Տեղեկատվական անվտանգություն. Տեղեկատվական անվտանգության համակարգ Տեղեկատվական անվտանգությունը ձեռք է բերվել

Ծանոթագրություն. Դասախոսության ընթացքում քննարկվում են տեղեկատվական անվտանգության հիմնական հասկացությունները: Ծանոթացում «Տեղեկատվության, տեղեկատվական տեխնոլոգիաների և տեղեկատվության պաշտպանության մասին» դաշնային օրենքին:

ԳՕՍՏ» Տեղեկատվության պաշտպանություն... Հիմնական տերմիններ և սահմանումներ »ներկայացնում է հայեցակարգը տեղեկատվական անվտանգությունորպես տեղեկատվական անվտանգության վիճակ, որում այն ​​նախատեսված է գաղտնիություն, առկայություն և ամբողջականություն:

  • Գաղտնիություն- տեղեկատվության այն վիճակը, որում այն ​​հասանելի է միայն դրա իրավունք ունեցող սուբյեկտների կողմից:
  • Անարատություն- տեղեկատվության այն վիճակը, որում որևէ փոփոխություն չկա, կամ փոփոխությունը կատարվում է միայն դիտավորությամբ `դրա իրավունք ունեցող սուբյեկտների կողմից.
  • Մատչելիություն- տեղեկատվության այն վիճակը, որի դեպքում մուտքի իրավունք ունեցող սուբյեկտները կարող են այն օգտագործել անարգել:

Տեղեկատվական անվտանգության սպառնալիքներ- մի շարք պայմաններ և գործոններ, որոնք ստեղծում են տեղեկատվության անվտանգությունը խախտելու պոտենցիալ կամ իրական վտանգ [,]: Հարձակման միջոցովկոչվում է սպառնալիք իրականացնելու փորձ, իսկ նման փորձ անողը ՝ ներխուժող... Հնարավոր ներխուժողները կոչվում են սպառնալիքի աղբյուրներ.

Սպառնալիքը ներկայության հետևանք է խոցելի կամ խոցելիտեղեկատվական համակարգում։ Խոցելիությունը կարող է առաջանալ տարբեր պատճառներով, օրինակ ՝ ծրագրեր գրելիս ոչ դիտավորյալ ծրագրավորողների սխալների արդյունքում:

Սպառնալիքները կարող են դասակարգվել ըստ մի քանի չափանիշների.

  • վրա տեղեկատվության հատկությունները(առկայություն, ամբողջականություն, գաղտնիություն), որոնց դեմ ուղղված են առաջին հերթին սպառնալիքները.
  • տեղեկատվական համակարգերի բաղադրիչների կողմից, որոնք ուղղված են սպառնալիքների (տվյալներ, ծրագրեր, սարքավորումներ, օժանդակ ենթակառուցվածքների);
  • իրականացման մեթոդով (պատահական / կանխամտածված, բնական / տեխնածին գործողություններ);
  • ըստ սպառնալիքների աղբյուրի գտնվելու վայրի (դիտարկվող IS-ի ներսում / դրսում):

Տեղեկատվական անվտանգության ապահովումը բարդ խնդիր է, որը պահանջում է Բարդ մոտեցում... Առանձնացվում են տեղեկատվության պաշտպանության հետևյալ մակարդակները.

  1. օրենսդրական - Ռուսաստանի Դաշնության և միջազգային հանրության օրենքներ, կանոնակարգեր և այլ փաստաթղթեր.
  2. ադմինիստրատիվ - կազմակերպության ղեկավարության կողմից տեղում ձեռնարկվող միջոցառումների համալիր.
  3. ընթացակարգային մակարդակ - մարդկանց կողմից իրականացվող անվտանգության միջոցառումներ.
  4. ծրագրային և ապարատային մակարդակ- տեղեկատվության պաշտպանության ուղղակի միջոցներ.

Օրենսդրական մակարդակը հիմք է հանդիսանում տեղեկատվական պաշտպանության համակարգի կառուցման համար, քանի որ այն տալիս է հիմնական հասկացություններ առարկայական տարածքև որոշում է տուգանքը պոտենցիալ ներխուժողների համար: Այս մակարդակը համակարգող և ուղղորդող դեր է խաղում և օգնում է հասարակության մեջ պահպանել բացասական (և պատժիչ) վերաբերմունք այն մարդկանց նկատմամբ, ովքեր խախտում են տեղեկատվական անվտանգությունը:

1.2. «Տեղեկատվության, տեղեկատվական տեխնոլոգիաների և տեղեկատվության պաշտպանության մասին» դաշնային օրենքը.

Ռուսաստանի օրենսդրության մեջ տեղեկատվության պաշտպանության ոլորտում հիմնական օրենքը 2006 թվականի հուլիսի 27-ի թիվ 149-FZ «Տեղեկատվության, տեղեկատվական տեխնոլոգիաների և տեղեկատվության պաշտպանության մասին» դաշնային օրենքն է: Ուստի օրենքում ամրագրված հիմնական հասկացությունները և լուծումները մանրակրկիտ քննարկում են պահանջում:

Օրենքը կարգավորում է հարաբերությունները, որոնք բխում են.

  • տեղեկատվության որոնման, ստանալու, փոխանցման, արտադրման և տարածման իրավունքի կիրառում.
  • դիմումը տեղեկատվական տեխնոլոգիաներ;
  • տեղեկատվության պաշտպանության ապահովում:

Տեղեկատվության պաշտպանության ոլորտում օրենքը տալիս է հիմնական սահմանումներ։ Ահա դրանցից մի քանիսը.

  • տեղեկատվություն- տեղեկատվություն (հաղորդագրություններ, տվյալներ) ՝ անկախ դրանց ներկայացման ձևից.
  • ինֆորմացիոն տեխնոլոգիա- որոնման, հավաքագրման, պահպանման, մշակման, տեղեկատվության տրամադրման, տարածման գործընթացները, մեթոդները և այդ գործընթացների և մեթոդների իրականացման եղանակները.
  • Տեղեկատվական համակարգ- տվյալների բազայում և տեղեկատվական տեխնոլոգիաներում և դրա մշակումը ապահովող տեխնիկական միջոցներում պարունակվող տեղեկատվության ամբողջություն.
  • տեղեկատվության սեփականատեր- անձ, ով ինքնուրույն է ստեղծել տեղեկատվություն կամ օրենքի կամ համաձայնագրի հիման վրա ստացել է ցանկացած չափանիշով որոշված ​​տեղեկատվության թույլտվության կամ սահմանափակման իրավունք.
  • տեղեկատվական համակարգի օպերատոր- քաղաքացին կամ տեղեկատվական համակարգը շահագործող իրավաբանական անձը, ներառյալ նրա տվյալների շտեմարաններում պարունակվող տեղեկատվության մշակումը:
  • տեղեկատվության գաղտնիությունը- որոշակի տեղեկատվության հասանելիություն ունեցող անձի պարտադիր պահանջ `առանց սեփականատիրոջ համաձայնության նման տեղեկատվություն չփոխանցել երրորդ անձանց:

Օրենքի 4 -րդ հոդվածը ձեւակերպում է տեղեկատվության, տեղեկատվական տեխնոլոգիաների եւ տեղեկատվության պաշտպանության ոլորտում հարաբերությունների իրավական կարգավորման սկզբունքները.

  1. տեղեկատվություն ցանկացած օրինական եղանակով որոնելու, ստանալու, փոխանցելու, արտադրելու և տարածելու ազատություն.
  2. միայն դաշնային օրենքներով տեղեկատվության հասանելիության սահմանափակումների սահմանում.
  3. պետական ​​մարմինների և տեղական ինքնակառավարման մարմինների գործունեության վերաբերյալ տեղեկատվության բացում և այդ տեղեկատվության ազատ մուտք, բացառությամբ դաշնային օրենքներով սահմանված դեպքերի.
  4. Ռուսաստանի Դաշնության ժողովուրդների լեզուների հավասարությունը տեղեկատվական համակարգերի ստեղծման և դրանց գործունեության մեջ.
  5. տեղեկատվական համակարգերի ստեղծման, դրանց շահագործման և դրանցում պարունակվող տեղեկատվության պաշտպանության ժամանակ Ռուսաստանի անվտանգության ապահովում.
  6. տեղեկատվության հավաստիությունը և դրա տրամադրման ժամանակին.
  7. անձնական կյանքի անձեռնմխելիություն, անձի անձնական կյանքի մասին տեղեկատվության հավաքագրման, պահպանման, օգտագործման և տարածման անթույլատրելիություն ՝ առանց նրա համաձայնության.
  8. նորմատիվ իրավական ակտերով որոշ տեղեկատվական տեխնոլոգիաների օգտագործման առավելություններ հաստատելու անթույլատրելիությունը մյուսների նկատմամբ, եթե պետական ​​տեղեկատվական համակարգերի ստեղծման և շահագործման համար որոշակի տեղեկատվական տեխնոլոգիաների պարտադիր կիրառումը սահմանված չէ դաշնային օրենքներով:

Բոլոր տեղեկությունները բաժանված են հանրությանը հասանելիև սահմանափակ մուտք... Հանրային հասանելի տեղեկատվությունը ներառում է ընդհանուր հայտնի տեղեկատվություն և այլ տեղեկություններ, որոնց հասանելիությունը սահմանափակված չէ: Օրենքը սահմանում է այն տեղեկությունները, որոնք չեն կարող սահմանափակվել, օրինակ՝ շրջակա միջավայրի կամ պետական ​​մարմինների գործունեության մասին տեղեկությունները: Նախատեսված է նաև, որ Մուտքի սահմանափակումտեղեկատվությունը սահմանվում է դաշնային օրենքներով `սահմանադրական կարգի, բարոյականության, առողջության, ուրիշների իրավունքների և օրինական շահերի հիմքերը պաշտպանելու, երկրի պաշտպանությունն ու պետական ​​անվտանգությունն ապահովելու համար: Պարտադիր է հարգել տեղեկատվության գաղտնիությունը, որոնց հասանելիությունը սահմանափակված է դաշնային օրենքներով:

Արգելվում է քաղաքացուց (անհատից) պահանջել տեղեկություններ տրամադրել իր անձնական կյանքի մասին, այդ թվում՝ անձնական կամ ընտանեկան գաղտնիք կազմող տեղեկություններ, և ստանալ այդպիսի տեղեկատվություն քաղաքացու (անհատի) կամքին հակառակ, եթե այլ բան նախատեսված չէ դաշնային օրենքներով:

  1. տեղեկատվության ազատ տարածում;
  2. համապատասխան հարաբերություններին մասնակցող անձանց համաձայնությամբ տրամադրված տեղեկատվություն.
  3. տեղեկատվություն, որը դաշնային օրենքներին համապատասխան ենթակա է տրամադրման կամ բաշխման.
  4. տեղեկատվություն, որի տարածումը Ռուսաստանի Դաշնությունում սահմանափակ է կամ արգելված:

Օրենքը սահմանում է էլեկտրոնային թվային ստորագրությամբ կամ ձեռագիր ստորագրության այլ անալոգով ստորագրված էլեկտրոնային հաղորդագրության և ձեռագիր ստորագրությամբ փաստաթղթի համարժեքությունը:

Տրված է տեղեկատվության պաշտպանության հետևյալ սահմանումը. Դա իրավական, կազմակերպչական և տեխնիկական միջոցառումների ընդունումն է ՝ ուղղված.

  1. ապահովել տեղեկատվության պաշտպանվածությունը չարտոնված մուտքից, ոչնչացումից, փոփոխումից, արգելափակումից, պատճենումից, տրամադրումից, տարածումից, ինչպես նաև նման տեղեկատվության հետ կապված այլ անօրինական գործողություններից.
  2. սահմանափակված տեղեկատվության գաղտնիության պահպանում.
  3. տեղեկատվության հասանելիության իրավունքի իրացում:

Տեղեկատվության սեփականատերը, տեղեկատվական համակարգի օպերատորը Ռուսաստանի Դաշնության օրենսդրությամբ սահմանված դեպքերում, պարտավոր են ապահովել.

  1. տեղեկատվության չարտոնված մուտքի կանխումը և (կամ) դրա փոխանցումը տեղեկատվություն ստանալու իրավունք չունեցող անձանց.
  2. տեղեկատվության չարտոնված մուտքի փաստերի ժամանակին հայտնաբերում.
  3. տեղեկատվության հասանելիության կարգի խախտման անբարենպաստ հետևանքների հնարավորության կանխարգելում.
  4. տեղեկատվության մշակման տեխնիկական միջոցների վրա ազդեցության կանխարգելում, ինչի հետևանքով դրանց գործունեությունը խաթարվում է.
  5. փոփոխված կամ ոչնչացված տեղեկատվության անհապաղ վերականգնման հնարավորությունը `դրան չարտոնված մուտքի պատճառով.
  6. մշտական ​​վերահսկողություն տեղեկատվական անվտանգության մակարդակի ապահովման նկատմամբ:

Այսպիսով, «Տեղեկատվության, տեղեկատվական տեխնոլոգիաների և տեղեկատվության պաշտպանության մասին» դաշնային օրենքը ստեղծում է Ռուսաստանի Դաշնությունում տեղեկատվության փոխանակման իրավական հիմք և սահմանում է իր սուբյեկտների իրավունքներն ու պարտականությունները:

Արագ զարգացող համակարգչային տեղեկատվական տեխնոլոգիաները էական փոփոխություններ են մտցնում մեր կյանքում: Տեղեկատվությունը դարձել է ապրանք, որը կարելի է գնել, վաճառել, փոխանակել: Ավելին, տեղեկատվության արժեքը հաճախ հարյուրապատիկ ավելի բարձր է, քան այն համակարգչային համակարգի արժեքը, որում այն ​​պահվում է:

Բարեկեցությունը, իսկ երբեմն էլ շատ մարդկանց կյանքը, կախված է տեղեկատվական տեխնոլոգիաների անվտանգության աստիճանից: Այդպիսին է տեղեկատվության մշակման ավտոմատացված համակարգերի բարդության և լայն տարածման գինը:

Տակ տեղեկատվական անվտանգություննշանակում է տեղեկատվական համակարգի անվտանգությունը պատահական կամ դիտավորյալ միջամտությունից, որը վնասում է տեղեկատվության սեփականատերերին կամ օգտագործողներին:

Գործնականում առավել կարևոր են տեղեկատվական անվտանգության երեք ասպեկտները.

  • հասանելիություն(անհրաժեշտ տեղեկատվական ծառայությունը ողջամիտ ժամկետում ստանալու հնարավորություն);
  • ամբողջականություն(տեղեկատվության համապատասխանությունը և հետևողականությունը, դրա պաշտպանությունը ոչնչացումից և չարտոնված փոփոխություններից);
  • գաղտնիություն(պաշտպանություն չարտոնված ընթերցումից):

Տեղեկատվության մատչելիության, ամբողջականության և գաղտնիության խախտումները կարող են պայմանավորված լինել տեղեկատվական համակարգչային համակարգերի վրա տարբեր վտանգավոր հետևանքներով:

Տեղեկատվական անվտանգության հիմնական սպառնալիքները

Informationամանակակից տեղեկատվական համակարգը բարդ համակարգ է, որը բաղկացած է տարբեր աստիճանի ինքնավարության մեծ թվով բաղադրիչներից, որոնք փոխկապակցված են և փոխանակում են տվյալները: Գրեթե յուրաքանչյուր բաղադրիչ կարող է վնասվել կամ վնասվել: Ավտոմատացված տեղեկատվական համակարգի բաղադրիչները կարելի է բաժանել հետևյալ խմբերի.

  • ապարատային սարքավորում- համակարգիչներ և դրանց բաղադրիչներ (պրոցեսորներ, մոնիտորներ, տերմինալներ, ծայրամասային սարքերանգործունյա սկավառակներ, տպիչներ, կարգավորիչներ, մալուխներ, կապի գծեր և այլն);
  • ծրագրային ապահովում- գնված ծրագրեր, աղբյուր, օբյեկտ, բեռնման մոդուլներ; օպերացիոն համակարգեր և համակարգային ծրագրեր (կազմողներ, կապեր և այլն), կոմունալ ծառայություններ, ախտորոշիչ ծրագրեր և այլն;
  • տվյալները- պահվում է ժամանակավորապես և մշտապես, մագնիսական կրիչների վրա, տպագիր, արխիվներ, համակարգի տեղեկամատյաններ և այլն;
  • անձնակազմը- սպասարկող անձնակազմ և օգտվողներ.

Համակարգչային տեղեկատվական համակարգի վրա վտանգավոր ազդեցությունները կարելի է բաժանել պատահական և դիտավորյալ: Տեղեկատվական համակարգերի նախագծման, արտադրության և շահագործման փորձի վերլուծությունը ցույց է տալիս, որ տեղեկատվությունը ենթարկվում է տարբեր պատահական ազդեցությունների համակարգի կյանքի ցիկլի բոլոր փուլերում: Պատճառները պատահական ազդեցություններշահագործման ընթացքում կարող է լինել.

  • բնական աղետների և էլեկտրաէներգիայի անջատումների պատճառով արտակարգ իրավիճակներ.
  • ապարատային անսարքություններ և ձախողումներ;
  • ծրագրային ապահովման սխալներ;
  • սխալներ աշխատակազմի աշխատանքում;
  • միջամտություն կապի գծերին շրջակա միջավայրի ազդեցության պատճառով.

Կանխամտածված ազդեցություններ- դրանք հանցագործի դիտավորյալ գործողություններ են: Աշխատակիցը, այցելուն, մրցակիցը կամ վարձկանը կարող են հանդես գալ որպես իրավախախտ: Հանցագործի գործողությունները կարող են պայմանավորված լինել տարբեր դրդապատճառներով.

  • աշխատողի դժգոհությունը իր կարիերայից.
  • կաշառք;
  • հետաքրքրասիրություն;
  • մրցակցային պայքար;
  • ցանկացած գնով ինքնահաստատվելու ցանկություն։

Պոտենցիալ ներխուժողի հիպոթետիկ մոդելը կարող է կազմվել.

  • իրավախախտի որակավորումը այս համակարգի մշակողի մակարդակով.
  • խախտողը կարող է լինել կամ չարտոնված անձ, կամ համակարգի օրինական օգտագործող.
  • խախտողը գիտի տեղեկատվություն համակարգի սկզբունքների մասին.
  • հանցագործը ընտրում է պաշտպանության ամենաթույլ օղակը:

Համակարգչային խախտումների ամենատարածված և բազմազան տեսակն է չարտոնված մուտք(NSD): NSD-ն օգտագործում է պաշտպանության համակարգում ցանկացած սխալ և հնարավոր է պաշտպանական միջոցների իռացիոնալ ընտրությամբ, դրանց սխալ տեղադրմամբ և կազմաձևմամբ:

Եկեք դասակարգենք NSD ալիքները, որոնց միջոցով հնարավոր է գողանալ, փոխել կամ ոչնչացնել տեղեկատվությունը.

  • Անձի միջոցով.
    • տեղեկատվության կրիչների գողություն;
    • էկրանից կամ ստեղնաշարից տեղեկատվություն կարդալ;
    • տպագրված տեղեկատվության ընթերցում:
  • Ծրագրի միջոցով.
    • գաղտնաբառերի գաղտնալսում;
    • կոդավորված տեղեկատվության վերծանում;
    • փոխադրողից տեղեկատվության պատճենումը:
  • Սարքավորման միջոցով.
    • հատուկ նախագծված սարքավորումների միացում, որն ապահովում է տեղեկատվության հասանելիություն.
    • կեղծ էլեկտրամագնիսական ճառագայթման ընկալում սարքավորումներից, կապի գծերից, էլեկտրամատակարարման ցանցերից և այլն:

Հատուկ ուշադրություն պետք է դարձնել այն սպառնալիքներին, որոնց կարող են ենթարկվել համակարգչային ցանցերը։ Ցանկացածի հիմնական հատկանիշը համակարգչային ցանցբաղկացած է նրանում, որ դրա բաղադրիչները բաշխված են տարածության մեջ: Networkանցային հանգույցների միջև հաղորդակցությունն իրականացվում է ֆիզիկապես ՝ ցանցային գծերի և ծրագրայինորեն ՝ հաղորդագրությունների մեխանիզմի միջոցով: Այս դեպքում վերահսկիչ հաղորդագրությունները և ցանցային հանգույցների միջև ուղարկված տվյալները փոխանցվում են փոխանակման փաթեթների տեսքով: Համակարգչային ցանցերը բնութագրվում են նրանով, որ այսպես կոչված հեռավոր հարձակումներ... Ներխուժողը կարող է հազարավոր կիլոմետրեր հեռու լինել հարձակման ենթարկված օբյեկտից, և հարձակման ենթարկվել ոչ միայն կոնկրետ համակարգիչ, այլ նաև ցանցային հաղորդակցության ուղիներով փոխանցվող տեղեկատվությունը։

Տեղեկատվական անվտանգություն

Տեղեկատվական անվտանգության ռեժիմի ձեւավորումը բարդ խնդիր է։ Դրա լուծման միջոցառումները կարելի է բաժանել հինգ մակարդակի.

  1. օրենսդրական (օրենքներ, կանոնակարգեր, ստանդարտներ և այլն);
  2. բարոյական և էթիկական (վարքի բոլոր տեսակի նորմերը, որոնց չպահպանելը հանգեցնում է որոշակի անձի կամ ամբողջ կազմակերպության հեղինակության անկմանը);
  3. վարչական (կազմակերպության ղեկավարության կողմից ձեռնարկված ընդհանուր գործողություններ);
  4. ֆիզիկական (մեխանիկական, էլեկտրա- և էլեկտրոնային-մեխանիկական խոչընդոտներ հնարավոր ներխուժողների մուտքի հնարավոր ուղիների վրա);
  5. ապարատային և ծրագրային ապահովում (էլեկտրոնային սարքեր և տեղեկատվական անվտանգության հատուկ ծրագրեր):

Այս բոլոր միջոցառումների միասնական փաթեթը, որն ուղղված է անվտանգության սպառնալիքներին հակազդելուն, վնասի հավանականությունը նվազագույնի հասցնելու նպատակով, ձևավորվում է պաշտպանության համակարգ.

Հուսալի պաշտպանության համակարգը պետք է համապատասխանի հետևյալ սկզբունքներին.

  • Պաշտպանիչ սարքավորումների արժեքը պետք է լինի ավելի քիչ, քան հնարավոր վնասի չափը:
  • Յուրաքանչյուր օգտվող պետք է ունենա աշխատելու համար պահանջվող նվազագույն արտոնություններ:
  • Որքան արդյունավետ է պաշտպանությունը, այնքան օգտագործողի համար ավելի հեշտ է աշխատել դրա հետ:
  • Արտակարգ իրավիճակների դեպքում անջատման հնարավորություն:
  • Պաշտպանության համակարգի հետ առնչվող մասնագետները պետք է լիովին հասկանան դրա գործունեության սկզբունքները և բարդ իրավիճակների դեպքում համարժեք արձագանքեն դրանց:
  • Տեղեկատվության մշակման ողջ համակարգը պետք է պաշտպանված լինի։
  • Անվտանգության համակարգի մշակողները չպետք է լինեն նրանց թվում, ում այս համակարգը կվերահսկի։
  • Անվտանգության համակարգը պետք է ապացուցի իր աշխատանքի ճիշտությունը:
  • Տեղեկատվական անվտանգության ոլորտում ներգրավված անձինք պետք է անձամբ պատասխանատվության ենթարկվեն:
  • Ցանկալի է պաշտպանության օբյեկտները բաժանել խմբերի, որպեսզի խմբերից մեկում պաշտպանության խախտումը չազդի մյուսների անվտանգության վրա:
  • Հուսալի անվտանգության համակարգը պետք է ամբողջությամբ փորձարկվի և համաձայնեցվի:
  • Պաշտպանությունն ավելի արդյունավետ և ճկուն է դառնում, եթե թույլ է տալիս ադմինիստրատորի կողմից փոփոխել դրա պարամետրերը:
  • Անվտանգության համակարգը պետք է նախագծվի այն ենթադրությամբ, որ օգտվողները լուրջ սխալներ թույլ կտան և, ընդհանրապես, ամենավատ մտադրությունները կունենան:
  • Ամենակարևոր և ամենակարևոր որոշումները պետք է կայացնեն մարդիկ:
  • Անվտանգության մեխանիզմների առկայությունը պետք է հնարավորինս թաքցվի այն օգտվողներից, որոնց աշխատանքը վերահսկվում է։

Տեղեկատվական անվտանգության ապարատային և ծրագրային ապահովում

Չնայած այն հանգամանքին, որ ժամանակակից օպերացիոն համակարգերի համար անհատական ​​համակարգիչներ, ինչպիսիք են Windows 2000 -ը, Windows XP- ը և Windows NT- ն, ունեն իրենց պաշտպանության ենթահամակարգերը, պահպանության լրացուցիչ գործիքների ստեղծման արդիականությունը մնում է: Փաստն այն է, որ համակարգերի մեծ մասն ի վիճակի չէ պաշտպանել տվյալները իրենցից դուրս, օրինակ ՝ ցանցում տեղեկատվության փոխանակման ժամանակ:

Տեղեկատվական անվտանգության սարքավորումներն ու ծրագրակազմը կարելի է բաժանել հինգ խմբի.

  1. Օգտատերերի նույնականացման (ճանաչման) և նույնականացման (նույնականացման) համակարգեր:
  2. Սկավառակի տվյալների կոդավորման համակարգեր:
  3. Ցանցերի միջոցով փոխանցվող տվյալների կոդավորման համակարգեր:
  4. Էլեկտրոնային տվյալների վավերացման համակարգեր:
  5. Գաղտնագրման բանալիների կառավարման գործիքներ:

1. Օգտագործողի նույնականացման և նույնականացման համակարգեր

Դրանք օգտագործվում են համակարգչային համակարգի ռեսուրսներին պատահական և անօրինական օգտագործողների մուտքը սահմանափակելու համար: Նման համակարգերի շահագործման ընդհանուր ալգորիթմն այն է, որ օգտագործողից ստանան տեղեկություններ, որոնք ապացուցում են նրա ինքնությունը, ստուգում դրա իսկությունը և այնուհետև ապահովում (կամ չեն տրամադրում) այս համակարգչին համակարգի հետ աշխատելու ունակություն:

Այս համակարգերը կառուցելիս խնդիր է ծագում տեղեկատվության ընտրության վերաբերյալ, որի հիման վրա իրականացվում են օգտագործողի նույնականացման և նույնականացման ընթացակարգերը: Հետևյալ տեսակները կարելի է առանձնացնել.

  • գաղտնի տեղեկատվություն, որը պատկանում է օգտագործողին (գաղտնաբառ, գաղտնի բանալին, անձնական նույնացուցիչ և այլն); օգտագործողը պետք է հիշի այս տեղեկատվությունը կամ դրա համար կարող է օգտագործվել հատուկ պահպանման միջոցներ.
  • անձի ֆիզիոլոգիական պարամետրերը (մատնահետքեր, աչքի ծիածանաթաղանթ և այլն) կամ վարքի առանձնահատկությունները (ստեղնաշարի վրա աշխատելու առանձնահատկությունները և այլն):

Հաշվի են առնվում առաջին տիպի տեղեկատվության վրա հիմնված համակարգերը ավանդական... Երկրորդ տիպի տեղեկատվություն օգտագործող համակարգերը կոչվում են կենսաչափական... Պետք է նշել, որ կենսաչափական նույնականացման համակարգերի նախնական զարգացման միտում է նկատվում:

2. Սկավառակի կոդավորման համակարգեր

Թշնամու համար տեղեկատվությունը անօգուտ դարձնելու համար օգտագործվում է տվյալների փոխակերպման մեթոդների մի շարք, որը կոչվում է գաղտնագրություն[հունարենից. կրիպտոս- թաքնված և գրաֆո- գրել]:

Գաղտնագրման համակարգերը կարող են կատարել տվյալների գաղտնագրային փոխակերպումներ ֆայլի կամ սկավառակի մակարդակում: Առաջին տիպի ծրագրերը ներառում են արխիվատորներ, ինչպիսիք են ARJ-ը և RAR-ը, որոնք թույլ են տալիս օգտագործել գաղտնագրման մեթոդներ արխիվային ֆայլերը պաշտպանելու համար: Երկրորդ տիպի համակարգերի օրինակ է գաղտնագրման Diskreet ծրագիրը, որը հանրաճանաչ մաս է կազմում ծրագրային փաթեթ Norton Utilities, Best Crypt:

Սկավառակի կոդավորման համակարգերի դասակարգման մեկ այլ առանձնահատկությունն այն գործելակերպն է: Գործողության եղանակի համաձայն, սկավառակի տվյալների կոդավորման համակարգը բաժանված է երկու դասի.

  • թափանցիկ կոդավորման համակարգեր;
  • համակարգեր, որոնք հատուկ կոչված են ծածկագրման:

Թափանցիկ գաղտնագրման համակարգերում (գաղտնագրում «թռիչքի ժամանակ») գաղտնագրման փոխակերպումները կատարվում են իրական ժամանակում ՝ օգտագործողի կողմից աննկատ: Օրինակ, օգտվողը տեքստային խմբագրիչում պատրաստվող փաստաթուղթ է գրում պաշտպանված սկավառակի վրա, իսկ պաշտպանության համակարգը այն կոդավորում է գրելու ընթացքում:

II դասի համակարգերը սովորաբար կոմունալ ծառայություններ են, որոնք պետք է հատուկ կոչված լինեն գաղտնագրում կատարելու համար: Դրանք ներառում են, օրինակ, ներկառուցված գաղտնաբառով պաշտպանված արխիվատորներ:

Համակարգերի մեծ մասը, որոնք առաջարկում են փաստաթղթի համար գաղտնաբառ սահմանել, չեն գաղտնագրում տեղեկատվությունը, այլ միայն տրամադրում են գաղտնաբառի հարցում փաստաթուղթ մուտք գործելու ժամանակ: Այս համակարգերը ներառում են MS Office, 1C և շատ այլ համակարգեր:

3. networksանցերով փոխանցվող տվյալների կոդավորման համակարգեր

Գոյություն ունի գաղտնագրման երկու հիմնական եղանակ՝ ալիքի գաղտնագրում և տերմինալի (բաժանորդի) ծածկագրում։

Երբ ալիքի կոդավորումըԲոլոր տեղեկությունները, որոնք փոխանցվում են կապի ալիքով, պաշտպանված են, ներառյալ ծառայության տեղեկատվությունը: Գաղտնագրման այս մեթոդը ունի հետևյալ առավելությունը. Տվյալների հղման շերտում ծածկագրման ընթացակարգերի ներդրումը թույլ է տալիս օգտագործել սարքավորում, ինչը բարելավում է համակարգի աշխատանքը: Այնուամենայնիվ, այս մոտեցումը նաև զգալի թերություններ ունի.

  • ծառայության տվյալների կոդավորումը բարդացնում է ցանցային փաթեթների երթուղու մեխանիզմը և պահանջում է տվյալների վերծանում միջանկյալ հաղորդակցության սարքերում (դարպասներ, կրկնողներ և այլն);
  • serviceառայության տեղեկատվության գաղտնագրումը կարող է հանգեցնել ծածկագրված տվյալների վիճակագրական օրինաչափությունների ի հայտ գալուն, ինչը ազդում է պաշտպանության հուսալիության վրա և սահմանափակումներ է նախատեսում գաղտնագրման ալգորիթմների օգտագործման վրա:

End-to-end (բաժանորդային) գաղտնագրումթույլ է տալիս ապահովել երկու բաժանորդների միջև փոխանցված տվյալների գաղտնիությունը: Այս դեպքում միայն հաղորդագրությունների բովանդակությունն է պաշտպանված, ծառայության բոլոր տեղեկությունները բաց են մնում: Թերությունը հաղորդագրությունների փոխանակման կառուցվածքի մասին տեղեկատվության վերլուծության ունակությունն է, օրինակ ՝ ուղարկողի և ստացողի, տվյալների փոխանցման ժամանակի և պայմանների, ինչպես նաև փոխանցված տվյալների քանակի մասին:

4. Էլեկտրոնային տվյալների վավերացման համակարգեր

Ցանցերով տվյալների փոխանակման ժամանակ առաջանում է փաստաթղթի հեղինակի և հենց փաստաթղթի իսկությունը հաստատելու խնդիր, այսինքն. հեղինակի իսկությունը և ստացված փաստաթղթում փոփոխությունների բացակայության ստուգումը: Տվյալների իսկությունը հաստատելու համար օգտագործվում է հաղորդագրության վավերացման կոդ (իմիտացիոն ներդիր) կամ էլեկտրոնային ստորագրություն:

Իմիտացիոն ներդիրստեղծվում է բաց տվյալներից հատուկ գաղտնագրման փոխակերպման միջոցով՝ օգտագործելով գաղտնի բանալի և փոխանցվում է կապի ալիքով՝ ծածկագրված տվյալների վերջում: Իմիտացիայի տեղադրումը հաստատվում է ստացողի կողմից, որին պատկանում է գաղտնի բանալին ՝ կրկնելով ուղարկողի կողմից ավելի վաղ ստացված հանրային տվյալների վերաբերյալ ընթացակարգը:

Էլեկտրոնային թվային ստորագրություն ներկայացնում է ստորագրված տեքստով փոխանցված հավելյալ վավերացման տեղեկատվության համեմատաբար փոքր քանակություն: Ուղարկողը կազմում է թվային ստորագրություն՝ օգտագործելով ուղարկողի գաղտնի բանալին: Ստացողը ստուգում է ստորագրությունը ՝ ուղարկողի հանրային բանալին օգտագործելով:

Այսպիսով, իմիտացիոն ներդիրի իրականացման համար օգտագործվում են սիմետրիկ գաղտնագրման սկզբունքները, իսկ էլեկտրոնային ստորագրության իրականացման համար՝ ասիմետրիկ։ Այս երկու գաղտնագրման համակարգերը ավելի մանրամասն կուսումնասիրենք ավելի ուշ։

5. Կրիպտոգրաֆիկ բանալիների կառավարման գործիքներ

Ցանկացած կրիպտոհամակարգի անվտանգությունը որոշվում է օգտագործվող կրիպտոգրաֆիկ բանալիներով: Անվտանգ բանալիների կառավարման դեպքում հարձակվողը կարող է ձեռք բերել հիմնական տեղեկատվությունը և լիարժեք մուտք ունենալ համակարգի կամ ցանցի բոլոր տեղեկություններին:

Կան կառավարման հիմնական գործառույթների հետևյալ տեսակները ՝ բանալիների ստեղծում, պահում և բաշխում:

ուղիները գեներացնող բանալիներսիմետրիկ և անհամաչափ գաղտնագրման համակարգերը տարբեր են: Սիմետրիկ կրիպտոհամակարգերի բանալիներ ստեղծելու համար օգտագործվում են պատահական թվեր ստեղծելու սարքավորումներ և ծրագրակազմ: Ասիմետրիկ կրիպտոհամակարգերի համար բանալիների ստեղծումն ավելի դժվար է, քանի որ բանալիները պետք է ունենան որոշակի մաթեմատիկական հատկություններ: Եկեք ավելի մանրամասն անդրադառնանք այս խնդրին `սիմետրիկ և ասիմետրիկ ծպտյալ համակարգեր ուսումնասիրելիս:

Գործառույթ պահեստավորումներառում է հիմնական տեղեկատվության անվտանգ պահպանման, հաշվառման և հեռացման կազմակերպում: Բանալիների անվտանգ պահպանումն ապահովելու համար դրանք կոդավորված են ՝ օգտագործելով այլ բանալիներ: Այս մոտեցումը հանգեցնում է հիմնական հիերարխիայի հայեցակարգին: Բանալիների հիերարխիան սովորաբար ներառում է գլխավոր բանալին (այսինքն ՝ գլխավոր բանալին), բանալիների կոդավորման բանալին և տվյալների կոդավորման բանալին: Պետք է նշել, որ հիմնական բանալիի ստեղծումը և պահպանումը կրիպտո պաշտպանության կարևոր խնդիր է:

Բաշխումառանցքային կառավարման ամենակարևոր գործընթացն է: Այս գործընթացը պետք է ապահովի բաշխվող բանալիների գաղտնիությունը և պետք է լինի արագ և ճշգրիտ: Բանալիները ցանցի օգտագործողների միջև բաշխվում են երկու եղանակով.

  • նստաշրջանի բանալիների ուղղակի փոխանակում;
  • օգտագործելով մեկ կամ մի քանի հիմնական բաշխիչ կենտրոններ:

Փաստաթղթերի ցանկ

  1. ՊԵՏԱԿԱՆ ԳԱECՏՆԻ ՄԱՍԻՆ: Ռուսաստանի Դաշնության 1993 թվականի հուլիսի 21-ի թիվ 5485-1 օրենքը (փոփոխված է 1997 թվականի հոկտեմբերի 6-ի թիվ 131-FZ դաշնային օրենքով):
  2. ՏԵՂԵԿԱՏՎՈՒԹՅԱՆ, ՏԵՂԵԿԱՏՎՈՒԹՅԱՆ ԵՎ ՏԵՂԵԿԱՏՎՈՒԹՅԱՆ ՊԱՇՏՊԱՆՈՒԹՅԱՆ ՄԱՍԻՆ. Ռուսաստանի Դաշնության 1995 թվականի փետրվարի 20-ի թիվ 24-FZ դաշնային օրենքը: Պետդումայի կողմից ընդունվել է 1995 թվականի հունվարի 25 -ին:
  3. Էլեկտրոնային համակարգիչների և տվյալների շտեմարանների ծրագրերի իրավական պաշտպանության մասին: Ռուսաստանի Դաշնության 1992 թվականի սեպտեմբերի 23-ի թիվ 3524-1 օրենքը:
  4. ԷԼԵԿՏՐՈՆԱԿԱՆ ԹՎԱՅԻՆ ՍՏՈՐԱԳՐՈՒԹՅԱՆ ՄԱՍԻՆ. Ռուսաստանի Դաշնության 2002 թվականի հունվարի 10-ի թիվ 1-FZ դաշնային օրենքը:
  5. ՀԵPԱՍՊԱՆՈ ANDԹՅԱՆ ԵՎ ՀԱՐԱՎՈՐ ԻՐԱՎՈՆՔՆԵՐԻ ՄԱՍԻՆ: Ռուսաստանի Դաշնության 1993 թվականի հուլիսի 9-ի թիվ 5351-1 օրենքը.
  6. ԿԱՌԱՎԱՐԱԿԱՆ ԿԱՊԵՐԻ ԵՎ ՏԵ INԵԿՈԹՅՈՆՆԵՐԻ ՄԱՍԻՆ ՄԱՍԻՆ: Ռուսաստանի Դաշնության օրենք (փոփոխված է Ռուսաստանի Դաշնության Նախագահի 1993 թվականի դեկտեմբերի 24-ի թիվ 2288 հրամանագրով, 2000 թվականի նոյեմբերի 7-ի թիվ 135-FZ դաշնային օրենքը.
  7. Տեղեկատվական անվտանգության արտադրանքի փորձարկման լաբորատորիաների և սերտիֆիկացման մարմինների հավատարմագրման կանոնակարգ՝ տեղեկատվական անվտանգության պահանջներին համապատասխան / Ռուսաստանի Դաշնության Նախագահին առընթեր պետական ​​տեխնիկական հանձնաժողով.
  8. Համապատասխանության սերտիֆիկատների նշման կարգի, դրանց պատճենների և տեղեկատվության պաշտպանության սերտիֆիկացման միջոցների վերաբերյալ / Ռուսաստանի Դաշնության Նախագահին առընթեր պետական ​​տեխնիկական հանձնաժողով:
  9. Տեղեկատվական անվտանգության պահանջներին համապատասխան ինֆորմատիզացիայի օբյեկտների հավաստագրման կանոնակարգ / Ռուսաստանի Դաշնության Նախագահին առընթեր պետական ​​տեխնիկական հանձնաժողով.
  10. Տեղեկատվական անվտանգության գործիքների սերտիֆիկացման կանոնակարգ `տեղեկատվական անվտանգության պահանջներին համապատասխան. Լրացումներով` համաձայն Ռուսաստանի Դաշնության Կառավարության 1995 թվականի հունիսի 26 -ի թիվ 608 «Տեղեկատվական անվտանգության միջոցների սերտիֆիկացման մասին» N 608 որոշման / Պետական ​​տեխնիկական հանձնաժողով Ռուսաստանի Դաշնության Նախագահ.
  11. Տեղեկատվության պաշտպանության ոլորտում գործունեության պետական ​​լիցենզավորման կանոնակարգեր / Ռուսաստանի Դաշնության Նախագահին առընթեր պետական ​​տեխնիկական հանձնաժողով:
  12. Ավտոմատացված համակարգեր. Պաշտպանություն տեղեկատվության չարտոնված մուտքից: Ավտոմատացված համակարգերի դասակարգում և տեղեկատվության պաշտպանության պահանջներ. Ուղղորդող փաստաթուղթ / Ռուսաստանի Դաշնության Նախագահին առընթեր պետական ​​տեխնիկական հանձնաժողով:
  13. Համակարգչային սարքավորումների և ավտոմատացված համակարգերի պաշտպանության հայեցակարգը տեղեկատվության չարտոնված մուտքից. Ուղեցույց փաստաթուղթ / Ռուսաստանի Դաշնության Նախագահին առընթեր պետական ​​տեխնիկական հանձնաժողով:
  14. Համակարգչային սարքավորումներ: Firewalls: Պաշտպանություն տեղեկատվության չարտոնված մուտքից: Տեղեկատվության չարտոնված մուտքի դեմ անվտանգության ցուցանիշներ. Ուղեցույցի փաստաթուղթ / Ռուսաստանի Դաշնության Նախագահին առընթեր պետական ​​տեխնիկական հանձնաժողով:
  15. Համակարգչային սարքավորումներ: Պաշտպանություն տեղեկատվության չարտոնված մուտքից: Տեղեկատվության չարտոնված մուտքի դեմ անվտանգության ցուցանիշներ. Ուղեցույցի փաստաթուղթ / Ռուսաստանի Դաշնության Նախագահին առընթեր պետական ​​տեխնիկական հանձնաժողով:
  16. Տեղեկատվության պաշտպանություն: Հատուկ պաշտպանիչ նշաններ: Դասակարգում և ընդհանուր պահանջներ. Ուղեցույց փաստաթուղթ / Ռուսաստանի Դաշնության Նախագահին առընթեր պետական ​​տեխնիկական հանձնաժողով:
  17. Պաշտպանություն տեղեկատվության չարտոնված մուտքից: Տերմիններ և սահմանումներ. Ուղղորդող փաստաթուղթ / Ռուսաստանի Դաշնության Նախագահին առընթեր պետական ​​տեխնիկական հանձնաժողով:

Տեղեկատվական անվտանգության ապահովումը բարդ սոցիալ-սոցիալական, իրավական, տնտեսական, գիտական ​​խնդիր է: Միայն մի քանի հարթություններում իր նպատակների և խնդիրների համապարփակ լուծումը կկարողանա իր կարգավորիչ ազդեցությունն ունենալ երկրի տեղեկատվական անվտանգության ապահովման վրա: Այս ոլորտում տարվող աշխատանքները պետք է ունենան ոչ միայն գործնական ուղղվածություն, այլև գիտական ​​հիմք:

Տեղեկատվական անվտանգության ապահովման հիմնական նպատակները որոշվում են սոցիալական զարգացման երկարաժամկետ շահերին համապատասխանող ազգային և տնտեսական անվտանգության կայուն առաջնահերթությունների հիման վրա:

Ռուսաստանի պետականության և հասարակության մեջ քաղաքական կայունության պահպանում և ամրապնդում.

Հասարակության ժողովրդավարական ինստիտուտների պահպանում և զարգացում, քաղաքացիների իրավունքների և ազատությունների ապահովում, օրենքի և օրենքի գերակայության ամրապնդում.

Համաշխարհային հանրության մեջ երկրի արժանի տեղի և դերի ապահովում.

Երկրի տարածքային ամբողջականության ապահովում;

Առաջադիմական սոցիալ-տնտեսական զարգացման ապահովում;

Ազգային մշակութային արժեքների և ավանդույթների պահպանում:

Այս առաջնահերթություններին համապատասխան, տեղեկատվական անվտանգության ապահովման հիմնական խնդիրներն են.

Տեղեկատվական անվտանգության սպառնալիքների աղբյուրների բացահայտում, գնահատում և կանխատեսում.

տեղեկատվական անվտանգության ապահովման պետական ​​քաղաքականության մշակում, դրա իրականացման միջոցառումների և մեխանիզմների համալիր.

Տեղեկատվական անվտանգության ապահովման համար կարգավորող շրջանակի մշակում, տեղեկատվական անվտանգության ապահովման համար պետական ​​մարմինների և ձեռնարկությունների գործունեության համակարգում;

Տեղեկատվական անվտանգության ապահովման, դրա կազմակերպման բարելավման, տեղեկատվական անվտանգության սպառնալիքների կանխարգելման, հակազդման և չեզոքացման ձևերի, մեթոդների և միջոցների մշակում և դրա խախտման հետևանքները վերացնելու համար.

Գլոբալ օգտագործման ստեղծման գործընթացներին երկրի ակտիվ մասնակցության ապահովում տեղեկատվական ցանցերև համակարգեր:

Տեղեկատվական անվտանգության ամենակարևոր սկզբունքներն են.

1) տեղեկատվական ոլորտում հանցագործությունները բացահայտելու և կանխելու միջոցառումների օրինականությունը.

2) տեղեկատվական համակարգի վերահսկման ու պաշտպանության միջոցների ու մեթոդների ներդրման ու կատարելագործման շարունակականությունը.

3) տնտեսական իրագործելիություն, այսինքն `տեղեկատվության անվտանգության ապահովման հնարավոր վնասների և ծախսերի համեմատելիություն

4) ընկերության բոլոր ստորաբաժանումներում և տեղեկատվական գործընթացի բոլոր փուլերում պաշտպանության առկա միջոցների ողջ զինանոցի օգտագործման բարդությունը:

Տեղեկատվության պաշտպանության գործընթացի իրականացումը ներառում է մի քանի փուլ.

Պաշտպանության օբյեկտի որոշում. տեղեկատվական ռեսուրսը պաշտպանելու իրավունքը, տեղեկատվական ռեսուրսի և դրա հիմնական տարրերի արժեքի գնահատումը, տեղեկատվական ռեսուրսի կյանքի ցիկլի տևողությունը, տեղեկատվական գործընթացի հետագիծը՝ ըստ ֆունկցիոնալ ստորաբաժանումների: ընկերություն;

Սպառնալիքների աղբյուրների (մրցակիցներ, հանցագործներ, աշխատակիցներ և այլն), սպառնալիքների նպատակների (ծանոթացում, փոփոխում, ոչնչացում և այլն), սպառնալիքների իրականացման հնարավոր ուղիների բացահայտում (բացահայտում, արտահոսք և այլն);

Անհրաժեշտ պաշտպանական միջոցառումների որոշում;

Դրանց արդյունավետության և տնտեսական իրագործելիության գնահատում;

Ձեռնարկված միջոցառումների իրականացում `հաշվի առնելով ընտրված չափանիշները.

Անձնակազմին ձեռնարկված միջոցառումների հաղորդակցություն, դրանց արդյունավետության մոնիտորինգ և սպառնալիքների հետևանքների վերացում (կանխում).

Նկարագրված փուլերի իրականացումը, ըստ էության, օբյեկտի տեղեկատվական անվտանգության կառավարման գործընթաց է և ապահովվում է կառավարման համակարգով, որը ներառում է, բացի վերահսկվող (պաշտպանված) օբյեկտից, իր վիճակի վերահսկման միջոցներից, մեխանիզմից: ընթացիկ վիճակը պահանջվողի հետ համեմատելու, ինչպես նաև տեղայնացման գործողությունները վերահսկելու և սպառնալիքներից վնասները կանխելու մեխանիզմ: Այս դեպքում նպատակահարմար է կառավարման չափանիշ համարել տեղեկատվության նվազագույն վնասի հասնելը, իսկ կառավարման նպատակն է ապահովել օբյեկտի պահանջվող վիճակը `դրա տեղեկատվական անվտանգության իմաստով:

Տեղեկատվական անվտանգության մեթոդները բաժանվում են իրավական, կազմակերպչական և տեխնիկական և տնտեսական:

Դեպի իրավական մեթոդներՏեղեկատվական անվտանգության ապահովումը ներառում է տեղեկատվական ոլորտում հարաբերությունները կարգավորող նորմատիվ իրավական ակտերի և տեղեկատվական անվտանգության վերաբերյալ կարգավորող մեթոդաբանական փաստաթղթերի մշակում: Այս գործունեության ամենակարևոր ոլորտներն են.

Տեղեկատվական անվտանգության ոլորտում հարաբերությունները կարգավորող օրենսդրության մեջ փոփոխություններ և լրացումներ՝ տեղեկատվական անվտանգության համակարգի ստեղծման և կատարելագործման, դաշնային օրենսդրության ներքին հակասությունները վերացնելու, միջազգային պայմանագրերի հետ կապված հակասությունները, ինչպես նաև պատասխանատվություն սահմանող իրավական նորմերը կոնկրետացնելու նպատակով։ տեղեկատվական անվտանգության ոլորտում կատարված հանցագործությունների համար.

Հասարակական միավորումների, կազմակերպությունների և քաղաքացիների այդ գործունեությանը մասնակցելու նպատակների, խնդիրների և մեխանիզմների սահմանման ապահովման ոլորտում իրավասությունների սահմանում.

Նորմատիվ իրավական ակտերի մշակում և ընդունում, որոնք պատասխանատվություն են սահմանում իրավաբանական և ֆիզիկական անձանց տեղեկատվության չարտոնված մուտքի, դրա ապօրինի պատճենման, խեղաթյուրման և ապօրինի օգտագործման, ոչ ճշգրիտ տեղեկատվության կանխամտածված տարածման, անօրինական բացահայտման համար. գաղտնի տեղեկատվություն, պաշտոնական տեղեկատվության կամ առևտրային գաղտնիք պարունակող տեղեկատվության օգտագործումը հանցավոր և եսասեր նպատակների համար.

Օտարերկրյա լրատվական գործակալությունների, ԶԼՄ-ների և լրագրողների, ինչպես նաև ներդրողների կարգավիճակի հստակեցում ներքին տեղեկատվական ենթակառուցվածքի զարգացման համար օտարերկրյա ներդրումներ ներգրավելիս.

Ազգային կապի ցանցերի զարգացման և տիեզերական կապի արբանյակների հայրենական արտադրության առաջնահերթության օրենսդրական համախմբում.

Համաշխարհային տեղեկատվական և հաղորդակցական ցանցերի ծառայություններ մատուցող կազմակերպությունների կարգավիճակի որոշում և այդ կազմակերպությունների գործունեության իրավական կարգավորում.

