Dostupnost informační bezpečnosti. Zabezpečení dat: Zajištění bezpečnosti informací

Norbert Wiener, tvůrce kybernetiky, věřil, že informace mají jedinečné vlastnosti a nelze je připisovat energii ani hmotě. Zvláštní status informace jako fenoménu dal vzniknout mnoha definicím.

Glosář normy ISO/IEC 2382:2015 „Informační technologie“ poskytuje následující výklad:

Informace (v oblasti zpracování informací)- jakékoli údaje prezentované v elektronické podobě, napsané na papíře, vyslovené na jednání nebo na jakémkoli jiném médiu používaném finanční institucí k rozhodování, převodu finančních prostředků, stanovení sazeb, poskytování úvěrů, zpracování transakcí atd., včetně součástí software zpracovatelské systémy.

Pro rozvinutí koncepce informační bezpečnosti (IS) se informací rozumí informace, která je k dispozici pro sběr, uchovávání, zpracování (editaci, transformaci), použití a přenos různými způsoby, včetně počítačových sítí a dalších informačních systémů.

Tyto informace mají vysokou hodnotu a mohou se stát předmětem porušení ze strany třetích stran. Touha chránit informace před hrozbami je základem vytváření systémů informační bezpečnosti.

Právní základ

V prosinci 2017 byla v Rusku přijata doktrína informační bezpečnosti. ZS je v dokumentu definován jako stav ochrany národních zájmů v informační sféra. Národní zájmy jsou v tomto případě chápány jako souhrn zájmů společnosti, jednotlivce a státu, každá skupina zájmů je nezbytná pro stabilní fungování společnosti.

Doktrína je koncepční dokument. Právní vztahy související se zajištěním bezpečnosti informací upravují federální zákony „O státním tajemství“, „O informacích“, „O ochraně osobních údajů“ a další. Na základě základních normativních aktů jsou vypracovány nařízení vlády a resortní normativní akty k jednotlivým otázkám ochrany informací.

Definice informační bezpečnosti

Před vypracováním strategie informační bezpečnosti je nutné přijmout základní definici samotného pojmu, která umožní použití určitého souboru metod a způsobů ochrany.

Oboroví praktici navrhují chápat informační bezpečnost jako stabilní stav ochrany informací, jejich nosičů a infrastruktury, který zajišťuje integritu a stabilitu procesů souvisejících s informacemi proti záměrným či neúmyslným dopadům přirozené i umělé povahy. Dopady jsou klasifikovány jako hrozby IS, které mohou způsobit poškození subjektů informačních vztahů.

Ochranou informací se tedy bude rozumět soubor právních, administrativních, organizačních a technických opatření, jejichž cílem je předcházet skutečným nebo domnělým hrozbám informační bezpečnosti, jakož i eliminovat následky incidentů. Kontinuita procesu ochrany informací by měla zaručit boj proti hrozbám ve všech fázích informačního cyklu: v procesu shromažďování, ukládání, zpracování, používání a předávání informací.

Informační bezpečnost v tomto smyslu se stává jednou z charakteristik výkonu systému. Systém musí mít v každém okamžiku měřitelnou úroveň zabezpečení a zajištění bezpečnosti systému musí být nepřetržitý proces, který se provádí ve všech časových intervalech během životnosti systému.

Infografika využívá data z našich vlastníchSearchInform.

Subjekty IS jsou v teorii informační bezpečnosti chápány jako vlastníci a uživatelé informací a uživatelé nejen průběžně (zaměstnanci), ale i uživatelé, kteří v ojedinělých případech přistupují k databázím, např. orgány státní správy požadující informace. V některých případech, například ve standardech bezpečnosti bankovních informací, jsou akcionáři považováni za vlastníky informací - právnické osoby Ke kterému konkrétní data patří.

Podpůrná infrastruktura z hlediska základů informační bezpečnosti zahrnuje počítače, sítě, telekomunikační zařízení, prostory, systémy podpory života a personál. Při analýze bezpečnosti je nutné studovat všechny prvky systémů a věnovat zvláštní pozornost personálu jako nositeli většiny vnitřních hrozeb.

Pro řízení informační bezpečnosti a hodnocení škod se používá charakteristika přijatelnosti, tedy poškození je určeno jako přijatelné nebo nepřijatelné. Je užitečné, aby si každá společnost schválila vlastní kritéria pro přijetí škody v peněžním vyjádření nebo například v podobě přijatelného poškození dobrého jména. Ve veřejných institucích mohou být převzaty další charakteristiky, např. vliv na proces řízení nebo odraz míry poškození života a zdraví občanů. Kritéria významnosti, důležitosti a hodnoty informací se mohou v průběhu měnit životní cyklus informační pole by proto mělo být včas přezkoumáno.

Informační hrozba v užším slova smyslu je objektivní možnost ovlivnit předmět ochrany, což může vést k úniku, odcizení, prozrazení nebo šíření informací. V širším smyslu budou hrozby informační bezpečnosti zahrnovat cílené informační dopady, jejichž účelem je způsobit škodu státu, organizaci nebo jednotlivci. Mezi takové hrozby patří například pomluva, úmyslné zkreslování, nesprávná reklama.

Tři hlavní otázky koncepce informační bezpečnosti pro jakoukoli organizaci

Co chránit?

Jaké typy hrozeb převažují: vnější nebo vnitřní?

Jak se chránit, jakými metodami a prostředky?

Informační bezpečnostní systém

Systém informační bezpečnosti pro společnost - právnickou osobu zahrnuje tři skupiny základních pojmů: integritu, dostupnost a důvěrnost. Pod každým jsou pojmy s mnoha charakteristikami.

Pod integrita odkazuje na odolnost databází, jiných informačních polí proti náhodnému nebo úmyslnému zničení, neoprávněným změnám. Pojem integrita může být viděn jako:

statický vyjádřené neměnností, autenticitou informačních objektů k těm objektům, které byly vytvořeny podle konkrétního technického zadání a obsahují množství informací nezbytných pro uživatele pro jejich hlavní činnosti, v požadované konfiguraci a pořadí;
dynamický, což znamená správné provádění složitých akcí nebo transakcí, které nepoškozují bezpečnost informací.

K řízení dynamické integrity se používají speciální technické nástroje, které analyzují tok informací, například finanční informace, a identifikují případy krádeže, duplikace, přesměrování a změny pořadí zpráv. Integrita jako hlavní charakteristika je vyžadována, když jsou rozhodnutí přijímána na základě příchozích nebo dostupných informací, aby bylo možné podniknout kroky. Porušení pořadí příkazů nebo sled akcí může způsobit velké škody v případě popisu technologických postupů, programových kódů a v dalších podobných situacích.

Dostupnost je vlastnost, která umožňuje oprávněným subjektům přístup nebo výměnu dat, která je zajímají. Klíčový požadavek legitimace či autorizace subjektů umožňuje tvořit různé úrovně přístup. Neschopnost systému poskytovat informace se stává problémem pro jakoukoli organizaci nebo skupiny uživatelů. Příkladem je nedostupnost webových stránek veřejné služby v případě výpadku systému, což mnoho uživatelů připravuje o možnost získat potřebné služby nebo informace.

Důvěrnost znamená vlastnost informací, které mají být dostupné těm uživatelům: subjektům a procesům, pro které je přístup původně povolen. Většina společností a organizací vnímá důvěrnost jako klíčový prvek informační bezpečnosti, ale v praxi je obtížné ji plně implementovat. Ne všechna data o existujících kanálech úniku informací mají autoři konceptů informační bezpečnosti k dispozici a řadu technických prostředků ochrany, včetně kryptografických, nelze volně zakoupit, v některých případech je obrat omezený.

Stejné vlastnosti informační bezpečnosti mají pro uživatele různé hodnoty, proto existují dvě extrémní kategorie ve vývoji koncepcí ochrany dat. Pro firmy či organizace zapojené do státního tajemství bude klíčovým parametrem důvěrnost, pro veřejné služby nebo vzdělávací instituce bude nejdůležitějším parametrem dostupnost.

Přehled zabezpečení informací

Předměty ochrany v pojmech IS

Rozdílnost subjektů vytváří rozdíly v předmětech ochrany. Hlavní skupiny chráněných objektů:

informační zdroje všeho druhu (zdroj je hmotný objekt: HDD, jiná média, dokument s daty a podrobnostmi, které pomáhají jej identifikovat a přiřadit k němu určitá skupina předměty);
práva občanů, organizací a státu na přístup k informacím, možnost je získat v rámci zákona; přístup může být omezen pouze regulačními právními akty, organizace jakýchkoli překážek porušujících lidská práva je nepřijatelná;
systém pro tvorbu, používání a distribuci dat (systémy a technologie, archivy, knihovny, regulační dokumenty);
systém utváření veřejného povědomí (média, internetové zdroje, sociální instituce, vzdělávací instituce).

Každý objekt zahrnuje speciální systém opatření na ochranu před ohrožením informační bezpečnosti a veřejného pořádku. Zajištění informační bezpečnosti by v každém případě mělo být založeno na systematickém přístupu, který zohledňuje specifika objektu.

Kategorie a média

Ruský právní systém, praxe vymáhání práva a zavedené společenské vztahy klasifikují informace podle kritérií přístupnosti. To vám umožní objasnit základní parametry nezbytné pro zajištění bezpečnosti informací:

informace, k nimž je přístup omezen na základě zákonných požadavků (státní tajemství, obchodní tajemství, osobní údaje);
informace v otevřený přístup;
veřejně dostupné informace, které jsou poskytovány za určitých podmínek: placené informace nebo údaje, ke kterým je vyžadován přístup, například vstupenka do knihovny;
nebezpečné, škodlivé, nepravdivé a jiné typy informací, jejichž oběh a šíření je omezeno buď požadavky zákonů, nebo podnikovými normami.

Informace z první skupiny mají dva režimy ochrany. státní tajemství, podle zákona jde o státem chráněné informace, jejichž volný oběh může poškodit bezpečnost země. Jde o údaje z oblasti vojenství, zahraniční politiky, rozvědky, kontrarozvědky a ekonomické činnosti státu. Vlastníkem této datové skupiny je přímo stát. Orgány oprávněnými přijímat opatření k ochraně státního tajemství jsou Ministerstvo obrany, Federální bezpečnostní služba (FSB), Zahraniční zpravodajská služba, Federální služba pro technickou a exportní kontrolu (FSTEC).

Důvěrná informace- mnohostrannější předmět regulace. Seznam informací, které mohou představovat důvěrné informace, je obsažen v dekretu prezidenta republiky č. 188 „O schválení seznamu důvěrných informací“. Jedná se o osobní údaje; utajení vyšetřování a soudního řízení; úřední tajemství; profesní tajemství (lékařské, notářské, advokátní); obchodní tajemství; informace o vynálezech a užitných vzorech; informace obsažené v osobních spisech odsouzených, jakož i informace o výkonu soudních úkonů.

Osobní údaje existují v otevřeném a důvěrném režimu. Část osobních údajů, která je otevřená a přístupná všem uživatelům, zahrnuje jméno, příjmení, patronymii. Podle federálního zákona-152 „O osobních údajích“ mají subjekty osobních údajů právo:

o informačním sebeurčení;
získat přístup k osobním údajům a provádět v nich změny;
k blokování osobních údajů a přístupu k nim;
odvolat se proti protiprávnímu jednání třetích stran spáchaných v souvislosti s osobními údaji;
o náhradu škody.

Právo na je zakotveno v předpisech o státních orgánech, federálních zákonech, licencích pro práci s osobními údaji vydanými Roskomnadzor nebo FSTEC. Společnosti, které profesionálně pracují s osobními údaji širokého spektra lidí, například telekomunikační operátoři, musí vstoupit do registru vedeného Roskomnadzorem.

Samostatným objektem v teorii a praxi informační bezpečnosti jsou informační nosiče, ke kterým je přístup otevřený a uzavřený. Při vývoji koncepce IS jsou metody ochrany voleny v závislosti na typu média. Hlavní nosiče informací:

tištěná a elektronická média, sociální sítě, další zdroje na internetu;
zaměstnanci organizace, kteří mají přístup k informacím na základě jejich přátelských, rodinných, profesních vazeb;
komunikační prostředky, které přenášejí nebo ukládají informace: telefony, automatické telefonní ústředny, jiná telekomunikační zařízení;
doklady všech typů: osobní, úřední, státní;
software jako nezávislý informační objekt, zejména pokud byla jeho verze vyvinuta speciálně pro konkrétní společnost;
Elektronická paměťová média, která automaticky zpracovávají data.

Pro účely vývoje konceptů informační bezpečnosti se nástroje informační bezpečnosti obvykle dělí na regulační (neformální) a technické (formální).

Neformálními prostředky ochrany jsou dokumenty, pravidla, události, formálními jsou speciální technické prostředky a software. Toto rozlišení pomáhá rozdělit oblasti odpovědnosti při vytváření systémů informační bezpečnosti: s obecným řízením ochrany zavádějí administrativní pracovníci regulační metody a IT specialisté technické.

Základy informační bezpečnosti implikují rozdělení pravomocí nejen z hlediska využívání informací, ale také z hlediska práce s jejich ochranou. Toto rozdělení pravomocí vyžaduje několik úrovní kontroly.

Formální opravné prostředky

Široká škála technických prostředků ochrany informační bezpečnosti zahrnuje:

Fyzické prostředky ochrany. Jedná se o mechanické, elektrické, elektronické mechanismy, které fungují nezávisle na informačních systémech a vytvářejí bariéry v přístupu k nim. Zámky včetně elektronických, zástěny, žaluzie jsou určeny k vytváření překážek pro kontakt destabilizujících faktorů se systémy. Skupinu doplňují bezpečnostní systémy, např. videokamery, videorekordéry, senzory detekující pohyb nebo překročení stupně elektromagnetického záření v prostoru, kde jsou umístěny technické prostředky pro získávání informací, vestavěná zařízení.

Hardwarová ochrana. Jedná se o elektrická, elektronická, optická, laserová a další zařízení, která jsou zabudována do informačních a telekomunikačních systémů. Před zavedením hardwaru do informačních systémů je nutné ověřit kompatibilitu.

Software- jedná se o jednoduché a systémové, komplexní programy určené k řešení konkrétních a komplexních úkolů souvisejících se zajišťováním bezpečnosti informací. Příkladem komplexních řešení jsou a: první slouží k zabránění úniku, přeformátování informací a přesměrování informačních toků, druhé - poskytuje ochranu proti incidentům v oblasti informační bezpečnosti. Softwarové nástroje jsou náročné na výkon hardwarových zařízení a při instalaci je třeba zajistit dodatečné rezervy.

lze testovat zdarma po dobu 30 dnů. Před instalací systému provedou inženýři SearchInform technický audit u zákazníka.

NA konkrétní prostředky zabezpečení informací zahrnuje různé kryptografické algoritmy, které umožňují šifrovat informace na disku a přesměrovávat je prostřednictvím externích komunikačních kanálů. K transformaci informací může dojít pomocí softwarových a hardwarových metod, které fungují v podnikových informačních systémech.

Všechny prostředky, které zaručují bezpečnost informací, by měly být používány společně, po předběžném posouzení hodnoty informace a jejím porovnání s náklady na zdroje vynaložené na ochranu. Návrhy na využití prostředků by proto měly být formulovány již ve fázi vývoje systémů a schvalování by mělo být prováděno na úrovni vedení, které je odpovědné za schvalování rozpočtů.

Pro zajištění bezpečnosti je nutné sledovat veškerý moderní vývoj, softwarové a hardwarové ochranné nástroje, hrozby a provádět včasné změny vlastních ochranných systémů proti neoprávněnému přístupu. Pouze přiměřenost a rychlá reakce na hrozby pomůže dosáhnout vysoká úroveň mlčenlivosti ve firmě.

První vydání vyšlo v roce 2018. Tento unikátní program sestavuje psychologické portréty zaměstnanců a rozděluje je do rizikových skupin. Tento přístup k zajištění bezpečnosti informací vám umožňuje předvídat možné incidenty a přijímat opatření předem.

Neformální opravné prostředky

Neformální opravné prostředky se dělí na normativní, administrativní a morální a etické. Na první úrovni ochrany existují regulační nástroje, které regulují informační bezpečnost jako proces v činnosti organizace.

Regulační prostředky

Ve světové praxi se při vývoji regulačních nástrojů řídí standardy informační bezpečnosti, hlavním je ISO / IEC 27000. Standard byl vytvořen dvěma organizacemi:

ISO - International Commission for Standardization, která vyvíjí a schvaluje většinu mezinárodně uznávaných metod certifikace kvality výroby a procesů řízení;
IEC - Mezinárodní energetická komise, která do normy zavedla své chápání systémů informační bezpečnosti, prostředků a metod jejího poskytování

Aktuální verze ISO / IEC 27000-2016 nabízí hotové standardy a osvědčené metodiky nezbytné pro implementaci informační bezpečnosti. Základ informační bezpečnosti podle autorů metod spočívá v systematickém a důsledném provádění všech fází od vývoje až po následnou kontrolu.

Pro získání certifikátu, který potvrzuje shodu se standardy bezpečnosti informací, je nutné implementovat všechny doporučené postupy v plném rozsahu. Pokud není potřeba získat certifikát, je povoleno vzít si některý z více rané verze standardem počínaje ISO / IEC 27000-2002 nebo ruskými GOST, které mají poradní charakter.

Na základě výsledků studia normy jsou zpracovávány dva dokumenty, které se týkají informační bezpečnosti. Hlavním, avšak méně formálním, je koncept podnikové informační bezpečnosti, který určuje opatření a metody implementace systému informační bezpečnosti pro informační systémy organizace. Druhým dokumentem, který jsou povinni dodržovat všichni zaměstnanci společnosti, je předpis o bezpečnosti informací, schválený na úrovni představenstva nebo výkonného orgánu.

Kromě pozice na úrovni společnosti by měly být vypracovány seznamy informací tvořících obchodní tajemství, přílohy k pracovním smlouvám, stanovení odpovědnosti za zveřejnění důvěrných údajů, další standardy a metody. Vnitřní pravidla a předpisy by měly obsahovat prováděcí mechanismy a odpovědnosti. Nejčastěji jsou opatření disciplinární povahy a porušovatel se musí připravit na to, že za porušení režimu obchodního tajemství budou následovat výrazné sankce, až propuštění.

Organizační a administrativní opatření

Jako část administrativní činnosti o ochraně informační bezpečnosti pro zaměstnance bezpečnostních služeb otevírá prostor pro kreativitu. Jedná se o architektonická a plánovací řešení, která vám umožní chránit zasedací místnosti a kanceláře vedení před odposlechem a zřízením různých úrovní přístupu k informacím. Důležitými organizačními opatřeními bude certifikace činnosti společnosti dle norem ISO/IEC 27000, certifikace jednotlivých hardwarových a softwarových systémů, certifikace subjektů a objektů pro splnění nezbytných bezpečnostních požadavků a získání licencí potřebných pro práci s chráněnými informačními poli. .

Z hlediska regulace činnosti personálu bude důležité navrhnout systém požadavků na přístup k internetu, externí elektronické poště a dalším zdrojům. Samostatným prvkem bude příjem elektronického digitálního podpisu pro zvýšení bezpečnosti finančních a jiných informací, které jsou předávány vládním agenturám prostřednictvím e-mailových kanálů.

Morální a etická opatření

Morální a etická opatření určují osobní postoj člověka k důvěrná informace nebo informace omezené v oběhu. Zvyšování úrovně znalostí zaměstnanců o dopadu hrozeb na činnost společnosti ovlivňuje míru vědomí a odpovědnosti zaměstnanců. V boji proti porušování informačního režimu, mezi které patří např. předávání hesel, neopatrné zacházení s médii, šíření důvěrných údajů v soukromých rozhovorech, je třeba klást důraz na osobní svědomí zaměstnance. Bude užitečné stanovit ukazatele výkonnosti zaměstnanců, které budou záviset na postoji k nim podnikový systém IB.

Zásady bezpečnosti informací.

1. Obecná ustanovení

Tyto zásady informační bezpečnost ( Dále - Politika ) vymezuje systém pohledů na problém zajištění informační bezpečnosti a je systematickou prezentací cílů a záměrů, jakož i organizačních, technologických a procesních aspektů zajištění bezpečnosti informací objektů informační infrastruktury, včetně souboru informačních center , databanky a komunikační systémy organizace. Tato Politika byla vyvinuta s ohledem na požadavky současné legislativy Ruské federace a bezprostřední vyhlídky na rozvoj zařízení informační infrastruktury, jakož i na vlastnosti a možnosti moderních organizačních a technických metod a hardwarové a softwarové ochrany informací.

Hlavní ustanovení a požadavky Zásad platí pro všechny strukturální divize organizace.

Politika je metodickým základem pro utváření a realizaci jednotné politiky v oblasti zajišťování bezpečnosti informací objektů informační infrastruktury, přijímání dohodnutých manažerských rozhodnutí a rozvíjení praktických opatření směřujících k zajištění bezpečnosti informací, koordinaci činnosti strukturálních útvarů útvarů informačních technologií. organizace při práci na tvorbě, rozvoji a provozu objektů informační infrastruktury infrastruktura v souladu s požadavky na bezpečnost informací.

Zásady neupravují otázky organizace ochrany objektů a zajištění bezpečnosti a fyzické integrity složek informační infrastruktury, ochrany před živelnými pohromami a poruchami v systému zásobování energií, jedná se však o vybudování systému informační bezpečnosti. na stejných koncepčních základech jako bezpečnostní systém organizace jako celku.

Implementace politiky je zajištěna příslušnými směrnicemi, předpisy, postupy, pokyny, směrnicemi a systémem hodnocení bezpečnosti informací v organizaci.

V Zásadách jsou použity následující termíny a definice:

Automatizovaný systém ( AC) — systém tvořený personálem a souborem prostředků pro automatizaci jeho činností, implementující informační technologie pro výkon zavedených funkcí.

Informační infrastruktura— systém organizačních struktur, které zajišťují fungování a rozvoj informační prostor a prostředky interakce informací. Informační infrastruktura zahrnuje soubor informačních center, datových a znalostních bank, komunikačních systémů a poskytuje spotřebitelům přístup k informačním zdrojům.

Informační zdroje ( IR) - jedná se o samostatné dokumenty a samostatné pole dokumentů, dokumenty a pole dokumentů v informačních systémech ( knihovny, archivy, sbírky, databáze a další informační systémy).

Informační systém (IP) - systém zpracování informací a související organizační prostředky ( lidské, technické, finanční atd.), které poskytují a šíří informace.

Bezpečnost - stav ochrany zájmů ( cíle) ohrožené organizace.

Informační bezpečnost ( JE) — bezpečnost spojená s hrozbami v informační sféře. Zabezpečení je dosaženo poskytnutím souboru vlastností IS – dostupnost, integrita, důvěrnost informačních aktiv. Priorita majetku IS je dána hodnotou tohoto majetku pro zájmy ( cíle) organizace.

Dostupnost informačních aktiv − vlastnost informační bezpečnosti organizace, která spočívá v tom, že informační aktiva jsou poskytnuta oprávněnému uživateli, a to ve formě a na místě, které uživatel požaduje, a v době, kdy je potřebuje.

Integrita informačních aktiv − vlastnost informační bezpečnosti organizace zůstat nezměněna nebo opravit zjištěné změny v jejích informačních aktivech.

Důvěrnost informačních aktiv − majetkem IS organizace, který spočívá v tom, že zpracování, uchovávání a přenos informačních aktiv probíhá tak, že informační aktiva jsou dostupná pouze oprávněným uživatelům, objektům systému nebo procesům.

Systém informační bezpečnosti ( ŠPIČKA) — soubor ochranných opatření, ochranných prostředků a procesů pro jejich provoz, včetně zdrojových a administrativních ( organizační) ustanovení.

Neautorizovaný přístup- přístup k informacím v rozporu s úředními pravomocemi zaměstnance, přístup k informacím nepřístupným veřejnosti osobami, které nemají oprávnění k přístupu k těmto informacím nebo získání přístupu k informacím osobou, která má právo na přístup k těmto informacím v částka přesahující to, co je nezbytné k plnění služebních povinností.

2. Obecné požadavky na zajištění bezpečnosti informací

požadavky na bezpečnost informací Dále -JE ) stanovují obsah a cíle činnosti organizace v rámci procesů řízení bezpečnosti informací.

Tyto požadavky jsou formulovány pro následující oblasti:

přidělení a rozdělení rolí a důvěra v personál;
fáze životního cyklu objektů informační infrastruktury;
ochrana proti neoprávněnému přístupu ( Dále - NSD ), řízení přístupu a registrace v automatizované systémy, v telekomunikačních zařízeních a automatických telefonních ústřednách apod.;
antivirová ochrana;
využívání internetových zdrojů;
používání prostředků kryptografické ochrany informací;
ochranu osobních údajů.

3. Objekty, které mají být chráněny

Hlavní objekty, které mají být chráněny, jsou:

informační zdroje, prezentované ve formě dokumentů a souborů informací, bez ohledu na formu a typ jejich prezentace, včetně, mimo jiné, důvěrných a otevřených informací;
systém tvorby, distribuce a využívání informačních zdrojů, knihovny, archivy, databáze a databanky, informační technologie, předpisy a postupy pro shromažďování, zpracování, ukládání a přenos informací, technický personál a personál údržby;
informační infrastruktura, včetně systémů pro zpracování a analýzu informací, hardware a software pro jejich zpracování, přenos a zobrazování, včetně výměny informací a telekomunikačních kanálů, systémy a prostředky informační bezpečnosti, zařízení a prostory, ve kterých jsou umístěny komponenty informační infrastruktury.

3.1. Vlastnosti automatizovaného systému

AS šíří informace různých kategorií. Chráněné informace lze sdílet mezi různými uživateli z různých podsítí jedné podnikové sítě.

Řada AS subsystémů zajišťuje interakci s externími ( státní a obchodní, ruské a zahraniční) organizace prostřednictvím dial-up a vyhrazených komunikačních kanálů využívajících speciální prostředky přenosu informací.

Komplex technických prostředků AU zahrnuje nástroje pro zpracování dat ( pracovní stanice, databázové servery, poštovní servery atd.), prostředky výměny dat v lokálních počítačových sítích s možností přístupu do globálních sítí ( kabeláž, mosty, brány, modemy atd.), jakož i skladovací prostory ( počítaje v to archivace) údaje.

Mezi hlavní rysy fungování AS patří:

nutnost integrace do jednoho systému velký počet různé technické prostředky pro zpracování a přenos informací;
široká škála úkolů k řešení a typů zpracovávaných dat;
konsolidace do jednotlivých databází informací pro různé účely, sounáležitosti a úrovně důvěrnosti;
dostupnost kanálů pro připojení k externím sítím;
kontinuita provozu;
přítomnost subsystémů s různými požadavky na úrovně zabezpečení, fyzicky spojených v jediné síti;
různé kategorie uživatelů a servisního personálu.

Obecně řečeno, jeden AS je soubor lokálních počítačových sítí oddělení, vzájemně propojených pomocí telekomunikací. Každá místní síť spojuje řadu vzájemně propojených a vzájemně se ovlivňujících automatizovaných subsystémů ( technologické oblasti), které zajišťují řešení problémů jednotlivými strukturálními útvary organizace.

Mezi objekty informatizace patří:

technologické vybavení ( počítačové vybavení, síťové a kabelové vybavení);
informační zdroje;
software ( operační systémy, systémy pro správu databází, obecný systémový a aplikační software);
automatizované komunikační systémy a systémy přenosu dat (telekomunikační prostředky);
kanály připojení;
servisní prostory.

3.2. Typy organizačních informačních aktiv, které mají být chráněny

V subsystémech AS organizace kolují informace různé úrovně důvěrnosti obsahující informace omezené distribuce ( úřední, obchodní, osobní údaje) a veřejné informace.

Tok dokumentů AS obsahuje:

platební příkazy a finanční dokumenty;
zprávy ( finanční, analytické atd.);
informace o osobních účtech;
osobní data;
další omezené informace.

Všechny informace obíhající v AS a obsažené v následujících typech informačních aktiv podléhají ochraně:

informace představující obchodní a úřední tajemství, k nimž má organizace jako vlastník informací omezený přístup v souladu s ustanoveními federálního zákona“ O informacích, informatizaci a ochraně informací » Práva a federální právo « O obchodním tajemství »;
osobní údaje, k nimž je přístup omezen v souladu s federálním zákonem " O osobních údajích »;
otevřené informace, pokud jde o zajištění integrity a dostupnosti informací.

3.3. Kategorie uživatelů Automatizovaného systému

Organizace má velký počet kategorií uživatelů a personálu údržby, kteří musí mít různé pravomoci pro přístup k informačním zdrojům AS:

běžní uživatelé ( koncoví uživatelé, zaměstnanci organizačních jednotek);
správci serveru ( souborové servery, aplikační servery, databázové servery), lokální počítačové sítě a aplikované systémy;
systémoví programátoři ( zodpovědný za údržbu běžného softwaru) na serverech a uživatelských pracovních stanicích;
vývojáři aplikačního softwaru;
specialisté na údržbu technických prostředků výpočetní techniky;
správci informační bezpečnosti atd.

3.4. Zranitelnost hlavních součástí automatizovaného systému

Nejzranitelnějšími AS komponenty jsou síťové pracovní stanice - pracovní stanice ( Dále - pracovní stanice ) dělníci. Pokusy o neoprávněný přístup k informacím nebo pokusy o neoprávněné akce lze provádět z pracovní stanice zaměstnanců ( neúmyslné a úmyslné) v počítačová síť. Porušení konfigurace hardwaru a softwaru pracovních stanic a nezákonné zásahy do procesů jejich fungování mohou vést k zablokování informací, nemožnosti včasného řešení důležitých úkolů a výpadkům jednotlivých pracovních stanic a subsystémů.

Síťové prvky, jako jsou vyhrazené souborové servery, databázové servery a aplikační servery, vyžadují speciální ochranu. Nedostatky výměnných protokolů a prostředků řízení přístupu ke zdrojům serveru mohou umožnit neoprávněný přístup k chráněným informacím a ovlivnit provoz různých subsystémů. Současně lze pokusy provádět jako dálkové ( ze síťových stanic) a přímý ( z konzole serveru) dopad na provoz serverů a jejich ochrany.

Mosty, brány, rozbočovače, směrovače, přepínače a další síťová zařízení, kanály a komunikace musí být také chráněny. Mohou být použity vetřelci k restrukturalizaci a narušení provozu sítě, zachycení přenášených informací, analýze provozu a implementaci dalších metod zasahování do procesů výměny dat.

4. Základní principy zajištění informační bezpečnosti

4.1. Obecné zásady bezpečného provozu

Včasnost detekce problému. Organizace musí okamžitě odhalit problémy, které by mohly potenciálně ovlivnit její obchodní cíle.
Předvídatelnost vývoje problémů. Organizace musí identifikovat kauzalitu možné problémy a na tomto základě stavět přesnou předpověď jejich vývoje.
Posouzení dopadu problémů na obchodní cíle. Organizace musí přiměřeně posoudit dopad identifikovaných problémů.
Přiměřenost ochranných opatření. Organizace by měla volit ochranná opatření, která jsou adekvátní modelům hrozeb a útočníků, s přihlédnutím k nákladům na implementaci těchto opatření a výši možných ztrát z provedení hrozeb.
Účinnost ochranných opatření. Organizace účinně zavede přijatá ochranná opatření.
Využití zkušeností při rozhodování a realizaci. Organizace by měla shromažďovat, zobecňovat a využívat jak vlastní zkušenosti, tak zkušenosti jiných organizací na všech úrovních rozhodování a jejich implementace.
Návaznost zásad bezpečného fungování. Organizace zajistí kontinuitu provádění zásad bezpečného provozu.
Kontrolovatelnost ochranných opatření. Organizace musí uplatňovat pouze ta ochranná opatření, jejichž správné fungování lze ověřit, a organizace musí pravidelně vyhodnocovat přiměřenost záruk a účinnost jejich implementace, přičemž bere v úvahu dopad záruk na obchodní cíle organizace.

4.2. Speciální zásady pro zajištění bezpečnosti informací

Implementace speciálních zásad pro zajištění bezpečnosti informací směřuje ke zvýšení úrovně vyspělosti procesů řízení bezpečnosti informací v organizaci.
Definice cílů. Funkční cíle a cíle informační bezpečnosti organizace by měly být explicitně definovány v interním dokumentu. Nejistota vede k „ vágnost” organizační struktura, personální role, politika informační bezpečnosti a neschopnost posoudit přiměřenost přijatých ochranných opatření.
Znáte své zákazníky a zaměstnance. Organizace musí mít informace o svých zákaznících, pečlivě vybírat zaměstnance ( pracovníků), rozvíjet a udržovat podnikovou etiku, která vytváří příznivé prostředí důvěry pro činnost organizace pro správu aktiv.
Personifikace a adekvátní rozdělení rolí a odpovědností. Odpovědnost funkcionářů organizace za rozhodnutí související s jejím majetkem by měla být personifikována a prováděna především formou ručení. Měla by být přiměřená míře vlivu na cíle organizace, měla by být stanovena v politikách, monitorována a zdokonalována.
Přiměřenost rolí k funkcím a postupům a jejich srovnatelnost s kritérii a systémem hodnocení. Role by měly přiměřeně odrážet vykonávané funkce a postupy pro jejich implementaci přijaté v organizaci. Při přidělování vzájemně souvisejících rolí je třeba vzít v úvahu nezbytnou posloupnost jejich provádění. Role by měla být v souladu s kritérii pro hodnocení účinnosti jejího provádění. Hlavní obsah a kvalitu vykonávané role ve skutečnosti určuje systém hodnocení, který je na ni aplikován.
Dostupnost služeb a zařízení. Organizace musí zajistit dostupnost služeb a služeb pro své zákazníky a protistrany včas, stanovenou příslušnými dohodami ( dohody) a/nebo jiné dokumenty.
Pozorovatelnost a vyhodnotitelnost poskytování IS. Jakákoli navrhovaná ochranná opatření by měla být navržena tak, aby výsledek jejich aplikace byl jasně pozorovatelný ( průhledný) a může být posouzen útvarem organizace, který má příslušnou pravomoc.

5. Cíle a cíle poskytování bezpečnostních informací

5.1. Předměty informačních vztahů v automatizovaném systému

Subjekty právních vztahů při používání AS a zajišťování bezpečnosti informací jsou:

Organizace jako vlastník informačních zdrojů;
útvary organizace, které zajišťují provoz JE;
zaměstnanci strukturních útvarů organizace jako uživatelé a poskytovatelé informací v AS v souladu s funkcemi, které jim jsou přiděleny;
právnické a fyzické osoby, jejichž informace se shromažďují, ukládají a zpracovávají v AS;
další právnické a fyzické osoby zapojené do procesu vzniku a provozu AS ( vývojáři systémových komponent, organizace zabývající se poskytováním různých služeb v oblasti informační technologie atd.).

Uvedené subjekty informačních vztahů mají zájem poskytovat:

důvěrnost určité části informací;
spolehlivost ( úplnost, přesnost, přiměřenost, celistvost) informace;
ochrana proti uvalení falešných ( nepravdivý, zkreslený) informace;
včasný přístup k potřebným informacím;
vymezení odpovědnosti za porušení zákonných práv ( zájmy) další subjekty informačních vztahů a stanovená pravidla pro nakládání s informacemi;
možnost nepřetržitého sledování a kontroly zpracování a přenosu informací;
ochrana části informací před jejich nelegální reprodukcí ( ochrana autorských práv, práv vlastníka informací atp.).

5.2. Účel informační bezpečnosti

Hlavním cílem zajištění bezpečnosti informací je ochrana subjektů informačních vztahů před možným materiálním, morálním nebo jiným poškozením, které jim vznikne náhodným nebo úmyslným neoprávněným zásahem do provozu AS nebo neoprávněným přístupem k informacím v něm kolujícím a jejich nelegální použití.

Tohoto cíle je dosaženo zajištěním a neustálým udržováním následujících vlastností informací a automatizovaným systémem pro jejich zpracování:

dostupnost zpracovávaných informací pro registrované uživatele;
důvěrnost určité části informací uchovávaných, zpracovávaných a přenášených prostřednictvím komunikačních kanálů;
integrita a autentičnost informací uložených, zpracovávaných a přenášených prostřednictvím komunikačních kanálů.

5.3. Úkoly informační bezpečnosti

Pro dosažení hlavního cíle zajištění bezpečnosti informací by měl systém informační bezpečnosti jaderné elektrárny poskytovat efektivní řešení následujících úkolů:

ochrana před zasahováním do procesu fungování AU neoprávněnými osobami;
diferenciace přístupu registrovaných uživatelů k hardwaru, softwaru a informačním zdrojům AU, tj. ochrana před neoprávněným přístupem;
registrace uživatelských akcí při použití chráněných prostředků AS do systémových logů a pravidelné sledování správnosti akcí systémových uživatelů analýzou obsahu těchto logů specialisty z bezpečnostních oddělení;
ochrana proti neoprávněným úpravám a kontrola integrity ( neměnnost) prostředí spouštění programu a jeho obnova v případě porušení;
ochrana před neoprávněnými úpravami a kontrola integrity softwaru používaného v AU, jakož i ochrana systému před zavedením neautorizovaných programů, včetně počítačových virů;
ochrana informací před únikem prostřednictvím technických kanálů při jejich zpracování, ukládání a přenosu prostřednictvím komunikačních kanálů;
ochrana informací uložených, zpracovávaných a přenášených prostřednictvím komunikačních kanálů před neoprávněným zveřejněním nebo zkreslením;
zajištění autentizace uživatelů účastnících se výměny informací;
zajištění přežití kryptografických prostředků ochrany informací v případě kompromitace části systému klíče;
včasná identifikace zdrojů ohrožení informační bezpečnosti, příčin a podmínek, které přispívají k poškození zainteresovaných subjektů informačních vztahů, vytvoření mechanismu pro rychlou reakci na ohrožení informační bezpečnosti a negativní trendy;
vytváření podmínek pro minimalizaci a lokalizaci škod způsobených protiprávním jednáním fyzických a právnických osob, zmírňování negativních dopadů a odstraňování následků narušení informační bezpečnosti.

5.4. Způsoby řešení problémů zajištění bezpečnosti informací

Řešení problémů zajištění bezpečnosti informací je dosaženo:

přísné zvážení všech systémových prostředků, které mají být chráněny ( informace, úkoly, komunikační kanály, servery, pracovní stanice);
regulace procesů zpracování informací a jednání pracovníků strukturních útvarů organizace, jakož i úkonů pracovníků zabývajících se údržbou a úpravami softwaru a hardwaru AU, na základě organizačních a administrativních dokumentů o bezpečnosti informací;
úplnost, reálná proveditelnost a konzistentnost požadavků organizačních a administrativních dokumentů k problematice informační bezpečnosti;
jmenování a školení zaměstnanců odpovědných za organizaci a provádění praktických opatření k zajištění bezpečnosti informací;
zmocnění každého zaměstnance minimem nezbytným pro výkon jejich funkčních pravomocí pro přístup ke zdrojům AU;
jasnou znalost a přísné dodržování požadavků organizačních a administrativních dokumentů o bezpečnosti informací všemi zaměstnanci používajícími a udržujícími hardware a software AS;
osobní odpovědnost za své jednání každého zaměstnance, který se v rámci svých funkčních povinností účastní procesů automatizovaného zpracování informací a má přístup ke zdrojům AS;
realizace technologických procesů zpracování informací s využitím komplexů organizačních a technických opatření k ochraně softwaru, hardwaru a dat;
přijímání účinných opatření k zajištění fyzické integrity technických prostředků a průběžné udržování požadované úrovně ochrany součástí JE;
aplikace technické ( software a hardware) prostředky ochrany systémových zdrojů a nepřetržité administrativní podpory jejich využívání;
vymezení informačních toků a zákaz přenosu informací omezené distribuce prostřednictvím nechráněných komunikačních kanálů;
účinná kontrola dodržování požadavků na bezpečnost informací zaměstnanci;
neustálé sledování síťové zdroje, identifikace zranitelnosti, včasná detekce a neutralizace vnějších a vnitřních hrozeb pro bezpečnost počítačové sítě;
právní ochrana zájmů organizace před protiprávním jednáním v oblasti informační bezpečnosti.
provádění průběžné analýzy účinnosti a dostatečnosti přijatých opatření a používaných nástrojů ochrany informací, vypracování a realizace návrhů na zlepšení systému ochrany informací v AS.

6. Ohrožení informační bezpečnosti

6.1. Ohrožení informační bezpečnosti a jejich zdroje

Nejnebezpečnější hrozby pro bezpečnost informací zpracovávaných v AS jsou:

porušení soukromí ( prozrazení, únik) informace představující úřední nebo obchodní tajemství, včetně osobních údajů;
dysfunkce ( dezorganizace práce) AS, blokování informací, porušení technologických postupů, neřešení problémů včas;
porušení integrity ( zkreslení, nahrazení, zničení) informace, software a další zdroje AS.

Hlavní zdroje hrozeb pro bezpečnost informací AS jsou:

nepříznivé přírodní a člověkem způsobené události;
teroristé, kriminální živly;
počítačoví vetřelci provádějící účelové destruktivní vlivy včetně využití počítačové viry a další typy škodlivých kódů a útoků;
dodavatelé softwaru a hardwaru, spotřebního materiálu, služeb atd.;
dodavatelé podílející se na instalaci, uvedení zařízení do provozu a jeho opravě;
nedodržování požadavků dozorových a regulačních orgánů, platná legislativa;
selhání, selhání, zničení/poškození softwaru a hardwaru;
zaměstnanci, kteří jsou zákonnými účastníky procesů v AS a jednají mimo rámec udělených pravomocí;
zaměstnanci, kteří jsou zákonnými účastníky procesů v AS a jednají v rámci udělených pravomocí.

6.2. Neúmyslné jednání vedoucí k narušení informační bezpečnosti a opatření k jejich předcházení

Zaměstnanci organizace, kteří mají přímý přístup k procesům zpracování informací v AS, jsou potenciálním zdrojem neúmyslných náhodných akcí, které mohou vést k narušení bezpečnosti informací.

Hlavní neúmyslné akce vedoucí k narušení bezpečnosti informací (činy spáchané lidmi náhodně, z neznalosti, nepozornosti nebo nedbalosti, ze zvědavosti, ale bez zlého úmyslu) a opatření k zamezení takového jednání a minimalizaci škod jimi způsobených jsou uvedena v stůl 1.

stůl 1

Hlavní akce vedoucí k narušení bezpečnosti informací
Akce zaměstnanců vedoucí k částečnému nebo úplnému selhání systému nebo narušení hardwaru nebo softwaru; vypnutí zařízení nebo změna provozních režimů zařízení a programů; zničení informačních zdrojů systému ( neúmyslné poškození zařízení, smazání, zkreslení programů nebo souborů s důležitými informacemi, včetně systémových, poškození komunikačních kanálů, neúmyslné poškození paměťových médií atd.)	Organizační opatření ( ). Použití fyzických prostředků k zabránění neúmyslnému spáchání přestupku. Aplikace technických ( hardware a software) prostředky k omezení přístupu ke zdrojům. Rezervace kritických zdrojů.
Neoprávněné spouštění programů, které při nekompetentním použití mohou způsobit ztrátu výkonu systému ( zamrzne nebo zacyklí) nebo provedení nevratných změn v systému ( formátování nebo restrukturalizace paměťových médií, mazání dat atd.)	Organizační opatření ( odstranění všech potenciálně nebezpečných programů z pracovní stanice). Aplikace technických ( hardware a software) prostředky pro vymezení přístupu k programům na pracovních stanicích.
Neoprávněné zavedení a použití neevidovaných programů ( herní, školící, technologické a další, které nejsou nezbytné pro plnění služebních povinností zaměstnanců) s následným nepřiměřeným vynaložením zdrojů ( čas procesoru, RAM, paměť na externím médiu atd.)	Organizační opatření ( zavedení zákazů). Aplikace technických ( hardware a software) znamená zabránění neoprávněnému zavedení a použití nenahraných programů.
Neúmyslné infikování počítače viry	Organizační opatření ( regulace jednání, zavádění zákazů). Technologická opatření ( použití speciálních programů pro detekci a ničení virů). Použití hardwaru a softwaru, které zabraňují infekci počítačovými viry.
Zveřejnění, přenos nebo ztráta atributů řízení přístupu ( hesla, šifrovací klíče nebo ES, identifikační karty, průkazy atd.)	Organizační opatření ( regulace jednání, zavádění zákazů, zvýšená odpovědnost). Použití fyzických prostředků k zajištění bezpečnosti specifikovaných detailů.
Ignorování organizačních omezení ( zavedená pravidla) při práci v systému	Organizační opatření ( ). Použití dalších fyzických a technických prostředků ochrany.
Nekompetentní používání, seřizování nebo nezákonná deaktivace ochranných prostředků pracovníky ostrahy	Organizační opatření ( školení zaměstnanců, zvýšená odpovědnost a kontrola).
Zadání chybných údajů	Organizační opatření ( zvýšená odpovědnost a kontrola). Technologická opatření pro kontrolu chyb operátorů zadávání dat.

6.3. Záměrné akce k narušení bezpečnosti informací a opatření k jejich prevenci

Závažné úmyslné činy ( pro sobecké účely, pod nátlakem, z touhy po pomstě atd.), vedoucí k narušení informační bezpečnosti AU, a opatření k jejich předcházení a snížení případných způsobených škod jsou dána v Tabulka 2.

tabulka 2

Hlavní záměrné akce vedoucí k narušení bezpečnosti informací	Opatření k prevenci hrozeb a minimalizaci škod
Fyzické zničení nebo nezpůsobilost všech nebo některých nejdůležitějších součástí automatizovaného systému ( zařízení, nosiče důležitých systémových informací, personál atp.), odstavení nebo nezpůsobilost subsystémů, které zajišťují fungování výpočetních systémů ( napájení, komunikační linky atd.)	Organizační opatření ( regulace jednání, zavádění zákazů). Použití fyzických prostředků k zamezení úmyslného spáchání přestupku. Rezervace kritických zdrojů.
Zavedení agentů do počtu zaměstnanců systému ( včetně administrativní skupiny odpovědné za bezpečnost), nábor ( podplácením, vydíráním, výhrůžkami atd.) uživatelé, kteří mají určitá oprávnění pro přístup k chráněným zdrojům	Organizační opatření ( výběr, umístění a práce s personálem, posílení kontroly a odpovědnosti). Automatická evidence personálních akcí.
Krádež paměťových médií ( výtisky, magnetické disky, pásky, paměťová zařízení a celé PC), krádeže průmyslového odpadu ( výtisky, záznamy, vyřazená média atd.)	Organizační opatření ( ).
Neoprávněné kopírování paměťových médií, čtení zbytkových informací z RAM a externích úložných zařízení	Organizační opatření ( organizace skladování a používání médií s chráněnými informacemi). Využití technických prostředků k omezení přístupu k chráněným zdrojům a automatická evidence příjmu tištěných dokumentů.
Nelegální získávání hesel a dalších podrobností o kontrole přístupu ( tajně, pomocí nedbalosti uživatelů, výběrem, napodobováním rozhraní systému se softwarovými kartami atd.) následuje přestrojení za registrovaného uživatele.	Organizační opatření ( regulace jednání, zavádění zákazů, práce s personálem). Použití technických prostředků, které zabraňují zavedení programů k zachycení hesel, klíčů a dalších detailů.
Neoprávněné použití pracovních stanic uživatelů s jedinečnými fyzickými vlastnostmi, jako je počet pracovních stanic v síti, fyzická adresa, adresa v komunikačním systému, hardwarová kódovací jednotka atd.	Organizační opatření ( přísná regulace přístupu do prostor a přístupu k práci na těchto pracovních stanicích). Využití fyzických a technických prostředků kontroly vstupu.
Neoprávněná úprava softwaru – zavedení softwarových „záložek“ a „virů“ ( Trojské koně a chyby), tedy takové části programů, které nejsou potřebné pro implementaci deklarovaných funkcí, ale umožňují překonat ochranný systém, skrytě a nelegálně přistupovat ke zdrojům systému za účelem registrace a přenosu chráněných informací nebo narušení fungování systému.	Organizační opatření ( přísná regulace přístupu k práci). Použití fyzických a technických prostředků kontroly přístupu a zabránění neoprávněným úpravám hardwarové a softwarové konfigurace pracovní stanice. Aplikace nástrojů pro kontrolu integrity softwaru.
Zachycování dat přenášených komunikačními kanály, jejich analýza za účelem získání důvěrných informací a zjištění výměnných protokolů, pravidel pro vstup do sítě a oprávnění uživatele, s následnými pokusy o jejich napodobení proniknout do systému	Fyzická ochrana komunikačních kanálů. Aplikace prostředků kryptografické ochrany přenášených informací.
Zásahy do fungování systému z veřejných sítí za účelem neoprávněné úpravy dat, přístupu k důvěrným informacím, narušení provozu subsystémů atp.	Organizační opatření ( regulace připojení a práce ve veřejných sítích). Použití speciálních technických prostředků ochrany ( firewally, bezpečnostní kontroly a detekce útoků na systémové prostředky atd.).

6.4. Únik informací prostřednictvím technických kanálů

Při provozu technických prostředků JE jsou možné následující kanály úniku nebo porušení integrity informací, porušení výkonu technických prostředků:

rušivé elektromagnetické záření informačního signálu z technických prostředků a vedení pro přenos informací;
snímání informativního signálu zpracovaného pomocí elektronických výpočetních zařízení na vodičích a vedeních, které přesahují řízenou oblast kanceláří, vč. na zemnících a napájecích obvodech;
rozličný elektronická zařízení zachycení informací ( počítaje v to "záložky") napojené na komunikační kanály nebo technické prostředky zpracování informací;
Prohlížení informací z obrazovek displeje a jiných prostředků pro jejich zobrazování pomocí optických prostředků;
dopad na hardware nebo software s cílem narušit integritu ( destrukce, zkreslení) informace, provozuschopnost technických prostředků, prostředků ochrany informací a včasnost výměny informací, včetně elektromagnetických, prostřednictvím speciálně implementovaných elektronických a softwarových nástrojů ( "záložky").

S přihlédnutím ke specifikům zpracování a zajištění bezpečnosti informací hrozí únik důvěrných informací ( včetně osobních údajů) prostřednictvím technických kanálů jsou pro organizaci irelevantní.

6.5. Neformální model pravděpodobného vetřelce

Pachatelem je ten, kdo se pokusil o zakázané úkony (např. akce) omylem, neznalostí nebo vědomě se zlým úmyslem ( ze sobeckých zájmů) nebo bez něj ( za účelem hry nebo potěšení, za účelem sebepotvrzení atd.) a využívat k tomu různé možnosti, metody a prostředky.

Systém ochrany JE by měl být vybudován na základě předpokladů o následujících možných typech narušitelů v systému ( s přihlédnutím ke kategorii osob, motivaci, kvalifikaci, dostupnosti speciálních prostředků atp.):

« Nezkušený (nepozorný) uživatel"- zaměstnanec, který se může pokoušet provádět zakázané operace, přistupovat k chráněným zdrojům AS nad rámec svého oprávnění, zadávat nesprávná data atd. jednání omylem, nekompetentností nebo nedbalostí bez nekalého úmyslu a za použití pouze pravidelných ( jemu k dispozici) hardware a software.
« amatér"- zaměstnanec, který se snaží překonat ochranný systém bez sobeckých cílů a nekalých úmyslů, pro sebepotvrzení nebo z" sportovní zájem". K překonání ochranného systému a spáchání zakázaných akcí může použít různé metody získání dalších oprávnění pro přístup ke zdrojům ( jména, hesla atd. ostatní uživatelé), nedostatky v konstrukci systému ochrany a dostupného personálu ( nainstalované na pracovní stanici) programy ( neoprávněné akce tím, že překročí své oprávnění použít povolené prostředky). Kromě toho se může pokusit použít další nestandardní nástroje a technologický software ( debuggery, utility utility), samostatně vyvinuté programy nebo standardní doplňkové technické prostředky.
« Podvodník"- zaměstnanec, který se může pokoušet provádět nelegální technologické operace, zadávat nepravdivé údaje a podobné akce pro osobní prospěch, pod nátlakem nebo ze zlého úmyslu, avšak pouze za použití běžných ( nainstalované na pracovní stanici a dostupné mu) hardware a software vlastním jménem nebo jménem jiného zaměstnance ( znalost jeho jména a hesla, využití jeho krátké nepřítomnosti na pracovišti atp.).
« Vnější narušitel (vetřelec)„- outsider nebo bývalý zaměstnanec jednající účelově ze sobeckých zájmů, z pomsty nebo ze zvědavosti, případně v tajné dohodě s ostatními. Může využít celou řadu narušení bezpečnosti informací, metod a prostředků hackerských bezpečnostních systémů, které jsou typické pro veřejné sítě ( zejména sítě založené na IP), včetně vzdálené implementace softwarových záložek a využití speciálních přístrojových a technologických programů s využitím stávajících slabin ve výměnných protokolech a systému ochrany pro uzly sítě AS organizace.
« Vnitřní vetřelec» - zaměstnanec registrovaný jako uživatel systému, jednající účelově ze sobeckých zájmů nebo ze msty, případně v tajné dohodě s osobami, které nejsou zaměstnanci organizace. Dokáže využít celý soubor metod a prostředků hackování bezpečnostního systému, včetně tajných metod získávání přístupových údajů, pasivních prostředků (technické prostředky odposlechu bez úpravy komponent systému), metod a prostředků aktivního ovlivňování ( úprava technických prostředků, napojení na kanály přenosu dat, zavedení softwarových záložek a použití speciálních přístrojových a technologických programů), stejně jako kombinace dopadů jak zevnitř, tak z veřejných sítí.

Zasvěcenou osobou může být osoba z následujících kategorií zaměstnanců:

registrovaní koncoví uživatelé AS ( zaměstnanci oddělení a poboček);
pracovníci nesmí pracovat s AU;
personál obsluhující technické zařízení JE ( inženýři, technici);
zaměstnanci oddělení vývoje a údržby softwaru ( aplikační a systémové programátory);
technický personál obsluhující budovy a prostory organizace ( uklízeči, elektrikáři, instalatéři a další pracovníci, kteří mají přístup do budov a prostor, kde se komponenty AU nacházejí);
vůdci na různých úrovních.

propuštění pracovníci;
zástupci organizací interagujících v otázkách zajištění života organizace ( energie, voda, teplo atd.);
zástupci firem dodávajících zařízení, software, služby atd.;
členové zločineckých organizací a konkurenčních obchodních struktur nebo osoby jednající podle jejich pokynů;
osoby, které náhodně nebo úmyslně pronikly do sítí z externích sítí ( "hackeři").

Uživatelé a servisní pracovníci z řad zaměstnanců mají nejširší možnosti provádět neoprávněné akce, protože mají určité oprávnění k přístupu ke zdrojům a dobrou znalost technologie zpracování informací. Jednání této skupiny porušovatelů přímo souvisí s porušováním stávajících pravidel a pokynů. Tato skupina pachatelů představuje zvláštní nebezpečí při interakci s kriminálními strukturami.

Vysídlení pracovníci mohou k dosažení cílů využít své znalosti pracovní technologie, zabezpečení a přístupových práv.

Zločinecké struktury představují nejagresivnější zdroj vnějších hrozeb. Za účelem realizace svých plánů mohou tyto struktury otevřeně porušovat zákon a zapojovat zaměstnance organizace do své činnosti všemi silami a prostředky, které mají k dispozici.

Hackeři mají nejvyšší technickou kvalifikaci a znalosti o slabinách softwaru používaného v AS. Největší hrozbu představují při interakci s pracujícími nebo propuštěnými pracovníky a kriminálními strukturami.

Organizace zabývající se vývojem, dodávkou a opravou zařízení, informačních systémů představují vnější hrozbu vzhledem k tomu, že příležitostně mají přímý přístup k informačním zdrojům. Zločinecké struktury mohou tyto organizace využívat k dočasnému zaměstnávání svých členů za účelem přístupu k chráněným informacím.

7. Technická politika v oblasti informační bezpečnosti

7.1. Hlavní ustanovení technické politiky

Implementace technické politiky v oblasti informační bezpečnosti by měla vycházet z předpokladu, že není možné zajistit požadovanou úroveň informační bezpečnosti nejen pomocí jednoho samostatný nástroj (Události), ale také pomocí jejich jednoduché sady. Je třeba je vzájemně systematicky koordinovat ( komplexní aplikace), a jednotlivé prvky budované JE by měly být považovány za součást jednoho celku informační systém v chráněném vzoru optimální poměr technický ( hardware, software) fondy a organizační opatření.

Hlavními směry realizace technické politiky zajištění bezpečnosti informací AU je zajištění ochrany informačních zdrojů před krádeží, ztrátou, únikem, zničením, zkreslením nebo paděláním v důsledku neoprávněného přístupu a zvláštních efektů.

V rámci uvedených směrů technické politiky pro zajištění bezpečnosti informací se provádějí následující:

zavedení systému povolení pro přijímání výkonných umělců ( uživatelé, servisní personál) na díla, dokumenty a informace důvěrné povahy;
omezení přístupu výkonných umělců a neoprávněných osob do budov a prostor, kde je vykonávána důvěrná práce a kde jsou umístěny informační a komunikační prostředky, na kterých ( uloženo, přeneseno) informace důvěrné povahy přímo do prostředků informatizace a komunikace;
vymezení přístupu uživatelů a personálu údržby k informačním zdrojům, softwarovým nástrojům pro zpracování a ochranu informací v subsystémech různých úrovní a účelů zahrnutých v AS;
účtování dokumentů, informační pole, evidence akcí uživatelů a personálu údržby, kontrola neoprávněného přístupu a akcí uživatelů, personálu údržby a neoprávněných osob;
prevence zavádění virových programů, softwarových záložek do automatizovaných subsystémů;
kryptografická ochrana informací zpracovávaných a přenášených prostřednictvím počítačové technologie a komunikace;
spolehlivé úložiště strojových paměťových médií, kryptografických klíčů ( klíčová informace) a jejich oběh, s výjimkou krádeže, záměny a ničení;
nezbytná redundance technických prostředků a duplikace polí a paměťových médií;
snížení úrovně a informačního obsahu rušivého záření a interference generované různými prvky automatizovaných subsystémů;
elektrické oddělení napájecích obvodů, uzemnění a dalších obvodů objektů informatizace, které přesahují řízenou oblast;
proti působení optických a laserových pozorovacích prostředků.

7.2. Vytvoření režimu informační bezpečnosti

S přihlédnutím ke zjištěným hrozbám pro bezpečnost jaderné elektrárny by měl být režim informační bezpečnosti vytvořen jako soubor metod a opatření k ochraně informací obíhajících v jaderné elektrárně a infrastruktury, která je podporuje, před náhodnými nebo záměrnými účinky přirozené nebo umělé povahy, což má za následek poškození vlastníků nebo uživatelů informací.

Soubor opatření pro vytvoření režimu informační bezpečnosti zahrnuje:

zřízení v AS organizačně právního režimu informační bezpečnosti ( regulační dokumenty, práce s personálem, kancelářská práce);
provádění organizačních a technických opatření na ochranu omezených informací před únikem přes technické kanály;
organizační a softwarová a hardwarová opatření zabraňující neoprávněným akcím ( přístup) do informačních zdrojů AU;
soubor opatření ke kontrole fungování prostředků a systémů na ochranu informačních zdrojů omezené distribuce po náhodných nebo záměrných dopadech.

8. Opatření, metody a prostředky k zajištění bezpečnosti informací

8.1. Organizační zajištění

Organizační zajištění- jedná se o organizační opatření, která upravují procesy fungování AS, využívání jejich zdrojů, činnost personálu údržby, jakož i postup pro uživatele při interakci se systémem tak, aby co nejvíce bránily nebo vylučovaly možnost implementace bezpečnostních hrozeb a snížení výše škod v případě jejich implementace.

8.1.1. Tvorba bezpečnostní politiky

Hlavním cílem organizačních opatření je vytvořit politiku informační bezpečnosti, která odráží přístupy k ochraně informací, a zajistit její realizaci vyčleněním potřebných zdrojů a sledováním stavu věcí.

Z praktického hlediska je vhodné rozdělit bezpečnostní politiku JE do dvou úrovní. Nejvyšší úroveň zahrnuje rozhodnutí, která ovlivňují činnost organizace jako celku. Příklady takových řešení mohou být:

vytvoření nebo revize komplexního programu informační bezpečnosti, určení osob odpovědných za jeho realizaci;
formulace cílů, stanovení úkolů, stanovení oblastí činnosti v oblasti informační bezpečnosti;
rozhodování o provádění bezpečnostního programu, které se posuzuje na úrovni organizace jako celku;
poskytování normativních ( právní) databáze bezpečnostních problémů atd.

Politika nižší úrovně definuje postupy a pravidla pro dosažení cílů a řešení problémů informační bezpečnosti a upřesňuje (upravuje) tato pravidla:

jaký je rozsah politiky bezpečnosti informací;
jaké jsou role a povinnosti úředníků odpovědných za provádění politiky bezpečnosti informací;
kdo má přístupová práva k omezeným informacím;
kdo a za jakých podmínek může číst a upravovat informace atd.

Politika nižší úrovně by měla:

zajistit regulaci informačních vztahů s vyloučením možnosti svévolného, monopolního nebo neoprávněného jednání ve vztahu k důvěrným informačním zdrojům;
určit koaliční a hierarchické principy a metody pro sdílení tajemství a omezení přístupu k omezeným informacím;
zvolit softwarovou a hardwarovou kryptografickou ochranu, zabraňující neoprávněnému přístupu, autentizaci, autorizaci, identifikaci a další ochranné mechanismy, které zajišťují realizaci práv a povinností subjektů informačních vztahů.

8.1.2. Regulace přístupu k technickým zařízením

Provoz zabezpečených pracovních stanic a serverů Banky by měl být prováděn v prostorách vybavených spolehlivými automatickými zámky, poplašnými systémy a trvale střeženými nebo monitorovanými, s vyloučením možnosti neoprávněného vstupu do prostor neoprávněných osob a zajištěním fyzické bezpečnosti umístěných chráněných zdrojů. v prostorách ( AWS, dokumenty, přístupové údaje atd.). Umístění a instalace technických prostředků takových pracovních stanic by měla vyloučit možnost vizuálního sledování vstupu ( odvozený) informace od osob, které s tím nesouvisejí. Úklid prostor s nainstalovaným zařízením by měl být prováděn za přítomnosti odpovědné osoby, které jsou tyto technické prostředky přiděleny, nebo pracovníka útvaru v souladu s opatřeními, která vylučují přístup neoprávněných osob k chráněným zdrojům.

Během zpracování důvěrných informací by v prostorách měli být přítomni pouze pracovníci oprávnění s těmito informacemi pracovat.

Na konci pracovního dne musí být prostory s nainstalovanými chráněnými pracovišti střeženy.

Pro uchovávání úředních dokumentů a strojových médií s chráněnými informacemi jsou zaměstnancům k dispozici kovové skříně a prostředky pro likvidaci dokumentů.

Technické prostředky, které se používají ke zpracování nebo uchování důvěrných informací, musí být zapečetěny.

8.1.3. Regulace přístupu zaměstnanců k využívání informačních zdrojů

V rámci povolovacího systému je stanoveno: kdo, komu, jaké informace a pro jaký typ přístupu může poskytovat a za jakých podmínek; systém řízení přístupu, který zahrnuje definici všech uživatelů AS informačních a softwarových zdrojů, které mají k dispozici pro konkrétní operace ( číst, zapisovat, upravovat, mazat, spouštět) pomocí specifikovaných softwarových a hardwarových přístupových nástrojů.

Přijímání pracovníků ke spolupráci s AU a přístup k jejich zdrojům musí být přísně regulovány. Jakékoli změny ve složení a pravomocích uživatelů subsystémů AU by měly být prováděny předepsaným způsobem.

Hlavními uživateli informací v AS jsou zaměstnanci strukturních útvarů organizace. Úroveň oprávnění každého uživatele se určuje individuálně při dodržení následujících požadavků:

otevřené a důvěrné informace jsou pokud možno umístěny na různých serverech;
každý zaměstnanec má pouze práva, která mu byla přidělena ve vztahu k informacím, se kterými potřebuje pracovat v souladu se svými úředními povinnostmi;
šéf má právo nahlížet do informací svých podřízených;
nejkritičtější technologické operace by měly být prováděny podle pravidla "dvě ruce"- správnost zadaných údajů potvrzuje jiný úředník, který nemá právo zadávat údaje.

Všichni zaměstnanci přijatí k práci v JE a pracovníci údržby JE musí nést osobní odpovědnost za porušení stanoveného postupu pro automatizované zpracování informací, pravidel pro uchovávání, používání a přenos chráněných systémových zdrojů, kterými disponují. Každý zaměstnanec musí při přijímání podepsat Závazek k dodržování požadavků na uchování důvěrných informací a odpovědnosti za jejich porušení, jakož i k implementaci pravidel pro práci s chráněnými informacemi v AS.

Zpracování chráněných informací v subsystémech AU by mělo probíhat v souladu se schválenými technologickými pokyny ( objednávky) pro tyto subsystémy.

Pro uživatele chráněné pracovními stanicemi by měly být vypracovány potřebné technologické pokyny včetně požadavků na zajištění bezpečnosti informací.

8.1.4. Regulace procesů údržby databází a úpravy informačních zdrojů

Veškeré operace pro údržbu databází v AU a přijímání zaměstnanců k práci s těmito databázemi musí být přísně regulovány. Jakékoli změny ve složení a pravomocích uživatelů databáze AS musí být provedeny předepsaným způsobem.

Distribuce jmen, generování hesel, udržování pravidel pro delimitaci přístupu k databázím je svěřeno pracovníkům katedry informačních technologií. V tomto případě lze použít běžné i doplňkové prostředky ochrany DBMS a operačních systémů.

8.1.5. Regulace procesů údržby a modifikace hardwarových a softwarových prostředků

Systémové prostředky, které mají být chráněny ( úkoly, programy, pracovní stanice) podléhají přísnému účetnictví ( na základě použití vhodných formulářů nebo specializovaných databází).

Hardwarová a softwarová konfigurace automatizovaných pracovních stanic, kde se zpracovávají chráněné informace nebo z nichž je možný přístup ke chráněným zdrojům, musí odpovídat rozsahu funkčních povinností přidělených uživatelům této pracovní stanice. Všechna nepoužitá (extra) informační vstupně-výstupní zařízení ( COM, USB, LPT porty, disketové jednotky, CD a další paměťová média) na těchto pracovních stanicích je nutné deaktivovat (smazat), smazat nepotřebný software a data z disků pracovních stanic.

Pro zjednodušení údržby, údržby a organizace ochrany by měly být pracovní stanice vybaveny softwarem a konfigurovány jednotným způsobem ( v souladu se stanovenými pravidly).

Zprovoznění nových pracovních stanic a veškeré změny v konfiguraci hardwaru a softwaru, stávajících pracovních stanic v AS organizace by měly být prováděny pouze v souladu se stanoveným postupem.

Veškerý software ( vyvinuté specialisty organizace, získané nebo zakoupené od výrobců) předepsaným způsobem otestovat a přenést do programového depozitáře organizace. V subsystémech AS by měly být instalovány a používány pouze softwarové nástroje přijaté v určeném pořadí z depozitáře. Používání softwaru v AS, který není součástí programového depozitáře, by mělo být zakázáno.

Vývoj software, testování vyvinutého a pořízeného software, převod software do provozu musí být prováděn v souladu se stanoveným postupem.

8.1.6. Školení a vzdělávání uživatelů

Před udělením přístupu k AS se jeho uživatelé, jakož i pracovníci managementu a údržby musí seznámit se seznamem důvěrných informací a úrovní jejich oprávnění, jakož i s organizační, administrativní, regulační, technickou a provozní dokumentací, která definuje požadavky a postup zpracování těchto informací.

Ochrana informací ve všech výše uvedených oblastech je možná až po rozvinutí určité disciplíny mezi uživateli, tzn. normy, které jsou povinné pro všechny, kteří v AS pracují. Mezi takové normy patří zákaz jakýchkoli úmyslných či neúmyslných akcí, které narušují normální provoz AS, způsobují dodatečné náklady na zdroje, narušují integritu uložených a zpracovávaných informací a porušují zájmy oprávněných uživatelů.

Všichni zaměstnanci, kteří při své práci využívají konkrétní subsystémy AU, musí znát organizační a administrativní dokumenty k ochraně AU v části, která se jich týká, musí znát a důsledně dodržovat technologické pokyny a obecné povinnosti k zajištění bezpečnosti. informací. Předání požadavků těchto dokumentů osobám oprávněným ke zpracování chráněných informací by měli provádět vedoucí oddělení proti podpisu.

8.1.7. Odpovědnost za porušení požadavků na bezpečnost informací

U každého závažného porušení požadavků na bezpečnost informací zaměstnanci organizace by mělo být provedeno interní vyšetřování. Na pachatele by měla být použita vhodná opatření. Míra odpovědnosti personálu za jednání spáchané v rozporu se stanovenými pravidly pro zajištění bezpečného automatizovaného zpracování informací by měla být určena způsobenou škodou, přítomností nekalého úmyslu a dalšími faktory.

K implementaci principu osobní odpovědnosti uživatelů za jejich jednání je nutné:

individuální identifikace uživatelů a jimi iniciovaných procesů, tzn. stanovení jejich identifikátoru, na jehož základě bude v souladu se zásadou přiměřenosti přístupu prováděna diferenciace přístupu;
Ověření uživatele ( autentizace) na základě hesel, klíčů na jiné fyzické bázi atd.;
Registrace ( protokolování) fungování mechanismů pro kontrolu přístupu ke zdrojům informačního systému s uvedením data a času, identifikátorů požadujících a požadovaných zdrojů, typu interakce a jejího výsledku;
reakce na pokusy o neoprávněný přístup ( alarm, blokování atd.).

8.2. Technické prostředky ochrany

Technické ( hardware a software) prostředky ochrany - různá elektronická zařízení a speciální programy, které jsou součástí AU a plní (samostatně nebo v kombinaci s jinými prostředky) ochranné funkce ( identifikace a autentizace uživatelů, řízení přístupu ke zdrojům, registrace událostí, kryptografická ochrana informací atd.).

S přihlédnutím ke všem požadavkům a zásadám pro zajištění bezpečnosti informací v AS ve všech oblastech ochrany by měly být do systému ochrany zahrnuty tyto prostředky:

prostředky pro autentizaci uživatelů a prvků AS ( terminály, úlohy, databázové prvky atd.) odpovídající míře důvěrnosti informací a zpracovávaných údajů;
prostředky pro rozlišování přístupu k údajům;
prostředky pro šifrovací ochranu informací na linkách pro přenos dat a v databázích;
prostředky pro registraci odvolání a sledování používání chráněných informací;
prostředky reakce na detekované UA nebo pokusy o UA;
prostředky pro snížení úrovně a informačního obsahu rušivého záření a snímačů;
prostředky ochrany proti optickým prostředkům pozorování;
prostředky ochrany před viry a škodlivými programy;
prostředky elektrického oddělení prvků JE a konstrukčních prvků prostor, ve kterých je zařízení umístěno.

Technickým prostředkům ochrany před neoprávněným přístupem jsou přiděleny tyto hlavní úkoly:

identifikace a autentizace uživatelů pomocí jmen a/nebo speciálního hardwaru ( Dotyková paměť, čipová karta atd.);
regulace přístupu uživatelů k fyzickým zařízením pracovních stanic ( disky, I/O porty);
selektivní (volné) řízení přístupu k logickým jednotkám, adresářům a souborům;
autoritativní (povinné) rozlišování přístupu k chráněným datům na pracovní stanici a na souborovém serveru;
vytvoření uzavřeného softwarové prostředí povoleno spouštět programy umístěné na lokálních i síťových discích;
ochrana proti pronikání počítačových virů a škodlivých programů;
kontrola integrity modulů systému ochrany, systémových oblastí disku a libovolných seznamů souborů v automatickém režimu a příkazy správce;
registrace akcí uživatele v chráněném protokolu, přítomnost několika úrovní registrace;
ochrana dat systému ochrany na souborovém serveru před přístupem všech uživatelů, včetně správce sítě;
centralizovaná správa nastavení řízení přístupu na síťových pracovních stanicích;
registrace všech událostí UA vyskytujících se na pracovních stanicích;
provozní kontrola nad prací uživatelů sítě, změna provozních režimů pracovních stanic a možnost blokování ( Pokud je potřeba) jakékoli síťové stanice.

Úspěšná aplikace technických prostředků ochrany předpokládá, že splnění níže uvedených požadavků je zajištěno organizačními opatřeními a použitými fyzickými prostředky ochrany:

je zajištěna fyzická integrita všech složek AU;
každý pracovník uživatel systému) má jedinečný název systému a minimální oprávnění nezbytné k plnění svých funkčních povinností pro přístup k systémovým zdrojům;
použití přístrojových a technologických programů na pracovních stanicích ( testovací nástroje, debuggery atd.), které umožňují pokusy o hackování nebo obcházení bezpečnostních opatření, je omezeno a přísně regulováno;
v zabezpečeném systému nejsou žádní programující uživatelé a vývoj a ladění programů se provádí mimo zabezpečený systém;
veškeré změny v konfiguraci hardwaru a softwaru jsou prováděny přísně stanoveným způsobem;
síťový hardware ( rozbočovače, přepínače, routery atd.) se nachází v místech nepřístupných cizím osobám ( speciální místnosti, kabinety atd.);
služba bezpečnosti informací zajišťuje nepřetržitou správu a administrativní podporu provozu nástrojů ochrany informací.

8.2.1. Prostředky identifikace a autentizace uživatelů

Aby se zabránilo přístupu neoprávněných osob k AS, je nutné zajistit, aby systém rozpoznal každého legitimního uživatele (nebo omezené skupiny uživatelů). Za tímto účelem v systému ( na chráněném místě) by měl ukládat řadu atributů každého uživatele, podle kterých lze tohoto uživatele identifikovat. Uživatel se musí v budoucnu při vstupu do systému a případně i při provádění některých úkonů v systému identifikovat, tzn. uveďte identifikátor, který je mu přidělen v systému. Kromě toho lze k identifikaci použít různé typy zařízení: magnetické karty, klíčenky, diskety atd.

Autentizace ( autentizace) uživatelé by měli být prováděni pomocí hesel (tajných slov) nebo speciálních prostředků ověření autentizace jedinečné vlastnosti(parametry) uživatelů.

8.2.2. Prostředky pro omezení přístupu ke zdrojům Automatizovaného systému

Po rozpoznání uživatele musí systém uživatele autorizovat, to znamená určit, jaká práva jsou uživateli udělena, tzn. jaká data a jak je může využívat, jaké programy může spouštět, kdy, jak dlouho a z jakých terminálů může pracovat, jaké systémové prostředky může využívat atd. Autorizace uživatele musí být provedena pomocí následujících mechanismů pro implementaci řízení přístupu:

mechanismy pro selektivní řízení přístupu založené na použití schémat atributů, seznamů oprávnění atd.;
mechanismy pro autoritativní řízení přístupu založené na použití štítků citlivosti zdrojů a úrovní uživatelského přístupu;
mechanismy pro zajištění uzavřeného prostředí důvěryhodného softwaru ( individuální pro každého uživatele seznamy programů povolených ke spuštění) podporované mechanismy pro identifikaci a autentizaci uživatelů, když se přihlašují do systému.

Oblasti odpovědnosti a úkoly konkrétních technických prostředků ochrany jsou stanoveny na základě jejich schopností a výkonnostních charakteristik popsaných v dokumentaci k těmto prostředkům.

Technické prostředky kontroly přístupu by měly být nedílnou součástí jednotného systému kontroly přístupu:

na kontrolované území;
v oddělených místnostech;
na prvky AS a prvky systému informační bezpečnosti ( fyzický přístup);
ke zdrojům AS ( softwarově-matematický přístup);
do informačních úložišť ( paměťová média, svazky, soubory, datové sady, archivy, reference, záznamy atd.);
k aktivním zdrojům ( aplikační programy, úkoly, formuláře žádostí atd.);
na operační systém, systémové programy a bezpečnostní programy atd.

8.2.3. Prostředky pro zajištění a monitorování integrity softwaru a informačních zdrojů

Měla by být zajištěna kontrola integrity programů, zpracovávaných informací a prostředků ochrany, aby byla zajištěna neměnnost softwarového prostředí určeného poskytovanou technologií zpracování, a ochrana před neoprávněnou opravou informací:

prostředky pro výpočet kontrolních součtů;
prostředek elektronický podpis;
prostředky pro porovnání kritických zdrojů s jejich referenčními kopiemi ( a obnovení v případě porušení integrity);
prostředky kontroly přístupu ( odepřít přístup s právy na úpravu nebo odstranění).

Aby byly informace a programy chráněny před neoprávněným zničením nebo zkreslením, je nutné zajistit:

duplikace systémových tabulek a dat;
duplexování a zrcadlení dat na discích;
sledování transakcí;
pravidelné kontroly integrity operační systém a uživatelské programy, stejně jako uživatelské soubory;
antivirová ochrana a kontrola;
zálohování dat podle předem určeného schématu.

8.2.4. Ovládací prvky bezpečnostních událostí

Kontroly by měly zajistit, aby byly všechny události detekovány a zaznamenány ( akce uživatele, pokusy UA atd.), což může vést k porušení bezpečnostní politiky a ke krizovým situacím. Ovládací prvky by měly poskytovat možnost:

neustálé sledování klíčových síťových uzlů a komunikačních zařízení tvořících síť, jakož i síťové aktivity v klíčových segmentech sítě;
kontrola nad používáním služeb podnikové a veřejné sítě uživateli;
údržba a analýza protokolů bezpečnostních událostí;
včasné odhalení vnějších a vnitřních hrozeb pro informační bezpečnost.

Při protokolování událostí zabezpečení by měly být do systémového protokolu zaznamenány následující informace:

datum a čas události;
identifikátor předmětu ( uživatel, program) provedení registrované akce;
akce ( pokud je registrován požadavek na přístup, zaznamená se objekt a typ přístupu).

Ovládací prvky by měly zajistit detekci a záznam následujících událostí:

uživatelské přihlášení;
přihlášení uživatele do sítě;
neúspěšné přihlášení nebo pokus o připojení k síti ( špatné zadání hesla);
připojení k souborovému serveru;
spuštění programu;
dokončení programu;
pokus o spuštění programu, který nelze spustit;
pokus o získání přístupu k nepřístupnému adresáři;
pokus o čtení/zápis informací z disku, který je pro uživatele nepřístupný;
pokus o spuštění programu z disku, který je uživateli nepřístupný;
narušení integrity programů a dat systému ochrany atd.

Měly by být podporovány následující hlavní způsoby reakce na zjištěná fakta o UA ( případně za účasti bezpečnostního správce):

upozornění vlastníka na informace o UA k jeho údajům;
odstranění programu ( úkoly) z další exekuce;
upozornění správce databáze a bezpečnostního správce;
vypnutí terminálu ( pracovní stanice), ze kterých byly prováděny pokusy UA o přístup k informacím nebo nezákonné akce na síti;
vyloučení porušovatele ze seznamu registrovaných uživatelů;
vydávání poplachu atd.

8.2.5. Kryptografické prostředky ochrany informací

Jedním z nejdůležitějších prvků systému informační bezpečnosti AU by mělo být využívání kryptografických metod a prostředků k ochraně informací před neoprávněným přístupem při jejich přenosu komunikačními kanály a ukládání na počítačová média.

Všechny prostředky ochrany kryptografických informací v AS by měly být založeny na základním kryptografickém jádru. Pro právo používat kryptografická média musí mít organizace zákonem stanovené licence.

Klíčový systém prostředků kryptografické ochrany používaný v AS by měl poskytovat šifrovací schopnost přežití a víceúrovňovou ochranu proti kompromitaci klíčových informací, oddělení uživatelů podle úrovní ochrany a zón jejich interakce mezi nimi samými a uživateli jiných úrovní.

Důvěrnost a ochrana před imitací informací během jejich přenosu komunikačními kanály by měla být zajištěna pomocí šifrování předplatitelů a kanálů v systému. Kombinace předplatitelského a kanálového šifrování informací by měla zajistit jejich end-to-end ochranu po celé cestě průchodu, chránit informace v případě jejich chybného přesměrování v důsledku poruch a poruch hardwaru a softwaru ústředen.

AS, což je systém s distribuovanými informačními zdroji, by měl využívat i prostředky generování a ověřování elektronického podpisu, které zajišťují integritu a právní průkaz pravosti zpráv, jakož i autentizaci uživatelů, účastnických stanic a potvrzování čas odesílání zpráv. V tomto případě by měly být použity standardizované algoritmy elektronického podpisu.

8.3. Řízení informační bezpečnosti

Řízení systému informační bezpečnosti v AS je cíleným dopadem na komponenty bezpečnostního systému ( organizační, technické, softwarové a kryptografické) za účelem dosažení požadovaných ukazatelů a standardů bezpečnosti informací obíhajících v JE v kontextu realizace hlavních bezpečnostních hrozeb.

Hlavním cílem organizace správy systému bezpečnosti informací je zvýšení spolehlivosti ochrany informací v procesu jejich zpracování, ukládání a přenosu.

Řízení systému informační bezpečnosti je realizováno specializovaným řídicím subsystémem, což je soubor ovládacích, technických, softwarových a kryptografických nástrojů, jakož i organizačních opatření a vzájemně se ovlivňujících kontrolních bodů různých úrovní.

Funkce řídicího subsystému jsou: informační, řídicí a pomocná.

Informační funkce spočívá v nepřetržitém sledování stavu systému ochrany, kontrole souladu bezpečnostních ukazatelů s přijatelnými hodnotami a okamžitém informování bezpečnostních operátorů o situacích, které v jaderné elektrárně vznikají a mohou vést k narušení informační bezpečnosti. Pro sledování stavu ochranného systému jsou kladeny dva požadavky: úplnost a spolehlivost. Úplnost charakterizuje stupeň pokrytí všech prostředků ochrany a parametry jejich fungování. Spolehlivost řízení charakterizuje míru přiměřenosti hodnot řízených parametrů k jejich skutečné hodnotě. V důsledku zpracování řídicích dat jsou generovány informace o stavu ochranného systému, které jsou zobecňovány a přenášeny do vyšších řídicích bodů.

Kontrolní funkcí je tvorba plánů realizace technologických operací jaderné elektrárny s přihlédnutím k požadavkům na informační bezpečnost v podmínkách panujících pro tento momentčasu, jakož i při zjišťování místa situace informační zranitelnosti a zamezení jejímu úniku z důvodu rychlého blokování úseků JE, kde dochází k ohrožení bezpečnosti informací. Mezi funkce správy patří účtování, ukládání a vydávání dokumentů a informačních médií, hesel a klíčů. Současně probíhá generování hesel, klíčů, údržba nástrojů pro kontrolu přístupu, přijímání nového softwaru obsaženého v softwarovém prostředí AS, kontrola souladu softwarového prostředí s normou, jakož i kontrola nad postupem technologického procesem zpracování důvěrných informací jsou pověřeni pracovníci katedry informačních technologií a katedry hospodářské bezpečnosti.

Pomocné funkce řídicího subsystému zahrnují účtování všech operací prováděných v AS s chráněnými informacemi, vytváření hlášení dokumentů a sběr statistických dat za účelem analýzy a identifikace potenciálních kanálů úniku informací.

8.4. Sledování účinnosti ochranného systému

Sledování účinnosti systému informační bezpečnosti je prováděno za účelem včasného odhalení a zamezení úniku informací v důsledku neoprávněného přístupu k nim, jakož i zamezení případných speciálních efektů směřujících ke zničení informací, zničení nástrojů informatizace.

Hodnocení účinnosti opatření na ochranu informací se provádí pomocí organizačních, technických a softwarových kontrol shody se stanovenými požadavky.

Řízení lze provádět jak pomocí standardních prostředků systému informační bezpečnosti, tak pomocí speciálních prostředků řízení a technologického monitoringu.

8.5. Vlastnosti zajištění informační bezpečnosti osobních údajů

Klasifikace osobních údajů se provádí v souladu se závažností následků ztráty bezpečnostních vlastností osobních údajů pro subjekt osobních údajů.

O osobních údajích “ na zvláštní kategorie osobních údajů;
osobní údaje klasifikované v souladu s federálním zákonem " O osobních údajích ” na biometrické osobní údaje;
osobní údaje, které nelze přiřadit ke zvláštním kategoriím osobních údajů, k biometrickým osobním údajům, k veřejně dostupným nebo depersonalizovaným osobním údajům;
osobní údaje klasifikované v souladu s federálním zákonem " O osobních údajích “ na veřejně dostupné nebo neidentifikovatelné osobní údaje.

Předání osobních údajů třetí straně musí být provedeno na základě spolkového zákona nebo souhlasu subjektu osobních údajů. V případě, že organizace pověří zpracováním osobních údajů třetí osobu na základě smlouvy, je nezbytnou podmínkou takové smlouvy povinnost třetí osoby zajistit důvěrnost osobních údajů a bezpečnost osobních údajů při jejich zpracování.

Organizace musí ukončit zpracování osobních údajů a shromážděné osobní údaje zlikvidovat, pokud právní předpisy Ruské federace nestanoví jinak, ve lhůtách stanovených právními předpisy Ruské federace v následujících případech:

při dosažení účelů zpracování nebo v případě, kdy jejich dosažení již není nutné;
na žádost subjektu osobních údajů nebo Pověřeného orgánu ochrany práv subjektů osobních údajů - jsou-li osobní údaje neúplné, neaktuální, nepřesné, získané nezákonně nebo nejsou nezbytné pro uvedený účel zpracování;
když subjekt osobních údajů odvolá souhlas se zpracováním svých osobních údajů, pokud je takový souhlas vyžadován v souladu s právními předpisy Ruské federace;
není-li ze strany provozovatele možné odstranit porušení, ke kterým došlo při zpracování osobních údajů.

Organizace by měla definovat a dokumentovat:

postup při likvidaci osobních údajů ( včetně hmotných nosičů osobních údajů);
postup při vyřizování žádostí subjektů osobních údajů ( nebo jejich zákonných zástupců) o zpracování jejich osobních údajů;
postup při úkonech v případě žádostí Pověřeného orgánu ochrany práv subjektů osobních údajů nebo jiných dozorových orgánů vykonávajících kontrolu a dozor v oblasti osobních údajů;
přístup k přiřazování AS k informačním systémům osobních údajů ( Dále - ISPD );
seznam ISPD. Seznam ISPD by měl obsahovat AS, jejichž účelem je zpracování osobních údajů.

Pro každý ISPD musí být stanoveno a zdokumentováno následující:

účel zpracování osobních údajů;
objem a obsah zpracovávaných osobních údajů;
seznam úkonů s osobními údaji a způsoby jejich zpracování.

Objem a obsah osobních údajů, jakož i výčet úkonů a způsobů zpracování osobních údajů musí odpovídat účelům zpracování. V případě, že pro uskutečnění procesu informačních technologií, jehož realizace je podporována ISPD, není potřeba zpracovávat některé osobní údaje, musí být tyto osobní údaje vymazány.

Požadavky na zajištění bezpečnosti osobních údajů v ISPD jsou obecně realizovány souborem organizačních, technologických, technických a softwarových opatření, prostředků a mechanismů ochrany informací.

Organizace provádění a ( nebo) implementaci požadavků na zajištění bezpečnosti osobních údajů by měla provádět strukturální jednotka nebo úředník (zaměstnanec) organizace odpovědné za zajištění bezpečnosti osobních údajů nebo na smluvním základě organizace - protistrana organizace, která má licenci na technickou ochranu důvěrných informací.

Vytvoření ISPD organizace by mělo zahrnovat vývoj a schválení ( tvrzení) organizační, administrativní, projektovou a provozní dokumentaci vytvářeného systému podle zadání. Dokumentace by měla odrážet problematiku zajištění bezpečnosti zpracovávaných osobních údajů.

Vývoj koncepcí, technických specifikací, návrh, tvorba a testování, akceptace a zprovoznění ISPD by měly být prováděny po dohodě a pod kontrolou strukturální jednotky nebo úředníka (zaměstnance) odpovědného za zajištění bezpečnosti osobních údajů.

Veškerá informační aktiva patřící do ISPD organizace musí být chráněna před dopadem Škodlivý kód. Organizace musí definovat a dokumentovat požadavky na zajištění bezpečnosti osobních údajů pomocí antivirové ochrany a postup při sledování plnění těchto požadavků.

Organizace musí definovat systém řízení přístupu, který umožňuje řízení přístupu ke komunikačním portům, vstupním/výstupním zařízením, vyměnitelným médiím a externí disky informace ISPD.

Vedoucí provozních a servisních úseků ISPD organizace zajišťují bezpečnost osobních údajů při jejich zpracování v ISPD.

Zaměstnanci, kteří zpracovávají osobní údaje v ISPD, musí jednat v souladu s pokyny ( řízení, předpisy atd.), která je součástí provozní dokumentace pro ISPD, a splňují požadavky dokumentů pro zajištění IS.

Odpovědnosti za správu ochranných nástrojů a ochranných mechanismů, které implementují požadavky na zajištění informační bezpečnosti ISPD organizace, jsou stanoveny příkazy ( objednávky) pro specialisty oddělení informačních technologií.

Postup pro jednání specialistů oddělení informačních technologií a pracovníků podílejících se na zpracování osobních údajů musí být stanoven pokyny ( pokyny), které zpracovává zpracovatel ISPD jako součást provozní dokumentace pro ISPD.

Zadané pokyny ( průvodci):

stanovit požadavky na kvalifikaci personálu v oblasti informační bezpečnosti a také aktuální seznam chráněných objektů a pravidla pro jeho aktualizaci;
obsahovat úplné a aktuální časem) autorizační údaje uživatele;
obsahovat údaje o technologii zpracování informací v rozsahu nezbytném pro specialistu na informační bezpečnost;
nastavit pořadí a frekvenci analýzy protokolů událostí ( archivy časopisů);
regulovat další činnosti.

Konfigurační parametry prostředků ochrany a mechanismů ochrany informací před neoprávněným přístupem, používaných v oblasti odpovědnosti specialistů katedry informačních technologií, jsou stanoveny v provozní dokumentaci pro ISPD. Pořadí a četnost kontrol nastavených konfiguračních parametrů je stanovena v provozní dokumentaci nebo upravena interním dokumentem, přičemž kontroly by měly být prováděny minimálně 1x ročně.

Organizace musí definovat a zdokumentovat postup pro přístup do prostor, kde jsou umístěny technické prostředky ISPD a kde jsou uloženy nosiče osobních údajů, který zajišťuje kontrolu vstupu nepovolaných osob do areálu a přítomnost překážek neoprávněného vstupu do areálu. . Stanovený postup musí vypracovat konstrukční jednotka nebo úředník ( pracovník odpovědný za zajištění režimu fyzické bezpečnosti a schválený strukturální jednotkou nebo úředníkem ( pracovník), odpovědný za zajištění bezpečnosti osobních údajů, a odbor ekonomického zabezpečení.

Uživatelé ISPD a pracovníci údržby by neměli provádět neoprávněné a ( nebo) neregistrovaný ( nekontrolovaně) kopírování osobních údajů. Za tímto účelem by organizační a technická opatření měla zakázat neoprávněné a ( nebo) neregistrovaný ( nekontrolovaně) kopírování osobních údajů, včetně používání zcizitelných ( zaměnitelné) paměťová média, mobilní zařízení pro kopírování a přenos informací, komunikační porty a vstupní/výstupní zařízení, která implementují různá rozhraní ( včetně bezdrátového), úložná zařízení mobilních zařízení ( např. notebooky, PDA, chytré telefony, mobilní telefony ), stejně jako foto a video zařízení.

Kontrolu osobní bezpečnosti provádí specialista na informační bezpečnost, a to jak pomocí standardních prostředků systému informační bezpečnosti, tak pomocí speciálních prostředků kontroly a technologického monitoringu.

Stažení ZIP soubor (65475)

Dokumenty se hodily - dejte "like" nebo:

Pokud existuje hrozba, musí existovat metody ochrany a protiopatření.. Metody jsou prostředky k dosažení stanovených cílů a pořadí metod použití sil k ochraně důvěrných informací.

Princip lidského působení na podvědomí je určen k dosažení pozitivní výsledky. Zkušenosti profesionálů v oblasti informační bezpečnosti celkem jasně definovaly soubor prostředků, sil a technik směřujících k zaručení informační bezpečnosti či spolehlivosti informací.

Zajištění spolehlivosti informací nebo bezpečnosti informací je dosaženo prostřednictvím následujících akcí zaměřených na:

Identifikace hrozeb je vyjádřena slušnou analýzou a kontrolou přípustného výskytu potenciálních nebo skutečných hrozeb a také včasnými opatřeními k jejich prevenci;
prevence hrozeb se dosahuje zajištěním informační bezpečnosti nebo spolehlivosti informací ve prospěch předvídání a jejich výskytu
odhalovat hrozby pomocí analýzy rizik;
Zařazení opatření k eliminaci hrozby nebo trestných činů a lokalizace trestných činů;
detekce hrozeb, dosahovaná identifikací konkrétních trestných činů a skutečných hrozeb;
eliminaci důsledků v souvislosti s hrozbami a konkrétními trestnými činy. Obnovení status quo (obr. 1).

Způsoby ochrany informací:

překážka - prostředek fyzického blokování akcí útočníka ohledně kritických informací
řízení přístupu - prostředek ochrany informací regulací využívání všech IP zdrojů v IT. Takové metody by měly chránit před informacemi
Šifrovací algoritmy - metody jsou implementovány jak při ukládání, tak při zpracování informací. Při přenosu informací jde o hlavní a jediný způsob ochrany
Regulace je vytvoření podmínek pro uchovávání a zpracování informací v informačním systému, za kterých jsou v největší míře implementovány standardní a ochranné standardy.
Nátlak je ochranný prostředek, který nutí uživatele dodržovat pravidla pro práci v informačním systému
Motivace – prostředek ochrany, který povzbuzuje uživatele informačního systému, aby neporušovali pravidla, na úkor etických a morálních standardů.
Hardware - zařízení, která jsou zabudována do výpočetních mechanismů nebo připojena pomocí rozhraní
fyzické prostředky - různé inženýrské struktury, které chrání personál, informace, zařízení, věci před vetřelci
Software – software, který je zabudován do informačního systému za účelem implementace ochrany
Organizační prostředky - jsou dosahovány na základě regulačních dokumentů, které upravují práci zaměstnanců tak, aby byla realizována maximální ochrana informačního systému

Prevenci protiprávního jednání a možného jednání lze zajistit různými prostředky a opatřeními, od respektování vztahů mezi zaměstnanci organizačními metodami až po ochranu hardwarovou, fyzickou, softwarovou a metodami (nebo nebo). Prevence ohrožení je možná i fází získávání informací o přípravných akcích, připravovaných úkonech, plánovaných krádežích a dalších prvcích kriminálních akcí. Pro takové účely je nutné s informátory v různých oblastech činnosti s různými úkoly. Někteří pozorují a objektivně hodnotí současnou situaci. Jiní hodnotí vztahy zaměstnanců v rámci týmu v různých částech podniku. Ještě další pracují mezi zločineckými skupinami a konkurenty.

Obrázek 1

Pro předcházení hrozbám hraje velmi důležitou roli činnost informační a analytické bezpečnostní služby založená na analýze zvláštní situace a činnosti narušitelů a konkurentů. Pokud máte přístup k internetu, bezpečnostní služba. A také nebo .

Ochrana před prozrazením dat se redukuje na vytvoření katalogu informací, které představují v podniku obchodní tajemství. Na tento katalog informací musí být upozorněn každý zaměstnanec v podniku s písemnou povinností tohoto zaměstnance zachovávat toto tajemství. Jednou z důležitých akcí je systém kontroly zachování integrity a důvěrnosti obchodního tajemství.

Ochrana důvěrných informací před únikem funguje na základě účtování, identifikace a kontroly pravděpodobných únikových cest v konkrétních situacích a také provádění technických, organizačních, organizačních a technických opatření k jejich likvidaci.

Ochrana důvěrných informací před neoprávněným přístupem funguje na základě implementace technických, organizačních, organizačních a technických postupů proti neoprávněnému přístupu. Stejně jako kontrola metod neoprávněného přístupu a analýzy.

V praxi všechny činnosti do určité míry využívají ty technické a dělí se do tří skupin (obr. 2):

organizační (v oblasti technických prostředků);
technický.
organizační a technické;

Obrázek 2

Odkaz na obrannou akci

Ochranné práce, stejně jako techniky a postupy pro udržování bezpečnosti informací, jsou klasifikovány podle charakteristik a předmětů ochrany, které jsou rozděleny do následujících parametrů:

Orientačně - ochranné metody lze klasifikovat jako akce, kurz k ochraně personálu, finančního a hmotného majetku a informací jako fondu.

Metodami - to je detekce (například:) nebo, prevence, detekce, potlačení a obnovení.

Podle pokynů - jedná se o ochranu založenou na zákonných metodách, organizačních a inženýrských akcích.

Z hlediska krytí mohou být ochranné prostředky zaměřeny na ochranu perimetru podniku, jednotlivých prostor, budov, specifických skupin zařízení, hardwaru a systémů, jednotlivé prvky(domy, prostory, zařízení) nebezpečné z hlediska UA pro ně.

Důvodem informace mohou být lidé, odpady, technické prostředky atp. Nosiče informací mohou být akustická a elektromagnetická pole, případně látky (výrobek, papír, materiál). Prostředkem šíření je tvrdé médium nebo vzdušný prostor.

Pachatel může mít všechny potřebné prostředky pro příjem elektromagnetické a akustické energie, letecký dohled a schopnost analyzovat informační prezentační materiály.

Reprezentace informací v hmotných formách. Aby se předešlo zneužití důvěrných informací, je nutné zpracovat signál nebo zdroj informací ztlumeným nebo jiným šifrovacím způsobem.

S rostoucí mírou využívání a distribuce informačních sítí ( nebo ) a PC roste role různých faktorů způsobujících prozrazení, únik a neoprávněný přístup k informacím. Tyto jsou:

chyby;
zlomyslné nebo neoprávněné jednání zaměstnanců a uživatelů;
výchozí nastavení hardwaru nebo chyby v programech;
přírodní katastrofy, trosky různého původu a nebezpečí;
chyby uživatelů a personálu;
chyby v .

V tomto ohledu jsou hlavními cíli ochrany informací v informační sítě a PC je:

prevence úniku informací a ztrát, rušení a odposlechu na všech stupních ovlivnění, pro všechny objekty geograficky oddělené;
zajištění práv uživatelů a právních norem v souvislosti s PŘÍSTUP k informacím a jiným zdrojům, včetně administrativního přezkumu informačních činností, včetně činností osobní odpovědnosti za dodržování provozních režimů a pravidel používání;

Obrázek 3

závěry

1. Zajištění spolehlivosti nebo bezpečnosti informací je dosahováno organizačními, technickými a organizačně-technickými postupy, z nichž každý je zajišťován unikátními metodami, prostředky a opatřeními, které mají vhodné parametry.

2. Různé akce a podmínky, které přispívají k nezákonné nebo nezákonné asimilaci důvěrných údajů, si vynucují použití přinejmenším různých metod, prostředků a sil k zajištění bezpečnosti nebo spolehlivosti informací.

3. Hlavními cíli ochrany informací je zaručit důvěrnost, integritu a dostatek informačních zdrojů. A také to zavést do systému.

4. Metody pro zajištění bezpečnosti informací by měly být zaměřeny na proaktivní povahu akcí zaměřených na včasné způsoby prevence možných hrozeb pro obchodní tajemství.

Informační bezpečnost, stejně jako ochrana informací je úkol komplexní, zaměřený na zajištění bezpečnosti, realizovaný zavedením bezpečnostního systému. Problém informační bezpečnosti je mnohostranný a komplexní a zahrnuje řadu důležitých úkolů. Problémy informační bezpečnosti neustále zhoršují procesy pronikání technických prostředků pro zpracování a přenos dat a především počítačových systémů do všech sfér společnosti.

K dnešnímu dni tři základní principyže informační bezpečnost by měla poskytovat:

integrita dat - ochrana proti poruchám vedoucím ke ztrátě informací a také ochrana proti neoprávněnému vytvoření nebo zničení dat;

důvěrnost informací;

Při vývoji počítačových systémů, jejichž selhání nebo chyby mohou vést k vážným následkům, se otázky počítačové bezpečnosti stávají prioritou. Je známo mnoho opatření zaměřených na zajištění počítačové bezpečnosti, z nichž hlavní jsou technická, organizační a právní.

Zajištění bezpečnosti informací je nákladné nejen z důvodu nákladů na nákup či instalaci bezpečnostních nástrojů, ale také proto, že je obtížné odborně určit hranice rozumného zabezpečení a zajistit řádnou údržbu systému ve zdravém stavu.

Bezpečnostní nástroje by neměly být navrhovány, nakupovány ani instalovány, dokud nebyla provedena příslušná analýza.

Stránka analyzuje informační bezpečnost a její místo v národním bezpečnostním systému, identifikuje zásadní zájmy v informační sféře a hrozby pro ně. Je posuzována problematika informační války, informačních zbraní, principy, hlavní úkoly a funkce zajišťování informační bezpečnosti, funkce státního systému pro zajištění informační bezpečnosti, domácí a zahraniční standardy v oblasti informační bezpečnosti. Značná pozornost je věnována i právní problematice informační bezpečnosti.

Zvažovány jsou také obecné otázky bezpečnosti informací v systémech automatizovaného zpracování dat (ASOD), předmět a objekty ochrany informací a úkoly ochrany informací v ANPC. Jsou zvažovány typy záměrných bezpečnostních hrozeb a způsoby ochrany informací v ASOD. Metody a prostředky autentizace uživatelů a vymezení jejich přístupu počítačové prostředky, řízení přístupu k zařízení, používání jednoduchých a dynamicky se měnících hesel, způsoby úpravy schémat jednoduchá hesla, funkční metody.

Základní principy budování systému informační bezpečnosti.

Při budování systému informační bezpečnosti pro objekt je třeba se řídit následujícími zásadami:

Kontinuita procesu zdokonalování a rozvoje systému informační bezpečnosti, který spočívá ve zdůvodňování a implementaci nejracionálnějších metod, metod a způsobů ochrany informací, průběžného monitorování, identifikace úzkých míst a slabin a potenciálních kanálů pro únik informací a neoprávněný přístup.

Komplexní využití celého arzenálu dostupných prostředků ochrany ve všech fázích výroby a zpracování informací. Všechny používané prostředky, metody a opatření jsou přitom sloučeny do jediného uceleného mechanismu – systému informační bezpečnosti.

Sledování fungování, aktualizace a doplňování ochranných mechanismů v závislosti na změnách možných vnitřních a vnějších hrozeb.

Řádné školení uživatelů a dodržování všech zavedených postupů ochrany osobních údajů. Bez tohoto požadavku nemůže žádný informační bezpečnostní systém poskytnout požadovanou úroveň ochrany.

Nejdůležitější podmínka bezpečnost jsou zákonnost, dostatečnost, rovnováha zájmů jednotlivce a podniku, vzájemná odpovědnost personálu a managementu, interakce se státními orgány činnými v trestním řízení.

10) Etapy budování informační bezpečnosti

Etapy výstavby.

1. Komplexní analýza informačního systému

podniky na různých úrovních. Analýza rizik.

2. Rozvoj organizační a administrativní a

regulační dokumenty.

3. Školení, profesní rozvoj a

rekvalifikace specialistů.

4. Každoroční přehodnocení stavu informací

podniková bezpečnost

11) Firewall

Firewally a antivirové balíčky.

Firewall (někdy nazývaný firewall) pomáhá zlepšit zabezpečení vašeho počítače. Omezuje informace, které přicházejí do vašeho počítače z jiných počítačů, poskytuje vám větší kontrolu nad daty ve vašem počítači a poskytuje vašemu počítači linii obrany proti lidem nebo programům (včetně virů a červů), které se pokoušejí připojit k vašemu počítači v neoprávněným způsobem. Firewall si můžete představit jako hraniční přechod, který kontroluje informace (často označované jako provoz) přicházející z internetu nebo lokální síť. Během této kontroly brána firewall odmítne nebo povolí informace do počítače podle nastavení, které jste nakonfigurovali.

Před čím firewall chrání?

Firewall MŮŽE:

1. Blokujte počítačovým virům a červům přístup k vašemu počítači.

2. Vyzvěte uživatele, aby se rozhodl zablokovat nebo povolit určité požadavky na připojení.

3. Vést záznamy (záznam zabezpečení) - na žádost uživatele - záznam povolených a blokovaných pokusů o připojení k počítači.

Před čím firewall nechrání?

Nemůže:

1. Zjistěte nebo neutralizujte počítačové viry a červy, pokud se již dostaly do počítače.

3. Blokujte spam nebo nevyžádanou poštu, aby vám nechodila do doručené pošty.

HARDWAROVÉ A SOFTWAROVÉ FIREWALLY

Hardwarové firewally- jednotlivá zařízení, která jsou velmi rychlá, spolehlivá, ale velmi drahá, proto se obvykle používají pouze k ochraně velkých počítačových sítí. Pro domácí uživatele jsou optimální firewally zabudované do routerů, přepínačů, bezdrátových přístupových bodů atd. Kombinované routery a firewally poskytují dvojitou ochranu proti útokům.

Softwarový firewall je bezpečnostní program. V principu je podobný hardwarovému firewallu, ale k uživateli „přívětivější“: má více připravených nastavení a často má průvodce, kteří pomáhají s konfigurací. Pomocí něj můžete povolit nebo zakázat přístup jiných programů k internetu.

Antivirový program (antivirus)- jakýkoli program pro detekci počítačových virů, jakož i nežádoucích (považovaných za škodlivé) programy obecně a obnovu souborů infikovaných (upravených) takovými programy, jakož i pro prevenci - zabránění napadení (úpravy) souborů nebo operačního systému škodlivým kódem .

12) Klasifikace výpočetních systémů

V závislosti na územním umístění účastnických systémů

Počítačové sítě lze rozdělit do tří hlavních tříd:

globální sítě (WAN - Wide Area Network);

regionální sítě (MAN - Metropolitan Area Network);

Místní sítě (LAN - Local Area Network).

Základní topologie LAN

Topologie LAN je geometrický diagram spojení síťových uzlů.

Topologie počítačových sítí mohou být velmi odlišné, ale

pouze tři jsou typické pro místní sítě:

Prsten,

ve tvaru hvězdy.

Jakoukoli počítačovou síť lze považovat za sbírku

Uzel- jakékoli zařízení přímo připojené

přenosové médium sítě.

Prstencová topologie zajišťuje připojení síťových uzlů uzavřené křivky - kabelu přenosového média. Výstup jednoho síťového uzlu je spojen se vstupem jiného uzlu. Informace se předávají po kruhu z uzlu do uzlu. Každý mezilehlý uzel mezi vysílačem a přijímačem přenáší odeslanou zprávu. Přijímající uzel rozpoznává a přijímá pouze zprávy, které jsou mu adresovány.

Kruhová topologie je ideální pro sítě, které zabírají relativně malý prostor. Nemá centrální uzel, což zvyšuje spolehlivost sítě. Přenos informací umožňuje použití jakéhokoli typu kabelů jako přenosového média.

Důsledná disciplína obsluhy uzlů takové sítě snižuje její výkon a selhání jednoho z uzlů narušuje integritu kruhu a vyžaduje přijetí zvláštních opatření k zachování cesty přenosu informací.

Sběrnicová topologie- jeden z nejjednodušších. Je spojeno s použitím koaxiálního kabelu jako přenosového média. Data z vysílacího síťového uzlu jsou distribuována po sběrnici v obou směrech. Mezilehlé uzly nepřekládají příchozí zprávy. Informace dorazí do všech uzlů, ale zprávu obdrží pouze ten, kterému jsou určeny. Servisní disciplína je paralelní.

To poskytuje vysoce výkonnou LAN s topologií sběrnice. Síť se snadno rozšiřuje a konfiguruje a přizpůsobuje se různým systémům Síť topologie sběrnice je odolná vůči možné poruchy jednotlivé uzly.

Sítě s topologií sběrnic jsou v současnosti nejrozšířenější. Je třeba poznamenat, že jsou krátké a neumožňují použití různých typů kabelů v rámci stejné sítě.

Hvězdicová topologie je založen na koncepci centrálního uzlu, ke kterému jsou připojeny periferní uzly. Každý periferní uzel má svou samostatnou komunikační linku s centrálním uzlem. Veškeré informace jsou přenášeny přes centrální uzel, který přenáší, přepíná a směruje informační toky v síti.

Hvězdicová topologie výrazně zjednodušuje interakci LAN uzlů mezi sebou, umožňuje použití jednodušší síťové adaptéry. Výkon LAN s hvězdicovou topologií je přitom zcela závislý na centrálním uzlu.

V reálných počítačových sítích lze použít rozvinutější topologie, které v některých případech představují kombinace uvažovaných.

Volba konkrétní topologie je dána rozsahem LAN, geografickým umístěním jejích uzlů a dimenzí sítě jako celku.

Internet- celosvětová informační počítačová síť, která je sdružením mnoha regionálních počítačových sítí a počítačů, které si navzájem vyměňují informace prostřednictvím veřejných telekomunikačních kanálů (pronajaté analogové a digitální telefonní linky, optické komunikační kanály a rádiové kanály, včetně satelitních komunikačních linek).

Poskytovatel- poskytovatel síťových služeb - osoba nebo organizace, která poskytuje služby pro připojení k počítačovým sítím.

Host (z anglického hostitel - "hostitel, který přijímá hosty")- jakékoli zařízení, které poskytuje služby ve formátu "klient-server" v režimu server na jakémkoli rozhraní a je na těchto rozhraních jednoznačně identifikováno. V konkrétnějším případě lze hostitelem chápat jakýkoli počítač, server připojený k místní nebo globální síti.

síťový protokol- sada pravidel a akcí (pořadí akcí), která umožňuje propojit a vyměňovat data mezi dvěma nebo více zařízeními zahrnutými v síti.

IP adresa (IP adresa, zkratka pro Internet Protocol Address)- jedinečný síťová adresa uzel v počítačové síti vybudované pomocí protokolu IP. Internet vyžaduje globální jedinečnost adresy; v případě práce v lokální síti je vyžadována jednoznačnost adresy v rámci sítě. Ve verzi protokolu IPv4 je IP adresa dlouhá 4 bajty.

Doménové jméno- symbolický název, který pomáhá najít adresy internetových serverů.

13) Úkoly typu Peer-to-Peer

Softwarová a hardwarová ochrana před neoprávněným přístupem zahrnuje opatření identifikace, autentizace a řízení přístupu do informačního systému.

Identifikace je přiřazení jedinečných identifikátorů pro přístup k subjektům.

Patří sem radiofrekvenční štítky, biometrické technologie, magnetické karty, univerzální magnetické klíče, přihlašovací údaje pro vstup do systému atd.

Autentizace - ověření vlastnictví přístupu k předloženému identifikátoru a potvrzení jeho pravosti.

Ověřovací postupy zahrnují hesla, PIN kódy, čipové karty, usb klíče, digitální podpisy, klíče relace atd. Procesní část prostředků identifikace a autentizace je propojena a představuje v podstatě základní základ všech softwarových a hardwarových nástrojů pro zajištění bezpečnosti informací, neboť všechny ostatní služby jsou navrženy tak, aby sloužily konkrétním subjektům správně rozpoznávaným informačním systémem. Obecně identifikace umožňuje subjektu identifikovat se vůči informačnímu systému a pomocí autentizace informační systém potvrzuje, že subjekt je skutečně tím, za koho se vydává. Na základě průchodu této operace je provedena operace k zajištění přístupu do informačního systému. Postupy kontroly přístupu umožňují oprávněným subjektům provádět úkony povolené předpisy a informační systém tyto úkony kontrolovat na správnost a správnost získaného výsledku. Řízení přístupu umožňuje systému skrýt před uživateli data, ke kterým nemají přístup.

Dalším prostředkem ochrany softwaru a hardwaru je protokolování a auditování informací.

Logování zahrnuje shromažďování, shromažďování a ukládání informací o událostech, akcích, výsledcích, které proběhly za provozu informačního systému, jednotlivých uživatelích, procesech a veškerém softwaru a hardwaru, které jsou součástí podnikového informačního systému.

Vzhledem k tomu, že každá komponenta informačního systému má předem určenou množinu možných událostí v souladu s naprogramovanými klasifikátory, jsou události, akce a výsledky rozděleny do:

vnější, způsobené působením jiných složek,
vnitřní, způsobené činností samotné součásti,
klienta, způsobené jednáním uživatelů a administrátorů.

Informační audit spočívá v provedení operativní analýzy v reálném čase nebo v daném období.

Na základě výsledků analýzy je buď vygenerována zpráva o proběhlých událostech, nebo je spuštěna automatická reakce na mimořádnou situaci.

Implementace protokolování a auditování řeší následující úkoly:

zajištění odpovědnosti uživatelů a správců;
umožnění rekonstrukce sledu událostí;
detekce pokusů o narušení bezpečnosti informací;
poskytování informací k identifikaci a analýze problémů.

Ochrana informací je často nemožná bez použití kryptografických nástrojů. Používají se k poskytování služeb šifrování, integrity a ověřování, když jsou prostředky autentizace uživatelem uloženy v zašifrované podobě. Existují dvě hlavní metody šifrování: symetrické a asymetrické.

Kontrola integrity umožňuje zjistit autenticitu a identitu objektu, kterým je datové pole, jednotlivé části dat, datový zdroj a také zajistit nemožnost označení akce provedené v systému polem informací. Implementace kontroly integrity je založena na technologiích konverze dat pomocí šifrování a digitálních certifikátů.

jiný důležitý aspekt je využití screeningu, technologie, která umožňuje vymezením přístupu subjektů k informačním zdrojům řídit veškeré informační toky mezi podnikovým informačním systémem a externími objekty, datovými poli, subjekty a protisubjekty. Řízení toku spočívá v jejich filtrování a v případě potřeby v transformaci přenášených informací.

Úkolem stínění je chránit vnitřní informace před potenciálně nepřátelskými vnějšími faktory a aktéry. Hlavní formou implementace stínění jsou firewally nebo firewally různých typů a architektur.

Vzhledem k tomu, že jedním ze znaků informační bezpečnosti je dostupnost informačních zdrojů, je zajištění vysoké úrovně dostupnosti důležitým směrem při implementaci softwarových a hardwarových opatření. Rozdělují se zejména dvě oblasti: zajištění odolnosti proti poruchám, tzn. převzetí systému při selhání, schopnost pracovat, když se vyskytnou chyby, a poskytování bezpečných a rychlé obnovení po neúspěších, tzn. provozuschopnost systému.

Hlavním požadavkem na informační systémy je, aby vždy pracovaly s danou efektivitou, minimálními prostoji a rychlostí odezvy.

V souladu s tím je dostupnost informačních zdrojů zajištěna:

použití strukturální architektury, což znamená, že jednotlivé moduly lze v případě potřeby vyřadit nebo rychle vyměnit, aniž by to ovlivnilo ostatní prvky informačního systému;
zajištění odolnosti proti chybám z důvodu: použití autonomních prvků podpůrné infrastruktury, zavedení nadbytečné kapacity v konfiguraci softwaru a hardwaru, redundance hardwaru, replikace informačních zdrojů v rámci systému, Rezervovat kopiiúdaje atd.
zajištění udržovatelnosti zkrácením času na diagnostiku a odstranění poruch a jejich následků.

Dalším typem prostředků zabezpečení informací jsou zabezpečené komunikační kanály.

Fungování informačních systémů je nevyhnutelně spojeno s přenosem dat, proto je také nutné, aby podniky zajistily ochranu přenášených informačních zdrojů pomocí zabezpečených komunikačních kanálů. Možnost neoprávněného přístupu k datům při přenosu provozu prostřednictvím otevřených komunikačních kanálů je dána jejich obecnou dostupností. Vzhledem k tomu, že „komunikace v celé jejich délce nelze fyzicky chránit, je proto lepší zpočátku vycházet z předpokladu jejich zranitelnosti a podle toho zajistit ochranu“ . K tomu slouží technologie tunelování, jejichž podstatou je zapouzdření dat, tzn. zabalit nebo zabalit přenášené datové pakety, včetně všech atributů služby, do vlastních obálek. Tunel je tedy zabezpečené spojení prostřednictvím otevřených komunikačních kanálů, přes které jsou přenášeny kryptograficky chráněné datové pakety. Tunelování se používá k zajištění důvěrnosti provozu skrytím servisních informací a zajištěním důvěrnosti a integrity přenášených dat při použití společně s kryptografickými prvky informačního systému. Kombinace tunelování a šifrování umožňuje implementovat virtuální privátní síť. Koncovými body tunelů, které implementují virtuální privátní sítě, jsou zároveň firewally, které slouží k připojení organizací k externím sítím.

Firewally jako místa implementace služby virtuálních privátních sítí

Tunelování a šifrování jsou tedy další transformace prováděné v procesu filtrování síťového provozu spolu s překladem adres. Konce tunelů kromě firemních firewallů mohou být osobní a mobilní počítače zaměstnanců, přesněji jejich osobní firewally a firewally. Díky tomuto přístupu je zajištěno fungování bezpečných komunikačních kanálů.

Postupy informační bezpečnosti

Postupy informační bezpečnosti se obvykle dělí na administrativní a organizační úroveň.

Administrativní postupy zahrnují obecné úkony vedení organizace k regulaci veškerých prací, úkonů, operací v oblasti zajišťování a udržování bezpečnosti informací, realizované přidělováním potřebných zdrojů a sledováním účinnosti přijatých opatření.
Organizační úroveň představuje postupy pro zajištění bezpečnosti informací, včetně personálního řízení, fyzické ochrany, udržování zdraví softwarové a hardwarové infrastruktury, rychlé eliminace narušení bezpečnosti a plánování prací na obnově.

Na druhou stranu rozlišování mezi administrativními a organizačními postupy je nesmyslné, neboť postupy jedné úrovně nemohou existovat odděleně od druhé úrovně, čímž dochází k porušení vztahu ochrany. fyzická vrstva, osobní a organizační ochrana v pojetí informační bezpečnosti. V praxi organizace při zajišťování informační bezpečnosti nezanedbávají administrativní ani organizační postupy, proto je logičtější je považovat za integrovaný přístup, neboť obě úrovně ovlivňují fyzickou, organizační a personální úroveň ochrany informací.

Základem komplexních postupů pro zajištění bezpečnosti informací je bezpečnostní politika.

Politika bezpečnosti informací

Politika bezpečnosti informací v organizaci je to soubor zdokumentovaných rozhodnutí učiněných vedením organizace a zaměřených na ochranu informací a s nimi spojených zdrojů.

Z organizačního a manažerského hlediska může být politika bezpečnosti informací jednotný dokument nebo zpracovaná ve formě několika nezávislých dokumentů či příkazů, ale v každém případě by měla zahrnovat následující aspekty ochrany informačního systému organizace:

ochrana objektů informačního systému, informačních zdrojů a přímé operace s nimi;
ochrana všech operací souvisejících se zpracováním informací v systému, včetně zpracovatelského softwaru;
ochrana komunikačních kanálů, včetně drátových, rádiových kanálů, infračerveného záření, hardwaru atd.;
ochrana hardwarového komplexu před bočním elektromagnetickým zářením;
správa bezpečnostního systému včetně údržby, upgradů a administrativních úkonů.

Každý z aspektů by měl být podrobně popsán a zdokumentován v interních dokumentech organizace. Interní dokumenty pokrývají tři úrovně procesu ochrany: horní, střední a dolní.

Dokumenty o politice bezpečnosti informací nejvyšší úrovně odrážejí základní přístup organizace k ochraně vlastních informací a dodržování národních a/nebo mezinárodních standardů. V praxi existuje v organizaci pouze jeden dokument nejvyšší úrovně s názvem „Koncepce bezpečnosti informací“, „Nařízení o bezpečnosti informací“ atd. Formálně tyto dokumenty nemají důvěrnou hodnotu, jejich distribuce není omezena, ale mohou být vydány v edici pro interní použití a otevřenou publikaci.

Dokumenty střední úrovně jsou přísně důvěrné a týkají se specifických aspektů informační bezpečnosti organizace: použitých prostředků ochrany informací, bezpečnosti databází, komunikací, kryptografických nástrojů a dalších informačních a ekonomických procesů organizace. Dokumentace je realizována formou vnitřních technických a organizačních norem.

Dokumenty nižší úrovně se dělí na dva druhy: pracovní řád a návod k obsluze. Pracovní řád je přísně důvěrný a je určen pouze osobám, které ve službě vykonávají práce na správě jednotlivých služeb informační bezpečnosti. Provozní pokyny mohou být důvěrné nebo veřejné; jsou určeny pro personál organizace a popisují postup práce s jednotlivými prvky informačního systému organizace.

Světové zkušenosti ukazují, že politika informační bezpečnosti je dokumentována vždy pouze ve velkých společnostech, které mají vyvinutý informační systém kladoucí zvýšené požadavky na informační bezpečnost, střední podniky mají politiku informační bezpečnosti nejčastěji zdokumentovanou jen částečně, malé organizace v drtivé většině vůbec se nestarejte o dokumentaci bezpečnostní politiky. Bez ohledu na to, zda je formát dokumentace holistický nebo distribuovaný, základním aspektem je režim zabezpečení.

Základem jsou dva různé přístupy politika bezpečnosti informací:

"Vše, co není zakázáno, je dovoleno."
"Všechno, co není dovoleno, je zakázáno."

Základním nedostatkem prvního přístupu je, že v praxi nelze předvídat všechny nebezpečné případy a zakázat je. Bezpochyby by měl být použit pouze druhý přístup.

Organizační úroveň informační bezpečnosti

Z hlediska bezpečnosti informací jsou organizační postupy pro zajištění bezpečnosti informací prezentovány jako „regulace výrobní činnosti a vztahů mezi výkonnými umělci na právním základě, který vylučuje nebo významně ztěžuje zpronevěru důvěrných informací a projevy vnitřních a vnějších hrozeb“ .

Opatření personálního managementu zaměřená na organizaci práce s personálem za účelem zajištění bezpečnosti informací zahrnují oddělení povinností a minimalizaci výsad. Rozdělení povinností předepisuje takové rozdělení kompetencí a oblastí odpovědnosti, ve kterém jeden člověk není schopen narušit proces, který je pro organizaci kritický. Snižuje se tak možnost chyb a zneužití. Minimalizace oprávnění vyžaduje, aby uživatelé měli pouze takovou úroveň přístupu, která je vhodná pro jejich pracovní povinnosti. To snižuje škody způsobené náhodnými nebo úmyslnými nesprávnými akcemi.

Fyzickou ochranou se rozumí vypracování a přijetí opatření pro přímou ochranu budov, ve kterých jsou umístěny informační zdroje organizace, přilehlá území, prvky infrastruktury, výpočetní zařízení, datové nosiče a hardwarové komunikační kanály. Patří mezi ně řízení fyzického přístupu, požární ochrana, ochrana podpůrné infrastruktury, odposlouchávání dat a ochrana mobilních systémů.

Udržování stavu softwarové a hardwarové infrastruktury má zabránit stochastickým chybám, které hrozí poškozením hardwarového komplexu, přerušením programů a ztrátou dat. Hlavní směry v tomto aspektu jsou poskytování uživatelské a softwarové podpory, správy konfigurace, zálohování, správy médií, dokumentace a preventivní údržby.

Rychlé řešení narušení bezpečnosti má tři hlavní cíle:

Lokalizace nehod a snížení škod;
Identifikace pachatele;
Prevence opakovaného porušování.

A konečně, plánování obnovy vám umožní připravit se na nehody, snížit škody z nich a zachovat alespoň minimální množství schopnosti fungovat.

Využití softwaru a hardwaru a bezpečných komunikačních kanálů by mělo být v organizaci implementováno na základě integrovaného přístupu k vývoji a schvalování všech administrativních a organizačních regulačních postupů pro zajištění bezpečnosti informací. V opačném případě přijetí samostatných opatření nezaručuje ochranu informací a často naopak vyvolává úniky důvěrných informací, ztrátu kritických dat, poškození hardwarové infrastruktury a narušení softwarových komponent informačního systému organizace.

Metody informační bezpečnosti

Moderní podniky se vyznačují distribuovaným informačním systémem, který umožňuje zohlednit distribuované kanceláře a sklady společnosti, finanční účetnictví a řízení řízení, informace od zákaznické základny, s přihlédnutím k výběru ukazatelů atd. Pole dat je tedy velmi významné a naprostá většina z nich jsou informace, které mají pro společnost prioritní význam z obchodního a ekonomického hlediska. Zajištění důvěrnosti dat, která mají komerční hodnotu, je ve skutečnosti jedním z hlavních úkolů zajištění informační bezpečnosti ve společnosti.

Zajištění bezpečnosti informací v podniku by měly být upraveny následujícími dokumenty:

Regulace bezpečnosti informací. Zahrnuje formulaci cílů a záměrů pro zajištění informační bezpečnosti, seznam vnitřních předpisů o nástrojích informační bezpečnosti a předpis o správě distribuovaného informačního systému společnosti. Přístup k předpisům je omezen na vedení organizace a vedoucího oddělení automatizace.
Předpisy pro technickou podporu ochrany informací. Dokumenty jsou důvěrné, přístup je omezen na zaměstnance oddělení automatizace a vyšší management.
Předpisy pro správu distribuovaného systému ochrany informací. Přístup k nařízení je omezen na zaměstnance oddělení automatizace odpovědné za správu informačního systému a vrcholový management.

Tyto dokumenty by přitom neměly být omezovány, ale měly by být zpracovány i nižší úrovně. V opačném případě, pokud podnik nemá další dokumenty související s informační bezpečností, bude to znamenat nedostatečný stupeň zabezpečení administrativních informací, protože neexistují žádné dokumenty nižší úrovně, zejména pokyny pro obsluhu jednotlivých prvků informačního systému.

Mezi povinné organizační postupy patří:

hlavní opatření k rozlišení personálu podle úrovně přístupu k informačním zdrojům,
fyzická ochrana kanceláří společnosti před přímým průnikem a hrozbami zničení, ztráty nebo zachycení dat,
udržování funkčnosti hardwarové a softwarové infrastruktury je organizováno formou automatického zálohování, vzdáleného ověřování paměťových médií, na vyžádání je poskytována uživatelská a softwarová podpora.

To by také mělo zahrnovat regulovaná opatření pro reakci na případy narušení bezpečnosti informací a jejich eliminaci.

V praxi se často setkáváme s tím, že podniky tomuto problému nevěnují dostatečnou pozornost. Všechny aktivity v tímto směrem jsou prováděny výhradně v provozuschopném stavu, což prodlužuje čas na odstranění případů porušení a nezaručuje prevenci opakovaného narušení bezpečnosti informací. Navíc zcela chybí praxe plánování akcí k odstranění následků po nehodách, únikech informací, ztrátě dat a kritických situacích. To vše výrazně zhoršuje informační bezpečnost podniku.

Na úrovni softwaru a hardwaru by měl být implementován tříúrovňový systém informační bezpečnosti.

Minimální kritéria pro zajištění bezpečnosti informací:

1. Modul řízení přístupu:

implementováno uzavřený vchod do informačního systému není možný vstup do systému mimo ověřená pracoviště;
pro zaměstnance byl implementován přístup s omezenou funkčností z mobilních osobních počítačů;
autorizace se provádí podle přihlašovacích údajů a hesel vytvořených administrátory.

2. Modul řízení šifrování a integrity:

je používána metoda asymetrického šifrování přenášených dat;
pole kritických dat jsou v databázích uložena v zašifrované podobě, která k nim neumožňuje přístup ani v případě napadení informačního systému společnosti;
kontrola integrity je zajištěna jednoduchým digitální podpis veškeré informační zdroje uchovávané, zpracovávané nebo přenášené v rámci informačního systému.

3. Modul stínění:

implementoval systém filtrů do firewallů, umožňujících řídit veškeré informační toky komunikačními kanály;
externí připojení ke globálním informačním zdrojům a veřejným komunikačním kanálům lze realizovat pouze prostřednictvím omezeného souboru ověřených pracovních stanic, které mají omezené připojení k podnikovému informačnímu systému;
zabezpečený přístup z pracovišť zaměstnanců k plnění jejich služebních povinností je realizován prostřednictvím dvouúrovňového systému proxy serverů.

Konečně, s pomocí technologií tunelování musí být v podniku implementována virtuální privátní síť v souladu s typickým konstrukčním modelem, který poskytuje bezpečné komunikační kanály mezi různými odděleními společnosti, partnery a zákazníky společnosti.

Navzdory skutečnosti, že komunikace probíhá přímo po sítích s potenciálně nízká úroveň trust, tunelovací technologie díky použití kryptografických nástrojů zajišťují spolehlivou ochranu všech přenášených dat.

závěry

Hlavním cílem všech opatření přijatých v oblasti informační bezpečnosti je ochrana zájmů podniku, tak či onak souvisejících s informačními zdroji, kterými disponuje. Přestože zájmy podniků nejsou omezeny na určitou oblast, všechny se soustředí na dostupnost, integritu a důvěrnost informací.

Problém zajištění informační bezpečnosti se vysvětluje dvěma hlavními důvody.

Informační zdroje nashromážděné podnikem jsou cenné.
Kritická závislost na informačních technologiích způsobuje jejich široké uplatnění.

Vzhledem k široké škále existujících hrozeb pro informační bezpečnost, jako je zničení důležitá informace, neoprávněné použití důvěrných údajů, přerušení provozu podniku z důvodu narušení informačního systému, můžeme dojít k závěru, že to vše objektivně vede k velkým materiálním ztrátám.

Při zajišťování bezpečnosti informací hrají významnou roli softwarové a hardwarové nástroje zaměřené na ovládání počítačových entit, tzn. hardware, softwarové prvky, data, tvořící poslední a nejvyšší prioritní hranici informační bezpečnosti. Přenos údajů musí být rovněž bezpečný v kontextu zachování jejich důvěrnosti, integrity a dostupnosti. Proto se v moderních podmínkách používají technologie tunelování v kombinaci s kryptografickými prostředky k zajištění bezpečných komunikačních kanálů.

Literatura

Galatenko V.A. Standardy informační bezpečnosti. - M.: Internetová univerzita informačních technologií, 2006.
Partyka T.L., Popov I.I. Informační bezpečnost. – M.: Fórum, 2012.