حاشیه نویسی: این سخنرانی مفاهیم اساسی امنیت اطلاعات را مورد بحث قرار می دهد. آشنایی با قانون فدرال "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات".

GOST " حفاظت از اطلاعات... اصطلاحات و تعاریف اساسی "مفهوم را معرفی می کند امنیت اطلاعاتبه عنوان وضعیت امنیت اطلاعات ، که در آن ارائه شده است محرمانه بودن، در دسترس بودن و یکپارچگی.

• محرمانه بودن- وضعیت اطلاعات ، که در آن دسترسی به آن فقط توسط افرادی که حق دسترسی به آنها را دارند انجام می شود.
• تمامیت- وضعیت اطلاعاتی که هیچ تغییری در آن ایجاد نشده است یا این تغییر تنها به عمد توسط افراد دارای حق انجام شده است.
• دسترسی- وضعیت اطلاعاتی که در آن افراد دارای حق دسترسی می توانند بدون مانع از آن استفاده کنند.

تهدیدات امنیت اطلاعات- مجموعه ای از شرایط و عواملی که خطر بالقوه یا واقعی نقض امنیت اطلاعات را ایجاد می کند [،]. با حملهتلاش برای اجرای یک تهدید نامیده می شود و کسی که چنین تلاشی می کند - مزاحم... مزاحمان احتمالی نامیده می شوند منابع تهدید.

تهدید پیامد حضور است آسیب پذیری ها یا آسیب پذیری هادر سیستم اطلاعاتی آسیب پذیری ها می تواند به دلایل مختلف ایجاد شود ، به عنوان مثال ، در نتیجه اشتباهات ناخواسته برنامه نویسان هنگام نوشتن برنامه ها.

تهدیدات را می توان بر اساس معیارهای مختلفی طبقه بندی کرد:

• بر ویژگی های اطلاعات(در دسترس بودن، یکپارچگی، محرمانه بودن) که در وهله اول تهدیدها علیه آنها انجام می شود.
• توسط اجزای سیستم های اطلاعاتی که تهدید (داده ها ، برنامه ها ، سخت افزار ، زیرساخت های حمایتی);
• با روش اجرا (اقدامات تصادفی / عمدی، طبیعی / مصنوعی)؛
• با توجه به محل منبع تهدیدات (داخل / خارج از IS در نظر گرفته شده).

تضمین امنیت اطلاعات یک کار پیچیده است که نیازمند آن است یک رویکرد پیچیده... سطوح زیر از حفاظت اطلاعات متمایز می شود:

1. قانونگذاری - قوانین، مقررات و سایر اسناد فدراسیون روسیه و جامعه بین المللی؛
2. اداری - مجموعه ای از اقدامات محلی که توسط مدیریت سازمان انجام می شود.
3. سطح رویه - اقدامات امنیتی اجرا شده توسط مردم؛
4. سطح نرم افزاری و سخت افزاری- به طور مستقیم ابزار حفاظت از اطلاعات.

سطح قانونگذاری مبنایی برای ایجاد یک سیستم حفاظت از اطلاعات است، زیرا مفاهیم اساسی را ارائه می دهد موضوعو مجازات متجاوزان احتمالی را تعیین می کند. این سطح نقش هماهنگ کننده و هدایت کننده ایفا می کند و به حفظ نگرش منفی (و تنبیهی) در جامعه نسبت به افرادی که امنیت اطلاعات را نقض می کنند کمک می کند.

1.2. قانون فدرال "در مورد اطلاعات ، فن آوری اطلاعات و حفاظت از اطلاعات"

در قوانین روسیه، قانون اساسی در زمینه حفاظت از اطلاعات، قانون فدرال "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات" مورخ 27 ژوئیه 2006، شماره 149-FZ است. بنابراین ، مفاهیم اساسی و راه حل های مندرج در قانون نیاز به بررسی دقیق دارد.

قانون روابط ناشی از موارد زیر را تنظیم می کند:

• استفاده از حق جستجو، دریافت، انتقال، تولید و انتشار اطلاعات؛
• کاربرد فناوری اطلاعات;
• تضمین حفاظت از اطلاعات

قانون تعاریف اساسی در زمینه حفاظت از اطلاعات ارائه می کند. در اینجا به برخی از آنها اشاره می کنیم:

• اطلاعات- اطلاعات (پیام ها، داده ها) صرف نظر از شکل ارائه آنها.
• فناوری اطلاعات- فرآیندها، روش‌های جستجو، جمع‌آوری، ذخیره‌سازی، پردازش، ارائه، انتشار اطلاعات و روش‌های اجرای چنین فرآیندها و روش‌هایی.
• سیستم اطلاعات- مجموعه ای از اطلاعات موجود در پایگاه های اطلاعاتی و فناوری اطلاعات و ابزارهای فنی که پردازش آن را تضمین می کند.
• دارنده اطلاعات- شخصی که به طور مستقل اطلاعاتی را ایجاد کرده یا بر اساس یک قانون یا توافق نامه، حق مجوز یا محدود کردن دسترسی به اطلاعات تعیین شده بر اساس هر معیاری را دریافت کرده است.
• اپراتور سیستم اطلاعات- یک شهروند یا یک شخص حقوقی که سیستم اطلاعاتی را اداره می کند، از جمله پردازش اطلاعات موجود در پایگاه های داده آن.
• محرمانه بودن اطلاعات- یک الزام اجباری برای شخصی که به اطلاعات خاصی دسترسی دارد برای عدم انتقال چنین اطلاعاتی به اشخاص ثالث بدون رضایت صاحب آن.

ماده 4 این قانون اصول تنظیم حقوقی روابط در حوزه اطلاعات، فناوری اطلاعات و حفاظت اطلاعات را تدوین می کند:

1. آزادی جستجو، دریافت، انتقال، تولید و انتشار اطلاعات به هر طریق قانونی؛
2. ایجاد محدودیت در دسترسی به اطلاعات فقط توسط قوانین فدرال؛
3. باز بودن اطلاعات در مورد فعالیت های ارگان های ایالتی و نهادهای خودگردان محلی و دسترسی آزاد به چنین اطلاعاتی، به استثنای مواردی که توسط قوانین فدرال تعیین شده است.
4. برابری زبان های مردم فدراسیون روسیه در ایجاد سیستم های اطلاعاتی و عملکرد آنها.
5. تضمین امنیت فدراسیون روسیه در هنگام ایجاد سیستم های اطلاعاتی، عملکرد آنها و حفاظت از اطلاعات موجود در آنها.
6. قابلیت اطمینان اطلاعات و به موقع بودن ارائه آن؛
7. مصونیت از زندگی خصوصی، غیرقابل قبول بودن جمع آوری، ذخیره، استفاده و انتشار اطلاعات مربوط به زندگی خصوصی شخص بدون رضایت وی.
8. عدم پذیرش مزیت استفاده از برخی فناوری های اطلاعاتی نسبت به سایرین توسط قوانین نظارتی قانونی، مگر اینکه استفاده اجباری از برخی فناوری های اطلاعاتی برای ایجاد و عملکرد سیستم های اطلاعات ایالتی توسط قوانین فدرال تعیین شده باشد.

تمام اطلاعات به تقسیم می شود در دسترس عمومو محدود است دسترسی... اطلاعات در دسترس عموم شامل اطلاعات عمومی شناخته شده و سایر اطلاعات است که دسترسی به آنها محدود نیست. قانون اطلاعاتی را تعریف می کند که نمی توان آنها را محدود کرد ، مانند اطلاعات مربوط به محیط زیست یا فعالیت های سازمان های دولتی. همچنین مقرر شده است که محدودیت دسترسیبه منظور حفاظت از مبانی نظم قانون اساسی ، اخلاق ، سلامت ، حقوق و منافع مشروع دیگران ، برای اطمینان از دفاع و امنیت کشور ، اطلاعات توسط قوانین فدرال ایجاد می شود. رعایت محرمانه بودن اطلاعات، که دسترسی به آن توسط قوانین فدرال محدود شده است، الزامی است.

درخواست از یک شهروند (فرد) برای ارائه اطلاعات در مورد زندگی خصوصی خود، از جمله اطلاعاتی که یک راز شخصی یا خانوادگی را تشکیل می دهد، و دریافت چنین اطلاعاتی بر خلاف میل شهروند (فرد)، ممنوع است، مگر اینکه در قوانین فدرال به نحو دیگری مقرر شده باشد.

1. اطلاعات آزادانه توزیع می شود.
2. اطلاعات ارائه شده با توافق افراد شرکت کننده در رابطه مربوطه؛
3. اطلاعاتی که مطابق با قوانین فدرال مشمول ارائه یا توزیع است.
4. اطلاعاتی که توزیع آنها در فدراسیون روسیه محدود یا ممنوع است.

این قانون معادل بودن پیام الکترونیکی امضا شده با امضای دیجیتالی الکترونیکی یا آنالوگ دیگر امضای دست نویس و سند امضا شده با امضای دست نویس را تعیین می کند.

تعریف زیر از حفاظت اطلاعات ارائه شده است - این تصویب اقدامات قانونی ، سازمانی و فنی با هدف:

1. تضمین حفاظت از اطلاعات در برابر دسترسی غیرمجاز، تخریب، اصلاح، مسدود کردن، کپی کردن، ارائه، توزیع و همچنین سایر اقدامات غیرقانونی در رابطه با چنین اطلاعاتی؛
2. رعایت محرمانه بودن اطلاعات محدود شده؛
3. تحقق حق دسترسی به اطلاعات

صاحب اطلاعات، اپراتور سیستم اطلاعات در مواردی که توسط قانون فدراسیون روسیه تعیین شده است، موظف است اطمینان حاصل کند:

1. جلوگیری از دسترسی غیرمجاز به اطلاعات و (یا) انتقال آن به افرادی که حق دسترسی به اطلاعات را ندارند.
2. تشخیص به موقع حقایق دسترسی غیرمجاز به اطلاعات؛
3. جلوگیری از احتمال عواقب نامطلوب نقض رویه دسترسی به اطلاعات؛
4. جلوگیری از تأثیر بر ابزارهای فنی پردازش اطلاعات، که در نتیجه عملکرد آنها مختل می شود.
5. امکان بازیابی فوری اطلاعات تغییر یافته یا نابود شده به دلیل دسترسی غیرمجاز به آنها ؛
6. کنترل مداوم بر تضمین سطح امنیت اطلاعات.

بنابراین، قانون فدرال "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات" یک مبنای قانونی برای تبادل اطلاعات در فدراسیون روسیه ایجاد می کند و حقوق و تعهدات افراد آن را تعریف می کند.

فناوری های اطلاعاتی رایانه ای که به سرعت در حال توسعه هستند، تغییرات قابل توجهی در زندگی ما ایجاد می کنند. اطلاعات به کالایی تبدیل شده است که می توان آن را خرید، فروخت، مبادله کرد. علاوه بر این، هزینه اطلاعات اغلب صدها برابر بیشتر از هزینه سیستم رایانه ای است که در آن ذخیره می شود.

رفاه و گاه زندگی بسیاری از افراد به میزان امنیت فناوری اطلاعات بستگی دارد. این بهای پیچیدگی و توزیع گسترده سیستم های پردازش خودکار اطلاعات است.

زیر امنیت اطلاعاتبه معنای امنیت سیستم اطلاعات در برابر دخالت های تصادفی یا عمدی است که برای صاحبان یا استفاده کنندگان از اطلاعات مضر است.

در عمل، مهمترین آنها سه جنبه امنیت اطلاعات است:

• دسترسی(فرصت دریافت خدمات اطلاعات مورد نیاز در زمان معقول)؛
• تمامیت(ارتباط و سازگاری اطلاعات، محافظت از آن در برابر تخریب و تغییرات غیرمجاز)؛
• محرمانه بودن(محافظت در برابر خواندن غیر مجاز).

نقض در دسترس بودن، یکپارچگی و محرمانه بودن اطلاعات می تواند ناشی از اثرات خطرناک مختلف بر روی سیستم های کامپیوتری اطلاعات باشد.

تهدیدهای اصلی امنیت اطلاعات

یک سیستم اطلاعاتی مدرن یک سیستم پیچیده است که از تعداد زیادی مؤلفه با درجات مختلف استقلال تشکیل شده است که به هم متصل شده و داده ها را مبادله می کنند. تقریباً هر جزء ممکن است آسیب ببیند یا آسیب ببیند. اجزای یک سیستم اطلاعات خودکار را می توان به گروه های زیر تقسیم کرد:

• سخت افزار- رایانه ها و اجزای آنها (پردازنده ها، نمایشگرها، پایانه ها، لوازم جانبی- درایوهای فلاپی، چاپگرها، کنترلرها، کابل ها، خطوط ارتباطی و غیره؛
• نرم افزار- برنامه های خریداری شده، منبع، شی، ماژول های بارگذاری. سیستم عامل ها و برنامه های سیستم (کامپایلرها ، پیوندها و غیره) ، برنامه های کاربردی ، برنامه های تشخیصی و غیره ؛
• داده ها- به طور موقت و دائمی ، بر روی رسانه های مغناطیسی ، چاپ شده ، بایگانی ها ، سیاهههای مربوط به سیستم و غیره ذخیره می شود.
• کارکنان- پرسنل خدمات و کاربران.

اثرات خطرناک بر روی سیستم اطلاعات کامپیوتری را می توان به تصادفی و عمدی تقسیم کرد. تجزیه و تحلیل تجربه در طراحی ، ساخت و عملکرد سیستم های اطلاعاتی نشان می دهد که اطلاعات در تمام مراحل چرخه عمر سیستم در معرض تأثیرات تصادفی مختلف قرار می گیرد. دلایل تاثیرات تصادفیدر طول عملیات می تواند:

• شرایط اضطراری ناشی از بلایای طبیعی و قطع برق؛
• خرابی ها و خرابی های سخت افزاری؛
• اشکالات در نرم افزار؛
• اشتباهات در کار کارکنان؛
• تداخل در خطوط ارتباطی به دلیل تأثیرات محیطی.

تاثیرات عمدی- اینها اقدامات عمدی مجرم است. یک کارمند ، یک بازدید کننده ، یک رقیب یا یک مزدور می تواند به عنوان یک مجرم عمل کند. اقدامات مجرم ممکن است به دلیل انگیزه های مختلفی باشد:

• نارضایتی کارمند از شغل خود؛
• رشوه
• کنجکاوی؛
• مبارزه رقابتی؛
• تمایل به اثبات خود به هر قیمتی.

یک مدل فرضی از یک مزاحم بالقوه می تواند ترسیم شود:

• صلاحیت مجرم در سطح توسعه دهنده این سیستم؛
• متخلف می تواند یک شخص غیرمجاز یا یک کاربر قانونی سیستم باشد.
• متخلف اطلاعاتی در مورد اصول سیستم می داند.
• متخلف ضعیف ترین حلقه دفاع را انتخاب می کند.

رایج ترین و متنوع ترین نوع نقض رایانه است دسترسی غیرمجاز(NSD). NSD از هرگونه خطایی در سیستم حفاظتی استفاده می کند و با انتخاب غیرمنطقی وسایل حفاظتی، نصب و پیکربندی نادرست آنها امکان پذیر است.

بیایید کانال های NSD را طبقه بندی کنیم که از طریق آنها امکان سرقت ، تغییر یا نابودی اطلاعات وجود دارد:

• از طریق یک شخص:
  • سرقت حامل های اطلاعات ؛
  • خواندن اطلاعات از روی صفحه نمایش یا صفحه کلید؛
  • خواندن اطلاعات از پرینت
• از طریق برنامه:
  • رهگیری رمزهای عبور ؛
  • رمزگشایی اطلاعات رمزگذاری شده؛
  • کپی اطلاعات از حامل
• از طریق سخت افزار:
  • اتصال سخت افزار طراحی شده ویژه که دسترسی به اطلاعات را فراهم می کند.
  • رهگیری تشعشعات الکترومغناطیسی جعلی از تجهیزات، خطوط ارتباطی، شبکه های منبع تغذیه و غیره.

باید به تهدیداتی که شبکه های کامپیوتری می توانند در معرض آنها قرار گیرند توجه ویژه ای شود. ویژگی اصلی هر شبکه ی کامپیوتریشامل این واقعیت است که اجزای آن در فضا توزیع شده اند. ارتباط بین گره های شبکه به صورت فیزیکی با استفاده از خطوط شبکه و به صورت برنامه نویسی با استفاده از مکانیزم پیام انجام می شود. در این حالت، پیام های کنترلی و داده های ارسال شده بین گره های شبکه در قالب بسته های تبادلی منتقل می شوند. شبکه های کامپیوتری با این واقعیت مشخص می شوند که به اصطلاح حملات از راه دور... یک مزاحم می تواند هزاران کیلومتر از شی مورد حمله فاصله داشته باشد و نه تنها یک کامپیوتر خاص، بلکه اطلاعاتی که از طریق کانال های ارتباطی شبکه منتقل می شود نیز مورد حمله قرار می گیرد.

امنیت اطلاعات

تشکیل یک رژیم امنیت اطلاعات یک مشکل پیچیده است. اقدامات برای رفع آن را می توان به پنج سطح تقسیم کرد:

1. قانونگذاری (قوانین، مقررات، استانداردها و غیره)؛
2. اخلاقی و اخلاقی (انواع هنجارهای رفتاری که عدم رعایت آنها منجر به افت اعتبار یک شخص خاص یا کل سازمان می شود).
3. اداری (اقدامات عمومی انجام شده توسط مدیریت سازمان)؛
4. فیزیکی (موانع مکانیکی، الکتریکی و الکترونیکی مکانیکی در مسیرهای احتمالی ورود متجاوزان بالقوه)؛
5. سخت افزار و نرم افزار (دستگاه های الکترونیکی و برنامه های ویژه امنیت اطلاعات).

مجموعه واحدی از همه این اقدامات با هدف مقابله با تهدیدات امنیتی به منظور به حداقل رساندن احتمال آسیب، شکل می گیرد سیستم حفاظتی.

یک سیستم حفاظتی قابل اعتماد باید با اصول زیر مطابقت داشته باشد:

• هزینه تجهیزات حفاظتی باید کمتر از میزان آسیب احتمالی باشد.
• هر کاربر باید حداقل مجموعه ای از امتیازات مورد نیاز برای کار را داشته باشد.
• هرچه محافظت موثرتر باشد، کار با آن برای کاربر آسان تر است.
• امکان قطع و وصل در مواقع اضطراری.
• متخصصان مرتبط با سیستم حفاظتی باید اصول عملکرد آن را کاملاً درک کنند و در صورت بروز شرایط دشوار، به اندازه کافی به آنها پاسخ دهند.
• کل سیستم پردازش اطلاعات باید محافظت شود.
• توسعه دهندگان سیستم امنیتی نباید جزو کسانی باشند که این سیستم آنها را کنترل می کند.
• سیستم امنیتی باید مدرکی دال بر صحت کار خود ارائه دهد.
• کسانی که در امنیت اطلاعات نقش دارند باید شخصاً پاسخگو باشند.
• توصیه می شود اشیاء حفاظتی را به گروه ها تقسیم کنید تا نقض حفاظت در یکی از گروه ها بر امنیت دیگران تأثیر نگذارد.
• یک سیستم امنیتی قابل اعتماد باید به طور کامل مورد آزمایش و توافق قرار گیرد.
• حفاظت در صورتی موثرتر و انعطاف پذیرتر می شود که اجازه دهد پارامترهای آن توسط مدیر تغییر کند.
• یک سیستم امنیتی باید با این فرض طراحی شود که کاربران مرتکب اشتباهات جدی می شوند و به طور کلی بدترین نیت را دارند.
• مهمترین و حیاتی ترین تصمیمات باید توسط انسان گرفته شود.
• وجود مکانیسم های امنیتی باید تا آنجا که ممکن است از دید کاربرانی که کار آنها تحت کنترل است پنهان شود.

سخت افزار و نرم افزار امنیت اطلاعات

با وجود این واقعیت که سیستم عامل های مدرن برای کامپیوترهای شخصی، مانند ویندوز 2000 ، ویندوز XP و ویندوز NT ، دارای زیر سیستم های حفاظتی خاص خود هستند ، ارتباط ایجاد ابزارهای حفاظتی اضافی همچنان باقی می ماند. واقعیت این است که اکثر سیستم ها قادر به محافظت از داده های خارج از خود نیستند، به عنوان مثال، در هنگام تبادل اطلاعات شبکه.

