Ketersediaan keamanan informasi. Keamanan data: memastikan keamanan informasi

Pendiri sibernetika, Norbert Wiener, percaya bahwa informasi memiliki karakteristik unik dan tidak dapat dikaitkan dengan energi atau materi. Status khusus informasi sebagai fenomena telah melahirkan banyak definisi.

Dalam kamus standar "Teknologi informasi" ISO / IEC 2382:2015, interpretasi berikut diberikan:

Informasi (dalam bidang pengolahan informasi)- setiap data yang disajikan dalam bentuk elektronik, tertulis di atas kertas, dinyatakan dalam rapat atau dalam media lain, yang digunakan oleh lembaga keuangan untuk membuat keputusan, memindahkan dana, menetapkan kurs, memberikan pinjaman, memproses transaksi, dll., termasuk komponen perangkat lunak sistem pengolahan.

Untuk mengembangkan konsep keamanan informasi (IS), informasi dipahami sebagai informasi yang tersedia untuk pengumpulan, penyimpanan, pemrosesan (pengeditan, transformasi), penggunaan dan transmisi dalam berbagai cara, termasuk dalam jaringan komputer dan sistem informasi lainnya.

Informasi tersebut bernilai tinggi dan dapat menjadi objek perambahan pihak ketiga. Keinginan untuk melindungi informasi dari ancaman mendasari terciptanya sistem keamanan informasi.

Dasar Hukum

Pada Desember 2017, Rusia mengadopsi Doktrin Keamanan Informasi. Dalam dokumen tersebut, IB didefinisikan sebagai keadaan perlindungan kepentingan nasional di bidang informasi... Dalam hal ini, kepentingan nasional dipahami sebagai totalitas kepentingan masyarakat, individu dan negara, setiap kelompok kepentingan diperlukan untuk berfungsinya masyarakat secara stabil.

Doktrin adalah kertas konsep. Hubungan hukum yang terkait dengan memastikan keamanan informasi diatur oleh undang-undang federal "Tentang rahasia negara", "Tentang informasi", "Tentang perlindungan data pribadi" dan lainnya. Atas dasar tindakan normatif mendasar, keputusan pemerintah dan tindakan normatif departemen dikembangkan pada isu-isu pribadi perlindungan informasi.

Definisi keamanan informasi

Sebelum mengembangkan strategi keamanan informasi, perlu untuk mengadopsi definisi dasar dari konsep itu sendiri, yang akan memungkinkan penggunaan serangkaian metode dan metode perlindungan tertentu.

Praktisi industri menyarankan bahwa keamanan informasi dipahami sebagai keadaan keamanan informasi yang stabil, pembawa dan infrastrukturnya, yang memastikan integritas dan stabilitas proses terkait informasi terhadap dampak yang disengaja atau tidak disengaja dari alam dan buatan. Dampak diklasifikasikan sebagai ancaman IS yang dapat merugikan subyek hubungan informasi.

Dengan demikian, perlindungan informasi akan berarti serangkaian tindakan hukum, administratif, organisasi, dan teknis yang ditujukan untuk mencegah ancaman keamanan informasi yang nyata atau yang dirasakan, serta menghilangkan konsekuensi insiden. Kesinambungan proses perlindungan informasi harus menjamin perang melawan ancaman di semua tahap siklus informasi: dalam proses pengumpulan, penyimpanan, pemrosesan, penggunaan, dan pengiriman informasi.

Informasi keamanan dalam pengertian ini, menjadi salah satu karakteristik kinerja sistem. Pada setiap saat, sistem harus memiliki tingkat keamanan yang terukur, dan memastikan keamanan sistem harus merupakan proses berkelanjutan yang dilakukan pada semua interval waktu selama umur sistem.

Infografis menggunakan data dari kami sendiriCariInformasi.

Dalam teori keamanan informasi, subjek keamanan informasi dipahami sebagai pemilik dan pengguna informasi, dan tidak hanya pengguna secara berkelanjutan (karyawan), tetapi juga pengguna yang mengakses database dalam kasus yang terisolasi, misalnya, instansi pemerintah yang meminta informasi. Dalam sejumlah kasus, misalnya, dalam standar keamanan informasi perbankan, pemegang saham diberi peringkat sebagai pemilik informasi - badan hukum yang menjadi milik data tertentu.

Infrastruktur pendukung dari sudut pandang fundamental keamanan informasi meliputi komputer, jaringan, peralatan telekomunikasi, bangunan, sistem pendukung kehidupan, dan personel. Saat menganalisis keamanan, perlu untuk mempelajari semua elemen sistem, memberikan perhatian khusus pada personel sebagai pembawa sebagian besar ancaman internal.

Untuk manajemen keamanan informasi dan penilaian kerusakan, digunakan karakteristik akseptabilitas, sehingga kerusakan ditentukan sebagai dapat diterima atau tidak dapat diterima. Adalah berguna bagi setiap perusahaan untuk menetapkan kriterianya sendiri untuk dapat diterimanya kerugian dalam bentuk uang atau, misalnya, dalam bentuk kerusakan reputasi yang dapat diterima. Di lembaga-lembaga publik, karakteristik lain dapat diadopsi, misalnya, pengaruhnya terhadap proses pengelolaan atau cerminan tingkat kerusakan kehidupan dan kesehatan warga negara. Kriteria materialitas, kepentingan dan nilai informasi dapat berubah selama lingkaran kehidupan array informasi, oleh karena itu, harus direvisi pada waktu yang tepat.

Ancaman informasi dalam arti sempit adalah peluang objektif untuk mempengaruhi objek perlindungan, yang dapat menyebabkan kebocoran, pencurian, pengungkapan, atau penyebaran informasi. Dalam arti yang lebih luas, ancaman keamanan informasi akan mencakup dampak informasional yang diarahkan, yang tujuannya adalah untuk merugikan negara, organisasi, dan individu. Ancaman tersebut mencakup, misalnya, pencemaran nama baik, pernyataan keliru yang disengaja, dan iklan yang tidak pantas.

Tiga pertanyaan utama konsep keamanan informasi untuk setiap organisasi

Apa yang harus dilindungi?

Jenis ancaman apa yang berlaku: eksternal atau internal?

Bagaimana melindungi, dengan metode dan sarana apa?

sistem IS

Sistem keamanan informasi untuk perusahaan – badan hukum mencakup tiga kelompok konsep dasar: integritas, ketersediaan, dan kerahasiaan. Di bawah masing-masing adalah konsep dengan banyak karakteristik.

Di bawah integritas berarti ketahanan database, susunan informasi lainnya terhadap penghancuran yang tidak disengaja atau disengaja, perubahan yang tidak sah. Integritas dapat dilihat sebagai:

statis, dinyatakan dalam kekekalan, keaslian objek informasi ke objek yang dibuat sesuai dengan tugas teknis tertentu dan berisi jumlah informasi yang diperlukan oleh pengguna untuk aktivitas utama mereka, dalam konfigurasi dan urutan yang diperlukan;
dinamis, menyiratkan pelaksanaan yang benar dari tindakan atau transaksi kompleks, tanpa merusak keamanan informasi.

Untuk mengontrol integritas dinamis, cara teknis khusus digunakan yang menganalisis aliran informasi, misalnya, keuangan, dan mengidentifikasi kasus pencurian, duplikasi, pengalihan, dan pemesanan ulang pesan. Integritas sebagai karakteristik utama diperlukan ketika keputusan dibuat berdasarkan informasi yang masuk atau tersedia untuk mengambil tindakan. Pelanggaran urutan perintah atau urutan tindakan dapat menyebabkan kerusakan besar dalam hal menggambarkan proses teknologi, kode program, dan dalam situasi serupa lainnya.

Ketersediaan adalah properti yang memungkinkan subjek yang berwenang untuk mengakses atau bertukar data yang menarik bagi mereka. Persyaratan utama legitimasi atau otorisasi subjek memungkinkan untuk membuat level yang berbeda mengakses. Penolakan sistem untuk memberikan informasi menjadi masalah bagi setiap organisasi atau kelompok pengguna. Contohnya adalah tidak dapat diaksesnya situs layanan publik jika terjadi kegagalan sistem, yang membuat banyak pengguna kehilangan kesempatan untuk menerima layanan atau informasi yang diperlukan.

Kerahasiaan berarti properti informasi yang akan tersedia bagi pengguna tersebut: subjek dan proses yang awalnya diizinkan untuk diakses. Sebagian besar perusahaan dan organisasi menganggap kerahasiaan sebagai elemen kunci dari keamanan informasi, tetapi dalam praktiknya sulit untuk menerapkannya sepenuhnya. Tidak semua data pada saluran kebocoran informasi yang ada tersedia untuk penulis konsep keamanan informasi, dan banyak cara perlindungan teknis, termasuk yang kriptografis, tidak dapat dibeli secara bebas, dalam beberapa kasus perputarannya terbatas.

Sifat yang sama dari keamanan informasi memiliki nilai yang berbeda bagi pengguna, oleh karena itu dua kategori ekstrem dalam pengembangan konsep perlindungan data. Bagi perusahaan atau organisasi yang terkait dengan rahasia negara, kerahasiaan akan menjadi parameter kunci, untuk layanan publik atau institusi pendidikan parameter terpenting adalah aksesibilitas.

Intisari Keamanan Informasi

Objek yang dilindungi dalam konsep keamanan informasi

Perbedaan subjek menimbulkan perbedaan objek perlindungan. Kelompok utama objek yang dilindungi:

sumber daya informasi dari semua jenis (sumber daya berarti objek material: HDD, media lain, dokumen dengan data dan detail yang membantu mengidentifikasi dan merujuknya kelompok tertentu mata pelajaran);
hak warga negara, organisasi, dan negara untuk mengakses informasi, kemampuan untuk memperolehnya dalam kerangka hukum; akses hanya dapat dibatasi oleh tindakan hukum yang mengatur, pengorganisasian segala hambatan yang melanggar hak asasi manusia tidak dapat diterima;
sistem untuk membuat, menggunakan dan mendistribusikan data (sistem dan teknologi, arsip, perpustakaan, dokumen peraturan);
sistem untuk pembentukan kesadaran publik (media, sumber daya Internet, lembaga sosial, lembaga pendidikan).

Setiap objek memiliki sistem tindakan khusus untuk melindungi dari ancaman terhadap keamanan informasi dan ketertiban umum. Memastikan keamanan informasi dalam setiap kasus harus didasarkan pada pendekatan sistematis yang mempertimbangkan kekhususan fasilitas.

Kategori dan media penyimpanan

Sistem hukum Rusia, praktik penegakan hukum, dan hubungan sosial yang mapan mengklasifikasikan informasi sesuai dengan kriteria aksesibilitas. Ini memungkinkan Anda untuk mengklarifikasi parameter penting yang diperlukan untuk memastikan keamanan informasi:

informasi, yang aksesnya dibatasi berdasarkan persyaratan hukum (rahasia negara, rahasia komersial, data pribadi);
informasi dalam akses terbuka;
informasi yang tersedia untuk umum yang disediakan dalam kondisi tertentu: informasi atau data berbayar yang perlu dikeluarkan izin masuknya, misalnya, kartu perpustakaan;
berbahaya, berbahaya, palsu dan jenis informasi lainnya, yang peredaran dan distribusinya dibatasi baik oleh persyaratan undang-undang atau standar perusahaan.

Informasi dari kelompok pertama memiliki dua mode perlindungan. rahasia negara, menurut undang-undang, ini adalah informasi yang dilindungi oleh negara, yang penyebarannya secara bebas dapat membahayakan keamanan negara. Ini adalah data di bidang militer, kebijakan luar negeri, intelijen, kontra intelijen dan kegiatan ekonomi negara. Pemilik grup data ini adalah negara bagian itu sendiri. Badan-badan yang berwenang untuk mengambil tindakan untuk melindungi rahasia negara adalah Kementerian Pertahanan, Layanan Keamanan Federal (FSB), Layanan Intelijen Asing, dan Layanan Federal untuk Kontrol Teknis dan Ekspor (FSTEC).

Informasi rahasia- objek regulasi yang lebih beragam. Daftar informasi yang dapat merupakan informasi rahasia tertuang dalam Keputusan Presiden Nomor 188 "Tentang Persetujuan Daftar Informasi Rahasia". Ini adalah data pribadi; kerahasiaan penyelidikan dan proses hukum; rahasia resmi; rahasia profesional (medis, notaris, pengacara); rahasia dagang; informasi tentang penemuan dan model utilitas; informasi yang terdapat dalam arsip pribadi terpidana, serta informasi tentang pelaksanaan wajib tindakan peradilan.

Data pribadi ada dalam mode terbuka dan rahasia. Bagian dari data pribadi yang terbuka dan dapat diakses oleh semua pengguna meliputi nama depan, nama belakang, patronimik. Menurut FZ-152 "Pada Data Pribadi", subjek data pribadi berhak untuk:

penentuan nasib sendiri informasional;
untuk mengakses data pribadi pribadi dan membuat perubahan pada mereka;
untuk memblokir data pribadi dan mengaksesnya;
untuk mengajukan banding atas tindakan ilegal pihak ketiga yang dilakukan terkait dengan data pribadi;
untuk mengganti kerusakan yang ditimbulkan.

Hak untuk ini diabadikan dalam peraturan tentang badan-badan negara bagian, undang-undang federal, lisensi untuk bekerja dengan data pribadi yang dikeluarkan oleh Roskomnadzor atau FSTEC. Perusahaan yang secara profesional bekerja dengan data pribadi dari banyak orang, misalnya, operator telekomunikasi, harus masuk ke daftar, yang dikelola oleh Roskomnadzor.

Objek terpisah dalam teori dan praktik keamanan informasi adalah pembawa informasi, yang aksesnya terbuka dan tertutup. Saat mengembangkan konsep keamanan informasi, metode perlindungan dipilih tergantung pada jenis media. Media penyimpanan utama:

media cetak dan elektronik, jaringan sosial, sumber daya lain di Internet;
karyawan organisasi yang memiliki akses ke informasi berdasarkan persahabatan, keluarga, ikatan profesional mereka;
sarana komunikasi yang mengirimkan atau menyimpan informasi: telepon, pertukaran telepon otomatis, peralatan telekomunikasi lainnya;
semua jenis dokumen: pribadi, resmi, pemerintah;
perangkat lunak sebagai objek informasi independen, terutama jika versinya telah dimodifikasi khusus untuk perusahaan tertentu;
media penyimpanan elektronik yang mengolah data secara otomatis.

Untuk tujuan pengembangan konsep keamanan informasi, sarana keamanan informasi biasanya dibagi menjadi normatif (informal) dan teknis (formal).

Sarana perlindungan informal adalah dokumen, aturan, peristiwa, sarana formal adalah sarana teknis khusus dan perangkat lunak. Penggambaran membantu mendistribusikan area tanggung jawab saat membuat sistem keamanan informasi: dengan manajemen umum perlindungan, personel administrasi menerapkan metode normatif, dan spesialis TI, masing-masing, yang teknis.

Dasar-dasar keamanan informasi menyiratkan penggambaran kekuasaan tidak hanya dalam hal penggunaan informasi, tetapi juga dalam hal bekerja dengan perlindungannya. Penggambaran kekuasaan ini juga memerlukan beberapa tingkat kendali.

Pengobatan formal

Berbagai cara teknis keamanan informasi meliputi:

Alat pelindung fisik. Ini adalah mekanisme mekanik, listrik, elektronik yang berfungsi secara independen dari sistem informasi dan menciptakan hambatan untuk mengaksesnya. Kunci, termasuk yang elektronik, layar, tirai dirancang untuk menciptakan hambatan untuk kontak faktor-faktor yang tidak stabil dengan sistem. Grup ini dilengkapi dengan sistem keamanan, misalnya, kamera video, perekam video, sensor yang mendeteksi pergerakan atau kelebihan tingkat radiasi elektromagnetik di area lokasi sarana teknis pengambilan informasi, perangkat yang disematkan.

Perlindungan perangkat keras. Ini adalah listrik, elektronik, optik, laser dan perangkat lain yang tertanam dalam sistem informasi dan telekomunikasi. Sebelum memasukkan perangkat keras ke dalam sistem informasi, perlu dipastikan kompatibilitasnya.

Perangkat lunak sederhana dan sistemik, program kompleks yang dirancang untuk memecahkan masalah spesifik dan kompleks yang terkait dengan keamanan informasi. Contoh solusi kompleks juga: yang pertama berfungsi untuk mencegah kebocoran, memformat ulang informasi dan mengarahkan arus informasi, yang terakhir memberikan perlindungan terhadap insiden di bidang keamanan informasi. Perangkat lunak menuntut kekuatan perangkat keras, dan cadangan tambahan harus disediakan selama instalasi.

dapat diuji secara gratis selama 30 hari. Sebelum menginstal sistem, teknisi SearchInform akan melakukan audit teknis di perusahaan pelanggan.

KE sarana tertentu keamanan informasi mencakup berbagai algoritma kriptografi yang mengenkripsi informasi pada disk dan diarahkan melalui saluran komunikasi eksternal. Transformasi informasi dapat terjadi dengan menggunakan metode perangkat lunak dan perangkat keras yang beroperasi dalam sistem informasi perusahaan.

Semua cara yang menjamin keamanan informasi harus digunakan dalam kombinasi, setelah penilaian awal nilai informasi dan membandingkannya dengan biaya sumber daya yang dihabiskan untuk keamanan. Oleh karena itu, proposal penggunaan dana harus sudah dirumuskan pada tahap pengembangan sistem, dan persetujuan harus dibuat pada tingkat manajemen yang bertanggung jawab untuk menyetujui anggaran.

Untuk memastikan keamanan, perlu untuk memantau semua perkembangan modern, sarana perlindungan perangkat lunak dan perangkat keras, ancaman, dan segera membuat perubahan pada sistem perlindungan kita sendiri terhadap akses yang tidak sah. Hanya kecukupan dan ketepatan respons terhadap ancaman yang akan membantu untuk mencapai level tinggi kerahasiaan dalam pekerjaan perusahaan.

Rilis pertama dirilis pada 2018. Program unik ini menciptakan potret psikologis karyawan dan menempatkan mereka pada kelompok risiko. Pendekatan untuk memastikan keamanan informasi ini memungkinkan Anda untuk mengantisipasi kemungkinan insiden dan mengambil tindakan sebelumnya.

Pengobatan tidak resmi

Remedi informal dikelompokkan menjadi normatif, administratif, dan moral-etika. Pada tingkat pertama perlindungan adalah sarana regulasi yang mengatur keamanan informasi sebagai proses dalam kegiatan organisasi.

Peraturan berarti

Dalam praktik dunia, ketika mengembangkan alat pengatur, mereka dipandu oleh standar perlindungan IS, yang utama adalah ISO / IEC 27000. Standar ini dibuat oleh dua organisasi:

ISO - Komisi Internasional untuk Standardisasi, yang mengembangkan dan menyetujui sebagian besar metodologi yang diakui secara internasional untuk sertifikasi kualitas proses produksi dan manajemen;
IEC - Komisi Energi Internasional, yang memperkenalkan standar pemahamannya tentang sistem keamanan informasi, sarana dan metode untuk memastikannya

Versi ISO / IEC 27000-2016 saat ini menawarkan standar siap pakai dan metode terbukti yang diperlukan untuk penerapan keamanan informasi. Menurut penulis metode tersebut, dasar dari keamanan informasi terletak pada konsistensi dan implementasi yang konsisten dari semua tahap mulai dari pengembangan hingga pasca pengendalian.

Untuk mendapatkan sertifikat yang menegaskan kepatuhan terhadap standar keamanan informasi, perlu untuk menerapkan semua teknik yang direkomendasikan secara penuh. Jika tidak perlu mendapatkan sertifikat, salah satu dari yang lainnya versi awal standar, dimulai dengan ISO / IEC 27000-2002, atau GOST Rusia, yang bersifat rekomendasi.

Berdasarkan hasil kajian terhadap standar tersebut, sedang dikembangkan dua dokumen yang berkaitan dengan keamanan informasi. Yang utama, tetapi kurang formal, adalah konsep keamanan informasi suatu perusahaan, yang mendefinisikan langkah-langkah dan metode penerapan sistem keamanan informasi untuk sistem informasi suatu organisasi. Dokumen kedua yang harus dipatuhi oleh semua karyawan perusahaan adalah peraturan keamanan informasi yang disetujui di tingkat dewan direksi atau badan eksekutif.

Selain posisi di tingkat perusahaan, daftar informasi yang merupakan rahasia dagang, lampiran kontrak kerja, tanggung jawab mengamankan pengungkapan data rahasia, standar dan metode lain harus dikembangkan. Aturan dan regulasi internal harus memuat mekanisme pelaksanaan dan ukuran tanggung jawab. Paling sering, tindakan tersebut bersifat disipliner, dan pelanggar harus siap menghadapi kenyataan bahwa pelanggaran terhadap rezim rahasia dagang akan diikuti dengan sanksi yang signifikan, hingga dan termasuk pemecatan.

Langkah-langkah organisasi dan administratif

Dalam kerangka kegiatan administrasi untuk melindungi keamanan informasi bagi personel keamanan, ada ruang untuk kreativitas. Ini adalah solusi arsitektur dan perencanaan yang membantu melindungi ruang rapat dan kantor manajemen dari penyadapan, dan penetapan berbagai tingkat akses ke informasi. Langkah-langkah organisasi yang penting adalah sertifikasi kegiatan perusahaan sesuai dengan standar ISO / IEC 27000, sertifikasi sistem perangkat keras dan perangkat lunak individu, sertifikasi subjek dan objek untuk kepatuhan dengan persyaratan keamanan yang diperlukan, memperoleh lisensi yang diperlukan untuk bekerja dengan array data yang dilindungi.

Dari sudut pandang pengaturan aktivitas personel, penting untuk merumuskan sistem permintaan akses ke Internet, email eksternal, dan sumber daya lainnya. Elemen terpisah adalah penerimaan tanda tangan digital elektronik untuk meningkatkan keamanan informasi keuangan dan lainnya yang dikirimkan ke lembaga pemerintah melalui email.

Tindakan moral dan etika

Ukuran moral dan etika menentukan sikap pribadi seseorang terhadap informasi rahasia atau informasi yang terbatas beredar. Peningkatan tingkat pengetahuan karyawan mengenai dampak ancaman terhadap aktivitas perusahaan mempengaruhi tingkat kesadaran dan tanggung jawab karyawan. Untuk memerangi pelanggaran rezim informasi, termasuk, misalnya, transfer kata sandi, penanganan media yang ceroboh, penyebaran data rahasia dalam percakapan pribadi, perlu untuk fokus pada kesadaran pribadi karyawan. Akan berguna untuk menetapkan indikator efektivitas personel, yang akan tergantung pada sikap terhadap sistem perusahaan IB.

Kebijakan Keamanan Informasi.

1. Ketentuan Umum

Kebijakan ini informasi keamanan ( Lebih jauh - Politik ) mendefinisikan sistem pandangan tentang masalah memastikan keamanan informasi dan merupakan pernyataan sistematis tujuan dan sasaran, serta aspek organisasi, teknologi dan prosedural untuk memastikan keamanan informasi objek infrastruktur informasi, termasuk satu set informasi pusat, bank data dan sistem komunikasi organisasi. Kebijakan ini telah dikembangkan dengan mempertimbangkan persyaratan undang-undang Federasi Rusia saat ini dan prospek jangka pendek untuk pengembangan fasilitas infrastruktur informasi, serta karakteristik dan kemampuan metode organisasi dan teknis modern dan perangkat keras dan perangkat lunak untuk perlindungan informasi.

Ketentuan utama dan persyaratan Kebijakan berlaku untuk semua divisi struktural organisasi.

Kebijakan tersebut merupakan landasan metodologis untuk pembentukan dan pelaksanaan kebijakan terpadu di bidang memastikan keamanan informasi objek infrastruktur informasi, membuat keputusan manajemen yang terkoordinasi dan mengembangkan langkah-langkah praktis yang bertujuan untuk memastikan keamanan informasi, mengkoordinasikan kegiatan divisi struktural organisasi. organisasi ketika melakukan pekerjaan pada pembuatan, pengembangan, dan pengoperasian objek informasi infrastruktur sesuai dengan persyaratan keamanan informasi.

Kebijakan tersebut tidak mengatur masalah pengorganisasian perlindungan tempat dan memastikan keselamatan dan integritas fisik dari komponen infrastruktur informasi, perlindungan terhadap bencana alam, dan kegagalan dalam sistem catu daya, namun menyiratkan membangun sistem keamanan informasi. pada landasan konseptual yang sama dengan sistem keamanan organisasi secara keseluruhan.

Implementasi kebijakan dipastikan dengan pedoman, peraturan, prosedur, instruksi, pedoman dan sistem yang tepat untuk menilai keamanan informasi dalam organisasi.

Polis ini menggunakan istilah dan definisi sebagai berikut:

Sistem otomatis ( SEBAGAI) — sistem yang terdiri dari personel dan sarana kompleks untuk mengotomatisasi kegiatan mereka, yang menerapkan teknologi informasi untuk melakukan fungsi yang ditetapkan.

Infrastruktur informasi- sistem struktur organisasi yang memastikan berfungsinya dan berkembangnya ruang informasi dan alat komunikasi. Infrastruktur informasi mencakup satu set pusat informasi, bank data dan pengetahuan, sistem komunikasi, dan menyediakan konsumen dengan akses ke sumber daya informasi.

Sumber informasi ( IR) - ini adalah dokumen terpisah dan susunan dokumen, dokumen, dan susunan dokumen terpisah dalam sistem informasi ( perpustakaan, arsip, dana, database dan sistem informasi lainnya).

Sistem Informasi (AKU P) - sistem pemrosesan informasi dan sumber daya organisasi terkait ( manusia, teknis, keuangan, dll.) yang menyediakan dan menyebarkan informasi.

Keamanan - keadaan perlindungan kepentingan ( sasaran) organisasi dalam menghadapi ancaman.

Informasi keamanan ( IB) — keamanan terkait dengan ancaman di bidang informasi. Keamanan dicapai dengan memastikan satu set properti IS - ketersediaan, integritas, kerahasiaan aset informasi. Prioritas properti IS ditentukan oleh nilai aset tersebut untuk kepentingan ( sasaran) organisasi.

Ketersediaan aset informasi - properti SI organisasi, yang terdiri dari fakta bahwa aset informasi diberikan kepada pengguna yang berwenang, dan dalam bentuk dan tempat yang dibutuhkan oleh pengguna, dan pada saat dia membutuhkannya.

Integritas aset informasi - properti keamanan informasi organisasi untuk mempertahankan perubahan yang tidak berubah atau mengoreksi perubahan yang terdeteksi dalam aset informasinya.

Kerahasiaan aset informasi - properti dari keamanan informasi organisasi, yang terdiri dari fakta bahwa pemrosesan, penyimpanan, dan transfer aset informasi dilakukan sedemikian rupa sehingga aset informasi hanya tersedia untuk pengguna, objek sistem, atau proses yang berwenang.

Sistem keamanan informasi ( UJUNG PENA) — seperangkat tindakan perlindungan, peralatan pelindung dan proses operasinya, termasuk sumber daya dan administrasi ( organisasi) persediaan.

Akses yang tidak sah- akses ke informasi yang melanggar wewenang resmi seorang karyawan, akses ke informasi yang ditutup untuk akses publik oleh orang yang tidak memiliki izin untuk mengakses informasi ini atau mendapatkan akses ke informasi oleh orang yang memiliki hak untuk mengakses informasi ini dalam jumlah yang melebihi jumlah yang diperlukan untuk memenuhi tugas resmi.

2. Persyaratan umum untuk keamanan informasi

Persyaratan keamanan informasi ( Lebih jauh -IB ) menentukan isi dan tujuan dari aktivitas organisasi dalam proses manajemen SI.

Persyaratan ini dirumuskan untuk bidang-bidang berikut:

penugasan dan distribusi peran dan kepercayaan pada personel;
tahapan siklus hidup objek infrastruktur informasi;
perlindungan terhadap akses yang tidak sah ( Lebih jauh - NSD ), kontrol akses dan pendaftaran di sistem otomatis, dalam peralatan telekomunikasi dan pertukaran telepon otomatis, dll.;
perlindungan anti-virus;
penggunaan sumber daya Internet;
penggunaan sarana perlindungan informasi kriptografi;
perlindungan data pribadi.

3. Objek yang akan dilindungi

Objek utama yang harus dilindungi adalah:

sumber informasi disajikan dalam bentuk dokumen dan susunan informasi, terlepas dari bentuk dan jenis penyajiannya, termasuk informasi rahasia dan terbuka;
sistem untuk pembentukan, distribusi, dan penggunaan sumber daya informasi, perpustakaan, arsip, database dan bank data, teknologi informasi, peraturan dan prosedur untuk pengumpulan, pemrosesan, penyimpanan dan transmisi informasi, personel teknis dan layanan;
infrastruktur informasi, termasuk sistem untuk memproses dan menganalisis informasi, perangkat keras dan perangkat lunak untuk pemrosesan, transmisi dan tampilannya, termasuk pertukaran informasi dan saluran telekomunikasi, sistem dan sistem keamanan informasi, fasilitas dan tempat di mana komponen infrastruktur informasi berada.

3.1. Fitur Sistem Otomatis

Informasi dari berbagai kategori beredar di AU. Informasi yang dilindungi dapat dibagikan oleh pengguna yang berbeda dari subnet yang berbeda dari satu jaringan perusahaan.

Sejumlah subsistem AS menyediakan interaksi dengan eksternal ( negara dan komersial, Rusia dan asing) organisasi pada saluran komunikasi yang diaktifkan dan didedikasikan menggunakan sarana transmisi informasi khusus.

Kompleks sarana teknis AU mencakup sarana pemrosesan data ( workstation, server database, server surat dll.), sarana pertukaran data dalam jaringan area lokal dengan kemampuan untuk mengakses jaringan global ( kabel, jembatan, gateway, modem, dll.), serta fasilitas penyimpanan ( termasuk pengarsipan) data.

Fitur utama dari fungsi AU meliputi:

kebutuhan untuk berintegrasi ke dalam satu sistem jumlah yang besar berbagai sarana teknis pemrosesan dan transmisi informasi;
berbagai macam tugas yang harus diselesaikan dan jenis data yang diproses;
menggabungkan informasi untuk berbagai tujuan, kepemilikan dan tingkat kerahasiaan dalam database umum;
ketersediaan saluran koneksi ke jaringan eksternal;
kelangsungan fungsi;
kehadiran subsistem dengan persyaratan berbeda dalam hal tingkat keamanan, secara fisik disatukan menjadi satu jaringan;
berbagai kategori pengguna dan personel layanan.

Secara umum, satu AS adalah satu set jaringan area lokal dari subdivisi, yang saling berhubungan melalui telekomunikasi. Setiap jaringan area lokal menyatukan sejumlah subsistem otomatis yang saling berhubungan dan berinteraksi ( situs teknologi), memastikan solusi masalah oleh divisi struktural individu organisasi.

Obyek informatisasi meliputi:

peralatan teknologi ( fasilitas komputer, peralatan jaringan dan kabel);
sumber informasi;
perangkat lunak ( sistem operasi, sistem manajemen basis data, sistem umum dan perangkat lunak aplikasi);
komunikasi otomatis dan sistem transmisi data (telekomunikasi);
saluran koneksi;
ruang kantor.

3.2. Jenis aset informasi organisasi yang akan dilindungi

Informasi dari berbagai tingkat kerahasiaan beredar di subsistem AS organisasi, berisi informasi distribusi terbatas ( layanan, komersial, data pribadi) dan membuka informasi.

Alur dokumen AU berisi:

perintah pembayaran dan dokumen keuangan;
laporan ( keuangan, analitis, dll.);
informasi tentang akun pribadi;
data pribadi;
informasi lain yang distribusinya terbatas.

Semua informasi yang beredar di AU dan terkandung dalam jenis aset informasi berikut ini harus dilindungi:

informasi yang merupakan rahasia komersial dan resmi, yang aksesnya dibatasi oleh organisasi, sebagai pemilik informasi, sesuai dengan Undang-Undang Federal " Tentang informasi, informasi dan perlindungan informasi "Hak dan Hukum Federal" Tentang rahasia dagang »;
data pribadi, akses yang dibatasi sesuai dengan Hukum Federal " Tentang data pribadi »;
keterbukaan informasi, dalam rangka menjamin integritas dan ketersediaan informasi.

3.3. Kategori pengguna Sistem Otomatis

Organisasi memiliki sejumlah besar kategori pengguna dan personel layanan, yang harus memiliki kekuatan berbeda untuk mengakses sumber daya informasi AU:

pengguna biasa ( pengguna akhir, karyawan unit organisasi);
administrator server ( server file, server aplikasi, server database), jaringan area lokal dan sistem aplikasi;
pemrogram sistem ( bertanggung jawab untuk memelihara perangkat lunak umum) di server dan workstation pengguna;
pengembang perangkat lunak aplikasi;
spesialis dalam pemeliharaan sarana teknis teknologi komputer;
administrator keamanan informasi, dll.

3.4. Kerentanan komponen utama Sistem Otomatis

Komponen AU yang paling rentan adalah stasiun kerja jaringan - stasiun kerja otomatis ( Lebih jauh - AWP ) pekerja. Upaya akses tidak sah ke informasi atau upaya tindakan tidak sah ( tidak disengaja dan disengaja) v jaringan komputer... Pelanggaran konfigurasi perangkat keras dan perangkat lunak stasiun kerja dan gangguan yang melanggar hukum dalam proses fungsinya dapat menyebabkan pemblokiran informasi, ketidakmungkinan menyelesaikan tugas-tugas penting secara tepat waktu dan kegagalan masing-masing stasiun kerja dan subsistem.

Elemen jaringan seperti server file khusus, server database, dan server aplikasi memerlukan perlindungan khusus. Kerugian dari protokol pertukaran dan cara untuk membedakan akses ke sumber daya server dapat memungkinkan akses tidak sah ke informasi yang dilindungi dan mempengaruhi operasi berbagai subsistem. Dalam hal ini, upaya dapat dilakukan sebagai remote ( dari stasiun jaringan) dan langsung ( dari konsol server) berdampak pada pengoperasian server dan perlindungannya.

Jembatan, gateway, hub, router, sakelar, dan perangkat jaringan lainnya, tautan, dan komunikasi juga memerlukan perlindungan. Mereka dapat digunakan oleh penyusup untuk merestrukturisasi dan mengacaukan operasi jaringan, mencegat informasi yang dikirimkan, menganalisis lalu lintas, dan menerapkan metode lain untuk mengganggu proses pertukaran data.

4. Prinsip dasar keamanan informasi

4.1. Prinsip umum operasi yang aman

Ketepatan waktu deteksi masalah. Organisasi harus mengidentifikasi masalah secara tepat waktu yang dapat mempengaruhi tujuan bisnisnya.
Prediktabilitas perkembangan masalah. Organisasi harus mengidentifikasi penyebab kemungkinan masalah dan membangun atas dasar ini perkiraan yang akurat tentang perkembangan mereka.
Menilai dampak masalah pada tujuan bisnis. Organisasi harus menilai secara memadai dampak dari masalah yang diidentifikasi.
Kecukupan tindakan perlindungan. Organisasi harus memilih tindakan perlindungan yang memadai untuk model ancaman dan pelanggar, dengan mempertimbangkan biaya penerapan tindakan tersebut dan jumlah kemungkinan kerugian dari penerapan ancaman.
Efektivitas tindakan perlindungan. Organisasi harus secara efektif menerapkan tindakan perlindungan yang diambil.
Menggunakan pengalaman dalam membuat dan mengimplementasikan keputusan. Organisasi harus mengumpulkan, menggeneralisasi dan menggunakan pengalamannya sendiri dan pengalaman organisasi lain di semua tingkat pengambilan keputusan dan implementasinya.
Kesinambungan prinsip operasi yang aman. Organisasi harus memastikan kelangsungan penerapan prinsip-prinsip operasi yang aman.
Keterkendalian tindakan perlindungan. Organisasi harus menerapkan hanya pengamanan yang dapat diverifikasi untuk bekerja dengan benar, dan organisasi harus secara teratur menilai kecukupan pengamanan dan efektivitas penerapannya, dengan mempertimbangkan dampak pengamanan pada tujuan bisnis organisasi.

4.2. Prinsip khusus untuk memastikan keamanan informasi

Penerapan prinsip-prinsip khusus keamanan informasi ditujukan untuk meningkatkan tingkat kematangan proses manajemen keamanan informasi dalam suatu organisasi.
Definisi tujuan. Tujuan fungsional dan keamanan informasi organisasi harus didefinisikan secara eksplisit dalam dokumen internal. Ketidakpastian menyebabkan “ ketidakjelasan”Struktur organisasi, peran personel, kebijakan keamanan informasi, dan ketidakmungkinan menilai kecukupan tindakan perlindungan yang diambil.
Mengetahui pelanggan dan karyawan Anda. Organisasi harus memiliki informasi tentang pelanggannya, memilih personel dengan cermat ( pekerja), mengembangkan dan memelihara etika perusahaan, yang menciptakan lingkungan kepercayaan yang menguntungkan untuk kegiatan organisasi manajemen aset.
Personifikasi dan pembagian peran dan tanggung jawab yang memadai. Tanggung jawab pejabat organisasi untuk keputusan yang terkait dengan asetnya harus dipersonifikasikan dan dilakukan terutama dalam bentuk penjamin. Itu harus memadai untuk tingkat pengaruh pada tujuan organisasi, ditetapkan dalam kebijakan, dikendalikan dan ditingkatkan.
Kecukupan peran fungsi dan prosedur serta komparabilitasnya dengan kriteria dan sistem penilaian. Peran harus cukup mencerminkan fungsi yang dilakukan dan prosedur penerapannya yang diadopsi dalam organisasi. Saat menetapkan peran yang saling terkait, urutan implementasi yang diperlukan harus diperhitungkan. Peran tersebut harus konsisten dengan kriteria penilaian efektivitas pelaksanaannya. Isi utama dan kualitas peran yang dimainkan sebenarnya ditentukan oleh sistem penilaian yang diterapkan padanya.
Ketersediaan layanan dan layanan. Organisasi harus memastikan bagi pelanggan dan kontraktornya ketersediaan layanan dan layanan dalam kerangka waktu yang ditetapkan yang ditentukan oleh perjanjian yang relevan ( perjanjian) dan/atau dokumen lainnya.
Observabilitas dan evaluasi keamanan informasi. Setiap tindakan perlindungan yang diusulkan harus dirancang sedemikian rupa sehingga efek penerapannya terlihat jelas, dapat diamati ( transparan) dan dapat dinilai oleh divisi organisasi dengan otoritas yang sesuai.

5. Maksud dan tujuan keamanan informasi

5.1. Subjek hubungan informasi dalam sistem Otomatis

Subyek hubungan hukum saat menggunakan AU dan memastikan keamanan informasi adalah:

Organisasi sebagai pemilik sumber informasi;
subdivisi organisasi yang menyelenggarakan operasi PLTN;
pegawai divisi struktural organisasi, sebagai pengguna dan penyedia informasi di AU sesuai dengan fungsi yang diembannya;
badan hukum dan individu, informasi yang dikumpulkan, disimpan, dan diproses di AS;
badan hukum dan individu lain yang terlibat dalam pembuatan dan pengoperasian AU ( pengembang komponen sistem, organisasi yang terlibat dalam penyediaan berbagai layanan di lapangan teknologi Informasi dan sebagainya.).

Subyek hubungan informasi yang terdaftar tertarik untuk memastikan:

kerahasiaan informasi tertentu;
keandalan ( kelengkapan, akurasi, kecukupan, integritas) informasi;
perlindungan terhadap pengenaan palsu ( tidak dapat diandalkan, terdistorsi) informasi;
akses tepat waktu ke informasi yang diperlukan;
diferensiasi tanggung jawab atas pelanggaran hak hukum ( minat) subjek lain dari hubungan informasi dan aturan yang ditetapkan untuk menangani informasi;
kemungkinan pemantauan dan pengelolaan proses informasi dan transmisi yang berkelanjutan;
melindungi sebagian informasi dari replikasi ilegal ( perlindungan hak cipta, hak pemilik informasi, dll.).

5.2. Tujuan Keamanan Informasi

Tujuan utama memastikan keamanan informasi adalah untuk melindungi subjek hubungan informasi dari kemungkinan kerusakan materi, moral, atau kerusakan lain pada mereka melalui gangguan tidak sah yang tidak disengaja atau disengaja dalam proses berfungsinya AU atau akses tidak sah ke informasi yang beredar di dalamnya dan penggunaan ilegalnya.

Tujuan ini dicapai dengan memastikan dan memelihara secara konstan properti informasi berikut dan sistem otomatis untuk pemrosesannya:

ketersediaan informasi yang diproses untuk pengguna terdaftar;
kerahasiaan bagian tertentu dari informasi yang disimpan, diproses, dan dikirimkan melalui saluran komunikasi;
integritas dan keaslian informasi yang disimpan, diproses, dan ditransmisikan melalui saluran komunikasi.

5.3. Tujuan keamanan informasi

Untuk mencapai tujuan utama memastikan keamanan informasi, sistem keamanan informasi PLTN harus memberikan solusi yang efektif untuk tugas-tugas berikut:

perlindungan terhadap gangguan dalam proses berfungsinya AU oleh orang yang tidak berwenang;
diferensiasi akses pengguna terdaftar ke perangkat keras, perangkat lunak, dan sumber daya informasi AU, yaitu, perlindungan dari akses yang tidak sah;
pendaftaran tindakan pengguna saat menggunakan sumber daya AS yang dilindungi dalam log sistem dan kontrol berkala atas kebenaran tindakan pengguna sistem dengan menganalisis konten log ini oleh spesialis dari departemen keamanan;
perlindungan terhadap modifikasi yang tidak sah dan kontrol integritas ( memastikan kekekalan) lingkungan pelaksanaan program dan pemulihannya jika terjadi pelanggaran;
perlindungan terhadap modifikasi yang tidak sah dan kontrol integritas perangkat lunak yang digunakan di AU, serta perlindungan sistem dari pengenalan program yang tidak sah, termasuk virus komputer;
perlindungan informasi dari kebocoran melalui saluran teknis selama pemrosesan, penyimpanan, dan transmisi melalui saluran komunikasi;
perlindungan informasi yang disimpan, diproses, dan dikirim melalui saluran komunikasi dari pengungkapan atau distorsi yang tidak sah;
menyediakan otentikasi pengguna yang berpartisipasi dalam pertukaran informasi;
memastikan ketahanan alat perlindungan informasi kriptografi ketika bagian dari sistem kunci dikompromikan;
identifikasi tepat waktu dari sumber ancaman terhadap keamanan informasi, penyebab dan kondisi yang berkontribusi terhadap kerusakan pada subjek yang berkepentingan dari hubungan informasi, penciptaan mekanisme untuk respons cepat terhadap ancaman terhadap keamanan informasi dan tren negatif;
menciptakan kondisi untuk meminimalkan dan melokalisasi kerusakan yang disebabkan oleh tindakan melawan hukum individu dan badan hukum, melemahkan dampak negatif dan menghilangkan konsekuensi pelanggaran keamanan informasi.

5.4. Cara untuk memecahkan masalah keamanan informasi

Solusi dari masalah keamanan informasi tercapai:

akuntansi yang ketat dari semua sumber daya sistem tunduk pada perlindungan ( informasi, tugas, saluran komunikasi, server, AWP);
pengaturan proses pemrosesan informasi dan tindakan karyawan divisi struktural organisasi, serta tindakan personel yang melakukan pemeliharaan dan modifikasi perangkat lunak dan perangkat keras pembangkit listrik tenaga nuklir, berdasarkan dokumen organisasi dan administrasi tentang keamanan informasi;
kelengkapan, kelayakan nyata dan konsistensi persyaratan dokumen organisasi dan administrasi di bidang keamanan informasi;
penunjukan dan pelatihan karyawan yang bertanggung jawab atas organisasi dan penerapan langkah-langkah praktis untuk memastikan keamanan informasi;
memberdayakan setiap pegawai seminimal mungkin untuk memenuhi tugas fungsionalnya dengan kewenangan mengakses sumber daya pembangkit tenaga nuklir;
pengetahuan yang jelas dan kepatuhan yang ketat oleh semua karyawan yang menggunakan dan memelihara perangkat keras dan perangkat lunak pembangkit listrik tenaga nuklir, persyaratan dokumen organisasi dan administrasi tentang keamanan informasi;
tanggung jawab pribadi atas tindakan mereka dari setiap karyawan yang berpartisipasi, dalam kerangka tugas fungsional mereka, dalam proses pemrosesan informasi otomatis dan memiliki akses ke sumber daya AU;
implementasi proses teknologi pemrosesan informasi menggunakan kompleks tindakan organisasi dan teknis untuk melindungi perangkat lunak, perangkat keras, dan data;
adopsi langkah-langkah efektif untuk memastikan integritas fisik peralatan teknis dan pemeliharaan berkelanjutan dari tingkat perlindungan yang diperlukan dari komponen PLTN;
penerapan teknis ( perangkat lunak dan perangkat keras) sarana untuk melindungi sumber daya sistem dan dukungan administratif berkelanjutan untuk penggunaannya;
pembatasan arus informasi dan larangan transmisi informasi distribusi terbatas melalui saluran komunikasi yang tidak terlindungi;
kontrol efektif atas kepatuhan karyawan terhadap persyaratan keamanan informasi;
pemantauan konstan sumber daya jaringan, identifikasi kerentanan, deteksi tepat waktu dan netralisasi ancaman eksternal dan internal terhadap keamanan jaringan komputer;
perlindungan hukum kepentingan organisasi dari tindakan ilegal di bidang keamanan informasi.
melakukan analisis berkelanjutan terhadap efektivitas dan kecukupan tindakan yang diambil dan sarana perlindungan informasi yang digunakan, pengembangan dan implementasi proposal untuk meningkatkan sistem perlindungan informasi di pembangkit listrik tenaga nuklir.

6 ancaman keamanan informasi

6.1. Ancaman keamanan informasi dan sumbernya

Ancaman paling berbahaya terhadap keamanan informasi yang diproses di pembangkit listrik tenaga nuklir adalah:

pelanggaran kerahasiaan ( pengungkapan, kebocoran) informasi yang merupakan rahasia resmi atau komersial, termasuk data pribadi;
tidak berfungsi ( disorganisasi kerja) AU, pemblokiran informasi, pelanggaran proses teknologi, gangguan solusi masalah yang tepat waktu;
pelanggaran integritas ( distorsi, substitusi, penghancuran) informasi, perangkat lunak, dan sumber daya AU lainnya.

Sumber utama ancaman terhadap keamanan informasi NPP adalah:

kejadian buruk yang bersifat alami dan buatan;
teroris, penjahat;
penjahat dunia maya komputer yang melakukan tindakan destruktif yang ditargetkan, termasuk penggunaan virus komputer dan jenis kode dan serangan berbahaya lainnya;
pemasok perangkat lunak dan perangkat keras, bahan habis pakai, layanan, dll.;
kontraktor yang melakukan instalasi, commissioning peralatan dan perbaikannya;
ketidakpatuhan terhadap persyaratan badan pengawas dan pengatur, undang-undang saat ini;
kegagalan, kegagalan, kehancuran/kerusakan perangkat lunak dan perangkat keras;
pegawai yang merupakan peserta hukum dalam proses di AU dan bertindak di luar lingkup kewenangan yang diberikan;
karyawan yang merupakan peserta hukum dalam proses di AU dan bertindak dalam kerangka wewenang yang diberikan.

6.2. Tindakan tidak disengaja yang mengarah pada pelanggaran keamanan informasi dan tindakan untuk mencegahnya

Karyawan organisasi yang memiliki akses langsung ke proses pemrosesan informasi di AU merupakan sumber potensial dari tindakan tidak disengaja yang tidak disengaja yang dapat menyebabkan pelanggaran keamanan informasi.

Tindakan utama yang tidak diinginkan yang mengarah pada pelanggaran keamanan informasi (tindakan yang dilakukan oleh orang-orang secara tidak sengaja, karena ketidaktahuan, kurangnya perhatian atau kelalaian, karena penasaran, tetapi tanpa niat jahat) dan langkah-langkah untuk mencegah tindakan tersebut dan meminimalkan kerusakan yang ditimbulkannya diberikan dalam Tabel 1.

Tabel 1

Tindakan utama yang mengarah pada pelanggaran keamanan informasi
Tindakan karyawan yang menyebabkan kegagalan sistem sebagian atau seluruhnya atau gangguan kinerja perangkat keras atau perangkat lunak; memutuskan sambungan peralatan atau mengubah mode pengoperasian perangkat dan program; penghancuran sumber daya informasi sistem ( kerusakan peralatan yang tidak disengaja, penghapusan, distorsi program atau file dengan informasi penting, termasuk sistem, kerusakan saluran komunikasi, kerusakan tidak disengaja pada media penyimpanan, dll.)	Langkah-langkah organisasi ( ). Penggunaan sarana fisik untuk mencegah terjadinya pelanggaran yang tidak disengaja. Aplikasi teknis ( perangkat keras dan perangkat lunak) sarana untuk membedakan akses ke sumber daya. Reservasi sumber daya kritis.
Peluncuran program yang tidak sah yang, jika digunakan secara tidak kompeten, dapat menyebabkan hilangnya kinerja sistem ( membeku atau loop) atau melakukan perubahan ireversibel dalam sistem ( pemformatan atau restrukturisasi media penyimpanan, penghapusan data, dll.)	Langkah-langkah organisasi ( penghapusan semua program yang berpotensi berbahaya dari stasiun kerja). Aplikasi teknis ( perangkat keras dan perangkat lunak) sarana untuk membedakan akses ke program di workstation.
Pengenalan yang tidak sah dan penggunaan program yang tidak direkam ( permainan, pelatihan, teknologi, dan lainnya yang tidak diperlukan bagi karyawan untuk melakukan tugas resminya) dengan pemborosan sumber daya yang tidak masuk akal ( waktu prosesor, memori akses acak, memori pada media eksternal, dll.)	Langkah-langkah organisasi ( pengenaan larangan). Aplikasi teknis ( perangkat keras dan perangkat lunak) berarti mencegah pengenalan dan penggunaan yang tidak sah dari program yang tidak direkam.
Infeksi virus yang tidak disengaja pada komputer Anda	Langkah-langkah organisasi ( pengaturan tindakan, pengenalan larangan). Langkah-langkah teknologi ( penggunaan program khusus untuk mendeteksi dan menghancurkan virus). Penggunaan perangkat keras dan perangkat lunak yang mencegah infeksi virus komputer.
Pengungkapan, transfer atau hilangnya atribut kontrol akses ( password, kunci enkripsi atau tanda tangan elektronik, kartu identitas, pass, dll.)	Langkah-langkah organisasi ( pengaturan tindakan, pengenalan larangan, penguatan tanggung jawab). Penggunaan sarana fisik untuk memastikan keamanan rincian yang ditentukan.
Mengabaikan batasan organisasi ( aturan yang ditetapkan) saat bekerja di sistem	Langkah-langkah organisasi ( ). Penggunaan sarana perlindungan fisik dan teknis tambahan.
Penggunaan, penyesuaian, atau penonaktifan peralatan pelindung yang tidak tepat oleh personel keamanan	Langkah-langkah organisasi ( pelatihan personel, penguatan tanggung jawab dan kontrol).
Memasukkan data yang salah	Langkah-langkah organisasi ( peningkatan tanggung jawab dan kontrol). Langkah-langkah teknologi untuk mengendalikan kesalahan operator entri data.

6.3. Tindakan yang disengaja untuk melanggar keamanan informasi dan tindakan untuk mencegahnya

Tindakan dasar yang disengaja ( untuk tujuan egois, di bawah tekanan, karena keinginan untuk membalas dendam, dll.), yang mengarah pada pelanggaran keamanan informasi pembangkit listrik tenaga nuklir, dan langkah-langkah untuk mencegahnya dan mengurangi kemungkinan kerusakan yang ditimbulkan diberikan dalam Meja 2.

Meja 2

Tindakan disengaja utama yang mengarah pada pelanggaran keamanan informasi	Tindakan untuk mencegah ancaman dan meminimalkan kerusakan
Penghancuran fisik atau ketidakmampuan semua atau beberapa komponen terpenting dari sistem otomatis ( perangkat, pembawa informasi sistem penting, personel, dll.), menonaktifkan atau menonaktifkan subsistem untuk memastikan berfungsinya sistem komputasi ( catu daya, jalur komunikasi, dll.)	Langkah-langkah organisasi ( pengaturan tindakan, pengenalan larangan). Penggunaan sarana fisik untuk mencegah dilakukannya pelanggaran dengan sengaja. Reservasi sumber daya kritis.
Pengenalan agen ke dalam jumlah personel sistem ( termasuk kelompok administratif yang bertanggung jawab atas keamanan), pengerahan ( dengan suap, pemerasan, ancaman, dll.) pengguna yang memiliki hak tertentu untuk mengakses sumber daya yang dilindungi	Langkah-langkah organisasi ( seleksi, penempatan dan bekerja dengan personel, memperkuat kontrol dan tanggung jawab). Pendaftaran otomatis tindakan personel.
Pencurian pembawa informasi ( cetakan, disk magnetik, kaset, perangkat penyimpanan, dan seluruh PC), pencurian limbah industri ( cetakan, catatan, media yang dibuang, dll.)	Langkah-langkah organisasi ( ).
Penyalinan pembawa informasi yang tidak sah, membaca informasi sisa dari memori akses acak dan dari perangkat penyimpanan eksternal	Langkah-langkah organisasi ( organisasi penyimpanan dan penggunaan media dengan informasi yang dilindungi). Penerapan sarana teknis untuk membatasi akses ke sumber daya yang dilindungi dan pendaftaran otomatis penerimaan salinan cetak dokumen.
Penerimaan ilegal kata sandi dan detail lain dari kontrol akses ( dengan cara menyamar, menggunakan kelalaian pengguna, dengan memilih, dengan meniru antarmuka sistem dengan bookmark perangkat lunak, dll.) dengan penyamaran selanjutnya sebagai pengguna terdaftar.	Langkah-langkah organisasi ( pengaturan tindakan, pengenalan larangan, bekerja dengan personel). Penggunaan sarana teknis yang mencegah implementasi program untuk mencegat kata sandi, kunci, dan detail lainnya.
Penggunaan AWP yang tidak sah untuk pengguna dengan karakteristik fisik yang unik, seperti jumlah stasiun kerja dalam jaringan, alamat fisik, alamat dalam sistem komunikasi, unit pengkodean perangkat keras, dll.	Langkah-langkah organisasi ( peraturan ketat tentang akses ke tempat dan izin untuk bekerja di AWP ini). Penerapan sarana fisik dan teknis kontrol akses.
Modifikasi perangkat lunak yang tidak sah - pengenalan perangkat lunak "bookmark" dan "virus" ( Kuda Trojan dan serangga), yaitu, bagian program yang tidak diperlukan untuk implementasi fungsi yang dideklarasikan, tetapi memungkinkan untuk mengatasi sistem perlindungan, mengakses sumber daya sistem secara diam-diam dan ilegal untuk mendaftarkan dan mentransfer informasi yang dilindungi atau mengacaukan fungsi sistem. sistem	Langkah-langkah organisasi ( peraturan ketat untuk masuk kerja). Penggunaan sarana fisik dan teknis untuk membedakan akses dan mencegah modifikasi yang tidak sah dari konfigurasi perangkat keras dan perangkat lunak AWP. Penerapan alat kontrol integritas perangkat lunak.
Intersepsi data yang ditransmisikan melalui saluran komunikasi, analisisnya untuk mendapatkan informasi rahasia dan mengklarifikasi protokol pertukaran, aturan untuk memasuki jaringan dan memberi otorisasi kepada pengguna, dengan upaya selanjutnya untuk meniru mereka untuk menembus sistem	Perlindungan fisik saluran komunikasi. Penerapan sarana perlindungan kriptografi dari informasi yang dikirimkan.
Gangguan dalam proses berfungsinya sistem dari jaringan publik untuk tujuan modifikasi data yang tidak sah, akses ke informasi rahasia, disorganisasi operasi subsistem, dll.	Langkah-langkah organisasi ( regulasi koneksi dan operasi di jaringan publik). Penggunaan alat pelindung teknis khusus ( firewall, kontrol keamanan dan deteksi serangan terhadap sumber daya sistem, dll.).

6.4. Kebocoran informasi melalui saluran teknis

Selama pengoperasian peralatan teknis PLTN, saluran kebocoran atau pelanggaran berikut terhadap integritas informasi, gangguan kinerja peralatan teknis dimungkinkan:

radiasi elektromagnetik samping dari sinyal informatif dari sarana teknis dan saluran transmisi informasi;
intersepsi sinyal informatif, diproses melalui komputer elektronik, ke kabel dan saluran yang melampaui area kantor yang dikendalikan, termasuk. di sirkuit pentanahan dan catu daya;
bermacam-macam perangkat elektronik penyadapan informasi ( termasuk "Bookmark") terhubung ke saluran komunikasi atau sarana teknis pemrosesan informasi;
melihat informasi dari layar tampilan dan cara lain untuk menampilkannya menggunakan sarana optik;
berdampak pada perangkat keras atau perangkat lunak untuk melanggar integritas ( kehancuran, distorsi) informasi, pengoperasian sarana teknis, sarana perlindungan informasi, dan ketepatan waktu pertukaran informasi, termasuk elektromagnetik, melalui perangkat elektronik dan perangkat lunak yang diterapkan secara khusus ( "Bookmark").

Mempertimbangkan kekhususan pemrosesan dan memastikan keamanan informasi, ancaman kebocoran informasi rahasia ( termasuk data pribadi) melalui saluran teknis tidak relevan bagi organisasi.

6.5. Model informal kemungkinan penyusup

Pelaku adalah orang yang mencoba melakukan operasi terlarang ( tindakan) karena kesalahan, ketidaktahuan atau sengaja dengan kedengkian ( dari kepentingan pribadi) atau tanpanya ( demi permainan atau kesenangan, untuk tujuan penegasan diri, dll.) dan menggunakan berbagai kemungkinan, metode dan sarana untuk ini.

Sistem perlindungan PLTN harus didasarkan pada asumsi tentang kemungkinan jenis pelanggar berikut dalam sistem ( dengan mempertimbangkan kategori orang, motivasi, kualifikasi, ketersediaan sarana khusus, dll.):

« Pengguna yang tidak berpengalaman (lalai)»- seorang karyawan yang mungkin mencoba melakukan operasi terlarang, mengakses sumber daya AU yang dilindungi melebihi kewenangannya, memasukkan data yang salah, dll. tindakan karena kesalahan, ketidakmampuan atau kelalaian tanpa niat jahat dan hanya menggunakan standar ( tersedia untuknya) perangkat keras dan perangkat lunak.
« Kekasih"- seorang karyawan yang mencoba mengatasi sistem pertahanan tanpa tujuan egois dan niat jahat, untuk penegasan diri atau dari" minat olahraga". Untuk mengatasi sistem perlindungan dan melakukan tindakan terlarang, ia dapat menggunakan metode yang berbeda memperoleh otoritas tambahan untuk mengakses sumber daya ( nama, kata sandi, dll. pengguna lain), kekurangan dalam pembangunan sistem proteksi dan staf yang tersedia ( dipasang di stasiun kerja) program ( tindakan yang tidak sah dengan melampaui wewenang mereka untuk menggunakan cara yang diizinkan). Selain itu, ia dapat mencoba menggunakan perangkat lunak instrumental dan teknologi tambahan yang tidak standar ( debugger, utilitas utilitas), program yang dikembangkan secara independen atau sarana teknis tambahan standar.
« penipu"- seorang karyawan yang mungkin mencoba melakukan operasi teknologi ilegal, memasukkan data palsu dan tindakan serupa untuk tujuan egois, di bawah paksaan atau niat jahat, tetapi hanya menggunakan ( diinstal pada workstation dan tersedia untuk itu) perangkat keras dan perangkat lunak atas namanya sendiri atau atas nama karyawan lain ( mengetahui nama dan kata sandinya, menggunakan ketidakhadiran jangka pendeknya dari tempat kerja, dll.).
« Penyusup eksternal (penyusup)"- orang luar atau mantan karyawan yang bertindak dengan sengaja demi kepentingan pribadi, karena balas dendam atau rasa ingin tahu, mungkin berkolusi dengan orang lain. Dia dapat menggunakan seluruh rangkaian metode untuk melanggar keamanan informasi, metode dan cara untuk membobol sistem keamanan yang khas untuk jaringan publik ( terutama jaringan berbasis IP), termasuk implementasi jarak jauh dari penanda perangkat lunak dan penggunaan program instrumental dan teknologi khusus, menggunakan kelemahan yang ada dari protokol pertukaran dan sistem perlindungan node jaringan AS organisasi.
« Penyerang internal»- seorang karyawan yang terdaftar sebagai pengguna sistem, bertindak dengan sengaja demi kepentingan pribadi atau balas dendam, kemungkinan berkolusi dengan orang-orang yang bukan karyawan organisasi. Dia dapat menggunakan berbagai macam metode dan cara untuk meretas sistem keamanan, termasuk metode penyamaran untuk mendapatkan detail akses, cara pasif (cara teknis intersepsi tanpa memodifikasi komponen sistem), metode dan cara pengaruh aktif ( modifikasi sarana teknis, koneksi ke saluran transmisi data, pengenalan penanda perangkat lunak dan penggunaan program instrumental dan teknologi khusus;), serta kombinasi pengaruh baik dari dalam maupun dari jaringan publik.

Orang dalam dapat berupa orang dari kategori personel berikut:

pengguna akhir terdaftar AU ( karyawan divisi dan cabang);
pekerja tidak diizinkan bekerja dengan AU;
personel yang melayani sarana teknis pembangkit listrik tenaga nuklir ( insinyur, teknisi);
karyawan departemen pengembangan dan pemeliharaan perangkat lunak ( pemrogram aplikasi dan sistem);
personel teknis yang melayani bangunan dan tempat organisasi ( pembersih, tukang listrik, tukang ledeng, dan pekerja lain yang memiliki akses ke gedung dan tempat di mana komponen speaker berada);
pemimpin dari berbagai tingkatan.

pekerja yang diberhentikan;
perwakilan organisasi yang berinteraksi dalam isu-isu untuk memastikan kehidupan organisasi ( energi, air, suplai panas, dll.);
perwakilan dari perusahaan yang memasok peralatan, perangkat lunak, layanan, dll.;
anggota organisasi kriminal dan struktur komersial yang bersaing atau orang-orang yang bertindak atas nama mereka;
orang yang secara tidak sengaja atau sengaja memasuki jaringan dari jaringan eksternal ( "Peretas").

Pengguna dan personel layanan dari kalangan pekerja memiliki peluang terbesar untuk melakukan tindakan tidak sah, karena otoritas tertentu mereka untuk mengakses sumber daya dan pengetahuan yang baik tentang teknologi pemrosesan informasi. Perbuatan kelompok pelanggar ini berkaitan langsung dengan pelanggaran terhadap peraturan perundang-undangan yang ada. Kelompok pelanggar ini sangat berbahaya ketika berinteraksi dengan struktur kriminal.

Pekerja yang dipecat dapat menggunakan pengetahuan mereka tentang teknologi kerja, tindakan perlindungan, dan hak akses untuk mencapai tujuan mereka.

Struktur kriminal mewakili sumber ancaman eksternal yang paling agresif. Untuk mengimplementasikan rencana mereka, struktur ini dapat secara terbuka melanggar hukum dan melibatkan karyawan organisasi dalam kegiatan mereka dengan semua kekuatan dan sarana yang tersedia untuk mereka.

Peretas memiliki kualifikasi teknis tertinggi dan pengetahuan tentang kelemahan perangkat lunak yang digunakan di AU. Mereka menimbulkan ancaman terbesar ketika berinteraksi dengan pekerja yang bekerja atau diberhentikan dan struktur kriminal.

Organisasi yang terlibat dalam pengembangan, penyediaan dan perbaikan peralatan dan sistem informasi menimbulkan ancaman eksternal karena fakta bahwa dari waktu ke waktu mereka memiliki akses langsung ke sumber daya informasi. Struktur kriminal dapat menggunakan organisasi ini untuk mempekerjakan sementara anggotanya guna mendapatkan akses ke informasi yang dilindungi.

7. Kebijakan teknis di bidang keamanan informasi

7.1. Ketentuan utama dari kebijakan teknis

Implementasi kebijakan teknis di bidang keamanan informasi harus berangkat dari pemikiran bahwa tidak mungkin untuk memastikan tingkat keamanan informasi yang diperlukan tidak hanya dengan bantuan satu sarana terpisah (Acara), tetapi juga dengan bantuan kombinasi sederhana mereka. Koordinasi sistemik mereka satu sama lain diperlukan ( aplikasi yang kompleks), dan elemen individu dari AU yang sedang dikembangkan harus dianggap sebagai bagian dari satu sistem Informasi dalam versi yang dilindungi dengan rasio optimal teknis ( perangkat keras Perangkat Lunak) dana dan langkah-langkah organisasi.

Arah utama pelaksanaan kebijakan teknis untuk menjamin keamanan informasi PLTN adalah untuk memastikan perlindungan sumber daya informasi dari pencurian, kehilangan, kebocoran, perusakan, distorsi atau pemalsuan karena akses yang tidak sah dan pengaruh khusus.

Dalam kerangka arahan kebijakan teknis yang ditunjukkan untuk memastikan keamanan informasi, hal-hal berikut dilakukan:

penerapan sistem perizinan untuk penerimaan pemain ( pengguna, personel layanan) untuk karya, dokumen, dan informasi yang bersifat rahasia;
membatasi akses pemain dan orang yang tidak berwenang ke gedung dan tempat di mana pekerjaan yang bersifat rahasia dilakukan dan sarana informasi dan komunikasi berada di mana ( disimpan, ditransmisikan) informasi yang bersifat rahasia, langsung ke sarana informasi dan komunikasi;
diferensiasi akses pengguna dan personel layanan ke sumber daya informasi, perangkat lunak untuk memproses dan melindungi informasi dalam subsistem dari berbagai tingkat dan tujuan yang termasuk dalam AU;
pendaftaran dokumen, susunan informasi, pendaftaran tindakan pengguna dan personel layanan, kontrol atas akses dan tindakan pengguna yang tidak sah, personel layanan dan orang yang tidak berwenang;
mencegah pengenalan program virus, penanda perangkat lunak ke dalam subsistem otomatis;
perlindungan kriptografi dari informasi yang diproses dan dikirimkan oleh teknologi komputer dan komunikasi;
penyimpanan yang andal dari media penyimpanan mesin, kunci kriptografi ( informasi kunci) dan peredarannya, tidak termasuk pencurian, penggantian dan penghancuran;
reservasi sarana teknis yang diperlukan dan duplikasi susunan dan pembawa informasi;
pengurangan tingkat dan kandungan informasi dari emisi dan pickup palsu yang dibuat oleh berbagai elemen subsistem otomatis;
isolasi listrik dari sirkuit catu daya, pembumian, dan sirkuit lain dari objek informasi yang melampaui area yang dikendalikan;
penangkal alat pengamatan optik dan laser.

7.2. Pembentukan rezim keamanan informasi

Dengan mempertimbangkan ancaman yang teridentifikasi terhadap keselamatan PLTN, rezim keamanan informasi harus dibentuk sebagai seperangkat metode dan tindakan untuk melindungi informasi yang beredar di PLTN dan infrastruktur pendukungnya dari pengaruh yang tidak disengaja atau disengaja yang bersifat alami atau buatan, yang mencakup merugikan pemilik atau pengguna informasi.

Serangkaian tindakan untuk pembentukan rezim keamanan informasi meliputi:

pembentukan rezim organisasi dan hukum keamanan informasi dalam sistem otomatis ( dokumen peraturan, bekerja dengan personel, pekerjaan kantor);
pelaksanaan langkah-langkah organisasi dan teknis untuk melindungi informasi distribusi terbatas dari kebocoran melalui saluran teknis;
tindakan organisasi dan teknis perangkat lunak untuk mencegah tindakan yang tidak sah ( mengakses) ke sumber informasi AU;
serangkaian tindakan untuk mengontrol berfungsinya sarana dan sistem untuk melindungi sumber daya informasi yang didistribusikan secara terbatas setelah dampak yang tidak disengaja atau disengaja.

8. Tindakan, metode dan sarana keamanan informasi

8.1. Langkah-langkah organisasi

Langkah-langkah organisasi- ini adalah langkah-langkah organisasi yang mengatur proses fungsi PLTN, penggunaan sumber dayanya, aktivitas personel pemeliharaan, serta prosedur interaksi pengguna dengan sistem sedemikian rupa sehingga paling memperumit atau mengecualikan kemungkinan menerapkan ancaman keamanan dan mengurangi jumlah kerusakan pada saat penerapannya.

8.1.1. Pembentukan kebijakan keamanan

Tujuan utama dari langkah-langkah organisasi adalah untuk membentuk kebijakan di bidang keamanan informasi, yang mencerminkan pendekatan terhadap perlindungan informasi, dan untuk memastikan implementasinya dengan mengalokasikan sumber daya yang diperlukan dan memantau keadaan.

Dari sudut pandang praktis, kebijakan keselamatan PLTN harus dibagi menjadi dua tingkatan. Tingkat atas mencakup keputusan yang mempengaruhi kegiatan organisasi secara keseluruhan. Contoh solusi tersebut mungkin:

pembentukan atau revisi program keamanan informasi yang komprehensif, penentuan mereka yang bertanggung jawab atas pelaksanaannya;
perumusan tujuan, penetapan tujuan, penetapan bidang kegiatan di bidang keamanan informasi;
membuat keputusan tentang pelaksanaan program keamanan, yang dipertimbangkan pada tingkat organisasi secara keseluruhan;
ketentuan peraturan ( hukum) database pertanyaan keamanan, dll.

Kebijakan tingkat yang lebih rendah mendefinisikan prosedur dan aturan untuk mencapai tujuan dan memecahkan masalah keamanan informasi dan rincian (mengatur) aturan ini:

apa ruang lingkup kebijakan keamanan informasi;
apa peran dan tanggung jawab pejabat yang bertanggung jawab atas pelaksanaan kebijakan keamanan informasi;
siapa yang berhak mengakses informasi yang dibatasi;
siapa dan dalam kondisi apa dapat membaca dan mengubah informasi, dll.

Kebijakan tingkat bawah harus:

mengatur hubungan informasi, tidak termasuk kemungkinan tindakan sewenang-wenang, monopoli atau tidak sah sehubungan dengan sumber informasi rahasia;
mendefinisikan prinsip dan metode koalisi dan hierarkis untuk berbagi rahasia dan membatasi akses ke informasi distribusi terbatas;
memilih perangkat lunak dan perangkat keras sarana perlindungan kriptografi, penangkal terhadap gangguan, otentikasi, otorisasi, identifikasi dan mekanisme perlindungan lainnya yang memberikan jaminan untuk pelaksanaan hak dan tanggung jawab subjek hubungan informasi.

8.1.2. Regulasi akses ke sarana teknis

Pengoperasian stasiun kerja otomatis yang aman dan server Bank harus dilakukan di kamar yang dilengkapi dengan kunci otomatis yang andal, alarm dan selalu dijaga atau dipantau, tidak termasuk kemungkinan masuk yang tidak terkendali ke tempat orang yang tidak berwenang dan memastikan keamanan fisik sumber daya yang dilindungi. terletak di lokasi ( AWP, dokumen, detail akses, dll.). Penempatan dan pemasangan sarana teknis AWP tersebut harus mengecualikan kemungkinan melihat input secara visual ( ditarik) informasi oleh orang yang tidak terkait dengannya. Pembersihan tempat dengan peralatan yang dipasang di dalamnya harus dilakukan di hadapan orang yang bertanggung jawab, kepada siapa sarana teknis ini ditugaskan, atau orang yang bertugas di unit, sesuai dengan langkah-langkah yang mengecualikan akses orang yang tidak berwenang ke sumber daya yang dilindungi.

Selama pemrosesan informasi yang dibatasi, hanya personel yang berwenang untuk bekerja dengan informasi ini yang boleh hadir di lokasi.

Pada akhir hari kerja, tempat dengan AWP terlindung yang terpasang harus diserahkan di bawah perlindungan.

Untuk menyimpan dokumen kantor dan media mesin dengan informasi yang dilindungi, karyawan disediakan lemari logam, serta alat untuk menghancurkan dokumen.

Sarana teknis yang digunakan untuk memproses atau menyimpan informasi rahasia harus disegel.

8.1.3. Peraturan penerimaan karyawan untuk penggunaan sumber daya informasi

Dalam kerangka sistem penerimaan yang permisif, ditetapkan: siapa, kepada siapa, informasi apa dan untuk jenis akses apa yang dapat diberikan dan dalam kondisi apa; sistem kontrol akses, yang melibatkan definisi untuk semua pengguna informasi AU dan sumber daya perangkat lunak yang tersedia bagi mereka untuk operasi tertentu ( baca, tulis, ubah, hapus, jalankan) menggunakan perangkat lunak dan alat akses perangkat keras yang ditentukan.

Penerimaan pekerja untuk bekerja dengan AU dan akses ke sumber daya mereka harus diatur secara ketat. Setiap perubahan dalam komposisi dan kekuatan pengguna subsistem AU harus dilakukan sesuai dengan prosedur yang ditetapkan.

Pengguna utama informasi di AU adalah karyawan divisi struktural organisasi. Tingkat otoritas untuk setiap pengguna ditentukan secara individual, dengan memperhatikan persyaratan berikut:

informasi terbuka dan rahasia ditempatkan, bila memungkinkan, pada server yang berbeda;
setiap karyawan hanya menggunakan hak yang ditentukan kepadanya sehubungan dengan informasi yang dia butuhkan untuk bekerja sesuai dengan tanggung jawab pekerjaannya;
bos memiliki hak untuk melihat informasi dari bawahannya;
operasi teknologi yang paling kritis harus dilakukan sesuai dengan aturan "Di dua tangan"- kebenaran informasi yang dimasukkan dikonfirmasi oleh pejabat lain yang tidak berhak memasukkan informasi.

Semua karyawan yang diterima bekerja di PLTN dan personel pemeliharaan PLTN harus secara pribadi bertanggung jawab atas pelanggaran prosedur yang ditetapkan untuk pemrosesan informasi otomatis, aturan untuk menyimpan, menggunakan, dan mentransfer sumber daya yang dilindungi dari sistem yang mereka miliki. Saat merekrut, setiap karyawan harus menandatangani Komitmen tentang kepatuhan terhadap persyaratan untuk menjaga informasi rahasia dan tanggung jawab atas pelanggaran mereka, serta kepatuhan terhadap aturan untuk bekerja dengan informasi yang dilindungi di AU.

Pemrosesan informasi yang dilindungi dalam subsistem AU harus dilakukan sesuai dengan instruksi teknologi yang disetujui ( pesanan) untuk subsistem ini.

Untuk pengguna, stasiun kerja yang dilindungi, instruksi teknologi yang diperlukan harus dikembangkan, termasuk persyaratan untuk memastikan keamanan informasi.

8.1.4. Regulasi proses pemeliharaan database dan modifikasi sumber daya informasi

Semua operasi untuk memelihara database di AU dan penerimaan pekerja untuk bekerja dengan database ini harus diatur secara ketat. Setiap perubahan komposisi dan kewenangan pengguna database AU harus dilakukan sesuai dengan prosedur yang telah ditetapkan.

Distribusi nama, pembuatan kata sandi, pemeliharaan aturan untuk membedakan akses ke basis data dipercayakan kepada karyawan Departemen Teknologi Informasi. Dalam hal ini, baik sarana standar maupun tambahan untuk melindungi DBMS dan sistem operasi dapat digunakan.

8.1.5. Regulasi proses pemeliharaan dan modifikasi sumber daya perangkat keras dan perangkat lunak

Sumber daya sistem yang akan dilindungi ( tugas, program, AWP) tunduk pada akuntansi yang ketat ( berdasarkan penggunaan formulir yang sesuai atau basis data khusus).

Konfigurasi perangkat keras dan perangkat lunak dari stasiun kerja otomatis tempat informasi yang dilindungi diproses atau dari mana akses ke sumber daya yang dilindungi dimungkinkan harus sesuai dengan berbagai tugas fungsional yang diberikan kepada pengguna AWP ini. Semua perangkat input-output informasi yang tidak digunakan (tidak perlu) ( COM, USB, port LPT, drive floppy disk, CD, dan media penyimpanan lainnya) pada AWP tersebut harus dinonaktifkan (dihapus), perangkat lunak yang tidak perlu dan data dari disk AWS juga harus dihapus.

Untuk menyederhanakan pemeliharaan, pemeliharaan, dan pengaturan perlindungan, stasiun kerja harus dilengkapi dengan perangkat lunak dan dikonfigurasi secara terpadu ( sesuai dengan aturan yang telah ditetapkan).

Komisioning AWP baru dan semua perubahan dalam konfigurasi perangkat keras dan lunak, AWP yang ada di AS organisasi harus dilakukan hanya dalam urutan yang ditetapkan.

Semua perangkat lunak ( dikembangkan oleh spesialis organisasi, diperoleh atau diperoleh dari produsen) harus diuji dengan cara yang ditentukan dan dipindahkan ke penyimpanan program organisasi. Dalam subsistem AU, hanya perangkat lunak yang diterima dari penyimpanan sesuai dengan prosedur yang ditetapkan yang harus diinstal dan digunakan. Penggunaan perangkat lunak dalam AS yang tidak termasuk dalam penyimpanan perangkat lunak harus dilarang.

Pengembangan perangkat lunak, pengujian perangkat lunak yang dikembangkan dan dibeli, transfer perangkat lunak ke pengoperasian harus dilakukan sesuai dengan prosedur yang ditetapkan.

8.1.6. Pelatihan dan pendidikan pengguna

Sebelum memberikan akses ke AU, penggunanya, serta personel manajemen dan pemeliharaan, harus terbiasa dengan daftar informasi rahasia dan tingkat otoritasnya, serta dokumentasi organisasi dan administratif, peraturan, teknis dan operasional yang menentukan persyaratan dan prosedur untuk memproses informasi tersebut.

Perlindungan informasi di semua bidang di atas hanya mungkin dilakukan setelah pengguna mengembangkan disiplin tertentu, mis. norma yang mengikat setiap orang yang bekerja di AU. Norma-norma ini termasuk larangan tindakan yang disengaja atau tidak disengaja yang mengganggu operasi normal AU, menyebabkan biaya sumber daya tambahan, melanggar integritas informasi yang disimpan dan diproses, melanggar kepentingan pengguna yang sah.

Semua karyawan yang menggunakan subsistem PLTN tertentu selama bekerja harus terbiasa dengan dokumen organisasi dan administrasi untuk perlindungan pembangkit listrik tenaga nuklir dalam hal perhatian mereka, harus mengetahui dan secara ketat mengikuti instruksi teknologi dan tugas umum untuk memastikan keamanan informasi . Membawa persyaratan dokumen-dokumen ini kepada orang-orang yang diterima dalam pemrosesan informasi yang dilindungi harus dilakukan oleh kepala departemen dengan tanda tangan mereka.

8.1.7. Tanggung jawab atas pelanggaran persyaratan keamanan informasi

Untuk setiap pelanggaran serius terhadap persyaratan keamanan informasi oleh karyawan organisasi, penyelidikan resmi harus dilakukan. Tindakan yang memadai harus diambil terhadap para pelaku. Tingkat tanggung jawab personel atas tindakan yang melanggar aturan yang ditetapkan untuk memastikan pemrosesan informasi otomatis yang aman harus ditentukan oleh kerusakan yang disebabkan, adanya niat jahat, dan faktor lainnya.

Untuk menerapkan prinsip tanggung jawab pribadi pengguna atas tindakan mereka, perlu:

identifikasi individu pengguna dan proses yang diprakarsai oleh mereka, mis. penetapan pengidentifikasi untuk mereka, yang dengannya pembedaan akses akan dilakukan sesuai dengan prinsip keabsahan akses;
otentikasi pengguna ( autentikasi) berdasarkan kata sandi, kunci pada basis fisik yang berbeda, dll.;
Registrasi ( masuk) pengoperasian mekanisme untuk mengontrol akses ke sumber daya sistem informasi, yang menunjukkan tanggal dan waktu, pengidentifikasi sumber daya yang meminta dan yang diminta, jenis interaksi dan hasilnya;
reaksi terhadap upaya akses yang tidak sah ( alarm, pemblokiran, dll.).

8.2. Sarana perlindungan teknis

Teknis ( perangkat keras dan perangkat lunak) peralatan pelindung - berbagai perangkat elektronik dan program khusus yang merupakan bagian dari AU dan melakukan (secara independen atau dalam kombinasi dengan cara lain) fungsi perlindungan ( identifikasi dan otentikasi pengguna, diferensiasi akses ke sumber daya, pendaftaran acara, perlindungan informasi kriptografi, dll.).

Dengan mempertimbangkan semua persyaratan dan prinsip untuk memastikan keamanan informasi di pembangkit listrik tenaga nuklir di semua bidang proteksi, sarana berikut harus dimasukkan dalam sistem proteksi:

sarana otentikasi pengguna dan elemen pembicara ( terminal, tugas, item database, dll.) sesuai dengan tingkat kerahasiaan informasi dan data yang diproses;
sarana untuk membatasi akses ke data;
sarana perlindungan kriptografi informasi dalam jalur transmisi data dan database;
sarana pendaftaran peredaran dan pengendalian penggunaan informasi yang dilindungi;
sarana untuk menanggapi upaya perusakan atau perusakan yang terdeteksi;
sarana untuk mengurangi tingkat dan kandungan informasi emisi dan pickup palsu;
sarana perlindungan terhadap sarana pengamatan optik;
perlindungan terhadap virus dan malware;
sarana pelepasan listrik dari elemen AU dan elemen struktural tempat di mana peralatan berada.

Sarana teknis perlindungan terhadap serangan tidak sah dipercayakan dengan solusi tugas-tugas utama berikut:

identifikasi dan otentikasi pengguna menggunakan nama dan/atau perangkat keras khusus ( Memori Sentuh, Kartu Pintar, dll.);
regulasi akses pengguna ke perangkat fisik workstation ( disk, port input-output);
kontrol selektif (tidak terikat) atas akses ke drive logis, direktori, dan file;
diferensiasi otoritatif (wajib) akses ke data yang dilindungi di workstation dan di server file;
membuat tertutup lingkungan perangkat lunak diizinkan untuk menjalankan program yang terletak di drive lokal dan jaringan;
perlindungan terhadap penetrasi virus komputer dan malware;
kontrol integritas modul sistem perlindungan, area sistem disk dan daftar file arbitrer dalam mode otomatis dan dengan perintah administrator;
pendaftaran tindakan pengguna dalam jurnal yang dilindungi, adanya beberapa tingkat pendaftaran;
perlindungan sistem perlindungan data pada file server dari akses semua pengguna, termasuk administrator jaringan;
manajemen terpusat pengaturan sarana diferensiasi akses pada workstation jaringan;
pendaftaran semua peristiwa gangguan yang terjadi di stasiun kerja;
kontrol operasional atas pekerjaan pengguna jaringan, mengubah mode operasi stasiun kerja dan kemungkinan pemblokiran ( jika diperlukan) setiap stasiun di jaringan.

Keberhasilan penerapan sarana perlindungan teknis mengandaikan bahwa pemenuhan persyaratan berikut ini dijamin oleh tindakan organisasi dan sarana fisik perlindungan yang digunakan:

integritas fisik semua komponen AU terjamin;
setiap karyawan ( pengguna sistem) memiliki nama sistem yang unik dan otoritas minimum untuk mengakses sumber daya sistem yang diperlukan untuk pelaksanaan tugas fungsionalnya;
penggunaan program instrumental dan teknologi di stasiun kerja ( utilitas uji, debugger, dll.), mengizinkan upaya untuk meretas atau melewati tindakan keamanan, dibatasi dan diatur secara ketat;
tidak ada pengguna pemrograman dalam sistem yang dilindungi, dan pengembangan dan debugging program dilakukan di luar sistem yang dilindungi;
semua perubahan dalam konfigurasi perangkat keras dan perangkat lunak dilakukan secara ketat;
perangkat keras jaringan ( hub, switch, router, dll.) terletak di tempat-tempat yang tidak dapat diakses oleh orang asing ( kamar khusus, lemari, dll.);
layanan keamanan informasi melakukan manajemen berkelanjutan dan dukungan administratif untuk berfungsinya alat keamanan informasi.

8.2.1. Alat identifikasi dan otentikasi pengguna

Untuk mencegah orang yang tidak berwenang mengakses AU, perlu dipastikan bahwa sistem dapat mengenali setiap pengguna yang sah (atau kelompok pengguna terbatas). Untuk melakukan ini, dalam sistem ( di tempat terlindung) harus menyimpan sejumlah atribut dari setiap pengguna yang dengannya pengguna ini dapat diidentifikasi. Di masa depan, ketika memasuki sistem, dan, jika perlu, ketika melakukan tindakan tertentu dalam sistem, pengguna berkewajiban untuk mengidentifikasi dirinya sendiri, mis. menunjukkan pengenal yang ditetapkan untuk itu dalam sistem. Selain itu, berbagai jenis perangkat dapat digunakan untuk identifikasi: kartu magnetik, sisipan kunci, floppy disk, dll.

Autentikasi ( konfirmasi keaslian) pengguna harus dilakukan berdasarkan penggunaan kata sandi (kata-kata rahasia) atau sarana khusus verifikasi otentikasi karakteristik unik(parameter) pengguna.

8.2.2. Sarana untuk membatasi akses ke sumber daya sistem Otomatis

Setelah mengenali pengguna, sistem harus mengotorisasi pengguna, yaitu menentukan hak apa yang diberikan kepada pengguna, mis. data apa dan bagaimana ia dapat digunakan, program apa yang dapat dijalankannya, kapan, untuk berapa lama dan dari terminal apa ia dapat bekerja, sumber daya sistem apa yang dapat digunakannya, dll. Otorisasi pengguna harus dilakukan dengan menggunakan mekanisme kontrol akses berikut:

mekanisme kontrol akses selektif berdasarkan penggunaan skema atribut, daftar izin, dll.;
mekanisme kontrol akses otoritatif berdasarkan penggunaan label kerahasiaan sumber daya dan tingkat akses pengguna;
mekanisme untuk menyediakan lingkungan tertutup dari perangkat lunak tepercaya ( individu untuk setiap daftar pengguna dari program yang diizinkan untuk dijalankan) didukung oleh mekanisme untuk mengidentifikasi dan mengautentikasi pengguna saat mereka masuk ke sistem.

Bidang tanggung jawab dan tugas sarana perlindungan teknis khusus ditetapkan berdasarkan kemampuan dan karakteristik kinerjanya yang dijelaskan dalam dokumentasi sarana ini.

Sarana teknis kontrol akses harus menjadi bagian integral dari sistem kontrol akses terpadu:

ke daerah yang dikendalikan;
di kamar terpisah;
terhadap elemen AU dan elemen sistem keamanan informasi ( akses fisik);
ke sumber daya AU ( akses matematika);
untuk penyimpanan informasi ( media penyimpanan, volume, file, kumpulan data, arsip, referensi, catatan, dll.);
sumber daya aktif ( program aplikasi, tugas, formulir permintaan, dll.);
ke sistem operasi, program sistem dan program perlindungan, dll.

8.2.3. Sarana untuk memastikan dan memantau integritas perangkat lunak dan sumber daya informasi

Kontrol integritas program, informasi yang diproses, dan sarana perlindungan, untuk memastikan invariabilitas lingkungan perangkat lunak, ditentukan oleh teknologi pemrosesan yang disediakan, dan perlindungan terhadap koreksi informasi yang tidak sah harus disediakan:

cara menghitung checksum;
dengan cara tanda tangan elektronik;
cara membandingkan sumber daya kritis dengan salinan master mereka ( dan pemulihan jika terjadi pelanggaran integritas);
alat kontrol akses ( menolak akses dengan hak modifikasi atau penghapusan).

Untuk melindungi informasi dan program dari perusakan atau distorsi yang tidak sah, perlu untuk memastikan:

duplikasi tabel dan data sistem;
duplexing dan mirroring data pada disk;
pelacakan transaksi;
kontrol integritas berkala sistem operasi dan program pengguna, serta file pengguna;
perlindungan dan kontrol anti-virus;
mencadangkan data sesuai dengan skema yang telah ditentukan sebelumnya.

8.2.4. Kontrol Acara Keamanan

Pengendalian harus memastikan bahwa semua kejadian ( tindakan pengguna, upaya oleh orang yang tidak berwenang, dll.), yang dapat menyebabkan pelanggaran kebijakan keamanan dan menyebabkan munculnya situasi krisis. Kontrol harus menyediakan kemampuan untuk:

pemantauan terus-menerus terhadap simpul-simpul utama jaringan dan peralatan komunikasi pembentuk jaringan, serta aktivitas jaringan di segmen-segmen utama jaringan;
kontrol atas penggunaan layanan jaringan perusahaan dan publik oleh pengguna;
memelihara dan menganalisis log peristiwa keamanan;
deteksi tepat waktu dari ancaman eksternal dan internal terhadap keamanan informasi.

Saat mendaftarkan peristiwa keamanan di log sistem, informasi berikut harus dicatat:

tanggal dan waktu acara;
pengenal subjek ( pengguna, program) melakukan tindakan terdaftar;
tindakan ( jika permintaan akses terdaftar, maka objek dan jenis akses ditandai).

Kontrol harus memastikan bahwa peristiwa berikut terdeteksi dan dicatat:

login pengguna ke sistem;
login pengguna ke jaringan;
gagal login atau upaya jaringan ( kata kunci Salah);
koneksi ke server file;
memulai program;
selesainya program;
upaya untuk memulai program yang tidak tersedia untuk diluncurkan;
upaya untuk mendapatkan akses ke direktori yang tidak dapat diakses;
upaya untuk membaca / menulis informasi dari disk yang tidak dapat diakses oleh pengguna;
upaya untuk meluncurkan program dari disk yang tidak dapat diakses oleh pengguna;
pelanggaran integritas program dan data sistem perlindungan, dll.

Cara utama berikut untuk menanggapi fakta yang terdeteksi dari orang yang tidak berwenang harus didukung ( mungkin dengan partisipasi administrator keamanan):

memberi tahu pemilik informasi tentang NSD ke datanya;
membatalkan program ( tugas) dengan eksekusi lebih lanjut;
memberi tahu administrator basis data dan administrator keamanan;
memutuskan terminal ( tempat kerja) dari mana upaya dilakukan oleh NSD terhadap informasi atau tindakan ilegal di jaringan;
pengecualian pelaku dari daftar pengguna terdaftar;
sinyal alarm, dll.

8.2.5. Keamanan informasi kriptografi

Salah satu elemen terpenting dari sistem keamanan informasi pembangkit listrik tenaga nuklir adalah penggunaan metode kriptografi dan sarana untuk melindungi informasi dari akses yang tidak sah selama transmisi melalui saluran komunikasi dan penyimpanan di media komputer.

Semua sarana perlindungan kriptografi informasi di AU harus didasarkan pada inti kriptografi dasar. Organisasi harus memiliki lisensi yang ditetapkan oleh undang-undang untuk hak menggunakan media kriptografi.

Sistem kunci dari sarana perlindungan kriptografi yang digunakan di AU harus memberikan ketahanan kriptografi dan perlindungan multi-level terhadap kompromi informasi kunci, pemisahan pengguna berdasarkan tingkat perlindungan dan zona interaksi mereka satu sama lain dan pengguna tingkat lain.

Kerahasiaan dan perlindungan peniruan informasi selama transmisinya melalui saluran komunikasi harus dipastikan melalui penggunaan pelanggan dan sarana enkripsi saluran dalam sistem. Kombinasi enkripsi informasi pelanggan dan saluran harus memastikan perlindungan ujung-ke-ujungnya di sepanjang seluruh jalur, melindungi informasi jika terjadi pengalihan yang salah karena kegagalan dan malfungsi perangkat keras dan perangkat lunak pusat switching.

AU, yang merupakan sistem dengan sumber daya informasi terdistribusi, juga harus menggunakan sarana untuk menghasilkan dan memverifikasi tanda tangan elektronik untuk memastikan integritas dan konfirmasi bukti hukum atas keaslian pesan, serta otentikasi pengguna, stasiun pelanggan, dan konfirmasi waktu. dari mengirim pesan. Dalam hal ini, algoritma tanda tangan elektronik standar harus digunakan.

8.3. Manajemen keamanan informasi

Pengelolaan sistem keamanan informasi dalam sebuah PLTN berdampak pada komponen-komponen sistem keamanan ( organisasi, teknis, perangkat lunak dan kriptografi) untuk mencapai indikator dan standar keamanan informasi yang beredar di PLTN dalam rangka penerapan ancaman keamanan utama.

Tujuan utama mengatur manajemen sistem keamanan informasi adalah untuk meningkatkan keandalan perlindungan informasi selama pemrosesan, penyimpanan, dan transmisi.

Manajemen sistem keamanan informasi diimplementasikan oleh subsistem kontrol khusus, yang merupakan seperangkat badan kontrol, sarana teknis, perangkat lunak dan kriptografi, serta langkah-langkah organisasi dan titik kontrol yang berinteraksi dari berbagai tingkatan.

Fungsi dari subsistem kendali adalah : informasi, kendali dan bantu.

Fungsi informasi terdiri dari pemantauan terus menerus terhadap keadaan sistem proteksi, memeriksa kepatuhan indikator keamanan dengan nilai yang diizinkan dan segera memberi tahu operator keamanan tentang situasi yang muncul di pembangkit listrik tenaga nuklir yang dapat menyebabkan pelanggaran keamanan informasi. . Ada dua persyaratan untuk memantau status sistem proteksi: kelengkapan dan keandalan. Kelengkapan mencirikan tingkat cakupan semua alat perlindungan dan parameter fungsinya. Keandalan kontrol mencirikan tingkat kecukupan nilai parameter yang dikontrol ke nilai sebenarnya. Sebagai hasil dari pemrosesan data kontrol, informasi tentang status sistem perlindungan dihasilkan, yang digeneralisasi dan ditransmisikan ke titik kontrol yang lebih tinggi.

Fungsi kontrol terdiri dari pembentukan rencana untuk pelaksanaan operasi teknologi pembangkit listrik tenaga nuklir, dengan mempertimbangkan persyaratan keamanan informasi dalam kondisi yang berlaku untuk saat ini waktu, serta dalam menentukan lokasi situasi kerentanan informasi dan mencegah kebocorannya dengan segera memblokir bagian PLTN tempat ancaman keamanan informasi muncul. Fungsi kontrol termasuk akuntansi, penyimpanan, dan penerbitan dokumen dan pembawa informasi, kata sandi dan kunci. Pada saat yang sama, pembuatan kata sandi, kunci, pemeliharaan sarana kontrol akses, penerimaan perangkat lunak baru yang termasuk dalam lingkungan perangkat lunak AS, kontrol kepatuhan lingkungan perangkat lunak dengan standar, serta kontrol atas teknologi. proses pemrosesan informasi rahasia ditugaskan kepada karyawan Departemen Teknologi Informasi dan Departemen Keamanan Ekonomi.

Fungsi tambahan dari subsistem kontrol mencakup akuntansi semua operasi yang dilakukan dalam sistem otomatis dengan informasi yang dilindungi, pembentukan dokumen pelaporan dan pengumpulan data statistik untuk menganalisis dan mengidentifikasi saluran potensial kebocoran informasi.

8.4. Memantau efektivitas sistem proteksi

Pemantauan efektivitas sistem perlindungan informasi dilakukan untuk mengidentifikasi dan mencegah kebocoran informasi secara tepat waktu karena akses yang tidak sah ke sana, serta untuk mencegah kemungkinan tindakan khusus yang bertujuan untuk menghancurkan informasi, menghancurkan teknologi informasi.

Evaluasi efektivitas tindakan perlindungan informasi dilakukan dengan menggunakan kontrol organisasi, perangkat keras dan perangkat lunak untuk memenuhi persyaratan yang ditetapkan.

Kontrol dapat dilakukan baik dengan bantuan sarana standar sistem perlindungan informasi, dan dengan bantuan sarana kontrol khusus dan pemantauan teknologi.

8.5. Fitur memastikan keamanan informasi data pribadi

Klasifikasi data pribadi dilakukan sesuai dengan tingkat keparahan konsekuensi hilangnya properti keamanan data pribadi untuk subjek data pribadi.

Tentang data pribadi ”Untuk kategori khusus data pribadi;
data pribadi yang diklasifikasikan sesuai dengan Hukum Federal " Tentang data pribadi ”Untuk data pribadi biometrik;
data pribadi yang tidak dapat dikaitkan dengan kategori khusus data pribadi, data pribadi biometrik, data pribadi yang tersedia untuk umum atau anonim;
data pribadi yang diklasifikasikan sesuai dengan Hukum Federal " Tentang data pribadi ”Untuk data pribadi yang tersedia untuk umum atau anonim.

Transfer data pribadi ke pihak ketiga harus dilakukan atas dasar Hukum Federal atau persetujuan subjek data pribadi. Dalam hal suatu organisasi mempercayakan pemrosesan data pribadi kepada pihak ketiga berdasarkan suatu perjanjian, syarat penting dari perjanjian tersebut adalah kewajiban pihak ketiga untuk menjamin kerahasiaan data pribadi dan keamanan data pribadi. selama pemrosesan mereka.

Organisasi harus berhenti memproses data pribadi dan memusnahkan data pribadi yang dikumpulkan, kecuali ditentukan lain oleh undang-undang Federasi Rusia, dalam batas waktu yang ditetapkan oleh undang-undang Federasi Rusia dalam kasus berikut:

setelah pencapaian tujuan pemrosesan atau jika tidak perlu untuk mencapainya;
atas permintaan subjek data pribadi atau Badan Berwenang untuk Perlindungan Hak Subjek Data Pribadi - jika data pribadi tidak lengkap, usang, tidak dapat diandalkan, diperoleh secara ilegal atau tidak diperlukan untuk tujuan pemrosesan yang disebutkan;
ketika subjek data pribadi mencabut persetujuannya untuk pemrosesan data pribadinya, jika persetujuan tersebut diperlukan sesuai dengan undang-undang Federasi Rusia;
jika tidak mungkin bagi operator untuk menghilangkan pelanggaran yang dilakukan dalam pemrosesan data pribadi.

Organisasi harus menetapkan dan mendokumentasikan:

prosedur pemusnahan data pribadi ( termasuk pembawa materi data pribadi);
prosedur untuk memproses permintaan dari subjek data pribadi ( atau perwakilan hukum mereka) tentang pemrosesan data pribadi mereka;
tata cara tindakan dalam hal permintaan dari Badan Yang Berwenang untuk Perlindungan Hak Subyek Data Pribadi atau badan pengawas lainnya yang melakukan pengendalian dan pengawasan di bidang data pribadi;
pendekatan untuk mengklasifikasikan AU sebagai sistem informasi data pribadi ( Lebih jauh - ISPDN );
daftar ISPD. Daftar ISPD harus mencantumkan AS, yang tujuan pembuatan dan penggunaannya adalah untuk memproses data pribadi.

Untuk setiap PDIS, berikut ini harus diidentifikasi dan didokumentasikan:

tujuan pemrosesan data pribadi;
volume dan konten data pribadi yang diproses;
daftar tindakan dengan data pribadi dan metode pemrosesannya.

Volume dan konten data pribadi, serta daftar tindakan dan metode pemrosesan data pribadi harus sesuai dengan tujuan pemrosesan. Dalam hal pelaksanaan proses teknologi informasi yang pelaksanaannya didukung oleh ISPD tidak diperlukan untuk mengolah data pribadi tertentu, maka data pribadi tersebut wajib dihapus.

Persyaratan untuk memastikan keamanan data pribadi di ISPDN umumnya diimplementasikan oleh langkah-langkah organisasi, teknologi, teknis dan perangkat lunak, sarana dan mekanisme yang kompleks untuk melindungi informasi.

Organisasi pelaksanaan dan ( atau) penerapan persyaratan untuk memastikan keamanan data pribadi harus dilakukan oleh unit struktural atau pejabat (pegawai) organisasi yang bertanggung jawab untuk memastikan keamanan data pribadi, atau berdasarkan kontrak oleh organisasi - rekanan dari organisasi yang diberi lisensi untuk memberikan perlindungan teknis atas informasi rahasia.

Pembuatan ISPD organisasi harus mencakup pengembangan dan persetujuan ( penyataan) dokumentasi organisasi, administrasi, desain, dan operasional untuk sistem yang dibuat disediakan oleh kerangka acuan. Dokumentasi harus mencerminkan masalah memastikan keamanan data pribadi yang diproses.

Pengembangan konsep, spesifikasi teknis, desain, pembuatan dan pengujian, penerimaan dan commissioning ISPD harus dilakukan dengan persetujuan dan di bawah kendali unit struktural atau pejabat (pegawai) yang bertanggung jawab untuk memastikan keamanan data pribadi.

Semua aset informasi milik ISPD organisasi harus dilindungi dari efek kode berbahaya... Organisasi harus menentukan dan mendokumentasikan persyaratan untuk memastikan keamanan data pribadi melalui perlindungan anti-virus dan prosedur untuk memantau penerapan persyaratan ini.

Organisasi harus memiliki sistem kontrol akses yang mengontrol akses ke port komunikasi, perangkat input/output, media mesin yang dapat dilepas, dan drive eksternal informasi ISPDN.

Kepala divisi ISPD yang beroperasi dan melayani organisasi memastikan keamanan data pribadi selama pemrosesan mereka di ISPDN.

Pegawai yang mengolah data pribadi di ISPDN harus bertindak sesuai dengan petunjuk ( pedoman, peraturan, dan lain-lain.), yang merupakan bagian dari dokumentasi operasional pada ISPD, dan memenuhi persyaratan dokumen untuk memastikan IS.

Tanggung jawab untuk administrasi sarana perlindungan dan mekanisme perlindungan yang menerapkan persyaratan untuk memastikan ISPD organisasi ditetapkan berdasarkan perintah ( pesanan) pada spesialis Departemen Teknologi Informasi.

Prosedur untuk spesialis Departemen Teknologi Informasi dan personel yang terlibat dalam pemrosesan data pribadi harus ditentukan dengan instruksi ( pedoman), yang disiapkan oleh pengembang ISPD sebagai bagian dari dokumentasi operasional untuk ISPD.

Instruksi yang ditentukan ( kepemimpinan):

menetapkan persyaratan untuk kualifikasi personel di bidang keamanan informasi, serta daftar terbaru objek yang dilindungi dan aturan untuk memperbaruinya;
mengandung sepenuhnya relevan ( Oleh waktu) data tentang hak pengguna;
memuat data tentang teknologi pemrosesan informasi dalam jumlah yang diperlukan untuk spesialis keamanan informasi;
menetapkan urutan dan frekuensi analisis log peristiwa ( arsip log);
mengatur tindakan lainnya.

Parameter konfigurasi sarana perlindungan dan mekanisme untuk melindungi informasi dari gangguan yang digunakan di bidang tanggung jawab spesialis Departemen Teknologi Informasi ditentukan dalam dokumentasi operasional pada ISPD. Prosedur dan frekuensi pemeriksaan parameter konfigurasi yang dipasang ditetapkan dalam dokumentasi operasional atau diatur oleh dokumen internal, sedangkan pemeriksaan harus dilakukan setidaknya setahun sekali.

Organisasi harus menentukan dan mendokumentasikan prosedur untuk akses ke tempat di mana sarana teknis ISPDN berada dan pembawa data pribadi disimpan, menyediakan kontrol akses ke tempat orang yang tidak berwenang dan adanya hambatan bagi orang yang tidak berwenang. masuk ke dalam tempat. Prosedur yang ditentukan harus dikembangkan oleh unit struktural atau pejabat ( seorang pegawai), bertanggung jawab untuk memastikan rezim keamanan fisik dan disetujui oleh unit struktural atau pejabat ( seorang pegawai), bertanggung jawab untuk memastikan keamanan data pribadi, dan Departemen Keamanan Ekonomi.

Pengguna dan petugas layanan ISPD tidak boleh melakukan tindakan yang tidak sah dan ( atau) tidak terdaftar ( tidak terkendali) menyalin data pribadi. Untuk tujuan ini, langkah-langkah organisasi dan teknis harus melarang yang tidak sah dan ( atau) tidak terdaftar ( tidak terkendali) penyalinan data pribadi, termasuk penggunaan yang diasingkan ( tergantikan) media penyimpanan, perangkat bergerak untuk menyalin dan mentransfer informasi, port komunikasi dan perangkat input/output yang mengimplementasikan berbagai antarmuka ( termasuk nirkabel), perangkat penyimpanan perangkat seluler ( misalnya, laptop, komputer pribadi saku, telepon pintar, ponsel ), serta perangkat foto dan video.

Kontrol keamanan pribadi dilakukan oleh spesialis keamanan informasi, baik dengan bantuan sarana standar sistem perlindungan informasi, dan dengan bantuan sarana kontrol khusus dan pemantauan teknologi.

Unduh file ZIP (65475)

Dokumen-dokumen itu berguna - tulis "suka" atau:

Jika ada ancaman, harus ada metode perlindungan dan penanggulangan.... Metode adalah sarana untuk mencapai tugas yang diberikan dan urutan metode untuk menggunakan kekuatan untuk melindungi informasi rahasia.

Prinsip tindakan manusia di alam bawah sadar dirancang untuk mencapai hasil positif... Pengalaman para profesional di bidang keamanan informasi telah cukup jelas mendefinisikan totalitas sarana, kekuatan dan teknik yang ditujukan untuk menjamin keamanan informasi atau keandalan informasi.

Memastikan keandalan informasi atau keamanan informasi dicapai dengan tindakan berikut yang ditujukan untuk:

Identifikasi ancaman dinyatakan dalam analisis dan pengendalian yang teratur terhadap kejadian yang dapat diterima dari ancaman potensial atau nyata, serta tindakan tepat waktu untuk mencegahnya;
pencegahan ancaman dicapai dengan memastikan keamanan informasi atau keandalan informasi yang mendukung secara proaktif dan kemunculannya
untuk mendeteksi ancaman dengan analisis risiko;
Pencantuman tindakan untuk menghilangkan ancaman atau tindak pidana dan lokalisasi tindak pidana;
deteksi ancaman dicapai dengan mengidentifikasi tindakan kriminal tertentu dan ancaman nyata;
penghapusan konsekuensi mengenai ancaman dan tindakan kriminal tertentu. Memulihkan status quo (Gbr. 1).

Metode perlindungan informasi:

hambatan - sarana fisik mencegah penyerang dari bertindak atas informasi penting
kontrol akses - sarana perlindungan informasi dengan mengatur penggunaan semua sumber daya IS di TI. Metode seperti itu harus melindungi dari informasi
Algoritma enkripsi - metode diimplementasikan baik selama penyimpanan dan pemrosesan informasi. Saat mentransfer informasi, ini adalah metode perlindungan utama dan satu-satunya
Regulasi adalah penciptaan kondisi untuk menyimpan dan memproses informasi dalam sistem informasi, di mana standar dan norma untuk perlindungan diterapkan semaksimal mungkin.
Pemaksaan adalah sarana perlindungan yang memaksa pengguna untuk mematuhi aturan kerja dalam sistem informasi
Insentif adalah sarana perlindungan yang mendorong pengguna sistem informasi untuk tidak melanggar aturan, karena standar etika dan moral
Perangkat keras - perangkat yang tertanam dalam mekanisme komputasi atau terhubung menggunakan antarmuka
sarana fisik - berbagai struktur teknik yang melindungi personel, informasi, perangkat, barang dari penyusup
Perangkat lunak - perangkat lunak yang tertanam dalam sistem informasi untuk menerapkan perlindungan
Alat organisasi - dicapai berdasarkan dokumen peraturan yang mengatur pekerjaan karyawan sedemikian rupa untuk menerapkan perlindungan maksimum sistem informasi

Pencegahan tindakan ilegal dan kemungkinannya dapat dilakukan dengan berbagai cara dan tindakan, mulai dari pemeliharaan hubungan antara karyawan dengan metode organisasi hingga perlindungan perangkat keras, fisik, perangkat lunak, dan metode (atau atau). Pencegahan ancaman juga dimungkinkan dengan tahap memperoleh informasi tentang tindakan persiapan, tindakan yang disiapkan, pencurian yang direncanakan dan unsur-unsur tindakan kriminal lainnya. Untuk itu perlu adanya informan di berbagai bidang tindakan dengan tugas yang berbeda. Beberapa mengamati dan memberikan penilaian yang objektif tentang situasi saat ini. Lainnya mengukur hubungan karyawan dalam tim di berbagai sudut perusahaan. Yang lain lagi bekerja di antara kelompok kriminal dan pesaing.

Gambar 1

Untuk mencegah ancaman, aktivitas layanan keamanan informasi dan analitis memainkan peran yang sangat penting berdasarkan analisis situasi khusus dan aktivitas penyerang dan pesaing. Jika Anda memiliki akses ke Internet, layanan keamanan. Dan juga atau.

Perlindungan terhadap pengungkapan data dikurangi menjadi pembuatan katalog informasi yang merupakan rahasia dagang di perusahaan. Katalog informasi ini harus dikomunikasikan kepada setiap karyawan di perusahaan, dengan komitmen tertulis kepada karyawan ini untuk menjaga rahasia ini. Salah satu tindakan penting adalah sistem pengendalian untuk menjaga integritas dan kerahasiaan rahasia dagang.

Perlindungan informasi rahasia dari kebocoran bekerja berdasarkan akuntansi, identifikasi dan kontrol kemungkinan rute kebocoran dalam situasi tertentu, serta penerapan langkah-langkah teknis, organisasi, organisasi dan teknis untuk penghancurannya.

Perlindungan informasi rahasia dari akses yang tidak sah beroperasi atas dasar penerapan prosedur teknis, organisasi, organisasi dan teknis untuk melawan akses yang tidak sah. Serta kontrol metode akses dan analisis yang tidak sah.

Dalam praktiknya, semua kegiatan sampai batas tertentu menggunakan teknis, dan dibagi menjadi tiga kelompok (Gbr. 2):

organisasi (dalam bidang sarana teknis);
teknis.
organisasi dan teknis;

Gambar 2

Referensi tindakan defensif

Pekerjaan perlindungan, serta teknik dan prosedur untuk menjaga keamanan informasi, diklasifikasikan menurut karakteristik dan objek perlindungan, yang dibagi menjadi parameter berikut:

Berdasarkan orientasi - metode perlindungan dapat diklasifikasikan sebagai tindakan, kursus untuk melindungi personel, aset keuangan dan material, dan informasi sebagai dana.

Dengan metode - ini adalah deteksi (misalnya :) atau, peringatan, deteksi, penindasan, dan pemulihan.

Dalam arahan - ini adalah perlindungan berdasarkan metode hukum, tindakan organisasi dan rekayasa dan teknis.

Dalam hal cakupan, peralatan pelindung dapat ditujukan untuk melindungi perimeter suatu perusahaan, kamar individu, bangunan, kelompok peralatan tertentu, sarana dan sistem teknis, elemen individu(rumah, bangunan, peralatan) berbahaya dari sudut pandang akses tidak sah ke sana.

Alasan informasi tersebut dapat berupa orang, pemborosan, sarana teknis, dll. Pembawa informasi dapat berupa medan akustik dan elektromagnetik, atau zat (produk, kertas, bahan). Media propagasi adalah lingkungan yang keras atau wilayah udara.

Pelaku mungkin memiliki semua sarana yang diperlukan untuk menerima energi elektromagnetik dan akustik, pengawasan udara dan kemampuan untuk menganalisis materi presentasi informasi.

Representasi informasi dalam bentuk nyata. Untuk mengecualikan penyitaan informasi rahasia yang melanggar hukum, Anda harus memproses sinyal atau sumber informasi dengan cara teredam atau enkripsi lainnya.

Dengan peningkatan tingkat penggunaan dan distribusi jaringan informasi (atau) dan PC, peran berbagai faktor yang menyebabkan pengungkapan, kebocoran, dan akses tidak sah ke informasi meningkat. Ini adalah:

kesalahan;
perilaku karyawan dan pengguna yang berbahaya atau tidak sah;
default perangkat keras atau bug dalam program;
bencana alam, kecelakaan dari berbagai sumber dan bahaya;
kesalahan pengguna dan staf;
kesalahan di.

Dalam hal ini, tujuan utama dari perlindungan informasi di jaringan informasi dan PCnya adalah:

pencegahan kebocoran dan kehilangan informasi, interferensi dan intersepsi di semua tingkat pengaruh, untuk semua objek yang terpisah secara geografis;
memastikan hak-hak pengguna dan norma hukum terkait MENGAKSES terhadap informasi dan sumber daya lainnya, yang melibatkan tinjauan administratif atas aktivitas informasi, termasuk tindakan tanggung jawab pribadi untuk mengikuti mode pengoperasian dan aturan penggunaan;

Gambar 3

kesimpulan

1.Memastikan keandalan atau keamanan informasi dicapai melalui prosedur organisasi, teknis, dan teknis organisasi, yang mana pun disediakan dengan metode, cara, dan tindakan unik dengan parameter yang sesuai.

2. Berbagai tindakan dan kondisi yang berkontribusi pada asimilasi data rahasia yang ilegal atau melanggar hukum, memaksa penggunaan metode, sarana, kekuatan yang tidak kalah beragamnya, dan untuk memastikan keamanan atau keandalan informasi.

3. Tugas utama perlindungan informasi adalah menjamin kerahasiaan, integritas, dan kecukupan sumber daya informasi. Dan juga untuk memperkenalkannya ke dalam sistem.

4. Metode untuk memastikan perlindungan informasi harus ditujukan pada sikap proaktif dari tindakan yang ditujukan pada cara proaktif untuk mencegah kemungkinan ancaman terhadap rahasia dagang.

Informasi keamanan, seperti perlindungan informasi, adalah tugas kompleks yang ditujukan untuk memastikan keamanan, yang diimplementasikan oleh penerapan sistem keamanan. Masalah perlindungan informasi memiliki banyak segi dan kompleks dan mencakup sejumlah tugas penting. Masalah keamanan informasi terus diperburuk oleh penetrasi sarana teknis pemrosesan dan transmisi data ke semua bidang masyarakat dan, di atas segalanya, sistem komputer.

Sampai saat ini, tiga prinsip dasar bahwa keamanan informasi harus menyediakan:

integritas data - perlindungan terhadap kegagalan yang menyebabkan hilangnya informasi, serta perlindungan terhadap pembuatan atau penghancuran data yang tidak sah;

kerahasiaan informasi;

Dalam pengembangan sistem komputer, kegagalan atau kesalahan dalam pengoperasian yang dapat menyebabkan konsekuensi serius, masalah keamanan komputer menjadi prioritas. Ada banyak tindakan yang diketahui bertujuan untuk memastikan keamanan komputer, yang utama adalah teknis, organisasi dan hukum.

Memastikan keamanan informasi itu mahal, tidak hanya karena biaya pembelian atau pemasangan langkah-langkah keamanan, tetapi juga karena sulit untuk secara terampil mendefinisikan batas-batas keamanan yang wajar dan memastikan bahwa sistem tetap berjalan dan berjalan sesuai dengan itu.

Fitur keamanan mungkin tidak dirancang, dibeli, atau dipasang hingga analisis yang sesuai dilakukan.

Situs ini menganalisis keamanan informasi dan tempatnya dalam sistem keamanan nasional, mengidentifikasi kepentingan vital di bidang informasi dan ancaman terhadapnya. Isu perang informasi, senjata informasi, prinsip, tugas utama dan fungsi memastikan keamanan informasi, fungsi sistem negara untuk memastikan keamanan informasi, standar domestik dan asing di bidang keamanan informasi dipertimbangkan. Perhatian yang cukup besar juga diberikan pada masalah hukum keamanan informasi.

Masalah umum perlindungan informasi dalam sistem pemrosesan data otomatis (ASOD), subjek dan objek perlindungan informasi, tugas perlindungan informasi di ASOD juga dipertimbangkan. Jenis ancaman keamanan yang disengaja dan metode perlindungan informasi di ASOD dipertimbangkan. Metode dan cara mengautentikasi pengguna dan membedakan akses mereka ke sumber daya komputer, kontrol akses ke peralatan, penggunaan kata sandi yang sederhana dan berubah secara dinamis, metode modifikasi skema kata sandi sederhana, metode fungsional.

Prinsip dasar membangun sistem keamanan informasi.

Saat membangun sistem keamanan informasi untuk suatu objek, seseorang harus dipandu oleh prinsip-prinsip berikut:

Kesinambungan proses peningkatan dan pengembangan sistem keamanan informasi, yang terdiri dari pembenaran dan penerapan metode, metode, dan cara yang paling rasional untuk melindungi informasi, pemantauan berkelanjutan, mengidentifikasi hambatan dan kelemahan, serta saluran potensial kebocoran informasi dan akses yang tidak sah.

Penggunaan komprehensif seluruh gudang alat perlindungan yang tersedia di semua tahap produksi dan pemrosesan informasi. Pada saat yang sama, semua alat, metode, dan tindakan yang digunakan digabungkan menjadi satu mekanisme holistik - sistem keamanan informasi.

Memantau berfungsinya, memperbarui, dan melengkapi mekanisme perlindungan tergantung pada perubahan kemungkinan ancaman internal dan eksternal.

Pengguna dilatih dengan benar dan mematuhi semua praktik privasi yang ditetapkan. Tanpa memenuhi persyaratan ini, tidak ada sistem keamanan informasi yang dapat memberikan tingkat perlindungan yang diperlukan.

Syarat yang paling penting memastikan keamanan adalah legalitas, kecukupan, menjaga keseimbangan kepentingan individu dan perusahaan, tanggung jawab bersama antara personel dan manajemen, interaksi dengan lembaga penegak hukum negara.

10) Tahapan membangun keamanan informasi

Tahapan konstruksi.

1. Analisis sistem informasi yang komprehensif

perusahaan di berbagai tingkatan. Analisis resiko.

2. Pengembangan organisasi dan administrasi dan

dokumen peraturan.

3. Pelatihan, pengembangan profesional dan

pelatihan ulang spesialis.

4. Penilaian ulang tahunan atas keadaan informasi

keamanan perusahaan

11) Firewall

Paket firewall dan antivirus.

Firewall (terkadang disebut firewall) membantu meningkatkan keamanan komputer Anda. Ini membatasi informasi yang masuk ke komputer Anda dari komputer lain, memungkinkan Anda untuk mengontrol data di komputer Anda dengan lebih baik dan memberikan garis pertahanan komputer Anda terhadap orang atau program (termasuk virus dan worm) yang secara tidak sah mencoba menyambung ke komputer Anda. Pikirkan firewall sebagai pos perbatasan yang memeriksa informasi (sering disebut lalu lintas) yang datang dari Internet atau jaringan lokal... Selama pemeriksaan ini, firewall menolak atau mengizinkan informasi ke komputer sesuai dengan parameter yang ditentukan.

Apa yang dilindungi firewall?

Firewall MUNGKIN:

1. Blokir virus komputer dan "worm" agar tidak mengakses komputer.

2. Minta pengguna untuk memilih apakah akan memblokir atau mengizinkan permintaan koneksi tertentu.

3. Simpan catatan (log keamanan) - atas permintaan pengguna - merekam upaya yang diizinkan dan diblokir untuk terhubung ke komputer.

Apa yang tidak dilindungi firewall?

Dia tidak bisa:

1. Mendeteksi atau menetralisir virus komputer dan “worm” jika sudah masuk ke komputer.

3. Blokir spam atau surat yang tidak sah agar tidak masuk ke kotak masuk Anda.

PERANGKAT KERAS DAN PERANGKAT LUNAK FIREWALLS

Firewall perangkat keras- perangkat individu yang sangat cepat, andal, tetapi sangat mahal, sehingga biasanya hanya digunakan untuk melindungi jaringan komputer besar. Untuk pengguna rumahan, firewall yang terpasang pada router, sakelar, titik akses nirkabel, dll. adalah optimal. Gabungan firewall router memberikan perlindungan ganda terhadap serangan.

Firewall perangkat lunak adalah program keamanan. Pada prinsipnya, ini mirip dengan firewall perangkat keras, tetapi lebih ramah pengguna: ia memiliki lebih banyak preset dan sering kali memiliki wizard untuk membantu Anda mengatur. Dengan bantuannya, Anda dapat mengizinkan atau menolak akses program lain ke Internet.

Program antivirus (antivirus)- program apa pun untuk mendeteksi virus komputer, serta program yang tidak diinginkan (dianggap berbahaya) secara umum dan memulihkan file yang terinfeksi (dimodifikasi) oleh program tersebut, serta untuk profilaksis - mencegah infeksi (modifikasi) file atau sistem operasi dengan kode berbahaya .

12) Klasifikasi sistem komputasi

Tergantung pada lokasi teritorial sistem pelanggan

Jaringan komputer dapat dibagi menjadi tiga kelas utama:

jaringan global (WAN - Jaringan Area Luas);

jaringan regional (MAN - Metropolitan Area Network);

Jaringan area lokal (LAN - Jaringan Area Lokal).

Topologi LAN Dasar

Topologi LAN adalah diagram geometrik dari koneksi node jaringan.

Topologi jaringan komputer bisa sangat berbeda, tetapi

untuk jaringan area lokal, hanya tiga yang khas:

Cincin,

Berbentuk bintang.

Jaringan komputer apa pun dapat dianggap sebagai kumpulan

Simpul- perangkat apa pun yang terhubung langsung ke

media transmisi jaringan.

Topologi cincin menyediakan koneksi node jaringan dengan kurva tertutup - kabel media transmisi. Output dari satu host terhubung ke input yang lain. Informasi pada ring ditransmisikan dari node ke node. Setiap node perantara antara pemancar dan penerima menyampaikan pesan yang dikirim. Node penerima hanya mengenali dan menerima pesan yang ditujukan padanya.

Topologi ring sangat ideal untuk jaringan yang memakan ruang yang relatif kecil. Itu tidak memiliki hub pusat, yang meningkatkan keandalan jaringan. Transmisi ulang informasi memungkinkan penggunaan semua jenis kabel sebagai media transmisi.

Disiplin yang konsisten dalam melayani node dari jaringan semacam itu mengurangi kinerjanya, dan kegagalan salah satu node melanggar integritas cincin dan memerlukan tindakan khusus untuk melestarikan jalur transmisi informasi.

topologi bus- salah satu yang paling sederhana. Hal ini terkait dengan penggunaan kabel koaksial sebagai media transmisi. Data dari node jaringan transmisi disebarkan di sepanjang bus di kedua arah. Node perantara tidak menyiarkan pesan masuk. Informasi tiba di semua node, tetapi hanya node yang dituju yang diterima oleh pesan. Disiplin pelayanan sejajar.

Ini menyediakan LAN bus berkinerja tinggi. Jaringan mudah diperluas dan dikonfigurasi, serta beradaptasi dengan sistem yang berbeda. Jaringan topologi bus tahan terhadap kemungkinan malfungsi node individu.

Jaringan topologi bus saat ini adalah yang paling umum. Perlu dicatat bahwa mereka pendek dan tidak memungkinkan penggunaan berbagai jenis kabel dalam jaringan yang sama.

Topologi bintang didasarkan pada konsep node pusat yang node perifer terhubung. Setiap node periferal memiliki jalur komunikasinya sendiri yang terpisah dengan node pusat. Semua informasi ditransmisikan melalui hub pusat, yang me-relay, switch, dan merutekan arus informasi dalam jaringan.

Topologi berbentuk bintang sangat menyederhanakan interaksi node LAN satu sama lain, memungkinkan penggunaan yang lebih sederhana adaptor jaringan... Pada saat yang sama, kinerja LAN dengan topologi bintang sepenuhnya bergantung pada situs pusat.

Dalam jaringan komputer nyata, topologi yang lebih maju dapat digunakan, yang dalam beberapa kasus mewakili kombinasi dari yang dipertimbangkan.

Pilihan topologi tertentu ditentukan oleh area penerapan LAN, lokasi geografis node-nya, dan dimensi jaringan secara keseluruhan.

Internet- jaringan komputer informasi di seluruh dunia, yang merupakan penyatuan banyak jaringan komputer regional dan komputer yang saling bertukar informasi melalui saluran telekomunikasi publik (saluran telepon analog dan digital khusus, saluran komunikasi optik dan saluran radio, termasuk saluran komunikasi satelit).

ISP- penyedia layanan jaringan - orang atau organisasi yang menyediakan layanan untuk menghubungkan ke jaringan komputer.

Tuan rumah (dari tuan rumah bahasa Inggris - "tuan rumah yang menerima tamu")- perangkat apa pun yang menyediakan layanan dalam format "server-klien" dalam mode server pada antarmuka apa pun dan didefinisikan secara unik pada antarmuka ini. Dalam kasus yang lebih spesifik, sebuah host dapat dipahami sebagai komputer atau server yang terhubung ke jaringan lokal atau global.

Protokol jaringan- seperangkat aturan dan tindakan (urutan tindakan), yang memungkinkan koneksi dan pertukaran data antara dua atau lebih perangkat yang terhubung ke jaringan.

Alamat IP (IP-address, singkatan dari English Internet Protocol Address)- unik alamat jaringan node dalam jaringan komputer yang dibangun melalui IP. Alamat unik global diperlukan di Internet; dalam hal bekerja di jaringan lokal, keunikan alamat dalam jaringan diperlukan. Dalam versi IPv4, alamat IP panjangnya 4 byte.

Nama domain- nama simbolis yang membantu menemukan alamat server Internet.

13) Tugas Peer-to-Peer

Firmware untuk perlindungan terhadap akses yang tidak sah mencakup langkah-langkah untuk identifikasi, otentikasi, dan kontrol akses ke sistem informasi.

Identifikasi adalah penugasan pengidentifikasi unik untuk mengakses mata pelajaran.

Ini termasuk tag RFID, teknologi biometrik, kartu magnetik, kunci magnetik universal, login, dll.

Otentikasi - memeriksa bahwa subjek akses milik pengidentifikasi yang disajikan dan mengonfirmasi keasliannya.

Prosedur otentikasi termasuk kata sandi, kode pin, kartu pintar, kunci usb, tanda tangan digital, kunci sesi, dll. Bagian prosedural dari sarana identifikasi dan otentikasi saling berhubungan dan, pada kenyataannya, merupakan dasar dasar dari semua perangkat lunak dan perangkat keras untuk memastikan keamanan informasi, karena semua layanan lain dirancang untuk melayani subjek tertentu, yang dikenali dengan benar oleh sistem informasi. Secara umum, identifikasi memungkinkan subjek untuk mengidentifikasi dirinya untuk sistem informasi, dan dengan bantuan otentikasi, sistem informasi menegaskan bahwa subjek benar-benar seperti yang dia klaim. Berdasarkan berjalannya operasi ini, dilakukan operasi untuk menyediakan akses ke sistem informasi. Prosedur kontrol akses memungkinkan entitas yang berwenang untuk melakukan tindakan yang diizinkan oleh peraturan, dan sistem informasi untuk mengontrol tindakan ini untuk kebenaran dan kebenaran hasilnya. Kontrol akses memungkinkan sistem untuk menyembunyikan dari data pengguna yang mereka tidak memiliki akses.

Cara perlindungan perangkat lunak dan perangkat keras berikutnya adalah pencatatan dan audit informasi.

Logging mencakup pengumpulan, akumulasi, dan penyimpanan informasi tentang peristiwa, tindakan, hasil yang terjadi selama pengoperasian sistem informasi, pengguna individu, proses, dan semua perangkat lunak dan perangkat keras yang membentuk sistem informasi perusahaan.

Karena setiap komponen sistem informasi memiliki serangkaian kemungkinan kejadian yang telah ditentukan sebelumnya sesuai dengan pengklasifikasi yang diprogram, kejadian, tindakan, dan hasil dibagi menjadi:

eksternal, yang disebabkan oleh tindakan komponen lain,
internal, yang disebabkan oleh tindakan komponen itu sendiri,
sisi klien, yang disebabkan oleh tindakan pengguna dan administrator.

Audit informasi terdiri dari melakukan analisis operasional secara real time atau dalam periode tertentu.

Berdasarkan hasil analisis, baik laporan yang dihasilkan pada peristiwa yang telah terjadi, atau respon otomatis terhadap situasi darurat dimulai.

Pelaksanaan logging dan audit menyelesaikan tugas-tugas berikut:

menjaga pengguna dan administrator akuntabel;
memberikan kemampuan untuk merekonstruksi urutan peristiwa;
deteksi upaya untuk melanggar keamanan informasi;
memberikan informasi untuk mengidentifikasi dan menganalisis masalah.

Perlindungan informasi seringkali tidak mungkin dilakukan tanpa menggunakan sarana kriptografi. Mereka digunakan untuk memastikan operasi enkripsi, kontrol integritas dan layanan otentikasi, ketika sarana otentikasi disimpan oleh pengguna dalam bentuk terenkripsi. Ada dua metode enkripsi utama: simetris dan asimetris.

Kontrol integritas memungkinkan Anda untuk menetapkan keaslian dan identitas suatu objek, yang merupakan larik data, bagian data individual, sumber data, serta untuk memastikan bahwa tidak mungkin menandai tindakan yang dilakukan dalam sistem dengan larik dari informasi. Implementasi kontrol integritas didasarkan pada teknologi transformasi data menggunakan enkripsi dan sertifikat digital.

Yang lain aspek penting adalah penggunaan pelindung, teknologi yang memungkinkan, membatasi akses subjek ke sumber daya informasi, untuk mengontrol semua arus informasi antara sistem informasi perusahaan dan objek eksternal, array data, subjek dan kontra-subjek. Kontrol aliran terdiri dari menyaringnya dan, jika perlu, mengubah informasi yang dikirimkan.

Tugas melindungi adalah melindungi informasi internal dari faktor dan subjek eksternal yang berpotensi bermusuhan. Bentuk utama dari implementasi shielding adalah firewall atau firewall, dari berbagai jenis dan arsitektur.

Karena salah satu tanda keamanan informasi adalah ketersediaan sumber daya informasi, memastikan tingkat ketersediaan yang tinggi merupakan arah penting dalam penerapan langkah-langkah perangkat lunak dan perangkat keras. Secara khusus, dua area dibagi: memastikan toleransi kesalahan, mis. menetralisir kegagalan sistem, kemampuan untuk beroperasi ketika kesalahan terjadi, dan memastikan keamanan dan pemulihan cepat setelah kegagalan, yaitu kemudahan servis dari sistem.

Persyaratan utama untuk sistem informasi adalah bahwa mereka selalu bekerja dengan efisiensi tertentu, waktu ketidaktersediaan minimum, dan kecepatan respons.

Sejalan dengan itu, ketersediaan sumber daya informasi dijamin oleh:

penggunaan arsitektur struktural, yang berarti bahwa modul individu dapat dinonaktifkan, jika perlu, atau dengan cepat diganti tanpa merusak elemen lain dari sistem informasi;
memastikan toleransi kesalahan karena: penggunaan elemen otonom dari infrastruktur pendukung, pengenalan kapasitas berlebih dalam konfigurasi perangkat lunak dan perangkat keras, redundansi perangkat keras, replikasi sumber daya informasi dalam sistem, salinan cadangan data, dll.
memastikan kemudahan servis dengan mengurangi waktu diagnosis dan menghilangkan kegagalan dan konsekuensinya.

Saluran komunikasi yang aman adalah jenis lain dari alat keamanan informasi.

Fungsi sistem informasi pasti terkait dengan transfer data, oleh karena itu, penting juga bagi perusahaan untuk memastikan perlindungan sumber daya informasi yang ditransfer menggunakan saluran komunikasi yang aman. Kemungkinan akses tidak sah ke data saat mentransmisikan lalu lintas melalui saluran komunikasi terbuka adalah karena ketersediaannya untuk publik. Karena "komunikasi sepanjang keseluruhannya tidak dapat dilindungi secara fisik, oleh karena itu lebih baik untuk memulai dari asumsi kerentanan mereka dan, karenanya, memberikan perlindungan." Untuk ini, teknologi tunneling digunakan, yang intinya adalah untuk merangkum data, mis. mengemas atau membungkus paket data yang ditransmisikan, termasuk semua atribut layanan, dalam amplopnya sendiri. Dengan demikian, terowongan adalah koneksi aman melalui saluran komunikasi terbuka di mana paket data yang dilindungi secara kriptografis ditransmisikan. Tunneling digunakan untuk memastikan kerahasiaan lalu lintas dengan menyembunyikan informasi layanan dan memastikan kerahasiaan dan integritas data yang dikirimkan saat digunakan bersama dengan elemen kriptografi sistem informasi. Kombinasi tunneling dan enkripsi memungkinkan VPN diimplementasikan. Dalam hal ini, titik akhir terowongan yang mengimplementasikan jaringan pribadi virtual adalah firewall yang melayani koneksi organisasi ke jaringan eksternal.

Firewall sebagai Titik Implementasi Layanan Jaringan Pribadi Virtual

Dengan demikian, tunneling dan enkripsi adalah transformasi tambahan yang dilakukan dalam proses penyaringan lalu lintas jaringan bersama dengan terjemahan alamat. Ujung terowongan, selain firewall perusahaan, dapat berupa komputer pribadi dan seluler karyawan, lebih tepatnya, firewall dan firewall pribadi mereka. Berkat pendekatan ini, fungsi saluran komunikasi yang aman dipastikan.

Prosedur keamanan informasi

Prosedur keamanan informasi biasanya dibedakan pada tingkat administrasi dan organisasi.

Prosedur administratif mencakup tindakan umum yang diambil oleh manajemen organisasi untuk mengatur semua pekerjaan, tindakan, operasi di bidang memastikan dan memelihara keamanan informasi, dilaksanakan dengan mengalokasikan sumber daya yang diperlukan dan memantau efektivitas tindakan yang diambil.
Tingkat organisasi mewakili prosedur untuk memastikan keamanan informasi, termasuk manajemen personalia, perlindungan fisik, menjaga pengoperasian infrastruktur perangkat keras dan perangkat lunak, segera menghilangkan pelanggaran keamanan dan merencanakan pekerjaan pemulihan.

Di sisi lain, perbedaan antara prosedur administrasi dan organisasi tidak ada artinya, karena prosedur satu tingkat tidak dapat ada secara terpisah dari yang lain, sehingga melanggar interkoneksi perlindungan. lapisan fisik, perlindungan pribadi dan organisasi dalam konsep keamanan informasi. Dalam praktiknya, sambil memastikan keamanan informasi suatu organisasi, prosedur administrasi atau organisasi tidak diabaikan, oleh karena itu lebih logis untuk mempertimbangkannya sebagai pendekatan terpadu, karena kedua tingkat mempengaruhi tingkat perlindungan informasi fisik, organisasi, dan pribadi.

Dasar dari prosedur kompleks untuk memastikan keamanan informasi adalah kebijakan keamanan.

Kebijakan keamanan informasi

Kebijakan keamanan informasi dalam sebuah organisasi, ini adalah serangkaian keputusan terdokumentasi yang dibuat oleh manajemen organisasi dan ditujukan untuk melindungi informasi dan sumber daya terkait.

Dalam istilah organisasi dan manajerial, kebijakan keamanan informasi dapat berupa dokumen tunggal atau dibuat dalam bentuk beberapa dokumen atau perintah independen, tetapi bagaimanapun juga harus mencakup aspek-aspek berikut untuk melindungi sistem informasi organisasi:

perlindungan objek sistem informasi, sumber daya informasi, dan operasi langsung dengannya;
perlindungan semua operasi yang terkait dengan pemrosesan informasi dalam sistem, termasuk perangkat lunak pemrosesan;
perlindungan saluran komunikasi, termasuk kabel, radio, inframerah, perangkat keras, dll.;
perlindungan kompleks perangkat keras dari radiasi elektromagnetik kolateral;
manajemen keamanan, termasuk pemeliharaan, peningkatan, dan tindakan administratif.

Setiap aspek harus dijelaskan secara rinci dan didokumentasikan dalam dokumen internal organisasi. Dokumen internal mencakup tiga tingkat proses keamanan: atas, tengah, dan bawah.

Dokumen kebijakan keamanan informasi tingkat tinggi mencerminkan pendekatan utama organisasi untuk melindungi informasinya sendiri dan kepatuhannya terhadap standar nasional dan/atau internasional. Dalam praktiknya, sebuah organisasi hanya memiliki satu dokumen tingkat atas yang berjudul "Konsep Keamanan Informasi", "Peraturan Keamanan Informasi", dll. Secara formal, dokumen-dokumen ini tidak memiliki nilai rahasia, distribusinya tidak terbatas, tetapi dapat dirilis dalam edisi untuk penggunaan internal dan publikasi terbuka.

Dokumen tingkat menengah sangat rahasia dan berhubungan dengan aspek spesifik dari keamanan informasi organisasi: alat keamanan informasi yang digunakan, keamanan basis data, komunikasi, alat kriptografi dan informasi lainnya serta proses ekonomi organisasi. Dokumentasi diimplementasikan dalam bentuk standar teknis dan organisasi internal.

Dokumen tingkat bawah dibagi menjadi dua jenis: peraturan kerja dan instruksi pengoperasian. Peraturan kerja sangat rahasia dan ditujukan hanya untuk orang yang, bertugas, melakukan pekerjaan administrasi layanan keamanan informasi individu. Instruksi pengoperasian dapat bersifat rahasia atau publik; mereka ditujukan untuk personel organisasi dan menjelaskan prosedur untuk bekerja dengan elemen individu dari sistem informasi organisasi.

Pengalaman dunia menunjukkan bahwa kebijakan keamanan informasi selalu didokumentasikan hanya di perusahaan besar yang memiliki sistem informasi yang dikembangkan yang memaksakan peningkatan persyaratan untuk keamanan informasi, perusahaan menengah paling sering hanya memiliki kebijakan keamanan informasi yang terdokumentasi sebagian, organisasi kecil di sebagian besar melakukannya tidak peduli tentang mendokumentasikan kebijakan keamanan. Terlepas dari apakah format pendokumentasian bersifat holistik atau terdistribusi, mode keamanan adalah aspek dasar.

Ada dua pendekatan berbeda yang membentuk dasar kebijakan keamanan informasi:

"Segala sesuatu yang tidak dilarang diperbolehkan."
"Segala sesuatu yang dilarang yang tidak diperbolehkan."

Cacat mendasar dari pendekatan pertama adalah bahwa dalam praktiknya tidak mungkin untuk meramalkan semua kasus berbahaya dan melarangnya. Tidak ada keraguan bahwa hanya pendekatan kedua yang harus digunakan.

Tingkat keamanan informasi organisasi

Dari sudut pandang perlindungan informasi, prosedur organisasi untuk memastikan keamanan informasi disajikan sebagai "pengaturan kegiatan produksi dan hubungan para pelaku berdasarkan hukum yang mengecualikan atau secara signifikan memperumit perolehan ilegal informasi rahasia dan manifestasi internal dan ancaman eksternal."

Langkah-langkah manajemen personalia yang ditujukan untuk mengatur pekerjaan dengan personel untuk memastikan keamanan informasi termasuk pemisahan tugas dan minimalisasi hak istimewa. Pemisahan tugas mengatur distribusi kompetensi dan bidang tanggung jawab di mana satu orang tidak dapat mengganggu proses kritis bagi organisasi. Ini mengurangi kemungkinan kesalahan dan penyalahgunaan. Minimisasi hak istimewa mengatur pemberian pengguna hanya tingkat akses yang sesuai dengan kebutuhan untuk melakukan tugas resmi mereka. Ini mengurangi kerusakan akibat kesalahan yang disengaja atau tidak disengaja.

Perlindungan fisik berarti pengembangan dan penerapan langkah-langkah untuk perlindungan langsung bangunan tempat sumber informasi organisasi berada, wilayah yang berdekatan, elemen infrastruktur, komputer, pembawa data, dan saluran komunikasi perangkat keras. Ini termasuk kontrol akses fisik, perlindungan kebakaran, perlindungan infrastruktur pendukung, perlindungan penyadapan data, dan perlindungan sistem seluler.

Mempertahankan pengoperasian infrastruktur perangkat lunak dan perangkat keras terdiri dari pencegahan kesalahan stokastik yang mengancam kerusakan kompleks perangkat keras, malfungsi program, dan hilangnya data. Arahan utama dalam aspek ini adalah untuk menyediakan dukungan pengguna dan perangkat lunak, manajemen konfigurasi, pencadangan, manajemen media, dokumentasi, dan pekerjaan pencegahan.

Penghapusan segera pelanggaran keamanan memiliki tiga tujuan utama:

Lokalisasi kejadian dan pengurangan kerusakan yang ditimbulkan;
Identifikasi pelaku;
Pencegahan pelanggaran berulang.

Terakhir, perencanaan remediasi memungkinkan Anda untuk bersiap menghadapi kecelakaan, mengurangi kerusakan darinya, dan mempertahankan kemampuan untuk berfungsi setidaknya seminimal mungkin.

Penggunaan perangkat lunak dan perangkat keras serta saluran komunikasi yang aman harus diterapkan dalam organisasi berdasarkan pendekatan terpadu untuk pengembangan dan persetujuan semua prosedur peraturan administratif dan organisasi untuk memastikan keamanan informasi. Jika tidak, penerapan tindakan tertentu tidak menjamin perlindungan informasi, dan seringkali, sebaliknya, memicu kebocoran informasi rahasia, kehilangan data penting, kerusakan infrastruktur perangkat keras, dan gangguan komponen perangkat lunak sistem informasi organisasi.

Metode keamanan informasi

Untuk perusahaan modern, sistem informasi terdistribusi adalah karakteristik, yang memungkinkan untuk memperhitungkan kantor dan gudang perusahaan yang didistribusikan, akuntansi keuangan dan kontrol manajemen, informasi dari basis klien, dengan mempertimbangkan sampel berdasarkan indikator, dan sebagainya. Dengan demikian, kumpulan data sangat signifikan, dan sebagian besar adalah informasi yang merupakan prioritas penting bagi perusahaan dalam hal komersial dan ekonomi. Padahal, memastikan kerahasiaan data yang bernilai komersial adalah salah satu tugas utama untuk memastikan keamanan informasi di sebuah perusahaan.

Memastikan keamanan informasi di perusahaan harus diatur oleh dokumen-dokumen berikut:

Peraturan keamanan informasi. Ini mencakup perumusan maksud dan tujuan untuk memastikan keamanan informasi, daftar peraturan internal tentang alat keamanan informasi dan peraturan tentang administrasi sistem informasi terdistribusi perusahaan. Akses ke peraturan terbatas pada manajemen organisasi dan kepala departemen otomasi.
Peraturan untuk dukungan teknis perlindungan informasi. Dokumen bersifat rahasia, akses terbatas pada karyawan departemen otomasi dan manajemen senior.
Peraturan untuk administrasi sistem keamanan informasi terdistribusi. Akses ke peraturan terbatas pada karyawan departemen otomasi yang bertanggung jawab atas administrasi sistem informasi dan manajemen yang lebih tinggi.

Pada saat yang sama, dokumen-dokumen ini tidak boleh dibatasi, tetapi juga tingkat yang lebih rendah harus diselesaikan. Jika tidak, jika perusahaan tidak memiliki dokumen lain yang terkait dengan keamanan informasi, maka ini akan menunjukkan tingkat dukungan administratif yang tidak memadai untuk keamanan informasi, karena tidak ada dokumen tingkat bawah, khususnya, instruksi untuk pengoperasian elemen individu dari sistem informasi.

Prosedur organisasi wajib meliputi:

langkah-langkah dasar untuk membedakan personel sesuai dengan tingkat akses ke sumber daya informasi,
perlindungan fisik kantor perusahaan dari penetrasi langsung dan ancaman perusakan, kehilangan atau penyadapan data,
menjaga pengoperasian infrastruktur perangkat keras dan perangkat lunak diatur dalam bentuk pencadangan otomatis, verifikasi jarak jauh media penyimpanan, dukungan pengguna dan perangkat lunak disediakan berdasarkan permintaan.

Ini juga harus mencakup langkah-langkah yang diatur untuk menanggapi dan menghilangkan kasus pelanggaran keamanan informasi.

Dalam praktiknya, sering terlihat bahwa perusahaan tidak cukup memperhatikan masalah ini. Semua tindakan di arah ini dilakukan secara eksklusif dalam urutan kerja, yang meningkatkan waktu untuk menghilangkan kasus pelanggaran dan tidak menjamin pencegahan pelanggaran berulang terhadap keamanan informasi. Selain itu, praktik tindakan perencanaan untuk menghilangkan konsekuensi kecelakaan, kebocoran informasi, kehilangan data, dan situasi kritis sama sekali tidak ada. Semua ini secara signifikan memperburuk keamanan informasi perusahaan.

Pada tingkat perangkat lunak dan perangkat keras, sistem keamanan informasi tiga tingkat harus diterapkan.

Kriteria minimum untuk memastikan keamanan informasi:

1. Modul kontrol akses:

dilaksanakan pintu masuk tertutup ke dalam sistem informasi, tidak mungkin untuk memasuki sistem di luar tempat kerja yang diverifikasi;
akses dengan fungsionalitas terbatas dari komputer pribadi seluler diterapkan untuk karyawan;
otorisasi dilakukan dengan menggunakan login dan kata sandi yang dibuat oleh administrator.

2. Modul untuk enkripsi dan kontrol integritas:

metode enkripsi asimetris untuk data yang ditransmisikan digunakan;
array data penting disimpan dalam database dalam bentuk terenkripsi, yang tidak memungkinkan akses ke sana bahkan jika sistem informasi perusahaan diretas;
kontrol integritas dijamin dengan sederhana ditandatangani secara digital semua sumber daya informasi yang disimpan, diproses atau ditransmisikan dalam sistem informasi.

3. Modul pelindung:

sistem filter di firewall telah diterapkan, yang memungkinkan Anda untuk mengontrol semua arus informasi melalui saluran komunikasi;
koneksi eksternal dengan sumber daya informasi global dan saluran komunikasi publik hanya dapat dilakukan melalui serangkaian stasiun kerja terverifikasi terbatas yang memiliki koneksi terbatas ke sistem informasi perusahaan;
akses aman dari tempat kerja karyawan untuk pelaksanaan tugas resmi mereka diimplementasikan melalui sistem server proxy dua tingkat.

Akhirnya, dengan teknologi tunneling, perusahaan harus menerapkan VPN sesuai dengan model desain khas untuk menyediakan saluran komunikasi yang aman antara berbagai departemen perusahaan, mitra, dan pelanggan perusahaan.

Terlepas dari kenyataan bahwa komunikasi dilakukan secara langsung melalui jaringan dengan potensi level rendah kepercayaan, teknologi tunneling melalui penggunaan alat kriptografi dapat memberikan perlindungan yang andal dari semua data yang dikirimkan.

kesimpulan

Tujuan utama dari semua tindakan yang diambil di bidang keamanan informasi adalah untuk melindungi kepentingan perusahaan, dengan satu atau lain cara terkait dengan sumber daya informasi yang dimilikinya. Sementara kepentingan bisnis tidak terbatas pada area tertentu, semuanya berpusat pada ketersediaan, integritas, dan kerahasiaan informasi.

Masalah memastikan keamanan informasi dijelaskan oleh dua alasan utama.

Sumber daya informasi yang dikumpulkan oleh perusahaan sangat berharga.
Ketergantungan kritis pada teknologi informasi menentukan penggunaannya secara luas.

Mengingat berbagai macam ancaman yang ada terhadap keamanan informasi, seperti perusakan informasi penting, penggunaan data rahasia yang tidak sah, gangguan dalam pekerjaan perusahaan karena pelanggaran sistem informasi, dapat disimpulkan bahwa semua ini secara objektif menyebabkan kerugian material yang besar.

Dalam memastikan keamanan informasi, peran penting dimainkan oleh perangkat lunak dan perangkat keras yang ditujukan untuk mengendalikan entitas komputer, mis. peralatan, elemen perangkat lunak, data, membentuk garis prioritas terakhir dan tertinggi dari keamanan informasi. Transmisi data juga harus aman dalam rangka menjaga kerahasiaan, integritas, dan ketersediaannya. Oleh karena itu, dalam kondisi modern, teknologi tunneling digunakan dalam kombinasi dengan sarana kriptografi untuk menyediakan saluran komunikasi yang aman.

literatur

Galatenko V.A. Standar keamanan informasi. - M.: Universitas Teknologi Informasi Internet, 2006.
Partyka T.L., Popov I.I. Informasi keamanan. - M.: Forum, 2012.