Megjegyzés: Az előadás az információbiztonság alapfogalmaival foglalkozik. Ismerkedés az információs, információs technológiákról és információvédelemről szóló szövetségi törvénnyel.

GOST" Adat védelem. Alapfogalmak és meghatározások" vezeti be a fogalmat információ biztonság információbiztonsági állapotként, amelyben ez biztosított titoktartás, elérhetőség és integritás .

• Titoktartás- az információ állapota, amelyben csak az arra jogosult alanyok férnek hozzá.
• Sértetlenség- az információ állapota, amelyben nincs változás, vagy a változtatást csak szándékosan hajtják végre az arra jogosultak;
• Elérhetőség- az információ állapota, amelyben a hozzáférési joggal rendelkező alanyok azt akadálytalanul gyakorolhatják.

Információbiztonsági fenyegetések- az információbiztonság megsértésének potenciális vagy valós veszélyét létrehozó feltételek és tényezők összessége [ , ]. Támadás a fenyegetés végrehajtására irányuló kísérletet nevezik, és aki ilyen kísérletet tesz - betolakodó. A potenciális támadókat hívják veszélyforrások.

A fenyegetés annak eredménye sebezhetőségek vagy sebezhetőségek az információs rendszerben. A sebezhetőségek különféle okokból adódhatnak, például a programozók programírás közbeni nem szándékos hibáiból.

A fenyegetések több kritérium szerint osztályozhatók:

• tovább az információ tulajdonságai(rendelkezésre állás, integritás, titkosság), amelyek ellen elsősorban a fenyegetések irányulnak;
• az információs rendszerek azon összetevői által, amelyekre a fenyegetések irányulnak (adatok, programok, hardver, támogató infrastruktúra);
• a megvalósítás módja szerint (véletlen / szándékos, természetes / ember által előidézett cselekvések);
• a fenyegetések forrásának helye szerint (a figyelembe vett IS-en belül/kívül).

Az információbiztonság biztosítása az kihívást jelentő feladat, amelynek megoldása megköveteli Komplex megközelítés. Az információvédelemnek a következő szintjei vannak:

1. jogalkotási - az Orosz Föderáció és a nemzetközi közösség törvényei, rendeletei és egyéb dokumentumai;
2. adminisztratív - a szervezet vezetése által helyileg hozott intézkedések összessége;
3. eljárási szint - emberek által végrehajtott biztonsági intézkedések;
4. szoftver és hardver szinten- az információ védelmének közvetlen eszközei.

A jogszabályi szint az információbiztonsági rendszer kiépítésének alapja, ahogy ezt adja alapfogalmak tárgykörbenés meghatározza a lehetséges betolakodók büntetését. Ez a szint koordináló és irányító szerepet játszik, és segít fenntartani a társadalom negatív (és büntető) attitűdjét az információbiztonságot megsértő emberekkel szemben.

1.2. Szövetségi törvény "Az információról, az információs technológiákról és az információvédelemről"

Az orosz jogszabályokban az információvédelem területén az alaptörvény a 2006. július 27-i 149-FZ szövetségi törvény "Az információról, az információs technológiákról és az információvédelemről". Ezért a törvényben rögzített alapfogalmak, döntések alapos mérlegelést igényelnek.

A törvény az alábbiakból eredő kapcsolatokat szabályozza:

• az információk keresésének, fogadásának, továbbításának, előállításának és terjesztésének jogának gyakorlása;
• Alkalmazás információs technológiák;
• az információ védelmének biztosítása.

A törvény alapvető definíciókat ad az információvédelem területén. Itt van néhány közülük:

• információ- információk (üzenetek, adatok) megjelenésük formájától függetlenül;
• Információs technológia- az információk keresésének, gyűjtésének, tárolásának, feldolgozásának, szolgáltatásának, terjesztésének folyamatai, módszerei, valamint az ilyen folyamatok és módszerek megvalósítására szolgáló módszerek;
• Tájékoztatási rendszer- adatbázisokban és információs technológiákban és annak feldolgozását biztosító technikai eszközökben található információkészlet;
• információ tulajdonosa- az a személy, aki önállóan hozott létre információt, vagy aki jogszabály vagy megállapodás alapján jogosult az információhoz való hozzáférés engedélyezésére vagy korlátozására, amelyet bármilyen jellel meghatározott;
• információs rendszer üzemeltetője- az információs rendszer üzemeltetésével, ideértve az adatbázisaiban található információk feldolgozását is végző állampolgár vagy jogi személy.
• az információk titkossága- kötelező előírás arra vonatkozóan, hogy bizonyos információkhoz hozzájutott személy ne adja át ezeket az információkat harmadik félnek a tulajdonos beleegyezése nélkül.

A törvény 4. §-a megfogalmazza az információs, informatikai és információvédelmi kapcsolatok jogi szabályozásának alapelveit:

1. az információ keresésének, fogadásának, továbbításának, előállításának és terjesztésének szabadsága bármilyen törvényes módon;
2. az információkhoz való hozzáférés korlátozásának megállapítása csak szövetségi törvények által;
3. az állami szervek és a helyi önkormányzati szervek tevékenységére vonatkozó információk nyitottsága és az ilyen információkhoz való szabad hozzáférés, kivéve a szövetségi törvények által meghatározott eseteket;
4. az Orosz Föderáció népeinek nyelvi egyenlősége az információs rendszerek létrehozásában és működésében;
5. az Orosz Föderáció biztonságának biztosítása az információs rendszerek létrehozása, működése és a bennük lévő információk védelme terén;
6. az információk megbízhatósága és nyújtásának időszerűsége;
7. a magánélet védelme, egy személy magánéletére vonatkozó információk gyűjtésének, tárolásának, felhasználásának és terjesztésének megengedhetetlensége az ő hozzájárulása nélkül;
8. az egyes információs technológiák használatából származó előnyök szabályozási jogi aktusok elfogadhatatlansága másokkal szemben, kivéve, ha bizonyos információs technológiák kötelező használatát az állami információs rendszerek létrehozásához és működtetéséhez szövetségi törvények írják elő.

Minden információ fel van osztva nyilvánosés korlátozott hozzáférés. A nyilvánosan elérhető információk közé tartoznak az általánosan ismert információk és egyéb információk, amelyekhez való hozzáférés nem korlátozott. A törvény meghatározza azokat az információkat, amelyekhez a hozzáférés nem korlátozható, például a környezettel vagy a kormányzati szervek tevékenységével kapcsolatos információkat. Az is elő van írva, hogy Hozzáférési korlátozás A tájékoztatást szövetségi törvények határozzák meg az alkotmányos rend alapjainak, az erkölcsnek, az egészségnek, más személyek jogainak és jogos érdekeinek védelme, valamint az ország védelmének és az állam biztonságának biztosítása érdekében. Az információk titkosságának megőrzése kötelező, amelyekhez való hozzáférést szövetségi törvények korlátozzák.

Tilos megkövetelni az állampolgártól (magánszemélytől), hogy a magánéletére vonatkozó információkat adjon meg, beleértve a személyes vagy családi titkot képező információkat, és az ilyen információkat az állampolgár (magánszemély) akarata ellenére megkapja, kivéve, ha a szövetségi törvények másként rendelkeznek.

1. szabadon terjesztett információk;
2. az érintett jogviszonyban részt vevő személyek megállapodása alapján megadott információk;
3. olyan információk, amelyek a szövetségi törvények értelmében rendelkezésre bocsátásra vagy terjesztésre vonatkoznak;
4. olyan információk, amelyek terjesztése az Orosz Föderációban korlátozott vagy tilos.

A törvény megállapítja az elektronikus digitális aláírással vagy a kézírásos aláírás egyéb analógjával aláírt elektronikus üzenet és a saját kezűleg aláírt dokumentum egyenértékűségét.

Az információbiztonság következő definíciója a következő: jogi, szervezési és technikai intézkedések elfogadása, amelyek célja:

1. az információk védelmének biztosítása a jogosulatlan hozzáféréstől, megsemmisítéstől, módosítástól, letiltástól, másolástól, rendelkezésre bocsátástól, terjesztéstől, valamint az ilyen információkkal kapcsolatos egyéb jogellenes cselekményektől;
2. az információk titkossága korlátozott hozzáférés;
3. az információhoz való hozzáférés jogának gyakorlása.

Az információ tulajdonosa, az információs rendszer üzemeltetője az Orosz Föderáció jogszabályai által meghatározott esetekben köteles biztosítani:

1. az információkhoz való jogosulatlan hozzáférés és (vagy) az információhoz való hozzáféréssel nem rendelkező személyek számára történő továbbításának megakadályozása;
2. az információkhoz való jogosulatlan hozzáférés tényeinek időben történő felismerése;
3. az információhoz való hozzáférés rendjének megsértése káros következményeinek lehetőségének megelőzése;
4. az információfeldolgozás technikai eszközeire gyakorolt ​​hatások megakadályozása, amelyek következtében azok működése megzavarodik;
5. a jogosulatlan hozzáférés miatt módosított vagy megsemmisült információk azonnali helyreállításának lehetősége;
6. az információbiztonság szintjének biztosításának folyamatos ellenőrzése.

Így az információs, információs technológiákról és információvédelemről szóló szövetségi törvény megteremti az Orosz Föderációban folyó információcsere jogalapját, és meghatározza az alanyok jogait és kötelezettségeit.

A gyorsan fejlődő számítógépes információs technológiák érezhető változásokat hoznak életünkben. Az információ vásárolható, eladható, cserélhető árucikké vált. Ugyanakkor az információ költsége gyakran több százszor magasabb, mint az ára számítógépes rendszer amelyben tárolják.

Az információtechnológiai biztonság mértékétől függ a jólét, néha sok ember élete. Ilyen az automatizált információfeldolgozó rendszerek bonyolultságáért és mindenütt való használatáért járó fizetés.

Alatt információ biztonság az információs rendszer biztonságát jelenti a véletlen vagy szándékos beavatkozással szemben, amely káros az információ tulajdonosaira vagy felhasználóira.

A gyakorlatban az információbiztonság három szempontja a legfontosabb:

• elérhetőség(lehetőség a szükséges információszolgáltatás ésszerű időn belüli igénybevételére);
• sértetlenség(az információk relevanciája és következetessége, megsemmisüléstől és jogosulatlan változtatásoktól való védelme);
• titoktartás(védelem a jogosulatlan olvasás ellen).

Az információk elérhetőségének, integritásának és bizalmasságának megsértését az információs számítógépes rendszerekre gyakorolt ​​különféle veszélyes hatások okozhatják.

Az információbiztonságot fenyegető főbb veszélyek

A modern információs rendszer egy összetett rendszer, amely nagyszámú, különböző fokú autonómiájú összetevőből áll, amelyek egymással összekapcsolódnak és adatokat cserélnek. Szinte minden alkatrész ki lehet téve külső hatásoknak vagy meghibásodhat. Az automatizált információs rendszer összetevői a következő csoportokra oszthatók:

• hardver- számítógépek és alkatrészeik (processzorok, monitorok, terminálok, perifériák- lemezmeghajtók, nyomtatók, vezérlők, kábelek, kommunikációs vonalak stb.);
• szoftver- vásárolt programok, forrás, objektum, rendszerindító modulok; operációs rendszerek és rendszerprogramok (fordítók, linkerek stb.), segédprogramok, diagnosztikai programok stb.;
• adat- ideiglenesen és tartósan tárolva, mágneses adathordozón, nyomtatva, archívumban, rendszernaplókban stb.;
• személyzet- kiszolgáló személyzet és felhasználók.

A számítógépes információs rendszert érő veszélyes hatások véletlenszerű és szándékos hatásokra oszthatók. Az információs rendszerek tervezése, gyártása és üzemeltetése során szerzett tapasztalatok elemzése azt mutatja, hogy az információ a rendszer életciklusának minden szakaszában különféle véletlenszerű hatásoknak van kitéve. Okoz véletlenszerű hatások működés közben lehet:

• természeti katasztrófák és áramkimaradások miatti vészhelyzetek;
• berendezések meghibásodása és meghibásodása;
• szoftverhibák;
• hibák a személyzet munkájában;
• a kommunikációs vonalak zavarása a környezeti hatások miatt.

Szándékos hatások- Ezek az elkövető célzott cselekedetei. Betolakodóként viselkedhet alkalmazott, látogató, versenytárs, zsoldos. A jogsértő cselekményei különböző okokból származhatnak:

• a munkavállaló elégedetlensége a karrierjével;
• kenőpénz;
• kíváncsiság;
• versenyharc;
• önérvényesítésre való törekvés bármi áron.

Felállíthat egy hipotetikus modellt a potenciális behatolóról:

• a szabálysértő minősítése a rendszer fejlesztőjének szintjén;
• a szabálysértő lehet a rendszer kívülállója és jogos felhasználója is;
• a szabálysértő ismeri a rendszer alapelveiről szóló információkat;
• az elkövető a védekezés leggyengébb láncszemét választja.

A számítógépes jogsértések leggyakoribb és legváltozatosabb típusa az illetéktelen hozzáférés(NSD). Az NSD bármilyen hibát felhasznál a védelmi rendszerben, és lehetséges a védelmi eszközök irracionális megválasztásával, helytelen telepítésével és konfigurációjával.

Osztályozzuk azokat az UA csatornákat, amelyeken keresztül lehetséges az információ ellopása, megváltoztatása vagy megsemmisítése:

• Egy személyen keresztül:
  • adathordozók ellopása;
  • információ olvasása a képernyőről vagy a billentyűzetről;
  • információ olvasása egy nyomatról.
• A programon keresztül:
  • jelszavak lehallgatása;
  • titkosított információk visszafejtése;
  • információ másolása a médiáról.
• Hardveren keresztül:
  • információhoz való hozzáférést biztosító speciálisan tervezett hardver csatlakoztatása;
  • hamis elektromágneses sugárzás elfogása berendezésekből, kommunikációs vonalakból, áramellátó hálózatokból stb.

Különös figyelmet kell fordítani azokra a veszélyekre, amelyeknek a számítógépes hálózatok ki lehetnek téve. A fő jellemzője bármely számítógép hálózat az, hogy összetevői térben oszlanak el. A hálózati csomópontok közötti kommunikáció fizikailag hálózati vonalak használatával, programozottan pedig üzenetmechanizmussal történik. Ebben az esetben a hálózati csomópontok között küldött vezérlőüzenetek és adatok cserecsomagok formájában kerülnek továbbításra. A számítógépes hálózatokra jellemző, hogy ún távoli támadások. A megtámadott objektumtól több ezer kilométerre is elhelyezkedhet egy behatoló, és nem csak egy adott számítógép, hanem a hálózati kommunikációs csatornákon továbbított információk is megtámadhatók.

Az információbiztonság biztosítása

Az információbiztonsági rendszer kialakítása összetett probléma. A megoldást szolgáló intézkedések öt szintre oszthatók:

1. jogalkotási (törvények, rendeletek, szabványok stb.);
2. erkölcsi és etikai (mindenféle viselkedési norma, amelynek be nem tartása egy adott személy vagy egy egész szervezet presztízsének csökkenéséhez vezet);
3. adminisztratív (a szervezet vezetése által hozott általános intézkedések);
4. fizikai (mechanikai, elektro- és elektronikus-mechanikai akadályok be lehetséges módjai potenciális behatolók behatolása);
5. hardver szoftver ( elektronikus eszközökés speciális programok információ biztonság).

Mindezen intézkedések egyetlen csoportja a biztonsági fenyegetések leküzdésére irányul, hogy minimalizálja a károk lehetőségét védelmi rendszer.

A megbízható védelmi rendszernek meg kell felelnie a következő elveknek:

• A védőfelszerelés költségének kisebbnek kell lennie, mint az esetleges károk összege.
• Minden felhasználónak rendelkeznie kell a munkához szükséges minimális jogosultságokkal.
• Minél hatékonyabb a védelem, annál könnyebben tud vele dolgozni a felhasználó.
• Vészhelyzet esetén kikapcsolási lehetőség.
• A védelmi rendszerrel foglalkozó szakembereknek teljes mértékben meg kell érteniük annak működési elveit, és nehéz helyzetekben azokra megfelelően reagálniuk kell.
• A teljes információfeldolgozó rendszert védeni kell.
• A védelmi rendszer fejlesztői nem tartozhatnak azok közé, akiket ez a rendszer irányítani fog.
• A védelmi rendszernek bizonyítania kell a működése helyességét.
• Az információbiztonság biztosításában részt vevő személyeknek személyesen kell felelniük.
• A védett objektumokat célszerű csoportokra osztani, hogy a védelem megsértése valamelyik csoportban ne befolyásolja mások biztonságát.
• A megbízható védelmi rendszert teljes körűen tesztelni kell és meg kell állapodni.
• A védelem hatékonyabbá és rugalmasabbá válik, ha lehetővé teszi a rendszergazda számára, hogy módosítsa beállításait.
• A biztonsági rendszert azzal a feltételezéssel kell megtervezni, hogy a felhasználók súlyos hibákat követnek el, és általában a legrosszabb szándékkal rendelkeznek.
• A legfontosabb és legfontosabb döntéseket az embernek kell meghoznia.
• A biztonsági mechanizmusok létezését a lehető legnagyobb mértékben el kell rejteni azon felhasználók elől, akiknek a munkája ellenőrzés alatt áll.

Hardveres és szoftveres információbiztonság

Annak ellenére, hogy a modern operációs rendszerek számára személyi számítógépek, mint például a Windows 2000, a Windows XP és a Windows NT, saját védelmi alrendszerrel rendelkeznek, a további védelmi eszközök létrehozásának jelentősége továbbra is fennáll. A helyzet az, hogy a legtöbb rendszer nem képes megvédeni a rajtuk kívül eső adatokat, például a hálózati információcsere során.

A hardveres és szoftveres információbiztonsági eszközök öt csoportra oszthatók:

1. A felhasználók azonosításának (felismerésének) és hitelesítésének (hitelesítésének) rendszerei.
2. Lemez adattitkosítási rendszerek.
3. Titkosító rendszerek hálózaton keresztül továbbított adatokhoz.
4. Elektronikus adathitelesítési rendszerek.
5. Kriptográfiai kulcskezelési eszközök.

1. Felhasználó azonosítási és hitelesítési rendszerek

Arra használják, hogy korlátozzák a véletlenszerű és illegális felhasználók hozzáférését a számítógépes rendszer erőforrásaihoz. Az ilyen rendszerek általános algoritmusa az, hogy a felhasználótól beszerezzük a személyazonosságát igazoló információkat, ellenőrizzük azok hitelességét, majd lehetőséget adnak (vagy nem biztosítanak) a felhasználónak a rendszerrel való együttműködésre.

Ezeknek a rendszereknek a kiépítése során felmerül az információválasztás problémája, amely alapján a felhasználó azonosítására és hitelesítésére irányuló eljárások zajlanak. A következő típusokat lehet megkülönböztetni:

• a felhasználó titkos információi (jelszó, titkos kulcs, személyes azonosító stb.); a felhasználónak emlékeznie kell erre az információra, vagy speciális tárolóeszközök használhatók hozzá;
• a személy fiziológiai paraméterei (ujjlenyomatok, írisz rajza stb.) vagy viselkedési jellemzők (a billentyűzeten végzett munka jellemzői stb.).

Az első típusú információkon alapuló rendszereket tekintjük hagyományos. A második típusú információt használó rendszereket ún biometrikus. Meg kell jegyezni a biometrikus azonosítási rendszerek fejlett fejlesztésének feltörekvő tendenciáját.

2. Lemez adattitkosítási rendszerek

Annak érdekében, hogy az információt használhatatlanná tegyék az ellenfél számára, adatátalakítási módszereket használnak, az úgynevezett kriptográfia[görögből. kriptók- rejtett és grapho- írás].

A titkosítási rendszerek az adatok kriptográfiai átalakításait fájlszinten vagy lemezszinten is végrehajthatják. Az első típusú programok közé tartoznak az olyan archiválók, mint az ARJ és a RAR, amelyek lehetővé teszik kriptográfiai módszerek használatát az archív fájlok védelmére. Egy másik típusú rendszerre példa a Diskreet titkosító program, amely a népszerű Szoftver csomag Norton Utilities, a legjobb kriptográfia.

A lemezes adattitkosítási rendszerek másik osztályozási jellemzője a működésük módja. A működési mód szerint a lemezadat-titkosítási rendszer két osztályra oszlik:

• „átlátszó” titkosító rendszerek;
• kifejezetten titkosítás végrehajtására meghívott rendszerek.

Az átlátszó titkosítási rendszerekben (on-the-fly titkosítás) a kriptográfiai átalakítások valós időben, a felhasználó számára észrevétlenül történnek. Például a felhasználó egy szövegszerkesztőben elkészített dokumentumot egy védett lemezre ír, és a védelmi rendszer az írási folyamat során titkosítja azt.

A másodosztályú rendszerek általában olyan segédprogramok, amelyeket kifejezetten meg kell hívni a titkosítás végrehajtásához. Ilyenek például a beépített jelszavas védelemmel ellátott archiválók.

A legtöbb olyan rendszer, amely felajánlja a jelszó beállítását egy dokumentumhoz, nem titkosítja az információkat, hanem csak jelszókérést ad a dokumentum elérésekor. Ezek a rendszerek közé tartozik az MS Office, az 1C és még sok más.

3. Titkosító rendszerek a hálózatokon továbbított adatokhoz

Két fő titkosítási módszer létezik: a csatornatitkosítás és a terminál (előfizető) titkosítás.

Mikor csatorna titkosítás a kommunikációs csatornán továbbított minden információ, beleértve a szolgáltatási információkat is, védett. Ennek a titkosítási módszernek a következő előnye van: a titkosítási eljárások beágyazása az adatkapcsolati rétegbe lehetővé teszi hardver használatát, ami javítja a rendszer teljesítményét. Ennek a megközelítésnek azonban jelentős hátrányai is vannak:

• a szolgáltatási adatok titkosítása bonyolítja a hálózati csomagok útválasztási mechanizmusát, és megköveteli az adatok visszafejtését a közbenső kommunikációs eszközökben (átjárók, relék stb.);
• A szolgáltatási információk titkosítása statisztikai minták megjelenéséhez vezethet a titkosított adatokban, ami befolyásolja a védelem megbízhatóságát, és korlátozásokat ró a kriptográfiai algoritmusok használatára.

Végpontok közötti (előfizetői) titkosítás lehetővé teszi a két előfizető között továbbított adatok bizalmas kezelését. Ebben az esetben csak az üzenetek tartalma védett, minden szolgáltatási információ nyitva marad. Hátránya, hogy az üzenetváltás szerkezetére, így a feladóra és a címzettre, az adatátvitel idejére és feltételeire, valamint a továbbított adatok mennyiségére vonatkozó információkat elemezni lehet.

4. Elektronikus adathitelesítési rendszerek

Hálózaton keresztüli adatcsere során felmerül a probléma a dokumentum szerzőjének és magának a dokumentumnak a hitelesítése, pl. a szerző személyazonosságának megállapítása és az átvett dokumentumban történt változások hiányának ellenőrzése. Az adathitelesítéshez üzenet-hitelesítési kódot (utánzó beillesztés) vagy elektronikus aláírást használnak.

Utánzó betét nyílt adatokból egy titkos kulcsot használó speciális titkosítási transzformációval állítják elő, és a titkosított adatok végén egy kommunikációs csatornán továbbítják. A hamis beillesztést a titkos kulcs birtokában lévő címzett ellenőrzi a küldő által a kapott nyilvános adatokon korábban elvégzett eljárás megismétlésével.

Elektronikus digitális aláírás az aláírt szöveggel együtt továbbított, viszonylag kis mennyiségű további hitelesítési információt jelent. A feladó digitális aláírást generál a feladó privát kulcsának használatával. A címzett a feladó nyilvános kulcsával ellenőrzi az aláírást.

Így a szimmetrikus titkosítás alapelveit alkalmazzuk az imitációs beillesztés megvalósítására és a megvalósításra Elektronikus aláírás- aszimmetrikus. Ezt a két titkosítási rendszert a későbbiekben részletesebben tanulmányozzuk.

5. Kriptográfiai kulcskezelési eszközök

Minden kriptorendszer biztonságát a használt kriptográfiai kulcsok határozzák meg. Gyenge kulcskezelés esetén a támadó megszerezheti a kulcsfontosságú információkat, és teljes hozzáférést kaphat a rendszeren vagy hálózaton található összes információhoz.

A következő típusú kulcskezelési funkciók léteznek: kulcsok generálása, tárolása és elosztása.

Módokon kulcsgenerálás a szimmetrikus és az aszimmetrikus kriptorendszerek esetében eltérőek. A szimmetrikus titkosítási rendszerek kulcsainak generálásához véletlenszámok generálására szolgáló hardver és szoftver eszközöket használnak. Az aszimmetrikus kriptorendszerek kulcsgenerálása nehezebb, mivel a kulcsoknak rendelkezniük kell bizonyos matematikai tulajdonságokkal. A szimmetrikus és aszimmetrikus kriptorendszerek tanulmányozása során részletesebben foglalkozunk ezzel a kérdéssel.

Funkció tárolás magában foglalja a legfontosabb információk biztonságos tárolásának, elszámolásának és törlésének megszervezését. A kulcsok biztonságos tárolása érdekében azokat más kulcsokkal titkosítják. Ez a megközelítés a kulcshierarchia koncepciójához vezet. A kulcshierarchia általában egy mesterkulcsot (azaz egy mesterkulcsot), egy kulcstitkosítási kulcsot és egy adattitkosítási kulcsot tartalmaz. Meg kell jegyezni, hogy a fő kulcs előállítása és tárolása kritikus kriptográfiai probléma.

terjesztés- a kulcskezelés legfelelősségteljesebb folyamata. Ennek a folyamatnak biztosítania kell, hogy a kiosztandó kulcsok titkosak legyenek, és gyorsnak és pontosnak kell lenniük. A kulcsokat kétféleképpen osztják el a hálózati felhasználók között:

• a munkamenetkulcsok közvetlen cseréje;
• egy vagy több kulcsfontosságú elosztóközpont használatával.

Dokumentumok listája

1. AZ ÁLLAMTITOKRÓL. Az Orosz Föderáció 1993. július 21-i 5485-1 sz. törvénye (az 1997. október 6-i 131-FZ szövetségi törvénnyel módosított formában).
2. AZ INFORMÁCIÓRÓL, TÁJÉKOZTATÁSRÓL ÉS AZ INFORMÁCIÓVÉDELEMRŐL. Az Orosz Föderáció 1995. február 20-i szövetségi törvénye, 24-FZ. Az Állami Duma 1995. január 25-én fogadta el.
3. AZ ELEKTRONIKUS SZÁMÍTÓGÉPEK ÉS ADATBÁZISOK PROGRAMJÁNAK JOGI VÉDELMÉRŐL. Az Orosz Föderáció 1992. február 23-i törvénye, 3524-1.
4. AZ ELEKTRONIKUS DIGITÁLIS ALÁÍRÁSRÓL. Az Orosz Föderáció 2002. január 10-i szövetségi törvénye, 1-FZ.
5. A SZERZŐI JOGOKRÓL ÉS A KAPCSOLÓDÓ JOGOKRÓL. Az Orosz Föderáció 1993. július 9-i törvénye, 5351-1.
6. A KORMÁNYZATI KOMMUNIKÁCIÓS ÉS TÁJÉKOZTATÁSI SZÖVETSÉGI SZERVEKRŐL. Az Orosz Föderáció törvénye (az Orosz Föderáció elnökének 1993. december 24-i 2288. sz. rendeletével módosított; 2000. november 7-i 135-FZ. szövetségi törvény.
7. Az információbiztonsági követelményekhez szükséges információbiztonsági eszközök vizsgálólaboratóriumainak és tanúsító testületeinek akkreditációs szabályzata / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.
8. Utasítások a megfelelőségi tanúsítványok, azok másolatai és tanúsító információbiztonsági berendezések jelölésére vonatkozó eljárásról / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.
9. Szabályzat az informatizálási objektumok információbiztonsági követelményekhez való tanúsításáról / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.
10. Az információbiztonsági eszközök információbiztonsági követelményekhez való hitelesítéséről szóló szabályzat: kiegészítéssel az Orosz Föderáció Kormányának 1995. június 26-i 608. számú „Az információbiztonsági eszközök tanúsításáról” / Állami Műszaki Bizottság elnöklete alatti rendelete szerint. az Orosz Föderáció.
11. Szabályzat az információbiztonság területén végzett tevékenységek állami engedélyezéséről / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.
12. Automatizált rendszerek. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Az automatizált rendszerek osztályozása és az információbiztonsági követelmények: Útmutató / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.
13. Pénz védelmi koncepció Számítástechnikaés automatizált rendszerek az információkhoz való jogosulatlan hozzáféréstől: Útmutató / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.
14. Számítógépes létesítmények. Tűzfalak. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Az információkhoz való jogosulatlan hozzáférés elleni biztonság mutatói: Útmutató / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.
15. Számítógépes létesítmények. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Az információkhoz való jogosulatlan hozzáférés elleni biztonság mutatói: Útmutató / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.
16. Adat védelem. Különleges biztonsági jelek. Osztályozás és általános követelmények: Útmutató / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.
17. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Kifejezések és meghatározások: Útmutató / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.

Az információbiztonság biztosítása összetett társadalmi, jogi, gazdasági és tudományos probléma. Céljainak és célkitűzéseinek több síkon egyidejű, átfogó megoldása tudja majd kifejteni szabályozási hatását az ország információbiztonságának biztosításában. Az ezen a területen végzett munkának nemcsak gyakorlati irányultságúnak kell lennie, hanem tudományosan is indokoltnak kell lennie.

Az információbiztonság biztosításának fő céljait a fenntartható nemzet- és gazdaságbiztonsági prioritások alapján határozzák meg, amelyek megfelelnek a társadalmi fejlődés hosszú távú érdekeinek, amelyek magukban foglalják:

Az orosz államiság és a társadalom politikai stabilitásának megőrzése és megerősítése;

A társadalom demokratikus intézményeinek megőrzése és fejlesztése, az állampolgárok jogainak és szabadságainak biztosítása, a közrend megerősítése;

Az ország méltó helyének és szerepének biztosítása a világközösségben;

Az ország területi integritásának biztosítása;

Progresszív társadalmi-gazdasági fejlődés biztosítása;

A nemzeti kulturális értékek és hagyományok megőrzése.

A meghatározott prioritásoknak megfelelően az információbiztonság biztosításának fő feladatai:

Az információbiztonságot fenyegető veszélyforrások azonosítása, értékelése és előrejelzése;

Állami politika kidolgozása az információbiztonság biztosítására, intézkedései és végrehajtási mechanizmusai;

Az információbiztonságot biztosító szabályozási keret kialakítása, az állami hatóságok és vállalkozások információbiztonságot biztosító tevékenységének összehangolása;

Az információbiztonsági rendszer fejlesztése, szervezetének fejlesztése, az információbiztonságot fenyegető veszélyek megelőzésének, elhárításának, semlegesítésének formáinak, módszereinek és eszközeinek fejlesztése, valamint megsértése következményeinek megszüntetése;

Az ország aktív részvételének biztosítása a globális használat megteremtésének folyamataiban információs hálózatokés rendszerek.

Az információbiztonság biztosításának legfontosabb alapelvei:

1) a jogsértések felderítésére és megelőzésére irányuló intézkedések jogszerűségét információs szféra;

2) az információs rendszer ellenőrzésére és védelmére szolgáló eszközök és módszerek végrehajtásának és fejlesztésének folyamatossága;

3) gazdasági megvalósíthatóság, azaz az információbiztonság biztosításával járó lehetséges károk és költségek összehasonlíthatósága

4) a rendelkezésre álló védelmi eszközök teljes arzenáljának bonyolultsága a vállalat minden részlegében és az információs folyamat minden szakaszában.

Az információbiztonsági folyamat megvalósítása több szakaszból áll:

A védelem tárgyának meghatározása: az információs erőforrás védelméhez fűződő jogok, az információs erőforrás és főbb elemeinek értékelése, az információforrás életciklusának időtartama, az információs folyamat pályája a vállalat funkcionális részlegei szerint. ;

A fenyegetések forrásainak (versenytársak, bûnözõk, alkalmazottak stb.), a fenyegetések célpontjainak (megismerés, módosítás, megsemmisítés stb.), a fenyegetések megvalósításának lehetséges csatornáinak azonosítása (feltárás, kiszivárogtatás stb.);

A szükséges védőintézkedések meghatározása;

Hatékonyságuk és gazdasági megvalósíthatóságuk értékelése;

A megtett intézkedések végrehajtása a kiválasztott kritériumok figyelembevételével;

A megtett intézkedések kommunikálása a személyzettel, azok eredményességének figyelemmel kísérése, a fenyegetések következményeinek elhárítása (megelőzése).

A leírt szakaszok megvalósítása valójában egy objektum információbiztonságának kezelésének folyamata, és egy vezérlőrendszer biztosítja, amely magában a kezelt (védett) objektumon kívül az állapotát figyelő eszközöket, egy mechanizmust tartalmaz. a jelenlegi állapot és a szükséges állapot összehasonlításához, valamint a fenyegetések okozta károk lokalizálását és megelőzését szolgáló ellenőrzési intézkedések mechanizmusa. Ebben az esetben a minimális információsérülés elérését célszerű ellenőrzési kritériumnak tekinteni, az ellenőrzés célja pedig az objektum információbiztonsága értelmében szükséges állapotának biztosítása.

Az információbiztonság biztosításának módszerei jogi, szervezési, műszaki és gazdasági jellegűek.

NAK NEK jogi módszerek az információbiztonság biztosítása magában foglalja az információs szféra viszonyait szabályozó jogi aktusok, az információbiztonság biztosításának kérdéseivel kapcsolatos szabályozási módszertani dokumentumok kidolgozását. Ennek a tevékenységnek a legfontosabb területei:

Az információbiztonsági kapcsolatokat szabályozó jogszabályok módosításának, kiegészítésének bevezetése az információbiztonsági rendszer kialakítása, fejlesztése, a szövetségi jogszabályok belső, a nemzetközi szerződésekkel összefüggő ellentmondások felszámolása, valamint a létrehozó jogi normák pontosítása érdekében. felelősség az információbiztonság területén elkövetett bűncselekményekért;

A hatáskörök jogszabályi elhatárolása az állami egyesületek, szervezetek és állampolgárok e tevékenységben való részvételére vonatkozó célok, célkitűzések és mechanizmusok meghatározásának biztosítása terén;

A jogi személyek és magánszemélyek felelősségét megállapító jogi aktusok kidolgozása és elfogadása az információkhoz való jogosulatlan hozzáférésért, azok illegális másolásáért, elferdítéséért és jogellenes felhasználásáért, hamis információ szándékos terjesztéséért, illegális nyilvánosságra hozataláért bizalmas információ, hivatalos információkat vagy üzleti titkokat tartalmazó információkat bűnügyi és zsoldos célokra felhasználni;

A külföldi hírügynökségek, tömegtájékoztatási eszközök és újságírók, valamint a befektetők státuszának tisztázása külföldi befektetések bevonása során a hazai információs infrastruktúra fejlesztésére;

A nemzeti kommunikációs hálózatok fejlesztése és az űrkommunikációs műholdak hazai gyártása prioritásának jogszabályi megszilárdítása;

Globális információs és kommunikációs hálózatokat nyújtó szervezetek státuszának meghatározása és tevékenységük jogi szabályozása;

A regionális információbiztonsági struktúrák kialakításának jogi kereteinek megteremtése.

szervezési és technikai Az információbiztonsági módszerek a következők:

Az állam információbiztonságát biztosító rendszer létrehozása, fejlesztése;

A hatóságok rendészeti tevékenységének erősítése, ideértve az információs szférában elkövetett bűncselekmények megelőzését és visszaszorítását, valamint az ezen a területen bűncselekményt és egyéb jogsértést elkövető személyek azonosítását, leleplezését és felelősségre vonását;

Információbiztonsági eszközök és módszerek fejlesztése, használata és fejlesztése ezen eszközök hatékonyságának ellenőrzésére, biztonságos távközlési rendszerek fejlesztése, speciális szoftverek megbízhatóságának növelése;

Olyan rendszerek és eszközök létrehozása, amelyek megakadályozzák a feldolgozott információkhoz és speciális effektusokhoz való jogosulatlan hozzáférést, amelyek az információk megsemmisülését, megsemmisülését, torzulását, valamint a rendszerek szabályos működési módjainak, valamint az informatizálási és kommunikációs eszközöknek a megváltoztatását okozzák;

Leleplező műszaki eszközök valamint az információs és kommunikációs rendszerek normális működésére veszélyt jelentő programok, amelyek megakadályozzák az információ technikai csatornákon keresztül történő lehallgatását, az információ védelmét szolgáló titkosítási eszközök alkalmazását azok tárolása, feldolgozása és kommunikációs csatornákon keresztül történő továbbítása során, a speciális követelmények teljesítésének figyelemmel kísérését. információvédelemre;

Információbiztonsági eszközök tanúsítása, államtitok-védelem területén végzett tevékenységek engedélyezése, információvédelmi módszerek és eszközök egységesítése;

Távközlési berendezések és automatizált információfeldolgozó rendszerek szoftvereinek tanúsítási rendszerének fejlesztése az információbiztonsági követelményeknek megfelelően;

A személyzet tevékenységének ellenőrzése a biztonságos információs rendszerekben, képzés az állam információbiztonságának biztosítása terén;

Monitoring rendszer kialakítása az információbiztonság mutatóira és jellemzőire a társadalom és az állam legfontosabb élet- és tevékenységi területein.

Gazdasági módszerek az információbiztonság szavatolása többek között:

Az állam információbiztonságát biztosító programok kidolgozása és finanszírozási rendjének meghatározása;

Az információvédelem jogi és szervezési-technikai módszereinek megvalósításához kapcsolódó munka finanszírozási rendszerének fejlesztése, a magán- és jogi személyek információs kockázatok biztosításának rendszerének kialakítása.

A széleskörű használat mellett szabványos módszerekés a gazdaságot szolgáló pénzeszközök, az információbiztonság biztosításának kiemelt területei:

A jogi személyek és magánszemélyek felelősségét megállapító jogi rendelkezések kidolgozása és elfogadása az információkhoz való jogosulatlan hozzáférés és eltulajdonítás, hamis információ szándékos terjesztése, üzleti titkok feltárása, bizalmas információk kiszivárogtatása esetén;

Az információk megbízhatóságát, teljességét, összehasonlíthatóságát és biztonságát biztosító állami statisztikai adatszolgáltatási rendszer kiépítése az elsődleges információforrások szigorú jogi felelősségének bevezetésével, tevékenységük és a statisztikai információkat feldolgozó és elemző szolgálatok tevékenysége feletti hatékony ellenőrzés megszervezésével, azok korlátozásával. kereskedelmi forgalomba hozatal, az információvédelem speciális szervezeti és szoftveres és hardveres eszközeivel;

A pénzügyi és kereskedelmi információk védelmét szolgáló speciális eszközök létrehozása és fejlesztése;

Szervezeti és technikai intézkedések komplexének kidolgozása a technológia fejlesztésére információs tevékenységés információvédelem a gazdasági, pénzügyi, ipari és egyéb gazdasági struktúrákban, figyelembe véve a gazdaság szférájára jellemző információbiztonsági követelményeket;

A személyi állomány szakmai kiválasztási és képzési rendszerének, a gazdasági információk kiválasztását, feldolgozását, elemzését és terjesztését szolgáló rendszerek fejlesztése.

Közpolitikai az információbiztonság biztosítása képezi a hatóságok és a menedzsment tevékenységi irányait az információbiztonság biztosítása terén, ideértve minden alany információhoz való jogának garanciáit, rögzítve az állam és szervei feladatait és felelősségét az ország információbiztonságáért. , és az egyén, a társadalom és az állam érdekei egyensúlyának fenntartásán alapul az információs szférában.

Az információbiztonságot biztosító állami politika a következő főbb rendelkezéseken alapul:

Az információhoz való hozzáférés korlátozása kivételt képez az információ nyíltságának általános elve alól, és csak jogszabály alapján valósul meg;

Az információk biztonságáért, azok besorolásáért és feloldásáért való felelősség személyre szabott;

Az információkhoz való hozzáférés, valamint az elrendelt hozzáférési korlátozások az ezen információkhoz fűződő, törvényben meghatározott tulajdonjogok figyelembevételével valósulnak meg;

Az információs szférában működő valamennyi jogalany jogait, kötelességeit és felelősségét szabályozó szabályozási keret állam általi kialakítása;

Jogi és magánszemélyek, személyes adatokat és bizalmas információkat gyűjtenek, gyűjtenek és dolgoznak fel, a törvény előtt felelősséggel tartoznak azok biztonságáért és felhasználásáért;

Az állam jogi eszközeinek biztosítása a társadalom védelmére a médián keresztül érkező hamis, torz és megbízhatatlan információkkal szemben;

Az információbiztonsági eszközök létrehozása és használata feletti állami ellenőrzés megvalósítása az információbiztonság területén végzett tevékenységek kötelező tanúsításával és engedélyezésével;

Az állam protekcionista politikájának folytatása, amely támogatja az informatizálási és információvédelmi eszközök hazai gyártóinak tevékenységét, és intézkedéseket tesz a hazai piac védelmére a rossz minőségű média és információs termékek behatolásával szemben;

Állami támogatás a polgárok hozzáférésének biztosításához a világ információs forrásaihoz, globális információs hálózataihoz,

A szövetségi információbiztonsági program állam általi megalakítása, az erőfeszítések egyesítése kormányzati szervezetekés kereskedelmi struktúrák az ország egységes információbiztonsági rendszerének megteremtésében;

Az állam erőfeszítéseket tesz más országok információterjedésének ellensúlyozására, támogatja a globális információs hálózatok és rendszerek nemzetközivé válását.

A megfogalmazott elvek és rendelkezések alapján meghatározzák az információbiztonsági politika kialakításának és végrehajtásának általános irányait a politikai, gazdasági és egyéb állami tevékenységi körökben.

Az állampolitika, mint az információs kapcsolatok alanyai érdekeinek összehangolására és a kompromisszumos megoldások megtalálására szolgáló mechanizmus, biztosítja a különböző tanácsok, bizottságok és szakbizottságok hatékony munkájának kialakítását és megszervezését a szakemberek széles körű képviseletével és minden érdekelt struktúrával. Az állami politika végrehajtási mechanizmusainak rugalmasnak kell lenniük, és kellő időben tükrözniük kell az ország gazdasági és politikai életében végbemenő változásokat.

Az állam információbiztonságának jogi támogatása az információbiztonsági politika végrehajtási mechanizmusainak kialakításának kiemelt területe, amely magában foglalja:

1) szabályalkotási tevékenység az információbiztonság biztosításával kapcsolatos társadalmi kapcsolatokat szabályozó jogszabályok megalkotására;

2) végrehajtó és bűnüldözési tevékenység a tájékoztatás, informatizálás és információvédelem területén a hatóságok és a közigazgatás, a szervezetek, az állampolgárok általi végrehajtása érdekében.

Szabályalkotó tevékenység az információbiztonság területén a következőket nyújtja:

A hatályos jogszabályok állapotának felmérése és fejlesztési program kidolgozása;

Az információbiztonságot biztosító szervezeti és jogi mechanizmusok létrehozása;

Az információbiztonsági rendszer valamennyi alanya, az információs és távközlési rendszerek felhasználói jogállásának kialakítása és az információbiztonság biztosításáért viselt felelősségük meghatározása;

Az információbiztonsági fenyegetések hatásáról és következményeiről szóló statisztikai adatok gyűjtésére és elemzésére szolgáló szervezeti és jogi mechanizmus kialakítása, minden információtípus figyelembevételével;

A fenyegetések hatásának következményeinek megszüntetésére, a megsértett jogok és források helyreállítására, valamint a kompenzációs intézkedések végrehajtására vonatkozó eljárást szabályozó jogalkotási és egyéb normatív aktusok kidolgozása.

Végrehajtó és rendészeti tevékenység előírja a jogszabályok és rendeletek alkalmazási eljárásainak kidolgozását azokra az alanyokra, akik a bizalmas információkkal való munka során bűncselekményt és vétséget követtek el, és megsértették az információs interakció szabályait. Az információbiztonság jogi támogatását célzó minden tevékenység három alapvető jogszabályi rendelkezésen alapul: a törvény betartásán, az egyes alanyok és az állam érdekei egyensúlyának biztosításán, valamint a büntetés elkerülhetetlenségén.

A jogállamiság betartása magában foglalja a törvények és egyéb szabályozások meglétét, azok alkalmazását és jogalanyok általi érvényesítését az információbiztonság területén.

12.3. AZ INFORMÁCIÓBIZTONSÁGI ÁLLAPOT OROSZORSZÁGBAN

Az állam információbiztonsági állapotának értékelése magában foglalja a fennálló veszélyek felmérését. Az „Orosz Föderáció információbiztonsági doktrínája” 1 2. szakasza az Orosz Föderáció információbiztonságát fenyegető következő fenyegetéseket azonosítja:

Az ember és az állampolgár alkotmányos jogainak és szabadságainak fenyegetése a szellemi élet és információs tevékenységek, az egyéni, csoport- és köztudat, Oroszország szellemi újjáéledése terén;

Az Orosz Föderáció állami politikájának információs támogatását fenyegető veszélyek;

A hazai információs ipar, ezen belül az informatizálási, távközlési és hírközlési ipar fejlődését, termékeiben a hazai piac igényeinek kielégítését és e termékek világpiacra kerülését, valamint a felhalmozás biztosítását veszélyezteti, a hazai információforrások megőrzése és hatékony felhasználása;

__________________________________________________________________

Az Oroszország területén már telepített és létrehozandó információs és távközlési rendszerek biztonságát fenyegető veszélyek.

Az orosz információbiztonságot fenyegető külső források a következők:

1) külpolitikai, gazdasági, katonai, hírszerzési és információs struktúrák tevékenysége az Orosz Föderáció ellen az információs szférában;

2) számos ország azon vágya, hogy uralják és sértsék Oroszország érdekeit a globális információs térben, kiszorítva azt a külső és belső információs piacokról;

3) az információs technológiák és erőforrások birtoklásáért folyó nemzetközi verseny fokozása;

4) nemzetközi terrorszervezetek tevékenysége;

5) a technológiai szakadék növelése a világ vezető hatalmai között, képességeik kiépítése a versenyképes orosz információs technológiák létrehozásának ellensúlyozására;

6) külföldi államok felderítésének űr-, légi-, tengeri és földi műszaki és egyéb eszközei (típusai);

7) az információs háború fogalmának számos állam általi kidolgozása, amely a világ más országainak információs szférájára veszélyes befolyásolási eszközök létrehozását, az információs és távközlési rendszerek normális működésének megzavarását, az információs források biztonsága és az azokhoz való jogosulatlan hozzáférés.

Az orosz információbiztonságot fenyegető belső fenyegetésforrások a következők:

1) a hazai ipar kritikus állapota;

2) kedvezőtlen kriminogén helyzet, amelyet az információs szférában az állami és a bűnügyi struktúrák összeolvadásának tendenciái kísérnek, a titkos információkhoz való hozzáférés a bűnszervezetek által, a szervezett bűnözés társadalomra gyakorolt ​​befolyásának erősítése, a jogos érdekek védelmének mértékének csökkentése az állampolgárok, a társadalom és az állam szerepe az információs szférában;

3) a szövetségi állami hatóságok, az Orosz Föderációt alkotó egységek állami hatóságai tevékenységének elégtelen koordinációja az Orosz Föderáció információbiztonságának biztosítása terén egységes állami politika kialakításában és végrehajtásában;

4) az információs szférában fennálló kapcsolatokat szabályozó szabályozási jogi keret elégtelen fejlesztése, valamint elégtelen rendészeti gyakorlat;

5) a civil társadalmi intézmények fejletlensége és az orosz információs piac fejlődése feletti elégtelen ellenőrzés;

6) az állam elégtelen gazdasági ereje;

7) az oktatási és nevelési rendszer hatékonyságának csökkenése, az információbiztonság területén képzett munkaerő hiánya;

8) Oroszország lemaradása a világ vezető országaihoz képest a szövetségi kormányzati szervek, a hitel- és pénzügyi szektor, az ipar, a mezőgazdaság, az oktatás, az egészségügy, a szolgáltató szektor és a polgárok életének informatizáltsága tekintetében.

Az elmúlt években Oroszország számos intézkedést hajtott végre információbiztonságának javítása érdekében. Intézkedéseket tettek az információbiztonság biztosítása érdekében a szövetségi kormányzati szervekben, az Orosz Föderációt alkotó egységek kormányzati szerveiben, a vállalkozásoknál, intézményeknél és szervezeteknél, a tulajdon formájától függetlenül. Megkezdődött a munka egy speciális célú, biztonságos információs és távközlési rendszer létrehozására, amely a hatóságok érdekeit szolgálja.

Az állami információvédelmi rendszer, az államtitkok védelmének rendszere és az információbiztonsági eszközök tanúsítási rendszere hozzájárul az Orosz Föderáció információbiztonságának biztosításával kapcsolatos kérdések sikeres megoldásához.

Szerkezet államrendszer az információbiztonság a következők:

Az Orosz Föderáció államhatalmi és igazgatási szervei és az Orosz Föderáció alanyai, amelyek hatáskörükön belül megoldják az információbiztonság biztosításának feladatait;

információbiztonsági kérdésekre szakosodott állami és tárcaközi bizottságok és tanácsok;

Állami Műszaki Bizottság az Orosz Föderáció elnöke alatt;

az Orosz Föderáció Szövetségi Biztonsági Szolgálata;

az Orosz Föderáció Belügyminisztériuma;

az Orosz Föderáció Védelmi Minisztériuma;

Szövetségi Kormányzati Kommunikációs és Információs Ügynökség az Orosz Föderáció elnöke mellett;

Az Orosz Föderáció Külügyi Hírszerző Szolgálata;

A hatóságok információvédelmét szolgáló strukturális és ágazatközi felosztások;

Az információbiztonsággal foglalkozó kutatási, tudományos és műszaki, tervező és mérnöki szervezetek vezetője és vezetője;

Iskolák amelyek a személyzet képzését és átképzését végzik az információbiztonsági rendszerben végzett munkához.

Az Orosz Föderáció elnöke mellett működő Állami Műszaki Bizottság, mint kormányzati szerv, egységes műszaki politikát hajt végre és koordinálja az információbiztonság területén végzett munkát, vezeti az információk műszaki intelligenciával szembeni védelmét szolgáló állami rendszert, felelős az információk védelmének biztosításáért. Oroszország területén technikai csatornákon keresztül kiszivárgott információk, figyelemmel kíséri a megtett védelmi intézkedések hatékonyságát.

Az információbiztonsági rendszerben különleges helyet foglalnak el az állami és állami szervezetek, amelyek ellenőrzést gyakorolnak az állami és nem állami tömegtájékoztatási eszközök tevékenysége felett.

A mai napig kialakult egy törvényi és szabályozási keret az információbiztonság területén Oroszországban, amely magában foglalja:

1. Az Orosz Föderáció törvényei:

az Orosz Föderáció alkotmánya;

„A bankokról és a banki tevékenységről”;

„A biztonságról”;

„A külföldi hírszerzésről”;

„Az államtitkokról”;

"A kommunikációról";

"A termékek és szolgáltatások tanúsításáról";

"A tömegmédiáról";

"A szabványosításról";

„Az információról, az információs technológiákról és az információvédelemről”;

„Az Orosz Föderáció Szövetségi Biztonsági Szolgálatának szerveiről”;

„Az okmányok kötelező másolatáról”;

„A nemzetközi információcserében való részvételről”;

"O6 digitális aláírás" stb.

2. Az Orosz Föderáció elnökének szabályozási jogi aktusai:

"Az Orosz Föderáció információbiztonsági doktrínája";

„Az Orosz Föderáció nemzetbiztonsági stratégiájáról 2020-ig”;

„Az államtitokvédelmi tárcaközi bizottság egyes kérdéseiről”;

"Az államtitoknak minősülő adatok jegyzékéről";

„Az állami politika alapjairól az informatizálás terén”;

"A bizalmas információk listájának jóváhagyásáról" stb.

Z. Az Orosz Föderáció kormányának normatív jogi aktusai:

„Az információbiztonsági eszközök tanúsításáról”;

„Vállalkozások, intézmények és szervezetek államtitkot képező információk felhasználásával összefüggő munkák végzésére, információbiztonsági eszközök létrehozására, valamint a védelmi intézkedések végrehajtására és (vagy) szolgáltatásnyújtására irányuló tevékenység engedélyezéséről államtitkok”;

"Az államtitkot képező adatok különböző titkossági fokig történő minősítésére vonatkozó szabályok jóváhagyásáról";

„Egyes tevékenységtípusok engedélyezéséről” stb.

4. Az Oroszországi Állami Műszaki Bizottság útmutató dokumentumai:

„A számítógépes berendezések és automatizált rendszerek információhoz való jogosulatlan hozzáférés elleni védelmének koncepciója”;

„A számítástechnika eszközei. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Az információkhoz való jogosulatlan hozzáférés elleni biztonság mutatói”;

„Automatizált rendszerek. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Automatizált rendszerek osztályozása és információvédelmi követelmények”;

"Adat védelem. Különleges biztonsági jelek. Osztályozás és általános követelmények”;

"Védelem az információkhoz való jogosulatlan hozzáférés ellen. 1. rész Információbiztonsági szoftver. Osztályozás a nem bejelentett képességek hiányának ellenőrzési szintje szerint.

5. Az Orosz Föderáció Polgári Törvénykönyve (negyedik rész).

6. Az Orosz Föderáció Btk.

Az információbiztonság biztosítása terén folytatott nemzetközi együttműködés a világközösség részét képező országok közötti gazdasági, politikai, katonai, kulturális és egyéb interakciók szerves részét képezi. Az ilyen együttműködésnek fokoznia kell a világközösség valamennyi tagjának információbiztonságát, beleértve Oroszországot is. Az Orosz Föderáció információbiztonsági nemzetközi együttműködésének sajátossága abban rejlik, hogy a technológiai és technológiai eszközök birtoklásáért megnövekedett nemzetközi verseny keretében valósul meg. információs források, az értékesítési piacokon való dominanciáért, a világ vezető hatalmai közötti technológiai szakadék erősítésére és „információs fegyverek” létrehozására irányuló képességeik fejlesztésére. Ez új szakaszhoz vezethet a fegyverkezési verseny fejlődésében az információs szférában.

Az információbiztonság területén folytatott nemzetközi együttműködés a következő szabályozási kereteken alapul:

Megállapodás a Kazah Köztársasággal, 1995. január 13-án Moszkvával (az Orosz Föderáció kormányának 1994. május 15-i rendelete, Nch 679);

Megállapodás Ukrajnával, 1996. június 14., Kijev (az Orosz Föderáció kormányának 1996. június 7-i rendelete, Ns 655);

Megállapodás a Fehérorosz Köztársasággal (tervezet);

Tanúsítványok és engedélyek kiadása nemzetközi információcseréhez (1996. július 4-i szövetségi törvény X 85-FZ).

A nemzetközi együttműködés fő területei, amelyek megfelelnek az Orosz Föderáció érdekeinek:

A bizalmas információkhoz való jogosulatlan hozzáférés megakadályozása a nemzetközi banki hálózatokban és csatornákban információs támogatás a világkereskedelem, a nemzetközi gazdasági és politikai szakszervezetekben, tömbökben és szervezetekben található bizalmas információkhoz, a nemzetközi szervezett bûnözés és a nemzetközi terrorizmus elleni küzdelem nemzetközi bûnüldözõ szervezeteiben található információkhoz;

Az „információs fegyverek” fejlesztésének, terjesztésének és használatának tilalma;

A nemzetközi információcsere biztonságának biztosítása, ideértve az információ biztonságát annak nemzeti távközlési hálózatokon és kommunikációs csatornákon történő továbbítása során;

Az államok bűnüldöző szervei – a számítógépes bűncselekmények megelőzésére irányuló nemzetközi együttműködés résztvevői – tevékenységének koordinálása;

Részvétel a nemzetközi konferenciákonés kiállítások az információbiztonság kérdéséről.

Az együttműködés során különös figyelmet kell fordítani a FÁK-országokkal való interakció problémáira, figyelembe véve az egységes ország létrehozásának kilátásait. információs tér a volt Szovjetunió területén, amelyen belül gyakorlatilag egységes távközlési rendszereket és kommunikációs vonalakat használnak.

Ugyanakkor az oroszországi információbiztonság helyzetének elemzése azt mutatja, hogy annak szintje nem felel meg teljesen a társadalom és az állam igényeinek. Az ország politikai és társadalmi-gazdasági fejlődésének jelenlegi körülményei az ellentmondások súlyosbodását okozzák a társadalom szabad információcsere kiterjesztésére irányuló igénye és az információ terjesztésének bizonyos szabályozott korlátozása között.

Az Orosz Föderáció alkotmányában foglaltak szerint a polgárok magánélethez, személyes és családi titkokhoz, valamint a levelezés titkosságához való joga nem rendelkezik megfelelő jogi, szervezeti és technikai támogatással. A szövetségi állami hatóságok által gyűjtött személyes adatok védelme nem kielégítően megszervezve.

Nem egyértelmű az állami politika végrehajtása az orosz információs tér kialakítása, a tömegtájékoztatási rendszer fejlesztése, a nemzetközi információcsere megszervezése és az orosz információs tér világinformációs térbe való integrálása terén, amely megteremti a feltételeket az orosz hírügynökségek, a média kiszorulásához a hazai információs piacról és a nemzetközi információcsere deformációs struktúráiról.

Nincs elegendő kormányzati támogatás az orosz hírügynökségek tevékenységéhez, hogy termékeiket a nemzetközi információs piacon népszerűsítsék.

Egyre romlik a helyzet az államtitkot képező információk biztonságának biztosításával kapcsolatban.

Súlyos károkat szenvedtek az informatizálás, telekommunikáció és kommunikáció területén tevékenykedő tudományos és termelési csoportok személyi potenciáljában, mivel ezekből a csoportokból tömegesen távoztak a legképzettebb szakemberek.

A hazai információs technológiák lemaradása arra kényszeríti az Orosz Föderáció állami hatóságait az információs rendszerek létrehozásakor, hogy az importált berendezések vásárlásának és a külföldi cégek bevonásának útját kövessék, ami növeli a feldolgozott információkhoz való jogosulatlan hozzáférés valószínűségét, és növeli Oroszország függőségét a külföldi gyártóktól. számítástechnikai és távközlési berendezések, valamint szoftverek biztonsága.

A külföldi információs technológiák intenzív bevezetése az egyén, a társadalom és az állam tevékenységi körébe, valamint a nyílt információs és távközlési rendszerek széleskörű elterjedése kapcsán a hazai és nemzetközi információs rendszerek integrációja, az információs rendszerek beépülése, az egyén, a társadalom és az állam tevékenységi köreibe való intenzív bevezetése, valamint a nyílt információs és távközlési rendszerek széleskörű elterjedésével összefüggésben fennáll a veszélye annak, megnövekedett az „információs fegyverek” alkalmazása Oroszország információs infrastruktúrája ellen. Nem megfelelő koordináció és gyenge költségvetési finanszírozás mellett folyik a munka az e veszélyekre adandó megfelelő átfogó válaszadáson.

Ellenőrző kérdések

1. Mi a helye az információbiztonságnak az állam gazdaságbiztonsági rendszerében? Mutasd meg példákon az információbiztonság fontosságát az állam gazdasági biztonságának biztosításában?

2. Mi az oka az információbiztonság növekvő jelentőségének a modern korban?

3. Ismertesse az információbiztonság főbb kategóriáit: információ, informatizálás, dokumentum, információs folyamat, információs rendszer, információs források, személyes adatok, bizalmas információk.

4. Mik az egyén, a társadalom és az állam érdekei az információs szférában?

5. Milyen típusú információbiztonsági fenyegetések léteznek?

6. Nevezze meg, hogy a fenyegetések milyen módon hatnak az információbiztonsági objektumokra.

7. Magyarázza el az "információs háború" fogalmát!

8. Lista külső források Oroszország információbiztonságát fenyegető veszélyek.

9. Sorolja fel az Oroszország információbiztonságát fenyegető belső veszélyforrásokat!

10. Milyen előírások biztosítják az információbiztonságot az Orosz Föderáció területén?

11. Milyen nemzetközi szabályozásokat ismer az információbiztonság területén?

12. Mi az információbiztonságot biztosító állami politika lényege?

13. Sorolja fel az információbiztonság biztosításának módszereit!

14. Ismertesse az állami információbiztonsági rendszer felépítését!

15. Adjon értékelést az információbiztonság helyzetéről Oroszországban!

Információbiztonsági szabályzat.

1. Általános rendelkezések

Jelen információbiztonsági szabályzat ( Tovább - Politika ) nézetrendszert határoz meg az információbiztonság biztosításának problémájával kapcsolatban, és szisztematikusan mutatja be az információs infrastruktúra objektumok információbiztonságának biztosításának céljait és célkitűzéseit, valamint szervezeti, technológiai és eljárási vonatkozásait, ideértve az információs központok összességét is. , a szervezet adatbankjai és kommunikációs rendszerei. Ez a politika az Orosz Föderáció hatályos jogszabályainak követelményeit és az információs infrastruktúra-létesítmények fejlesztésének közvetlen kilátásait, valamint a modern szervezési és technikai módszerek jellemzőit és képességeit, valamint a hardver és szoftver információvédelem jellemzőit és képességeit figyelembe véve került kidolgozásra.

A Szabályzat főbb rendelkezései és követelményei a szervezet minden strukturális részlegére vonatkoznak.

A politika módszertani alapja az egységes politika kialakításának és megvalósításának az információs infrastruktúra objektumok információbiztonságának biztosítása, az egyeztetett irányítási döntések meghozatala és az információbiztonság biztosítását célzó gyakorlati intézkedések kidolgozása, az információs infrastruktúra strukturális részlegeinek tevékenységének összehangolása terén. a szervezet, amikor az információs infrastruktúra objektumok létrehozásán, fejlesztésén és üzemeltetésén dolgozik, az információbiztonsági követelményeknek megfelelő infrastruktúra.

A házirend nem szabályozza a helyiségek védelmének megszervezését, az információs infrastruktúra elemei biztonságának és testi épségének biztosítását, a természeti katasztrófák elleni védelmet, az áramellátó rendszer meghibásodását, azonban információbiztonsági rendszer kiépítését foglalja magában. ugyanazokon a fogalmi alapokon, mint a szervezet egészének biztonsági rendszere.

A házirend megvalósítását a szervezetben a vonatkozó iránymutatások, szabályzatok, eljárások, utasítások, irányelvek és információbiztonsági értékelési rendszer biztosítják.

A Szabályzatban a következő kifejezések és meghatározások használatosak:

Automatizált rendszer ( AC) — a személyzetből és a tevékenységeinek automatizálására szolgáló eszközökből álló rendszer, az információtechnológia megvalósítása a meghatározott funkciók végrehajtásához.

Információs infrastruktúra— az információs tér és az információs interakció eszközeinek működését és fejlesztését biztosító szervezeti struktúrák rendszere. Az információs infrastruktúra információs központokból, adat- és tudásbankokból, kommunikációs rendszerekből áll, és hozzáférést biztosít a fogyasztók számára az információs forrásokhoz.

Információs források ( IR) - ezek külön dokumentumok és különálló dokumentumtömbök, dokumentumok és dokumentumtömbök az információs rendszerekben ( könyvtárak, archívumok, gyűjtemények, adatbázisok és egyéb információs rendszerek).

Tájékoztatási rendszer (IP) - információfeldolgozó rendszer és a kapcsolódó szervezeti erőforrások ( humán, műszaki, pénzügyi stb.), amelyek információkat szolgáltatnak és terjesztenek.

Biztonság -érdekvédelmi állapot ( célokat) fenyegetett szervezetek.

Információ biztonság ( IS) — az információs szféra fenyegetéseivel kapcsolatos biztonság. A biztonság az IS tulajdonságok készletének biztosításával érhető el – az információs eszközök rendelkezésre állása, integritása, bizalmassága. Az IS ingatlanok prioritását ezen eszközök kamatértéke határozza meg ( célokat) szervezetek.

Az információs eszközök rendelkezésre állása − a szervezet információbiztonságának tulajdona, amely abban áll, hogy az információs eszközöket a jogosult felhasználó rendelkezésére bocsátják, továbbá a felhasználó által megkívánt formában és helyen, valamint akkor, amikor arra szüksége van.

Az információs eszközök integritása − a szervezet információbiztonságának azon tulajdonsága, hogy változatlan maradjon, vagy korrigálja az információvagyonban észlelt változásokat.

Az információs eszközök bizalmas kezelése − a szervezet információs rendszerének tulajdona, amely abból áll, hogy az információs eszközök feldolgozása, tárolása és továbbítása úgy történik, hogy az információs eszközök csak az arra jogosult felhasználók, rendszerobjektumok vagy folyamatok számára álljanak rendelkezésre.

Információbiztonsági rendszer ( TOLLHEGY) — védőintézkedések, védőfelszerelések és működésükhöz szükséges eljárások, beleértve az erőforrásokat és adminisztratív szervezeti) rendelkezés.

Illetéktelen hozzáférés- a munkavállaló hatósági jogkörét sértő információkhoz való hozzáférés, a nyilvánosság számára zárt információkhoz való hozzáférés olyan személyek számára, akik nem jogosultak ezekhez az információkhoz való hozzáférésre, vagy az információkhoz való hozzáférés olyan személy által, aki jogosult ezen információkhoz való hozzáférésre. a hivatali feladatok ellátásához szükséges összeget meghaladó összeg.

2. Az információbiztonság biztosításának általános követelményei

információbiztonsági követelmények Tovább -IS ) meghatározza a szervezet tevékenységeinek tartalmát és céljait az információbiztonság-irányítási folyamatok keretében.

Ezek a követelmények a következő területekre vonatkoznak:

• a szerepek kiosztása és elosztása, valamint a személyzetbe vetett bizalom;
• információs infrastruktúra objektumok életciklus szakaszai;
• védelem az illetéktelen hozzáférés ellen ( Tovább - NSD ), beléptetés-ellenőrzés és regisztráció automatizált rendszerekben, távközlési berendezésekben és automatikus telefonközpontokban stb.;
• vírusvédelem;
• Internetes források használata;
• információk kriptográfiai védelmét szolgáló eszközök használata;
• személyes adatok védelme.

3. Védendő objektumok

A főbb védendő objektumok a következők:

• információs források, amelyeket dokumentumok és információtömbök formájában mutatnak be, függetlenül azok bemutatásának formájától és típusától, beleértve többek között a bizalmas és nyílt információkat is;
• információforrások kialakításának, elosztásának és felhasználásának rendszere, könyvtárak, archívumok, adatbázisok és adatbankok, információtechnológia, az információk gyűjtésére, feldolgozására, tárolására és továbbítására vonatkozó előírások és eljárások, műszaki és karbantartó személyzet;
• információs infrastruktúra, beleértve az információfeldolgozó és -elemző rendszereket, a feldolgozását, továbbítását és megjelenítését szolgáló hardvereket és szoftvereket, beleértve az információcserét és a távközlési csatornákat, az információbiztonsági rendszereket és eszközöket, létesítményeket és helyiségeket, amelyekben az információs infrastruktúra összetevői találhatók.

3.1. Az automatizált rendszer jellemzői

Az AS különböző kategóriájú információkat forgalmaz. A védett információk megoszthatók egy vállalati hálózat különböző alhálózataiból származó különböző felhasználók között.

Számos AS alrendszer biztosítja a külső ( állami és kereskedelmi, orosz és külföldi) szervezetek betárcsázós és dedikált kommunikációs csatornákon keresztül, speciális információtovábbítási eszközöket használva.

Az AU technikai eszközeinek komplexuma adatfeldolgozó eszközöket tartalmaz ( munkaállomások, adatbázis szerverek, levelezőszerverek stb.), adatcsere eszköz a helyi számítógépes hálózatokban, globális hálózatokhoz való hozzáférés lehetőségével ( kábelezés, hidak, átjárók, modemek stb.), valamint tárolóhelyek ( beleértve archiválás) adatok.

Az AS működésének főbb jellemzői a következők:

• az egységes rendszerbe való integrálódás szükségessége egy nagy szám az információ feldolgozásának és továbbításának különféle technikai eszközei;
• sokféle megoldandó feladat és feldolgozott adattípus;
• információk egységes adatbázisokba történő összevonása különböző célokra, hovatartozási és titkossági szintekre;
• csatornák elérhetősége a külső hálózatokhoz való csatlakozáshoz;
• a működés folyamatossága;
• a különböző biztonsági szintek követelményeivel rendelkező alrendszerek jelenléte, amelyek fizikailag egyetlen hálózatban vannak egyesítve;
• a felhasználók és a kiszolgáló személyzet sokféle kategóriája.

Általánosságban elmondható, hogy az egyetlen AS részlegek helyi számítógépes hálózatainak gyűjteménye, amelyek telekommunikációs eszközökkel kapcsolódnak egymáshoz. Minden helyi hálózat számos összekapcsolt és kölcsönhatásban lévő automatizált alrendszert egyesít ( technológiai területeken), amelyek biztosítják a problémák megoldását a szervezet egyes strukturális részlegei által.

Az informatizálási objektumok a következők:

• technológiai berendezések ( számítástechnikai berendezések, hálózati és kábeles berendezések);
• információs források;
• szoftver ( operációs rendszerek, adatbázis-kezelő rendszerek, általános rendszer- és alkalmazásszoftverek);
• automatizált kommunikációs és adatátviteli rendszerek (távközlési berendezések);
• csatlakozási csatornák;
• kiszolgáló helyiségek.

3.2. A védendő szervezeti információs eszközök típusai

A szervezet AS alrendszereiben különböző titkossági szintű információk keringenek, amelyek korlátozott terjesztésű információkat tartalmaznak ( hivatalos, kereskedelmi, személyes adatok) és nyilvános információk.

Az AS dokumentumfolyamat a következőket tartalmazza:

• fizetési megbízások és pénzügyi dokumentumok;
• jelentések ( pénzügyi, elemző stb.);
• személyes fiókokkal kapcsolatos információk;
• személyes adatok;
• egyéb korlátozott információ.

Az AS-ben keringő és a következő típusú információs eszközökben található összes információ védelem alá esik:

• olyan kereskedelmi és hivatali titkot képező információ, amelyhez való hozzáférést a szervezet, mint az információ tulajdonosa korlátozza a szövetségi törvény rendelkezéseivel összhangban." Információról, informatizálásról és információvédelemről » Jogok és szövetségi törvény » Az üzleti titokról »;
• személyes adatok, amelyekhez való hozzáférés a szövetségi törvény értelmében korlátozott " A személyes adatokról »;
• nyílt információ, az információk integritásának és elérhetőségének biztosítása szempontjából.

3.3. Az automatizált rendszer felhasználói kategóriái

A szervezetnek számos felhasználói és karbantartói kategóriája van, akiknek különböző jogosultságokkal kell rendelkezniük ahhoz, hogy hozzáférjenek az AU információs erőforrásaihoz:

• hétköznapi felhasználók ( végfelhasználók, szervezeti egységek alkalmazottai);
• szerver rendszergazdák ( fájlszerverek, alkalmazásszerverek, adatbázis-kiszolgálók), helyi számítógépes hálózatok és alkalmazott rendszerek;
• rendszerprogramozók ( felelős a közös szoftverek karbantartásáért) szervereken és felhasználói munkaállomásokon;
• Alkalmazásszoftver-fejlesztők;
• a számítástechnika technikai eszközeinek karbantartásával foglalkozó szakemberek;
• információbiztonsági rendszergazdák stb.

3.4. Az automatizált rendszer fő összetevőinek sebezhetősége

A legsebezhetőbb AS komponensek a hálózati munkaállomások - munkaállomások ( Tovább - munkaállomás ) dolgozók. Az információhoz való jogosulatlan hozzáférés vagy jogosulatlan cselekvés kísérlete történhet a munkavállalók munkaállomásáról ( akaratlan és szándékos) számítógépes hálózatban. A munkaállomások hardver- és szoftverkonfigurációjának megsértése, valamint működési folyamataiba való jogellenes beavatkozás az információk blokkolásához, a fontos feladatok időben történő megoldásának ellehetetlenüléséhez, valamint az egyes munkaállomások és alrendszerek meghibásodásához vezethet.

A hálózati elemek, például a dedikált fájlszerverek, adatbázis-kiszolgálók és alkalmazáskiszolgálók különleges védelmet igényelnek. A csereprotokollok és a szerver-erőforrásokhoz való hozzáférés szabályozásának hiányosságai lehetővé teszik a védett információkhoz való jogosulatlan hozzáférést, és befolyásolhatják a különböző alrendszerek működését. Ugyanakkor távirányítóként is próbálkozhat ( hálózati állomásokról) és közvetlen ( a szerverkonzolról) hatással van a szerverek működésére és azok védelmére.

A hidakat, átjárókat, hubokat, útválasztókat, kapcsolókat és egyéb hálózati eszközöket, csatornákat és kommunikációt is védeni kell. A behatolók használhatják őket a hálózat működésének átalakítására és megzavarására, a továbbított információk lehallgatására, a forgalom elemzésére és az adatcsere folyamatokba való beavatkozás egyéb módszereinek megvalósítására.

4. Az információbiztonság biztosításának alapelvei

4.1. A biztonságos üzemeltetés általános elvei

• A probléma felismerésének időszerűsége. A szervezetnek azonnal észlelnie kell azokat a problémákat, amelyek potenciálisan hatással lehetnek üzleti céljaira.
• A problémák kialakulásának előreláthatósága. A szervezetnek azonosítania kell az okozati összefüggést lehetséges problémákatés ennek alapján készítsenek pontos előrejelzést fejlődésükről.
• A problémák üzleti célokra gyakorolt ​​hatásának felmérése. A szervezetnek megfelelően fel kell mérnie az azonosított problémák hatását.
• A védőintézkedések megfelelősége. A szervezetnek olyan védelmi intézkedéseket kell választania, amelyek megfelelnek a fenyegetésnek és a támadómodellnek, figyelembe véve az intézkedések végrehajtásának költségeit és a fenyegetések végrehajtásából eredő esetleges veszteségek mértékét.
• A védőintézkedések hatékonysága. A szervezetnek hatékonyan végre kell hajtania a megtett védelmi intézkedéseket.
• A tapasztalatok felhasználása a döntések meghozatalában és végrehajtásában. A szervezetnek a saját és más szervezetek tapasztalatait egyaránt fel kell halmoznia, általánosítania és felhasználnia a döntéshozatal és azok végrehajtásának minden szintjén.
• A biztonságos működés elveinek folytonossága. A szervezetnek biztosítania kell a biztonságos üzemeltetés alapelvei megvalósításának folyamatosságát.
• A védőintézkedések ellenőrizhetősége. A szervezet csak azokat a biztosítékokat alkalmazza, amelyek helyes működése igazolható, és a biztosítékok megfelelőségét és végrehajtásuk eredményességét a szervezet rendszeresen értékeli, figyelembe véve a biztosítékoknak a szervezet üzleti céljaira gyakorolt ​​hatását.

4.2. Speciális alapelvek az információbiztonság biztosítására

• Az információbiztonságot biztosító speciális elvek megvalósítása a szervezet információbiztonsági menedzsment folyamatainak érettségi szintjének növelését célozza.
• A célok meghatározása. A szervezet funkcionális és információbiztonsági céljait kifejezetten meg kell határozni egy belső dokumentumban. A bizonytalanság oda vezet, hogy „ bizonytalanság” szervezeti felépítés, személyzeti szerepkörök, információbiztonsági politikák és a megtett védelmi intézkedések megfelelőségének értékelésének képtelensége.
• Ismerje meg ügyfeleit és alkalmazottait. A szervezetnek információval kell rendelkeznie ügyfeleiről, gondosan kell kiválasztania a személyzetet ( dolgozók), kialakítja és fenntartja a vállalati etikát, amely kedvező bizalmi környezetet teremt a vagyonkezelő szervezet tevékenységéhez.
• Megszemélyesítés, a szerepek és felelősségek megfelelő megosztása. A szervezet tisztségviselőinek a vagyonával kapcsolatos döntésekért való felelősségét személyre kell szabni, és azt elsősorban garancia formájában kell végrehajtani. Megfelelőnek kell lennie a szervezet céljaira gyakorolt ​​befolyás mértékének, irányelvekben rögzítve, figyelemmel kísérve és javítva.
• A szerepkörök megfelelősége a funkcióknak és eljárásoknak, valamint összehasonlíthatósága a kritériumokkal és értékelési rendszerrel. A szerepeknek megfelelően tükrözniük kell a szervezetben betöltött funkciókat és végrehajtásukra vonatkozó eljárásokat. Az egymással összefüggő szerepek kiosztásánál figyelembe kell venni azok végrehajtásának szükséges sorrendjét. A szerepnek összhangban kell lennie a végrehajtás hatékonyságának értékelésére vonatkozó kritériumokkal. A betöltött szerep fő tartalmát és minőségét valójában a rá alkalmazott értékelési rendszer határozza meg.
• A szolgáltatások és létesítmények elérhetősége. A szervezetnek biztosítania kell ügyfelei és szerződő felei számára a szolgáltatások, szolgáltatások időben történő, a vonatkozó megállapodásokban meghatározott elérhetőségét ( megállapodások) és/vagy egyéb dokumentumok.
• Az IS-szolgáltatás megfigyelhetősége és értékelhetősége. Minden javasolt védőintézkedést úgy kell megtervezni, hogy alkalmazásuk eredménye egyértelműen megfigyelhető legyen ( átlátszó), és a szervezet megfelelő jogosultsággal rendelkező részlege értékelheti.

5. A biztonsági információk szolgáltatásának céljai és célkitűzései

5.1. Az információs kapcsolatok alanyai az automatizált rendszerben

A jogviszonyok alanyai az AS használata és az információbiztonság biztosítása során:

• Szervezet, mint az információs források tulajdonosa;
• a szervezetnek az atomerőmű üzemeltetését biztosító alosztályai;
• a szervezet strukturális részlegeinek alkalmazottai, mint felhasználói és információszolgáltatók az AS-ben a rájuk ruházott funkcióknak megfelelően;
• jogi személyek és magánszemélyek, amelyekre vonatkozó információkat az AS-ben gyűjtenek, tárolnak és dolgoznak fel;
• az AS létrehozásában és működtetésében részt vevő egyéb jogi személyek és magánszemélyek ( a rendszerelemek fejlesztői, az informatika területén különféle szolgáltatások nyújtásában részt vevő szervezetek stb.).

Az információs kapcsolatok felsorolt ​​tárgyai a következők iránt érdeklődnek:

• az információ bizonyos részének bizalmas kezelése;
• megbízhatóság ( teljesség, pontosság, megfelelőség, integritás) információ;
• védelem a hamis ( hamis, torz) információ;
• időben történő hozzáférés a szükséges információkhoz;
• a törvényes jogok megsértéséért való felelősség elhatárolása ( érdekeit) az információs kapcsolatok egyéb alanyai és az információkezelésre megállapított szabályok;
• az információk feldolgozásának és továbbításának folyamatos nyomon követésének és ellenőrzésének lehetősége;
• az információ egy részének védelme annak illegális sokszorosítása ellen ( a szerzői jogok védelme, az információ tulajdonosának jogai stb.).

5.2. Az információbiztonság célja

Az információbiztonság biztosításának fő célja, hogy az információs kapcsolatok alanyait megóvja az őket ért esetleges anyagi, erkölcsi vagy egyéb károktól az AS működésébe való véletlen vagy szándékos jogosulatlan beavatkozás vagy a benne keringő információkhoz és az abban keringő információkhoz való jogosulatlan hozzáférés révén. illegális felhasználás.

Ezt a célt az információ következő tulajdonságainak biztosításával és folyamatos karbantartásával és egy automatizált feldolgozási rendszerrel érik el:

• a feldolgozott információk elérhetősége a regisztrált felhasználók számára;
• a tárolt, feldolgozott és kommunikációs csatornákon továbbított információ bizonyos részének bizalmas kezelése;
• a kommunikációs csatornákon keresztül tárolt, feldolgozott és továbbított információk integritása és hitelessége.

5.3. Információbiztonsági feladatok

Az információbiztonság fő céljának eléréséhez az atomerőmű információbiztonsági rendszerének hatékony megoldást kell nyújtania az alábbi feladatokra:

• védelem az AU működési folyamatába való illetéktelen személyek általi beavatkozás ellen;
• a regisztrált felhasználók hozzáférésének megkülönböztetése az AS hardveréhez, szoftveréhez és információs erőforrásaihoz, azaz a jogosulatlan hozzáférés elleni védelem;
• a felhasználói műveletek regisztrálása védett AS-erőforrások használatakor a rendszernaplókban és a rendszerfelhasználói műveletek helyességének időszakos ellenőrzése e naplók tartalmának elemzésével a biztonsági osztályok szakemberei által;
• jogosulatlan módosítás elleni védelem és integritás ellenőrzése ( állandóság) programvégrehajtási környezet és annak helyreállítása megsértés esetén;
• az AU-ban használt szoftverek jogosulatlan módosítása elleni védelem és integritásának ellenőrzése, valamint a rendszer védelme a jogosulatlan programok, köztük a számítógépes vírusok bejutása ellen;
• az információ védelme a technikai csatornákon keresztüli kiszivárgás ellen feldolgozása, tárolása és kommunikációs csatornákon keresztül történő továbbítása során;
• a kommunikációs csatornákon keresztül tárolt, feldolgozott és továbbított információk védelme a jogosulatlan nyilvánosságra hozataltól vagy torzítástól;
• az információcserében részt vevő felhasználók hitelesítésének biztosítása;
• a kulcsrendszer egy részének kompromittálódása esetén az információ védelmét szolgáló kriptográfiai eszközök túlélésének biztosítása;
• az információbiztonságot fenyegető veszélyforrások, az információs kapcsolatok érdekelt alanyainak kárt okozó okok és feltételek időben történő azonosítása, az információbiztonságot fenyegető veszélyekre és a negatív tendenciákra adott gyors reagálás mechanizmusának létrehozása;
• a magánszemélyek és jogi személyek jogellenes cselekményei által okozott károk minimalizálásának, lokalizálásának feltételeinek megteremtése, az információbiztonság megsértésének negatív hatásainak mérséklése és következményeinek megszüntetése.

5.4. Az információbiztonság biztosításának problémáinak megoldási módjai

Az információbiztonság biztosításával kapcsolatos problémák megoldása megvalósul:

• szigorúan figyelembe veszi az összes védendő rendszererőforrást ( információk, feladatok, kommunikációs csatornák, szerverek, munkaállomások);
• az információfeldolgozási folyamatok és a szervezet strukturális részlegeinek alkalmazottai intézkedéseinek szabályozása, valamint az AU szoftvereinek és hardvereinek karbantartásával és módosításával foglalkozó személyzet intézkedései az információbiztonsággal kapcsolatos szervezeti és adminisztratív dokumentumok alapján;
• az információbiztonság kérdéseivel kapcsolatos szervezeti és adminisztratív dokumentumok követelményeinek teljessége, valós megvalósíthatósága és összhangja;
• az információbiztonságot biztosító gyakorlati intézkedések megszervezéséért és végrehajtásáért felelős alkalmazottak kinevezése és képzése;
• minden alkalmazott felhatalmazása a hatóság funkcionális feladatai ellátásához szükséges minimumra, hogy hozzáférjen az AU erőforrásaihoz;
• az AS hardvert és szoftvert használó és karbantartó valamennyi alkalmazott világosan ismeri és szigorúan betartja az információbiztonsággal kapcsolatos szervezeti és adminisztratív dokumentumok követelményeit;
• személyes felelőssége minden olyan alkalmazott tevékenységéért, amely funkcionális feladatai keretében részt vesz az automatizált információfeldolgozás folyamataiban és hozzáféréssel rendelkezik az AS erőforrásokhoz;
• információfeldolgozás technológiai folyamatainak megvalósítása a szoftverek, hardverek és adatok védelmét szolgáló szervezeti és technikai intézkedések komplexeinek felhasználásával;
• hatékony intézkedések megtétele a műszaki eszközök fizikai épségének biztosítására és az atomerőmű-elemek szükséges védelmi szintjének folyamatos fenntartására;
• műszaki alkalmazása ( szoftver és hardver) a rendszererőforrások védelmének eszközei és használatuk folyamatos adminisztratív támogatása;
• az információáramlás elhatárolása és a korlátozott terjesztésű információk nem védett kommunikációs csatornákon történő továbbításának tilalma;
• hatékony ellenőrzése annak, hogy a munkavállalók betartsák az információbiztonsági követelményeket;
• állandó megfigyelés hálózati erőforrások, a sebezhetőségek azonosítása, a számítógépes hálózat biztonságát fenyegető külső és belső fenyegetések időben történő észlelése és semlegesítése;
• a szervezet érdekeinek jogi védelme az információbiztonság területén a jogellenes cselekményektől.
• a megtett intézkedések és az alkalmazott információvédelmi eszközök eredményességének és elégségességének folyamatos elemzése, javaslatok kidolgozása és megvalósítása az AS információvédelmi rendszerének fejlesztésére.

6. Az információbiztonságot fenyegető veszélyek

6.1. Információbiztonsági fenyegetések és forrásaik

Az AS-ben feldolgozott információk biztonságát fenyegető legveszélyesebb fenyegetések a következők:

• adatvédelmi megsértés ( nyilvánosságra hozatal, kiszivárgás) hivatali vagy üzleti titkot képező információ, beleértve a személyes adatokat is;
• diszfunkció ( a munka szervezetlensége) AS, információblokkolás, technológiai folyamatok megsértése, a problémák időben történő megoldásának elmulasztása;
• integritás megsértése ( torzítás, helyettesítés, megsemmisítés) információk, szoftverek és egyéb AS-források.

Az AS-információk biztonságát fenyegető fő veszélyforrások a következők:

• kedvezőtlen természeti és ember által előidézett események;
• terroristák, bűnöző elemek;
• számítógépes behatolók, akik szándékos romboló hatást hajtanak végre, beleértve a felhasználást is számítógépes vírusokés más típusú rosszindulatú kódok és támadások;
• szoftverek és hardverek, fogyóeszközök, szolgáltatások stb. szállítói;
• berendezések telepítésében, üzembe helyezésében és javításában részt vevő vállalkozók;
• a felügyeleti és szabályozó hatóságok követelményeinek, a hatályos jogszabályoknak való be nem tartása;
• a szoftver és a hardver meghibásodása, meghibásodása, megsemmisülése/károsodása;
• olyan alkalmazottak, akik jogi résztvevői az AS-ben zajló folyamatoknak, és a kapott hatáskörökön kívül járnak el;
• alkalmazottak, akik jogi résztvevői az AS-ban zajló folyamatoknak, és a kapott hatáskörök keretein belül járnak el.

6.2. Az információbiztonság megsértéséhez vezető nem szándékos cselekmények és az ezeket megelőző intézkedések

A szervezet azon alkalmazottai, akik közvetlen hozzáféréssel rendelkeznek az AS információfeldolgozási folyamataihoz, potenciális forrásai lehetnek nem szándékos véletlenszerű cselekvéseknek, amelyek az információbiztonság megsértéséhez vezethetnek.

Az információbiztonság megsértéséhez vezető nem szándékos főbb tevékenységek (az emberek által véletlenül, tudatlanságból, figyelmetlenségből vagy hanyagságból, kíváncsiságból, de rosszindulatú szándék nélkül elkövetett cselekedetek). Asztal 1.

Asztal 1

Az információbiztonság megsértéséhez vezető főbb intézkedések
Az alkalmazottak tevékenységei, amelyek a rendszer részleges vagy teljes meghibásodásához vagy a hardver vagy szoftver meghibásodásához vezetnek; berendezések kikapcsolása vagy az eszközök és programok üzemmódjának megváltoztatása; a rendszer információs erőforrásainak megsemmisítése ( berendezés nem szándékos károsodása, programok vagy fájlok eltávolítása, eltorzulása fontos információ, beleértve a rendszereket, a kommunikációs csatornák károsodását, az adathordozók nem szándékos megrongálódását stb.)	Szervezeti megállapodások ( ). Fizikai eszközök alkalmazása a jogsértés nem szándékos elkövetésének megakadályozására. Alkalmazása műszaki ( hardver és szoftver) az erőforrásokhoz való hozzáférés korlátozásának eszközei. A kritikus erőforrások lefoglalása.
Olyan programok illetéktelen indítása, amelyek szakszerűtlen használat esetén a rendszer teljesítményének csökkenését okozhatják ( lefagy vagy hurkol) vagy visszafordíthatatlan változtatásokat hajt végre a rendszerben ( adathordozó formázása vagy átstrukturálása, adatok törlése stb.)	Szervezeti megállapodások ( az összes potenciálisan veszélyes program eltávolítása a munkaállomásról). Alkalmazása műszaki ( hardver és szoftver) a munkaállomásokon található programokhoz való hozzáférés korlátozásának eszközei.
Nem fiókolt programok jogosulatlan bevezetése és használata ( játék, képzés, technológiai és egyebek, amelyek nem szükségesek a munkavállalók hivatalos feladataik ellátásához) később indokolatlan erőforrás-ráfordítással ( cpu idő, véletlen hozzáférésű memória, memória külső adathordozón stb.)	Szervezeti megállapodások ( tilalmak bevezetése). Alkalmazása műszaki ( hardver és szoftver) a nem rögzített programok jogosulatlan bevezetésének és használatának megakadályozását jelenti.
A számítógép véletlen megfertőzése vírusokkal	Szervezeti megállapodások ( cselekmények szabályozása, tilalmak bevezetése). Technológiai intézkedések ( speciális programok használata a vírusok észlelésére és megsemmisítésére). Olyan hardver és szoftver használata, amely megakadályozza a számítógépes vírusok fertőzését.
A hozzáférés-vezérlési attribútumok nyilvánosságra hozatala, átvitele vagy elvesztése ( jelszavak, titkosítási kulcsok vagy ES, azonosító kártyák, igazolványok stb.)	Szervezeti megállapodások ( cselekmények szabályozása, tilalmak bevezetése, fokozott felelősség). Fizikai eszközök alkalmazása a megadott részletek biztonságának biztosítása érdekében.
A szervezeti korlátok figyelmen kívül hagyása ( megállapított szabályokat), amikor a rendszerben dolgozik	Szervezeti megállapodások ( ). További fizikai és technikai védelmi eszközök alkalmazása.
A védőfelszerelések szakszerűtlen használata, beállítása vagy illegális hatástalanítása a biztonsági személyzet által	Szervezeti megállapodások ( személyzet képzése, fokozott felelősség és kontroll).
Hibás adatok bevitele	Szervezeti megállapodások ( fokozott elszámoltathatóság és kontroll). Technológiai intézkedések az adatbeviteli operátorok hibáinak ellenőrzésére.

6.3. Az információbiztonságot sértő szándékos cselekvések és azok megelőzésére irányuló intézkedések

Jelentősebb szándékos cselekmények ( önző célból, kényszerből, bosszúvágyból stb.), amelyek az AU információbiztonságának megsértéséhez vezetnek, és az ezek megelőzésére és az esetlegesen okozott károk csökkentésére irányuló intézkedéseket tartalmaz. 2. táblázat.

2. táblázat

Az információbiztonság megsértéséhez vezető fő szándékos cselekmények	Intézkedések a fenyegetések megelőzésére és a károk minimalizálására
Az automatizált rendszer összes vagy néhány legfontosabb összetevőjének fizikai megsemmisítése vagy működésképtelensége ( eszközök, fontos hordozók rendszer információ, alkalmazottak stb.), a számítástechnikai rendszerek működését biztosító alrendszerek leállása vagy működésképtelensége ( tápegység, kommunikációs vonalak stb.)	Szervezeti megállapodások ( cselekmények szabályozása, tilalmak bevezetése). Fizikai eszközök alkalmazása a szabálysértés szándékos elkövetésének megakadályozására. A kritikus erőforrások lefoglalása.
Az ügynökök bevezetése a rendszer személyzeti létszámába ( beleértve a biztonságért felelős adminisztratív csoportot is), toborzás ( vesztegetés, zsarolás, fenyegetés stb.) olyan felhasználók, akik bizonyos jogosultságokkal rendelkeznek a védett erőforrásokhoz való hozzáféréshez	Szervezeti megállapodások ( a személyzet kiválasztása, elhelyezése és munkája, az ellenőrzés és a felelősség erősítése). A személyzeti műveletek automatikus regisztrálása.
Adathordozó ellopása ( nyomatok, mágneslemezek, szalagok, tárolóeszközök és teljes számítógépek), ipari hulladék ellopása ( nyomatok, feljegyzések, kiselejtezett adathordozók stb.)	Szervezeti megállapodások ( ).
Adathordozók jogosulatlan másolása, maradék információk beolvasása RAM-ból és külső tárolóeszközökről	Szervezeti megállapodások ( védett információkat tartalmazó adathordozók tárolásának és használatának megszervezése). A védett erőforrásokhoz való hozzáférés korlátozására szolgáló technikai eszközök alkalmazása és a dokumentumok nyomtatott példányainak átvételének automatikus regisztrálása.
A jelszavak és a hozzáférés-szabályozás egyéb részleteinek illegális megszerzése ( titkosítással, a felhasználók hanyagságából, kiválasztással, a rendszer interfész szoftverlapokkal történő utánzásával stb.) követi a regisztrált felhasználónak való álcázást.	Szervezeti megállapodások ( cselekmények szabályozása, tilalmak bevezetése, személyzettel való munka). Olyan technikai eszközök használata, amelyek megakadályozzák a jelszavak, kulcsok és egyéb részletek lehallgatására alkalmas programok bevezetését.
Az egyedi fizikai jellemzőkkel rendelkező felhasználók munkaállomásainak jogosulatlan használata, mint például egy munkaállomás száma a hálózatban, fizikai cím, cím a kommunikációs rendszerben, hardveres kódoló egység stb.	Szervezeti megállapodások ( a helyiségekbe való bejutás és az ezeken a munkaállomásokon való munkába bocsátás szigorú szabályozása). A beléptetés fizikai és technikai eszközeinek alkalmazása.
Jogosulatlan szoftvermódosítás - szoftveres "könyvjelzők" és "vírusok" bevezetése ( Trójai falók és bogarak), azaz olyan programrészek, amelyek nem szükségesek a deklarált funkciók megvalósításához, de lehetővé teszik a védelmi rendszer leküzdését, titkos és illegális hozzáférést biztosítanak a rendszer erőforrásaihoz védett információk regisztrálása és továbbítása, illetve a rendszer működésének megzavarása érdekében.	Szervezeti megállapodások ( a munkához jutás szigorú szabályozása). A hozzáférés-szabályozás fizikai és műszaki eszközeinek alkalmazása, valamint a munkaállomás hardver- és szoftverkonfigurációjának illetéktelen módosításának megakadályozása. Szoftverintegritás-ellenőrző eszközök alkalmazása.
Kommunikációs csatornákon továbbított adatok lehallgatása, elemzése a bizalmas információk megszerzése és a csereprotokollok, a hálózatba lépés szabályai és a felhasználói jogosultság megismerése érdekében, majd a rendszerbe való behatolás utáni kísérletekkel	A kommunikációs csatornák fizikai védelme. A továbbított információk kriptográfiai védelmének eszközeinek alkalmazása.
Nyilvános hálózatokból a rendszer működésébe való beavatkozás az adatok jogosulatlan módosítása, a bizalmas információkhoz való hozzáférés, az alrendszerek munkájának megzavarása stb.	Szervezeti megállapodások ( a csatlakozás és a nyilvános hálózatokban végzett munka szabályozása). Speciális technikai védelmi eszközök alkalmazása ( tűzfalak, biztonsági ellenőrzések és a rendszererőforrások elleni támadások észlelése stb.).

6.4. Információszivárgás technikai csatornákon keresztül

Az atomerőmű műszaki eszközeinek üzemeltetése során az információszivárgás vagy az információ sértetlenségének megsértése, a műszaki eszközök teljesítményének megsértése a következő csatornák lehetségesek:

• informatív jel hamis elektromágneses sugárzása műszaki eszközökről és információs átviteli vonalakról;
• elektronikus számítástechnikai berendezéssel feldolgozott tájékoztató jel felvétele olyan vezetékeken és vonalakon, amelyek túlmutatnak az irodai ellenőrzött területen, pl. a földön és az áramellátó áramkörökön;
• különféle elektronikus eszközök információ elfogására ( beleértve "könyvjelzők") kommunikációs csatornákhoz vagy információfeldolgozás technikai eszközeihez kapcsolódva;
• információ megjelenítése a képernyőkről és más, optikai eszközökkel történő megjelenítési eszközökről;
• hardverre vagy szoftverre gyakorolt ​​hatás az integritás megsértése érdekében ( rombolás, torzítás) az információ, a technikai eszközök működőképessége, az információbiztonság eszközei és az információcsere időszerűsége, beleértve az elektromágneseseket is, speciálisan megvalósított elektronikus és szoftvereszközökön keresztül ( "könyvjelzők").

Figyelembe véve a feldolgozás sajátosságait és az információk biztonságának biztosítását, a bizalmas információk kiszivárgásának veszélyét ( beleértve a személyes adatokat is) a technikai csatornákon keresztül irrelevánsak a szervezet számára.

6.5. Egy valószínű behatoló informális modellje

Az elkövető az a személy, aki tiltott műveleteket kísérelt meg ( akció) tévedésből, tudatlanságból vagy tudatosan ártó szándékkal ( önző érdekekből) vagy anélkül ( játék vagy öröm kedvéért, önigazolás céljából stb.) és ehhez különféle lehetőségeket, módszereket és eszközöket használva.

Az atomerőmű védelmi rendszerét a következő lehetséges behatolótípusokra vonatkozó feltételezések alapján kell felépíteni: figyelembe véve a személyek kategóriáját, motivációját, képzettségét, speciális eszközök elérhetőségét stb.):

• « Tapasztalatlan (figyelmetlen) felhasználó"- olyan alkalmazott, aki megkísérelhet tiltott műveleteket végezni, jogosítványán túlmenően hozzáférhet védett AS erőforrásokhoz, helytelen adatokat írhat be stb. tévedésből, alkalmatlanságból vagy hanyagságból elkövetett cselekmények rosszindulatú szándék nélkül, és csak szabályos ( elérhető számára) hardver és szoftver.
• « amatőr"- egy alkalmazott, aki önző célok és rosszindulatú szándék nélkül, önmegerősítésből vagy abból próbálja felülkerekedni a védelmi rendszeren" sport érdeklődés". A védelmi rendszer leküzdésére és tiltott műveletek végrehajtására használhatja különféle módszerek további engedélyek beszerzése az erőforrásokhoz való hozzáféréshez ( nevek, jelszavak stb. más felhasználók), hiányosságok a védelmi rendszer kiépítésében és a rendelkezésre álló személyzetben ( telepítve a munkaállomásra) programok ( jogosulatlan cselekmények azáltal, hogy túllépték az engedélyezett pénzeszközök felhasználására vonatkozó jogkörüket). Ezenkívül megpróbálhat további nem szabványos eszközöket és technológiai szoftvereket használni ( hibakeresők, segédprogramok), önállóan fejlesztett programok vagy szabványos kiegészítő technikai eszközök.
• « Csaló"- az a munkavállaló, aki illegális technológiai műveletek végrehajtását, hamis adatok megadását és hasonló cselekményeket kísérelhet meg személyes haszonszerzés céljából, kényszerből vagy rosszindulatú szándékból, de csak rendszeres ( telepítve van a munkaállomásra és elérhető a számára) hardver és szoftver saját vagy más munkavállaló nevében ( nevének és jelszavának ismeretében, rövid munkahelyi távollétének felhasználásával stb.).
• « Külső behatoló (behatoló)"- önző érdekből, bosszúból vagy kíváncsiságból, esetleg másokkal összejátszva, céltudatosan cselekvő kívülálló vagy volt alkalmazott. Felhasználhatja a nyilvános hálózatokra jellemző információbiztonsági incidensek, biztonsági rendszerek feltörésének módszereit és eszközeit ( különösen az IP-alapú hálózatok), beleértve a szoftveres könyvjelzők távoli megvalósítását, valamint speciális műszeres és technológiai programok használatát, felhasználva a csereprotokollok és a szervezet AS hálózati csomópontjait védő rendszer meglévő gyengeségeit.
• « Belső behatoló» - a rendszer felhasználójaként regisztrált, önző érdekből vagy bosszúból céltudatosan, esetleg nem a szervezet alkalmazottaival összejátszó munkavállaló. Használhatja a biztonsági rendszer feltörésére szolgáló módszerek és eszközök teljes készletét, beleértve a hozzáférési adatok megszerzésének titkos módszereit, a passzív eszközöket (a rendszerelemek módosítása nélküli lehallgatási technikai eszközök), az aktív befolyásolás módszereit és eszközeit ( technikai eszközök módosítása, adatátviteli csatornákhoz való csatlakozás, szoftver fülek bevezetése és speciális műszeres és technológiai programok használata), valamint a nyilvános hálózatokon belülről és a hálózatokról érkező hatások kombinációi.

A bennfentes a következő személyi kategóriákba tartozó személy lehet:

• regisztrált AS végfelhasználók ( osztályok és kirendeltségek alkalmazottai);
• a munkavállalók nem dolgozhatnak az AU-val;
• az atomerőmű műszaki létesítményeit kiszolgáló személyzet ( mérnökök, technikusok);
• szoftverfejlesztési és -karbantartási osztályok alkalmazottai ( alkalmazás- és rendszerprogramozók);
• a szervezet épületeit és helyiségeit kiszolgáló műszaki személyzet ( takarítók, villanyszerelők, vízvezeték-szerelők és más olyan dolgozók, akik hozzáférhetnek azokhoz az épületekhez és helyiségekhez, ahol az AU összetevői találhatók);
• különböző szintű vezetők.

• elbocsátott munkavállalók;
• a szervezet életének biztosításával kapcsolatos kérdésekben együttműködő szervezetek képviselői ( energia, víz, hőellátás stb.);
• berendezéseket, szoftvereket, szolgáltatásokat stb. szállító cégek képviselői;
• bűnszervezetek és egymással versengő kereskedelmi struktúrák tagjai vagy az utasításaik alapján eljáró személyek;
• olyan személyek, akik külső hálózatról véletlenül vagy szándékosan behatoltak a hálózatba ( "hackerek").

Az alkalmazottak közül a felhasználóknak és a kiszolgáló személyzetnek van a legszélesebb lehetőségei a jogosulatlan cselekmények végrehajtására, mivel bizonyos jogosultságokkal rendelkeznek az erőforrásokhoz, ill. jó tudás információfeldolgozási technológiák. A szabálysértők ezen csoportjának cselekedetei közvetlenül kapcsolódnak a meglévő szabályok és utasítások megsértéséhez. Az elkövetőknek ez a csoportja különös veszélyt jelent a bűnözői szervezetekkel való interakció során.

A kitelepített munkavállalók a munkatechnológiai ismereteiket, a biztosítékokat és a hozzáférési jogokat felhasználhatják a célok elérése érdekében.

A külső fenyegetések legagresszívebb forrását a bűnszervezetek jelentik. Ezek a struktúrák terveik megvalósítása érdekében nyíltan megsérthetik a törvényt, és minden rendelkezésükre álló erővel és eszközzel bevonhatják tevékenységükbe a szervezet alkalmazottait.

A hackerek rendelkeznek a legmagasabb műszaki képesítéssel, és ismerik az AS-ben használt szoftver gyengeségeit. A legnagyobb veszélyt a dolgozó vagy elbocsátott munkavállalókkal és bűnözői szervezetekkel való érintkezéskor jelentik.

Az eszközök, információs rendszerek fejlesztésével, szállításával és javításával foglalkozó szervezetek külső veszélyt jelentenek, mivel esetenként közvetlen hozzáféréssel rendelkeznek információforrásokhoz. A bûnszervezetek ezeket a szervezeteket használhatják tagjaik ideiglenes foglalkoztatására, hogy hozzáférjenek a védett információkhoz.

7. Technikai politika az információbiztonság területén

7.1. A műszaki politika főbb rendelkezései

Az információbiztonság területén a technikai politika megvalósításának abból az előfeltevésből kell kiindulnia, hogy a szükséges információbiztonsági szintet nem csak egy eszköz segítségével lehet biztosítani. külön eszköz (Események), hanem egyszerű készletük segítségével is. Ezeket szisztematikusan össze kell hangolni egymással ( komplex alkalmazás), és az AS egyes elemeit egy biztonságos kialakítású egységes információs rendszer részének kell tekinteni optimális arány műszaki ( hardver szoftver) alapok és szervezési intézkedések.

Az AU információbiztonságát biztosító technikai politika megvalósításának fő irányai az információforrások védelmének biztosítása a lopástól, elvesztéstől, kiszivárgástól, megsemmisüléstől, torzulástól vagy hamisítástól a jogosulatlan hozzáférés és különleges hatások miatt.

Az információbiztonságot biztosító technikai politika megjelölt irányvonalai keretében a következőket hajtják végre:

• előadóművészek beléptetési engedélyezési rendszerének megvalósítása ( felhasználók, kiszolgáló személyzet) bizalmas jellegű művekre, dokumentumokra és információkra;
• előadóművészek és illetéktelen személyek belépésének korlátozása olyan épületekbe és helyiségekbe, ahol bizalmas munkát végeznek, és amelyeken információs és kommunikációs eszközök találhatók, tárolva, továbbítva) bizalmas jellegű információk közvetlenül az informatizálási és kommunikációs eszközökhöz;
• a felhasználók és a karbantartó személyzet hozzáférésének elhatárolása az információs erőforrásokhoz, az információ feldolgozására és védelmére szolgáló szoftvereszközökhöz az AS-ben szereplő különböző szintű és célú alrendszerekben;
• dokumentumok, információs tömbök nyilvántartása, a felhasználók és a karbantartó személyzet tevékenységeinek nyilvántartása, a jogosulatlan hozzáférés és a felhasználók, karbantartó személyzet és illetéktelen személyek tevékenységének ellenőrzése;
• vírusprogramok, szoftverkönyvjelzők automatizált alrendszerekbe való bevezetésének megakadályozása;
• Számítógépes technológia és kommunikáció segítségével feldolgozott és továbbított információk kriptográfiai védelme;
• gépi adathordozók, kriptográfiai kulcsok megbízható tárolása ( kulcs információ) és forgalmuk, ide nem értve a lopást, a helyettesítést és a megsemmisítést;
• a technikai eszközök szükséges redundanciája és a tömbök és adathordozók megkettőzése;
• az automatizált alrendszerek különböző elemei által keltett hamis sugárzás és interferencia szintjének és információtartalmának csökkentése;
• a tápellátási áramkörök elektromos leválasztása, az informatikai objektumok földelése és egyéb áramkörei, amelyek túlmutatnak az ellenőrzött területen;
• szembenállás az optikai és lézeres termékek megfigyelések.

7.2. Az információbiztonsági mód kialakítása

Figyelembe véve az atomerőmű biztonságát veszélyeztető azonosított veszélyeket, az információbiztonsági rendszert olyan módszerek és intézkedések összességeként kell kialakítani, amelyek megvédik az atomerőműben és az azt támogató infrastruktúrában keringő információkat az atomerőműben keringő információk véletlen vagy szándékos hatásaitól. természetes vagy mesterséges természetű, ami kárt okoz az információ tulajdonosainak vagy felhasználóinak.

Az információbiztonsági rendszer kialakítására irányuló intézkedések sorozata a következőket tartalmazza:

• az információbiztonság szervezeti és jogi szabályozásának létrehozása az AS-ben szabályozó dokumentumok, személyzettel való munka, irodai munka);
• szervezeti és technikai intézkedések végrehajtása a korlátozott információknak a technikai csatornákon keresztül történő kiszivárgás elleni védelmére;
• szervezeti és szoftveres és hardveres intézkedések a jogosulatlan tevékenységek megelőzésére ( hozzáférés) az AU információs forrásaihoz;
• intézkedéscsomag a korlátozottan terjedő információforrások véletlen vagy szándékos hatások utáni védelmére szolgáló eszközök és rendszerek működésének ellenőrzésére.

8. Az információbiztonságot biztosító intézkedések, módszerek és eszközök

8.1. Szervezeti rendelkezések

Szervezeti rendelkezések- ezek olyan szervezési intézkedések, amelyek szabályozzák az AS működési folyamatait, erőforrásaik felhasználását, a karbantartó személyzet tevékenységét, valamint azt, hogy a felhasználók milyen módon léphetnek kapcsolatba a rendszerrel oly módon, hogy az leginkább akadályozza vagy kizárja a rendszer működését. lehetőség a biztonsági fenyegetések megvalósítására és a kár mértékének csökkentésére, ha megvalósulnak.

8.1.1. Biztonságpolitika kialakítása

A szervezeti intézkedések fő célja az információvédelmi szemléletet tükröző információbiztonsági politika kialakítása, ennek megvalósítása a szükséges erőforrások allokálásával és a helyzet figyelemmel kísérésével.

Gyakorlati szempontból az atomerőmű biztonsági politikáját célszerű két szintre osztani. A legfelső szintbe azok a döntések tartoznak, amelyek a szervezet egészének tevékenységét érintik. Példák az ilyen megoldásokra:

• átfogó információbiztonsági program kialakítása vagy felülvizsgálata, a végrehajtásért felelősök meghatározása;
• célok megfogalmazása, feladatok meghatározása, tevékenységi területek meghatározása az információbiztonság területén;
• a biztonsági program végrehajtásával kapcsolatos döntések meghozatala, amelyeket a szervezet egészének szintjén mérlegelnek;
• normatív ( jogi) biztonsági kérdések adatbázisai stb.

Az alsóbb szintű szabályzat meghatározza a célok eléréséhez és az információbiztonsági problémák megoldásához szükséges eljárásokat és szabályokat, és ezeket a szabályokat részletezi (szabályozza):

• mi az információbiztonsági politika hatálya;
• mi a szerepe és felelőssége az információbiztonsági politika végrehajtásáért felelős tisztviselőknek;
• aki hozzáférési joggal rendelkezik a korlátozott információkhoz;
• kik és milyen feltételek mellett olvashatnak és módosíthatnak információkat stb.

Az alacsonyabb szintű politikának:

• gondoskodjon az információs viszonyok szabályozásáról, kizárva az önkényes, monopólium vagy jogosulatlan fellépés lehetőségét a bizalmas információforrásokkal kapcsolatban;
• meghatározza a koalíciós és hierarchikus elveket és módszereket a titkok megosztására és a korlátozott információkhoz való hozzáférés korlátozására;
• szoftveres és hardveres kriptográfiai védelmet, a jogosulatlan hozzáférést megakadályozó, hitelesítési, engedélyezési, azonosítási és egyéb védelmi mechanizmusokat válasszon, amelyek biztosítják az információs kapcsolatok alanyai jogainak és kötelezettségeinek érvényesülését.

8.1.2. A műszaki létesítményekhez való hozzáférés szabályozása

A biztonságos munkaállomások és a Bank szervereinek üzemeltetését megbízható automata zárakkal, riasztórendszerrel felszerelt, folyamatosan őrzött vagy ellenőrzött helyiségekben kell végezni, amely kizárja az illetéktelen személyek helyiségébe való illetéktelen bejutását és biztosítja a védett erőforrások testi épségét. helyiségében található ( AWS, dokumentumok, hozzáférési adatok stb.). Az ilyen munkaállomások műszaki eszközeinek elhelyezése és felszerelése kizárja a bemenet vizuális megtekintésének lehetőségét ( származtatott) olyan személyektől származó információk, akik nem állnak kapcsolatban vele. A helyiségek takarítását a beépített berendezésekkel a felelős személy vagy az egység ügyeletesének jelenlétében kell elvégezni, olyan intézkedésekkel, amelyek kizárják az illetéktelen személyek hozzáférését a védett erőforrásokhoz.

A korlátozott hozzáférésű információk feldolgozása során csak az ezen információkkal való foglalkozásra jogosult személyek tartózkodhatnak a helyiségben.

A munkanap végén a védett munkaállomásokkal ellátott helyiségeket őrzés alá kell vonni.

A hivatalos iratok és a védett információkat tartalmazó gépi adathordozók tárolására a dolgozókat fémszekrényekkel, valamint dokumentumok megsemmisítésére szolgáló eszközökkel látják el.

A bizalmas információk feldolgozására vagy tárolására használt technikai eszközöket lepecsételni kell.

8.1.3. A munkavállalók információs források használatba vételének szabályozása

Az engedélyezési rendszer keretein belül rögzítésre kerül: ki, kinek, milyen tájékoztatást és milyen típusú hozzáférést biztosíthat és milyen feltételekkel; beléptető rendszer, amely magában foglalja az összes AS-felhasználó számára a számukra elérhető információk és szoftver erőforrások meghatározását bizonyos műveletekhez ( olvasni, írni, módosítani, törölni, végrehajtani) a megadott szoftver- és hardver-hozzáférési eszközök használatával.

Szigorúan szabályozni kell a munkavállalók AU-val való munkavállalását és az erőforrásaikhoz való hozzáférést. Az AU alrendszerei felhasználóinak összetételében és jogkörében bekövetkező bármilyen változtatást az előírt módon kell végrehajtani.

Az AS fő információfelhasználói a szervezet strukturális részlegeinek alkalmazottai. Az egyes felhasználók jogosultsági szintjét egyedileg határozzák meg, a következő követelmények betartásával:

• a nyílt és bizalmas információkat lehetőség szerint különböző szervereken helyezik el;
• minden alkalmazott csak a rá ruházott jogokat élvezi azon információkkal kapcsolatban, amelyek birtokában hivatali feladataival összhangban dolgoznia kell;
• a főnöknek joga van megtekinteni beosztottjai információit;
• a legkritikusabb technológiai műveleteket a szabály szerint kell elvégezni "két kéz"- a bevitt adatok helyességét más, adatbeviteli joggal nem rendelkező tisztviselő igazolja.

Az atomerőműben munkavégzésre felvett valamennyi alkalmazottat és az atomerőmű-karbantartó személyzetet személyesen kell felelősségre vonni az automatizált információfeldolgozásra megállapított eljárás, valamint a rendelkezésükre álló védett rendszererőforrások tárolására, felhasználására és átadására vonatkozó szabályok megsértéséért. Minden alkalmazottnak a felvételkor alá kell írnia a bizalmas információk megőrzésére és megsértésükért való felelősségre vonatkozó kötelezettségvállalást, valamint a védett információkkal való munkavégzésre vonatkozó szabályok végrehajtását az AS-ben.

A védett információk feldolgozását az AU alrendszereiben a jóváhagyott technológiai utasításoknak megfelelően kell végrehajtani. parancsokat) ezekre az alrendszerekre.

A munkaállomásokkal védett felhasználók számára ki kell dolgozni a szükséges technológiai utasításokat, beleértve az információbiztonság követelményeit is.

8.1.4. Az adatbázisok karbantartásának és az információforrások módosításának folyamatainak szabályozása

Szigorúan szabályozni kell az AU-ban az adatbázisok karbantartására és az alkalmazottak ezen adatbázisokkal való munkavégzésére irányuló minden műveletet. Az AS adatbázis-felhasználók összetételében és jogkörében bekövetkezett bármilyen változtatást az előírt módon kell végrehajtani.

A nevek kiosztása, a jelszavak generálása, az adatbázisokhoz való hozzáférés lehatárolására vonatkozó szabályok karbantartása az Informatikai Tanszék munkatársaira van bízva. Ebben az esetben mind a rendszeres, mind a további pénzeszközök DBMS és operációs rendszerek védelme.

8.1.5. Karbantartási folyamatok szabályozása, hardver és szoftver erőforrások módosítása

A védendő rendszererőforrások ( feladatok, programok, munkaállomás) szigorú elszámolás alá tartoznak ( megfelelő űrlapok vagy speciális adatbázisok használata alapján).

Azon munkaállomások hardver- és szoftverkonfigurációjának, ahol védett információkat dolgoznak fel, vagy amelyekről lehetőség van a védett erőforrásokhoz való hozzáférésre, meg kell felelnie a munkaállomás felhasználóira ruházott funkcionális feladatok körének. Minden fel nem használt (extra) információ bemeneti-kimeneti eszköz ( COM, USB, LPT portok, hajlékonylemez meghajtók, CD és egyéb adathordozók) az ilyen munkaállomásokon le kell tiltani (törölni), törölni kell a felesleges szoftvereket és a munkaállomás lemezeiről származó adatokat is.

A karbantartás, karbantartás és a védelem megszervezésének egyszerűsítése érdekében a munkaállomásokat szoftverrel kell felszerelni és egységesen konfigurálni ( megállapított szabályoknak megfelelően).

Az új munkaállomások üzembe helyezését, valamint a hardver és szoftver konfigurációjában, a meglévő munkaállomásokon a szervezet AS-jában csak a megállapított eljárásnak megfelelően szabad végrehajtani.

Minden szoftver ( a szervezet szakemberei által kifejlesztett, gyártóktól beszerzett vagy vásárolt) az előírt módon tesztelni kell, és át kell adni a szervezet programtárába. Az AS alrendszerekben csak a letétkezelőtől meghatározott sorrendben kapott szoftvereszközöket szabad telepíteni és használni. A programtárolóban nem szereplő szoftverek használatát az AS-ben meg kell tiltani.

A szoftverfejlesztést, a kifejlesztett és beszerzett szoftverek tesztelését, a szoftverek üzembe helyezését a megállapított eljárási rend szerint kell elvégezni.

8.1.6. Felhasználói képzés és oktatás

Az AS-hez való hozzáférés megadása előtt annak felhasználóinak, valamint a vezető és karbantartó személyzetnek ismernie kell a bizalmas információk listáját és jogosultsági szintjüket, valamint a rendszert meghatározó szervezeti, adminisztratív, szabályozási, műszaki és működési dokumentációt. az ilyen információk feldolgozására vonatkozó követelmények és eljárás.

Az információk védelme a fenti területek mindegyikén csak akkor lehetséges, ha kialakul egy bizonyos fegyelem a felhasználók körében, pl. normák, amelyek kötelezőek mindazok számára, akik az AS-ban dolgoznak. Az ilyen normák magukban foglalják minden olyan szándékos vagy nem szándékos cselekvés tilalmát, amely megzavarja az AS normál működését, további erőforrás-költségeket okoz, sérti a tárolt és feldolgozott információk integritását, sérti a jogos felhasználók érdekeit.

Minden alkalmazottnak, aki munkája során az AU meghatározott alrendszereit alkalmazza, ismernie kell az AU védelmét szolgáló szervezeti és adminisztratív dokumentumokat az őt érintő részben, ismernie kell és szigorúan be kell tartania a technológiai utasításokat és a biztonságot szolgáló általános kötelezettségeket. információkról. Ezen dokumentumok követelményeinek megismertetését a védett információ feldolgozásába feljogosított személyekkel az osztályvezetők kötelesek aláírás ellenében elvégezni.

8.1.7. Felelősség az információbiztonsági követelmények megsértéséért

Az információbiztonsági követelményeknek a szervezet alkalmazottai általi minden súlyos megsértése esetén belső vizsgálatot kell végezni. Az elkövetőkkel szemben megfelelő befolyásolási intézkedéseket kell alkalmazni. A személyzet felelősségének mértékét az információk biztonságos automatizált feldolgozása érdekében megállapított szabályok megsértésével elkövetett cselekményekért az okozott kár, a rosszindulatú szándék és egyéb tényezők alapján kell meghatározni.

A felhasználók cselekedeteikért való személyes felelőssége elvének megvalósításához szükséges:

• a felhasználók és az általuk kezdeményezett folyamatok egyéni azonosítása, azaz. azonosító létrehozása számukra, amely alapján a hozzáférés ésszerű hozzáférés elvének megfelelően a hozzáférések megkülönböztetése megtörténik;
• felhasználói hitelesítés ( hitelesítés) jelszavak, eltérő fizikai alapon lévő kulcsok stb. alapján;
• bejegyzés ( fakitermelés) az információs rendszer erőforrásaihoz való hozzáférést ellenőrző mechanizmusok működése, feltüntetve a dátumot és időpontot, a kért és kért erőforrások azonosítóit, az interakció típusát és eredményét;
• reakció az illetéktelen hozzáférési kísérletekre ( riasztás, blokkolás stb.).

8.2. Műszaki védelmi eszközök

műszaki ( hardver és szoftver) védelmi eszközök - különféle elektronikus eszközök és speciális programok, amelyek az AU részét képezik, és (önállóan vagy más eszközökkel kombinálva) védelmi funkciókat látnak el ( a felhasználók azonosítása és hitelesítése, az erőforrásokhoz való hozzáférés ellenőrzése, eseményregisztráció, információk kriptográfiai védelme stb.).

Figyelembe véve az összes követelményt és alapelvet az AS-ben lévő információbiztonság biztosítására a védelem minden területén, a következő eszközöket kell beépíteni a védelmi rendszerbe:

• a felhasználók és az AS-elemek hitelesítésének eszközei ( terminálok, feladatok, adatbázis elemek stb.) az információk és a feldolgozott adatok titkosságának fokának megfelelően;
• az adatokhoz való hozzáférés megkülönböztetésének eszközei;
• Adatátviteli vonalakban és adatbázisokban lévő információk kriptográfiai védelmének eszközei;
• a fellebbezések nyilvántartására és a védett információk felhasználásának nyomon követésére szolgáló eszközök;
• az észlelt UA-ra vagy az UA-ra tett kísérletekre való válaszadás eszközei;
• a hamis sugárzás és a hangfelvételek szintjének és információtartalmának csökkentésére szolgáló eszközök;
• az optikai megfigyelési eszközök elleni védelem;
• vírusok és rosszindulatú programok elleni védelmi eszközök;
• az atomerőmű elemeinek és azon helyiségek szerkezeti elemeinek elektromos szétválasztásának eszközei, amelyekben a berendezés található.

A jogosulatlan hozzáférés elleni védelem technikai eszközeihez a következő főbb feladatok tartoznak:

• a felhasználók azonosítása és hitelesítése nevek és/vagy speciális hardver segítségével ( Érintse meg a Memória, Intelligens kártya stb.);
• a munkaállomások fizikai eszközeihez való felhasználói hozzáférés szabályozása ( meghajtók, I/O portok);
• hozzáférés szelektív (diszkrecionális) szabályozása logikai meghajtók, könyvtárak és fájlok;
• a védett adatokhoz való hozzáférés mérvadó (kötelező) megkülönböztetése munkaállomáson és fájlszerveren;
• zárt kialakítása szoftverkörnyezet mind a helyi, mind a hálózati meghajtókon található programok futtatása engedélyezett;
• számítógépes vírusok és rosszindulatú programok behatolása elleni védelem;
• védelmi rendszermodulok, lemezrendszer-területek és tetszőleges fájlok listájának integritásának ellenőrzése automatikus üzemmódés rendszergazdai parancsokkal;
• felhasználói műveletek regisztrálása egy védett naplóban, több szintű regisztráció megléte;
• a védelmi rendszer adatainak védelme a fájlszerveren az összes felhasználó általi hozzáféréstől, beleértve a hálózati rendszergazdát is;
• hozzáférés-vezérlési beállítások központi kezelése a hálózati munkaállomásokon;
• a munkaállomásokon előforduló összes UA esemény regisztrálása;
• a hálózathasználók munkájának operatív ellenőrzése, a munkaállomások működési módjának megváltoztatása és a blokkolási lehetőség ( ha szükséges) bármely hálózati állomáson.

A technikai védelmi eszközök sikeres alkalmazása feltételezi, hogy az alábbiakban felsorolt ​​követelmények teljesítését szervezeti intézkedések és az alkalmazott fizikai védelmi eszközök biztosítják:

• az AU valamennyi összetevőjének fizikai integritása biztosított;
• minden dolgozó rendszer felhasználója) egyedi rendszernévvel és a rendszererőforrásokhoz való hozzáféréshez szükséges funkcionális feladatai ellátásához szükséges minimális jogosultságokkal rendelkezik;
• műszeres és technológiai programok használata munkaállomásokon ( segédprogramokat, hibakeresőket stb.), amelyek lehetővé teszik a biztonsági intézkedések feltörésére vagy megkerülésére irányuló kísérleteket, korlátozottak és szigorúan szabályozottak;
• a biztonságos rendszerben nincsenek programozó felhasználók, a programok fejlesztése és hibakeresése a biztonságos rendszeren kívül történik;
• a hardver és a szoftver konfigurációjában minden változtatás szigorúan meghatározott módon történik;
• hálózati hardver ( hubok, kapcsolók, útválasztók stb.) idegenek számára hozzáférhetetlen helyen található ( speciális helyiségek, szekrények stb.);
• az információbiztonsági szolgálat folyamatos kezelési és adminisztrációs támogatást nyújt az információvédelmi eszközök működtetéséhez.

8.2.1. A felhasználók azonosításának és hitelesítésének eszközei

Annak megakadályozása érdekében, hogy illetéktelen személyek hozzáférjenek az AS-hez, gondoskodni kell arról, hogy a rendszer felismerjen minden jogos felhasználót (vagy korlátozott felhasználói csoportokat). Ehhez a rendszerben ( védett helyen) minden egyes felhasználóhoz számos attribútumot kell tárolnia, amelyek alapján ez a felhasználó azonosítható. A jövőben a rendszerbe való belépéskor, illetve adott esetben a rendszerben bizonyos műveletek elvégzésekor a felhasználónak azonosítania kell magát, pl. adja meg a rendszerben a hozzá rendelt azonosítót. Ezen kívül az azonosításra különféle típusú eszközök használhatók: mágneskártyák, kulcsbetétek, hajlékonylemezek stb.

Hitelesítés ( hitelesítés).

8.2.2. Az automatizált rendszer erőforrásaihoz való hozzáférés korlátozásának eszköze

A felhasználó felismerése után a rendszernek engedélyeznie kell a felhasználót, vagyis meg kell határoznia, hogy milyen jogosultságokat kap a felhasználó, pl. milyen adatokat és hogyan tudja használni, milyen programokat tud végrehajtani, mikor, mennyi ideig és milyen terminálokról tud működni, milyen rendszererőforrásokat használhat stb. A felhasználói jogosultságot a következő mechanizmusok segítségével kell végrehajtani a hozzáférés-szabályozás megvalósításához:

• az attribútum-sémák, engedélylisták stb. használatán alapuló szelektív hozzáférés-szabályozás mechanizmusai;
• az erőforrás-érzékenységi címkék és a felhasználói hozzáférési szintek használatán alapuló hiteles hozzáférés-szabályozás mechanizmusai;
• mechanizmusok a megbízható szoftverek zárt környezetének biztosítására ( egyénileg minden felhasználó számára a futtatható programok listája) olyan mechanizmusok támogatják, amelyek azonosítják és hitelesítik a felhasználókat, amikor bejelentkeznek a rendszerbe.

Az egyes műszaki védelmi eszközök felelősségi és feladatai az eszközök dokumentációjában leírt képességeik és teljesítményjellemzőik alapján kerülnek meghatározásra.

A beléptetés műszaki eszközeinek az egységes beléptetőrendszer szerves részét kell képezniük:

• az ellenőrzött területre;
• külön helyiségekben;
• AS-elemekhez és információbiztonsági rendszerelemekhez ( fizikai hozzáférés);
• az AS erőforrásokhoz ( szoftver-matematikai hozzáférés);
• információtárakba ( adathordozók, kötetek, fájlok, adatkészletek, archívumok, referenciák, iratok stb.);
• aktív erőforrásokhoz ( pályázati programok, feladatok, igénylőlapok stb.);
• az operációs rendszerhez rendszerprogramokés védelmi programok stb.

8.2.3. Eszközök a szoftverek és információs erőforrások integritásának biztosítására és felügyeletére

A programok, feldolgozott információk és védelmi eszközök integritásának ellenőrzéséről gondoskodni kell a szoftverkörnyezetnek a biztosított feldolgozási technológia által meghatározott változatlanságának biztosítása, valamint az információk jogosulatlan javítása elleni védelem érdekében:

• ellenőrző összegek kiszámításának eszközei;
• elektronikus aláírás eszközei;
• a kritikus erőforrások referenciapéldányaikkal való összehasonlításának eszközei ( és az integritás megsértése esetén helyreállítás);
• beléptetési eszközök ( megtagadja a hozzáférést módosítási vagy törlési jogokkal).

Az információk és programok jogosulatlan megsemmisítéstől vagy torzítástól való védelme érdekében biztosítani kell:

• rendszertáblázatok és adatok sokszorosítása;
• adatok kétoldalas nyomtatása és tükrözése lemezeken;
• Tranzakciókövetés;
• időszakos integritás-ellenőrzések operációs rendszerés felhasználói programok, valamint felhasználói fájlok;
• vírusvédelem és ellenőrzés;
• adatok biztonsági mentése egy előre meghatározott séma szerint.

8.2.4. Biztonsági eseményvezérlők

Az ellenőrzéseknek biztosítaniuk kell, hogy minden eseményt észleljenek és rögzítsenek ( felhasználói műveletek, UA-kísérletek stb.), ami a biztonságpolitika megsértéséhez és válsághelyzetekhez vezethet. A vezérlőknek lehetővé kell tenniük a következőket:

• a kulcsfontosságú hálózati csomópontok és hálózatalkotó kommunikációs berendezések, valamint a hálózati tevékenység folyamatos monitorozása a kulcsfontosságú hálózati szegmensekben;
• a vállalati és nyilvános hálózati szolgáltatások felhasználók általi használatának ellenőrzése;
• Biztonsági eseménynaplók karbantartása és elemzése;
• az információbiztonságot fenyegető külső és belső fenyegetések időben történő észlelése.

A biztonsági események bejelentkezésekor rendszernapló a következő információkat kell rögzíteni:

• az esemény dátuma és ideje;
• tárgy azonosító ( felhasználó, program) a regisztrált művelet végrehajtása;
• akció ( ha egy hozzáférési kérelem regisztrálva van, akkor a rendszer feljegyzi a hozzáférés objektumát és típusát).

A vezérlőknek biztosítaniuk kell a következő események észlelését és rögzítését:

• bejelentkezés;
• felhasználói bejelentkezés a hálózatba;
• sikertelen bejelentkezési vagy hálózati kísérlet ( rossz jelszó megadása);
• kapcsolat fájlszerverrel;
• a program elindítása;
• a program befejezése;
• olyan program elindításának kísérlete, amely nem indítható el;
• egy hozzáférhetetlen címtárhoz való hozzáférési kísérlet;
• a felhasználó számára hozzáférhetetlen lemezről történő információ olvasására/írására irányuló kísérlet;
• a program elindításának kísérlete olyan lemezről, amely a felhasználó számára elérhetetlen;
• a védelmi rendszer programjainak és adatainak integritásának megsértése stb.

Az UA felfedezett tényeire a következő fő válaszadási módokat kell támogatni ( esetleg biztonsági rendszergazda közreműködésével):

• az UA-val kapcsolatos információk tulajdonosának értesítése az adataihoz;
• a program eltávolítása ( feladatokat) a további végrehajtástól;
• az adatbázis-adminisztrátor és a biztonsági adminisztrátor értesítése;
• terminál leállás ( munkaállomás).
• a szabálysértő kizárása a regisztrált felhasználók listájáról;
• riasztást adni stb.

8.2.5. Az információvédelem kriptográfiai eszközei

Az AS információbiztonsági rendszerének egyik legfontosabb eleme a kriptográfiai módszerek és eszközök alkalmazása az információk illetéktelen hozzáféréstől való védelmére, amikor azokat kommunikációs csatornákon továbbítják és számítógépes adathordozón tárolják.

Az AS-ben a kriptográfiai információvédelem minden eszközének az alapvető kriptográfiai magon kell alapulnia. A kriptográfiai adathordozók használati jogához a szervezetnek rendelkeznie kell a törvény által meghatározott engedélyekkel.

Az AS-ben használt kriptográfiai védelmi eszközök kulcsrendszerének kriptográfiai túlélést és többszintű védelmet kell biztosítania a kulcsinformációk kompromittálódása ellen, a felhasználók elkülönítését védelmi szintek szerint, valamint interakciójuk zónáit saját maguk és más szintű felhasználók között.

Az információ titkosságát és utánzatvédelmét kommunikációs csatornákon történő továbbítása során előfizetői és csatornatitkosítással kell biztosítani a rendszerben. Az információ előfizetői és csatornatitkosításának kombinációjának biztosítania kell annak végpontok közötti védelmét az áthaladás teljes útvonalán, meg kell védenie az információt a kapcsolóközpontok hardverének és szoftverének meghibásodása és meghibásodása miatti hibás átirányítása esetén.

Az AS-nek, amely egy elosztott információs erőforrásokkal rendelkező rendszer, alkalmaznia kell az elektronikus aláírás létrehozásának és ellenőrzésének eszközeit is, amelyek biztosítják az üzenetek integritását és hitelességének jogi bizonyítását, valamint a felhasználók, előfizetői állomások hitelesítését és az üzenetek megerősítését. az üzenetek küldésének időpontja. Ebben az esetben szabványos elektronikus aláírási algoritmusokat kell használni.

8.3. Információbiztonsági menedzsment

Az információbiztonsági rendszer kezelése az AS-ben célzottan hat a biztonsági rendszer összetevőire ( szervezési, műszaki, szoftveres és kriptográfiai) annak érdekében, hogy a fő biztonsági fenyegetések végrehajtásával összefüggésben elérjék az atomerőműben keringő információk biztonsági követelményeit és szabványait.

Az információbiztonsági rendszer irányításának megszervezésének fő célja az információvédelem megbízhatóságának növelése annak feldolgozása, tárolása és továbbítása során.

Az információbiztonsági rendszer kezelését egy speciális vezérlő alrendszer valósítja meg, amely vezérlőkből, műszaki, szoftveres és kriptográfiai eszközökből, valamint szervezeti intézkedésekből és különböző szintű, egymással kölcsönhatásba lépő vezérlőpontokból áll.

A vezérlő alrendszer funkciói: információs, vezérlő és kisegítő.

Az információs funkció a védelmi rendszer állapotának folyamatos nyomon követéséből, a biztonsági mutatók elfogadható értékeknek való megfelelőségének ellenőrzéséből, valamint a biztonsági üzemeltetők azonnali tájékoztatásából áll az atomerőműben felmerülő olyan helyzetekről, amelyek az információbiztonság megsértéséhez vezethetnek. A védelmi rendszer állapotának figyelésére két követelmény vonatkozik: a teljesség és a megbízhatóság. A teljesség az összes védelmi eszköz lefedettségi fokát és működési paramétereit jellemzi. A szabályozás megbízhatósága jellemzi a szabályozott paraméterek értékeinek valós értékükhöz való megfelelőségét. Az ellenőrző adatok feldolgozása eredményeként a védelmi rendszer állapotáról információ keletkezik, amelyet általánosítanak és továbbítanak a magasabb ellenőrzési pontokhoz.

Az irányítási funkció az atomerőmű technológiai működésének végrehajtására vonatkozó tervek kialakításából áll, figyelembe véve az információbiztonság követelményeit az adott időpontban fennálló körülmények között, valamint az információs helyzet helyének meghatározását. a sebezhetőség és annak kiszivárgásának megakadályozása az atomerőmű azon szakaszainak azonnali blokkolásával, ahol veszély fenyegeti az információbiztonságot. A kezelési funkciók közé tartozik a könyvelés, tárolás, dokumentumok és információhordozók, jelszavak és kulcsok kiadása. Ezzel egyidejűleg jelszavak, kulcsok generálása, beléptető eszközök karbantartása, az AS szoftverkörnyezetbe beépített új szoftverek elfogadása, a szoftverkörnyezet szabványnak való megfelelésének ellenőrzése, valamint a technológiai fejlődés ellenőrzése. A bizalmas információk feldolgozásának folyamatát az Informatikai Tanszék és a Gazdaságbiztonsági Főosztály munkatársai bízzák meg.

NAK NEK segítő funkciók a menedzsment alrendszerek magukban foglalják az AS-ben védett információkkal végzett összes művelet elszámolását, jelentési dokumentumok kialakítását és statisztikai adatok gyűjtését a lehetséges információszivárgási csatornák elemzése és azonosítása érdekében.

8.4. A védelmi rendszer hatékonyságának nyomon követése

Az információbiztonsági rendszer hatékonyságának nyomon követése az ahhoz való jogosulatlan hozzáférésből eredő információszivárgás időbeni észlelése és megelőzése, valamint az információk megsemmisítésére, az informatizálási eszközök megsemmisítésére irányuló esetleges speciális hatások megelőzése érdekében történik.

Az információvédelmi intézkedések hatékonyságának értékelése szervezési, technikai és szoftveres kontrollok segítségével történik a megállapított követelmények betartása érdekében.

Az irányítás mind az információbiztonsági rendszer szabványos eszközeivel, mind pedig speciális vezérlési és technológiai felügyeleti eszközökkel végezhető.

8.5. A személyes adatok információbiztonságának biztosításának jellemzői

A személyes adatok minősítése a személyes adatok biztonsági tulajdonságainak elvesztése a személyes adatok alanyára gyakorolt ​​következményeinek súlyosságával összhangban történik.

• A személyes adatokról ” a személyes adatok speciális kategóriáira;
• a szövetségi törvény szerint minősített személyes adatok " A személyes adatokról ” a biometrikus személyes adatokhoz;
• a személyes adatok különleges kategóriáihoz, biometrikus személyes adatokhoz, nyilvánosan elérhető vagy személytelenített személyes adatokhoz nem rendelhető személyes adatok;
• a szövetségi törvény szerint minősített személyes adatok " A személyes adatokról ” nyilvánosan elérhető vagy azonosítatlan személyes adatokra.

A személyes adatok harmadik fél részére történő továbbítását a szövetségi törvény vagy a személyes adatok alanyának hozzájárulása alapján kell végrehajtani. Abban az esetben, ha a szervezet a személyes adatok feldolgozását szerződés alapján harmadik személyre bízza, a megállapodás elengedhetetlen feltétele a harmadik fél kötelezettsége, hogy gondoskodjon a személyes adatok titkosságáról és a személyes adatok biztonságáról. feldolgozásuk során.

A szervezetnek le kell állítania a személyes adatok feldolgozását, és meg kell semmisítenie az összegyűjtött személyes adatokat, hacsak az Orosz Föderáció jogszabályai másként nem rendelkeznek, az Orosz Föderáció jogszabályai által megállapított határidőn belül a következő esetekben:

• az adatkezelés céljainak elérésekor, vagy amikor azok eléréséhez már nincs szükség;
• a személyes adatok alanyának vagy a személyes adatok alanyainak jogainak védelmére felhatalmazott szerv kérésére - ha a személyes adat hiányos, elavult, pontatlan, jogellenesen jutott hozzá, vagy az adatkezelés megjelölt céljához nem szükséges;
• amikor a személyes adatok alanya visszavonja személyes adatainak feldolgozásához adott hozzájárulását, ha az Orosz Föderáció jogszabályai szerint ilyen hozzájárulás szükséges;
• ha az üzemeltető nem tudja megszüntetni a személyes adatok kezelése során elkövetett jogsértéseket.

A szervezetnek meg kell határoznia és dokumentálnia kell:

• a személyes adatok megsemmisítésére vonatkozó eljárás beleértve a személyes adatok tárgyi hordozóit is);
• a személyes érintettek kérelmeinek feldolgozásának eljárása ( vagy törvényes képviselőik) személyes adataik kezelésével kapcsolatban;
• az érintettek jogainak védelmére felhatalmazott szerv vagy a személyes adatok területén ellenőrzést és felügyeletet gyakorló egyéb felügyeleti hatóságok kérelmei esetén tett intézkedések eljárása;
• Az AS hozzárendelésének megközelítése információs rendszerek személyes adatok ( Tovább - ISPD );
• az ISPD-k listája. Az ISPD-k listájának tartalmaznia kell az AS-t, amelynek célja a személyes adatok kezelése.

Minden egyes ISPD esetében a következőket kell meghatározni és dokumentálni:

• a személyes adatok kezelésének célja;
• a kezelt személyes adatok mennyisége és tartalma;
• a személyes adatokkal végzett műveletek listája és kezelésük módjai.

A személyes adatok mennyiségének és tartalmának, valamint a személyes adatok kezelésével kapcsolatos tevékenységek és módszerek felsorolásának meg kell felelnie az adatkezelés céljainak. Abban az esetben, ha az ISPD által támogatott informatikai folyamat lebonyolítása érdekében bizonyos személyes adatok feldolgozására nincs szükség, ezeket a személyes adatokat törölni kell.

Az ISPD-ben a személyes adatok biztonságának biztosítására vonatkozó követelményeket általában az információ védelmét szolgáló szervezeti, technológiai, műszaki és szoftveres intézkedések, eszközök és mechanizmusok hajtják végre.

A végrehajtás megszervezése és ( vagy) a személyes adatok biztonságának biztosítására vonatkozó követelmények végrehajtását a személyes adatok biztonságának biztosításáért felelős szervezet strukturális egysége vagy tisztségviselője (alkalmazottja), vagy szerződéses alapon egy szervezet - szerződő fél. bizalmas információk műszaki védelmére engedéllyel rendelkező szervezet.

A szervezet ISPD-jének létrehozásának magában kell foglalnia a kidolgozást és a jóváhagyást ( nyilatkozat) a létrehozandó rendszer szervezési, adminisztratív, tervezési és működési dokumentációja a feladatmeghatározásban meghatározottak szerint. A dokumentációnak tükröznie kell a kezelt személyes adatok biztonságának biztosításával kapcsolatos kérdéseket.

Az ISPD koncepcióinak, műszaki specifikációinak kidolgozását, tervezését, létrehozását és tesztelését, átvételét és üzembe helyezését a személyes adatok biztonságának biztosításáért felelős szerkezeti egység vagy tisztségviselő (alkalmazott) megállapodás alapján és irányítása alatt kell végrehajtani.

A szervezet ISPD-jéhez tartozó összes információs vagyont védeni kell a rosszindulatú kódok hatásaitól. A szervezetnek meg kell határoznia és dokumentálnia kell a személyes adatok biztonságának vírusvédelmi eszközökkel történő biztosításának követelményeit, valamint az ezek teljesítésének ellenőrzésére vonatkozó eljárást.

A szervezetnek meg kell határoznia egy beléptető rendszert, amely lehetővé teszi a hozzáférés szabályozását a kommunikációs portokhoz, bemeneti/kimeneti eszközökhöz, cserélhető adathordozókhoz és külső meghajtók ISPD információ.

A szervezet üzemeltető és szolgáltató ISPD részlegeinek vezetői gondoskodnak a személyes adatok biztonságáról azok ISPD-ben történő feldolgozása során.

Az ISPD-ben személyes adatokat feldolgozó alkalmazottaknak az utasításoknak megfelelően kell eljárniuk ( menedzsment, szabályzat stb.), amely az ISPD működési dokumentációjának részét képezi, és megfelel az IS biztosítását szolgáló dokumentumok követelményeinek.

A szervezet ISPD információbiztonságának biztosítására vonatkozó követelményeket megvalósító védelmi eszközök és védelmi mechanizmusok adminisztrációjával kapcsolatos feladatokat utasítások határozzák meg ( parancsokat) az Informatikai Osztály szakemberei számára.

Az Informatikai Osztály szakembereinek és a személyes adatok kezelésében részt vevő személyzetnek az eljárási rendjét utasítással kell meghatározni ( iránymutatásokat), amelyeket az ISPD fejlesztője készít az ISPD működési dokumentációjának részeként.

A megadott utasítások ( útmutatók):

• megállapítja az információbiztonság területén a személyzet képesítésének követelményeit, valamint a védett objektumok naprakész jegyzékét és annak frissítésére vonatkozó szabályokat;
• teljes és naprakész idő szerint) felhasználói jogosultsági adatok;
• információfeldolgozás-technológiára vonatkozó adatokat tartalmazzon az információbiztonsági szakember számára szükséges mértékben;
• állítsa be az eseménynaplók elemzésének sorrendjét és gyakoriságát ( folyóirat archívuma);
• szabályozza az egyéb tevékenységeket.

Az Információs Technológiai Tanszék szakembereinek felelősségi körében használt védelmi eszközök és az információk jogosulatlan hozzáférés elleni védelmét szolgáló mechanizmusok konfigurációs paramétereit az ISPD működési dokumentációja határozza meg. A beállított konfigurációs paraméterek ellenőrzésének sorrendjét és gyakoriságát az üzemeltetési dokumentáció határozza meg, vagy belső dokumentum szabályozza, míg az ellenőrzéseket legalább évente egyszer el kell végezni.

A szervezetnek meg kell határoznia és dokumentálnia kell az ISPD technikai eszközei és a személyes adathordozók tárolására szolgáló helyiségekbe való bejutásra vonatkozó eljárást, amely biztosítja az illetéktelen személyek belépésének ellenőrzését, valamint a helyiségekbe való jogosulatlan belépés akadályainak meglétét. . A meghatározott eljárásrendet szerkezeti egységnek vagy tisztségviselőnek kell kidolgoznia ( munkás) felelős a fizikai biztonsági rendszer biztosításáért, és jóváhagyta a szervezeti egység vagy tisztségviselő ( munkás), a személyes adatok biztonságának biztosításáért felelős, valamint a Gazdaságbiztonsági Főosztály.

Az ISPD felhasználók és a karbantartó személyzet nem végezhet jogosulatlan és ( vagy) nem regisztrált ( ellenőrizetlen) személyes adatok másolása. Ennek érdekében szervezési és technikai intézkedésekkel meg kell tiltani a jogosulatlan és ( vagy) nem regisztrált ( ellenőrizetlen) személyes adatok másolása, beleértve az elidegeníthető ( felcserélhető) adathordozók, információk másolására és átvitelére szolgáló mobil eszközök, kommunikációs portok és különféle interfészeket megvalósító beviteli/kimeneti eszközök ( beleértve a vezeték nélküli), mobileszközök tárolóeszközei ( például laptopok, PDA-k, okostelefonok, mobiltelefonok), valamint fotó- és videóeszközök.

A személyi biztonság ellenőrzését információbiztonsági szakember végzi, mind az információbiztonsági rendszer szabványos eszközeivel, mind pedig speciális ellenőrzési és technológiai felügyeleti eszközök segítségével.

ZIP fájl letöltése (65475)

A dokumentumok jól jöttek - tedd a "tetszik" vagy: