrastrukture;

Zakonodavna konsolidacija prioriteta razvoja nacionalnih komunikacionih mreža i domaće proizvodnje svemirskih komunikacionih satelita;

Određivanje statusa organizacija koje pružaju usluge globalnih informaciono -komunikacionih mreža i zakonsko regulisanje aktivnosti ovih organizacija;

Stvaranje pravne osnove za formiranje regionalnih struktura za osiguranje informacijske sigurnosti.

Organizaciono -tehničko metode zaštite informacija su:

Stvaranje i unapređenje državnog sistema bezbjednosti informacija;

Jačanje aktivnosti vlasti na provođenju zakona, uključujući sprečavanje i suzbijanje krivičnih djela u informacionoj sferi, kao i identifikaciju, otkrivanje i krivično gonjenje osoba koje su počinile krivična djela i druga djela u ovoj oblasti;

Razvoj, upotreba i poboljšanje sredstava i metoda zaštite informacija za praćenje efikasnosti ovih sredstava, razvoj sigurnih telekomunikacionih sistema, povećanje pouzdanosti posebnog softvera;

Stvaranje sistema i sredstava za sprečavanje neovlaštenog pristupa obrađenim informacijama i posebnim efektima koji uzrokuju uništavanje, uništavanje, izobličenje informacija, kao i promjenu normalnih načina rada sistema i sredstava za informatizaciju i komunikaciju;

Otkrivanje tehnički uređaji i programe koji predstavljaju prijetnju normalnom funkcioniranju informacijsko -komunikacijskih sustava, sprječavaju presretanje informacija tehničkim kanalima, korištenje kriptografskih sredstava zaštite informacija tijekom njihovog pohranjivanja, obrade i prijenosa komunikacijskim kanalima, praćenje provedbe posebnih zahtjeva za zaštitu informacija;

Certifikovanje sredstava bezbednosti informacija, licenciranje aktivnosti u oblasti zaštite državne tajne, standardizacija metoda i sredstava bezbednosti informacija;

Poboljšanje sistema certifikacije telekomunikacione opreme i softvera za automatizovane sisteme za obradu informacija u skladu sa zahtjevima sigurnosti informacija;

Kontrola nad postupcima osoblja u zaštićenim informacionim sistemima, obuka iz oblasti osiguranja informacione sigurnosti države;

Formiranje sistema za praćenje pokazatelja i karakteristika informacione sigurnosti u najvažnijim sferama života i aktivnosti društva i države.

Ekonomske metode osiguravanje sigurnosti informacija uključuje:

Izrada programa za osiguranje informacione sigurnosti države i utvrđivanje procedure za njihovo finansiranje;

Unapređenje sistema finansiranja radova vezanih za primjenu pravnih i organizacionih i tehničkih metoda zaštite informacija, stvaranje sistema za osiguranje informacionih rizika fizičkih i pravnih lica.

Uz široku upotrebu standardne metode i sredstava za privredu, prioritetna područja za osiguranje informacijske sigurnosti su:

Razvoj i usvajanje zakonskih odredbi kojima se utvrđuje odgovornost pravnih i fizičkih lica za neovlašten pristup i krađu informacija, namjerno širenje netačnih informacija, odavanje poslovne tajne, curenje povjerljivih informacija;

Izgradnja sistema državnog statističkog izvještavanja koji osigurava pouzdanost, potpunost, uporedivost i sigurnost informacija uvođenjem stroge zakonske odgovornosti primarnih izvora informacija, organizacijom djelotvorne kontrole nad njihovim aktivnostima i aktivnostima službi za obradu i analizu statističkih podataka, ograničavajući njihovu komercijalizacija, korišćenjem posebnih organizacionih i softverskih i hardverskih sredstava za zaštitu informacija;

Stvaranje i poboljšanje posebnih sredstava za zaštitu finansijskih i komercijalnih informacija;

Razvoj niza organizacionih i tehničkih mjera za poboljšanje tehnologije informativne aktivnosti i zaštitu informacija u ekonomskim, finansijskim, industrijskim i drugim ekonomskim strukturama, uzimajući u obzir zahtjeve za informacijskom sigurnošću koji su specifični za ekonomiju;

Unapređenje sistema profesionalnog odabira i obuke osoblja, sistema odabira, obrade, analize i širenja ekonomskih informacija.

Javna politika osiguravanje informacijske sigurnosti predstavlja pravce djelovanja javnih vlasti i administracije u području informacijske sigurnosti, uključujući garancije prava svih subjekata na informacije, osiguranje dužnosti i odgovornosti države i njenih tijela za informacijsku sigurnost zemlje, i temelji se na održavanju ravnoteže interesa pojedinca, društva i države u informacijskoj sferi.

Državna politika zaštite informacija temelji se na sljedećim osnovnim odredbama:

Ograničavanje pristupa informacijama izuzetak je od općeg načela otvorenosti informacija i provodi se samo na osnovu zakona;

Odgovornost za sigurnost informacija, njihovu klasifikaciju i skidanje tajnosti je personalizirana;

Pristup bilo kojim informacijama, kao i nametnuta ograničenja pristupa, provode se uzimajući u obzir imovinska prava na te podatke utvrđena zakonom;

Formiranje državnog regulatornog i pravnog okvira koji uređuje prava, obaveze i odgovornosti svih subjekata koji djeluju u informacionoj sferi;

Pravne i pojedinci prikupljanje, prikupljanje i obrada ličnih podataka i povjerljivih informacija odgovorni su pred zakonom za njihovu sigurnost i upotrebu;

Pružanje državi pravnih sredstava za zaštitu društva od lažnih, iskrivljenih i netočnih informacija koje dolaze putem medija;

Sprovođenje državne kontrole nad stvaranjem i upotrebom sredstava informacione sigurnosti kroz njihovu obaveznu sertifikaciju i licenciranje aktivnosti u oblasti bezbednosti informacija;

Sprovođenje protekcionističke politike države koja podržava aktivnosti domaćih proizvođača informacionih tehnologija i zaštitu informacija i preduzima mjere za zaštitu unutrašnjeg tržišta od prodora nekvalitetnih informativnih medija i informativnih proizvoda;

Državna podrška u omogućavanju građanima pristupa svjetskim izvorima informacija, globalnim informacionim mrežama,

Formiranje saveznog programa za informacijsku sigurnost od države koji ujedinjuje napore vladine organizacije i komercijalne strukture u stvaranju jedinstvenog sistema bezbjednosti informacija za državu;

Država ulaže napore u suprotstavljanje informacijskoj ekspanziji drugih zemalja, podržava internacionalizaciju globalnih informacionih mreža i sistema.

Na osnovu navedenih principa i odredbi utvrđuju se opšti pravci formiranja i sprovođenja politike bezbjednosti informacija u političkoj, ekonomskoj i drugim sferama djelovanja države.

Državna politika kao mehanizam za usklađivanje interesa subjekata informacijskih odnosa i pronalaženje kompromisnih rješenja predviđa formiranje i organizaciju efikasnog rada različitih vijeća, odbora i komisija sa širokim predstavništvom stručnjaka i svih zainteresovanih struktura. Mehanizmi za provođenje državne politike trebaju biti fleksibilni i pravovremeno odražavati promjene koje se dešavaju u ekonomskom i političkom životu zemlje.

Pravna podrška informacijske sigurnosti države prioritetno je područje za formiranje mehanizama za provedbu politike informacijske sigurnosti i uključuje:

1) aktivnosti na donošenju pravila za stvaranje zakonodavstva koje uređuje odnose u društvu vezano za osiguranje informacijske sigurnosti;

2) aktivnosti izvršne vlasti i sprovođenja zakona za sprovođenje zakona u oblasti informisanja, informatizacije i zaštite informacija od strane državnih organa i uprave, organizacija, građana.

Normativna aktivnost u oblasti informacijske sigurnosti pruža:

Procjena stanja postojećeg zakonodavstva i izrada programa za njegovo poboljšanje;

Stvaranje organizacionih i pravnih mehanizama za osiguranje informacijske sigurnosti;

Formiranje pravnog statusa svih subjekata u sistemu bezbjednosti informacija, korisnika informacionih i telekomunikacionih sistema i utvrđivanje njihove odgovornosti za obezbjeđivanje bezbjednosti informacija;

Razvoj organizacionog i pravnog mehanizma za prikupljanje i analizu statističkih podataka o uticaju prijetnji bezbjednosti informacija i njihovim posljedicama, uzimajući u obzir sve vrste informacija;

Izrada zakonodavnih i drugih normativnih akata kojima se uređuje postupak otklanjanja posljedica uticaja prijetnji, vraćanje povrijeđenih prava i resursa, te provođenje kompenzacijskih mjera.

Izvršne i izvršne aktivnosti predviđa razvoj procedura za primjenu zakona i propisa na subjekte koji su počinili krivična djela i nedolično ponašanje u radu s povjerljivim podacima i prekršili pravila o interakciji informacija. Sve aktivnosti na pravnoj podršci informacijske sigurnosti temelje se na tri temeljne odredbe zakona: poštivanje vladavine prava, osiguravanje ravnoteže interesa pojedinačnih subjekata i države i neizbježnost kažnjavanja.

Usklađenost sa zakonom pretpostavlja postojanje zakona i drugih regulatornih odredbi, njihovu primjenu i izvršavanje od strane subjekata prava u oblasti bezbjednosti informacija.

12.3. STANJE INFORMACIONE SIGURNOSTI U RUSIJI

Procjena stanja informacijske sigurnosti države uključuje procjenu postojećih prijetnji. Klauzula 2 "Doktrine informacijske sigurnosti Ruske Federacije" 1 identificira sljedeće prijetnje informacijskoj sigurnosti Ruske Federacije:

Prijetnje ustavnim pravima i slobodama čovjeka i građanina na području duhovnog života i informacijskih aktivnosti, individualne, grupne i javne svijesti, duhovnog preporoda Rusije;

Prijetnje informativnoj podršci državnoj politici Ruske Federacije;

Prijetnje razvoju domaće informacijske industrije, uključujući industriju informatizacije, telekomunikacija i komunikacija, zadovoljavanje potreba domaćeg tržišta za svojim proizvodima i izlazak tih proizvoda na svjetsko tržište, kao i osiguravanje akumulacije, očuvanja i efikasno korišćenje domaćih informacionih izvora;

__________________________________________________________________

Prijetnje sigurnosti informacionih i telekomunikacionih sistema, već raspoređenih i stvorenih na teritoriji Rusije.

Vanjski izvori prijetnji po informacijsku sigurnost Rusije uključuju:

1) aktivnosti stranih političkih, ekonomskih, vojnih, obavještajnih i informacionih struktura usmjerenih protiv Ruske Federacije u informacionoj sferi;

2) želja velikog broja zemalja da dominiraju i naruše ruske interese u globalnom informacionom prostoru, da ga istisnu sa spoljnog i unutrašnjeg informacionog tržišta;

3) pogoršanje međunarodne konkurencije za posedovanje informacionih tehnologija i resursa;

4) aktivnosti međunarodnih terorističkih organizacija;

5) povećanje tehnološkog jaza između vodećih svjetskih sila, jačanje njihovih sposobnosti da se suprotstave stvaranju konkurentnih ruskih informacionih tehnologija;

6) djelatnosti svemirskih, vazdušnih, morskih i kopnenih tehničkih i drugih sredstava (vrsta) obavještajnih službi stranih država;

7) razvoj koncepata informacionih ratova u više država koji predviđaju stvaranje sredstava opasnog uticaja na informacione sfere drugih zemalja svijeta, narušavanje normalnog funkcionisanja informacionih i telekomunikacionih sistema, bezbjednost informacija resurse, pribavljajući im neovlašteni pristup.

Interni izvori prijetnji po informacijsku sigurnost Rusije uključuju:

1) kritično stanje domaće industrije;

2) nepovoljna kriminalna situacija, praćena tendencijama spajanja državnih i kriminalnih struktura u informacionoj sferi, dobijanje kriminalnim strukturama pristupa povjerljivim informacijama, povećanje uticaja organizovanog kriminala na život društva, smanjenje stepena zaštite legitimni interesi građana, društva i države u informacijskoj sferi;

3) nedovoljna koordinacija aktivnosti saveznih organa državne vlasti, organa državne vlasti sastavnih entiteta Ruske Federacije na formiranju i sprovođenju jedinstvene državne politike u oblasti osiguranja informacijske sigurnosti Ruske Federacije;

4) nedovoljna razrada regulatornog pravnog okvira koji uređuje odnose u informacionoj sferi, kao i nedovoljna praksa sprovođenja zakona;

5) nerazvijenost institucija civilnog društva i nedovoljna kontrola nad razvojem informacionog tržišta u Rusiji;

6) nedovoljna ekonomska moć države;

7) smanjenje efikasnosti sistema obrazovanja i osposobljavanja, nedovoljan broj kvalifikovanog osoblja u oblasti bezbjednosti informacija;

8) Rusija zaostaje za vodećim zemljama svijeta u pogledu informatizacije tijela savezne vlade, kredita i finansija, industrije, poljoprivrede, obrazovanja, zdravstva, usluga i svakodnevnog života građana.

Posljednjih godina Rusija je provela niz mjera za poboljšanje pružanja svoje informacijske sigurnosti. Preduzete su mjere za osiguranje informacijske sigurnosti u tijelima savezne vlade, državnim tijelima sastavnih entiteta Ruske Federacije, u preduzećima, institucijama i organizacijama, bez obzira na oblik vlasništva. Započeti su radovi na stvaranju sigurnog informacionog i telekomunikacionog sistema za posebne namjene u interesu javnih vlasti.

Državni sistem za zaštitu informacija, sistem za zaštitu državnih tajni i sistem certifikacije za zaštitu informacija doprinose uspješnom rješavanju pitanja osiguranja informacijske sigurnosti Ruske Federacije.

Struktura državnog sistema Zaštita informacija su:

Državni organi i uprave Ruske Federacije i konstitutivnih subjekata Ruske Federacije, rješavajući probleme osiguranja informacijske sigurnosti iz svoje nadležnosti;

Državne i međuresorne komisije i vijeća specijalizirana za pitanja sigurnosti informacija;

Državna tehnička komisija pri predsjedniku Ruske Federacije;

Federalna služba bezbjednosti Ruske Federacije;

Ministarstvo unutrašnjih poslova Ruske Federacije;

Ministarstvo odbrane Ruske Federacije;

Federalna agencija za vladine komunikacije i informacije pri predsjedniku Ruske Federacije;

Spoljna obavještajna služba Ruske Federacije;

Strukturne i međusektorske podjele za zaštitu informacija javnih vlasti;

Vodeće i vodeće istraživačke, naučno -tehničke, dizajnerske i inženjerske organizacije za zaštitu informacija;

Obrazovne ustanove osposobljavanje i prekvalifikacija osoblja za rad u sistemu bezbjednosti informacija.

Državna tehnička komisija pri predsjedniku Ruske Federacije, kao vladino tijelo, provodi jedinstvenu tehničku politiku i koordinira rad na području zaštite informacija, na čelu je državnog sistema za zaštitu informacija od tehničko -obavještajnih podataka i odgovorna je za osiguravanje zaštite informacija iz njihovog curenja putem tehničkih kanala na teritoriji Rusije, prati efikasnost preduzetih mjera zaštite.

Posebno mjesto u sistemu bezbjednosti informacija zauzimaju državne i javne organizacije koje kontrolišu aktivnosti državnih i nedržavnih medija.

Do danas je u oblasti informacijske sigurnosti u Rusiji formiran zakonodavni i regulatorni okvir koji uključuje:

1. Zakoni Ruske Federacije:

Ustav Ruske Federacije;

"O bankama i bankarskim aktivnostima";

"O sigurnosti";

"O stranim obavještajnim podacima";

"O državnim tajnama";

"O komunikaciji";

"O certifikaciji proizvoda i usluga";

"O masovnim medijima";

"O standardizaciji";

"O informacijama, informacionoj tehnologiji i zaštiti informacija";

"O tijelima Federalne službe sigurnosti u Ruskoj Federaciji";

"O obaveznoj kopiji dokumenata";

"O učešću u međunarodnoj razmjeni informacija";

"O6 digitalni potpis" itd.

2. Normativni pravni akti predsjednika Ruske Federacije:

"Doktrina informacijske sigurnosti Ruske Federacije";

"O Strategiji nacionalne sigurnosti Ruske Federacije do 2020.";

"O nekim pitanjima međuresorne komisije za zaštitu državne tajne";

"Na listi podataka klasifikovanih kao državna tajna";

"O osnovama državne politike u oblasti informatizacije";

"O odobravanju liste povjerljivih informacija" itd.

H. Regulatorni pravni akti Vlade Ruske Federacije:

"O certifikaciji alata za sigurnost informacija";

"O licenciranju aktivnosti preduzeća, ustanova i organizacija za obavljanje poslova u vezi s upotrebom informacija koje predstavljaju državnu tajnu, stvaranjem sredstava za zaštitu informacija, kao i provođenjem mjera i (ili) pružanjem usluga za zaštita državnih tajni ”;

"O odobravanju pravila za razvrstavanje podataka koji predstavljaju državnu tajnu na različite stepene tajnosti";

"O licenciranju određenih vrsta djelatnosti" itd.

4. Vodeći dokumenti Državne tehničke komisije Rusije:

"Koncept zaštite računarske opreme i automatizovanih sistema od neovlašćenog pristupa informacijama";

„Računarske mogućnosti. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama “;

„Automatizovani sistemi. Zaštita od neovlaštenog pristupa informacijama. Klasifikacija automatiziranih sistema i zahtjevi za zaštitu informacija ";

"Zaštita informacija. Posebni zaštitni znakovi. Klasifikacija i opći zahtjevi ";

"Zaštita od neovlaštenog pristupa informacijama. Dio 1. Softver za sigurnost informacija. Klasifikacija prema nivou kontrole odsustva neprijavljenih mogućnosti ”.

5. Građanski zakonik Ruske Federacije (četvrti dio).

6. Krivični zakon Ruske Federacije.

Međunarodna saradnja na polju osiguranja informacijske sigurnosti sastavni je dio ekonomske, političke, vojne, kulturne i drugih vrsta interakcija između zemalja svjetske zajednice. Takva saradnja trebala bi pomoći u poboljšanju informacijske sigurnosti svih članova svjetske zajednice, uključujući i Rusiju. Posebnost međunarodne saradnje Ruske Federacije u oblasti informacijske sigurnosti je ta što se ona odvija u kontekstu povećane međunarodne konkurencije za posjedovanje tehnoloških i izvori informacija, za dominaciju na prodajnim tržištima, jačanje tehnološkog jaza između vodećih svjetskih sila i jačanje njihovih sposobnosti za stvaranje "informacijskog oružja". To bi moglo dovesti do nove etape u razvoju trke u naoružanju u informacijskoj sferi.

Međunarodna saradnja u oblasti bezbjednosti informacija zasnovana je na sljedećem regulatornom okviru:

Sporazum sa Republikom Kazahstan od 13. januara 1995. sa Moskvom (Rezolucija Vlade Ruske Federacije od 15. maja 1994. Nch 679);

Sporazum sa Ukrajinom od 14. juna 1996., Kijev (Rezolucija Vlade Ruske Federacije od 7. juna 1996. br. 655);

Sporazum s Republikom Bjelorusijom (Nacrt);

Izdavanje potvrda i dozvola za međunarodnu razmjenu informacija (Savezni zakon od 4. jula 1996., X 85-FZ).

Glavna područja međunarodne saradnje koja zadovoljavaju interese Ruske Federacije su:

Sprječavanje neovlaštenog pristupa povjerljivim informacijama u međunarodnim bankarskim mrežama i kanalima informacionu podršku svjetska trgovina, do povjerljivih informacija u međunarodnim ekonomskim i političkim unijama, blokovima i organizacijama, do informacija u međunarodnim organizacijama za provođenje zakona koje se bore protiv međunarodnog organiziranog kriminala i međunarodnog terorizma;

Zabrana razvoja, širenja i upotrebe "informacijskog oružja";

Osiguranje sigurnosti međunarodne razmjene informacija, uključujući sigurnost informacija tokom njihovog prenosa nacionalnim telekomunikacionim mrežama i komunikacionim kanalima;

Koordinacija aktivnosti agencija za provođenje zakona država koje učestvuju u međunarodnoj saradnji u sprečavanju kompjuterskog kriminala;

Učešće u međunarodne konferencije i izložbe o problemu informacijske sigurnosti.

Tijekom suradnje posebnu pozornost treba posvetiti problemima interakcije sa zemljama ZND -a, uzimajući u obzir izglede za stvaranje jedinstvenog informacijskog prostora na području bivšeg SSSR -a, unutar kojeg su praktično jedinstveni telekomunikacijski sustavi i komunikacijske linije polovno.

Istovremeno, analiza stanja informacijske sigurnosti u Rusiji pokazuje da njen nivo ne zadovoljava u potpunosti potrebe društva i države. Trenutni uslovi političkog i društveno-ekonomskog razvoja zemlje uzrokuju pogoršanje kontradikcija između potreba društva za proširenjem slobodne razmjene informacija i potrebe očuvanja određenih reguliranih ograničenja u njihovom širenju.

Prava građana na nepovredivost privatnog života, lične i porodične tajne i povjerljivost prepiske sadržana u Ustavu Ruske Federacije nemaju dovoljnu pravnu, organizacionu i tehničku podršku. Zaštita ličnih podataka koje prikupljaju organi savezne vlade nije zadovoljavajuća.

Nedostaje jasnoća u vođenju državne politike na području formiranja ruskog informacijskog prostora, razvoja sistema masovnih medija, organizacije međunarodne razmjene informacija i integracije ruskog informacijskog prostora u globalne informacije prostora, što stvara uslove za istiskivanje ruskih novinskih agencija i masovnih medija sa unutrašnjeg informacionog tržišta i deformacionih struktura međunarodne razmjene informacija.

Ne postoji dovoljna podrška vlade aktivnostima ruskih novinskih agencija u promociji njihovih proizvoda na međunarodnom tržištu informacija.

Situacija s osiguranjem sigurnosti podataka koji predstavljaju državnu tajnu se pogoršava.

Ozbiljna šteta nanesena je kadrovskom potencijalu znanstvenih i proizvodnih timova koji djeluju u području stvaranja informacijske tehnologije, telekomunikacija i komunikacija, kao rezultat masovnog iseljavanja najkvalificiranijih stručnjaka iz ovih timova.

Zaostalost domaćih informacionih tehnologija primorava državne organe Ruske Federacije da prilikom stvaranja informacionih sistema slijede put kupovine uvozne opreme i privlačenja stranih kompanija, što povećava vjerovatnoću neovlaštenog pristupa obrađenim informacijama i povećava zavisnost Rusije od stranih proizvođača nabavke računarske i telekomunikacione opreme, kao i softvera.

U vezi sa intenzivnim uvođenjem stranih informacionih tehnologija u sfere djelovanja pojedinca, društva i države, kao i sa širokom upotrebom otvorenih informacionih i telekomunikacionih sistema, integracijom domaćih i međunarodnih informacionih sistema, prijetnjama povećala se upotreba „informacijskog oružja“ protiv informacijske infrastrukture Rusije. Napori na adekvatnom i sveobuhvatnom suzbijanju ovih prijetnji provode se uz nedovoljnu koordinaciju i slabo budžetsko finansiranje.

Kontrolna pitanja

1. Koje je mjesto informacijske sigurnosti u sistemu ekonomske sigurnosti države? Pokažite primjerima važnost informacijske sigurnosti u osiguravanju ekonomske sigurnosti države?

2. Šta je razlog povećanja značaja informacione sigurnosti u savremenom periodu?

3. Opišite glavne kategorije informacijske sigurnosti: informacije, informatizacija, dokument, informacioni proces, informacioni sistem, izvori informacija, lični podaci, povjerljive informacije.

4. Koji su interesi pojedinca, društva i države u informacionoj sferi?

5. Koje su vrste prijetnji sigurnosti informacija?

6. Navedite načine utjecaja prijetnji na objekte informacijske sigurnosti.

7. Objasnite pojam "informacijskog rata".

8. Lista spoljni izvori prijetnje informacijskoj sigurnosti Rusije.

9. Navedite interne izvore prijetnji bezbjednosti informacija u Rusiji.

10. Koji propisi pružaju informacionu sigurnost na teritoriji Ruske Federacije?

11. Koje međunarodne propise u oblasti zaštite informacija poznajete?

12. Šta je suština državne politike bezbjednosti informacija?

13. Navedite metode osiguranja informacijske sigurnosti.

14. Opišite strukturu državnog sistema zaštite informacija

15. Ocijenite stanje informacijske sigurnosti u Rusiji.

Politika bezbednosti informacija.

1. Opšte odredbe

Ova Politika sigurnosti informacija ( Dalje - Politika ) definira sistem pogleda na problem osiguravanja sigurnosti informacija i predstavlja sistematsku izjavu o ciljevima i zadacima, kao i organizacione, tehnološke i proceduralne aspekte osiguravanja sigurnosti informacija objekata informacijske infrastrukture, uključujući skup informacija centri, banke podataka i komunikacijski sistemi organizacije. Ova politika je razvijena uzimajući u obzir zahtjeve važećeg zakonodavstva Ruske Federacije i kratkoročne izglede za razvoj objekata informacijske infrastrukture, kao i karakteristike i sposobnosti savremenih organizacionih i tehničkih metoda i hardvera i softvera za zaštita informacija.

Glavne odredbe i zahtjevi Politike primjenjuju se na sve strukturne odjele organizacije.

Politika je metodološka osnova za formiranje i provedbu jedinstvene politike u području osiguranja sigurnosti informacija o objektima informacijske infrastrukture, donošenja koordiniranih upravljačkih odluka i razvoja praktičnih mjera usmjerenih na osiguranje informacijske sigurnosti, koordiniranje aktivnosti strukturnih odjela organizacija prilikom izvođenja radova na stvaranju, razvoju i radu informacijskih objekata, infrastrukture u skladu sa zahtjevima sigurnosti informacija.

Politika ne regulira pitanja organizacije zaštite prostora i osiguranja sigurnosti i fizičkog integriteta komponenti informacijske infrastrukture, zaštite od prirodnih katastrofa i kvarova u sistemu napajanja, međutim uključuje izgradnju sistema informacijske sigurnosti na istim konceptualnim osnovama kao i sigurnosni sistem organizacije u cjelini.