سخت افزار و نرم افزار امنیت اطلاعات را می توان به پنج گروه تقسیم کرد:

1. سیستم های شناسایی (تشخیص) و احراز هویت (احراز هویت) کاربران.
2. سیستم های رمزگذاری اطلاعات دیسک
3. سیستم های رمزگذاری برای داده های منتقل شده از طریق شبکه
4. سیستم های احراز هویت الکترونیکی داده ها
5. ابزارهای مدیریت کلید رمزنگاری

1. سیستم های شناسایی و احراز هویت کاربر

آنها برای محدود کردن دسترسی کاربران معمولی و غیرقانونی به منابع سیستم رایانه استفاده می شوند. الگوریتم کلی برای عملکرد چنین سیستم هایی این است که اطلاعاتی را از کاربر به دست آورید که هویت او را ثابت کند، صحت آن را تأیید کند و سپس توانایی کار با سیستم را برای این کاربر فراهم کند (یا ارائه نکند).

هنگام ساخت این سیستم ها، مشکل انتخاب اطلاعاتی که بر اساس آن مراحل شناسایی و احراز هویت کاربر انجام می شود، ایجاد می شود. انواع زیر را می توان تشخیص داد:

• اطلاعات محرمانه کاربر (رمز عبور ، کلید مخفی ، شناسه شخصی و غیره) ؛ کاربر باید این اطلاعات را به خاطر بسپارد یا می توان از وسایل ذخیره سازی خاصی برای آن استفاده کرد.
• پارامترهای فیزیولوژیکی فرد (اثر انگشت ، طراحی عنبیه چشم و غیره) یا ویژگی های رفتاری (ویژگی های کار روی صفحه کلید و غیره).

سیستم های مبتنی بر اطلاعات نوع اول در نظر گرفته می شوند سنتی... سیستم هایی که از نوع دوم اطلاعات استفاده می کنند نامیده می شوند بیومتریک... لازم به ذکر است که یک گرایش نوظهور برای توسعه پیشرفته سیستم های شناسایی بیومتریک وجود دارد.

2. سیستم های رمزگذاری دیسک

برای بی فایده ساختن اطلاعات برای دشمن، از مجموعه ای از روش های تبدیل داده استفاده می شود که نامیده می شود رمزنگاری[از یونانی. کریپتوس- پنهان و گرافی- نوشتن].

سیستم های رمزگذاری می توانند تبدیل رمزنگاری داده ها را در سطح فایل یا دیسک انجام دهند. برنامه های نوع اول شامل آرشیوهایی مانند ARJ و RAR است که امکان استفاده از روش های رمزنگاری را برای محافظت از پرونده های آرشیو فراهم می کند. نمونه ای از سیستم های نوع دوم، برنامه رمزگذاری Diskreet است که بخشی از محبوب است بسته نرم افزاری Norton Utilities ، Best Crypt.

یکی دیگر از ویژگی های طبقه بندی سیستم های رمزگذاری دیسک، نحوه عملکرد آنها است. با توجه به روش کار، سیستم رمزگذاری اطلاعات دیسک به دو کلاس تقسیم می شود:

• سیستم های رمزگذاری شفاف؛
• سیستم هایی که مخصوصاً برای رمزگذاری نامیده می شوند.

در سیستم های رمزگذاری شفاف (رمزگذاری "در حال پرواز") ، تغییرات رمزنگاری در زمان واقعی و بدون توجه کاربر انجام می شود. به عنوان مثال، یک کاربر یک سند آماده شده در یک ویرایشگر متن را روی یک دیسک محافظت شده می نویسد و سیستم حفاظتی آن را در طول فرآیند نوشتن رمزگذاری می کند.

سیستم های کلاس II معمولاً ابزارهایی هستند که باید به طور خاص برای انجام رمزگذاری فراخوانی شوند. برای مثال، بایگانی‌هایی که از رمز عبور داخلی محافظت می‌کنند، شامل این موارد می‌شود.

اکثر سیستم هایی که پیشنهاد تنظیم رمز عبور برای یک سند را می دهند، اطلاعات را رمزگذاری نمی کنند، بلکه فقط هنگام دسترسی به سند، درخواست رمز عبور ارائه می دهند. این سیستم ها عبارتند از MS Office، 1C و بسیاری دیگر.

3. سیستم های رمزگذاری داده های منتقل شده از طریق شبکه ها

دو روش اصلی برای رمزگذاری وجود دارد: رمزگذاری کانال و رمزگذاری ترمینال (مشترک).

چه زمانی رمزگذاری کانالتمام اطلاعات منتقل شده از طریق کانال ارتباطی از جمله اطلاعات سرویس محافظت می شود. این روش رمزگذاری دارای مزیت زیر است - جاسازی روشهای رمزگذاری در لایه پیوند داده امکان استفاده از سخت افزار را فراهم می کند که عملکرد سیستم را بهبود می بخشد. با این حال، این روش همچنین دارای معایب قابل توجهی است:

• رمزگذاری داده های سرویس، مکانیسم مسیریابی بسته های شبکه را پیچیده می کند و نیاز به رمزگشایی داده ها در دستگاه های ارتباطی میانی (دروازه ها، تکرارکننده ها و غیره) دارد.
• رمزگذاری اطلاعات سرویس می تواند منجر به ظاهر الگوهای آماری در داده های رمزگذاری شده شود ، که بر قابلیت اطمینان حفاظت تأثیر می گذارد و محدودیت هایی را در استفاده از الگوریتم های رمزنگاری اعمال می کند.

رمزگذاری انتها به انتها (مشترک).به شما امکان می دهد از محرمانه بودن داده های ارسال شده بین دو مشترک اطمینان حاصل کنید. در این حالت ، فقط محتوای پیام ها محافظت می شود ، تمام اطلاعات سرویس باز می ماند. نقطه ضعف آن توانایی تجزیه و تحلیل اطلاعات در مورد ساختار تبادل پیام است، به عنوان مثال، در مورد فرستنده و گیرنده، در مورد زمان و شرایط انتقال داده، و همچنین در مورد مقدار داده های منتقل شده.

4. سیستم های احراز هویت الکترونیکی داده ها

هنگام تبادل داده ها از طریق شبکه ها، مشکل احراز هویت نویسنده سند و خود سند ایجاد می شود، یعنی. احراز هویت نویسنده و تأیید عدم وجود تغییرات در سند دریافت شده. برای احراز هویت داده ها، از یک کد احراز هویت پیام (درج تقلیدی) یا یک امضای الکترونیکی استفاده می شود.

درج تقلیدیاز داده های باز با استفاده از یک تبدیل رمزگذاری ویژه با استفاده از یک کلید مخفی تولید می شود و از طریق یک کانال ارتباطی در انتهای داده های رمزگذاری شده منتقل می شود. درج تقلید توسط گیرنده ای که کلید مخفی را در اختیار دارد با تکرار رویه ای که قبلاً توسط فرستنده روی داده های عمومی دریافت شده انجام شده است تأیید می شود.

الکترونیکی امضای دیجیتالی نشان دهنده مقدار نسبتاً کمی از اطلاعات احراز هویت اضافی است که با متن امضا شده منتقل می شود. فرستنده با استفاده از کلید مخفی فرستنده یک امضای دیجیتالی تشکیل می دهد. گیرنده امضا را با استفاده از کلید عمومی فرستنده تأیید می کند.

بنابراین، برای اجرای درج تقلیدی، از اصول رمزگذاری متقارن و برای اجرای امضای الکترونیکی - نامتقارن استفاده می شود. در ادامه این دو سیستم رمزگذاری را با جزئیات بیشتری بررسی خواهیم کرد.

5. ابزارهای مدیریت کلیدهای رمزنگاری

امنیت هر سیستم رمزنگاری شده توسط کلیدهای رمزنگاری مورد استفاده تعیین می شود. در مورد مدیریت ناامن کلید، مهاجم می تواند اطلاعات کلیدی را در دست بگیرد و به تمام اطلاعات موجود در سیستم یا شبکه دسترسی کامل داشته باشد.

انواع مختلفی از توابع مدیریت کلید وجود دارد: تولید ، ذخیره سازی و توزیع کلیدها.

راه ها تولید کلیدبرای سیستم های رمزنگاری متقارن و نامتقارن متفاوت است. برای تولید کلیدهای سیستم های رمزنگاری متقارن، از سخت افزار و نرم افزار برای تولید اعداد تصادفی استفاده می شود. تولید کلید برای سیستم‌های رمزنگاری نامتقارن دشوارتر است زیرا کلیدها باید ویژگی‌های ریاضی خاصی داشته باشند. اجازه دهید هنگام مطالعه سیستم های رمزنگاری متقارن و نامتقارن روی این موضوع با جزئیات بیشتری صحبت کنیم.

عملکرد ذخیره سازیشامل سازماندهی ذخیره سازی ایمن، حسابداری و دفع اطلاعات کلیدی است. برای اطمینان از ذخیره ایمن کلیدها، آنها با استفاده از کلیدهای دیگر رمزگذاری می شوند. این رویکرد منجر به مفهوم سلسله مراتب کلیدی می شود. سلسله مراتب کلید معمولاً شامل یک کلید اصلی (یعنی یک کلید اصلی)، یک کلید رمزگذاری کلید و یک کلید رمزگذاری داده است. لازم به ذکر است که تولید و ذخیره کلید اصلی یک مسئله مهم در حفاظت از رمزنگاری است.

توزیعحیاتی ترین فرآیند در مدیریت کلید است. این فرآیند باید از محرمانه بودن کلیدهای توزیع شده اطمینان حاصل کند و باید سریع و دقیق باشد. کلیدها بین کاربران شبکه به دو صورت توزیع می شوند:

• استفاده از تبادل مستقیم کلیدهای جلسه؛
• با استفاده از یک یا چند مرکز توزیع کلیدی

لیست اسناد

1. در مورد راز دولتی قانون فدراسیون روسیه 21 ژوئیه 1993 شماره 5485-1 (طبق اصلاح قانون فدرال شماره 131-FZ از 6 اکتبر 1997).
2. درباره اطلاعات، اطلاعات و حفاظت از اطلاعات. قانون فدرال فدراسیون روسیه 20 فوریه 1995 شماره 24-FZ. تصویب شده توسط دومای دولتی در 25 ژانویه 1995.
3. در مورد حفاظت حقوقی برنامه های رایانه های الکترونیکی و پایگاه های داده. قانون فدراسیون روسیه 23 سپتامبر 1992 شماره 3524-1.
4. درباره امضای دیجیتالی الکترونیکی. قانون فدرال فدراسیون روسیه 10 ژانویه 2002 شماره 1-FZ.
5. در مورد کپی رایت و حقوق مرتبط. قانون فدراسیون روسیه مورخ 9 ژوئیه 1993 شماره 5351-1.
6. درباره سازمان های ارتباطات و اطلاعات دولتی فدرال. قانون فدراسیون روسیه (بر اساس فرمان رئیس جمهور فدراسیون روسیه در 24 دسامبر 1993 شماره 2288 اصلاح شد؛ قانون فدرال 7 نوامبر 2000 شماره 135-FZ.
7. مقررات مربوط به اعتبار سنجی آزمایشگاه ها و ارگان های آزمایش برای صدور گواهینامه ابزارهای امنیت اطلاعات مطابق با الزامات امنیت اطلاعات / کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه.
8. دستورالعمل نحوه علامت گذاری گواهی های انطباق، رونوشت های آنها و ابزارهای صدور گواهینامه حفاظت از اطلاعات / کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه.
9. مقررات مربوط به صدور گواهینامه اشیاء اطلاعاتی مطابق با الزامات امنیت اطلاعات / کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه.
10. مقررات مربوط به صدور گواهینامه ابزارهای امنیت اطلاعات مطابق با الزامات امنیت اطلاعات: با افزودن مطابق فرمان دولت فدراسیون روسیه ، 26 ژوئن 1995 ، شماره 608 "در مورد تأیید وسایل امنیت اطلاعات" / کمیسیون فنی دولتی تحت رئیس جمهور فدراسیون روسیه.
11. مقررات مربوط به مجوز دولتی فعالیت در زمینه حفاظت از اطلاعات / کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه.
12. سیستم های خودکار محافظت در برابر دسترسی غیرمجاز به اطلاعات. طبقه بندی سیستم های خودکار و الزامات حفاظت از اطلاعات: سند راهنما / کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه.
13. مفهوم حفاظت از تجهیزات کامپیوتری و سیستم های خودکار در برابر دسترسی غیرمجاز به اطلاعات: سند راهنمایی / کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه.
14. امکانات کامپیوتر. فایروال ها محافظت در برابر دسترسی غیرمجاز به اطلاعات. شاخص های امنیت در برابر دسترسی غیرمجاز به اطلاعات: سند راهنما / کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه.
15. امکانات کامپیوتری. محافظت در برابر دسترسی غیرمجاز به اطلاعات. شاخص های امنیت در برابر دسترسی غیرمجاز به اطلاعات: سند راهنما / کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه.
16. حفاظت از اطلاعات علائم حفاظتی ویژه طبقه بندی و الزامات عمومی: سند راهنما / کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه.
17. حفاظت در برابر دسترسی غیر مجاز به اطلاعات. شرایط و تعاریف: سند راهنما / کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه.

تضمین امنیت اطلاعات یک مشکل پیچیده اجتماعی، اجتماعی، حقوقی، اقتصادی و علمی است. تنها راه حل جامع اهداف و مقاصد آن به طور همزمان در چندین سطح می تواند تأثیر نظارتی خود را در تضمین امنیت اطلاعات کشور اعمال کند. کارهای انجام شده در این زمینه نه تنها باید جهت گیری عملی داشته باشد، بلکه باید مبنای علمی نیز داشته باشد.

اهداف اصلی تضمین امنیت اطلاعات بر اساس اولویت های پایدار امنیت ملی و اقتصادی است که منافع بلندمدت توسعه اجتماعی را برآورده می کند ، که شامل موارد زیر است:

حفظ و تقویت دولت روسیه و ثبات سیاسی در جامعه ؛

حفظ و توسعه نهادهای دموکراتیک جامعه، تضمین حقوق و آزادی های شهروندان، تقویت حاکمیت قانون و قانون و نظم.

تضمین جایگاه و نقش شایسته کشور در جامعه جهانی؛

تضمین تمامیت ارضی کشور؛

تضمین توسعه اقتصادی-اجتماعی مترقی؛

حفظ ارزشها و سنتهای فرهنگی ملی

با توجه به این اولویت ها، وظایف اصلی تضمین امنیت اطلاعات عبارتند از:

شناسایی، ارزیابی و پیش‌بینی منابع تهدید امنیت اطلاعات؛

توسعه یک سیاست دولتی برای تضمین امنیت اطلاعات، مجموعه ای از اقدامات و مکانیسم های اجرای آن.

توسعه یک چارچوب نظارتی برای تضمین امنیت اطلاعات، هماهنگی فعالیت‌های ارگان‌ها و شرکت‌های دولتی برای تضمین امنیت اطلاعات؛

توسعه سیستمی برای تضمین امنیت اطلاعات، بهبود سازمان، اشکال، روش ها و ابزارهای پیشگیری، مقابله و خنثی کردن تهدیدات امنیت اطلاعات و از بین بردن پیامدهای نقض آن.

حصول اطمینان از مشارکت فعال کشور در فرآیندهای ایجاد استفاده جهانی شبکه های اطلاعاتیو سیستم ها

مهمترین اصول امنیت اطلاعات عبارتند از:

1) قانونی بودن اقدامات برای شناسایی و جلوگیری از تخلفات در حوزه اطلاعات.

2) تداوم اجرا و بهبود ابزارها و روشهای کنترل و حفاظت از سیستم اطلاعاتی.

3) امکان سنجی اقتصادی، یعنی مقایسه خسارت احتمالی و هزینه های تضمین امنیت اطلاعات

4) پیچیدگی استفاده از کل زرادخانه ابزارهای حفاظتی موجود در تمام بخش های شرکت و در تمام مراحل فرآیند اطلاعات.

اجرای فرآیند حفاظت از اطلاعات شامل چندین مرحله است:

تعیین هدف حفاظت: حق حفاظت از منبع اطلاعاتی، برآورد هزینه منبع اطلاعاتی و عناصر اصلی آن، مدت زمان چرخه حیات منبع اطلاعاتی، مسیر فرآیند اطلاعات توسط بخش های عملکردی شرکت؛

شناسایی منابع تهدید (رقبا، مجرمان، کارمندان، و غیره)، اهداف تهدید (آشنایی، اصلاح، تخریب، و غیره)، کانال های ممکن برای اجرای تهدیدات (افشاء، نشت و غیره).

تعیین اقدامات حفاظتی لازم ؛

ارزیابی اثربخشی و امکان سنجی اقتصادی آنها؛

اجرای اقدامات انجام شده با در نظر گرفتن معیارهای انتخاب شده؛

اطلاع رسانی اقدامات انجام شده به پرسنل، نظارت بر اثربخشی آنها و حذف (پیشگیری) از پیامدهای تهدیدات.

اجرای مراحل توصیف شده در واقع فرآیندی برای مدیریت امنیت اطلاعات یک شی است و توسط یک سیستم کنترلی ارائه می شود که علاوه بر خود شیء کنترل شده (محافظت شده)، ابزار نظارت بر وضعیت آن، مکانیزمی را نیز در بر می گیرد. برای مقایسه وضعیت فعلی با وضعیت مورد نیاز ، و همچنین مکانیزمی برای کنترل اقدامات برای محلی سازی و جلوگیری از آسیب ناشی از تهدیدها. در این مورد، توصیه می شود دستیابی به حداقل آسیب اطلاعاتی را ملاک مدیریت در نظر بگیریم و هدف مدیریت اطمینان از وضعیت مورد نیاز شی به معنای امنیت اطلاعات آن است.

روش های امنیت اطلاعات به حقوقی، سازمانی و فنی و اقتصادی تقسیم می شوند.

به روش های قانونیتضمین امنیت اطلاعات شامل توسعه قوانین قانونی نظارتی تنظیم کننده روابط در حوزه اطلاعات و اسناد روش شناختی نظارتی در مورد امنیت اطلاعات است. مهمترین زمینه های این فعالیت عبارتند از:

اصلاحات و الحاقات به قوانین حاکم بر روابط در زمینه امنیت اطلاعات، به منظور ایجاد و بهبود سیستم امنیت اطلاعات، رفع تناقضات داخلی در قوانین فدرال، تناقضات مربوط به توافقات بین المللی و همچنین به منظور دقیق سازی هنجارهای حقوقی ایجاد مسئولیت برای جرایم در زمینه امنیت اطلاعات؛

تعیین اختیارات قانونی در زمینه حصول اطمینان از تعریف اهداف، اهداف و سازوکارهای مشارکت در این فعالیت انجمن ها، سازمان ها و شهروندان عمومی.

تدوین و تصویب قوانین قانونی نظارتی که مسئولیت اشخاص حقوقی و اشخاص را در قبال دسترسی غیرمجاز به اطلاعات، کپی برداری غیرقانونی، تحریف و استفاده غیرقانونی، انتشار عمدی اطلاعات نادرست، افشای غیرقانونی ایجاد می کند. اطلاعات محرمانهاستفاده از اطلاعات رسمی یا اطلاعات حاوی اسرار تجاری برای مقاصد مجرمانه و خودخواهانه.

شفاف سازی وضعیت خبرگزاری ها، رسانه های گروهی و خبرنگاران خارجی و همچنین سرمایه گذاران در هنگام جذب سرمایه گذاری خارجی برای توسعه زیرساخت های اطلاعاتی داخلی.

تحکیم قانونی اولویت توسعه شبکه های ارتباطی ملی و تولید داخلی ماهواره های ارتباطی فضایی.

تعیین وضعیت سازمان های ارائه دهنده خدمات شبکه های جهانی اطلاعات و ارتباطات و تنظیم قانونی فعالیت این سازمان ها.

ایجاد یک مبنای قانونی برای تشکیل ساختارهای منطقه ای برای اطمینان از امنیت اطلاعات.

سازمانی و فنیروش های امنیت اطلاعات عبارتند از:

ایجاد و بهبود سیستم امنیت اطلاعات دولتی؛

تقویت فعالیت های انتظامی مقامات از جمله پیشگیری و سرکوب جرایم در حوزه اطلاعات و همچنین شناسایی، افشای و تعقیب افرادی که مرتکب جنایت و سایر تخلفات در این زمینه شده اند.

توسعه، استفاده و بهبود ابزارها و روش‌های امنیت اطلاعات برای نظارت بر اثربخشی این وسایل، توسعه سیستم‌های مخابراتی امن، افزایش قابلیت اطمینان نرم‌افزارهای ویژه.

ایجاد سیستم ها و ابزارهای جلوگیری از دسترسی غیر مجاز به اطلاعات پردازش شده و جلوه های ویژه ای که باعث تخریب ، تخریب ، تحریف اطلاعات و همچنین تغییر حالت های عادی عملکرد سیستم ها و وسایل اطلاع رسانی و ارتباطات می شود.

آشکار شدن دستگاه های فنیو برنامه هایی که عملکرد عادی سیستم های اطلاعاتی و ارتباطی را تهدید می کند، جلوگیری از رهگیری اطلاعات از طریق کانال های فنی، استفاده از ابزار رمزنگاری حفاظت از اطلاعات در حین ذخیره سازی، پردازش و انتقال آن از طریق کانال های ارتباطی، نظارت بر اجرای الزامات ویژه برای حفاظت از اطلاعات؛

گواهی ابزارهای امنیت اطلاعات، صدور مجوز فعالیت در زمینه حفاظت از اسرار دولتی، استانداردسازی روش ها و ابزارهای امنیت اطلاعات؛

بهبود سیستم صدور گواهینامه تجهیزات مخابراتی و نرم افزار برای سیستم های پردازش خودکار اطلاعات مطابق با الزامات امنیت اطلاعات.

کنترل بر اقدامات پرسنل در سیستم های اطلاعات محافظت شده، آموزش در زمینه تضمین امنیت اطلاعات دولت.

تشکیل سیستم نظارت بر شاخص ها و ویژگی های امنیت اطلاعات در مهمترین حوزه های زندگی و فعالیتهای جامعه و دولت.

روش های اقتصادیتضمین امنیت اطلاعات عبارتند از:

توسعه برنامه هایی برای تضمین امنیت اطلاعات دولت و تعیین روش تأمین مالی آنها.

بهبود سیستم تامین مالی کارهای مربوط به اجرای روشهای قانونی و سازمانی و فنی حفاظت اطلاعات، ایجاد سامانه بیمه ریسک اطلاعات اشخاص حقیقی و حقوقی.

همراه با استفاده گسترده روش های استانداردو منابع مالی برای اقتصاد ، زمینه های اولویت دار برای اطمینان از امنیت اطلاعات عبارتند از:

تدوین و تصویب مقررات قانونی مبنی بر مسئولیت اشخاص حقوقی و افراد در قبال دسترسی غیرمجاز و سرقت اطلاعات ، انتشار عمدی اطلاعات نادرست ، افشای اسرار تجاری ، نشت اطلاعات محرمانه ؛

ایجاد یک سیستم گزارش‌دهی آماری دولتی که قابلیت اطمینان، کامل بودن، مقایسه‌پذیری و امنیت اطلاعات را با ایجاد مسئولیت قانونی دقیق منابع اولیه اطلاعات، سازماندهی کنترل مؤثر بر فعالیت‌های آنها و فعالیت‌های خدمات پردازش و تجزیه و تحلیل اطلاعات آماری، محدود کردن آن تضمین می‌کند. تجاری سازی با استفاده از ابزارهای ویژه سازمانی و نرم افزاری و سخت افزاری امنیت اطلاعات.

ایجاد و بهبود ابزارهای ویژه حفاظت از اطلاعات مالی و تجاری ؛

توسعه مجموعه ای از اقدامات سازمانی و فنی برای بهبود فناوری فعالیتهای اطلاعاتیو حفاظت از اطلاعات در ساختارهای اقتصادی، مالی، صنعتی و سایر ساختارهای اقتصادی با در نظر گرفتن الزامات امنیت اطلاعات ویژه اقتصاد.

بهبود سیستم انتخاب حرفه ای و آموزش پرسنل، سیستم های گزینش، پردازش، تجزیه و تحلیل و انتشار اطلاعات اقتصادی.

سیاست عمومیتضمین امنیت اطلاعات، جهت‌گیری‌های فعالیت مقامات و ادارات دولتی در زمینه امنیت اطلاعات، از جمله تضمین حقوق همه افراد در مورد اطلاعات، تأمین وظایف و مسئولیت‌های دولت و ارگان‌های آن در قبال امنیت اطلاعات کشور را تشکیل می‌دهد. و مبتنی بر حفظ تعادل منافع فرد، جامعه و دولت در حوزه اطلاعات است.

سیاست امنیت اطلاعات دولتی بر اساس مفاد اساسی زیر است:

محدودیت دسترسی به اطلاعات از اصل کلی باز بودن اطلاعات مستثنی است و فقط بر اساس قانون انجام می شود.

مسئولیت ایمنی اطلاعات، طبقه بندی و طبقه بندی آن شخصی سازی شده است.

دسترسی به هر گونه اطلاعات، و همچنین محدودیت های اعمال شده برای دسترسی، با در نظر گرفتن حقوق مالکیت این اطلاعات تعیین شده توسط قانون انجام می شود.

تشکیل یک چارچوب نظارتی حاکم بر حقوق، تعهدات و مسئولیت های همه افراد فعال در حوزه اطلاعات توسط دولت.

حقوقی و اشخاص حقیقیجمع آوری، جمع آوری و پردازش داده های شخصی و اطلاعات محرمانه در برابر قانون مسئول ایمنی و استفاده از آنها است.

ارائه ابزار قانونی برای دولت برای محافظت از جامعه در برابر اطلاعات نادرست، تحریف شده و نادرست که از طریق رسانه ها منتشر می شود.

اجرای کنترل دولتی بر ایجاد و استفاده از وسایل امنیت اطلاعات از طریق صدور گواهینامه اجباری آنها و صدور مجوز فعالیت در زمینه امنیت اطلاعات.

اجرای سیاست حمایتی دولت که از فعالیت‌های تولیدکنندگان داخلی فناوری اطلاعات و حفاظت اطلاعات حمایت می‌کند و اقداماتی را برای محافظت از بازار داخلی در برابر نفوذ رسانه‌ها و محصولات اطلاعاتی نامرغوب انجام می‌دهد.

حمایت دولت در دسترسی شهروندان به منابع اطلاعاتی جهان ، شبکه های اطلاعاتی جهانی ،

تشکیل یک برنامه امنیت اطلاعات فدرال توسط ایالت که تلاش ها را متحد می کند سازمان های دولتیو ساختارهای تجاری در ایجاد سیستم یکپارچه امنیت اطلاعات برای کشور.

دولت برای مقابله با گسترش اطلاعات سایر کشورها تلاش می کند، از بین المللی شدن شبکه ها و سیستم های اطلاعاتی جهانی حمایت می کند.

بر اساس اصول و مفاد ذکر شده، جهت‌گیری‌های کلی شکل‌گیری و اجرای سیاست امنیت اطلاعات در حوزه‌های سیاسی، اقتصادی و سایر حوزه‌های فعالیت دولت تعیین می‌شود.

سیاست دولتی به عنوان مکانیزمی برای هماهنگ کردن منافع موضوعات روابط اطلاعاتی و یافتن راه حل های مصالحه، تشکیل و سازماندهی کار مؤثر شوراها، کمیته ها و کمیسیون های مختلف با نمایندگی گسترده متخصصان و کلیه ساختارهای ذینفع را فراهم می کند. سازوکارهای اجرای سیاست های دولتی باید منعطف باشد و تغییراتی را که در زندگی اقتصادی و سیاسی کشور رخ می دهد به موقع منعکس کند.

حمایت قانونی از امنیت اطلاعات دولت یک حوزه اولویت برای تشکیل مکانیسم هایی برای اجرای سیاست امنیت اطلاعات است و شامل:

1) فعالیت های قانون گذاری برای ایجاد قوانین تنظیم روابط در جامعه در ارتباط با تضمین امنیت اطلاعات ؛

2) فعالیت های اجرایی و انتظامی برای اجرای قانون در زمینه اطلاعات، اطلاعات و حفاظت اطلاعات توسط مقامات دولتی و مدیریت، سازمان ها، شهروندان.

فعالیت هنجاریدر زمینه امنیت اطلاعات ارائه می دهد:

ارزیابی وضعیت قوانین جاری و تدوین برنامه ای برای بهبود آن ؛

ایجاد سازوکارهای سازمانی و قانونی برای تضمین امنیت اطلاعات.

تشکیل وضعیت حقوقی کلیه افراد در سیستم امنیت اطلاعات، استفاده کنندگان از سیستم های اطلاعاتی و مخابراتی و تعیین مسئولیت آنها در تامین امنیت اطلاعات.

توسعه یک سازوکار سازمانی و قانونی برای جمع آوری و تجزیه و تحلیل داده های آماری در مورد تأثیر تهدیدات امنیت اطلاعات و پیامدهای آنها ، با در نظر گرفتن انواع اطلاعات.

توسعه قوانین قانونی و سایر اقدامات هنجاری برای تنظیم روش برای از بین بردن پیامدهای تأثیر تهدیدات، احیای حقوق و منابع نقض شده و اجرای اقدامات جبرانی.

فعالیت های اجرایی و اجراییتوسعه رویه هایی را برای اعمال قوانین و مقررات برای اشخاصی که هنگام کار با اطلاعات محرمانه مرتکب جرم و تخلف شده اند و قوانین تعاملات اطلاعاتی را نقض کرده اند ، فراهم می کند. کلیه فعالیتهای مربوط به حمایت حقوقی امنیت اطلاعات بر سه اصل اساسی قانون استوار است: رعایت حاکمیت قانون ، اطمینان از توازن منافع افراد و دولت و اجتناب ناپذیر مجازات.

انطباق با قانون مستلزم وجود قوانین و سایر مقررات نظارتی، اعمال و اجرای آنها توسط مشمولان قانون در زمینه امنیت اطلاعات است.

12.3. وضعیت امنیت اطلاعات در روسیه

ارزیابی وضعیت امنیت اطلاعات دولت شامل ارزیابی تهدیدهای موجود است. بند 2 "دکترین امنیت اطلاعات فدراسیون روسیه" 1 تهدیدات زیر را برای امنیت اطلاعات فدراسیون روسیه مشخص می کند:

تهدیدهای مربوط به حقوق و آزادی های مشروطه افراد و شهروندان در زمینه زندگی معنوی و فعالیتهای اطلاعاتی ، آگاهی فردی ، گروهی و عمومی ، احیای معنوی روسیه ؛

تهدید به حمایت اطلاعاتی از سیاست دولتی فدراسیون روسیه؛

تهدیدهای توسعه صنعت اطلاعات داخلی از جمله صنعت اطلاع رسانی ، مخابرات و ارتباطات ، رفع نیازهای بازار داخلی برای محصولات آن و ورود این محصولات به بازار جهانی و همچنین اطمینان از انباشت ، حفظ و نگهداری استفاده مؤثر از منابع اطلاعاتی داخلی؛

__________________________________________________________________

تهدیدی برای امنیت اطلاعات و سیستم های مخابراتی، هم اکنون مستقر شده و هم ایجاد شده در خاک روسیه.

منابع خارجی تهدید علیه امنیت اطلاعات روسیه عبارتند از:

1) فعالیت های ساختارهای سیاسی، اقتصادی، نظامی، اطلاعاتی و اطلاعاتی خارجی علیه فدراسیون روسیه در زمینه اطلاعات.

2) تمایل تعدادی از کشورها برای تسلط و تجاوز به منافع روسیه در فضای جهانی اطلاعات و بیرون راندن آن از بازارهای اطلاعات خارجی و داخلی.

3) تشدید رقابت بین المللی برای در اختیار داشتن فناوری اطلاعات و منابع.

4) فعالیت های سازمان های تروریستی بین المللی.

5) افزایش شکاف فن‌آوری بین قدرت‌های پیشرو جهان و ایجاد قابلیت‌های آنها برای مقابله با ایجاد فناوری‌های اطلاعاتی رقابتی روسیه.

6) فعالیتهای فضایی، هوایی، دریایی و زمینی فنی و سایر وسایل (انواع) اطلاعاتی کشورهای خارجی.

7) توسعه مفاهیم جنگ های اطلاعاتی توسط تعدادی از کشورها، ایجاد ابزارهای تأثیر خطرناک بر حوزه های اطلاعاتی سایر کشورهای جهان، اختلال در عملکرد عادی سیستم های اطلاعاتی و مخابراتی، ایمنی اطلاعات. منابع، به دست آوردن دسترسی غیرمجاز به آنها.

منابع داخلی تهدید علیه امنیت اطلاعات روسیه عبارتند از:

1) وضعیت بحرانی صنایع داخلی؛

2) وضعیت نامطلوب جرم همراه با تمایل به ادغام ساختارهای دولتی و جنایی در حوزه اطلاعات، دستیابی ساختارهای جنایی به اطلاعات محرمانه، افزایش نفوذ جرایم سازمان یافته بر زندگی جامعه، کاهش درجه حفاظت از جامعه منافع مشروع شهروندان ، جامعه و دولت در حوزه اطلاعات ؛

3) هماهنگی ناکافی فعالیتهای نهادهای فدرال قدرت دولتی ، دستگاههای قدرت دولتی نهادهای تشکیل دهنده فدراسیون روسیه در مورد شکل گیری و اجرای یک سیاست دولتی واحد در زمینه اطمینان از امنیت اطلاعات فدراسیون روسیه ؛

4) شرح ناکافی چارچوب قانونی نظارتی حاکم بر روابط در حوزه اطلاعات و همچنین عملکرد ناکافی اجرای قانون.

5) توسعه نیافتگی نهادهای جامعه مدنی و کنترل ناکافی بر توسعه بازار اطلاعات در روسیه.

6) قدرت اقتصادی ناکافی دولت.

7) کاهش کارایی سیستم آموزشی و آموزشی، تعداد ناکافی پرسنل واجد شرایط در زمینه امنیت اطلاعات.

8) عقب ماندن روسیه از کشورهای پیشرو جهان از نظر اطلاع رسانی ارگان های دولت فدرال، اعتبار و مالی، صنعت، کشاورزی، آموزش، مراقبت های بهداشتی، خدمات و زندگی روزمره شهروندان.

در سال های اخیر، روسیه مجموعه ای از اقدامات را برای بهبود امنیت اطلاعات خود اجرا کرده است. اقداماتی برای تضمین امنیت اطلاعات در ارگان های دولتی فدرال، ارگان های دولتی نهادهای تشکیل دهنده فدراسیون روسیه، در شرکت ها، موسسات و سازمان ها صرف نظر از شکل مالکیت انجام شده است. کار برای ایجاد یک سیستم اطلاعاتی و مخابراتی امن برای اهداف خاص در راستای منافع مقامات دولتی آغاز شده است.

سیستم دولتی حفاظت از اطلاعات، سیستم حفاظت از اسرار دولتی و سیستم صدور گواهینامه برای حفاظت از اطلاعات به حل موفقیت آمیز مسائل مربوط به تضمین امنیت اطلاعات فدراسیون روسیه کمک می کند.

ساختار سیستم دولتیحفاظت از اطلاعات عبارتند از:

مقامات دولتی و ادارات فدراسیون روسیه و نهادهای تشکیل دهنده فدراسیون روسیه، مشکلات مربوط به تضمین امنیت اطلاعات را در صلاحیت خود حل می کنند.

کمیسیون ها و شوراهای دولتی و بین بخشی متخصص در مسائل امنیت اطلاعات؛

کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه؛

سرویس امنیت فدرال فدراسیون روسیه؛

وزارت امور داخلی فدراسیون روسیه ؛

وزارت دفاع فدراسیون روسیه؛

آژانس فدرال ارتباطات و اطلاعات دولتی زیر نظر رئیس جمهور فدراسیون روسیه ؛

سرویس اطلاعات خارجی فدراسیون روسیه؛

بخشهای ساختاری و بین بخشی برای حفاظت از اطلاعات مقامات دولتی ؛

سازمان های تحقیقاتی، علمی و فنی، طراحی و مهندسی پیشرو و پیشرو برای حفاظت از اطلاعات؛

موسسات آموزشیآموزش و بازآموزی پرسنل برای کار در سیستم امنیت اطلاعات.

کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه، به عنوان یک نهاد دولتی، یک سیاست فنی واحد را اجرا می کند و کار در زمینه حفاظت از اطلاعات را هماهنگ می کند، سیستم دولتی برای محافظت از اطلاعات در برابر اطلاعات فنی را رهبری می کند و مسئول تضمین حفاظت است. اطلاعات حاصل از نشت آن از طریق کانال های فنی در قلمرو روسیه، بر اثربخشی اقدامات حفاظتی انجام شده نظارت می کند.

جایگاه ویژه ای در سیستم امنیت اطلاعات توسط سازمان های دولتی و عمومی که بر فعالیت های رسانه های دولتی و غیردولتی کنترل دارند، اشغال شده است.

تا به امروز، یک چارچوب قانونی و نظارتی در زمینه امنیت اطلاعات در روسیه شکل گرفته است که شامل:

1. قوانین فدراسیون روسیه:

قانون اساسی فدراسیون روسیه؛

"در مورد بانک ها و فعالیت های بانکی"؛

"در مورد امنیت"؛

"درباره اطلاعات خارجی"؛

"در مورد اسرار دولتی" ؛

"درباره ارتباطات"؛

"در مورد صدور گواهینامه محصولات و خدمات"؛

"در رسانه های جمعی" ؛

"در مورد استانداردسازی"؛

"در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات"؛

"در مورد بدنه سرویس امنیت فدرال در فدراسیون روسیه"؛

"در کپی الزامی اسناد"؛

"در مورد مشارکت در تبادل اطلاعات بین المللی"؛

"امضای دیجیتال O6" و غیره

2. اقدامات قانونی هنجاری رئیس جمهور فدراسیون روسیه:

"دکترین امنیت اطلاعات فدراسیون روسیه"؛

"در مورد استراتژی امنیت ملی فدراسیون روسیه تا سال 2020"؛

"در مورد برخی از مسائل کمیسیون بین بخشی برای حفاظت از اسرار دولتی"؛

"در فهرست اطلاعات طبقه بندی شده به عنوان اسرار دولتی"؛

"در مبانی سیاست دولتی در زمینه اطلاع رسانی"؛

«در مورد تأیید فهرست اطلاعات محرمانه» و غیره.

H. اقدامات قانونی نظارتی دولت فدراسیون روسیه:

"در مورد صدور گواهینامه ابزارهای امنیت اطلاعات"؛

"در مورد صدور مجوز فعالیت شرکت ها، مؤسسات و سازمان ها برای انجام کارهای مربوط به استفاده از اطلاعات تشکیل دهنده یک راز دولتی، ایجاد وسایل امنیت اطلاعات و همچنین اجرای اقدامات و (یا) ارائه خدمات برای حفاظت از اسرار دولتی"؛

"در مورد تصویب قوانین برای طبقه بندی اطلاعات تشکیل دهنده یک راز دولتی به درجات مختلف محرمانه"؛

"در مورد صدور مجوز انواع خاصی از فعالیت ها" و غیره.

4. اسناد راهنمای کمیسیون فنی دولتی روسیه:

"مفهوم حفاظت از تجهیزات کامپیوتری و سیستم های خودکار در برابر دسترسی غیرمجاز به اطلاعات"؛

«امکانات کامپیوتری محافظت در برابر دسترسی غیرمجاز به اطلاعات. شاخص های امنیت در برابر دسترسی غیرمجاز به اطلاعات "؛

"سیستم های خودکار محافظت در برابر دسترسی غیرمجاز به اطلاعات. طبقه بندی سیستم های خودکار و الزامات حفاظت از اطلاعات "؛

"حفاظت از اطلاعات علائم حفاظتی ویژه طبقه بندی و الزامات عمومی "؛

"محافظت در برابر دسترسی غیرمجاز به اطلاعات. بخش 1. نرم افزار برای امنیت اطلاعات. طبقه بندی بر اساس سطح کنترل عدم وجود فرصتهای اعلام نشده ".

5. قانون مدنی فدراسیون روسیه (قسمت چهارم).

6. قانون جزا فدراسیون روسیه.

همکاری بین المللی در زمینه امنیت اطلاعات بخشی جدایی ناپذیر از تعاملات اقتصادی ، سیاسی ، نظامی ، فرهنگی و سایر انواع کشورهای جامعه جهانی است. چنین همکاری هایی باید به بهبود امنیت اطلاعات همه اعضای جامعه جهانی از جمله روسیه کمک کند. ویژگی همکاری بین المللی فدراسیون روسیه در زمینه امنیت اطلاعات در این واقعیت نهفته است که در چارچوب رقابت بین المللی تشدید شده برای در اختیار داشتن فناوری و فناوری انجام می شود. منابع اطلاعاتی، برای تسلط بر بازارهای فروش، تقویت شکاف تکنولوژیکی بین قدرت های پیشرو جهان و ایجاد قابلیت های آنها برای ایجاد "سلاح های اطلاعاتی". این می تواند به مرحله جدیدی در توسعه مسابقه تسلیحاتی در حوزه اطلاعات منجر شود.

همکاری بین المللی در زمینه امنیت اطلاعات بر اساس چارچوب نظارتی زیر است:

موافقتنامه 13 ژانویه 1995 با جمهوری قزاقستان با مسکو (قطعنامه دولت فدراسیون روسیه در 15 مه 1994 Nch 679)؛

توافقنامه با اوکراین در 14 ژوئن 1996، کیف (قطعنامه دولت فدراسیون روسیه در 7 ژوئن 1996 Ns 655)؛

موافقتنامه با جمهوری بلاروس (پیش نویس)؛

صدور گواهینامه و مجوز برای تبادل اطلاعات بین المللی (قانون فدرال 4 جولای 1996، X 85-FZ).

زمینه های اصلی همکاری بین المللی که منافع فدراسیون روسیه را تامین می کند عبارتند از:

جلوگیری از دسترسی غیرمجاز به اطلاعات محرمانه در شبکه ها و کانال های بانکی بین المللی پشتیبانی اطلاعاتتجارت جهانی، به اطلاعات محرمانه در اتحادیه ها، بلوک ها و سازمان های اقتصادی و سیاسی بین المللی، به اطلاعات در سازمان های مجری قانون بین المللی که با جرایم سازمان یافته بین المللی و تروریسم بین المللی مبارزه می کنند.

منع توسعه، تکثیر و استفاده از "سلاح های اطلاعاتی"؛

تضمین امنیت تبادل اطلاعات بین المللی، از جمله ایمنی اطلاعات در حین انتقال آن از طریق شبکه های مخابراتی ملی و کانال های ارتباطی؛

هماهنگی فعالیت های سازمان های اجرای قانون کشورهای مشارکت کننده در همکاری های بین المللی در پیشگیری از جرایم رایانه ای ؛

مشارکت در کنفرانس های بین المللیو نمایشگاه هایی در مورد مشکل امنیت اطلاعات.

در جریان همکاری، با در نظر گرفتن چشم انداز ایجاد یک فضای اطلاعاتی واحد در قلمرو اتحاد جماهیر شوروی سابق، که در آن سیستم های مخابراتی و خطوط ارتباطی عملاً یکپارچه هستند، باید به مشکلات تعامل با کشورهای CIS توجه ویژه ای شود. استفاده شده.

در عین حال، تجزیه و تحلیل وضعیت امنیت اطلاعات در روسیه نشان می دهد که سطح آن به طور کامل نیازهای جامعه و دولت را برآورده نمی کند. شرایط کنونی توسعه سیاسی و اجتماعی-اقتصادی کشور، تضاد بین نیازهای جامعه برای گسترش تبادل آزاد اطلاعات و نیاز به حفظ محدودیت های تنظیم شده خاص در انتشار آن را تشدید می کند.

حقوق شهروندان مبنی بر تخلف ناپذیری از زندگی خصوصی ، اسرار شخصی و خانوادگی و محرمانه بودن مکاتبات مندرج در قانون اساسی فدراسیون روسیه از حمایت قانونی ، سازمانی و فنی کافی برخوردار نیست. حفاظت از داده های شخصی جمع آوری شده توسط مقامات دولت فدرال رضایت بخش نیست.

عدم شفافیت در اجرای سیاست دولتی در زمینه تشکیل فضای اطلاعاتی روسیه، توسعه سیستم رسانه های جمعی، سازماندهی تبادل اطلاعات بین المللی و ادغام فضای اطلاعات روسیه در اطلاعات جهانی وجود دارد. فضایی که شرایطی را برای بیرون راندن خبرگزاری ها و رسانه های جمعی روسیه از بازار اطلاعات داخلی و ساختارهای تغییر شکل تبادل اطلاعات بین المللی ایجاد می کند.

حمایت دولت از فعالیت های خبرگزاری های روسیه برای تبلیغ محصولات خود در بازار اطلاعات بین المللی ناکافی است.

وضعیت حصول اطمینان از ایمنی اطلاعاتی که یک راز دولتی را تشکیل می دهد در حال بدتر شدن است.

در نتیجه خروج دسته جمعی از متخصصان متخصص از این تیم ها ، آسیب های جدی به پتانسیل پرسنلی تیم های علمی و تولیدی که در زمینه ایجاد فناوری اطلاعات ، مخابرات و ارتباطات فعالیت می کنند وارد شده است.

عقب ماندگی فناوری اطلاعات داخلی، مقامات دولتی فدراسیون روسیه را مجبور می کند هنگام ایجاد سیستم های اطلاعاتی، مسیر خرید تجهیزات وارداتی و جذب شرکت های خارجی را دنبال کنند، که احتمال دسترسی غیرمجاز به اطلاعات پردازش شده را افزایش می دهد و وابستگی روسیه به تولید کنندگان خارجی را افزایش می دهد. تامین تجهیزات کامپیوتری و مخابراتی و همچنین نرم افزار.

در ارتباط با معرفی فشرده فناوری‌های اطلاعاتی خارجی در حوزه‌های فعالیت فردی، اجتماعی و دولتی و همچنین با استفاده گسترده از اطلاعات باز و سیستم‌های مخابراتی، ادغام سیستم‌های اطلاعات داخلی و بین‌المللی، تهدیدات استفاده از "سلاح های اطلاعاتی" علیه زیرساخت های اطلاعاتی روسیه افزایش یافته است. تلاش ها برای مقابله کافی و همه جانبه با این تهدیدات با هماهنگی ناکافی و بودجه ضعیف در حال انجام است.

سوالات کنترلی

1. امنیت اطلاعات در نظام امنیت اقتصادی دولت چه جایگاهی دارد؟ با مثال هایی اهمیت امنیت اطلاعات را در تضمین امنیت اقتصادی دولت نشان دهید؟

2. دلیل افزایش اهمیت امنیت اطلاعات در دوره مدرن چیست؟

3. دسته های اصلی امنیت اطلاعات را شرح دهید: اطلاعات ، اطلاع رسانی ، سند ، فرآیند اطلاعات، سیستم اطلاعاتی، منابع اطلاعاتی، داده های شخصی، اطلاعات محرمانه.

4. منافع فرد، جامعه و دولت در حوزه اطلاعات چیست؟

5. انواع تهدیدات امنیت اطلاعات کدامند؟

6. راه های تاثیر تهدیدات بر اشیاء امنیت اطلاعات را نام ببرید.

7. مفهوم «جنگ اطلاعاتی» را توضیح دهید.

8. فهرست کنید منابع خارجیتهدید امنیت اطلاعات روسیه

9. فهرست منابع داخلی تهدیدات امنیت اطلاعات در روسیه.

10. چه مقرراتی امنیت اطلاعات را در قلمرو فدراسیون روسیه فراهم می کند؟

11. چه مقررات بین المللی در زمینه حفاظت از اطلاعات را می شناسید؟

12. ماهیت سیاست امنیت اطلاعات دولتی چیست؟

13. روشهای تضمین امنیت اطلاعات را لیست کنید.

14. ساختار سیستم حفاظت اطلاعات دولتی را شرح دهید

15. ارزیابی از وضعیت امنیت اطلاعات در روسیه.

سیاست امنیت اطلاعات

1. مقررات عمومی

این خط مشی امنیت اطلاعات ( به علاوه - سیاست ) یک سیستم دیدگاه در مورد مشکل تضمین امنیت اطلاعات را تعریف می کند و بیانیه سیستماتیک اهداف و مقاصد و همچنین جنبه های سازمانی، فناوری و رویه ای برای تضمین امنیت اطلاعات اشیاء زیرساخت اطلاعاتی، از جمله مجموعه ای از اطلاعات است. مراکز، بانک های داده و سیستم های ارتباطی سازمان. این خط مشی با در نظر گرفتن الزامات قانون فعلی فدراسیون روسیه و چشم انداز فوری توسعه زیرساخت های اطلاعاتی و همچنین ویژگی ها و قابلیت های روش های سازمانی و فنی مدرن و سخت افزار و نرم افزار برای حفاظت از اطلاعات تدوین شده است. .

مفاد و الزامات اصلی خط مشی برای کلیه بخشهای ساختاری سازمان اعمال می شود.

این خط مشی مبنایی روش شناختی برای تشکیل و اجرای یک سیاست واحد در زمینه تضمین امنیت اطلاعات اشیاء زیرساخت اطلاعاتی، اتخاذ تصمیمات مدیریت هماهنگ و توسعه اقدامات عملی با هدف تضمین امنیت اطلاعات، هماهنگی فعالیت های بخش های ساختاری است. سازمان هنگام انجام کار بر روی ایجاد، توسعه و بهره برداری از زیرساخت های اطلاعاتی مطابق با الزامات امنیت اطلاعات.

این سیاست مسائل مربوط به سازماندهی حفاظت از اماکن و تضمین ایمنی و یکپارچگی فیزیکی اجزای زیرساخت اطلاعاتی، حفاظت در برابر بلایای طبیعی و نقص در سیستم تامین برق را تنظیم نمی کند، با این حال، مستلزم ایجاد یک سیستم امنیت اطلاعات است. بر اساس همان مبانی مفهومی سیستم امنیتی سازمان به عنوان یک کل.

اجرای خط مشی توسط دستورالعمل ها، مقررات، رویه ها، دستورالعمل ها، دستورالعمل ها و سیستمی برای ارزیابی امنیت اطلاعات در سازمان تضمین می شود.

این خط مشی از اصطلاحات و تعاریف زیر استفاده می کند:

سیستم خودکار ( مانند) — سیستمی متشکل از پرسنل و مجموعه ای از وسایل برای خودکارسازی فعالیت های آنها که فناوری اطلاعات را برای انجام وظایف تعیین شده پیاده سازی می کند.

زیرساخت های اطلاعاتی- سیستمی از ساختارهای سازمانی که عملکرد و توسعه فضای اطلاعاتی و وسایل تعامل اطلاعاتی را تضمین می کند. زیرساخت اطلاعات شامل مجموعه ای از مراکز اطلاعات ، بانک های اطلاعات و دانش ، سیستم های ارتباطی است و دسترسی مصرف کنندگان را به منابع اطلاعاتی فراهم می کند.

منابع اطلاعاتی ( IR) اسناد جداگانه و آرایه های جداگانه اسناد، اسناد و آرایه های اسناد در سیستم های اطلاعاتی ( کتابخانه ها، آرشیوها، صندوق ها، پایگاه های اطلاعاتی و سایر سیستم های اطلاعاتی).

سیستم اطلاعات (IP) - سیستم پردازش اطلاعات و منابع سازمانی مرتبط ( انسانی ، فنی ، مالی و غیره) که اطلاعات را ارائه و منتشر می کند.

امنیت -وضعیت حفاظت از منافع ( اهداف) سازمان ها در مواجهه با تهدیدات.

امنیت اطلاعات ( IB) — امنیت مرتبط با تهدیدات در حوزه اطلاعات. امنیت با اطمینان از مجموعه ای از ویژگی های IS - در دسترس بودن، یکپارچگی، محرمانه بودن دارایی های اطلاعاتی به دست می آید. اولویت دارایی های IS با ارزش این دارایی ها برای منافع تعیین می شود ( اهداف) سازمان.

در دسترس بودن دارایی های اطلاعاتی -دارایی IS یک سازمان ، که شامل این واقعیت است که دارایی های اطلاعاتی در اختیار کاربر مجاز قرار می گیرد ، و در شکل و مکان مورد نیاز کاربر ، و در زمانی که او به آنها نیاز دارد.

یکپارچگی دارایی های اطلاعاتی -ویژگی امنیت اطلاعات یک سازمان برای حفظ بدون تغییر یا اصلاح تغییرات شناسایی شده در دارایی های اطلاعاتی آن.

محرمانه بودن دارایی های اطلاعاتی -ویژگی امنیت اطلاعات یک سازمان ، که شامل این واقعیت است که پردازش ، ذخیره و انتقال دارایی های اطلاعات به گونه ای انجام می شود که دارایی های اطلاعاتی فقط در اختیار کاربران مجاز ، اشیاء یا فرآیندهای سیستم قرار می گیرد.

سیستم امنیت اطلاعات ( NIB) — مجموعه ای از اقدامات حفاظتی، تجهیزات حفاظتی و فرآیندهای عملکرد آنها، از جمله منابع و اداری ( سازمانی) امنیت.

دسترسی غیرمجاز- دسترسی به اطلاعات بر خلاف اختیارات رسمی یک کارمند، دسترسی به اطلاعاتی که برای دسترسی عمومی توسط افرادی که مجوز دسترسی به این اطلاعات را ندارند یا دسترسی به اطلاعات توسط شخصی که حق دسترسی به این اطلاعات را دارد، بسته است. به مقدار بیش از مقدار لازم برای انجام وظایف رسمی.

2. الزامات عمومی برای امنیت اطلاعات

الزامات امنیت اطلاعات ( به علاوه -IB ) محتوا و اهداف فعالیت های سازمان را در فرآیندهای مدیریت IS تعیین می کند.

این الزامات برای حوزه های زیر تدوین شده است:

• تعیین و توزیع نقش ها و اعتماد به پرسنل؛
• مراحل چرخه عمر اشیاء زیرساخت اطلاعاتی؛
• محافظت در برابر دسترسی غیرمجاز ( به علاوه - NSD کنترل دسترسی و ثبت نام در سیستم های خودکار، تجهیزات مخابراتی و مبادلات تلفنی خودکار و غیره.
• محافظت در برابر ویروس؛
• استفاده از منابع اینترنتی؛
• استفاده از وسایل حفاظت از اطلاعات رمزنگاری شده ؛
• حفاظت از داده های شخصی

3. اشیاء تحت حفاظت

اشیاء اصلی که باید محافظت شوند عبارتند از:

• منابع اطلاعاتیارائه شده در قالب اسناد و آرایه های اطلاعاتی، صرف نظر از شکل و نوع ارائه آنها، از جمله اطلاعات محرمانه و باز.
• سیستم تشکیل، توزیع و استفاده از منابع اطلاعاتیکتابخانه‌ها، آرشیوها، پایگاه‌های اطلاعاتی و بانک‌های داده، فناوری اطلاعات، مقررات و رویه‌های جمع‌آوری، پردازش، ذخیره و انتقال اطلاعات، پرسنل فنی و خدماتی.
• زیرساخت اطلاعاتیشامل سیستم‌های پردازش و تجزیه و تحلیل اطلاعات، سخت‌افزار و نرم‌افزار پردازش، انتقال و نمایش آن، از جمله کانال‌های تبادل اطلاعات و مخابرات، سیستم‌ها و سیستم‌های امنیت اطلاعات، تأسیسات و مکان‌هایی که اجزای زیرساخت اطلاعاتی در آن قرار دارند.

3.1. ویژگی های سیستم خودکار

اطلاعات مربوط به دسته های مختلف در AU منتشر می شود. اطلاعات محافظت شده می تواند توسط کاربران مختلف از زیرشبکه های مختلف یک شبکه شرکتی به اشتراک گذاشته شود.

تعدادی از زیرسیستم های AS برای تعامل با خارجی ( دولتی و تجاری، روسی و خارجی) سازمان ها از طریق کانال های ارتباطی سوئیچ و اختصاصی با استفاده از ابزارهای ویژه انتقال اطلاعات.

مجموعه ابزار فنی AU شامل ابزارهای پردازش داده ها ( ایستگاه های کاری ، سرورهای پایگاه داده ، سرورهای پست الکترونیکیو غیره.ابزار تبادل داده در شبکه های محلی با قابلیت دسترسی به شبکه های جهانی ( کابل کشی، پل، دروازه، مودم و غیرهو همچنین امکانات ذخیره سازی ( شامل بایگانی کردن) داده ها.

ویژگی های اصلی عملکرد AU عبارتند از:

• نیاز به ترکیب تعداد زیادی ابزار فنی مختلف برای پردازش و انتقال اطلاعات به یک سیستم واحد؛
• طیف گسترده ای از وظایف برای حل و انواع داده های پردازش شده؛
• ترکیب اطلاعات برای اهداف مختلف، سطح تعلق و محرمانگی در یک پایگاه داده واحد؛
• در دسترس بودن کانال های اتصال به شبکه های خارجی ؛
• تداوم عملکرد؛
• وجود زیرسیستم هایی با الزامات مختلف از نظر سطوح امنیتی، به صورت فیزیکی در یک شبکه واحد.
• دسته بندی های مختلف کاربران و پرسنل خدمات.

به طور کلی، یک AS واحد مجموعه‌ای از شبکه‌های محلی از بخش‌ها است که از طریق ارتباطات راه دور به هم متصل شده‌اند. هر شبکه محلی تعدادی از زیرسیستم های خودکار متصل و متقابل را متحد می کند. سایت های فناوری) اطمینان از حل مشکلات توسط بخش های ساختاری فردی سازمان.

اهداف اطلاع رسانی عبارتند از:

• تجهیزات تکنولوژیکی ( امکانات کامپیوتری، شبکه و تجهیزات کابلی);
• منابع اطلاعاتی؛
• نرم افزار ( سیستم عامل ها، سیستم های مدیریت پایگاه داده، سیستم های عمومی و نرم افزارهای کاربردی);
• ارتباطات خودکار و سیستم های انتقال داده (ارتباطات)؛
• کانال های اتصال؛
• فضای اداری.

3.2. انواع دارایی های اطلاعاتی سازمان که باید محافظت شوند

اطلاعات سطوح مختلف محرمانگی در زیرسیستم های AS سازمان، حاوی اطلاعات توزیع محدود ( خدمات ، تجاری ، داده های شخصی) و اطلاعات را باز کنید.

در جریان سند AU موارد زیر وجود دارد:

• دستور پرداخت و اسناد مالی؛
• گزارش ها ( مالی، تحلیلی و غیره);
• اطلاعات مربوط به حساب های شخصی؛
• اطلاعات شخصی؛
• سایر اطلاعات با توزیع محدود

کلیه اطلاعاتی که در اتحادیه اروپا در گردش است و در انواع دارایی های اطلاعاتی زیر موجود است، تحت حمایت قرار می گیرند:

• اطلاعاتی که یک راز تجاری و رسمی را تشکیل می دهند و دسترسی به آنها توسط سازمان ، به عنوان صاحب اطلاعات ، مطابق قانون فدرال محدود می شود. " درباره اطلاعات، اطلاعات و حفاظت از اطلاعات "حقوق و قوانین فدرال" درباره اسرار تجاری »;
• داده های شخصی، دسترسی به آنها مطابق با قانون فدرال محدود شده است. درباره داده های شخصی »;
• اطلاعات باز، از نظر اطمینان از یکپارچگی و در دسترس بودن اطلاعات.

3.3. دسته های کاربران سیستم خودکار

این سازمان دارای تعداد زیادی دسته از کاربران و پرسنل خدماتی است که باید از اختیارات متفاوتی برای دسترسی به منابع اطلاعاتی AU برخوردار باشند:

• کاربران عادی ( کاربران نهایی، کارکنان واحدهای سازمانی);
• مدیران سرور ( سرورهای فایل، سرورهای برنامه، سرورهای پایگاه داده) ، شبکه های محلی و سیستم های کاربردی ؛
• برنامه نویسان سیستم ( مسئول نگهداری نرم افزار عمومی است) در سرورها و ایستگاه های کاری کاربران؛
• توسعه دهندگان نرم افزارهای کاربردی ؛
• متخصصان تعمیر و نگهداری وسایل فنی فناوری رایانه؛
• مدیران امنیت اطلاعات و غیره

3.4. آسیب پذیری اجزای اصلی سیستم خودکار

آسیب پذیرترین اجزای AU ایستگاه های کاری شبکه هستند - ایستگاه های کاری خودکار ( به علاوه - AWP ) کارگران. تلاش برای دسترسی غیرمجاز به اطلاعات یا تلاش برای اقدامات غیرمجاز ( غیر عمد و اراده) در یک شبکه کامپیوتری. نقض پیکربندی سخت افزار و نرم افزار ایستگاه های کاری و تداخل غیرقانونی در فرآیندهای عملکرد آنها می تواند منجر به مسدود شدن اطلاعات، عدم امکان حل به موقع وظایف مهم و خرابی ایستگاه های کاری و زیرسیستم های فردی شود.

عناصر شبکه مانند سرورهای فایل اختصاصی، سرورهای پایگاه داده و سرورهای برنامه نیاز به محافظت ویژه دارند. معایب پروتکل های تبادل و ابزارهای متمایز کردن دسترسی به منابع سرور می تواند دسترسی غیرمجاز به اطلاعات محافظت شده را ممکن کند و بر عملکرد زیرسیستم های مختلف تأثیر بگذارد. در این مورد، می توان به عنوان یک راه دور تلاش کرد ( از ایستگاه های شبکه) و مستقیم ( از کنسول سرور) تأثیر بر عملکرد سرورها و حفاظت از آنها.

پل ها ، دروازه ها ، هاب ها ، روترها ، سوئیچ ها و سایر دستگاه های شبکه ، پیوندها و ارتباطات نیز نیاز به حفاظت دارند. آنها می توانند توسط متجاوزان برای بازسازی و اختلال در عملکرد شبکه، رهگیری اطلاعات ارسالی، تجزیه و تحلیل ترافیک و اجرای روش های دیگر تداخل در فرآیندهای تبادل داده استفاده شوند.

4. اصول اساسی امنیت اطلاعات

4.1. اصول کلی عملیات ایمن

• به موقع بودن تشخیص مشکل سازمان باید مشکلاتی را که می تواند بر اهداف تجاری آن تأثیر بگذارد، به موقع تشخیص دهد.
• پیش بینی توسعه مشکلات. سازمان باید رابطه علت و معلولی مشکلات احتمالی را شناسایی کند و بر این اساس پیش بینی دقیقی از توسعه آنها بسازد.
• ارزیابی تاثیر مشکلات بر اهداف کسب و کار. سازمان باید به طور کافی تأثیر مشکلات شناسایی شده را ارزیابی کند.
• کفایت اقدامات حفاظتی. سازمان باید با در نظر گرفتن هزینه اجرای چنین اقداماتی و میزان خسارات احتمالی ناشی از اجرای تهدید، اقدامات حفاظتی متناسب با مدل های تهدید و متخلف را انتخاب کند.
• اثربخشی اقدامات حفاظتی. سازمان باید اقدامات حفاظتی اتخاذ شده را به طور مؤثر اجرا کند.
• استفاده از تجربه در تصمیم گیری و اجرای آن. سازمان باید تجارب خود و سایر سازمان ها را در تمام سطوح تصمیم گیری و اجرای آنها انباشته، تعمیم دهد و استفاده کند.
• تداوم اصول عملیات ایمن. سازمان باید تداوم اجرای اصول عملیات ایمن را تضمین کند.
• قابلیت کنترل اقدامات حفاظتی سازمان باید فقط از آن دسته از ضمانت ها استفاده کند که می توان صحت عملکرد آنها را تأیید کرد و سازمان باید به طور منظم کفایت پادمان ها و اثربخشی اجرای آنها را با در نظر گرفتن تأثیر ضمانت ها بر اهداف تجاری سازمان ارزیابی کند.

4.2. اصول ویژه برای تضمین امنیت اطلاعات

• اجرای اصول ویژه امنیت اطلاعات با هدف افزایش سطح بلوغ فرآیندهای مدیریت امنیت اطلاعات در یک سازمان است.
• تعریف اهداف. اهداف عملکردی و امنیت اطلاعات سازمان باید به صراحت در یک سند داخلی تعریف شود. عدم اطمینان منجر به " ابهامساختار سازمانی، نقش های پرسنلی، سیاست های امنیت اطلاعات و عدم امکان ارزیابی کفایت اقدامات حفاظتی انجام شده.
• شناخت مشتریان و کارمندان سازمان باید اطلاعاتی در مورد مشتریان خود داشته باشد، پرسنل را با دقت انتخاب کند ( کارگران) اخلاق شرکتی را توسعه داده و حفظ کند که باعث ایجاد فضای اعتماد مطلوب برای فعالیت های سازمان مدیریت دارایی می شود.
• شخصیت پردازی و تقسیم مناسب نقش ها و مسئولیت ها. مسئولیت مسئولان سازمان در قبال تصمیمات مربوط به دارایی های آن باید شخصی سازی شده و عمدتاً در قالب ضمانت اجرا شود. باید متناسب با میزان تأثیرگذاری بر اهداف سازمان باشد، در خط مشی ها تثبیت شده، کنترل و بهبود یابد.
• کفایت نقش ها با عملکردها و رویه ها و مقایسه آنها با معیارها و سیستم ارزیابی. نقش ها باید به اندازه کافی منعکس کننده عملکردهای انجام شده و رویه های اجرای آنها در سازمان باشند. هنگام تخصیص نقش های مرتبط، باید توالی لازم در اجرای آنها در نظر گرفته شود. نقش باید با معیارهای ارزیابی اثربخشی اجرای آن سازگار باشد. محتوای اصلی و کیفیت نقش ایفا شده در واقع توسط سیستم ارزیابی اعمال شده برای آن تعیین می شود.
• در دسترس بودن خدمات و خدمات. سازمان باید برای مشتریان و پیمانکاران خود از در دسترس بودن خدمات و خدمات در بازه های زمانی تعیین شده توسط توافق نامه های مربوطه اطمینان حاصل کند. توافق نامه ها) و / یا اسناد دیگر
• قابلیت مشاهده و ارزیابی امنیت اطلاعات. ما مشاهده می کنیم که هرگونه اقدامات حفاظتی پیشنهادی باید به گونه ای طراحی شود که نتیجه اعمال آنها آشکار باشد ( شفاف) و می تواند توسط یک بخش از سازمان با اختیار مناسب ارزیابی شود.

5. اهداف و مقاصد امنیت اطلاعات

5.1 موضوعات روابط اطلاعاتی در سیستم خودکار

موضوعات روابط حقوقی هنگام استفاده از AU و تضمین امنیت اطلاعات عبارتند از:

• سازمان به عنوان صاحب منابع اطلاعاتی؛
• زیرمجموعه های سازمانی که عملکرد NPP را تضمین می کند.
• کارکنان بخش های ساختاری سازمان به عنوان کاربران و ارائه دهندگان اطلاعات در AU مطابق با وظایف محول شده به آنها.
• اشخاص حقوقی و اشخاص حقیقی که اطلاعات مربوط به آنها در AS انباشته، ذخیره و پردازش می شود.
• سایر اشخاص حقوقی و اشخاص حقیقی دخیل در ایجاد و بهره برداری از AU ( توسعه دهندگان اجزای سیستم، سازمان های درگیر در ارائه خدمات مختلف در زمینه فناوری اطلاعات و غیره.).

موضوعات فهرست شده روابط اطلاعاتی علاقه مند به اطمینان از موارد زیر هستند:

• محرمانه بودن بخش خاصی از اطلاعات ؛
• قابلیت اطمینان ( کامل بودن، دقت، کفایت، یکپارچگی) اطلاعات؛
• حفاظت در برابر تحمیل نادرست ( غیر قابل اعتماد، تحریف شده) اطلاعات؛
• دسترسی به موقع به اطلاعات لازم؛
• تفکیک مسئولیت برای نقض حقوق قانونی ( منافعسایر موضوعات روابط اطلاعاتی و قوانین تعیین شده برای رسیدگی به اطلاعات.
• امکان نظارت و مدیریت مستمر فرآیندهای پردازش و انتقال اطلاعات.
• حفاظت از بخشی از اطلاعات در برابر تکرار غیرقانونی آن ( حفاظت از حق چاپ، حقوق صاحب اطلاعات و غیره).

5.2. هدف امنیت اطلاعات

هدف اصلی تضمین امنیت اطلاعات، محافظت از موضوعات روابط اطلاعاتی از آسیب احتمالی مادی، معنوی یا سایر موارد به آنها از طریق دخالت تصادفی یا عمدی غیرمجاز در روند عملکرد اتحادیه اروپا یا دسترسی غیرمجاز به اطلاعات در حال گردش در آن و غیرقانونی آن است. استفاده کنید.

این هدف با اطمینان و نگهداری مداوم از ویژگی های زیر اطلاعات و یک سیستم خودکار برای پردازش آن به دست می آید:

• در دسترس بودن اطلاعات پردازش شده برای کاربران ثبت نام شده؛
• محرمانه بودن بخش خاصی از اطلاعات ذخیره شده ، پردازش شده و از طریق کانال های ارتباطی منتقل می شود.
• یکپارچگی و صحت اطلاعات ذخیره شده، پردازش و ارسال شده از طریق کانال های ارتباطی.

5.3. اهداف امنیت اطلاعات

برای دستیابی به هدف اصلی تضمین امنیت اطلاعات، سیستم امنیت اطلاعات NPP باید راه حل موثری برای وظایف زیر ارائه دهد:

• حفاظت در برابر دخالت در فرایند عملکرد AU توسط افراد غیر مجاز ؛
• تمایز دسترسی کاربران ثبت نام شده به سخت افزار، نرم افزار و منابع اطلاعاتی اتحادیه اروپا، یعنی حفاظت از دسترسی غیرمجاز.
• ثبت اقدامات کاربر هنگام استفاده از منابع AS محافظت شده در گزارش های سیستم و کنترل دوره ای صحت اقدامات کاربران سیستم با تجزیه و تحلیل محتویات این گزارش ها توسط متخصصان بخش های امنیتی؛
• محافظت در برابر تغییرات غیرمجاز و کنترل یکپارچگی ( تضمین عدم تغییر) محیط اجرای برنامه ها و بازیابی آن در صورت نقض ؛
• محافظت در برابر تغییرات غیرمجاز و کنترل یکپارچگی نرم افزار مورد استفاده در AU، و همچنین محافظت از سیستم در برابر معرفی برنامه های غیرمجاز، از جمله ویروس های رایانه ای؛
• حفاظت از اطلاعات در برابر نشت از طریق کانال های فنی در طول پردازش، ذخیره سازی و انتقال آن از طریق کانال های ارتباطی.
• حفاظت از اطلاعات ذخیره شده، پردازش و ارسال شده از طریق کانال های ارتباطی در برابر افشای غیرمجاز یا تحریف؛
• ارائه احراز هویت کاربران شرکت کننده در تبادل اطلاعات؛
• حصول اطمینان از بقای ابزارهای حفاظت از اطلاعات رمزنگاری هنگامی که بخشی از سیستم کلیدی به خطر افتاده است.
• شناسایی به موقع منابع تهدید امنیت اطلاعات، علل و شرایطی که منجر به آسیب به افراد علاقه مند در روابط اطلاعاتی می شود، ایجاد مکانیزمی برای واکنش سریع به تهدیدات امنیت اطلاعات و روندهای منفی.
• ایجاد شرایط برای به حداقل رساندن و بومی سازی خسارات ناشی از اقدامات غیرقانونی اشخاص حقیقی و حقوقی، تضعیف تاثیر منفی و رفع عواقب ناشی از نقض امنیت اطلاعات.

5.4. راه های حل مشکلات امنیت اطلاعات

راه حل مشکلات امنیت اطلاعات بدست می آید:

• حسابداری دقیق کلیه منابع سیستم مشمول حفاظت ( اطلاعات، وظایف، کانال های ارتباطی، سرورها، AWP);
• تنظیم فرآیندهای پردازش اطلاعات و اقدامات کارکنان بخش های ساختاری سازمان و همچنین اقدامات پرسنلی که تعمیر و نگهداری و اصلاح نرم افزار و سخت افزار نیروگاه هسته ای را بر اساس اسناد سازمانی و اداری در مورد امنیت اطلاعات انجام می دهند.
• کامل بودن، امکان سنجی واقعی و سازگاری الزامات اسناد سازمانی و اداری در مورد امنیت اطلاعات؛
• انتصاب و آموزش کارکنان مسئول سازماندهی و اجرای اقدامات عملی برای تضمین امنیت اطلاعات.
• توانمندسازی هر کارمند با حداقل اختیارات لازم برای انجام وظایف عملکردی خود برای دسترسی به منابع NPP.
• دانش روشن و رعایت دقیق کلیه کارکنانی که از سخت افزار و نرم افزار نیروگاه هسته ای استفاده و نگهداری می کنند، الزامات اسناد سازمانی و اداری در مورد امنیت اطلاعات.
• مسئولیت شخصی اقدامات هر یک از کارکنان شرکت کننده، در چارچوب وظایف عملکردی خود، در فرآیندهای پردازش خودکار اطلاعات و دسترسی به منابع AU.
• اجرای فرآیندهای فناوری پردازش اطلاعات با استفاده از مجموعه اقدامات سازمانی و فنی برای محافظت از نرم افزار، سخت افزار و داده ها.
• اتخاذ اقدامات مؤثر برای اطمینان از یکپارچگی فیزیکی تجهیزات فنی و نگهداری مداوم سطح مورد نیاز حفاظت از اجزای NPP.
• کاربرد فنی ( نرم افزار و سخت افزار)ابزار حفاظت از منابع سیستم و پشتیبانی مداوم اداری برای استفاده از آنها؛
• تحدید حدود جریان اطلاعات و ممنوعیت انتقال اطلاعات با توزیع محدود از طریق کانال های ارتباطی محافظت نشده.
• کنترل م overثر بر رعایت الزامات امنیت اطلاعات توسط کارکنان ؛
• نظارت مداوم منابع شبکهشناسایی آسیب‌پذیری‌ها، شناسایی به‌موقع و خنثی‌سازی تهدیدات خارجی و داخلی برای امنیت یک شبکه کامپیوتری؛
• حفاظت قانونی از منافع سازمان در برابر اقدامات غیرقانونی در زمینه امنیت اطلاعات.
• انجام تجزیه و تحلیل مداوم اثربخشی و کفایت اقدامات انجام شده و ابزارهای حفاظت از اطلاعات مورد استفاده ، توسعه و اجرای پیشنهادهایی برای بهبود سیستم حفاظت اطلاعات در نیروگاه هسته ای.

6 تهدید امنیت اطلاعات

6.1. تهدیدات امنیت اطلاعات و منابع آنها

خطرناک ترین تهدیدها برای امنیت اطلاعات پردازش شده در نیروگاه هسته ای عبارتند از:

• نقض رازداری ( افشای، نشت) اطلاعاتی که یک راز رسمی یا تجاری را تشکیل می دهد، از جمله اطلاعات شخصی؛
• بد کارکردن ( بی نظمی در کار) AU، مسدود کردن اطلاعات، نقض فرآیندهای تکنولوژیکی، اختلال در حل به موقع مشکلات.
• نقض یکپارچگی ( تحریف ، جایگزینی ، تخریب) اطلاعات ، نرم افزار و سایر منابع AU.

منابع اصلی تهدید امنیت اطلاعات NPP عبارتند از:

• رویدادهای نامطلوب طبیعت طبیعی و ساخته دست بشر؛
• تروریست ها، جنایتکاران؛
• مجرمان سایبری رایانه ای اقدامات مخرب عمدی از جمله استفاده از ویروس های کامپیوتریو انواع دیگر کدهای مخرب و حملات؛
• تامین کنندگان ابزارهای نرم افزاری و سخت افزاری، مواد مصرفی، خدمات و غیره؛
• پیمانکارانی که نصب ، راه اندازی تجهیزات و تعمیر آن را انجام می دهند.
• عدم رعایت الزامات نهادهای نظارتی و نظارتی، قوانین جاری؛
• خرابی، خرابی، تخریب / آسیب نرم افزار و سخت افزار؛
• کارکنانی که شرکت کنندگان قانونی در فرآیندهای اتحادیه اروپا هستند و خارج از محدوده اختیارات اعطا شده عمل می کنند.
• کارمندانی که مشارکت قانونی در فرایندهای AU دارند و در چارچوب اختیارات اعطا شده عمل می کنند.

6.2. اقدامات غیرعمدی منجر به نقض امنیت اطلاعات و اقدامات برای جلوگیری از آنها

کارکنان سازمان که دسترسی مستقیم به فرآیندهای پردازش اطلاعات در AU دارند، منبع بالقوه ای از اقدامات تصادفی غیرعمدی هستند که می تواند منجر به نقض امنیت اطلاعات شود.

اقدامات ناخواسته عمده منجر به نقض امنیت اطلاعات می شود (اقداماتی که افراد به طور تصادفی ، از طریق جهل ، بی توجهی یا سهل انگاری ، از روی کنجکاوی انجام می دهند ، اما بدون قصد بدخواهانه) و تدابیری برای جلوگیری از این گونه اقدامات و به حداقل رساندن خسارت ناشی از آن در نظر گرفته شده است میز 1.

میز 1

اقدامات اصلی منجر به نقض امنیت اطلاعات می شود
اقدامات کارکنان منجر به از کار افتادن جزئی یا کامل سیستم یا اختلال در عملکرد سخت افزار یا نرم افزار می شود. قطع تجهیزات یا تغییر حالت عملکرد دستگاه ها و برنامه ها ؛ تخریب منابع اطلاعاتی سیستم ( آسیب غیر عمدی به تجهیزات، حذف، تحریف برنامه ها یا فایل ها از اطلاعات مهماز جمله سیستم، آسیب به کانال های ارتباطی، آسیب غیر عمدی به حامل های اطلاعات و غیره.)	اقدامات سازمانی ( ). استفاده از وسایل فیزیکی برای جلوگیری از ارتکاب سهوی تخلف. کاربرد فنی ( سخت افزار و نرم افزار) ابزارهای متمایز کردن دسترسی به منابع. رزرو منابع حیاتی
راه‌اندازی غیرمجاز برنامه‌هایی که در صورت استفاده نادرست، می‌توانند باعث از بین رفتن عملکرد سیستم شوند ( انجماد یا حلقه زدن) یا انجام تغییرات برگشت ناپذیر در سیستم ( قالب بندی یا تغییر ساختار رسانه ذخیره سازی، حذف داده ها و غیره)	اقدامات سازمانی ( حذف تمام برنامه های بالقوه خطرناک از ایستگاه کاری). کاربرد تکنیکال ( سخت افزار و نرم افزار) ابزاری برای متمایز کردن دسترسی به برنامه ها در ایستگاه کاری.
معرفی و استفاده غیرمجاز از برنامه های ضبط نشده ( بازی، آموزشی، فنی و غیره که برای انجام وظایف رسمی کارکنان ضروری نیست) با مصرف غیر منطقی بعدی منابع ( زمان پردازنده، حافظه دسترسی تصادفی، حافظه روی رسانه خارجی و غیره)	اقدامات سازمانی ( اعمال ممنوعیت ها). کاربرد تکنیکال ( سخت افزار و نرم افزار) یعنی جلوگیری از معرفی و استفاده غیرمجاز از برنامه های ضبط نشده.
آلوده شدن ناخواسته ویروس کامپیوتر شما	اقدامات سازمانی ( تنظیم اقدامات ، اعمال ممنوعیت ها). اقدامات تکنولوژیکی ( استفاده از برنامه های ویژه برای شناسایی و از بین بردن ویروس ها). استفاده از ابزارهای سخت افزاری و نرم افزاری که از آلودگی به ویروس های کامپیوتری جلوگیری می کند.
افشا، انتقال یا از دست دادن ویژگی های کنترل دسترسی ( رمزهای عبور، کلیدهای رمزگذاری یا امضای الکترونیکی، کارت های شناسایی، پاس ها و غیره.)	اقدامات سازمانی ( تنظیم اقدامات، معرفی ممنوعیت ها، تقویت مسئولیت). استفاده از وسایل فیزیکی برای اطمینان از ایمنی جزئیات مشخص شده.
نادیده گرفتن محدودیت های سازمانی ( قوانین تعیین شده) هنگام کار در سیستم	اقدامات سازمانی ( ). استفاده از وسایل اضافی فیزیکی و فنی حفاظتی.
استفاده نادرست، تنظیم یا غیرفعال کردن نامناسب تجهیزات حفاظتی توسط پرسنل امنیتی	اقدامات سازمانی ( آموزش کارکنان، تقویت مسئولیت و کنترل).
وارد کردن داده های اشتباه	اقدامات سازمانی ( افزایش مسئولیت و کنترل). اقدامات تکنولوژیکی برای کنترل خطاهای اپراتورهای ورود داده.

6.3. اقدامات عمدی برای نقض امنیت اطلاعات و اقدامات برای جلوگیری از آنها

اقدامات عمدی اساسی ( برای اهداف خودخواهانه ، تحت فشار ، به خاطر میل به انتقام ، و غیره) منجر به نقض امنیت اطلاعات کارخانه می شود و اقدامات لازم برای جلوگیری از آنها و کاهش آسیب های احتمالی ناشی از آن در جدول 2.

جدول 2

اقدامات عمدی اصلی که منجر به نقض امنیت اطلاعات می شود	اقداماتی برای جلوگیری از تهدیدات و به حداقل رساندن آسیب
تخریب فیزیکی یا ناتوانی تمام یا برخی از مهمترین اجزای سیستم خودکار ( دستگاه ها، حامل های مهم اطلاعات سیستم، پرسنل و غیره، غیرفعال کردن یا غیرفعال کردن زیرسیستم ها برای اطمینان از عملکرد سیستم های محاسباتی ( منبع تغذیه، خطوط ارتباطی و غیره)	اقدامات سازمانی ( تنظیم اقدامات ، اعمال ممنوعیت ها). استفاده از وسایل فیزیکی برای جلوگیری از ارتکاب عمدی تخلف. رزرو منابع حیاتی
معرفی عوامل به تعداد پرسنل سیستم ( از جمله گروه اداری مسئول امنیت)، استخدام ( با رشوه، باج گیری، تهدید و غیره.) کاربرانی که حقوق خاصی برای دسترسی به منابع محافظت شده دارند	اقدامات سازمانی ( انتخاب ، استقرار و کار با پرسنل ، تقویت کنترل و مسئولیت پذیری). ثبت خودکار اقدامات پرسنل.
سرقت حامل های اطلاعات ( چاپ ، دیسک های مغناطیسی ، نوار ، دستگاه های ذخیره سازی و کل رایانه های شخصی) ، سرقت زباله های صنعتی ( چاپ ، سوابق ، رسانه دور انداخته شده و غیره)	اقدامات سازمانی ( ).
کپی غیر مجاز حامل های اطلاعات ، خواندن اطلاعات باقی مانده از حافظه دسترسی تصادفی و دستگاه های ذخیره سازی خارجی	اقدامات سازمانی ( سازماندهی ذخیره سازی و استفاده از رسانه با اطلاعات محافظت شده). استفاده از ابزارهای فنی محدود کردن دسترسی به منابع حفاظت شده و ثبت خودکار دریافت نسخه چاپی اسناد.
دریافت غیرقانونی گذرواژه ها و سایر جزئیات کنترل دسترسی ( با وسایل مخفی، با استفاده از سهل انگاری کاربران، با انتخاب، با تقلید از رابط سیستم با بوکمارک های نرم افزار و غیره.) با مبدل شدن بعنوان کاربر ثبت شده.	اقدامات سازمانی ( تنظیم اقدامات ، ممنوعیت ها ، کار با پرسنل). استفاده از ابزارهای فنی که از اجرای برنامه هایی برای رهگیری رمزهای عبور، کلیدها و سایر جزئیات جلوگیری می کند.
استفاده غیرمجاز از AWP برای کاربرانی با ویژگی های فیزیکی منحصر به فرد مانند شماره ایستگاه کاری در شبکه، آدرس فیزیکی، آدرس در سیستم ارتباطی، واحد رمزگذاری سخت افزاری و غیره.	اقدامات سازمانی ( مقررات سختگیرانه دسترسی به اماکن و پذیرش برای کار در این AWPها). استفاده از ابزارهای فیزیکی و فنی کنترل دسترسی.
اصلاح غیرمجاز نرم افزار - معرفی نرم افزار "نشانک ها" و "ویروس ها" ( اسب های تروا و اشکالات) یعنی بخش هایی از برنامه ها که برای اجرای عملکردهای اعلام شده مورد نیاز نیستند، اما امکان غلبه بر سیستم امنیتی، دسترسی مخفیانه و غیرقانونی به منابع سیستم به منظور ثبت و انتقال اطلاعات محافظت شده یا بهم ریختن عملکرد سیستم را فراهم می کنند. سیستم	اقدامات سازمانی ( مقررات سختگیرانه پذیرش برای کار). استفاده از ابزارهای فیزیکی و فنی برای تفکیک دسترسی و جلوگیری از تغییر غیرمجاز پیکربندی سخت افزاری و نرم افزاری AWP. استفاده از ابزارهای کنترل یکپارچگی نرم افزار.
رهگیری داده های ارسال شده از طریق کانال های ارتباطی، تجزیه و تحلیل آنها به منظور به دست آوردن اطلاعات محرمانه و شفاف سازی پروتکل های تبادل، قوانین ورود به شبکه و مجوز دادن به کاربران، با تلاش های بعدی برای تقلید از آنها برای نفوذ به سیستم.	حفاظت فیزیکی از کانال های ارتباطی استفاده از ابزارهای حفاظت رمزنگاری اطلاعات ارسالی.
تداخل در روند عملکرد سیستم از شبکه های عمومی به منظور اصلاح غیرمجاز داده ها، دسترسی به اطلاعات محرمانه، بهم ریختن عملکرد زیرسیستم ها و غیره.	اقدامات سازمانی ( تنظیم ارتباط و عملکرد در شبکه های عمومی). استفاده از وسایل فنی ویژه حفاظت ( دیوارهای آتش ، کنترل های امنیتی و تشخیص حملات به منابع سیستم و غیره.).

6.4. اطلاعات از طریق کانال های فنی درز می کند

در حین کار از تجهیزات فنی NPP ، کانالهای زیر نشت یا نقض یکپارچگی اطلاعات ، اختلال در عملکرد وسایل فنی امکان پذیر است:

• تابش الکترومغناطیسی جانبی یک سیگنال آموزنده از وسایل فنی و خطوط انتقال اطلاعات ؛
• دریافت یک سیگنال اطلاعاتی، پردازش شده توسط رایانه های الکترونیکی، به سیم ها و خطوطی که فراتر از منطقه کنترل شده دفاتر هستند، از جمله. در مدارهای زمین و منبع تغذیه ؛
• دستگاه های الکترونیکی مختلف برای رهگیری اطلاعات ( شامل "نشانک ها") متصل به کانالهای ارتباطی یا ابزارهای فنی پردازش اطلاعات ؛
• مشاهده اطلاعات از صفحه نمایش و سایر ابزارهای نمایش آن با استفاده از ابزارهای نوری.
• تاثیر بر سخت افزار یا نرم افزار به منظور نقض یکپارچگی ( تخریب، تحریفاطلاعات، کارایی ابزارهای فنی، ابزارهای امنیت اطلاعات و به موقع بودن تبادل اطلاعات، از جمله الکترومغناطیسی، از طریق ابزارهای الکترونیکی و نرم افزاری ویژه پیاده سازی شده ( "نشانک ها").

با در نظر گرفتن ویژگی های پردازش و اطمینان از امنیت اطلاعات ، تهدید نشت اطلاعات محرمانه ( از جمله داده های شخصی) از طریق کانال های فنی برای سازمان بی ربط هستند.

6.5. مدل غیررسمی یک مزاحم احتمالی

مجرم کسی است که اقدام به انجام عملیات ممنوعه کرده است ( عمل) از روی اشتباه، جهل یا عمد با سوء نیت ( خارج از منافع شخصی) یا بدون آن ( به خاطر بازی یا لذت، به منظور تأیید خود و غیره.) و استفاده از امکانات، روش ها و وسایل مختلف برای این امر.

سیستم حفاظتی NPP باید بر اساس فرضیات مربوط به انواع متخلفان احتمالی زیر در سیستم باشد. با در نظر گرفتن دسته افراد، انگیزه، صلاحیت ها، در دسترس بودن وسایل خاص و غیره.):

• « کاربر بی تجربه (بی توجه).»- کارمندی که ممکن است اقدام به انجام عملیات ممنوعه، دسترسی به منابع حفاظت شده AU بیش از اختیارات خود، وارد کردن داده های نادرست و غیره کند. اقدامات اشتباه، بی کفایتی یا سهل انگاری بدون نیت سوء و تنها با استفاده از استاندارد ( در دسترس اوست) سخت افزار و نرم افزار.
• « عاشق"- کارمندی که سعی می کند بر سیستم دفاعی غلبه کند بدون اهداف خودخواهانه و نیت بد، برای تایید خود یا از طرف" علاقه ورزشی". برای غلبه بر سیستم حفاظتی و ارتکاب اعمال ممنوع می تواند استفاده کند روش های مختلفکسب اختیارات اضافی برای دسترسی به منابع ( نام، رمز عبور و غیره سایر کاربران) کاستی در ساخت سیستم حفاظتی و کارکنان موجود ( روی ایستگاه کار نصب شده است) برنامه ها ( اقدامات غیرمجاز با تجاوز از اختیارات خود در استفاده از وسایل مجاز). علاوه بر این، او ممکن است سعی کند از نرم افزارهای ابزاری و تکنولوژیکی غیر استاندارد اضافی استفاده کند ( دیباگرها، ابزارهای کمکی) ، برنامه های مستقل توسعه یافته یا وسایل فنی اضافی استاندارد.
• « کلاهبردار"- کارمندی که ممکن است تلاش کند عملیات غیرقانونی فناوری انجام دهد، داده های جعلی و اقدامات مشابه را برای مقاصد خودخواهانه، تحت فشار یا با نیت مخرب وارد کند، اما فقط با استفاده از روش های معمول ( روی ایستگاه کاری نصب شده و در دسترس آن است) سخت افزار و نرم افزار از طرف خود یا از طرف کارمند دیگر ( دانستن نام و رمز عبور، استفاده از غیبت کوتاه مدت در محل کار و غیره.).
• « مزاحم خارجی (مزاحم)- یک فرد خارجی یا کارمند سابق که عمداً به دلیل منافع خودخواهانه، از روی انتقام یا کنجکاوی، احتمالاً با تبانی با دیگران، عمل می کند. او می تواند از مجموعه روش های نقض امنیت اطلاعات، روش ها و ابزارهای شکستن سیستم های امنیتی معمولی برای شبکه های عمومی استفاده کند. به ویژه شبکه های مبتنی بر IP) از جمله پیاده سازی از راه دور بوکمارک های نرم افزاری و استفاده از برنامه های ابزاری و فناورانه خاص با استفاده از نقاط ضعف موجود پروتکل های تبادل و سیستم حفاظتی گره های شبکه AS سازمان.
• « مهاجم داخلی»- کارمندی که به‌عنوان کاربر سامانه ثبت نام کرده و عمداً از روی منافع خودخواهانه یا انتقام‌جویی، احتمالاً با تبانی با افرادی که کارمند سازمان نیستند، اقدام می‌کند. او می تواند از مجموعه روش ها و ابزارهای هک سیستم امنیتی، از جمله روش های مخفی دستیابی به جزئیات دسترسی، ابزارهای غیرفعال (وسایل فنی رهگیری بدون تغییر اجزای سیستم)، روش ها و ابزارهای نفوذ فعال استفاده کند. اصلاح ابزارهای فنی ، اتصال به کانال های انتقال داده ، معرفی نشانک های نرم افزاری و استفاده از برنامه های ویژه ابزار و فناوری، و همچنین ترکیبی از تأثیرات هم از درون و هم از شبکه های عمومی.

یک خودی می تواند فردی از دسته های زیر باشد:

• کاربران نهایی ثبت نام شده AU ( کارکنان بخش ها و شعب);
• کارگران مجاز به کار با AU نیستند.
• پرسنلی که از وسایل فنی نیروگاه هسته ای سرویس می گیرند ( مهندسان، تکنسین ها);
• کارکنان بخش توسعه و نگهداری نرم افزار ( برنامه نویسان برنامه و سیستم);
• پرسنل فنی در خدمت ساختمان ها و اماکن سازمان ( نظافتچی‌ها، برق‌کارها، لوله‌کش‌ها و سایر کارگرانی که به ساختمان‌ها و محل‌هایی که اجزای بلندگو در آن قرار دارند دسترسی دارند.);
• رهبران سطوح مختلف

• کارگران اخراج شده؛
• نمایندگان سازمان هایی که در مورد مسائل تضمین حیات سازمان در تعامل هستند ( انرژی، آب، تامین حرارت و غیره);
• نمایندگان شرکت های تامین کننده تجهیزات، نرم افزار، خدمات و غیره؛
• اعضای سازمانهای جنایی و ساختارهای تجاری رقیب یا افرادی که از طرف آنها عمل می کنند.
• افرادی که به طور تصادفی یا عمدی از شبکه های خارجی وارد شبکه شده اند ( "هکرها").

کاربران و پرسنل تعمیر و نگهداری از بین کارکنان به دلیل داشتن اختیارات خاص خود در دسترسی به منابع و بیشترین فرصت ها را برای انجام اقدامات غیرمجاز دارند. دانش خوبفناوری های پردازش اطلاعات اقدامات این دسته از متخلفان ارتباط مستقیمی با نقض قوانین و مقررات موجود دارد. این گروه از متخلفان به ویژه هنگام تعامل با ساختارهای جنایی خطرناک هستند.

کارگران اخراج شده می توانند از دانش خود در زمینه فناوری کار ، اقدامات حفاظتی و حقوق دسترسی برای دستیابی به اهداف خود استفاده کنند.

ساختارهای جنایی نشان دهنده تهاجمی ترین منبع تهدیدهای خارجی است. این ساختارها برای اجرای برنامه های خود می توانند آشکارا قانون را زیر پا بگذارند و کارکنان سازمان را با تمام قوا و وسایلی که در اختیار دارند در فعالیت های خود مشارکت دهند.

هکرها دارای بالاترین مدارک فنی و دانش ضعف های نرم افزار مورد استفاده در AU هستند. آنها هنگام تعامل با کارگران شاغل یا بیکار و ساختارهای جنایی بزرگترین تهدید را ایجاد می کنند.

سازمان‌هایی که در توسعه، تامین و تعمیر تجهیزات و سیستم‌های اطلاعاتی فعالیت می‌کنند، به دلیل اینکه گهگاه به منابع اطلاعاتی دسترسی مستقیم دارند، یک تهدید خارجی به شمار می‌روند. ساختارهای جنایی می توانند از این سازمان ها برای استخدام موقت اعضای خود برای دسترسی به اطلاعات حفاظت شده استفاده کنند.

7. سیاست فنی در زمینه امنیت اطلاعات

7.1. مفاد اصلی سیاست فنی

اجرای سیاست فنی در زمینه امنیت اطلاعات باید از این فرض پیش برود که تضمین سطح مورد نیاز امنیت اطلاعات نه تنها با کمک یک ابزار جداگانه غیرممکن است. فعالیت، بلکه با کمک ترکیب ساده آنها. هماهنگی سیستمیک آنها با یکدیگر ضروری است ( کاربرد پیچیده) و تک تک عناصر توسعه یافته نیروگاه هسته ای باید به عنوان بخشی از یک سیستم اطلاعاتی یکپارچه در یک طرح محافظت شده در نظر گرفته شوند. نسبت بهینهفنی ( سخت افزار نرم افزار) وجوه و اقدامات سازمانی.

جهت اصلی اجرای سیاست فنی برای اطمینان از امنیت اطلاعات NPP ، اطمینان از حفاظت از منابع اطلاعات در برابر سرقت ، از دست دادن ، نشت ، تخریب ، تحریف یا جعل به دلیل دسترسی غیر مجاز و تأثیرات ویژه است.

در چارچوب دستورالعمل های مشخص شده سیاست فنی برای اطمینان از امنیت اطلاعات، موارد زیر انجام می شود:

• اجرای سیستم مجوز برای پذیرش مجریان ( کاربران، پرسنل خدمات) به آثار، اسناد و اطلاعات محرمانه؛
• محدود کردن دسترسی مجریان و افراد غیرمجاز به ساختمان‌ها و اماکنی که در آنها کار محرمانه انجام می‌شود و وسایل اطلاع‌رسانی و ارتباطی در آنها قرار دارد ( ذخیره شده، منتقل شدهاطلاعات محرمانه، مستقیماً به ابزارهای اطلاع رسانی و ارتباطات؛
• تمایز دسترسی کاربران و پرسنل خدماتی به منابع اطلاعاتی، نرم افزار پردازش و حفاظت از اطلاعات در زیرسیستم های سطوح مختلف و اهداف موجود در AU.
• ثبت اسناد، آرایه های اطلاعاتی، ثبت اقدامات کاربران و پرسنل خدمات، کنترل دسترسی و اقدامات غیرمجاز کاربران، پرسنل خدمات و افراد غیرمجاز.
• جلوگیری از معرفی برنامه های ویروسی، نشانک های نرم افزاری در زیرسیستم های خودکار؛
• حفاظت رمزنگاری از اطلاعات پردازش و ارسال شده توسط فناوری رایانه و ارتباطات؛
• ذخیره سازی قابل اعتماد رسانه های ذخیره سازی ماشین، کلیدهای رمزنگاری ( اطلاعات کلیدی) و گردش آنها به استثنای سرقت، تعویض و تخریب.
• رزرو ضروری وسایل فنی و کپی آرایه ها و حامل های اطلاعات ؛
• کاهش سطح و محتوای اطلاعاتی انتشارات جعلی و پیکاپ های ایجاد شده توسط عناصر مختلف زیرسیستم های خودکار.
• جداسازی الکتریکی مدارهای منبع تغذیه، زمین و سایر مدارهای اشیاء اطلاعاتی که فراتر از منطقه کنترل شده است.
• مقابله با ابزار مشاهده نوری و لیزری

7.2 تشکیل رژیم امنیت اطلاعات

با در نظر گرفتن تهدیدهای شناسایی شده برای ایمنی NPP ، رژیم امنیت اطلاعات باید به عنوان مجموعه ای از روشها و اقدامات برای محافظت از اطلاعات در حال گردش در NPP و زیرساختهای حمایتی آن در برابر تأثیرات تصادفی یا عمدی طبیعت یا مصنوعی ، که مستلزم آن است ، ایجاد شود. آسیب به صاحبان یا کاربران اطلاعات.

مجموعه اقدامات برای تشکیل یک رژیم امنیت اطلاعات شامل موارد زیر است:

• ایجاد یک رژیم سازمانی و قانونی برای امنیت اطلاعات در سیستم خودکار ( اسناد نظارتی، کار با پرسنل، کار اداری);
• اجرای اقدامات سازمانی و فنی برای محافظت از اطلاعات توزیع محدود از نشت از طریق کانال های فنی.
• اقدامات سازمانی و نرم افزاری-فنی برای جلوگیری از اقدامات غیرمجاز ( دسترسی) به منابع اطلاعاتی AU؛
• مجموعه ای از اقدامات برای کنترل عملکرد ابزارها و سیستم های حفاظت از منابع اطلاعاتی توزیع محدود پس از اثرات تصادفی یا عمدی.

8. اقدامات، روش ها و وسایل امنیت اطلاعات

8.1. اقدامات سازمانی

اقدامات سازمانی- اینها اقدامات سازمانی هستند که فرآیندهای عملکرد NPP، استفاده از منابع آنها، فعالیت های پرسنل تعمیر و نگهداری و همچنین رویه تعامل کاربران با سیستم را به گونه ای تنظیم می کنند که بیشترین پیچیدگی را ایجاد کند یا احتمال را از بین ببرد. اجرای تهدیدات امنیتی و کاهش میزان آسیب در صورت اجرای آنها.

8.1.1. شکل گیری سیاست امنیتی

هدف اصلی اقدامات سازمانی ، ایجاد خط مشی در زمینه امنیت اطلاعات ، منعکس کننده رویکردهای حفاظت از اطلاعات و حصول اطمینان از اجرای آن با تخصیص منابع لازم و نظارت بر وضعیت امور است.

از نقطه نظر عملی، سیاست ایمنی NPP باید به دو سطح تقسیم شود. سطح بالا شامل تصمیماتی است که بر فعالیت های سازمان به عنوان یک کل تأثیر می گذارد. نمونه ای از چنین راه حل هایی ممکن است:

• تشکیل یا بازنگری یک برنامه جامع امنیت اطلاعات ، تعیین مسئولان اجرای آن ؛
• تدوین اهداف ، تعیین اهداف ، تعیین زمینه های فعالیت در زمینه امنیت اطلاعات ؛
• تصمیم گیری در مورد اجرای برنامه امنیتی که در سطح کل سازمان در نظر گرفته می شود.
• ارائه مقررات ( مجاز) پایگاه داده سوالات امنیتی و غیره

خط مشی سطح پایین، رویه ها و قوانین را برای دستیابی به اهداف و حل مشکلات امنیت اطلاعات تعریف می کند و این قوانین را به تفصیل (تنظیم می کند):

• محدوده خط مشی امنیت اطلاعات چیست؟
• نقش و مسئولیت مقامات مسئول اجرای سیاست امنیت اطلاعات چیست؟
• چه کسی حق دسترسی به اطلاعات محدود شده را دارد.
• چه کسی و تحت چه شرایطی می تواند اطلاعات را بخواند و تغییر دهد و غیره

سیاست سطح پایین باید:

• تنظیم روابط اطلاعاتی را به استثنای امکان اقدامات خودسرانه، انحصاری یا غیرمجاز در رابطه با منابع اطلاعاتی محرمانه ارائه دهد.
• تعریف اصول و روشهای ائتلافی و سلسله مراتبی برای اشتراک اسرار و محدود کردن دسترسی به اطلاعات با توزیع محدود.
• انتخاب ابزارهای نرم افزاری و سخت افزاری برای حفاظت رمزنگاری، مقابله با دستکاری، احراز هویت، مجوز، شناسایی و سایر مکانیسم های حفاظتی که تضمینی برای اجرای حقوق و مسئولیت های موضوعات روابط اطلاعاتی است.

8.1.2. مقررات دسترسی به وسایل فنی

بهره برداری از ایستگاه های کاری خودکار ایمن و سرورهای بانک باید در اتاق هایی انجام شود که مجهز به قفل خودکار قابل اعتماد، آلارم و به طور مداوم محافظت یا نظارت شوند، به استثنای امکان ورود کنترل نشده افراد غیرمجاز به محوطه و اطمینان از ایمنی فیزیکی منابع حفاظت شده. واقع در محل ( AWP، اسناد، جزئیات دسترسی و غیره). قرار دادن و نصب وسایل فنی چنین AWP ها باید امکان مشاهده بصری ورودی را از بین ببرد ( برداشته شد) اطلاعات افراد غیر مرتبط با آن. نظافت اماکن با تجهیزات نصب شده در آنها باید با حضور مسئولی که این وسایل فنی به او اختصاص داده شده است یا شخص وظیفه در واحد با رعایت اقداماتی که دسترسی غیرمجاز به منابع حفاظت شده را منتفی می کند انجام شود. .

در طول پردازش اطلاعات محدود ، فقط پرسنلی مجاز به کار با این اطلاعات باید در محل حضور داشته باشند.

در پایان روز کاری ، محوطه هایی که دارای AWP های محافظت شده نصب شده باید تحت حفاظت تسلیم شوند.

برای ذخیره اسناد رسمی و رسانه های ماشینی با اطلاعات محافظت شده، کابینت های فلزی و همچنین وسایلی برای از بین بردن اسناد به کارمندان ارائه می شود.

ابزارهای فنی که برای پردازش یا ذخیره اطلاعات محرمانه استفاده می شوند باید مهر و موم شوند.

8.1.3. مقررات پذیرش کارکنان برای استفاده از منابع اطلاعاتی

در چارچوب سیستم پذیرش مجاز، تعیین می شود: چه کسی، به چه کسی، چه اطلاعاتی و برای چه نوع دسترسی و تحت چه شرایطی می تواند ارائه شود. یک سیستم کنترل دسترسی، که شامل تعریف همه کاربران اطلاعات AU و منابع نرم افزاری در دسترس آنها برای عملیات خاص است. خواندن، نوشتن، اصلاح، حذف، اجرا) با استفاده از نرم افزار و ابزار دسترسی سخت افزاری مشخص شده.

پذیرش کارگران برای کار با AU و دسترسی به منابع آنها باید به شدت تنظیم شود. هرگونه تغییر در ترکیب و قدرت کاربران زیر سیستم AU باید مطابق روش تعیین شده انجام شود.

کاربران اصلی اطلاعات در AU کارکنان بخشهای ساختاری سازمان هستند. سطح اختیارات برای هر کاربر به صورت جداگانه و با رعایت شرایط زیر تعیین می شود:

• اطلاعات باز و محرمانه در صورت امکان در سرورهای مختلف قرار می گیرد.
• هر کارمند فقط از حقوقی استفاده می کند که برای او در رابطه با اطلاعاتی که باید مطابق با مسئولیت های شغلی خود کار کند، استفاده می کند.
• رئیس حق مشاهده اطلاعات زیردستان خود را دارد.
• حیاتی ترین عملیات تکنولوژیکی باید طبق قانون انجام شود "در دو دست"- صحت اطلاعات وارد شده توسط مقام دیگری که حق درج اطلاعات را ندارد تایید می شود.

کلیه کارکنان پذیرفته شده برای کار در NPP و پرسنل تعمیر و نگهداری NPP باید شخصاً مسئول نقض روش تعیین شده برای پردازش خودکار اطلاعات ، قوانین ذخیره ، استفاده و انتقال منابع سیستم محافظت شده در اختیار خود باشند. هنگام استخدام، هر کارمند باید تعهدی را در مورد رعایت الزامات حفظ اطلاعات محرمانه و مسئولیت نقض آنها، و همچنین در مورد رعایت قوانین کار با اطلاعات محافظت شده در AU امضا کند.

پردازش اطلاعات محافظت شده در زیرسیستم های AU باید مطابق با دستورالعمل های فن آوری تایید شده انجام شود. سفارشات) برای این زیرسیستم ها.

برای کاربران، ایستگاه‌های کاری محافظت‌شده، دستورالعمل‌های فن‌آوری لازم، از جمله الزامات تضمین امنیت اطلاعات، باید ایجاد شود.

8.1.4 تنظیم فرآیندهای نگهداری پایگاه های داده و اصلاح منابع اطلاعاتی

کلیه عملیات نگهداری پایگاه های داده در AU و پذیرش کارگران برای کار با این پایگاه داده ها باید به شدت تنظیم شود. هرگونه تغییر در ترکیب و اختیارات کاربران پایگاه های اطلاعاتی AU باید طبق روال تعیین شده انجام شود.

توزیع نام ها ، ایجاد گذرواژه ها ، حفظ قوانین متمایز کردن دسترسی به پایگاه های داده به کارکنان بخش فناوری اطلاعات سپرده شده است. در این حالت می توان از هر دو ابزار استاندارد و اضافی برای محافظت از DBMS و سیستم عامل ها استفاده کرد.

8.1.5. تنظیم فرایندهای نگهداری و اصلاح منابع سخت افزاری و نرم افزاری

منابع سیستمی که باید محافظت شوند ( وظایف ، برنامه ها ، AWP) مشمول حسابداری دقیق هستند ( بر اساس استفاده از فرم های مناسب یا پایگاه های اطلاعاتی تخصصی).

پیکربندی سخت‌افزار و نرم‌افزار ایستگاه‌های کاری خودکار، که در آن اطلاعات محافظت‌شده پردازش می‌شود یا دسترسی به منابع محافظت‌شده از آن‌ها امکان‌پذیر است، باید با محدوده وظایف عملکردی اختصاص داده شده به کاربران این AWP مطابقت داشته باشد. همه دستگاههای ورودی-خروجی بلااستفاده (غیر ضروری) ( پورت های COM، USB، LPT، درایوهای فلاپی دیسک، سی دی و سایر رسانه های ذخیره سازی) در چنین AWP هایی باید غیرفعال شود (حذف شود)، نرم افزارهای غیر ضروری و داده های دیسک های AWS نیز باید حذف شوند.

برای ساده سازی نگهداری، نگهداری و سازماندهی حفاظت، ایستگاه های کاری باید به نرم افزار مجهز شده و به صورت یکپارچه پیکربندی شوند. مطابق با قوانین تعیین شده).

راه اندازی AWP های جدید و کلیه تغییرات در پیکربندی سخت افزار و نرم افزار، AWP های موجود در AS سازمان باید فقط به ترتیب تعیین شده انجام شود.

تمامی نرم افزارها ( توسط متخصصان سازمان تهیه شده یا از تولید کنندگان تهیه شده است) طبق روال تعیین شده آزمایش و به سپرده گذاری برنامه های سازمان منتقل شود. در زیرسیستم های AU ، تنها نرم افزارهای دریافت شده از محل نگهداری به ترتیب روش تعیین شده باید نصب و مورد استفاده قرار گیرند. استفاده از نرم افزار در AS که در مخزن نرم افزار گنجانده نشده است باید ممنوع باشد.

توسعه نرم افزار، تست نرم افزار توسعه یافته و خریداری شده، انتقال نرم افزار به عملیات باید طبق روال تعیین شده انجام شود.

8.1.6 آموزش و آموزش کاربران

قبل از ارائه دسترسی به AU، کاربران آن و همچنین پرسنل مدیریت و تعمیر و نگهداری، باید با فهرست اطلاعات محرمانه و سطح اختیارات خود و همچنین اسناد سازمانی، اداری، نظارتی، فنی و عملیاتی که الزامات را تعیین می کند، آشنا باشند. و روش پردازش چنین اطلاعاتی.

حفاظت از اطلاعات در تمام زمینه های فوق تنها پس از ایجاد نظم و انضباط خاص توسط کاربران امکان پذیر است. هنجارهایی که برای همه کسانی که در AU کار می کنند الزام آور است. این هنجارها شامل ممنوعیت هرگونه اقدام عمدی یا غیرعمدی است که عملکرد عادی AU را مختل می کند، باعث هزینه های اضافی منابع می شود، یکپارچگی اطلاعات ذخیره شده و پردازش شده را نقض می کند، منافع کاربران قانونی را نقض می کند.

کلیه کارکنانی که در حین کار خود از زیرسیستم های خاص NPP استفاده می کنند باید با اسناد سازمانی و اداری حفاظت از نیروگاه اتمی در قسمت مربوط به خود آشنا بوده و دستورالعمل های فناورانه و وظایف عمومی را برای اطمینان از ایمنی نیروگاه هسته ای بدانند و دقیقاً رعایت کنند. اطلاعات آوردن الزامات این اسناد برای اشخاصی که در پردازش اطلاعات حفاظت شده پذیرفته شده اند باید توسط رئیس بخشها بر خلاف امضای آنها انجام شود.

8.1.7. مسئولیت نقض الزامات امنیت اطلاعات

برای هر تخلف جدی از الزامات امنیت اطلاعات توسط کارکنان سازمان، باید تحقیقات رسمی انجام شود. باید اقدامات مقابله ای با عاملان جنایت انجام شود. میزان مسئولیت پرسنل در قبال اقداماتی که در نقض قوانین تعیین شده برای اطمینان از پردازش خودکار ایمن اطلاعات انجام می شود باید با آسیب ایجاد شده، وجود نیت مخرب و سایر عوامل تعیین شود.

برای اجرای اصل مسئولیت شخصی کاربران در قبال اقدامات خود، لازم است:

• شناسایی فردی کاربران و فرآیندهای آغاز شده توسط آنها، به عنوان مثال. ایجاد یک شناسه برای آنها ، که بر اساس آن دسترسی مطابق اصل اعتبار دسترسی متمایز می شود.
• احراز هویت کاربر ( احراز هویت) بر اساس رمزهای عبور، کلیدها بر اساس فیزیکی متفاوت و غیره.
• ثبت ( چوب بری) بهره برداری از مکانیسم های کنترل دسترسی به منابع سیستم اطلاعاتی با ذکر تاریخ و زمان، شناسه های منابع درخواست کننده و درخواستی، نوع تعامل و نتیجه آن.
• واکنش به تلاش برای دسترسی غیرمجاز ( زنگ هشدار، مسدود کردن و غیره).

8.2. وسایل فنی حفاظتی

فنی ( سخت افزار و نرم افزار) وسایل حفاظت - دستگاه های الکترونیکی مختلف و برنامه های ویژه ای که بخشی از AU هستند و عملکردهای حفاظتی (مستقل یا در ترکیب با وسایل دیگر) را انجام می دهند. شناسایی و احراز هویت کاربران، تمایز دسترسی به منابع، ثبت رویدادها، حفاظت رمزنگاری اطلاعات و غیره.).

با در نظر گرفتن کلیه الزامات و اصول تضمین ایمنی اطلاعات در نیروگاه هسته ای در کلیه زمینه های حفاظتی، وسایل زیر باید در سیستم حفاظت گنجانده شود:

• ابزار احراز هویت کاربران و عناصر بلندگو ( پایانه ها، وظایف، آیتم های پایگاه داده و غیره) مربوط به میزان محرمانه بودن اطلاعات و داده های پردازش شده ؛
• ابزار محدود کردن دسترسی به داده ها؛
• ابزار حفاظت رمزنگاری اطلاعات در خطوط انتقال داده و در پایگاه های داده.
• وسایل ثبت گردش و کنترل استفاده از اطلاعات حفاظت شده ؛
• وسایل پاسخگویی به دستکاری های شناسایی شده یا تلاش برای دستکاری ؛
• ابزاری برای کاهش سطح و محتوای اطلاعاتی انتشارات جعلی و پیکاپ ها؛
• ابزار محافظت در برابر ابزارهای مشاهده نوری؛
• محافظت در برابر ویروس ها و بدافزارها؛
• وسیله ای برای جداسازی الکتریکی عناصر AC و عناصر ساختاری محلی که تجهیزات در آن قرار دارد.

ابزار فنی حفاظت در برابر حملات غیرمجاز با حل وظایف اصلی زیر محول شده است:

• شناسایی و احراز هویت کاربران با استفاده از نام و / یا سخت افزار ویژه ( حافظه، کارت هوشمند و غیره را لمس کنید.);
• تنظیم دسترسی کاربر به دستگاههای فیزیکی ایستگاه های کاری ( دیسک ها، پورت های ورودی-خروجی);
• کنترل انتخابی (اختیاری) دسترسی به درایوهای منطقی، دایرکتوری ها و فایل ها؛
• تمایز معتبر (اجباری) دسترسی به داده های محافظت شده در ایستگاه کاری و سرور فایل؛
• ایجاد یک بسته محیط نرم افزاراجازه اجرای برنامه های واقع در درایوهای محلی و شبکه را دارد.
• محافظت در برابر نفوذ ویروس های رایانه ای و بدافزارها ؛
• کنترل یکپارچگی ماژول های سیستم حفاظتی، مناطق سیستم دیسک و لیست فایل های دلخواه در حالت خودکارو با دستورات مدیر؛
• ثبت اقدامات کاربر در یک مجله امن ، وجود چندین سطح ثبت نام ؛
• حفاظت از سیستم حفاظت از داده ها در سرور فایل از دسترسی همه کاربران، از جمله مدیر شبکه؛
• مدیریت متمرکز تنظیمات ابزارهای تمایز دسترسی در ایستگاه های کاری شبکه؛
• ثبت کلیه وقایع دستکاری که در ایستگاه های کاری رخ می دهد.
• کنترل عملیاتی بر کار کاربران شبکه، تغییر حالت های عملکرد ایستگاه های کاری و امکان مسدودسازی ( در صورت لزوم) هر ایستگاهی در شبکه

استفاده موفقیت آمیز از وسایل فنی حفاظتی مستلزم آن است که تحقق الزامات ذکر شده در زیر با اقدامات سازمانی و وسایل حفاظت فیزیکی مورد استفاده تضمین شود:

• یکپارچگی فیزیکی تمام اجزای AU تضمین می شود.
• هر کارمند ( کاربر سیستم) دارای یک نام سیستم منحصر به فرد و حداقل اختیار برای دسترسی به منابع سیستم لازم برای انجام وظایف عملکردی خود است.
• استفاده از برنامه های ابزاری و فناوری در ایستگاه های کاری ( ابزارهای تست ، اشکال زدایی و غیره) اجازه دادن به تلاش برای هک یا دور زدن اقدامات امنیتی، محدود و به شدت تحت نظارت است.
• هیچ کاربر برنامه نویسی در سیستم محافظت شده وجود ندارد و توسعه و اشکال زدایی برنامه ها خارج از سیستم محافظت شده انجام می شود.
• تمام تغییرات در پیکربندی سخت افزار و نرم افزار به روشی کاملاً مشخص انجام می شود.
• سخت افزار شبکه ( هاب ها، سوئیچ ها، روترها و غیره) در مکان های غیرقابل دسترس برای غریبه ها قرار دارد ( اتاق های مخصوص، کمد و غیره);
• سرویس امنیت اطلاعات مدیریت مستمر و پشتیبانی اداری را برای عملکرد ابزارهای امنیت اطلاعات انجام می دهد.

8.2.1. ابزارهای شناسایی و احراز هویت کاربر

به منظور جلوگیری از دسترسی افراد غیر مجاز به AU ، لازم است اطمینان حاصل شود که سیستم می تواند هر کاربر قانونی (یا گروههای محدودی از کاربران) را تشخیص دهد. برای انجام این کار در سیستم ( در یک مکان سرپناه) باید تعدادی از ویژگی های هر کاربر را ذخیره کند که توسط آنها بتوان این کاربر را شناسایی کرد. در آینده، هنگام ورود به سیستم، و در صورت لزوم، هنگام انجام برخی اقدامات در سیستم، کاربر موظف است خود را شناسایی کند، یعنی. شناسه اختصاص داده شده به آن در سیستم را نشان دهید. علاوه بر این، انواع مختلفی از دستگاه ها را می توان برای شناسایی استفاده کرد: کارت های مغناطیسی، درج کلید، فلاپی دیسک و غیره.

احراز هویت ( تایید صحت) کاربران باید بر اساس استفاده از رمزهای عبور (کلمات مخفی) یا ابزارهای خاص احراز هویت، بررسی خصوصیات (پارامترهای) منحصر به فرد کاربران انجام شود.

8.2.2. ابزارهای محدود کردن دسترسی به منابع سیستم خودکار

پس از شناسایی کاربر ، سیستم باید به کاربر اجازه دهد ، یعنی تعیین کند که چه حقوقی به کاربر اعطا می شود ، به عنوان مثال. از چه داده‌هایی و چگونه می‌تواند استفاده کند، چه برنامه‌هایی را می‌تواند اجرا کند، چه زمانی، برای چه مدت و از کدام پایانه‌ها می‌تواند کار کند، از چه منابع سیستمی می‌تواند استفاده کند و غیره. مجوز کاربر باید با استفاده از مکانیسم های کنترل دسترسی زیر انجام شود:

• مکانیسم های کنترل دسترسی انتخابی بر اساس استفاده از طرح های ویژگی ، لیست مجوزها و غیره ؛
• مکانیسم‌های کنترل دسترسی معتبر مبتنی بر استفاده از برچسب‌های محرمانه بودن منابع و سطوح دسترسی کاربر.
• مکانیسم هایی برای ارائه یک محیط بسته نرم افزار قابل اعتماد ( برای هر کاربر لیست برنامه های مجاز برای اجرا) توسط مکانیسم هایی برای شناسایی و احراز هویت کاربران هنگام ورود به سیستم پشتیبانی می شود.

حوزه های مسئولیت و وظایف ابزارهای فنی خاص حفاظت بر اساس قابلیت ها و ویژگی های عملکرد آنها که در اسناد مربوط به این وسایل توضیح داده شده است، ایجاد می شود.

ابزار فنی کنترل دسترسی باید بخشی جدایی ناپذیر از یک سیستم کنترل دسترسی یکپارچه باشد:

• به منطقه تحت کنترل؛
• در اتاق های جداگانه؛
• به عناصر AU و عناصر سیستم امنیت اطلاعات ( دسترسی فیزیکی);
• به منابع AU ( دسترسی ریاضی);
• به انبارهای اطلاعات ( رسانه های ذخیره سازی ، حجم ها ، فایل ها ، مجموعه داده ها ، بایگانی ها ، منابع ، پرونده ها و غیره);
• به منابع فعال ( برنامه های کاربردی، وظایف، فرم های درخواست و غیره);
• به سیستم عامل، برنامه های سیستمیو برنامه های امنیتی و غیره

8.2.3. ابزارهای تضمین و نظارت بر یکپارچگی نرم افزار و منابع اطلاعاتی

کنترل یکپارچگی برنامه ها، اطلاعات پردازش شده و وسایل حفاظتی، به منظور اطمینان از تغییر ناپذیری محیط نرم افزار، تعیین شده توسط فناوری پردازش ارائه شده، و محافظت در برابر تصحیح غیرمجاز اطلاعات باید ارائه شود:

• ابزار محاسبه چک جمع ها؛
• از طریق امضای الکترونیکی؛
• ابزاری برای مقایسه منابع حیاتی با نسخه اصلی آنها ( و بازیابی در صورت نقض یکپارچگی);
• ابزار کنترل دسترسی ( عدم دسترسی با حقوق اصلاح یا حذف).

به منظور محافظت از اطلاعات و برنامه ها در برابر تخریب یا تحریف غیرمجاز، لازم است اطمینان حاصل شود:

• تکرار جداول و داده های سیستم؛
• دوبلکس کردن و انعکاس داده ها روی دیسک ها.
• ردیابی معاملات؛
• نظارت دوره ای بر یکپارچگی سیستم عامل و برنامه های کاربر و همچنین فایل های کاربر.
• حفاظت و کنترل آنتی ویروس ؛
• پشتیبان گیری از داده ها طبق یک طرح از پیش تعیین شده

8.2.4 کنترل رویدادهای امنیتی

کنترل ها باید اطمینان حاصل کنند که همه رویدادها ( اقدامات کاربر، تلاش برای افراد غیرمجاز و غیره.) که ممکن است به نقض سیاست امنیتی منجر شود و منجر به بروز شرایط بحرانی شود. کنترل ها باید توانایی های زیر را ارائه دهند:

• نظارت مداوم بر گره های کلیدی شبکه و تجهیزات ارتباطی تشکیل دهنده شبکه و همچنین فعالیت شبکه در بخش های کلیدی شبکه.
• کنترل استفاده از خدمات شبکه عمومی و شرکتی توسط کاربران؛
• نگهداری و تجزیه و تحلیل گزارش رویدادهای امنیتی؛
• شناسایی به موقع تهدیدهای خارجی و داخلی برای امنیت اطلاعات.

هنگام ثبت رویدادهای امنیتی در گزارش سیستماطلاعات زیر باید ثبت شود:

• تاریخ و زمان رویداد؛
• شناسه موضوع ( کاربر ، برنامه) انجام عمل ثبت شده؛
• عمل ( اگر درخواست دسترسی ثبت شده باشد، شیء و نوع دسترسی علامت گذاری می شوند).

کنترل ها باید اطمینان حاصل کنند که رویدادهای زیر شناسایی و ثبت می شوند:

• ورود کاربر به سیستم؛
• ورود کاربر به شبکه؛
• ورود ناموفق یا تلاش شبکه ( رمز عبور اشتباه);
• اتصال به سرور فایل؛
• شروع برنامه؛
• اتمام برنامه ؛
• تلاش برای شروع برنامه ای که برای راه اندازی در دسترس نیست ؛
• تلاش برای دسترسی به دایرکتوری غیرقابل دسترسی؛
• تلاش برای خواندن / نوشتن اطلاعات از دیسکی که برای کاربر غیرقابل دسترسی است.
• تلاش برای شروع یک برنامه از دیسکی که برای کاربر غیرقابل دسترسی است.
• نقض یکپارچگی برنامه ها و داده های سیستم حفاظتی و غیره.

روشهای اصلی زیر برای پاسخگویی به حقایق کشف شده افراد غیر مجاز باید پشتیبانی شود ( احتمالاً با مشارکت یک مدیر امنیتی):

• اطلاع صاحب اطلاعات در مورد NSD به داده های خود؛
• حذف برنامه ( وظایف) با اجرای بیشتر؛
• اطلاع رسانی به مدیر پایگاه داده و مدیر امنیت؛
• قطع کردن ترمینال ( ایستگاه کاری) که از طریق NSD تلاش هایی برای اطلاعات یا اقدامات غیرقانونی در شبکه صورت گرفت.
• حذف مجرم از لیست کاربران ثبت شده ؛
• زنگ هشدار و غیره

8.2.5. امنیت اطلاعات رمزنگاری شده

یکی از مهمترین عناصر سیستم امنیت اطلاعات نیروگاه هسته ای باید استفاده از روش ها و ابزارهای رمزنگاری برای محافظت از اطلاعات در برابر دسترسی غیرمجاز در حین انتقال آن از طریق کانال های ارتباطی و ذخیره سازی در رسانه های رایانه ای باشد.

تمام ابزارهای حفاظت رمزنگاری اطلاعات در AU باید بر اساس یک هسته رمزنگاری اولیه ساخته شوند. یک سازمان برای حق استفاده از رسانه های رمزنگاری باید مجوزهایی داشته باشد که توسط قانون ایجاد شده است.

سیستم کلیدی ابزارهای حفاظت رمزنگاری مورد استفاده در AU باید بقای رمزنگاری و محافظت چند سطحی در برابر به خطر افتادن اطلاعات کلیدی، جداسازی کاربران بر اساس سطوح حفاظت و مناطق تعامل آنها با یکدیگر و کاربران سطوح دیگر را فراهم کند.

محرمانه بودن و حفاظت تقلیدی اطلاعات در حین انتقال آن از طریق کانال های ارتباطی باید با استفاده از ابزارهای رمزگذاری مشترک و کانال در سیستم تضمین شود. ترکیبی از رمزگذاری مشترک و کانال اطلاعات باید حفاظت سرتاسر آن را در کل مسیر تضمین کند، اطلاعات را در صورت تغییر مسیر اشتباه به دلیل خرابی و نقص سخت افزار و نرم افزار مراکز سوئیچینگ محافظت کند.

AU که سیستمی با منابع اطلاعاتی توزیع شده است، همچنین باید از ابزارهایی برای تولید و تأیید امضای الکترونیکی برای اطمینان از یکپارچگی و تأیید قانونی صحت پیام ها و همچنین تأیید اعتبار کاربران، ایستگاه های مشترک و تأیید زمان استفاده کند. از ارسال پیام در این مورد ، باید از الگوریتم های استاندارد امضای الکترونیکی استفاده کرد.

8.3. مدیریت امنیت اطلاعات

مدیریت سیستم امنیت اطلاعات در NPP یک تأثیر هدفمند بر اجزای سیستم امنیتی است ( سازمانی، فنی، نرم افزاری و رمزنگاری) به منظور دستیابی به شاخص ها و استانداردهای لازم برای امنیت اطلاعات در حال گردش در NPP در چارچوب اجرای تهدیدات امنیتی اصلی.

هدف اصلی سازماندهی مدیریت سیستم امنیت اطلاعات ، افزایش قابلیت اطمینان حفاظت اطلاعات در طول پردازش ، ذخیره و انتقال آن است.

مدیریت سیستم امنیت اطلاعات توسط یک زیر سیستم کنترل تخصصی که مجموعه ای از بدنه های کنترلی، ابزارهای فنی، نرم افزاری و رمزنگاری و همچنین اقدامات سازمانی و نقاط کنترل تعاملی سطوح مختلف است، اجرا می شود.

وظایف زیرسیستم کنترل عبارتند از: اطلاعات، کنترل و کمکی.

عملکرد اطلاعات شامل نظارت مداوم بر وضعیت سیستم حفاظتی، بررسی انطباق شاخص های امنیتی با مقادیر مجاز و اطلاع رسانی فوری اپراتورهای امنیتی در مورد موقعیت هایی است که در نیروگاه هسته ای ایجاد می شود که می تواند منجر به نقض امنیت اطلاعات شود. . دو الزام برای نظارت بر وضعیت سیستم حفاظتی وجود دارد: کامل بودن و قابلیت اطمینان. کامل بودن میزان پوشش کلیه وسایل حفاظتی و پارامترهای عملکرد آنها را مشخص می کند. قابلیت اطمینان کنترل میزان کفایت مقادیر پارامترهای کنترل شده را با مقدار واقعی آنها مشخص می کند. در نتیجه پردازش داده های کنترلی، اطلاعات مربوط به وضعیت سیستم حفاظتی تولید می شود که تعمیم یافته و به نقاط کنترل بالاتر منتقل می شود.

عملکرد کنترل، تدوین برنامه‌هایی برای اجرای عملیات فناوری NPP، با در نظر گرفتن الزامات امنیت اطلاعات تحت شرایط حاکم برای یک لحظه معین از زمان، و همچنین تعیین موقعیت موقعیت آسیب‌پذیری اطلاعات و جلوگیری از نشت آن است. مسدود کردن سریع بخش های NPP که در آن تهدیدات امنیت اطلاعات ایجاد می شود. عملکردهای کنترلی شامل حسابداری، ذخیره سازی و صدور اسناد و حامل های اطلاعات، رمز عبور و کلید می باشد. در عین حال، تولید رمز عبور، کلید، نگهداری ابزارهای کنترل دسترسی، پذیرش ابزارهای نرم افزاری جدید موجود در محیط نرم افزار AS، کنترل انطباق محیط نرم افزار با استاندارد و همچنین کنترل بر فناوری فرآیند پردازش اطلاعات محرمانه به کارکنان بخش فناوری اطلاعات و اداره امنیت اقتصادی سپرده شده است.

به توابع کمکیزیرسیستم های کنترلی شامل حسابداری کلیه عملیات انجام شده در AU با اطلاعات محافظت شده، تشکیل اسناد گزارشگری و جمع آوری داده های آماری به منظور تجزیه و تحلیل و شناسایی کانال های احتمالی نشت اطلاعات است.

8.4. نظارت بر اثربخشی سیستم حفاظتی

نظارت بر اثربخشی سیستم حفاظت از اطلاعات به منظور شناسایی و جلوگیری از نشت اطلاعات به دلیل دسترسی غیرمجاز به آن و همچنین جلوگیری از اقدامات ویژه احتمالی با هدف از بین بردن اطلاعات، از بین بردن فناوری اطلاعات انجام می شود.

ارزیابی اثربخشی اقدامات حفاظت از اطلاعات با استفاده از کنترل های سازمانی، سخت افزاری و نرم افزاری برای انطباق با الزامات تعیین شده انجام می شود.

کنترل را می توان با کمک ابزارهای استاندارد سیستم حفاظت از اطلاعات و با کمک ابزارهای ویژه کنترل و نظارت تکنولوژیکی انجام داد.

8.5. ویژگی های تضمین امنیت اطلاعات داده های شخصی

طبقه بندی داده های شخصی مطابق شدت پیامدهای از دست دادن ویژگی های امنیتی داده های شخصی برای موضوع داده های شخصی انجام می شود.

• درباره داده های شخصی "به دسته های خاص از داده های شخصی؛
• اطلاعات شخصی طبقه بندی شده مطابق با قانون فدرال " درباره داده های شخصی «به اطلاعات شخصی بیومتریک؛
• داده های شخصی که نمی توان آنها را به دسته های خاصی از داده های شخصی، داده های شخصی بیومتریک، داده های شخصی در دسترس عموم یا ناشناس نسبت داد.
• اطلاعات شخصی طبقه بندی شده مطابق با قانون فدرال " درباره داده های شخصی ”به داده های شخصی در دسترس عموم یا ناشناس.

انتقال اطلاعات شخصی به شخص ثالث باید بر اساس قانون فدرال یا رضایت موضوع داده های شخصی انجام شود. در صورتی که سازمانی پردازش داده‌های شخصی را بر اساس توافقی به شخص ثالث واگذار کند، شرط اساسی چنین توافقی، تعهد شخص ثالث به اطمینان از محرمانه بودن داده‌های شخصی و امنیت داده‌های شخصی است. در طول پردازش آنها

سازمان باید پردازش داده‌های شخصی را متوقف کند و داده‌های شخصی جمع‌آوری‌شده را از بین ببرد، مگر اینکه در قوانین فدراسیون روسیه به نحو دیگری پیش‌بینی شده باشد، در محدوده زمانی تعیین شده توسط قانون فدراسیون روسیه در موارد زیر:

• هنگام دستیابی به اهداف پردازش یا در صورت عدم نیاز به دستیابی به آنها ؛
• به درخواست موضوع داده های شخصی یا نهاد مجاز برای حمایت از حقوق افراد داده های شخصی - اگر داده های شخصی ناقص، قدیمی، غیرقابل اعتماد، به طور غیرقانونی به دست آمده یا برای هدف ذکر شده از پردازش ضروری نباشد.
• هنگامی که موضوع داده های شخصی رضایت خود را برای پردازش داده های شخصی خود لغو می کند، در صورتی که چنین رضایتی مطابق با قوانین فدراسیون روسیه لازم باشد.
• اگر اپراتور نتواند تخلفات انجام شده در پردازش داده های شخصی را از بین ببرد.

سازمان باید تعریف و مستندسازی کند:

• روش برای از بین بردن اطلاعات شخصی ( از جمله حامل های مادی داده های شخصی);
• روش پردازش درخواست از افراد داده های شخصی ( یا نمایندگان قانونی آنها) در مورد پردازش داده های شخصی آنها؛
• روش اقدامات در صورت درخواست از طرف نهاد مجاز برای حفاظت از حقوق اشخاص اطلاعات شخصی یا سایر نهادهای نظارتی که در زمینه داده های شخصی کنترل و نظارت می کنند.
• رویکرد طبقه بندی گوینده به عنوان سیستم های اطلاعاتیاطلاعات شخصی ( به علاوه - ISPDN );
• لیست ISPD لیست ISPD باید شامل AS باشد که هدف از ایجاد و استفاده از آن پردازش داده های شخصی است.

برای هر PDIS ، موارد زیر باید شناسایی و مستند شوند:

• هدف از پردازش داده های شخصی؛
• حجم و محتوای داده های شخصی پردازش شده؛
• لیستی از اقدامات با داده های شخصی و روش های پردازش آنها.

حجم و محتوای داده های شخصی و همچنین فهرستی از اقدامات و روش های پردازش داده های شخصی باید با اهداف پردازش مطابقت داشته باشد. در صورتی که برای اجرای فرآیند فناوری اطلاعات، که اجرای آن توسط ISPD پشتیبانی می شود، نیازی به پردازش داده های شخصی خاص نباشد، این داده های شخصی باید حذف شوند.

الزامات برای اطمینان از امنیت داده های شخصی در ISPDN عموماً توسط مجموعه ای از اقدامات سازمانی، فناوری، فنی و نرم افزاری، ابزارها و مکانیسم های حفاظت از اطلاعات پیاده سازی می شود.

سازمان اجرا و ( یا) اجرای الزامات برای اطمینان از امنیت داده های شخصی باید توسط یک واحد ساختاری یا یک مقام (کارمند) سازمانی که مسئول امنیت اطلاعات شخصی است یا به صورت قراردادی توسط یک سازمان - طرف مقابل - انجام شود. از یک سازمان دارای مجوز برای ارائه حفاظت فنی از اطلاعات محرمانه.

ایجاد ISPD یک سازمان باید شامل توسعه و تایید ( بیانیه) اسناد سازمانی، اداری، طراحی و عملیاتی برای سیستم ایجاد شده توسط شرایط مرجع ارائه شده است. اسناد باید مسائل مربوط به تضمین امنیت داده های شخصی پردازش شده را منعکس کند.

توسعه مفاهیم، ​​مشخصات فنی، طراحی، ایجاد و آزمایش، پذیرش و راه اندازی ISPD باید با توافق و تحت کنترل یک واحد ساختاری یا یک مقام (کارمند) مسئول تضمین امنیت داده های شخصی انجام شود.

تمام دارایی های اطلاعاتی متعلق به ISPD سازمان باید در برابر اثرات کدهای مخرب محافظت شوند. سازمان باید الزامات تضمین امنیت داده های شخصی با استفاده از حفاظت ضد ویروس و روش نظارت بر اجرای این الزامات را تعیین و مستند کند.

سازمان باید یک سیستم کنترل دسترسی تعریف کند که امکان کنترل دسترسی به پورت های ارتباطی، دستگاه های ورودی/خروجی، رسانه های ذخیره سازی قابل جابجایی و دستگاه های ذخیره سازی داده های خارجی را فراهم کند.

روسای بخش های عملیاتی و خدماتی ISPD سازمان از امنیت داده های شخصی در حین پردازش آنها در ISPD اطمینان حاصل می کنند.

کارکنانی که داده های شخصی را در ISPDN پردازش می کنند باید مطابق دستورالعمل عمل کنند ( راهنمایی ، مقررات و غیره) که بخشی از اسناد عملیاتی در ISPD است و با الزامات اسناد نگهداری IS مطابقت دارد.

مسئولیت های مدیریت ابزارهای حفاظتی و مکانیزم های حفاظتی که الزامات لازم برای اطمینان از ISPD سازمان را اجرا می کند با دستورات تعیین می شود ( سفارشات) در مورد متخصصان گروه فناوری اطلاعات.

روش کار متخصصان بخش فناوری اطلاعات و پرسنل درگیر در پردازش داده های شخصی باید با دستورالعمل تعیین شود ( دستورالعمل ها) که توسط توسعه دهنده ISPD به عنوان بخشی از اسناد عملیاتی برای ISPD تهیه شده است.

دستورالعمل های مشخص شده ( راهنماها):

• الزامات مربوط به صلاحیت پرسنل در زمینه امنیت اطلاعات و همچنین لیست به روز از اشیاء محافظت شده و قوانین به روز رسانی آن را تعیین کنید.
• حاوی کاملا مرتبط ( توسط زمان) داده های مربوط به حقوق کاربر؛
• حاوی اطلاعات مربوط به فناوری پردازش اطلاعات به مقدار لازم برای متخصص امنیت اطلاعات ؛
• ترتیب و فراوانی تجزیه و تحلیل گزارش های رویداد را تعیین کنید ( بایگانی گزارش);
• تنظیم سایر اقدامات

پارامترهای پیکربندی ابزارها و مکانیسم های حفاظتی برای محافظت از اطلاعات در برابر دستکاری مورد استفاده در حوزه مسئولیت متخصصان بخش فناوری اطلاعات در اسناد عملیاتی در ISPD تعیین می شود. روش و دفعات بررسی پارامترهای پیکربندی نصب شده در اسناد عملیاتی تعیین می شود یا توسط یک سند داخلی تنظیم می شود ، در حالی که بررسی ها باید حداقل یک بار در سال انجام شود.

سازمان باید روش دسترسی به فضاهایی را که وسایل فنی ISPDN در آن قرار دارد و حاملان داده های شخصی در آن ذخیره می شوند ، تعیین و مستند سازد و کنترل دسترسی به محل افراد غیر مجاز و وجود موانع برای ورود غیر مجاز به آن را فراهم کند. محل رویه مشخص شده باید توسط یک واحد ساختاری یا یک مقام رسمی ( کارمند) ، مسئول تضمین رژیم امنیت فیزیکی و مورد توافق واحد ساختاری یا مقام ( کارمند) مسئول تضمین امنیت داده های شخصی و وزارت امنیت اقتصادی است.

کاربران و پرسنل خدمات ISPD نباید غیرمجاز و ( یا) ثبت نشده ( کنترل نشده) کپی اطلاعات شخصی بدین منظور اقدامات سازمانی و فنی باید از موارد غیرمجاز و ( یا) ثبت نشده ( کنترل نشده) کپی کردن داده های شخصی، از جمله استفاده از بیگانه ( قابل تعویض) رسانه های ذخیره سازی، دستگاه های تلفن همراه برای کپی و انتقال اطلاعات، پورت های ارتباطی و دستگاه های ورودی/خروجی که رابط های مختلف را پیاده سازی می کنند ( از جمله بی سیم، دستگاه های ذخیره سازی دستگاه های تلفن همراه ( به عنوان مثال لپ تاپ، PDA، گوشی های هوشمند، تلفن های همراه) ، و همچنین دستگاه های عکس و فیلم.

کنترل امنیت شخصی توسط یک متخصص امنیت اطلاعات، هم با کمک وسایل استاندارد سیستم حفاظت از اطلاعات و هم با کمک ابزارهای کنترلی و نظارت تکنولوژیکی ویژه انجام می شود.

دانلود فایل ZIP (65475)

اسناد مفید بودند - "مانند" یا: