Információbiztonsági elérhetőség. Adatbiztonság: az információbiztonság biztosítása

A kibernetika alapítója, Norbert Wiener úgy vélte, hogy az információnak egyedi sajátosságai vannak, és nem tulajdonítható sem energiának, sem anyagnak. Az információ mint jelenség különleges státusza számos definíciót szült.

Az ISO / IEC 2382: 2015 "Információtechnológia" szabvány szótárában a következő értelmezés található:

Információ (az információfeldolgozás területén)- minden olyan elektronikus formában bemutatott, papírra írt, értekezleten vagy egyéb adathordozón kifejezett adat, amelyet a pénzintézet döntéshozatalra, pénzmozgatásra, kamatmegállapításra, hitelnyújtásra, tranzakciók lebonyolítására stb. használ fel, beleértve az összetevőket is. szoftver feldolgozó rendszerek.

Az információbiztonság (IS) fogalmának kidolgozása során az információ alatt olyan információt értünk, amely gyűjtésre, tárolásra, feldolgozásra (szerkesztésre, átalakításra), felhasználásra és továbbításra különféle módokon elérhető, beleértve a számítógépes hálózatokat és más információs rendszereket is.

Az ilyen információk nagy értékűek, és harmadik felek beavatkozásának tárgyává válhatnak. Az információbiztonsági rendszerek létrehozásának hátterében az a vágy, hogy megvédjük az információkat a fenyegetésektől.

Jogi alap

2017 decemberében Oroszország elfogadta az információbiztonsági doktrínát. A dokumentumban az IB a nemzeti érdekek védelmének állapota ben információs szféra... Ebben az esetben nemzeti érdekeken a társadalom, az egyén és az állam érdekeinek összességét értjük, minden egyes érdekcsoport szükséges a társadalom stabil működéséhez.

A doktrina egy koncepciós papír. Az információbiztonság biztosításával kapcsolatos jogviszonyokat az „államtitkokról”, „az információról”, „a személyes adatok védelméről” és mások szövetségi törvényei szabályozzák. Az alapvető normatív aktusok alapján kormányrendeletek és tanszéki normatív aktusok születnek az információvédelem magánügyeiről.

Az információbiztonság definíciója

Az információbiztonsági stratégia kidolgozása előtt el kell fogadni magának a fogalomnak az alapvető definícióját, amely lehetővé teszi bizonyos védelmi módszerek és módszerek alkalmazását.

Az iparági szakemberek azt javasolják, hogy az információbiztonság alatt az információ, hordozói és infrastruktúra biztonságának stabil állapotát értsük, amely biztosítja az információval kapcsolatos folyamatok integritását és stabilitását a természetes és mesterséges természetű szándékos vagy nem szándékos hatásokkal szemben. Az IS fenyegetéseknek minősülnek azok a hatások, amelyek károsíthatják az információs kapcsolatok alanyait.

Az információvédelem tehát jogi, adminisztratív, szervezési és technikai intézkedések összességét jelenti, amelyek célja a valós vagy vélt információbiztonsági veszélyek megelőzése, valamint az incidensek következményeinek megszüntetése. Az információvédelmi folyamat folytonosságának garantálnia kell a fenyegetések elleni küzdelmet az információs ciklus minden szakaszában: az információgyűjtés, tárolás, feldolgozás, felhasználás és továbbítás folyamatában.

Információ biztonság ebben a felfogásban a rendszer teljesítményének egyik jellemzőjévé válik. A rendszernek minden pillanatban mérhető biztonsági szinttel kell rendelkeznie, a rendszer biztonságának biztosítása pedig folyamatos folyamat, amely a rendszer élettartama során minden időintervallumban megvalósul.

Az infografika saját adatainkat használja felSearchInform.

Az információbiztonsági elméletben információbiztonsági alanyok alatt az információ tulajdonosait és felhasználóit értjük, és nem csak a folyamatosan felhasználókat (alkalmazottakat), hanem azokat a felhasználókat is, akik egyedi esetekben hozzáférnek az adatbázisokhoz, például kormányzati szervek tájékoztatást kérnek. Számos esetben, például a banki információbiztonsági szabványokban a részvényesek információtulajdonosokként szerepelnek. jogalanyok amelyhez bizonyos adatok tartoznak.

A támogató infrastruktúra az információbiztonsági alapok szempontjából számítógépeket, hálózatokat, távközlési berendezéseket, helyiségeket, életfenntartó rendszereket és személyzetet foglal magában. A biztonság elemzése során a rendszerek minden elemét tanulmányozni kell, különös figyelmet fordítva a személyzetre, mint a legtöbb belső fenyegetés hordozójára.

Az információbiztonság kezeléséhez és a kárfelméréshez az elfogadhatóság jellemzőt alkalmazzuk, így a kárt elfogadhatónak vagy elfogadhatatlannak minősítjük. Célszerű, ha minden vállalat meghatározza a saját kritériumait a pénzben kifejezett vagy például a jó hírnév elfogadható sérelmének elfogadhatóságára vonatkozóan. A közintézményekben más jellemzők is átvehetők, például az irányítási folyamatra gyakorolt hatás, vagy az állampolgárok életében és egészségében bekövetkezett károsodás mértékének tükrözése. Az információ lényegességének, fontosságának és értékének kritériumai a folyamat során változhatnak életciklus az információs tömböt ezért időben felül kell vizsgálni.

A szűk értelemben vett információs fenyegetés a védelem tárgyának befolyásolásának objektív lehetősége, amely információ kiszivárogtatásához, ellopásához, nyilvánosságra hozatalához vagy terjesztéséhez vezethet. Tágabb értelemben az információbiztonsági fenyegetések körébe tartoznak az irányított információs hatások, amelyek célja az állam, a szervezet és az egyén károsítása. Ilyen fenyegetések közé tartozik például a rágalmazás, a szándékos félrevezetés és a nem megfelelő reklám.

Az információbiztonsági koncepció három fő kérdése bármely szervezet számára

Mit kell védeni?

Milyen típusú fenyegetések uralkodnak: külső vagy belső?

Hogyan védekezzünk, milyen módszerekkel és eszközökkel?

IS rendszer

A vállalat – jogi személy – információbiztonsági rendszere három alapfogalomcsoportot foglal magában: integritás, elérhetőség és titoktartás. Mindegyik alatt számos jellemzővel rendelkező koncepció található.

Alatt sértetlenség adatbázisok, egyéb információs tömbök véletlen vagy szándékos megsemmisüléssel, jogosulatlan változtatásokkal szembeni ellenállását jelenti. Az integritás a következőképpen tekinthető:

statikus, amely az információs objektumok megváltoztathatatlanságában, hitelességében fejeződik ki azokkal az objektumokkal szemben, amelyek egy adott műszaki feladatnak megfelelően jöttek létre, és a felhasználók által a fő tevékenységeikhez szükséges mennyiségű információt tartalmazzák, a szükséges konfigurációban és sorrendben;
dinamikus, amely összetett műveletek vagy tranzakciók helyes végrehajtását jelenti, anélkül, hogy az információ biztonságát veszélyeztetné.

A dinamikus integritás ellenőrzésére speciális technikai eszközöket alkalmaznak, amelyek elemzik az információáramlást, például a pénzügyieket, és azonosítják az üzenetek lopásának, sokszorosításának, átirányításának és átrendezésének eseteit. Az integritás kulcsfontosságú jellemző, amikor a beérkező vagy rendelkezésre álló információk alapján hoznak döntéseket a cselekvéshez. A parancsok sorrendjének vagy a műveletek sorrendjének megsértése nagy károkat okozhat technológiai folyamatok, programkódok leírásánál és más hasonló helyzetekben.

Elérhetőség egy olyan tulajdonság, amely lehetővé teszi az arra jogosult alanyok számára, hogy hozzáférjenek vagy kicseréljék az őket érdeklő adatokat. Az alanyok legitimációjának vagy felhatalmazásának kulcsfontosságú követelménye lehetővé teszi az alkotást különböző szinteken hozzáférés. A rendszer megtagadása az információszolgáltatás megtagadása bármely szervezet vagy felhasználói csoport számára problémássá válik. Ilyen például a közszolgáltatási oldalak elérhetetlensége rendszerhiba esetén, ami sok felhasználót megfoszt attól a lehetőségtől, hogy megkapja a szükséges szolgáltatásokat vagy információkat.

Titoktartás az információ azon tulajdonságát jelenti, hogy az adott felhasználók számára elérhető legyen: az eredetileg engedélyezett alanyok és folyamatok. A legtöbb vállalat és szervezet a titoktartást az információbiztonság kulcselemének tekinti, de a gyakorlatban nehéz teljes mértékben megvalósítani. Az információszivárgás meglévő csatornáiról nem minden adat áll az információbiztonsági koncepciók készítői rendelkezésére, és számos technikai védelmi eszköz, így a kriptográfiai is nem vásárolható meg szabadon, esetenként korlátozott a forgalom.

Az információbiztonság azonos tulajdonságainak különböző értékei vannak a felhasználók számára, ebből adódik a két szélső kategória az adatvédelmi koncepciók fejlesztésében. Az államtitokkal foglalkozó cégek vagy szervezetek esetében a titoktartás lesz a kulcsparaméter, a közszolgáltatások vagy oktatási intézmények esetében a legfontosabb paraméter a hozzáférhetőség.

Információbiztonsági kivonat

Védett objektumok az információbiztonsági koncepciókban

Az alanyok különbsége a védelem tárgyaiban eltéréseket eredményez. A védett objektumok fő csoportjai:

minden típusú információs erőforrás (az erőforrás anyagi objektumot jelent: HDD, egy másik adathordozó, egy dokumentum, amely az azonosítását és hivatkozását segítő adatokat és részleteket tartalmaz egy bizonyos csoport tantárgyak);
az állampolgárok, szervezetek és az állam információhoz való hozzáférési jogai, megszerzésének lehetősége a törvényi keretek között; a hozzáférést csak szabályozási jogi aktusok korlátozhatják, az emberi jogokat sértő akadályok megszervezése megengedhetetlen;
adatok létrehozására, felhasználására és terjesztésére szolgáló rendszer (rendszerek és technológiák, archívumok, könyvtárak, szabályozó dokumentumok);
a köztudatformáló rendszer (média, internetes források, szociális intézmények, oktatási intézmények).

Minden objektum egy speciális intézkedésrendszert feltételez az információbiztonságot és a közrendet fenyegető veszélyek elleni védelem érdekében. Az információbiztonság biztosításának minden esetben a létesítmény sajátosságait figyelembe vevő szisztematikus megközelítésen kell alapulnia.

Kategóriák és adathordozók

Az orosz jogrendszer, a jogalkalmazási gyakorlat és a kialakult társadalmi viszonyok a hozzáférhetőség kritériumai szerint osztályozzák az információkat. Ez lehetővé teszi az információbiztonság biztosításához szükséges alapvető paraméterek tisztázását:

információk, amelyekhez a hozzáférés jogszabályi előírások alapján korlátozott (államtitok, üzleti titok, személyes adat);
információ benne nyílt hozzáférésű;
nyilvánosan elérhető információk, amelyeket bizonyos feltételek mellett adnak meg: fizetett információ vagy adat, amelyhez belépést kell kiállítani, például könyvtári igazolvány;
veszélyes, káros, hamis és egyéb információk, amelyek terjesztését és terjesztését akár törvényi, akár vállalati szabványok korlátozzák.

Az első csoportból származó információknak két védelmi módja van. Államtitok, a törvény szerint ez az állam által védett információ, amelynek ingyenes terjesztése sértheti az ország biztonságát. Ezek a katonai, külpolitikai, hírszerzési, kémelhárítói és az állam gazdasági tevékenységeihez kapcsolódó adatok. Ennek az adatcsoportnak a tulajdonosa maga az állam. Az államtitkok védelmét szolgáló intézkedések megtételére felhatalmazott szervek a Védelmi Minisztérium, a Szövetségi Biztonsági Szolgálat (FSB), a Külföldi Hírszerző Szolgálat és a Szövetségi Műszaki és Exportellenőrzési Szolgálat (FSTEC).

Bizalmas információ- sokrétűbb szabályozási tárgy. A bizalmas információnak minősülő információk listáját a 188. számú, „A bizalmas információk listájának jóváhagyásáról szóló” elnöki rendelet tartalmazza. Ez személyes adat; a nyomozás és a jogi eljárások titkossága; hivatalos titok; szakmai titok (orvosi, közjegyzői, ügyvédi); kereskedelmi titok; információk a találmányokról és használati modellekről; az elítéltek személyi aktájában található információk, valamint a bírósági cselekmények kötelező végrehajtására vonatkozó információk.

A személyes adatok nyílt és bizalmas módban léteznek. A minden felhasználó számára nyitott és hozzáférhető személyes adatok része a keresztnév, vezetéknév, családnév. Az FZ-152 „A személyes adatokról” értelmében a személyes adatok alanyai jogosultak arra, hogy:

információs önrendelkezés;
a személyes személyes adatokhoz való hozzáféréshez és azok módosításához;
a személyes adatok és az azokhoz való hozzáférés letiltása;
fellebbezni harmadik felek személyes adatokkal kapcsolatos jogellenes cselekményei ellen;
az okozott kár megtérítésére.

Az ehhez való jogot az állami szervekre, a szövetségi törvényekre, a személyes adatokkal való munkavégzésre vonatkozó, a Roskomnadzor vagy az FSTEC által kiadott engedélyekre vonatkozó előírások rögzítik. Azoknak a cégeknek, amelyek hivatásszerűen sokféle személy személyes adataival dolgoznak, például a távközlési szolgáltatóknak be kell lépniük a Roszkomnadzor által vezetett nyilvántartásba.

Az információbiztonság elméletében és gyakorlatában külön tárgyat képeznek az információhordozók, amelyekhez nyitott és zárt a hozzáférés. Az információbiztonsági koncepció kidolgozásakor a védelmi módszereket az adathordozó típusától függően választják ki. Fő adathordozó:

nyomtatott és elektronikus sajtó, közösségi hálózatok, egyéb források az interneten;
a szervezet azon alkalmazottai, akik baráti, családi, szakmai kapcsolataik alapján hozzáférnek információkhoz;
információt továbbító vagy tároló kommunikációs eszközök: telefonok, automata telefonközpontok, egyéb távközlési berendezések;
minden típusú dokumentum: személyi, hivatalos, kormányzati;
szoftver, mint független információs objektum, különösen, ha a verzióját kifejezetten egy adott cég számára módosították;
Az adatokat automatikus módon feldolgozó elektronikus adathordozók.

Az információbiztonsági koncepciók kialakítása céljából az információbiztonsági eszközöket általában normatív (informális) és technikai (formális) részekre osztják.

A védelem informális eszközei dokumentumok, szabályok, események, formális eszközök speciális technikai eszközök, szoftverek. A lehatárolás segíti a felelősségi területek elosztását az információbiztonsági rendszerek létrehozásakor: a védelem általános irányításával az adminisztratív személyzet normatív módszereket, az informatikusok pedig a műszakiakat alkalmazzák.

Az információbiztonság alapjai nemcsak az információ felhasználása, hanem a védelmével való munka szempontjából is a hatáskörök elhatárolását jelentik. A hatáskörök ezen elhatárolása is több szintű ellenőrzést igényel.

Formális jogorvoslatok

Az információbiztonság technikai eszközeinek széles skálája tartalmazza:

Fizikai védőfelszerelés. Ezek olyan mechanikus, elektromos, elektronikus mechanizmusok, amelyek az információs rendszerektől függetlenül működnek, és akadályozzák a hozzáférést. A zárakat, beleértve az elektronikusakat, a képernyőket, a redőnyöket úgy tervezték, hogy akadályokat képezzenek a destabilizáló tényezők rendszerekkel való érintkezésében. A csoportot biztonsági rendszerek egészítik ki, például videokamerák, videorögzítők, érzékelők, amelyek mozgást vagy az elektromágneses sugárzás mértékének túllépését észlelik az információkeresés technikai eszközeinek helyén, beágyazott eszközök.

Hardveres védelem. Ezek elektromos, elektronikus, optikai, lézeres és egyéb eszközök, amelyek információs és távközlési rendszerekbe vannak beépítve. A hardver információs rendszerekbe történő bevezetése előtt gondoskodni kell a kompatibilitásról.

Szoftver egyszerű és rendszerszintű, összetett programok, amelyek speciális és összetett információbiztonsági problémák megoldására szolgálnak. Példa a komplex megoldásokra még: az előbbiek a kiszivárgás megelőzését, az információ újraformázását és az információáramlás átirányítását szolgálják, az utóbbiak az információbiztonság területén nyújtanak védelmet az incidensek ellen. A szoftver igényes a hardvereszközök teljesítményére, és a telepítés során további tartalékokat kell biztosítani.

30 napig ingyenesen tesztelhető. A rendszer telepítése előtt a SearchInform mérnökei műszaki auditot végeznek az ügyfél cégénél.

NAK NEK konkrét eszközökkel Az információbiztonság különféle kriptográfiai algoritmusokat foglal magában, amelyek titkosítják a lemezen lévő információkat, és amelyeket külső kommunikációs csatornákon keresztül irányítanak át. Az információátalakítás a vállalati információs rendszerekben működő szoftveres és hardveres módszerekkel történhet.

Minden olyan eszközt, amely garantálja az információ biztonságát, kombináltan kell alkalmazni, az információ értékének előzetes felmérése és a biztonságra fordított erőforrások költségével való összehasonlítása után. Ezért a forrásfelhasználásra vonatkozó javaslatokat már a rendszerek kialakításának szakaszában meg kell fogalmazni, és a jóváhagyást a költségvetések jóváhagyásáért felelős vezetői szinten kell megtenni.

A biztonság érdekében figyelemmel kell kísérni minden korszerű fejlesztést, szoftver- és hardvervédelmi eszközt, fenyegetést, és haladéktalanul módosítani kell saját illetéktelen hozzáférés elleni védelmi rendszereinket. Csak a fenyegetésekre adott válasz megfelelősége és gyorsasága segít elérni magas szint titoktartás a cég munkájában.

Az első kiadás 2018-ban jelent meg. Ez az egyedülálló program pszichológiai portrékat készít az alkalmazottakról, és kockázati csoportokhoz rendeli őket. Az információbiztonság biztosításának ez a megközelítése lehetővé teszi, hogy előre jelezze a lehetséges incidenseket, és előre intézkedjen.

Informális jogorvoslatok

Az informális jogorvoslatok normatív, adminisztratív és morális-etikai csoportokba sorolhatók. A védelem első szintjén azok a szabályozási eszközök állnak, amelyek az információbiztonságot, mint folyamatot szabályozzák a szervezet tevékenységében.

Szabályozási eszközök

A világgyakorlatban a szabályozási eszközök kidolgozásakor az IS védelmi szabványok vezérlik őket, amelyek közül a legfontosabb az ISO / IEC 27000. A szabványt két szervezet hozta létre:

ISO – Nemzetközi Szabványügyi Bizottság, amely kidolgozza és jóváhagyja a legtöbb nemzetközileg elismert módszert a termelési és irányítási folyamatok minőségének tanúsítására;
Az IEC – Nemzetközi Energiaügyi Bizottság, amely bevezette a szabványba az információbiztonsági rendszerekről, az azt biztosító eszközökről és módszerekről szóló ismereteit

Az ISO / IEC 27000-2016 jelenlegi verziója kész szabványokat és bevált módszereket kínál az információbiztonság megvalósításához. A módszerek készítői szerint az információbiztonság alapja a fejlesztéstől az utóellenőrzésig minden szakasz következetes és következetes megvalósításában rejlik.

Az információbiztonsági szabványoknak való megfelelést igazoló tanúsítvány megszerzéséhez az összes javasolt technikát maradéktalanul alkalmazni kell. Ha nincs szükség bizonyítvány beszerzésére, annál több korai változatai szabvány, kezdve az ISO / IEC 27000-2002-vel, vagy az orosz GOST-okkal, amelyek ajánlás jellegűek.

A szabvány tanulmányozásának eredményei alapján két olyan dokumentum készül, amelyek az információbiztonsággal kapcsolatosak. A fő, de kevésbé formális a vállalat információbiztonságának fogalma, amely egy szervezet információs rendszerei számára határozza meg az információbiztonsági rendszer megvalósításának intézkedéseit és módszereit. A második dokumentum, amelyet a társaság minden dolgozójának meg kell felelnie, az igazgatósági vagy ügyvezetői szinten elfogadott információbiztonsági szabályzat.

A vállalati szintű beosztáson túlmenően ki kell dolgozni az üzleti titkot képező információk jegyzékét, a munkaszerződések mellékleteit, a bizalmas adatok nyilvánosságra hozatalának felelősségét, egyéb szabványokat és módszereket. A belső szabályoknak és előírásoknak tartalmazniuk kell a végrehajtási mechanizmusokat és felelősségi intézkedéseket. Az intézkedések leggyakrabban fegyelmi jellegűek, és a szabálysértőnek fel kell készülnie arra, hogy az üzleti titok megsértését jelentős szankciók követik, akár elbocsátásig.

Szervezeti és adminisztratív intézkedések

Keretében adminisztratív tevékenységek a biztonsági személyzet információbiztonságának védelme érdekében lehetőség nyílik a kreativitásra. Ezek olyan építészeti és tervezési megoldások, amelyek segítenek megvédeni a tárgyalókat és a vezetői irodákat a lehallgatástól, illetve az információhoz való hozzáférés különböző szintjei kialakítását. Fontos szervezési intézkedések lesznek a vállalat tevékenységeinek az ISO / IEC 27000 szabványoknak megfelelő tanúsítása, az egyes hardver- és szoftverrendszerek tanúsítása, az alanyok és objektumok tanúsítása a szükséges biztonsági követelményeknek való megfelelés érdekében, a védett adattömbökhöz szükséges engedélyek megszerzése.

A személyzet tevékenységének szabályozása szempontjából fontos lesz az internethez, külső e-mailekhez és egyéb forrásokhoz való hozzáférési kérelmek rendszerének kialakítása. Külön elem lesz az elektronikus digitális aláírás átvétele, amely növeli a pénzügyi és egyéb információk biztonságát, amelyeket e-mailben továbbítanak a kormányzati szerveknek.

Erkölcsi és etikai intézkedések

Az erkölcsi és etikai intézkedések meghatározzák az ember személyes hozzáállását bizalmas információ vagy korlátozottan forgalomban lévő információk. Az alkalmazottak tudásszintjének növelése a fenyegetések vállalati tevékenységére gyakorolt hatásával kapcsolatban kihat a munkavállalók tudatosságának és felelősségének fokára. Az információs rendszer megsértése elleni küzdelem érdekében, beleértve például a jelszavak átadását, a média gondatlan kezelését, a bizalmas adatok terjesztését magánbeszélgetésekben, a munkavállaló személyes lelkiismeretességére kell összpontosítani. Hasznos lesz a személyzet hatékonyságának mutatóinak meghatározása, amelyek a hozzáállástól függenek vállalati rendszer IB.

Információbiztonsági szabályzat.

1. Általános rendelkezések

Ez az irányelv információ biztonság ( Tovább - Politika ) nézetrendszert határoz meg az információbiztonság biztosításának problémájával kapcsolatban, és szisztematikus megfogalmazása az információs infrastruktúra objektumok információbiztonságának biztosításának céljainak és célkitűzéseinek, valamint szervezeti, technológiai és eljárási szempontjainak, ideértve az információhalmazt is. központok, adatbankok és a szervezet kommunikációs rendszerei. Ez a politika az Orosz Föderáció hatályos jogszabályainak követelményeit és az információs infrastruktúra-létesítmények fejlesztésének rövid távú kilátásait, valamint a modern szervezési és technikai módszerek, valamint a hardver és szoftver jellemzőit és képességeit figyelembe véve került kidolgozásra. információvédelem.

A Szabályzat főbb rendelkezései és követelményei a szervezet minden strukturális részlegére vonatkoznak.

A politika módszertani alapja az egységes politika kialakításának és megvalósításának az információs infrastruktúra objektumok információbiztonságának biztosítása, az összehangolt irányítási döntések meghozatala és az információbiztonság biztosítását célzó gyakorlati intézkedések kidolgozása, a strukturális részlegek tevékenységének összehangolása terén. a szervezet az információs objektumok létrehozásával, fejlesztésével és üzemeltetésével kapcsolatos munkavégzés során az információbiztonsági követelményeknek megfelelő infrastruktúra.

A házirend nem szabályozza a helyiségek védelmének megszervezését, az információs infrastruktúra elemei biztonságának és testi épségének biztosítását, a természeti katasztrófák elleni védelmet, az áramellátó rendszer meghibásodását, azonban információbiztonsági rendszer kiépítését jelenti. ugyanazokon a fogalmi alapokon, mint a szervezet egészének biztonsági rendszere.

A politika megvalósítását megfelelő iránymutatások, szabályzatok, eljárások, utasítások, iránymutatások és a szervezet információbiztonságát értékelő rendszer biztosítják.

A szabályzat a következő kifejezéseket és meghatározásokat használja:

Automatizált rendszer ( MINT) — személyzetből és tevékenységeik automatizálására szolgáló eszközök komplexumából álló rendszer, amely információtechnológiát valósít meg a meghatározott funkciók végrehajtására.

Információs infrastruktúra- a működést és fejlődést biztosító szervezeti struktúrák rendszere információs térés kommunikációs eszközök. Az információs infrastruktúra információs központokból, adat- és tudásbankokból, kommunikációs rendszerekből áll, és hozzáférést biztosít a fogyasztók számára az információs forrásokhoz.

Információs források ( IR) - ezek külön dokumentumok és különálló dokumentumtömbök, dokumentumok és dokumentumtömbök az információs rendszerekben ( könyvtárak, archívumok, alapok, adatbázisok és egyéb információs rendszerek).

Tájékoztatási rendszer (IP) - információfeldolgozó rendszer és a kapcsolódó szervezeti erőforrások ( humán, műszaki, pénzügyi stb.), amelyek információkat szolgáltatnak és terjesztenek.

Biztonság - az érdekvédelem állapota ( célokat) fenyegetésekkel szemben.

Információ biztonság ( IB) — az információs szféra fenyegetéseivel kapcsolatos biztonság. A biztonságot az IS tulajdonságok – elérhetőség, integritás és az információs eszközök titkossága – biztosításával érik el. Az IS ingatlanok prioritását ezen eszközök kamatértéke határozza meg ( célokat) szervezet.

Az információs eszközök rendelkezésre állása - a szervezet információs rendszerének tulajdona, amely abban áll, hogy az információs eszközöket a jogosult felhasználó rendelkezésére bocsátják, a felhasználó által megkívánt formában és helyen, és abban az időben, amikor szüksége van rá.

Az információs eszközök integritása - egy szervezet információbiztonságának azon tulajdonsága, hogy az információvagyonban észlelt változásokat változatlan formában fenntartsa vagy helyesbítse.

Az információs eszközök bizalmas kezelése - egy szervezet információbiztonságának tulajdona, amely abból áll, hogy az információvagyon feldolgozása, tárolása és továbbítása úgy történik, hogy az információvagyon csak az arra jogosult felhasználók, rendszerobjektumok vagy folyamatok számára álljon rendelkezésre.

Információbiztonsági rendszer ( TOLLHEGY) — védőintézkedések, védőfelszerelések és működésük folyamatai, beleértve az erőforrásokat és adminisztratív szervezeti) rendelkezés.

Illetéktelen hozzáférés- a munkavállaló hatósági jogkörét megsértő információkhoz való hozzáférés, a nyilvánosság számára lezárt információkhoz való hozzáférés olyan személyek számára, akik nem rendelkeznek engedéllyel ezen információkhoz való hozzáféréshez, vagy olyan személy hozzáférhet az információhoz, aki jogosult ezen információkhoz való hozzáférésre. a hatósági feladatok ellátásához szükséges összeget meghaladó összegben.

2. Az információbiztonság általános követelményei

Információbiztonsági követelmények ( Tovább -IB ) meghatározza a szervezet tevékenységeinek tartalmát és céljait az IS-kezelési folyamatokon belül.

Ezek a követelmények a következő területekre vonatkoznak:

a szerepek kiosztása és elosztása, valamint a személyzetbe vetett bizalom;
az információs infrastruktúra objektumok életciklusának szakaszai;
védelem az illetéktelen hozzáférés ellen ( Tovább - NSD ), beléptetés és regisztráció automatizált rendszerek, távközlési berendezésekben és automatikus telefonközpontokban stb .;
vírusvédelem;
Internetes források használata;
kriptográfiai információvédelmi eszközök használata;
személyes adatok védelme.

3. Védendő objektumok

A főbb védendő objektumok a következők:

információs források dokumentumok és információtömbök formájában kerülnek bemutatásra, függetlenül azok bemutatásának formájától és típusától, beleértve a bizalmas és nyílt információkat is;
információforrások kialakításának, elosztásának és felhasználásának rendszere, könyvtárak, archívumok, adatbázisok és adatbankok, információs technológiák, az információk gyűjtésére, feldolgozására, tárolására és továbbítására vonatkozó előírások és eljárások, műszaki és kiszolgáló személyzet;
információs infrastruktúra ideértve az információ feldolgozására és elemzésére szolgáló rendszereket, azok feldolgozására, továbbítására és megjelenítésére szolgáló technikai és szoftvereszközöket, ideértve az információcserét és a távközlési csatornákat, az információbiztonsági rendszereket és eszközöket, objektumokat és helyiségeket, amelyekben az információs infrastruktúra összetevői találhatók.

3.1. Az automatizált rendszer jellemzői

Az AU-ban különböző kategóriájú információk keringenek. A védett információkat egyetlen vállalati hálózat különböző alhálózatairól különböző felhasználók oszthatják meg.

Számos AS alrendszer biztosítja a külső ( állami és kereskedelmi, orosz és külföldi) szervezetek kapcsolt és dedikált kommunikációs csatornákon, speciális információtovábbítási eszközöket használva.

Az AU technikai eszközeinek komplexuma adatfeldolgozó eszközöket tartalmaz ( munkaállomások, adatbázis szerverek, levelezőszerverek stb.), adatcsere eszköz a helyi hálózatokban, globális hálózatokhoz való hozzáférés lehetőségével ( kábelezés, hidak, átjárók, modemek stb.), valamint tárolóhelyek ( incl. archiválás) adatok.

Az AU működésének főbb jellemzői a következők:

az egységes rendszerbe való integrálódás szükségessége egy nagy szám az információfeldolgozás és -továbbítás különféle technikai eszközei;
sokféle megoldandó feladat és feldolgozott adattípus;
információk kombinálása különböző célokra, hovatartozásra és titkossági szintekre közös adatbázisokban;
csatlakozási csatornák elérhetősége külső hálózatokhoz;
a működés folyamatossága;
a biztonsági szintek tekintetében eltérő követelményeket támasztó alrendszerek jelenléte, fizikailag egyetlen hálózatba egyesítve;
a felhasználók és a kiszolgáló személyzet sokféle kategóriája.

Általánosságban elmondható, hogy az egyetlen AS részegységekből álló helyi hálózatok összessége, amelyeket távközlési eszközök kötnek össze. Minden helyi hálózat számos összekapcsolt és kölcsönhatásban lévő automatizált alrendszert egyesít ( technológiai oldalak), a problémák megoldásának biztosítása a szervezet egyes strukturális részlegei által.

Az informatizálás tárgyai a következők:

technológiai berendezések ( számítástechnikai eszközök, hálózati és kábeles berendezések);
információs források;
szoftver ( operációs rendszerek, adatbázis-kezelő rendszerek, általános rendszer- és alkalmazásszoftverek);
automatizált kommunikációs és adatátviteli rendszerek (távközlés);
csatlakozási csatornák;
irodatér.

3.2. A védendő szervezeti információs eszközök típusai

A szervezet AS alrendszereiben különböző titkossági szintű információk keringenek, amelyek korlátozott terjesztésű információkat tartalmaznak ( szolgáltatási, kereskedelmi, személyes adatok) és nyílt információk.

Az AU dokumentumfolyamata a következőket tartalmazza:

fizetési megbízások és pénzügyi dokumentumok;
jelentések ( pénzügyi, elemző stb.);
személyes fiókokkal kapcsolatos információk;
Személyes adat;
egyéb korlátozott terjesztésű információk.

Az AU-ban keringő és a következő típusú információs eszközökben található minden információ védelem alá esik:

kereskedelmi és hivatali titkot képező információ, amelynek hozzáférését a szervezet, mint az információ tulajdonosa korlátozza a szövetségi törvénnyel összhangban." Információról, informatizálásról és információvédelemről "Jogok és szövetségi törvény" Az üzleti titkokról »;
személyes adatok, amelyekhez való hozzáférés a szövetségi törvény értelmében korlátozott " A személyes adatokról »;
nyílt információ, az információk integritásának és elérhetőségének biztosítása szempontjából.

3.3. Az automatizált rendszer felhasználói kategóriái

A szervezetnek nagyszámú felhasználói és kiszolgáló személyzeti kategóriája van, akiknek különböző jogosultságokkal kell rendelkezniük ahhoz, hogy hozzáférjenek az AU információs erőforrásaihoz:

hétköznapi felhasználók ( végfelhasználók, szervezeti egységek alkalmazottai);
szerver rendszergazdák ( fájlszerverek, alkalmazásszerverek, adatbázis-kiszolgálók), helyi hálózatok és alkalmazásrendszerek;
rendszerprogramozók ( felelős az általános szoftverek karbantartásáért) a felhasználók szerverein és munkaállomásain;
Alkalmazásszoftver-fejlesztők;
a számítástechnika technikai eszközeinek karbantartásával foglalkozó szakemberek;
információbiztonsági rendszergazdák stb.

3.4. Az automatizált rendszer fő összetevőinek sebezhetősége

Az AU legsebezhetőbb összetevői a hálózati munkaállomások - automatizált munkaállomások ( Tovább - AWP ) dolgozók. Az információkhoz való jogosulatlan hozzáférési kísérletek vagy jogosulatlan cselekvések kísérletei ( akaratlan és szándékos) v számítógép hálózat... A munkaállomások hardver- és szoftverkonfigurációjának megsértése és működési folyamataiba való jogellenes beavatkozás az információk blokkolásához, a fontos feladatok időben történő megoldásának ellehetetlenüléséhez, valamint az egyes munkaállomások és alrendszerek meghibásodásához vezethet.

A hálózati elemek, például a dedikált fájlszerverek, adatbázis-kiszolgálók és alkalmazáskiszolgálók különleges védelmet igényelnek. A csereprotokollok hátrányai és a szerver erőforrásokhoz való hozzáférés megkülönböztetésének eszközei lehetővé teszik a védett információkhoz való jogosulatlan hozzáférést és befolyásolhatják a különböző alrendszerek működését. Ebben az esetben távirányítóval próbálkozhat ( hálózati állomásokról) és közvetlen ( szerverkonzolról) hatással van a szerverek működésére és védelmére.

A hidak, átjárók, hubok, útválasztók, kapcsolók és egyéb hálózati eszközök, kapcsolatok és kommunikáció szintén védelemre szorulnak. A behatolók használhatják őket a hálózati műveletek átstrukturálására és szétszervezésére, a továbbított információk lehallgatására, a forgalom elemzésére és az adatcsere folyamatokba való beavatkozás egyéb módszereinek megvalósítására.

4. Az információbiztonság alapelvei

4.1. A biztonságos üzemeltetés általános elvei

A probléma felismerésének időszerűsége. A szervezetnek kellő időben azonosítania kell azokat a problémákat, amelyek hatással lehetnek üzleti céljaira.
A problémák kialakulásának kiszámíthatósága. A szervezetnek azonosítania kell az ok-okozati összefüggést lehetséges problémákatés ennek alapján készítsenek pontos előrejelzést fejlődésükről.
A problémák üzleti célokra gyakorolt hatásának felmérése. A szervezetnek megfelelően fel kell mérnie az azonosított problémák hatását.
A védőintézkedések megfelelősége. A szervezetnek olyan védelmi intézkedéseket kell kiválasztania, amelyek megfelelnek a fenyegetések és elkövetők modelljének, figyelembe véve az ilyen intézkedések végrehajtásának költségeit és a fenyegetések végrehajtásából származó lehetséges veszteségek mértékét.
A védőintézkedések hatékonysága. A szervezetnek hatékonyan végre kell hajtania a megtett védelmi intézkedéseket.
A tapasztalatok felhasználása a döntések meghozatalában és végrehajtásában. A szervezetnek a saját és más szervezetek tapasztalatait egyaránt fel kell halmoznia, általánosítania és felhasználnia a döntéshozatal és azok végrehajtásának minden szintjén.
A biztonságos működés elveinek folytonossága. A szervezetnek biztosítania kell a biztonságos üzemeltetés alapelvei megvalósításának folyamatosságát.
A védőintézkedések ellenőrizhetősége. A szervezet csak azokat a biztosítékokat alkalmazza, amelyek működése igazolható, és a szervezet rendszeresen értékelje a biztosítékok megfelelőségét és végrehajtásuk eredményességét, figyelembe véve a biztosítékok hatását a szervezet üzleti céljaira.

4.2. Speciális alapelvek az információbiztonság biztosítására

Az információbiztonság speciális elveinek megvalósítása a szervezet információbiztonsági menedzsment folyamatainak érettségi szintjének növelését célozza.
A célok meghatározása. A szervezet funkcionális és információbiztonsági céljait kifejezetten meg kell határozni egy belső dokumentumban. A bizonytalanság oda vezet, hogy „ bizonytalanság„Szervezeti felépítés, személyi szerepkörök, információbiztonsági politikák és a megtett védelmi intézkedések megfelelőségének értékelésének lehetetlensége.
Ismerje meg ügyfeleit és alkalmazottait. A szervezetnek információval kell rendelkeznie ügyfeleiről, gondosan kell kiválasztania a személyzetet ( dolgozók), kialakítja és fenntartja a vállalati etikát, amely kedvező bizalmi környezetet teremt a vagyonkezelő szervezet tevékenységéhez.
Megszemélyesítés, a szerepek és felelősségek megfelelő megosztása. A szervezet tisztségviselőinek a vagyonával kapcsolatos döntésekért való felelősségét személyre kell szabni, és főként kezességi formában kell végrehajtani. Megfelelőnek kell lennie a szervezet céljaira gyakorolt befolyás mértékének, irányelvekben rögzítve, ellenőrizve és javítva kell lennie.
A szerepkörök megfelelősége a funkcióknak és eljárásoknak, valamint összehasonlíthatósága a kritériumokkal és az értékelési rendszerrel. A szerepeknek megfelelően tükrözniük kell a szervezetben betöltött funkciókat és végrehajtásukra vonatkozó eljárásokat. Az egymással összefüggő szerepek kiosztásánál figyelembe kell venni azok megvalósításának szükséges sorrendjét. A szerepnek összhangban kell lennie a végrehajtás hatékonyságának értékelésére vonatkozó kritériumokkal. A betöltött szerep fő tartalmát és minőségét valójában a rá alkalmazott értékelési rendszer határozza meg.
A szolgáltatások és szolgáltatások elérhetősége. A szervezet köteles ügyfelei és vállalkozói számára biztosítani a szolgáltatások és szolgáltatások elérhetőségét a vonatkozó megállapodásokban meghatározott határidőn belül. megállapodások) és/vagy egyéb dokumentumok.
Az információbiztonság megfigyelhetősége, értékelhetősége. Minden javasolt védőintézkedést úgy kell megtervezni, hogy alkalmazásuk hatása jól látható, megfigyelhető legyen ( átlátszó), és a szervezet megfelelő hatósággal rendelkező részlege értékelheti.

5. Az információbiztonság céljai és célkitűzései

5.1. Információs kapcsolatok alanyai az automatizált rendszerben

Az AU használata és az információbiztonság szavatolása során a jogviszonyok alanyai:

Szervezet, mint az információs források tulajdonosa;
az atomerőmű-üzemeltetést biztosító szervezet alosztályai;
a szervezet strukturális részlegeinek alkalmazottai, mint az AU-ban információfelhasználók és -szolgáltatók, a rájuk ruházott feladatoknak megfelelően;
jogi személyek és magánszemélyek, amelyekre vonatkozó információkat az AS-ben gyűjtenek, tárolnak és dolgoznak fel;
az AU létrehozásában és működésében részt vevő egyéb jogi személyek és magánszemélyek rendszerelemek fejlesztői, a szakterületen különböző szolgáltatások nyújtásával foglalkozó szervezetek információs technológiák satöbbi.).

Az információs kapcsolatok felsorolt tárgyai a következőkben érdekeltek:

egy bizonyos információ titkossága;
megbízhatóság ( teljesség, pontosság, megfelelőség, integritás) információ;
védelem a hamis ( megbízhatatlan, torz) információ;
időben történő hozzáférés a szükséges információkhoz;
a törvényes jogok megsértéséért való felelősség megkülönböztetése ( érdekeit) az információs kapcsolatok egyéb alanyai és az információkezelés megállapított szabályai;
az információfeldolgozási és -továbbítási folyamatok folyamatos nyomon követésének és irányításának lehetősége;
az információ egy részének védelme az illegális sokszorosítástól ( a szerzői jogok védelme, az információ tulajdonosának jogai stb.).

5.2. Információbiztonsági célkitűzés

Az információbiztonság biztosításának fő célja, hogy megvédje az információs kapcsolatok alanyait az őket ért esetleges anyagi, erkölcsi vagy egyéb károktól az AU működési folyamatába való véletlen vagy szándékos jogosulatlan beavatkozás vagy az abban keringő információkhoz való jogosulatlan hozzáférés révén, illegális használata.

Ezt a célt az információ következő tulajdonságainak biztosításával és folyamatos karbantartásával és egy automatizált feldolgozó rendszerrel érik el:

a feldolgozott információk elérhetősége a regisztrált felhasználók számára;
a kommunikációs csatornákon keresztül tárolt, feldolgozott és továbbított információ bizonyos részének bizalmas kezelése;
a kommunikációs csatornákon keresztül tárolt, feldolgozott és továbbított információk integritása és hitelessége.

5.3. Információbiztonsági célok

Az információbiztonság biztosításának fő céljának eléréséhez az atomerőmű információbiztonsági rendszerének hatékony megoldást kell nyújtania a következő feladatokra:

védelem az AU működési folyamatába való illetéktelen személyek általi beavatkozás ellen;
a regisztrált felhasználók hozzáférésének differenciálása az AU hardver-, szoftver- és információforrásaihoz, azaz az illetéktelen hozzáférés elleni védelem;
a felhasználói műveletek regisztrálása védett AS-erőforrások használatakor a rendszernaplókban, valamint a rendszerfelhasználók tevékenységeinek helyességének időszakos ellenőrzése e naplók tartalmának elemzésével a biztonsági osztályok szakemberei által;
jogosulatlan módosítás elleni védelem és integritás ellenőrzés ( változhatatlanságot biztosítva) a programok végrehajtási környezete és annak visszaállítása jogsértés esetén;
az AU-ban használt szoftverek jogosulatlan módosítása elleni védelem és integritásának ellenőrzése, valamint a rendszer védelme a jogosulatlan programok, köztük a számítógépes vírusok bejutása ellen;
az információ védelme a technikai csatornákon keresztüli kiszivárgás ellen feldolgozása, tárolása és kommunikációs csatornákon keresztül történő továbbítása során;
a kommunikációs csatornákon keresztül tárolt, feldolgozott és továbbított információk védelme a jogosulatlan nyilvánosságra hozataltól vagy torzítástól;
információcserében részt vevő felhasználók hitelesítésének biztosítása;
a kriptográfiai információvédelmi eszközök túlélésének biztosítása, ha a kulcsrendszer egy része sérül;
az információbiztonságot fenyegető veszélyforrások, az információs kapcsolatok érdekelt alanyait érő károkat okozó okok és feltételek időben történő azonosítása, az információbiztonságot fenyegető veszélyekre és a negatív tendenciákra adott gyors reagálás mechanizmusának létrehozása;
feltételek megteremtése a magánszemélyek és jogi személyek jogellenes cselekményei által okozott károk minimalizálására és lokalizálására, a negatív hatás gyengítésére, az információbiztonság megsértésének következményeinek megszüntetésére.

5.4. Információbiztonsági problémák megoldásának módjai

Az információbiztonsági problémák megoldása megvalósul:

minden védelem alá eső rendszererőforrás szigorú elszámolása ( információk, feladatok, kommunikációs csatornák, szerverek, AWP);
a szervezet strukturális részlegeinek alkalmazottai információfeldolgozási folyamatainak és intézkedéseinek, valamint az atomerőmű szoftverének és hardverének karbantartását és módosítását végző személyzet intézkedéseinek szabályozása az információbiztonsággal kapcsolatos szervezeti és adminisztratív dokumentumok alapján;
az információbiztonsággal kapcsolatos szervezeti és adminisztratív dokumentumok követelményeinek teljessége, valós megvalósíthatósága és következetessége;
az információbiztonságot biztosító gyakorlati intézkedések megszervezéséért és végrehajtásáért felelős alkalmazottak kinevezése és képzése;
minden alkalmazott felhatalmazása a funkcionális feladatai ellátásához szükséges minimummal, az atomerőmű erőforrásaihoz való hozzáférés jogával;
az atomerőmű hardverét és szoftverét használó és karbantartó valamennyi alkalmazott világos ismerete és szigorú betartása, az információbiztonsággal kapcsolatos szervezeti és adminisztratív dokumentumok követelményei;
az automatizált információfeldolgozási folyamatokban funkcionális feladataik keretében részt vevő és az AU erőforrásaihoz hozzáféréssel rendelkező alkalmazottak személyes felelőssége a tetteikért;
információfeldolgozás technológiai folyamatainak megvalósítása a szoftverek, hardverek és adatok védelmét szolgáló szervezeti és technikai intézkedések komplexeinek felhasználásával;
hatékony intézkedések elfogadása a műszaki berendezések fizikai épségének biztosítására és az atomerőmű-elemek szükséges védelmi szintjének folyamatos fenntartására;
műszaki alkalmazása ( szoftver és hardver) a rendszererőforrások védelmének eszközei és használatuk folyamatos adminisztratív támogatása;
az információáramlás elhatárolása és a korlátozott terjesztésű információk nem védett kommunikációs csatornákon történő továbbításának tilalma;
hatékony ellenőrzése annak, hogy a munkavállalók betartsák az információbiztonsági követelményeket;
állandó megfigyelés hálózati erőforrások, sebezhetőségek azonosítása, a számítógépes hálózat biztonságát fenyegető külső és belső fenyegetések időben történő észlelése és semlegesítése;
a szervezet érdekeinek jogi védelme az információbiztonság területén a jogellenes cselekményektől.
a megtett intézkedések és az alkalmazott információvédelmi eszközök eredményességének, elégségességének folyamatos elemzése, az atomerőmű információvédelmi rendszerének fejlesztésére vonatkozó javaslatok kidolgozása és megvalósítása.

6 információbiztonsági fenyegetés

6.1. Információbiztonsági fenyegetések és forrásaik

Az atomerőműben feldolgozott információk biztonságát fenyegető legveszélyesebb veszélyek:

a titoktartás megsértése ( nyilvánosságra hozatal, kiszivárgás) hivatali vagy üzleti titkot képező információ, beleértve a személyes adatokat is;
rosszul működik ( a munka szervezetlensége) AU, információk blokkolása, technológiai folyamatok megsértése, a problémák időben történő megoldásának megzavarása;
integritás megsértése ( torzítás, helyettesítés, megsemmisítés) az AU információi, szoftverei és egyéb forrásai.

Az atomerőmű információbiztonságát fenyegető fő veszélyforrások a következők:

természeti és ember okozta nemkívánatos események;
terroristák, bűnözők;
számítógépes kiberbűnözők, akik célzott pusztító akciókat hajtanak végre, beleértve a számítógépes vírusokés más típusú rosszindulatú kódok és támadások;
szoftverek és hardverek, fogyóeszközök, szolgáltatások stb. szállítói;
berendezések telepítését, üzembe helyezését és javítását végző vállalkozók;
a felügyeleti és szabályozó szervek követelményeinek, a hatályos jogszabályoknak való be nem tartása;
a szoftver és a hardver meghibásodása, meghibásodása, megsemmisülése/károsodása;
azon alkalmazottak, akik jogi résztvevői az AU-ban zajló folyamatoknak, és a kapott hatáskörökön kívül járnak el;
alkalmazottak, akik az AU-ban zajló folyamatok törvényes résztvevői, és a kapott hatáskörök keretein belül járnak el.

6.2. Az információbiztonság megsértéséhez vezető nem szándékos cselekmények és az ezeket megelőző intézkedések

A szervezet azon alkalmazottai, akik közvetlenül hozzáférnek az AU információfeldolgozási folyamataihoz, potenciális forrásai a nem szándékos, véletlen cselekvéseknek, amelyek az információbiztonság megsértéséhez vezethetnek.

Az információbiztonság megsértéséhez vezető, nem szándékolt súlyos tevékenységek (az emberek által véletlenül, tudatlanságból, figyelmetlenségből vagy hanyagságból, kíváncsiságból, de rosszindulatú szándék nélkül végrehajtott cselekedetek). Asztal 1.

Asztal 1

Az információbiztonság megsértéséhez vezető főbb intézkedések
Az alkalmazottak tevékenységei, amelyek részleges vagy teljes rendszerhibához vagy a hardver vagy szoftver teljesítményének megzavarásához vezetnek; berendezések leválasztása vagy az eszközök és programok üzemmódjának megváltoztatása; a rendszer információs erőforrásainak megsemmisítése ( berendezések nem szándékos károsodása, fontos információkat tartalmazó programok vagy fájlok törlése, torzítása, beleértve a rendszerinformációkat is, a kommunikációs csatornák károsodása, az adathordozók nem szándékos károsodása stb.)	Szervezeti intézkedések ( ). Fizikai eszközök alkalmazása a jogsértés nem szándékos elkövetésének megakadályozására. Alkalmazása műszaki ( hardver és szoftver) az erőforrásokhoz való hozzáférés megkülönböztetésének eszközei. A kritikus erőforrások lefoglalása.
Olyan programok illetéktelen indítása, amelyek szakszerűtlen használat esetén a rendszer teljesítményének csökkenését okozhatják ( lefagy vagy hurkol) vagy visszafordíthatatlan változások végrehajtása a rendszerben ( adathordozó formázása vagy átstrukturálása, adatok törlése stb.)	Szervezeti intézkedések ( az összes potenciálisan veszélyes program eltávolítása a munkaállomásról). Alkalmazása műszaki ( hardver és szoftver) a programokhoz való hozzáférés megkülönböztetésének eszközei a munkaállomáson.
Nem rögzített programok jogosulatlan bevezetése és használata ( játék, képzés, technológiai és egyebek, amelyek nem szükségesek a munkavállalók hivatalos feladataik ellátásához) az ezt követő indokolatlan erőforrás-pazarlással ( processzoridő, véletlen elérésű memória, memória külső adathordozón stb.)	Szervezeti intézkedések ( tilalmak kiszabása). Alkalmazása műszaki ( hardver és szoftver) a nem rögzített programok jogosulatlan bevezetésének és használatának megakadályozását jelenti.
A számítógép nem szándékos vírusfertőzése	Szervezeti intézkedések ( akciók szabályozása, tilalmak bevezetése). Technológiai intézkedések ( speciális programok használata a vírusok észlelésére és megsemmisítésére). Olyan hardver és szoftver eszközök használata, amelyek megakadályozzák a számítógépes vírusok fertőzését.
A hozzáférés-vezérlési attribútumok nyilvánosságra hozatala, átvitele vagy elvesztése ( jelszavak, titkosítási kulcsok vagy elektronikus aláírás, azonosító kártyák, igazolványok stb.)	Szervezeti intézkedések ( akciók szabályozása, tilalmak bevezetése, felelősség erősítése). Fizikai eszközök alkalmazása a megadott részletek biztonságának biztosítása érdekében.
A szervezeti korlátok figyelmen kívül hagyása ( megállapított szabályokat), amikor a rendszerben dolgozik	Szervezeti intézkedések ( ). További fizikai és technikai védelmi eszközök alkalmazása.
A védőfelszerelés szakszerűtlen használata, beállítása vagy nem megfelelő hatástalanítása a biztonsági személyzet által	Szervezeti intézkedések ( a személyi állomány képzése, a felelősség és az ellenőrzés erősítése).
Hibás adatok bevitele	Szervezeti intézkedések ( fokozott felelősség és kontroll). Technológiai intézkedések az adatbeviteli operátorok hibáinak ellenőrzésére.

6.3. Az információbiztonságot sértő szándékos cselekmények és az azt megelőző intézkedések

Alapvető szándékos cselekvések ( önző célból, kényszerből, bosszúvágyból stb.), amelyek az atomerőmű információbiztonságának megsértéséhez vezetnek, és az ezek megelőzésére és az esetlegesen okozott károk csökkentésére irányuló intézkedéseket tartalmaz. 2. táblázat.

2. táblázat

Az információbiztonság megsértéséhez vezető fő szándékos cselekmények	Intézkedések a fenyegetések megelőzésére és a károk minimalizálására
Az automatizált rendszer összes vagy néhány legfontosabb összetevőjének fizikai megsemmisítése vagy működésképtelensége ( eszközök, fontos rendszerinformációk hordozói, személyzet stb.), alrendszerek letiltása vagy letiltása a számítástechnikai rendszerek működésének biztosítása érdekében ( tápegység, kommunikációs vonalak stb.)	Szervezeti intézkedések ( akciók szabályozása, tilalmak bevezetése). Fizikai eszközök alkalmazása a szabálysértés szándékos elkövetésének megakadályozására. A kritikus erőforrások lefoglalása.
Az ügynökök bevezetése a rendszer létszámába ( beleértve a biztonságért felelős adminisztratív csoportot is), toborzás ( vesztegetés, zsarolás, fenyegetés stb.) felhasználók, akik bizonyos jogokkal rendelkeznek a védett erőforrásokhoz való hozzáféréshez	Szervezeti intézkedések ( a személyzet kiválasztása, elhelyezése és munkája, az ellenőrzés és a felelősség erősítése). A személyzeti műveletek automatikus regisztrálása.
információhordozók ellopása ( nyomatok, mágneslemezek, szalagok, tárolóeszközök és egész számítógépek), ipari hulladék ellopása ( nyomatok, feljegyzések, kiselejtezett adathordozók stb.)	Szervezeti intézkedések ( ).
Az információhordozók jogosulatlan másolása, visszamaradó információ beolvasása véletlen elérésű memóriából és külső tárolóeszközökről	Szervezeti intézkedések ( védett információkat tartalmazó adathordozók tárolásának és használatának megszervezése). Technikai eszközök alkalmazása a védett erőforrásokhoz való hozzáférés korlátozására és a dokumentumok nyomtatott példányainak átvételének automatikus nyilvántartására.
A jelszavak és a hozzáférés-szabályozás egyéb részleteinek illegális átvétele ( titkos eszközökkel, a felhasználók hanyagságával, szelekcióval, a rendszerfelület szoftveres könyvjelzőkkel történő utánzásával stb.) később regisztrált felhasználónak álcázva.	Szervezeti intézkedések ( akciók szabályozása, tilalmak bevezetése, személyzettel való munka). Olyan technikai eszközök használata, amelyek megakadályozzák a jelszavak, kulcsok és egyéb részletek lehallgatására szolgáló programok végrehajtását.
Az AWP-k jogosulatlan használata olyan egyedi fizikai jellemzőkkel rendelkező felhasználók számára, mint például egy munkaállomás száma a hálózatban, fizikai cím, cím a kommunikációs rendszerben, hardveres kódoló egység stb.	Szervezeti intézkedések ( szigorú szabályozás a helyiségekbe való bejutás és az ezeken az AWP-ken való munkába bocsátás tekintetében). A beléptetés fizikai és műszaki eszközeinek alkalmazása.
A szoftverek jogosulatlan módosítása - szoftveres "könyvjelzők" és "vírusok" bevezetése ( Trójai falók és bogarak), azaz olyan programrészek, amelyek nem szükségesek a deklarált funkciók megvalósításához, de lehetővé teszik a védelmi rendszer leküzdését, titkosan és illegálisan hozzáférhetnek a rendszer erőforrásaihoz védett információk nyilvántartása és továbbítása érdekében, illetve a szervezet működésének megzavarása. rendszer	Szervezeti intézkedések ( a munkába bocsátás szigorú szabályozása). Fizikai és technikai eszközök használata a hozzáférés megkülönböztetésére és az AWP hardver- és szoftverkonfigurációjának illetéktelen módosításának megakadályozására. Szoftverintegritás-ellenőrző eszközök alkalmazása.
Kommunikációs csatornákon továbbított adatok lehallgatása, elemzése a bizalmas információk megszerzése és a csereprotokollok tisztázása érdekében, a hálózatba lépésre és a felhasználók engedélyezésére vonatkozó szabályok, majd a rendszerbe való behatolásuk utánzási kísérletei	A kommunikációs csatornák fizikai védelme. A továbbított információk kriptográfiai védelmének eszközeinek alkalmazása.
Nyilvános hálózatokból a rendszer működési folyamatába való beavatkozás az adatok jogosulatlan módosítása, a bizalmas információkhoz való hozzáférés, az alrendszerek működésének megzavarása stb.	Szervezeti intézkedések ( nyilvános hálózatokban való csatlakozás és működés szabályozása). Speciális technikai védelmi eszközök alkalmazása ( tűzfalak, biztonsági ellenőrzések és a rendszererőforrások elleni támadások észlelése stb.).

6.4. Az információ technikai csatornákon keresztül szivárog

Az Atomerőmű műszaki berendezéseinek üzemeltetése során az információszivárgás vagy az információ sértetlenségének megsértése, a műszaki berendezések teljesítményének megzavarása a következő csatornák lehetségesek:

informatív jel oldalsó elektromágneses sugárzása műszaki eszközökről és információs átviteli vonalakról;
elektronikus számítógépekkel feldolgozott tájékoztató jel lehallgatása olyan vezetékekre és vonalakra, amelyek túlmutatnak az irodai ellenőrzött területen, pl. a földelési és tápellátási áramkörökön;
különféle elektronikus eszközök információ elfogása ( incl. "Könyvjelzők") kommunikációs csatornákhoz vagy információfeldolgozás technikai eszközeihez kapcsolódva;
információ megjelenítése a képernyőkről és más, optikai eszközökkel történő megjelenítési eszközökről;
hardverre vagy szoftverre gyakorolt hatás az integritás megsértése érdekében ( rombolás, torzítás) az információ, a technikai eszközök, az információbiztonsági eszközök működőképessége és az információcsere időszerűsége, ideértve az elektromágneseseket is, speciálisan megvalósított elektronikus és szoftvereszközökön keresztül ( "Könyvjelzők").

Figyelembe véve a feldolgozás sajátosságait és az információk biztonságának biztosítását, a bizalmas információk kiszivárgásának veszélyét ( beleértve a személyes adatokat is) a technikai csatornákon keresztül irrelevánsak a szervezet számára.

6.5. Egy valószínű behatoló informális modellje

Az elkövető az a személy, aki tiltott műveleteket kísérelt meg ( akció) tévedésből, tudatlanságból vagy szándékosan rosszindulatból ( érdekből) vagy anélkül ( játék vagy öröm kedvéért, önigazolás céljából stb.) és ehhez különféle lehetőségeket, módszereket és eszközöket használva.

Az atomerőmű védelmi rendszerének a rendszerben előforduló következő lehetséges szabálysértői típusokra vonatkozó feltételezéseken kell alapulnia ( figyelembe véve a személyek kategóriáját, motivációját, képzettségét, speciális eszközök elérhetőségét stb.):

« Tapasztalatlan (figyelmetlen) felhasználó»- olyan alkalmazott, aki megkísérelhet tiltott műveletek elvégzését, hatáskörén túlmenően hozzáférni az AU védett erőforrásaihoz, helytelen adatokat ír be stb. tévedésből, alkalmatlanságból vagy hanyagságból elkövetett cselekmények rosszindulatú szándék nélkül, és csak szabványos ( elérhető számára) hardver és szoftver.
« Szerető"- a védelmi rendszert önző célok és rosszindulatú szándék nélkül, önmegerősítésből vagy abból kifolyólag leküzdeni próbáló alkalmazott" sport érdeklődés". A védelmi rendszer leküzdésére és tiltott műveletek végrehajtására használhatja különböző módszerek további jogosultság megszerzése az erőforrásokhoz való hozzáféréshez ( nevek, jelszavak stb. más felhasználók), hiányosságok a védelmi rendszer kiépítésében és a rendelkezésre álló személyzetben ( telepítve a munkaállomásra) programok ( jogosulatlan cselekmények az engedélyezett eszközök használatára vonatkozó jogkörük túllépésével). Ezenkívül megpróbálhat további, nem szabványos hangszeres és technológiai szoftvereket használni ( hibakeresők, segédprogramok), önállóan fejlesztett programok vagy szabványos kiegészítő technikai eszközök.
« Csaló"- az a munkavállaló, aki önző célból, kényszerből vagy rosszindulatú, de csak szabályos telepítve van a munkaállomásra és elérhető) hardver és szoftver saját vagy más munkavállaló nevében ( nevének és jelszavának ismeretében, rövid távú munkahelyi távollétének igénybevételével stb.).
« Külső behatoló (behatoló)„- önző érdekből, bosszúból vagy kíváncsiságból, esetleg másokkal összejátszva, céltudatosan cselekvő kívülálló vagy volt alkalmazott. Alkalmazni tudja az információbiztonság megsértésének módszereit, a nyilvános hálózatokra jellemző biztonsági rendszerek feltörésének módszereit és eszközeit ( különösen az IP-alapú hálózatok), beleértve a szoftveres könyvjelzők távoli megvalósítását és speciális műszeres és technológiai programok használatát, kihasználva a csereprotokollok és a szervezet AS hálózatának csomópontjainak védelmi rendszerének meglévő gyengeségeit.
« Belső támadó»- a rendszer felhasználójaként regisztrált, önző érdekből vagy bosszúból céltudatosan cselekvő alkalmazott, esetleg olyan személyekkel összejátszva, akik nem a szervezet alkalmazottai. A biztonsági rendszer feltörésének módszereinek és eszközeinek teljes skáláját tudja használni, beleértve a hozzáférési adatok megszerzésének titkos módszereit, a passzív eszközöket (a rendszerelemek módosítása nélküli lehallgatási technikai eszközök), az aktív befolyásolás módszereit és eszközeit ( technikai eszközök módosítása, adatátviteli csatornákhoz való kapcsolódás, szoftveres könyvjelzők bevezetése és speciális műszeres és technológiai programok használata), valamint a nyilvános hálózatokból és belülről érkező hatások kombinációja.

A bennfentes a következő személyi kategóriákba tartozó személy lehet:

az AU regisztrált végfelhasználói ( részlegek és fióktelepek alkalmazottai);
a munkavállalók nem dolgozhatnak az AU-val;
az atomerőmű műszaki eszközeit kiszolgáló személyzet ( mérnökök, technikusok);
szoftverfejlesztési és karbantartási osztályok alkalmazottai ( alkalmazás- és rendszerprogramozók);
a szervezet épületeit és helyiségeit kiszolgáló műszaki személyzet ( takarítók, villanyszerelők, vízvezeték-szerelők és más olyan dolgozók, akik hozzáférhetnek olyan épületekhez és helyiségekhez, ahol a hangszóró alkatrészek találhatók);
különböző szintű vezetők.

elbocsátott munkavállalók;
a szervezet életének biztosításával kapcsolatos kérdésekben együttműködő szervezetek képviselői ( energia, víz, hőellátás stb.);
berendezéseket, szoftvereket, szolgáltatásokat stb. szállító cégek képviselői;
bűnszervezetek és versengő kereskedelmi struktúrák tagjai vagy a nevükben eljáró személyek;
olyan személyek, akik véletlenül vagy szándékosan léptek be a hálózatba külső hálózatról ( "Hackerek").

A dolgozók közül a felhasználóknak és a kiszolgáló személyzetnek van a legnagyobb lehetősége a jogosulatlan cselekmények végrehajtására, az erőforrásokhoz való bizonyos jogosultságuk és az információfeldolgozási technológia jó ismerete miatt. A szabálysértők ezen csoportjának cselekedetei közvetlenül összefüggenek a meglévő szabályok és előírások megsértésével. A szabálysértőknek ez a csoportja különösen veszélyes a bűnözői szervezetekkel való interakció során.

Az elbocsátott munkavállalók munkatechnológiai ismereteiket, védőintézkedéseiket és hozzáférési jogaikat felhasználhatják céljaik elérése érdekében.

A külső fenyegetések legagresszívebb forrását a bűnszervezetek jelentik. Ezek a struktúrák terveik megvalósítása érdekében nyíltan megsérthetik a törvényt, és minden rendelkezésükre álló erővel és eszközzel bevonhatják tevékenységükbe a szervezet dolgozóit.

A hackerek rendelkeznek a legmagasabb műszaki képesítéssel, és ismerik az AU-ban használt szoftverek gyengeségeit. A legnagyobb veszélyt a dolgozó vagy elbocsátott munkavállalókkal és bűnözői szervezetekkel való érintkezéskor jelentik.

Az eszközök és információs rendszerek fejlesztésével, szállításával és javításával foglalkozó szervezetek külső veszélyt jelentenek, mivel időről időre közvetlen hozzáféréssel rendelkeznek információforrásokhoz. A bûnszervezetek ezeket a szervezeteket tagjaik ideiglenes foglalkoztatására használhatják, hogy védett információkhoz jussanak.

7. Technikai politika az információbiztonság területén

7.1. A műszaki szabályzat főbb rendelkezései

Az információbiztonság területén a technikai politika megvalósításának abból kell kiindulnia, hogy a szükséges információbiztonsági szintet nem csak egy eszköz segítségével lehet biztosítani. külön eszközök (tevékenység), hanem egyszerű kombinációjuk segítségével is. Szisztémás koordinációjuk egymással szükséges ( komplex alkalmazás), és a kidolgozás alatt álló AU egyes elemeit egyetlen egységesség részének kell tekinteni tájékoztatási rendszer-val védett változatban optimális arány műszaki ( hardver szoftver) alapok és szervezési intézkedések.

Az Atomerőmű információbiztonságát biztosító technikai politika megvalósításának fő irányai az információforrások védelmének biztosítása a lopás, elvesztés, kiszivárgás, megsemmisülés, eltorzulás vagy hamisítás ellen, amelyek a jogosulatlan hozzáférés és különleges behatások miatt következnek be.

Az információbiztonságot biztosító technikai politika megjelölt irányvonalai keretében a következőket hajtják végre:

előadóművészek beléptetési engedélyezési rendszerének megvalósítása ( felhasználók, szerviz személyzet) bizalmas jellegű művekre, dokumentumokra és információkra;
előadóművészek és illetéktelen személyek belépésének korlátozása olyan épületekbe és helyiségekbe, ahol bizalmas jellegű munkát végeznek, és amelyeken az információs és kommunikációs eszközök találhatók, tárolva, továbbítva) bizalmas jellegű információk közvetlenül az informatizálási és kommunikációs eszközökhöz;
a felhasználók és a kiszolgáló személyzet hozzáférésének differenciálása az információs erőforrásokhoz, az információ feldolgozására és védelmére szolgáló szoftverekhez az AU-ban szereplő különböző szintű és célú alrendszerekben;
dokumentumok, információs tömbök nyilvántartása, a felhasználók és a kiszolgáló személyzet tevékenységeinek nyilvántartása, a jogosulatlan hozzáférés és a felhasználók, a kiszolgáló személyzet és az illetéktelen személyek tevékenységének ellenőrzése;
vírusprogramok, szoftverkönyvjelzők automatizált alrendszerekbe való bevezetésének megakadályozása;
Számítógépes technológia és kommunikáció által feldolgozott és továbbított információk kriptográfiai védelme;
gépi adathordozók, kriptográfiai kulcsok megbízható tárolása ( kulcs információ) és forgalmuk, ide nem értve a lopást, a helyettesítést és a megsemmisítést;
a technikai eszközök szükséges lefoglalása és a tömbök és információhordozók sokszorosítása;
az automatizált alrendszerek különböző elemei által létrehozott hamis kibocsátások és hangfelvételek szintjének és információtartalmának csökkentése;
a tápellátási áramkörök elektromos leválasztása, az informatikai objektumok földelése és egyéb áramkörei, amelyek túlmutatnak az ellenőrzött területen;
optikai és lézeres megfigyelési eszközök ellenhatása.

7.2. Információbiztonsági rezsim kialakítása

Figyelembe véve az atomerőmű biztonságát fenyegető azonosított veszélyeket, az információbiztonsági rendszert olyan módszerek és intézkedések összességeként kell kialakítani, amelyek megvédik az atomerőműben és az azt támogató infrastruktúrában keringő információkat a véletlen vagy szándékos természetes vagy mesterséges hatásoktól. az információ tulajdonosait vagy felhasználóit ért kár.

Az információbiztonsági rendszer kialakítására irányuló intézkedések összessége a következőket tartalmazza:

az információbiztonság szervezeti és jogi szabályozásának kialakítása az automatizált rendszerben ( szabályozó dokumentumok, személyzettel való munka, irodai munka);
szervezeti és technikai intézkedések végrehajtása a korlátozott terjesztésű információk műszaki csatornákon keresztül történő kiszivárgás elleni védelmére;
szervezeti és szoftvertechnikai intézkedések a jogosulatlan tevékenységek megelőzésére ( hozzáférés) az AU információforrásaihoz;
intézkedéscsomag a korlátozottan terjedő információforrások véletlen vagy szándékos hatások utáni védelmére szolgáló eszközök és rendszerek működésének ellenőrzésére.

8. Az információbiztonság intézkedései, módszerei és eszközei

8.1. Szervezeti intézkedések

Szervezeti intézkedések- ezek olyan szervezeti intézkedések, amelyek szabályozzák az atomerőművek működési folyamatait, erőforrásaik felhasználását, a karbantartó személyzet tevékenységét, valamint a felhasználóknak a rendszerrel való interakcióját oly módon, hogy az a lehető legnehezebb vagy kizárja a biztonsági fenyegetések megvalósítása és a kár mértékének csökkentése azok megvalósítása esetén.

8.1.1. Biztonságpolitika kialakítása

A szervezeti intézkedések fő célja az információvédelmi szemléletet tükröző információbiztonsági politika kialakítása, ennek megvalósítása a szükséges erőforrások elosztásával és a helyzet figyelemmel kísérésével.

Gyakorlati szempontból az atomerőmű biztonsági politikáját két szintre kell osztani. A felső szintbe azok a döntések tartoznak, amelyek a szervezet egészének tevékenységét érintik. Ilyen megoldások például a következők:

átfogó információbiztonsági program kialakítása vagy felülvizsgálata, a végrehajtásért felelősök meghatározása;
célok megfogalmazása, célok kitűzése, tevékenységi területek meghatározása az információbiztonság területén;
a biztonsági program végrehajtásával kapcsolatos döntések meghozatala, amelyeket a szervezet egészének szintjén mérlegelnek;
szabályozási ( jogi) biztonsági kérdések adatbázisa stb.

Az alsóbb szintű szabályzat meghatározza a célok eléréséhez és az információbiztonsági problémák megoldásához szükséges eljárásokat és szabályokat, és ezeket a szabályokat részletezi (szabályozza):

mi az információbiztonsági politika hatálya;
mi a szerepe és felelőssége az információbiztonsági politika végrehajtásáért felelős tisztviselőknek;
kinek van joga korlátozott hozzáférésű információkhoz hozzáférni;
kik és milyen feltételek mellett olvashatnak és módosíthatnak információkat stb.

Az alacsonyabb szintű politikának:

gondoskodjon az információs viszonyok szabályozásáról, kizárva az önkényes, monopólium vagy jogosulatlan fellépés lehetőségét a bizalmas információforrásokkal kapcsolatban;
koalíciós és hierarchikus elvek és módszerek meghatározása a titkok megosztására és a korlátozott terjesztésű információkhoz való hozzáférés korlátozására;
a kriptográfiai védelem, a manipuláció elleni védekezés, a hitelesítés, az engedélyezés, az azonosítás és egyéb védelmi mechanizmusok szoftver- és hardvereszközeinek megválasztása, amelyek garanciát nyújtanak az információs kapcsolatok alanyai jogainak és kötelezettségeinek érvényesítésére.

8.1.2. A műszaki eszközökhöz való hozzáférés szabályozása

A biztonságos automatizált munkaállomások és a Bank szervereinek üzemeltetését megbízható automata zárral, riasztóval felszerelt, folyamatosan őrzött vagy ellenőrzött helyiségekben kell végezni, kizárva az illetéktelen személyek telephelyére való ellenőrizetlen bejutását és a védett erőforrások testi épségét. helyiségében található ( AWP, dokumentumok, hozzáférési adatok stb.). Az ilyen AWP-k műszaki eszközeinek elhelyezése és telepítése kizárja a bemenet vizuális megtekintésének lehetőségét ( visszavont) hozzá nem kapcsolódó személyektől származó információk. A helyiségek takarítását a beépített berendezésekkel a felelős személy vagy az egységben szolgálatot teljesítő személy jelenlétében kell végezni, olyan intézkedések betartásával, amelyek kizárják az illetéktelen személyek bejutását a helyiségbe. védett erőforrások.

A korlátozott hozzáférésű információk feldolgozása során csak az ezen információkkal való foglalkozásra jogosult személyek tartózkodhatnak a helyiségben.

A munkanap végén a telepített védett AWP-kkel ellátott helyiséget védelem alá kell adni.

Az irodai dokumentumok és a védett információkat tartalmazó gépi adathordozók tárolására a dolgozók fémszekrényeket, valamint dokumentumok megsemmisítésére alkalmas eszközöket kapnak.

A bizalmas információk feldolgozására vagy tárolására használt technikai eszközöket lepecsételni kell.

8.1.3. A munkavállalók információs források használatba vételének szabályozása

A megengedő felvételi rendszer keretein belül rögzítésre kerül: ki, kinek, milyen tájékoztatást és milyen típusú hozzáférésre és milyen feltételekkel biztosítható; hozzáférés-ellenőrző rendszer, amely magában foglalja az AU információinak és szoftverforrásainak meghatározását minden felhasználó számára meghatározott műveletekhez ( olvasni, írni, módosítani, törölni, végrehajtani) a megadott szoftver- és hardver-hozzáférési eszközök használatával.

Szigorúan szabályozni kell a munkavállalók AU-val való munkavállalását és az erőforrásaikhoz való hozzáférést. Az AU-alrendszerek felhasználóinak összetételében és jogkörében bekövetkezett bármilyen változtatást a megállapított eljárásnak megfelelően kell végrehajtani.

Az AU-ban az információ fő felhasználói a szervezet strukturális részlegeinek alkalmazottai. Az egyes felhasználók jogosultsági szintjét egyedileg határozzák meg, figyelembe véve a következő követelményeket:

a nyílt és bizalmas információkat lehetőség szerint különböző szervereken helyezik el;
minden alkalmazott csak a számára előírt jogokat használja azokkal az információkkal kapcsolatban, amelyek birtokában a munkaköri kötelezettségeinek megfelelően dolgoznia kell;
a főnöknek joga van megtekinteni beosztottjai információit;
a legkritikusabb technológiai műveleteket a szabály szerint kell elvégezni "Két kézben"- a megadott adatok helyességét egy másik, adatbeviteli joggal nem rendelkező tisztviselő igazolja.

Az atomerőműben munkavégzésre felvett valamennyi munkavállaló és az atomerőmű karbantartó személyzete személyes felelősséggel tartozik az automatizált információfeldolgozásra megállapított eljárás, valamint a rendelkezésükre álló rendszer védett erőforrásainak tárolására, felhasználására és átadására vonatkozó szabályok megsértéséért. Felvételkor minden alkalmazottnak kötelezettségvállalást kell aláírnia a bizalmas információk megőrzésére vonatkozó követelmények betartásáról és a megsértésükért való felelősségről, valamint a védett információkkal való munkavégzés szabályainak betartásáról az AU-ban.

A védett információk feldolgozását az AU alrendszerekben a jóváhagyott technológiai utasításoknak megfelelően kell végrehajtani ( parancsokat) ezekhez az alrendszerekhez.

A felhasználók, védett munkaállomások számára ki kell dolgozni a szükséges technológiai utasításokat, beleértve az információbiztonság biztosítására vonatkozó követelményeket.

8.1.4. Az adatbázisok karbantartásának és az információforrások módosításának folyamatainak szabályozása

Szigorúan szabályozni kell az AU-ban az adatbázisok karbantartására irányuló minden műveletet és a munkavállalók engedélyezését az adatbázisokkal való munkavégzésre. Az AU-adatbázisok felhasználóinak összetételében és jogosultságaiban bekövetkezett bármilyen változtatást a megállapított eljárásnak megfelelően kell végrehajtani.

A nevek kiosztása, a jelszavak generálása, az adatbázisokhoz való megkülönböztetés szabályainak karbantartása az Informatikai Osztály munkatársaira van bízva. Ebben az esetben a DBMS és az operációs rendszerek védelmére szabványos és kiegészítő eszközök is használhatók.

8.1.5. Karbantartási folyamatok szabályozása, hardver és szoftver erőforrások módosítása

A védendő rendszererőforrások ( feladatok, programok, AWP) szigorú elszámolás alá tartoznak ( megfelelő űrlapok vagy speciális adatbázisok használata alapján).

Azon automatizált munkaállomások hardver- és szoftverkonfigurációjának, amelyeken a védett információkat feldolgozzák, vagy amelyekről a védett erőforrásokhoz hozzá lehet férni, meg kell felelnie az ezen AWS felhasználóira ruházott funkcionális feladatok körének. Minden fel nem használt (felesleges) információbeviteli-kimeneti eszköz ( COM, USB, LPT portok, hajlékonylemez meghajtók, CD és egyéb adathordozók) az ilyen AWP-ken le kell tiltani (törölni), a szükségtelen szoftvereket és adatokat is törölni kell az AWS lemezekről.

A karbantartás, karbantartás és a védelem megszervezésének egyszerűsítése érdekében a munkaállomásokat szoftverrel kell felszerelni és egységesen konfigurálni ( a megállapított szabályok szerint).

Az új AWP-k üzembe helyezését, valamint a hardver és szoftver konfigurációjában, a meglévő AWP-kben a szervezet AS-ben történő minden változtatást csak a megállapított sorrendben szabad végrehajtani.

Minden szoftver ( a szervezet szakemberei által kifejlesztett, gyártóktól beszerzett vagy beszerzett) az előírt módon tesztelni kell, és át kell vinni a szervezet programjainak letéteményesébe. Az AU alrendszereiben csak a letéteményestől a megállapított eljárásnak megfelelően kapott szoftvereket szabad telepíteni és használni. A szoftvertárban nem szereplő szoftverek használatát az AS-ben meg kell tiltani.

A szoftverfejlesztést, a kifejlesztett és vásárolt szoftverek tesztelését, a szoftverek üzembe helyezését a megállapított eljárási rend szerint kell elvégezni.

8.1.6. Felhasználói képzés és oktatás

Mielőtt hozzáférést biztosítana az AU-hoz, annak felhasználóinak, valamint a vezetőségnek és a karbantartó személyzetnek ismernie kell a bizalmas információk listáját és jogosultsági szintjét, valamint a követelményeket meghatározó szervezeti és adminisztratív, szabályozási, műszaki és működési dokumentációt. és az ilyen információk feldolgozásának eljárása.

Az információk védelme a fenti területek mindegyikén csak akkor lehetséges, ha a felhasználók kialakítottak egy bizonyos fegyelmet, pl. normák, amelyek mindenkire kötelezőek, aki az AU-ban dolgozik. Ezek a normák magukban foglalják minden olyan szándékos vagy nem szándékos cselekvés tilalmát, amely megzavarja az AU normál működését, további erőforrás-költségeket okoz, sérti a tárolt és feldolgozott információk integritását, sérti a jogos felhasználók érdekeit.

Minden olyan munkavállalónak, aki munkája során meghatározott atomerőművi alrendszert használ, ismernie kell az atomerőmű védelmét szolgáló szervezeti és adminisztratív dokumentumokat a saját érdeke szempontjából, ismernie kell és szigorúan be kell tartania a technológiai utasításokat és az információbiztonságot szolgáló általános kötelezettségeket. . Ezen dokumentumok követelményeinek megismertetését a védett információ kezelésébe feljogosított személyekkel az osztályvezetőknek kell aláírásukkal ellátniuk.

8.1.7. Felelősség az információbiztonsági követelmények megsértéséért

Az információbiztonsági követelményeknek a szervezet alkalmazottai általi minden súlyos megsértése esetén hatósági vizsgálatot kell végezni. Megfelelő intézkedéseket kell tenni az elkövetőkkel szemben. A személyzet felelősségének mértékét az információk biztonságos automatizált feldolgozásának biztosítására megállapított szabályok megsértésével elkövetett cselekményekért az okozott kár, a rosszindulatú szándék és egyéb tényezők alapján kell meghatározni.

A felhasználók cselekedeteikért való személyes felelőssége elvének megvalósításához szükséges:

a felhasználók és az általuk kezdeményezett folyamatok egyéni azonosítása, azaz. számukra egy azonosító felállítása, amely alapján a hozzáférések megkülönböztetése a hozzáférés érvényességének elvével összhangban történik;
felhasználói hitelesítés ( hitelesítés) jelszavak, eltérő fizikai alapon lévő kulcsok stb. alapján;
bejegyzés ( fakitermelés) az információs rendszer erőforrásaihoz való hozzáférést ellenőrző mechanizmusok működése, feltüntetve a dátumot és időpontot, a kért és kért erőforrások azonosítóit, az interakció típusát és eredményét;
reakció az illetéktelen hozzáférési kísérletekre ( riasztás, blokkolás stb.).

8.2. Műszaki védelmi eszközök

műszaki ( hardver és szoftver) védőfelszerelések - különféle elektronikai eszközök ill speciális programok amelyek az AU részét képezik, és (önállóan vagy más eszközökkel kombinálva) védelmi funkciókat látnak el ( a felhasználók azonosítása és hitelesítése, az erőforrásokhoz való hozzáférés differenciálása, az események nyilvántartása, az információk kriptográfiai védelme stb.).

Figyelembe véve az atomerőműben az információbiztonság minden védelmi területén biztosítására vonatkozó valamennyi követelményt és alapelvet, a következő eszközöket kell beépíteni a védelmi rendszerbe:

a felhasználók és a beszélőelemek hitelesítésének eszközei ( terminálok, feladatok, adatbáziselemek stb.) az információk és a feldolgozott adatok titkosságának fokának megfelelően;
az adatokhoz való hozzáférés korlátozásának eszközei;
Adatátviteli vonalakban és adatbázisokban lévő információk kriptográfiai védelmének eszközei;
a védett információk forgalmának nyilvántartására és felhasználásának ellenőrzésére szolgáló eszközök;
eszközök az észlelt manipulációra vagy manipulációs kísérletekre;
eszközök a hamis kibocsátások és hangfelvételek szintjének és információtartalmának csökkentésére;
az optikai megfigyelési eszközök elleni védelem;
vírusok és rosszindulatú programok elleni védelem;
mind az AU-elemek, mind pedig azon helyiségek szerkezeti elemeinek elektromos szétválasztásának eszközei, ahol a berendezés található.

Az illetéktelen támadások elleni védelem technikai eszközeivel az alábbi fő feladatok megoldását bízzák:

a felhasználók azonosítása és hitelesítése nevek és/vagy speciális hardver segítségével ( Érintse meg a Memória, Smart Card stb.);
a munkaállomások fizikai eszközeihez való felhasználói hozzáférés szabályozása ( lemezek, bemeneti-kimeneti portok);
a logikai meghajtókhoz, könyvtárakhoz és fájlokhoz való hozzáférés szelektív (diszkrecionális) szabályozása;
a védett adatokhoz való hozzáférés mérvadó (kötelező) megkülönböztetése munkaállomáson és fájlszerveren;
zárt létrehozása szoftverkörnyezet engedélyezett a helyi és hálózati meghajtókon található programok futtatása;
számítógépes vírusok és rosszindulatú programok behatolása elleni védelem;
védelmi rendszermodulok, lemezrendszerterületek és tetszőleges fájllisták integritásának ellenőrzése automatikus módban és rendszergazdai parancsokkal;
felhasználói műveletek regisztrálása egy védett naplóban, több szintű regisztráció megléte;
az adatvédelmi rendszer védelme a fájlszerveren az összes felhasználó hozzáférésétől, beleértve a hálózati rendszergazdát is;
a hálózat munkaállomásain a hozzáférés differenciálására szolgáló eszközök beállításainak központosított kezelése;
a munkaállomásokon előforduló összes manipulációs esemény regisztrálása;
a hálózathasználók munkájának operatív ellenőrzése, a munkaállomások működési módjának megváltoztatása és a blokkolási lehetőség ( ha szükséges) a hálózat bármely állomása.

A védelmi technikai eszközök eredményes alkalmazása feltételezi, hogy az alábbi követelmények teljesülését szervezeti intézkedésekkel és az alkalmazott fizikai védelmi eszközökkel biztosítsák:

az AU valamennyi összetevőjének fizikai integritása biztosított;
minden alkalmazott ( rendszer felhasználója) egyedi rendszernévvel és minimális jogosultsággal rendelkezik a funkcionális feladatai ellátásához szükséges rendszererőforrásokhoz;
műszeres és technológiai programok használata a munkaállomásokon ( segédprogramokat, hibakeresőket stb.), amely lehetővé teszi a biztonsági intézkedések feltörését vagy megkerülését, korlátozott és szigorúan szabályozott;
a védett rendszerben nincsenek programozó felhasználók, a programok fejlesztése és hibakeresése a védett rendszeren kívül történik;
a hardver és a szoftver konfigurációjában minden változtatás szigorúan meghatározott módon történik;
hálózati hardver ( hubok, kapcsolók, útválasztók stb.) idegenek számára hozzáférhetetlen helyen található ( speciális helyiségek, gardróbok stb.);
az információbiztonsági szolgálat az információbiztonsági eszközök működésének folyamatos kezelését és adminisztratív támogatását végzi.

8.2.1. Felhasználó azonosítási és hitelesítési eszközök

Annak megakadályozása érdekében, hogy illetéktelen személyek hozzáférjenek az AU-hoz, biztosítani kell, hogy a rendszer minden jogos felhasználót (vagy korlátozott felhasználói csoportot) felismerjen. Ehhez a rendszerben ( védett helyen) minden egyes felhasználóhoz számos attribútumot kell tárolnia, amelyek alapján ez a felhasználó azonosítható. A felhasználó a jövőben a rendszerbe való belépéskor, illetve adott esetben a rendszerben bizonyos műveletek elvégzésekor köteles azonosítani magát, pl. tüntesse fel a rendszerben a hozzá rendelt azonosítót. Ezen kívül az azonosításra különféle típusú eszközök használhatók: mágneskártyák, kulcsbetétek, hajlékonylemezek stb.

Hitelesítés ( a hitelesség megerősítése) a felhasználókat jelszavak (titkos szavak) vagy a hitelesítés-ellenőrzés speciális eszközei alapján kell elvégezni egyedi jellemzők(paraméterek) felhasználók.

8.2.2. Az automatizált rendszer erőforrásaihoz való hozzáférés lehatárolásának eszközei

A felhasználó felismerése után a rendszernek engedélyeznie kell a felhasználót, vagyis meg kell határoznia, hogy milyen jogosultságokat kap a felhasználó, pl. milyen adatokat és hogyan használhat, milyen programokat tud végrehajtani, mikor, mennyi ideig és milyen terminálokról tud működni, milyen rendszererőforrásokat használhat stb. A felhasználói jogosultságot a következő hozzáférés-felügyeleti mechanizmusok segítségével kell végrehajtani:

szelektív hozzáférés-szabályozási mechanizmusok, amelyek attribútum-sémák, engedélylisták stb. használatán alapulnak;
hiteles hozzáférés-ellenőrzési mechanizmusok, amelyek az erőforrás-titkossági címkéken és a felhasználói hozzáférési szinteken alapulnak;
mechanizmusok a megbízható szoftverek zárt környezetének biztosítására ( egyénileg minden felhasználó számára a futtatható programok listája) támogatja a felhasználók azonosítását és hitelesítését a rendszerbe való bejelentkezéskor.

Az egyes műszaki védelmi eszközök felelősségi és feladatai az eszközök dokumentációjában leírt képességeik és teljesítményjellemzőik alapján kerülnek meghatározásra.

A beléptetés műszaki eszközeinek az egységes beléptetőrendszer szerves részét kell képezniük:

az ellenőrzött területre;
külön helyiségekben;
az AU elemeihez és az információbiztonsági rendszer elemeihez ( fizikai hozzáférés);
az AU forrásaihoz ( matematikai hozzáférés);
információtárolókra ( adathordozók, kötetek, fájlok, adatkészletek, archívumok, referenciák, iratok stb.);
aktív erőforrásokhoz ( pályázati programok, feladatok, igénylőlapok stb.);
az operációs rendszerhez, a rendszerprogramokhoz és a védelmi programokhoz stb.

8.2.3. A szoftverek és információs erőforrások integritását biztosító és ellenőrző eszközök

A programok, a feldolgozott információk és a védelmi eszközök integritásának ellenőrzéséről gondoskodni kell a szoftverkörnyezet – a biztosított feldolgozási technológia által meghatározott – változatlanságának biztosítása, valamint az információk jogosulatlan javítása elleni védelem érdekében:

ellenőrző összegek kiszámításának eszközei;
útján Elektronikus aláírás;
eszközök a kritikus erőforrások összehasonlítására azok eredeti példányaival ( és az integritás megsértése esetén a behajtás);
beléptetési eszközök ( a hozzáférés megtagadása módosítási vagy törlési jogokkal).

Az információk és programok jogosulatlan megsemmisítéstől vagy torzítástól való védelme érdekében biztosítani kell:

rendszertáblázatok és adatok sokszorosítása;
adatok kétoldalas nyomtatása és tükrözése lemezeken;
Tranzakciók nyomon követése;
időszakos integritás-ellenőrzés operációs rendszerés felhasználói programok, valamint felhasználói fájlok;
vírusvédelem és ellenőrzés;
az adatok biztonsági mentése egy előre meghatározott séma szerint.

8.2.4. Biztonsági eseményvezérlők

Az ellenőrzéseknek biztosítaniuk kell, hogy minden esemény ( felhasználói műveletek, illetéktelen személyek kísérletei stb.), ami a biztonságpolitika megsértésével járhat, és válsághelyzetek kialakulásához vezethet. A vezérlőelemeknek lehetővé kell tenniük a következőket:

a hálózat kulcscsomópontjainak és a hálózatot alkotó kommunikációs berendezéseknek, valamint a hálózati tevékenységnek a hálózat kulcsfontosságú szegmenseiben történő folyamatos monitorozása;
a vállalati és nyilvános hálózati szolgáltatások felhasználók általi használatának ellenőrzése;
biztonsági eseménynaplók karbantartása és elemzése;
az információbiztonságot fenyegető külső és belső fenyegetések időben történő észlelése.

Amikor biztonsági eseményeket regisztrál a rendszernaplóban, a következő információkat kell rögzíteni:

az esemény dátuma és ideje;
tárgy azonosító ( felhasználó, program) a regisztrált művelet végrehajtása;
akció ( ha egy hozzáférési kérelem regisztrálva van, akkor az objektum és a hozzáférés típusa meg van jelölve).

Az ellenőrzéseknek biztosítaniuk kell a következő események észlelését és rögzítését:

felhasználói bejelentkezés a rendszerbe;
felhasználói bejelentkezés a hálózatba;
sikertelen bejelentkezési vagy hálózati kísérlet ( hibás jelszó);
kapcsolat fájlszerverrel;
a program elindítása;
a program befejezése;
olyan program elindításának kísérlete, amely nem indítható el;
hozzáférési kísérlet egy elérhetetlen címtárhoz;
a felhasználó számára hozzáférhetetlen lemezről történő információ olvasására/írására irányuló kísérlet;
egy program elindításának kísérlete a felhasználó számára hozzáférhetetlen lemezről;
a védelmi rendszer programjainak és adatainak integritásának megsértése stb.

Az illetéktelen személyek észlelt tényeire a következő főbb válaszadási módokat kell támogatni ( esetleg biztonsági rendszergazda közreműködésével):

az NBI-ra vonatkozó információk tulajdonosának értesítése az adataihoz;
a program törlése ( feladatokat) további végrehajtással;
az adatbázis-adminisztrátor és a biztonsági adminisztrátor értesítése;
a terminál leválasztása ( munkaállomás) ahonnan az NSD megkísérelt tájékoztatást vagy jogellenes tevékenységet a hálózaton;
az elkövető kizárása a regisztrált felhasználók listájáról;
riasztójelzés stb.

8.2.5. Kriptográfiai információbiztonság

Az atomerőmű információbiztonsági rendszerének egyik legfontosabb eleme a kriptográfiai módszerek és eszközök alkalmazása, amelyek megvédik az információkat az illetéktelen hozzáféréstől a kommunikációs csatornákon keresztül történő továbbítás és a számítógépes adathordozón történő tárolás során.

Az AU-ban az információk kriptográfiai védelmének minden eszközének egy alapvető kriptográfiai magon kell alapulnia. A kriptográfiai adathordozók használatához a szervezetnek rendelkeznie kell a törvény által meghatározott engedélyekkel.

Az AU-ban használt kriptográfiai védelmi eszközök kulcsrendszerének biztosítania kell a kriptográfiai túlélést és többszintű védelmet a kulcsfontosságú információk kompromittálása ellen, a felhasználók védelmi szintek szerinti elkülönítését, valamint az egymással és más szintű felhasználókkal való interakciójuk zónáit.

Az információ titkosságát és utánzatvédelmét kommunikációs csatornákon történő továbbítása során a rendszerben előfizetői és csatornatitkosító eszközök használatával kell biztosítani. Az információ előfizetői és csatornatitkosításának kombinációjának biztosítania kell annak végpontok közötti védelmét a teljes áthaladási útvonalon, meg kell védenie az információt a kapcsolóközpontok hardverének és szoftverének meghibásodása és meghibásodása miatti hibás átirányítása esetén.

Az AU-nak, amely egy elosztott információs erőforrásokkal rendelkező rendszer, az elektronikus aláírások létrehozására és ellenőrzésére szolgáló eszközöket is alkalmaznia kell az üzenetek integritásának és hitelességének jogilag bizonyító erejű igazolása, valamint a felhasználók, előfizetői állomások hitelesítése és az idő megerősítése érdekében. üzenetek küldéséről. Ebben az esetben szabványos elektronikus aláírási algoritmusokat kell használni.

8.3. Információbiztonsági menedzsment

Az atomerőmű információbiztonsági rendszerének kezelése célzott hatást gyakorol a biztonsági rendszer összetevőire ( szervezési, műszaki, szoftveres és kriptográfiai).

Az információbiztonsági rendszer irányításának megszervezésének fő célja az információvédelem megbízhatóságának növelése annak feldolgozása, tárolása és továbbítása során.

Az információbiztonsági rendszer kezelését egy speciális irányítási alrendszer valósítja meg, amely ellenőrző szervekből, műszaki, szoftveres és kriptográfiai eszközökből, valamint különböző szintű szervezeti intézkedésekből és egymással kölcsönhatásba lépő ellenőrző pontokból áll.

A vezérlő alrendszer funkciói: információs, vezérlési és segédrendszer.

Az információs funkció a védelmi rendszer állapotának folyamatos figyelemmel kíséréséből, a biztonsági mutatók megengedett értékeknek való megfelelőségének ellenőrzéséből, valamint a biztonsági üzemeltetők azonnali tájékoztatásából áll az atomerőműben felmerülő olyan helyzetekről, amelyek az információbiztonság megsértéséhez vezethetnek. . A védelmi rendszer állapotának figyelésére két követelmény vonatkozik: a teljesség és a megbízhatóság. A teljesség az összes védelmi eszköz lefedettségi fokát és működési paramétereit jellemzi. A szabályozás megbízhatósága jellemzi a szabályozott paraméterek értékeinek valós értékükhöz való megfelelőségének mértékét. Az ellenőrző adatok feldolgozása eredményeként a védelmi rendszer állapotáról információ keletkezik, amelyet általánosítanak és továbbítanak a magasabb ellenőrzési pontokhoz.

Az irányítási funkció az atomerőmű technológiai működésének végrehajtására vonatkozó tervek elkészítésében áll, figyelembe véve az információbiztonság követelményeit a fennálló feltételek mellett. ennek a pillanatnak időben, valamint az információs sérülékenység helyének meghatározásában és annak kiszivárgásának megakadályozásában az atomerőmű azon szakaszainak azonnali blokkolásával, ahol információbiztonsági veszélyek merülnek fel. Az ellenőrzési funkciók közé tartozik a dokumentumok és információhordozók, jelszavak és kulcsok könyvelése, tárolása, kiadása. Ezzel egyidejűleg jelszavak, kulcsok generálása, beléptetési eszközök karbantartása, az AS szoftverkörnyezetbe beépített új szoftvereszközök átvétele, a szoftverkörnyezet szabványnak való megfelelésének ellenőrzése, valamint a technológiai A bizalmas információk feldolgozásának folyamatát az Informatikai Főosztály és a Gazdaságbiztonsági Főosztály munkatársai bízzák meg.

Az irányítási alrendszer segédfunkciói közé tartozik az automatizált rendszerben végzett összes művelet elszámolása a védett információkkal, jelentési dokumentumok kialakítása és statisztikai adatok gyűjtése az információszivárgás lehetséges csatornáinak elemzése és azonosítása érdekében.

8.4. A védelmi rendszer hatékonyságának nyomon követése

Az információvédelmi rendszer hatékonyságának nyomon követése az ahhoz való jogosulatlan hozzáférésből eredő információszivárgás időben történő azonosítása és megelőzése, valamint az információk megsemmisítésére, az információs technológia megsemmisítésére irányuló esetleges speciális intézkedések megelőzése érdekében történik.

Az információvédelmi intézkedések hatékonyságának értékelése a megállapított követelmények betartása érdekében szervezeti, hardveres és szoftveres kontrollok segítségével történik.

Az irányítás mind az információvédelmi rendszer szabványos eszközeivel, mind pedig speciális ellenőrzési és technológiai felügyeleti eszközökkel végezhető.

8.5. A személyes adatok információbiztonságának biztosításának jellemzői

A személyes adatok minősítése a személyes adatok biztonsági tulajdonságainak elvesztése a személyes adatok alanyára gyakorolt következményeinek súlyosságával összhangban történik.

A személyes adatokról „A személyes adatok speciális kategóriáihoz;
a szövetségi törvény szerint minősített személyes adatok " A személyes adatokról "Biometrikus személyes adatokhoz;
a személyes adatok különleges kategóriáihoz nem köthető személyes adatok, biometrikus személyes adatok, nyilvánosan elérhető vagy anonimizált személyes adatok;
a szövetségi törvény szerint minősített személyes adatok " A személyes adatokról "Nyilvánosan elérhető vagy anonimizált személyes adatokra.

A személyes adatok harmadik fél részére történő továbbítását a szövetségi törvény vagy a személyes adatok alanya hozzájárulása alapján kell végrehajtani. Abban az esetben, ha a szervezet a személyes adatok feldolgozását szerződés alapján harmadik személyre bízza, a megállapodás elengedhetetlen feltétele a harmadik fél kötelezettsége, hogy gondoskodjon a személyes adatok titkosságáról és a személyes adatok biztonságáról. feldolgozásuk során.

A szervezetnek le kell állítania a személyes adatok feldolgozását, és meg kell semmisítenie az összegyűjtött személyes adatokat, hacsak az Orosz Föderáció jogszabályai másként nem rendelkeznek, az Orosz Föderáció jogszabályai által megállapított határidőn belül a következő esetekben:

a feldolgozási célok elérésekor, vagy ha ezek elérésére nincs szükség;
a személyes adatok alanyának vagy a személyes adatok alanyainak jogai védelmére felhatalmazott szerv kérésére - ha a személyes adat hiányos, elavult, megbízhatatlan, jogellenesen jutott hozzá, vagy az adatkezelés megjelölt céljához nem szükséges;
amikor a személyes adatok alanya visszavonja személyes adatainak feldolgozásához adott hozzájárulását, ha az Orosz Föderáció jogszabályai szerint ilyen hozzájárulás szükséges;
ha az üzemeltető nem tudja megszüntetni a személyes adatok kezelése során elkövetett jogsértéseket.

A szervezetnek meg kell határoznia és dokumentálnia kell:

a személyes adatok megsemmisítésére vonatkozó eljárás beleértve a személyes adatok tárgyi hordozóit is);
a személyes adatokkal kapcsolatos kérelmek feldolgozásának eljárása ( vagy törvényes képviselőik) személyes adataik kezeléséről;
az érintettek jogainak védelmére felhatalmazott szerv vagy a személyes adatok területén ellenőrzést és felügyeletet gyakorló egyéb felügyeleti szervek kérelmei esetén tett intézkedések eljárása;
az AU személyes adatok információs rendszerként való besorolásának megközelítése ( Tovább - ISPDN );
ISPD lista. Az ISPD listájának tartalmaznia kell az AS-t, amelynek létrehozásának és felhasználásának célja a személyes adatok feldolgozása.

Minden egyes PDIS esetében a következőket kell azonosítani és dokumentálni:

a személyes adatok kezelésének célja;
a kezelt személyes adatok mennyisége és tartalma;
a személyes adatokkal végzett műveletek listája és azok kezelési módjai.

A személyes adatok mennyiségének és tartalmának, valamint a személyes adatok feldolgozásával kapcsolatos tevékenységek és módszerek listájának meg kell felelnie az adatkezelés céljának. Abban az esetben, ha az információtechnológiai folyamat megvalósításához, amelynek megvalósítását az ISPD támogatja, bizonyos személyes adatok feldolgozására nincs szükség, ezeket a személyes adatokat törölni kell.

Az ISPDN-ben a személyes adatok biztonságának biztosítására vonatkozó követelményeket általában az információ védelmét szolgáló szervezeti, technológiai, műszaki és szoftverintézkedések, eszközök és mechanizmusok együttesével valósítják meg.

A végrehajtás szervezése és ( vagy) a személyes adatok biztonságának biztosítására vonatkozó követelmények végrehajtását a személyes adatok biztonságának biztosításáért felelős szervezet strukturális egysége vagy tisztségviselője (alkalmazottja), vagy szerződéses alapon egy szervezet - szerződő fél. bizalmas információk műszaki védelmére engedéllyel rendelkező szervezet.

Egy szervezet ISPD-jének létrehozásának magában kell foglalnia a ( nyilatkozat) a létrehozandó rendszer szervezési, adminisztratív, tervezési és működési dokumentációját, amelyet a feladatmeghatározás biztosítja. A dokumentációnak tükröznie kell a kezelt személyes adatok biztonságának biztosításával kapcsolatos kérdéseket.

Az ISPD koncepcióinak, műszaki specifikációinak kidolgozását, tervezését, létrehozását és tesztelését, átvételét és üzembe helyezését a személyes adatok biztonságának biztosításáért felelős szerkezeti egység vagy tisztségviselő (alkalmazott) megállapodás alapján és ellenőrzése mellett kell elvégezni.

A szervezet ISPD-jéhez tartozó minden információs vagyont védeni kell a hatásoktól rosszindulatú kód... A szervezetnek meg kell határoznia és dokumentálnia kell a személyes adatok biztonságának vírusvédelmi eszközökkel történő biztosításának követelményeit, valamint az ezek teljesítésének ellenőrzésére vonatkozó eljárást.

A szervezetnek rendelkeznie kell egy beléptető rendszerrel, amely szabályozza a hozzáférést a kommunikációs portokhoz, bemeneti / kimeneti eszközökhöz, cserélhető gépi adathordozókhoz és külső meghajtók információ ISPDN.

A szervezet üzemeltető és szolgáltató ISPD részlegeinek vezetői gondoskodnak a személyes adatok biztonságáról azok ISPDN-ben történő feldolgozása során.

Az ISPDN-ben személyes adatokat feldolgozó alkalmazottaknak az utasításoknak megfelelően kell eljárniuk ( útmutatás, szabályzat stb.), amely az ISPD-ről szóló operatív dokumentáció részét képezi, és megfelel az IS biztosítását szolgáló dokumentumok követelményeinek.

A szervezet IS ISPD biztosítására vonatkozó követelményeket megvalósító védelmi eszközök és védelmi mechanizmusok adminisztrációjával kapcsolatos feladatokat utasítások határozzák meg ( parancsokat) az Informatikai Tanszék szakembereiről.

Az Informatikai Tanszék szakembereire és a személyes adatok kezelésében részt vevő személyzetre vonatkozó eljárást utasítással kell meghatározni ( iránymutatásokat), amelyeket az ISPD fejlesztője készít az ISPD működési dokumentációjának részeként.

A megadott utasítások ( vezetés):

megállapítja az információbiztonság területén dolgozók képzettségére vonatkozó követelményeket, valamint a védett objektumok naprakész jegyzékét és annak aktualizálásának szabályait;
teljes mértékben releváns ( idő szerint) felhasználói jogokra vonatkozó adatok;
információfeldolgozás-technológiára vonatkozó adatokat tartalmazzon az információbiztonsági szakember számára szükséges mennyiségben;
meghatározza az eseménynaplók elemzésének sorrendjét és gyakoriságát ( naplóarchívumok);
szabályozza az egyéb tevékenységeket.

Az információtechnológiai osztály szakembereinek felelősségi körében használt védelmi eszközök és mechanizmusok konfigurációs paramétereit az ISPD működési dokumentációja határozza meg. A telepített konfigurációs paraméterek ellenőrzési eljárását és gyakoriságát az üzemeltetési dokumentáció határozza meg, vagy belső dokumentum szabályozza, míg az ellenőrzéseket legalább évente egyszer el kell végezni.

A szervezetnek meg kell határoznia és dokumentálnia kell az ISPDN technikai eszközei és a személyes adatok hordozóinak tárolására szolgáló helyiségekbe való bejutásra vonatkozó eljárást, biztosítva az illetéktelen személyek helyiségeibe való bejutásának ellenőrzését és az illetéktelenek akadályainak meglétét. belépés a helyiségbe. A meghatározott eljárási rendet szerkezeti egységnek vagy tisztviselőnek kell kidolgoznia ( alkalmazott), amely felelős a fizikai biztonsági rendszer biztosításáért, és jóváhagyta a szervezeti egység vagy tisztviselő ( alkalmazott), a személyes adatok biztonságának biztosításáért felelős, valamint a Gazdaságbiztonsági Főosztály.

Az ISPD felhasználói és kiszolgáló személyzete nem végezhet jogosulatlan és ( vagy) nem regisztrált ( ellenőrizetlen) személyes adatok másolása. Ennek érdekében szervezési és technikai intézkedésekkel meg kell tiltani a jogosulatlan és ( vagy) nem regisztrált ( ellenőrizetlen) személyes adatok másolása, beleértve az elidegenített ( helyettesíthető) adathordozók, információk másolására és átvitelére szolgáló mobil eszközök, kommunikációs portok és különböző interfészeket megvalósító bemeneti / kimeneti eszközök ( beleértve a vezeték nélküli), mobileszközök tárolóeszközei ( például laptopok, kézi számítógépek, okostelefonok, mobiltelefonok ), valamint fotó- és videóeszközök.

A személyi biztonság ellenőrzését információbiztonsági szakember végzi, mind az információvédelmi rendszer szabványos eszközeivel, mind pedig speciális ellenőrzési és technológiai felügyeleti eszközök segítségével.

Letöltés ZIP fájl (65475)

A dokumentumok jól jöttek - tedd a "tetszik" vagy:

Ha fenyegetés áll fenn, akkor léteznie kell a védekezés és az ellenlépés módszereinek.... A módszerek a kijelölt feladatok megvalósításának eszközei, valamint a bizalmas információk védelmét szolgáló erők alkalmazásának módszerei.

Az emberi cselekvés elve a tudatalattiban arra szolgál, hogy elérje pozitív eredményeket... Az információbiztonság területén dolgozó szakemberek tapasztalata meglehetősen világosan meghatározta az információbiztonságot vagy információ-megbízhatóságot garantáló eszközök, erők és technikák összességét.

Az információ megbízhatóságának vagy információbiztonságának biztosítása a következő intézkedésekkel valósul meg, amelyek célja:

A fenyegetések azonosítása a lehetséges vagy valós fenyegetések megengedhető előfordulásának szabályos elemzésében és ellenőrzésében, valamint azok megelőzésére szolgáló időben történő intézkedésekben fejeződik ki;
a fenyegetések megelőzése az információbiztonság vagy információ-megbízhatóság biztosításával valósul meg a proaktív és azok előfordulásának javára
kockázatelemzéssel fenyegetések észlelése;
A fenyegetések vagy bűncselekmények kiküszöbölésére irányuló intézkedések beillesztése és a bűncselekmények lokalizálása;
a fenyegetések felderítése konkrét bűncselekmények és valós fenyegetések azonosításával valósul meg;
a fenyegetésekkel és a konkrét büntetőjogi cselekvésekkel kapcsolatos következmények kiküszöbölése. A status quo visszaállítása (1. ábra).

Információvédelmi módszerek:

akadály - olyan eszköz, amely fizikailag megakadályozza, hogy a támadó kritikus információkra reagáljon
hozzáférés-ellenőrzés - információvédelem eszköze az informatika összes IS erőforrásának felhasználásának szabályozásával. Az ilyen módszereknek védelmet kell nyújtaniuk az információval szemben
Titkosító algoritmusok - a módszereket mind az információ tárolása, mind feldolgozása során alkalmazzák. Az információtovábbítás során ez a fő és egyetlen védelmi módszer
A szabályozás az információ információs rendszerben való tárolásának és feldolgozásának feltételeinek megteremtése, amely mellett a védelmi szabványok és normák a legnagyobb mértékben megvalósulnak.
A kényszerítés olyan védelmi eszköz, amely arra kényszeríti a felhasználókat, hogy betartsák az információs rendszerben a munkavégzés szabályait
Az ösztönzés egy olyan védelmi eszköz, amely arra ösztönzi az információs rendszer felhasználóit, hogy az etikai és erkölcsi normák miatt ne sértsék meg a szabályokat.
Hardver - számítástechnikai mechanizmusokba beágyazott vagy interfészek segítségével csatlakoztatott eszközök
fizikai eszközök - különféle mérnöki szerkezetek, amelyek megvédik a személyzetet, információkat, eszközöket, dolgokat a behatolóktól
Szoftver - szoftver, amely az információs rendszerbe van beágyazva a védelem megvalósítása érdekében
Szervezeti eszközök - olyan szabályozó dokumentumok alapján valósulnak meg, amelyek a munkavállalók munkáját szabályozzák oly módon, hogy az információs rendszer maximális védelmét megvalósítsák.

A jogsértő cselekmények és az esetlegesek megelőzése különféle eszközökkel és intézkedésekkel biztosítható, a munkavállalók közötti kapcsolatok szervezési módszerekkel történő betartásától a hardveres, fizikai, szoftveres és módszeres (vagy vagy) védelemig. A fenyegetés megelőzése az előkészítő intézkedésekről, az előkészített cselekményekről, a tervezett lopásokról és a bűncselekmények egyéb elemeiről való információszerzés szakaszában is lehetséges. Ilyen célokra különböző tevékenységi körökben különböző feladatokkal rendelkező adatközlőkkel van szükség. Vannak, akik megfigyelik és objektíven értékelik a jelenlegi helyzetet. Mások a csapaton belüli alkalmazottak kapcsolatait értékelik a vállalat különböző részein. Megint mások bűnözői csoportok és versenytársak között dolgoznak.

1. kép

A fenyegetések megelőzésében a speciális helyzet elemzése, illetve a támadók, versenytársak tevékenysége alapján kiemelt szerepet kap az információs és elemző biztonsági szolgálat tevékenysége. Ha van internet-hozzáférése, a biztonsági szolgálat. És azt is, vagy.

Az adatok nyilvánosságra hozatala elleni védelem a vállalkozásban üzleti titoknak minősülő információk katalógusának létrehozására korlátozódik. Ezt az információs katalógust a vállalkozás minden alkalmazottjával közölni kell, és írásos kötelezettséget kell vállalni az alkalmazott felé, hogy ezt a titkot megőrzi. Az egyik fontos intézkedés az üzleti titkok integritásának és bizalmasságának megőrzését szolgáló ellenőrzési rendszer.

A bizalmas információk védelme a szivárgási munkákkal szemben a konkrét helyzetekben valószínűsíthető szivárgási útvonalak elszámolása, azonosítása és ellenőrzése, valamint az ezek megsemmisítését célzó technikai, szervezési, szervezési és technikai intézkedések végrehajtása.

A bizalmas információk jogosulatlan hozzáférés elleni védelme a jogosulatlan hozzáférés elleni technikai, szervezési, szervezési és technikai eljárások végrehajtása alapján működik. Valamint a jogosulatlan hozzáférés és elemzés módszereinek ellenőrzése.

A gyakorlatban minden tevékenység bizonyos mértékig technikai jellegű, és három csoportra osztható (2. ábra):

szervezési (a műszaki eszközök területén);
műszaki.
szervezési és technikai;

2. kép

A védekező akció hivatkozása

A védőmunka, valamint az információbiztonság fenntartásának technikái és eljárásai jellemzők és védelmi objektumok szerint vannak besorolva, amelyek a következő paraméterekre oszthatók:

Az irányultság szerint - a védelmi módszerek a cselekvések közé sorolhatók, a személyzet, a pénzügyi és anyagi javak védelmét szolgáló tanfolyamok, valamint az információ, mint alap.

Módszerekkel - ez az észlelés (például:) vagy a figyelmeztetés, az észlelés, az elnyomás és a helyreállítás.

Az irányokban - ez jogi módszereken, szervezeti és mérnöki és műszaki intézkedéseken alapuló védelem.

A lefedettség szempontjából a védőeszközök a vállalkozás kerületének, egyes helyiségek, épületek, meghatározott berendezéscsoportok, műszaki eszközök és rendszerek védelmére irányulhatnak, egyedi elemek(házak, helyiségek, berendezések) veszélyesek az azokhoz való illetéktelen hozzáférés szempontjából.

A tájékoztatás oka lehet ember, hulladék, technikai eszközök stb. Az információhordozók lehetnek akusztikus és elektromágneses mezők, vagy anyagok (termék, papír, anyag). A terjedési közeg zord környezet vagy légtér.

Az elkövető rendelkezhet minden szükséges eszközzel az elektromágneses és akusztikus energia vételéhez, a légi megfigyeléshez és az információs prezentációs anyagok elemzéséhez.

Információk valós formában való megjelenítése. A bizalmas információk jogellenes lefoglalásának kizárása érdekében a jelet vagy az információforrást tompa vagy más titkosítási módszerrel kell feldolgoznia.

Az információs hálózatok (vagy) és a PC-k használatának és elterjedésének növekedésével megnövekszik a feltárást, kiszivárogtatást és az információkhoz való jogosulatlan hozzáférést okozó különféle tényezők szerepe. Ezek:

hibák;
az alkalmazottak és a felhasználók rosszindulatú vagy jogosulatlan viselkedése;
hardver alapbeállítások vagy programok hibái;
természeti katasztrófák, különböző eredetű és veszélyű balesetek;
felhasználói és személyzeti hibák;
hibák at.

Ebben a tekintetben az információvédelem fő célkitűzései információs hálózatok a PC pedig:

információszivárgás és -vesztés, interferencia és lehallgatás megelőzése a befolyás minden szintjén, minden földrajzilag elkülönített objektum esetében;
a felhasználók jogainak biztosítása és ezzel kapcsolatos jogi normák HOZZÁFÉRÉS információkhoz és egyéb forrásokhoz, beleértve az információs tevékenységek adminisztratív felülvizsgálatát, beleértve a személyes felelősséget vállaló intézkedéseket a működési módok és használati szabályok betartásáért;

3. ábra

következtetéseket

1.Az információ megbízhatóságának vagy biztonságának biztosítása szervezési, műszaki és szervezés-technikai eljárásokkal valósul meg, amelyek bármelyikét egyedi módszerekkel, eszközökkel és megfelelő paraméterekkel biztosítják.

2. Különféle cselekmények és feltételek, amelyek hozzájárulnak a bizalmas adatok jogellenes vagy jogellenes asszimilációjához, nem kevésbé változatos módszerek, eszközök, erők alkalmazását kényszerítik ki és biztosítják az információ biztonságát vagy megbízhatóságát.

3. Az információvédelem fő feladata az információforrások titkosságának, integritásának és elegendőségének biztosítása. És bevezetni a rendszerbe.

4. Az információvédelmet biztosító módszereknek az üzleti titkokat fenyegető lehetséges fenyegetések megelőzésének proaktív módjait célzó cselekvések proaktív temperamentumára kell irányulniuk.

Információ biztonság Az információvédelemhez hasonlóan komplex, a biztonság biztosítását célzó feladat, amelyet egy biztonsági rendszer megvalósításával valósítanak meg. Az információvédelem problémája sokrétű és összetett, és számos fontos feladatot takar. Az információbiztonsági problémákat folyamatosan súlyosbítja az adatfeldolgozás és -továbbítás technikai eszközeinek behatolása a társadalom minden szférájába, és mindenekelőtt a számítógépes rendszerekbe.

A mai napig három alapelvek az információbiztonságnak biztosítania kell:

adatintegritás - védelem az információvesztéshez vezető hibákkal szemben, valamint védelem az adatok jogosulatlan létrehozása vagy megsemmisítése ellen;

az információk titkossága;

Az olyan számítógépes rendszerek fejlesztése során, amelyek meghibásodása vagy működési hibája súlyos következményekkel járhat, a számítógépes biztonság kérdései előtérbe kerülnek. Számos olyan intézkedés ismert, amelyek a számítógépes biztonság biztosítását célozzák, ezek közül a legfontosabbak a technikai, szervezési és jogiak.

Az információk biztonságának biztosítása költséges, és nem csak a biztonsági intézkedések beszerzésének vagy telepítésének költsége miatt, hanem azért is, mert nehéz ügyesen meghatározni az ésszerű biztonság határait és biztosítani a rendszer megfelelő működését.

A megfelelő elemzés elvégzéséig biztonsági funkciók nem tervezhetők, vásárolhatók meg vagy telepíthetők.

Az oldal elemzi az információbiztonságot és a nemzetbiztonsági rendszerben elfoglalt helyét, azonosítja az információs szféra létfontosságú érdekeit és az azokat fenyegető veszélyeket. Figyelembe veszi az információs háború kérdéseit, az információs fegyvereket, az információbiztonság biztosításának alapelveit, fő feladatait és funkcióit, az információbiztonságot biztosító állami rendszer funkcióit, az információbiztonság területén érvényes hazai és külföldi szabványokat. Jelentős figyelmet fordítanak az információbiztonság jogi kérdéseire is.

Szintén szóba kerül az információvédelem általános kérdései az automatizált adatfeldolgozó rendszerekben (ASOD), az információvédelem tárgya és tárgyai, az információvédelem ASOD-ban betöltött feladatai. Figyelembe veszi a szándékos biztonsági fenyegetések típusait és az információvédelem módszereit az ASOD-ban. A felhasználók hitelesítésének és a hozzáférésük megkülönböztetésének módszerei és eszközei számítógépes erőforrások, berendezésekhez való hozzáférés szabályozása, egyszerű és dinamikusan változó jelszavak használata, a séma módosításának módszerei egyszerű jelszavak, funkcionális módszerek.

Az információbiztonsági rendszer felépítésének alapelvei.

Amikor egy objektum információbiztonsági rendszerét építjük fel, a következő elveket kell követni:

Az információbiztonsági rendszer fejlesztési és fejlesztési folyamatának folytonossága, amely az információvédelem legracionálisabb módszereinek, módszereinek és módozatainak indokolásában és megvalósításában, folyamatos nyomon követésében, a szűk keresztmetszetek és gyengeségek, valamint az információszivárgás és a jogosulatlan hozzáférés lehetséges csatornáinak azonosításában áll.

A rendelkezésre álló védelmi eszközök teljes arzenáljának átfogó használata az információ előállításának és feldolgozásának minden szakaszában. Ugyanakkor az összes használt eszköz, módszer és intézkedés egyetlen, holisztikus mechanizmusban - információbiztonsági rendszerben - egyesül.

A védelmi mechanizmusok működésének figyelemmel kísérése, frissítése, kiegészítése az esetleges belső és külső veszélyek változásától függően.

A felhasználók megfelelően képzettek, és betartják az összes bevett adatvédelmi gyakorlatot. E követelmény teljesítése nélkül egyetlen információbiztonsági rendszer sem tudja biztosítani a szükséges szintű védelmet.

A legfontosabb feltétel A biztonság garantálása a jogszerűség, az elégséges, az egyén és a vállalkozás érdekei egyensúlyának megőrzése, a személyzet és a menedzsment kölcsönös felelőssége, az állami rendvédelmi szervekkel való interakció.

10) Az épület információbiztonságának szakaszai

Az építés szakaszai.

1. Az információs rendszer átfogó elemzése

különböző szintű vállalkozások. Kockázatelemzés.

2. Szervezeti és igazgatási és

szabályozó dokumentumokat.

3. Képzés, szakmai fejlődés és

szakemberek átképzése.

4. Az információk állapotának éves újraértékelése

vállalati biztonság

11) Tűzfal

Tűzfalak és víruskereső csomagok.

A tűzfal (néha tűzfalnak is nevezik) segít a számítógép biztonságának javításában. Korlátozza a más számítógépekről a számítógépre érkező információkat, lehetővé téve a számítógépen lévő adatok jobb ellenőrzését, és a számítógép védelmi vonalát biztosítja az olyan emberek vagy programok (beleértve a vírusokat és férgeket) ellen, amelyek jogosulatlanul próbálnak csatlakozni a számítógéphez. A tűzfalat úgy képzelje el, mint egy határállomást, amely ellenőrzi az internetről érkező információkat (gyakran forgalomnak nevezik), ill helyi hálózat... Az ellenőrzés során a tűzfal a megadott paramétereknek megfelelően elutasítja vagy engedélyezi a számítógép számára az információkat.

Mi ellen véd a tűzfal?

Tűzfal MÁJUS:

1. Blokkolja a számítógépes vírusok és "férgek" hozzáférését a számítógéphez.

2. Kérje meg a felhasználót, hogy válassza ki, hogy blokkolja vagy engedélyezi az egyes csatlakozási kérelmeket.

3. Nyilvántartást (biztonsági naplót) vezessen - a felhasználó kérésére - rögzítse a számítógéphez való csatlakozási kísérletek engedélyezett és letiltott kísérleteit.

Mi ellen nem véd a tűzfal?

Nem tud:

1. Észlelje vagy semlegesítse a számítógépes vírusokat és "férgeket", ha azok már bejutottak a számítógépbe.

3. Blokkolja, hogy a kéretlen levelek és a jogosulatlan levelek eljussanak a postaládájába.

HARDVER ÉS SZOFTVER TŰZFALOK

Hardveres tűzfalak- egyedi eszközök, amelyek nagyon gyorsak, megbízhatóak, de nagyon drágák, ezért általában csak a nagy számítógépes hálózatok védelmére szolgálnak. Otthoni felhasználók számára optimálisak a routerekbe, switchekbe, vezeték nélküli hozzáférési pontokba épített tűzfalak, stb.. A kombinált router-tűzfalak kettős védelmet nyújtanak a támadások ellen.

Szoftveres tűzfal egy biztonsági program. Elvileg hasonló a hardveres tűzfalhoz, de felhasználóbarátabb: több előbeállítás van benne, és gyakran varázslók is segítik a beállítást. Segítségével engedélyezheti vagy megtagadhatja más programok hozzáférését az internethez.

Víruskereső program (vírusirtó)- a számítógépes vírusok, valamint általában a nemkívánatos (rosszindulatúnak tekintett) programok észlelésére és az ilyen programokkal fertőzött (módosított) fájlok visszaállítására, valamint a megelőzésre szolgáló programokra - a fájlok vagy az operációs rendszer rosszindulatú kóddal történő fertőzésének (módosításának) megakadályozására .

12) Számítástechnikai rendszerek osztályozása

Az előfizetői rendszerek területi elhelyezkedésétől függően

A számítógépes hálózatok három fő osztályba sorolhatók:

globális hálózatok (WAN - Wide Area Network);

regionális hálózatok (MAN - Metropolitan Area Network);

Helyi hálózatok (LAN - Local Area Network).

Alapvető LAN topológiák

A LAN topológia a hálózati csomópontok kapcsolatainak geometriai diagramja.

A számítógépes hálózati topológiák nagyon eltérőek lehetnek, de

a helyi hálózatok esetében csak három jellemző:

Gyűrű,

Csillag alakú.

Minden számítógépes hálózat gyűjteménynek tekinthető

Csomó- bármely közvetlenül csatlakoztatott eszköz

a hálózat átviteli közege.

Gyűrű topológia biztosítja a hálózati csomópontok összekapcsolását zárt görbével - átviteli közeg kábellel. Az egyik gazdagép kimenete egy másik bemenetéhez csatlakozik. A gyűrűre vonatkozó információk csomópontról csomópontra kerülnek továbbításra. Minden közbenső csomópont az adó és a vevő között továbbítja az elküldött üzenetet. A fogadó csomópont csak a neki címzett üzeneteket ismeri fel és fogadja.

A gyűrűs topológia ideális olyan hálózatokhoz, amelyek viszonylag kis helyet foglalnak el. Nincs benne központi hub, ami növeli a hálózat megbízhatóságát. Az információk újratovábbítása lehetővé teszi bármilyen típusú kábel átviteli közegként történő használatát.

Az ilyen hálózat csomópontjainak kiszolgálásának következetes fegyelme csökkenti annak teljesítményét, és az egyik csomópont meghibásodása sérti a gyűrű integritását, és különleges intézkedéseket igényel az információátviteli út megőrzése érdekében.

Busz topológia- az egyik legegyszerűbb. A koaxiális kábel átviteli közegként való használatához kapcsolódik. A továbbító hálózati csomóponttól származó adatok a buszon mindkét irányban terjednek. A köztes csomópontok nem sugározzák a bejövő üzeneteket. Az információ minden csomóponthoz megérkezik, de csak azt kapja meg az üzenet, amelyikhez szól. A szolgáltatási fegyelem párhuzamos.

Ez nagy teljesítményű busz LAN-t biztosít. A hálózat könnyen bővíthető és konfigurálható, valamint a különböző rendszerekhez illeszthető A busztopológia hálózat ellenáll a lehetséges meghibásodások egyedi csomópontok.

A busztopológia hálózatok jelenleg a leggyakoribbak. Meg kell jegyezni, hogy rövidek, és nem teszik lehetővé különböző típusú kábelek használatát ugyanazon a hálózaton belül.

Csillag topológia egy központi csomópont koncepcióján alapul, amelyhez perifériás csomópontok kapcsolódnak. Minden perifériás csomópontnak külön kommunikációs vonala van a központi csomóponttal. Minden információ egy központi hubon keresztül történik, amely közvetíti, kapcsolja és irányítja az információáramlást a hálózatban.

A csillag alakú topológia nagymértékben leegyszerűsíti a LAN csomópontok egymás közötti interakcióját, lehetővé teszi az egyszerűbb hálózati adapterek... Ugyanakkor a csillag topológiájú LAN teljesítménye teljes mértékben a központi helytől függ.

Valódi számítógépes hálózatokban fejlettebb topológiák használhatók, amelyek bizonyos esetekben a figyelembe vettek kombinációit jelentik.

Egy adott topológia kiválasztását a LAN alkalmazási területe, csomópontjainak földrajzi elhelyezkedése és a hálózat egészének mérete határozza meg.

Internet- világméretű információs számítógépes hálózat, amely számos regionális számítógépes hálózat és számítógép egyesítése, amelyek nyilvános távközlési csatornákon (dedikált telefon analóg és digitális vonalak, optikai kommunikációs csatornák és rádiócsatornák, beleértve a műholdas kommunikációs vonalakat) keresztül információt cserélnek egymással.

ISP- hálózati szolgáltató - olyan személy vagy szervezet, amely a számítógépes hálózatokhoz való csatlakozáshoz szolgáltatásokat nyújt.

Házigazda (angol host - "host fogadó vendégeket")- minden olyan eszköz, amely "kliens-szerver" formátumban nyújt szolgáltatásokat szerver módban bármely interfészen, és ezeken az interfészeken egyedileg definiálható. Konkrétabb esetben gazdagépen bármely helyi vagy globális hálózathoz kapcsolódó számítógépet vagy szervert érthetünk.

Hálózati protokoll- szabályok és műveletek összessége (műveletsorozat), amely lehetővé teszi a kapcsolatot és az adatcserét két vagy több hálózatra csatlakoztatott eszköz között.

IP-cím (IP-cím, az angol Internet Protocol Address rövidítése)- egyedi hálózati cím csomópont egy IP-n keresztül épített számítógépes hálózatban. Globálisan egyedi címekre van szükség az interneten; helyi hálózatban végzett munka esetén a hálózaton belüli cím egyedisége szükséges. Az IPv4 verzióban az IP-cím 4 bájt hosszú.

Domain név- szimbolikus név, amely segít megtalálni az internetes szerverek címét.

13) Peer-to-Peer feladatok

A jogosulatlan hozzáférés elleni védelem firmware-je az információs rendszerhez való hozzáférés azonosítására, hitelesítésére és ellenőrzésére szolgáló intézkedéseket tartalmaz.

Az azonosítás egyedi azonosítók hozzárendelése a hozzáférési alanyokhoz.

Ide tartoznak az RFID-címkék, biometrikus technológiák, mágneskártyák, univerzális mágneses kulcsok, bejelentkezések stb.

Hitelesítés - annak ellenőrzése, hogy a hozzáférési alany a bemutatott azonosítóhoz tartozik-e, és annak hitelessége.

A hitelesítési eljárások közé tartoznak a jelszavak, PIN-kódok, intelligens kártyák, USB-kulcsok, digitális aláírások, munkamenet-kulcsok stb. Az azonosítási és hitelesítési eszközök eljárási része összekapcsolódik, és tulajdonképpen minden információbiztonságot biztosító szoftver és hardver alapja, mivel minden egyéb szolgáltatás meghatározott, az információs rendszer által helyesen felismert alanyok kiszolgálására szolgál. Az azonosítás általában lehetővé teszi, hogy az alany azonosítsa magát az információs rendszer számára, és a hitelesítés segítségével az információs rendszer megerősíti, hogy az alany valóban az, akinek vallja magát. Ennek a műveletnek az áthaladása alapján egy műveletet hajtanak végre az információs rendszerhez való hozzáférés biztosítására. A hozzáférés-ellenőrzési eljárások lehetővé teszik a feljogosított entitások számára, hogy a szabályzat által megengedett műveleteket hajtsák végre, az információs rendszer pedig ezen műveletek ellenőrzését az eredmény helyessége és helyessége érdekében. A hozzáférés-szabályozás lehetővé teszi, hogy a rendszer elrejtse a felhasználók elől azokat az adatokat, amelyekhez nincs hozzáférésük.

A szoftver- és hardvervédelem következő eszköze az információnaplózás és az auditálás.

A naplózás magában foglalja az információs rendszer működése során bekövetkezett eseményekről, akciókról, eredményekről, az egyes felhasználókról, folyamatokról, valamint a vállalkozás információs rendszerét alkotó összes szoftverről és hardverről információk gyűjtését, felhalmozását és tárolását.

Mivel az információs rendszer minden egyes összetevője előre meghatározott lehetséges eseményekkel rendelkezik a programozott osztályozóknak megfelelően, az események, akciók és eredmények a következőkre oszlanak:

külső, más összetevők működése miatt,
belső, amelyet magának az összetevőnek a működése okoz,
ügyféloldali, amelyet a felhasználók és a rendszergazdák tevékenységei okoznak.

Az információs audit valós idejű vagy adott időszakon belüli működési elemzésből áll.

Az elemzés eredményei alapján vagy jelentés készül a megtörtént eseményekről, vagy automatikus reagálást indítanak egy vészhelyzetre.

A naplózás és auditálás megvalósítása a következő feladatokat oldja meg:

a felhasználók és a rendszergazdák elszámoltathatósága;
az események sorrendjének rekonstruálására való képesség biztosítása;
az információbiztonság megsértésére irányuló kísérletek észlelése;
információk biztosítása a problémák azonosításához és elemzéséhez.

Az információvédelem gyakran lehetetlen kriptográfiai eszközök használata nélkül. A titkosítási, integritás-ellenőrzési és hitelesítési szolgáltatások működésének biztosítására szolgálnak, amikor a hitelesítés eszközeit a felhasználó titkosított formában tárolja. Két fő titkosítási módszer létezik: szimmetrikus és aszimmetrikus.

Az integritás-ellenőrzés lehetővé teszi egy objektum hitelességének és azonosságának megállapítását, amely adatok tömbje, egyes adatrészek, adatforrás, valamint annak biztosítása, hogy a rendszerben végrehajtott műveleteket ne lehessen tömbbel megjelölni. információkról. Az integritás-ellenőrzés megvalósítása titkosítást és digitális tanúsítványokat használó adatátalakítási technológiákon alapul.

Mások fontos szempont az árnyékolás alkalmazása, egy olyan technológia, amely az alanyok információforrásokhoz való hozzáférését korlátozva lehetővé teszi a vállalat információs rendszere és a külső objektumok, adattömbök, alanyok és ellenalanyok közötti összes információáramlás szabályozását. Az adatfolyam-vezérlés ezek szűréséből és szükség esetén a továbbított információ konvertálásából áll.

Az árnyékolás feladata, hogy megvédje a belső információkat a potenciálisan ellenséges külső tényezőktől és alanyoktól. Az árnyékolás fő megvalósítási formája a tűzfalak vagy tűzfalak, különféle típusú és architektúrákkal.

Mivel az információbiztonság egyik jele az információs erőforrások elérhetősége, ezért a szoftveres és hardveres intézkedések megvalósításában fontos irány a magas szintű rendelkezésre állás biztosítása. Konkrétan két terület oszlik meg: a hibatűrés biztosítása, i.e. semlegesítse a rendszer meghibásodásait, a működési képességet, amikor hiba lép fel, és biztosítja a biztonságos és gyors helyreállítás kudarcok után, pl. a rendszer használhatósága.

Az információs rendszerekkel szemben támasztott fő követelmény, hogy mindig adott hatékonysággal, minimális elérhetetlenségi idővel és válaszadási sebességgel működjenek.

Ennek megfelelően az információs források elérhetőségét a következők biztosítják:

strukturális architektúra alkalmazása, ami azt jelenti, hogy az egyes modulok szükség esetén letilthatók, vagy gyorsan cserélhetők az információs rendszer más elemeinek károsodása nélkül;
hibatűrés biztosítása: a támogató infrastruktúra autonóm elemeinek használata, kapacitástöbblet bevezetése a szoftver és hardver konfigurációjában, hardver redundancia, információs erőforrások replikációja a rendszeren belül, Tartalékmásolat adatok stb.
a szervizelhetőség biztosítása a meghibásodások és következményeik diagnosztizálásának és megszüntetésének időzítésének csökkentésével.

A biztonságos kommunikációs csatornák az információbiztonsági eszközök egy másik típusa.

Az információs rendszerek működése elkerülhetetlenül összefügg az adattovábbítással, ezért a vállalkozásoknak is gondoskodniuk kell az átadott információforrások védelméről biztonságos kommunikációs csatornákon keresztül. Az adatokhoz való jogosulatlan hozzáférés lehetősége nyílt kommunikációs csatornákon keresztül történő forgalom továbbításakor azok nyilvános elérhetőségéből adódik. Mivel "a kommunikáció teljes hosszában nem védhető fizikailag, ezért jobb, ha kezdetben a sebezhetőségük feltételezéséből indulunk ki, és ennek megfelelően védelmet nyújtanak". Ehhez alagútépítési technológiákat alkalmaznak, amelyek lényege az adatok beágyazása, pl. csomagolja be vagy csomagolja be a továbbított adatcsomagokat, beleértve az összes szolgáltatásattribútumot is, saját borítékukba. Ennek megfelelően az alagút biztonságos kapcsolat nyílt kommunikációs csatornákon keresztül, amelyen keresztül kriptográfiailag védett adatcsomagokat továbbítanak. Az alagútkezelés a forgalom titkosságának biztosítására szolgál a szolgáltatási információk elrejtésével, valamint az információs rendszer kriptográfiai elemeivel együtt használva a továbbított adatok titkosságának és integritásának biztosításával. Az alagút és a titkosítás kombinációja lehetővé teszi a VPN megvalósítását. Ebben az esetben a virtuális magánhálózatokat megvalósító alagutak végpontjai olyan tűzfalak, amelyek a szervezetek külső hálózatokhoz való csatlakozását szolgálják.

Tűzfalak, mint a virtuális magánhálózati szolgáltatások megvalósítási pontjai

Így az alagút és a titkosítás további átalakítások, amelyeket a hálózati forgalom szűrése során hajtanak végre a címfordítással együtt. Az alagutak végei a vállalati tűzfalak mellett a munkavállalók személyi és mobil számítógépei, pontosabban személyes tűzfalaik és tűzfalaik lehetnek. Ez a megközelítés biztosítja a biztonságos kommunikációs csatornák működését.

Információbiztonsági eljárások

Az információbiztonsági eljárások rendszerint adminisztratív és szervezeti szinten különböznek egymástól.

Az adminisztratív eljárások magukban foglalják a szervezet vezetése által az információbiztonság biztosítása és fenntartása terén végzett összes munka, intézkedés, művelet szabályozására irányuló általános intézkedéseket, amelyeket a szükséges erőforrások elkülönítésével és a megtett intézkedések eredményességének figyelemmel kísérésével hajtanak végre.
A szervezeti szint az információbiztonság biztosítására szolgáló eljárásokat jelenti, ideértve a személyi irányítást, a fizikai védelmet, a hardver és szoftver infrastruktúra működőképességének fenntartását, a biztonsági rések azonnali kiküszöbölését és a helyreállítási munka tervezését.

Ezzel szemben értelmetlen az adminisztratív és szervezési eljárások megkülönböztetése, mivel az egyik szintű eljárások nem létezhetnek külön a másiktól, sértve ezzel a védelem összekapcsolását. fizikai réteg, személyi és szervezeti védelem az információbiztonság fogalmában. A gyakorlatban a szervezet információbiztonságának szavatolása során az adminisztratív vagy szervezési eljárásokat sem hanyagolják el, ezért logikusabb ezeket integrált megközelítésnek tekinteni, hiszen mindkét szint érinti az információvédelem fizikai, szervezeti és személyi szintjét.

Az információbiztonságot biztosító komplex eljárások alapja a biztonsági politika.

Információbiztonsági politika

Információbiztonsági politika egy szervezetben a szervezet vezetése által hozott, az információk és a kapcsolódó erőforrások védelmét célzó, dokumentált döntések összessége.

Szervezeti és vezetési szempontból az információbiztonsági szabályzat lehet egyetlen dokumentum, vagy több önálló dokumentum vagy megbízás formájában is megalkotható, de mindenképpen ki kell terjednie a szervezet információs rendszerének védelmének alábbi szempontjaira:

információs rendszer objektumainak, információs erőforrásainak védelme és a velük való közvetlen műveletek;
a rendszerben történő információfeldolgozással kapcsolatos összes művelet védelme, beleértve a feldolgozó szoftvert is;
kommunikációs csatornák védelme, beleértve a vezetékes, rádiós, infravörös, hardvert stb.;
a hardverkomplexum védelme a járulékos elektromágneses sugárzástól;
biztonsági menedzsment, beleértve a karbantartást, a frissítéseket és az adminisztratív műveleteket.

Mindegyik szempontot részletesen le kell írni és dokumentálni kell a szervezet belső dokumentumaiban. A belső dokumentumok a biztonsági folyamat három szintjét fedik le: felső, középső és alsó.

A magas szintű információbiztonsági politikai dokumentumok tükrözik a szervezet fő megközelítését saját információi védelmében, valamint a nemzeti és/vagy nemzetközi szabványoknak való megfelelésben. Gyakorlatilag egy szervezetnek csak egy legfelső szintű dokumentuma van "Információbiztonsági koncepció", "Információbiztonsági szabályzat" stb. Ezek a dokumentumok formailag nem bizalmas értékűek, terjesztésük nem korlátozott, de belső használatra és nyílt közzétételre kiadásban is kiadhatók.

A középszintű dokumentumok szigorúan bizalmasak, és a szervezet információbiztonságának meghatározott aspektusaira vonatkoznak: az alkalmazott információbiztonsági eszközökre, adatbázis-biztonságra, kommunikációra, kriptográfiai eszközökre és a szervezet egyéb információs és gazdasági folyamataira. A dokumentáció belső műszaki és szervezeti szabványok formájában valósul meg.

Az alsóbb szintű dokumentumok két típusra oszthatók: munkaszabályzatra és üzemeltetési utasításra. A munkavégzési szabályzat szigorúan bizalmas, és csak azoknak szól, akik szolgálatban az egyes információbiztonsági szolgáltatások adminisztrációjával kapcsolatos munkát végeznek. A kezelési utasítások lehetnek bizalmasak vagy nyilvánosak; a szervezet személyzetének szólnak, és leírják a szervezet információs rendszerének egyes elemeivel való munkavégzés menetét.

A világ tapasztalatai azt mutatják, hogy az információbiztonsági politikát mindig csak a fejlett információs rendszerrel rendelkező nagyvállalatok dokumentálják, amelyek fokozott követelményeket támasztanak az információbiztonsággal szemben, a középvállalkozások legtöbbször csak részben rendelkeznek dokumentált információbiztonsági politikával, a kis szervezetek túlnyomó többségben igen. nem törődik a biztonsági politika dokumentálásával. Függetlenül attól, hogy a dokumentálási formátum holisztikus vagy elosztott, a biztonsági mód az alapvető szempont.

Két különböző megközelítés képezi az alapot információbiztonsági politika:

"Minden, ami nem tilos, megengedett."
"Minden tilos, amit nem szabad."

Az első megközelítés alapvető hibája, hogy a gyakorlatban lehetetlen minden veszélyes esetet előre látni és megtiltani. Kétségtelen, hogy csak a második megközelítést kell alkalmazni.

Az információbiztonság szervezeti szintje

Az információvédelem szempontjából az információbiztonságot biztosító szervezeti eljárások "a produkciós tevékenység és az előadóművészek kapcsolatának olyan jogi alapon történő szabályozásaként jelennek meg, amely kizárja vagy jelentősen megnehezíti a bizalmas információ jogellenes megszerzését és a belső jogosítványok megnyilvánulását". és a külső fenyegetések."

Az információbiztonság érdekében a személyzettel való munka megszervezését célzó személyzetirányítási intézkedések közé tartozik a feladatok szétválasztása és a jogosultságok minimalizálása. A feladatok elkülönítése olyan kompetenciák és felelősségi területek megosztását írja elő, amelyben egy személy nem képes megzavarni a szervezet számára kritikus folyamatot. Ez csökkenti a hibák és a visszaélések valószínűségét. A privilégiumminimalizálás azt írja elő, hogy a felhasználóknak csak olyan szintű hozzáférést biztosítsanak, amely megfelel a hivatalos feladataik ellátásának szükségességének. Ez csökkenti a véletlen vagy szándékos helytelen magatartásból eredő károkat.

A fizikai védelem olyan intézkedések kidolgozását és elfogadását jelenti, amelyekben a szervezet információs erőforrásait tartalmazó épületek, szomszédos területek, infrastrukturális elemek, számítógépek, adathordozók és hardveres kommunikációs csatornák közvetlen védelmet biztosítanak. Ez magában foglalja a fizikai hozzáférés-szabályozást, a tűzvédelmet, a támogató infrastruktúra védelmét, az adatlehallgatás elleni védelmet és a mobilrendszerek védelmét.

A szoftver és hardver infrastruktúra működőképességének fenntartása a hardverkomplexum károsodásával, a programok hibás működésével és az adatvesztéssel fenyegető sztochasztikus hibák megelőzését jelenti. A fő irányok ebben a vonatkozásban a felhasználói és szoftvertámogatás, konfigurációkezelés, mentés, médiakezelés, dokumentációs és megelőző munka.

A biztonsági megsértések azonnali megszüntetésének három fő célja van:

Az esemény lokalizálása és az okozott kár csökkentése;
Az elkövető azonosítása;
Ismételt jogsértések megelőzése.

Végül a kármentesítési tervezés lehetővé teszi a balesetekre való felkészülést, az azokból származó károk csökkentését és a működési képesség legalább minimális szinten tartását.

A szoftverek és hardverek, valamint a biztonságos kommunikációs csatornák használatát a szervezetben az információbiztonságot biztosító valamennyi adminisztratív és szervezeti szabályozási eljárás kidolgozásának és jóváhagyásának integrált megközelítése alapján kell megvalósítani. Ellenkező esetben bizonyos intézkedések meghozatala nem garantálja az információk védelmét, sőt gyakran éppen ellenkezőleg, bizalmas információk kiszivárgását, kritikus adatok elvesztését, a hardver infrastruktúra károsodását és a szervezet információs rendszerének szoftverelemeinek megzavarását idézi elő.

Információbiztonsági módszerek

A modern vállalkozások számára az elosztott információs rendszer jellemző, amely lehetővé teszi a vállalat elosztott irodáinak és raktárainak figyelembevételét, a pénzügyi számviteli és menedzsment ellenőrzését, az ügyfélbázisból származó információkat, a minta mutatókonkénti figyelembevételét stb. Az adatsor tehát igen jelentős, és túlnyomó többségben azok az információk, amelyek kereskedelmi és gazdasági szempontból kiemelt jelentőségűek a vállalat számára. Valójában a kereskedelmi értékű adatok bizalmas kezelésének biztosítása az egyik fő feladata az információbiztonság biztosításában egy vállalatnál.

Az információbiztonság biztosítása a vállalatnál a következő dokumentumoknak kell szabályozniuk:

Információbiztonsági előírások. Tartalmazza az információbiztonság biztosítását szolgáló célok és célkitűzések megfogalmazását, az információbiztonsági eszközökre vonatkozó belső szabályzatok listáját, valamint a társaság elosztott információs rendszerének kezeléséről szóló szabályzatot. A szabályzathoz csak a szervezet vezetése és az automatizálási osztály vezetője férhet hozzá.
Az információvédelem technikai támogatására vonatkozó előírások. A dokumentumok bizalmasak, hozzáférhetnek az automatizálási osztály munkatársai és a felső vezetés.
Elosztott információbiztonsági rendszer kezelésének szabályzata. A szabályzathoz az információs rendszer adminisztrációjáért felelős automatizálási osztály munkatársai és a felsőbb vezetés férhetnek hozzá.

Ugyanakkor ezeket a dokumentumokat nem szabad korlátozni, hanem az alsóbb szinteket is ki kell dolgozni. Ellenkező esetben, ha a vállalkozás nem rendelkezik más információbiztonsággal kapcsolatos dokumentummal, akkor ez az információbiztonság adminisztratív támogatásának elégtelen mértékére utal, mivel nincsenek alacsonyabb szintű dokumentumok, különösen az egyes elemek működésére vonatkozó utasítások. az információs rendszer.

A kötelező szervezési eljárások a következők:

alapvető intézkedések a személyzet megkülönböztetésére az információs forrásokhoz való hozzáférés szintje szerint,
a vállalati irodák fizikai védelme a közvetlen behatolástól, valamint az adatok megsemmisítésének, elvesztésének vagy lehallgatásának veszélyétől,
a hardver és szoftver infrastruktúra működőképességének fenntartása automatizált biztonsági mentés, adathordozók távoli ellenőrzése, kérésre felhasználói és szoftveres támogatás formájában történik.

Ennek magában kell foglalnia az információbiztonság megsértésének eseteire való reagálást és azok megszüntetését célzó szabályozott intézkedéseket is.

A gyakorlatban gyakran megfigyelhető, hogy a vállalkozások nem fordítanak kellő figyelmet erre a kérdésre. Minden művelet be van kapcsolva ezt az irányt kizárólag működőképes állapotban hajtják végre, ami megnöveli a jogsértések megszüntetésének idejét, és nem garantálja az információbiztonság ismételt megsértésének megelőzését. Emellett teljesen hiányzik a balesetek, információszivárgás, adatvesztés és kritikus helyzetek következményeinek kiküszöbölésére irányuló intézkedések tervezésének gyakorlata. Mindez jelentősen rontja a vállalkozás információbiztonságát.

Szoftver és hardver szinten háromszintű információbiztonsági rendszert kell megvalósítani.

Minimális kritériumok az információbiztonság biztosításához:

1. Beléptető modul:

végrehajtva zárt bejárat az információs rendszerbe az ellenőrzött munkahelyeken kívül nem lehet belépni a rendszerbe;
korlátozott funkcionalitású hozzáférést biztosítanak a mobil személyi számítógépekről az alkalmazottak számára;
Az engedélyezés a rendszergazdák által generált bejelentkezési nevekkel és jelszavakkal történik.

2. Modul a titkosításhoz és az integritás ellenőrzéséhez:

aszimmetrikus titkosítási módszert alkalmaznak a továbbított adatokhoz;
a kritikus adatok tömbjei titkosított formában kerülnek tárolásra az adatbázisokban, amelyekhez akkor sem lehet hozzáférni, ha a cég információs rendszerét feltörik;
az integritás ellenőrzését egy egyszerű digitálisan aláírva az információs rendszerben tárolt, feldolgozott vagy továbbított összes információforrás.

3. Árnyékoló modul:

bevezették a tűzfalak szűrőrendszerét, amely lehetővé teszi az összes információáramlás szabályozását a kommunikációs csatornákon keresztül;
külső kapcsolat a globális információs erőforrásokkal és nyilvános kommunikációs csatornákkal csak korlátozott számú ellenőrzött munkaállomáson keresztül valósítható meg, amelyek korlátozottan kapcsolódnak a vállalati információs rendszerhez;
az alkalmazottak munkahelyéről a hivatalos feladataik ellátásához való biztonságos hozzáférés egy kétszintű proxyszerver rendszeren keresztül valósul meg.

Végül az alagútépítési technológiákkal a vállalatnak egy tipikus tervezési modellnek megfelelő VPN-t kell megvalósítania, hogy biztonságos kommunikációs csatornákat biztosítson a vállalat különböző részlegei, a vállalat partnerei és ügyfelei között.

Annak ellenére, hogy a kommunikáció közvetlenül a potenciálisan hálózatokon keresztül történik alacsony szint Az alagútkezelési technológiák a kriptográfiai eszközök használatával megbízható védelmet nyújthatnak az összes továbbított adat számára.

következtetéseket

Az információbiztonság területén meghozott összes intézkedés fő célja a vállalkozás érdekeinek védelme a birtokában lévő információforrásokhoz kapcsolódóan, így vagy úgy. Míg a vállalkozások érdekei nem korlátozódnak egy adott területre, mindegyik az információk elérhetősége, integritása és bizalmassága köré összpontosul.

Az információbiztonság biztosításának problémáját két fő ok magyarázza.

A vállalkozás által felhalmozott információforrások értékesek.
Az információs technológiáktól való kritikus függés meghatározza azok széles körű alkalmazását.

Tekintettel az információbiztonságot fenyegető veszélyek széles skálájára, például a pusztításra fontos információ, bizalmas adatok jogosulatlan felhasználása, az információs rendszer megsértése miatti megszakítások a vállalkozás munkájában, megállapítható, hogy mindez objektíve nagy anyagi veszteséghez vezet.

Az információbiztonság biztosításában jelentős szerepet játszanak a számítógépes entitások vezérlését célzó szoftver- és hardvereszközök, pl. berendezések, szoftverelemek, adatok, amelyek az információbiztonság utolsó és legmagasabb prioritású sorát alkotják. Az adattovábbításnak biztonságosnak kell lennie a titkosságuk, sértetlenségük és elérhetőségük megőrzése érdekében is. Ezért a modern körülmények között az alagútépítési technológiákat kriptográfiai eszközökkel kombinálva biztonságos kommunikációs csatornákat biztosítanak.

Irodalom

Galatenko V.A. Információbiztonsági szabványok. - M .: Internetes Információs Technológiai Egyetem, 2006.
Partyka T.L., Popov I.I. Információ biztonság. - M .: Fórum, 2012.