Implementacija politike osigurana je odgovarajućim smjernicama, propisima, procedurama, uputstvima, smjernicama i sistemom za procjenu informacijske sigurnosti u organizaciji.

Politika koristi sljedeće termine i definicije:

Automatizovani sistem ( AS) — sistem koji se sastoji od osoblja i skupa sredstava za automatizaciju njihovih aktivnosti, koji implementira informacionu tehnologiju za obavljanje utvrđenih funkcija.

Informaciona infrastruktura- sistem organizacionih struktura koje obezbjeđuju funkcionisanje i razvoj informacionog prostora i sredstava za interakciju informacija. Informacijska infrastruktura uključuje skup informacijskih centara, banaka podataka i znanja, komunikacijske sustave i potrošačima omogućuje pristup informacijskim izvorima.

Informacioni izvori ( IR) - to su zasebni dokumenti i zasebni nizovi dokumenata, dokumenti i nizovi dokumenata u informacionim sistemima ( biblioteke, arhive, fondovi, baze podataka i drugi informacioni sistemi).

Informacioni sistem (IP) - sistem za obradu informacija i srodni organizacioni resursi ( ljudski, tehnički, finansijski itd.) koji pružaju i šire informacije.

Sigurnost - stanje zaštite interesa ( ciljevi) organizacije suočene s prijetnjama.

Sigurnost informacija ( IB) — sigurnost vezana za prijetnje u informacijskoj sferi. Sigurnost se postiže osiguravanjem skupa svojstava IS - dostupnosti, integriteta, povjerljivosti informacijskih sredstava. Prioritet nekretnina IS određen je vrijednošću ove imovine za kamate ( ciljevi) organizacija.

Dostupnost informacione imovine - vlasništvo IS -a organizacije, koje se sastoji u činjenici da se informacijska sredstva dostavljaju ovlaštenom korisniku, u obliku i na mjestu koje korisnik zahtijeva, i u vrijeme kada mu zatreba.

Integritet informacione imovine - svojstvo informacijske sigurnosti organizacije da održava nepromijenjene ili ispravlja otkrivene promjene u svojim informacijskim sredstvima.

Povjerljivost informacijske imovine - svojstvo informacijske sigurnosti organizacije, koje se sastoji u činjenici da se obrada, skladištenje i prijenos informacijskih sredstava vrši na takav način da su informacijska sredstva dostupna samo ovlaštenim korisnicima, objektima sistema ili procesima.

Sistem zaštite informacija ( NIB) — skup zaštitnih mjera, zaštitne opreme i procesa njihovog rada, uključujući resursne i administrativne ( organizacione) sigurnost.

Neovlašteni pristup- pristup informacijama koje krše službena ovlaštenja zaposlenika, pristup informacijama koje su zatvorene za javni pristup osobama koje nemaju dozvolu za pristup ovim podacima ili pristup informacijama od strane osobe koja ima pravo na pristup tim podacima u iznosu koji prelazi iznos potreban za ispunjavanje službenih dužnosti.

2. Opšti zahtevi za bezbednost informacija

Zahtevi za bezbednost informacija ( Dalje -IB ) odrediti sadržaj i ciljeve aktivnosti organizacije u procesima upravljanja IS.

Ovi zahtjevi formulirani su za sljedeća područja:

• dodjela i raspodjela uloga i povjerenje u osoblje;
• faze životnog ciklusa objekata informacione infrastrukture;
• zaštita od neovlaštenog pristupa ( Dalje - NSD ), kontrolu pristupa i registraciju u automatizovanim sistemima, telekomunikacionoj opremi i automatskim telefonskim centralama itd .;
• zaštita od virusa;
• korištenje internetskih resursa;
• korištenje sredstava kriptografske zaštite podataka;
• zaštita ličnih podataka.

3. Objekti koji se štite

Glavni objekti koje treba zaštititi su:

• informacionih izvora predstavljeni u obliku dokumenata i niza informacija, bez obzira na oblik i vrstu njihovog predstavljanja, uključujući povjerljive i otvorene informacije;
• sistem za formiranje, distribuciju i upotrebu informacionih izvora, biblioteke, arhive, baze podataka i banke podataka, informaciona tehnologija, propisi i procedure za prikupljanje, obradu, skladištenje i prenos informacija, tehničko i uslužno osoblje;
• informacionu infrastrukturu, uključujući sisteme za obradu i analizu informacija, tehničke i softverske alate za njihovu obradu, prenos i prikaz, uključujući razmjenu informacija i telekomunikacione kanale, sisteme i sisteme za zaštitu informacija, objekte i prostorije u kojima se nalaze komponente informacione infrastrukture.

3.1. Karakteristike automatizovanog sistema

U AU kruže informacije različitih kategorija. Zaštićene informacije mogu dijeliti različiti korisnici iz različitih podmreža jedne korporativne mreže.

Brojni AS podsistemi omogućuju interakciju s vanjskim ( državne i komercijalne, ruske i strane) organizacije na uključenim i namjenskim komunikacijskim kanalima koji koriste posebna sredstva za prijenos informacija.

Kompleks tehničkih sredstava AU uključuje sredstva za obradu podataka ( radne stanice, serveri baza podataka, serveri pošte itd.), način razmjene podataka u lokalnim mrežama s mogućnošću pristupa globalnim mrežama ( kablovi, mostovi, pristupnici, modemi itd.), kao i skladišne ​​prostore ( uklj. arhiviranje) podaci.

Glavne karakteristike funkcioniranja AU uključuju:

• potreba za kombiniranjem velikog broja različitih tehničkih sredstava za obradu i prijenos informacija u jedinstveni sistem;
• veliki broj zadataka i vrsta obrađenih podataka;
• kombinovanje informacija za različite svrhe, nivoa pripadnosti i povjerljivosti u jednoj bazi podataka;
• dostupnost kanala za povezivanje na vanjske mreže;
• kontinuitet funkcionisanja;
• prisutnost podsistema sa različitim zahtjevima u pogledu nivoa sigurnosti, fizički objedinjenih u jednu mrežu;
• razne kategorije korisnika i uslužnog osoblja.

Uopšteno govoreći, jedan AS je skup lokalnih područnih mreža, međusobno povezanih pomoću telekomunikacija. Svaka lokalna mreža objedinjuje brojne međusobno povezane i međusobno povezane automatizirane podsisteme ( tehnološke lokacije), osiguravajući rješavanje problema od strane pojedinih strukturnih odjeljenja organizacije.

Objekti informatizacije uključuju:

• tehnološka oprema ( računarski objekti, mrežna i kablovska oprema);
• informativni izvori;
• softver ( operativni sistemi, sistemi za upravljanje bazama podataka, opšti sistem i aplikativni softver);
• automatizirani sustavi komunikacije i prijenosa podataka (telekomunikacije);
• kanali za povezivanje;
• poslovni prostor.

3.2. Vrste informacionih sredstava organizacije koje treba zaštititi

Informacije različitih nivoa povjerljivosti kruže podsistemima AS -a organizacije i sadrže informacije ograničene distribucije ( usluge, komercijalni, lični podaci) i otvorene informacije.

Tok dokumenata AU sadrži:

• platni nalozi i finansijska dokumenta;
• izvještaji ( finansijske, analitičke itd.);
• informacije o ličnim računima;
• Lična informacija;
• ostale informacije ograničene distribucije.

Sve informacije koje kruže AU -om i koje se nalaze u sljedećim vrstama informacijskih sredstava podložne su zaštiti:

• informacije koje predstavljaju poslovnu i službenu tajnu, čiji pristup ograničava organizacija, kao vlasnik podataka, u skladu sa Saveznim zakonom " O informacijama, informatizaciji i zaštiti informacija "Prava i savezni zakon" O poslovnim tajnama »;
• lični podaci, pristup kojima je ograničen u skladu sa Saveznim zakonom " O ličnim podacima »;
• otvorene informacije, u smislu osiguranja integriteta i dostupnosti informacija.

3.3. Kategorije korisnika automatiziranog sistema

Organizacija ima veliki broj kategorija korisnika i uslužnog osoblja, koji moraju imati različita ovlaštenja za pristup informacijskim izvorima AU:

• obični korisnici ( krajnji korisnici, zaposlenici organizacijskih jedinica);
• administratori servera ( serveri datoteka, serveri aplikacija, serveri baza podataka), lokalne mreže i aplikacijski sistemi;
• sistemski programeri ( odgovoran za održavanje općeg softvera) na serverima i radnim stanicama korisnika;
• programeri aplikativnog softvera;
• stručnjaci za održavanje tehničkih sredstava računarske tehnologije;
• administratori za zaštitu podataka itd.

3.4. Ranjivost glavnih komponenti automatizovanog sistema

Najosjetljivije komponente AU su mrežne radne stanice - automatizirane radne stanice ( Dalje - AWP ) radnici. Pokušaji neovlaštenog pristupa informacijama ili pokušaji neovlaštenih radnji mogu se učiniti s radne stanice radnika ( nenamjerno i namjerno) na računarskoj mreži. Kršenja konfiguracije hardvera i softvera radnih stanica i nezakonito miješanje u procese njihovog funkcioniranja mogu dovesti do blokiranja informacija, nemogućnosti pravovremenog rješavanja važnih zadataka i kvara pojedinih radnih stanica i podsistema.

Mrežni elementi, kao što su namjenski poslužitelji datoteka, poslužitelji baza podataka i poslužitelji aplikacija, trebaju posebnu zaštitu. Nedostaci protokola razmjene i načina diferenciranog pristupa resursima servera mogu omogućiti neovlašteni pristup zaštićenim informacijama i utjecati na rad različitih podsistema. U ovom slučaju pokušaji se mogu izvršiti kao daljinski ( sa mrežnih stanica) i direktno ( sa serverske konzole) uticaj na rad servera i njihovu zaštitu.

Mostovi, pristupnici, čvorišta, usmjerivači, sklopke i drugi mrežni uređaji, veze i komunikacije također trebaju zaštitu. Uljezi ih mogu koristiti za restrukturiranje i dezorganizaciju mrežnih operacija, presretanje prenesenih informacija, analizu prometa i implementaciju drugih metoda ometanja procesa razmjene podataka.

4. Osnovni principi informacijske sigurnosti

4.1. Opći principi sigurnog rada

• Pravovremenost otkrivanja problema. Organizacija bi trebala pravovremeno otkriti probleme koji bi mogli utjecati na njene poslovne ciljeve.
• Predvidljivost razvoja problema. Organizacija treba identificirati uzročno -posljedičnu vezu mogućih problema i na osnovu toga izgraditi tačnu prognozu njihovog razvoja.
• Procjena uticaja problema na poslovne ciljeve. Organizacija će na odgovarajući način procijeniti utjecaj identificiranih problema.
• Adekvatnost zaštitnih mjera. Organizacija bi trebala odabrati zaštitne mjere koje odgovaraju modelima prijetnji i prekršitelja, uzimajući u obzir cijenu provedbe takvih mjera i iznos mogućih gubitaka od implementacije prijetnji.
• Efikasnost zaštitnih mjera. Organizacija će učinkovito provoditi poduzete zaštitne mjere.
• Korištenje iskustva u donošenju i provođenju odluka. Organizacija treba akumulirati, generalizirati i koristiti i vlastito iskustvo i iskustvo drugih organizacija na svim nivoima odlučivanja i njihove implementacije.
• Kontinuitet principa sigurnog rada. Organizacija će osigurati kontinuitet provedbe načela sigurnog rada.
• Kontrola zaštitnih mjera. Organizacija bi trebala primijeniti samo one mjere zaštite za koje se može provjeriti da rade ispravno, a organizacija bi trebala redovito ocjenjivati ​​primjerenost zaštitnih mjera i efikasnost njihove primjene, uzimajući u obzir utjecaj zaštitnih mjera na poslovne ciljeve organizacije.

4.2. Posebni principi za osiguranje informacijske sigurnosti

• Implementacija posebnih principa informacione bezbednosti ima za cilj povećanje nivoa zrelosti procesa upravljanja bezbednošću informacija u organizaciji.
• Definicija ciljeva. Funkcionalne i informacijske ciljeve sigurnosti organizacije treba eksplicitno definirati u internom dokumentu. Neizvjesnost vodi do „ neodređenost”Organizaciona struktura, uloge osoblja, politike bezbjednosti informacija i nemogućnost procjene adekvatnosti preduzetih zaštitnih mjera.
• Poznavanje vaših kupaca i zaposlenih. Organizacija mora imati informacije o svojim klijentima, pažljivo birati osoblje ( radnici), razvijati i održavati korporativnu etiku, što stvara povoljno okruženje povjerenja za aktivnosti organizacije za upravljanje imovinom.
• Personalizacija i odgovarajuća podjela uloga i odgovornosti. Odgovornost službenika organizacije za odluke u vezi s njenom imovinom treba biti personalizirana i uglavnom se mora izvršavati u obliku garancije. Trebalo bi da bude primjereno stepenu uticaja na ciljeve organizacije, da bude fiksirano u politikama, kontrolisano i poboljšano.
• Adekvatnost uloga funkcijama i procedurama i njihova uporedivost sa kriterijima i sistemom ocjenjivanja. Uloge bi trebale na odgovarajući način odražavati funkcije koje treba obavljati i procedure organizacije za njihovu provedbu. Prilikom dodjeljivanja međusobno povezanih uloga potrebno je uzeti u obzir potreban slijed njihovog izvršavanja. Uloga bi trebala biti u skladu s kriterijima za procjenu efikasnosti njenog provođenja. Glavni sadržaj i kvalitet odigrane uloge zapravo su određeni sistemom ocjenjivanja koji se na nju primjenjuje.
• Dostupnost usluga i usluga. Organizacija mora svojim klijentima i izvođačima osigurati dostupnost usluga i usluga u utvrđenim rokovima utvrđenim odgovarajućim ugovorima ( sporazume) i / ili drugi dokumenti.
• Uočljivost i procenjivost informacione bezbednosti. Sve predložene zaštitne mjere moraju biti oblikovane tako da rezultat njihove primjene bude očit, primjećujemo ( transparentno) i moglo bi se ocijeniti podjelom organizacije sa odgovarajućim ovlaštenjima.

5. Ciljevi i zadaci informacijske sigurnosti

5.1. Subjekti odnosa informacija u automatizovanom sistemu

Subjekti pravnih odnosa pri korištenju AU i osiguravanju sigurnosti podataka su:

• Organizacija kao vlasnik izvora informacija;
• pododjeljenja organizacije koja osiguravaju rad NE;
• zaposlenici strukturnih odjela organizacije, kao korisnici i davatelji informacija u AU u skladu s dodijeljenim im funkcijama;
• pravna i fizička lica, podaci o kojima se prikupljaju, čuvaju i obrađuju u AS;
• druga pravna i fizička lica uključena u stvaranje i rad AU ( programeri sistemskih komponenti, organizacije uključene u pružanje različitih usluga u oblasti informacionih tehnologija itd.).

Navedeni subjekti informacijskih odnosa zainteresirani su za osiguranje:

• povjerljivost određene informacije;
• pouzdanost ( potpunost, tačnost, adekvatnost, integritet) informacije;
• zaštita od nametanja lažnih ( nepouzdano, iskrivljeno) informacije;
• pravovremeni pristup potrebnim informacijama;
• diferencijacija odgovornosti za povrede zakonskih prava ( interesima) drugi subjekti informacionih odnosa i utvrđena pravila postupanja sa informacijama;
• mogućnost stalnog praćenja i upravljanja procesima obrade i prijenosa informacija;
• zaštita dijela informacija od njihovog nezakonitog repliciranja ( zaštita autorskih prava, prava vlasnika podataka itd.).

5.2. Cilj informacijske sigurnosti

Glavni cilj osiguranja informacijske sigurnosti je zaštita subjekata informacijskih odnosa od moguće materijalne, moralne ili druge štete koja im nanese slučajnim ili namjernim neovlaštenim miješanjem u proces funkcioniranja AU -a ili neovlaštenim pristupom informacijama koje kruže u njemu i njegovim nezakonitim upotreba.

Ovaj cilj postiže se osiguravanjem i stalnim održavanjem sljedećih svojstava informacija i automatiziranog sistema za njihovu obradu:

• dostupnost obrađenih podataka za registrirane korisnike;
• povjerljivost određenog dijela informacija pohranjenih, obrađenih i prenesenih komunikacijskim kanalima;
• integritet i autentičnost informacija pohranjenih, obrađenih i prenesenih komunikacijskim kanalima.

5.3. Ciljevi bezbjednosti informacija

Da bi se postigao glavni cilj osiguranja informacione sigurnosti, sistem zaštite informacija nuklearne elektrane mora obezbijediti efikasno rješenje za sljedeće zadatke:

• zaštita od uplitanja u proces rada AU od strane neovlaštenih lica;
• diferencijacija pristupa registriranih korisnika hardverskim, softverskim i informacijskim resursima AU, odnosno zaštita od neovlaštenog pristupa;
• registracija korisničkih radnji pri korištenju zaštićenih resursa AS -a u sistemskim evidencijama i periodična kontrola ispravnosti radnji korisnika sistema analizom sadržaja ovih evidencija od strane stručnjaka iz sigurnosnih službi;
• zaštita od neovlaštenih izmjena i kontrola integriteta ( osiguravajući nepromenljivost) okruženje izvršenja programa i njegovo obnavljanje u slučaju kršenja;
• zaštita od neovlaštenih izmjena i kontrola integriteta softvera koji se koristi u AU, kao i zaštita sistema od uvođenja neovlaštenih programa, uključujući računarske viruse;
• zaštita informacija od curenja putem tehničkih kanala tokom njihove obrade, skladištenja i prijenosa komunikacijskim kanalima;
• zaštita informacija pohranjenih, obrađenih i prenesenih komunikacijskim kanalima od neovlaštenog otkrivanja ili izobličenja;
• Pružanje autentifikacije korisnika koji sudjeluju u razmjeni informacija;
• osiguravanje opstojnosti alata za zaštitu kriptografskih informacija kada je dio ključnog sistema ugrožen;
• blagovremena identifikacija izvora prijetnji po informacionu sigurnost, uzroka i uslova koji doprinose oštećenju zainteresovanih subjekata informacionih odnosa, stvaranje mehanizma za brzo reagovanje na prijetnje po bezbjednost informacija i negativne trendove;
• stvaranje uslova za smanjenje i lokalizaciju štete prouzrokovane nezakonitim radnjama fizičkih i pravnih lica, slabljenje negativnog uticaja i otklanjanje posljedica kršenja bezbjednosti informacija.

5.4. Načini rješavanja problema sigurnosti informacija

Rješenje problema sigurnosti informacija postiže se:

• strogo računovodstvo svih sistemskih resursa koji su zaštićeni ( informacije, zadaci, komunikacijski kanali, serveri, AWP);
• regulisanje procesa obrade informacija i radnji zaposlenih u strukturnim odjeljenjima organizacije, kao i radnji osoblja koje vrši održavanje i izmjene softvera i hardvera nuklearne elektrane, na osnovu organizacionih i administrativnih dokumenata o bezbjednosti informacija;
• potpunost, stvarna izvodljivost i dosljednost zahtjeva organizacionih i administrativnih dokumenata o bezbjednosti informacija;
• imenovanje i obuka zaposlenih odgovornih za organizaciju i implementaciju praktičnih mjera radi osiguranja sigurnosti informacija;
• osnaživanje svakog zaposlenika s minimalnim ovlaštenjima potrebnim za ispunjavanje njegovih funkcionalnih dužnosti za pristup resursima NEK;
• jasno znanje i strogo poštivanje svih zaposlenika koji koriste i održavaju hardver i softver nuklearne elektrane, zahtjeve organizacijskih i administrativnih dokumenata o sigurnosti informacija;
• ličnu odgovornost za svoje postupke svakog zaposlenika koji, u okviru svojih funkcionalnih dužnosti, učestvuje u procesima automatizirane obrade informacija i ima pristup resursima AU;
• implementacija tehnoloških procesa obrade informacija korištenjem kompleksa organizacionih i tehničkih mjera za zaštitu softvera, hardvera i podataka;
• donošenje efikasnih mjera radi osiguranja fizičkog integriteta tehničke opreme i kontinuiranog održavanja potrebnog nivoa zaštite komponenti NE;
• primjena tehničkih ( softver i hardver) sredstva zaštite sistemskih resursa i stalna administrativna podrška za njihovu upotrebu;
• razgraničenje tokova informacija i zabrana prijenosa informacija ograničene distribucije nezaštićenim komunikacijskim kanalima;
• efikasna kontrola usklađenosti zaposlenih sa zahtjevima sigurnosti informacija;
• stalni nadzor mrežni resursi, identifikaciju ranjivosti, pravovremeno otkrivanje i neutraliziranje vanjskih i unutrašnjih prijetnji po sigurnost računarske mreže;
• pravna zaštita interesa organizacije od nezakonitih radnji u oblasti bezbednosti informacija.
• provođenje kontinuirane analize efikasnosti i dovoljnosti preduzetih mjera i sredstava zaštite informacija, razvoj i implementacija prijedloga za poboljšanje sistema zaštite informacija u nuklearnoj elektrani.

6 prijetnji sigurnosti informacija

6.1. Prijetnje sigurnosti informacija i njihovi izvori

Najopasnije prijetnje sigurnosti informacija obrađenih u nuklearnoj elektrani su:

• kršenje povjerljivosti ( otkrivanje, curenje) podatke koji predstavljaju službenu ili poslovnu tajnu, uključujući lične podatke;
• neispravan ( neorganizovanost rada) AU, blokiranje informacija, kršenje tehnoloških procesa, ometanje pravovremenog rješavanja problema;
• povreda integriteta ( izobličenje, zamjena, uništenje) informacije, softver i drugi izvori AU.

Glavni izvori prijetnji po sigurnost informacija o NEK su:

• štetni događaji prirodne prirode i one koje je stvorio čovjek;
• teroristi, kriminalci;
• kompjuterski kibernetički kriminalci koji izvode ciljane destruktivne radnje, uključujući upotrebu računarski virusi i druge vrste zlonamjernih kodova i napada;
• dobavljači softverskih i hardverskih alata, potrošnog materijala, usluga itd.;
• izvođači radova koji izvode ugradnju, puštanje u rad i popravak opreme;
• nepoštivanje zahtjeva nadzornih i regulatornih tijela, važećeg zakonodavstva;
• kvarovi, kvarovi, uništavanje / oštećenje softvera i hardvera;
• zaposleni koji su zakonski učesnici u procesima u AU i djeluju izvan opsega dodijeljenih ovlaštenja;
• zaposleni koji su zakonski učesnici u procesima u AU i djeluju u okviru danih ovlaštenja.

6.2. Nenamjerne radnje koje dovode do kršenja sigurnosti informacija i mjere za njihovo sprječavanje

Zaposleni u organizaciji koji imaju direktan pristup procesima obrade informacija u AU potencijalni su izvor nenamjernih slučajnih radnji koje mogu dovesti do narušavanja informacijske sigurnosti.

Velike neplanirane radnje koje dovode do narušavanja informacijske sigurnosti (radnje koje ljudi izvode slučajno, iz neznanja, nepažnje ili nemara, iz znatiželje, ali bez zlonamjerne namjere) i mjere za sprječavanje takvih radnji i minimiziranje štete koju uzrokuju Tabela 1.

Tabela 1

Glavne radnje koje vode do povrede informacijske sigurnosti
Radnje zaposlenika koje dovode do djelomičnog ili potpunog kvara sistema ili prekida rada hardvera ili softvera; isključenje opreme ili promjena načina rada uređaja i programa; uništavanje informacionih izvora sistema ( nenamjerno oštećenje opreme, brisanje, izobličenje programa ili datoteka iz važna informacija, uključujući sistemske, oštećenja komunikacijskih kanala, nenamjerno oštećenje nosača informacija itd.)	Organizacione mere ( ). Korišćenje fizičkih sredstava za sprečavanje nenamernog izvršenja prekršaja. Primjena tehničkih ( hardver i softver) sredstva za razlikovanje pristupa resursima. Rezervacija kritičnih resursa.
Neovlašteno pokretanje programa koji, ako se koriste nenadležno, mogu uzrokovati gubitak performansi sistema ( zamrzavanje ili petlje) ili izvođenje nepovratnih promjena u sistemu ( formatiranje ili restrukturiranje medija za pohranu, brisanje podataka itd.)	Organizacione mere ( uklanjanje svih potencijalno opasnih programa s radne stanice). Primjena tehničkih ( hardver i softver) sredstva za razlikovanje pristupa programima na radnoj stanici.
Neovlašteno uvođenje i korištenje nezabilježenih programa ( igre na sreću, obuku, tehnološke i druge stvari koje nisu potrebne zaposlenicima za obavljanje službenih dužnosti) sa naknadnim nerazumnim rasipanjem resursa ( procesorsko vrijeme, memorija sa slučajnim pristupom, memorija na vanjskim medijima itd.)	Organizacione mere ( uvođenje zabrana). Primjena tehničkih ( hardver i softver) znači sprječavanje neovlaštenog uvođenja i korištenja nezabilježenih programa.
Nenamerna virusna infekcija vašeg računara	Organizacione mere ( regulisanje radnji, uvođenje zabrana). Tehnološke mjere ( korištenje posebnih programa za otkrivanje i uništavanje virusa). Korištenje hardverskih i softverskih alata koji sprječavaju infekciju računarskim virusima.
Otkrivanje, prijenos ili gubitak atributa kontrole pristupa ( lozinke, ključevi za šifriranje ili elektronski potpis, identifikacijske kartice, propusnice itd.)	Organizacione mere ( regulisanje radnji, uvođenje zabrana, jačanje odgovornosti). Korištenje fizičkih sredstava radi osiguranja sigurnosti navedenih detalja.
Zanemarivanje organizacionih ograničenja ( utvrđena pravila) prilikom rada u sistemu	Organizacione mere ( ). Upotreba dodatnih fizičko -tehničkih sredstava zaštite.
Nestručna upotreba, podešavanje ili neprikladno onemogućavanje zaštitne opreme od strane sigurnosnog osoblja	Organizacione mere ( obuka osoblja, jačanje odgovornosti i kontrole).
Unos pogrešnih podataka	Organizacione mere ( povećana odgovornost i kontrola). Tehnološke mjere za kontrolu grešaka operatora unosa podataka.

6.3. Namerne radnje kojima se krši bezbednost informacija i mere za njihovo sprečavanje

Osnovne namjerne radnje ( u sebične svrhe, pod prisilom, iz želje da se osveti itd.), što dovodi do kršenja informacijske sigurnosti postrojenja, a mjere za njihovo sprječavanje i smanjenje moguće nastale štete date su u Tabela 2.

tabela 2

Glavne namjerne radnje koje vode do narušavanja informacijske sigurnosti	Mjere za sprječavanje prijetnji i minimiziranje štete
Fizičko uništenje ili onesposobljavanje svih ili nekih najvažnijih komponenti automatiziranog sistema ( uređaji, nosioci važnih sistemske informacije, osoblje itd.), isključenje ili onemogućavanje podsistema kako bi se osiguralo funkcioniranje računalnih sistema ( napajanje, komunikacijske linije itd.)	Organizacione mere ( regulisanje radnji, uvođenje zabrana). Upotreba fizičkih sredstava za sprječavanje namjernog kršenja. Rezervacija kritičnih resursa.
Uvođenje agenata u broj osoblja sistema ( uključujući administrativnu grupu odgovornu za sigurnost), zapošljavanje ( podmićivanjem, ucjenama, prijetnjama itd.) korisnici koji imaju određena prava pristupa zaštićenim resursima	Organizacione mere ( odabir, postavljanje i rad sa osobljem, jačanje kontrole i odgovornosti). Automatska registracija akcija osoblja.
Krađa nosača informacija ( ispisi, magnetni diskovi, trake, uređaji za skladištenje i čitavi računari), krađa industrijskog otpada ( ispisi, zapisi, odbačeni mediji itd.)	Organizacione mere ( ).
Neovlašteno kopiranje nosača informacija, čitanje zaostalih informacija iz memorije sa slučajnim pristupom i s vanjskih uređaja za pohranu	Organizacione mere ( organizacija skladištenja i upotrebe medija sa zaštićenim podacima). Primjena tehničkih sredstava za ograničavanje pristupa zaštićenim resursima i automatsku registraciju prijema štampanih kopija dokumenata.
Nezakonito primanje lozinki i drugih detalja o kontroli pristupa ( prikrivenim sredstvima, koristeći nemar korisnika, odabirom, imitirajući sučelje sistema sa oznakama softvera itd.) s naknadnim prerušavanjem u registriranog korisnika.	Organizacione mere ( regulisanje radnji, uvođenje zabrana, rad sa osobljem). Upotreba tehničkih sredstava koja sprečavaju implementaciju programa za presretanje lozinki, ključeva i drugih detalja.
Neovlašteno korištenje AWP -a za korisnike s jedinstvenim fizičkim karakteristikama, kao što su broj radne stanice u mreži, fizička adresa, adresa u komunikacijskom sistemu, hardverska jedinica za šifriranje itd.	Organizacione mere ( stroga regulacija pristupa prostorijama i dozvole za rad na ovim AWP -ovima). Primjena fizičko -tehničkih sredstava kontrole pristupa.
Neovlaštena izmjena softvera - uvođenje softverskih oznaka i virusa ( Trojanski konji i bube), odnosno takve dijelove programa koji nisu potrebni za provedbu deklariranih funkcija, ali omogućuju prevladavanje sigurnosnog sistema, tajni i ilegalni pristup sistemskim resursima radi registracije i prijenosa zaštićenih informacija ili dezorganiziranje funkcioniranja sistem	Organizacione mere ( stroga regulacija prijema na posao). Korištenje fizičkih i tehničkih sredstava za razlikovanje pristupa i sprječavanje neovlaštenih izmjena hardverske i softverske konfiguracije AWP -a. Primjena alata za kontrolu integriteta softvera.
Presretanje podataka koji se prenose komunikacijskim kanalima, njihova analiza radi pribavljanja povjerljivih informacija i pojašnjenja protokola razmjene, pravila za ulazak u mrežu i autoriziranje korisnika, s kasnijim pokušajima imitiranja za prodor u sistem	Fizička zaštita komunikacijskih kanala. Primjena sredstava kriptografske zaštite prenesenih informacija.
Smetnje u procesu funkcioniranja sistema s javnih mreža u svrhu neovlaštene izmjene podataka, pristupa povjerljivim informacijama, neorganiziranja rada podsistema itd.	Organizacione mere ( regulacija povezivanja i rada u javnim mrežama). Upotreba posebnih tehničkih sredstava zaštite ( zaštitni zidovi, sigurnosne kontrole i otkrivanje napada na sistemske resurse itd.).

6.4. Informacije cure kroz tehničke kanale

Tokom rada tehničkih sredstava NEK mogući su sljedeći kanali curenja ili povrede integriteta informacija, narušavanja performansi tehničkih sredstava:

• bočno elektromagnetsko zračenje informativnog signala sa tehničkih sredstava i dalekovoda;
• preuzimanje informativnog signala, obrađenog elektroničkim računalima, do žica i linija koje nadilaze kontrolirano područje ureda, uklj. na krugovima uzemljenja i napajanja;
• razni elektronički uređaji za presretanje informacija ( uklj. "Oznake") povezani sa komunikacionim kanalima ili tehničkim sredstvima za obradu informacija;
• pregled informacija s ekrana i drugih načina prikazivanja pomoću optičkih sredstava;
• uticaj na hardver ili softver radi povrede integriteta ( uništavanje, izobličenje) informacije, operativnost tehničkih sredstava, sredstva sigurnosti informacija i pravovremenost razmjene informacija, uključujući elektromagnetske, putem posebno uvedenih elektronskih i softverskih alata ( "Oznake").

Uzimajući u obzir specifičnosti obrade i osiguravanje sigurnosti informacija, prijetnju curenjem povjerljivih informacija ( uključujući lične podatke) putem tehničkih kanala nisu bitni za organizaciju.

6.5. Neformalni model vjerovatnog uljeza

Počinitelj je osoba koja je pokušala izvesti zabranjene radnje ( akcija) greškom, neznanjem ili namjerno sa zloćom ( iz privatnih interesa) ili bez njega ( radi igre ili zadovoljstva, radi samopotvrđivanja itd.) i za to koriste različite mogućnosti, metode i sredstva.

Sistem zaštite NPP trebao bi se temeljiti na pretpostavkama o sljedećim mogućim vrstama prekršitelja u sistemu ( uzimajući u obzir kategoriju osoba, motivaciju, kvalifikacije, dostupnost posebnih sredstava itd.):

• « Neiskusan (nepažljiv) korisnik»- zaposlenik koji može pokušati izvršiti zabranjene operacije, pristupiti zaštićenim resursima AU-a iznad svojih ovlaštenja, unijeti netočne podatke itd. radnje greškom, nesposobnošću ili nemarom bez zlonamjerne namjere i koristeći samo standard ( njemu na raspolaganju) hardver i softver.
• « Ljubavnik"- zaposlenik koji pokušava nadvladati odbrambeni sistem bez sebičnih ciljeva i zlonamjerne namjere, radi samopotvrđivanja ili od" sportsko interesovanje". On može upotrijebiti kako bi prevladao sistem zaštite i počinio zabranjene radnje različite metode dobijanje dodatnih ovlaštenja za pristup resursima ( imena, lozinke itd. drugim korisnicima), nedostaci u izgradnji sistema zaštite i raspoloživo osoblje ( instaliran na radnoj stanici) programi ( neovlaštene radnje prekoračenjem ovlaštenja za korištenje dozvoljenih sredstava). Osim toga, mogao bi pokušati koristiti dodatni nestandardni instrumentalni i tehnološki softver ( otklanjanje grešaka, uslužni programi), samostalno razvijene programe ili standardna dodatna tehnička sredstva.
• « Scammer"- zaposlenik koji može pokušati izvesti ilegalne tehnološke operacije, unijeti lažne podatke i slične radnje u sebične svrhe, pod prisilom ili iz zlonamjerne namjere, ali koristeći samo redovne ( instaliran na radnoj stanici i dostupan mu) hardver i softver u svoje ime ili u ime drugog zaposlenika ( poznavanje njegovog imena i lozinke, korištenje njegovog kratkotrajnog odsustva s radnog mjesta itd.).
• « Vanjski uljez (uljez)»- autsajder ili bivši zaposlenik koji se namjerno ponaša iz sebičnih interesa, iz osvete ili znatiželje, moguće u dosluhu s drugima. Može upotrijebiti cijeli skup metoda narušavanja sigurnosti informacija, metode i sredstva za razbijanje sigurnosnih sistema tipičnih za javne mreže ( posebno mreže zasnovane na IP-u), uključujući daljinsku implementaciju oznaka softvera i upotrebu posebnih instrumentalnih i tehnoloških programa, koristeći postojeće slabosti protokola razmjene i sistema zaštite mrežnih čvorova AS -a organizacije.
• « Interni napadač»- zaposlenik registriran kao korisnik sistema, koji se namjerno ponaša iz sebičnih interesa ili osvete, moguće u dosluhu s osobama koje nisu zaposlenici organizacije. Može koristiti cijeli skup metoda i sredstava hakiranja sigurnosnog sistema, uključujući prikrivene metode dobivanja podataka o pristupu, pasivna sredstva (tehnička sredstva presretanja bez izmjene komponenti sistema), metode i sredstva aktivnog utjecaja ( izmjena tehničkih sredstava, povezivanje s kanalima za prijenos podataka, uvođenje oznaka softvera i korištenje posebnih instrumentalnih i tehnoloških programa), kao i kombinaciju utjecaja iznutra i iz javnih mreža.

Insajder može biti osoba iz sljedećih kategorija osoblja:

• registrirani krajnji korisnici AU ( zaposleni u odjeljenjima i podružnicama);
• radnicima nije dozvoljeno da rade sa AU;
• osoblje koje servisira tehnička sredstva nuklearne elektrane ( inženjeri, tehničari);
• zaposlenici odjela za razvoj i održavanje softvera ( aplikatori i sistemski programeri);
• tehničko osoblje koje opslužuje zgrade i prostorije organizacije ( čistači, električari, vodoinstalateri i drugi radnici koji imaju pristup zgradama i prostorijama u kojima se nalaze komponente zvučnika);
• vođe različitih nivoa.

• otpušteni radnici;
• predstavnici organizacija koji komuniciraju o pitanjima osiguranja života organizacije ( snabdijevanje energijom, vodom, toplinom itd.);
• predstavnici firmi koje isporučuju opremu, softver, usluge itd .;
• članovi kriminalnih organizacija i konkurentskih komercijalnih struktura ili osobe koje djeluju u njihovo ime;
• osobe koje su slučajno ili namjerno ušle u mrežu s vanjskih mreža ( "Hakeri").

Korisnici i osoblje za održavanje među radnicima imaju najveće mogućnosti za provođenje neovlaštenih radnji, zbog određenog ovlaštenja za pristup resursima i dobro znanje tehnologije za obradu informacija. Radnje ove grupe prekršitelja izravno su povezane s kršenjem postojećih pravila i propisa. Ova grupa nasilnika posebno je opasna u interakciji sa kriminalnim strukturama.

Otpušteni radnici mogu upotrijebiti svoje znanje o tehnologiji rada, zaštitnim mjerama i pravima pristupa kako bi postigli svoje ciljeve.

Kriminalne strukture predstavljaju najagresivniji izvor vanjskih prijetnji. Za provedbu svojih planova, ove strukture mogu otvoreno kršiti zakon i uključiti zaposlenike organizacije u svoje aktivnosti svim silama i sredstvima koja su im na raspolaganju.

Hakeri imaju najviše tehničke kvalifikacije i znanje o slabostima softvera koji se koristi u AU. Oni predstavljaju najveću prijetnju u interakciji s radnim ili otpuštenim radnicima i kriminalnim strukturama.

Organizacije koje se bave razvojem, nabavkom i popravkom opreme i informacionih sistema predstavljaju vanjsku prijetnju zbog činjenice da povremeno imaju direktan pristup izvorima informacija. Kriminalne strukture mogu koristiti ove organizacije za privremeno zapošljavanje svojih članova radi pristupa zaštićenim informacijama.

7. Tehnička politika u oblasti bezbjednosti informacija

7.1. Glavne odredbe tehničke politike

Implementacija tehničke politike u oblasti bezbjednosti informacija mora polaziti od premise da je nemoguće osigurati potreban nivo bezbjednosti informacija ne samo uz pomoć jednog zasebnog sredstva ( aktivnost), ali i uz njihovu jednostavnu kombinaciju. Njihova međusobna sistemska koordinacija je neophodna ( složena aplikacija), a pojedine razvijene elemente nuklearne elektrane treba smatrati dijelom jedinstvenog informacijskog sustava u zaštićenom dizajnu sa optimalan odnos tehnički ( hardver, softver) sredstva i organizacione mjere.

Glavni pravci provedbe tehničke politike za osiguranje sigurnosti informacija o NEK su osigurati zaštitu izvora informacija od krađe, gubitka, curenja, uništenja, iskrivljenja ili krivotvorenja zbog neovlaštenog pristupa i posebnih utjecaja.

U okviru navedenih pravaca tehničke politike za osiguranje sigurnosti informacija, provode se:

• implementacija sistema izdavanja dozvola za prijem izvođača ( korisnici, uslužno osoblje) na radove, dokumente i informacije povjerljive prirode;
• ograničavanje pristupa izvođača i neovlaštenih osoba zgradama i prostorijama u kojima se izvode povjerljivi radovi i na kojima se nalaze sredstva za informatizaciju i komunikaciju ( uskladišteno, preneseno) informacije povjerljive prirode, direktno do samih sredstava informatizacije i komunikacije;
• diferencijacija pristupa korisnika i uslužnog osoblja informacijskim izvorima, softveru za obradu i zaštitu informacija u podsustavima različitih nivoa i namjena uključenih u AU;
• registracija dokumenata, nizova informacija, registracija radnji korisnika i uslužnog osoblja, kontrola neovlaštenog pristupa i radnji korisnika, uslužnog osoblja i neovlaštenih osoba;
• sprečavanje uvođenja virusnih programa, oznaka softvera u automatizovane podsisteme;
• kriptografska zaštita informacija obrađenih i prenesenih računalnom tehnologijom i komunikacijama;
• pouzdano skladištenje strojnih medija za pohranu, kriptografskih ključeva ( ključne informacije) i njihov promet, isključujući krađu, zamjenu i uništavanje;
• neophodna rezervacija tehničkih sredstava i dupliranje niza i nosača informacija;
• smanjenje nivoa i sadržaja informacija o lažnim emisijama i hvatačima koje stvaraju različiti elementi automatiziranih podsistema;
• električna izolacija krugova napajanja, uzemljenja i drugih krugova objekata informatizacije koji nadilaze kontrolirano područje;
• suprotstavljanje optičkim i laserskim sredstvima opažanja.

7.2. Formiranje režima bezbjednosti informacija

Uzimajući u obzir identificirane prijetnje po sigurnost NPP -a, režim sigurnosti informacija trebao bi se formirati kao skup metoda i mjera za zaštitu informacija koje kruže NPP -om i pratećom infrastrukturom od slučajnih ili namjernih utjecaja prirodne ili umjetne prirode, što uključuje oštećenje vlasnika ili korisnika informacija.

Skup mjera za formiranje režima bezbjednosti informacija uključuje:

• uspostavljanje organizacionog i pravnog režima bezbjednosti informacija u automatizovanom sistemu ( regulatorni dokumenti, rad s osobljem, uredski poslovi);
• sprovođenje organizacionih i tehničkih mjera za zaštitu informacija ograničene distribucije od curenja putem tehničkih kanala;
• organizacijske i softversko-tehničke mjere za sprječavanje neovlaštenih radnji ( pristup) informacionim izvorima AU;
• skup mjera za kontrolu funkcioniranja sredstava i sistema za zaštitu informacionih izvora ograničene distribucije nakon slučajnih ili namjernih udara.

8. Mjere, metode i sredstva sigurnosti informacija

8.1. Organizacione mere

Organizacione mere- ovo su organizacijske mjere koje reguliraju procese funkcioniranja NE, korištenje njihovih resursa, aktivnosti osoblja za održavanje, kao i postupak interakcije korisnika sa sistemom na način koji najviše komplicira ili isključuje mogućnost implementacije sigurnosnih prijetnji i smanjenja količine štete u slučaju njihove implementacije.

8.1.1. Formiranje sigurnosne politike

Glavni cilj organizacionih mjera je formiranje politike u oblasti bezbjednosti informacija, koja odražava pristupe zaštiti informacija, te osigurati njenu implementaciju dodjelom potrebnih resursa i praćenjem stanja stvari.

S praktične tačke gledišta, sigurnosnu politiku NEK treba podijeliti na dva nivoa. Viši nivo uključuje odluke koje utiču na aktivnosti organizacije u cjelini. Primjer takvih rješenja može biti:

• formiranje ili revizija sveobuhvatnog programa za sigurnost informacija, određivanje odgovornih za njegovu implementaciju;
• formulisanje ciljeva, postavljanje ciljeva, definisanje oblasti djelovanja u oblasti bezbjednosti informacija;
• donošenje odluka o implementaciji programa sigurnosti, koje se razmatraju na nivou organizacije u cjelini;
• pružanje regulatornih ( legalno) bazu sigurnosnih pitanja itd.

Politika nižeg nivoa definira procedure i pravila za postizanje ciljeva i rješavanje problema sigurnosti informacija te detaljno (regulira) ova pravila:

• koji je opseg politike zaštite informacija;
• koje su uloge i odgovornosti službenika odgovornih za sprovođenje politike bezbjednosti informacija;
• ko ima pravo pristupa ograničenim informacijama;
• ko i pod kojim uslovima može čitati i mijenjati informacije itd.

Politika nižeg nivoa trebala bi:

• osigurati uređivanje odnosa s informacijama, isključujući mogućnost proizvoljnih, monopolističkih ili neovlaštenih radnji u vezi s povjerljivim izvorima informacija;
• definirati koalicione i hijerarhijske principe i metode za razmjenu tajni i ograničavanje pristupa informacijama ograničene distribucije;
• biraju softverska i hardverska sredstva kriptografske zaštite, suprotstavljanja neovlaštenom pristupu, provjeru autentičnosti, autorizaciju, identifikaciju i druge zaštitne mehanizme koji pružaju garancije za ostvarivanje prava i odgovornosti subjekata informacijskih odnosa.

8.1.2. Regulacija pristupa tehničkim sredstvima

Rad sigurnih automatiziranih radnih stanica i poslužitelja Banke mora se izvoditi u prostorijama opremljenim pouzdanim automatskim bravama, alarmima i stalno čuvanim ili nadziranim, isključujući mogućnost nekontroliranog ulaska u prostorije neovlaštenih osoba i osiguravajući fizičku sigurnost zaštićenih resursa koji se nalazi u prostorijama ( AWP, dokumenti, detalji pristupa itd.). Postavljanje i instaliranje tehničkih sredstava takvih AWP -ova trebalo bi isključiti mogućnost vizualnog pregledavanja unosa ( povučen) informacije osoba koje nisu u vezi s tim. Čišćenje prostorija sa ugrađenom opremom treba obaviti u prisustvu odgovorne osobe, kojoj su dodijeljena ova tehnička sredstva, ili osobe na dužnosti u jedinici, u skladu s mjerama koje isključuju neovlašteni pristup zaštićenim resursima.

Tokom obrade ograničenih informacija, samo osoblje ovlašteno za rad s tim podacima treba biti prisutno u prostorijama.

Na kraju radnog dana, prostorije sa instaliranim zaštićenim radnim stanicama moraju se predati pod zaštitu.

Za skladištenje uredskih dokumenata i mašinskih medija sa zaštićenim podacima, zaposlenici su opremljeni metalnim ormarićima, kao i sredstvima za uništavanje dokumenata.

Tehnička sredstva koja se koriste za obradu ili pohranu povjerljivih informacija moraju biti zapečaćena.

8.1.3. Regulacija prijema zaposlenih u upotrebu informacionih izvora

U okviru sistema dozvoljenog prijema utvrđeno je: ko, kome, koje informacije i za koju vrstu pristupa se može pružiti i pod kojim uslovima; sistem kontrole pristupa, koji pretpostavlja definiciju za sve korisnike AU informacija i softverskih resursa koji su im na raspolaganju za određene operacije ( čitati, pisati, mijenjati, brisati, izvršavati) pomoću navedenih softverskih i hardverskih alata za pristup.

Prijem radnika na rad u AU i pristup njihovim resursima moraju biti strogo regulisani. Sve promjene u sastavu i ovlašćenjima korisnika podsistema AU treba izvršiti u skladu sa utvrđenom procedurom.

Glavni korisnici informacija u AU -u su zaposlenici strukturnih odjela organizacije. Nivo ovlaštenja za svakog korisnika određuje se pojedinačno, poštujući sljedeće zahtjeve:

• otvorene i povjerljive informacije stavljaju se, kad god je to moguće, na različite servere;
• svaki zaposlenik koristi samo ona prava koja su mu propisana u vezi s podacima s kojima treba raditi u skladu sa svojim poslovnim obavezama;
• šef ima pravo pregledati podatke svojih podređenih;
• najkritičnije tehnološke operacije treba izvesti prema pravilu "U dve ruke"- ispravnost unetih podataka potvrđuje drugo službeno lice koje nema pravo na unos podataka.

Svi zaposlenici koji su primljeni na rad u NEK i osoblje za održavanje NE moraju biti lično odgovorni za kršenje utvrđene procedure za automatiziranu obradu informacija, pravila za skladištenje, korištenje i prijenos zaštićenih resursa sistema koji im stoje na raspolaganju. Prilikom zapošljavanja svaki zaposlenik mora potpisati Obavezu o poštivanju zahtjeva za čuvanje povjerljivih informacija i odgovornosti za njihovo kršenje, kao i o poštivanju pravila rada sa zaštićenim podacima u AU.

Obrada zaštićenih informacija u podsustavima AU mora se provoditi u skladu s odobrenim tehnološkim uputama ( naređenja) za ove podsisteme.

Za korisnike, zaštićene radne stanice, potrebno je razviti potrebna tehnološka uputstva, uključujući zahtjeve za osiguranje sigurnosti informacija.

8.1.4. Reguliranje procesa održavanja baza podataka i izmjene izvora informacija

Sve operacije održavanja baza podataka u AU i prijema radnika u rad s tim bazama podataka moraju biti strogo regulirane. Sve promjene u sastavu i ovlašćenjima korisnika baza podataka AU moraju se izvršiti u skladu sa utvrđenom procedurom.

Distribucija imena, generisanje lozinki, održavanje pravila za različit pristup bazama podataka povjereno je zaposlenima u Odjeljenju za informacione tehnologije. U ovom slučaju mogu se koristiti i standardna i dodatna sredstva za zaštitu DBMS -a i operativnih sistema.

8.1.5. Regulacija procesa održavanja i izmjena hardverskih i softverskih resursa

Sistemski resursi koje treba zaštititi ( zadaci, programi, AWP) podliježu strogom računovodstvu ( na osnovu upotrebe odgovarajućih obrazaca ili specijalizovanih baza podataka).

Hardverska i softverska konfiguracija automatiziranih radnih stanica, gdje se obrađuju zaštićene informacije ili s kojih je moguć pristup zaštićenim resursima, mora odgovarati rasponu funkcionalnih dužnosti dodijeljenih korisnicima ovog AWP -a. Svi nekorišteni (nepotrebni) ulazno-izlazni uređaji ( COM, USB, LPT portovi, disketne jedinice, CD i drugi mediji za skladištenje) na takvim AWP -ovima moraju biti onemogućeni (izbrisani), nepotrebni softver i podaci s AWS diskova također se moraju izbrisati.

Radi pojednostavljenja održavanja, održavanja i organizacije zaštite, radne stanice trebaju biti opremljene softverom i konfigurirane na jedinstven način ( u skladu sa utvrđenim pravilima).

Puštanje u rad novih AWP -ova i sve promjene u konfiguraciji hardvera i softvera, postojeće AWP -ove u AS -u organizacije treba provoditi samo utvrđenim redoslijedom.

Sav softver ( razvili stručnjaci organizacije, pribavljeni ili nabavljeni od proizvođača) treba testirati u skladu sa utvrđenom procedurom i prenijeti u depozitar programa organizacije. U podsisteme AU -a treba instalirati i koristiti samo softver koji je primljen od depozitara u skladu s utvrđenom procedurom. Upotrebu softvera u AS -u koji nije uključen u skladište softvera trebalo bi zabraniti.

Razvoj softvera, testiranje razvijenog i kupljenog softvera, prijenos softvera u rad treba izvršiti u skladu sa utvrđenom procedurom.

8.1.6. Obuka i obrazovanje korisnika

Prije nego što omoguće pristup AU -u, njegovi korisnici, kao i rukovodstvo i osoblje za održavanje, moraju se upoznati sa popisom povjerljivih informacija i njihovim nivoom ovlaštenja, kao i sa organizacionom i administrativnom, regulatornom, tehničkom i operativnom dokumentacijom koja određuje zahtjeve i postupak za obradu takvih informacija.

Zaštita informacija u svim gore navedenim područjima moguća je tek nakon što su korisnici razvili određenu disciplinu, tj. norme koje obavezuju sve koji rade u AU. Ove norme uključuju zabranu bilo kakvih namjernih ili nenamjernih radnji koje ometaju normalan rad AU -a, uzrokuju dodatne troškove resursa, narušavaju integritet pohranjenih i obrađenih informacija, krše interese legitimnih korisnika.

Svi zaposlenici koji tijekom rada koriste određene podsustave nuklearnih elektrana moraju biti upoznati s organizacijskim i administrativnim dokumentima za zaštitu nuklearne elektrane u dijelu koji ih se tiče, moraju poznavati i strogo se pridržavati tehnoloških uputa i općih dužnosti kako bi se osigurala sigurnost informacije. Dovođenje zahtjeva ovih dokumenata do osoba primljenih u obradu zaštićenih podataka trebale bi izvršiti šefovi odjela protiv njihovog potpisa.

8.1.7. Odgovornost za kršenje zahteva o bezbednosti podataka

Za svako ozbiljno kršenje zahtjeva sigurnosti podataka od strane zaposlenika organizacije, treba provesti službenu istragu. Moraju se poduzeti odgovarajuće mjere protiv počinilaca. Stupanj odgovornosti osoblja za radnje počinjene protivno utvrđenim pravilima za osiguranje sigurne automatizirane obrade informacija trebao bi biti određen uzrokovanom štetom, prisutnošću zlonamjerne namjere i drugim faktorima.

Za primjenu načela lične odgovornosti korisnika za njihove radnje potrebno je:

• individualna identifikacija korisnika i procesi koje su oni pokrenuli, tj. uspostavljanje identifikatora za njih, na osnovu kojeg će se pristup razlikovati u skladu s načelom valjanosti pristupa;
• autentifikacija korisnika ( autentifikacija) na osnovu lozinki, ključeva na različitim fizičkim osnovama itd.;
• registracija ( evidentiranje) rad mehanizama za kontrolu pristupa resursima informacionog sistema, sa naznakom datuma i vremena, identifikatorima resursa koji su tražili i tražili, vrstu interakcije i njen rezultat;
• reakcija na pokušaje neovlaštenog pristupa ( alarm, blokiranje itd.).

8.2. Tehnička sredstva zaštite

Tehnički ( hardver i softver) sredstva zaštite - različiti elektronički uređaji i posebni programi koji su dio AU -a i obavljaju (samostalno ili u kombinaciji s drugim sredstvima) zaštitne funkcije ( identifikaciju i autentifikaciju korisnika, diferencijaciju pristupa resursima, registraciju događaja, kriptografsku zaštitu informacija itd.).

Uzimajući u obzir sve zahtjeve i principe osiguranja sigurnosti informacija u nuklearnoj elektrani u svim područjima zaštite, sljedeća sredstva trebaju biti uključena u sistem zaštite:

• sredstva za autentifikaciju korisnika i elemenata zvučnika ( terminali, zadaci, stavke baze podataka itd.) koji odgovaraju stepenu povjerljivosti informacija i obrađenih podataka;
• sredstva za ograničavanje pristupa podacima;
• sredstva kriptografske zaštite informacija u linijama za prijenos podataka i u bazama podataka;
• sredstva za registraciju prometa i kontrolu upotrebe zaštićenih informacija;
• način reagiranja na otkrivene pokušaje neovlaštenog ili neovlaštenog mijenjanja podataka;
• sredstva za smanjenje nivoa i sadržaja informacija lažnih emisija i sakupljača;
• sredstva zaštite od optičkih sredstava posmatranja;
• zaštita od virusa i zlonamjernog softvera;
• sredstva za električno razdvajanje i AC elemenata i strukturnih elemenata prostorija u kojima se oprema nalazi.

Tehnička sredstva zaštite od neovlaštenih napada odgovorna su za rješavanje sljedećih glavnih zadataka:

• identifikaciju i autentifikaciju korisnika pomoću imena i / ili posebnog hardvera ( Dodirnite Memorija, pametna kartica itd.);
• regulacija pristupa korisnika fizičkim uređajima radnih stanica ( diskovi, ulazno-izlazni portovi);
• selektivna (diskreciona) kontrola pristupa logičkih pogona, direktorije i datoteke;
• autoritativno (obavezno) razlikovanje pristupa zaštićenim podacima na radnoj stanici i na serveru datoteka;
• stvaranje zatvorenog softversko okruženje dozvoljeno pokretanje programa koji se nalaze i na lokalnim i na mrežnim pogonima;
• zaštita od prodora računalnih virusa i zlonamjernog softvera;
• kontrola integriteta modula zaštitnog sistema, sistemskih područja diska i proizvoljnih lista datoteka u automatski način rada i naredbama administratora;
• registracija korisničkih radnji u sigurnom dnevniku, postojanje nekoliko nivoa registracije;
• zaštita sistema za zaštitu podataka na datotečnom serveru od pristupa svih korisnika, uključujući administratora mreže;
• centralizirano upravljanje postavkama sredstava diferencijacije pristupa na radnim stanicama mreže;
• registracija svih neovlaštenih događaja na radnim stanicama;
• operativnu kontrolu nad radom korisnika mreže, promjenu načina rada radnih stanica i mogućnost blokiranja ( ako je potrebno) bilo koju stanicu na mreži.

Uspješna primjena tehničkih sredstava zaštite pretpostavlja da se ispunjenje dolje navedenih zahtjeva osigurava organizacijskim mjerama i fizičkim sredstvima zaštite koja se koriste:

• osiguran je fizički integritet svih komponenti AU;
• svaki zaposleni ( korisnik sistema) ima jedinstveno ime sistema i minimalna ovlaštenja za pristup sistemskim resursima neophodnim za obavljanje njegovih funkcionalnih dužnosti;
• korištenje instrumentalnih i tehnoloških programa na radnim stanicama ( uslužni programi za testiranje, otklanjanje grešaka itd.), koji dopušta pokušaje hakiranja ili zaobilaženja sigurnosnih mjera, ograničen je i strogo reguliran;
• u zaštićenom sistemu nema korisnika programiranja, a razvoj i otklanjanje grešaka u programima se vrši izvan zaštićenog sistema;
• sve promjene u konfiguraciji hardvera i softvera vrše se na strogo utvrđen način;
• mrežni hardver ( čvorišta, prekidači, usmjerivači itd.) se nalazi na mjestima nedostupnim strancima ( posebne sobe, plakari itd.);
• služba za zaštitu informacija vrši kontinuirano upravljanje i administrativnu podršku za funkcionisanje alata za zaštitu informacija.

8.2.1. Alati za identifikaciju i autentifikaciju korisnika

Kako bi se spriječio pristup neovlaštenih osoba AU -u, potrebno je osigurati da sistem može prepoznati svakog legitimnog korisnika (ili ograničene grupe korisnika). Da biste to učinili, u sistemu ( na zaštićenom mestu) treba pohraniti brojne atribute svakog korisnika pomoću kojih se ovaj korisnik može identificirati. Ubuduće se prilikom ulaska u sistem, a po potrebi i prilikom izvršavanja određenih radnji u sistemu, korisnik dužan identificirati, tj. označite identifikator koji mu je dodijeljen u sistemu. Osim toga, za identifikaciju se mogu koristiti različite vrste uređaja: magnetske kartice, ključevi, diskete itd.

Autentifikacija ( potvrda autentičnosti) korisnika treba biti izvedeno na osnovu upotrebe lozinki (tajnih riječi) ili posebnih sredstava autentifikacije, provjere jedinstvenih karakteristika (parametara) korisnika.

8.2.2. Sredstva za ograničavanje pristupa resursima automatizovanog sistema

Nakon prepoznavanja korisnika, sistem mora autorizirati korisnika, odnosno odrediti koja prava se dodjeljuju korisniku, tj. koje podatke i kako može koristiti, koje programe može izvršavati, kada, koliko dugo i s kojih terminala može raditi, koje sistemske resurse može koristiti itd. Autorizaciju korisnika treba izvršiti pomoću sljedećih mehanizama kontrole pristupa:

• mehanizmi selektivne kontrole pristupa zasnovani na upotrebi shema atributa, lista dozvola itd .;
• autoritativni mehanizmi kontrole pristupa zasnovani na upotrebi oznaka povjerljivosti resursa i nivoa pristupa korisnika;
• mehanizmi za pružanje zatvorenog okruženja pouzdanog softvera ( pojedinačno za svakog korisnika liste dozvoljenih programa za izvođenje) podržano mehanizmima za identifikaciju i provjeru autentičnosti korisnika prilikom prijavljivanja na sistem.

Područja odgovornosti i zadaci posebnih tehničkih sredstava zaštite utvrđuju se na osnovu njihovih sposobnosti i karakteristika performansi opisanih u dokumentaciji za ta sredstva.

Tehnička sredstva za kontrolu pristupa trebaju biti sastavni dio jedinstvenog sistema kontrole pristupa:

• u kontrolisano područje;
• u odvojenim prostorijama;
• elementima AU i elementima sistema za zaštitu informacija ( fizički pristup);
• u resurse AU ( matematički pristup);
• do skladišta informacija ( mediji za pohranu, sveske, datoteke, skupovi podataka, arhive, reference, zapisi itd.);
• do aktivnih resursa ( aplikacijski programi, zadaci, obrasci zahtjeva itd.);
• na operativni sistem, sistemske programe i sigurnosni programi itd.

8.2.3. Načini osiguranja i praćenja integriteta softvera i izvora informacija

Kontrola integriteta programa, obrađenih informacija i zaštitnih sredstava, kako bi se osigurala nepromjenjivost softverskog okruženja, određena ponuđenom tehnologijom obrade, i zaštita od neovlaštenog ispravljanja informacija:

• sredstva za izračunavanje kontrolnih suma;
• elektronskim potpisom;
• sredstva za upoređivanje kritičnih resursa sa njihovim glavnim kopijama ( i oporavak u slučaju povrede integriteta);
• sredstva za kontrolu pristupa ( odbijanje pristupa s pravima izmjene ili brisanja).

Kako bi se informacije i programi zaštitili od neovlaštenog uništavanja ili izobličenja, potrebno je osigurati:

• dupliranje sistemskih tabela i podataka;
• dupleksiranje i preslikavanje podataka na diskove;
• praćenje transakcija;
• periodično praćenje integriteta operativnog sistema i korisničkih programa, kao i korisničkih datoteka;
• antivirusna zaštita i kontrola;
• pravljenje rezervnih kopija podataka prema već utvrđenoj šemi.

8.2.4. Kontrole sigurnosnih događaja

Kontrole bi trebale osigurati da svi događaji ( radnje korisnika, pokušaji neovlaštenih osoba itd.), što može dovesti do kršenja sigurnosne politike i dovesti do pojave kriznih situacija. Kontrole bi trebale omogućiti:

• stalni nadzor ključnih čvorova mreže i komunikacijske opreme koja stvara mrežu, kao i mrežne aktivnosti u ključnim segmentima mreže;
• kontrola nad korištenjem korporativnih i javnih mrežnih usluga od strane korisnika;
• održavanje i analiza evidencija sigurnosnih događaja;
• pravovremeno otkrivanje vanjskih i unutrašnjih prijetnji sigurnosti informacija.

Prilikom registracije sigurnosnih događaja u sistemski dnevnik treba zabilježiti sljedeće podatke:

• datum i vrijeme događaja;
• identifikator predmeta ( korisnik, program) obavljanje registrovane radnje;
• akcija ( ako je registriran zahtjev za pristup, tada se označavaju objekt i vrsta pristupa).

Kontrole bi trebale moći otkriti i zabilježiti sljedeće događaje:

• prijava korisnika u sistem;
• prijava korisnika na mrežu;
• neuspješno prijavljivanje ili pokušaj mreže ( netačna lozinka);
• veza sa serverom datoteka;
• pokretanje programa;
• završetak programa;
• pokušaj pokretanja programa koji nije dostupan za pokretanje;
• pokušaj pristupa nedostupnom direktoriju;
• pokušaj čitanja / pisanja informacija s diska nedostupnog korisniku;
• pokušaj pokretanja programa s diska koji je nedostupan korisniku;
• povreda integriteta programa i podataka sistema zaštite itd.

Treba podržati sljedeće glavne načine reagiranja na otkrivene činjenice neovlaštenih osoba ( moguće uz učešće administratora sigurnosti):

• obavještavanje vlasnika podataka o NSD -u na njegove podatke;
• otkazivanje programa ( zadaci) sa daljim izvršenjem;
• obavještenje administratora baze podataka i administratora sigurnosti;
• odvajanje terminala ( radna stanica), iz kojih je NSD pokušao doći do informacija ili nezakonitih radnji na mreži;
• isključenje počinitelja sa liste registriranih korisnika;
• signalizacija alarma itd.

8.2.5. Sigurnost kriptografskih informacija

Jedan od najvažnijih elemenata informacijskog sigurnosnog sistema nuklearne elektrane trebala bi biti upotreba kriptografskih metoda i sredstava za zaštitu informacija od neovlaštenog pristupa prilikom njihovog prijenosa komunikacijskim kanalima i pohrane na računarskim medijima.

Sva sredstva kriptografske zaštite informacija u AU trebaju biti izgrađena na bazi osnovne kriptografske jezgre. Organizacija mora imati zakonom utvrđene licence za pravo korištenja kriptografskih medija.

Ključni sistem sredstava kriptografske zaštite koji se koriste u AU trebao bi osigurati kriptografsku opstojnost i zaštitu na više nivoa od ugrožavanja ključnih informacija, razdvajanje korisnika po nivoima zaštite i zonama njihove međusobne interakcije i korisnika drugih nivoa.

Zaštita povjerljivosti i imitacije informacija tokom njihovog prenošenja komunikacijskim kanalima trebala bi se osigurati upotrebom pretplatnika i sredstava za šifriranje kanala u sistemu. Kombinacija pretplatničkog i kanalnog šifriranja informacija trebala bi osigurati njihovu end-to-end zaštitu duž čitavog puta prolaska, zaštititi informacije u slučaju njihovog pogrešnog preusmjeravanja zbog kvarova i kvarova na hardveru i softveru komutacijskih centara.

AU, koji je sistem s distribuiranim informacijskim izvorima, mora također koristiti sredstva za generiranje i provjeru elektronskih potpisa kako bi se osigurao integritet i pravno dokazna potvrda autentičnosti poruka, kao i autentifikacija korisnika, pretplatničkih stanica i potvrda vremena slanja poruka. U tom slučaju treba koristiti standardizirane algoritme za elektronički potpis.

8.3. Upravljanje bezbednošću informacija

Upravljanje informacijskim sustavom sigurnosti u nuklearnoj elektrani ciljani je utjecaj na komponente sigurnosnog sustava ( organizacione, tehničke, softverske i kriptografske) kako bi se postigli potrebni pokazatelji i standardi sigurnosti informacija koji kruže NPP -om u kontekstu implementacije glavnih sigurnosnih prijetnji.

Glavni cilj organizacije upravljanja sistemom zaštite informacija je povećanje pouzdanosti zaštite informacija tokom njihove obrade, skladištenja i prenosa.

Upravljanje sistemom informacijske sigurnosti implementira specijalizirani kontrolni podsistem, koji je skup kontrolnih tijela, tehničkih, softverskih i kriptografskih sredstava, kao i organizacionih mjera i interaktivnih kontrolnih tačaka različitih nivoa.

Funkcije upravljačkog podsistema su: informacijske, kontrolne i pomoćne.

Informacijska funkcija sastoji se od stalnog praćenja stanja zaštitnog sustava, provjere usklađenosti sigurnosnih pokazatelja s dopuštenim vrijednostima i neposrednog obavještavanja sigurnosnih operatera o situacijama koje nastaju u nuklearnoj elektrani i koje mogu dovesti do kršenja sigurnosti informacija . Postoje dva zahtjeva za praćenje stanja zaštitnog sistema: potpunost i pouzdanost. Potpunost karakterizira stupanj pokrivenosti svih sredstava zaštite i parametre njihovog funkcioniranja. Pouzdanost kontrole karakteriše stepen adekvatnosti vrijednosti kontrolisanih parametara njihovoj pravoj vrijednosti. Kao rezultat obrade kontrolnih podataka, generiraju se informacije o stanju zaštitnog sustava, koje se generaliziraju i prenose na više kontrolne točke.

Kontrolna funkcija je da formulira planove za provedbu tehnoloških operacija NEK, uzimajući u obzir zahtjeve sigurnosti informacija pod uslovima koji vladaju u datom trenutku, kao i da odredi lokaciju situacije ranjivosti informacija i spriječi njeno curenje do promptno blokiranje dionica NPP -a u kojima se javljaju prijetnje sigurnosti informacija. ... Kontrolne funkcije uključuju računovodstvo, skladištenje i izdavanje dokumenata i nosača informacija, lozinki i ključeva. Istovremeno, generiranje lozinki, ključeva, održavanje objekata za kontrolu pristupa, prihvatanje novih softverskih alata uključenih u AS softversko okruženje, kontrola usklađenosti softverskog okruženja sa standardom, kao i kontrola tehnološkog procesa obrade poverljive informacije se dodeljuju zaposlenima u Odeljenju za informacione tehnologije i Odeljenju za ekonomsku sigurnost.

TO pomoćne funkcije kontrolni podsistemi uključuju računovodstvo svih operacija izvedenih u AU sa zaštićenim podacima, formiranje izvještajnih dokumenata i prikupljanje statističkih podataka radi analize i identifikacije potencijalnih kanala curenja informacija.

8.4. Praćenje efikasnosti sistema zaštite

Praćenje učinkovitosti sistema zaštite informacija provodi se kako bi se na vrijeme identificiralo i spriječilo curenje informacija zbog neovlaštenog pristupa, kao i spriječile moguće posebne radnje usmjerene na uništavanje informacija, uništavanje informacijske tehnologije.

Procjena djelotvornosti mjera zaštite podataka provodi se pomoću organizacijskih, hardverskih i softverskih kontrola u skladu sa utvrđenim zahtjevima.

Kontrola se može vršiti i uz pomoć standardnih sredstava sistema za zaštitu informacija, i uz pomoć posebnih sredstava upravljanja i tehnološkog praćenja.

8.5. Značajke osiguranja informacijske sigurnosti ličnih podataka

Klasifikacija ličnih podataka vrši se u skladu sa ozbiljnošću posljedica gubitka sigurnosnih svojstava ličnih podataka za subjekta ličnih podataka.

• O ličnim podacima ”Posebnim kategorijama ličnih podataka;
• lični podaci klasifikovani u skladu sa Saveznim zakonom " O ličnim podacima ”Biometrijskim ličnim podacima;
• lični podaci koji se ne mogu pripisati posebnim kategorijama ličnih podataka, biometrijski lični podaci, javno dostupni ili anonimni lični podaci;
• lični podaci klasifikovani u skladu sa Saveznim zakonom " O ličnim podacima ”Za javno dostupne ili anonimne lične podatke.

Prijenos osobnih podataka trećoj strani mora se izvršiti na temelju saveznog zakona ili pristanka subjekta osobnih podataka. U slučaju da organizacija povjeri obradu ličnih podataka trećoj strani na osnovu ugovora, bitan uvjet takvog sporazuma je obaveza treće strane da osigura povjerljivost ličnih podataka i sigurnost ličnih podataka tokom njihove obrade.

Organizacija mora prestati obrađivati ​​lične podatke i uništiti prikupljene lične podatke, osim ako zakonodavstvom Ruske Federacije nije drugačije određeno, u rokovima utvrđenim zakonodavstvom Ruske Federacije u sljedećim slučajevima:

• po postizanju ciljeva obrade ili ako nema potrebe za njihovim postizanjem;
• na zahtjev subjekta ličnih podataka ili ovlaštenog tijela za zaštitu prava subjekata ličnih podataka - ako su lični podaci nepotpuni, zastarjeli, nepouzdani, nezakonito pribavljeni ili nisu potrebni za navedenu svrhu obrade;
• kada subjekt osobnih podataka povuče pristanak za obradu svojih osobnih podataka, ako je takav pristanak potreban u skladu sa zakonodavstvom Ruske Federacije;
• ako je operateru nemoguće otkloniti prekršaje počinjene u obradi osobnih podataka.

Organizacija mora definirati i dokumentirati:

• postupak za uništavanje ličnih podataka ( uključujući materijalne nosioce ličnih podataka);
• postupak obrade zahtjeva subjekata ličnih podataka ( ili njihovih zakonskih zastupnika) o obradi njihovih ličnih podataka;
• postupak postupanja u slučaju zahtjeva ovlaštenog tijela za zaštitu prava subjekata ličnih podataka ili drugih nadzornih tijela koja vrše kontrolu i nadzor u oblasti ličnih podataka;
• pristup klasifikaciji govornika kao informacioni sistemi lični podaci ( Dalje - ISPDN );
• ISPD lista. Lista ISPD -a treba uključivati ​​AS čija je svrha izrade i upotrebe obrada ličnih podataka.

Za svaki PDIS identificirat će se i dokumentirati sljedeće:

• svrha obrade ličnih podataka;
• obim i sadržaj obrađenih ličnih podataka;
• popis radnji s ličnim podacima i metode njihove obrade.

Obim i sadržaj ličnih podataka, kao i spisak radnji i metoda obrade ličnih podataka moraju odgovarati svrsi obrade. U slučaju da za provedbu informacijskog tehnološkog procesa, čiju provedbu podržava ISPD, nema potrebe za obradom određenih osobnih podataka, ti se osobni podaci moraju izbrisati.

Zahtjevi za osiguranje sigurnosti ličnih podataka u ISPDN -u općenito se provode kompleksom organizacijskih, tehnoloških, tehničkih i softverskih mjera, sredstava i mehanizama za zaštitu informacija.

Organizacija implementacije i ( ili) provedbu zahtjeva za osiguranje sigurnosti ličnih podataka treba izvršiti strukturna jedinica ili službenik (zaposlenik) organizacije odgovorna za osiguranje sigurnosti ličnih podataka, ili na ugovornoj osnovi organizacija - druga strana organizacije licencirane za pružanje tehničke zaštite povjerljivih informacija.

Stvaranje ISPD -a organizacije treba uključivati ​​razvoj i odobrenje ( izjava) organizacionu, administrativnu, projektnu i operativnu dokumentaciju za sistem koji se stvara predviđena projektnim zadatkom. Dokumentacija bi trebala odražavati pitanja osiguranja sigurnosti obrađenih ličnih podataka.

Razvoj koncepata, tehničkih specifikacija, dizajn, kreiranje i testiranje, prihvatanje i puštanje u rad ISPD -a treba provesti dogovorom i pod kontrolom strukturne jedinice ili službenog lica (zaposlenika) odgovornog za osiguranje sigurnosti ličnih podataka.

Sva informacijska sredstva koja pripadaju ISPD -u organizacije moraju biti zaštićena od utjecaja zlonamjernog koda. Organizacija mora utvrditi i dokumentirati zahtjeve za osiguranje sigurnosti ličnih podataka antivirusnom zaštitom i postupak praćenja implementacije ovih zahtjeva.

Organizacija bi trebala imati sistem za kontrolu pristupa koji omogućava kontrolu pristupa komunikacijskim portovima, ulazno / izlaznim uređajima, prijenosnim medijima za pohranu i vanjskim uređajima za pohranu ISPDN.

Rukovodioci operativnih i servisnih odjeljenja ISPD -a organizacije osiguravaju sigurnost ličnih podataka tokom njihove obrade u ISPD -u.

Zaposleni koji obrađuju lične podatke u ISPDN -u moraju se ponašati u skladu sa uputstvima ( smjernice, propisi itd.), koja je dio operativne dokumentacije o ISPD -u, i usklađena je sa zahtjevima dokumenata o održavanju IS -a.

Odgovornosti za upravljanje sredstvima zaštite i zaštitnim mehanizmima koji primjenjuju zahtjeve za osiguravanje IS ISPD -a organizacije dodjeljuju se naredbama ( naređenja) o stručnjacima Odjela za informacijske tehnologije.

Postupak za stručnjake Odjela za informatičku tehnologiju i osoblje uključeno u obradu ličnih podataka treba odrediti uputstvima ( smjernice), koje je programer ISPD -a pripremio kao dio operativne dokumentacije za ISPD.

Navedena uputstva ( vodiči):

• utvrditi zahtjeve za kvalifikaciju osoblja u oblasti bezbjednosti informacija, kao i ažuriranu listu zaštićenih objekata i pravila za njeno ažuriranje;
• sadrže potpuno relevantne ( po vremenu) podatke o pravima korisnika;
• sadržavati podatke o tehnologiji obrade informacija u količini potrebnoj stručnjaku za bezbjednost informacija;
• utvrditi redoslijed i učestalost analize zapisnika događaja ( arhive dnevnika);
• reguliše druge radnje.

Konfiguracijski parametri zaštitnih sredstava i mehanizama za zaštitu informacija od neovlaštenog korištenja koji se koriste u zoni odgovornosti stručnjaka Odjela za informacijske tehnologije određeni su u operativnoj dokumentaciji o ISPD -u. Postupak i učestalost provjera instaliranih konfiguracijskih parametara utvrđeni su u operativnoj dokumentaciji ili regulirani internim dokumentom, dok se provjere trebaju provoditi najmanje jednom godišnje.

Organizacija mora utvrditi i dokumentirati postupak pristupa prostorijama u kojima se nalaze tehnička sredstva ISPDN -a i pohranjuju nosioci ličnih podataka, predviđajući kontrolu pristupa neovlaštenim osobama i postojanje prepreka za neovlašteni ulazak u prostorije. Navedenu proceduru treba razviti strukturna jedinica ili službenik ( zaposlenog), odgovoran za osiguranje režima fizičke sigurnosti i saglasan sa strukturnom jedinicom ili službenikom ( zaposlenog), odgovorno za osiguranje sigurnosti ličnih podataka, i Odjeljenje za ekonomsku sigurnost.

Korisnici i uslužno osoblje ISPD -a ne smiju izvršavati neovlaštene i ( ili) neregistrovano ( nekontrolisano) kopiranje ličnih podataka. U tu svrhu organizacijske i tehničke mjere trebale bi zabraniti neovlaštene i ( ili) neregistrovano ( nekontrolisano) kopiranje ličnih podataka, uključujući korištenje otuđenih ( zamjenjiv) mediji za pohranu, mobilni uređaji za kopiranje i prijenos informacija, komunikacijski portovi i ulazni / izlazni uređaji koji implementiraju različita sučelja ( uključujući bežičnu), uređaji za pohranu mobilnih uređaja ( na primjer prijenosna računala, PDA uređaji, pametni telefoni, mobilni telefoni), kao i foto i video uređaji.

Kontrolu lične sigurnosti vrši stručnjak za bezbjednost informacija, kako uz pomoć standardnih sredstava sistema za zaštitu informacija, tako i uz pomoć posebnih alata za kontrolu i tehnološki nadzor.

Preuzmite ZIP datoteku (65475)

Dokumenti su vam dobro došli - stavite "sviđa mi se" ili: