ნორბერტ ვინერი, კიბერნეტიკის შემქმნელი, თვლიდა, რომ ინფორმაციას აქვს უნიკალური მახასიათებლები და არ შეიძლება მიეკუთვნებოდეს არც ენერგიას და არც მატერიას. ინფორმაციის, როგორც ფენომენის განსაკუთრებულმა სტატუსმა მრავალი განმარტება გამოიწვია.
ISO/IEC 2382:2015 „ინფორმაციული ტექნოლოგია“ ტერმინოლოგიაში მოცემულია შემდეგი ინტერპრეტაცია:
ინფორმაცია (ინფორმაციის დამუშავების სფეროში)- ელექტრონული ფორმით წარმოდგენილი ნებისმიერი მონაცემი, დაწერილი ქაღალდზე, წარმოთქმული შეხვედრაზე ან ნებისმიერ სხვა საშუალებებში, რომელიც გამოიყენება ფინანსური ინსტიტუტის მიერ გადაწყვეტილების მიღების, სახსრების გადარიცხვის, განაკვეთების დადგენის, სესხების გაცემის, ტრანზაქციების დასამუშავებლად და ა.შ., კომპონენტების ჩათვლით. პროგრამული უზრუნველყოფადამუშავების სისტემები.
ინფორმაციის უსაფრთხოების (IS) კონცეფციის განსავითარებლად ინფორმაცია გაგებულია, როგორც ინფორმაცია, რომელიც ხელმისაწვდომია შეგროვებისთვის, შესანახად, დამუშავებისთვის (რედაქტირება, ტრანსფორმაცია), გამოყენება და გადაცემა სხვადასხვა გზით, მათ შორის კომპიუტერულ ქსელებში და სხვა საინფორმაციო სისტემებში.
ასეთი ინფორმაცია მაღალი ღირებულებაა და შეიძლება გახდეს მესამე მხარის მიერ დარღვევის ობიექტი. საფრთხისგან ინფორმაციის დაცვის სურვილი საფუძვლად უდევს საინფორმაციო უსაფრთხოების სისტემების შექმნას.
სამართლებრივი საფუძველი
2017 წლის დეკემბერში რუსეთში ინფორმაციული უსაფრთხოების დოქტრინა მიიღეს. დოკუმენტში IB განისაზღვრება, როგორც ეროვნული ინტერესების დაცვის მდგომარეობა საინფორმაციო სფერო. ამ შემთხვევაში ეროვნული ინტერესები გაგებულია, როგორც საზოგადოების, ინდივიდისა და სახელმწიფოს ინტერესების მთლიანობა, ინტერესთა თითოეული ჯგუფი აუცილებელია საზოგადოების სტაბილური ფუნქციონირებისთვის.
დოქტრინა არის კონცეპტუალური დოკუმენტი. ინფორმაციული უსაფრთხოების უზრუნველყოფასთან დაკავშირებული სამართლებრივი ურთიერთობები რეგულირდება ფედერალური კანონებით „სახელმწიფო საიდუმლოების შესახებ“, „ინფორმაციის შესახებ“, „პერსონალური მონაცემების დაცვის შესახებ“ და სხვა. ძირითადი ნორმატიული აქტების საფუძველზე ინფორმაციის დაცვის ცალკეულ საკითხებზე შემუშავებულია მთავრობის დადგენილებები და უწყებრივი ნორმატიული აქტები.
ინფორმაციული უსაფრთხოების განმარტება
ინფორმაციული უსაფრთხოების სტრატეგიის შემუშავებამდე აუცილებელია მივიღოთ თავად კონცეფციის ძირითადი განმარტება, რომელიც საშუალებას მისცემს გამოიყენოს დაცვის გარკვეული მეთოდები და მეთოდები.
ინდუსტრიის პრაქტიკოსები გვთავაზობენ ინფორმაციის უსაფრთხოების გაგებას, როგორც ინფორმაციის, მისი მატარებლებისა და ინფრასტრუქტურის დაცვის სტაბილურ მდგომარეობას, რომელიც უზრუნველყოფს საინფორმაციო პროცესების მთლიანობასა და სტაბილურობას ბუნებრივი და ხელოვნური ხასიათის განზრახ ან უნებლიე ზემოქმედებისგან. ზემოქმედებები კლასიფიცირებულია, როგორც IS საფრთხეები, რომლებმაც შეიძლება ზიანი მიაყენონ საინფორმაციო ურთიერთობის სუბიექტებს.
ამრიგად, ინფორმაციის დაცვა გაგებული იქნება, როგორც სამართლებრივი, ადმინისტრაციული, ორგანიზაციული და ტექნიკური ღონისძიებების ერთობლიობა, რომელიც მიზნად ისახავს ინფორმაციული უსაფრთხოების რეალური ან აღქმული საფრთხეების თავიდან აცილებას, ასევე ინციდენტების შედეგების აღმოფხვრას. ინფორმაციის დაცვის პროცესის უწყვეტობამ უნდა უზრუნველყოს საფრთხეებთან ბრძოლა საინფორმაციო ციკლის ყველა ეტაპზე: ინფორმაციის შეგროვების, შენახვის, დამუშავების, გამოყენებისა და გადაცემის პროცესში.
Ინფორმაციის დაცვაამ თვალსაზრისით, ის ხდება სისტემის მუშაობის ერთ-ერთი მახასიათებელი. დროის თითოეულ მომენტში სისტემას უნდა ჰქონდეს უსაფრთხოების გაზომვადი დონე, ხოლო სისტემის უსაფრთხოების უზრუნველყოფა უნდა იყოს უწყვეტი პროცესი, რომელიც განხორციელდება სისტემის მოქმედების ყველა დროის ინტერვალში.
ინფოგრაფიკა იყენებს ჩვენს მონაცემებსSearchInform.
ინფორმაციული უსაფრთხოების თეორიაში, IS სუბიექტებს ესმით, როგორც ინფორმაციის მფლობელები და მომხმარებლები, და მომხმარებლები არა მხოლოდ მუდმივ საფუძველზე (თანამშრომლები), არამედ მომხმარებლები, რომლებიც წვდებიან მონაცემთა ბაზებს იზოლირებულ შემთხვევებში, მაგალითად, სახელმწიფო უწყებები, რომლებიც ითხოვენ ინფორმაციას. ზოგიერთ შემთხვევაში, მაგალითად, საბანკო ინფორმაციის უსაფრთხოების სტანდარტებში, აქციონერები ინფორმაციის მფლობელებად ითვლებიან - იურიდიული პირებირომელსაც ეკუთვნის კონკრეტული მონაცემები.
დამხმარე ინფრასტრუქტურა, ინფორმაციული უსაფრთხოების საფუძვლების თვალსაზრისით, მოიცავს კომპიუტერებს, ქსელებს, სატელეკომუნიკაციო აღჭურვილობას, შენობებს, სიცოცხლის მხარდაჭერის სისტემებს და პერსონალს. უსაფრთხოების გაანალიზებისას აუცილებელია სისტემის ყველა ელემენტის შესწავლა, განსაკუთრებული ყურადღება მიექცეს პერსონალს, როგორც შიდა საფრთხეების უმეტესობის მატარებელს.
ინფორმაციული უსაფრთხოების მართვისა და ზიანის შესაფასებლად გამოიყენება მისაღები მახასიათებელი, ამდენად, ზიანი განისაზღვრება, როგორც მისაღები ან მიუღებელი. თითოეული კომპანიისთვის სასარგებლოა დაამტკიცოს საკუთარი კრიტერიუმები ზიანის მიღებისთვის ფულადი თვალსაზრისით ან, მაგალითად, რეპუტაციისთვის მისაღები ზიანის მიყენების სახით. საჯარო დაწესებულებებში შეიძლება მიღებულ იქნეს სხვა მახასიათებლები, მაგალითად, გავლენა მართვის პროცესზე ან მოქალაქეთა სიცოცხლისა და ჯანმრთელობისთვის ზიანის ხარისხის ასახვა. ინფორმაციის მატერიალურობის, მნიშვნელობისა და ღირებულების კრიტერიუმები შეიძლება შეიცვალოს მსვლელობისას ცხოვრების ციკლიშესაბამისად, ინფორმაციის მასივი დროულად უნდა გადაიხედოს.
ინფორმაციული საფრთხე ვიწრო გაგებით არის დაცვის ობიექტზე ზემოქმედების ობიექტური შესაძლებლობა, რამაც შეიძლება გამოიწვიოს ინფორმაციის გაჟონვა, ქურდობა, გამჟღავნება ან გავრცელება. უფრო ფართო გაგებით, ინფორმაციული უსაფრთხოების საფრთხეები მოიცავს მიზანმიმართულ ინფორმაციულ ზემოქმედებას, რომლის მიზანია ზიანი მიაყენოს სახელმწიფოს, ორგანიზაციას ან ინდივიდს. ასეთი მუქარა მოიცავს, მაგალითად, ცილისწამებას, მიზანმიმართულ არასწორ ინფორმაციას, არასწორ რეკლამას.
ნებისმიერი ორგანიზაციისთვის ინფორმაციის უსაფრთხოების კონცეფციის სამი ძირითადი კითხვა
რა დავიცვათ?
რა სახის საფრთხეები ჭარბობს: გარე თუ შიდა?
როგორ დავიცვათ, რა მეთოდებით და საშუალებებით?
ინფორმაციული უსაფრთხოების სისტემა
კომპანიის - იურიდიული პირის ინფორმაციული უსაფრთხოების სისტემა მოიცავს ძირითადი კონცეფციების სამ ჯგუფს: მთლიანობას, ხელმისაწვდომობას და კონფიდენციალურობას. თითოეული მათგანის ქვეშ არის ცნებები მრავალი მახასიათებლით.
ქვეშ მთლიანობასეხება მონაცემთა ბაზების წინააღმდეგობას, სხვა ინფორმაციის მასივებს შემთხვევით ან განზრახ განადგურებას, არაავტორიზებულ ცვლილებებს. მთლიანობის კონცეფცია შეიძლება განიხილებოდეს შემდეგნაირად:
- სტატიკურიგამოიხატება საინფორმაციო ობიექტების შეუცვლელობით, ავთენტურობით იმ ობიექტებთან, რომლებიც შეიქმნა კონკრეტული ტექნიკური დავალების მიხედვით და შეიცავს მომხმარებლისთვის საჭირო ინფორმაციას მათი ძირითადი საქმიანობისთვის საჭირო კონფიგურაციით და თანმიმდევრობით;
- დინამიური, რაც გულისხმობს რთული მოქმედებების ან ტრანზაქციების სწორად შესრულებას, რომლებიც არ აზიანებენ ინფორმაციის უსაფრთხოებას.
დინამიური მთლიანობის გასაკონტროლებლად გამოიყენება სპეციალური ტექნიკური ინსტრუმენტები, რომლებიც აანალიზებენ ინფორმაციის ნაკადს, მაგალითად, ფინანსურ ინფორმაციას და იდენტიფიცირებენ ქურდობის, დუბლირების, გადამისამართების და შეტყობინებების ხელახალი შეკვეთის შემთხვევებს. მთლიანობა, როგორც მთავარი მახასიათებელი, საჭიროა, როდესაც გადაწყვეტილებები მიიღება შემოსული ან ხელმისაწვდომი ინფორმაციის საფუძველზე მოქმედებების განსახორციელებლად. ბრძანებების თანმიმდევრობის ან მოქმედებების თანმიმდევრობის დარღვევამ შეიძლება გამოიწვიოს დიდი ზიანი ტექნოლოგიური პროცესების, პროგრამის კოდების აღწერისა და სხვა მსგავსი სიტუაციების შემთხვევაში.
ხელმისაწვდომობაარის საკუთრება, რომელიც უფლებას აძლევს უფლებამოსილ სუბიექტებს წვდომა ან გაცვალონ მათთვის საინტერესო მონაცემები. სუბიექტების ლეგიტიმაციის ან ავტორიზაციის ძირითადი მოთხოვნა შესაძლებელს ხდის შექმნას სხვადასხვა დონეზეწვდომა. ინფორმაციის მიწოდების სისტემის წარუმატებლობა პრობლემად იქცევა ნებისმიერი ორგანიზაციისთვის ან მომხმარებელთა ჯგუფისთვის. ამის მაგალითია საჯარო სერვისების ვებგვერდების მიუწვდომლობა სისტემის გაუმართაობის შემთხვევაში, რაც ბევრ მომხმარებელს ართმევს საჭირო სერვისებისა თუ ინფორმაციის მიღების შესაძლებლობას.
კონფიდენციალურობანიშნავს ინფორმაციის საკუთრებას, რომელიც ხელმისაწვდომი იქნება იმ მომხმარებლებისთვის: სუბიექტები და პროცესები, რომლებზედაც თავდაპირველად ნებადართულია წვდომა. კომპანიებისა და ორგანიზაციების უმეტესობა კონფიდენციალურობას ინფორმაციული უსაფრთხოების ძირითად ელემენტად აღიქვამს, მაგრამ პრაქტიკაში ძნელია მისი სრულად განხორციელება. არსებული ინფორმაციის გაჟონვის არხების შესახებ ყველა მონაცემი არ არის ხელმისაწვდომი ინფორმაციული უსაფრთხოების კონცეფციების ავტორებისთვის და დაცვის მრავალი ტექნიკური საშუალება, მათ შორის კრიპტოგრაფიული, თავისუფლად შეუძლებელია, ზოგიერთ შემთხვევაში ბრუნვა შეზღუდულია.
ინფორმაციული უსაფრთხოების თანაბარ თვისებებს აქვს განსხვავებული მნიშვნელობები მომხმარებლებისთვის, აქედან გამომდინარეობს ორი უკიდურესი კატეგორია მონაცემთა დაცვის კონცეფციების შემუშავებაში. სახელმწიფო საიდუმლოებაში ჩართული კომპანიებისა თუ ორგანიზაციებისთვის კონფიდენციალურობა იქნება მთავარი პარამეტრი, საჯარო სამსახურებისა თუ საგანმანათლებლო დაწესებულებებისთვის ხელმისაწვდომობა ყველაზე მნიშვნელოვანი პარამეტრი.
ინფორმაციის უსაფრთხოების დაიჯესტი
დაცვის ობიექტები IS კონცეფციებში
სუბიექტების განსხვავება წარმოშობს განსხვავებებს დაცვის ობიექტებში. დაცული ობიექტების ძირითადი ჯგუფები:
- ყველა სახის საინფორმაციო რესურსი (რესურსი არის მატერიალური ობიექტი: HDD, სხვა მედია, დოკუმენტი მონაცემებითა და დეტალებით, რომლებიც ხელს უწყობს მის იდენტიფიცირებას და მიკუთვნებას გარკვეული ჯგუფისაგნები);
- მოქალაქეების, ორგანიზაციებისა და სახელმწიფოს უფლება მიიღონ ინფორმაციაზე წვდომა, კანონის ფარგლებში მისი მოპოვების შესაძლებლობა; წვდომა შეიძლება შეიზღუდოს მხოლოდ მარეგულირებელი სამართლებრივი აქტებით, მიუღებელია ნებისმიერი ბარიერის ორგანიზება, რომელიც არღვევს ადამიანის უფლებებს;
- მონაცემთა შექმნის, გამოყენებისა და გავრცელების სისტემა (სისტემები და ტექნოლოგიები, არქივები, ბიბლიოთეკები, მარეგულირებელი დოკუმენტები);
- საზოგადოებრივი ცნობიერების ფორმირების სისტემა (მედია, ინტერნეტ რესურსები, სოციალური ინსტიტუტები, საგანმანათლებლო დაწესებულებები).
თითოეული ობიექტი მოიცავს ღონისძიებების სპეციალურ სისტემას ინფორმაციის უსაფრთხოებისა და საზოგადოებრივი წესრიგის საფრთხეებისგან დასაცავად. ინფორმაციული უსაფრთხოების უზრუნველყოფა თითოეულ შემთხვევაში უნდა ეფუძნებოდეს სისტემურ მიდგომას, რომელიც ითვალისწინებს ობიექტის სპეციფიკას.
კატეგორიები და მედია
რუსეთის საკანონმდებლო სისტემა, სამართალდამცავი პრაქტიკა და დამყარებული სოციალური ურთიერთობები ახარისხებს ინფორმაციას ხელმისაწვდომობის კრიტერიუმების მიხედვით. ეს საშუალებას გაძლევთ განმარტოთ ძირითადი პარამეტრები, რომლებიც აუცილებელია ინფორმაციის უსაფრთხოების უზრუნველსაყოფად:
- ინფორმაცია, რომლის წვდომა შეზღუდულია სამართლებრივი მოთხოვნების საფუძველზე (სახელმწიფო საიდუმლოება, კომერციული საიდუმლოება, პერსონალური მონაცემები);
- ინფორმაციაში ღია წვდომა;
- საჯაროდ ხელმისაწვდომი ინფორმაცია, რომელიც მოწოდებულია გარკვეული პირობებით: ფასიანი ინფორმაცია ან მონაცემები, რომლებზედაც საჭიროა წვდომა, მაგალითად, ბიბლიოთეკის ბილეთი;
- სახიფათო, მავნე, ყალბი და სხვა სახის ინფორმაცია, რომლის გავრცელება და გავრცელება შეზღუდულია როგორც კანონების, ისე კორპორატიული სტანდარტების მოთხოვნებით.
პირველი ჯგუფის ინფორმაციას ორი დაცვის რეჟიმი აქვს. სახელმწიფო საიდუმლოებასკანონის თანახმად, ეს არის სახელმწიფოს მიერ დაცული ინფორმაცია, რომლის თავისუფალ მიმოქცევას შეუძლია ზიანი მიაყენოს ქვეყნის უსაფრთხოებას. ეს არის მონაცემები სამხედრო, საგარეო პოლიტიკის, დაზვერვის, კონტრდაზვერვისა და სახელმწიფოს ეკონომიკური საქმიანობის სფეროში. ამ მონაცემთა ჯგუფის მფლობელი უშუალოდ სახელმწიფოა. სახელმწიფო საიდუმლოების დასაცავად ზომების მიღების უფლებამოსილი ორგანოებია თავდაცვის სამინისტრო, ფედერალური უსაფრთხოების სამსახური (FSB), საგარეო დაზვერვის სამსახური, ტექნიკური და ექსპორტის კონტროლის ფედერალური სამსახური (FSTEC).
Კონფედენციალური ინფორმაცია- რეგულირების უფრო მრავალმხრივი ობიექტი. ინფორმაციის ჩამონათვალი, რომელიც შეიძლება იყოს კონფიდენციალური ინფორმაცია, მოცემულია პრეზიდენტის №188 ბრძანებულებაში „კონფიდენციალური ინფორმაციის სიის დამტკიცების შესახებ“. ეს არის პერსონალური მონაცემები; გამოძიების და სამართლებრივი წარმოების საიდუმლოება; ოფიციალური საიდუმლოება; პროფესიული საიდუმლოება (სამედიცინო, სანოტარო, ადვოკატი); სავაჭრო საიდუმლო; ინფორმაცია გამოგონებებისა და სასარგებლო მოდელების შესახებ; მსჯავრდებულთა პირად საქმეებში არსებული ინფორმაცია, აგრეთვე ინფორმაცია სასამართლო აქტების აღსრულების შესახებ.
პერსონალური მონაცემები არსებობს ღია და კონფიდენციალურ რეჟიმში. პერსონალური მონაცემების ის ნაწილი, რომელიც ღიაა და ხელმისაწვდომია ყველა მომხმარებლისთვის, მოიცავს სახელს, გვარს, პატრონიმიკას. ფედერალური კანონის 152 „პერსონალური მონაცემების შესახებ“ პერსონალური მონაცემების სუბიექტებს უფლება აქვთ:
- ინფორმაციული თვითგამორკვევის შესახებ;
- პერსონალურ პერსონალურ მონაცემებზე წვდომა და მათში ცვლილებების შეტანა;
- დაბლოკოს პერსონალური მონაცემები და მათზე წვდომა;
- გაასაჩივროს მესამე მხარის პერსონალურ მონაცემებთან დაკავშირებით ჩადენილი უკანონო ქმედებები;
- ზიანის ანაზღაურებისთვის.
ამის უფლება გათვალისწინებულია სახელმწიფო ორგანოების დებულებებში, ფედერალურ კანონებში, პერსონალურ მონაცემებთან მუშაობის ლიცენზიებში, გაცემული Roskomnadzor-ის ან FSTEC-ის მიერ. კომპანიებმა, რომლებიც პროფესიონალურად მუშაობენ ადამიანთა ფართო სპექტრის პერსონალურ მონაცემებთან, მაგალითად, ტელეკომის ოპერატორებთან, უნდა შევიდნენ როსკომნადზორის მიერ შენახულ რეესტრში.
ინფორმაციული უსაფრთხოების თეორიასა და პრაქტიკაში ცალკე ობიექტია ინფორმაციის მატარებლები, რომლებზეც წვდომა ღია და დახურულია. IS კონცეფციის შემუშავებისას დაცვის მეთოდები შეირჩევა მედიის ტიპის მიხედვით. ძირითადი ინფორმაციის მატარებლები:
- ბეჭდური და ელექტრონული მედია, სოციალური მედია, სხვა რესურსები ინტერნეტში;
- ორგანიზაციის თანამშრომლები, რომლებსაც აქვთ წვდომა ინფორმაციაზე მათი მეგობრული, ოჯახური, პროფესიული კავშირებიდან გამომდინარე;
- კომუნიკაციის საშუალებები, რომლებიც გადასცემს ან ინახავს ინფორმაციას: ტელეფონები, ავტომატური სატელეფონო სადგურები, სხვა სატელეკომუნიკაციო მოწყობილობა;
- ყველა სახის დოკუმენტი: პირადი, სამსახურებრივი, სახელმწიფო;
- პროგრამული უზრუნველყოფა, როგორც დამოუკიდებელი საინფორმაციო ობიექტი, განსაკუთრებით იმ შემთხვევაში, თუ მისი ვერსია შემუშავებულია სპეციალურად კონკრეტული კომპანიისთვის;
- ელექტრონული შენახვის მედია, რომელიც ამუშავებს მონაცემებს ავტომატურად.
ინფორმაციული უსაფრთხოების კონცეფციების შემუშავების მიზნით, ინფორმაციული უსაფრთხოების ინსტრუმენტები ჩვეულებრივ იყოფა მარეგულირებელ (არაფორმალურ) და ტექნიკურ (ფორმალურ).
დაცვის არაფორმალური საშუალებებია დოკუმენტები, წესები, ღონისძიებები, ფორმალური არის სპეციალური ტექნიკური საშუალებები და პროგრამული უზრუნველყოფა. განსხვავება ხელს უწყობს პასუხისმგებლობის სფეროების განაწილებას ინფორმაციული უსაფრთხოების სისტემების შექმნისას: ზოგადი დაცვის მენეჯმენტით, ადმინისტრაციული პერსონალი ახორციელებს მარეგულირებელ მეთოდებს და IT სპეციალისტებს, შესაბამისად, ტექნიკურს.
ინფორმაციული უსაფრთხოების საფუძვლები გულისხმობს უფლებამოსილების განაწილებას არა მხოლოდ ინფორმაციის გამოყენების, არამედ მის დაცვასთან მუშაობის კუთხით. ძალაუფლების ეს დანაწილება მოითხოვს კონტროლის რამდენიმე დონეს.
ფორმალური საშუალებები
ინფორმაციული უსაფრთხოების ტექნიკური საშუალებების ფართო სპექტრი მოიცავს:
ფიზიკური დაცვის საშუალებები.ეს არის მექანიკური, ელექტრო, ელექტრონული მექანიზმები, რომლებიც მოქმედებენ საინფორმაციო სისტემებისგან დამოუკიდებლად და ქმნიან ბარიერებს მათთან წვდომისთვის. საკეტები, მათ შორის ელექტრონული, ეკრანები, ჟალუზები შექმნილია იმისათვის, რომ შექმნან დაბრკოლებები დესტაბილიზაციის ფაქტორების სისტემებთან კონტაქტისთვის. ჯგუფს ავსებენ უსაფრთხოების სისტემები, მაგალითად, ვიდეო კამერები, ვიდეო ჩამწერები, სენსორები, რომლებიც აღმოაჩენენ მოძრაობას ან ელექტრომაგნიტური გამოსხივების სიჭარბეს იმ მხარეში, სადაც განთავსებულია ინფორმაციის მოპოვების ტექნიკური საშუალებები, ჩაშენებული მოწყობილობები.
აპარატურის დაცვა.ეს არის ელექტრო, ელექტრონული, ოპტიკური, ლაზერული და სხვა მოწყობილობები, რომლებიც ჩაშენებულია საინფორმაციო და სატელეკომუნიკაციო სისტემებში. ინფორმაციულ სისტემებში ტექნიკის დანერგვამდე უნდა შემოწმდეს თავსებადობა.
პროგრამული უზრუნველყოფა- ეს არის მარტივი და სისტემური, რთული პროგრამები, რომლებიც შექმნილია ინფორმაციული უსაფრთხოების უზრუნველყოფასთან დაკავშირებული კონკრეტული და რთული ამოცანების გადასაჭრელად. კომპლექსური გადაწყვეტილებების მაგალითია და: პირველი ემსახურება გაჟონვის თავიდან აცილებას, ინფორმაციის გადაფორმებას და ინფორმაციის ნაკადების გადამისამართებას, მეორე - უზრუნველყოფს დაცვას ინციდენტებისაგან ინფორმაციის უსაფრთხოების სფეროში. პროგრამული ხელსაწყოები ითხოვენ ტექნიკის მოწყობილობების სიმძლავრეს და დამატებითი რეზერვები უნდა იყოს უზრუნველყოფილი ინსტალაციის დროს.
შესაძლებელია ტესტირება უფასოდ 30 დღის განმავლობაში. სისტემის დაყენებამდე SearchInform-ის ინჟინრები ჩაატარებენ ტექნიკურ აუდიტს მომხმარებლის კომპანიაში.
რომ კონკრეტული საშუალებებიინფორმაციის უსაფრთხოება მოიცავს სხვადასხვა კრიპტოგრაფიულ ალგორითმს, რომელიც საშუალებას გაძლევთ დაშიფროთ ინფორმაცია დისკზე და გადამისამართდეთ გარე საკომუნიკაციო არხებით. ინფორმაციის ტრანსფორმაცია შეიძლება მოხდეს პროგრამული და აპარატურის მეთოდების დახმარებით, რომლებიც მუშაობენ კორპორატიულ საინფორმაციო სისტემებში.
ყველა საშუალება, რომელიც უზრუნველყოფს ინფორმაციის უსაფრთხოების გარანტიას, უნდა იქნას გამოყენებული ერთად, ინფორმაციის ღირებულების წინასწარი შეფასებისა და დაცვაზე დახარჯული რესურსების ხარჯებთან შედარების შემდეგ. ამიტომ, სახსრების გამოყენების შესახებ წინადადებები უნდა ჩამოყალიბდეს უკვე სისტემების დიზაინის ეტაპზე და დამტკიცება უნდა მოხდეს მენეჯმენტის დონეზე, რომელიც პასუხისმგებელია ბიუჯეტების დამტკიცებაზე.
უსაფრთხოების უზრუნველსაყოფად აუცილებელია ყველა თანამედროვე განვითარების, პროგრამული და ტექნიკის დაცვის საშუალებების, საფრთხეების მონიტორინგი და დროული ცვლილებების შეტანა საკუთარი დაცვის სისტემებში არასანქცირებული წვდომისგან. მხოლოდ ადეკვატურობა და საფრთხეებზე სწრაფი რეაგირება დაგეხმარებათ მიღწევაში მაღალი დონეკონფიდენციალურობა კომპანიაში.
პირველი გამოშვება 2018 წელს გამოვიდა. ეს უნიკალური პროგრამა აგროვებს თანამშრომლების ფსიქოლოგიურ პორტრეტებს და ანაწილებს მათ რისკ ჯგუფებში. ინფორმაციის უსაფრთხოების უზრუნველსაყოფად ეს მიდგომა საშუალებას გაძლევთ წინასწარ განსაზღვროთ შესაძლო ინციდენტები და მიიღოთ ზომები.
არაფორმალური საშუალებები
არაფორმალური დაცვის საშუალებები იყოფა ნორმატიულ, ადმინისტრაციულ და მორალურ და ეთიკურ საშუალებებად. დაცვის პირველ დონეზე არსებობს მარეგულირებელი ინსტრუმენტები, რომლებიც არეგულირებენ ინფორმაციის უსაფრთხოებას, როგორც პროცესს ორგანიზაციის საქმიანობაში.
- მარეგულირებელი საშუალებები
მსოფლიო პრაქტიკაში მარეგულირებელი ინსტრუმენტების შემუშავებისას ისინი ხელმძღვანელობენ ინფორმაციული უსაფრთხოების სტანდარტებით, მთავარია ISO/IEC 27000. სტანდარტი შეიქმნა ორი ორგანიზაციის მიერ:
- ISO - სტანდარტიზაციის საერთაშორისო კომისია, რომელიც შეიმუშავებს და ამტკიცებს წარმოების ხარისხისა და მართვის პროცესების ხარისხის სერტიფიცირების საერთაშორისოდ აღიარებულ მეთოდებს;
- IEC - საერთაშორისო ენერგეტიკული კომისია, რომელმაც სტანდარტში გააცნო ინფორმაციული უსაფრთხოების სისტემების, საშუალებებისა და მეთოდების გაგება.
ISO/IEC 27000-2016-ის ამჟამინდელი ვერსია გთავაზობთ მზა სტანდარტებს და დადასტურებულ მეთოდოლოგიებს, რომლებიც აუცილებელია ინფორმაციის უსაფრთხოების განხორციელებისთვის. მეთოდების ავტორების აზრით, ინფორმაციული უსაფრთხოების საფუძველი მდგომარეობს ყველა ეტაპის სისტემურ და თანმიმდევრულ განხორციელებაში დამუშავებიდან პოსტკონტროლამდე.
ინფორმაციული უსაფრთხოების სტანდარტებთან შესაბამისობის დამადასტურებელი სერტიფიკატის მისაღებად აუცილებელია ყველა რეკომენდებული პრაქტიკის სრულად დანერგვა. თუ არ არის საჭირო სერთიფიკატის აღება, ნებადართულია ნებისმიერი მეტის აღება ადრეული ვერსიებისტანდარტი, დაწყებული ISO / IEC 27000-2002, ან რუსული GOST-ებით, რომლებიც საკონსულტაციო ხასიათისაა.
სტანდარტის შესწავლის შედეგად მუშავდება ორი დოკუმენტი, რომელიც ეხება ინფორმაციულ უსაფრთხოებას. მთავარი, მაგრამ ნაკლებად ფორმალური, არის საწარმოს ინფორმაციული უსაფრთხოების კონცეფცია, რომელიც განსაზღვრავს ორგანიზაციის საინფორმაციო სისტემებისთვის ინფორმაციული უსაფრთხოების სისტემის დანერგვის ზომებსა და მეთოდებს. მეორე დოკუმენტი, რომელიც ვალდებულია შეასრულოს კომპანიის ყველა თანამშრომელი, არის ინფორმაციული უსაფრთხოების შესახებ დებულება, რომელიც დამტკიცებულია დირექტორთა საბჭოს ან აღმასრულებელი ორგანოს დონეზე.
კომპანიის დონეზე თანამდებობის გარდა, უნდა შემუშავდეს სავაჭრო საიდუმლოების შემადგენელი ინფორმაციის სიები, შრომითი ხელშეკრულებების დანართები, კონფიდენციალური მონაცემების გამჟღავნებაზე პასუხისმგებლობის დაფიქსირება, სხვა სტანდარტები და მეთოდები. შიდა წესები და რეგულაციები უნდა შეიცავდეს განხორციელების მექანიზმებსა და პასუხისმგებლობებს. ყველაზე ხშირად, ზომები დისციპლინური ხასიათისაა და დამრღვევი მზად უნდა იყოს იმისთვის, რომ სავაჭრო საიდუმლოების რეჟიმის დარღვევას მოჰყვება მნიშვნელოვანი სანქციები, თანამდებობიდან გათავისუფლებამდე.
- ორგანიზაციული და ადმინისტრაციული ღონისძიებები
Როგორც ნაწილი ადმინისტრაციული საქმიანობაუსაფრთხოების სამსახურების თანამშრომლების ინფორმაციული უსაფრთხოების დაცვაზე ხსნის კრეატიულობის სფეროს. ეს არის არქიტექტურული და დაგეგმვის გადაწყვეტილებები, რომლებიც საშუალებას გაძლევთ დაიცვათ შეხვედრების ოთახები და აღმასრულებელი ოფისები მოსმენისაგან და დაამყაროთ ინფორმაციის ხელმისაწვდომობის სხვადასხვა დონე. მნიშვნელოვანი ორგანიზაციული ღონისძიებები იქნება კომპანიის საქმიანობის სერტიფიცირება ISO/IEC 27000 სტანდარტების შესაბამისად, ინდივიდუალური ტექნიკის და პროგრამული სისტემების სერტიფიცირება, საგნების და ობიექტების სერტიფიცირება უსაფრთხოების აუცილებელ მოთხოვნებთან შესაბამისობაში და დაცულ საინფორმაციო მასივებთან მუშაობისთვის საჭირო ლიცენზიების მოპოვება. .
პერსონალის საქმიანობის რეგულირების თვალსაზრისით, მნიშვნელოვანი იქნება ინტერნეტთან, გარე ელექტრონულ ფოსტაზე და სხვა რესურსებზე წვდომის მოთხოვნის სისტემის შემუშავება. ცალკე ელემენტი იქნება ელექტრონული ციფრული ხელმოწერის მიღება ფინანსური და სხვა ინფორმაციის უსაფრთხოების გასაძლიერებლად, რომელიც გადაეცემა სამთავრობო უწყებებს ელექტრონული ფოსტის არხებით.
- მორალური და ეთიკური ზომები
მორალური და ეთიკური ზომები განსაზღვრავს პიროვნების პიროვნულ დამოკიდებულებას კონფედენციალური ინფორმაციაან მიმოქცევაში შეზღუდული ინფორმაცია. თანამშრომლების ცოდნის დონის ამაღლება კომპანიის საქმიანობაზე საფრთხეების გავლენის შესახებ გავლენას ახდენს თანამშრომლების ცნობიერებასა და პასუხისმგებლობის ხარისხზე. საინფორმაციო რეჟიმის დარღვევებთან საბრძოლველად, მათ შორის, მაგალითად, პაროლების გადაცემას, მედიასთან უყურადღებო მოპყრობას, კონფიდენციალური მონაცემების პირად საუბრებში გავრცელებას, საჭიროა ხაზგასმით აღვნიშნოთ თანამშრომლის პირადი სინდისი. სასარგებლო იქნება პერსონალის შესრულების ინდიკატორების დადგენა, რაც დამოკიდებული იქნება დამოკიდებულებაზე კორპორატიული სისტემა IB.
ინფორმაციის უსაფრთხოების პოლიტიკა.
1. ზოგადი დებულებები
ეს პოლიტიკაინფორმაციის დაცვა ( Უფრო - პოლიტიკა ) განსაზღვრავს შეხედულებების სისტემას ინფორმაციის უსაფრთხოების უზრუნველყოფის პრობლემაზე და წარმოადგენს მიზნებისა და ამოცანების სისტემატურ წარმოდგენას, აგრეთვე ინფორმაციული ინფრასტრუქტურის ობიექტების ინფორმაციის უსაფრთხოების უზრუნველყოფის ორგანიზაციულ, ტექნოლოგიურ და პროცედურულ ასპექტებს, მათ შორის საინფორმაციო ცენტრების კომპლექტს. , მონაცემთა ბანკები და ორგანიზაციის საკომუნიკაციო სისტემები. ეს პოლიტიკა შემუშავებულია რუსეთის ფედერაციის მოქმედი კანონმდებლობის მოთხოვნების და ინფორმაციული ინფრასტრუქტურის ობიექტების განვითარების უშუალო პერსპექტივების, აგრეთვე თანამედროვე ორგანიზაციული და ტექნიკური მეთოდებისა და ტექნიკისა და პროგრამული უზრუნველყოფის ინფორმაციის დაცვის მახასიათებლებისა და შესაძლებლობების გათვალისწინებით.
პოლიტიკის ძირითადი დებულებები და მოთხოვნები ვრცელდება ორგანიზაციის ყველა სტრუქტურულ განყოფილებაზე.
პოლიტიკა წარმოადგენს მეთოდოლოგიურ საფუძველს ერთიანი პოლიტიკის ჩამოყალიბებისა და განხორციელებისთვის საინფორმაციო ინფრასტრუქტურის ობიექტების ინფორმაციის უსაფრთხოების უზრუნველსაყოფად, მენეჯმენტის შეთანხმებული გადაწყვეტილებების მიღებისა და ინფორმაციული უსაფრთხოების უზრუნველსაყოფად პრაქტიკული ღონისძიებების შემუშავების, სტრუქტურული დანაყოფების საქმიანობის კოორდინაციის სფეროში. ორგანიზაცია, როდესაც მუშაობს ინფორმაციული ინფრასტრუქტურის ობიექტების შექმნაზე, განვითარებასა და ექსპლუატაციაზე, ინფრასტრუქტურა ინფორმაციული უსაფრთხოების მოთხოვნების დაცვით.
პოლიტიკა არ არეგულირებს შენობების დაცვის ორგანიზებას და ინფორმაციული ინფრასტრუქტურის კომპონენტების უსაფრთხოებისა და ფიზიკური მთლიანობის უზრუნველყოფას, ბუნებრივი კატასტროფებისგან და ენერგომომარაგების სისტემის გაუმართაობისგან დაცვას, თუმცა გულისხმობს ინფორმაციული უსაფრთხოების სისტემის მშენებლობას. იმავე კონცეპტუალურ საფუძვლებზე, როგორც მთლიანად ორგანიზაციის უსაფრთხოების სისტემა.
პოლიტიკის განხორციელებას უზრუნველყოფს ორგანიზაციაში არსებული შესაბამისი გაიდლაინები, რეგულაციები, პროცედურები, ინსტრუქციები, გაიდლაინები და ინფორმაციული უსაფრთხოების შეფასების სისტემა.
პოლიტიკაში გამოყენებულია შემდეგი ტერმინები და განმარტებები:
ავტომატური სისტემა ( AC) — სისტემა, რომელიც შედგება პერსონალისაგან და მისი საქმიანობის ავტომატიზაციისთვის საინფორმაციო ტექნოლოგიების დანერგვის საშუალებების ნაკრები დადგენილი ფუნქციების შესასრულებლად.
საინფორმაციო ინფრასტრუქტურა— ორგანიზაციული სტრუქტურების სისტემა, რომელიც უზრუნველყოფს ფუნქციონირებას და განვითარებას საინფორმაციო სივრცედა ინფორმაციის ურთიერთქმედების საშუალებები. საინფორმაციო ინფრასტრუქტურა მოიცავს საინფორმაციო ცენტრების ერთობლიობას, მონაცემთა და ცოდნის ბანკებს, საკომუნიკაციო სისტემებს და უზრუნველყოფს მომხმარებლებს საინფორმაციო რესურსებზე წვდომას.
საინფორმაციო რესურსები ( IR) - ეს არის ცალკეული დოკუმენტები და დოკუმენტების ცალკეული მასივები, დოკუმენტები და დოკუმენტების მასივები საინფორმაციო სისტემებში ( ბიბლიოთეკები, არქივები, კოლექციები, მონაცემთა ბაზები და სხვა საინფორმაციო სისტემები).
საინფორმაციო სისტემა (IP) - ინფორმაციის დამუშავების სისტემა და მასთან დაკავშირებული ორგანიზაციული რესურსები ( ადამიანური, ტექნიკური, ფინანსური და ა.შ.) რომელიც უზრუნველყოფს და ავრცელებს ინფორმაციას.
უსაფრთხოება -ინტერესების დაცვის მდგომარეობა ( მიზნები) საფრთხის ქვეშ მყოფი ორგანიზაციები.
Ინფორმაციის დაცვა ( არის) — საინფორმაციო სფეროში საფრთხეებთან დაკავშირებული უსაფრთხოება. უსაფრთხოება მიიღწევა IS თვისებების ნაკრების უზრუნველყოფით - ხელმისაწვდომობა, მთლიანობა, ინფორმაციის აქტივების კონფიდენციალურობა. IS თვისებების პრიორიტეტი განისაზღვრება ამ აქტივების ღირებულებით ინტერესებისთვის ( მიზნები) ორგანიზაციები.
საინფორმაციო აქტივების ხელმისაწვდომობა −ორგანიზაციის ინფორმაციული უსაფრთხოების საკუთრება, რომელიც მდგომარეობს იმაში, რომ ინფორმაციული აქტივები მიეწოდება ავტორიზებულ მომხმარებელს, მომხმარებლის მიერ მოთხოვნილი ფორმითა და ადგილით და იმ დროს, როდესაც მას ეს სჭირდება.
ინფორმაციული აქტივების მთლიანობა −ორგანიზაციის ინფორმაციული უსაფრთხოების საკუთრება დარჩეს უცვლელი ან გამოასწოროს აღმოჩენილი ცვლილებები მის საინფორმაციო აქტივებში.
საინფორმაციო აქტივების კონფიდენციალურობა −ორგანიზაციის IS-ის საკუთრება, რომელიც შედგება იმაში, რომ ინფორმაციის აქტივების დამუშავება, შენახვა და გადაცემა ხორციელდება ისე, რომ ინფორმაციის აქტივები ხელმისაწვდომი იყოს მხოლოდ ავტორიზებული მომხმარებლებისთვის, სისტემის ობიექტებისთვის ან პროცესებისთვის.
ინფორმაციის უსაფრთხოების სისტემა ( NIB) — დამცავი ზომების, დამცავი აღჭურვილობისა და მათი მუშაობის პროცესების ერთობლიობა, მათ შორის რესურსები და ადმინისტრაციული ( ორგანიზაციული) უზრუნველყოფა.
არაავტორიზებული წვდომა- ინფორმაციის ხელმისაწვდომობა დასაქმებულის ოფიციალური უფლებამოსილების დარღვევით, საჯარო ხელმისაწვდომობისთვის დახურულ ინფორმაციაზე წვდომა იმ პირების მიერ, რომლებსაც არ აქვთ ამ ინფორმაციაზე წვდომის ნებართვა ან ინფორმაციაზე წვდომის მოპოვება იმ პირის მიერ, რომელსაც აქვს ამ ინფორმაციაზე წვდომის უფლება თანხა, რომელიც აღემატება სამსახურებრივი მოვალეობის შესასრულებლად საჭირო თანხას.
2. ზოგადი მოთხოვნები ინფორმაციის უსაფრთხოების უზრუნველსაყოფად
ინფორმაციის უსაფრთხოების მოთხოვნები Უფრო -არის ) ინფორმაციული უსაფრთხოების მართვის პროცესების ფარგლებში ორგანიზაციის საქმიანობის შინაარსისა და ამოცანების განსაზღვრა.
ეს მოთხოვნები ჩამოყალიბებულია შემდეგ სფეროებზე:
- როლების მინიჭება და განაწილება და პერსონალისადმი ნდობა;
- საინფორმაციო ინფრასტრუქტურის ობიექტების სასიცოცხლო ციკლის ეტაპები;
- დაცვა არაავტორიზებული წვდომისგან ( Უფრო - NSD ), წვდომის კონტროლი და რეგისტრაცია ავტომატური სისტემები, სატელეკომუნიკაციო აღჭურვილობაში და ავტომატურ სატელეფონო სადგურებში და ა.შ.
- ანტივირუსული დაცვა;
- ინტერნეტ რესურსების გამოყენება;
- ინფორმაციის კრიპტოგრაფიული დაცვის საშუალებების გამოყენება;
- პერსონალური მონაცემების დაცვა.
3. დასაცავი ობიექტები
ძირითადი დასაცავი ობიექტებია:
- საინფორმაციო რესურსები, წარმოდგენილი დოკუმენტებისა და ინფორმაციის მასივების სახით, მიუხედავად მათი წარმოდგენის ფორმისა და ტიპისა, მათ შორის, კონფიდენციალური და ღია ინფორმაციის ჩათვლით;
- საინფორმაციო რესურსების ფორმირების, განაწილებისა და გამოყენების სისტემაბიბლიოთეკები, არქივები, მონაცემთა ბაზები და მონაცემთა ბანკები, საინფორმაციო ტექნოლოგიები, ინფორმაციის შეგროვების, დამუშავების, შენახვისა და გადაცემის წესები და პროცედურები, ტექნიკური და ტექნიკური პერსონალი;
- საინფორმაციო ინფრასტრუქტურა, მათ შორის ინფორმაციის დამუშავებისა და ანალიზის სისტემები, აპარატურა და პროგრამული უზრუნველყოფა მისი დამუშავების, გადაცემისა და ჩვენებისთვის, ინფორმაციის გაცვლის და ტელეკომუნიკაციის არხების ჩათვლით, ინფორმაციის უსაფრთხოების სისტემები და საშუალებები, საშუალებები და შენობები, რომლებშიც განთავსებულია საინფორმაციო ინფრასტრუქტურის კომპონენტები.
3.1. ავტომატური სისტემის მახასიათებლები
AS ავრცელებს ინფორმაციას სხვადასხვა კატეგორიის შესახებ. დაცული ინფორმაციის გაზიარება შესაძლებელია სხვადასხვა მომხმარებლებს შორის ერთი კორპორატიული ქსელის სხვადასხვა ქვექსელიდან.
რიგი AS ქვესისტემები უზრუნველყოფს ურთიერთქმედებას გარე ( სახელმწიფო და კომერციული, რუსული და უცხოური) ორგანიზაციები dial-up და გამოყოფილი საკომუნიკაციო არხების საშუალებით ინფორმაციის გადაცემის სპეციალური საშუალებების გამოყენებით.
AU-ს ტექნიკური საშუალებების კომპლექსი მოიცავს მონაცემთა დამუშავების ინსტრუმენტებს ( სამუშაო სადგურები, მონაცემთა ბაზის სერვერები, ფოსტის სერვერებიდა ა.შ.), მონაცემთა გაცვლის საშუალება ადგილობრივ კომპიუტერულ ქსელებში გლობალურ ქსელებში წვდომის შესაძლებლობით ( კაბელები, ხიდები, კარიბჭეები, მოდემები და ა.შ.), ასევე შესანახი საშუალებები ( მათ შორის დაარქივება) მონაცემები.
AS-ის ფუნქციონირების ძირითადი მახასიათებლები მოიცავს:
- ერთიან სისტემაში ინტეგრაციის აუცილებლობა დიდი რიცხვიინფორმაციის დამუშავებისა და გადაცემის სხვადასხვა ტექნიკური საშუალება;
- გადასაჭრელი ამოცანების მრავალფეროვნება და დამუშავებული მონაცემების ტიპები;
- ინფორმაციის ერთიან მონაცემთა ბაზებში კონსოლიდაცია სხვადასხვა მიზნებისთვის, კუთვნილების და კონფიდენციალურობის დონისთვის;
- არხების ხელმისაწვდომობა გარე ქსელებთან დასაკავშირებლად;
- მუშაობის უწყვეტობა;
- უსაფრთხოების დონის სხვადასხვა მოთხოვნების მქონე ქვესისტემების არსებობა, ფიზიკურად გაერთიანებული ერთ ქსელში;
- მომხმარებელთა და მომსახურე პერსონალის მრავალფეროვნება.
ზოგადად, ერთი AS არის განყოფილებების ლოკალური კომპიუტერული ქსელების ერთობლიობა, რომლებიც ერთმანეთთან არის დაკავშირებული ტელეკომუნიკაციების საშუალებით. თითოეული ლოკალური ქსელი აერთიანებს უამრავ ურთიერთდაკავშირებულ და ურთიერთდაკავშირებულ ავტომატიზებულ ქვესისტემას ( ტექნოლოგიური სფეროები) რომლებიც უზრუნველყოფენ პრობლემების გადაჭრას ორგანიზაციის ცალკეული სტრუქტურული დანაყოფების მიერ.
ინფორმატიზაციის ობიექტები მოიცავს:
- ტექნოლოგიური აღჭურვილობა ( კომპიუტერული ტექნიკა, ქსელური და საკაბელო აღჭურვილობა);
- საინფორმაციო რესურსები;
- პროგრამული უზრუნველყოფა ( ოპერაციული სისტემები, მონაცემთა ბაზის მართვის სისტემები, ზოგადი სისტემის და აპლიკაციის პროგრამული უზრუნველყოფა);
- ავტომატური კომუნიკაციისა და მონაცემთა გადაცემის სისტემები (სატელეკომუნიკაციო საშუალებები);
- კავშირის არხები;
- მომსახურების ფართი.
3.2. დაცული ორგანიზაციული ინფორმაციის აქტივების სახეები
ორგანიზაციის AS ქვესისტემებში ვრცელდება კონფიდენციალურობის სხვადასხვა დონის ინფორმაცია, რომელიც შეიცავს შეზღუდული გავრცელების ინფორმაციას ( ოფიციალური, კომერციული, პერსონალური მონაცემები) და საჯარო ინფორმაცია.
AS დოკუმენტის ნაკადი შეიცავს:
- საგადახდო დავალება და ფინანსური დოკუმენტები;
- იუწყება ( ფინანსური, ანალიტიკური და ა.შ.);
- ინფორმაცია პირადი ანგარიშების შესახებ;
- Პირადი ინფორმაცია;
- სხვა შეზღუდული ინფორმაცია.
ყველა ინფორმაცია, რომელიც ბრუნავს AS-ში და შეიცავს შემდეგი ტიპის საინფორმაციო აქტივებს, ექვემდებარება დაცვას:
- ინფორმაცია, რომელიც წარმოადგენს კომერციულ და ოფიციალურ საიდუმლოებას, რომლის წვდომა შეზღუდულია ორგანიზაციის მიერ, როგორც ინფორმაციის მფლობელის მიერ, ფედერალური კანონის დებულებების შესაბამისად. ინფორმაციის, ინფორმატიზაციისა და ინფორმაციის დაცვის შესახებ "უფლებები და ფედერალური კანონი" სავაჭრო საიდუმლოების შესახებ »;
- პერსონალური მონაცემები, რომლებზეც წვდომა შეზღუდულია ფედერალური კანონის შესაბამისად. პერსონალური მონაცემების შესახებ »;
- ღია ინფორმაცია, ინფორმაციის მთლიანობისა და ხელმისაწვდომობის უზრუნველყოფის თვალსაზრისით.
3.3. ავტომატური სისტემის მომხმარებელთა კატეგორიები
ორგანიზაციას ჰყავს მომხმარებელთა დიდი რაოდენობით კატეგორიები და ტექნიკური პერსონალი, რომლებსაც უნდა ჰქონდეთ განსხვავებული უფლებამოსილებები AU-ს საინფორმაციო რესურსებზე წვდომისთვის:
- ჩვეულებრივი მომხმარებლები ( საბოლოო მომხმარებლები, ორგანიზაციული ერთეულების თანამშრომლები);
- სერვერის ადმინისტრატორები ( ფაილის სერვერები, აპლიკაციის სერვერები, მონაცემთა ბაზის სერვერები), ლოკალური კომპიუტერული ქსელები და გამოყენებითი სისტემები;
- სისტემის პროგრამისტები ( პასუხისმგებელია საერთო პროგრამული უზრუნველყოფის შენარჩუნებაზე) სერვერებზე და მომხმარებლის სამუშაო სადგურებზე;
- აპლიკაციის პროგრამული უზრუნველყოფის შემქმნელები;
- კომპიუტერული ტექნოლოგიების ტექნიკური საშუალებების მოვლა-პატრონობის სპეციალისტები;
- ინფორმაციის უსაფრთხოების ადმინისტრატორები და ა.შ.
3.4. ავტომატური სისტემის ძირითადი კომპონენტების დაუცველობა
ყველაზე დაუცველი AS კომპონენტებია ქსელის სამუშაო სადგურები - სამუშაო სადგურები ( Უფრო - სამუშაო სადგური ) მუშები. ინფორმაციაზე არასანქცირებული წვდომის მცდელობა ან არაავტორიზებული ქმედებების მცდელობა შეიძლება განხორციელდეს თანამშრომლების სამუშაო ადგილიდან ( უნებლიე და განზრახ)-ში კომპიუტერული ქსელი. სამუშაო სადგურების აპარატურის და პროგრამული უზრუნველყოფის კონფიგურაციის დარღვევამ და მათი ფუნქციონირების პროცესებში უკანონო ჩარევამ შეიძლება გამოიწვიოს ინფორმაციის დაბლოკვა, მნიშვნელოვანი ამოცანების დროულად გადაჭრის შეუძლებლობა და ცალკეული სამუშაო სადგურებისა და ქვესისტემების უკმარისობა.
ქსელის ელემენტები, როგორიცაა გამოყოფილი ფაილური სერვერები, მონაცემთა ბაზის სერვერები და აპლიკაციის სერვერები, საჭიროებენ სპეციალურ დაცვას. გაცვლის პროტოკოლებისა და სერვერის რესურსებზე წვდომის კონტროლის საშუალებების ხარვეზებმა შეიძლება დაუშვას დაცულ ინფორმაციაზე არაავტორიზებული წვდომა და გავლენა მოახდინოს სხვადასხვა ქვესისტემების მუშაობაზე. ამავდროულად, მცდელობა შეიძლება გაკეთდეს როგორც დისტანციური ( ქსელის სადგურებიდან) და პირდაპირი ( სერვერის კონსოლიდან) გავლენა სერვერების მუშაობაზე და მათ დაცვაზე.
ასევე საჭიროა დაცული იყოს ხიდები, კარიბჭეები, ჰაბები, მარშრუტიზატორები, კონცენტრატორები და სხვა ქსელური მოწყობილობები, არხები და კომუნიკაციები. ისინი შეიძლება გამოიყენონ თავდამსხმელებმა ქსელის მუშაობის რესტრუქტურიზაციისა და შეფერხებისთვის, გადაცემული ინფორმაციის ჩასარიცხად, ტრაფიკის ანალიზისა და მონაცემთა გაცვლის პროცესებში ჩარევის სხვა მეთოდების განსახორციელებლად.
4. ინფორმაციული უსაფრთხოების უზრუნველყოფის ძირითადი პრინციპები
4.1. უსაფრთხო მუშაობის ზოგადი პრინციპები
- პრობლემის აღმოჩენის დროულობა. ორგანიზაციამ დროულად უნდა აღმოაჩინოს პრობლემები, რომლებიც პოტენციურად იმოქმედებს მის ბიზნეს მიზნებზე.
- პრობლემების განვითარების პროგნოზირებადობა. ორგანიზაციამ უნდა დაადგინოს მიზეზობრიობა შესაძლო პრობლემებიდა ამის საფუძველზე შექმენით მათი განვითარების ზუსტი პროგნოზი.
- პრობლემების გავლენის შეფასება ბიზნესის მიზნებზე. ორგანიზაციამ ადეკვატურად უნდა შეაფასოს გამოვლენილი პრობლემების გავლენა.
- დამცავი ზომების ადეკვატურობა. ორგანიზაციამ უნდა აირჩიოს დამცავი ზომები, რომლებიც ადეკვატურია საფრთხისა და თავდამსხმელის მოდელებისთვის, ასეთი ღონისძიებების განხორციელების ხარჯების და საფრთხის განხორციელების შედეგად შესაძლო დანაკარგების ოდენობის გათვალისწინებით.
- დამცავი ზომების ეფექტურობა. ორგანიზაციამ ეფექტიანად უნდა განახორციელოს მიღებული დამცავი ზომები.
- გამოცდილების გამოყენება გადაწყვეტილების მიღებასა და განხორციელებაში. ორგანიზაციამ უნდა დააგროვოს, განზოგადოს და გამოიყენოს როგორც საკუთარი, ასევე სხვა ორგანიზაციების გამოცდილება გადაწყვეტილების მიღებისა და განხორციელების ყველა დონეზე.
- უსაფრთხო მუშაობის პრინციპების უწყვეტობა. ორგანიზაციამ უნდა უზრუნველყოს უსაფრთხო მუშაობის პრინციპების განხორციელების უწყვეტობა.
- დამცავი ზომების კონტროლირებადი. ორგანიზაციამ უნდა გამოიყენოს მხოლოდ ის გარანტიები, რომელთა სწორი მოქმედების შემოწმება შესაძლებელია და ორგანიზაციამ რეგულარულად უნდა შეაფასოს უსაფრთხოების ზომების ადეკვატურობა და მათი განხორციელების ეფექტურობა, ორგანიზაციის ბიზნეს მიზნებზე ზემოქმედების გათვალისწინებით.
4.2. სპეციალური პრინციპები ინფორმაციის უსაფრთხოების უზრუნველსაყოფად
- ინფორმაციული უსაფრთხოების უზრუნველყოფის სპეციალური პრინციპების დანერგვა მიზნად ისახავს ორგანიზაციაში ინფორმაციული უსაფრთხოების მართვის პროცესების სიმწიფის დონის ამაღლებას.
- მიზნების განსაზღვრა. ორგანიზაციის ფუნქციონალური და ინფორმაციული უსაფრთხოების მიზნები მკაფიოდ უნდა იყოს განსაზღვრული შიდა დოკუმენტში. გაურკვევლობა იწვევს " გაურკვევლობა”ორგანიზაციული სტრუქტურა, პერსონალის როლები, ინფორმაციული უსაფრთხოების პოლიტიკა და მიღებული დამცავი ზომების ადეკვატურობის შეფასების შეუძლებლობა.
- თქვენი მომხმარებლებისა და თანამშრომლების გაცნობა. ორგანიზაციას უნდა ჰქონდეს ინფორმაცია თავისი მომხმარებლების შესახებ, ყურადღებით შეარჩიოს პერსონალი ( მუშები), განავითაროს და შეინარჩუნოს კორპორატიული ეთიკა, რაც ქმნის ხელსაყრელ ნდობის გარემოს აქტივების მართვის ორგანიზაციის საქმიანობისთვის.
- პერსონალიზაცია და როლებისა და პასუხისმგებლობების ადეკვატური განაწილება. ორგანიზაციის თანამდებობის პირების პასუხისმგებლობა მის აქტივებთან დაკავშირებულ გადაწყვეტილებებზე უნდა იყოს პერსონალიზებული და განხორციელდეს ძირითადად გარანტიის სახით. ის ადექვატური უნდა იყოს ორგანიზაციის მიზნებზე გავლენის ხარისხზე, დაფიქსირებული პოლიტიკაში, მონიტორინგი და გაუმჯობესება.
- როლების ადეკვატურობა ფუნქციებთან და პროცედურებთან და მათი შედარება კრიტერიუმებთან და შეფასების სისტემასთან. როლები ადეკვატურად უნდა ასახავდეს შესრულებულ ფუნქციებს და ორგანიზაციაში მიღებულ პროცედურებს მათი განხორციელებისთვის. ურთიერთდაკავშირებული როლების მინიჭებისას მხედველობაში უნდა იქნას მიღებული მათი შესრულების აუცილებელი თანმიმდევრობა. როლი უნდა შეესაბამებოდეს მისი განხორციელების ეფექტურობის შეფასების კრიტერიუმებს. შესრულებული როლის ძირითადი შინაარსი და ხარისხი რეალურად განისაზღვრება მასზე გამოყენებული შეფასების სისტემით.
- სერვისებისა და საშუალებების ხელმისაწვდომობა. ორგანიზაციამ უნდა უზრუნველყოს მომსახურებისა და მომსახურების ხელმისაწვდომობა თავისი მომხმარებლებისა და კონტრაგენტებისთვის დროულად, შესაბამისი ხელშეკრულებებით განსაზღვრული ( შეთანხმებები) ან/და სხვა დოკუმენტები.
- IS დებულების დაკვირვებადობა და შეფასება. ნებისმიერი შემოთავაზებული დამცავი ღონისძიება უნდა იყოს შემუშავებული ისე, რომ მათი გამოყენების შედეგი აშკარად შესამჩნევი იყოს ( გამჭვირვალე) და შეიძლება შეფასდეს ორგანიზაციის დეპარტამენტის მიერ, რომელსაც აქვს შესაბამისი უფლებამოსილება.
5. უსაფრთხოების ინფორმაციის მიწოდების მიზნები და ამოცანები
5.1. ინფორმაციული ურთიერთობის სუბიექტები ავტომატურ სისტემაში
AS-ის გამოყენებისას და ინფორმაციის უსაფრთხოების უზრუნველყოფისას სამართლებრივი ურთიერთობის სუბიექტებია:
- ორგანიზაცია, როგორც საინფორმაციო რესურსების მფლობელი;
- ორგანიზაციის ქვედანაყოფები, რომლებიც უზრუნველყოფენ ატომური ელექტროსადგურის მუშაობას;
- ორგანიზაციის სტრუქტურული ქვედანაყოფების თანამშრომლები, როგორც AS-ში ინფორმაციის მომხმარებლები და მიმწოდებლები მათთვის დაკისრებული ფუნქციების შესაბამისად;
- იურიდიული და ფიზიკური პირები, რომელთა შესახებ ინფორმაცია გროვდება, ინახება და მუშავდება AS-ში;
- სხვა იურიდიული და ფიზიკური პირები, რომლებიც მონაწილეობენ AS-ის შექმნისა და ფუნქციონირების პროცესში ( სისტემის კომპონენტების დეველოპერები, ორგანიზაციები, რომლებიც მონაწილეობენ სფეროში სხვადასხვა სერვისების მიწოდებაში საინფორმაციო ტექნოლოგიებიდა ა.შ.).
ინფორმაციული ურთიერთობის ჩამოთვლილი სუბიექტები დაინტერესებულნი არიან უზრუნველყონ:
- ინფორმაციის გარკვეული ნაწილის კონფიდენციალურობა;
- საიმედოობა ( სისრულე, სიზუსტე, ადეკვატურობა, მთლიანობა) ინფორმაცია;
- დაცვა ყალბის დაწესებისგან ( ყალბი, დამახინჯებული) ინფორმაცია;
- საჭირო ინფორმაციის დროული წვდომა;
- კანონიერი უფლებების დარღვევისთვის პასუხისმგებლობის დელიმიტაცია ( ინტერესები) საინფორმაციო ურთიერთობის სხვა სუბიექტები და ინფორმაციის დამუშავების დადგენილი წესები;
- ინფორმაციის დამუშავებისა და გადაცემის უწყვეტი მონიტორინგისა და კონტროლის შესაძლებლობა;
- ინფორმაციის ნაწილის დაცვა მისი უკანონო რეპროდუქციისგან ( საავტორო უფლებების დაცვა, ინფორმაციის მფლობელის უფლებები და ა.შ.).
5.2. ინფორმაციული უსაფრთხოების მიზანი
ინფორმაციის უსაფრთხოების უზრუნველყოფის მთავარი მიზანია ინფორმაციული ურთიერთობის სუბიექტების დაცვა მათთვის შესაძლო მატერიალური, მორალური ან სხვა ზიანისგან AS-ის მუშაობაში შემთხვევითი ან განზრახ არასანქცირებული ჩარევით ან მასში გავრცელებულ ინფორმაციაზე უნებართვო წვდომით. უკანონო გამოყენება.
ეს მიზანი მიიღწევა ინფორმაციის შემდეგი თვისებების უზრუნველყოფით და მუდმივი შენარჩუნებით და მისი დამუშავების ავტომატური სისტემის საშუალებით:
- დამუშავებული ინფორმაციის ხელმისაწვდომობა რეგისტრირებული მომხმარებლებისთვის;
- საკომუნიკაციო არხებით შენახული, დამუშავებული და გადაცემული ინფორმაციის გარკვეული ნაწილის კონფიდენციალურობა;
- საკომუნიკაციო არხებით შენახული, დამუშავებული და გადაცემული ინფორმაციის მთლიანობა და ავთენტურობა.
5.3. ინფორმაციის უსაფრთხოების ამოცანები
ინფორმაციული უსაფრთხოების უზრუნველყოფის მთავარი მიზნის მისაღწევად, ატომური ელექტროსადგურის ინფორმაციული უსაფრთხოების სისტემამ უნდა უზრუნველყოს შემდეგი ამოცანების ეფექტური გადაწყვეტა:
- დაცვა AU-ს ფუნქციონირების პროცესში არაუფლებამოსილი პირების მიერ ჩარევისგან;
- რეგისტრირებული მომხმარებლების წვდომის დიფერენციაცია AS-ის აპარატურულ, პროგრამულ და საინფორმაციო რესურსებზე, ანუ დაცვა არაავტორიზებული წვდომისგან;
- მომხმარებლის ქმედებების რეგისტრაცია სისტემის ჟურნალებში დაცული AS რესურსების გამოყენებისას და სისტემის მომხმარებლის ქმედებების სისწორის პერიოდული მონიტორინგი უსაფრთხოების დეპარტამენტების სპეციალისტების მიერ ამ ჟურნალის შინაარსის ანალიზით;
- დაცვა არასანქცირებული მოდიფიკაციისა და მთლიანობის კონტროლისგან ( შეუცვლელობა) პროგრამის შესრულების გარემო და დარღვევის შემთხვევაში მისი აღდგენა;
- დაცვა არასანქცირებული მოდიფიკაციისგან და AU-ში გამოყენებული პროგრამული უზრუნველყოფის მთლიანობის კონტროლი, ასევე სისტემის დაცვა არაავტორიზებული პროგრამების, მათ შორის კომპიუტერული ვირუსების დანერგვისგან;
- ინფორმაციის დაცვა ტექნიკური არხებით გაჟონვისგან მისი დამუშავების, შენახვისა და საკომუნიკაციო არხებით გადაცემისას;
- საკომუნიკაციო არხებით შენახული, დამუშავებული და გადაცემული ინფორმაციის დაცვა არასანქცირებული გამჟღავნებისა და დამახინჯებისაგან;
- ინფორმაციის გაცვლაში მონაწილე მომხმარებლების ავთენტიფიკაციის უზრუნველყოფა;
- ინფორმაციის დაცვის კრიპტოგრაფიული საშუალებების გადარჩენის უზრუნველყოფა საკვანძო სისტემის ნაწილის კომპრომისის შემთხვევაში;
- ინფორმაციული უსაფრთხოების საფრთხის წყაროების, მიზეზებისა და პირობების დროული იდენტიფიცირება, რომლებიც ხელს უწყობენ საინფორმაციო ურთიერთობის დაინტერესებული სუბიექტების დაზიანებას, ინფორმაციული უსაფრთხოების საფრთხეებზე და ნეგატიურ ტენდენციებზე სწრაფი რეაგირების მექანიზმის შექმნას;
- ფიზიკური და იურიდიული პირების უკანონო ქმედებებით მიყენებული ზიანის მინიმიზაციისა და ლოკალიზაციის პირობების შექმნა, უარყოფითი ზემოქმედების შერბილება და ინფორმაციული უსაფრთხოების დარღვევის შედეგების აღმოფხვრა.
5.4. ინფორმაციის უსაფრთხოების უზრუნველყოფის პრობლემების გადაჭრის გზები
ინფორმაციის უსაფრთხოების უზრუნველყოფის პრობლემების გადაწყვეტა მიღწეულია:
- ყველა სისტემის რესურსის მკაცრი გათვალისწინება, რომელიც უნდა იყოს დაცული ( ინფორმაცია, ამოცანები, საკომუნიკაციო არხები, სერვერები, სამუშაო სადგურები);
- ორგანიზაციის სტრუქტურული ქვედანაყოფების თანამშრომლების ინფორმაციის დამუშავების პროცესებისა და ქმედებების რეგულირება, აგრეთვე პერსონალის ქმედებები, რომლებიც ეწევიან AU-ს პროგრამული უზრუნველყოფისა და აპარატურის მოვლა-პატრონობასა და მოდიფიკაციას, ინფორმაციული უსაფრთხოების ორგანიზაციული და ადმინისტრაციული დოკუმენტების საფუძველზე;
- ინფორმაციული უსაფრთხოების საკითხებზე ორგანიზაციული და ადმინისტრაციული დოკუმენტების მოთხოვნების სისრულე, რეალური მიზანშეწონილობა და თანმიმდევრულობა;
- ინფორმაციის უსაფრთხოების უზრუნველყოფის ორგანიზაციისა და პრაქტიკული ღონისძიებების განხორციელებაზე პასუხისმგებელი თანამშრომელთა დანიშვნა და მომზადება;
- თითოეულ თანამშრომელს უფლებამოსილება მიენიჭოს AU-ს რესურსებზე წვდომის უფლებამოსილების მქონე ორგანოს ფუნქციური მოვალეობების შესასრულებლად, რაც აუცილებელია;
- ინფორმაციული უსაფრთხოების შესახებ ორგანიზაციული და ადმინისტრაციული დოკუმენტების მოთხოვნების მკაფიო ცოდნა და მკაცრი დაცვა ყველა თანამშრომლის მიერ, რომლებიც იყენებენ და ინარჩუნებენ AS აპარატურულ და პროგრამულ უზრუნველყოფას;
- თითოეული თანამშრომლის პირადი პასუხისმგებლობა მათ ქმედებებზე, რომლებიც მონაწილეობენ ფუნქციური მოვალეობების ფარგლებში ინფორმაციის ავტომატური დამუშავების პროცესებში და აქვთ წვდომა AS რესურსებზე;
- ინფორმაციის დამუშავების ტექნოლოგიური პროცესების განხორციელება ორგანიზაციული და ტექნიკური ღონისძიებების კომპლექსების გამოყენებით პროგრამული უზრუნველყოფის, აპარატურის და მონაცემების დასაცავად;
- ქმედითი ღონისძიებების გატარება ტექნიკური საშუალებების ფიზიკური მთლიანობის უზრუნველსაყოფად და ატომური ელექტროსადგურის კომპონენტების დაცვის საჭირო დონის უწყვეტი შენარჩუნების მიზნით;
- ტექნიკური ( პროგრამული უზრუნველყოფა და აპარატურა)სისტემის რესურსების დაცვის საშუალებები და მათი გამოყენების უწყვეტი ადმინისტრაციული მხარდაჭერა;
- საინფორმაციო ნაკადების დელიმიტაცია და შეზღუდული გავრცელების ინფორმაციის დაუცველი საკომუნიკაციო არხებით გადაცემის აკრძალვა;
- ეფექტური კონტროლი თანამშრომლების მიერ ინფორმაციული უსაფრთხოების მოთხოვნების დაცვაზე;
- მუდმივი მონიტორინგი ქსელის რესურსები, მოწყვლადობის იდენტიფიცირება, კომპიუტერული ქსელის უსაფრთხოების გარე და შიდა საფრთხეების დროული გამოვლენა და განეიტრალება;
- ორგანიზაციის ინტერესების სამართლებრივი დაცვა ინფორმაციული უსაფრთხოების სფეროში უკანონო ქმედებებისგან.
- განხორციელებული ღონისძიებებისა და გამოყენებული ინფორმაციის დაცვის საშუალებების ეფექტურობისა და საკმარისობის უწყვეტი ანალიზის ჩატარება, ასს-ში ინფორმაციის დაცვის სისტემის გაუმჯობესების წინადადებების შემუშავება და განხორციელება.
6. საინფორმაციო უსაფრთხოების საფრთხეები
6.1. ინფორმაციული უსაფრთხოების საფრთხეები და მათი წყაროები
AS-ში დამუშავებული ინფორმაციის უსაფრთხოების ყველაზე საშიში საფრთხეებია:
- კონფიდენციალურობის დარღვევა ( გამჟღავნება, გაჟონვა) ინფორმაცია, რომელიც წარმოადგენს ოფიციალურ ან კომერციულ საიდუმლოებას, მათ შორის პერსონალურ მონაცემებს;
- დისფუნქცია ( სამუშაოს დეზორგანიზაცია) AS, ინფორმაციის დაბლოკვა, ტექნოლოგიური პროცესების დარღვევა, პრობლემების დროულად გადაუჭრელობა;
- მთლიანობის დარღვევა ( დამახინჯება, ჩანაცვლება, განადგურება) ინფორმაცია, პროგრამული უზრუნველყოფა და სხვა AS რესურსები.
AS ინფორმაციის უსაფრთხოებისთვის საფრთხის ძირითადი წყაროა:
- არახელსაყრელი ბუნებრივი და ადამიანის მიერ შექმნილი მოვლენები;
- ტერორისტები, კრიმინალური ელემენტები;
- კომპიუტერის თავდამსხმელები, რომლებიც ახორციელებენ მიზანმიმართულ დესტრუქციულ ზემოქმედებას, მათ შორის გამოყენებას კომპიუტერული ვირუსებიდა სხვა სახის მავნე კოდები და თავდასხმები;
- პროგრამული უზრუნველყოფის და ტექნიკის, სახარჯო მასალების, სერვისების და ა.შ. მომწოდებლები;
- კონტრაქტორები, რომლებიც მონაწილეობენ აღჭურვილობის დამონტაჟებაში, ექსპლუატაციაში და მის შეკეთებაში;
- სამეთვალყურეო და მარეგულირებელი ორგანოების, მოქმედი კანონმდებლობის მოთხოვნების შეუსრულებლობა;
- პროგრამული უზრუნველყოფისა და აპარატურის გაუმართაობა, წარუმატებლობა, განადგურება/დაზიანება;
- თანამშრომლები, რომლებიც არიან AS-ში მიმდინარე პროცესების კანონიერი მონაწილეები და მოქმედებენ მინიჭებული უფლებამოსილების ფარგლებს გარეთ;
- თანამშრომლები, რომლებიც არიან ასს-ში მიმდინარე პროცესების კანონიერი მონაწილეები და მოქმედებენ მინიჭებული უფლებამოსილების ფარგლებში.
6.2. უნებლიე ქმედებები, რომლებიც იწვევს ინფორმაციული უსაფრთხოების დარღვევას და მათ აღკვეთის ზომებს
ორგანიზაციის თანამშრომლები, რომლებსაც აქვთ პირდაპირი წვდომა AS-ში ინფორმაციის დამუშავების პროცესებზე, წარმოადგენენ უნებლიე შემთხვევითი ქმედებების პოტენციურ წყაროს, რამაც შეიძლება გამოიწვიოს ინფორმაციული უსაფრთხოების დარღვევა.
ძირითადი უნებლიე ქმედებები, რომლებიც იწვევს ინფორმაციული უსაფრთხოების დარღვევას (ადამიანების მიერ ჩადენილი ქმედებები შემთხვევით, უცოდინრობის, უყურადღებობის ან დაუდევრობის გამო, ცნობისმოყვარეობის გამო, მაგრამ ბოროტი განზრახვის გარეშე) და მოცემულია ზომები მსგავსი ქმედებების თავიდან ასაცილებლად და მათ მიერ მიყენებული ზიანის შესამცირებლად ცხრილი 1.
ცხრილი 1
| ძირითადი ქმედებები, რომლებიც იწვევს ინფორმაციული უსაფრთხოების დარღვევას | |
| თანამშრომლების ქმედებები, რომლებიც იწვევს სისტემის ნაწილობრივ ან სრულ უკმარისობას ან ტექნიკის ან პროგრამული უზრუნველყოფის დარღვევას; მოწყობილობების გამორთვა ან მოწყობილობებისა და პროგრამების მუშაობის რეჟიმების შეცვლა; სისტემის საინფორმაციო რესურსების განადგურება ( აღჭურვილობის უნებლიე დაზიანება, წაშლა, მნიშვნელოვანი ინფორმაციის შემცველი პროგრამების ან ფაილების დამახინჯება, მათ შორის სისტემური, საკომუნიკაციო არხების დაზიანება, საცავის მედიის უნებლიე დაზიანება და ა.შ.) | ორგანიზაციული ღონისძიებები ( ). ფიზიკური საშუალებების გამოყენება დარღვევის უნებლიე ჩადენის თავიდან ასაცილებლად. ტექნიკური ( აპარატურა და პროგრამული უზრუნველყოფა) რესურსებზე წვდომის შეზღუდვის საშუალებები. კრიტიკული რესურსების დაჯავშნა. |
| პროგრამების არასანქცირებული გაშვება, რომლებიც არაკომპეტენტურად გამოყენების შემთხვევაში შეიძლება გამოიწვიოს სისტემის მუშაობის დაკარგვა ( იყინება ან მარყუჟები) ან სისტემაში შეუქცევადი ცვლილებების შეტანა ( შენახვის მედიის ფორმატირება ან რესტრუქტურიზაცია, მონაცემების წაშლა და ა.შ.) | ორგანიზაციული ღონისძიებები ( ყველა პოტენციურად საშიში პროგრამის ამოღება სამუშაო სადგურიდან). ტექნიკური ( აპარატურა და პროგრამული უზრუნველყოფა) სამუშაო სადგურებზე პროგრამებზე წვდომის შეზღუდვის საშუალებები. |
| არასანქცირებული პროგრამების არასანქცირებული დანერგვა და გამოყენება ( სათამაშო, სასწავლო, ტექნოლოგიური და სხვა, რაც არ არის აუცილებელი თანამშრომლებისთვის სამსახურებრივი მოვალეობის შესასრულებლად) რესურსების შემდგომი არაგონივრული ხარჯვით ( პროცესორის დრო, ოპერატიული მეხსიერება, მეხსიერება გარე მედიაზე და ა.შ.) | ორგანიზაციული ღონისძიებები ( აკრძალვების შემოღება). ტექნიკური ( აპარატურა და პროგრამული უზრუნველყოფა) ნიშნავს არასანქცირებული პროგრამების არაავტორიზებული დანერგვისა და გამოყენების პრევენციას. |
| კომპიუტერის უნებლიედ ვირუსებით დაინფიცირება | ორგანიზაციული ღონისძიებები ( ქმედებების რეგულირება, აკრძალვების შემოღება). ტექნოლოგიური ზომები ( სპეციალური პროგრამების გამოყენება ვირუსების აღმოსაჩენად და განადგურებისთვის). ტექნიკისა და პროგრამული უზრუნველყოფის გამოყენება, რომელიც ხელს უშლის კომპიუტერული ვირუსებით დაინფიცირებას. |
| წვდომის კონტროლის ატრიბუტების გამჟღავნება, გადაცემა ან დაკარგვა ( პაროლები, დაშიფვრის გასაღებები ან ES, საიდენტიფიკაციო ბარათები, საშვი და ა.შ.) | ორგანიზაციული ღონისძიებები ( ქმედებების რეგულირება, აკრძალვების შემოღება, გაზრდილი პასუხისმგებლობა). ფიზიკური საშუალებების გამოყენება მითითებული დეტალების უსაფრთხოების უზრუნველსაყოფად. |
| ორგანიზაციული შეზღუდვების იგნორირება ( დადგენილი წესები) სისტემაში მუშაობისას | ორგანიზაციული ღონისძიებები ( ). დაცვის დამატებითი ფიზიკური და ტექნიკური საშუალებების გამოყენება. |
| დაცვის პერსონალის მიერ დამცავი აღჭურვილობის არაკომპეტენტური გამოყენება, რეგულირება ან უკანონო დეაქტივაცია | ორგანიზაციული ღონისძიებები ( პერსონალის მომზადება, გაზრდილი პასუხისმგებლობა და კონტროლი). |
| არასწორი მონაცემების შეყვანა | ორგანიზაციული ღონისძიებები ( გაიზარდა ანგარიშვალდებულება და კონტროლი). მონაცემთა შეყვანის ოპერატორების შეცდომების კონტროლის ტექნოლოგიური ღონისძიებები. |
6.3. ინფორმაციული უსაფრთხოების დარღვევის მიზნით მიზანმიმართული ქმედებები და მათი აღკვეთის ღონისძიებები
ძირითადი განზრახ ქმედებები ( ეგოისტური მიზნებისთვის, იძულებით, შურისძიების სურვილით და ა.შ.), რამაც გამოიწვია AU-ს ინფორმაციული უსაფრთხოების დარღვევა და ზომები მათ თავიდან ასაცილებლად და შესაძლო ზიანის შესამცირებლად მოცემულია ცხრილი 2.
ცხრილი 2
| ძირითადი განზრახ ქმედებები, რომლებიც იწვევს ინფორმაციის უსაფრთხოების დარღვევას | ზომები საფრთხის თავიდან ასაცილებლად და ზიანის შესამცირებლად |
| ავტომატური სისტემის ყველა ან ზოგიერთი ყველაზე მნიშვნელოვანი კომპონენტის ფიზიკური განადგურება ან ქმედუუნარობა ( მოწყობილობები, მნიშვნელოვანი სისტემის ინფორმაციის მატარებლები, პერსონალი და ა.შ.), ქვესისტემების გამორთვა ან გათიშვა, რომლებიც უზრუნველყოფენ გამოთვლითი სისტემების ფუნქციონირებას ( ელექტრომომარაგება, საკომუნიკაციო ხაზები და ა.შ.) | ორგანიზაციული ღონისძიებები ( ქმედებების რეგულირება, აკრძალვების შემოღება). ფიზიკური საშუალებების გამოყენება დარღვევის განზრახ ჩადენის თავიდან ასაცილებლად. კრიტიკული რესურსების დაჯავშნა. |
| აგენტების შეყვანა სისტემის პერსონალის რაოდენობაში ( უსაფრთხოებაზე პასუხისმგებელი ადმინისტრაციული ჯგუფის ჩათვლით), დაქირავება ( მოსყიდვით, შანტაჟით, მუქარით და ა.შ.) მომხმარებლები, რომლებსაც აქვთ გარკვეული ნებართვები დაცულ რესურსებზე წვდომისთვის | ორგანიზაციული ღონისძიებები ( შერჩევა, განთავსება და პერსონალთან მუშაობა, კონტროლისა და პასუხისმგებლობის გაძლიერება). პერსონალის ქმედებების ავტომატური რეგისტრაცია. |
| შენახვის მედიის ქურდობა ( ამონაწერები, მაგნიტური დისკები, ფირები, შესანახი მოწყობილობები და მთელი კომპიუტერები), სამრეწველო ნარჩენების ქურდობა ( ამონაწერები, ჩანაწერები, გადაყრილი მედია და ა.შ.) | ორგანიზაციული ღონისძიებები ( ). |
| შენახვის მედიის არასანქცირებული კოპირება, ნარჩენი ინფორმაციის წაკითხვა RAM-დან და გარე შენახვის მოწყობილობებიდან | ორგანიზაციული ღონისძიებები ( მედიის შენახვისა და გამოყენების ორგანიზება დაცული ინფორმაციით). დაცულ რესურსებზე წვდომის შეზღუდვის ტექნიკური საშუალებების გამოყენება და დოკუმენტების ნაბეჭდი ასლების მიღების ავტომატური რეგისტრაცია. |
| პაროლების და წვდომის კონტროლის სხვა დეტალების უკანონო მოპოვება ( ფარულად, მომხმარებლების დაუდევრობის გამოყენებით, შერჩევით, სისტემის ინტერფეისის იმიტაციით პროგრამული ჩანართებით და ა.შ.) რასაც მოჰყვება რეგისტრირებული მომხმარებლის შენიღბვა. | ორგანიზაციული ღონისძიებები ( ქმედებების რეგულირება, აკრძალვების შემოღება, პერსონალთან მუშაობა). ტექნიკური საშუალებების გამოყენება, რომლებიც ხელს უშლის პაროლების, გასაღებების და სხვა დეტალების გადასაჭრელად პროგრამების დანერგვას. |
| უნიკალური ფიზიკური მახასიათებლების მქონე მომხმარებლების სამუშაო სადგურების არასანქცირებული გამოყენება, როგორიცაა ქსელში სამუშაო სადგურის რაოდენობა, ფიზიკური მისამართი, მისამართი საკომუნიკაციო სისტემაში, აპარატურის კოდირების განყოფილება და ა.შ. | ორგანიზაციული ღონისძიებები ( შენობაში წვდომისა და ამ სამუშაო სადგურებზე სამუშაოდ დაშვების მკაცრი რეგულირება). დაშვების კონტროლის ფიზიკური და ტექნიკური საშუალებების გამოყენება. |
| პროგრამული უზრუნველყოფის არასანქცირებული მოდიფიკაცია - პროგრამული უზრუნველყოფის "სანიშნეების" და "ვირუსების" დანერგვა ( ტროას ცხენები და ბაგები), ანუ პროგრამების ისეთი სექციები, რომლებიც არ არის საჭირო დეკლარირებული ფუნქციების განსახორციელებლად, მაგრამ იძლევა დაცვის სისტემის დაძლევას, ფარულად და უკანონოდ წვდომას სისტემის რესურსებზე დაცული ინფორმაციის რეგისტრაციისა და გადაცემის ან სისტემის ფუნქციონირების შეფერხების მიზნით. | ორგანიზაციული ღონისძიებები ( სამუშაოზე ხელმისაწვდომობის მკაცრი რეგულირება). დაშვების კონტროლის ფიზიკური და ტექნიკური საშუალებების გამოყენება და სამუშაო სადგურის აპარატურის და პროგრამული უზრუნველყოფის კონფიგურაციის არასანქცირებული მოდიფიკაციის თავიდან აცილება. პროგრამული უზრუნველყოფის მთლიანობის კონტროლის ხელსაწყოების გამოყენება. |
| საკომუნიკაციო არხებით გადაცემული მონაცემების აღკვეთა, მათი ანალიზი კონფიდენციალური ინფორმაციის მოპოვებისა და გაცვლის პროტოკოლების გასარკვევად, ქსელში შესვლის წესები და მომხმარებლის ავტორიზაცია, სისტემაში შეღწევის შემდგომი იმიტაციის მცდელობებით. | საკომუნიკაციო არხების ფიზიკური დაცვა. გადაცემული ინფორმაციის კრიპტოგრაფიული დაცვის საშუალებების გამოყენება. |
| სისტემის ფუნქციონირებაში ჩარევა საჯარო ქსელებიდან მონაცემთა არასანქცირებული მოდიფიკაციის, კონფიდენციალურ ინფორმაციაზე წვდომის, ქვესისტემების მუშაობის შეფერხების მიზნით და ა.შ. | ორგანიზაციული ღონისძიებები ( საზოგადოებრივ ქსელებში კავშირისა და მუშაობის რეგულირება). სპეციალური ტექნიკური დაცვის საშუალებების გამოყენება ( firewalls, უსაფრთხოების კონტროლი და სისტემის რესურსებზე თავდასხმების გამოვლენა და ა.შ.). |
6.4. ინფორმაციის გაჟონვა ტექნიკური არხებით
ატომური ელექტროსადგურის ტექნიკური საშუალებების ექსპლუატაციის დროს შესაძლებელია შემდეგი არხების გაჟონვა ან ინფორმაციის მთლიანობის დარღვევა, ტექნიკური საშუალებების მუშაობის დარღვევა:
- ტექნიკური საშუალებებიდან და ინფორმაციის გადამცემი ხაზებიდან ინფორმაციული სიგნალის ყალბი ელექტრომაგნიტური გამოსხივება;
- ელექტრონული გამოთვლითი აღჭურვილობის საშუალებით დამუშავებული საინფორმაციო სიგნალის ამოღება სადენებზე და ხაზებზე, რომლებიც სცილდება ოფისების კონტროლირებად ზონას, მათ შორის. ადგილზე და ელექტრომომარაგების სქემებზე;
- სხვადასხვა ელექტრონული მოწყობილობებიინფორმაციის მოსმენა ( მათ შორის "სანიშნეები") დაკავშირებული საკომუნიკაციო არხებთან ან ინფორმაციის დამუშავების ტექნიკურ საშუალებებთან;
- ინფორმაციის ნახვა ჩვენების ეკრანებიდან და მისი ჩვენების სხვა საშუალებები ოპტიკური საშუალებების გამოყენებით;
- ზემოქმედება აპარატურაზე ან პროგრამულ უზრუნველყოფაზე მთლიანობის დარღვევის მიზნით ( განადგურება, დამახინჯება) ინფორმაცია, ტექნიკური საშუალებების ფუნქციონირება, ინფორმაციის დაცვის საშუალებები და ინფორმაციის გაცვლის დროულობა, მათ შორის ელექტრომაგნიტური, სპეციალურად დანერგილი ელექტრონული და პროგრამული ხელსაწყოების საშუალებით. "სანიშნეები").
ინფორმაციის დამუშავებისა და უსაფრთხოების უზრუნველყოფის სპეციფიკის გათვალისწინებით, კონფიდენციალური ინფორმაციის გაჟონვის საფრთხე ( მათ შორის პერსონალური მონაცემები) ტექნიკური არხებით არარელევანტურია ორგანიზაციისთვის.
6.5. სავარაუდო შემოჭრის არაფორმალური მოდელი
დამნაშავე არის პირი, რომელიც ცდილობდა აკრძალული ოპერაციების შესრულებას ( მოქმედება) შეცდომით, უცოდინრობით ან შეგნებულად მავნე განზრახვით ( ეგოისტური ინტერესებიდან გამომდინარე) ან მის გარეშე ( თამაშის ან სიამოვნების გულისთვის, თვითდადასტურების მიზნით და ა.შ.) და ამისთვის სხვადასხვა შესაძლებლობების, მეთოდებისა და საშუალებების გამოყენებით.
ატომური ელექტროსადგურის დაცვის სისტემა უნდა აშენდეს ვარაუდებზე დაყრდნობით სისტემაში შეჭრის შემდეგი შესაძლო ტიპების შესახებ ( პირთა კატეგორიის, მოტივაციის, კვალიფიკაციის, სპეციალური საშუალებების ხელმისაწვდომობის გათვალისწინებით და ა.შ.):
- « გამოუცდელი (უყურადღებო) მომხმარებელი„- თანამშრომელი, რომელსაც შეუძლია შეეცადოს აკრძალული ოპერაციების შესრულება, მის უფლებამოსილებას აღემატება დაცულ AS რესურსებზე წვდომა, არასწორი მონაცემების შეყვანა და ა.შ. ქმედებები შეცდომით, არაკომპეტენტურობით ან დაუდევრობით მავნე განზრახვის გარეშე და მხოლოდ რეგულარული გამოყენებით ( მისთვის ხელმისაწვდომი) აპარატურა და პროგრამული უზრუნველყოფა.
- « სამოყვარულო"- თანამშრომელი ცდილობს დაძლიოს დაცვის სისტემა ეგოისტური მიზნებისა და მავნე განზრახვის გარეშე, თვითდადასტურებისთვის ან დან" სპორტული ინტერესი". დაცვის სისტემის დასაძლევად და აკრძალული ქმედებების ჩადენის მიზნით, მას შეუძლია გამოიყენოს სხვადასხვა მეთოდებიდამატებითი ნებართვების მიღება რესურსებზე წვდომისთვის ( სახელები, პაროლები და ა.შ. სხვა მომხმარებლები), ხარვეზები დაცვის სისტემის მშენებლობაში და ხელმისაწვდომი პერსონალი ( დაყენებული სამუშაო სადგურზე) პროგრამები ( არასანქცირებული ქმედებები ავტორიზებული სახსრების გამოყენების უფლებამოსილების გადამეტებით). გარდა ამისა, მან შეიძლება შეეცადოს გამოიყენოს დამატებითი არასტანდარტული ინსტრუმენტები და ტექნოლოგიური პროგრამული უზრუნველყოფა ( debugger-ები, კომუნალური საშუალებები), დამოუკიდებლად შემუშავებული პროგრამები ან სტანდარტული დამატებითი ტექნიკური საშუალებები.
- « თაღლითი"- თანამშრომელი, რომელსაც შეუძლია შეეცადოს უკანონო ტექნოლოგიური ოპერაციების განხორციელება, ყალბი მონაცემების შეტანა და მსგავსი ქმედებები პირადი სარგებლობისთვის, იძულების ან მავნე განზრახვის გამო, მაგრამ მხოლოდ რეგულარული ( სამუშაო სადგურზე დაყენებული და მისთვის ხელმისაწვდომი) აპარატურა და პროგრამული უზრუნველყოფა საკუთარი ან სხვა თანამშრომლის სახელით ( მისი სახელისა და პაროლის ცოდნა, სამუშაო ადგილიდან ხანმოკლე არყოფნის გამოყენება და ა.შ.).
- « გარე შემოჭრილი (შემოჭრილი)„გარე ან ყოფილი თანამშრომელი, რომელიც მიზანმიმართულად მოქმედებს ეგოისტური ინტერესებიდან გამომდინარე, შურისძიების ან ცნობისმოყვარეობის გამო, შესაძლოა სხვებთან შეთანხმებით. მას შეუძლია გამოიყენოს ინფორმაციული უსაფრთხოების დარღვევის მთელი სპექტრი, უსაფრთხოების სისტემების გატეხვის მეთოდები და საშუალებები, რომლებიც დამახასიათებელია საჯარო ქსელებისთვის ( კერძოდ, IP-ზე დაფუძნებული ქსელები), მათ შორის პროგრამული სანიშნეების დისტანციური განხორციელება და სპეციალური ინსტრუმენტული და ტექნოლოგიური პროგრამების გამოყენება, გაცვლის პროტოკოლებში არსებული სისუსტეებისა და ორგანიზაციის AS ქსელის კვანძების დაცვის სისტემის გამოყენებით.
- « შინაგანი შემტევი» - სისტემის მომხმარებლად რეგისტრირებული თანამშრომელი, რომელიც მოქმედებს მიზანმიმართულად ეგოისტური ინტერესებიდან ან შურისძიების მიზნით, შესაძლოა, ორგანიზაციის არმქონე პირებთან შეთანხმებით. მას შეუძლია გამოიყენოს უსაფრთხოების სისტემის გატეხვის მეთოდებისა და საშუალებების მთელი ნაკრები, მათ შორის წვდომის დეტალების მოპოვების ფარული მეთოდები, პასიური საშუალებები (შემოწმების ტექნიკური საშუალებები სისტემის კომპონენტების შეცვლის გარეშე), მეთოდები და აქტიური გავლენის საშუალებები ( ტექნიკური საშუალებების მოდიფიკაცია, მონაცემთა გადაცემის არხებთან დაკავშირება, პროგრამული ჩანართების დანერგვა და სპეციალური ინსტრუმენტული და ტექნოლოგიური პროგრამების გამოყენება.), ისევე როგორც ზემოქმედებების კომბინაციები როგორც შიგნიდან, ასევე საჯარო ქსელებიდან.
ინსაიდერი შეიძლება იყოს პირი პერსონალის შემდეგი კატეგორიიდან:
- რეგისტრირებული AS-ის საბოლოო მომხმარებლები ( დეპარტამენტებისა და ფილიალების თანამშრომლები);
- მუშებს არ აქვთ უფლება იმუშაონ AU-სთან;
- პერსონალი, რომელიც ემსახურება ატომური ელექტროსადგურის ტექნიკურ ობიექტებს ( ინჟინრები, ტექნიკოსები);
- პროგრამული უზრუნველყოფის განვითარებისა და ტექნიკური განყოფილების თანამშრომლები ( აპლიკაციებისა და სისტემის პროგრამისტები);
- ტექნიკური პერსონალი, რომელიც ემსახურება ორგანიზაციის შენობებსა და შენობებს ( დამლაგებლები, ელექტრიკოსები, სანტექნიკა და სხვა მუშები, რომლებსაც აქვთ წვდომა შენობებსა და შენობებზე, სადაც განლაგებულია AU კომპონენტები);
- ლიდერები სხვადასხვა დონეზე.
- გათავისუფლებული მუშები;
- ორგანიზაციების წარმომადგენლები, რომლებიც ურთიერთობენ ორგანიზაციის სიცოცხლის უზრუნველყოფის საკითხებზე ( ენერგია, წყალი, სითბოს მიწოდება და ა.შ.);
- აღჭურვილობის, პროგრამული უზრუნველყოფის, სერვისების მიმწოდებელი ფირმების წარმომადგენლები;
- კრიმინალური ორგანიზაციებისა და კონკურენტი კომერციული სტრუქტურების წევრები ან მათი დავალებით მოქმედი პირები;
- პირები, რომლებმაც შემთხვევით ან განზრახ შეაღწიეს ქსელებში გარე ქსელებიდან ( "ჰაკერები").
მომხმარებლებს და მომსახურე პერსონალს თანამშრომელთა შორის აქვთ ყველაზე ფართო შესაძლებლობები არაავტორიზებული ქმედებების განსახორციელებლად, რესურსებზე წვდომის გარკვეული უფლებამოსილების არსებობისა და ინფორმაციის დამუშავების ტექნოლოგიების კარგი ცოდნის გამო. ამ ჯგუფის დამრღვევთა ქმედება პირდაპირ კავშირშია არსებული წესებისა და მითითებების დარღვევასთან. დამნაშავეთა ეს ჯგუფი განსაკუთრებულ საფრთხეს წარმოადგენს კრიმინალურ სტრუქტურებთან ურთიერთობისას.
იძულებით გადაადგილებულ მუშაკებს შეუძლიათ გამოიყენონ თავიანთი ცოდნა სამუშაო ტექნოლოგიების, დაცვის საშუალებებისა და წვდომის უფლებების შესახებ მიზნების მისაღწევად.
კრიმინალური სტრუქტურები წარმოადგენს გარე საფრთხეების ყველაზე აგრესიულ წყაროს. ამ სტრუქტურებს თავიანთი გეგმების განსახორციელებლად შეუძლიათ ღიად დაარღვიონ კანონი და ჩართონ ორგანიზაციის თანამშრომლები თავიანთ საქმიანობაში ყველა მათთვის ხელმისაწვდომი ძალებითა და საშუალებებით.
ჰაკერებს აქვთ უმაღლესი ტექნიკური კვალიფიკაცია და ცოდნა AS-ში გამოყენებული პროგრამული უზრუნველყოფის სისუსტეების შესახებ. ისინი უდიდეს საფრთხეს წარმოადგენენ მომუშავე ან გათავისუფლებულ მუშაკებთან და კრიმინალურ სტრუქტურებთან ურთიერთობისას.
აღჭურვილობის, საინფორმაციო სისტემების შემუშავებაში, მიწოდებასა და შეკეთებაში ჩართული ორგანიზაციები წარმოადგენენ გარე საფრთხეს იმის გამო, რომ ზოგჯერ მათ აქვთ პირდაპირი წვდომა საინფორმაციო რესურსებზე. კრიმინალურ სტრუქტურებს შეუძლიათ გამოიყენონ ეს ორგანიზაციები თავიანთი წევრების დროებით დასაქმებისთვის დაცულ ინფორმაციაზე წვდომის მიზნით.
7. ტექნიკური პოლიტიკა ინფორმაციული უსაფრთხოების სფეროში
7.1. ტექნიკური პოლიტიკის ძირითადი დებულებები
ინფორმაციული უსაფრთხოების სფეროში ტექნიკური პოლიტიკის განხორციელება უნდა მოხდეს იმ პირობით, რომ შეუძლებელია ინფორმაციული უსაფრთხოების საჭირო დონის უზრუნველყოფა არა მხოლოდ ერთის დახმარებით. ცალკე ინსტრუმენტი (Ივენთი), არამედ მათი მარტივი ნაკრების დახმარებით. ისინი სისტემატურად უნდა იყოს კოორდინირებული ერთმანეთთან ( რთული აპლიკაცია), და შემუშავებული AU-ს ცალკეული ელემენტები უნდა განიხილებოდეს როგორც ერთის ნაწილად საინფორმაციო სისტემადაცულ დიზაინში ოპტიმალური თანაფარდობატექნიკური ( აპარატურა, პროგრამული უზრუნველყოფა) სახსრები და ორგანიზაციული ღონისძიებები.
AU-ს ინფორმაციის უსაფრთხოების უზრუნველყოფის ტექნიკური პოლიტიკის განხორციელების ძირითადი მიმართულებებია ინფორმაციული რესურსების დაცვა ქურდობის, დაკარგვის, გაჟონვის, განადგურების, დამახინჯების ან გაყალბებისგან არასანქცირებული წვდომისა და სპეციალური ეფექტებისგან.
ინფორმაციის უსაფრთხოების უზრუნველყოფის ტექნიკური პოლიტიკის მითითებული მიმართულებების ფარგლებში ხორციელდება:
- შემსრულებლების მიღების სანებართვო სისტემის დანერგვა ( მომხმარებლები, მომსახურე პერსონალიბ) სამუშაოებს, დოკუმენტებს და კონფიდენციალური ხასიათის ინფორმაციას;
- შემსრულებლებისა და არაუფლებამოსილი პირების წვდომის შეზღუდვა შენობებსა და შენობებში, სადაც ტარდება კონფიდენციალური სამუშაო და განთავსებულია საინფორმაციო და საკომუნიკაციო საშუალებები, რომლებზეც ( ინახება, გადაცემული) კონფიდენციალური ხასიათის ინფორმაცია, უშუალოდ ინფორმატიზაციისა და კომუნიკაციების საშუალებებს;
- მომხმარებლებისა და ტექნიკური პერსონალის წვდომის დელიმიტაცია საინფორმაციო რესურსებზე, პროგრამულ ინსტრუმენტებზე ინფორმაციის დასამუშავებლად და დასაცავად AS-ში შემავალ სხვადასხვა დონისა და დანიშნულების ქვესისტემებში;
- დოკუმენტების აღრიცხვა, საინფორმაციო მასივები, მომხმარებელთა და ტექნიკური პერსონალის ქმედებების რეგისტრაცია, მომხმარებლების, ტექნიკური პერსონალის და არაავტორიზებული პირების არაავტორიზებული წვდომისა და ქმედებების კონტროლი;
- ვირუსული პროგრამების, პროგრამული სანიშნეების ავტომატიზებულ ქვესისტემებში დანერგვის პრევენცია;
- კომპიუტერული ტექნოლოგიებისა და კომუნიკაციების საშუალებით დამუშავებული და გადაცემული ინფორმაციის კრიპტოგრაფიული დაცვა;
- მანქანის შესანახი მედიის საიმედო შენახვა, კრიპტოგრაფიული გასაღებები ( ძირითადი ინფორმაცია) და მათი მიმოქცევა, ქურდობის, ჩანაცვლებისა და განადგურების გამოკლებით;
- ტექნიკური საშუალებების საჭირო სიჭარბე და მასივების და შესანახი საშუალებების დუბლირება;
- ავტომატური ქვესისტემების სხვადასხვა ელემენტების მიერ წარმოქმნილი ყალბი გამოსხივებისა და ჩარევის დონის და ინფორმაციის შემცველობის შემცირება;
- ელექტრომომარაგების სქემების ელექტრული იზოლაცია, დამიწება და საინფორმაციო ობიექტების სხვა სქემები, რომლებიც სცილდება კონტროლირებად ზონას;
- დაკვირვების ოპტიკური და ლაზერული საშუალებების საწინააღმდეგო მოქმედება.
7.2. ინფორმაციული უსაფრთხოების რეჟიმის ფორმირება
ატომური ელექტროსადგურის უსაფრთხოების გამოვლენილი საფრთხის გათვალისწინებით, ინფორმაციული უსაფრთხოების რეჟიმი უნდა ჩამოყალიბდეს, როგორც მეთოდებისა და ზომების ერთობლიობა ატომურ ელექტროსადგურში მოძრავი ინფორმაციისა და მისი მხარდამჭერი ინფრასტრუქტურის დასაცავად შემთხვევითი ან განზრახ ზემოქმედებისგან. ბუნებრივი ან ხელოვნური ბუნება, რაც ზიანს აყენებს ინფორმაციის მფლობელებს ან მომხმარებლებს.
ინფორმაციული უსაფრთხოების რეჟიმის ფორმირებისთვის ღონისძიებების ერთობლიობა მოიცავს:
- AS-ში ინფორმაციული უსაფრთხოების ორგანიზაციულ-სამართლებრივი რეჟიმის ჩამოყალიბება ( მარეგულირებელი დოკუმენტები, პერსონალთან მუშაობა, საოფისე მუშაობა);
- ტექნიკური არხებით შეზღუდული ინფორმაციის გაჟონვისგან ორგანიზაციული და ტექნიკური ღონისძიებების განხორციელება;
- ორგანიზაციული და პროგრამული და აპარატურის ზომები არაავტორიზებული ქმედებების თავიდან ასაცილებლად ( წვდომა) AU-ს საინფორმაციო რესურსებზე;
- ღონისძიებების ერთობლიობა, რომელიც აკონტროლებს შეზღუდული გავრცელების საინფორმაციო რესურსების ფუნქციონირებას შემთხვევითი ან განზრახ ზემოქმედების შემდეგ.
8. ინფორმაციული უსაფრთხოების უზრუნველყოფის ღონისძიებები, მეთოდები და საშუალებები
8.1. ორგანიზაციული მოწყობა
ორგანიზაციული მოწყობა- ეს არის ორგანიზაციული ღონისძიებები, რომლებიც არეგულირებს AS-ის ფუნქციონირების პროცესებს, მათი რესურსების გამოყენებას, ტექნიკური პერსონალის საქმიანობას, აგრეთვე მომხმარებელთა სისტემასთან ურთიერთქმედების პროცედურას ისე, რომ ყველაზე მეტად შეაფერხოს ან გამორიცხოს უსაფრთხოების საფრთხეების განხორციელების შესაძლებლობა და მათი განხორციელების შემთხვევაში ზიანის ოდენობის შემცირება.
8.1.1. უსაფრთხოების პოლიტიკის ფორმირება
ორგანიზაციული ღონისძიებების მთავარი მიზანია ინფორმაციული უსაფრთხოების პოლიტიკის ჩამოყალიბება, რომელიც ასახავს ინფორმაციის დაცვის მიდგომებს და უზრუნველყოფს მის განხორციელებას საჭირო რესურსების გამოყოფითა და ვითარების მდგომარეობის მონიტორინგით.
პრაქტიკული თვალსაზრისით, მიზანშეწონილია ატომური ელექტროსადგურის უსაფრთხოების პოლიტიკა ორ დონედ დაიყოს. უმაღლესი დონე მოიცავს გადაწყვეტილებებს, რომლებიც გავლენას ახდენს მთლიანად ორგანიზაციის საქმიანობაზე. ასეთი გადაწყვეტილებების მაგალითები შეიძლება იყოს:
- ინფორმაციული უსაფრთხოების ყოვლისმომცველი პროგრამის ფორმირება ან გადახედვა, მის განხორციელებაზე პასუხისმგებელი პირების განსაზღვრა;
- მიზნების ჩამოყალიბება, ამოცანების დასახვა, ინფორმაციული უსაფრთხოების სფეროში საქმიანობის სფეროების განსაზღვრა;
- უსაფრთხოების პროგრამის განხორციელების შესახებ გადაწყვეტილებების მიღება, რომლებიც განიხილება მთლიანად ორგანიზაციის დონეზე;
- ნორმატიული უზრუნველყოფა ( ლეგალური) უსაფრთხოების საკითხების მონაცემთა ბაზები და ა.შ.
ქვედა დონის პოლიტიკა განსაზღვრავს მიზნების მიღწევისა და ინფორმაციული უსაფრთხოების პრობლემების გადაჭრის პროცედურებსა და წესებს და დეტალურად (არეგულირებს) ამ წესებს:
- რა არის ინფორმაციული უსაფრთხოების პოლიტიკის ფარგლები;
- რა როლები და მოვალეობები ეკისრებათ ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელებაზე პასუხისმგებელ თანამდებობის პირებს;
- ვისაც აქვს შეზღუდულ ინფორმაციაზე წვდომის უფლება;
- ვის და რა პირობებში შეუძლია ინფორმაციის წაკითხვა და შეცვლა და ა.შ.
ქვედა დონის პოლიტიკა უნდა:
- უზრუნველყოს საინფორმაციო ურთიერთობების მოწესრიგება, კონფიდენციალურ საინფორმაციო რესურსებთან დაკავშირებით თვითნებური, მონოპოლიური ან არაავტორიზებული ქმედებების გამორიცხვის შესაძლებლობა;
- საიდუმლოების გაზიარებისა და შეზღუდულ ინფორმაციაზე წვდომის შეზღუდვის კოალიციური და იერარქიული პრინციპებისა და მეთოდების განსაზღვრა;
- შეარჩიეთ პროგრამული და აპარატური კრიპტოგრაფიული დაცვა, ეწინააღმდეგება არასანქცირებულ წვდომას, ავთენტიფიკაციას, ავტორიზაციას, იდენტიფიკაციას და სხვა დამცავ მექანიზმებს, რომლებიც უზრუნველყოფენ ინფორმაციული ურთიერთობის სუბიექტების უფლებებისა და მოვალეობების განხორციელებას.
8.1.2. ტექნიკურ ობიექტებთან დაშვების რეგულირება
უსაფრთხო სამუშაო სადგურებისა და ბანკის სერვერების ფუნქციონირება უნდა განხორციელდეს საიმედო ავტომატური საკეტებით, განგაშის სისტემებით აღჭურვილ შენობაში და მუდმივი დაცვით ან მონიტორინგით, გამორიცხული არაავტორიზებული პირების შენობაში არასანქცირებული შესვლის შესაძლებლობა და დაცული რესურსების ფიზიკური უსაფრთხოების უზრუნველყოფა. შენობაში ( AWS, დოკუმენტები, წვდომის დეტალები და ა.შ.). ასეთი სამუშაო სადგურების ტექნიკური საშუალებების განთავსება და მონტაჟი უნდა გამორიცხავდეს შეყვანის ვიზუალური ნახვის შესაძლებლობას ( მიღებული) ინფორმაცია იმ პირების მიერ, რომლებიც არ არიან დაკავშირებული მასთან. შენობების დასუფთავება მათში დამონტაჟებული აღჭურვილობით უნდა განხორციელდეს იმ პასუხისმგებელი პირის თანდასწრებით, ვისთვისაც არის დანიშნული ეს ტექნიკური საშუალებები, ან დანაყოფის მორიგე, იმ ზომების დაცვით, რომლებიც გამორიცხავს არაუფლებამოსილი პირების მიერ დაცულ რესურსებზე წვდომას.
შეზღუდული ინფორმაციის დამუშავების დროს შენობაში უნდა იყოს მხოლოდ ამ ინფორმაციასთან მუშაობის უფლებამოსილი პერსონალი.
სამუშაო დღის ბოლოს, დაყენებული დაცული სამუშაო სადგურების მქონე შენობები უნდა იყოს დაცული.
ოფიციალური დოკუმენტებისა და მანქანების მედიის დაცული ინფორმაციით შესანახად, თანამშრომლებს ეძლევათ ლითონის კარადები, ასევე დოკუმენტების განადგურების საშუალებები.
ტექნიკური საშუალებები, რომლებიც გამოიყენება კონფიდენციალური ინფორმაციის დასამუშავებლად ან შესანახად, უნდა იყოს დალუქული.
8.1.3. საინფორმაციო რესურსებით სარგებლობაში დასაქმებულთა დაშვების რეგულირება
ავტორიზაციის სისტემის ფარგლებში დგინდება: ვინ, ვის, რა ინფორმაციის და რა ტიპის წვდომისათვის შეუძლია მიაწოდოს და რა პირობებში; წვდომის კონტროლის სისტემა, რომელიც მოიცავს ყველა AS მომხმარებლისთვის ინფორმაციის და პროგრამული რესურსების განსაზღვრას, რომლებიც ხელმისაწვდომია კონკრეტული ოპერაციებისთვის ( წაკითხვა, დაწერა, შეცვლა, წაშლა, შესრულება) მითითებული პროგრამული და აპარატურის წვდომის ხელსაწყოების გამოყენებით.
თანამშრომლების მიღება AU-სთან სამუშაოდ და მათ რესურსებზე წვდომა მკაცრად უნდა იყოს რეგულირებული. ნებისმიერი ცვლილება AU ქვესისტემების მომხმარებელთა შემადგენლობასა და უფლებამოსილებაში უნდა განხორციელდეს დადგენილი წესით.
AS-ში ინფორმაციის ძირითადი მომხმარებლები არიან ორგანიზაციის სტრუქტურული ქვედანაყოფების თანამშრომლები. თითოეული მომხმარებლის უფლებამოსილების დონე განისაზღვრება ინდივიდუალურად, შემდეგი მოთხოვნების დაცვით:
- ღია და კონფიდენციალური ინფორმაცია განთავსებულია სხვადასხვა სერვერზე, თუ ეს შესაძლებელია;
- თითოეული თანამშრომელი სარგებლობს მხოლოდ მისთვის მინიჭებული უფლებებით იმ ინფორმაციასთან დაკავშირებით, რომლითაც მას სჭირდება მუშაობა სამსახურებრივი მოვალეობების შესაბამისად;
- უფროსს უფლება აქვს ნახოს თავისი ქვეშევრდომების ინფორმაცია;
- ყველაზე კრიტიკული ტექნოლოგიური ოპერაციები უნდა განხორციელდეს წესის მიხედვით "ორი ხელი"- შეყვანილი ინფორმაციის სისწორეს ადასტურებს სხვა თანამდებობის პირი, რომელსაც არ აქვს ინფორმაციის შეყვანის უფლება.
ყველა თანამშრომელი, რომელიც დაშვებულია ატომური ელექტროსადგურის და ატომური ელექტროსადგურის ტექნიკური პერსონალის სამუშაოდ, პირადად უნდა იყოს პასუხისმგებელი ინფორმაციის ავტომატური დამუშავების დადგენილი პროცედურის, მათ ხელთ არსებული დაცული სისტემის რესურსების შენახვის, გამოყენებისა და გადაცემის წესების დარღვევისთვის. თითოეულმა თანამშრომელმა, სამსახურში მიღებისას, ხელი უნდა მოაწეროს ვალდებულებას კონფიდენციალური ინფორმაციის შენარჩუნების მოთხოვნების და მათ დარღვევაზე პასუხისმგებლობის, აგრეთვე დაცულ ინფორმაციასთან მუშაობის წესების დაცვით AS-ში შესრულების შესახებ.
AU-ს ქვესისტემებში დაცული ინფორმაციის დამუშავება უნდა განხორციელდეს დამტკიცებული ტექნოლოგიური ინსტრუქციების შესაბამისად ( ბრძანებებს) ამ ქვესისტემებისთვის.
სამუშაო სადგურებით დაცული მომხმარებლებისთვის უნდა შემუშავდეს საჭირო ტექნოლოგიური ინსტრუქციები, ინფორმაციის უსაფრთხოების უზრუნველყოფის მოთხოვნების ჩათვლით.
8.1.4. მონაცემთა ბაზების შენახვისა და საინფორმაციო რესურსების მოდიფიცირების პროცესების რეგულირება
AU-ში მონაცემთა ბაზების შენარჩუნების ყველა ოპერაცია და ამ მონაცემთა ბაზებთან სამუშაოდ თანამშრომლების დაშვება მკაცრად უნდა იყოს რეგულირებული. ნებისმიერი ცვლილება AS-ის მონაცემთა ბაზის მომხმარებელთა შემადგენლობასა და უფლებამოსილებაში უნდა განხორციელდეს დადგენილი წესით.
სახელების გავრცელება, პაროლების გენერირება, მონაცემთა ბაზებზე წვდომის დელიმიტაციის წესების დაცვა ევალება ინფორმაციული ტექნოლოგიების დეპარტამენტის თანამშრომლებს. ამ შემთხვევაში, შეიძლება გამოყენებულ იქნას როგორც რეგულარული, ასევე დამატებითი საშუალებები DBMS და ოპერაციული სისტემების დასაცავად.
8.1.5. ტექნიკური და პროგრამული უზრუნველყოფის რესურსების შენარჩუნების პროცესების რეგულირება და მოდიფიკაცია
სისტემის რესურსები დაცულია ( ამოცანები, პროგრამები, სამუშაო სადგური) ექვემდებარება მკაცრ აღრიცხვას ( შესაბამისი ფორმების ან სპეციალიზებული მონაცემთა ბაზების გამოყენებაზე დაყრდნობით).
ავტომატური სამუშაო სადგურების აპარატურისა და პროგრამული უზრუნველყოფის კონფიგურაცია, სადაც დაცული ინფორმაცია მუშავდება ან საიდანაც შესაძლებელია დაცულ რესურსებზე წვდომა, უნდა შეესაბამებოდეს ამ სამუშაო სადგურის მომხმარებლებს დაკისრებულ ფუნქციურ მოვალეობებს. ყველა გამოუყენებელი (დამატებითი) ინფორმაციის შეყვანა-გამომავალი მოწყობილობა ( COM, USB, LPT პორტები, ფლოპი დისკის დისკები, CD და სხვა შესანახი მედია) ასეთ სამუშაო სადგურებზე უნდა იყოს გამორთული (წაშლილი), ასევე უნდა წაიშალოს არასაჭირო პროგრამული უზრუნველყოფა და მონაცემები სამუშაო სადგურის დისკებიდან.
მოვლის, მოვლისა და დაცვის ორგანიზების გასამარტივებლად სამუშაო სადგურები აღჭურვილი უნდა იყოს პროგრამული უზრუნველყოფით და კონფიგურირებული იყოს ერთიანი გზით ( დადგენილი წესების შესაბამისად).
ახალი სამუშაო სადგურების ექსპლუატაციაში გაშვება და ყველა ცვლილება ტექნიკისა და პროგრამული უზრუნველყოფის, არსებული სამუშაო სადგურების კონფიგურაციაში ორგანიზაციის AS-ში უნდა განხორციელდეს მხოლოდ დადგენილი წესით.
ყველა პროგრამული უზრუნველყოფა ( შემუშავებული ორგანიზაციის სპეციალისტების მიერ, მიღებული ან შეძენილი მწარმოებლებისგან) დადგენილი წესით უნდა შემოწმდეს და გადაეცეს ორგანიზაციის პროგრამულ დეპოზიტარს. AS ქვესისტემებში უნდა იყოს დაყენებული და გამოყენებული მხოლოდ დეპოზიტარიდან დადგენილი წესით მიღებული პროგრამული ინსტრუმენტები. AS-ში პროგრამული უზრუნველყოფის გამოყენება, რომელიც არ შედის პროგრამის დეპოზიტარში, უნდა აიკრძალოს.
პროგრამული უზრუნველყოფის შემუშავება, შემუშავებული და შეძენილი პროგრამული უზრუნველყოფის ტესტირება, პროგრამული უზრუნველყოფის ექსპლუატაციაში გადაცემა უნდა განხორციელდეს დადგენილი წესით.
8.1.6. მომხმარებლის ტრენინგი და განათლება
AS-ზე წვდომის მინიჭებამდე, მისი მომხმარებლები, ისევე როგორც მენეჯმენტი და ტექნიკური პერსონალი, უნდა იცნობდნენ კონფიდენციალური ინფორმაციის ჩამონათვალს და უფლებამოსილების დონეს, აგრეთვე ორგანიზაციულ, ადმინისტრაციულ, მარეგულირებელ, ტექნიკურ და ოპერაციულ დოკუმენტაციას, რომელიც განსაზღვრავს ასეთი ინფორმაციის დამუშავების მოთხოვნები და პროცედურა.
ინფორმაციის დაცვა ყველა ზემოაღნიშნულ სფეროში შესაძლებელია მხოლოდ მომხმარებელთა შორის გარკვეული დისციპლინის ჩამოყალიბების შემდეგ, ე.ი. ნორმები, რომლებიც სავალდებულოა ყველა, ვინც მუშაობს AS-ში. ასეთი ნორმები მოიცავს ნებისმიერი განზრახ ან უნებლიე მოქმედების აკრძალვას, რომელიც არღვევს AS-ის ნორმალურ ფუნქციონირებას, იწვევს დამატებით რესურსების ხარჯებს, არღვევს შენახული და დამუშავებული ინფორმაციის მთლიანობას და არღვევს ლეგიტიმური მომხმარებლების ინტერესებს.
ყველა თანამშრომელი, რომელიც იყენებს AU-ს კონკრეტულ ქვესისტემებს თავის საქმიანობაში, უნდა იცნობდეს ორგანიზაციულ და ადმინისტრაციულ დოკუმენტებს AU-ს დასაცავად იმ ნაწილში, რომელიც მათ ეხება, მათ უნდა იცოდნენ და მკაცრად დაიცვან ტექნოლოგიური ინსტრუქციები და ზოგადი ვალდებულებები უსაფრთხოების უზრუნველსაყოფად. ინფორმაციის. ამ დოკუმენტების მოთხოვნების მიტანა დაცული ინფორმაციის დამუშავებაზე დაშვებულ პირთათვის უნდა განხორციელდეს დეპარტამენტის უფროსების მიერ ხელმოწერის საწინააღმდეგოდ.
8.1.7. პასუხისმგებლობა ინფორმაციული უსაფრთხოების მოთხოვნების დარღვევაზე
ორგანიზაციის თანამშრომლების მიერ ინფორმაციული უსაფრთხოების მოთხოვნების ყოველი სერიოზული დარღვევისთვის უნდა ჩატარდეს შიდა გამოძიება. მოძალადეებზე უნდა იქნას გამოყენებული ზემოქმედების შესაბამისი ზომები. პერსონალის პასუხისმგებლობის ხარისხი ჩადენილი ქმედებებისთვის ინფორმაციის უსაფრთხო ავტომატური დამუშავების უზრუნველსაყოფად დადგენილი წესების დარღვევით უნდა განისაზღვროს მიყენებული ზიანით, მავნე განზრახვის არსებობით და სხვა ფაქტორებით.
მომხმარებლების პირადი პასუხისმგებლობის პრინციპის განსახორციელებლად მათ ქმედებებზე, აუცილებელია:
- მომხმარებლების ინდივიდუალური იდენტიფიკაცია და მათ მიერ ინიცირებული პროცესები, ე.ი. მათთვის იდენტიფიკატორის დადგენა, რომლის საფუძველზეც განხორციელდება დაშვების დიფერენციაცია დაშვების გონივრულობის პრინციპის შესაბამისად;
- მომხმარებლის ავტორიზაცია ( ავთენტიფიკაცია) პაროლების, გასაღებების სხვადასხვა ფიზიკურ საფუძველზე და ა.შ.
- რეგისტრაცია ( ჭრის) საინფორმაციო სისტემის რესურსებზე წვდომის კონტროლის მექანიზმების ფუნქციონირება, თარიღისა და დროის მითითებით, მომთხოვნი და მოთხოვნილი რესურსების იდენტიფიკატორები, ურთიერთქმედების ტიპი და შედეგი;
- რეაქცია არაავტორიზებული წვდომის მცდელობებზე ( განგაში, დაბლოკვა და ა.შ.).
8.2. დაცვის ტექნიკური საშუალებები
ტექნიკური ( აპარატურა და პროგრამული უზრუნველყოფა) დაცვის საშუალებები - სხვადასხვა ელექტრონული მოწყობილობები და სპეციალური პროგრამები, რომლებიც შედიან AU-ს შემადგენლობაში და ასრულებენ (დამოუკიდებლად ან სხვა საშუალებებთან ერთად) დაცვის ფუნქციებს ( მომხმარებლების იდენტიფიკაცია და ავთენტიფიკაცია, რესურსებზე წვდომის კონტროლი, ღონისძიების რეგისტრაცია, ინფორმაციის კრიპტოგრაფიული დაცვა და ა.შ.).
დაცვის ყველა სფეროში AS-ში ინფორმაციის უსაფრთხოების უზრუნველსაყოფად ყველა მოთხოვნისა და პრინციპის გათვალისწინებით, დაცვის სისტემაში ჩართული უნდა იყოს შემდეგი საშუალებები:
- მომხმარებლებისა და AS ელემენტების ავთენტიფიკაციის საშუალებები ( ტერმინალები, ამოცანები, მონაცემთა ბაზის ელემენტები და ა.შ.) ინფორმაციისა და დამუშავებული მონაცემების კონფიდენციალურობის ხარისხის შესაბამისი;
- მონაცემებზე წვდომის დიფერენცირების საშუალებები;
- მონაცემთა გადაცემის ხაზებში და მონაცემთა ბაზებში ინფორმაციის კრიპტოგრაფიული დაცვის საშუალებები;
- აპელაციების რეგისტრაციისა და დაცული ინფორმაციის გამოყენების მონიტორინგის საშუალებები;
- გამოვლენილ UA-ზე ან UA-ს მცდელობებზე რეაგირების საშუალებები;
- ყალბი გამოსხივების და პიკაპების დონისა და ინფორმაციის შემცველობის შემცირების საშუალებები;
- დაკვირვების ოპტიკური საშუალებებისგან დაცვის საშუალებები;
- ვირუსებისა და მავნე პროგრამებისგან დაცვის საშუალებები;
- როგორც ატომური ელექტროსადგურის ელემენტების, ასევე იმ შენობების სტრუქტურული ელემენტების ელექტრული გათიშვის საშუალება, რომელშიც განლაგებულია აღჭურვილობა.
არასანქცირებული წვდომისგან დაცვის ტექნიკურ საშუალებებს ენიჭება შემდეგი ძირითადი ამოცანები:
- მომხმარებლების იდენტიფიკაცია და ავთენტიფიკაცია სახელების და/ან სპეციალური აპარატურის გამოყენებით ( შეეხეთ მეხსიერებას, სმარტ ბარათს და ა.შ.);
- სამუშაო სადგურების ფიზიკურ მოწყობილობებზე მომხმარებლის წვდომის რეგულირება ( დისკები, I/O პორტები);
- შერჩევითი (დისკრეციული) წვდომის კონტროლი ლოგიკურ დისკებზე, დირექტორიებსა და ფაილებზე;
- სამუშაო სადგურზე და ფაილ სერვერზე დაცულ მონაცემებზე წვდომის ავტორიტეტული (სავალდებულო) დიფერენციაცია;
- დახურულის შექმნა პროგრამული გარემონებადართულია პროგრამების გაშვება როგორც ლოკალურ, ასევე ქსელურ დისკებზე;
- კომპიუტერული ვირუსებისა და მავნე პროგრამების შეღწევისგან დაცვა;
- დაცვის სისტემის მოდულების, დისკის სისტემის არეების და ფაილების თვითნებური სიების მთლიანობის კონტროლი ავტომატურ რეჟიმში და ადმინისტრატორის ბრძანებებით;
- მომხმარებლის ქმედებების რეგისტრაცია დაცულ ჟურნალში, რეგისტრაციის რამდენიმე დონის არსებობა;
- ფაილ სერვერზე დაცვის სისტემის მონაცემების დაცვა ყველა მომხმარებლის, მათ შორის ქსელის ადმინისტრატორის წვდომისგან;
- ქსელის სამუშაო სადგურებზე წვდომის კონტროლის პარამეტრების ცენტრალიზებული მართვა;
- ყველა UA მოვლენის რეგისტრაცია სამუშაო სადგურებზე;
- ოპერატიული კონტროლი ქსელის მომხმარებლების მუშაობაზე, სამუშაო სადგურების მუშაობის რეჟიმების შეცვლა და დაბლოკვის შესაძლებლობა ( თუ საჭიროა) ნებისმიერი ქსელის სადგურის.
ტექნიკური დაცვის საშუალებების წარმატებით გამოყენება გულისხმობს, რომ ქვემოთ ჩამოთვლილი მოთხოვნების შესრულება უზრუნველყოფილია ორგანიზაციული ღონისძიებებით და გამოყენებული დაცვის ფიზიკური საშუალებებით:
- უზრუნველყოფილია AU-ს ყველა კომპონენტის ფიზიკური მთლიანობა;
- ყოველი მუშაკი სისტემის მომხმარებელი) აქვს სისტემის უნიკალური სახელი და მინიმალური უფლებამოსილება, რომელიც აუცილებელია სისტემის რესურსებზე წვდომისათვის მისი ფუნქციური მოვალეობების შესასრულებლად;
- ინსტრუმენტული და ტექნოლოგიური პროგრამების გამოყენება სამუშაო სადგურებზე ( სატესტო კომუნალური პროგრამები, გამართვები და ა.შ.) რომელიც საშუალებას იძლევა გატეხვის ან უსაფრთხოების ზომების გვერდის ავლით მცდელობა შეზღუდული და მკაცრად რეგულირდება;
- დაცულ სისტემაში არ არიან პროგრამირების მომხმარებლები, ხოლო პროგრამების შემუშავება და გამართვა ხდება უსაფრთხო სისტემის გარეთ;
- ყველა ცვლილება ტექნიკისა და პროგრამული უზრუნველყოფის კონფიგურაციაში ხდება მკაცრად დადგენილი წესით;
- ქსელის აპარატურა ( ჰაბები, კონცენტრატორები, მარშრუტიზატორები და ა.შ.) მდებარეობს უცხო ადამიანებისთვის მიუწვდომელ ადგილებში ( სპეციალური ოთახები, კარადები და ა.შ.);
- ინფორმაციული უსაფრთხოების სამსახური უზრუნველყოფს ინფორმაციის დაცვის საშუალებების მუშაობის უწყვეტ მართვას და ადმინისტრაციულ მხარდაჭერას.
8.2.1. მომხმარებელთა იდენტიფიკაციისა და ავთენტიფიკაციის საშუალებები
არაავტორიზებული პირების AS-ზე წვდომის თავიდან ასაცილებლად, საჭიროა უზრუნველყოს, რომ სისტემა აღიარებს თითოეულ ლეგიტიმურ მომხმარებელს (ან მომხმარებელთა შეზღუდულ ჯგუფს). ამისათვის სისტემაში ( დაცულ ადგილას) უნდა შეინახოს თითოეული მომხმარებლის რამდენიმე ატრიბუტი, რომლითაც შეიძლება ამ მომხმარებლის იდენტიფიცირება. მომავალში, სისტემაში შესვლისას და საჭიროების შემთხვევაში, სისტემაში გარკვეული მოქმედებების შესრულებისას მომხმარებელმა უნდა იდენტიფიცირება, ე.ი. მიუთითეთ სისტემაში მისთვის მინიჭებული იდენტიფიკატორი. გარდა ამისა, იდენტიფიკაციისთვის შეიძლება გამოყენებულ იქნას სხვადასხვა ტიპის მოწყობილობები: მაგნიტური ბარათები, გასაღების ჩანართები, ფლოპი დისკები და ა.შ.
ავტორიზაცია ( ავთენტიფიკაცია) მომხმარებლები უნდა განხორციელდეს პაროლების (საიდუმლო სიტყვების) ან ავთენტიფიკაციის გადამოწმების სპეციალური საშუალებების გამოყენებით. უნიკალური მახასიათებლებიმომხმარებლების (პარამეტრები).
8.2.2. ავტომატური სისტემის რესურსებზე წვდომის შეზღუდვის საშუალებები
მომხმარებლის ამოცნობის შემდეგ სისტემამ უნდა მისცეს მომხმარებლის ავტორიზაცია, ანუ განსაზღვროს, რა უფლებები ენიჭება მომხმარებელს, ე.ი. რა მონაცემები და როგორ შეიძლება გამოიყენოს იგი, რა პროგრამების შესრულება, როდის, რამდენ ხანს და რა ტერმინალებიდან შეუძლია მუშაობა, რა სისტემური რესურსების გამოყენება შეუძლია და ა.შ. მომხმარებლის ავტორიზაცია უნდა განხორციელდეს შემდეგი მექანიზმების გამოყენებით დაშვების კონტროლის განსახორციელებლად:
- შერჩევითი წვდომის კონტროლის მექანიზმები ატრიბუტების სქემების, ნებართვების სიების და ა.შ. გამოყენების საფუძველზე;
- რესურსების სენსიტიურობის ეტიკეტებისა და მომხმარებლის წვდომის დონეების გამოყენებაზე დაფუძნებული დაშვების ავტორიტეტული კონტროლის მექანიზმები;
- მექანიზმები სანდო პროგრამული უზრუნველყოფის დახურული გარემოს უზრუნველსაყოფად ( თითოეული მომხმარებლისთვის ინდივიდუალური პროგრამების სიები, რომლებიც ნებადართულია გასაშვებად) მხარდაჭერილია მომხმარებელთა იდენტიფიკაციისა და ავთენტიფიკაციის მექანიზმებით, როდესაც ისინი სისტემაში შედიან.
დაცვის კონკრეტული ტექნიკური საშუალებების პასუხისმგებლობის სფეროები და ამოცანები დგინდება ამ საშუალებების დოკუმენტაციაში აღწერილი მათი შესაძლებლობებისა და შესრულების მახასიათებლების საფუძველზე.
დაშვების კონტროლის ტექნიკური საშუალებები უნდა იყოს ერთიანი წვდომის კონტროლის სისტემის განუყოფელი ნაწილი:
- კონტროლირებად ტერიტორიაზე;
- ცალკეულ ოთახებში;
- AS ელემენტებს და ინფორმაციული უსაფრთხოების სისტემის ელემენტებს ( ფიზიკური წვდომა);
- AS რესურსებზე ( პროგრამულ-მათემატიკური წვდომა);
- ინფორმაციის საცავებში ( შენახვის მედია, ტომები, ფაილები, მონაცემთა ნაკრები, არქივები, ცნობები, ჩანაწერები და ა.შ.);
- აქტიურ რესურსებზე ( განაცხადის პროგრამები, ამოცანები, მოთხოვნის ფორმები და ა.შ.);
- ოპერაციულ სისტემაზე, სისტემურ პროგრამებზე და უსაფრთხოების პროგრამებზე და ა.შ.
8.2.3. პროგრამული უზრუნველყოფისა და საინფორმაციო რესურსების მთლიანობის უზრუნველყოფისა და მონიტორინგის საშუალებები
უზრუნველყოფილი უნდა იყოს პროგრამების, დამუშავებული ინფორმაციისა და დაცვის საშუალებების მთლიანობის კონტროლი, რათა უზრუნველყოფილი იყოს მოწოდებული დამუშავების ტექნოლოგიით განსაზღვრული პროგრამული უზრუნველყოფის გარემოს შეუცვლელობა და დაცვა ინფორმაციის არასანქცირებული შესწორებისგან:
- საკონტროლო ჯამების გამოთვლის საშუალებები;
- ნიშნავს ელექტრონული ხელმოწერა;
- კრიტიკული რესურსების შედარების საშუალებები მათ საცნობარო ასლებთან ( და აღდგენა მთლიანობის დარღვევის შემთხვევაში);
- წვდომის კონტროლის საშუალებები ( უარი თქვას წვდომაზე შეცვლის ან წაშლის უფლებებით).
ინფორმაციისა და პროგრამების უნებართვო განადგურებისა და დამახინჯებისგან დასაცავად აუცილებელია:
- სისტემის ცხრილებისა და მონაცემების დუბლირება;
- დისკებზე მონაცემების დუპლექსირება და ასახვა;
- ტრანზაქციის თვალყურის დევნება;
- პერიოდული მთლიანობის შემოწმება ოპერაციული სისტემადა მომხმარებლის პროგრამები, ასევე მომხმარებლის ფაილები;
- ანტივირუსული დაცვა და კონტროლი;
- მონაცემთა სარეზერვო ასლის შექმნა წინასწარ განსაზღვრული სქემის მიხედვით.
8.2.4. უსაფრთხოების ღონისძიებების კონტროლი
კონტროლმა უნდა უზრუნველყოს ყველა მოვლენის აღმოჩენა და ჩაწერა ( მომხმარებლის ქმედებები, UA მცდელობები და ა.შ.), რამაც შესაძლოა გამოიწვიოს უსაფრთხოების პოლიტიკის დარღვევა და გამოიწვიოს კრიზისული სიტუაციები. კონტროლი უნდა უზრუნველყოფდეს უნარს:
- ძირითადი ქსელის კვანძების და ქსელის ფორმირების საკომუნიკაციო აღჭურვილობის მუდმივი მონიტორინგი, ასევე ქსელის აქტივობა ქსელის ძირითად სეგმენტებში;
- მომხმარებლების მიერ კორპორატიული და საჯარო ქსელის სერვისების გამოყენებაზე კონტროლი;
- უსაფრთხოების ღონისძიებების ჟურნალების მოვლა და ანალიზი;
- ინფორმაციული უსაფრთხოების გარე და შიდა საფრთხეების დროული გამოვლენა.
უსაფრთხოების მოვლენების აღრიცხვისას, შემდეგი ინფორმაცია უნდა ჩაიწეროს სისტემის ჟურნალში:
- ღონისძიების თარიღი და დრო;
- საგნის იდენტიფიკატორი ( მომხმარებელი, პროგრამა) რეგისტრირებული მოქმედების შესრულება;
- მოქმედება ( თუ დაშვების მოთხოვნა დარეგისტრირებულია, მაშინ აღინიშნება დაშვების ობიექტი და ტიპი).
კონტროლმა უნდა უზრუნველყოს შემდეგი მოვლენების გამოვლენა და ჩაწერა:
- მომხმარებელი;
- მომხმარებლის შესვლა ქსელში;
- წარუმატებელი შესვლა ან ქსელის მცდელობა ( პაროლის არასწორი შეყვანა);
- ფაილ სერვერთან დაკავშირება;
- პროგრამის გაშვება;
- პროგრამის დასრულება;
- პროგრამის გაშვების მცდელობა, რომელიც არ არის ხელმისაწვდომი გასაშვებად;
- მიუწვდომელ დირექტორიაზე წვდომის მცდელობა;
- მომხმარებლისთვის მიუწვდომელი დისკიდან ინფორმაციის წაკითხვის/ჩაწერის მცდელობა;
- პროგრამის გაშვების მცდელობა მომხმარებლისთვის მიუწვდომელი დისკიდან;
- დაცვის სისტემის პროგრამებისა და მონაცემების მთლიანობის დარღვევა და ა.შ.
მხარდაჭერილი უნდა იყოს UA-ს აღმოჩენილ ფაქტებზე რეაგირების შემდეგი ძირითადი გზები ( შესაძლოა უსაფრთხოების ადმინისტრატორის მონაწილეობით):
- UA-ს შესახებ ინფორმაციის მფლობელის შეტყობინება მის მონაცემებზე;
- პროგრამის წაშლა ( დავალებები) შემდგომი აღსრულებიდან;
- მონაცემთა ბაზის ადმინისტრატორისა და უსაფრთხოების ადმინისტრატორის შეტყობინება;
- ტერმინალის გამორთვა ( სამუშაო სადგური), საიდანაც განხორციელდა UA-ს ინფორმაციაზე წვდომის მცდელობა ან ქსელში უკანონო ქმედებები;
- დამრღვევის გამორიცხვა რეგისტრირებული მომხმარებლების სიიდან;
- განგაშის მიცემა და ა.შ.
8.2.5. ინფორმაციის დაცვის კრიპტოგრაფიული საშუალებები
AU-ს ინფორმაციული უსაფრთხოების სისტემის ერთ-ერთი ყველაზე მნიშვნელოვანი ელემენტი უნდა იყოს კრიპტოგრაფიული მეთოდებისა და საშუალებების გამოყენება ინფორმაციის არასანქცირებული წვდომისგან დაცვის საკომუნიკაციო არხებით გადაცემისა და კომპიუტერულ მედიაზე შენახვის დროს.
AS-ში კრიპტოგრაფიული ინფორმაციის დაცვის ყველა საშუალება უნდა ეფუძნებოდეს ძირითად კრიპტოგრაფიულ ბირთვს. კრიპტოგრაფიული მედიით სარგებლობის უფლებისთვის ორგანიზაციას უნდა ჰქონდეს კანონით დადგენილი ლიცენზიები.
AS-ში გამოყენებული კრიპტოგრაფიული დაცვის საშუალებების საკვანძო სისტემამ უნდა უზრუნველყოს კრიპტოგრაფიული გადარჩენა და მრავალდონიანი დაცვა ძირითადი ინფორმაციის კომპრომისისაგან, მომხმარებლების გამიჯვნა დაცვის დონეებით და მათი ურთიერთქმედების ზონებით მათსა და სხვა დონის მომხმარებლებს შორის.
ინფორმაციის კონფიდენციალურობა და იმიტაციური დაცვა საკომუნიკაციო არხებით მისი გადაცემისას უზრუნველყოფილი უნდა იყოს სისტემაში აბონენტისა და არხის დაშიფვრის გამოყენებით. ინფორმაციის აბონენტისა და არხის დაშიფვრის ერთობლიობამ უნდა უზრუნველყოს მისი ბოლოდან ბოლომდე დაცვა გადასვლის მთელ გზაზე, დაიცვას ინფორმაცია მისი არასწორი გადამისამართების შემთხვევაში გადართვის ცენტრების აპარატურის და პროგრამული უზრუნველყოფის გაუმართაობის და გაუმართაობის გამო.
AS, რომელიც არის სისტემა განაწილებული საინფორმაციო რესურსებით, ასევე უნდა გამოიყენოს ელექტრონული ხელმოწერის გენერირებისა და გადამოწმების საშუალებები, რომლებიც უზრუნველყოფენ შეტყობინებების ავთენტურობის მთლიანობასა და იურიდიულ მტკიცებულებას, ასევე მომხმარებლების, აბონენტთა სადგურების ავთენტიფიკაციას და დადასტურებას. შეტყობინებების გაგზავნის დრო. ამ შემთხვევაში გამოყენებული უნდა იყოს ელექტრონული ხელმოწერის სტანდარტიზებული ალგორითმები.
8.3. ინფორმაციის უსაფრთხოების მენეჯმენტი
AS-ში ინფორმაციული უსაფრთხოების სისტემის მართვა არის მიზანმიმართული ზემოქმედება უსაფრთხოების სისტემის კომპონენტებზე ( ორგანიზაციული, ტექნიკური, პროგრამული და კრიპტოგრაფიული) უსაფრთხოების ძირითადი საფრთხეების განხორციელების კონტექსტში ატომური ელექტროსადგურში მოძრავი ინფორმაციის უსაფრთხოების საჭირო ინდიკატორებისა და სტანდარტების მისაღწევად.
ინფორმაციული უსაფრთხოების სისტემის მართვის ორგანიზების მთავარი მიზანია ინფორმაციის დაცვის სანდოობის გაზრდა მისი დამუშავების, შენახვისა და გადაცემის პროცესში.
ინფორმაციული უსაფრთხოების სისტემის მენეჯმენტს ახორციელებს სპეციალიზებული კონტროლის ქვესისტემა, რომელიც წარმოადგენს კონტროლის, ტექნიკური, პროგრამული და კრიპტოგრაფიული ხელსაწყოების, აგრეთვე ორგანიზაციული ზომების ერთობლიობას და ურთიერთქმედებას სხვადასხვა დონის საკონტროლო პუნქტებთან.
საკონტროლო ქვესისტემის ფუნქციებია: საინფორმაციო, საკონტროლო და დამხმარე.
საინფორმაციო ფუნქცია მოიცავს დაცვის სისტემის მდგომარეობის მუდმივ მონიტორინგს, უსაფრთხოების ინდიკატორების შესაბამისობის შემოწმებას მისაღებ მნიშვნელობებთან და უსაფრთხოების ოპერატორების დაუყოვნებლივ ინფორმირებას ატომურ ელექტროსადგურში წარმოქმნილი სიტუაციების შესახებ, რამაც შეიძლება გამოიწვიოს ინფორმაციული უსაფრთხოების დარღვევა. დაცვის სისტემის მდგომარეობის მონიტორინგისთვის არსებობს ორი მოთხოვნა: სისრულე და საიმედოობა. სისრულე ახასიათებს დაცვის ყველა საშუალების დაფარვის ხარისხს და მათი ფუნქციონირების პარამეტრებს. კონტროლის საიმედოობა ახასიათებს კონტროლირებადი პარამეტრების მნიშვნელობების ადეკვატურობის ხარისხს მათ ნამდვილ მნიშვნელობასთან. საკონტროლო მონაცემების დამუშავების შედეგად წარმოიქმნება ინფორმაცია დაცვის სისტემის მდგომარეობის შესახებ, რომელიც განზოგადდება და გადაეცემა უფრო მაღალ საკონტროლო პუნქტებს.
საკონტროლო ფუნქციაა ატომური ელექტროსადგურის ტექნოლოგიური ოპერაციების განხორციელების გეგმების ფორმირება, ინფორმაციული უსაფრთხოების მოთხოვნების გათვალისწინებით არსებულ პირობებში. ამ მომენტშიდროში, ასევე ინფორმაციის მოწყვლადობის სიტუაციის ადგილმდებარეობის დადგენა და მისი გაჟონვის თავიდან აცილება ატომური ელექტროსადგურის იმ მონაკვეთების სწრაფი დაბლოკვის გამო, სადაც წარმოიქმნება ინფორმაციული უსაფრთხოების საფრთხეები. მენეჯმენტის ფუნქციები მოიცავს საბუღალტრო და საინფორმაციო საშუალებების, პაროლების და გასაღებების აღრიცხვას, შენახვას და გაცემას. ამავდროულად, პაროლების, გასაღებების გენერირება, წვდომის კონტროლის ხელსაწყოების შენარჩუნება, AS პროგრამულ გარემოში შემავალი ახალი პროგრამული უზრუნველყოფის მიღება, პროგრამული გარემოს სტანდარტთან შესაბამისობის კონტროლი, ასევე ტექნოლოგიური პროგრესის კონტროლი. კონფიდენციალური ინფორმაციის დამუშავების პროცესი ევალება ინფორმაციული ტექნოლოგიების დეპარტამენტისა და ეკონომიკური უსაფრთხოების დეპარტამენტის თანამშრომლებს.
კონტროლის ქვესისტემის დამხმარე ფუნქციები მოიცავს AS-ში შესრულებული ყველა ოპერაციის აღრიცხვას დაცული ინფორმაციით, საანგარიშგებო დოკუმენტების ფორმირებას და სტატისტიკური მონაცემების შეგროვებას ინფორმაციის გაჟონვის პოტენციური არხების ანალიზისა და იდენტიფიცირების მიზნით.
8.4. დაცვის სისტემის ეფექტურობის მონიტორინგი
ინფორმაციული უსაფრთხოების სისტემის ეფექტურობის მონიტორინგი ხორციელდება მასზე არასანქცირებული წვდომის გამო ინფორმაციის გაჟონვის დროული გამოვლენისა და თავიდან აცილების მიზნით, აგრეთვე შესაძლო სპეციალური ეფექტების თავიდან ასაცილებლად, რომლებიც მიმართულია ინფორმაციის განადგურების, ინფორმატიზაციის ინსტრუმენტების განადგურების მიზნით.
ინფორმაციის დაცვის ღონისძიებების ეფექტურობის შეფასება ხორციელდება დადგენილ მოთხოვნებთან შესაბამისობის ორგანიზაციული, ტექნიკური და პროგრამული კონტროლის გამოყენებით.
კონტროლი შეიძლება განხორციელდეს როგორც ინფორმაციული უსაფრთხოების სისტემის სტანდარტული საშუალებებით, ასევე სპეციალური კონტროლისა და ტექნოლოგიური მონიტორინგის საშუალებით.
8.5. პერსონალური მონაცემების ინფორმაციული უსაფრთხოების უზრუნველყოფის მახასიათებლები
პერსონალური მონაცემების კლასიფიკაცია ხორციელდება პერსონალური მონაცემების სუბიექტისთვის პერსონალური მონაცემების უსაფრთხოების თვისებების დაკარგვის შედეგების სიმძიმის შესაბამისად.
- პერსონალური მონაცემების შესახებ ” პერსონალური მონაცემების სპეციალურ კატეგორიებზე;
- პერსონალური მონაცემები, რომლებიც კლასიფიცირებულია ფედერალური კანონის შესაბამისად. პერსონალური მონაცემების შესახებ ” ბიომეტრიულ პერსონალურ მონაცემებზე;
- პერსონალური მონაცემები, რომლებიც არ შეიძლება მიეკუთვნებოდეს პერსონალურ მონაცემებს სპეციალურ კატეგორიებს, ბიომეტრიულ პერსონალურ მონაცემებს, საჯაროდ ხელმისაწვდომ ან დეპერსონალიზებულ პერსონალურ მონაცემებს;
- პერსონალური მონაცემები, რომლებიც კლასიფიცირებულია ფედერალური კანონის შესაბამისად. პერსონალური მონაცემების შესახებ ” საჯაროდ ხელმისაწვდომ ან დეიდენტიფიცირებულ პერსონალურ მონაცემებზე.
პერსონალური მონაცემების მესამე პირზე გადაცემა უნდა განხორციელდეს ფედერალური კანონის ან პერსონალური მონაცემების სუბიექტის თანხმობის საფუძველზე. იმ შემთხვევაში, თუ ორგანიზაცია ხელშეკრულების საფუძველზე ანდობს პერსონალური მონაცემების დამუშავებას მესამე მხარეს, ასეთი შეთანხმების არსებითი პირობაა მესამე მხარის ვალდებულება უზრუნველყოს პერსონალური მონაცემების კონფიდენციალურობა და პერსონალური მონაცემების უსაფრთხოება. მათი დამუშავების დროს.
ორგანიზაციამ უნდა შეწყვიტოს პერსონალური მონაცემების დამუშავება და შეგროვებული პერსონალური მონაცემების განადგურება, თუ სხვა რამ არ არის გათვალისწინებული რუსეთის ფედერაციის კანონმდებლობით, რუსეთის ფედერაციის კანონმდებლობით დადგენილ ვადებში შემდეგ შემთხვევებში:
- გადამუშავების მიზნების მიღწევისას ან როცა მათი მიღწევა აღარ არის საჭირო;
- პერსონალური მონაცემების სუბიექტის ან პერსონალური მონაცემების სუბიექტის უფლებების დაცვის უფლებამოსილი ორგანოს მოთხოვნით - თუ პერსონალური მონაცემები არის არასრული, მოძველებული, არაზუსტი, უკანონოდ მოპოვებული ან არ არის აუცილებელი დამუშავების მითითებული მიზნისთვის;
- როდესაც პერსონალური მონაცემების სუბიექტი უხსნის თანხმობას მათი პერსონალური მონაცემების დამუშავებაზე, თუ ასეთი თანხმობა საჭიროა რუსეთის ფედერაციის კანონმდებლობის შესაბამისად;
- თუ ოპერატორის მიერ შეუძლებელია პერსონალური მონაცემების დამუშავებისას ჩადენილი დარღვევების აღმოფხვრა.
ორგანიზაციამ უნდა განსაზღვროს და დაადასტუროს:
- პერსონალური მონაცემების განადგურების პროცედურა ( პერსონალური მონაცემების მატერიალური მატარებლების ჩათვლით);
- პერსონალური მონაცემების სუბიექტების მოთხოვნების დამუშავების პროცედურა ( ან მათი კანონიერი წარმომადგენლები) მათი პერსონალური მონაცემების დამუშავებასთან დაკავშირებით;
- პერსონალური მონაცემების სუბიექტების უფლებების დაცვის უფლებამოსილი ორგანოს ან პერსონალური მონაცემების სფეროში კონტროლსა და ზედამხედველობის განმახორციელებელი სხვა სამეთვალყურეო ორგანოს მოთხოვნის შემთხვევაში ქმედებების პროცედურა;
- მიდგომა AS-ის პერსონალური მონაცემების საინფორმაციო სისტემებთან მიკუთვნებისადმი ( Უფრო - ISPD );
- ISPD-ების სია. ISPD-ების სიაში უნდა შედიოდეს AS, რომლის მიზანია პერსონალური მონაცემების დამუშავება.
თითოეული ISPD-ისთვის შემდეგი უნდა განისაზღვროს და დოკუმენტირებული იყოს:
- პერსონალური მონაცემების დამუშავების მიზანი;
- დამუშავებული პერსონალური მონაცემების მოცულობა და შინაარსი;
- პერსონალური მონაცემებით ქმედებების ჩამონათვალი და მათი დამუშავების მეთოდები.
პერსონალური მონაცემების მოცულობა და შინაარსი, აგრეთვე პერსონალური მონაცემების დამუშავების ქმედებებისა და მეთოდების ჩამონათვალი უნდა შეესაბამებოდეს დამუშავების მიზნებს. იმ შემთხვევაში, თუ ინფორმაციული ტექნოლოგიების პროცესის განსახორციელებლად, რომლის განხორციელებასაც მხარს უჭერს ISPD, არ არის საჭირო გარკვეული პერსონალური მონაცემების დამუშავება, ეს პერსონალური მონაცემები უნდა წაიშალოს.
ISPD-ში პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად მოთხოვნები ზოგადად ხორციელდება ორგანიზაციული, ტექნოლოგიური, ტექნიკური და პროგრამული ზომების, ინფორმაციის დაცვის საშუალებებისა და მექანიზმების კომპლექტით.
აღსრულების ორგანიზაცია და ( ან) პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის მოთხოვნების შესრულება უნდა განახორციელოს პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფაზე პასუხისმგებელი ორგანიზაციის სტრუქტურულმა ერთეულმა ან თანამდებობის პირმა (თანამშრომელმა), ან კონტრაქტის საფუძველზე ორგანიზაციამ - კონტრაგენტმა. ორგანიზაციის, რომელსაც აქვს კონფიდენციალური ინფორმაციის ტექნიკური დაცვის ლიცენზია.
ორგანიზაციის ISPD-ის შექმნა უნდა მოიცავდეს შემუშავებას და დამტკიცებას ( განცხადება) ტექნიკური პირობებით გათვალისწინებული სისტემის ორგანიზაციული, ადმინისტრაციული, საპროექტო და ოპერატიული დოკუმენტაცია. დოკუმენტაცია უნდა ასახავდეს დამუშავებული პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფის საკითხებს.
ISPD-ის კონცეფციების, ტექნიკური მახასიათებლების შემუშავება, დიზაინი, შექმნა და ტესტირება, მიღება და ექსპლუატაცია უნდა განხორციელდეს სტრუქტურული ერთეულის ან პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფაზე პასუხისმგებელი თანამდებობის პირის (თანამშრომლის) შეთანხმებით და კონტროლის ქვეშ.
ყველა საინფორმაციო აქტივი, რომელიც ეკუთვნის ორგანიზაციის ISPD-ს, დაცული უნდა იყოს ზემოქმედებისგან მავნე კოდი. ორგანიზაციამ უნდა განსაზღვროს და დააკონკრეტოს მოთხოვნები ანტივირუსული დაცვის საშუალებით პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად და ამ მოთხოვნების შესრულების მონიტორინგის პროცედურა.
ორგანიზაციამ უნდა განსაზღვროს წვდომის კონტროლის სისტემა, რომელიც საშუალებას აძლევს წვდომის კონტროლს საკომუნიკაციო პორტებზე, შემავალ/გამომავალ მოწყობილობებზე, მოსახსნელ მედიასა და გარე დისკები ISPD ინფორმაცია.
ორგანიზაციის ISPD-ის მოქმედი და მომსახურე განყოფილებების ხელმძღვანელები უზრუნველყოფენ პერსონალური მონაცემების უსაფრთხოებას ISPD-ში მათი დამუშავებისას.
თანამშრომლებმა, რომლებიც ამუშავებენ პერსონალურ მონაცემებს ISPD-ში, უნდა იმოქმედონ ინსტრუქციის შესაბამისად ( მენეჯმენტი, რეგულაციები და ა.შ.), რომელიც არის ISPD-ის ოპერატიული დოკუმენტაციის ნაწილი და შეესაბამება IS-ის უზრუნველსაყოფად დოკუმენტების მოთხოვნებს.
პასუხისმგებლობა დამცავი ინსტრუმენტებისა და დაცვის მექანიზმების ადმინისტრირებაზე, რომლებიც ახორციელებენ მოთხოვნებს ორგანიზაციის ISPD ინფორმაციის უსაფრთხოების უზრუნველსაყოფად, ენიჭება ბრძანებებს ( ბრძანებებს) საინფორმაციო ტექნოლოგიების დეპარტამენტის სპეციალისტებისთვის.
ინფორმაციული ტექნოლოგიების დეპარტამენტის სპეციალისტებისა და პერსონალური მონაცემების დამუშავებაში ჩართული პერსონალის ქმედებების პროცედურა უნდა განისაზღვროს ინსტრუქციებით ( გაიდლაინები), რომლებიც მომზადებულია ISPD-ის შემქმნელის მიერ, როგორც ISPD-ის ოპერატიული დოკუმენტაციის ნაწილი.
მითითებული ინსტრუქციები ( გიდები):
- ინფორმაციული უსაფრთხოების სფეროში პერსონალის კვალიფიკაციის მოთხოვნების დადგენა, ასევე დაცული ობიექტების განახლებული ჩამონათვალი და მისი განახლების წესი;
- შეიცავს სრულ და განახლებულს დროით) მომხმარებლის ავტორიზაციის მონაცემები;
- შეიცავდეს მონაცემებს ინფორმაციის დამუშავების ტექნოლოგიების შესახებ, რამდენადაც ეს აუცილებელია ინფორმაციული უსაფრთხოების სპეციალისტისთვის;
- დააყენეთ მოვლენის ჟურნალების ანალიზის თანმიმდევრობა და სიხშირე ( ჟურნალის არქივები);
- არეგულირებს სხვა საქმიანობას.
დაცვის საშუალებების კონფიგურაციის პარამეტრები და ინფორმაციის არასანქცირებული წვდომისგან დაცვის მექანიზმები, რომლებიც გამოიყენება ინფორმაციული ტექნოლოგიების დეპარტამენტის სპეციალისტების პასუხისმგებლობის სფეროში, განისაზღვრება ISPD-ის ოპერატიული დოკუმენტაციაში. დაყენებული კონფიგურაციის პარამეტრების შემოწმების რიგი და სიხშირე დგინდება საოპერაციო დოკუმენტაციაში ან რეგულირდება შიდა დოკუმენტით, ხოლო შემოწმება უნდა განხორციელდეს წელიწადში ერთხელ მაინც.
ორგანიზაციამ უნდა განსაზღვროს და დაადასტუროს შენობაში წვდომის პროცედურა, სადაც განთავსებულია ISPD ტექნიკური საშუალებები და ინახება პერსონალური მონაცემების მატარებლები, რაც ითვალისწინებს არაუფლებამოსილი პირების მიერ შენობაში წვდომის კონტროლს და შენობაში არასანქცირებული შესვლის დაბრკოლებების არსებობას. . მითითებული პროცედურა უნდა შეიმუშაოს სტრუქტურულმა ერთეულმა ან ოფიციალურმა პირმა ( მუშაკი) პასუხისმგებელი ფიზიკური უსაფრთხოების რეჟიმის უზრუნველყოფაზე და დამტკიცებული სტრუქტურული ერთეულის ან თანამდებობის პირის მიერ ( მუშაკი), პასუხისმგებელია პერსონალური მონაცემების უსაფრთხოების უზრუნველყოფაზე და ეკონომიკური უსაფრთხოების დეპარტამენტი.
ISPD-ის მომხმარებლებმა და ტექნიკური პერსონალი არ უნდა განახორციელონ არაავტორიზებული და ( ანარ არის რეგისტრირებული ( უკონტროლო) პირადი მონაცემების კოპირება. ამ მიზნით, ორგანიზაციული და ტექნიკური ზომები უნდა აიკრძალოს არაავტორიზებული და ( ანარ არის რეგისტრირებული ( უკონტროლო) პირადი მონაცემების კოპირება, მათ შორის გასხვისების ( ურთიერთშემცვლელი) შესანახი მედია, მობილური მოწყობილობები ინფორმაციის კოპირებისა და გადაცემისთვის, საკომუნიკაციო პორტები და შემავალი/გამომავალი მოწყობილობები, რომლებიც ახორციელებენ სხვადასხვა ინტერფეისებს ( მათ შორის უკაბელო), მობილური მოწყობილობების შესანახი მოწყობილობები ( მაგ: ლეპტოპები, PDA, სმარტფონები, მობილური ტელეფონები ), ასევე ფოტო და ვიდეო მოწყობილობები.
პირადი უსაფრთხოების კონტროლს ახორციელებს ინფორმაციული უსაფრთხოების სპეციალისტი, როგორც ინფორმაციული უსაფრთხოების სისტემის სტანდარტული საშუალებებით, ასევე სპეციალური კონტროლისა და ტექნოლოგიური მონიტორინგის საშუალებებით.
ჩამოტვირთვა ZIP ფაილი (65475)
დოკუმენტები გამოგადგებათ - ჩადეთ "ლაიქები" ან:
თუ არსებობს საფრთხე, უნდა არსებობდეს დაცვის მეთოდები და კონტრზომები.. მეთოდები არის დასახული მიზნების მიღწევის საშუალება და კონფიდენციალური ინფორმაციის დასაცავად ძალების გამოყენების მეთოდების რიგი.
ქვეცნობიერზე ადამიანის მოქმედების პრინციპი შექმნილია მისაღწევად დადებითი შედეგები. ინფორმაციული უსაფრთხოების სფეროში პროფესიონალების გამოცდილებამ საკმაოდ მკაფიოდ განსაზღვრა საშუალების, ძალებისა და ტექნიკის ნაკრები, რომელიც მიზნად ისახავს ინფორმაციის უსაფრთხოების ან ინფორმაციის სანდოობის გარანტიას.
ინფორმაციის სანდოობის ან ინფორმაციის უსაფრთხოების უზრუნველყოფა მიიღწევა შემდეგი ქმედებებით, რომლებიც მიმართულია:
- საფრთხეების იდენტიფიცირება გამოიხატება პოტენციური ან რეალური საფრთხეების დასაშვები წარმოშობის ღირსეული ანალიზით და კონტროლით, ასევე მათი პრევენციის დროული ზომებით;
- საფრთხის პრევენცია მიიღწევა ინფორმაციის უსაფრთხოების ან ინფორმაციის სანდოობის უზრუნველყოფით მოლოდინისა და მათი წარმოშობის სასარგებლოდ.
საფრთხეების აღმოჩენა რისკის ანალიზით; - საფრთხის ან დანაშაულებრივი ქმედებების აღმოფხვრის ღონისძიებების ჩართვა და დანაშაულებრივი ქმედებების ლოკალიზაცია;
- კონკრეტული დანაშაულებრივი ქმედებებისა და რეალური საფრთხეების გამოვლენით მიღწეული საფრთხეების გამოვლენა;
- საფრთხეებისა და კრიმინალური კონკრეტული ქმედებების შედეგების აღმოფხვრა. სტატუს კვოს აღდგენა (ნახ. 1).
ინფორმაციის დაცვის მეთოდები:
- დაბრკოლება - კრიტიკულ ინფორმაციასთან დაკავშირებით თავდამსხმელის ქმედებების ფიზიკური დაბლოკვის საშუალება
- წვდომის კონტროლი - ინფორმაციის დაცვის საშუალება IT-ში ყველა IP რესურსის გამოყენების რეგულირებით. ასეთი მეთოდები უნდა იყოს დაცული ინფორმაციისგან
- დაშიფვრის ალგორითმები - მეთოდები ხორციელდება როგორც შენახვის, ასევე ინფორმაციის დამუშავების დროს. ინფორმაციის გადაცემისას ეს არის დაცვის მთავარი და ერთადერთი მეთოდი
- რეგულაცია არის საინფორმაციო სისტემაში ინფორმაციის შენახვისა და დამუშავების პირობების შექმნა, რომლის მიხედვითაც სტანდარტებისა და დაცვის სტანდარტები მაქსიმალურად არის დანერგილი.
- იძულება არის დაცვის საშუალება, რომელიც აიძულებს მომხმარებლებს დაიცვან საინფორმაციო სისტემაში მუშაობის წესები
- მოტივაცია - დაცვის საშუალება, რომელიც ხელს უწყობს საინფორმაციო სისტემის მომხმარებლებს არ დაარღვიონ წესები ეთიკური და მორალური სტანდარტების ხარჯზე.
- აპარატურა - მოწყობილობები, რომლებიც ჩართულია გამოთვლით მექანიზმებში ან დაკავშირებულია ინტერფეისების გამოყენებით
- ფიზიკური საშუალებები - სხვადასხვა საინჟინრო სტრუქტურები, რომლებიც იცავს პერსონალს, ინფორმაციას, მოწყობილობებს, ნივთებს თავდასხმებისგან
- პროგრამული უზრუნველყოფა - პროგრამული უზრუნველყოფა, რომელიც ჩართულია საინფორმაციო სისტემაში დაცვის განსახორციელებლად
- ორგანიზაციული საშუალებები - მიიღწევა მარეგულირებელი დოკუმენტების საფუძველზე, რომლებიც არეგულირებენ თანამშრომლების მუშაობას ისე, რომ განხორციელდეს საინფორმაციო სისტემის მაქსიმალური დაცვა.
უკანონო და შესაძლო ქმედებების პრევენცია შეიძლება განხორციელდეს სხვადასხვა საშუალებებით და ზომებით, დაწყებული თანამშრომლებს შორის ურთიერთობის პატივისცემით ორგანიზაციული მეთოდებით დამთავრებული ტექნიკით, ფიზიკური, პროგრამული და მეთოდებით დაცვამდე (ან). მუქარის პრევენცია ასევე შესაძლებელია მოსამზადებელი ქმედებების, მომზადებული ქმედებების, დაგეგმილი ქურდობის და დანაშაულებრივი ქმედებების სხვა ელემენტების შესახებ ინფორმაციის მოპოვების ეტაპით. ასეთი მიზნებისათვის აუცილებელია ინფორმატორების მოქმედების სხვადასხვა სფეროში სხვადასხვა ამოცანები. ზოგიერთი აკვირდება და ობიექტურად აფასებს არსებულ ვითარებას. სხვები აფასებენ თანამშრომლების ურთიერთობებს გუნდში საწარმოს სხვადასხვა ნაწილში. სხვები მუშაობენ კრიმინალურ ჯგუფებსა და კონკურენტებს შორის.
სურათი 1
საფრთხეების თავიდან აცილების მიზნით, საინფორმაციო და ანალიტიკური უსაფრთხოების სამსახურის საქმიანობა ძალიან მნიშვნელოვან როლს ასრულებს, რომელიც ეფუძნება განსაკუთრებული სიტუაციის ანალიზს და შემტევების და კონკურენტების აქტივობებს. თუ თქვენ გაქვთ წვდომა ინტერნეტზე, უსაფრთხოების სამსახურში. და ასევე ან.
მონაცემთა გამჟღავნებისგან დაცვა მცირდება იმ ინფორმაციის კატალოგის შექმნით, რომელიც წარმოადგენს საწარმოში სავაჭრო საიდუმლოებას. ინფორმაციის ეს კატალოგი უნდა მიეწოდოს ყველა თანამშრომელს საწარმოში, ამ თანამშრომლის წერილობითი ვალდებულებით შეინახოს ეს საიდუმლო. ერთ-ერთი მნიშვნელოვანი ქმედებაა სავაჭრო საიდუმლოების მთლიანობისა და კონფიდენციალურობის დაცვის კონტროლის სისტემა.
კონფიდენციალური ინფორმაციის დაცვა გაჟონვისგან სამუშაოების აღრიცხვის, კონკრეტულ სიტუაციებში სავარაუდო გაჟონვის გზების იდენტიფიცირებისა და კონტროლის საფუძველზე, აგრეთვე მათი განადგურების ტექნიკური, ორგანიზაციული, ორგანიზაციული და ტექნიკური ღონისძიებების გატარების საფუძველზე.
კონფიდენციალური ინფორმაციის დაცვა არასანქცირებული წვდომისგან მოქმედებს ტექნიკური, ორგანიზაციული, ორგანიზაციული და ტექნიკური პროცედურების განხორციელების საფუძველზე არაავტორიზებული წვდომის საწინააღმდეგოდ. ასევე არასანქცირებული წვდომისა და ანალიზის მეთოდების კონტროლი.
პრაქტიკაში, ყველა აქტივობა გარკვეულწილად იყენებს ტექნიკურს და იყოფა სამ ჯგუფად (ნახ. 2):
- ორგანიზაციული (ტექნიკური საშუალებების დარგში);
- ტექნიკური.
- ორგანიზაციული და ტექნიკური;
სურათი 2
თავდაცვითი მოქმედების მითითება
დამცავი სამუშაოები, ისევე როგორც ინფორმაციული უსაფრთხოების შენარჩუნების ტექნიკა და პროცედურები, კლასიფიცირებულია დაცვის მახასიათებლებისა და ობიექტების მიხედვით, რომლებიც იყოფა შემდეგ პარამეტრებად:
ორიენტაციის მიხედვით - დამცავი მეთოდები შეიძლება კლასიფიცირდეს როგორც ქმედებები, კურსი პერსონალის, ფინანსური და მატერიალური აქტივების და ინფორმაციის, როგორც ფონდის დაცვისთვის.
მეთოდებით - ეს არის გამოვლენა (მაგალითად:) ან პრევენცია, გამოვლენა, ჩახშობა და აღდგენა.
მიმართულებებით - ეს არის დაცვა სამართლებრივი მეთოდების, ორგანიზაციული და საინჟინრო ქმედებების საფუძველზე.
დაფარვის თვალსაზრისით, დამცავი აღჭურვილობა შეიძლება მიმართული იყოს საწარმოს პერიმეტრის, ინდივიდუალური შენობების, შენობების, აღჭურვილობის სპეციფიკური ჯგუფების, აპარატურის და სისტემების დაცვაზე. ინდივიდუალური ელემენტები(სახლები, შენობა, აღჭურვილობა) მათთვის საშიში UA-ს თვალსაზრისით.
ინფორმაციის მიზეზი შეიძლება იყოს ადამიანები, ნარჩენები, ტექნიკური საშუალებები და ა.შ. ინფორმაციის მატარებლები შეიძლება იყოს აკუსტიკური და ელექტრომაგნიტური ველები, ან ნივთიერებები (პროდუქტი, ქაღალდი, მასალა). გამრავლების საშუალება არის მყარი მედია ან საჰაერო სივრცე.
დამნაშავეს შეიძლება ჰქონდეს ელექტრომაგნიტური და აკუსტიკური ენერგიის მიღების ყველა საჭირო საშუალება, საჰაერო მეთვალყურეობა და ინფორმაციის საპრეზენტაციო მასალების ანალიზის უნარი.
ინფორმაციის წარმოდგენა მატერიალურ ფორმებში. კონფიდენციალური ინფორმაციის მითვისების გამორიცხვის მიზნით, აუცილებელია სიგნალის ან ინფორმაციის წყაროს დამუშავება მდუმარე ან დაშიფვრის სხვა საშუალებებით.
საინფორმაციო ქსელების (ან ) და პერსონალური კომპიუტერების გამოყენებისა და გავრცელების სიჩქარის მატებასთან ერთად, იზრდება ინფორმაციის გამჟღავნების, გაჟონვის და ინფორმაციის არაავტორიზებული წვდომის გამომწვევი სხვადასხვა ფაქტორების როლი. Ესენი არიან:
- შეცდომები;
- თანამშრომლებისა და მომხმარებლების მავნე ან არასანქცირებული ქმედებები;
- ტექნიკის ნაგულისხმევი ან შეცდომები პროგრამებში;
- სტიქიური უბედურებები, სხვადასხვა წარმოშობისა და საფრთხის ნამსხვრევები;
- მომხმარებლის და პერსონალის შეცდომები;
- შეცდომები ზე.
ამ მხრივ ინფორმაციის დაცვის ძირითადი მიზნებია საინფორმაციო ქსელებიდა PC არის:
- ინფორმაციის გაჟონვისა და დანაკარგის პრევენცია, ჩარევა და ჩარევა გავლენის ყველა ხარისხით, გეოგრაფიულად განცალკევებული ყველა ობიექტისთვის;
- მომხმარებელთა უფლებებისა და სამართლებრივი ნორმების უზრუნველყოფასთან დაკავშირებით წვდომაინფორმაცია და სხვა რესურსები, რომლებიც მოიცავს საინფორმაციო აქტივობების ადმინისტრაციულ განხილვას, მათ შორის პერსონალური პასუხისმგებლობის ქმედებებს მუშაობის რეჟიმებისა და გამოყენების წესების დაცვაზე;
სურათი 3
დასკვნები
1. ინფორმაციის სანდოობის ან უსაფრთხოების უზრუნველყოფა მიიღწევა ორგანიზაციული, ტექნიკური და ორგანიზაციულ-ტექნიკური პროცედურებით, რომელთაგან ნებისმიერი უზრუნველყოფილია უნიკალური მეთოდებით, საშუალებებით და ზომებით, რომლებსაც გააჩნიათ შესაბამისი პარამეტრები.
2. მრავალფეროვანი ქმედება და პირობები, რომლებიც ხელს უწყობს კონფიდენციალური მონაცემების უკანონო ან უკანონო ასიმილაციას, აიძულებს გამოიყენონ სულ მცირე სხვადასხვა მეთოდები, საშუალებები და ძალები ინფორმაციის უსაფრთხოების ან სანდოობის უზრუნველსაყოფად.
3. ინფორმაციის დაცვის ძირითადი მიზნებია საინფორმაციო რესურსების კონფიდენციალურობის, მთლიანობისა და საკმარისობის გარანტია. და ასევე სისტემაში დანერგვა.
4. ინფორმაციული უსაფრთხოების უზრუნველყოფის მეთოდები მიმართული უნდა იყოს ქმედებების პროაქტიულ ტემპერამენტზე, რომელიც მიმართულია სავაჭრო საიდუმლოების შესაძლო საფრთხის თავიდან აცილების ადრეულ გზებზე.
Ინფორმაციის დაცვა, ისევე როგორც ინფორმაციის დაცვა, ამოცანა კომპლექსურია, მიზნად ისახავს უსაფრთხოების უზრუნველყოფას, რომელიც ხორციელდება უსაფრთხოების სისტემის დანერგვით. ინფორმაციული უსაფრთხოების პრობლემა მრავალმხრივი და რთულია და მოიცავს მთელ რიგ მნიშვნელოვან ამოცანებს. ინფორმაციის უსაფრთხოების პრობლემებს მუდმივად ამძიმებს მონაცემთა დამუშავებისა და გადაცემის ტექნიკური საშუალებების და, უპირველეს ყოვლისა, კომპიუტერული სისტემების საზოგადოების ყველა სფეროში შეღწევის პროცესები.
დღემდე სამი ძირითადი პრინციპებირომ ინფორმაციის უსაფრთხოებამ უნდა უზრუნველყოს:
მონაცემთა მთლიანობა - დაცვა წარუმატებლობისგან, რომელიც იწვევს ინფორმაციის დაკარგვას, ასევე დაცვას მონაცემთა არასანქცირებული შექმნის ან განადგურებისგან;
ინფორმაციის კონფიდენციალურობა;
კომპიუტერული სისტემების შემუშავებისას, წარუმატებლობამ ან შეცდომებმა შეიძლება გამოიწვიოს სერიოზული შედეგები, კომპიუტერის უსაფრთხოების საკითხები პრიორიტეტული ხდება. არსებობს მრავალი ცნობილი ღონისძიება, რომელიც მიმართულია კომპიუტერული უსაფრთხოების უზრუნველსაყოფად, რომელთაგან მთავარია ტექნიკური, ორგანიზაციული და იურიდიული.
ინფორმაციის უსაფრთხოების უზრუნველყოფა ძვირია, არა მხოლოდ უსაფრთხოების ინსტრუმენტების შეძენის ან დაყენების ღირებულების გამო, არამედ იმიტომაც, რომ ძნელია გონივრული უსაფრთხოების საზღვრების პროფესიონალურად განსაზღვრა და სისტემის სათანადოდ შენარჩუნების ჯანსაღი მდგომარეობა.
უსაფრთხოების ინსტრუმენტები არ უნდა იყოს დაპროექტებული, შეძენილი ან დაინსტალირებული, სანამ არ მოხდება შესაბამისი ანალიზი.
საიტი აანალიზებს ინფორმაციულ უსაფრთხოებას და მის ადგილს ეროვნული უსაფრთხოების სისტემაში, გამოავლენს სასიცოცხლო ინტერესებს საინფორმაციო სფეროში და მათ საფრთხეებს. განხილულია ინფორმაციული ომის საკითხები, საინფორმაციო იარაღი, პრინციპები, ინფორმაციული უსაფრთხოების უზრუნველყოფის ძირითადი ამოცანები და ფუნქციები, ინფორმაციული უსაფრთხოების უზრუნველყოფის სახელმწიფო სისტემის ფუნქციები, საშინაო და საგარეო სტანდარტები ინფორმაციული უსაფრთხოების სფეროში. ასევე დიდი ყურადღება ეთმობა ინფორმაციული უსაფრთხოების სამართლებრივ საკითხებს.
ასევე განხილულია ინფორმაციის უსაფრთხოების ზოგადი საკითხები მონაცემთა დამუშავების ავტომატიზებულ სისტემებში (ASOD), ინფორმაციის დაცვის საგანი და ობიექტები, ინფორმაციის დაცვის ამოცანები ASOD-ში. განხილულია ASOD-ში უსაფრთხოების განზრახ საფრთხეების სახეები და ინფორმაციის დაცვის მეთოდები. მომხმარებლების ავთენტიფიკაციისა და მათი წვდომის დელიმიტაციის მეთოდები და საშუალებები კომპიუტერული რესურსები, მოწყობილობაზე წვდომის კონტროლი, მარტივი და დინამიურად ცვალებადი პაროლების გამოყენება, სქემის მოდიფიკაციის მეთოდები მარტივი პაროლები, ფუნქციური მეთოდები.
ინფორმაციული უსაფრთხოების სისტემის აგების ძირითადი პრინციპები.
ობიექტისთვის ინფორმაციული უსაფრთხოების სისტემის შექმნისას უნდა იხელმძღვანელოთ შემდეგი პრინციპებით:
ინფორმაციული უსაფრთხოების სისტემის გაუმჯობესებისა და განვითარების პროცესის უწყვეტობა, რომელიც მოიცავს ინფორმაციის დაცვის ყველაზე რაციონალური მეთოდების, მეთოდებისა და გზების დასაბუთებასა და დანერგვას, მუდმივ მონიტორინგს, დაბრკოლებების და სისუსტეების იდენტიფიცირებას და ინფორმაციის გაჟონვისა და არაავტორიზებული წვდომის პოტენციურ არხებს.
დაცვის ხელმისაწვდომი საშუალებების მთელი არსენალის ყოვლისმომცველი გამოყენება წარმოებისა და ინფორმაციის დამუშავების ყველა ეტაპზე. ამავდროულად, გამოყენებული ყველა საშუალება, მეთოდი და ღონისძიება გაერთიანებულია ერთიან, განუყოფელ მექანიზმად - ინფორმაციული უსაფრთხოების სისტემაში.
დაცვის მექანიზმების ფუნქციონირების მონიტორინგი, განახლება და დამატება შესაძლო შიდა და გარე საფრთხეების ცვლილებებზე.
მომხმარებელთა სათანადო ტრენინგი და კონფიდენციალურობის ყველა დადგენილ პრაქტიკასთან შესაბამისობა. ამ მოთხოვნის გარეშე ვერც ერთი ინფორმაციული უსაფრთხოების სისტემა ვერ უზრუნველყოფს დაცვის საჭირო დონეს.
ყველაზე მნიშვნელოვანი პირობაუსაფრთხოება არის კანონიერება, საკმარისობა, პიროვნებისა და საწარმოს ინტერესთა ბალანსი, პერსონალისა და მენეჯმენტის ურთიერთპასუხისმგებლობა, ურთიერთქმედება სახელმწიფო სამართალდამცავ უწყებებთან.
10) ინფორმაციული უსაფრთხოების შენობის ეტაპები
მშენებლობის ეტაპები.
1. საინფორმაციო სისტემის ყოვლისმომცველი ანალიზი
საწარმოები სხვადასხვა დონეზე. რისკის ანალიზი.
2. ორგანიზაციული და ადმინისტრაციული და
მარეგულირებელი დოკუმენტები.
3. ტრენინგი, პროფესიული განვითარება და
სპეციალისტების გადამზადება.
4. ინფორმაციის მდგომარეობის ყოველწლიური გადაფასება
საწარმოს უსაფრთხოება
11) Firewall
Firewalls და ანტივირუსული პაკეტები.
Firewall (ზოგჯერ მას უწოდებენ firewall-ს) ეხმარება გააუმჯობესოს თქვენი კომპიუტერის უსაფრთხოება. ის ზღუდავს თქვენს კომპიუტერში სხვა კომპიუტერებიდან მოსულ ინფორმაციას, რაც გაძლევთ მეტ კონტროლს თქვენს კომპიუტერზე არსებულ მონაცემებზე და უზრუნველყოფს თქვენს კომპიუტერს თავდაცვის ხაზს ადამიანებისგან ან პროგრამებისგან (ვირუსების და ჭიების ჩათვლით), რომლებიც ცდილობენ თქვენს კომპიუტერთან დაკავშირებას არასანქცირებული გზით. თქვენ შეგიძლიათ წარმოიდგინოთ firewall, როგორც სასაზღვრო პოსტი, რომელიც ამოწმებს ინტერნეტიდან მოსულ ინფორმაციას (ხშირად უწოდებენ ტრაფიკს). ლოკალური ქსელი. ამ შემოწმების დროს, firewall უარყოფს ან უშვებს ინფორმაციას კომპიუტერს თქვენს მიერ კონფიგურირებული პარამეტრების მიხედვით.
რისგან იცავს firewall?
Firewall შეიძლება:
1. დაბლოკეთ კომპიუტერული ვირუსებისა და ჭიების თქვენს კომპიუტერში წვდომა.
2. სთხოვეთ მომხმარებელს აირჩიოს დაბლოკოს ან დაუშვას გარკვეული კავშირის მოთხოვნები.
3. ჩანაწერების შენარჩუნება (უსაფრთხოების ჟურნალი) - მომხმარებლის მოთხოვნით - ჩაწერა კომპიუტერთან დაკავშირების დაშვებული და დაბლოკილი მცდელობები.
რისგან არ იცავს firewall?
Მას არ შეუძლია:
1. გამოავლინეთ ან გაანეიტრალეთ კომპიუტერული ვირუსები და ჭიები, თუ ისინი უკვე შევიდნენ კომპიუტერში.
3. დაბლოკეთ სპამი ან არასასურველი ფოსტა, რათა არ მოხვდეს თქვენს შემოსულებში.
აპარატურა და პროგრამული უზრუნველყოფა Firewalls
ტექნიკის ფარები- ინდივიდუალური მოწყობილობები, რომლებიც არის ძალიან სწრაფი, საიმედო, მაგრამ ძალიან ძვირი, ამიტომ ისინი ჩვეულებრივ გამოიყენება მხოლოდ დიდი კომპიუტერული ქსელების დასაცავად. სახლის მომხმარებლებისთვის ოპტიმალურია მარშრუტიზატორებში ჩაშენებული ბუხარი, გადამრთველები, უკაბელო წვდომის წერტილები და ა.შ. კომბინირებული როუტერ-ფაიერ Walls უზრუნველყოფს ორმაგ დაცვას თავდასხმებისგან.
პროგრამული უზრუნველყოფის firewallარის უსაფრთხოების პროგრამა. პრინციპში, ის ჰგავს ტექნიკის ფაიერვოლს, მაგრამ უფრო „მეგობრული“ მომხმარებლისთვის: მას აქვს უფრო მზა პარამეტრები და ხშირად აქვს ოსტატები, რომლებიც ხელს უწყობენ კონფიგურაციას. მასთან ერთად შეგიძლიათ დაუშვათ ან უარყოთ სხვა პროგრამების წვდომა ინტერნეტში.
ანტივირუსული პროგრამა (ანტივირუსი)- ნებისმიერი პროგრამა კომპიუტერული ვირუსების, ასევე ზოგადად არასასურველი (მიიჩნეული მავნე) პროგრამების გამოსავლენად და ასეთი პროგრამებით ინფიცირებული (შეცვლილი) ფაილების აღდგენისთვის, ასევე პროფილაქტიკისთვის - ფაილების ან ოპერაციული სისტემის მავნე კოდით დაინფიცირების (მოდიფიკაციის) თავიდან ასაცილებლად. .
12) გამოთვლითი სისტემების კლასიფიკაცია
აბონენტთა სისტემების ტერიტორიული მდებარეობიდან გამომდინარე
კომპიუტერული ქსელები შეიძლება დაიყოს სამ ძირითად კლასად:
გლობალური ქსელები (WAN - Wide Area Network);
რეგიონალური ქსელები (MAN - Metropolitan Area Network);
ლოკალური ქსელები (LAN - ლოკალური ქსელი).
ძირითადი LAN ტოპოლოგიები
LAN-ის ტოპოლოგია არის ქსელის კვანძების კავშირების გეომეტრიული დიაგრამა.
კომპიუტერული ქსელების ტოპოლოგია შეიძლება ძალიან განსხვავებული იყოს, მაგრამ
მხოლოდ სამი ტიპიურია ლოკალური ქსელებისთვის:
ბეჭედი,
ვარსკვლავის ფორმის.
ნებისმიერი კომპიუტერული ქსელი შეიძლება განიხილებოდეს როგორც კოლექცია
კვანძი- პირდაპირ დაკავშირებული ნებისმიერი მოწყობილობა
ქსელის გადამცემი საშუალება.
ბეჭდის ტოპოლოგიაითვალისწინებს დახურული მრუდის ქსელის კვანძების კავშირს - გადამცემი საშუალების კაბელს. ერთი ქსელის კვანძის გამომავალი უკავშირდება მეორის შეყვანას. ინფორმაცია გადაეცემა რგოლს კვანძიდან კვანძამდე. ყოველი შუალედური კვანძი გადამცემსა და მიმღებს შორის გადასცემს გაგზავნილ შეტყობინებას. მიმღები კვანძი ცნობს და იღებს მხოლოდ მასზე მიმართულ შეტყობინებებს.
რგოლის ტოპოლოგია იდეალურია ქსელებისთვის, რომლებიც იკავებენ შედარებით მცირე ადგილს. მას არ აქვს ცენტრალური კვანძი, რაც ზრდის ქსელის საიმედოობას. ინფორმაციის გადაცემა საშუალებას გაძლევთ გამოიყენოთ ნებისმიერი ტიპის კაბელი, როგორც გადამცემი საშუალება.
ასეთი ქსელის კვანძების მომსახურების თანმიმდევრული დისციპლინა ამცირებს მის შესრულებას, ხოლო ერთ-ერთი კვანძის უკმარისობა არღვევს რგოლის მთლიანობას და მოითხოვს სპეციალური ზომების მიღებას ინფორმაციის გადაცემის გზის შესანარჩუნებლად.
ავტობუსის ტოპოლოგია- ერთ-ერთი უმარტივესი. იგი დაკავშირებულია კოაქსიალური კაბელის, როგორც გადამცემი საშუალებების გამოყენებასთან. გადამცემი ქსელის კვანძიდან მიღებული მონაცემები ნაწილდება ავტობუსზე ორივე მიმართულებით. შუალედური კვანძები არ თარგმნიან შემომავალ შეტყობინებებს. ინფორმაცია მიდის ყველა კვანძში, მაგრამ მხოლოდ ის, ვისაც ის არის მიმართული, იღებს შეტყობინებას. პარალელურია სამსახურის დისციპლინა.
ეს უზრუნველყოფს მაღალი ხარისხის LAN-ს ავტობუსის ტოპოლოგიით. ქსელის გაფართოება და კონფიგურაცია მარტივია და ადაპტირდება სხვადასხვა სისტემებთან. ავტობუსის ტოპოლოგიის ქსელი მდგრადია შესაძლო გაუმართაობაინდივიდუალური კვანძები.
ავტობუსის ტოპოლოგიის ქსელები ამჟამად ყველაზე გავრცელებულია. უნდა აღინიშნოს, რომ ისინი მოკლეა და არ იძლევიან სხვადასხვა ტიპის კაბელის გამოყენებას იმავე ქსელში.
ვარსკვლავის ტოპოლოგიაეფუძნება ცენტრალური კვანძის კონცეფციას, რომელთანაც დაკავშირებულია პერიფერიული კვანძები. თითოეულ პერიფერიულ კვანძს აქვს თავისი ცალკეული საკომუნიკაციო ხაზი ცენტრალურ კვანძთან. ყველა ინფორმაცია გადაიცემა ცენტრალური კვანძის მეშვეობით, რომელიც ახორციელებს რელეს, გადართავს და მარშრუტებს ინფორმაციის ნაკადებს ქსელში.
ვარსკვლავის ტოპოლოგია მნიშვნელოვნად ამარტივებს LAN კვანძების ერთმანეთთან ურთიერთქმედებას, საშუალებას იძლევა გამოიყენოთ უფრო მარტივი ქსელის ადაპტერები. ამავდროულად, ვარსკვლავის ტოპოლოგიის მქონე LAN-ის მოქმედება მთლიანად დამოკიდებულია ცენტრალურ კვანძზე.
რეალურ გამოთვლით ქსელებში შეიძლება გამოვიყენოთ უფრო განვითარებული ტოპოლოგიები, რომლებიც ზოგიერთ შემთხვევაში წარმოადგენენ განხილულის კომბინაციებს.
კონკრეტული ტოპოლოგიის არჩევანი განისაზღვრება LAN-ის მასშტაბით, მისი კვანძების გეოგრაფიული მდებარეობით და მთლიანი ქსელის განზომილებით.
ინტერნეტი- მსოფლიო საინფორმაციო კომპიუტერული ქსელი, რომელიც წარმოადგენს მრავალი რეგიონალური კომპიუტერული ქსელისა და კომპიუტერის გაერთიანებას, რომლებიც ერთმანეთს უცვლიან ინფორმაციას საჯარო სატელეკომუნიკაციო არხებით (იჯარით აღებული ანალოგური და ციფრული სატელეფონო ხაზები, ოპტიკური საკომუნიკაციო არხები და რადიო არხები, მათ შორის სატელიტური საკომუნიკაციო ხაზები).
პროვაიდერი- ქსელის სერვისის პროვაიდერი - პირი ან ორგანიზაცია, რომელიც უზრუნველყოფს კომპიუტერულ ქსელებთან დაკავშირების სერვისებს.
მასპინძელი (ინგლისური მასპინძლისგან - "მასპინძელი, რომელიც სტუმრებს იღებს")- ნებისმიერი მოწყობილობა, რომელიც უზრუნველყოფს სერვისებს "კლიენტ-სერვერის" ფორმატში სერვერის რეჟიმში ნებისმიერ ინტერფეისზე და ცალსახად არის იდენტიფიცირებული ამ ინტერფეისებზე. უფრო კონკრეტულ შემთხვევაში, ჰოსტი შეიძლება გავიგოთ, როგორც ნებისმიერი კომპიუტერი, სერვერი, რომელიც დაკავშირებულია ლოკალურ ან გლობალურ ქსელთან.
ქსელის პროტოკოლი- წესებისა და მოქმედებების ერთობლიობა (მოქმედებების თანმიმდევრობა), რომელიც საშუალებას გაძლევთ დააკავშიროთ და გაცვალოთ მონაცემები ქსელში შემავალ ორ ან მეტ მოწყობილობას შორის.
IP მისამართი (IP მისამართი, შემოკლებული ინტერნეტ პროტოკოლის მისამართი)- უნიკალური ქსელის მისამართიკვანძი კომპიუტერულ ქსელში, რომელიც აგებულია IP პროტოკოლის გამოყენებით. ინტერნეტი მოითხოვს გლობალური მისამართის უნიკალურობას; ლოკალურ ქსელში მუშაობის შემთხვევაში საჭიროა მისამართის უნიკალურობა ქსელში. პროტოკოლის IPv4 ვერსიაში IP მისამართი 4 ბაიტია.
დომენის სახელი- სიმბოლური სახელი, რომელიც დაგეხმარებათ იპოვოთ ინტერნეტ სერვერების მისამართები.
13) Peer-to-Peer ამოცანები
არასანქცირებული წვდომისგან პროგრამული უზრუნველყოფისა და ტექნიკის დაცვა მოიცავს იდენტიფიკაციის, ავთენტიფიკაციისა და ინფორმაციულ სისტემაზე წვდომის კონტროლს.
იდენტიფიკაცია არის უნიკალური იდენტიფიკატორების მინიჭება სუბიექტებზე წვდომისთვის.
ეს მოიცავს რადიოსიხშირის ტეგებს, ბიომეტრიულ ტექნოლოგიებს, მაგნიტურ ბარათებს, უნივერსალურ მაგნიტურ გასაღებებს, სისტემაში შესვლის შესვლას და ა.შ.
ავთენტიფიკაცია - წარმოდგენილი იდენტიფიკატორის დაქვემდებარებული წვდომის საკუთრების შემოწმება და მისი ავთენტურობის დადასტურება.
ავთენტიფიკაციის პროცედურები მოიცავს პაროლებს, პინის კოდებს, სმარტ ბარათებს, USB კლავიშებს, ციფრულ ხელმოწერებს, სესიის გასაღებებს და ა.შ. იდენტიფიკაციისა და ავთენტიფიკაციის საშუალებების პროცედურული ნაწილი ურთიერთდაკავშირებულია და, ფაქტობრივად, წარმოადგენს ყველა პროგრამული და აპარატურის საფუძველს ინფორმაციის უსაფრთხოების უზრუნველსაყოფად, რადგან ყველა სხვა სერვისი შექმნილია იმისთვის, რომ მოემსახუროს ინფორმაციული სისტემის მიერ სწორად აღიარებულ კონკრეტულ სუბიექტებს. ზოგადად, იდენტიფიკაცია საშუალებას აძლევს სუბიექტს იდენტიფიცირება მოახდინოს ინფორმაციულ სისტემაში და ავთენტიფიკაციის დახმარებით, საინფორმაციო სისტემა ადასტურებს, რომ სუბიექტი ნამდვილად არის ის, ვინც ამტკიცებს, რომ არის. ამ ოპერაციის გავლის საფუძველზე ტარდება ოპერაცია საინფორმაციო სისტემაზე წვდომის უზრუნველსაყოფად. წვდომის კონტროლის პროცედურები უფლებამოსილ პირებს საშუალებას აძლევს განახორციელონ რეგლამენტით ნებადართული მოქმედებები, ხოლო საინფორმაციო სისტემამ გააკონტროლოს ეს ქმედებები მიღებული შედეგის სისწორისა და სისწორისთვის. წვდომის კონტროლი საშუალებას აძლევს სისტემას დაიმალოს მომხმარებლებისგან მონაცემები, რომლებზეც მათ არ აქვთ წვდომა.
პროგრამული უზრუნველყოფისა და ტექნიკის დაცვის შემდეგი საშუალება არის ინფორმაციის აღრიცხვა და აუდიტი.
შესვლა მოიცავს ინფორმაციის შეგროვებას, დაგროვებას და შენახვას მოვლენების, მოქმედებების, შედეგების შესახებ, რომლებიც მოხდა საინფორმაციო სისტემის მუშაობის დროს, ცალკეულ მომხმარებლებს, პროცესებს და ყველა პროგრამულ უზრუნველყოფას და აპარატურას, რომელიც არის საწარმოს საინფორმაციო სისტემის ნაწილი.
ვინაიდან ინფორმაციული სისტემის თითოეულ კომპონენტს აქვს წინასწარ განსაზღვრული შესაძლო მოვლენების ნაკრები დაპროგრამებული კლასიფიკატორების შესაბამისად, მოვლენები, მოქმედებები და შედეგები იყოფა:
- გარე, გამოწვეული სხვა კომპონენტების მოქმედებით,
- შიდა, გამოწვეული თავად კომპონენტის მოქმედებით,
- კლიენტი, გამოწვეული მომხმარებლებისა და ადმინისტრატორების ქმედებებით.
ინფორმაციის აუდიტი მოიცავს ოპერატიული ანალიზის განხორციელებას რეალურ დროში ან მოცემულ პერიოდში.
ანალიზის შედეგებზე დაყრდნობით, ან იქმნება ანგარიში მომხდარ მოვლენებზე, ან იწყება ავტომატური რეაგირება საგანგებო სიტუაციაზე.
ჭრის და აუდიტის განხორციელება წყვეტს შემდეგ ამოცანებს:
- მომხმარებლებისა და ადმინისტრატორების ანგარიშვალდებულების უზრუნველყოფა;
- მოვლენათა თანმიმდევრობის რეკონსტრუქციის შესაძლებლობას;
- ინფორმაციული უსაფრთხოების დარღვევის მცდელობების გამოვლენა;
- ინფორმაციის მიწოდება პრობლემების იდენტიფიცირებისა და ანალიზისთვის.
ხშირად ინფორმაციის დაცვა შეუძლებელია კრიპტოგრაფიული ხელსაწყოების გამოყენების გარეშე. ისინი გამოიყენება დაშიფვრის, მთლიანობისა და ავთენტიფიკაციის სერვისების უზრუნველსაყოფად, როდესაც ავტორიზაციის საშუალებები ინახება მომხმარებლის მიერ დაშიფრული ფორმით. დაშიფვრის ორი ძირითადი მეთოდი არსებობს: სიმეტრიული და ასიმეტრიული.
მთლიანობის კონტროლი საშუალებას გაძლევთ დაადგინოთ ობიექტის ავთენტურობა და იდენტურობა, რომელიც არის მონაცემთა მასივი, მონაცემთა ცალკეული ნაწილები, მონაცემთა წყარო და ასევე უზრუნველყოთ სისტემაში შესრულებული მოქმედების აღნიშვნის შეუძლებლობა ინფორმაციის მასივით. მთლიანობის კონტროლის განხორციელება ეფუძნება მონაცემთა კონვერტაციის ტექნოლოგიებს დაშიფვრის და ციფრული სერთიფიკატების გამოყენებით.
სხვა მნიშვნელოვანი ასპექტიეს არის სკრინინგის გამოყენება, ტექნოლოგია, რომელიც საშუალებას აძლევს, სუბიექტების წვდომის დელიმიტირებას ინფორმაციულ რესურსებზე, გააკონტროლოს ყველა ინფორმაციის ნაკადი საწარმოს საინფორმაციო სისტემასა და გარე ობიექტებს, მონაცემთა მასივებს, სუბიექტებსა და კონტრ-სუბიექტებს შორის. ნაკადის კონტროლი მოიცავს მათ ფილტრაციას და, საჭიროების შემთხვევაში, გადაცემული ინფორმაციის ტრანსფორმაციას.
დაფარვის ამოცანაა შიდა ინფორმაციის დაცვა პოტენციურად მტრული გარე ფაქტორებისა და აქტორებისგან. დამცავი განხორციელების ძირითადი ფორმაა სხვადასხვა ტიპისა და არქიტექტურის ფაიერვოლლები ან ბუხარი.
ვინაიდან ინფორმაციული უსაფრთხოების ერთ-ერთი ნიშანი საინფორმაციო რესურსების ხელმისაწვდომობაა, ხელმისაწვდომობის მაღალი დონის უზრუნველყოფა მნიშვნელოვანი მიმართულებაა პროგრამული და აპარატურის ღონისძიებების განხორციელებაში. კერძოდ, ორ სფერო იყოფა: ხარვეზების ტოლერანტობის უზრუნველყოფა, ე.ი. სისტემის გაუმართაობა, შეცდომების დროს მუშაობის უნარი და უსაფრთხო და სწრაფი აღდგენაწარუმატებლობის შემდეგ, ე.ი. სისტემის მომსახურეობა.
საინფორმაციო სისტემების მთავარი მოთხოვნაა ის, რომ ისინი ყოველთვის მუშაობენ მოცემული ეფექტურობით, მინიმალური შეფერხებით და რეაგირების სიჩქარით.
ამის შესაბამისად, საინფორმაციო რესურსების ხელმისაწვდომობა უზრუნველყოფილია:
- სტრუქტურული არქიტექტურის გამოყენება, რაც ნიშნავს, რომ ინდივიდუალური მოდულები შეიძლება გამორთოთ ან სწრაფად შეიცვალოს საჭიროების შემთხვევაში, საინფორმაციო სისტემის სხვა ელემენტებზე გავლენის გარეშე;
- ხარვეზების ტოლერანტობის უზრუნველყოფა: დამხმარე ინფრასტრუქტურის ავტონომიური ელემენტების გამოყენება, პროგრამული უზრუნველყოფის და აპარატურის კონფიგურაციაში ჭარბი სიმძლავრის დანერგვა, ტექნიკის სიჭარბე, სისტემაში საინფორმაციო რესურსების რეპლიკაცია; სარეზერვო ასლიმონაცემები და ა.შ.
- შენარჩუნების უზრუნველყოფა წარუმატებლობისა და მათი შედეგების დიაგნოსტიკისა და აღმოფხვრის დროის შემცირებით.
ინფორმაციული უსაფრთხოების სხვა სახის საშუალებაა უსაფრთხო საკომუნიკაციო არხები.
საინფორმაციო სისტემების ფუნქციონირება გარდაუვლად ასოცირდება მონაცემთა გადაცემასთან, შესაბამისად, ასევე აუცილებელია საწარმოებმა უზრუნველყონ გადაცემული საინფორმაციო რესურსების დაცვა უსაფრთხო საკომუნიკაციო არხების გამოყენებით. ღია საკომუნიკაციო არხებით ტრაფიკის გადაცემის დროს მონაცემებზე არასანქცირებული წვდომის შესაძლებლობა განპირობებულია მათი ზოგადი ხელმისაწვდომობით. ვინაიდან "კომუნიკაციები მთელ სიგრძეზე ფიზიკურად არ შეიძლება იყოს დაცული, ამიტომ უმჯობესია თავიდან იქნას აცილებული მათი დაუცველობის ვარაუდი და უზრუნველყოს დაცვა" . ამისთვის გამოიყენება გვირაბის გაყვანის ტექნოლოგიები, რომელთა არსი არის მონაცემების ინკაფსულაცია, ე.ი. შეფუთეთ ან გადაიტანეთ გადაცემული მონაცემთა პაკეტები, ყველა სერვისის ატრიბუტის ჩათვლით, საკუთარ კონვერტებში. შესაბამისად, გვირაბი არის უსაფრთხო კავშირი ღია საკომუნიკაციო არხებით, რომლის მეშვეობითაც ხდება კრიპტოგრაფიულად დაცული მონაცემთა პაკეტების გადაცემა. გვირაბი გამოიყენება ტრაფიკის კონფიდენციალურობის უზრუნველსაყოფად სერვისის ინფორმაციის დამალვით და გადაცემული მონაცემების კონფიდენციალურობისა და მთლიანობის უზრუნველსაყოფად, როდესაც გამოიყენება საინფორმაციო სისტემის კრიპტოგრაფიულ ელემენტებთან ერთად. გვირაბისა და დაშიფვრის კომბინაცია შესაძლებელს ხდის ვირტუალური კერძო ქსელის განხორციელებას. ამავდროულად, გვირაბების ბოლო წერტილები, რომლებიც ახორციელებენ ვირტუალურ კერძო ქსელებს, არის ბუხარი, რომლებიც ემსახურებიან ორგანიზაციების კავშირს გარე ქსელებთან.
Firewalls როგორც ვირტუალური კერძო ქსელების სერვისის განხორციელების წერტილები
ამრიგად, გვირაბი და დაშიფვრა არის დამატებითი ტრანსფორმაციები, რომლებიც შესრულებულია ქსელის ტრაფიკის გაფილტვრის პროცესში მისამართების თარგმნასთან ერთად. გვირაბების ბოლოები, გარდა კორპორატიული ფირვოლებისა, შეიძლება იყოს თანამშრომლების პერსონალური და მობილური კომპიუტერები, უფრო ზუსტად, მათი პერსონალური ფაირვოლლები და ფაიერვოლლები. ამ მიდგომის წყალობით უზრუნველყოფილია უსაფრთხო საკომუნიკაციო არხების ფუნქციონირება.
ინფორმაციის უსაფრთხოების პროცედურები
ინფორმაციის უსაფრთხოების პროცედურები ჩვეულებრივ იყოფა ადმინისტრაციულ და ორგანიზაციულ დონეებად.
- ადმინისტრაციული პროცედურები მოიცავს ორგანიზაციის მენეჯმენტის მიერ განხორციელებულ ზოგად ქმედებებს ინფორმაციული უსაფრთხოების უზრუნველყოფისა და შენარჩუნების სფეროში ყველა სამუშაოს, მოქმედების, ოპერაციის დასარეგულირებლად, რომელიც ხორციელდება საჭირო რესურსების გამოყოფით და მიღებული ზომების ეფექტურობის მონიტორინგით.
- ორგანიზაციული დონე წარმოადგენს ინფორმაციის უსაფრთხოების უზრუნველყოფის პროცედურებს, მათ შორის პერსონალის მართვას, ფიზიკურ დაცვას, პროგრამული უზრუნველყოფისა და აპარატურის ინფრასტრუქტურის ფუნქციონირების შენარჩუნებას, უსაფრთხოების დარღვევების სწრაფ აღმოფხვრას და აღდგენის სამუშაოების დაგეგმვას.
მეორე მხრივ, განსხვავება ადმინისტრაციულ და ორგანიზაციულ პროცედურებს შორის უაზროა, ვინაიდან ერთი დონის პროცედურები არ შეიძლება არსებობდეს მეორე დონისგან განცალკევებით, რითაც ირღვევა დაცვის ურთიერთობა. ფიზიკური ფენა, პირადი და ორგანიზაციული დაცვა ინფორმაციული უსაფრთხოების კონცეფციაში. პრაქტიკაში, ინფორმაციული უსაფრთხოების უზრუნველყოფისას, ორგანიზაციები არ უგულებელყოფენ ადმინისტრაციულ ან ორგანიზაციულ პროცედურებს, ამიტომ უფრო ლოგიკურია მათი განხილვა, როგორც ინტეგრირებული მიდგომა, რადგან ორივე დონე გავლენას ახდენს ინფორმაციის დაცვის ფიზიკურ, ორგანიზაციულ და პირად დონეზე.
ინფორმაციული უსაფრთხოების უზრუნველსაყოფად რთული პროცედურების საფუძველი არის უსაფრთხოების პოლიტიკა.
ინფორმაციის უსაფრთხოების პოლიტიკა
ინფორმაციის უსაფრთხოების პოლიტიკაორგანიზაციაში ეს არის ორგანიზაციის მენეჯმენტის მიერ მიღებული დოკუმენტირებული გადაწყვეტილებების ერთობლიობა და მიმართულია ინფორმაციისა და მასთან დაკავშირებული რესურსების დაცვაზე.
ორგანიზაციული და მენეჯერული თვალსაზრისით, ინფორმაციის უსაფრთხოების პოლიტიკა შეიძლება იყოს ერთი დოკუმენტი ან შედგენილი იყოს რამდენიმე დამოუკიდებელი დოკუმენტის ან ბრძანების სახით, მაგრამ ნებისმიერ შემთხვევაში უნდა მოიცავდეს ორგანიზაციის საინფორმაციო სისტემის დაცვის შემდეგ ასპექტებს:
- საინფორმაციო სისტემის ობიექტების, საინფორმაციო რესურსების დაცვა და მათთან პირდაპირი ოპერაციები;
- სისტემაში ინფორმაციის დამუშავებასთან დაკავშირებული ყველა ოპერაციის დაცვა, მათ შორის დამუშავების პროგრამული უზრუნველყოფა;
- საკომუნიკაციო არხების დაცვა, მათ შორის სადენიანი, რადიო არხები, ინფრაწითელი, აპარატურა და ა.შ.
- ტექნიკის კომპლექსის დაცვა გვერდითი ელექტრომაგნიტური გამოსხივებისგან;
- უსაფრთხოების სისტემის მართვა, მათ შორის ტექნიკური მომსახურება, განახლება და ადმინისტრაციული ქმედებები.
თითოეული ასპექტი დეტალურად უნდა იყოს აღწერილი და დოკუმენტირებული ორგანიზაციის შიდა დოკუმენტებში. შიდა დოკუმენტები მოიცავს დაცვის პროცესის სამ დონეს: ზედა, შუა და ქვედა.
უმაღლესი დონის ინფორმაციული უსაფრთხოების პოლიტიკის დოკუმენტები ასახავს ორგანიზაციის ძირითად მიდგომას საკუთარი ინფორმაციის დასაცავად და ეროვნულ და/ან საერთაშორისო სტანდარტებთან შესაბამისობაში. პრაქტიკაში, ორგანიზაციაში არსებობს მხოლოდ ერთი უმაღლესი დონის დოკუმენტი, სახელწოდებით „ინფორმაციული უსაფრთხოების კონცეფცია“, „ინფორმაციული უსაფრთხოების რეგულაცია“ და ა.შ. ფორმალურად, ეს დოკუმენტები არ არის კონფიდენციალური მნიშვნელობის, მათი გავრცელება შეზღუდული არ არის, მაგრამ მათი გამოცემა შესაძლებელია შიდა გამოყენებისა და ღია გამოქვეყნებისთვის.
საშუალო დონის დოკუმენტები მკაცრად კონფიდენციალურია და ეხება ორგანიზაციის ინფორმაციული უსაფრთხოების კონკრეტულ ასპექტებს: გამოყენებული ინფორმაციის დაცვის საშუალებებს, მონაცემთა ბაზების უსაფრთხოებას, კომუნიკაციებს, კრიპტოგრაფიულ ხელსაწყოებს და ორგანიზაციის სხვა საინფორმაციო და ეკონომიკურ პროცესებს. დოკუმენტაცია ხორციელდება შიდა ტექნიკური და ორგანიზაციული სტანდარტების სახით.
ქვედა დონის დოკუმენტები იყოფა ორ ტიპად: სამუშაო რეგლამენტი და საოპერაციო ინსტრუქციები. სამუშაო რეგულაციები მკაცრად კონფიდენციალურია და განკუთვნილია მხოლოდ იმ პირებისთვის, რომლებიც მორიგეობის დროს ახორციელებენ სამუშაოებს ინფორმაციული უსაფრთხოების ინდივიდუალური სამსახურების ადმინისტრირებაზე. საოპერაციო ინსტრუქციები შეიძლება იყოს კონფიდენციალური ან საჯარო; ისინი განკუთვნილია ორგანიზაციის პერსონალისთვის და აღწერს ორგანიზაციის საინფორმაციო სისტემის ცალკეულ ელემენტებთან მუშაობის პროცედურას.
მსოფლიო გამოცდილება აჩვენებს, რომ ინფორმაციული უსაფრთხოების პოლიტიკა ყოველთვის დოკუმენტირებულია მხოლოდ დიდ კომპანიებში, რომლებსაც აქვთ განვითარებული საინფორმაციო სისტემა, რომელიც აწესებს გაზრდილ მოთხოვნებს ინფორმაციული უსაფრთხოებისთვის, საშუალო ზომის საწარმოებს ყველაზე ხშირად აქვთ მხოლოდ ნაწილობრივ დოკუმენტირებული ინფორმაციული უსაფრთხოების პოლიტიკა, მცირე ორგანიზაციებს დიდი უმრავლესობა. საერთოდ არ აინტერესებთ უსაფრთხოების პოლიტიკის დოკუმენტირება. მიუხედავად იმისა, არის თუ არა დოკუმენტაციის ფორმატი ჰოლისტიკური თუ განაწილებული, ძირითადი ასპექტი არის უსაფრთხოების რეჟიმი.
არსებობს ორი განსხვავებული მიდგომა, რომელიც ქმნის საფუძველს ინფორმაციის უსაფრთხოების პოლიტიკა:
- ნებადართულია ყველაფერი, რაც აკრძალული არ არის.
- აკრძალულია ყველაფერი, რაც დაუშვებელია.
პირველი მიდგომის ფუნდამენტური ნაკლი ის არის, რომ პრაქტიკაში შეუძლებელია ყველა საშიში შემთხვევის განჭვრეტა და მათი აკრძალვა. ეჭვგარეშეა, მხოლოდ მეორე მიდგომა უნდა იქნას გამოყენებული.
ინფორმაციული უსაფრთხოების ორგანიზაციული დონე
ინფორმაციული უსაფრთხოების თვალსაზრისით, ინფორმაციული უსაფრთხოების უზრუნველსაყოფად ორგანიზაციული პროცედურები წარმოდგენილია, როგორც "წარმოების საქმიანობისა და ურთიერთობის რეგულირება შემსრულებლებს შორის ლეგალურ საფუძველზე, რომელიც გამორიცხავს ან მნიშვნელოვნად აფერხებს კონფიდენციალური ინფორმაციის მითვისებას და შიდა და გარე საფრთხეების გამოვლენას". .
პერსონალის მართვის ღონისძიებები, რომლებიც მიზნად ისახავს პერსონალთან მუშაობის ორგანიზებას ინფორმაციის უსაფრთხოების უზრუნველსაყოფად, მოიცავს მოვალეობების გამიჯვნას და პრივილეგიების მინიმიზაციას. მოვალეობების დაყოფა განსაზღვრავს კომპეტენციებისა და პასუხისმგებლობის სფეროების ისეთ განაწილებას, რომელშიც ერთ ადამიანს არ შეუძლია ჩაშალოს ორგანიზაციისთვის კრიტიკული პროცესი. ეს ამცირებს შეცდომების და ბოროტად გამოყენების შანსს. პრივილეგიების მინიმიზაცია კარნახობს, რომ მომხმარებლებს მიეცეს მხოლოდ წვდომის დონე, რომელიც შეესაბამება მათ სამუშაო ფუნქციებს. ეს ამცირებს ზარალს შემთხვევითი ან განზრახ არასწორი ქმედებების შედეგად.
ფიზიკური დაცვა ნიშნავს ზომების შემუშავებას და მიღებას შენობების პირდაპირი დაცვისთვის, რომლებშიც განთავსებულია ორგანიზაციის საინფორმაციო რესურსები, მიმდებარე ტერიტორიები, ინფრასტრუქტურის ელემენტები, გამოთვლითი აღჭურვილობა, მონაცემთა მატარებლები და აპარატურის საკომუნიკაციო არხები. ეს მოიცავს ფიზიკურ წვდომის კონტროლს, ხანძარსაწინააღმდეგო დაცვას, დამხმარე ინფრასტრუქტურის დაცვას, მოსმენისგან დაცვას და მობილური სისტემის დაცვას.
პროგრამული უზრუნველყოფისა და აპარატურის ინფრასტრუქტურის სიჯანსაღის შენარჩუნება არის სტოქასტური შეცდომების თავიდან აცილება, რომლებიც საფრთხეს უქმნის ტექნიკის კომპლექსს, არღვევს პროგრამებს და დაკარგავს მონაცემებს. ამ ასპექტში ძირითადი მიმართულებებია მომხმარებლისა და პროგრამული უზრუნველყოფის მხარდაჭერა, კონფიგურაციის მართვა, სარეზერვო ასლი, მედია მენეჯმენტი, დოკუმენტაცია და პრევენციული ტექნიკური მომსახურება.
უსაფრთხოების დარღვევის სწრაფ გადაჭრას სამი ძირითადი მიზანი აქვს:
- ინციდენტის ლოკალიზაცია და დაზიანების შემცირება;
- დამნაშავის იდენტიფიცირება;
- განმეორებითი დარღვევების პრევენცია.
დაბოლოს, აღდგენის დაგეგმვა საშუალებას გაძლევთ მოემზადოთ უბედური შემთხვევებისთვის, შეამციროთ მათგან მიყენებული ზიანი და შეინარჩუნოთ მინიმუმ მინიმალური ფუნქციონირების უნარი.
პროგრამული უზრუნველყოფისა და აპარატურის გამოყენება და უსაფრთხო საკომუნიკაციო არხები ორგანიზაციაში უნდა განხორციელდეს ინტეგრირებული მიდგომის საფუძველზე ინფორმაციის უსაფრთხოების უზრუნველყოფის ყველა ადმინისტრაციული და ორგანიზაციული მარეგულირებელი პროცედურის შემუშავებისა და დამტკიცების მიზნით. წინააღმდეგ შემთხვევაში, ცალკეული ზომების მიღება არ იძლევა ინფორმაციის დაცვის გარანტიას და ხშირად, პირიქით, იწვევს კონფიდენციალური ინფორმაციის გაჟონვას, კრიტიკული მონაცემების დაკარგვას, ტექნიკის ინფრასტრუქტურის დაზიანებას და ორგანიზაციის საინფორმაციო სისტემის პროგრამული კომპონენტების დარღვევას.
ინფორმაციის უსაფრთხოების მეთოდები
თანამედროვე საწარმოებს ახასიათებთ განაწილებული საინფორმაციო სისტემა, რომელიც საშუალებას გაძლევთ გაითვალისწინოთ კომპანიის განაწილებული ოფისები და საწყობები, ფინანსური აღრიცხვა და მართვის კონტროლი, ინფორმაცია მომხმარებელთა ბაზიდან, ინდიკატორების შერჩევის გათვალისწინებით და ა.შ. ამრიგად, მონაცემთა მასივი ძალზე მნიშვნელოვანია და მისი აბსოლუტური უმრავლესობა არის ინფორმაცია, რომელიც პრიორიტეტულია კომპანიისთვის კომერციული და ეკონომიკური თვალსაზრისით. ფაქტობრივად, კომერციული ღირებულების მქონე მონაცემების კონფიდენციალურობის უზრუნველყოფა კომპანიაში ინფორმაციის უსაფრთხოების უზრუნველყოფის ერთ-ერთი მთავარი ამოცანაა.
საწარმოში ინფორმაციის უსაფრთხოების უზრუნველყოფაუნდა დარეგულირდეს შემდეგი დოკუმენტებით:
- ინფორმაციის უსაფრთხოების რეგულაცია. იგი მოიცავს ინფორმაციული უსაფრთხოების უზრუნველსაყოფად მიზნებისა და ამოცანების ფორმულირებას, ინფორმაციული უსაფრთხოების ინსტრუმენტების შიდა რეგულაციების ჩამონათვალს და კომპანიის განაწილებული საინფორმაციო სისტემის ადმინისტრირების რეგულაციას. რეგულაციებზე წვდომა შემოიფარგლება ორგანიზაციის მენეჯმენტით და ავტომატიზაციის დეპარტამენტის უფროსით.
- ინფორმაციის დაცვის ტექნიკური უზრუნველყოფის წესები. დოკუმენტები კონფიდენციალურია, წვდომა შეზღუდულია ავტომატიზაციის განყოფილების თანამშრომლებით და უმაღლესი მენეჯმენტით.
- განაწილებული ინფორმაციის დაცვის სისტემის ადმინისტრირების წესები. რეგულაციაზე წვდომა შემოიფარგლება ავტომატიზაციის დეპარტამენტის თანამშრომლებით, რომლებიც პასუხისმგებელნი არიან საინფორმაციო სისტემის ადმინისტრირებაზე და უფროს მენეჯმენტზე.
ამასთან, ეს დოკუმენტები არ უნდა იყოს შეზღუდული, არამედ ქვედა დონეებიც უნდა იყოს შემუშავებული. წინააღმდეგ შემთხვევაში, თუ საწარმოს არ აქვს ინფორმაციული უსაფრთხოებასთან დაკავშირებული სხვა დოკუმენტები, ეს მიუთითებს ადმინისტრაციული ინფორმაციის უსაფრთხოების არასაკმარის ხარისხზე, რადგან არ არსებობს ქვედა დონის დოკუმენტები, კერძოდ, ინსტრუქციები ინფორმაციული სისტემის ცალკეული ელემენტების მუშაობისთვის.
სავალდებულო ორგანიზაციული პროცედურები მოიცავს:
- ძირითადი ზომები პერსონალის დიფერენცირების მიზნით საინფორმაციო რესურსებზე წვდომის დონის მიხედვით,
- კომპანიის ოფისების ფიზიკური დაცვა პირდაპირი შეღწევისა და მონაცემთა განადგურების, დაკარგვის ან თვალთვალის საფრთხისგან,
- ტექნიკისა და პროგრამული უზრუნველყოფის ინფრასტრუქტურის ფუნქციონირების შენარჩუნება ორგანიზებულია ავტომატური სარეზერვო ასლის სახით, მოთხოვნის შემთხვევაში უზრუნველყოფილია შენახვის მედიის დისტანციური გადამოწმება, მომხმარებლის და პროგრამული უზრუნველყოფის მხარდაჭერა.
ეს ასევე უნდა მოიცავდეს რეგულირებულ ზომებს ინფორმაციის უსაფრთხოების დარღვევის შემთხვევებზე რეაგირებისა და აღმოფხვრის მიზნით.
პრაქტიკაში ხშირად შეინიშნება, რომ საწარმოები არ არიან საკმარისად ყურადღებიანი ამ საკითხის მიმართ. ყველა საქმიანობაში ამ მიმართულებასტარდება ექსკლუზიურად მუშა მდგომარეობაში, რაც ზრდის დარღვევების შემთხვევების აღმოფხვრის დროს და არ იძლევა ინფორმაციული უსაფრთხოების განმეორებითი დარღვევის პრევენციის გარანტიას. გარდა ამისა, ავარიების, ინფორმაციის გაჟონვის, მონაცემთა დაკარგვისა და კრიტიკული სიტუაციების შემდეგ შედეგების აღმოსაფხვრელად ქმედებების დაგეგმვის პრაქტიკა სრულიად არ არსებობს. ეს ყველაფერი საგრძნობლად აუარესებს საწარმოს ინფორმაციულ უსაფრთხოებას.
პროგრამული უზრუნველყოფისა და აპარატურის დონეზე უნდა დაინერგოს სამდონიანი ინფორმაციული უსაფრთხოების სისტემა.
მინიმალური კრიტერიუმები ინფორმაციის უსაფრთხოების უზრუნველსაყოფად:
1. წვდომის კონტროლის მოდული:
- განხორციელდა დახურული შესასვლელისაინფორმაციო სისტემაში შეუძლებელია სისტემაში შესვლა დამოწმებული სამუშაო ადგილების გარეთ;
- შეზღუდული ფუნქციონალური წვდომა მობილური პერსონალური კომპიუტერებიდან განხორციელდა თანამშრომლებისთვის;
- ავტორიზაცია ხორციელდება ადმინისტრატორების მიერ შემუშავებული ლოგინისა და პაროლების მიხედვით.
2. დაშიფვრის და მთლიანობის კონტროლის მოდული:
- გამოიყენება ასიმეტრიული დაშიფვრის მეთოდი გადაცემული მონაცემებისთვის;
- კრიტიკული მონაცემების მასივები ინახება მონაცემთა ბაზებში დაშიფრული სახით, რაც არ იძლევა მათზე წვდომის საშუალებას, თუნდაც კომპანიის საინფორმაციო სისტემა გატეხილი იყოს;
- მთლიანობის კონტროლი უზრუნველყოფილია მარტივი ციფრული ხელმოწერასაინფორმაციო სისტემაში შენახული, დამუშავებული ან გადაცემული ყველა საინფორმაციო რესურსი.
3. დამცავი მოდული:
- დაინერგა ფილტრების სისტემა firewalls-ში, რაც საშუალებას გაძლევთ აკონტროლოთ ყველა ინფორმაციის ნაკადი საკომუნიკაციო არხებით;
- გარე კავშირები გლობალურ საინფორმაციო რესურსებთან და საჯარო საკომუნიკაციო არხებთან შეიძლება განხორციელდეს მხოლოდ შეზღუდული დამოწმებული სამუშაო სადგურების მეშვეობით, რომლებსაც შეზღუდული კავშირი აქვთ კორპორატიულ საინფორმაციო სისტემასთან;
- უსაფრთხო წვდომა თანამშრომლების სამუშაო ადგილებიდან სამსახურებრივი მოვალეობების შესასრულებლად ხორციელდება პროქსი სერვერების ორდონიანი სისტემის მეშვეობით.
და ბოლოს, გვირაბის ტექნოლოგიების დახმარებით, ვირტუალური კერძო ქსელი უნდა განხორციელდეს საწარმოში ტიპიური სამშენებლო მოდელის შესაბამისად, რათა უზრუნველყოს უსაფრთხო საკომუნიკაციო არხები კომპანიის სხვადასხვა განყოფილებებს, პარტნიორებსა და კომპანიის მომხმარებლებს შორის.
მიუხედავად იმისა, რომ კომუნიკაციები უშუალოდ ხორციელდება ქსელების საშუალებით პოტენციურად დაბალი დონენდობა, გვირაბის ტექნოლოგიები, კრიპტოგრაფიული ხელსაწყოების გამოყენების წყალობით, უზრუნველყოფს ყველა გადაცემული მონაცემების საიმედო დაცვას.
დასკვნები
ინფორმაციული უსაფრთხოების სფეროში განხორციელებული ყველა ღონისძიების მთავარი მიზანია საწარმოს ინტერესების დაცვა, ამა თუ იმგვარად დაკავშირებული იმ საინფორმაციო რესურსებთან, რაც მას გააჩნია. მიუხედავად იმისა, რომ საწარმოთა ინტერესები არ შემოიფარგლება კონკრეტული სფეროთი, ისინი ყველა მიმართულია ინფორმაციის ხელმისაწვდომობის, მთლიანობისა და კონფიდენციალურობის გარშემო.
ინფორმაციული უსაფრთხოების უზრუნველყოფის პრობლემა ორი ძირითადი მიზეზით აიხსნება.
- საწარმოს მიერ დაგროვილი საინფორმაციო რესურსები ღირებულია.
- ინფორმაციულ ტექნოლოგიებზე კრიტიკული დამოკიდებულება იწვევს მათ ფართო გამოყენებას.
ინფორმაციული უსაფრთხოებისთვის არსებული საფრთხის მრავალფეროვნების გათვალისწინებით, როგორიცაა განადგურება მნიშვნელოვანი ინფორმაცია, კონფიდენციალური მონაცემების არასანქცირებული გამოყენება, საწარმოს მუშაობის შეფერხებები საინფორმაციო სისტემის დარღვევის გამო, შეგვიძლია დავასკვნათ, რომ ეს ყველაფერი ობიექტურად იწვევს დიდ მატერიალურ ზარალს.
ინფორმაციული უსაფრთხოების უზრუნველყოფაში მნიშვნელოვან როლს ასრულებენ პროგრამული და ტექნიკის ინსტრუმენტები, რომლებიც მიმართულია კომპიუტერული სუბიექტების კონტროლზე, ე.ი. აპარატურა, პროგრამული ელემენტები, მონაცემები, რომლებიც ქმნიან ინფორმაციული უსაფრთხოების ბოლო და უმაღლეს პრიორიტეტულ ზღვარს. მონაცემთა გადაცემა ასევე უნდა იყოს დაცული მისი კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის შენარჩუნების კონტექსტში. ამიტომ თანამედროვე პირობებში გვირაბის გაყვანის ტექნოლოგიები გამოიყენება კრიპტოგრაფიულ საშუალებებთან ერთად, რათა უზრუნველყონ უსაფრთხო საკომუნიკაციო არხები.
ლიტერატურა
- გალატენკო V.A. ინფორმაციის უსაფრთხოების სტანდარტები. - მ.: საინფორმაციო ტექნოლოგიების ინტერნეტ უნივერსიტეტი, 2006 წ.
- პარტიკა ტ.ლ., პოპოვი ი.ი. Ინფორმაციის დაცვა. – მ.: ფორუმი, 2012 წ.
