Anotasi: Kuliah ini membahas tentang konsep dasar keamanan informasi. Pembiasaan dengan Undang-Undang Federal "Tentang Informasi, Teknologi Informasi, dan Perlindungan Informasi".

HARAPAN " Perlindungan data... Istilah dan definisi dasar "memperkenalkan konsep informasi keamanan sebagai keadaan keamanan informasi, di mana ia disediakan kerahasiaan, ketersediaan dan integritas.

• Kerahasiaan- keadaan informasi di mana aksesnya dilakukan hanya oleh subjek yang memiliki hak untuk itu.
• Integritas- keadaan informasi di mana tidak ada perubahan di dalamnya, atau perubahan itu dilakukan hanya dengan sengaja oleh subjek yang berhak;
• Ketersediaan- keadaan informasi, di mana subjek yang memiliki hak akses dapat menggunakannya tanpa hambatan.

Ancaman keamanan informasi- seperangkat kondisi dan faktor yang menciptakan potensi atau bahaya nyata dari pelanggaran keamanan informasi [,]. Dengan serangan disebut upaya untuk menerapkan ancaman, dan orang yang melakukan upaya semacam itu - pengacau... Penyusup potensial disebut sumber ancaman.

Ancaman adalah konsekuensi dari kehadiran kerentanan atau kerentanan dalam sistem informasi. Kerentanan dapat muncul karena berbagai alasan, misalnya sebagai akibat dari kesalahan programmer yang tidak disengaja saat menulis program.

Ancaman dapat diklasifikasikan menurut beberapa kriteria:

• pada sifat informasi(ketersediaan, integritas, kerahasiaan) terhadap mana ancaman diarahkan di tempat pertama;
• oleh komponen sistem informasi, yang menjadi sasaran ancaman (data, program, perangkat keras, infrastruktur pendukung);
• menurut cara pelaksanaannya (kesengajaan/kesengajaan, perbuatan yang bersifat alamiah/buatan manusia);
• berdasarkan lokasi sumber ancaman (di dalam/di luar IS yang dipertimbangkan).

Memastikan keamanan informasi adalah tugas kompleks yang membutuhkan Pendekatan yang kompleks... Tingkat perlindungan informasi berikut dibedakan:

1. legislatif - undang-undang, peraturan, dan dokumen lain dari Federasi Rusia dan komunitas internasional;
2. administratif - serangkaian tindakan yang diambil secara lokal oleh manajemen organisasi;
3. tingkat prosedural - langkah-langkah keamanan yang diterapkan oleh orang-orang;
4. tingkat perangkat lunak dan perangkat keras- langsung berarti perlindungan informasi.

Tingkat legislatif adalah dasar untuk membangun sistem perlindungan informasi, karena memberikan konsep dasar mata pelajaran dan menentukan hukuman bagi penyusup potensial. Tingkat ini memainkan peran koordinasi dan pemandu dan membantu memelihara sikap negatif (dan menghukum) di masyarakat terhadap orang-orang yang melanggar keamanan informasi.

1.2. Hukum Federal "Tentang Informasi, Teknologi Informasi, dan Perlindungan Informasi"

Dalam undang-undang Rusia, hukum dasar di bidang perlindungan informasi adalah Undang-Undang Federal "Tentang Informasi, Teknologi Informasi, dan Perlindungan Informasi" tertanggal 27 Juli 2006, No. 149-FZ. Oleh karena itu, konsep dasar dan solusi yang dituangkan dalam undang-undang tersebut memerlukan pertimbangan yang matang.

Hukum mengatur hubungan yang timbul dari:

• pelaksanaan hak untuk mencari, menerima, mentransfer, memproduksi, dan menyebarkan informasi;
• aplikasi teknologi Informasi;
• memastikan perlindungan informasi.

Undang-undang tersebut memberikan definisi dasar di bidang perlindungan informasi. Berikut adalah beberapa di antaranya:

• informasi- informasi (pesan, data) terlepas dari bentuk penyajiannya;
• Teknologi Informasi- proses, metode pencarian, pengumpulan, penyimpanan, pemrosesan, penyediaan, penyebaran informasi dan cara-cara menerapkan proses dan metode tersebut;
• Sistem Informasi- seperangkat informasi yang terkandung dalam basis data dan teknologi informasi serta sarana teknis yang memastikan pemrosesannya;
• pemegang informasi- seseorang yang secara mandiri membuat informasi atau menerima, berdasarkan undang-undang atau perjanjian, hak untuk mengizinkan atau membatasi akses ke informasi yang ditentukan oleh kriteria apa pun;
• operator sistem informasi- warga negara atau badan hukum yang mengoperasikan sistem informasi, termasuk pemrosesan informasi yang terkandung dalam basis datanya.
• kerahasiaan informasi- persyaratan wajib bagi seseorang yang memiliki akses ke informasi tertentu untuk tidak mentransfer informasi tersebut kepada pihak ketiga tanpa persetujuan pemiliknya.

Pasal 4 Undang-undang tersebut merumuskan prinsip-prinsip pengaturan hukum hubungan di bidang informasi, teknologi informasi, dan perlindungan informasi:

1. kebebasan untuk mencari, menerima, mentransfer, memproduksi, dan menyebarkan informasi dengan cara yang sah;
2. penetapan pembatasan akses ke informasi hanya oleh undang-undang federal;
3. keterbukaan informasi tentang kegiatan badan-badan negara bagian dan badan-badan pemerintahan sendiri lokal dan akses bebas ke informasi tersebut, kecuali untuk kasus-kasus yang ditetapkan oleh undang-undang federal;
4. kesetaraan bahasa rakyat Federasi Rusia dalam pembuatan sistem informasi dan operasinya;
5. memastikan keamanan Federasi Rusia selama pembuatan sistem informasi, operasinya, dan perlindungan informasi yang dikandungnya;
6. keandalan informasi dan ketepatan waktu penyediaannya;
7. kehidupan pribadi yang tidak dapat diganggu gugat, tidak dapat diterimanya pengumpulan, penyimpanan, penggunaan, dan penyebaran informasi tentang kehidupan pribadi seseorang tanpa persetujuannya;
8. tidak dapat diterimanya pendirian oleh tindakan hukum pengaturan dari setiap keuntungan menggunakan beberapa teknologi informasi di atas yang lain, kecuali jika penggunaan wajib teknologi informasi tertentu untuk pembuatan dan pengoperasian sistem informasi negara bagian tidak ditetapkan oleh undang-undang federal.

Semua informasi dibagi menjadi tersedia untuk umum dan terbatas mengakses... Informasi yang tersedia untuk umum mencakup informasi yang diketahui secara umum dan informasi lainnya, yang aksesnya tidak terbatas. Undang-undang mendefinisikan informasi yang tidak dapat dibatasi, seperti informasi tentang lingkungan atau kegiatan lembaga pemerintah. Ditetapkan juga bahwa Batasan akses informasi ditetapkan oleh undang-undang federal untuk melindungi fondasi sistem konstitusional, moralitas, kesehatan, hak, dan kepentingan sah orang lain, untuk memastikan pertahanan negara dan keamanan negara. Adalah wajib untuk menghormati kerahasiaan informasi, yang aksesnya dibatasi oleh undang-undang federal.

Dilarang meminta warga negara (individu) untuk memberikan informasi tentang kehidupan pribadinya, termasuk informasi yang merupakan rahasia pribadi atau keluarga, dan untuk menerima informasi tersebut bertentangan dengan kehendak warga negara (individu), kecuali ditentukan lain oleh undang-undang federal.

1. informasi didistribusikan secara bebas;
2. informasi yang diberikan dengan persetujuan orang-orang yang berpartisipasi dalam hubungan yang relevan;
3. informasi yang, sesuai dengan undang-undang federal, tunduk pada ketentuan atau distribusi;
4. informasi, yang distribusinya di Federasi Rusia dibatasi atau dilarang.

Undang-undang menetapkan kesetaraan pesan elektronik yang ditandatangani dengan tanda tangan digital elektronik atau analog lain dari tanda tangan tulisan tangan dan dokumen yang ditandatangani dengan tanda tangan tulisan tangan.

Definisi perlindungan informasi berikut diberikan - ini adalah adopsi langkah-langkah hukum, organisasi dan teknis yang ditujukan untuk:

1. memastikan perlindungan informasi dari akses yang tidak sah, perusakan, modifikasi, pemblokiran, penyalinan, penyediaan, distribusi, serta dari tindakan ilegal lainnya sehubungan dengan informasi tersebut;
2. kepatuhan terhadap kerahasiaan informasi yang dibatasi;
3. realisasi hak untuk mengakses informasi.

Pemilik informasi, operator sistem informasi dalam kasus yang ditetapkan oleh undang-undang Federasi Rusia, berkewajiban untuk memastikan:

1. pencegahan akses tidak sah ke informasi dan (atau) transfer ke orang yang tidak memiliki hak untuk mengakses informasi;
2. deteksi tepat waktu atas fakta akses tidak sah ke informasi;
3. pencegahan kemungkinan konsekuensi yang merugikan dari pelanggaran prosedur akses ke informasi;
4. pencegahan dampak pada sarana teknis pemrosesan informasi, akibatnya fungsinya terganggu;
5. kemungkinan pemulihan segera informasi yang diubah atau dihancurkan karena akses tidak sah ke sana;
6. kontrol konstan untuk memastikan tingkat keamanan informasi.

Dengan demikian, Undang-Undang Federal "Tentang Informasi, Teknologi Informasi, dan Perlindungan Informasi" menciptakan dasar hukum untuk pertukaran informasi di Federasi Rusia dan mendefinisikan hak dan kewajiban subjeknya.

Teknologi informasi komputer yang berkembang pesat membuat perubahan signifikan dalam kehidupan kita. Informasi telah menjadi komoditas yang dapat dibeli, dijual, dipertukarkan. Selain itu, biaya informasi seringkali ratusan kali lebih tinggi daripada biaya sistem komputer tempat informasi tersebut disimpan.

Kesejahteraan, dan terkadang kehidupan banyak orang, tergantung pada tingkat keamanan teknologi informasi. Begitulah harga untuk kerumitan dan penyebaran luas dari sistem pemrosesan informasi otomatis.

Di bawah informasi keamanan adalah keamanan sistem informasi dari gangguan yang tidak disengaja atau disengaja yang merugikan pemilik atau pengguna informasi.

Dalam praktiknya, yang paling penting adalah tiga aspek keamanan informasi:

• ketersediaan(kesempatan untuk menerima layanan informasi yang diperlukan dalam waktu yang wajar);
• integritas(relevansi dan konsistensi informasi, perlindungannya dari perusakan dan perubahan yang tidak sah);
• kerahasiaan(perlindungan terhadap pembacaan yang tidak sah).

Pelanggaran terhadap ketersediaan, integritas, dan kerahasiaan informasi dapat disebabkan oleh berbagai efek berbahaya pada sistem komputer informasi.

Ancaman utama terhadap keamanan informasi

Sistem informasi modern adalah sistem yang kompleks yang terdiri dari sejumlah besar komponen dengan berbagai tingkat otonomi, yang saling berhubungan dan bertukar data. Hampir setiap komponen bisa rusak atau rusak. Komponen sistem informasi otomatis dapat dibagi menjadi beberapa kelompok berikut:

• perangkat keras- komputer dan komponennya (prosesor, monitor, terminal, periferal- floppy drive, printer, pengontrol, kabel, jalur komunikasi, dll.);
• perangkat lunak- program yang dibeli, sumber, objek, modul beban; sistem operasi dan program sistem (kompiler, tautan, dll.), utilitas, program diagnostik, dll.;
• data- disimpan sementara dan permanen, pada media magnetik, cetakan, arsip, log sistem, dll.;
• staf- personel dan pengguna layanan.

Dampak berbahaya pada sistem informasi komputer dapat dibagi menjadi tidak disengaja dan disengaja. Analisis pengalaman merancang, membuat, dan mengoperasikan sistem informasi menunjukkan bahwa informasi terpapar pada berbagai pengaruh acak di semua tahap siklus hidup sistem. Alasan pengaruh kebetulan selama operasi dapat berupa:

• keadaan darurat akibat bencana alam dan pemadaman listrik;
• kegagalan dan kegagalan perangkat keras;
• bug dalam perangkat lunak;
• kesalahan dalam pekerjaan staf;
• gangguan pada jalur komunikasi karena pengaruh lingkungan.

Dampak yang disengaja- ini adalah tindakan yang disengaja dari pelaku. Seorang karyawan, pengunjung, pesaing, atau tentara bayaran dapat bertindak sebagai pelaku. Tindakan pelaku dapat disebabkan oleh motif yang berbeda:

• ketidakpuasan karyawan dengan karirnya;
• menyuap;
• rasa ingin tahu;
• perjuangan kompetitif;
• keinginan untuk menegaskan dirinya sendiri dengan cara apa pun.

Model hipotetis dari penyusup potensial dapat dibuat:

• kualifikasi pelaku di tingkat pengembang sistem ini;
• pelanggar dapat berupa orang yang tidak berwenang atau pengguna sistem yang sah;
• pelanggar mengetahui informasi tentang prinsip-prinsip sistem;
• pelaku memilih link terlemah dalam pertahanan.

Jenis pelanggaran komputer yang paling umum dan beragam adalah akses yang tidak sah(NSD). NSD menggunakan kesalahan apa pun dalam sistem perlindungan dan dimungkinkan dengan pilihan sarana perlindungan yang tidak rasional, pemasangan dan konfigurasi yang salah.

Mari klasifikasikan saluran NSD yang memungkinkan untuk mencuri, mengubah, atau menghancurkan informasi:

• Melalui seseorang:
  • pencurian pembawa informasi;
  • membaca informasi dari layar atau keyboard;
  • membaca informasi dari cetakan.
• Melalui program:
  • intersepsi kata sandi;
  • dekripsi informasi terenkripsi;
  • menyalin informasi dari operator.
• Melalui perangkat keras:
  • koneksi perangkat keras yang dirancang khusus yang menyediakan akses ke informasi;
  • intersepsi radiasi elektromagnetik palsu dari peralatan, jalur komunikasi, jaringan catu daya, dll.

Perhatian khusus harus diberikan pada ancaman yang dapat terjadi pada jaringan komputer. Fitur utama dari setiap jaringan komputer terdiri dari fakta bahwa komponennya didistribusikan di ruang angkasa. Komunikasi antar node jaringan dilakukan secara fisik menggunakan jalur jaringan dan secara terprogram menggunakan mekanisme pesan. Dalam hal ini, pesan kontrol dan data yang dikirim antara node jaringan ditransmisikan dalam bentuk paket pertukaran. Jaringan komputer dicirikan oleh fakta bahwa apa yang disebut serangan jarak jauh... Penyusup dapat berada ribuan kilometer dari objek yang diserang, dan tidak hanya komputer tertentu, tetapi juga informasi yang dikirimkan melalui saluran komunikasi jaringan dapat diserang.

Informasi keamanan

Pembentukan rezim keamanan informasi adalah masalah yang kompleks. Langkah-langkah untuk menyelesaikannya dapat dibagi menjadi lima tingkatan:

1. legislatif (hukum, peraturan, standar, dll.);
2. moral dan etika (semua jenis norma perilaku, ketidaktaatan yang mengarah pada penurunan prestise orang tertentu atau seluruh organisasi);
3. administratif (tindakan umum yang diambil oleh manajemen organisasi);
4. hambatan fisik (mekanis, elektro-mekanis dan elektronik-mekanis pada kemungkinan rute masuknya penyusup potensial);
5. perangkat keras dan perangkat lunak (perangkat elektronik dan program keamanan informasi khusus).

Satu set dari semua tindakan ini ditujukan untuk melawan ancaman keamanan untuk meminimalkan kemungkinan kerusakan, bentuk sistem perlindungan.

Sistem proteksi yang andal harus mematuhi prinsip-prinsip berikut:

• Biaya peralatan pelindung harus kurang dari jumlah kerusakan yang mungkin terjadi.
• Setiap pengguna harus memiliki set hak minimum yang diperlukan untuk bekerja.
• Semakin efektif perlindungannya, semakin mudah bagi pengguna untuk bekerja dengannya.
• Kemungkinan pemutusan dalam keadaan darurat.
• Spesialis yang terkait dengan sistem perlindungan harus sepenuhnya memahami prinsip-prinsip fungsinya dan, jika terjadi situasi sulit, meresponsnya secara memadai.
• Seluruh sistem pemrosesan informasi harus dilindungi.
• Pengembang sistem keamanan tidak boleh termasuk di antara mereka yang akan dikendalikan oleh sistem ini.
• Sistem keamanan harus memberikan bukti kebenaran pekerjaannya.
• Mereka yang terlibat dalam keamanan informasi harus bertanggung jawab secara pribadi.
• Disarankan untuk membagi objek perlindungan ke dalam kelompok-kelompok agar pelanggaran perlindungan di salah satu kelompok tidak mempengaruhi keamanan orang lain.
• Sistem keamanan yang andal harus sepenuhnya diuji dan disetujui.
• Perlindungan menjadi lebih efektif dan fleksibel jika memungkinkan administrator untuk mengubah parameternya.
• Sistem keamanan harus dirancang dengan asumsi bahwa pengguna akan membuat kesalahan serius dan, secara umum, memiliki niat buruk.
• Keputusan yang paling penting dan kritis harus dibuat oleh manusia.
• Keberadaan mekanisme keamanan harus disembunyikan sejauh mungkin dari pengguna yang pekerjaannya terkendali.

Perangkat keras dan perangkat lunak keamanan informasi

Terlepas dari kenyataan bahwa sistem operasi modern untuk komputer pribadi, seperti Windows 2000, Windows XP dan Windows NT, memiliki subsistem perlindungannya sendiri, relevansi pembuatan alat perlindungan tambahan tetap ada. Faktanya adalah bahwa sebagian besar sistem tidak dapat melindungi data di luarnya, misalnya, selama pertukaran informasi jaringan.

Perangkat keras dan perangkat lunak keamanan informasi dapat dibagi menjadi lima kelompok:

1. Sistem identifikasi (pengenalan) dan otentikasi (otentikasi) pengguna.
2. Sistem enkripsi disk.
3. Sistem enkripsi untuk data yang dikirimkan melalui jaringan.
4. Sistem otentikasi data elektronik.
5. Alat manajemen kunci kriptografi.