Տեղեկատվական անվտանգության ապահովման տարածաշրջանային կառույցների ձևավորման իրավական հիմքի ստեղծում:

Կազմակերպչական և տեխնիկականտեղեկատվական անվտանգության մեթոդներն են.

Տեղեկատվական անվտանգության պետական ​​համակարգի ստեղծում և կատարելագործում;

Իշխանությունների իրավապահ մարմինների գործունեության ամրապնդում, ներառյալ տեղեկատվական ոլորտում հանցագործությունների կանխարգելումն ու ճնշումը, ինչպես նաև այս ոլորտում հանցագործություններ և այլ հանցագործություններ կատարած անձանց բացահայտումը, բացահայտումը և հետապնդումը.

Տեղեկատվական անվտանգության միջոցների և այդ միջոցների արդյունավետության մոնիտորինգի մեթոդների մշակում, օգտագործում և կատարելագործում, հեռահաղորդակցության ապահով համակարգերի մշակում, հատուկ ծրագրային ապահովման հուսալիության բարձրացում.

Մշակված տեղեկատվության և հատուկ էֆեկտների չարտոնված մուտքի կանխման համակարգերի և միջոցների ստեղծում, որոնք առաջացնում են տեղեկատվության ոչնչացում, ոչնչացում, խեղաթյուրում, ինչպես նաև համակարգվածության և տեղեկատվականացման և հաղորդակցության միջոցների գործունեության սովորական ռեժիմների փոփոխություն.

Բացահայտում տեխնիկական սարքերև ծրագրեր, որոնք վտանգ են ներկայացնում տեղեկատվական և հաղորդակցական համակարգերի բնականոն գործունեությանը, կանխում են տեղեկատվության գաղտնալսումը տեխնիկական ուղիներով, տեղեկատվության պահպանման, մշակման և հաղորդակցման ուղիներով փոխանցման ընթացքում տեղեկատվության պաշտպանության ծածկագրային միջոցների օգտագործումը, հատուկ պահանջների կատարման մոնիտորինգը: տեղեկատվության պաշտպանության համար;

Տեղեկատվական անվտանգության միջոցների սերտիֆիկացում, պետական ​​գաղտնիքի պաշտպանության ոլորտում գործունեության լիցենզավորում, տեղեկատվական անվտանգության մեթոդների և միջոցների ստանդարտացում.

Հեռահաղորդակցության սարքավորումների և տեղեկատվության մշակման ավտոմատացված համակարգերի ծրագրային ապահովման հավաստագրման համակարգի կատարելագործում` տեղեկատվական անվտանգության պահանջներին համապատասխան.

Պաշտպանված տեղեկատվական համակարգերում անձնակազմի գործողությունների վերահսկում, պետության տեղեկատվական անվտանգության ապահովման ոլորտում ուսուցում.

Հասարակության և պետության կյանքի և գործունեության կարևորագույն ոլորտներում տեղեկատվական անվտանգության ցուցանիշների և բնութագրերի մոնիտորինգի համակարգի ձևավորում.

Տնտեսական մեթոդներտեղեկատվական անվտանգության ապահովումը ներառում է.

Պետության տեղեկատվական անվտանգության ապահովման ծրագրերի մշակում և դրանց ֆինանսավորման կարգի սահմանում.

Տեղեկատվության պաշտպանության իրավական և կազմակերպչական և տեխնիկական մեթոդների ներդրման հետ կապված աշխատանքների ֆինանսավորման համակարգի կատարելագործում, ֆիզիկական և իրավաբանական անձանց տեղեկատվական ռիսկերի ապահովագրման համակարգի ստեղծում:

Լայն կիրառման հետ մեկտեղ ստանդարտ մեթոդներիսկ տնտեսության համար նախատեսված միջոցները, տեղեկատվական անվտանգության ապահովման առաջնահերթ ոլորտներն են.

Տեղեկատվության չարտոնված մուտքի և գողության համար իրավաբանական և ֆիզիկական անձանց պատասխանատվություն սահմանող իրավական դրույթների մշակում և ընդունում, ոչ ճշգրիտ տեղեկատվության կանխամտածված տարածում, առևտրային գաղտնիքների բացահայտում, գաղտնի տեղեկատվության արտահոսք.

Պետական ​​վիճակագրական հաշվետվության համակարգի ստեղծում, որն ապահովում է տեղեկատվության հավաստիությունը, ամբողջականությունը, համադրելիությունը և անվտանգությունը՝ ներդնելով տեղեկատվության առաջնային աղբյուրների խիստ իրավական պատասխանատվություն, կազմակերպելով արդյունավետ վերահսկողություն նրանց գործունեության և վիճակագրական տեղեկատվության մշակման և վերլուծության ծառայությունների գործունեության վրա, սահմանափակելով դրա առևտրայնացում ՝ օգտագործելով հատուկ կազմակերպչական և ծրագրային և ապարատային տեղեկատվական անվտանգության միջոցներ.

Ֆինանսական և առևտրային տեղեկատվության պաշտպանության հատուկ միջոցների ստեղծում և կատարելագործում.

Տեխնոլոգիաների բարելավման համար կազմակերպչական և տեխնիկական միջոցառումների համալիրի մշակում տեղեկատվական գործունեությունև տեղեկատվության պաշտպանությունը տնտեսական, ֆինանսական, արդյունաբերական և այլ տնտեսական կառույցներում՝ հաշվի առնելով տնտեսությանը հատուկ տեղեկատվական անվտանգության պահանջները.

Կադրերի մասնագիտական ​​ընտրության և վերապատրաստման համակարգի, տնտեսական տեղեկատվության ընտրության, մշակման, վերլուծության և տարածման համակարգերի կատարելագործում.

Հասարակական քաղաքականությունՏեղեկատվական անվտանգության ապահովումը ձևավորում է տեղեկատվական անվտանգության ոլորտում պետական ​​մարմինների և վարչակազմի գործունեության ուղղությունները, ներառյալ տեղեկատվության բոլոր սուբյեկտների իրավունքների երաշխիքները, պետության և նրա մարմինների պարտականությունների և պարտականությունների համախմբումը երկրի տեղեկատվական անվտանգության համար. , և հիմնված է տեղեկատվական ոլորտում անհատի, հասարակության և պետության շահերի հավասարակշռության պահպանման վրա։

Տեղեկատվական անվտանգության պետական ​​քաղաքականությունը հիմնված է հետևյալ հիմնական դրույթների վրա.

Տեղեկատվության հասանելիության սահմանափակումը բացառություն է տեղեկատվության հրապարակայնության ընդհանուր սկզբունքից և իրականացվում է միայն օրենսդրության հիման վրա.

Տեղեկատվության անվտանգության, դրա դասակարգման և գաղտնազերծման համար պատասխանատվությունը անձնավորված է.

Informationանկացած տեղեկատվության հասանելիությունը, ինչպես նաև մուտքի վրա դրված սահմանափակումները կատարվում են `հաշվի առնելով օրենքով սահմանված այս տեղեկատվության սեփականության իրավունքները.

Պետության կողմից տեղեկատվական ոլորտում գործող բոլոր սուբյեկտների իրավունքները, պարտականությունները և պարտականությունները կարգավորող կարգավորիչ և իրավական շրջանակի ձևավորում.

Իրավաբանական և անհատներԱնձնական տվյալների և գաղտնի տեղեկատվության հավաքագրումը, կուտակումը և մշակումը օրենքի առջև պատասխանատվություն են կրում դրանց անվտանգության և օգտագործման համար.

Պետությանը տրամադրել օրինական միջոցներ՝ հասարակությանը լրատվամիջոցների միջոցով եկող կեղծ, խեղաթյուրված և ոչ ճշգրիտ տեղեկատվությունից պաշտպանելու համար.

Տեղեկատվական անվտանգության միջոցների ստեղծման և օգտագործման նկատմամբ պետական ​​վերահսկողության իրականացում `տեղեկատվական անվտանգության ոլորտում գործունեության պարտադիր հավաստագրման և լիցենզավորման միջոցով.

Իրականացնել պետության պաշտպանողական քաղաքականություն, որն աջակցում է տեղեկատվական տեխնոլոգիաների և տեղեկատվության պաշտպանության տեղական արտադրողների գործունեությանը և միջոցներ է ձեռնարկում ներքին շուկան անորակ տեղեկատվական լրատվամիջոցների և տեղեկատվական արտադրանքի ներթափանցումից պաշտպանելու համար.

Պետական ​​աջակցություն ՝ քաղաքացիներին համաշխարհային տեղեկատվական ռեսուրսներին, գլոբալ տեղեկատվական ցանցերին հասանելիություն ապահովելու գործում,

Պետության կողմից դաշնային տեղեկատվական անվտանգության ծրագրի ձևավորում, որը միավորում է ջանքերը պետական ​​կազմակերպություններև առևտրային կառույցներ `երկրի համար տեղեկատվական անվտանգության միասնական համակարգի ստեղծման գործում.

Պետությունը ջանքեր է գործադրում հակազդելու այլ երկրների տեղեկատվական ընդլայնմանը, աջակցում է գլոբալ տեղեկատվական ցանցերի և համակարգերի միջազգայնացմանը:

Հռչակված սկզբունքների և դրույթների հիման վրա որոշվում են պետության գործունեության քաղաքական, տնտեսական և այլ ոլորտներում տեղեկատվական անվտանգության քաղաքականության ձևավորման և իրականացման ընդհանուր ուղղությունները:

Պետական ​​քաղաքականությունը՝ որպես տեղեկատվական հարաբերությունների սուբյեկտների շահերի ներդաշնակեցման և փոխզիջումային լուծումներ գտնելու մեխանիզմ, նախատեսում է մասնագետների և բոլոր շահագրգիռ կառույցների լայն ներկայացվածությամբ տարբեր խորհուրդների, հանձնաժողովների և հանձնաժողովների արդյունավետ աշխատանքի ձևավորում և կազմակերպում։ Պետական ​​քաղաքականության իրականացման մեխանիզմները պետք է լինեն ճկուն և ժամանակին արտացոլեն երկրի տնտեսական և քաղաքական կյանքում տեղի ունեցող փոփոխությունները։

Տեղեկատվական անվտանգության քաղաքականության իրականացման մեխանիզմների ձևավորման գործում առաջնային է պետության տեղեկատվական անվտանգության իրավական աջակցությունը և ներառում է.

1) տեղեկատվական անվտանգության ապահովման հետ կապված հասարակության մեջ հարաբերությունները կարգավորող օրենսդրություն ստեղծելու կանոնաստեղծ գործունեություն.

2) պետական ​​մարմինների և վարչակազմերի, կազմակերպությունների, քաղաքացիների կողմից տեղեկատվության, տեղեկատվականացման և տեղեկատվության պաշտպանության ոլորտում օրենսդրության ներդրման համար գործադիր և իրավապահ մարմինների գործունեությունը:

Նորմատիվ գործունեությունտեղեկատվական անվտանգության ոլորտում ապահովում է.

Գործող օրենսդրության վիճակի գնահատում և դրա կատարելագործման ծրագրի մշակում;

Տեղեկատվական անվտանգության ապահովման կազմակերպչական և իրավական մեխանիզմների ստեղծում.

Տեղեկատվական անվտանգության համակարգի բոլոր սուբյեկտների, տեղեկատվական և հեռահաղորդակցության համակարգերի օգտագործողների իրավական կարգավիճակի ձևավորում և տեղեկատվության անվտանգության ապահովման համար նրանց պատասխանատվության որոշում.

Տեղեկատվական անվտանգության սպառնալիքների և դրանց հետևանքների վերաբերյալ վիճակագրական տվյալների հավաքման և վերլուծության կազմակերպական և իրավական մեխանիզմի մշակում ՝ հաշվի առնելով բոլոր տեսակի տեղեկատվությունը.

Օրենսդրական և այլ նորմատիվ ակտերի մշակում, որոնք կարգավորում են սպառնալիքների հետևանքների վերացման, խախտված իրավունքների և ռեսուրսների վերականգնման և փոխհատուցման միջոցների իրականացման կարգը:

Գործադիր և հարկադիր գործունեություննախատեսում է օրենսդրության և նորմատիվ իրավական ակտերի կիրառման ընթացակարգերի մշակում այն ​​սուբյեկտների նկատմամբ, ովքեր հանցագործություն և անօրինականություն են գործել գաղտնի տեղեկատվության հետ աշխատելիս և խախտել են տեղեկատվական փոխգործակցության կանոնները: Տեղեկատվական անվտանգության իրավական ապահովմանն ուղղված բոլոր գործողությունները հիմնված են օրենքի երեք հիմնարար դրույթների վրա. Օրենքի գերակայության պահպանում, առանձին սուբյեկտների և պետության շահերի հավասարակշռության ապահովում և պատժի անխուսափելիություն:

Օրենքին համապատասխանելը ենթադրում է օրենքների և կարգավորող այլ դրույթների առկայություն, դրանց կիրառում և կիրառում տեղեկատվության անվտանգության ոլորտում իրավունքի սուբյեկտների կողմից:

12.3. ՏԵORԵԿԱՏՎԱԿԱՆ ԱՊԱՀՈՎՈԹՅԱՆ ՊԵՏՈԹՅՈՆԸ ՌՈSՍԱՍՏԱՆՈՄ

Պետության տեղեկատվական անվտանգության վիճակի գնահատումը ենթադրում է առկա սպառնալիքների գնահատում: «Ռուսաստանի Դաշնության տեղեկատվական անվտանգության դոկտրինայի» 1 -ին կետում նշված են Ռուսաստանի Դաշնության տեղեկատվական անվտանգության հետևյալ սպառնալիքները.

Մարդու և քաղաքացու սահմանադրական իրավունքներին և ազատություններին սպառնացող վտանգները հոգևոր կյանքի և տեղեկատվական գործունեության, անհատական, խմբակային և հասարակական գիտակցության, Ռուսաստանի հոգևոր վերածննդի ոլորտում.

Ռուսաստանի Դաշնության պետական ​​քաղաքականության տեղեկատվական աջակցության սպառնալիքներ.

Ներքին տեղեկատվական արդյունաբերության զարգացմանը, ներառյալ ՝ տեղեկատվականացման, հեռահաղորդակցության և հաղորդակցության արդյունաբերությանը, ներքին արտադրանքի շուկայի կարիքների բավարարմանը և այդ ապրանքների համաշխարհային շուկա դուրս գալուն, ինչպես նաև կուտակման, պահպանման և պահպանման ապահովմանը: ներքին տեղեկատվական ռեսուրսների արդյունավետ օգտագործում;

__________________________________________________________________

Տեղեկատվական և հեռահաղորդակցության համակարգերի անվտանգության սպառնալիքներ ՝ ինչպես արդեն տեղակայված, այնպես էլ ստեղծված Ռուսաստանի տարածքում:

Ռուսաստանի տեղեկատվական անվտանգության սպառնալիքների արտաքին աղբյուրները ներառում են.

1) տեղեկատվական ոլորտում Ռուսաստանի Դաշնության դեմ ուղղված արտաքին քաղաքական, տնտեսական, ռազմական, հետախուզական և տեղեկատվական կառույցների գործունեությունը.

2) մի շարք երկրների ցանկությունը՝ գերակայելու և ոտնահարելու Ռուսաստանի շահերը համաշխարհային տեղեկատվական տարածքում, նրան հեռացնելու արտաքին և ներքին տեղեկատվական շուկաներից.

3) տեղեկատվական տեխնոլոգիաների և ռեսուրսների տիրապետման միջազգային մրցակցության սրումը.

4) միջազգային ահաբեկչական կազմակերպությունների գործունեությունը.

5) մեծացնելով աշխարհի առաջատար տերությունների միջև տեխնոլոգիական բացը և զարգացնել նրանց կարողությունները՝ հակազդելու ռուսական մրցունակ տեղեկատվական տեխնոլոգիաների ստեղծմանը.

6) օտարերկրյա պետությունների տիեզերական, օդային, ծովային և ցամաքային տեխնիկական և հետախուզության այլ միջոցների (տեսակների) գործունեությունը.

7) մի շարք պետությունների կողմից տեղեկատվական պատերազմների հայեցակարգերի մշակում, որը նախատեսում է աշխարհի այլ երկրների տեղեկատվական ոլորտների վրա վտանգավոր ազդեցության միջոցների ստեղծում, տեղեկատվական և հեռահաղորդակցության համակարգերի բնականոն գործունեության խաթարում, տեղեկատվության անվտանգություն ռեսուրսներ ՝ ձեռք բերելով դրանց չարտոնված մուտք:

Ռուսաստանի տեղեկատվական անվտանգությանը սպառնացող ներքին աղբյուրները ներառում են.

1) ներքին արդյունաբերության կրիտիկական վիճակը.

2) անբարենպաստ հանցավոր իրավիճակ, որը ուղեկցվում է տեղեկատվական ոլորտում պետական ​​և հանցավոր կառույցների միաձուլման միտումներով, հանցավոր կառույցների կողմից գաղտնի տեղեկատվության հասանելիություն ձեռք բերելու, հասարակության կյանքի վրա կազմակերպված հանցավորության ազդեցության մեծացման, հասարակության պաշտպանվածության աստիճանի նվազեցմամբ. քաղաքացիների, հասարակության և պետության օրինական շահերը տեղեկատվական ոլորտում.

3) պետական ​​\ u200b \ u200b իշխանության դաշնային մարմինների, Ռուսաստանի Դաշնության հիմնադիր սուբյեկտների պետական ​​\ u200b \ u200b մարմինների գործունեության անբավարար համակարգումը `Ռուսաստանի Դաշնության տեղեկատվական անվտանգության ապահովման ոլորտում միասնական պետական ​​քաղաքականության ձևավորման և իրականացման վերաբերյալ.

4) տեղեկատվական ոլորտում հարաբերությունները կարգավորող կարգավորող իրավական դաշտի անբավարար մշակումը, ինչպես նաև ոչ բավարար իրավակիրառ պրակտիկան.

5) քաղաքացիական հասարակության ինստիտուտների թերզարգացածությունը և Ռուսաստանում տեղեկատվական շուկայի զարգացման նկատմամբ անբավարար վերահսկողությունը.

6) պետության անբավարար տնտեսական հզորությունը.

7) կրթության և վերապատրաստման համակարգի արդյունավետության նվազում, տեղեկատվական անվտանգության ոլորտում որակյալ անձնակազմի անբավարար քանակ.

8) Ռուսաստանի դաշնությունը հետ է մնում աշխարհի առաջատար երկրներից `դաշնային կառավարման մարմինների տեղեկատվականացման, վարկերի և ֆինանսների, արդյունաբերության, գյուղատնտեսության, կրթության, առողջապահության, ծառայությունների և քաղաքացիների առօրյա կյանքի առումով:

Վերջին տարիներին Ռուսաստանը մի շարք միջոցառումներ է իրականացրել `բարելավելու իր տեղեկատվական անվտանգության ապահովումը: Միջոցներ են ձեռնարկվել դաշնային պետական ​​մարմիններում, Ռուսաստանի Դաշնության հիմնադիր սուբյեկտների պետական ​​մարմիններում, ձեռնարկություններում, հիմնարկներում և կազմակերպություններում տեղեկատվական անվտանգության ապահովման համար՝ անկախ սեփականության ձևից: Պետական ​​իշխանությունների շահերից բխող հատուկ նպատակների համար անվտանգ տեղեկատվական և հեռահաղորդակցության համակարգի ստեղծման աշխատանքներ են սկսվել:

Տեղեկատվության պաշտպանության պետական ​​համակարգը, պետական ​​գաղտնիքի պաշտպանության համակարգը և տեղեկատվության պաշտպանության միջոցների սերտիֆիկացման համակարգը նպաստում են Ռուսաստանի Դաշնության տեղեկատվական անվտանգության ապահովման հարցերի հաջող լուծմանը:

Կառուցվածքը պետական ​​համակարգտեղեկատվության պաշտպանությունն են ՝

Ռուսաստանի Դաշնության պետական ​​\ u200b \ u200b մարմիններն ու վարչակազմերը և Ռուսաստանի Դաշնության բաղկացուցիչ սուբյեկտները `լուծելով տեղեկատվության անվտանգության ապահովման խնդիրները իրենց իրավասությունների սահմաններում.

Տեղեկատվական անվտանգության հարցերով մասնագիտացված պետական ​​և միջգերատեսչական հանձնաժողովներ և խորհուրդներ.

Ռուսաստանի Դաշնության Նախագահին առընթեր պետական ​​տեխնիկական հանձնաժողով;

Ռուսաստանի Դաշնության Անվտանգության դաշնային ծառայություն;

Ռուսաստանի Դաշնության Ներքին գործերի նախարարություն;

Ռուսաստանի Դաշնության պաշտպանության նախարարություն;

Ռուսաստանի Դաշնության Նախագահին առընթեր պետական ​​կապերի և տեղեկատվության դաշնային գործակալություն.

Ռուսաստանի Դաշնության արտաքին հետախուզական ծառայություն;

Պետական ​​մարմինների տեղեկատվության պաշտպանության կառուցվածքային և միջոլորտային ստորաբաժանումներ.

Տեղեկատվության պաշտպանության առաջատար և առաջատար գիտահետազոտական, գիտատեխնիկական, նախագծային և ճարտարագիտական ​​կազմակերպություններ.

Ուսումնական հաստատություններՏեղեկատվական անվտանգության համակարգում աշխատելու համար անձնակազմի վերապատրաստում և վերապատրաստում.

Ռուսաստանի Դաշնության Նախագահին առընթեր պետական ​​տեխնիկական հանձնաժողովը, որպես պետական ​​մարմին, իրականացնում է միասնական տեխնիկական քաղաքականություն և համակարգում է աշխատանքները տեղեկատվության պաշտպանության ոլորտում, ղեկավարում է տեխնիկական հետախուզությունից տեղեկատվության պաշտպանության պետական ​​համակարգը, պատասխանատու է պաշտպանության ապահովման համար: Ռուսաստանի տարածքում տեխնիկական ուղիներով դրա արտահոսքից ստացված տեղեկատվությունը վերահսկում է ձեռնարկված պաշտպանության միջոցառումների արդյունավետությունը:

Տեղեկատվական անվտանգության համակարգում հատուկ տեղ են զբաղեցնում պետական ​​և հասարակական կազմակերպությունները, որոնք վերահսկողություն են իրականացնում պետական ​​և ոչ պետական ​​լրատվամիջոցների գործունեության նկատմամբ:

Մինչ օրս Ռուսաստանում ձևավորվել է օրենսդրական և կարգավորող շրջանակ տեղեկատվական անվտանգության ոլորտում, որը ներառում է.

1. Ռուսաստանի Դաշնության օրենքներ.

Ռուսաստանի Դաշնության Սահմանադրություն;

«Բանկերի և բանկային գործունեության մասին»;

«Անվտանգության մասին»;

«Արտաքին հետախուզության մասին»;

«Պետական ​​գաղտնիքների մասին»;

«Հաղորդակցության մասին»;

«Ապրանքների և ծառայությունների սերտիֆիկացման մասին»;

«TheԼՄ -ների մասին»;

«Ստանդարտացման մասին»;

«Տեղեկատվության, տեղեկատվական տեխնոլոգիաների և տեղեկատվության պաշտպանության մասին»;

«Ռուսաստանի Դաշնությունում Անվտանգության դաշնային ծառայության մարմինների մասին».

«Փաստաթղթերի պարտադիր պատճենի մասին»;

«Տեղեկատվության միջազգային փոխանակմանը մասնակցելու մասին»;

«O6 թվային ստորագրություն» և այլն:

2. Ռուսաստանի Դաշնության Նախագահի նորմատիվ իրավական ակտեր.

«Ռուսաստանի Դաշնության տեղեկատվական անվտանգության դոկտրին»;

«Ռուսաստանի Դաշնության ազգային անվտանգության ռազմավարության մասին մինչև 2020 թվականը»;

«Պետական ​​գաղտնիքի պաշտպանության միջգերատեսչական հանձնաժողովի որոշ հարցերի շուրջ»;

«Պետական ​​գաղտնիք դասակարգված տեղեկատվության ցանկում»;

«Ինֆորմատիզացիայի բնագավառում պետական ​​քաղաքականության հիմքերի վրա»;

«Գաղտնի տեղեկատվության ցանկը հաստատելու մասին» և այլն:

Հ. Ռուսաստանի Դաշնության կառավարության նորմատիվ իրավական ակտեր.

«Տեղեկատվական անվտանգության գործիքների հավաստագրման մասին»;

«Պետական ​​գաղտնիք կազմող տեղեկատվության օգտագործման, տեղեկատվական անվտանգության միջոցների ստեղծման, ինչպես նաև միջոցառումների իրականացման և (կամ) ծառայությունների մատուցման ձեռնարկությունների, հիմնարկների և կազմակերպությունների գործունեությունը լիցենզավորելու համար. պետական ​​գաղտնիքի պաշտպանություն»;

«Պետական ​​գաղտնիք կազմող տեղեկատվության տարբեր աստիճանի գաղտնիության դասակարգման կանոնները հաստատելու մասին».

«Գործունեության որոշակի տեսակների լիցենզավորման մասին» և այլն:

4. Ռուսաստանի պետական ​​տեխնիկական հանձնաժողովի ուղեցույցային փաստաթղթերը.

«Համակարգչային սարքավորումների և ավտոմատացված համակարգերի պաշտպանության հայեցակարգը տեղեկատվության չարտոնված մուտքից»;

«Համակարգչային հարմարություններ. Պաշտպանություն տեղեկատվության չարտոնված մուտքից: Տեղեկատվության չարտոնված մուտքի դեմ անվտանգության ցուցանիշներ »;

«Ավտոմատացված համակարգեր. Պաշտպանություն տեղեկատվության չարտոնված մուտքից: Ավտոմատացված համակարգերի դասակարգում և տեղեկատվության պաշտպանության պահանջներ »;

«Տեղեկատվության պաշտպանություն. Հատուկ պաշտպանիչ նշաններ: Դասակարգում և ընդհանուր պահանջներ »;

«Պաշտպանություն տեղեկատվության չարտոնված մուտքից: Մաս 1. Տեղեկատվական անվտանգության ծրագրակազմ: Դասակարգում ՝ ըստ չհայտարարված հնարավորությունների բացակայության վերահսկողության մակարդակի »:

5. Ռուսաստանի Դաշնության քաղաքացիական օրենսգիրք (մաս չորրորդ):

6. Ռուսաստանի Դաշնության քրեական օրենսգիրք:

Տեղեկատվական անվտանգության ապահովման ոլորտում միջազգային համագործակցությունը համաշխարհային հանրության երկրների տնտեսական, քաղաքական, ռազմական, մշակութային և այլ տիպի փոխգործակցության անբաժանելի մասն է: Նման համագործակցությունը պետք է օգնի բարելավել համաշխարհային հանրության բոլոր անդամների, այդ թվում ՝ Ռուսաստանի տեղեկատվական անվտանգությունը: Տեղեկատվական անվտանգության ոլորտում Ռուսաստանի Դաշնության միջազգային համագործակցության առանձնահատկությունը կայանում է նրանում, որ այն իրականացվում է տեխնոլոգիական և տեխնոլոգիաների տիրապետման համար ուժեղացված միջազգային մրցակցության պայմաններում: տեղեկատվական ռեսուրսներ, վաճառքի շուկաներում գերիշխելու, աշխարհի առաջատար տերությունների միջև տեխնոլոգիական բացը ամրապնդելու և «տեղեկատվական զենքեր» ստեղծելու նրանց կարողությունների զարգացման համար։ Սա կարող է հանգեցնել տեղեկատվական ոլորտում սպառազինությունների մրցավազքի զարգացման նոր փուլի:

Տեղեկատվական անվտանգության ոլորտում միջազգային համագործակցությունը հիմնված է հետևյալ կարգավորիչ դաշտի վրա.

1995 թվականի հունվարի 13-ի պայմանագիր Ղազախստանի Հանրապետության հետ Մոսկվայի հետ (Ռուսաստանի Դաշնության Կառավարության 1994 թվականի մայիսի 15-ի Nch 679 որոշումը);

Ուկրաինայի հետ 1996 թվականի հունիսի 14 -ի համաձայնագիր, Կիև (Ռուսաստանի Դաշնության կառավարության 1996 թվականի հունիսի 7 -ի N 655 բանաձևը);

Համաձայնագիր Բելառուսի Հանրապետության հետ (Նախագիծ);

Միջազգային տեղեկատվության փոխանակման վկայագրերի և լիցենզիաների տրամադրում (1996 թ. հուլիսի 4-ի դաշնային օրենք, X 85-FZ):

Ռուսաստանի Դաշնության շահերին համապատասխանող միջազգային համագործակցության հիմնական ոլորտներն են.

Միջազգային բանկային ցանցերում և ալիքներում գաղտնի տեղեկատվության չարտոնված մուտքի կանխարգելում տեղեկատվական աջակցությունհամաշխարհային առևտուր, միջազգային տնտեսական և քաղաքական միությունների, դաշինքների և կազմակերպությունների գաղտնի տեղեկատվություն, միջազգային կազմակերպված հանցավորության և միջազգային ահաբեկչության դեմ պայքարող միջազգային իրավապահ մարմինների տեղեկատվություն.

«Տեղեկատվական զենքի» մշակման, տարածման և օգտագործման արգելում.

Տեղեկատվության միջազգային փոխանակման անվտանգության ապահովում, ներառյալ տեղեկատվության անվտանգությունը `հեռահաղորդակցության ազգային ցանցերի և կապի ուղիներով դրա փոխանցման ընթացքում.

Համակարգչային հանցագործությունների կանխարգելման ոլորտում միջազգային համագործակցությանը մասնակցող պետությունների իրավապահ մարմինների գործունեության համակարգում.

Մասնակցությունը միջազգային գիտաժողովներտեղեկատվական անվտանգության խնդրի վերաբերյալ ցուցահանդեսներ:

Համագործակցության ընթացքում հատուկ ուշադրություն պետք է դարձնել ԱՊՀ երկրների հետ փոխգործակցության խնդիրներին `հաշվի առնելով նախկին ԽՍՀՄ տարածքում մեկ տեղեկատվական տարածքի ստեղծման հեռանկարները, որի շրջանակներում գործնականում միասնական հեռահաղորդակցության համակարգերն ու հաղորդակցության գծերն են: օգտագործված.

Միևնույն ժամանակ, Ռուսաստանում տեղեկատվական անվտանգության վիճակի վերլուծությունը ցույց է տալիս, որ դրա մակարդակը լիովին չի բավարարում հասարակության և պետության կարիքները։ Երկրի քաղաքական և սոցիալ-տնտեսական զարգացման ներկա պայմանները առաջացնում են տեղեկատվության ազատ փոխանակումն ընդլայնելու և դրա տարածման որոշակի կարգավորվող սահմանափակումների պահպանման անհրաժեշտությունների միջև հակասությունների սրում:

Ռուսաստանի Դաշնության Սահմանադրությամբ ամրագրված անձնական կյանքի անձեռնմխելիության, անձնական և ընտանեկան գաղտնիքների, նամակագրության գաղտնիության իրավունքները չունեն բավարար իրավական, կազմակերպչական և տեխնիկական աջակցություն: Դաշնային կառավարության մարմինների կողմից հավաքագրված անձնական տվյալների պաշտպանությունը անբավարար է:

Պետական ​​քաղաքականության վարման հարցում հստակություն չկա ռուսական տեղեկատվական տարածքի ձևավորման, զանգվածային լրատվության համակարգի զարգացման, տեղեկատվության միջազգային փոխանակման կազմակերպման և գլոբալ տեղեկատվության մեջ ռուսական տեղեկատվական տարածքի ինտեգրման ոլորտում: տարածք, որը պայմաններ է ստեղծում ռուսական լրատվական գործակալությունների և զանգվածային լրատվության միջոցների ներքին տեղեկատվական շուկայից դուրս մղելու և միջազգային տեղեկատվության փոխանակման դեֆորմացիոն կառույցների համար:

Կառավարության կողմից բավարար աջակցություն չկա ռուսական լրատվական գործակալությունների գործունեությանը՝ իրենց արտադրանքը միջազգային տեղեկատվական շուկայում առաջ մղելու համար։

Պետական ​​գաղտնիք կազմող տեղեկատվության անվտանգության ապահովման հետ կապված իրավիճակը գնալով վատանում է.

Լուրջ վնաս է հասցվել տեղեկատվական տեխնոլոգիաների, հեռահաղորդակցության և կապի ստեղծման ոլորտում գործող գիտաարտադրական թիմերի կադրային ներուժին՝ այդ թիմերից ամենաորակյալ մասնագետների զանգվածային արտահոսքի արդյունքում։

Ներքին տեղեկատվական տեխնոլոգիաների հետամնացությունը ստիպում է Ռուսաստանի Դաշնության պետական ​​\ u200b \ u200b մարմիններին ՝ տեղեկատվական համակարգեր ստեղծելիս, հետևել ներմուծվող սարքավորումներ գնելու և օտարերկրյա ձեռնարկություններ ներգրավելու ճանապարհին, ինչը մեծացնում է մշակված տեղեկատվության չարտոնված մուտքի հավանականությունը և մեծացնում Ռուսաստանի կախվածությունը օտարերկրյա արտադրողներից: համակարգչային և հեռահաղորդակցության սարքավորումների, ինչպես նաև ծրագրային ապահովման ապահովում։

Անհատի, հասարակության և պետության գործունեության ոլորտներում օտարերկրյա տեղեկատվական տեխնոլոգիաների ինտենսիվ ներդրման, ինչպես նաև տեղեկատվական և հեռահաղորդակցության բաց համակարգերի լայն կիրառման, ներքին և միջազգային տեղեկատվական համակարգերի ինտեգրման, սպառնալիքների հետ կապված. Ռուսաստանի տեղեկատվական ենթակառուցվածքի դեմ «տեղեկատվական զենքի» օգտագործումն աճել է. Այդ սպառնալիքներին համարժեք և համապարփակ դիմակայելու ջանքերն իրականացվում են անբավարար համակարգվածությամբ և թույլ բյուջետային ֆինանսավորմամբ:

Վերահսկիչ հարցեր

1. Ո՞րն է տեղեկատվական անվտանգության տեղը պետության տնտեսական անվտանգության համակարգում: Օրինակներով ցույց տվեք տեղեկատվական անվտանգության կարևորությունը պետության տնտեսական անվտանգության ապահովման գործում։

2. Ինչո՞վ է պայմանավորված տեղեկատվական անվտանգության կարևորության բարձրացումը ժամանակակից շրջանում:

3. Նկարագրեք տեղեկատվական անվտանգության հիմնական կատեգորիաները `տեղեկատվություն, տեղեկատվականացում, փաստաթուղթ, տեղեկատվական գործընթաց, տեղեկատվական համակարգ, տեղեկատվական ռեսուրսներ, անձնական տվյալներ, գաղտնի տեղեկատվություն:

4. Որո՞նք են անհատի, հասարակության և պետության շահերը տեղեկատվական ոլորտում։

5. Որո՞նք են տեղեկատվական անվտանգության սպառնալիքների տեսակները:

6. Նշեք տեղեկատվական անվտանգության օբյեկտների վրա սպառնալիքների ազդեցության ուղիները:

7. Բացատրե՛ք «տեղեկատվական պատերազմ» հասկացությունը։

8. Ցուցակ արտաքին աղբյուրներսպառնալիքներ Ռուսաստանի տեղեկատվական անվտանգության համար:

9. Թվարկեք Ռուսաստանում տեղեկատվական անվտանգության սպառնալիքների ներքին աղբյուրները:

10. Ի՞նչ կանոնակարգերով է ապահովվում տեղեկատվական անվտանգությունը Ռուսաստանի Դաշնության տարածքում:

11. Տեղեկատվության պաշտպանության ոլորտում միջազգային ի՞նչ կանոնակարգեր գիտեք:

12. Ո՞րն է տեղեկատվական անվտանգության պետական ​​քաղաքականության էությունը:

13. Թվարկեք տեղեկատվական անվտանգության ապահովման մեթոդները:

14. Նկարագրեք տեղեկատվության պաշտպանության պետական ​​համակարգի կառուցվածքը

15. Գնահատեք տեղեկատվական անվտանգության վիճակը Ռուսաստանում:

Տեղեկատվական անվտանգության քաղաքականություն:

1. Ընդհանուր դրույթներ

Այս տեղեկատվական անվտանգության քաղաքականությունը ( Հետագա - Քաղաքականություն սահմանում է տեղեկատվության անվտանգության ապահովման խնդրի վերաբերյալ տեսակետների համակարգ և հանդիսանում է նպատակների և խնդիրների համակարգված հայտարարություն, ինչպես նաև տեղեկատվական ենթակառուցվածքի օբյեկտների տեղեկատվության անվտանգության ապահովման կազմակերպչական, տեխնոլոգիական և ընթացակարգային ասպեկտներ, ներառյալ մի շարք տեղեկատվություն: կենտրոններ, տվյալների բանկեր և կազմակերպության կապի համակարգեր: Սույն Քաղաքականությունը մշակվել է հաշվի առնելով Ռուսաստանի Դաշնության գործող օրենսդրության պահանջները և տեղեկատվական ենթակառուցվածքի օբյեկտների զարգացման մոտակա հեռանկարները, ինչպես նաև ժամանակակից կազմակերպչական և տեխնիկական մեթոդների, սարքավորումների և ծրագրային ապահովման բնութագրերն ու հնարավորությունները: տեղեկատվության պաշտպանություն.

Քաղաքականության հիմնական դրույթներն ու պահանջները կիրառվում են կազմակերպության բոլոր կառուցվածքային ստորաբաժանումների նկատմամբ:

Քաղաքականությունը հանդիսանում է տեղեկատվական ենթակառուցվածքների տեղեկատվության անվտանգության ապահովման, կառավարման համակարգված որոշումների կայացման և տեղեկատվական անվտանգության ապահովմանն ուղղված գործնական միջոցառումների մշակման և իրականացման մեթոդաբանական հիմք `տեղեկատվական անվտանգության ապահովման, կառուցվածքային ստորաբաժանումների գործունեության համակարգման ոլորտում: տեղեկատվական օբյեկտների ստեղծման, մշակման և շահագործման աշխատանքներ իրականացնող կազմակերպությունը `տեղեկատվական անվտանգության պահանջներին համապատասխան:

Քաղաքականությունը չի կարգավորում տարածքների պահպանության կազմակերպման և տեղեկատվական ենթակառուցվածքի բաղադրիչների անվտանգության ու ֆիզիկական ամբողջականության ապահովման, բնական աղետներից և էներգամատակարարման համակարգի խափանումներից պաշտպանվելու հարցերը, սակայն ենթադրում է տեղեկատվական անվտանգության համակարգի կառուցում։ նույն հայեցակարգային հիմքերի վրա, ինչ ամբողջ կազմակերպության անվտանգության համակարգը:

Քաղաքականության իրականացումը ապահովվում է համապատասխան ուղեցույցներով, կանոնակարգերով, ընթացակարգերով, հրահանգներով, ուղեցույցներով և կազմակերպությունում տեղեկատվական անվտանգության գնահատման համակարգով:

Քաղաքականությունը օգտագործում է հետևյալ տերմիններն ու սահմանումները.

Ավտոմատացված համակարգ ( ԱՍ) — համակարգ, որը բաղկացած է անձնակազմից և նրանց գործունեության ավտոմատացման միջոցների համալիրից, որն իրականացնում է տեղեկատվական տեխնոլոգիան `սահմանված գործառույթներն իրականացնելու համար:

Տեղեկատվական ենթակառուցվածք- կազմակերպչական կառույցների համակարգ, որն ապահովում է տեղեկատվական տարածքի և տեղեկատվական փոխազդեցության միջոցների գործունեությունն ու զարգացումը: Տեղեկատվական ենթակառուցվածքը ներառում է մի շարք տեղեկատվական կենտրոններ, տվյալների և գիտելիքների բանկեր, կապի համակարգեր և սպառողներին տրամադրում է տեղեկատվական ռեսուրսների հասանելիություն:

Տեղեկատվական ռեսուրսներ ( IR) Առանձին փաստաթղթեր և փաստաթղթերի առանձին զանգվածներ են, փաստաթղթեր և փաստաթղթերի զանգվածներ տեղեկատվական համակարգերում ( գրադարաններ, արխիվներ, ֆոնդեր, տվյալների շտեմարաններ և այլ տեղեկատվական համակարգեր).

Տեղեկատվական համակարգ (IP) - տեղեկատվության մշակման համակարգը և դրա հետ կապված կազմակերպչական ռեսուրսները ( մարդկային, տեխնիկական, ֆինանսական և այլն:), որոնք տրամադրում և տարածում են տեղեկատվություն:

Անվտանգություն -շահերի պաշտպանության վիճակը ( նպատակներ) կազմակերպությունները սպառնալիքների դեպքում.

Տեղեկատվական անվտանգություն ( IB) — տեղեկատվական ոլորտում սպառնալիքների հետ կապված անվտանգություն: Անվտանգությունը ձեռք է բերվում ապահովելով մի շարք IS հատկություններ `առկայություն, ամբողջականություն, տեղեկատվական ակտիվների գաղտնիություն: IS- ի հատկությունների առաջնահերթությունը որոշվում է տվյալ ակտիվների արժեքով `տոկոսների համար ( նպատակներ) կազմակերպություն.

Տեղեկատվական ակտիվների առկայություն -կազմակերպության IS- ի սեփականություն, որը բաղկացած է այն հանգամանքից, որ տեղեկատվական ակտիվները տրամադրվում են լիազորված օգտագործողին և օգտագործողի կողմից պահանջվող ձևով և վայրում, և այն ժամանակ, երբ դրանք անհրաժեշտ են:

Տեղեկատվական ակտիվների ամբողջականություն -կազմակերպության տեղեկատվական անվտանգության սեփականությունը `պահպանել իր տեղեկատվական ակտիվներում անփոփոխ կամ ճիշտ հայտնաբերված փոփոխությունները:

Տեղեկատվական ակտիվների գաղտնիություն -կազմակերպության տեղեկատվական անվտանգության սեփականությունը, որը բաղկացած է այն հանգամանքից, որ տեղեկատվական ակտիվների մշակում, պահում և փոխանցում կատարվում է այնպես, որ տեղեկատվական ակտիվները հասանելի լինեն միայն լիազորված օգտագործողներին, համակարգի օբյեկտներին կամ գործընթացներին:

Տեղեկատվական անվտանգության համակարգ ( NIB) — մի շարք պաշտպանական միջոցներ, պաշտպանիչ սարքավորումներ և դրանց գործունեության գործընթացներ, ներառյալ ռեսուրսային և վարչական ( կազմակերպչական) անվտանգություն:

Չլիազորված մուտք- տեղեկատվության հասանելիություն՝ խախտելով աշխատողի պաշտոնական լիազորությունները, հասանելիություն տեղեկատվությանը, որը փակ է հանրային հասանելիության համար այն անձանց կողմից, ովքեր չունեն այս տեղեկատվությունը մուտք գործելու թույլտվություն կամ տեղեկատվություն ստանալու իրավունք ունեցող անձի կողմից, այն գումարը, որը գերազանցում է պաշտոնական պարտականությունները կատարելու համար անհրաժեշտ գումարը:

2. Տեղեկատվական անվտանգության ընդհանուր պահանջներ

Տեղեկատվական անվտանգության պահանջներ ( Հետագա -IB ) որոշում է կազմակերպության գործունեության գործընթացների բովանդակությունն ու խնդիրները `կառավարման համակարգերի կառավարման գործընթացներում:

Այս պահանջները ձևակերպված են հետևյալ ոլորտների համար.

  • անձնակազմի նկատմամբ դերերի և վստահության բաշխում և բաշխում.
  • տեղեկատվական ենթակառուցվածքի օբյեկտների կյանքի ցիկլի փուլերը.
  • պաշտպանություն չարտոնված մուտքից ( Հետագա - NSD ), մուտքի վերահսկում և գրանցում ավտոմատացված համակարգերում, հեռահաղորդակցության սարքավորումներում և ավտոմատ հեռախոսային կայաններում և այլն.
  • հակավիրուսային պաշտպանություն;
  • ինտերնետ ռեսուրսների օգտագործում;
  • գաղտնագրման տեղեկատվության պաշտպանության միջոցների օգտագործումը.
  • անձնական տվյալների պաշտպանություն.

3. Պաշտպանվող օբյեկտներ

Պաշտպանության ենթակա հիմնական օբյեկտներն են.

  • տեղեկատվական ռեսուրսներներկայացված են փաստաթղթերի և տեղեկատվության զանգվածների տեսքով ՝ անկախ դրանց ներկայացման ձևից և տեսակից, ներառյալ գաղտնի և բաց տեղեկատվությունը.
  • տեղեկատվական ռեսուրսների ձևավորման, բաշխման և օգտագործման համակարգգրադարաններ, արխիվներ, տվյալների բազաներ և տվյալների բանկեր, տեղեկատվական տեխնոլոգիաներ, տեղեկատվության հավաքման, մշակման, պահպանման և փոխանցման կանոնակարգեր և ընթացակարգեր, տեխնիկական և սպասարկող անձնակազմ.
  • տեղեկատվական ենթակառուցվածքներառյալ տեղեկատվության մշակման և վերլուծության համակարգերը, դրա մշակման, փոխանցման և ցուցադրման տեխնիկական և ծրագրային գործիքները, ներառյալ տեղեկատվության փոխանակման և հեռահաղորդակցության ուղիները, համակարգերը և տեղեկատվական անվտանգության համակարգերը, օբյեկտներն ու տարածքները, որոնցում տեղակայված են տեղեկատվական ենթակառուցվածքի բաղադրիչները:

3.1. Ավտոմատացված համակարգի առանձնահատկությունները

Տարբեր կատեգորիաների տեղեկատվությունը շրջանառվում է AU- ում: Պաշտպանված տեղեկատվությունը կարող են տարածվել տարբեր օգտվողների կողմից ՝ մեկ կորպորատիվ ցանցի տարբեր ենթացանցերից:

AS- ի մի շարք ենթահամակարգեր ապահովում են արտաքին ( պետական ​​և առևտրային, ռուսական և արտասահմանյան) կազմակերպությունները `անջատված և նվիրված հաղորդակցության ուղիներով` օգտագործելով տեղեկատվության փոխանցման հատուկ միջոցներ:

AU- ի տեխնիկական միջոցների համալիրը ներառում է տվյալների մշակման միջոցներ ( աշխատանքային կայաններ, տվյալների բազայի սերվերներ, փոստի սերվերներև այլն:), տեղական ցանցերում տվյալների փոխանակման միջոցներ՝ գլոբալ ցանցեր մուտք գործելու հնարավորությամբ ( մալուխներ, կամուրջներ, դարպասներ, մոդեմներ և այլն:), ինչպես նաև պահեստարաններ ( ներառյալ արխիվացում) տվյալներ։

ԱՀ-ի գործունեության հիմնական առանձնահատկությունները ներառում են.

  • տեղեկատվության մշակման և մեկ համակարգում փոխանցելու մեծ թվով տարբեր տեխնիկական միջոցների միավորման անհրաժեշտությունը.
  • առաջադրանքների և մշակված տվյալների տեսակների լայն տեսականի.
  • տեղեկատվության տարբեր նպատակների, պատկանելիության և գաղտնիության մակարդակների համակցում մեկ տվյալների բազայում.
  • արտաքին ցանցերին միացման ալիքների առկայություն.
  • գործունեության շարունակականություն;
  • անվտանգության մակարդակի առումով տարբեր պահանջներ ունեցող ենթահամակարգերի առկայություն, որոնք ֆիզիկապես միավորված են մեկ ցանցի մեջ.
  • օգտագործողների և սպասարկող անձնակազմի տարբեր կատեգորիաներ:

Ընդհանուր առմամբ, մեկ AS-ը ստորաբաժանումների տեղական ցանցերի մի շարք է, որոնք փոխկապակցված են հեռահաղորդակցության միջոցով: Յուրաքանչյուր տեղական ցանց միավորում է մի շարք փոխկապակցված և փոխազդող ավտոմատացված ենթահամակարգեր ( տեխնոլոգիական կայքեր), կազմակերպության առանձին կառուցվածքային ստորաբաժանումների կողմից խնդիրների լուծման ապահովումը.

Ինֆորմատիզացիայի օբյեկտները ներառում են.

  • տեխնոլոգիական սարքավորումներ ( համակարգչային սարքավորումներ, ցանցային և մալուխային սարքավորումներ);
  • տեղեկատվական ռեսուրսներ;
  • ծրագրային ապահովում ( օպերացիոն համակարգեր, տվյալների բազայի կառավարման համակարգեր, ընդհանուր համակարգեր և կիրառական ծրագրեր);
  • ավտոմատ հաղորդակցության և տվյալների փոխանցման համակարգեր (հեռահաղորդակցություն);
  • կապի ալիքներ;
  • գրասենյակային տարածք.

3.2. Պաշտպանվող կազմակերպության տեղեկատվական ակտիվների տեսակները

Գաղտնիության տարբեր մակարդակների տեղեկատվությունը շրջանառվում է կազմակերպության ՀԾ ենթահամակարգերում, որոնք պարունակում են սահմանափակ տարածման տեղեկատվություն ( սպասարկում, կոմերցիոն, անձնական տվյալներ) և բաց տեղեկատվություն:

AU- ի փաստաթղթաշրջանառության մեջ կան.

  • վճարման հանձնարարականներ և ֆինանսական փաստաթղթեր;
  • զեկույցներ ( ֆինանսական, վերլուծական և այլն:);
  • տեղեկատվություն անձնական հաշիվների վերաբերյալ;
  • Անձնական տվյալներ;
  • սահմանափակ տարածման այլ տեղեկություններ:

ԱՀ -ում շրջանառվող և տեղեկատվական ակտիվների հետևյալ տեսակների մեջ պարունակվող բոլոր տեղեկությունները ենթակա են պաշտպանության.

  • առևտրային և ծառայողական գաղտնիք կազմող տեղեկությունները, որոնց հասանելիությունը սահմանափակվում է կազմակերպության կողմից ՝ որպես տեղեկատվության սեփականատեր, համաձայն Դաշնային օրենքի »: Տեղեկատվության, տեղեկատվականացման և տեղեկատվության պաշտպանության մասին «Իրավունքներ և դաշնային օրենք». Առևտրային գաղտնիքների մասին »;
  • անձնական տվյալներ, որոնց հասանելիությունը սահմանափակված է դաշնային օրենքին համապատասխան »: Անձնական տվյալների մասին »;
  • բաց տեղեկատվություն `տեղեկատվության ամբողջականության և մատչելիության ապահովման առումով:

3.3. Ավտոմատացված համակարգի օգտագործողների կատեգորիաներ

Կազմակերպությունն ունի մեծ թվով օգտագործողների և սպասարկող անձնակազմի կատեգորիաներ, որոնք պետք է ունենան տարբեր լիազորություններ `մուտք գործելու AU տեղեկատվական ռեսուրսներ.

  • սովորական օգտվողներ ( վերջնական օգտագործողներ, կազմակերպչական ստորաբաժանումների աշխատակիցներ);
  • սերվերի ադմինիստրատորներ ( ֆայլի սերվերներ, հավելվածների սերվերներ, տվյալների բազայի սերվերներ), տեղական ցանցեր և կիրառական համակարգեր.
  • համակարգային ծրագրավորողներ ( պատասխանատու է ընդհանուր ծրագրաշարի պահպանման համար) օգտագործողների սերվերների և աշխատատեղերի վրա.
  • ծրագրային ապահովման մշակողներ;
  • համակարգչային տեխնիկայի տեխնիկական միջոցների պահպանման մասնագետներ.
  • տեղեկատվական անվտանգության ադմինիստրատորներ և այլն:

3.4. Ավտոմատացված համակարգի հիմնական բաղադրիչների խոցելիությունը

AU- ի առավել խոցելի բաղադրիչներն են ցանցային աշխատատեղերը `ավտոմատացված աշխատատեղերը ( Հետագա - AWP ) աշխատողներ. Աշխատողների աշխատատեղից կարող են կատարվել տեղեկատվության չարտոնված մուտքի կամ չարտոնված գործողությունների փորձեր ( ակամա և դիտավորյալ) համակարգչային ցանցում: Աշխատանքային կայանների ապարատային և ծրագրային ապահովման կազմաձևման խախտումները և դրանց գործունեության գործընթացներին անօրինական միջամտությունը կարող են հանգեցնել տեղեկատվության արգելափակման, կարևոր առաջադրանքների ժամանակին լուծման անհնարինության և առանձին աշխատատեղերի և ենթահամակարգերի ձախողման:

Ցանցի տարրերը, ինչպիսիք են հատուկ ֆայլային սերվերները, տվյալների բազայի սերվերները և հավելվածների սերվերները հատուկ պաշտպանության կարիք ունեն: Փոխանակման արձանագրությունների և սերվերի ռեսուրսների հասանելիությունը տարբերելու միջոցների թերությունները կարող են հնարավոր դարձնել պաշտպանված տեղեկատվության չարտոնված մուտքը և ազդել տարբեր ենթահամակարգերի աշխատանքի վրա: Այս դեպքում փորձերը կարող են կատարվել որպես հեռակառավարման վահանակ ( ցանցային կայաններից) և ուղղակի ( սերվերի վահանակից) ազդեցություն սերվերների աշխատանքի և դրանց պաշտպանության վրա:

Կամուրջները, դարպասները, հանգույցները, երթուղիչները, անջատիչները և այլ ցանցային սարքերը, հղումները և հաղորդակցությունները նույնպես պաշտպանության կարիք ունեն: Դրանք կարող են օգտագործվել ներխուժողների կողմից՝ ցանցի գործողությունները վերակազմավորելու և ապակազմակերպելու, փոխանցված տեղեկատվությունը որսալու, երթևեկությունը վերլուծելու և տվյալների փոխանակման գործընթացներին խանգարելու այլ մեթոդներ կիրառելու համար:

4. Տեղեկատվական անվտանգության հիմնական սկզբունքները

4.1. Անվտանգ շահագործման ընդհանուր սկզբունքներ

  • Խնդիրների հայտնաբերման ժամանակին: Կազմակերպությունը պետք է ժամանակին հայտնաբերի խնդիրները, որոնք կարող են ազդել նրա բիզնես նպատակների վրա:
  • Խնդիրների զարգացման կանխատեսելիություն: Կազմակերպությունը պետք է բացահայտի հնարավոր խնդիրների պատճառահետեւանքային կապը եւ դրա հիման վրա կառուցի դրանց զարգացման ճշգրիտ կանխատեսումը:
  • Խնդիրների ազդեցության գնահատում բիզնեսի նպատակների վրա: Կազմակերպությունը պետք է համարժեք գնահատի հայտնաբերված խնդիրների ազդեցությունը:
  • Պաշտպանական միջոցառումների համապատասխանությունը. Կազմակերպությունը պետք է ընտրի սպառնալիքին և խախտող մոդելներին համարժեք պաշտպանական միջոցներ ՝ հաշվի առնելով նման միջոցառումների իրականացման ծախսերը և սպառնալիքների իրականացումից հնարավոր կորուստների չափը:
  • Պաշտպանական միջոցառումների արդյունավետությունը: Կազմակերպությունը պետք է արդյունավետ կերպով իրականացնի ձեռնարկված պաշտպանական միջոցառումները:
  • Որոշումների կայացման և իրականացման փորձի օգտագործում: Կազմակերպությունը պետք է կուտակի, ընդհանրացնի և օգտագործի ինչպես սեփական, այնպես էլ այլ կազմակերպությունների փորձը որոշումների կայացման և դրանց իրականացման բոլոր մակարդակներում:
  • Անվտանգ շահագործման սկզբունքների շարունակականություն. Կազմակերպությունը պետք է ապահովի անվտանգ շահագործման սկզբունքների կիրառման շարունակականությունը:
  • Պաշտպանական միջոցառումների վերահսկելիություն: Կազմակերպությունը պետք է կիրառի միայն այն երաշխիքները, որոնք կարող են ստուգվել, որ ճիշտ են աշխատում, և կազմակերպությունը պետք է պարբերաբար գնահատի երաշխիքների համապատասխանությունը և դրանց իրականացման արդյունավետությունը՝ հաշվի առնելով երաշխիքների ազդեցությունը կազմակերպության բիզնես նպատակների վրա:

4.2. Տեղեկատվական անվտանգության ապահովման հատուկ սկզբունքներ

  • Տեղեկատվական անվտանգության հատուկ սկզբունքների ներդրումն ուղղված է կազմակերպությունում տեղեկատվական անվտանգության կառավարման գործընթացների հասունության մակարդակի բարձրացմանը:
  • Նպատակների սահմանում: Կազմակերպության գործառական և տեղեկատվական անվտանգության խնդիրները պետք է հստակ սահմանվեն ներքին փաստաթղթում: Անորոշությունը հանգեցնում է « անորոշություն«Կազմակերպչական կառուցվածքը, անձնակազմի դերերը, տեղեկատվական անվտանգության քաղաքականությունը և ձեռնարկված պաշտպանական միջոցների համարժեքությունը գնահատելու անհնարինությունը։
  • Ձեր հաճախորդների և աշխատակիցների ճանաչում: Կազմակերպությունը պետք է ունենա տեղեկատվություն իր հաճախորդների մասին, ուշադիր ընտրի անձնակազմ ( աշխատողներ), զարգացնել և պահպանել կորպորատիվ էթիկան, ինչը ստեղծում է վստահության բարենպաստ միջավայր ակտիվների կառավարման կազմակերպության գործունեության համար:
  • Անհատականացում և դերերի և պարտականությունների համարժեք բաժանում: Կազմակերպության պաշտոնյաների պատասխանատվությունը իր ակտիվներին վերաբերող որոշումների համար պետք է անձնավորված լինի և իրականացվի հիմնականում երաշխիքի տեսքով: Այն պետք է համարժեք լինի կազմակերպության նպատակների վրա ազդեցության աստիճանին, ամրագրվի քաղաքականության մեջ, վերահսկվի և բարելավվի:
  • Դերերի համապատասխանությունը գործառույթներին և ընթացակարգերին և դրանց համադրելիությունը չափանիշների և գնահատման համակարգի հետ: Դերերը պետք է համապատասխան կերպով արտացոլեն կատարվող գործառույթները և դրանց իրականացման համար կազմակերպության ընթացակարգերը: Փոխկապակցված դերեր նշանակելիս պետք է հաշվի առնել դրանց կատարման անհրաժեշտ հաջորդականությունը: Դերը պետք է համապատասխանի դրա իրականացման արդյունավետությունը գնահատելու չափանիշներին: Խաղացած դերի հիմնական բովանդակությունն ու որակն իրականում որոշվում են դրա նկատմամբ կիրառվող գնահատման համակարգով:
  • Servicesառայությունների և ծառայությունների առկայություն: Կազմակերպությունը պարտավոր է իր հաճախորդների և կապալառուների համար ապահովել ծառայությունների և ծառայությունների հասանելիությունը համապատասխան պայմանագրերով սահմանված սահմանված ժամկետներում ( համաձայնագրեր) և (կամ) այլ փաստաթղթեր:
  • Տեղեկատվական անվտանգության դիտարկելիություն և գնահատելիություն: Առաջարկվող ցանկացած պաշտպանական միջոց պետք է նախագծված լինի այնպես, որ դրանց կիրառման արդյունքն ակնհայտ լինի, նկատում ենք ( թափանցիկ) և կարող է գնահատվել համապատասխան իրավասություն ունեցող կազմակերպության բաժնի կողմից:

5. Տեղեկատվական անվտանգության նպատակներն ու խնդիրները

5.1. Տեղեկատվական հարաբերությունների առարկաները ավտոմատացված համակարգում

Իրավական հարաբերությունների սուբյեկտները ՝ ՀԱ -ն օգտագործելիս և տեղեկատվության անվտանգությունն ապահովելիս.

  • Կազմակերպություն ՝ որպես տեղեկատվական ռեսուրսների սեփականատեր.
  • ԱԷԿ -ի շահագործումն ապահովող կազմակերպության ստորաբաժանումներ.
  • կազմակերպության կառուցվածքային ստորաբաժանումների աշխատակիցներ, որպես AU- ում տեղեկատվություն օգտագործողներ և մատակարարներ `իրենց վերապահված գործառույթներին համապատասխան.
  • իրավաբանական և ֆիզիկական անձինք, որոնց մասին տեղեկատվությունը կուտակվում, պահպանվում և մշակվում է ՀԾ-ում.
  • այլ իրավաբանական և ֆիզիկական անձինք, որոնք ներգրավված են AU- ի ստեղծման և գործունեության մեջ ( համակարգի բաղադրիչների մշակողներ, տեղեկատվական տեխնոլոգիաների ոլորտում տարբեր ծառայությունների մատուցման մեջ ներգրավված կազմակերպություններ և այլն:).

Տեղեկատվական հարաբերությունների թվարկված առարկաները շահագրգռված են ապահովել.

  • որոշակի տեղեկատվության գաղտնիություն;
  • հուսալիություն ( ամբողջականություն, ճշգրտություն, համարժեքություն, ամբողջականություն) տեղեկատվություն;
  • պաշտպանություն կեղծի պարտադրումից ( անվստահելի, խեղաթյուրված) տեղեկատվություն;
  • անհրաժեշտ տեղեկատվության ժամանակին մուտք;
  • օրինական իրավունքների խախտման համար պատասխանատվության տարբերակում ( շահերը) տեղեկատվական հարաբերությունների այլ սուբյեկտներ և տեղեկատվության մշակման սահմանված կանոններ.
  • տեղեկատվության մշակման և փոխանցման գործընթացների շարունակական մոնիտորինգի և կառավարման հնարավորությունը.
  • տեղեկատվության մի մասի պաշտպանությունը դրա անօրինական վերարտադրումից ( հեղինակային իրավունքների պաշտպանություն, տեղեկատվության սեփականատիրոջ իրավունքներ և այլն:).

5.2. Տեղեկատվական անվտանգության նպատակը

Տեղեկատվական անվտանգության ապահովման հիմնական նպատակն է պաշտպանել տեղեկատվական հարաբերությունների սուբյեկտներին իրենց հնարավոր նյութական, բարոյական կամ այլ վնասներից ՝ ԱՀ -ի գործունեության գործընթացում պատահական կամ կանխամտածված չարտոնված միջամտության կամ դրանում շրջանառվող տեղեկատվության և դրա անօրինական մուտքի չարտոնված մուտքի միջոցով: օգտագործել.

Այս նպատակը ձեռք է բերվում տեղեկատվության հետևյալ հատկությունների և դրա մշակման ավտոմատացված համակարգի ապահովման և մշտական ​​պահպանման միջոցով.

  • գրանցված օգտագործողների համար մշակված տեղեկատվության առկայությունը.
  • տեղեկատվության որոշակի մասի գաղտնիությունը, որը պահպանվում, մշակվում և փոխանցվում է կապի ուղիներով.
  • պահպանվող, մշակված և հաղորդակցման ուղիներով փոխանցվող տեղեկատվության ամբողջականությունն ու իսկությունը:

5.3. Տեղեկատվական անվտանգության նպատակները

Տեղեկատվական անվտանգության ապահովման հիմնական նպատակին հասնելու համար ԱԷԿ տեղեկատվական անվտանգության համակարգը պետք է արդյունավետ լուծում տա հետևյալ խնդիրներին.

  • պաշտպանություն չարտոնված անձանց կողմից AU- ի գործունեության գործընթացին միջամտությունից.
  • գրանցված օգտագործողների մուտքի տարբերակումը AU- ի ապարատային, ծրագրային և տեղեկատվական ռեսուրսներին, այսինքն ՝ պաշտպանություն չարտոնված մուտքից.
  • Համակարգի տեղեկամատյաններում պաշտպանված ՀԾ ռեսուրսների օգտագործման ժամանակ օգտագործողների գործողությունների գրանցում և համակարգի օգտատերերի գործողությունների ճշգրտության պարբերական հսկողություն՝ վերլուծելով այդ տեղեկամատյանների բովանդակությունը անվտանգության ստորաբաժանումների մասնագետների կողմից.
  • պաշտպանություն չարտոնված փոփոխություններից և ամբողջականության վերահսկումից ( անփոփոխելիության ապահովում) ծրագրերի կատարման միջավայրը և խախտման դեպքում դրա վերականգնումը.
  • պաշտպանություն AU- ում օգտագործվող ծրագրակազմի չարտոնված փոփոխությունից և ամբողջականության վերահսկումից, ինչպես նաև համակարգի պաշտպանությունը չարտոնված ծրագրերի, այդ թվում `համակարգչային վիրուսների ներդրումից.
  • տեղեկատվության պաշտպանություն արտահոսքից տեխնիկական ուղիներով `դրա մշակման, պահպանման և հաղորդակցության ուղիներով փոխանցման ընթացքում.
  • պահպանվող, մշակված և հաղորդակցման ուղիներով փոխանցվող տեղեկատվության պաշտպանությունը չարտոնված բացահայտումից կամ խեղաթյուրումից.
  • տեղեկատվության փոխանակմանը մասնակցող օգտատերերի նույնականացման ապահովում.
  • գաղտնագրային տեղեկատվության պաշտպանության գործիքների գոյատևման ապահովում, երբ առանցքային համակարգի մի մասը վտանգված է.
  • տեղեկատվական անվտանգության սպառնալիքների աղբյուրների, պատճառների և պայմանների ժամանակին բացահայտում, տեղեկատվական հարաբերությունների շահագրգիռ սուբյեկտներին վնաս հասցնելը, տեղեկատվական անվտանգության սպառնալիքներին արագ արձագանքման և բացասական միտումների մեխանիզմի ստեղծում.
  • պայմանների ստեղծում ֆիզիկական և իրավաբանական անձանց անօրինական գործողությունների հետևանքով պատճառված վնասը նվազագույնի հասցնելու և տեղայնացնելու, բացասական ազդեցության թուլացման և տեղեկատվական անվտանգության խախտման հետևանքների վերացման համար.

5.4. Տեղեկատվական անվտանգության խնդիրները լուծելու ուղիներ

Տեղեկատվական անվտանգության խնդիրների լուծումը ձեռք է բերվում.

  • պաշտպանության ենթակա համակարգի բոլոր ռեսուրսների խիստ հաշվառում ( տեղեկատվություն, առաջադրանքներ, կապի ուղիներ, սերվերներ, AWP);
  • Կազմակերպության կառուցվածքային ստորաբաժանումների աշխատողների տեղեկատվության մշակման գործընթացների և գործողությունների կարգավորումը, ինչպես նաև ատոմակայանի ծրագրային ապահովման և սարքավորումների տեխնիկական սպասարկումն ու փոփոխությունները կատարող անձնակազմի գործողությունները՝ տեղեկատվական անվտանգության կազմակերպչական և վարչական փաստաթղթերի հիման վրա.
  • տեղեկատվական անվտանգության վերաբերյալ կազմակերպչական և վարչական փաստաթղթերի պահանջների ամբողջականությունը, իրական իրագործելիությունը և համապատասխանությունը.
  • Տեղեկատվության անվտանգության ապահովման համար գործնական միջոցառումների կազմակերպման և իրականացման համար պատասխանատու աշխատակիցների նշանակում և ուսուցում.
  • յուրաքանչյուր աշխատակցի իր գործառնական պարտականությունները կատարելու համար անհրաժեշտ նվազագույնի լիազորություններով՝ ատոմակայանի ռեսուրսներին մուտք գործելու լիազորությամբ.
  • ատոմակայանի սարքավորումներն ու ծրագրային ապահովումն օգտագործող և պահպանող բոլոր աշխատակիցների կողմից հստակ գիտելիքներ և խստագույն պահպանում, տեղեկատվական անվտանգության վերաբերյալ կազմակերպչական և վարչական փաստաթղթերի պահանջները.
  • անհատական ​​պատասխանատվություն յուրաքանչյուր աշխատողի գործողությունների համար, որն իր գործառական պարտականությունների շրջանակներում մասնակցում է տեղեկատվության ավտոմատ մշակման և AU ռեսուրսներին հասանելիության գործընթացներին.
  • տեղեկատվության մշակման տեխնոլոգիական գործընթացների իրականացում` օգտագործելով կազմակերպչական և տեխնիկական միջոցների համալիր` ծրագրային ապահովման, սարքավորումների և տվյալների պաշտպանության համար.
  • տեխնիկական սարքավորումների ֆիզիկական ամբողջականության ապահովման և ԱԷԿ -ի բաղադրիչների պաշտպանության անհրաժեշտ մակարդակի շարունակական պահպանման արդյունավետ միջոցառումների ընդունում.
  • տեխնիկական կիրառություն ( ծրագրային ապահովում և սարքավորում)համակարգի ռեսուրսների պաշտպանության միջոցներ և դրանց օգտագործման շարունակական վարչական աջակցություն.
  • տեղեկատվության հոսքերի սահմանազատում և սահմանափակ բաշխման տեղեկատվության անպաշտպան հաղորդակցության ուղիներով փոխանցման արգելում.
  • արդյունավետ վերահսկողություն աշխատակիցների կողմից տեղեկատվական անվտանգության պահանջներին համապատասխանության նկատմամբ.
  • մշտական ​​մոնիտորինգ ցանցային ռեսուրսներ, խոցելիության բացահայտում, համակարգչային ցանցի անվտանգության արտաքին և ներքին սպառնալիքների ժամանակին հայտնաբերում և չեզոքացում.
  • տեղեկատվական անվտանգության ոլորտում ապօրինի գործողություններից կազմակերպության շահերի օրինական պաշտպանությունը:
  • ձեռնարկված միջոցառումների և օգտագործվող տեղեկատվության պաշտպանության միջոցների արդյունավետության և բավարարության շարունակական վերլուծություն, ատոմակայանում տեղեկատվական պաշտպանության համակարգի կատարելագործման առաջարկների մշակում և իրականացում.

Տեղեկատվական անվտանգության 6 սպառնալիք

6.1. Տեղեկատվական անվտանգության սպառնալիքները և դրանց աղբյուրները

Ատոմակայանում մշակվող տեղեկատվության անվտանգությանն ուղղված ամենավտանգավոր սպառնալիքներն են.

  • գաղտնիության խախտում ( բացահայտում, արտահոսք) ծառայողական կամ կոմերցիոն գաղտնիք կազմող տեղեկատվություն, ներառյալ անձնական տվյալները.
  • անսարքություն ( աշխատանքի անկազմակերպվածություն) ԱՄ, տեղեկատվության արգելափակում, տեխնոլոգիական գործընթացների խախտում, խնդիրների ժամանակին լուծման խափանում.
  • ամբողջականության խախտում ( խեղաթյուրում, փոխարինում, ոչնչացում) ԱՀ-ի տեղեկատվական, ծրագրային և այլ ռեսուրսներ:

ԱԷԿ -ի տեղեկատվական անվտանգությանն ուղղված սպառնալիքների հիմնական աղբյուրներն են.

  • բնական և տեխնածին բնույթի անբարենպաստ իրադարձություններ.
  • ահաբեկիչներ, հանցագործներ;
  • համակարգչային կիբերհանցագործներ, որոնք իրականացնում են նպատակային ապակառուցողական գործողություններ, այդ թվում ՝ օգտագործումը համակարգչային վիրուսներև այլ տեսակի վնասակար կոդեր և հարձակումներ.
  • ծրագրային և ապարատային գործիքների, սպառման նյութերի, ծառայությունների և այլնի մատակարարներ.
  • սարքավորումների տեղադրում, գործարկում և վերանորոգում իրականացնող կապալառուներ.
  • վերահսկող և կարգավորող մարմինների, գործող օրենսդրության պահանջներին չհամապատասխանելը.
  • ծրագրային ապահովման և սարքավորումների խափանումներ, խափանումներ, ոչնչացում / վնասում.
  • աշխատողներ, որոնք օրինական մասնակիցներ են ԱՄ-ում գործընթացներին և գործում են տրված լիազորությունների շրջանակից դուրս.
  • աշխատողներ, ովքեր օրինական մասնակից են AU- ի գործընթացներին և գործում են տրված լիազորությունների շրջանակներում:

6.2. Ոչ միտումնավոր գործողություններ, որոնք հանգեցնում են տեղեկատվական անվտանգության խախտմանը և դրանց կանխարգելմանն ուղղված միջոցառումներին

Կազմակերպության այն աշխատակիցները, ովքեր անմիջականորեն օգտվում են ԱՀ -ում տեղեկատվության մշակման գործընթացներից, հանդիսանում են ոչ դիտավորյալ պատահական գործողությունների պոտենցիալ աղբյուր, որոնք կարող են հանգեցնել տեղեկատվական անվտանգության խախտման:

Տեղեկատվական անվտանգության խախտման հանգեցնող խոշոր չնախատեսված գործողություններ (Մարդկանց կողմից պատահաբար, անտեղյակության, անուշադրության կամ անփութության հետևանքով կատարված գործողությունները, հետաքրքրասիրությունից դրդված, բայց առանց չարամիտ դիտավորության.) և միջոցներ են ձեռնարկվում նման գործողությունները կանխելու և դրանց պատճառած վնասը նվազագույնի հասցնելու համար Աղյուսակ 1.

Աղյուսակ 1

Տեղեկատվական անվտանգության խախտման տանող հիմնական գործողությունները
Աշխատակիցների գործողությունները, որոնք հանգեցնում են համակարգի մասնակի կամ ամբողջական ձախողման կամ ապարատային կամ ծրագրային ապահովման աշխատանքի խափանման. սարքավորումների անջատում կամ սարքերի և ծրագրերի գործառնական ռեժիմների փոփոխություն. համակարգի տեղեկատվական ռեսուրսների ոչնչացում ( սարքավորումների չնախատեսված վնասում, ծրագրերի կամ ֆայլերի ջնջում, աղավաղում կարեւոր տեղեկություններ, այդ թվում՝ համակարգային, կապի ուղիների վնասում, տեղեկատվության կրիչների ոչ միտումնավոր վնաս և այլն։) Կազմակերպչական միջոցառումներ ( ).

Ֆիզիկական միջոցների օգտագործումը `կանխելու համար խախտման ակամա կատարումը:

Տեխնիկական կիրառություն ( ապարատային և ծրագրային ապահովում) ռեսուրսների հասանելիությունը տարբերակելու միջոցներ:

Կրիտիկական ռեսուրսների պահուստ:
Ծրագրերի չարտոնված գործարկում, որոնք ոչ կոմպետենտ օգտագործելու դեպքում կարող են հանգեցնել համակարգի աշխատանքի կորստի ( սառեցում կամ օղակում) կամ համակարգում անշրջելի փոփոխություններ կատարելը ( պահպանման միջոցների ձևաչափում կամ վերակազմավորում, տվյալների ջնջում և այլն:) Կազմակերպչական միջոցառումներ ( բոլոր պոտենցիալ վտանգավոր ծրագրերի հեռացում աշխատատեղից): Տեխնիկական կիրառություն ( ապարատային և ծրագրային ապահովում) աշխատատեղի ծրագրերի հասանելիության տարբերակման միջոցներ:
Չարտոնված ծրագրերի չարտոնված ներդրում և օգտագործում ( խաղեր, ուսուցում, տեխնոլոգիական և այլն, որոնք անհրաժեշտ չեն աշխատակիցների կողմից իրենց պաշտոնական պարտականությունները կատարելու համար) ռեսուրսների հետագա անհիմն ծախսումներով ( պրոցեսորի ժամանակ, օպերատիվ հիշողություն, արտաքին հիշողություն և այլն:) Կազմակերպչական միջոցառումներ ( արգելքների սահմանում): Տեխնիկական կիրառություն ( ապարատային և ծրագրային ապահովում) նշանակում է կանխել չգրանցված ծրագրերի չարտոնված ներդրումը և օգտագործումը:
Ձեր համակարգչի ոչ դիտավորյալ վիրուսային վարակԿազմակերպչական միջոցառումներ ( գործողությունների կանոնակարգում, արգելքների ներդրում).

Տեխնոլոգիական միջոցառումներ ( վիրուսների հայտնաբերման և ոչնչացման հատուկ ծրագրերի օգտագործումը).

Ապարատային և ծրագրային գործիքների օգտագործումը, որոնք կանխում են համակարգչային վիրուսներով վարակը:
Մուտքի վերահսկման հատկանիշների բացահայտում, փոխանցում կամ կորուստ ( գաղտնաբառեր, գաղտնագրման բանալիներ կամ էլեկտրոնային ստորագրություն, նույնականացման քարտեր, անձնագրեր և այլն:) Կազմակերպչական միջոցառումներ ( գործողությունների կանոնակարգում, արգելքների ներդրում, պատասխանատվության ուժեղացում): Ֆիզիկական միջոցների օգտագործումը `նշված մանրամասների անվտանգությունն ապահովելու համար:
Անտեսելով կազմակերպչական սահմանափակումները ( հաստատված կանոններ) համակարգում աշխատելիսԿազմակերպչական միջոցառումներ ( ): Պաշտպանության լրացուցիչ ֆիզիկական և տեխնիկական միջոցների օգտագործումը:
Անվտանգության աշխատակիցների կողմից պաշտպանիչ սարքավորումների ոչ կոմպետենտ օգտագործումը, ճշգրտումը կամ անտեղի անջատումըԿազմակերպչական միջոցառումներ ( անձնակազմի ուսուցում, պատասխանատվության և վերահսկողության ուժեղացում).
Սխալ տվյալների մուտքագրումԿազմակերպչական միջոցառումներ ( պատասխանատվության և վերահսկողության բարձրացում): Տվյալների մուտքագրման օպերատորների սխալները վերահսկելու տեխնոլոգիական միջոցառումներ:

6.3. Տեղեկատվական անվտանգությունը խախտելու դիտավորյալ գործողություններ և դրանք կանխելու միջոցներ

Հիմնական դիտավորյալ գործողություններ ( եսասիրական նպատակներով, հարկադրանքով, վրեժ լուծելու ցանկությամբ և այլն։), ինչը կհանգեցնի գործարանի տեղեկատվական անվտանգության խախտմանը, և դրանք կանխելու և պատճառված հնարավոր վնասները նվազեցնելու միջոցները տրված են Աղյուսակ 2.

սեղան 2

Հիմնական դիտավորյալ գործողությունները, որոնք հանգեցնում են տեղեկատվական անվտանգության խախտմանը Սպառնալիքները կանխելու և վնասը նվազագույնի հասցնելու միջոցներ
Ավտոմատացված համակարգի բոլոր կամ որոշ կարևոր բաղադրիչների ֆիզիկական ոչնչացում կամ անգործունակություն ( սարքեր, կարևոր կրողներ համակարգի տեղեկատվություն, անձնակազմ և այլն:), հաշմանդամության կամ անջատման ենթահամակարգերը `ապահովելու հաշվիչ համակարգերի աշխատանքը ( էլեկտրամատակարարում, կապի գծեր և այլն:) Կազմակերպչական միջոցառումներ ( գործողությունների կանոնակարգում, արգելքների ներդրում).

Ֆիզիկական միջոցների օգտագործումը, որը կանխում է խախտումը դիտավորյալ կատարելը:

Կրիտիկական ռեսուրսների պահուստ:
Գործակալների ներդրումը համակարգի անձնակազմի թվի մեջ ( ներառյալ անվտանգության համար պատասխանատու վարչական խումբը), հավաքագրում ( կաշառքով, շանտաժով, սպառնալիքներով եւ այլն:) օգտվողներ, ովքեր ունեն որոշակի իրավունքներ մուտք գործել պաշտպանված ռեսուրսներԿազմակերպչական միջոցառումներ ( անձնակազմի հետ ընտրություն, տեղաբաշխում և աշխատանք, վերահսկողության և պատասխանատվության ուժեղացում): Անձնակազմի գործողությունների ավտոմատ գրանցում:
Տեղեկատվության կրիչների գողություն ( տպագրություններ, մագնիսական սկավառակներ, ժապավեններ, պահեստավորման սարքեր և ամբողջ ԱՀարդյունաբերական թափոնների գողություն ( տպագրություններ, գրառումներ, հեռացված լրատվամիջոցներ և այլն:) Կազմակերպչական միջոցառումներ ( ).
Տեղեկատվության կրիչների չարտոնված պատճենում, պատահական մուտքի հիշողությունից և արտաքին պահեստավորման սարքերից մնացորդային տեղեկատվության ընթերցումԿազմակերպչական միջոցառումներ ( պաշտպանված տեղեկատվությամբ լրատվամիջոցների պահպանման և օգտագործման կազմակերպում): Պաշտպանված ռեսուրսների հասանելիության սահմանափակման և փաստաթղթերի տպագիր ստացման ավտոմատ գրանցման տեխնիկական միջոցների կիրառում:
Գաղտնաբառերի և մուտքի վերահսկման այլ մանրամասների անօրինական ստացում ( գաղտնի միջոցներով, օգտագործելով օգտատերերի անփութությունը, ընտրությամբ, համակարգային ինտերֆեյսի իմիտացիայով ծրագրային էջանիշներով և այլն։) `հետագայում քողարկվելով որպես գրանցված օգտվող:Կազմակերպչական միջոցառումներ ( գործողությունների կանոնակարգում, արգելքների ներդրում, անձնակազմի հետ աշխատանք): Տեխնիկական միջոցների օգտագործումը, որոնք կանխում են գաղտնաբառերի, բանալիների և այլ մանրամասների գաղտնալսման ծրագրերի իրականացումը:
AWP- ների չարտոնված օգտագործումը յուրահատուկ ֆիզիկական բնութագրեր ունեցող օգտվողների համար, ինչպիսիք են ցանցում աշխատատեղերի թիվը, ֆիզիկական հասցեն, հասցեն կապի համակարգում, ապարատային ծածկագրման միավորը և այլն:Կազմակերպչական միջոցառումներ ( տարածքների մուտքի և այս ՀԷԿ -երի վրա աշխատանքի ընդունման խիստ կանոնակարգում): Մուտքի վերահսկման ֆիզիկական և տեխնիկական միջոցների կիրառում:
Ծրագրային ապահովման չարտոնված ձևափոխում - ծրագրային ապահովման «էջանիշների» և «վիրուսների» ներդրում ( Տրոյական ձիեր և սխալներ), այսինքն ՝ ծրագրերի այնպիսի բաժիններ, որոնք անհրաժեշտ չեն հայտարարագրված գործառույթների իրականացման համար, բայց թույլ են տալիս հաղթահարել պաշտպանության համակարգը, գաղտնի և անօրինական մուտք գործել համակարգի ռեսուրսներ ՝ պաշտպանված տեղեկատվության գրանցման և փոխանցման կամ համակարգի գործունեության անկազմակերպման համար:Կազմակերպչական միջոցառումներ ( աշխատանքի ընդունման խիստ կանոնակարգում).

AWP-ի ապարատային և ծրագրային կազմաձևի չթույլատրված փոփոխությունը կանխելու և մուտքը տարբերակելու ֆիզիկական և տեխնիկական միջոցների օգտագործումը:

Ծրագրային ապահովման ամբողջականության վերահսկման գործիքների կիրառում:
Հաղորդակցության ուղիներով փոխանցվող տվյալների գաղտնալսում, դրանց վերլուծություն ՝ գաղտնի տեղեկատվություն ստանալու և փոխանակման արձանագրությունները հստակեցնելու համար, ցանց մուտք գործելու և օգտվողներին լիազորելու կանոններ, հետագայում `համակարգ ներթափանցելու նրանց փորձեր:Հաղորդակցության ուղիների ֆիզիկական պաշտպանություն: Փոխանցվող տեղեկատվության գաղտնագրման պաշտպանության միջոցների կիրառում:
Հասարակական ցանցերից համակարգի գործունեության գործընթացին միջամտություն `տվյալների չարտոնված փոփոխման, գաղտնի տեղեկատվության հասանելիության, ենթահամակարգերի գործունեության անկազմակերպման և այլնի համար:Կազմակերպչական միջոցառումներ ( հանրային ցանցերում միացման և շահագործման կարգավորումը): Պաշտպանության հատուկ տեխնիկական միջոցների օգտագործումը ( firewalls, անվտանգության հսկողություն և համակարգի ռեսուրսների վրա հարձակումների հայտնաբերում և այլն:).

6.4. Տեղեկատվության արտահոսքը տեխնիկական ուղիներով

ԱԷԿ -ի տեխնիկական միջոցների շահագործման ընթացքում հնարավոր են արտահոսքի կամ տեղեկատվության ամբողջականության խախտման, տեխնիկական միջոցների կատարման խափանումների հետևյալ ուղիները.

  • տեխնիկական միջոցներից և տեղեկատվական հաղորդման գծերից տեղեկատվական ազդանշանի կողմնակի էլեկտրամագնիսական ճառագայթում.
  • էլեկտրոնային համակարգիչների միջոցով մշակվող տեղեկատվական ազդանշանի ընկալում `լարերի և գծերի, որոնք դուրս են գալիս գրասենյակների վերահսկվող տարածքից, ներառյալ. հիմնավորման և էլեկտրամատակարարման սխեմաների վրա.
  • տեղեկատվության գաղտնալսման տարբեր էլեկտրոնային սարքեր ( ներառյալ «Էջանիշեր») միացված հաղորդակցության ուղիներին կամ տեղեկատվության մշակման տեխնիկական միջոցներին.
  • ցուցադրվող էկրաններից տեղեկատվության և օպտիկական միջոցների միջոցով ցուցադրման այլ միջոցների դիտում.
  • ապարատային կամ ծրագրային ապահովման վրա ազդեցություն `ամբողջականությունը խախտելու համար ( ոչնչացում, աղավաղումտեղեկատվություն, տեխնիկական միջոցների գործունակություն, տեղեկատվական անվտանգության միջոցներ և տեղեկատվության փոխանակման արդիականություն, ներառյալ էլեկտրամագնիսական, հատուկ ներդրված էլեկտրոնային և ծրագրային գործիքների միջոցով ( «Էջանիշեր»).

Հաշվի առնելով տեղեկատվության մշակման և անվտանգության ապահովման առանձնահատկությունները ՝ գաղտնի տեղեկատվության արտահոսքի սպառնալիքը ( ներառյալ անձնական տվյալները) տեխնիկական ուղիներով անտեղի են կազմակերպության համար:

6.5. Հավանական ներխուժողի ոչ ֆորմալ մոդելը

Հանցագործն այն անձն է, ով փորձել է կատարել արգելված գործողություններ ( գործողությունսխալմամբ, անտեղյակությամբ կամ միտումնավոր չարությամբ ( անձնական շահերից ելնելով) կամ առանց դրա ( հանուն խաղի կամ հաճույքի, ինքնահաստատման նպատակով և այլն։) և դրա համար օգտագործելով տարբեր հնարավորություններ, մեթոդներ և միջոցներ:

ԱԷԿ -ի պաշտպանության համակարգը պետք է հիմնված լինի համակարգում հանցագործների հետևյալ հնարավոր տիպերի ենթադրությունների վրա ( հաշվի առնելով անձանց կատեգորիան, մոտիվացիան, որակավորումը, հատուկ միջոցների առկայությունը և այլն:):

  • « Անփորձ (անուշադիր) օգտվող»- աշխատող, ով կարող է փորձել կատարել արգելված գործողություններ, մուտք գործել ՀՄ-ի պաշտպանված ռեսուրսներ՝ գերազանցելով իր լիազորությունները, մուտքագրել սխալ տվյալներ և այլն: սխալներ, անգործունակություն կամ անփութություն ՝ առանց չարամիտ մտադրության և օգտագործելով միայն ստանդարտ ( հասանելի է նրան) ապարատային և ծրագրային ապահովում:
  • « Սիրահար«- աշխատող, որը փորձում է հաղթահարել պաշտպանական համակարգը՝ առանց եսասիրական նպատակների և չարամիտ մտադրության, ինքնահաստատման կամ դրանից». սպորտային հետաքրքրություն". Պաշտպանության համակարգը հաղթահարելու և արգելված գործողություններ կատարելու համար նա կարող է օգտագործել տարբեր մեթոդներռեսուրսներ մուտք գործելու լրացուցիչ լիազորությունների ձեռքբերում ( անուններ, գաղտնաբառեր և այլն: այլ օգտվողներ), պաշտպանության համակարգի և առկա անձնակազմի կառուցման թերությունները ( տեղադրված է աշխատանքային կայանում) ծրագրեր ( չարտոնված գործողություններ `թույլատրված միջոցներից օգտվելու իրենց իրավասությունը գերազանցելով): Բացի այդ, նա կարող է փորձել օգտագործել լրացուցիչ ոչ ստանդարտ գործիքային և տեխնոլոգիական ծրագրակազմ ( վրիպազերծիչներ, կոմունալ ծառայություններ), ինքնուրույն մշակված ծրագրեր կամ ստանդարտ լրացուցիչ տեխնիկական միջոցներ:
  • « Խաբեբա«- աշխատող, որը կարող է փորձել իրականացնել անօրինական տեխնոլոգիական գործողություններ, մտցնել կեղծ տվյալներ և նմանատիպ գործողություններ եսասիրական նպատակներով ՝ ճնշման կամ չարամիտ մտադրությամբ, բայց օգտագործելով միայն կանոնավոր ( տեղադրված է աշխատանքային կայանում և հասանելի է դրան) ապարատային և ծրագրային ապահովումն իր անունից կամ մեկ այլ աշխատակցի անունից ( իմանալով նրա անունը և գաղտնաբառը, օգտագործելով աշխատավայրից նրա կարճատև բացակայությունը և այլն։).
  • « Արտաքին ներխուժող (ներխուժող)»- կողմնակի կամ նախկին աշխատակից, որը նպատակաուղղված է գործում՝ ելնելով եսասիրական շահերից, վրեժխնդրությունից կամ հետաքրքրասիրությունից ելնելով, հնարավոր է՝ ուրիշների հետ համաձայնության գալով: Նա կարող է օգտագործել տեղեկատվության անվտանգությունը խախտելու մեթոդների ամբողջ փաթեթը, հանրային ցանցերին բնորոշ անվտանգության համակարգերը խախտելու մեթոդներն ու միջոցները ( հատկապես IP- ի վրա հիմնված ցանցերը), ներառյալ ծրագրային էջանիշերի հեռակա իրականացումը և հատուկ գործիքային և տեխնոլոգիական ծրագրերի օգտագործումը `օգտագործելով փոխանակման արձանագրությունների և կազմակերպության Հ AS -ի ցանցային հանգույցների պաշտպանության համակարգի առկա թույլ կողմերը:
  • « Ներքին հարձակվող»- աշխատող, որը գրանցված է որպես համակարգի օգտատեր, որը նպատակաուղղված է գործել՝ ելնելով եսասիրական շահերից կամ վրեժխնդրությունից, հնարավոր է կազմակերպությունում չհանդիսացող անձանց հետ համաձայնությամբ։ Նա կարող է օգտագործել անվտանգության համակարգը կոտրելու մեթոդների և միջոցների ամբողջ փաթեթը, ներառյալ մուտքի մանրամասների ձեռքբերման գաղտնի մեթոդները, պասիվ միջոցները (առանց համակարգի բաղադրիչները փոփոխելու գաղտնալսման տեխնիկական միջոցներ), ակտիվ ազդեցության մեթոդներն ու միջոցները ( տեխնիկական միջոցների փոփոխում, տվյալների փոխանցման ուղիներին միացում, ծրագրային էջանիշերի ներդրում և հատուկ գործիքային և տեխնոլոգիական ծրագրերի օգտագործում), ինչպես նաև ազդեցությունների համադրություն ինչպես ներսից, այնպես էլ հանրային ցանցերից:

Ինսայդեր կարող է լինել անձը անձնակազմի հետևյալ կատեգորիաներից.

  • AU- ի գրանցված վերջնական օգտագործողներ ( ստորաբաժանումների և մասնաճյուղերի աշխատակիցներ);
  • աշխատողներին չի թույլատրվում աշխատել AU- ի հետ.
  • ատոմակայանի տեխնիկական միջոցները սպասարկող անձնակազմ ( ինժեներներ, տեխնիկներ);
  • ծրագրային ապահովման մշակման և սպասարկման բաժինների աշխատակիցներ ( կիրառական և համակարգային ծրագրավորողներ);
  • կազմակերպության շենքերն ու տարածքները սպասարկող տեխնիկական անձնակազմ ( հավաքարարներ, էլեկտրիկներ, փականագործներ և այլ աշխատողներ, ովքեր մուտք ունեն շենքեր և տարածքներ, որտեղ գտնվում են բարձրախոսի բաղադրիչները);
  • տարբեր մակարդակի ղեկավարներ:
  • կրճատված աշխատողներ;
  • կազմակերպությունների ներկայացուցիչներ, որոնք համագործակցում են կազմակերպության կյանքի ապահովման հարցերի շուրջ ( էներգիա, ջուր, ջերմամատակարարում և այլն:);
  • սարքավորումներ, ծրագրեր, ծառայություններ և այլն մատակարարող ընկերությունների ներկայացուցիչներ.
  • հանցավոր կազմակերպությունների և մրցակից առևտրային կառույցների անդամներ կամ նրանց անունից հանդես եկող անձինք.
  • անձինք, ովքեր պատահաբար կամ դիտավորյալ են ցանց մտել արտաքին ցանցերից ( «Հաքերներ»).

Օգտագործողները և սպասարկող անձնակազմը աշխատողներից ամենաշատ հնարավորություններն ունեն չարտոնված գործողություններ իրականացնելու համար՝ շնորհիվ ռեսուրսներ և ռեսուրսներ մուտք գործելու իրենց որոշակի իրավասության: լավ գիտելիքտեղեկատվության մշակման տեխնոլոգիաներ: Խախտողների այս խմբի գործողություններն ուղղակիորեն կապված են գործող կանոնների և կանոնակարգերի խախտման հետ։ Խախտողների այս խումբը հատկապես վտանգավոր է հանցավոր կառույցների հետ շփվելիս:

Աշխատանքից ազատված անձինք կարող են օգտագործել իրենց տեխնոլոգիաների, պաշտպանիչ միջոցառումների և մուտքի իրավունքները `իրենց նպատակներին հասնելու համար:

Քրեական կառույցները արտաքին սպառնալիքների ամենաագրեսիվ աղբյուրն են։ Իրենց ծրագրերն իրականացնելու համար այդ կառույցները կարող են բացահայտորեն խախտել օրենքը և իրենց հասանելի բոլոր ուժերով ու միջոցներով ներգրավել կազմակերպության աշխատակիցներին իրենց գործունեության մեջ։

Hանցահեններն ունեն ամենաբարձր տեխնիկական որակավորում և գիտելիքներ AU- ում օգտագործվող ծրագրակազմի թույլ կողմերի մասին: Նրանք ամենամեծ վտանգը ներկայացնում են աշխատող կամ աշխատանքից ազատված աշխատողների և հանցավոր կառույցների հետ շփվելիս:

Սարքավորումների և տեղեկատվական համակարգերի մշակմամբ, մատակարարմամբ և վերանորոգմամբ զբաղվող կազմակերպությունները արտաքին վտանգ են ներկայացնում այն ​​պատճառով, որ նրանք երբեմն անմիջականորեն մուտք ունեն տեղեկատվական ռեսուրսներին: Հանցավոր կառույցները կարող են այդ կազմակերպություններն օգտագործել իրենց անդամների ժամանակավոր աշխատանքի համար `պաշտպանված տեղեկատվությանը հասնելու համար:

7. Տեխնիկական քաղաքականություն տեղեկատվական անվտանգության ոլորտում

7.1. Տեխնիկական քաղաքականության հիմնական դրույթները

Տեղեկատվական անվտանգության ոլորտում տեխնիկական քաղաքականության իրականացումը պետք է բխի այն նախադրյալից, որ անհնար է ապահովել տեղեկատվական անվտանգության պահանջվող մակարդակը ոչ միայն մեկ առանձին միջոցի օգնությամբ ( գործունեությունը), այլ նաև դրանց պարզ համադրության օգնությամբ։ Նրանց համակարգային համակարգումը միմյանց հետ անհրաժեշտ է ( բարդ կիրառություն), և ատոմակայանի առանձին մշակված տարրերը պետք է դիտարկվեն որպես պաշտպանված նախագծով միասնական տեղեկատվական համակարգի մաս. օպտիմալ հարաբերակցությունըտեխնիկական ( ապարատային, ծրագրային ապահովում) միջոցներ և կազմակերպչական միջոցառումներ:

ԱԷԿ -ի տեղեկատվության անվտանգության ապահովման տեխնիկական քաղաքականության իրականացման հիմնական ուղղություններն են ապահովել տեղեկատվության ռեսուրսների պաշտպանությունը չարտոնված մուտքի և հատուկ ազդեցությունների պատճառով գողությունից, կորստից, արտահոսքից, ոչնչացումից, խեղաթյուրումից կամ կեղծումից:

Տեղեկատվության անվտանգության ապահովման տեխնիկական քաղաքականության նշված ուղղությունների շրջանակներում իրականացվում են հետևյալը.

  • կատարողների ընդունելության թույլտվության համակարգի ներդրում ( օգտագործողներ, սպասարկող անձնակազմգ) գաղտնի բնույթի աշխատանքների, փաստաթղթերի և տեղեկատվության նկատմամբ.
  • սահմանափակելով կատարողների և չարտոնված անձանց մուտքը շենքեր և տարածքներ, որտեղ իրականացվում են գաղտնի աշխատանքներ, և որոնց վրա տեղակայված են տեղեկատվության և հաղորդակցման միջոցները. պահվում, փոխանցվումգաղտնի բնույթի տեղեկատվություն `անմիջապես տեղեկատվականացման և հաղորդակցության միջոցների համար.
  • Օգտատերերի և սպասարկող անձնակազմի հասանելիության տարբերակումը տեղեկատվական ռեսուրսներին, ծրագրային ապահովմանը` տեղեկատվության մշակման և պաշտպանության համար` ԱՀ-ում ընդգրկված տարբեր մակարդակների և նպատակների ենթահամակարգերում.
  • փաստաթղթերի, տեղեկատվական զանգվածների գրանցում, օգտագործողների և սպասարկող անձնակազմի գործողությունների գրանցում, օգտագործողների, սպասարկող անձնակազմի և չարտոնված անձանց չարտոնված մուտքի և գործողությունների նկատմամբ վերահսկողություն.
  • կանխել վիրուսային ծրագրերի, ծրագրային էջանիշերի ներդրումը ավտոմատացված ենթահամակարգերում.
  • համակարգչային տեխնոլոգիաների և հաղորդակցությունների միջոցով մշակված և փոխանցված տեղեկատվության ծածկագրային պաշտպանություն.
  • մեքենայի պահպանման միջոցների, գաղտնագրման բանալիների հուսալի պահեստավորում ( առանցքային տեղեկատվություն) և դրանց շրջանառությունը՝ բացառությամբ գողության, փոխարինման և ոչնչացման.
  • տեխնիկական միջոցների անհրաժեշտ վերապահում և զանգվածների և տեղեկատվական կրիչների կրկնօրինակում.
  • ավտոմատացված ենթահամակարգերի տարբեր տարրերի կողմից ստեղծված կեղծ արտանետումների և պիկապների մակարդակի և տեղեկատվական բովանդակության նվազեցում.
  • էլեկտրամատակարարման սխեմաների էլեկտրամեկուսացում, հիմնավորման և տեղեկատվականացման օբյեկտների այլ սխեմաներ, որոնք դուրս են գալիս վերահսկվող տարածքից.
  • օպտիկական և լազերային դիտարկման միջոցների հակազդեցություն:

7.2. Տեղեկատվական անվտանգության ռեժիմի ձևավորում

Հաշվի առնելով ԱԷԿ-ի անվտանգությանը սպառնացող հայտնաբերված վտանգները, տեղեկատվական անվտանգության ռեժիմը պետք է ձևավորվի որպես ԱԷԿ-ում շրջանառվող տեղեկատվությունը և դրա օժանդակ ենթակառուցվածքը բնական կամ արհեստական ​​բնույթի պատահական կամ կանխամտածված ազդեցություններից պաշտպանելու մեթոդների և միջոցների մի շարք, որոնք ենթադրում են. վնասը տեղեկատվության սեփականատերերին կամ օգտագործողներին.

Տեղեկատվական անվտանգության ռեժիմի ձևավորման միջոցառումների շարքը ներառում է.

  • ավտոմատացված համակարգում տեղեկատվական անվտանգության կազմակերպչական և իրավական ռեժիմի հաստատում ( կարգավորող փաստաթղթեր, անձնակազմի հետ աշխատանք, գրասենյակային աշխատանք);
  • կազմակերպչական և տեխնիկական միջոցառումների իրականացում` տեխնիկական ուղիներով սահմանափակ բաշխված տեղեկատվության արտահոսքից պաշտպանելու համար.
  • կազմակերպչական և ծրագրային-տեխնիկական միջոցառումներ `չարտոնված գործողությունները կանխելու համար ( մուտք) ՀԱՄ տեղեկատվական ռեսուրսներին.
  • Պատահական կամ կանխամտածված ազդեցություններից հետո սահմանափակ բաշխման տեղեկատվական ռեսուրսների պաշտպանության միջոցների և համակարգերի գործունեությունը վերահսկելու միջոցառումների համալիր:

8. Տեղեկատվական անվտանգության միջոցներ, մեթոդներ և միջոցներ

8.1. Կազմակերպչական միջոցառումներ

Կազմակերպչական միջոցառումներ- դրանք կազմակերպչական միջոցառումներ են, որոնք կարգավորում են ԱԷԿ -ի գործունեության գործընթացները, նրանց ռեսուրսների օգտագործումը, սպասարկող անձնակազմի գործունեությունը, ինչպես նաև համակարգի հետ օգտագործողների փոխգործակցության կարգը `առավել բարդացնելու կամ բացառելու հնարավորությունը անվտանգության սպառնալիքների իրականացում և դրանց իրականացման դեպքում վնասի չափի նվազեցում:

8.1.1. Անվտանգության քաղաքականության ձևավորում

Կազմակերպչական միջոցառումների հիմնական նպատակն է տեղեկատվական անվտանգության ոլորտում քաղաքականություն ձևավորել՝ արտացոլելով տեղեկատվության պաշտպանության մոտեցումները և ապահովել դրա իրականացումը՝ հատկացնելով անհրաժեշտ ռեսուրսներ և վերահսկելով իրերի վիճակը:

Գործնական տեսանկյունից ԱԷԿ -ի անվտանգության քաղաքականությունը պետք է բաժանել երկու մակարդակի: Վերին մակարդակը ներառում է որոշումներ, որոնք ազդում են կազմակերպության գործունեության վրա որպես ամբողջություն: Նման լուծումների օրինակ կարող է լինել.

  • տեղեկատվական անվտանգության համապարփակ ծրագրի ձևավորում կամ վերանայում, դրա իրականացման համար պատասխանատուների որոշում.
  • նպատակների ձևակերպում, նպատակների սահմանում, տեղեկատվական անվտանգության ոլորտում գործունեության ոլորտների սահմանում.
  • անվտանգության ծրագրի իրականացման վերաբերյալ որոշումներ կայացնելը, որոնք դիտարկվում են կազմակերպության մակարդակով որպես ամբողջություն.
  • կարգավորիչ ( օրինական) անվտանգության հարցերի բազա և այլն:

Lowerածր մակարդակի քաղաքականությունը սահմանում է նպատակներին հասնելու և տեղեկատվական անվտանգության խնդիրների լուծման ընթացակարգերն ու կանոնները և մանրամասնում (կարգավորում) այս կանոնները.

  • ո՞րն է տեղեկատվական անվտանգության քաղաքականության շրջանակը.
  • որո՞նք են տեղեկատվական անվտանգության քաղաքականության իրականացման համար պատասխանատու պաշտոնյաների դերերն ու պարտականությունները.
  • ով իրավունք ունի մուտք գործել սահմանափակ տեղեկատվություն.
  • ով և ինչ պայմաններում կարող է կարդալ և փոփոխել տեղեկատվությունը և այլն:

Ածր մակարդակի քաղաքականությունը պետք է.

  • ապահովել տեղեկատվական հարաբերությունների կարգավորումը ՝ բացառելով գաղտնի տեղեկատվական ռեսուրսների հետ կապված կամայական, մենաշնորհային կամ չարտոնված գործողությունների հնարավորությունը.
  • սահմանել կոալիցիոն և հիերարխիկ սկզբունքներ և մեթոդներ ՝ գաղտնիքները կիսելու և սահմանափակ տարածման տեղեկատվության հասանելիությունը սահմանափակելու համար.
  • ընտրել գաղտնագրման պաշտպանության ծրագրային և ապարատային միջոցներ, որոնք կխոչընդոտեն միջամտությանը, նույնականացմանը, թույլտվությանը, նույնականացմանը և պաշտպանիչ այլ մեխանիզմներին, որոնք երաշխիքներ են տալիս տեղեկատվական հարաբերությունների սուբյեկտների իրավունքների և պարտականությունների իրականացման համար:

8.1.2. Տեխնիկական միջոցների հասանելիության կարգավորում

Անվտանգ ավտոմատացված աշխատատեղերի և Բանկի սերվերների աշխատանքը պետք է իրականացվի հուսալի ավտոմատ կողպեքներով, ահազանգերով և մշտապես հսկվող կամ հսկվող սենյակներում `բացառելով չարտոնված անձանց տարածք անվերահսկելի մուտքի հնարավորությունը և պաշտպանված ռեսուրսների ֆիզիկական անվտանգությունը: գտնվում է տարածքում ( AWP, փաստաթղթեր, մուտքի մանրամասներ և այլն:): Նման AWP- ների տեխնիկական միջոցների տեղադրումը և տեղադրումը պետք է բացառի մուտքի տեսողական դիտման հնարավորությունը ( հանված) տեղեկատվություն դրա հետ կապ չունեցող անձանց կողմից: Դրանցում տեղադրված սարքավորումներով տարածքների մաքրումը պետք է իրականացվի պատասխանատու անձի ներկայությամբ, որին նշանակված են այդ տեխնիկական միջոցները կամ ստորաբաժանումում հերթապահ անձը `համապատասխան միջոցների, որոնք բացառում են պաշտպանված ռեսուրսների չարտոնված մուտքը: .

Սահմանափակված տեղեկատվության մշակման ընթացքում տարածքներում պետք է ներկա լինեն միայն այս տեղեկատվությամբ աշխատելու իրավունք ունեցող անձնակազմը:

Աշխատանքային օրվա վերջում տեղադրված պաշտպանված աշխատատեղերով տարածքներն անհրաժեշտ է հանձնել պաշտպանության ներքո:

Պաշտպանված տեղեկատվությամբ պաշտոնական փաստաթղթերի և մեքենայական լրատվամիջոցների պահպանման համար աշխատակիցներին տրվում են մետաղյա պահարաններ, ինչպես նաև փաստաթղթեր ոչնչացնելու միջոցներ:

Տեխնիկական միջոցները, որոնք օգտագործվում են գաղտնի տեղեկատվության մշակման կամ պահպանման համար, պետք է կնքված լինեն:

8.1.3. Տեղեկատվական ռեսուրսների օգտագործման աշխատողների ընդունման կանոնակարգ

Թույլատրելի ընդունման համակարգի շրջանակներում սահմանվում է. Ով, ում, ինչ տեղեկատվություն և ինչ տեսակի հասանելիություն կարող է տրամադրվել և ինչ պայմաններում. մուտքի վերահսկման համակարգ, որը ենթադրում է ԱՀ բոլոր օգտագործողների համար հատուկ գործողությունների համար հասանելի տեղեկատվության և ծրագրային ռեսուրսների սահմանումը ( կարդալ, գրել, փոփոխել, ջնջել, կատարել) օգտագործելով նշված ծրագրային և ապարատային հասանելիության գործիքները:

AU- ի հետ աշխատողների ընդունումը և նրանց ռեսուրսների հասանելիությունը պետք է խստորեն կարգավորվեն: AU ենթահամակարգերի օգտագործողների կազմի և լիազորությունների ցանկացած փոփոխություն պետք է կատարվի սահմանված կարգով:

AU- ում տեղեկատվության հիմնական օգտագործողները կազմակերպության կառուցվածքային ստորաբաժանումների աշխատակիցներն են: Յուրաքանչյուր օգտագործողի համար լիազորությունների մակարդակը որոշվում է անհատապես ՝ պահպանելով հետևյալ պահանջները.

  • բաց և գաղտնի տեղեկատվությունը տեղադրվում է, հնարավորության դեպքում, տարբեր սերվերների վրա.
  • յուրաքանչյուր աշխատող օգտագործում է միայն իրեն սահմանված իրավունքները՝ կապված այն տեղեկատվության հետ, որով նա պետք է աշխատի իր աշխատանքային պարտականություններին համապատասխան.
  • պետն իրավունք ունի դիտելու իր ենթակաների տեղեկությունները.
  • ամենակարևոր տեխնոլոգիական գործողությունները պետք է իրականացվեն ըստ կանոնների «Երկու ձեռքում»- մուտքագրված տեղեկատվության ճիշտությունը հաստատում է մեկ այլ պաշտոնատար անձ, ով իրավունք չունի մուտքագրել տեղեկատվություն:

ԱԷԿ -ում աշխատող և ԱԷԿ -ի սպասարկող անձնակազմը պետք է անձամբ պատասխանատվություն կրեն տեղեկատվության ավտոմատ մշակման համար սահմանված կարգի խախտումների, իրենց տրամադրության տակ գտնվող պաշտպանված համակարգի ռեսուրսների պահպանման, օգտագործման և փոխանցման կանոնների համար: Աշխատանքի ընդունվելիս յուրաքանչյուր աշխատող պետք է ստորագրի Պարտավորություն գաղտնի տեղեկատվության պահպանման և դրանց խախտման համար պատասխանատվության պահանջներին համապատասխանելու, ինչպես նաև ԱՀ-ում պաշտպանված տեղեկատվության հետ աշխատելու կանոններին համապատասխանության վերաբերյալ:

Պաշտպանված տեղեկատվության մշակումը ԱՀ ենթահամակարգերում պետք է իրականացվի հաստատված տեխնոլոգիական հրահանգներին համապատասխան ( պատվերներ) այս ենթահամակարգերի համար:

Օգտվողների, պաշտպանված աշխատատեղերի համար անհրաժեշտ է մշակել անհրաժեշտ տեխնոլոգիական ցուցումներ, ներառյալ տեղեկատվության անվտանգության ապահովման պահանջները:

8.1.4. Տվյալների բազաների պահպանման և տեղեկատվական ռեսուրսների փոփոխման գործընթացների կարգավորում

ՀԱՀ-ում տվյալների շտեմարանների պահպանման և այդ տվյալների շտեմարանների հետ աշխատողների ընդունելու բոլոր գործողությունները պետք է խստորեն կարգավորվեն: AU տվյալների շտեմարանների օգտագործողների կազմի և լիազորությունների ցանկացած փոփոխություն պետք է կատարվի սահմանված կարգով:

Անունների բաշխումը, գաղտնաբառերի ստեղծումը, տվյալների շտեմարանների մուտքի տարբերակման կանոնների պահպանումը վստահված է Տեղեկատվական տեխնոլոգիաների վարչության աշխատակիցներին: Այս դեպքում կարող են օգտագործվել ինչպես DBMS- ի, այնպես էլ օպերացիոն համակարգերի պաշտպանության ինչպես ստանդարտ, այնպես էլ լրացուցիչ միջոցներ:

8.1.5. Պահպանման գործընթացների կարգավորում և ապարատային և ծրագրային ռեսուրսների փոփոխում

Պահպանվող համակարգի ռեսուրսները ( առաջադրանքներ, ծրագրեր, AWP) ենթակա են խիստ հաշվառման ( համապատասխան ձևերի կամ մասնագիտացված տվյալների բազաների օգտագործման հիման վրա).

Ավտոմատացված աշխատատեղերի ապարատային և ծրագրային կազմաձևումը, որտեղ մշակվում են պաշտպանված տեղեկատվությունը կամ որտեղից հնարավոր է մուտք գործել պաշտպանված ռեսուրսներ, պետք է համապատասխանի սույն AWS- ի օգտագործողներին վերապահված գործառնական պարտականությունների շրջանակին: Բոլոր չօգտագործված (ավելորդ) մուտքային-ելքային սարքերը ( COM, USB, LPT նավահանգիստներ, անգործունյա սկավառակներ, CD և պահեստավորման այլ միջոցներ) նման AWP- երի վրա պետք է անջատել (ջնջել), ավելորդ ծրագրակազմը և AWS սկավառակների տվյալները նույնպես պետք է ջնջվեն:

Պահպանումը, պահպանումը և պաշտպանության կազմակերպումը պարզեցնելու համար աշխատատեղերը պետք է հագեցած լինեն ծրագրային ապահովմամբ և կազմաձևվեն միասնական ձևով ( սահմանված կանոններին համապատասխան).

Նոր AWP- ների գործարկումը և ապարատային և ծրագրային ապահովման կոնֆիգուրացիայի բոլոր փոփոխությունները, կազմակերպության AS- ում առկա AWP- ները պետք է իրականացվեն միայն սահմանված կարգով:

Բոլոր ծրագրերը ( մշակված կազմակերպության մասնագետների կողմից, ձեռք բերված կամ ձեռք բերված արտադրողներից) սահմանված կարգով պետք է փորձարկվեն և փոխանցվեն կազմակերպության ծրագրերի դեպոզիտարիային: ՀՄ-ի ենթահամակարգերում պետք է տեղադրվեն և օգտագործվեն միայն դեպոզիտարիայից սահմանված կարգով ստացված ծրագրերը: Պետք է արգելվի ՀԾ-ում ծրագրային ապահովման օգտագործումը, որը ներառված չէ ծրագրային ապահովման պահոցում:

Ծրագրային ապահովման մշակումը, մշակված և գնված ծրագրային ապահովման փորձարկումը, ծրագրային ապահովումը շահագործման հանձնելը պետք է իրականացվի սահմանված կարգով:

8.1.6. Օգտագործողների ուսուցում և կրթություն

Մինչև AU մուտք գործելը, դրա օգտագործողները, ինչպես նաև կառավարման և սպասարկման անձնակազմը պետք է ծանոթ լինեն գաղտնի տեղեկատվության ցանկին և նրանց լիազորությունների մակարդակին, ինչպես նաև պահանջները որոշող կազմակերպչական և վարչական, կարգավորիչ, տեխնիկական և գործառնական փաստաթղթերին: և նման տեղեկատվության մշակման կարգը:

Վերոնշյալ բոլոր ոլորտներում տեղեկատվության պաշտպանությունը հնարավոր է միայն այն բանից հետո, երբ օգտվողները մշակել են որոշակի կարգապահություն, այսինքն ՝ նորմեր, որոնք պարտադիր են բոլոր նրանց համար, ովքեր աշխատում են AU- ում: Այս նորմերը ներառում են ցանկացած դիտավորյալ կամ ոչ դիտավորյալ գործողությունների արգելում, որոնք խաթարում են AU- ի բնականոն գործունեությունը, առաջացնում են լրացուցիչ ռեսուրսների ծախսեր, խախտում են պահված և մշակված տեղեկատվության ամբողջականությունը, խախտում են օրինական օգտագործողների շահերը:

Բոլոր աշխատողները, ովքեր աշխատանքի ընթացքում օգտագործում են ԱԷԿ -ի հատուկ ենթահամակարգեր, պետք է ծանոթ լինեն իրենց վերաբերող մասում ատոմակայանի պաշտպանության կազմակերպչական և վարչական փաստաթղթերին, պետք է իմանան և խստորեն հետևեն տեխնոլոգիական ցուցումներին և ընդհանուր պարտականություններին `ապահովելու անվտանգությունը: տեղեկատվություն: Այս փաստաթղթերի պահանջները պաշտպանված տեղեկատվության մշակման ընդունված անձանց ներկայացնելը պետք է իրականացվի գերատեսչությունների ղեկավարների կողմից `իրենց ստորագրության դեմ:

8.1.7. Պատասխանատվություն տեղեկատվական անվտանգության պահանջների խախտման համար

Կազմակերպության աշխատակիցների կողմից տեղեկատվական անվտանգության պահանջների յուրաքանչյուր լուրջ խախտման համար պետք է ծառայողական քննություն իրականացվի: Հանցագործների դեմ պետք է ձեռնարկվեն համարժեք միջոցներ. Տեղեկատվության անվտանգ ավտոմատացված մշակումն ապահովելու համար սահմանված կանոնների խախտմամբ կատարված գործողությունների համար անձնակազմի պատասխանատվության աստիճանը պետք է որոշվի պատճառված վնասով, չարամտության առկայությամբ և այլ գործոններով:

Իրենց գործողությունների համար օգտագործողների անձնական պատասխանատվության սկզբունքի իրականացման համար անհրաժեշտ է.

  • օգտագործողների անհատական ​​նույնականացում և նրանց կողմից նախաձեռնված գործընթացները, այսինքն. նրանց համար նույնացուցիչի սահմանում, որի հիման վրա հասանելիությունը կտարբերակվի մուտքի վավերականության սկզբունքին համապատասխան.
  • օգտագործողի նույնականացում ( իսկությունը) հիմնված գաղտնաբառերի, այլ ֆիզիկական հիմքերի վրա բանալիների և այլնի վրա.
  • Գրանցում ( ծառահատում) տեղեկատվական համակարգի ռեսուրսների հասանելիությունը վերահսկելու մեխանիզմների գործարկում՝ նշելով ամսաթիվը և ժամը, հայցվող և պահանջվող ռեսուրսների նույնացուցիչները, փոխգործակցության տեսակը և դրա արդյունքը.
  • արձագանք չարտոնված մուտքի փորձերին ( ահազանգ, արգելափակում և այլն:).

8.2. Պաշտպանության տեխնիկական միջոցներ

Տեխնիկական ( ապարատային և ծրագրային ապահովումՊաշտպանության միջոցներ՝ տարբեր էլեկտրոնային սարքեր և հատուկ ծրագրեր, որոնք հանդիսանում են ՀՄ-ի մաս և կատարում են (ինքնուրույն կամ այլ միջոցների հետ համատեղ) պաշտպանական գործառույթներ. օգտատերերի նույնականացում և վավերացում, ռեսուրսների հասանելիության տարբերակում, իրադարձությունների գրանցում, տեղեկատվության ծածկագրային պաշտպանություն և այլն:).

Հաշվի առնելով պաշտպանության բոլոր ոլորտներում ատոմակայանում տեղեկատվության անվտանգության ապահովման բոլոր պահանջներն ու սկզբունքները, պաշտպանության համակարգում պետք է ներառվեն հետևյալ միջոցները.

  • օգտագործողների և AU տարրերի նույնականացման միջոցներ ( տերմինալներ, առաջադրանքներ, տվյալների բազայի տարրեր և այլն:) համապատասխան տեղեկատվության և մշակված տվյալների գաղտնիության աստիճանին.
  • տվյալների հասանելիության սահմանափակման միջոցներ.
  • տվյալների փոխանցման գծերում և տվյալների շտեմարաններում տեղեկատվության գաղտնագրման պաշտպանության միջոցներ.
  • շրջանառության գրանցման և պահպանվող տեղեկատվության օգտագործման վերահսկման միջոցներ.
  • հայտնաբերված կեղծման կամ կեղծման փորձերին արձագանքելու միջոցներ.
  • կեղծ արտանետումների և պիկապների մակարդակի և տեղեկատվական բովանդակության նվազեցման միջոցներ.
  • դիտման օպտիկական միջոցներից պաշտպանության միջոցներ.
  • պաշտպանություն վիրուսներից և չարամիտ ծրագրերից;
  • ինչպես AC տարրերի, այնպես էլ այն տարածքների կառուցվածքային տարրերի էլեկտրական անջատման միջոցներ, որոնցում տեղակայված է սարքավորումը:

Չարտոնված հարձակումներից պաշտպանության տեխնիկական միջոցները պատասխանատու են հետևյալ հիմնական խնդիրների լուծման համար.

  • անունների և (կամ) հատուկ սարքավորումների միջոցով օգտագործողների նույնականացում և նույնականացում ( Հպեք «Հիշողություն», «Սմարթ քարտ» և այլն:);
  • աշխատանքային կայանների ֆիզիկական սարքեր օգտագործողների մուտքի կարգավորում ( սկավառակներ, մուտքային-ելքային պորտեր);
  • մուտքի ընտրովի (հայեցողական) վերահսկում տրամաբանական կրիչներ, գրացուցակներ և ֆայլեր;
  • աշխատատեղի և ֆայլերի սերվերի պաշտպանված տվյալների մուտքի հեղինակավոր (պարտադիր) տարբերակումը.
  • ստեղծելով փակ ծրագրային միջավայրթույլատրվում է գործարկել ծրագրեր, որոնք տեղակայված են ինչպես տեղական, այնպես էլ ցանցային կրիչներում.
  • համակարգչային վիրուսների և չարամիտ ծրագրերի ներթափանցումից պաշտպանություն.
  • պաշտպանական համակարգի մոդուլների, սկավառակի համակարգի տարածքների և ֆայլերի կամայական ցուցակների ամբողջականության վերահսկում ավտոմատ ռեժիմև ադմինիստրատորի հրամաններով.
  • օգտագործողի գործողությունների գրանցում անվտանգ ամսագրում, գրանցման մի քանի մակարդակների առկայություն.
  • ֆայլերի սերվերի տվյալների պաշտպանության համակարգի պաշտպանությունը բոլոր օգտագործողների, ներառյալ ցանցի ադմինիստրատորի մուտքից.
  • ցանցի աշխատանքային կայաններում հասանելիության տարբերակման միջոցների կարգավորումների կենտրոնացված կառավարում.
  • աշխատատեղերում տեղի ունեցող բոլոր կեղծարար իրադարձությունների գրանցում.
  • ցանցի օգտագործողների աշխատանքի վրա գործառնական վերահսկողություն, աշխատատեղերի շահագործման ռեժիմների փոփոխում և արգելափակման հնարավորություն ( Եթե ​​անհրաժեշտ է) ցանցի ցանկացած կայան:

Պաշտպանության տեխնիկական միջոցների հաջող կիրառումը ենթադրում է, որ ստորև թվարկված պահանջների կատարումն ապահովվում է կազմակերպչական միջոցառումներով և օգտագործվող պաշտպանության ֆիզիկական միջոցներով.

  • ապահովված է ԱՀ-ի բոլոր բաղադրիչների ֆիզիկական ամբողջականությունը.
  • յուրաքանչյուր աշխատող ( համակարգի օգտագործող) ունի յուրահատուկ համակարգի անվանում և իր գործառնական պարտականությունների կատարման համար անհրաժեշտ համակարգի ռեսուրսներին հասանելիության նվազագույն լիազորություն.
  • գործիքային և տեխնոլոգիական ծրագրերի օգտագործումը աշխատատեղերում ( փորձարկման կոմունալ ծառայություններ, վրիպազերծիչներ և այլն:), թույլ տալով կոտրել կամ շրջանցել անվտանգության միջոցները, սահմանափակ է և խստորեն կարգավորվում է.
  • պաշտպանված համակարգում ծրագրավորման օգտվողներ չկան, և ծրագրերի մշակումը և կարգաբերումն իրականացվում է պաշտպանված համակարգից դուրս.
  • Սարքավորումների և ծրագրաշարի կազմաձևման բոլոր փոփոխությունները կատարվում են խիստ սահմանված կարգով.
  • ցանցի սարքավորում ( հանգույցներ, անջատիչներ, երթուղիչներ և այլն:) գտնվում է անծանոթ մարդկանց համար անհասանելի վայրերում ( հատուկ սենյակներ, պահարաններ և այլն:);
  • տեղեկատվական անվտանգության ծառայությունն իրականացնում է տեղեկատվական անվտանգության գործիքների գործունեության շարունակական կառավարում և վարչական աջակցություն:

8.2.1. Օգտագործողի նույնականացման և նույնականացման գործիքներ

Չարտոնված անձանց մուտքը ԱՀ կանխելու համար անհրաժեշտ է ապահովել, որ համակարգը կարողանա ճանաչել յուրաքանչյուր օրինական օգտագործող (կամ օգտագործողների սահմանափակ խումբ): Դա անելու համար համակարգում ( պատսպարված վայրում) պետք է պահի յուրաքանչյուր օգտատիրոջ մի շարք ատրիբուտներ, որոնց միջոցով կարելի է նույնականացնել այս օգտվողին: Ապագայում, համակարգ մուտք գործելիս, և, անհրաժեշտության դեպքում, համակարգում որոշակի գործողություններ կատարելիս, օգտագործողը պարտավոր է ինքն իրեն ճանաչել, այսինքն. նշեք համակարգում իրեն վերագրված նույնացուցիչը: Բացի այդ, նույնականացման համար կարող են օգտագործվել տարբեր տեսակի սարքեր ՝ մագնիսական քարտեր, բանալիների ներդիրներ, անգործունյա սկավառակներ և այլն:

Նույնականացում ( իսկության հաստատումօգտվողները պետք է իրականացվեն `հիմնված գաղտնաբառերի (գաղտնի բառերի) կամ նույնականացման հատուկ միջոցների օգտագործման վրա` ստուգելով օգտագործողների յուրահատուկ բնութագրերը (պարամետրերը):

8.2.2. Ավտոմատացված համակարգի ռեսուրսների հասանելիության սահմանազատման միջոցներ

Օգտագործողին ճանաչելուց հետո համակարգը պետք է լիազորի օգտատիրոջը, այսինքն՝ որոշի, թե ինչ իրավունքներ են տրված օգտատիրոջը, այսինքն. ինչ տվյալներ և ինչպես դրանք կարող են օգտագործվել, ինչ ծրագրեր կարող է իրականացնել, երբ, որքան ժամանակ և ինչ տերմինալներից կարող է աշխատել, ինչ համակարգի ռեսուրսներ կարող է օգտագործել և այլն: Օգտագործողի թույլտվությունը պետք է իրականացվի՝ օգտագործելով մուտքի վերահսկման հետևյալ մեխանիզմները.

  • ընտրովի մուտքի վերահսկման մեխանիզմներ, որոնք հիմնված են ատրիբուտների սխեմաների, թույլտվությունների ցուցակների և այլնի օգտագործման վրա.
  • ռեսուրսների գաղտնիության պիտակների և օգտվողների մուտքի մակարդակների վրա հիմնված մուտքի վերահսկման հեղինակավոր մեխանիզմներ.
  • վստահելի ծրագրակազմի փակ միջավայր ապահովելու մեխանիզմներ ( յուրաքանչյուր օգտագործողի համար թույլատրելի ծրագրերի ցանկեր) աջակցվում է օգտատերերի նույնականացման և նույնականացման մեխանիզմներով, երբ նրանք մուտք են գործում համակարգ:

Պաշտպանության հատուկ տեխնիկական միջոցների պատասխանատվության ոլորտներն ու առաջադրանքները սահմանվում են ՝ հիմք ընդունելով այդ միջոցների փաստաթղթերում նկարագրված նրանց հնարավորությունները և կատարողական բնութագիրը:

Մուտքի վերահսկման տեխնիկական միջոցները պետք է լինեն մուտքի վերահսկման միասնական համակարգի անբաժանելի մասը.

  • դեպի վերահսկվող տարածք;
  • առանձին սենյակներում;
  • AU- ի տարրերին և տեղեկատվական անվտանգության համակարգի տարրերին ( ֆիզիկական հասանելիություն);
  • ԱՀ-ի ռեսուրսներին ( մաթեմատիկական մուտք);
  • տեղեկատվական պահեստներին ( պահպանման միջոցներ, ծավալներ, ֆայլեր, տվյալների հավաքածուներ, արխիվներ, հղումներ, գրառումներ և այլն:);
  • ակտիվ ռեսուրսներին ( կիրառական ծրագրեր, առաջադրանքներ, հարցման ձևեր և այլն:);
  • օպերացիոն համակարգին, համակարգային ծրագրերև անվտանգության ծրագրեր և այլն:

8.2.3. Softwareրագրային ապահովման և տեղեկատվական ռեսուրսների ամբողջականության ապահովման և մոնիտորինգի միջոցներ

Programsրագրերի, մշակված տեղեկատվության և պաշտպանության միջոցների ամբողջականության վերահսկում `ապահովված ապահովման մշակված տեխնոլոգիայով որոշված ​​ծրագրային միջավայրի անփոփոխությունն ապահովելու և տեղեկատվության չարտոնված ուղղումից պաշտպանություն ապահովելու համար.

  • ստուգաթերթերի հաշվարկման միջոցներ;
  • էլեկտրոնային ստորագրության միջոցով;
  • կրիտիկական ռեսուրսները դրանց հիմնական օրինակների հետ համեմատելու միջոցներ ( և ամբողջականության խախտման դեպքում վերականգնում);
  • մուտքի վերահսկման միջոցներ ( մուտքի մերժում փոփոխման կամ ջնջման իրավունքով).

Տեղեկատվությունը և ծրագրերը չթույլատրված ոչնչացումից կամ աղավաղումից պաշտպանելու համար անհրաժեշտ է ապահովել.

  • համակարգի աղյուսակների և տվյալների կրկնօրինակում;
  • սկավառակների վրա տվյալների կրկնօրինակում և արտացոլում;
  • գործարքների հետևում;
  • օպերացիոն համակարգի և օգտագործողի ծրագրերի, ինչպես նաև օգտագործողների ֆայլերի ամբողջականության պարբերական մոնիտորինգ.
  • հակավիրուսային պաշտպանություն և վերահսկում;
  • տվյալների կրկնօրինակում նախապես հաստատված սխեմայի համաձայն:

8.2.4. Անվտանգության միջոցառումների վերահսկում

Վերահսկողությունը պետք է ապահովի, որ բոլոր իրադարձությունները ( օգտագործողի գործողություններ, չարտոնված անձանց փորձեր և այլն:), ինչը կարող է հանգեցնել անվտանգության քաղաքականության խախտում և հանգեցնել ճգնաժամային իրավիճակների առաջացման: Վերահսկողությունը պետք է հնարավորություն տա.

  • ցանցի առանցքային հանգույցների և ցանցի ձևավորման հաղորդակցության սարքավորումների, ինչպես նաև ցանցի գործունեության հիմնական հատվածներում մշտական ​​մոնիտորինգ.
  • օգտագործողների կողմից կորպորատիվ և հանրային ցանցային ծառայությունների օգտագործման նկատմամբ վերահսկողություն.
  • անվտանգության միջոցառումների մատյանների պահպանում և վերլուծություն;
  • տեղեկատվական անվտանգությանն ուղղված արտաքին և ներքին սպառնալիքների ժամանակին հայտնաբերում:

-Ում անվտանգության միջոցառումներ գրանցելիս համակարգի տեղեկամատյանհետևյալ տեղեկատվությունը պետք է գրանցվի.

  • միջոցառման ամսաթիվը և ժամը;
  • առարկայի նույնացուցիչ ( օգտվող, ծրագիր) գրանցված գործողության կատարում.
  • գործողություն ( եթե մուտքի հարցում գրանցված է, ապա նշված են մուտքի օբյեկտը և տեսակը).

Հսկիչները պետք է կարողանան հայտնաբերել և գրանցել հետևյալ իրադարձությունները.

  • օգտագործողի մուտքը համակարգ;
  • օգտագործողի մուտքը ցանց;
  • անհաջող մուտք կամ ցանցի փորձ ( սխալ գաղտնաբառ);
  • միացում ֆայլերի սերվերին;
  • ծրագրի մեկնարկը;
  • ծրագրի ավարտը;
  • մի ծրագիր սկսելու փորձ, որը հասանելի չէ գործարկման համար.
  • անհասանելի գրացուցակին մուտք գործելու փորձ.
  • օգտագործողի համար անհասանելի սկավառակից տեղեկատվություն կարդալու / գրելու փորձ.
  • օգտագործողի համար անհասանելի սկավառակից ծրագիր սկսելու փորձ.
  • պաշտպանության համակարգի ծրագրերի և տվյալների ամբողջականության խախտում և այլն:

Պետք է աջակցել չարտոնված անձանց հայտնաբերված փաստերին արձագանքելու հետևյալ հիմնական եղանակներին ( հնարավոր է անվտանգության ադմինիստրատորի մասնակցությամբ):

  • NSD-ի մասին տեղեկատվության սեփականատիրոջ ծանուցում իր տվյալներին.
  • ծրագրի հեռացում ( առաջադրանքներ) հետագա կատարմամբ.
  • տվյալների բազայի ադմինիստրատորի և անվտանգության ադմինիստրատորի ծանուցում.
  • տերմինալի անջատում ( աշխատանքային կայան), որից ԱԱSD -ն փորձել է ցանցում տեղեկատվության կամ անօրինական գործողությունների իրականացում.
  • իրավախախտի բացառումը գրանցված օգտվողների ցանկից.
  • ազդանշանային ազդանշան և այլն:

8.2.5. Գաղտնագրված տեղեկատվության անվտանգություն

Ատոմակայանի տեղեկատվական անվտանգության համակարգի ամենակարևոր տարրերից մեկը պետք է լինի գաղտնագրման մեթոդների և միջոցների օգտագործումը, որը պաշտպանում է տեղեկատվությունը չթույլատրված մուտքից՝ հաղորդակցման ուղիներով փոխանցելու և համակարգչային կրիչների վրա պահելու ընթացքում:

ԱՀ-ում տեղեկատվության գաղտնագրային պաշտպանության բոլոր միջոցները պետք է կառուցվեն հիմնական կրիպտոգրաֆիկ միջուկի հիման վրա: Կազմակերպությունը պետք է ունենա օրենքով սահմանված լիցենզիաներ՝ կրիպտոգրաֆիկ մեդիա օգտագործելու իրավունքի համար:

AU- ում օգտագործվող գաղտնագրման պաշտպանության միջոցների առանցքային համակարգը պետք է ապահովի գաղտնագրման գոյատևում և բազմամակարդակ պաշտպանություն հիմնական տեղեկատվության փոխզիջումից, օգտագործողների տարանջատումն ըստ պաշտպանության մակարդակների և միմյանց և այլ մակարդակների օգտագործողների փոխազդեցության գոտիների:

Տեղեկատվության գաղտնիությունն ու իմիտացիոն պաշտպանությունը կապի ուղիներով փոխանցման ընթացքում պետք է ապահովվեն համակարգում բաժանորդների և ալիքների կոդավորման միջոցների օգտագործման միջոցով: Բաժանորդի և կապուղու տեղեկատվության կոդավորման համադրությունը պետք է ապահովի դրա ծայրահեղ պաշտպանությունը անցման ամբողջ ճանապարհի վրա, պաշտպանի տեղեկատվությունը դրա սխալ վերահասցեավորման դեպքում `անջատիչների կենտրոնների ապարատային և ծրագրային ապահովման անսարքությունների և անսարքությունների պատճառով:

AU- ն, որը բաշխված տեղեկատվական ռեսուրսներով համակարգ է, պետք է օգտագործի նաև էլեկտրոնային ստորագրությունների ստեղծման և ստուգման միջոցներ `հաղորդագրությունների իսկության ամբողջականությունն ու օրինական ապացույցը, ինչպես նաև օգտվողների, բաժանորդային կայանների և ժամանակի հաստատումը ապահովելու համար: հաղորդագրություններ ուղարկելու մասին: Այս դեպքում պետք է օգտագործել ստանդարտացված էլեկտրոնային ստորագրության ալգորիթմներ:

8.3. Տեղեկատվական անվտանգության կառավարում

ԱԷԿ -ում տեղեկատվական անվտանգության համակարգի կառավարումը նպատակային ազդեցություն է ունենում անվտանգության համակարգի բաղադրիչների վրա ( կազմակերպչական, տեխնիկական, ծրագրային ապահովում և գաղտնագրություն) ԱԷԿ -ում շրջանառվող տեղեկատվության անվտանգության պահանջվող ցուցանիշներին և չափանիշներին հասնելու համար `անվտանգության հիմնական սպառնալիքների իրականացման համատեքստում:

Տեղեկատվական անվտանգության համակարգի կառավարման կազմակերպման հիմնական նպատակը տեղեկատվության պաշտպանության հուսալիության բարձրացումն է `դրա մշակման, պահպանման և փոխանցման ընթացքում:

Տեղեկատվական անվտանգության համակարգի կառավարումն իրականացվում է վերահսկման մասնագիտացված ենթահամակարգով, որը վերահսկման մարմինների, տեխնիկական, ծրագրային և գաղտնագրման միջոցների, ինչպես նաև տարբեր մակարդակների կազմակերպչական միջոցառումների և փոխազդեցության վերահսկման կետերի մի շարք է:

Կառավարման ենթահամակարգի գործառույթներն են՝ տեղեկատվական, հսկիչ և օժանդակ։

Տեղեկատվական գործառույթը բաղկացած է պաշտպանության համակարգի վիճակի շարունակական մոնիտորինգից, անվտանգության ցուցանիշների թույլատրելի արժեքներին համապատասխանության ստուգումից և անվտանգության օպերատորներին անհապաղ տեղեկացնելուց ատոմակայանում առաջացած իրավիճակների մասին, որոնք կարող են հանգեցնել տեղեկատվական անվտանգության խախտման: . Պաշտպանական համակարգի վիճակը վերահսկելու երկու պահանջ կա `ամբողջականություն և հուսալիություն: Լիարժեքությունը բնութագրում է պաշտպանության բոլոր միջոցների և դրանց գործունեության պարամետրերի լուսաբանման աստիճանը: Վերահսկողության հուսալիությունը բնութագրում է վերահսկվող պարամետրերի արժեքների համապատասխանության աստիճանը դրանց իրական արժեքին: Վերահսկիչ տվյալների մշակման արդյունքում գեներացվում է պաշտպանության համակարգի վիճակի մասին տեղեկատվություն, որն ընդհանրացվում և փոխանցվում է ավելի բարձր կառավարման կետեր:

Վերահսկիչ գործառույթը ԱԷԿ-ի տեխնոլոգիական գործողությունների իրականացման պլանների ձևակերպումն է` հաշվի առնելով տեղեկատվական անվտանգության պահանջները ժամանակի տվյալ պահին տիրող պայմաններում, ինչպես նաև տեղեկատվության խոցելիության իրավիճակի գտնվելու վայրի որոշման և դրա արտահոսքի կանխման ժամանակ: անհապաղ արգելափակել ԱԷԿ-ի այն հատվածները, որտեղ տեղեկատվական անվտանգության սպառնալիքներ են առաջանում:… Վերահսկիչ գործառույթները ներառում են փաստաթղթերի, տեղեկատվության կրիչների, գաղտնաբառերի և բանալիների հաշվառում, պահում և թողարկում: Միաժամանակ գաղտնաբառերի, բանալիների ստեղծում, մուտքի վերահսկման միջոցների պահպանում, ՀԾ ծրագրային միջավայրում ներառված նոր ծրագրային գործիքների ընդունում, ստանդարտին ծրագրային միջավայրի համապատասխանության վերահսկում, ինչպես նաև տեխնոլոգիական գաղտնի տեղեկատվության մշակման գործընթացը վստահված է Տեղեկատվական տեխնոլոգիաների և Տնտեսական անվտանգության վարչության աշխատակիցներին:

Դեպի օժանդակ գործառույթներՎերահսկիչ ենթահամակարգերը ներառում են ԱՀ-ում կատարված բոլոր գործողությունների հաշվառումը պաշտպանված տեղեկատվությամբ, հաշվետվական փաստաթղթերի ձևավորում և վիճակագրական տվյալների հավաքում` տեղեկատվության արտահոսքի հնարավոր ուղիները վերլուծելու և հայտնաբերելու նպատակով:

8.4. Պաշտպանական համակարգի արդյունավետության մոնիտորինգ

Տեղեկատվության պաշտպանության համակարգի արդյունավետության մշտադիտարկումն իրականացվում է ժամանակին հայտնաբերելու և կանխելու տեղեկատվության արտահոսքը՝ դրան չթույլատրված մուտքի պատճառով, ինչպես նաև կանխելու հնարավոր հատուկ գործողությունները, որոնք ուղղված են տեղեկատվության ոչնչացմանը, տեղեկատվական տեխնոլոգիաների ոչնչացմանը:

Տեղեկատվության պաշտպանության միջոցառումների արդյունավետության գնահատումն իրականացվում է կազմակերպչական, ապարատային և ծրագրային հսկողության միջոցով՝ սահմանված պահանջներին համապատասխանելու համար:

Վերահսկումը կարող է իրականացվել ինչպես տեղեկատվական պաշտպանության համակարգի ստանդարտ միջոցների, այնպես էլ հսկողության և տեխնոլոգիական մոնիտորինգի հատուկ միջոցների օգնությամբ:

8.5. Անձնական տվյալների տեղեկատվական անվտանգության ապահովման առանձնահատկությունները

Անձնական տվյալների դասակարգումն իրականացվում է `հաշվի առնելով անձնական տվյալների առարկայի համար անձնական տվյալների անվտանգության հատկությունների կորստի հետևանքների ծանրությունը:

  • Անձնական տվյալների մասին «Անձնական տվյալների հատուկ կատեգորիաներին.
  • դաշնային օրենքին համապատասխան դասակարգված անձնական տվյալներ » Անձնական տվյալների մասին «Կենսաչափական անձնական տվյալներին.
  • անձնական տվյալներ, որոնք չեն կարող վերագրվել անձնական տվյալների հատուկ կատեգորիաների, կենսաչափական տվյալների, հանրությանը հասանելի կամ անանուն անձնական տվյալների.
  • դաշնային օրենքին համապատասխան դասակարգված անձնական տվյալներ » Անձնական տվյալների մասին «Հանրային հասանելի կամ անանուն անձնական տվյալների համար:

Անձնական տվյալների փոխանցումը երրորդ կողմին պետք է իրականացվի Դաշնային օրենքի կամ անձնական տվյալների սուբյեկտի համաձայնության հիման վրա: Այն դեպքում, երբ կազմակերպությունը համաձայնության հիման վրա վստահում է երրորդ անձանց անձնական տվյալների մշակումը, նման պայմանագրի էական պայմանը երրորդ կողմի պարտավորությունն է `ապահովել անձնական տվյալների գաղտնիությունն ու անձնական տվյալների անվտանգությունը դրանց մշակման ընթացքում։

Կազմակերպությունը պետք է դադարեցնի անձնական տվյալների մշակումը և ոչնչացնի հավաքագրված անձնական տվյալները, եթե այլ բան նախատեսված չէ Ռուսաստանի Դաշնության օրենսդրությամբ, Ռուսաստանի Դաշնության օրենսդրությամբ սահմանված ժամկետներում հետևյալ դեպքերում.

  • վերամշակման նպատակներին հասնելուց կամ դրանց հասնելու անհրաժեշտության բացակայության դեպքում.
  • Անձնական տվյալների սուբյեկտի կամ Անձնական տվյալների սուբյեկտների իրավունքների պաշտպանության լիազոր մարմնի խնդրանքով.
  • երբ անձնական տվյալների սուբյեկտը չեղյալ է հայտարարում իր համաձայնությունը իր անձնական տվյալների մշակմանը, եթե այդպիսի համաձայնությունը պահանջվում է Ռուսաստանի Դաշնության օրենսդրությանը համապատասխան.
  • եթե օպերատորի համար անհնար է վերացնել անձնական տվյալների մշակման ընթացքում թույլ տրված խախտումները:

Կազմակերպությունը պետք է սահմանի և փաստաթղթավորի.

  • անձնական տվյալների ոչնչացման կարգը ( ներառյալ անձնական տվյալների նյութական կրողները);
  • անձնական տվյալների սուբյեկտներից հարցումների մշակման կարգը ( կամ նրանց օրինական ներկայացուցիչները) նրանց անձնական տվյալների մշակման վերաբերյալ.
  • Անձնական տվյալների սուբյեկտների իրավունքների պաշտպանության լիազոր մարմնի կամ անձնական տվյալների ոլորտում վերահսկողություն և վերահսկողություն իրականացնող վերահսկիչ այլ մարմինների դիմումների դեպքում գործողությունների կարգը.
  • Խոսողին որպես դասակարգելու մոտեցում տեղեկատվական համակարգերանձնական տվյալներ ( Հետագա - ISPDN );
  • ISPD ցուցակ. ISPD- ի ցանկը պետք է ներառի AS, որի ստեղծման և օգտագործման նպատակը անձնական տվյալների մշակումն է:

Յուրաքանչյուր PDIS- ի համար նույնականացվում և փաստաթղթավորվում են հետևյալները.

  • անձնական տվյալների մշակման նպատակը.
  • մշակված անձնական տվյալների ծավալը և բովանդակությունը.
  • անձնական տվյալների հետ գործողությունների ցանկը և դրանց մշակման մեթոդները:

Անձնական տվյալների ծավալը և բովանդակությունը, ինչպես նաև անձնական տվյալների մշակման գործողությունների և մեթոդների ցանկը պետք է համապատասխանի մշակման նպատակներին: Այն դեպքում, երբ տեղեկատվական տեխնոլոգիական գործընթացի իրականացման համար, որի իրականացմանն աջակցում է ISPD-ն, որոշակի անձնական տվյալներ մշակելու կարիք չկա, այդ անձնական տվյալները պետք է ջնջվեն:

ISPDN- ում անձնական տվյալների անվտանգության ապահովման պահանջները հիմնականում իրականացվում են տեղեկատվության պաշտպանության կազմակերպչական, տեխնոլոգիական, տեխնիկական և ծրագրային միջոցառումների, միջոցների և մեխանիզմների համալիրի միջոցով:

Իրականացման կազմակերպում և ( կամԱնձնական տվյալների անվտանգության ապահովման պահանջների իրականացումը պետք է իրականացվի կառուցվածքային ստորաբաժանման կամ կազմակերպության պաշտոնատար անձի (աշխատողի) կողմից, որը պատասխանատու է անձնական տվյալների անվտանգության ապահովման համար, կամ պայմանագրային հիմունքներով `կազմակերպության` գործընկերոջ կողմից: գաղտնի տեղեկատվության տեխնիկական պաշտպանություն տրամադրելու լիցենզավորված կազմակերպության կողմից:

Կազմակերպության ISPD-ի ստեղծումը պետք է ներառի մշակումը և հաստատումը ( հայտարարություն) ստեղծվող համակարգի համար նախատեսված կազմակերպչական, վարչական, նախագծային և գործառնական փաստաթղթերը. Փաստաթղթերը պետք է արտացոլեն մշակված անձնական տվյալների անվտանգության ապահովման հարցերը:

Հայեցակարգերի, տեխնիկական բնութագրերի, նախագծման, ստեղծման և փորձարկման, ընդունման և շահագործման հանձնումը պետք է իրականացվի համաձայնությամբ և կառուցվածքային ստորաբաժանման կամ անձնական տվյալների անվտանգության ապահովման համար պատասխանատու պաշտոնատար անձի (աշխատողի) վերահսկողությամբ:

Կազմակերպության ISPD- ին պատկանող բոլոր տեղեկատվական ակտիվները պետք է պաշտպանված լինեն վնասակար կոդի հետևանքներից: Կազմակերպությունը պետք է որոշի և փաստաթղթավորի հակավիրուսային պաշտպանության միջոցով անձնական տվյալների անվտանգության ապահովման պահանջները և այդ պահանջների կատարման վերահսկման ընթացակարգը:

Կազմակերպությունը պետք է ունենա մուտքի վերահսկման համակարգ, որը թույլ է տալիս վերահսկել կապի նավահանգիստները, մուտքային/ելքային սարքերը, շարժական կրիչները և տվյալների պահպանման արտաքին սարքերը (ISPD):

Կազմակերպության գործող և սպասարկող ISPD ստորաբաժանումների ղեկավարները ապահովում են անձնական տվյալների անվտանգությունը ISPD- ում դրանց մշակման ընթացքում:

ISPDN- ում անձնական տվյալներ մշակող աշխատակիցները պետք է գործեն հրահանգների համաձայն ( ուղեցույց, կանոնակարգեր և այլն:), որը հանդիսանում է ISPD-ի գործառնական փաստաթղթերի մի մասը և համապատասխանում է IS տեխնիկական փաստաթղթերի պահանջներին:

Պաշտպանական միջոցների և պաշտպանության մեխանիզմների կառավարման պատասխանատվությունը, որոնք կիրառում են կազմակերպության ISPD ապահովման պահանջները, հանձնարարվում են հրամաններով ( պատվերներ) տեղեկատվական տեխնոլոգիաների վարչության մասնագետների մասին.

Տեղեկատվական տեխնոլոգիաների վարչության մասնագետների և անձնական տվյալների մշակման մեջ ներգրավված անձնակազմի ընթացակարգը պետք է որոշվի հրահանգներով ( ուղեցույցներ), որոնք պատրաստվել են ISPD մշակողի կողմից `որպես ISPD- ի գործառնական փաստաթղթերի մաս:

Նշված ցուցումները ( ուղեցույցներ):

  • սահմանել պահանջներ տեղեկատվական անվտանգության ոլորտում անձնակազմի որակավորումների, ինչպես նաև պահպանվող օբյեկտների արդի ցուցակի և դրա թարմացման կանոնների վերաբերյալ.
  • պարունակում է լիովին համապատասխան ( ըստ ժամանակի) օգտատերերի իրավունքների մասին տվյալներ.
  • պարունակում է տվյալներ տեղեկատվության մշակման տեխնոլոգիայի վերաբերյալ տեղեկատվական անվտանգության մասնագետի համար անհրաժեշտ չափով.
  • սահմանել իրադարձությունների տեղեկամատյանների վերլուծության կարգը և հաճախականությունը ( տեղեկամատյանների արխիվները);
  • կարգավորել այլ գործողություններ:

Տեղեկատվական տեխնոլոգիաների վարչության մասնագետների պատասխանատվության տիրույթում օգտագործվող տեղեկատվության կեղծիքներից պաշտպանության միջոցների և մեխանիզմների կազմաձևման պարամետրերը որոշվում են ISPD- ի գործառնական փաստաթղթերում: Տեղադրված կազմաձևման պարամետրերի ստուգման կարգը և հաճախականությունը սահմանվում են գործառնական փաստաթղթերում կամ կարգավորվում են ներքին փաստաթղթով, մինչդեռ ստուգումները պետք է իրականացվեն առնվազն տարին մեկ անգամ:

Կազմակերպությունը պետք է որոշի և փաստաթղթավորի այն տարածքների մուտքի կարգը, որտեղ գտնվում են ISPDN- ի տեխնիկական միջոցները և պահվում են անձնական տվյալների կրիչներ, ինչը նախատեսում է չարտոնված անձանց տարածք մուտք գործելու վերահսկողություն և չարտոնված մուտքի խոչընդոտների առկայություն: տարածքը. Նշված ընթացակարգը պետք է մշակվի կառուցվածքային ստորաբաժանման կամ պաշտոնատար անձի կողմից ( աշխատող), որը պատասխանատու է ֆիզիկական անվտանգության ռեժիմի ապահովման համար և համաձայնեցված է կառուցվածքային ստորաբաժանման կամ պաշտոնատար անձի կողմից ( աշխատող), որը պատասխանատու է անձնական տվյալների անվտանգության ապահովման համար, և Տնտեսական անվտանգության վարչությունը:

ISPD-ի օգտատերերը և սպասարկող անձնակազմը չպետք է իրականացնեն չարտոնված և ( կամ) չգրանցված ( անվերահսկելի) անձնական տվյալների պատճենումը: Այդ նպատակով կազմակերպչական և տեխնիկական միջոցները պետք է արգելեն չարտոնված և ( կամ) չգրանցված ( անվերահսկելիանձնական տվյալների պատճենումը, ներառյալ օտարված ( փոխարինելի) պահեստային միջոցներ, տեղեկատվության պատճենման և փոխանցման շարժական սարքեր, կապի նավահանգիստներ և մուտքային / ելքային սարքեր, որոնք իրականացնում են տարբեր միջերեսներ ( ներառյալ անլար), շարժական սարքերի պահեստավորման սարքեր ( օրինակ՝ դյուրակիր համակարգիչներ, PDA-ներ, սմարթֆոններ, բջջային հեռախոսներ), ինչպես նաև ֆոտո և վիդեո սարքեր։

Անձնական անվտանգության վերահսկողությունն իրականացնում է տեղեկատվական անվտանգության մասնագետը `ինչպես տեղեկատվական պաշտպանության համակարգի ստանդարտ միջոցների, այնպես էլ հատուկ հսկողության և տեխնոլոգիական մոնիտորինգի գործիքների օգնությամբ:

Ներբեռնեք ZIP ֆայլը (65475)

Փաստաթղթերը հարմար եղան՝ դրեք «like» կամ.

ՀԱՅԿԱԿԱՆ ՀՈԴՎԱՆԵՐ