1. Sistem identifikasi dan otentikasi pengguna

Mereka digunakan untuk membatasi akses pengguna biasa dan ilegal ke sumber daya sistem komputer. Algoritme umum untuk pengoperasian sistem tersebut adalah untuk memperoleh informasi dari pengguna yang membuktikan identitasnya, memverifikasi keasliannya dan kemudian memberikan (atau tidak memberikan) pengguna ini kemampuan untuk bekerja dengan sistem.

Ketika membangun sistem ini, muncul masalah dalam memilih informasi atas dasar prosedur identifikasi dan otentikasi pengguna yang dilakukan. Jenis-jenis berikut dapat dibedakan:

• informasi rahasia yang dimiliki oleh pengguna (password, kunci rahasia, pengenal pribadi, dll); pengguna harus mengingat informasi ini atau sarana penyimpanan khusus dapat digunakan untuk itu;
• parameter fisiologis seseorang (sidik jari, gambar iris mata, dll.) atau perilaku (keanehan bekerja pada keyboard, dll.).

Sistem berdasarkan jenis informasi pertama dipertimbangkan tradisional... Sistem yang menggunakan jenis informasi kedua disebut biometrik... Perlu dicatat bahwa ada tren yang muncul dalam pengembangan lebih lanjut dari sistem identifikasi biometrik.

2. Sistem enkripsi disk

Untuk membuat informasi tidak berguna bagi musuh, satu set metode transformasi data digunakan, yang disebut kriptografi[dari bahasa Yunani. kripto- tersembunyi dan grafik- menulis].

Sistem enkripsi dapat melakukan transformasi kriptografi data pada tingkat file atau disk. Program jenis pertama termasuk pengarsip seperti ARJ dan RAR, yang memungkinkan penggunaan metode kriptografi untuk melindungi file arsip. Contoh sistem tipe kedua adalah program enkripsi Diskreet, yang merupakan bagian dari yang populer paket perangkat lunak Utilitas Norton, Crypt Terbaik.

Fitur klasifikasi lain dari sistem enkripsi disk adalah cara mereka berfungsi. Menurut metode fungsinya, sistem enkripsi data disk dibagi menjadi dua kelas:

• sistem enkripsi transparan;
• sistem khusus disebut untuk enkripsi.

Dalam sistem enkripsi transparan (encryption on the fly), transformasi kriptografi dilakukan secara real time, tanpa diketahui oleh pengguna. Misalnya, pengguna menulis dokumen yang disiapkan dalam editor teks ke disk yang dilindungi, dan sistem perlindungan mengenkripsinya selama proses penulisan.

Sistem kelas II biasanya adalah utilitas yang harus dipanggil secara khusus untuk melakukan enkripsi. Ini termasuk, misalnya, pengarsip dengan perlindungan kata sandi bawaan.

Sebagian besar sistem yang menawarkan untuk menetapkan kata sandi untuk dokumen tidak mengenkripsi informasi, tetapi hanya menyediakan permintaan kata sandi saat mengakses dokumen. Sistem ini termasuk MS Office, 1C dan banyak lainnya.

3. Sistem untuk enkripsi data yang dikirimkan melalui jaringan

Ada dua metode enkripsi utama: enkripsi saluran dan enkripsi terminal (pelanggan).

Kapan enkripsi saluran semua informasi yang dikirimkan melalui saluran komunikasi dilindungi, termasuk informasi layanan. Metode enkripsi ini memiliki keuntungan sebagai berikut - menyematkan prosedur enkripsi pada lapisan tautan data memungkinkan penggunaan perangkat keras, yang meningkatkan kinerja sistem. Namun, pendekatan ini juga memiliki kelemahan yang signifikan:

• enkripsi data layanan memperumit mekanisme perutean paket jaringan dan memerlukan dekripsi data dalam perangkat komunikasi perantara (gateway, repeater, dll.);
• enkripsi informasi layanan dapat menyebabkan munculnya pola statistik dalam data terenkripsi, yang mempengaruhi keandalan perlindungan dan memberlakukan pembatasan pada penggunaan algoritma kriptografi.

Enkripsi ujung-ke-ujung (pelanggan) memungkinkan Anda untuk memastikan kerahasiaan data yang ditransfer antara dua pelanggan. Dalam hal ini, hanya konten pesan yang dilindungi, semua informasi layanan tetap terbuka. Kelemahannya adalah kemampuan menganalisis informasi tentang struktur pertukaran pesan, misalnya tentang pengirim dan penerima, tentang waktu dan kondisi transfer data, serta tentang jumlah data yang ditransfer.

4. Sistem otentikasi data elektronik

Saat bertukar data melalui jaringan, masalah otentikasi penulis dokumen dan dokumen itu sendiri muncul, mis. otentikasi penulis dan verifikasi tidak adanya perubahan dalam dokumen yang diterima. Untuk mengotentikasi data, kode otentikasi pesan (sisipan imitasi) atau tanda tangan elektronik digunakan.

Sisipan imitasi dihasilkan dari data terbuka melalui transformasi enkripsi khusus menggunakan kunci rahasia dan ditransmisikan melalui saluran komunikasi di akhir data terenkripsi. Penyisipan imitasi diverifikasi oleh penerima, yang memiliki kunci pribadi, dengan mengulangi prosedur yang dilakukan sebelumnya oleh pengirim pada data publik yang diterima.

Elektronik tanda tangan digital mewakili sejumlah kecil informasi otentikasi tambahan yang dikirimkan dengan teks yang ditandatangani. Pengirim membentuk tanda tangan digital menggunakan kunci rahasia pengirim. Penerima memverifikasi tanda tangan menggunakan kunci publik pengirim.

Dengan demikian, untuk penerapan penyisipan tiruan, prinsip enkripsi simetris digunakan, dan untuk penerapan tanda tangan elektronik - asimetris. Kami akan mempelajari kedua sistem enkripsi ini secara lebih rinci nanti.

5. Alat untuk mengelola kunci kriptografi

Keamanan setiap kriptosistem ditentukan oleh kunci kriptografi yang digunakan. Dalam kasus manajemen kunci yang tidak aman, penyerang dapat memperoleh informasi kunci dan mendapatkan akses penuh ke semua informasi di sistem atau jaringan.

Ada jenis fungsi manajemen kunci berikut: pembuatan, penyimpanan, dan distribusi kunci.

Caranya menghasilkan kunci untuk kriptosistem simetris dan asimetris berbeda. Untuk menghasilkan kunci kriptosistem simetris, perangkat keras dan perangkat lunak untuk menghasilkan angka acak digunakan. Pembuatan kunci untuk kriptosistem asimetris lebih sulit, karena kunci harus memiliki sifat matematis tertentu. Mari kita membahas masalah ini secara lebih rinci ketika mempelajari kriptosistem simetris dan asimetris.

Fungsi penyimpanan melibatkan organisasi penyimpanan yang aman, akuntansi dan pembuangan informasi kunci. Untuk memastikan penyimpanan kunci yang aman, kunci tersebut dienkripsi menggunakan kunci lain. Pendekatan ini mengarah pada konsep hierarki kunci. Hirarki kunci biasanya mencakup kunci master (yaitu, kunci master), kunci enkripsi kunci, dan kunci enkripsi data. Perlu dicatat bahwa pembuatan dan penyimpanan kunci master adalah masalah penting dalam perlindungan kripto.

Distribusi adalah proses yang paling kritis dalam manajemen kunci. Proses ini harus memastikan kerahasiaan kunci yang akan didistribusikan dan harus cepat dan akurat. Kunci didistribusikan di antara pengguna jaringan dalam dua cara:

• menggunakan pertukaran langsung kunci sesi;
• menggunakan satu atau lebih pusat distribusi utama.

Daftar dokumen

1. TENTANG RAHASIA NEGARA. Hukum Federasi Rusia 21 Juli 1993 No. 5485-1 (sebagaimana diubah dengan Undang-Undang Federal No. 131-FZ tanggal 6 Oktober 1997).
2. TENTANG INFORMASI, INFORMASI DAN PERLINDUNGAN INFORMASI. Hukum Federal Federasi Rusia 20 Februari 1995 No. 24-FZ. Diadopsi oleh Duma Negara pada tanggal 25 Januari 1995.
3. TENTANG PROGRAM PERLINDUNGAN HUKUM UNTUK KOMPUTER ELEKTRONIK DAN DATABASES. Hukum Federasi Rusia 23 September 1992 No. 3524-1.
4. TENTANG TANDA TANGAN DIGITAL ELEKTRONIK. Hukum Federal Federasi Rusia 10 Januari 2002 No. 1-FZ.
5. TENTANG HAK CIPTA DAN HAK TERKAIT. Hukum Federasi Rusia tanggal 9 Juli 1993 No. 5351-1.
6. TENTANG BADAN KOMUNIKASI DAN INFORMASI PEMERINTAH FEDERAL. Hukum Federasi Rusia (sebagaimana diubah dengan Keputusan Presiden Federasi Rusia 24 Desember 1993 No. 2288; Hukum Federal 7 November 2000 No. 135-FZ.
7. Peraturan tentang akreditasi laboratorium pengujian dan lembaga sertifikasi untuk produk keamanan informasi sesuai dengan persyaratan keamanan informasi / Komisi Teknis Negara di bawah Presiden Federasi Rusia.
8. Instruksi tentang prosedur untuk menandai sertifikat kesesuaian, salinannya dan alat sertifikasinya untuk perlindungan informasi / Komisi Teknis Negara di bawah Presiden Federasi Rusia.
9. Peraturan tentang sertifikasi objek informasi sesuai dengan persyaratan keamanan informasi / Komisi Teknis Negara di bawah Presiden Federasi Rusia.
10. Peraturan tentang sertifikasi sarana keamanan informasi sesuai dengan persyaratan keamanan informasi: dengan tambahan sesuai dengan Keputusan Pemerintah Federasi Rusia tanggal 26 Juni 1995 No. 608 "Tentang sertifikasi sarana keamanan informasi" / Komisi Teknis Negara di bawah Presiden Federasi Rusia.
11. Peraturan tentang lisensi negara untuk kegiatan di bidang perlindungan informasi / Komisi Teknis Negara di bawah Presiden Federasi Rusia.
12. Sistem otomatis. Perlindungan terhadap akses tidak sah ke informasi. Klasifikasi sistem otomatis dan persyaratan untuk perlindungan informasi: Dokumen panduan / Komisi Teknis Negara di bawah Presiden Federasi Rusia.
13. Konsep melindungi peralatan komputer dan sistem otomatis dari akses tidak sah ke informasi: Dokumen panduan / Komisi Teknis Negara di bawah Presiden Federasi Rusia.
14. Fasilitas komputer. Firewall. Perlindungan terhadap akses tidak sah ke informasi. Indikator keamanan terhadap akses tidak sah ke informasi: Dokumen panduan / Komisi Teknis Negara di bawah Presiden Federasi Rusia.
15. Fasilitas komputer. Perlindungan terhadap akses tidak sah ke informasi. Indikator keamanan terhadap akses tidak sah ke informasi: Dokumen panduan / Komisi Teknis Negara di bawah Presiden Federasi Rusia.
16. Perlindungan data. Tanda pelindung khusus. Klasifikasi dan persyaratan umum: Dokumen panduan / Komisi Teknis Negara di bawah Presiden Federasi Rusia.
17. Perlindungan terhadap akses tidak sah ke informasi. Istilah dan definisi: Dokumen panduan / Komisi Teknis Negara di bawah Presiden Federasi Rusia.

Memastikan keamanan informasi adalah masalah sosial-sosial, hukum, ekonomi dan ilmiah yang kompleks. Hanya solusi komprehensif dari tujuan dan sasarannya secara bersamaan di beberapa bidang yang dapat memberikan pengaruh regulasinya untuk memastikan keamanan informasi negara. Pekerjaan yang dilakukan di bidang ini seharusnya tidak hanya fokus praktis, tetapi juga dasar ilmiah.

Tujuan utama memastikan keamanan informasi ditentukan berdasarkan prioritas berkelanjutan keamanan nasional dan ekonomi yang memenuhi kepentingan jangka panjang pembangunan sosial, yang meliputi:

Pelestarian dan penguatan kenegaraan Rusia dan stabilitas politik di masyarakat;

Pelestarian dan pengembangan institusi masyarakat yang demokratis, menjamin hak dan kebebasan warga negara, memperkuat supremasi hukum dan hukum dan ketertiban;

Menjamin tempat dan peran negara yang layak dalam masyarakat dunia;

Menjamin keutuhan wilayah negara;

Memastikan pembangunan sosial-ekonomi yang progresif;

Pelestarian nilai dan tradisi budaya bangsa.

Sesuai dengan prioritas tersebut, tugas utama untuk memastikan keamanan informasi adalah:

Identifikasi, penilaian dan perkiraan sumber ancaman terhadap keamanan informasi;

Pengembangan kebijakan negara untuk memastikan keamanan informasi, serangkaian tindakan dan mekanisme untuk implementasinya;

Pengembangan kerangka peraturan untuk memastikan keamanan informasi, mengoordinasikan kegiatan badan pemerintah dan perusahaan untuk memastikan keamanan informasi;

Pengembangan sistem untuk memastikan keamanan informasi, meningkatkan organisasi, bentuk, metode dan sarana untuk mencegah, melawan dan menetralisir ancaman terhadap keamanan informasi dan menghilangkan konsekuensi dari pelanggarannya;

Memastikan partisipasi aktif negara dalam proses menciptakan penggunaan global jaringan informasi dan sistem.

Prinsip-prinsip yang paling penting dari keamanan informasi adalah:

1) legalitas tindakan untuk mengidentifikasi dan mencegah pelanggaran di bidang informasi;

2) kelangsungan pelaksanaan dan peningkatan sarana dan metode pengendalian dan perlindungan sistem informasi;

3) kelayakan ekonomi, yaitu komparabilitas kemungkinan kerusakan dan biaya untuk memastikan keamanan informasi

4) kompleksitas penggunaan seluruh gudang alat perlindungan yang tersedia di semua divisi perusahaan dan di semua tahap proses informasi.

Pelaksanaan proses perlindungan informasi meliputi beberapa tahap:

Penentuan objek perlindungan: hak untuk melindungi sumber daya informasi, perkiraan biaya sumber daya informasi dan elemen utamanya, durasi siklus hidup sumber daya informasi, lintasan proses informasi oleh divisi fungsional perusahaan;

Identifikasi sumber ancaman (pesaing, penjahat, karyawan, dll.), tujuan ancaman (pembiasaan, modifikasi, penghancuran, dll.), kemungkinan saluran untuk penerapan ancaman (pengungkapan, kebocoran, dll.);

Penentuan tindakan perlindungan yang diperlukan;

Penilaian efektivitas dan kelayakan ekonominya;

Implementasi tindakan yang diambil, dengan mempertimbangkan kriteria yang dipilih;

Mengkomunikasikan tindakan yang diambil kepada personel, memantau efektivitasnya dan menghilangkan (mencegah) konsekuensi dari ancaman.

Implementasi tahapan yang dijelaskan, pada kenyataannya, adalah proses pengelolaan keamanan informasi suatu objek dan disediakan oleh sistem kontrol yang mencakup, selain objek yang dikendalikan (dilindungi) itu sendiri, sarana pemantauan keadaannya, mekanisme untuk membandingkan keadaan saat ini dengan yang diperlukan, serta mekanisme untuk tindakan kontrol untuk lokalisasi dan mencegah kerusakan dari ancaman. Dalam hal ini, disarankan untuk mempertimbangkan pencapaian minimum kerusakan informasi sebagai kriteria manajemen, dan tujuan manajemen adalah untuk memastikan keadaan objek yang diperlukan dalam arti keamanan informasinya.

Metode keamanan informasi dibagi menjadi hukum, organisasi dan teknis dan ekonomi.

KE metode hukum memastikan keamanan informasi termasuk pengembangan tindakan hukum normatif yang mengatur hubungan di bidang informasi, dan dokumen metodologis normatif tentang keamanan informasi. Bidang terpenting dari kegiatan ini adalah:

Perubahan dan penambahan undang-undang yang mengatur hubungan di bidang keamanan informasi, untuk menciptakan dan meningkatkan sistem keamanan informasi, menghilangkan kontradiksi internal dalam undang-undang federal, kontradiksi yang terkait dengan perjanjian internasional, serta untuk mengkonkretkan norma hukum yang menetapkan tanggung jawab untuk tindak pidana di bidang keamanan informasi;

Penggambaran legislatif kekuasaan di bidang memastikan definisi tujuan, sasaran dan mekanisme partisipasi dalam kegiatan asosiasi publik, organisasi dan warga negara;

Pengembangan dan adopsi tindakan hukum pengaturan yang menetapkan tanggung jawab badan hukum dan individu untuk akses tidak sah ke informasi, penyalinan ilegal, distorsi dan penggunaan ilegal, penyebaran informasi yang tidak akurat secara sengaja, pengungkapan ilegal informasi rahasia, penggunaan informasi resmi atau informasi yang mengandung rahasia komersial untuk tujuan kriminal dan tentara bayaran;

Klarifikasi status kantor berita asing, media massa dan jurnalis, serta investor dalam menarik investasi asing untuk pembangunan infrastruktur informasi dalam negeri;

Konsolidasi legislatif tentang prioritas pengembangan jaringan komunikasi nasional dan produksi satelit komunikasi ruang angkasa dalam negeri;

Penentuan status organisasi yang menyediakan layanan jaringan informasi dan komunikasi global dan peraturan hukum kegiatan organisasi ini;

Penciptaan dasar hukum untuk pembentukan struktur regional untuk memastikan keamanan informasi.

Organisasi dan teknis metode keamanan informasi adalah:

Penciptaan dan peningkatan sistem keamanan informasi negara;

Memperkuat kegiatan penegakan hukum pihak berwenang, termasuk pencegahan dan penindasan pelanggaran di bidang informasi, serta identifikasi, pengungkapan dan penuntutan orang-orang yang telah melakukan kejahatan dan pelanggaran lain di bidang ini;

Pengembangan, penggunaan dan peningkatan sarana keamanan informasi dan metode pemantauan efektivitas sarana ini, pengembangan sistem telekomunikasi yang aman, peningkatan keandalan perangkat lunak khusus;

Pembuatan sistem dan sarana untuk mencegah akses tidak sah ke informasi yang diproses dan tindakan khusus yang menyebabkan penghancuran, penghancuran, distorsi informasi, serta mengubah mode operasi normal sistem dan sarana informasi dan komunikasi;

Mengungkapkan perangkat teknis dan program yang mengancam fungsi normal sistem informasi dan komunikasi, mencegah penyadapan informasi melalui saluran teknis, penggunaan sarana kriptografi untuk melindungi informasi selama penyimpanan, pemrosesan dan transmisi melalui saluran komunikasi, pemantauan penerapan persyaratan khusus untuk perlindungan informasi;

sertifikasi sarana pengamanan informasi, perizinan kegiatan di bidang perlindungan rahasia negara, standardisasi cara dan sarana pengamanan informasi;

Penyempurnaan sistem sertifikasi perangkat telekomunikasi dan perangkat lunak untuk sistem pemrosesan informasi otomatis sesuai dengan persyaratan keamanan informasi;

Kontrol atas tindakan personel dalam sistem informasi yang dilindungi, pelatihan di bidang memastikan keamanan informasi negara;

Pembentukan sistem pemantauan indikator dan karakteristik keamanan informasi di bidang terpenting kehidupan dan kegiatan masyarakat dan negara.

Metode ekonomi memastikan keamanan informasi meliputi:

Pengembangan program untuk memastikan keamanan informasi negara dan penentuan prosedur untuk pembiayaan mereka;

Penyempurnaan sistem pembiayaan pekerjaan yang terkait dengan penerapan metode hukum dan organisasi dan teknis perlindungan informasi, pembuatan sistem asuransi risiko informasi individu dan badan hukum.

Seiring dengan penggunaan yang meluas metode standar dan dana untuk perekonomian, bidang prioritas keamanan informasi adalah:

Pengembangan dan penerapan ketentuan hukum yang menetapkan tanggung jawab badan hukum dan individu untuk akses dan pencurian informasi yang tidak sah, penyebaran informasi yang tidak akurat secara sengaja, pengungkapan rahasia komersial, kebocoran informasi rahasia;

Membangun sistem pelaporan statistik negara yang memastikan keandalan, kelengkapan, komparabilitas, dan keamanan informasi dengan memperkenalkan tanggung jawab hukum yang ketat dari sumber informasi utama, mengatur kontrol yang efektif atas kegiatan mereka dan kegiatan pemrosesan informasi statistik dan layanan analisis, membatasi komersialisasinya , menggunakan sarana keamanan informasi organisasi dan perangkat lunak dan perangkat keras khusus;

Penciptaan dan peningkatan sarana khusus untuk melindungi informasi keuangan dan komersial;

Pengembangan seperangkat tindakan organisasi dan teknis untuk meningkatkan teknologi kegiatan informasi dan perlindungan informasi dalam struktur ekonomi, keuangan, industri dan ekonomi lainnya, dengan mempertimbangkan persyaratan keamanan informasi khusus untuk perekonomian;

Peningkatan sistem seleksi profesional dan pelatihan personel, sistem seleksi, pemrosesan, analisis dan penyebaran informasi ekonomi.

Kebijakan publik memastikan keamanan informasi membentuk arah kegiatan otoritas dan administrasi negara di bidang memastikan keamanan informasi, termasuk jaminan hak-hak semua subjek informasi, pemantapan tugas dan tanggung jawab negara dan badan-badannya untuk keamanan informasi negara , dan didasarkan pada menjaga keseimbangan kepentingan individu, masyarakat dan negara di bidang informasi.

Kebijakan keamanan informasi negara didasarkan pada ketentuan dasar sebagai berikut:

Pembatasan akses informasi merupakan pengecualian terhadap prinsip umum keterbukaan informasi, dan dilakukan hanya berdasarkan peraturan perundang-undangan;

Tanggung jawab atas keamanan informasi, klasifikasi dan deklasifikasinya dipersonifikasikan;

Akses ke informasi apa pun, serta pembatasan akses yang diberlakukan, dilakukan dengan mempertimbangkan hak milik atas informasi ini yang ditentukan oleh hukum;

Pembentukan oleh negara dari kerangka hukum dan peraturan yang mengatur hak, tugas dan tanggung jawab semua entitas yang beroperasi di bidang informasi;

Hukum dan individu mengumpulkan, mengumpulkan, dan memproses data pribadi dan informasi rahasia bertanggung jawab di hadapan hukum atas keamanan dan penggunaannya;

Menyediakan sarana hukum bagi negara untuk melindungi masyarakat dari informasi yang salah, menyimpang dan tidak akurat yang datang melalui media;

pelaksanaan penguasaan negara atas pembuatan dan penggunaan alat keamanan informasi melalui sertifikasi dan perizinan wajib kegiatan di bidang keamanan informasi;

Melaksanakan kebijakan proteksionis negara yang mendukung kegiatan produsen teknologi informasi dan perlindungan informasi dalam negeri dan mengambil langkah-langkah untuk melindungi pasar internal dari penetrasi produk media dan informasi yang berkualitas rendah;

Dukungan negara dalam memberikan warga negara akses ke sumber daya informasi dunia, jaringan informasi global,

Pembentukan oleh negara bagian dari program keamanan informasi federal yang menyatukan upaya organisasi pemerintah dan struktur komersial dalam penciptaan sistem keamanan informasi terpadu untuk negara;

Negara melakukan upaya untuk menangkal perluasan informasi negara lain, mendukung internasionalisasi jaringan dan sistem informasi global.

Berdasarkan prinsip dan ketentuan yang disebutkan, arah umum pembentukan dan pelaksanaan kebijakan keamanan informasi di bidang politik, ekonomi, dan kegiatan negara lainnya ditentukan.

Kebijakan negara sebagai mekanisme untuk menyelaraskan kepentingan subjek hubungan informasi dan menemukan solusi kompromi menyediakan pembentukan dan organisasi kerja yang efektif dari berbagai dewan, komite, dan komisi dengan perwakilan luas dari spesialis dan semua struktur yang berkepentingan. Mekanisme pelaksanaan kebijakan negara harus fleksibel dan tepat waktu mencerminkan perubahan yang terjadi dalam kehidupan ekonomi dan politik negara.

Dukungan hukum keamanan informasi negara merupakan bidang prioritas untuk pembentukan mekanisme pelaksanaan kebijakan keamanan informasi dan meliputi:

1) kegiatan pembuatan aturan untuk membuat undang-undang yang mengatur hubungan dalam masyarakat terkait dengan jaminan keamanan informasi;

2) kegiatan eksekutif dan penegakan hukum untuk pelaksanaan undang-undang di bidang informasi, informasi dan perlindungan informasi oleh otoritas dan manajemen negara, organisasi, warga negara.

Kegiatan normatif di bidang keamanan informasi menyediakan:

Penilaian keadaan undang-undang saat ini dan pengembangan program untuk perbaikannya;

Penciptaan mekanisme organisasi dan hukum untuk memastikan keamanan informasi;

Pembentukan status hukum semua subjek dalam sistem keamanan informasi, pengguna sistem informasi dan telekomunikasi dan penentuan tanggung jawab mereka untuk memastikan keamanan informasi;

Pengembangan mekanisme organisasi dan hukum untuk mengumpulkan dan menganalisis data statistik tentang dampak ancaman keamanan informasi dan konsekuensinya, dengan mempertimbangkan semua jenis informasi;

Pengembangan undang-undang dan tindakan normatif lainnya yang mengatur prosedur untuk menghilangkan konsekuensi dari dampak ancaman, memulihkan hak dan sumber daya yang dilanggar, dan menerapkan langkah-langkah kompensasi.

Kegiatan eksekutif dan penegakan menyediakan pengembangan prosedur untuk penerapan undang-undang dan peraturan untuk entitas yang telah melakukan kejahatan dan pelanggaran ketika bekerja dengan informasi rahasia dan melanggar aturan interaksi informasi. Semua kegiatan dukungan hukum keamanan informasi didasarkan pada tiga ketentuan dasar hukum: kepatuhan terhadap aturan hukum, memastikan keseimbangan kepentingan subyek individu dan negara, dan hukuman yang tak terhindarkan.

Kepatuhan terhadap hukum mengandaikan adanya undang-undang dan ketentuan peraturan lainnya, penerapan dan pelaksanaannya oleh subjek hukum di bidang keamanan informasi.

12.3. NEGARA KEAMANAN INFORMASI DI RUSIA

Penilaian keadaan keamanan informasi negara melibatkan penilaian ancaman yang ada. Klausul 2 dari "Doktrin keamanan informasi Federasi Rusia" 1 mengidentifikasi ancaman berikut terhadap keamanan informasi Federasi Rusia:

Ancaman terhadap hak konstitusional dan kebebasan manusia dan warga negara di bidang kehidupan spiritual dan kegiatan informasi, kesadaran individu, kelompok dan publik, kebangkitan spiritual Rusia;

Ancaman terhadap dukungan informasi dari kebijakan negara Federasi Rusia;

Ancaman terhadap perkembangan industri informasi dalam negeri, termasuk industri informatisasi, telekomunikasi dan komunikasi, pemenuhan kebutuhan pasar domestik akan produk-produknya dan masuknya produk-produk tersebut ke pasar dunia, serta menjamin akumulasi, pelestarian dan penggunaan sumber daya informasi domestik secara efektif;

__________________________________________________________________

Ancaman terhadap keamanan sistem informasi dan telekomunikasi, baik yang sudah dikerahkan maupun dibuat di wilayah Rusia.

Sumber eksternal ancaman terhadap keamanan informasi Rusia meliputi:

1) kegiatan struktur politik, ekonomi, militer, intelijen dan informasi asing yang ditujukan terhadap Federasi Rusia di bidang informasi;

2) keinginan sejumlah negara untuk mendominasi dan melanggar kepentingan Rusia di ruang informasi global, untuk mengusirnya dari pasar informasi eksternal dan internal;

3) memperburuk persaingan internasional untuk kepemilikan teknologi informasi dan sumber daya;

4) kegiatan organisasi teroris internasional;

5) meningkatkan kesenjangan teknologi antara kekuatan terkemuka dunia dan membangun kemampuan mereka untuk melawan penciptaan teknologi informasi Rusia yang kompetitif;

6) kegiatan teknis antariksa, udara, laut dan darat serta sarana (jenis) intelijen negara asing lainnya;

7) pengembangan oleh sejumlah negara konsep perang informasi, menyediakan penciptaan sarana pengaruh berbahaya pada bidang informasi negara-negara lain di dunia, gangguan fungsi normal sistem informasi dan telekomunikasi, keamanan informasi sumber daya, memperoleh akses tidak sah ke mereka.

Sumber internal ancaman terhadap keamanan informasi Rusia meliputi:

1) keadaan kritis industri dalam negeri;

2) situasi kejahatan yang tidak menguntungkan, disertai dengan kecenderungan untuk menggabungkan negara dan struktur kriminal di bidang informasi, untuk struktur kriminal untuk mendapatkan akses ke informasi rahasia, meningkatkan pengaruh kejahatan terorganisir pada kehidupan masyarakat, mengurangi tingkat perlindungan kepentingan sah warga negara, masyarakat dan negara di bidang informasi;

3) koordinasi yang tidak memadai dari kegiatan badan federal kekuasaan negara, badan kekuasaan negara dari entitas konstituen Federasi Rusia dalam pembentukan dan implementasi kebijakan negara terpadu di bidang memastikan keamanan informasi Federasi Rusia;

4) penjabaran yang tidak memadai dari kerangka hukum peraturan yang mengatur hubungan di bidang informasi, serta praktik penegakan hukum yang tidak memadai;

5) keterbelakangan lembaga masyarakat sipil dan kontrol yang tidak memadai atas pengembangan pasar informasi di Rusia;

6) kekuatan ekonomi negara yang tidak mencukupi;

7) penurunan efisiensi sistem pendidikan dan pelatihan, kurangnya jumlah personel yang berkualitas di bidang keamanan informasi;

8) Ketertinggalan Rusia di belakang negara-negara terkemuka di dunia dalam hal informatisasi badan-badan pemerintah federal, kredit dan keuangan, industri, pertanian, pendidikan, perawatan kesehatan, layanan, dan kehidupan sehari-hari warga negara.

Dalam beberapa tahun terakhir, Rusia telah menerapkan serangkaian tindakan untuk meningkatkan penyediaan keamanan informasinya. Langkah-langkah telah diambil untuk memastikan keamanan informasi di badan pemerintah federal, badan pemerintah dari entitas konstituen Federasi Rusia, di perusahaan, lembaga dan organisasi, terlepas dari bentuk kepemilikannya. Pekerjaan telah diluncurkan untuk menciptakan sistem informasi dan telekomunikasi yang aman untuk tujuan khusus demi kepentingan otoritas negara.

Sistem negara untuk melindungi informasi, sistem untuk melindungi rahasia negara dan sistem sertifikasi untuk perlindungan informasi berarti berkontribusi pada solusi yang berhasil dari masalah memastikan keamanan informasi Federasi Rusia.

Struktur sistem negara perlindungan informasi adalah:

Badan kekuasaan dan administrasi negara Federasi Rusia dan entitas konstituen Federasi Rusia, memecahkan masalah memastikan keamanan informasi dalam batas-batas kompetensi mereka;

Komisi dan dewan negara bagian dan antardepartemen yang mengkhususkan diri dalam masalah keamanan informasi;

Komisi Teknis Negara di bawah Presiden Federasi Rusia;

Layanan Keamanan Federal Federasi Rusia;

Kementerian Dalam Negeri Federasi Rusia;

Kementerian Pertahanan Federasi Rusia;

Badan Federal untuk Komunikasi dan Informasi Pemerintah di bawah Presiden Federasi Rusia;

Badan Intelijen Asing Federasi Rusia;

Divisi struktural dan lintas sektoral untuk perlindungan informasi otoritas publik;

Memimpin dan memimpin penelitian, ilmiah dan teknis, desain dan organisasi rekayasa untuk perlindungan informasi;

Sekolah melaksanakan pelatihan dan pelatihan ulang personel untuk bekerja dalam sistem keamanan informasi.

Komisi Teknis Negara di bawah Presiden Federasi Rusia, sebagai badan pemerintah, menerapkan kebijakan teknis terpadu dan mengoordinasikan pekerjaan di bidang perlindungan informasi, mengepalai sistem negara untuk melindungi informasi dari intelijen teknis, dan bertanggung jawab untuk memastikan perlindungan informasi dari kebocorannya melalui saluran teknis di wilayah Rusia, memantau efektivitas tindakan perlindungan yang diambil.

Tempat khusus dalam sistem keamanan informasi ditempati oleh organisasi negara dan publik yang melakukan kontrol atas aktivitas media negara dan non-negara.

Sampai saat ini, kerangka legislatif dan peraturan telah dibentuk di bidang keamanan informasi di Rusia, yang meliputi:

1. Hukum Federasi Rusia:

Konstitusi Federasi Rusia;

"Pada bank dan kegiatan perbankan";

"Pada keamanan";

"Tentang Intelijen Asing";

"Tentang rahasia negara";

"Tentang komunikasi";

"Tentang sertifikasi produk dan layanan";

"Di Media Massa";

"Pada standardisasi";

"Tentang informasi, teknologi informasi, dan perlindungan informasi";

"Di Badan Layanan Keamanan Federal di Federasi Rusia";

"Pada salinan wajib dokumen";

"Tentang partisipasi dalam pertukaran informasi internasional";

"Tanda tangan digital O6", dll.

2. Tindakan hukum normatif Presiden Federasi Rusia:

"Doktrin keamanan informasi Federasi Rusia";

"Tentang Strategi Keamanan Nasional Federasi Rusia hingga 2020";

"Pada beberapa masalah komisi antardepartemen untuk perlindungan rahasia negara";

"Dalam daftar informasi yang diklasifikasikan sebagai rahasia negara";

"Atas dasar kebijakan negara di bidang informatisasi";

"Atas persetujuan daftar informasi rahasia", dll.

H. Tindakan hukum pengaturan Pemerintah Federasi Rusia:

"Pada sertifikasi alat keamanan informasi";

Perizinan kegiatan perusahaan, lembaga, dan organisasi untuk melakukan pekerjaan yang berkaitan dengan penggunaan informasi yang merupakan rahasia negara, pembuatan sarana perlindungan informasi, serta pelaksanaan tindakan dan (atau) penyediaan layanan bagi perlindungan rahasia negara";

"Tentang persetujuan aturan untuk mengklasifikasikan informasi yang merupakan rahasia negara ke berbagai tingkat kerahasiaan";

"Tentang perizinan jenis kegiatan tertentu", dll.

4. Dokumen pemandu dari Komisi Teknis Negara Rusia:

"Konsep melindungi peralatan komputer dan sistem otomatis dari akses tidak sah ke informasi";

“Fasilitas komputer. Perlindungan terhadap akses tidak sah ke informasi. Indikator keamanan terhadap akses tidak sah ke informasi ";

“Sistem otomatis. Perlindungan terhadap akses tidak sah ke informasi. Klasifikasi sistem otomatis dan persyaratan untuk perlindungan informasi ";

"Perlindungan data. Tanda pelindung khusus. Klasifikasi dan persyaratan umum ";

"Perlindungan terhadap akses tidak sah ke informasi. Bagian 1. Perangkat lunak untuk keamanan informasi. Klasifikasi menurut tingkat kontrol tidak adanya peluang yang tidak diumumkan ”.

5. KUH Perdata Federasi Rusia (bagian empat).

6. KUHP Federasi Rusia.

Kerja sama internasional di bidang penjaminan keamanan informasi merupakan bagian integral dari ekonomi, politik, militer, budaya, dan jenis interaksi lainnya antara negara-negara dalam komunitas dunia. Kerja sama semacam itu akan membantu meningkatkan keamanan informasi semua anggota komunitas dunia, termasuk Rusia. Keunikan kerja sama internasional Federasi Rusia di bidang keamanan informasi terletak pada kenyataan bahwa itu dilakukan dalam konteks persaingan internasional yang meningkat untuk kepemilikan teknologi dan sumber informasi, untuk mendominasi pasar penjualan, memperkuat kesenjangan teknologi antara kekuatan terkemuka dunia dan membangun kemampuan mereka untuk menciptakan "senjata informasi". Ini bisa mengarah pada tahap baru dalam pengembangan perlombaan senjata di bidang informasi.

Kerjasama internasional di bidang keamanan informasi didasarkan pada kerangka peraturan sebagai berikut:

Perjanjian dengan Republik Kazakhstan 13 Januari 1995, dengan Moskow (Keputusan Pemerintah Federasi Rusia 15 Mei 1994 Nch 679);

Perjanjian dengan Ukraina 14 Juni 1996, Kiev (Resolusi Pemerintah Federasi Rusia 7 Juni 1996 Ns 655);

Perjanjian dengan Republik Belarus (Draf);

Penerbitan sertifikat dan lisensi untuk pertukaran informasi internasional (Hukum Federal 4 Juli 1996, X 85-FZ).

Bidang utama kerja sama internasional yang memenuhi kepentingan Federasi Rusia adalah:

Pencegahan akses tidak sah ke informasi rahasia di jaringan dan saluran perbankan internasional dukungan informasi perdagangan dunia, untuk informasi rahasia dalam serikat ekonomi dan politik internasional, blok dan organisasi, untuk informasi dalam organisasi penegakan hukum internasional memerangi kejahatan terorganisir internasional dan terorisme internasional;

Larangan pengembangan, proliferasi dan penggunaan "senjata informasi";

Menjamin keamanan pertukaran informasi internasional, termasuk keamanan informasi selama transmisinya melalui jaringan telekomunikasi nasional dan saluran komunikasi;

Koordinasi kegiatan lembaga penegak hukum dari negara-negara yang berpartisipasi dalam kerjasama internasional dalam pencegahan kejahatan komputer;

Partisipasi dalam konferensi internasional dan pameran tentang masalah keamanan informasi.

Selama kerja sama, perhatian khusus harus diberikan pada masalah interaksi dengan negara-negara CIS, dengan mempertimbangkan prospek untuk menciptakan ruang informasi tunggal di wilayah bekas Uni Soviet, di mana sistem telekomunikasi dan jalur komunikasi yang praktis disatukan. digunakan.

Pada saat yang sama, analisis keadaan keamanan informasi di Rusia menunjukkan bahwa tingkatnya tidak sepenuhnya memenuhi kebutuhan masyarakat dan negara. Kondisi perkembangan politik dan sosial-ekonomi negara saat ini menyebabkan semakin parahnya kontradiksi antara kebutuhan masyarakat untuk memperluas pertukaran informasi secara bebas dan kebutuhan untuk mempertahankan pembatasan tertentu yang diatur dalam penyebarannya.

Hak warga negara atas kehidupan pribadi, rahasia pribadi dan keluarga, dan kerahasiaan korespondensi yang diabadikan dalam Konstitusi Federasi Rusia tidak memiliki dukungan hukum, organisasi, dan teknis yang memadai. Perlindungan data pribadi yang dikumpulkan oleh otoritas pemerintah federal tidak memuaskan.

Ada ketidakjelasan dalam pelaksanaan kebijakan negara di bidang pembentukan ruang informasi Rusia, pengembangan sistem media massa, organisasi pertukaran informasi internasional dan integrasi ruang informasi Rusia ke dunia global. ruang informasi, yang menciptakan kondisi untuk mengusir kantor berita dan media massa Rusia dari pasar informasi internal dan struktur deformasi pertukaran informasi internasional.

Tidak ada dukungan pemerintah yang cukup untuk kegiatan kantor berita Rusia untuk mempromosikan produk mereka di pasar informasi internasional.

Situasi dengan memastikan keamanan informasi yang merupakan rahasia negara memburuk.

Kerusakan serius telah ditimbulkan pada potensi personel tim ilmiah dan industri yang beroperasi di bidang penciptaan teknologi informasi, telekomunikasi dan komunikasi, sebagai akibat dari eksodus massal spesialis paling berkualifikasi dari tim ini.

Keterlambatan teknologi informasi domestik memaksa otoritas negara Federasi Rusia, ketika membuat sistem informasi, untuk mengikuti jalur pembelian peralatan impor dan menarik perusahaan asing, yang meningkatkan kemungkinan akses tidak sah ke informasi yang diproses dan meningkatkan ketergantungan Rusia pada produsen asing. penyediaan perangkat komputer dan telekomunikasi, serta perangkat lunak.

Sehubungan dengan pengenalan intensif teknologi informasi asing di bidang kegiatan individu, masyarakat dan negara, serta dengan meluasnya penggunaan sistem informasi dan telekomunikasi terbuka, integrasi sistem informasi domestik dan internasional, ancaman menggunakan "senjata informasi" terhadap infrastruktur informasi Rusia telah meningkat. Upaya untuk mengatasi ancaman tersebut secara memadai dan komprehensif dilakukan dengan koordinasi yang tidak memadai dan pendanaan anggaran yang lemah.

Kontrol pertanyaan

1. Bagaimana kedudukan keamanan informasi dalam sistem keamanan ekonomi negara? Tunjukkan dengan contoh pentingnya keamanan informasi dalam menjamin keamanan ekonomi negara?

2. Apa alasan meningkatnya pentingnya keamanan informasi di zaman modern ini?

3. Jelaskan kategori utama keamanan informasi: informasi, informatisasi, dokumen, proses informasi, sistem informasi, sumber informasi, data pribadi, informasi rahasia.

4. Apa kepentingan individu, masyarakat dan negara di bidang informasi?

5. Apa saja jenis ancaman keamanan informasi?

6. Sebutkan cara-cara dampak ancaman terhadap objek keamanan informasi.

7. Jelaskan konsep "perang informasi".

8. Daftar sumber eksternal ancaman terhadap keamanan informasi Rusia.

9. Buat daftar sumber internal ancaman terhadap keamanan informasi di Rusia.

10. Peraturan apa yang menjamin keamanan informasi di wilayah Federasi Rusia?

11. Apa saja peraturan internasional di bidang perlindungan informasi yang Anda ketahui?

12. Apa inti dari kebijakan keamanan informasi negara?

13. Buat daftar metode untuk memastikan keamanan informasi.

14. Jelaskan struktur sistem perlindungan informasi negara

15. Memberikan penilaian tentang keadaan keamanan informasi di Rusia.

Kebijakan Keamanan Informasi.

1. Ketentuan Umum

Kebijakan Keamanan Informasi ini ( Lebih jauh - Politik ) mendefinisikan sistem pandangan tentang masalah memastikan keamanan informasi dan merupakan pernyataan sistematis dari tujuan dan sasaran, serta aspek organisasi, teknologi dan prosedural untuk memastikan keamanan informasi objek infrastruktur informasi, termasuk satu set informasi pusat, bank data dan sistem komunikasi organisasi. Kebijakan ini telah dikembangkan dengan mempertimbangkan persyaratan undang-undang Federasi Rusia saat ini dan prospek langsung untuk pengembangan fasilitas infrastruktur informasi, serta karakteristik dan kemampuan metode organisasi dan teknis modern dan perangkat keras dan perangkat lunak untuk perlindungan informasi. .

Ketentuan utama dan persyaratan Kebijakan berlaku untuk semua divisi struktural organisasi.

Kebijakan tersebut merupakan landasan metodologis untuk pembentukan dan pelaksanaan kebijakan terpadu di bidang memastikan keamanan informasi objek infrastruktur informasi, membuat keputusan manajemen yang terkoordinasi dan mengembangkan langkah-langkah praktis yang bertujuan untuk memastikan keamanan informasi, mengkoordinasikan kegiatan divisi struktural organisasi. organisasi ketika melakukan pekerjaan pada pembuatan, pengembangan, dan pengoperasian objek informasi infrastruktur sesuai dengan persyaratan keamanan informasi.

Kebijakan tersebut tidak mengatur masalah pengorganisasian perlindungan tempat dan memastikan keselamatan dan integritas fisik komponen infrastruktur informasi, perlindungan terhadap bencana alam, dan kegagalan dalam sistem catu daya, namun menyiratkan membangun sistem keamanan informasi. pada landasan konseptual yang sama dengan sistem keamanan organisasi secara keseluruhan.

Implementasi kebijakan dipastikan dengan pedoman, peraturan, prosedur, instruksi, pedoman, dan sistem yang tepat untuk menilai keamanan informasi dalam organisasi.

Polis menggunakan istilah dan definisi sebagai berikut:

Sistem otomatis ( SEBAGAI) — sistem yang terdiri dari personel dan sarana kompleks untuk mengotomatisasi kegiatan mereka, yang menerapkan teknologi informasi untuk melakukan fungsi yang ditetapkan.

Infrastruktur informasi- sistem struktur organisasi yang memastikan berfungsinya dan berkembangnya ruang informasi dan sarana interaksi informasi. Infrastruktur informasi mencakup satu set pusat informasi, bank data dan pengetahuan, sistem komunikasi, dan menyediakan konsumen dengan akses ke sumber daya informasi.

Sumber informasi ( IR) - ini adalah dokumen terpisah dan susunan dokumen, dokumen, dan susunan dokumen terpisah dalam sistem informasi ( perpustakaan, arsip, dana, database dan sistem informasi lainnya).

Sistem Informasi (AKU P) - sistem pemrosesan informasi dan sumber daya organisasi terkait ( manusia, teknis, keuangan, dll.) yang menyediakan dan menyebarkan informasi.

Keamanan - keadaan perlindungan kepentingan ( sasaran) organisasi dalam menghadapi ancaman.

Informasi keamanan ( IB) — keamanan terkait dengan ancaman di bidang informasi. Keamanan dicapai dengan memastikan satu set properti IS - ketersediaan, integritas, kerahasiaan aset informasi. Prioritas properti IS ditentukan oleh nilai aset tersebut untuk kepentingan ( sasaran) organisasi.

Ketersediaan aset informasi - properti SI organisasi, yang terdiri dari fakta bahwa aset informasi diberikan kepada pengguna yang berwenang, dan dalam bentuk dan tempat yang dibutuhkan oleh pengguna, dan pada saat dia membutuhkannya.

Integritas aset informasi - properti keamanan informasi organisasi untuk mempertahankan perubahan yang tidak berubah atau mengoreksi perubahan yang terdeteksi dalam aset informasinya.

Kerahasiaan aset informasi - properti dari keamanan informasi organisasi, yang terdiri dari fakta bahwa pemrosesan, penyimpanan, dan transfer aset informasi dilakukan sedemikian rupa sehingga aset informasi hanya tersedia untuk pengguna, objek sistem, atau proses yang berwenang.

Sistem keamanan informasi ( UJUNG PENA) — seperangkat tindakan perlindungan, peralatan pelindung dan proses operasinya, termasuk sumber daya dan administrasi ( organisasi) persediaan.

Akses yang tidak sah- akses ke informasi yang melanggar wewenang resmi seorang karyawan, akses ke informasi yang ditutup untuk akses publik oleh orang yang tidak memiliki izin untuk mengakses informasi ini atau mendapatkan akses ke informasi oleh orang yang memiliki hak untuk mengakses informasi ini dalam jumlah yang melebihi jumlah yang diperlukan untuk memenuhi tugas resmi.

2. Persyaratan umum untuk keamanan informasi

Persyaratan keamanan informasi ( Lebih jauh -IB ) menentukan isi dan tujuan dari aktivitas organisasi dalam proses manajemen SI.

Persyaratan ini dirumuskan untuk bidang-bidang berikut:

• penugasan dan distribusi peran dan kepercayaan pada personel;
• tahapan siklus hidup objek infrastruktur informasi;
• perlindungan terhadap akses yang tidak sah ( Lebih jauh - NSD ), kontrol akses dan pendaftaran dalam sistem otomatis, dalam peralatan telekomunikasi dan pertukaran telepon otomatis, dll.;
• perlindungan anti-virus;
• penggunaan sumber daya Internet;
• penggunaan sarana perlindungan informasi kriptografi;
• perlindungan data pribadi.

3. Objek yang akan dilindungi

Objek utama yang harus dilindungi adalah:

• sumber informasi disajikan dalam bentuk dokumen dan susunan informasi, terlepas dari bentuk dan jenis penyajiannya, termasuk informasi rahasia dan terbuka;
• sistem untuk pembentukan, distribusi, dan penggunaan sumber daya informasi, perpustakaan, arsip, database dan bank data, teknologi informasi, peraturan dan prosedur untuk pengumpulan, pemrosesan, penyimpanan dan transmisi informasi, personel teknis dan layanan;
• infrastruktur informasi, termasuk sistem untuk memproses dan menganalisis informasi, perangkat teknis dan perangkat lunak untuk pemrosesan, transmisi, dan tampilannya, termasuk pertukaran informasi dan saluran telekomunikasi, sistem dan sarana keamanan informasi, objek dan tempat di mana komponen infrastruktur informasi berada.

3.1. Fitur Sistem Otomatis

Informasi dari berbagai kategori beredar di AU. Informasi yang dilindungi dapat dibagikan oleh pengguna yang berbeda dari subnet yang berbeda dari satu jaringan perusahaan.

Sejumlah subsistem AS menyediakan interaksi dengan eksternal ( negara dan komersial, Rusia dan asing) organisasi pada saluran komunikasi yang diaktifkan dan didedikasikan menggunakan sarana transmisi informasi khusus.

Kompleks sarana teknis AU mencakup sarana pemrosesan data ( workstation, server database, server surat dll.), sarana pertukaran data dalam jaringan area lokal dengan kemampuan untuk mengakses jaringan global ( kabel, jembatan, gateway, modem, dll.), serta fasilitas penyimpanan ( termasuk pengarsipan) data.

Fitur utama dari fungsi AU meliputi:

• kebutuhan untuk menggabungkan sejumlah besar berbagai sarana teknis untuk memproses dan mentransmisikan informasi ke dalam satu sistem;
• berbagai macam tugas dan jenis data yang diproses;
• menggabungkan informasi untuk berbagai tujuan, kepemilikan dan tingkat kerahasiaan dalam database umum;
• ketersediaan saluran koneksi ke jaringan eksternal;
• kelangsungan fungsi;
• kehadiran subsistem dengan persyaratan berbeda dalam hal tingkat keamanan, secara fisik disatukan menjadi satu jaringan;
• berbagai kategori pengguna dan personel layanan.

Secara umum, satu AS adalah satu set jaringan area lokal dari subdivisi, yang saling berhubungan melalui telekomunikasi. Setiap jaringan area lokal menyatukan sejumlah subsistem otomatis yang saling berhubungan dan berinteraksi ( situs teknologi), memastikan solusi masalah oleh divisi struktural individu organisasi.

Obyek informatisasi meliputi:

• peralatan teknologi ( fasilitas komputer, peralatan jaringan dan kabel);
• sumber informasi;
• perangkat lunak ( sistem operasi, sistem manajemen basis data, sistem umum dan perangkat lunak aplikasi);
• komunikasi otomatis dan sistem transmisi data (telekomunikasi);
• saluran koneksi;
• ruang kantor.

3.2. Jenis aset informasi organisasi yang akan dilindungi

Informasi dari berbagai tingkat kerahasiaan beredar di subsistem AS organisasi, berisi informasi distribusi terbatas ( layanan, komersial, data pribadi) dan membuka informasi.

Alur dokumen AU berisi:

• perintah pembayaran dan dokumen keuangan;
• laporan ( keuangan, analitis, dll.);
• informasi tentang akun pribadi;
• data pribadi;
• informasi lain yang distribusinya terbatas.

Semua informasi yang beredar di AU dan terkandung dalam jenis aset informasi berikut ini harus dilindungi:

• informasi yang merupakan rahasia komersial dan resmi, yang aksesnya dibatasi oleh organisasi, sebagai pemilik informasi, sesuai dengan Undang-Undang Federal " Tentang informasi, informasi dan perlindungan informasi "Hak dan Hukum Federal" Tentang rahasia dagang »;
• data pribadi, akses yang dibatasi sesuai dengan Hukum Federal " Tentang data pribadi »;
• keterbukaan informasi, dalam rangka menjamin integritas dan ketersediaan informasi.

3.3. Kategori pengguna Sistem Otomatis

Organisasi memiliki sejumlah besar kategori pengguna dan personel layanan, yang harus memiliki kekuatan berbeda untuk mengakses sumber daya informasi AU:

• pengguna biasa ( pengguna akhir, karyawan unit organisasi);
• administrator server ( server file, server aplikasi, server database), jaringan area lokal dan sistem aplikasi;
• pemrogram sistem ( bertanggung jawab untuk memelihara perangkat lunak umum) di server dan workstation pengguna;
• pengembang perangkat lunak aplikasi;
• spesialis dalam pemeliharaan sarana teknis teknologi komputer;
• administrator keamanan informasi, dll.

3.4. Kerentanan komponen utama Sistem Otomatis

Komponen AU yang paling rentan adalah stasiun kerja jaringan - stasiun kerja otomatis ( Lebih jauh - AWP ) pekerja. Upaya akses tidak sah ke informasi atau upaya tindakan tidak sah ( tidak disengaja dan disengaja) pada jaringan komputer. Pelanggaran konfigurasi perangkat keras dan perangkat lunak stasiun kerja dan gangguan yang melanggar hukum dalam proses fungsinya dapat menyebabkan pemblokiran informasi, ketidakmungkinan menyelesaikan tugas-tugas penting secara tepat waktu dan kegagalan masing-masing stasiun kerja dan subsistem.

Elemen jaringan seperti server file khusus, server database, dan server aplikasi memerlukan perlindungan khusus. Kerugian dari protokol pertukaran dan cara untuk membedakan akses ke sumber daya server dapat memungkinkan akses tidak sah ke informasi yang dilindungi dan mempengaruhi operasi berbagai subsistem. Dalam hal ini, upaya dapat dilakukan sebagai remote ( dari stasiun jaringan) dan langsung ( dari konsol server) berdampak pada pengoperasian server dan perlindungannya.

Jembatan, gateway, hub, router, sakelar, dan perangkat jaringan lainnya, tautan, dan komunikasi juga memerlukan perlindungan. Mereka dapat digunakan oleh penyusup untuk merestrukturisasi dan mengacaukan operasi jaringan, mencegat informasi yang dikirimkan, menganalisis lalu lintas, dan menerapkan metode lain untuk mengganggu proses pertukaran data.

4. Prinsip dasar keamanan informasi

4.1. Prinsip umum operasi yang aman

• Ketepatan waktu deteksi masalah. Organisasi harus mengidentifikasi masalah secara tepat waktu yang dapat mempengaruhi tujuan bisnisnya.
• Prediktabilitas perkembangan masalah. Organisasi harus mengidentifikasi hubungan sebab akibat dari kemungkinan masalah dan membangun atas dasar ini perkiraan yang akurat tentang perkembangannya.
• Menilai dampak masalah pada tujuan bisnis. Organisasi harus menilai secara memadai dampak dari masalah yang diidentifikasi.
• Kecukupan tindakan perlindungan. Organisasi harus memilih tindakan perlindungan yang memadai untuk model ancaman dan pelanggar, dengan mempertimbangkan biaya penerapan tindakan tersebut dan jumlah kemungkinan kerugian dari penerapan ancaman.
• Efektivitas tindakan perlindungan. Organisasi harus secara efektif menerapkan tindakan perlindungan yang diambil.
• Menggunakan pengalaman dalam membuat dan mengimplementasikan keputusan. Organisasi harus mengumpulkan, menggeneralisasi dan menggunakan pengalamannya sendiri dan pengalaman organisasi lain di semua tingkat pengambilan keputusan dan implementasinya.
• Kesinambungan prinsip operasi yang aman. Organisasi harus memastikan kelangsungan penerapan prinsip-prinsip operasi yang aman.
• Keterkendalian tindakan perlindungan. Organisasi harus menerapkan hanya pengamanan yang dapat diverifikasi untuk bekerja dengan benar, dan organisasi harus secara teratur mengevaluasi kecukupan pengamanan dan efektivitas penerapannya, dengan mempertimbangkan dampak pengamanan pada tujuan bisnis organisasi.

4.2. Prinsip khusus untuk memastikan keamanan informasi

• Penerapan prinsip-prinsip khusus keamanan informasi ditujukan untuk meningkatkan tingkat kematangan proses manajemen keamanan informasi dalam suatu organisasi.
• Definisi tujuan. Tujuan fungsional dan keamanan informasi organisasi harus didefinisikan secara eksplisit dalam dokumen internal. Ketidakpastian menyebabkan “ ketidakjelasan”Struktur organisasi, peran personel, kebijakan keamanan informasi, dan ketidakmungkinan menilai kecukupan tindakan perlindungan yang diambil.
• Mengetahui pelanggan dan karyawan Anda. Organisasi harus memiliki informasi tentang pelanggannya, memilih personel dengan cermat ( pekerja), mengembangkan dan memelihara etika perusahaan, yang menciptakan lingkungan kepercayaan yang menguntungkan untuk kegiatan organisasi manajemen aset.
• Personifikasi dan pembagian peran dan tanggung jawab yang memadai. Tanggung jawab pejabat organisasi untuk keputusan yang terkait dengan asetnya harus dipersonifikasikan dan dilakukan terutama dalam bentuk penjamin. Itu harus memadai untuk tingkat pengaruh pada tujuan organisasi, ditetapkan dalam kebijakan, dikendalikan dan ditingkatkan.
• Kecukupan peran fungsi dan prosedur serta komparabilitasnya dengan kriteria dan sistem penilaian. Peran harus cukup mencerminkan fungsi yang dilakukan dan prosedur penerapannya yang diadopsi dalam organisasi. Saat menetapkan peran yang saling terkait, urutan implementasi yang diperlukan harus diperhitungkan. Peran tersebut harus konsisten dengan kriteria penilaian efektivitas pelaksanaannya. Isi utama dan kualitas peran yang dimainkan sebenarnya ditentukan oleh sistem penilaian yang diterapkan padanya.
• Ketersediaan layanan dan layanan. Organisasi harus memastikan bagi pelanggan dan kontraktornya ketersediaan layanan dan layanan dalam kerangka waktu yang ditetapkan yang ditentukan oleh perjanjian yang relevan ( perjanjian) dan/atau dokumen lainnya.
• Observabilitas dan evaluasi keamanan informasi. Setiap tindakan perlindungan yang diusulkan harus dirancang sedemikian rupa sehingga efek penerapannya terlihat jelas, dapat diamati ( transparan) dan dapat dinilai oleh divisi organisasi dengan otoritas yang sesuai.

5. Maksud dan tujuan keamanan informasi

5.1. Subjek hubungan informasi dalam sistem Otomatis

Subyek hubungan hukum saat menggunakan AU dan memastikan keamanan informasi adalah:

• Organisasi sebagai pemilik sumber informasi;
• subdivisi organisasi yang menyelenggarakan operasi PLTN;
• pegawai divisi struktural organisasi, sebagai pengguna dan penyedia informasi di AU sesuai dengan fungsi yang diembannya;
• badan hukum dan individu, informasi yang dikumpulkan, disimpan, dan diproses di AS;
• badan hukum dan individu lain yang terlibat dalam pembuatan dan pengoperasian AU ( pengembang komponen sistem, organisasi yang terlibat dalam penyediaan berbagai layanan di bidang teknologi informasi, dll.).

Subyek hubungan informasi yang terdaftar tertarik untuk memastikan:

• kerahasiaan informasi tertentu;
• keandalan ( kelengkapan, akurasi, kecukupan, integritas) informasi;
• perlindungan terhadap pengenaan palsu ( tidak dapat diandalkan, terdistorsi) informasi;
• akses tepat waktu ke informasi yang diperlukan;
• diferensiasi tanggung jawab atas pelanggaran hak hukum ( minat) subjek lain dari hubungan informasi dan aturan yang ditetapkan untuk menangani informasi;
• kemungkinan pemantauan dan pengelolaan proses informasi dan transmisi yang berkelanjutan;
• melindungi sebagian informasi dari replikasi ilegal ( perlindungan hak cipta, hak pemilik informasi, dll.).

5.2. Tujuan Keamanan Informasi

Tujuan utama memastikan keamanan informasi adalah untuk melindungi subjek hubungan informasi dari kemungkinan kerusakan materi, moral, atau kerusakan lain pada mereka melalui gangguan tidak sah yang tidak disengaja atau disengaja dalam proses berfungsinya AU atau akses tidak sah ke informasi yang beredar di dalamnya dan penggunaan ilegalnya.

Tujuan ini dicapai dengan memastikan dan memelihara secara konstan properti informasi berikut dan sistem otomatis untuk pemrosesannya:

• ketersediaan informasi yang diproses untuk pengguna terdaftar;
• kerahasiaan bagian tertentu dari informasi yang disimpan, diproses, dan dikirimkan melalui saluran komunikasi;
• integritas dan keaslian informasi yang disimpan, diproses, dan ditransmisikan melalui saluran komunikasi.

5.3. Tujuan keamanan informasi

Untuk mencapai tujuan utama memastikan keamanan informasi, sistem keamanan informasi PLTN harus memberikan solusi yang efektif untuk tugas-tugas berikut:

• perlindungan terhadap gangguan dalam proses berfungsinya AU oleh orang yang tidak berwenang;
• diferensiasi akses pengguna terdaftar ke perangkat keras, perangkat lunak, dan sumber daya informasi AU, yaitu, perlindungan dari akses yang tidak sah;
• pendaftaran tindakan pengguna saat menggunakan sumber daya AS yang dilindungi dalam log sistem dan kontrol berkala atas kebenaran tindakan pengguna sistem dengan menganalisis konten log ini oleh spesialis dari departemen keamanan;
• perlindungan terhadap modifikasi yang tidak sah dan kontrol integritas ( memastikan kekekalan) lingkungan pelaksanaan program dan pemulihannya jika terjadi pelanggaran;
• perlindungan terhadap modifikasi yang tidak sah dan kontrol integritas perangkat lunak yang digunakan di AU, serta perlindungan sistem dari pengenalan program yang tidak sah, termasuk virus komputer;
• perlindungan informasi dari kebocoran melalui saluran teknis selama pemrosesan, penyimpanan, dan transmisi melalui saluran komunikasi;
• perlindungan informasi yang disimpan, diproses, dan dikirim melalui saluran komunikasi dari pengungkapan atau distorsi yang tidak sah;
• menyediakan otentikasi pengguna yang berpartisipasi dalam pertukaran informasi;
• memastikan ketahanan alat perlindungan informasi kriptografi ketika bagian dari sistem kunci dikompromikan;
• identifikasi tepat waktu dari sumber ancaman terhadap keamanan informasi, penyebab dan kondisi yang kondusif untuk kerusakan pada subjek yang berkepentingan dari hubungan informasi, penciptaan mekanisme untuk tanggapan cepat terhadap ancaman terhadap keamanan informasi dan tren negatif;
• menciptakan kondisi untuk meminimalkan dan melokalisasi kerusakan yang disebabkan oleh tindakan melawan hukum individu dan badan hukum, melemahkan dampak negatif dan menghilangkan konsekuensi pelanggaran keamanan informasi.

5.4. Cara untuk memecahkan masalah keamanan informasi

Solusi dari masalah keamanan informasi tercapai:

• akuntansi yang ketat dari semua sumber daya sistem tunduk pada perlindungan ( informasi, tugas, saluran komunikasi, server, AWP);
• pengaturan proses pemrosesan informasi dan tindakan karyawan divisi struktural organisasi, serta tindakan personel yang melakukan pemeliharaan dan modifikasi perangkat lunak dan perangkat keras pembangkit listrik tenaga nuklir, berdasarkan dokumen organisasi dan administrasi tentang keamanan informasi;
• kelengkapan, kelayakan nyata dan konsistensi persyaratan dokumen organisasi dan administrasi di bidang keamanan informasi;
• penunjukan dan pelatihan karyawan yang bertanggung jawab atas organisasi dan penerapan langkah-langkah praktis untuk memastikan keamanan informasi;
• memberdayakan setiap pegawai seminimal mungkin untuk memenuhi tugas fungsionalnya dengan kewenangan mengakses sumber daya pembangkit tenaga nuklir;
• pengetahuan yang jelas dan kepatuhan yang ketat oleh semua karyawan yang menggunakan dan memelihara perangkat keras dan perangkat lunak pembangkit listrik tenaga nuklir, persyaratan dokumen organisasi dan administrasi tentang keamanan informasi;
• tanggung jawab pribadi atas tindakan mereka dari setiap karyawan yang berpartisipasi, dalam kerangka tugas fungsional mereka, dalam proses pemrosesan informasi otomatis dan memiliki akses ke sumber daya AU;
• implementasi proses teknologi pemrosesan informasi menggunakan kompleks tindakan organisasi dan teknis untuk melindungi perangkat lunak, perangkat keras, dan data;
• adopsi langkah-langkah efektif untuk memastikan integritas fisik peralatan teknis dan pemeliharaan berkelanjutan dari tingkat perlindungan yang diperlukan dari komponen PLTN;
• penerapan teknis ( perangkat lunak dan perangkat keras) sarana untuk melindungi sumber daya sistem dan dukungan administratif berkelanjutan untuk penggunaannya;
• pembatasan arus informasi dan larangan transmisi informasi distribusi terbatas melalui saluran komunikasi yang tidak terlindungi;
• kontrol efektif atas kepatuhan karyawan terhadap persyaratan keamanan informasi;
• pemantauan konstan sumber daya jaringan, identifikasi kerentanan, deteksi tepat waktu dan netralisasi ancaman eksternal dan internal terhadap keamanan jaringan komputer;
• perlindungan hukum kepentingan organisasi dari tindakan ilegal di bidang keamanan informasi.
• melakukan analisis berkelanjutan terhadap efektivitas dan kecukupan tindakan yang diambil dan sarana perlindungan informasi yang digunakan, pengembangan dan implementasi proposal untuk meningkatkan sistem perlindungan informasi di pembangkit listrik tenaga nuklir.

6 ancaman keamanan informasi

6.1. Ancaman keamanan informasi dan sumbernya

Ancaman paling berbahaya terhadap keamanan informasi yang diproses di pembangkit listrik tenaga nuklir adalah:

• pelanggaran kerahasiaan ( pengungkapan, kebocoran) informasi yang merupakan rahasia resmi atau komersial, termasuk data pribadi;
• tidak berfungsi ( disorganisasi kerja) AU, pemblokiran informasi, pelanggaran proses teknologi, gangguan solusi masalah yang tepat waktu;
• pelanggaran integritas ( distorsi, substitusi, penghancuran) informasi, perangkat lunak, dan sumber daya AU lainnya.

Sumber utama ancaman terhadap keamanan informasi NPP adalah:

• kejadian buruk yang bersifat alami dan buatan;
• teroris, penjahat;
• penjahat dunia maya komputer yang melakukan tindakan destruktif yang ditargetkan, termasuk penggunaan virus komputer dan jenis kode dan serangan berbahaya lainnya;
• pemasok perangkat lunak dan perangkat keras, bahan habis pakai, layanan, dll.;
• kontraktor yang melakukan instalasi, commissioning peralatan dan perbaikannya;
• ketidakpatuhan terhadap persyaratan badan pengawas dan pengatur, undang-undang saat ini;
• kegagalan, kegagalan, kehancuran/kerusakan perangkat lunak dan perangkat keras;
• pegawai yang merupakan peserta hukum dalam proses di AU dan bertindak di luar lingkup kewenangan yang diberikan;
• karyawan yang merupakan peserta hukum dalam proses di AU dan bertindak dalam kerangka wewenang yang diberikan.

6.2. Tindakan tidak disengaja yang mengarah pada pelanggaran keamanan informasi dan tindakan untuk mencegahnya

Karyawan organisasi yang memiliki akses langsung ke proses pemrosesan informasi di AU merupakan sumber potensial dari tindakan tidak disengaja yang tidak disengaja yang dapat menyebabkan pelanggaran keamanan informasi.

Tindakan utama yang tidak diinginkan yang mengarah pada pelanggaran keamanan informasi (tindakan yang dilakukan oleh orang-orang secara tidak sengaja, karena ketidaktahuan, kurangnya perhatian atau kelalaian, karena penasaran, tetapi tanpa niat jahat) dan langkah-langkah untuk mencegah tindakan tersebut dan meminimalkan kerusakan yang ditimbulkannya diberikan dalam Tabel 1.

Tabel 1

Tindakan utama yang mengarah pada pelanggaran keamanan informasi
Tindakan karyawan yang menyebabkan kegagalan sistem sebagian atau seluruhnya atau gangguan kinerja perangkat keras atau perangkat lunak; memutuskan sambungan peralatan atau mengubah mode pengoperasian perangkat dan program; penghancuran sumber daya informasi sistem ( kerusakan yang tidak disengaja pada peralatan, penghapusan, distorsi program atau file dari informasi penting, termasuk kerusakan sistem, kerusakan saluran komunikasi, kerusakan yang tidak disengaja pada pembawa informasi, dll.)	Langkah-langkah organisasi ( ). Penggunaan sarana fisik untuk mencegah terjadinya pelanggaran yang tidak disengaja. Aplikasi teknis ( perangkat keras dan perangkat lunak) sarana untuk membedakan akses ke sumber daya. Reservasi sumber daya kritis.
Peluncuran program yang tidak sah yang, jika digunakan secara tidak kompeten, dapat menyebabkan hilangnya kinerja sistem ( membeku atau loop) atau melakukan perubahan ireversibel dalam sistem ( pemformatan atau restrukturisasi media penyimpanan, penghapusan data, dll.)	Langkah-langkah organisasi ( penghapusan semua program yang berpotensi berbahaya dari stasiun kerja). Aplikasi teknis ( perangkat keras dan perangkat lunak) sarana untuk membedakan akses ke program di workstation.
Pengenalan yang tidak sah dan penggunaan program yang tidak direkam ( permainan, pelatihan, teknologi, dan lainnya yang tidak diperlukan bagi karyawan untuk melakukan tugas resminya) dengan pemborosan sumber daya yang tidak masuk akal ( waktu prosesor, memori akses acak, memori pada media eksternal, dll.)	Langkah-langkah organisasi ( pengenaan larangan). Aplikasi teknis ( perangkat keras dan perangkat lunak) berarti mencegah pengenalan dan penggunaan yang tidak sah dari program yang tidak direkam.
Infeksi virus yang tidak disengaja pada komputer Anda	Langkah-langkah organisasi ( pengaturan tindakan, pengenalan larangan). Langkah-langkah teknologi ( penggunaan program khusus untuk mendeteksi dan menghancurkan virus). Penggunaan perangkat keras dan perangkat lunak yang mencegah infeksi virus komputer.
Pengungkapan, transfer atau hilangnya atribut kontrol akses ( password, kunci enkripsi atau tanda tangan elektronik, kartu identitas, pass, dll.)	Langkah-langkah organisasi ( pengaturan tindakan, pengenalan larangan, penguatan tanggung jawab). Penggunaan sarana fisik untuk memastikan keamanan detail yang ditentukan.
Mengabaikan batasan organisasi ( aturan yang ditetapkan) saat bekerja di sistem	Langkah-langkah organisasi ( ). Penggunaan sarana perlindungan fisik dan teknis tambahan.
Penggunaan, penyesuaian, atau penonaktifan peralatan pelindung yang tidak tepat oleh personel keamanan	Langkah-langkah organisasi ( pelatihan personel, penguatan tanggung jawab dan kontrol).
Memasukkan data yang salah	Langkah-langkah organisasi ( peningkatan tanggung jawab dan kontrol). Langkah-langkah teknologi untuk mengendalikan kesalahan operator entri data.

6.3. Tindakan yang disengaja untuk melanggar keamanan informasi dan tindakan untuk mencegahnya

Tindakan dasar yang disengaja ( untuk tujuan egois, di bawah tekanan, karena keinginan untuk membalas dendam, dll.), yang mengarah pada pelanggaran keamanan informasi pembangkit listrik tenaga nuklir, dan langkah-langkah untuk mencegahnya dan mengurangi kemungkinan kerusakan yang ditimbulkan diberikan dalam Meja 2.

Meja 2

Tindakan disengaja utama yang mengarah pada pelanggaran keamanan informasi	Tindakan untuk mencegah ancaman dan meminimalkan kerusakan
Penghancuran fisik atau ketidakmampuan semua atau beberapa komponen terpenting dari sistem otomatis ( perangkat, operator penting sistem Informasi, personel, dll.), menonaktifkan atau menonaktifkan subsistem untuk memastikan berfungsinya sistem komputasi ( catu daya, jalur komunikasi, dll.)	Langkah-langkah organisasi ( pengaturan tindakan, pengenalan larangan). Penggunaan sarana fisik untuk mencegah dilakukannya pelanggaran dengan sengaja. Reservasi sumber daya kritis.
Pengenalan agen ke dalam jumlah personel sistem ( termasuk kelompok administratif yang bertanggung jawab atas keamanan), pengerahan ( dengan suap, pemerasan, ancaman, dll.) pengguna yang memiliki hak tertentu untuk mengakses sumber daya yang dilindungi	Langkah-langkah organisasi ( seleksi, penempatan dan bekerja dengan personel, memperkuat kontrol dan tanggung jawab). Pendaftaran otomatis tindakan personel.
Pencurian pembawa informasi ( cetakan, disk magnetik, kaset, perangkat penyimpanan, dan seluruh PC), pencurian limbah industri ( cetakan, catatan, media yang dibuang, dll.)	Langkah-langkah organisasi ( ).
Penyalinan pembawa informasi yang tidak sah, membaca informasi sisa dari memori akses acak dan dari perangkat penyimpanan eksternal	Langkah-langkah organisasi ( organisasi penyimpanan dan penggunaan media dengan informasi yang dilindungi). Penerapan sarana teknis untuk membatasi akses ke sumber daya yang dilindungi dan pendaftaran otomatis penerimaan salinan cetak dokumen.
Penerimaan ilegal kata sandi dan detail lain dari kontrol akses ( dengan cara menyamar, menggunakan kelalaian pengguna, dengan memilih, dengan meniru antarmuka sistem dengan bookmark perangkat lunak, dll.) dengan penyamaran selanjutnya sebagai pengguna terdaftar.	Langkah-langkah organisasi ( pengaturan tindakan, pengenalan larangan, bekerja dengan personel). Penggunaan sarana teknis yang mencegah implementasi program untuk mencegat kata sandi, kunci, dan detail lainnya.
Penggunaan AWP yang tidak sah untuk pengguna dengan karakteristik fisik yang unik, seperti jumlah workstation dalam jaringan, alamat fisik, alamat dalam sistem komunikasi, unit enkripsi perangkat keras, dll.	Langkah-langkah organisasi ( peraturan ketat tentang akses ke tempat dan izin untuk bekerja di AWP ini). Penerapan sarana fisik dan teknis kontrol akses.
Modifikasi perangkat lunak yang tidak sah - pengenalan perangkat lunak "bookmark" dan "virus" ( Kuda Trojan dan serangga), yaitu, bagian program yang tidak diperlukan untuk implementasi fungsi yang dideklarasikan, tetapi memungkinkan untuk mengatasi sistem perlindungan, mengakses sumber daya sistem secara diam-diam dan ilegal untuk mendaftarkan dan mentransfer informasi yang dilindungi atau mengacaukan fungsi sistem. sistem	Langkah-langkah organisasi ( peraturan ketat untuk masuk kerja). Penggunaan sarana fisik dan teknis untuk membedakan akses dan mencegah modifikasi yang tidak sah dari konfigurasi perangkat keras dan perangkat lunak AWP. Penerapan alat kontrol integritas perangkat lunak.
Intersepsi data yang ditransmisikan melalui saluran komunikasi, analisisnya untuk mendapatkan informasi rahasia dan mengklarifikasi protokol pertukaran, aturan untuk memasuki jaringan dan memberi otorisasi kepada pengguna, dengan upaya selanjutnya untuk meniru mereka untuk menembus sistem	Perlindungan fisik saluran komunikasi. Penerapan sarana perlindungan kriptografi dari informasi yang dikirimkan.
Gangguan dalam proses berfungsinya sistem dari jaringan publik untuk tujuan modifikasi data yang tidak sah, akses ke informasi rahasia, disorganisasi operasi subsistem, dll.	Langkah-langkah organisasi ( regulasi koneksi dan operasi di jaringan publik). Penggunaan alat pelindung teknis khusus ( firewall, kontrol keamanan dan deteksi serangan terhadap sumber daya sistem, dll.).

6.4. Kebocoran informasi melalui saluran teknis

Selama pengoperasian peralatan teknis PLTN, saluran kebocoran atau pelanggaran berikut terhadap integritas informasi, gangguan kinerja peralatan teknis dimungkinkan:

• radiasi elektromagnetik samping dari sinyal informatif dari sarana teknis dan saluran transmisi informasi;
• intersepsi sinyal informatif, diproses melalui komputer elektronik, ke kabel dan saluran yang melampaui area kantor yang dikendalikan, termasuk. di sirkuit pentanahan dan catu daya;
• berbagai perangkat elektronik untuk menyadap informasi ( termasuk "Bookmark") terhubung ke saluran komunikasi atau sarana teknis pemrosesan informasi;
• melihat informasi dari layar tampilan dan cara lain untuk menampilkannya menggunakan sarana optik;
• berdampak pada perangkat keras atau perangkat lunak untuk melanggar integritas ( kehancuran, distorsi) informasi, pengoperasian sarana teknis, sarana keamanan informasi, dan ketepatan waktu pertukaran informasi, termasuk elektromagnetik, melalui perangkat elektronik dan perangkat lunak yang diterapkan secara khusus ( "Bookmark").

Mempertimbangkan kekhususan pemrosesan dan memastikan keamanan informasi, ancaman kebocoran informasi rahasia ( termasuk data pribadi) melalui saluran teknis tidak relevan bagi organisasi.

6.5. Model informal kemungkinan penyusup

Pelaku adalah orang yang mencoba melakukan operasi terlarang ( tindakan) karena kesalahan, ketidaktahuan atau sengaja dengan kedengkian ( dari kepentingan pribadi) atau tanpanya ( demi permainan atau kesenangan, untuk tujuan penegasan diri, dll.) dan menggunakan berbagai kemungkinan, metode dan sarana untuk ini.

Sistem perlindungan PLTN harus didasarkan pada asumsi tentang kemungkinan jenis pelanggar berikut dalam sistem ( dengan mempertimbangkan kategori orang, motivasi, kualifikasi, ketersediaan sarana khusus, dll.):

• « Pengguna yang tidak berpengalaman (lalai)»- seorang karyawan yang mungkin mencoba melakukan operasi terlarang, mengakses sumber daya AU yang dilindungi melebihi kekuatannya, memasukkan data yang salah, dll. tindakan karena kesalahan, ketidakmampuan atau kelalaian tanpa niat jahat dan hanya menggunakan standar ( tersedia untuknya) perangkat keras dan perangkat lunak.
• « Kekasih"- seorang karyawan yang mencoba mengatasi sistem pertahanan tanpa tujuan egois dan niat jahat, untuk penegasan diri atau dari" minat olahraga". Untuk mengatasi sistem perlindungan dan melakukan tindakan terlarang, ia dapat menggunakan metode yang berbeda memperoleh otoritas tambahan untuk mengakses sumber daya ( nama, kata sandi, dll. pengguna lain), kekurangan dalam pembangunan sistem proteksi dan staf yang tersedia ( dipasang di stasiun kerja) program ( tindakan tidak sah dengan melampaui wewenang mereka untuk menggunakan cara yang diizinkan). Selain itu, ia dapat mencoba menggunakan perangkat lunak instrumental dan teknologi tambahan yang tidak standar ( debugger, utilitas utilitas), program yang dikembangkan secara independen atau sarana teknis tambahan standar.
• « penipu"- seorang karyawan yang mungkin mencoba melakukan operasi teknologi ilegal, memasukkan data palsu dan tindakan serupa untuk tujuan egois, di bawah paksaan atau dari niat jahat, tetapi hanya menggunakan ( diinstal pada workstation dan tersedia untuk itu) perangkat keras dan perangkat lunak atas namanya sendiri atau atas nama karyawan lain ( mengetahui nama dan kata sandinya, menggunakan ketidakhadiran jangka pendeknya dari tempat kerja, dll.).
• « Penyusup eksternal (penyusup)»- orang luar atau mantan karyawan yang bertindak dengan sengaja demi kepentingan pribadi, karena balas dendam atau rasa ingin tahu, mungkin berkolusi dengan orang lain. Dia dapat menggunakan seluruh rangkaian metode untuk melanggar keamanan informasi, metode dan cara untuk membobol sistem keamanan yang khas untuk jaringan publik ( terutama jaringan berbasis IP), termasuk implementasi jarak jauh dari penanda perangkat lunak dan penggunaan program instrumental dan teknologi khusus, menggunakan kelemahan yang ada dari protokol pertukaran dan sistem perlindungan node jaringan AS organisasi.
• « Penyerang internal»- seorang karyawan yang terdaftar sebagai pengguna sistem, bertindak dengan sengaja demi kepentingan pribadi atau balas dendam, kemungkinan berkolusi dengan orang-orang yang bukan karyawan organisasi. Dia dapat menggunakan seluruh rangkaian metode dan sarana untuk membobol sistem keamanan, termasuk metode penyamaran untuk mendapatkan rincian akses, sarana pasif (sarana teknis intersepsi tanpa memodifikasi komponen sistem), metode dan sarana pengaruh aktif ( modifikasi sarana teknis, koneksi ke saluran transmisi data, pengenalan penanda perangkat lunak dan penggunaan program instrumental dan teknologi khusus;), serta kombinasi pengaruh baik dari dalam maupun dari jaringan publik.

Orang dalam dapat berupa orang dari kategori personel berikut:

• pengguna akhir terdaftar AU ( karyawan divisi dan cabang);
• pekerja tidak diizinkan bekerja dengan AU;
• personel yang melayani sarana teknis pembangkit listrik tenaga nuklir ( insinyur, teknisi);
• karyawan departemen pengembangan dan pemeliharaan perangkat lunak ( pemrogram aplikasi dan sistem);
• personel teknis yang melayani bangunan dan tempat organisasi ( pembersih, tukang listrik, tukang ledeng, dan pekerja lain yang memiliki akses ke gedung dan tempat di mana komponen speaker berada);
• pemimpin dari berbagai tingkatan.

• pekerja yang diberhentikan;
• perwakilan organisasi yang berinteraksi dalam isu-isu untuk memastikan kehidupan organisasi ( energi, air, suplai panas, dll.);
• perwakilan dari perusahaan yang memasok peralatan, perangkat lunak, layanan, dll.;
• anggota organisasi kriminal dan struktur komersial yang bersaing atau orang-orang yang bertindak atas nama mereka;
• orang yang secara tidak sengaja atau sengaja memasuki jaringan dari jaringan eksternal ( "Peretas").

Pengguna dan personel pemeliharaan dari kalangan pekerja memiliki peluang yang paling luas untuk melakukan tindakan yang tidak sah, karena wewenang tertentu mereka untuk mengakses sumber daya dan pengetahuan yang bagus teknologi pemrosesan informasi. Perbuatan kelompok pelanggar ini berkaitan langsung dengan pelanggaran terhadap peraturan perundang-undangan yang ada. Kelompok pelanggar ini sangat berbahaya ketika berinteraksi dengan struktur kriminal.

Pekerja yang dipecat dapat menggunakan pengetahuan mereka tentang teknologi kerja, tindakan perlindungan, dan hak akses untuk mencapai tujuan mereka.

Struktur kriminal mewakili sumber ancaman eksternal yang paling agresif. Untuk mengimplementasikan rencana mereka, struktur ini dapat secara terbuka melanggar hukum dan melibatkan karyawan organisasi dalam kegiatan mereka dengan semua kekuatan dan sarana yang tersedia bagi mereka.

Peretas memiliki kualifikasi teknis tertinggi dan pengetahuan tentang kelemahan perangkat lunak yang digunakan di AU. Mereka menimbulkan ancaman terbesar ketika berinteraksi dengan pekerja yang bekerja atau diberhentikan dan struktur kriminal.

Organisasi yang terlibat dalam pengembangan, penyediaan dan perbaikan peralatan dan sistem informasi menimbulkan ancaman eksternal karena fakta bahwa dari waktu ke waktu mereka memiliki akses langsung ke sumber daya informasi. Struktur kriminal dapat menggunakan organisasi ini untuk mempekerjakan sementara anggotanya guna mendapatkan akses ke informasi yang dilindungi.

7. Kebijakan teknis di bidang keamanan informasi

7.1. Ketentuan utama dari kebijakan teknis

Implementasi kebijakan teknis di bidang keamanan informasi harus berangkat dari premis bahwa tidak mungkin untuk memastikan tingkat keamanan informasi yang diperlukan tidak hanya dengan bantuan satu cara yang terpisah ( Acara), tetapi juga dengan bantuan kombinasi sederhana mereka. Koordinasi sistemik mereka satu sama lain diperlukan ( aplikasi yang kompleks), dan elemen individu dari AU yang sedang dikembangkan harus dipertimbangkan sebagai bagian dari sistem informasi terpadu dalam desain yang dilindungi dengan rasio optimal teknis ( perangkat keras Perangkat Lunak) dana dan langkah-langkah organisasi.

Arah utama pelaksanaan kebijakan teknis untuk menjamin keamanan informasi PLTN adalah untuk memastikan perlindungan sumber daya informasi dari pencurian, kehilangan, kebocoran, perusakan, distorsi atau pemalsuan karena akses yang tidak sah dan tindakan khusus.

Dalam kerangka arahan kebijakan teknis yang ditunjukkan untuk memastikan keamanan informasi, hal-hal berikut dilakukan:

• penerapan sistem perizinan untuk penerimaan pemain ( pengguna, personel layanan) untuk karya, dokumen, dan informasi yang bersifat rahasia;
• membatasi akses pemain dan orang yang tidak berwenang ke gedung dan tempat di mana pekerjaan yang bersifat rahasia dilakukan dan sarana informasi dan komunikasi berada di mana ( disimpan, ditransmisikan) informasi yang bersifat rahasia, langsung ke sarana informasi dan komunikasi;
• diferensiasi akses pengguna dan personel layanan ke sumber daya informasi, perangkat lunak untuk memproses dan melindungi informasi dalam subsistem dari berbagai tingkat dan tujuan yang termasuk dalam AU;
• pendaftaran dokumen, susunan informasi, pendaftaran tindakan pengguna dan personel layanan, kontrol atas akses dan tindakan pengguna yang tidak sah, personel layanan dan orang yang tidak berwenang;
• mencegah pengenalan program virus, penanda perangkat lunak ke dalam subsistem otomatis;
• perlindungan kriptografi dari informasi yang diproses dan dikirimkan oleh teknologi komputer dan komunikasi;
• penyimpanan yang andal dari media penyimpanan mesin, kunci kriptografi ( informasi kunci) dan peredarannya, tidak termasuk pencurian, penggantian dan penghancuran;
• reservasi sarana teknis yang diperlukan dan duplikasi susunan dan pembawa informasi;
• pengurangan tingkat dan kandungan informasi dari emisi dan pickup palsu yang dibuat oleh berbagai elemen subsistem otomatis;
• isolasi listrik dari sirkuit catu daya, pembumian, dan sirkuit lain dari objek informasi yang melampaui area yang dikendalikan;
• penangkal alat pengamatan optik dan laser.

7.2. Pembentukan rezim keamanan informasi

Dengan mempertimbangkan ancaman yang teridentifikasi terhadap keselamatan PLTN, rezim keamanan informasi harus dibentuk sebagai seperangkat metode dan tindakan untuk melindungi informasi yang beredar di PLTN dan infrastruktur pendukungnya dari pengaruh yang tidak disengaja atau disengaja yang bersifat alami atau buatan, yang mencakup merugikan pemilik atau pengguna informasi.

Serangkaian tindakan untuk pembentukan rezim keamanan informasi meliputi:

• pembentukan rezim organisasi dan hukum keamanan informasi dalam sistem otomatis ( dokumen peraturan, bekerja dengan personel, pekerjaan kantor);
• pelaksanaan langkah-langkah organisasi dan teknis untuk melindungi informasi distribusi terbatas dari kebocoran melalui saluran teknis;
• tindakan organisasi dan teknis perangkat lunak untuk mencegah tindakan yang tidak sah ( mengakses) ke sumber informasi AU;
• serangkaian tindakan untuk mengontrol berfungsinya sarana dan sistem untuk melindungi sumber daya informasi yang didistribusikan secara terbatas setelah dampak yang tidak disengaja atau disengaja.

8. Tindakan, metode dan sarana keamanan informasi

8.1. Langkah-langkah organisasi

Langkah-langkah organisasi- ini adalah langkah-langkah organisasi yang mengatur proses fungsi PLTN, penggunaan sumber dayanya, aktivitas personel pemeliharaan, serta prosedur interaksi pengguna dengan sistem sedemikian rupa sehingga paling memperumit atau mengecualikan kemungkinan menerapkan ancaman keamanan dan mengurangi jumlah kerusakan pada saat penerapannya.

8.1.1. Pembentukan kebijakan keamanan

Tujuan utama dari langkah-langkah organisasi adalah untuk membentuk kebijakan di bidang keamanan informasi, yang mencerminkan pendekatan terhadap perlindungan informasi, dan untuk memastikan implementasinya dengan mengalokasikan sumber daya yang diperlukan dan memantau keadaan.

Dari sudut pandang praktis, kebijakan keselamatan PLTN harus dibagi menjadi dua tingkatan. Tingkat atas mencakup keputusan yang mempengaruhi kegiatan organisasi secara keseluruhan. Contoh solusi tersebut mungkin:

• pembentukan atau revisi program keamanan informasi yang komprehensif, penentuan mereka yang bertanggung jawab atas pelaksanaannya;
• perumusan tujuan, penetapan tujuan, penetapan bidang kegiatan di bidang keamanan informasi;
• membuat keputusan tentang pelaksanaan program keamanan, yang dipertimbangkan pada tingkat organisasi secara keseluruhan;
• ketentuan peraturan ( hukum) database pertanyaan keamanan, dll.

Kebijakan tingkat yang lebih rendah mendefinisikan prosedur dan aturan untuk mencapai tujuan dan memecahkan masalah keamanan informasi dan rincian (mengatur) aturan ini:

• apa ruang lingkup kebijakan keamanan informasi;
• apa peran dan tanggung jawab pejabat yang bertanggung jawab atas pelaksanaan kebijakan keamanan informasi;
• siapa yang berhak mengakses informasi yang dibatasi;
• siapa dan dalam kondisi apa dapat membaca dan mengubah informasi, dll.

Kebijakan tingkat bawah harus:

• mengatur hubungan informasi, tidak termasuk kemungkinan tindakan sewenang-wenang, monopoli atau tidak sah sehubungan dengan sumber informasi rahasia;
• mendefinisikan prinsip dan metode koalisi dan hierarkis untuk berbagi rahasia dan membatasi akses ke informasi distribusi terbatas;
• memilih perangkat lunak dan perangkat keras sarana perlindungan kriptografi, melawan gangguan, otentikasi, otorisasi, identifikasi dan mekanisme perlindungan lainnya yang memberikan jaminan untuk pelaksanaan hak dan tanggung jawab subjek hubungan informasi.

8.1.2. Regulasi akses ke sarana teknis

Pengoperasian stasiun kerja otomatis yang aman dan server Bank harus dilakukan di kamar yang dilengkapi dengan kunci otomatis yang andal, alarm dan selalu dijaga atau dipantau, tidak termasuk kemungkinan masuk yang tidak terkendali ke tempat orang yang tidak berwenang dan memastikan keamanan fisik sumber daya yang dilindungi. terletak di lokasi ( AWP, dokumen, detail akses, dll.). Penempatan dan pemasangan sarana teknis AWP tersebut harus mengecualikan kemungkinan melihat input secara visual ( ditarik) informasi oleh orang yang tidak terkait dengannya. Pembersihan tempat dengan peralatan yang dipasang di dalamnya harus dilakukan di hadapan orang yang bertanggung jawab, kepada siapa sarana teknis ini ditugaskan, atau orang yang bertugas di unit, sesuai dengan langkah-langkah yang mengecualikan akses orang yang tidak berwenang ke sumber daya yang dilindungi.

Selama pemrosesan informasi yang dibatasi, hanya personel yang berwenang untuk bekerja dengan informasi ini yang boleh hadir di lokasi.

Pada akhir hari kerja, tempat dengan AWP terlindung yang terpasang harus diserahkan di bawah perlindungan.

Untuk menyimpan dokumen kantor dan media mesin dengan informasi yang dilindungi, karyawan disediakan lemari logam, serta alat untuk menghancurkan dokumen.

Sarana teknis yang digunakan untuk memproses atau menyimpan informasi rahasia harus disegel.

8.1.3. Peraturan penerimaan karyawan untuk penggunaan sumber daya informasi

Dalam kerangka sistem penerimaan permisif, ditetapkan: siapa, kepada siapa, informasi apa dan untuk jenis akses apa yang dapat diberikan dan dalam kondisi apa; sistem kontrol akses, yang melibatkan definisi untuk semua pengguna informasi AU dan sumber daya perangkat lunak yang tersedia bagi mereka untuk operasi tertentu ( baca, tulis, ubah, hapus, jalankan) menggunakan perangkat lunak dan alat akses perangkat keras yang ditentukan.

Penerimaan pekerja untuk bekerja dengan AU dan akses ke sumber daya mereka harus diatur secara ketat. Setiap perubahan dalam komposisi dan kekuatan pengguna subsistem AU harus dilakukan sesuai dengan prosedur yang ditetapkan.

Pengguna utama informasi di AU adalah karyawan divisi struktural organisasi. Tingkat otoritas untuk setiap pengguna ditentukan secara individual, dengan memperhatikan persyaratan berikut:

• informasi terbuka dan rahasia ditempatkan, bila memungkinkan, pada server yang berbeda;
• setiap karyawan hanya menggunakan hak yang ditentukan kepadanya sehubungan dengan informasi yang dia butuhkan untuk bekerja sesuai dengan tanggung jawab pekerjaannya;
• bos memiliki hak untuk melihat informasi dari bawahannya;
• operasi teknologi yang paling kritis harus dilakukan sesuai dengan aturan "Di dua tangan"- kebenaran informasi yang dimasukkan dikonfirmasi oleh pejabat lain yang tidak berhak memasukkan informasi.

Semua karyawan yang diterima bekerja di PLTN dan personel pemeliharaan PLTN harus secara pribadi bertanggung jawab atas pelanggaran prosedur yang ditetapkan untuk pemrosesan informasi otomatis, aturan untuk menyimpan, menggunakan, dan mentransfer sumber daya yang dilindungi dari sistem yang mereka miliki. Saat merekrut, setiap karyawan harus menandatangani Komitmen tentang kepatuhan terhadap persyaratan untuk menjaga informasi rahasia dan tanggung jawab atas pelanggaran mereka, serta kepatuhan terhadap aturan untuk bekerja dengan informasi yang dilindungi di AU.

Pemrosesan informasi yang dilindungi dalam subsistem AU harus dilakukan sesuai dengan instruksi teknologi yang disetujui ( pesanan) untuk subsistem ini.

Untuk pengguna, stasiun kerja yang dilindungi, instruksi teknologi yang diperlukan harus dikembangkan, termasuk persyaratan untuk memastikan keamanan informasi.

8.1.4. Regulasi proses pemeliharaan database dan modifikasi sumber daya informasi

Semua operasi untuk memelihara database di AU dan penerimaan pekerja untuk bekerja dengan database ini harus diatur secara ketat. Setiap perubahan komposisi dan kewenangan pengguna database AU harus dilakukan sesuai dengan prosedur yang telah ditetapkan.

Distribusi nama, pembuatan kata sandi, pemeliharaan aturan untuk membedakan akses ke basis data dipercayakan kepada karyawan Departemen Teknologi Informasi. Dalam hal ini, baik sarana standar maupun tambahan untuk melindungi DBMS dan sistem operasi dapat digunakan.

8.1.5. Regulasi proses pemeliharaan dan modifikasi sumber daya perangkat keras dan perangkat lunak

Sumber daya sistem yang akan dilindungi ( tugas, program, AWP) tunduk pada akuntansi yang ketat ( berdasarkan penggunaan formulir yang sesuai atau basis data khusus).

Konfigurasi perangkat keras dan perangkat lunak dari stasiun kerja otomatis tempat informasi yang dilindungi diproses atau dari mana akses ke sumber daya yang dilindungi dimungkinkan harus sesuai dengan rentang tugas fungsional yang diberikan kepada pengguna AWS ini. Semua perangkat input-output informasi yang tidak digunakan (tidak perlu) ( COM, USB, port LPT, drive floppy disk, CD, dan media penyimpanan lainnya) pada AWP tersebut harus dinonaktifkan (dihapus), perangkat lunak yang tidak perlu dan data dari disk AWS juga harus dihapus.

Untuk menyederhanakan pemeliharaan, pemeliharaan, dan pengaturan perlindungan, stasiun kerja harus dilengkapi dengan perangkat lunak dan dikonfigurasi secara terpadu ( sesuai dengan aturan yang telah ditetapkan).

Komisioning AWP baru dan semua perubahan dalam konfigurasi perangkat keras dan lunak, AWP yang ada di AS organisasi harus dilakukan hanya dalam urutan yang ditetapkan.

Semua perangkat lunak ( dikembangkan oleh spesialis organisasi, diperoleh atau diperoleh dari produsen) harus diuji dengan cara yang ditentukan dan dipindahkan ke penyimpanan program organisasi. Dalam subsistem AU, hanya perangkat lunak yang diterima dari penyimpanan sesuai dengan prosedur yang ditetapkan yang harus diinstal dan digunakan. Penggunaan perangkat lunak dalam AS yang tidak termasuk dalam penyimpanan perangkat lunak harus dilarang.

Pengembangan perangkat lunak, pengujian perangkat lunak yang dikembangkan dan dibeli, transfer perangkat lunak ke pengoperasian harus dilakukan sesuai dengan prosedur yang ditetapkan.

8.1.6. Pelatihan dan pendidikan pengguna

Sebelum memberikan akses ke AU, penggunanya, serta personel manajemen dan pemeliharaan, harus terbiasa dengan daftar informasi rahasia dan tingkat otoritasnya, serta dokumentasi organisasi dan administratif, peraturan, teknis, dan operasional yang menentukan persyaratan dan prosedur untuk memproses informasi tersebut.

Perlindungan informasi di semua bidang di atas hanya mungkin dilakukan setelah pengguna mengembangkan disiplin tertentu, mis. norma yang mengikat setiap orang yang bekerja di AU. Norma-norma ini termasuk larangan tindakan yang disengaja atau tidak disengaja yang mengganggu operasi normal AU, menyebabkan biaya sumber daya tambahan, melanggar integritas informasi yang disimpan dan diproses, melanggar kepentingan pengguna yang sah.

Semua karyawan yang menggunakan subsistem PLTN tertentu selama bekerja harus terbiasa dengan dokumen organisasi dan administrasi untuk perlindungan pembangkit listrik tenaga nuklir dalam hal perhatian mereka, harus mengetahui dan secara ketat mengikuti instruksi teknologi dan tugas umum untuk memastikan keamanan informasi . Membawa persyaratan dokumen-dokumen ini kepada orang-orang yang diterima dalam pemrosesan informasi yang dilindungi harus dilakukan oleh kepala departemen dengan tanda tangan mereka.

8.1.7. Tanggung jawab atas pelanggaran persyaratan keamanan informasi

Untuk setiap pelanggaran serius terhadap persyaratan keamanan informasi oleh karyawan organisasi, penyelidikan resmi harus dilakukan. Tindakan yang memadai harus diambil terhadap para pelaku. Tingkat tanggung jawab personel atas tindakan yang melanggar aturan yang ditetapkan untuk memastikan pemrosesan informasi otomatis yang aman harus ditentukan oleh kerusakan yang disebabkan, adanya niat jahat, dan faktor lainnya.

Untuk menerapkan prinsip tanggung jawab pribadi pengguna atas tindakan mereka, perlu:

• identifikasi individu pengguna dan proses yang diprakarsai oleh mereka, mis. penetapan pengidentifikasi untuk mereka, yang dengannya pembedaan akses akan dilakukan sesuai dengan prinsip keabsahan akses;
• otentikasi pengguna ( autentikasi) berdasarkan kata sandi, kunci pada basis fisik yang berbeda, dll.;
• Registrasi ( masuk) pengoperasian mekanisme untuk mengontrol akses ke sumber daya sistem informasi, yang menunjukkan tanggal dan waktu, pengidentifikasi sumber daya yang meminta dan yang diminta, jenis interaksi dan hasilnya;
• reaksi terhadap upaya akses yang tidak sah ( alarm, pemblokiran, dll.).

8.2. Sarana perlindungan teknis

Teknis ( perangkat keras dan perangkat lunak) sarana perlindungan - berbagai perangkat elektronik dan program khusus yang merupakan bagian dari AU dan melakukan (secara mandiri atau dalam kombinasi dengan sarana lain) fungsi perlindungan ( identifikasi dan otentikasi pengguna, diferensiasi akses ke sumber daya, pendaftaran acara, perlindungan informasi kriptografi, dll.).

Dengan mempertimbangkan semua persyaratan dan prinsip untuk memastikan keamanan informasi di pembangkit listrik tenaga nuklir di semua bidang proteksi, sarana berikut harus dimasukkan dalam sistem proteksi:

• sarana otentikasi pengguna dan elemen pembicara ( terminal, tugas, item database, dll.) sesuai dengan tingkat kerahasiaan informasi dan data yang diproses;
• sarana untuk membatasi akses ke data;
• sarana perlindungan kriptografi informasi dalam jalur transmisi data dan database;
• sarana pendaftaran peredaran dan pengendalian penggunaan informasi yang dilindungi;
• sarana untuk menanggapi upaya perusakan atau perusakan yang terdeteksi;
• sarana untuk mengurangi tingkat dan kandungan informasi emisi dan pickup palsu;
• sarana perlindungan terhadap sarana pengamatan optik;
• perlindungan terhadap virus dan malware;
• sarana pelepasan listrik dari elemen AU dan elemen struktural tempat di mana peralatan berada.

Sarana teknis perlindungan terhadap serangan tidak sah dipercayakan dengan solusi tugas-tugas utama berikut:

• identifikasi dan otentikasi pengguna menggunakan nama dan/atau perangkat keras khusus ( Memori Sentuh, Kartu Pintar, dll.);
• regulasi akses pengguna ke perangkat fisik workstation ( disk, port input-output);
• selektif (discretionary) kontrol akses ke drive logis, direktori dan file;
• diferensiasi otoritatif (wajib) akses ke data yang dilindungi di workstation dan di server file;
• membuat tertutup lingkungan perangkat lunak diizinkan untuk menjalankan program yang terletak di drive lokal dan jaringan;
• perlindungan terhadap penetrasi virus komputer dan malware;
• kontrol integritas modul sistem perlindungan, area sistem disk, dan daftar file arbitrer di mode otomatis dan dengan perintah administrator;
• pendaftaran tindakan pengguna dalam jurnal yang dilindungi, adanya beberapa tingkat pendaftaran;
• perlindungan sistem perlindungan data pada file server dari akses semua pengguna, termasuk administrator jaringan;
• manajemen terpusat pengaturan sarana diferensiasi akses pada workstation jaringan;
• pendaftaran semua peristiwa gangguan yang terjadi di stasiun kerja;
• kontrol operasional atas pekerjaan pengguna jaringan, mengubah mode operasi stasiun kerja dan kemungkinan pemblokiran ( jika diperlukan) setiap stasiun di jaringan.

Keberhasilan penerapan sarana perlindungan teknis mengandaikan bahwa pemenuhan persyaratan berikut ini dijamin oleh tindakan organisasi dan sarana fisik perlindungan yang digunakan:

• integritas fisik semua komponen AU terjamin;
• setiap karyawan ( pengguna sistem) memiliki nama sistem yang unik dan otoritas minimum untuk mengakses sumber daya sistem yang diperlukan untuk pelaksanaan tugas fungsionalnya;
• penggunaan program instrumental dan teknologi di stasiun kerja ( utilitas uji, debugger, dll.), mengizinkan upaya untuk meretas atau melewati tindakan keamanan, dibatasi dan diatur secara ketat;
• tidak ada pengguna pemrograman dalam sistem yang dilindungi, dan pengembangan dan debugging program dilakukan di luar sistem yang dilindungi;
• semua perubahan dalam konfigurasi perangkat keras dan perangkat lunak dilakukan secara ketat;
• perangkat keras jaringan ( hub, switch, router, dll.) terletak di tempat-tempat yang tidak dapat diakses oleh orang asing ( kamar khusus, lemari, dll.);
• layanan keamanan informasi melakukan manajemen berkelanjutan dan dukungan administratif untuk berfungsinya alat keamanan informasi.

8.2.1. Alat identifikasi dan otentikasi pengguna

Untuk mencegah orang yang tidak berwenang mengakses AU, perlu dipastikan bahwa sistem dapat mengenali setiap pengguna yang sah (atau kelompok pengguna terbatas). Untuk melakukan ini, dalam sistem ( di tempat terlindung) harus menyimpan sejumlah atribut dari setiap pengguna yang dengannya pengguna ini dapat diidentifikasi. Di masa depan, ketika memasuki sistem, dan, jika perlu, ketika melakukan tindakan tertentu dalam sistem, pengguna berkewajiban untuk mengidentifikasi dirinya sendiri, mis. menunjukkan pengenal yang ditetapkan untuk itu dalam sistem. Selain itu, berbagai jenis perangkat dapat digunakan untuk identifikasi: kartu magnetik, sisipan kunci, floppy disk, dll.

Autentikasi ( konfirmasi keaslian) pengguna harus dilakukan berdasarkan penggunaan kata sandi (kata rahasia) atau sarana otentikasi khusus, memeriksa karakteristik unik (parameter) pengguna.

8.2.2. Sarana untuk membatasi akses ke sumber daya sistem Otomatis

Setelah mengenali pengguna, sistem harus mengotorisasi pengguna, yaitu menentukan hak apa yang diberikan kepada pengguna, mis. data apa dan bagaimana ia dapat digunakan, program apa yang dapat dijalankannya, kapan, untuk berapa lama dan dari terminal apa ia dapat bekerja, sumber daya sistem apa yang dapat digunakannya, dll. Otorisasi pengguna harus dilakukan dengan menggunakan mekanisme kontrol akses berikut:

• mekanisme kontrol akses selektif berdasarkan penggunaan skema atribut, daftar izin, dll.;
• mekanisme kontrol akses otoritatif berdasarkan penggunaan label kerahasiaan sumber daya dan tingkat akses pengguna;
• mekanisme untuk menyediakan lingkungan tertutup dari perangkat lunak tepercaya ( individu untuk setiap daftar pengguna dari program yang diizinkan untuk dijalankan) didukung oleh mekanisme untuk mengidentifikasi dan mengautentikasi pengguna saat mereka masuk ke sistem.

Bidang tanggung jawab dan tugas sarana perlindungan teknis khusus ditetapkan berdasarkan kemampuan dan karakteristik kinerjanya yang dijelaskan dalam dokumentasi sarana ini.

Sarana teknis kontrol akses harus menjadi bagian integral dari sistem kontrol akses terpadu:

• ke daerah yang dikendalikan;
• di kamar terpisah;
• terhadap elemen AU dan elemen sistem keamanan informasi ( akses fisik);
• ke sumber daya AU ( akses matematika);
• untuk penyimpanan informasi ( media penyimpanan, volume, file, kumpulan data, arsip, referensi, catatan, dll.);
• sumber daya aktif ( program aplikasi, tugas, formulir permintaan, dll.);
• ke sistem operasi, program sistem dan program keamanan, dll.

8.2.3. Sarana untuk memastikan dan memantau integritas perangkat lunak dan sumber daya informasi

Kontrol integritas program, informasi yang diproses, dan sarana perlindungan, untuk memastikan invariabilitas lingkungan perangkat lunak, ditentukan oleh teknologi pemrosesan yang disediakan, dan perlindungan terhadap koreksi informasi yang tidak sah harus disediakan:

• cara menghitung checksum;
• melalui tanda tangan elektronik;
• cara membandingkan sumber daya kritis dengan salinan master mereka ( dan pemulihan jika terjadi pelanggaran integritas);
• alat kontrol akses ( menolak akses dengan hak modifikasi atau penghapusan).

Untuk melindungi informasi dan program dari perusakan atau distorsi yang tidak sah, perlu untuk memastikan:

• duplikasi tabel dan data sistem;
• duplexing dan mirroring data pada disk;
• pelacakan transaksi;
• pemantauan berkala terhadap integritas sistem operasi dan program pengguna, serta file pengguna;
• perlindungan dan kontrol anti-virus;
• mencadangkan data sesuai dengan skema yang telah ditentukan sebelumnya.

8.2.4. Kontrol Acara Keamanan

Pengendalian harus memastikan bahwa semua kejadian ( tindakan pengguna, upaya oleh orang yang tidak berwenang, dll.), yang dapat menyebabkan pelanggaran kebijakan keamanan dan menyebabkan munculnya situasi krisis. Kontrol harus menyediakan kemampuan untuk:

• pemantauan terus-menerus terhadap simpul-simpul utama jaringan dan peralatan komunikasi pembentuk jaringan, serta aktivitas jaringan di segmen-segmen utama jaringan;
• kontrol atas penggunaan layanan jaringan perusahaan dan publik oleh pengguna;
• memelihara dan menganalisis log peristiwa keamanan;
• deteksi tepat waktu dari ancaman eksternal dan internal terhadap keamanan informasi.

Saat mendaftarkan acara keamanan di catatan sistem informasi berikut harus dicatat:

• tanggal dan waktu acara;
• pengenal subjek ( pengguna, program) melakukan tindakan terdaftar;
• tindakan ( jika permintaan akses terdaftar, maka objek dan jenis akses ditandai).

Kontrol harus memastikan bahwa kejadian berikut terdeteksi dan dicatat:

• login pengguna ke sistem;
• login pengguna ke jaringan;
• gagal login atau upaya jaringan ( kata kunci Salah);
• koneksi ke server file;
• memulai program;
• selesainya program;
• upaya untuk memulai program yang tidak tersedia untuk diluncurkan;
• upaya untuk mendapatkan akses ke direktori yang tidak dapat diakses;
• upaya untuk membaca / menulis informasi dari disk yang tidak dapat diakses oleh pengguna;
• upaya untuk meluncurkan program dari disk yang tidak dapat diakses oleh pengguna;
• pelanggaran integritas program dan data sistem perlindungan, dll.

Cara utama berikut untuk menanggapi fakta yang terdeteksi dari orang yang tidak berwenang harus didukung ( mungkin dengan partisipasi administrator keamanan):

• memberi tahu pemilik informasi tentang NSD ke datanya;
• membatalkan program ( tugas) dengan eksekusi lebih lanjut;
• memberi tahu administrator basis data dan administrator keamanan;
• memutuskan terminal ( tempat kerja) dari mana upaya dilakukan oleh NSD terhadap informasi atau tindakan ilegal di jaringan;
• pengecualian pelaku dari daftar pengguna terdaftar;
• sinyal alarm, dll.

8.2.5. Keamanan informasi kriptografi

Salah satu elemen terpenting dari sistem keamanan informasi pembangkit listrik tenaga nuklir adalah penggunaan metode kriptografi dan sarana untuk melindungi informasi dari akses yang tidak sah selama transmisi melalui saluran komunikasi dan penyimpanan di media komputer.

Semua sarana perlindungan kriptografi informasi di AU harus didasarkan pada inti kriptografi dasar. Organisasi harus memiliki lisensi yang ditetapkan oleh undang-undang untuk hak menggunakan media kriptografi.

Sistem kunci dari sarana perlindungan kriptografi yang digunakan di AU harus memberikan ketahanan kriptografi dan perlindungan multi-level terhadap kompromi informasi kunci, pemisahan pengguna berdasarkan tingkat perlindungan dan zona interaksi mereka satu sama lain dan pengguna tingkat lain.

Kerahasiaan dan perlindungan peniruan informasi selama transmisinya melalui saluran komunikasi harus dipastikan melalui penggunaan pelanggan dan sarana enkripsi saluran dalam sistem. Kombinasi enkripsi informasi pelanggan dan saluran harus memastikan perlindungan ujung-ke-ujungnya di sepanjang seluruh jalur lintasan, melindungi informasi jika terjadi pengalihan yang salah karena kegagalan dan malfungsi perangkat keras dan perangkat lunak pusat switching.

AU, yang merupakan sistem dengan sumber daya informasi terdistribusi, juga harus menggunakan sarana untuk menghasilkan dan memverifikasi tanda tangan elektronik untuk memastikan integritas dan konfirmasi bukti hukum atas keaslian pesan, serta otentikasi pengguna, stasiun pelanggan, dan konfirmasi waktu. dari mengirim pesan. Dalam hal ini, algoritma tanda tangan elektronik standar harus digunakan.

8.3. Manajemen keamanan informasi

Pengelolaan sistem keamanan informasi dalam sebuah PLTN berdampak pada komponen-komponen sistem keamanan ( organisasi, teknis, perangkat lunak dan kriptografi) untuk mencapai indikator dan standar keamanan informasi yang beredar di PLTN dalam rangka penerapan ancaman keamanan utama.

Tujuan utama mengatur manajemen sistem keamanan informasi adalah untuk meningkatkan keandalan perlindungan informasi selama pemrosesan, penyimpanan, dan transmisi.

Manajemen sistem keamanan informasi diimplementasikan oleh subsistem kontrol khusus, yang merupakan seperangkat badan kontrol, sarana teknis, perangkat lunak dan kriptografi, serta langkah-langkah organisasi dan titik kontrol yang berinteraksi dari berbagai tingkatan.

Fungsi dari subsistem kendali adalah : informasi, kendali dan bantu.

Fungsi informasi terdiri dari pemantauan terus menerus terhadap keadaan sistem proteksi, memeriksa kepatuhan indikator keamanan dengan nilai yang diizinkan dan segera memberi tahu operator keamanan tentang situasi yang muncul di pembangkit listrik tenaga nuklir yang dapat menyebabkan pelanggaran keamanan informasi. . Ada dua persyaratan untuk memantau status sistem proteksi: kelengkapan dan keandalan. Kelengkapan mencirikan tingkat cakupan semua alat perlindungan dan parameter fungsinya. Keandalan kontrol mencirikan tingkat kecukupan nilai parameter yang dikontrol ke nilai sebenarnya. Sebagai hasil dari pemrosesan data kontrol, informasi tentang status sistem perlindungan dihasilkan, yang digeneralisasi dan ditransmisikan ke titik kontrol yang lebih tinggi.

Fungsi pengendalian adalah untuk merumuskan rencana pelaksanaan operasi teknologi PLTN, dengan mempertimbangkan persyaratan keamanan informasi dalam kondisi yang berlaku pada saat tertentu, serta dalam menentukan lokasi situasi kerentanan informasi dan mencegah kebocorannya dengan segera memblokir bagian NPP di mana ancaman keamanan informasi muncul ... Fungsi kontrol termasuk akuntansi, penyimpanan, dan penerbitan dokumen dan pembawa informasi, kata sandi dan kunci. Pada saat yang sama, pembuatan kata sandi, kunci, pemeliharaan sarana kontrol akses, penerimaan perangkat lunak baru yang termasuk dalam lingkungan perangkat lunak AS, kontrol kepatuhan lingkungan perangkat lunak dengan standar, serta kontrol atas teknologi. proses pemrosesan informasi rahasia ditugaskan kepada karyawan Departemen Teknologi Informasi dan Departemen Keamanan Ekonomi.

KE fungsi bantu subsistem kontrol mencakup akuntansi untuk semua operasi yang dilakukan di AU dengan informasi yang dilindungi, pembentukan dokumen pelaporan dan pengumpulan data statistik untuk menganalisis dan mengidentifikasi saluran potensial kebocoran informasi.

8.4. Memantau efektivitas sistem proteksi

Pemantauan efektivitas sistem perlindungan informasi dilakukan untuk mengidentifikasi dan mencegah kebocoran informasi secara tepat waktu karena akses yang tidak sah ke sana, serta untuk mencegah kemungkinan tindakan khusus yang bertujuan untuk menghancurkan informasi, menghancurkan teknologi informasi.

Evaluasi efektivitas tindakan perlindungan informasi dilakukan dengan menggunakan kontrol organisasi, perangkat keras dan perangkat lunak untuk memenuhi persyaratan yang ditetapkan.

Kontrol dapat dilakukan baik dengan bantuan sarana standar sistem perlindungan informasi, dan dengan bantuan sarana kontrol khusus dan pemantauan teknologi.

8.5. Fitur memastikan keamanan informasi data pribadi

Klasifikasi data pribadi dilakukan sesuai dengan tingkat keparahan konsekuensi hilangnya properti keamanan data pribadi untuk subjek data pribadi.

• Tentang data pribadi ”Untuk kategori khusus data pribadi;
• data pribadi yang diklasifikasikan sesuai dengan Hukum Federal " Tentang data pribadi ”Untuk data pribadi biometrik;
• data pribadi yang tidak dapat dikaitkan dengan kategori khusus data pribadi, data pribadi biometrik, data pribadi yang tersedia untuk umum atau anonim;
• data pribadi yang diklasifikasikan sesuai dengan Hukum Federal " Tentang data pribadi ”Untuk data pribadi yang tersedia untuk umum atau anonim.

Transfer data pribadi ke pihak ketiga harus dilakukan atas dasar Hukum Federal atau persetujuan subjek data pribadi. Dalam hal suatu organisasi mempercayakan pemrosesan data pribadi kepada pihak ketiga berdasarkan suatu perjanjian, syarat penting dari perjanjian tersebut adalah kewajiban pihak ketiga untuk menjamin kerahasiaan data pribadi dan keamanan data pribadi. selama pemrosesan mereka.

Organisasi harus berhenti memproses data pribadi dan memusnahkan data pribadi yang dikumpulkan, kecuali ditentukan lain oleh undang-undang Federasi Rusia, dalam batas waktu yang ditetapkan oleh undang-undang Federasi Rusia dalam kasus berikut:

• setelah pencapaian tujuan pemrosesan atau jika tidak perlu untuk mencapainya;
• atas permintaan subjek data pribadi atau badan yang berwenang untuk perlindungan hak subjek data pribadi - jika data pribadi tidak lengkap, usang, tidak dapat diandalkan, diperoleh secara ilegal atau tidak diperlukan untuk tujuan pemrosesan yang disebutkan;
• ketika subjek data pribadi mencabut persetujuannya untuk pemrosesan data pribadinya, jika persetujuan tersebut diperlukan sesuai dengan undang-undang Federasi Rusia;
• jika tidak mungkin bagi operator untuk menghilangkan pelanggaran yang dilakukan dalam pemrosesan data pribadi.

Organisasi harus menetapkan dan mendokumentasikan:

• prosedur pemusnahan data pribadi ( termasuk pembawa materi data pribadi);
• prosedur untuk memproses permintaan dari subjek data pribadi ( atau perwakilan hukum mereka) tentang pemrosesan data pribadi mereka;
• tata cara tindakan dalam hal permintaan dari Badan Yang Berwenang untuk Perlindungan Hak Subyek Data Pribadi atau badan pengawas lainnya yang melakukan pengendalian dan pengawasan di bidang data pribadi;
• pendekatan untuk mengklasifikasikan pembicara sebagai sistem Informasi data pribadi ( Lebih jauh - ISPDN );
• daftar ISPD. Daftar ISPD harus mencakup AS, yang tujuan pembuatan dan penggunaannya adalah pemrosesan data pribadi.

Untuk setiap PDIS, berikut ini harus diidentifikasi dan didokumentasikan:

• tujuan pemrosesan data pribadi;
• volume dan konten data pribadi yang diproses;
• daftar tindakan dengan data pribadi dan metode pemrosesannya.

Volume dan konten data pribadi, serta daftar tindakan dan metode pemrosesan data pribadi harus sesuai dengan tujuan pemrosesan. Dalam hal pelaksanaan proses teknologi informasi yang pelaksanaannya didukung oleh ISPD tidak diperlukan untuk mengolah data pribadi tertentu, maka data pribadi tersebut wajib dihapus.

Persyaratan untuk memastikan keamanan data pribadi di ISPDN umumnya diterapkan oleh langkah-langkah, sarana dan mekanisme organisasi, teknologi, teknis dan perangkat lunak yang kompleks untuk melindungi informasi.

Organisasi pelaksanaan dan ( atau) penerapan persyaratan untuk memastikan keamanan data pribadi harus dilakukan oleh unit struktural atau pejabat (pegawai) organisasi yang bertanggung jawab untuk memastikan keamanan data pribadi, atau berdasarkan kontrak oleh organisasi - rekanan dari organisasi yang diberi lisensi untuk memberikan perlindungan teknis atas informasi rahasia.

Pembuatan ISPD organisasi harus mencakup pengembangan dan persetujuan ( penyataan) dokumentasi organisasi, administrasi, desain, dan operasional untuk sistem yang dibuat disediakan oleh kerangka acuan. Dokumentasi harus mencerminkan masalah memastikan keamanan data pribadi yang diproses.

Pengembangan konsep, spesifikasi teknis, desain, pembuatan dan pengujian, penerimaan dan commissioning ISPD harus dilakukan dengan kesepakatan dan di bawah kendali unit struktural atau pejabat (pegawai) yang bertanggung jawab untuk memastikan keamanan data pribadi.

Semua aset informasi milik ISPD organisasi harus dilindungi dari efek kode berbahaya. Organisasi harus menentukan dan mendokumentasikan persyaratan untuk memastikan keamanan data pribadi melalui perlindungan anti-virus dan prosedur untuk memantau penerapan persyaratan ini.

Organisasi harus menetapkan sistem kontrol akses yang memungkinkan kontrol akses ke port komunikasi, perangkat input/output, media penyimpanan yang dapat dilepas, dan perangkat penyimpanan data eksternal ISPDN.

Kepala divisi ISPD yang beroperasi dan melayani organisasi memastikan keamanan data pribadi selama pemrosesan mereka di ISPDN.

Pegawai yang mengolah data pribadi di ISPDN harus bertindak sesuai dengan petunjuk ( pedoman, peraturan, dan lain-lain.), yang merupakan bagian dari dokumentasi operasional pada ISPD, dan memenuhi persyaratan dokumen untuk memastikan IS.

Tanggung jawab untuk administrasi sarana perlindungan dan mekanisme perlindungan yang menerapkan persyaratan untuk memastikan ISPD organisasi ditetapkan berdasarkan perintah ( pesanan) pada spesialis Departemen Teknologi Informasi.

Prosedur untuk spesialis Departemen Teknologi Informasi dan personel yang terlibat dalam pemrosesan data pribadi harus ditentukan dengan instruksi ( pedoman), yang disiapkan oleh pengembang ISPD sebagai bagian dari dokumentasi operasional untuk ISPD.

Instruksi yang ditentukan ( kepemimpinan):

• menetapkan persyaratan untuk kualifikasi personel di bidang keamanan informasi, serta daftar terbaru objek yang dilindungi dan aturan untuk memperbaruinya;
• mengandung sepenuhnya relevan ( Oleh waktu) data tentang hak pengguna;
• memuat data tentang teknologi pemrosesan informasi dalam jumlah yang diperlukan untuk spesialis keamanan informasi;
• menetapkan urutan dan frekuensi analisis log peristiwa ( arsip log);
• mengatur tindakan lainnya.

Parameter konfigurasi sarana perlindungan dan mekanisme untuk melindungi informasi dari gangguan yang digunakan di bidang tanggung jawab spesialis Departemen Teknologi Informasi ditentukan dalam dokumentasi operasional pada ISPD. Prosedur dan frekuensi pemeriksaan parameter konfigurasi yang dipasang ditetapkan dalam dokumentasi operasional atau diatur oleh dokumen internal, sedangkan pemeriksaan harus dilakukan setidaknya setahun sekali.

Organisasi harus menentukan dan mendokumentasikan prosedur untuk akses ke tempat di mana sarana teknis ISPDN berada dan pembawa data pribadi disimpan, menyediakan kontrol akses ke tempat orang yang tidak berwenang dan adanya hambatan untuk masuk yang tidak sah ke dalam tempat. Prosedur yang ditentukan harus dikembangkan oleh unit struktural atau pejabat ( seorang pegawai), bertanggung jawab untuk memastikan rezim keamanan fisik dan disetujui oleh unit struktural atau pejabat ( seorang pegawai), bertanggung jawab untuk memastikan keamanan data pribadi, dan Departemen Keamanan Ekonomi.

Pengguna dan petugas layanan ISPD tidak boleh melakukan tindakan yang tidak sah dan ( atau) tidak terdaftar ( tidak terkendali) menyalin data pribadi. Untuk tujuan ini, langkah-langkah organisasi dan teknis harus melarang yang tidak sah dan ( atau) tidak terdaftar ( tidak terkendali) penyalinan data pribadi, termasuk penggunaan yang diasingkan ( tergantikan) media penyimpanan, perangkat bergerak untuk menyalin dan mentransfer informasi, port komunikasi dan perangkat input/output yang mengimplementasikan berbagai antarmuka ( termasuk nirkabel), perangkat penyimpanan perangkat seluler ( misalnya laptop, PDA, smartphone, ponsel), serta perangkat foto dan video.

Kontrol keamanan pribadi dilakukan oleh spesialis keamanan informasi, baik dengan bantuan sarana standar sistem perlindungan informasi, dan dengan bantuan sarana kontrol khusus dan pemantauan teknologi.

Unduh file ZIP (65475)

Dokumen-dokumen itu berguna - tulis "suka" atau: