Informācijas drošības pieejamība. Datu drošība: informācijas drošības nodrošināšana

Kibernētikas pamatlicējs Norberts Vīners uzskatīja, ka informācijai ir unikālas īpašības un to nevar attiecināt ne uz enerģiju, ne uz matēriju. Informācijas kā fenomena īpašais statuss ir radījis daudzas definīcijas.

ISO / IEC 2382: 2015 "Informācijas tehnoloģijas" standarta vārdnīcā ir sniegta šāda interpretācija:

Informācija (informācijas apstrādes jomā)- jebkuri dati, kas iesniegti elektroniskā formā, rakstīti uz papīra, izteikti sanāksmē vai jebkurā citā datu nesējā, ko finanšu iestāde izmanto lēmumu pieņemšanai, līdzekļu pārvietošanai, likmju noteikšanai, aizdevumu piešķiršanai, darījumu apstrādei utt., ieskaitot komponentus programmatūra apstrādes sistēmas.

Lai izstrādātu informācijas drošības (IS) jēdzienu, ar informāciju saprot informāciju, kas ir pieejama vākšanai, glabāšanai, apstrādei (rediģēšanai, transformācijai), lietošanai un pārraidīšanai dažādos veidos, tai skaitā datortīklos un citās informācijas sistēmās.

Šāda informācija ir ļoti vērtīga un var kļūt par trešo personu iejaukšanās objektu. Informācijas drošības sistēmu izveides pamatā ir vēlme aizsargāt informāciju no apdraudējumiem.

Juridiskais pamats

2017. gada decembrī Krievija pieņēma Informācijas drošības doktrīnu. Dokumentā IB ir definēts kā nacionālo interešu aizsardzības stāvoklis informācijas sfēra... Šajā gadījumā nacionālās intereses tiek saprastas kā sabiedrības, indivīda un valsts interešu kopums, katra interešu grupa ir nepieciešama sabiedrības stabilai funkcionēšanai.

Doktrīna ir koncepcijas dokuments. Tiesiskās attiecības, kas saistītas ar informācijas drošības nodrošināšanu, regulē federālie likumi "Par valsts noslēpumu", "Par informāciju", "Par personas datu aizsardzību" un citi. Pamatojoties uz fundamentālajiem normatīvajiem aktiem, tiek izstrādāti valdības rīkojumi un resoru normatīvie akti par informācijas aizsardzības privātajiem jautājumiem.

Informācijas drošības definīcija

Pirms informācijas drošības stratēģijas izstrādes ir jāpieņem paša jēdziena pamatdefinīcija, kas ļaus izmantot noteiktu aizsardzības metožu un metožu kopumu.

Nozares praktiķi iesaka informācijas drošību saprast kā stabilu informācijas, tās nesēju un infrastruktūras drošības stāvokli, kas nodrošina ar informāciju saistīto procesu integritāti un stabilitāti pret tīšu vai netīšu dabiska un mākslīga rakstura ietekmi. Ietekme tiek klasificēta kā IS draudi, kas var kaitēt informācijas attiecību subjektiem.

Tādējādi informācijas aizsardzība nozīmēs juridisko, administratīvo, organizatorisko un tehnisko pasākumu kompleksu, kas vērsts uz reālu vai šķietamu informācijas drošības apdraudējumu novēršanu, kā arī incidentu seku novēršanu. Informācijas aizsardzības procesa nepārtrauktībai jāgarantē cīņa pret apdraudējumiem visos informācijas cikla posmos: informācijas vākšanas, uzglabāšanas, apstrādes, izmantošanas un pārsūtīšanas procesā.

Informācijas drošībašajā izpratnē tas kļūst par vienu no sistēmas veiktspējas pazīmēm. Sistēmai katrā laika brīdī ir jābūt izmērāmam drošības līmenim, un sistēmas drošības nodrošināšanai ir jābūt nepārtrauktam procesam, kas tiek veikts visos laika intervālos sistēmas darbības laikā.

Infografikā izmantoti mūsu pašu datiSearchInform.

Informācijas drošības teorijā ar informācijas drošības subjektiem saprot informācijas īpašniekus un lietotājus un ne tikai lietotājus pastāvīgi (darbiniekus), bet arī lietotājus, kuri piekļūst datu bāzēm atsevišķos gadījumos, piemēram, valsts iestādes, kas pieprasa informāciju. Vairākos gadījumos, piemēram, banku informācijas drošības standartos akcionāri tiek ierindoti kā informācijas īpašnieki - juridiskām personām kam pieder noteikti dati.

Atbalsta infrastruktūra no informācijas drošības pamatu viedokļa ietver datorus, tīklus, telekomunikāciju iekārtas, telpas, dzīvības uzturēšanas sistēmas un personālu. Analizējot drošību, ir jāizpēta visi sistēmu elementi, īpašu uzmanību pievēršot personālam kā vairuma iekšējo apdraudējumu nesējam.

Informācijas drošības vadībai un bojājumu novērtēšanai tiek izmantota pieņemamības pazīme, tāpēc bojājums tiek noteikts kā pieņemams vai nepieņemams. Katram uzņēmumam ir lietderīgi noteikt savus kritērijus kaitējuma pieļaujamībai naudas izteiksmē vai, piemēram, pieņemama kaitējuma reputācijai veidā. Valsts iestādēs var pieņemt arī citus raksturlielumus, piemēram, ietekmi uz vadības procesu vai iedzīvotāju dzīvībai un veselībai nodarītā kaitējuma pakāpes atspoguļojumu. Informācijas būtiskuma, svarīguma un vērtības kritēriji var mainīties dzīves cikls tādēļ informācijas masīvs ir jāpārskata savlaicīgi.

Informācijas apdraudējums šaurā nozīmē ir objektīva iespēja ietekmēt aizsardzības objektu, kas var izraisīt informācijas nopludināšanu, zādzību, izpaušanu vai izplatīšanu. Plašākā nozīmē informācijas drošības apdraudējumi ietvers vērstu informatīvo ietekmi, kuras mērķis ir kaitēt valstij, organizācijai un indivīdam. Šādi draudi ietver, piemēram, neslavas celšanu, apzinātu maldināšanu un nepiemērotu reklāmu.

Trīs galvenie jautājumi par informācijas drošības koncepciju jebkurai organizācijai

Ko aizsargāt?

Kādi draudi dominē: ārējie vai iekšējie?

Kā aizsargāt, ar kādām metodēm un līdzekļiem?

IS sistēma

Informācijas drošības sistēma uzņēmumam - juridiskai personai ietver trīs pamatjēdzienu grupas: integritāte, pieejamība un konfidencialitāte. Zem katra ir jēdzieni ar daudzām īpašībām.

Zem integritāte nozīmē datu bāzu, citu informācijas masīvu noturību pret nejaušu vai tīšu iznīcināšanu, neatļautām izmaiņām. Integritāti var aplūkot šādi:

statisks, kas izteikts informācijas objektu nemainīgumā, autentiskumā pret tiem objektiem, kas izveidoti atbilstoši konkrētam tehniskam uzdevumam un satur lietotāju pamatdarbībai nepieciešamo informācijas apjomu, nepieciešamajā konfigurācijā un secībā;
dinamisks, kas nozīmē sarežģītu darbību vai darījumu pareizu izpildi, nekaitējot informācijas drošībai.

Dinamiskās integritātes kontrolei tiek izmantoti speciāli tehniskie līdzekļi, kas analizē informācijas plūsmu, piemēram, finanšu, un identificē ziņojumu zādzības, dublēšanas, pāradresācijas un pārkārtošanas gadījumus. Integritāte kā galvenā īpašība ir nepieciešama, kad lēmumi tiek pieņemti, pamatojoties uz ienākošo vai pieejamo informāciju, lai veiktu darbības. Komandu secības vai darbību secības pārkāpšana var radīt lielu kaitējumu tehnoloģisko procesu, programmu kodu aprakstīšanas gadījumā un citās līdzīgās situācijās.

Pieejamība ir īpašums, kas ļauj pilnvarotajiem subjektiem piekļūt viņus interesējošiem datiem vai apmainīties ar tiem. Galvenā prasība par subjektu leģitimāciju vai autorizāciju ļauj radīt dažādi līmeņi piekļuvi. Sistēmas atteikums sniegt informāciju kļūst par problēmu jebkurai organizācijai vai lietotāju grupai. Kā piemēru var minēt sabiedrisko pakalpojumu vietņu nepieejamību sistēmas atteices gadījumā, kas daudziem lietotājiem liedz iespēju saņemt nepieciešamos pakalpojumus vai informāciju.

Konfidencialitāte nozīmē informācijas īpašību, kas ir pieejama šiem lietotājiem: subjektiem un procesiem, kuriem sākotnēji ir atļauta piekļuve. Lielākā daļa uzņēmumu un organizāciju konfidencialitāti uztver kā informācijas drošības galveno elementu, taču praksē to ir grūti pilnībā īstenot. Ne visi dati par esošajiem informācijas noplūdes kanāliem ir pieejami informācijas drošības koncepciju autoriem, un daudzi tehniskie aizsardzības līdzekļi, tostarp kriptogrāfiskie, nav iegādājami brīvi, atsevišķos gadījumos apgrozījums ir ierobežots.

Vienādām informācijas drošības īpašībām lietotājiem ir dažādas vērtības, tāpēc datu aizsardzības koncepciju izstrādē ir divas galējās kategorijas. Uzņēmumiem vai organizācijām, kas saistītas ar valsts noslēpumu, par galveno parametru kļūs konfidencialitāte, valsts dienestiem vai izglītības iestādēm svarīgākais parametrs ir pieejamība.

Informācijas drošības apkopojums

Aizsargājamie objekti informācijas drošības koncepcijās

Priekšmetu atšķirības rada atšķirības aizsardzības objektos. Galvenās aizsargājamo objektu grupas:

visu veidu informācijas resursi (resurss ir materiāls objekts: HDD, cits datu nesējs, dokuments ar datiem un detaļām, kas palīdz to identificēt un uz to atsaukties noteikta grupa priekšmeti);
pilsoņu, organizāciju un valsts tiesības piekļūt informācijai, iespēju to iegūt likuma ietvaros; piekļuvi var ierobežot tikai ar normatīvajiem aktiem, nav pieļaujama jebkādu barjeru organizēšana, kas pārkāpj cilvēktiesības;
datu (sistēmas un tehnoloģijas, arhīvi, bibliotēkas, normatīvie dokumenti) izveides, izmantošanas un izplatīšanas sistēma;
sabiedrības apziņas veidošanas sistēma (mediji, interneta resursi, sociālās institūcijas, izglītības iestādes).

Katrs objekts uzņemas īpašu pasākumu sistēmu, lai aizsargātu pret apdraudējumiem informācijas drošībai un sabiedriskajai kārtībai. Informācijas drošības nodrošināšanai katrā gadījumā jābalstās uz sistemātisku pieeju, kas ņem vērā objekta specifiku.

Kategorijas un datu nesēji

Krievijas tiesību sistēma, tiesībaizsardzības prakse un izveidotās sociālās attiecības klasificē informāciju pēc pieejamības kritērijiem. Tas ļauj noskaidrot būtiskos parametrus, kas nepieciešami informācijas drošības nodrošināšanai:

informācija, kurai piekļuve ierobežota, pamatojoties uz likuma prasībām (valsts noslēpumi, komercnoslēpumi, personas dati);
informācija iekšā atvērta piekļuve;
publiski pieejama informācija, kas tiek sniegta ar noteiktiem nosacījumiem: maksas informācija vai dati, par kuriem nepieciešams noformēt ieeju, piemēram, bibliotēkas karte;
bīstamu, kaitīgu, nepatiesu un cita veida informāciju, kuras apriti un izplatīšanu ierobežo vai nu likumu vai korporatīvo standartu prasības.

Informācijai no pirmās grupas ir divi aizsardzības veidi. Valsts noslēpums, saskaņā ar likumu tā ir valsts aizsargāta informācija, kuras bezmaksas izplatīšana var kaitēt valsts drošībai. Tie ir dati militārās, ārpolitikas, izlūkošanas, pretizlūkošanas un valsts saimnieciskās darbības jomā. Šīs datu grupas īpašnieks ir pati valsts. Iestādes, kas pilnvarotas veikt pasākumus valsts noslēpuma aizsardzībai, ir Aizsardzības ministrija, Federālais drošības dienests (FSB), Ārējās izlūkošanas dienests un Federālais tehniskās un eksporta kontroles dienests (FSTEC).

Konfidenciāla informācija- daudzpusīgāks regulēšanas objekts. Informācijas saraksts, kas var būt konfidenciāla, ir ietverts prezidenta dekrētā Nr.188 "Par konfidenciālās informācijas saraksta apstiprināšanu". Tie ir personas dati; izmeklēšanas un tiesvedības noslēpums; valsts noslēpums; profesionālais noslēpums (medicīniskais, notariālais, jurists); komercnoslēpums; informācija par izgudrojumiem un lietderības modeļiem; notiesāto personas lietās esošās ziņas, kā arī ziņas par tiesas darbību piespiedu izpildi.

Personas dati pastāv atklātā un konfidenciālā režīmā. Daļa no visiem lietotājiem atvērtajiem un pieejamiem personas datiem ietver vārdu, uzvārdu, patronimitāti. Saskaņā ar FZ-152 "Par personas datiem" personas datu subjektiem ir tiesības:

informatīvā pašnoteikšanās;
piekļūt personas datiem un veikt tajos izmaiņas;
bloķēt personas datus un piekļuvi tiem;
pārsūdzēt trešo personu prettiesiskas darbības, kas izdarītas saistībā ar personas datiem;
lai atlīdzinātu nodarītos zaudējumus.

Tiesības uz to ir noteiktas noteikumos par valsts iestādēm, federālajiem likumiem, Roskomnadzor vai FSTEC izdotajām licencēm darbam ar personas datiem. Uzņēmumiem, kas profesionāli strādā ar visdažādāko cilvēku personas datiem, piemēram, telekomunikāciju operatoriem, ir jāievada reģistrā, kuru uztur Roskomnadzor.

Atsevišķs objekts informācijas drošības teorijā un praksē ir informācijas nesēji, kuriem pieeja ir atvērta un slēgta. Izstrādājot informācijas drošības koncepciju, aizsardzības metodes tiek izvēlētas atkarībā no medija veida. Galvenais datu nesējs:

drukātajos un elektroniskajos plašsaziņas līdzekļos, sociālie tīkli, citi resursi internetā;
organizācijas darbinieki, kuriem ir pieejama informācija, pamatojoties uz viņu draudzību, ģimeni, profesionālajām saitēm;
sakaru līdzekļi, kas pārraida vai glabā informāciju: telefoni, automātiskās telefonu centrāles, citas telekomunikāciju iekārtas;
visu veidu dokumenti: personīgie, oficiālie, valdības dokumenti;
programmatūru kā neatkarīgu informācijas objektu, īpaši, ja tās versija ir modificēta tieši konkrētam uzņēmumam;
elektroniski datu nesēji, kas apstrādā datus automātiski.

Informācijas drošības koncepciju izstrādes nolūkā informācijas drošības līdzekļus parasti iedala normatīvajos (neformālajos) un tehniskajos (formālajos).

Neformālie aizsardzības līdzekļi ir dokumenti, noteikumi, notikumi, formālie līdzekļi ir īpaši tehniskie līdzekļi un programmatūra. Norobežošana palīdz sadalīt atbildības jomas, veidojot informācijas drošības sistēmas: ar vispārēju aizsardzības vadību administratīvais personāls ievieš normatīvās metodes, bet IT speciālisti - attiecīgi tehniskās.

Informācijas drošības pamati ietver pilnvaru noteikšanu ne tikai attiecībā uz informācijas izmantošanu, bet arī attiecībā uz darbu ar tās aizsardzību. Šādai pilnvaru noteikšanai ir nepieciešama arī vairāku līmeņu kontrole.

Oficiālie tiesiskās aizsardzības līdzekļi

Plašs informācijas drošības tehnisko līdzekļu klāsts ietver:

Fiziskie aizsardzības līdzekļi. Tie ir mehāniski, elektriski, elektroniski mehānismi, kas darbojas neatkarīgi no informācijas sistēmām un rada šķēršļus piekļuvei tām. Slēdzenes, tostarp elektroniskās, ekrāni, žalūzijas ir paredzētas, lai radītu šķēršļus destabilizējošu faktoru saskarei ar sistēmām. Grupa tiek papildināta ar drošības sistēmām, piemēram, videokamerām, videomagnetofoniem, sensoriem, kas nosaka kustību vai elektromagnētiskā starojuma pakāpes pārsniegšanu informācijas iegūšanas tehnisko līdzekļu atrašanās vietas zonā, iegultās ierīces.

Aparatūras aizsardzība. Tās ir elektriskās, elektroniskās, optiskās, lāzera un citas ierīces, kas ir iestrādātas informācijas un telekomunikāciju sistēmās. Pirms aparatūras ieviešanas informācijas sistēmās ir nepieciešams nodrošināt savietojamību.

Programmatūra ir vienkāršas un sistēmiskas, sarežģītas programmas, kas paredzētas specifisku un sarežģītu ar informācijas drošību saistītu problēmu risināšanai. Sarežģītu risinājumu piemēri ir arī šādi: pirmie kalpo informācijas noplūdes novēršanai, informācijas pārformatēšanai un informācijas plūsmu pārorientēšanai, otrie nodrošina aizsardzību pret incidentiem informācijas drošības jomā. Programmatūra ir prasīga pret aparatūras ierīču jaudu, un instalēšanas laikā ir jānodrošina papildu rezerves.

var pārbaudīt bez maksas 30 dienas. Pirms sistēmas uzstādīšanas SearchInform inženieri veiks tehnisko auditu klienta uzņēmumā.

UZ konkrētiem līdzekļiem informācijas drošība ietver dažādus kriptogrāfiskus algoritmus, kas šifrē informāciju, kas atrodas diskā un tiek novirzīta pa ārējiem sakaru kanāliem. Informācijas transformācija var notikt, izmantojot programmatūras un aparatūras metodes, kas darbojas korporatīvajās informācijas sistēmās.

Visi līdzekļi, kas garantē informācijas drošību, ir jāizmanto kombinācijā, iepriekš veicot informācijas vērtības novērtējumu un salīdzinot to ar drošībai iztērēto resursu izmaksām. Līdz ar to priekšlikumi par līdzekļu izlietojumu jāformulē jau sistēmu izstrādes stadijā, un apstiprināšana jāveic vadības līmenī, kas atbild par budžetu apstiprināšanu.

Lai nodrošinātu drošību, nepieciešams sekot līdzi visām modernajām norisēm, programmatūras un aparatūras aizsardzības līdzekļiem, apdraudējumiem un operatīvi veikt izmaiņas mūsu pašu aizsardzības sistēmās pret nesankcionētu piekļuvi. Tikai atbildes reakcija uz draudiem adekvātums un operatīvums palīdzēs sasniegt augsts līmenis konfidencialitāte uzņēmuma darbā.

Pirmais laidiens tika izlaists 2018. Šī unikālā programma veido darbinieku psiholoģiskos portretus un piešķir tos riska grupām. Šāda pieeja informācijas drošības nodrošināšanai ļauj paredzēt iespējamos incidentus un rīkoties iepriekš.

Neformāli aizsardzības līdzekļi

Neformālie aizsardzības līdzekļi tiek grupēti normatīvajos, administratīvajos un morāli ētiskajos. Pirmajā aizsardzības līmenī ir regulējošie līdzekļi, kas regulē informācijas drošību kā procesu organizācijas darbībā.

Regulējošie līdzekļi

Pasaules praksē, izstrādājot regulējošos rīkus, tie vadās pēc IS aizsardzības standartiem, no kuriem galvenais ir ISO / IEC 27000. Standartu izveidoja divas organizācijas:

ISO - Starptautiskā standartizācijas komisija, kas izstrādā un apstiprina lielāko daļu starptautiski atzīto ražošanas un vadības procesu kvalitātes sertifikācijas metodiku;
IEC - Starptautiskā enerģētikas komisija, kas standartā ieviesa savu izpratni par informācijas drošības sistēmām, tās nodrošināšanas līdzekļiem un metodēm

Pašreizējā ISO / IEC 27000-2016 versija piedāvā gatavus standartus un pārbaudītas metodes, kas nepieciešamas informācijas drošības ieviešanai. Pēc metožu autoru domām, informācijas drošības pamatā ir visu posmu konsekvence un konsekventa realizācija no izstrādes līdz pēckontrolei.

Lai iegūtu sertifikātu, kas apliecina atbilstību informācijas drošības standartiem, nepieciešams pilnībā ieviest visus ieteiktos paņēmienus. Ja sertifikāts nav jāiegūst, tad vēl vairāk agrīnās versijas standartu, sākot ar ISO / IEC 27000-2002 vai Krievijas GOST, kuriem ir ieteikuma raksturs.

Pamatojoties uz standarta izpētes rezultātiem, tiek izstrādāti divi dokumenti, kas attiecas uz informācijas drošību. Galvenais, bet mazāk formāls ir uzņēmuma informācijas drošības jēdziens, kas definē informācijas drošības sistēmas ieviešanas pasākumus un metodes organizācijas informācijas sistēmām. Otrs dokuments, kas jāievēro visiem uzņēmuma darbiniekiem, ir direktoru padomes vai izpildinstitūcijas līmenī apstiprinātais informācijas drošības nolikums.

Papildus amatam uzņēmuma līmenī jāizstrādā komercnoslēpumu veidojošo ziņu saraksti, darba līgumu pielikumi, atbildības nodrošināšana par konfidenciālu datu izpaušanu, citi standarti un metodes. Iekšējos noteikumos jāiekļauj īstenošanas mehānismi un atbildības pasākumi. Visbiežāk pasākumiem ir disciplinārs raksturs, un pārkāpējam jābūt gatavam tam, ka par komercnoslēpuma režīma pārkāpumu sekos ievērojamas sankcijas līdz pat atlaišanai no amata.

Organizatoriskie un administratīvie pasākumi

Ietvaros administratīvās darbības lai aizsargātu drošības personāla informācijas drošību, ir iespējas radošumam. Tie ir arhitektūras un plānošanas risinājumi, kas ļauj aizsargāt sanāksmju telpas un vadības birojus no noklausīšanās un dažāda līmeņa informācijas pieejamības izveidi. Būtiski organizatoriski pasākumi būs uzņēmuma darbības sertifikācija atbilstoši ISO / IEC 27000 standartiem, atsevišķu aparatūras un programmatūras sistēmu sertifikācija, subjektu un objektu sertifikācija par atbilstību nepieciešamajām drošības prasībām, licenču iegūšana, kas nepieciešamas darbam ar aizsargātiem datu masīviem.

No personāla darbības regulēšanas viedokļa svarīgi būs izveidot interneta, ārējā e-pasta un citu resursu piekļuves pieprasījumu sistēmu. Atsevišķs elements būs elektroniskā ciparparaksta saņemšana, lai uzlabotu finanšu un citas informācijas drošību, kas tiek nosūtīta valsts iestādēm pa e-pastu.

Morālie un ētiskie pasākumi

Morālie un ētiskie pasākumi nosaka personas personisko attieksmi pret konfidenciāla informācija vai apritē ierobežota informācija. Darbinieku zināšanu līmeņa paaugstināšana par draudu ietekmi uz uzņēmuma darbību ietekmē darbinieku apziņas un atbildības pakāpi. Lai cīnītos pret informācijas režīma pārkāpumiem, tostarp, piemēram, paroļu nodošanu, neuzmanīgu rīcību ar plašsaziņas līdzekļiem, konfidenciālu datu izplatīšanu privātās sarunās, ir jākoncentrējas uz darbinieka personīgo apzinību. Būs lietderīgi noteikt personāla efektivitātes rādītājus, kas būs atkarīgi no attieksmes pret korporatīvā sistēma IB.

Informācijas drošības politika.

1. Vispārīgie noteikumi

Šī politika informācijas drošība ( Tālāk - Politika ) nosaka uzskatu sistēmu par informācijas drošības nodrošināšanas problēmu un ir sistemātisks informācijas infrastruktūras objektu informācijas drošības nodrošināšanas mērķu un uzdevumu, kā arī organizatorisko, tehnoloģisko un procesuālo aspektu izklāsts, tajā skaitā informācijas kopums. organizācijas centri, datu bankas un sakaru sistēmas. Šī politika ir izstrādāta, ņemot vērā pašreizējo Krievijas Federācijas tiesību aktu prasības un tuvākās informācijas infrastruktūras objektu attīstības perspektīvas, kā arī mūsdienu organizatorisko un tehnisko metožu un informācijas aizsardzības aparatūras un programmatūras īpašības un iespējas. .

Politikas galvenie noteikumi un prasības attiecas uz visām organizācijas struktūrvienībām.

Politika ir metodiskais pamats vienotas politikas veidošanai un īstenošanai informācijas infrastruktūras objektu informācijas drošības nodrošināšanas jomā, saskaņotu vadības lēmumu pieņemšanā un uz informācijas drošības nodrošināšanu vērstu praktisku pasākumu izstrādei, struktūrvienību darbības koordinēšanai. organizācija, veicot darbu pie informācijas objektu izveides, attīstības un darbības infrastruktūras atbilstoši informācijas drošības prasībām.

Politika nereglamentē jautājumus par telpu aizsardzības organizēšanu un informācijas infrastruktūras sastāvdaļu drošuma un fiziskās integritātes nodrošināšanu, aizsardzību pret dabas stihijām un atteicēm elektroapgādes sistēmā, taču tā paredz informācijas drošības sistēmas izbūvi. uz tādiem pašiem konceptuāliem pamatiem kā visas organizācijas drošības sistēma.

Politikas ieviešanu nodrošina atbilstošas vadlīnijas, noteikumi, procedūras, instrukcijas, vadlīnijas un informācijas drošības novērtēšanas sistēma organizācijā.

Politikā ir izmantoti šādi termini un definīcijas:

Automatizētā sistēma ( AS) — sistēma, kas sastāv no personāla un viņu darbības automatizēšanas līdzekļu kompleksa, kas ievieš informācijas tehnoloģijas noteikto funkciju veikšanai.

Informācijas infrastruktūra- organizatorisko struktūru sistēma, kas nodrošina funkcionēšanu un attīstību informācijas telpa un saziņas rīki. Informācijas infrastruktūra ietver informācijas centru kopumu, datu un zināšanu bankas, sakaru sistēmas un nodrošina patērētājiem piekļuvi informācijas resursiem.

Informācijas resursi ( IR) - tie ir atsevišķi dokumenti un atsevišķi dokumentu masīvi, dokumenti un dokumentu masīvi informācijas sistēmās ( bibliotēkas, arhīvi, fondi, datu bāzes un citas informācijas sistēmas).

Informācijas sistēma (IP) - informācijas apstrādes sistēma un ar to saistītie organizatoriskie resursi ( cilvēku, tehnisko, finansiālo u.c.), kas sniedz un izplata informāciju.

Drošība - interešu aizsardzības stāvoklis ( mērķi) organizācijas, saskaroties ar draudiem.

Informācijas drošība ( IB) — drošība, kas saistīta ar apdraudējumiem informācijas sfērā. Drošība tiek panākta, nodrošinot IS rekvizītu kopumu - informācijas līdzekļu pieejamību, integritāti, konfidencialitāti. IS īpašumu prioritāti nosaka šo aktīvu vērtība procentiem ( mērķi) organizācija.

Informācijas līdzekļu pieejamība - organizācijas IS īpašums, kas sastāv no tā, ka informācijas līdzekļi tiek nodoti autorizētam lietotājam, lietotājam nepieciešamā formā un vietā un laikā, kad tie viņam nepieciešami.

Informācijas līdzekļu integritāte - organizācijas informācijas drošības īpašums, lai saglabātu nemainīgas vai labotu atklātās izmaiņas tās informācijas aktīvos.

Informācijas līdzekļu konfidencialitāte - organizācijas informācijas drošības īpašums, kas sastāv no tā, ka informācijas līdzekļu apstrāde, uzglabāšana un pārsūtīšana tiek veikta tā, lai informācijas līdzekļi būtu pieejami tikai autorizētiem lietotājiem, sistēmas objektiem vai procesiem.

Informācijas drošības sistēma ( NIB) — aizsardzības pasākumu kopums, aizsardzības līdzekļi un to darbības procesi, ieskaitot resursu un administratīvo ( organizatoriskā) nodrošinājums.

Nesankcionēta piekļuve- piekļuvi informācijai, pārkāpjot darbinieka amata pilnvaras, piekļuvi informācijai, kas ir slēgta publiskai piekļuvei personām, kurām nav atļaujas piekļūt šai informācijai vai piekļūt informācijai personai, kurai ir tiesības piekļūt šai informācijai apmērā, kas pārsniedz dienesta pienākumu izpildei nepieciešamo summu.

2. Vispārīgās prasības informācijas drošībai

Informācijas drošības prasības ( Tālāk -IB ) nosaka organizācijas darbības saturu un mērķus IS pārvaldības procesu ietvaros.

Šīs prasības ir formulētas šādām jomām:

lomu piešķiršana un sadale un uzticēšanās personālam;
informācijas infrastruktūras objektu dzīves cikla posmi;
aizsardzība pret nesankcionētu piekļuvi ( Tālāk - NSD ), piekļuves kontrole un reģistrācija automatizētas sistēmas, telekomunikāciju iekārtās un automātiskajās telefonu centrālēs utt .;
pretvīrusu aizsardzība;
interneta resursu izmantošana;
kriptogrāfiskās informācijas aizsardzības līdzekļu izmantošana;
personas datu aizsardzība.

3. Aizsargājamie objekti

Galvenie aizsargājamie objekti ir:

informācijas resursi iesniegts dokumentu un informācijas masīvu veidā neatkarīgi no to noformēšanas formas un veida, ieskaitot konfidenciālu un atklātu informāciju;
informācijas resursu veidošanas, izplatīšanas un izmantošanas sistēma, bibliotēkas, arhīvi, datu bāzes un datu bankas, informācijas tehnoloģijas, informācijas vākšanas, apstrādes, uzglabāšanas un nosūtīšanas noteikumi un kārtība, tehniskais un apkalpojošais personāls;
informācijas infrastruktūra, tostarp informācijas apstrādes un analīzes sistēmas, tehniskie un programmatūras rīki tās apstrādei, pārraidei un attēlošanai, tostarp informācijas apmaiņas un telekomunikāciju kanāli, informācijas drošības sistēmas un līdzekļi, objekti un telpas, kurās atrodas informācijas infrastruktūras sastāvdaļas.

3.1. Automatizētās sistēmas iezīmes

ĀS cirkulē dažādu kategoriju informācija. Aizsargāto informāciju var koplietot dažādi lietotāji no dažādiem viena uzņēmuma tīkla apakštīkliem.

Vairākas AS apakšsistēmas nodrošina mijiedarbību ar ārējām ( valsts un komerciāla, krievu un ārvalstu) organizācijas komutētos un specializētos sakaru kanālos, izmantojot īpašus informācijas pārraides līdzekļus.

ĀS tehnisko līdzekļu kompleksā ietilpst datu apstrādes līdzekļi ( darbstacijas, datu bāzu serveri, pasta serveri utt.), datu apmaiņas līdzekļi lokālajos tīklos ar iespēju piekļūt globālajiem tīkliem ( kabeļi, tilti, vārtejas, modemi utt.), kā arī uzglabāšanas telpas ( t.sk. arhivēšana) dati.

ĀS darbības galvenās iezīmes ir šādas:

nepieciešamība integrēties vienotā sistēmā liels skaits dažādi tehniskie informācijas apstrādes un pārraides līdzekļi;
plašs risināmo uzdevumu un apstrādājamo datu veidu klāsts;
informācijas apvienošana dažādiem mērķiem, piederībai un konfidencialitātes līmeņiem kopējās datubāzēs;
pieslēguma kanālu pieejamība ārējiem tīkliem;
darbības nepārtrauktība;
apakšsistēmu klātbūtne ar dažādām drošības līmeņu prasībām, kas fiziski apvienotas vienā tīklā;
dažādas lietotāju un apkalpojošā personāla kategorijas.

Vispārīgi runājot, viena AS ir apakšnodaļu lokālo tīklu kopums, kas ir savstarpēji savienoti ar telekomunikāciju palīdzību. Katrs lokālais tīkls apvieno vairākas savstarpēji savienotas un savstarpēji mijiedarbīgas automatizētas apakšsistēmas ( tehnoloģiskās vietnes), nodrošinot atsevišķu organizācijas struktūrvienību problēmu risināšanu.

Informatizācijas objekti ietver:

tehnoloģiskās iekārtas ( datoru iekārtas, tīklu un kabeļu aprīkojums);
informatīvie resursi;
programmatūra ( operētājsistēmas, datu bāzu pārvaldības sistēmas, vispārējās sistēmas un lietojumprogrammatūra);
automatizētas sakaru un datu pārraides sistēmas (telekomunikācijas);
savienojuma kanāli;
biroja telpas.

3.2. Aizsargājamo organizācijas informācijas līdzekļu veidi

Organizācijas AS apakšsistēmās cirkulē dažāda līmeņa konfidencialitātes informācija, kas satur ierobežotas izplatīšanas informāciju ( pakalpojumu, komerciālie, personas dati) un atklātu informāciju.

ĀS dokumentu plūsma satur:

maksājuma uzdevumi un finanšu dokumenti;
atskaites ( finanšu, analītiskā utt.);
informācija par personīgajiem kontiem;
Personīgā informācija;
cita ierobežotas izplatīšanas informācija.

Visa informācija, kas cirkulē ĀS un ir ietverta šādos informācijas līdzekļos, ir pakļauta aizsardzībai:

informācija, kas veido komerciālu un dienesta noslēpumu, kurai piekļuvi ierobežo organizācija kā informācijas īpašniece saskaņā ar federālo likumu " Par informāciju, informatizāciju un informācijas aizsardzību "Tiesības un federālais likums" Par komercnoslēpumiem »;
personas dati, kuriem piekļuve ir ierobežota saskaņā ar federālo likumu " Par personas datiem »;
atklāta informācija informācijas integritātes un pieejamības nodrošināšanas ziņā.

3.3. Automatizētās sistēmas lietotāju kategorijas

Organizācijā ir liels skaits lietotāju un apkalpojošā personāla kategoriju, kuriem ir jābūt dažādām pilnvarām, lai piekļūtu ĀS informācijas resursiem:

parastie lietotāji ( galalietotāji, organizatorisko vienību darbinieki);
servera administratori ( failu serveri, lietojumprogrammu serveri, datu bāzu serveri), lokālie tīkli un lietojumprogrammu sistēmas;
sistēmas programmētāji ( atbildīgs par vispārējās programmatūras uzturēšanu) lietotāju serveros un darbstacijās;
Lietojumprogrammatūras izstrādātāji;
speciālisti datortehnoloģiju tehnisko līdzekļu apkopē;
informācijas drošības administratori u.c.

3.4. Automatizētās sistēmas galveno komponentu ievainojamība

Visneaizsargātākās ĀS sastāvdaļas ir tīkla darbstacijas - automatizētās darbstacijas ( Tālāk - AWP ) strādniekiem. Mēģinājumi nesankcionēti piekļūt informācijai vai mēģinājumi veikt neatļautas darbības ( netīši un tīši) v datortīkls... Darbstaciju aparatūras un programmatūras konfigurācijas pārkāpumi un nelikumīga iejaukšanās to darbības procesos var izraisīt informācijas bloķēšanu, neiespējamību savlaicīgi atrisināt svarīgus uzdevumus un atsevišķu darbstaciju un apakšsistēmu darbības traucējumus.

Tīkla elementiem, piemēram, īpašiem failu serveriem, datu bāzes serveriem un lietojumprogrammu serveriem, nepieciešama īpaša aizsardzība. Apmaiņas protokolu trūkumi un līdzekļi, kas ļauj diferencēt piekļuvi servera resursiem, var dot iespēju nesankcionēti piekļūt aizsargātai informācijai un ietekmēt dažādu apakšsistēmu darbību. Šajā gadījumā mēģinājumus var veikt ar tālvadības pulti ( no tīkla stacijām) un tiešā ( no servera konsoles) ietekme uz serveru darbību un to aizsardzību.

Tiltiem, vārtejām, centrmezgliem, maršrutētājiem, slēdžiem un citām tīkla ierīcēm, saitēm un sakariem arī ir nepieciešama aizsardzība. Iebrucēji tos var izmantot, lai pārstrukturētu un dezorganizētu tīkla darbības, pārtvertu pārsūtīto informāciju, analizētu trafiku un ieviestu citas metodes, lai traucētu datu apmaiņas procesus.

4. Informācijas drošības pamatprincipi

4.1. Vispārīgi drošas darbības principi

Problēmas noteikšanas savlaicīgums. Organizācijai ir savlaicīgi jāidentificē problēmas, kas varētu ietekmēt tās biznesa mērķus.
Problēmu attīstības paredzamība. Organizācijai ir jāidentificē cēloņsakarība iespējamās problēmas un, pamatojoties uz to, veido precīzu to attīstības prognozi.
Problēmu ietekmes uz biznesa mērķiem novērtēšana. Organizācija adekvāti novērtē identificēto problēmu ietekmi.
Aizsardzības pasākumu atbilstība. Organizācijai jāizvēlas draudu un likumpārkāpēju modeļiem adekvāti aizsardzības pasākumi, ņemot vērā šādu pasākumu īstenošanas izmaksas un iespējamo zaudējumu apmēru no draudu īstenošanas.
Aizsardzības pasākumu efektivitāte. Organizācijai efektīvi jāīsteno veiktie aizsardzības pasākumi.
Pieredzes izmantošana lēmumu pieņemšanā un īstenošanā. Organizācijai visos lēmumu pieņemšanas un to īstenošanas līmeņos ir jāuzkrāj, jāvispārina un jāizmanto gan sava, gan citu organizāciju pieredze.
Drošas darbības principu nepārtrauktība. Organizācija nodrošina drošas darbības principu ieviešanas nepārtrauktību.
Aizsardzības pasākumu vadāmība. Organizācijai ir jāpiemēro tikai tie aizsardzības pasākumi, par kuriem var pārbaudīt pareizu darbību, un organizācijai regulāri jānovērtē aizsardzības pasākumu atbilstība un to ieviešanas efektivitāte, ņemot vērā aizsardzības pasākumu ietekmi uz organizācijas biznesa mērķiem.

4.2. Speciālie principi informācijas drošības nodrošināšanai

Speciālo informācijas drošības principu ieviešana ir vērsta uz informācijas drošības pārvaldības procesu brieduma līmeņa paaugstināšanu organizācijā.
Mērķu definēšana. Organizācijas funkcionālie un informācijas drošības mērķi ir skaidri jādefinē iekšējā dokumentā. Nenoteiktība noved pie " neskaidrība”Organizatoriskā struktūra, personāla lomas, informācijas drošības politikas un neiespējamība novērtēt veikto aizsardzības pasākumu atbilstību.
Zinot savus klientus un darbiniekus. Organizācijai ir jābūt informācijai par saviem klientiem, rūpīgi jāizvēlas personāls ( strādniekiem), izstrādāt un uzturēt korporatīvo ētiku, kas rada labvēlīgu uzticības vidi aktīvu pārvaldīšanas organizācijas darbībai.
Personifikācija un adekvāta lomu un pienākumu sadale. Organizācijas amatpersonu atbildība par lēmumiem, kas saistīti ar tās aktīviem, ir jāpersonificē un jāveic galvenokārt galvojuma veidā. Tai jābūt adekvātai ietekmes pakāpei uz organizācijas mērķiem, jābūt fiksētai politikā, kontrolētai un pilnveidotai.
Lomu atbilstība funkcijām un procedūrām un to salīdzināmība ar kritērijiem un vērtēšanas sistēmu. Lomas atbilstoši jāatspoguļo organizācijā veiktās funkcijas un to īstenošanas procedūras. Piešķirot savstarpēji saistītas lomas, jāņem vērā to īstenošanas nepieciešamā secība. Lomai ir jāatbilst tās īstenošanas efektivitātes novērtēšanas kritērijiem. Galvenās lomas saturu un kvalitāti faktiski nosaka tai piemērotā vērtēšanas sistēma.
Pakalpojumu un pakalpojumu pieejamība. Organizācijai jānodrošina saviem klientiem un darbuzņēmējiem pakalpojumu un pakalpojumu pieejamība noteiktajos termiņos, ko nosaka attiecīgie līgumi ( līgumiem) un/vai citus dokumentus.
Informācijas drošības novērojamība un izvērtējamība. Visi ierosinātie aizsardzības pasākumi ir jāprojektē tā, lai to piemērošanas ietekme būtu skaidri redzama, novērojama ( caurspīdīgs), un to varētu novērtēt organizācijas nodaļa ar atbilstošo iestādi.

5. Informācijas drošības mērķi un uzdevumi

5.1. Informācijas attiecību priekšmeti Automatizētajā sistēmā

Tiesisko attiecību subjekti, izmantojot ĀS un nodrošinot informācijas drošību, ir:

Organizācija kā informācijas resursu īpašnieks;
AES ekspluatāciju nodrošinošās organizācijas apakšvienības;
organizācijas struktūrvienību darbinieki, kā informācijas lietotāji un sniedzēji ĀS atbilstoši viņiem uzticētajām funkcijām;
juridiskām un fiziskām personām, par kurām informācija tiek uzkrāta, glabāta un apstrādāta AS;
citas juridiskas un fiziskas personas, kas iesaistītas ĀS izveidē un darbībā ( sistēmas komponentu izstrādātāji, organizācijas, kas nodarbojas ar dažādu pakalpojumu sniegšanu šajā jomā informācijas tehnoloģijas un utt.).

Uzskaitītie informācijas attiecību subjekti ir ieinteresēti nodrošināt:

noteiktas informācijas konfidencialitāte;
uzticamība ( pilnīgums, precizitāte, atbilstība, integritāte) informācija;
aizsardzība pret nepatiesu ( neuzticams, sagrozīts) informācija;
savlaicīga piekļuve nepieciešamajai informācijai;
atbildības diferencēšana par likumīgo tiesību pārkāpumiem ( intereses) citi informācijas attiecību subjekti un noteiktie informācijas apstrādes noteikumi;
informācijas apstrādes un pārraides procesu nepārtrauktas uzraudzības un vadības iespēja;
aizsargājot daļu informācijas no tās nelikumīgas pavairošanas ( autortiesību aizsardzība, informācijas īpašnieka tiesības u.c.).

5.2. Informācijas drošības mērķis

Informācijas drošības nodrošināšanas galvenais mērķis ir aizsargāt informācijas attiecību subjektus no iespējama materiāla, morāla vai cita veida kaitējuma tiem, nejauši vai apzināti neatļauti iejaucoties ĀS darbības procesā vai nesankcionēti piekļūstot tajā cirkulējošajai informācijai un tās nelikumīga izmantošana.

Šis mērķis tiek sasniegts, nodrošinot un pastāvīgi uzturot šādas informācijas īpašības un automatizētu tās apstrādes sistēmu:

apstrādātās informācijas pieejamība reģistrētiem lietotājiem;
noteiktas informācijas daļas konfidencialitāte, kas tiek glabāta, apstrādāta un pārraidīta pa sakaru kanāliem;
glabātās, apstrādātās un pārsūtītās informācijas integritāte un autentiskums, izmantojot sakaru kanālus.

5.3. Informācijas drošības mērķi

Lai sasniegtu galveno mērķi nodrošināt informācijas drošību, AES informācijas drošības sistēmai ir jānodrošina efektīvs risinājums šādiem uzdevumiem:

aizsardzība pret nepilnvarotu personu iejaukšanos ĀS darbības procesā;
reģistrēto lietotāju piekļuves diferencēšana ĀS aparatūrai, programmatūrai un informācijas resursiem, tas ir, aizsardzība pret nesankcionētu piekļuvi;
lietotāju darbību reģistrēšana, izmantojot aizsargātos AS resursus sistēmas žurnālos un periodiska sistēmas lietotāju darbību pareizības kontrole, analizējot šo žurnālu saturu, veic drošības departamentu speciālisti;
aizsardzība pret nesankcionētu modifikāciju un integritātes kontrole ( nodrošinot nemainīgumu) programmu izpildes vidi un tās atjaunošanu pārkāpuma gadījumā;
aizsardzība pret nesankcionētu modifikāciju un ĀS izmantotās programmatūras integritātes kontrole, kā arī sistēmas aizsardzība pret nesankcionētu programmu, tai skaitā datorvīrusu, ievadīšanu;
informācijas aizsardzība pret noplūdi pa tehniskajiem kanāliem tās apstrādes, uzglabāšanas un pārraidīšanas laikā pa sakaru kanāliem;
glabātās, apstrādātās un pa sakaru kanāliem pārraidītās informācijas aizsardzība pret neatļautu izpaušanu vai sagrozīšanu;
informācijas apmaiņā iesaistīto lietotāju autentifikācijas nodrošināšana;
kriptogrāfiskās informācijas aizsardzības līdzekļu ilgmūžības nodrošināšana, ja tiek apdraudēta atslēgu sistēmas daļa;
savlaicīga informācijas drošības apdraudējuma avotu, cēloņu un apstākļu, kas veicina kaitējumu ieinteresētajiem informācijas attiecību subjektiem, identificēšana, mehānisma ātrai reaģēšanai uz informācijas drošības apdraudējumiem un negatīvajām tendencēm izveide;
radot apstākļus fizisko un juridisko personu prettiesiskas rīcības radīto zaudējumu minimizēšanai un lokalizēšanai, negatīvās ietekmes vājināšanai un informācijas drošības pārkāpuma seku novēršanai.

5.4. Informācijas drošības problēmu risināšanas veidi

Informācijas drošības problēmu risinājums tiek panākts:

stingra visu aizsardzībai pakļauto sistēmas resursu uzskaite ( informācija, uzdevumi, saziņas kanāli, serveri, AWP);
informācijas apstrādes procesu un organizācijas struktūrvienību darbinieku rīcības regulēšana, kā arī personāla darbības, kas veic atomelektrostacijas programmatūras un aparatūras apkopi un modifikācijas, pamatojoties uz organizatoriskiem un administratīvajiem dokumentiem par informācijas drošību;
informācijas drošības organizatorisko un administratīvo dokumentu prasību pilnīgums, reāla iespējamība un konsekvence;
par informācijas drošības nodrošināšanas praktisko pasākumu organizēšanu un īstenošanu atbildīgo darbinieku iecelšanu un apmācību;
pilnvarot katru darbinieku ar minimālo nepieciešamo, lai viņš varētu pildīt savus funkcionālos pienākumus ar tiesībām piekļūt atomelektrostacijas resursiem;
skaidras zināšanas un stingra visu darbinieku, kuri izmanto un apkalpo atomelektrostacijas aparatūru un programmatūru, informācijas drošības organizatorisko un administratīvo dokumentu prasības ievērošanu;
katra darbinieka personiskā atbildība par savu rīcību, kas savu funkcionālo pienākumu ietvaros piedalās automatizētās informācijas apstrādes procesos un kuram ir piekļuve ĀS resursiem;
informācijas apstrādes tehnoloģisko procesu ieviešana, izmantojot organizatorisko un tehnisko pasākumu kompleksus programmatūras, aparatūras un datu aizsardzībai;
efektīvu pasākumu pieņemšanu, lai nodrošinātu tehniskā aprīkojuma fizisko integritāti un nepārtrauktu AES komponentu nepieciešamā aizsardzības līmeņa uzturēšanu;
tehnisko ( programmatūra un aparatūra) sistēmas resursu aizsardzības līdzekļi un nepārtraukts administratīvais atbalsts to lietošanai;
informācijas plūsmu norobežošana un ierobežotas izplatīšanas informācijas pārraidīšanas aizliegums pa neaizsargātiem sakaru kanāliem;
efektīva kontrole pār darbinieku atbilstību informācijas drošības prasībām;
pastāvīga uzraudzība tīkla resursi, ievainojamību identificēšana, savlaicīga ārējo un iekšējo draudu datortīkla drošībai atklāšana un neitralizācija;
organizācijas interešu tiesiskā aizsardzība no prettiesiskām darbībām informācijas drošības jomā.
veikt nepārtrauktu veikto pasākumu un izmantoto informācijas aizsardzības līdzekļu efektivitātes un pietiekamības analīzi, izstrādāt un īstenot priekšlikumus informācijas aizsardzības sistēmas pilnveidošanai atomelektrostacijā.

6 informācijas drošības apdraudējumi

6.1. Informācijas drošības apdraudējumi un to avoti

Bīstamākie draudi atomelektrostacijā apstrādātās informācijas drošībai ir:

konfidencialitātes pārkāpums ( izpaušana, noplūde) informāciju, kas veido dienesta vai komercnoslēpumu, tostarp personas datus;
nepareiza darbība ( darba dezorganizācija) AU, informācijas bloķēšana, tehnoloģisko procesu pārkāpšana, savlaicīgas problēmu risināšanas traucēšana;
integritātes pārkāpums ( deformācija, aizstāšana, iznīcināšana) informācija, programmatūra un citi ĀS resursi.

Galvenie AES informācijas drošības apdraudējumu avoti ir:

dabas un cilvēka izraisīti nevēlami notikumi;
teroristi, noziedznieki;
datoru kibernoziedznieki, kas veic mērķtiecīgas destruktīvas darbības, tostarp izmanto datorvīrusi un cita veida ļaunprātīgi kodi un uzbrukumi;
programmatūras un aparatūras, palīgmateriālu, pakalpojumu uc piegādātāji;
darbuzņēmēji, kas veic iekārtu uzstādīšanu, nodošanu ekspluatācijā un to remontu;
neatbilstība uzraudzības un regulējošo institūciju prasībām, spēkā esošajai likumdošanai;
programmatūras un aparatūras kļūmes, atteices, iznīcināšana/bojājumi;
darbinieki, kuri ir ĀS procesu juridiskie dalībnieki un darbojas ārpus piešķirto pilnvaru apjoma;
darbinieki, kuri ir ĀS procesu juridiskie dalībnieki un darbojas piešķirto pilnvaru ietvaros.

6.2. Netīšas darbības, kas izraisa informācijas drošības pārkāpumu, un pasākumi to novēršanai

Organizācijas darbinieki, kuriem ir tieša piekļuve informācijas apstrādes procesiem ĀS, ir potenciāls netīšu nejaušu darbību avots, kas var izraisīt informācijas drošības pārkāpumu.

Lielas neparedzētas darbības, kas izraisa informācijas drošības pārkāpumu (darbības, ko cilvēki veikuši nejauši, nezināšanas, neuzmanības vai nolaidības dēļ, aiz ziņkārības, bet bez ļauna nolūka) un ir sniegti pasākumi, lai novērstu šādas darbības un samazinātu to radīto kaitējumu 1. tabula.

1. tabula

Galvenās darbības, kas izraisa informācijas drošības pārkāpumu
Darbinieku darbības, kas izraisa daļēju vai pilnīgu sistēmas atteici vai aparatūras vai programmatūras darbības traucējumus; iekārtu un programmu atvienošana vai ierīču un programmu darbības režīmu maiņa; sistēmas informācijas resursu iznīcināšana ( netīšs aprīkojuma bojājums, programmu vai failu ar svarīgu informāciju, tostarp sistēmas, izdzēšana, sagrozīšana, sakaru kanālu bojājumi, datu nesēju netīši bojājumi utt.)	Organizatoriskie pasākumi ( ). Fizisku līdzekļu izmantošana, lai novērstu netīšu pārkāpuma izdarīšanu. Tehnisko ( aparatūru un programmatūru) līdzekļi, lai diferencētu piekļuvi resursiem. Kritisko resursu rezervēšana.
Neatļauta programmu palaišana, kuras, ja tās tiek izmantotas nepareizi, var izraisīt sistēmas veiktspējas zudumu ( sasalst vai cilpas) vai neatgriezenisku izmaiņu veikšana sistēmā ( datu nesēju formatēšana vai pārstrukturēšana, datu dzēšana utt.)	Organizatoriskie pasākumi ( visu potenciāli bīstamo programmu noņemšana no darbstacijas). Tehnisko ( aparatūru un programmatūru) līdzekļi, kas ļauj diferencēt piekļuvi programmām darbstacijā.
Neatļauta neierakstītu programmu ieviešana un izmantošana ( spēļu, apmācību, tehnoloģiskās un citas, kas darbiniekiem nav nepieciešamas dienesta pienākumu veikšanai) ar sekojošu nepamatotu resursu izšķērdēšanu ( procesora laiks, brīvpiekļuves atmiņa, atmiņa ārējā datu nesējā utt.)	Organizatoriskie pasākumi ( aizliegumu uzlikšana). Tehnisko ( aparatūru un programmatūru) nozīmē nepieļautu neierakstītu programmu neatļautu ieviešanu un izmantošanu.
Netīša datora inficēšanās ar vīrusiem	Organizatoriskie pasākumi ( darbību regulēšana, aizliegumu ieviešana). Tehnoloģiskie pasākumi ( īpašu programmu izmantošana vīrusu noteikšanai un iznīcināšanai). Aparatūras un programmatūras rīku izmantošana, kas novērš inficēšanos ar datorvīrusiem.
Piekļuves kontroles atribūtu izpaušana, pārsūtīšana vai zaudēšana ( paroles, šifrēšanas atslēgas vai elektroniskais paraksts, identifikācijas kartes, caurlaides utt.)	Organizatoriskie pasākumi ( rīcības regulēšana, aizliegumu ieviešana, atbildības stiprināšana). Fizisku līdzekļu izmantošana, lai nodrošinātu norādīto detaļu drošību.
Organizatorisko ierobežojumu ignorēšana ( noteiktajiem noteikumiem), strādājot sistēmā	Organizatoriskie pasākumi ( ). Papildu fizisko un tehnisko aizsardzības līdzekļu izmantošana.
Apsardzes personāla nekompetenta lietošana, regulēšana vai neatbilstoša aizsardzības līdzekļu atspējošana	Organizatoriskie pasākumi ( personāla apmācība, atbildības un kontroles stiprināšana).
Kļūdainu datu ievadīšana	Organizatoriskie pasākumi ( palielināta atbildība un kontrole). Tehnoloģiskie pasākumi datu ievades operatoru kļūdu kontrolei.

6.3. Apzinātas darbības, lai pārkāptu informācijas drošību, un pasākumi to novēršanai

Apzinātas pamata darbības ( savtīgos nolūkos, piespiedu kārtā, aiz vēlmes atriebties utt.), kas noved pie atomelektrostacijas informācijas drošības pārkāpumiem, un paredzēti pasākumi to novēršanai un iespējamo nodarīto zaudējumu samazināšanai. 2. tabula.

2. tabula

Galvenās tīšas darbības, kas noved pie informācijas drošības pārkāpumiem	Pasākumi, lai novērstu draudus un samazinātu kaitējumu
Visu vai dažu automatizētās sistēmas svarīgāko komponentu fiziska iznīcināšana vai darbnespēja ( ierīces, svarīgas sistēmas informācijas nesēji, personāls utt.), apakšsistēmu atspējošana vai atspējošana, lai nodrošinātu skaitļošanas sistēmu darbību ( barošanas avots, sakaru līnijas utt.)	Organizatoriskie pasākumi ( darbību regulēšana, aizliegumu ieviešana). Fizisku līdzekļu izmantošana, lai novērstu tīšu pārkāpuma izdarīšanu. Kritisko resursu rezervēšana.
Aģentu ieviešana sistēmas personāla skaitā ( tostarp par drošību atbildīgā administratīvā grupa), vervēšana ( ar uzpirkšanu, šantāžu, draudiem utt.) lietotājiem, kuriem ir noteiktas tiesības piekļūt aizsargātajiem resursiem	Organizatoriskie pasākumi ( atlase, izvietošana un darbs ar personālu, stiprinot kontroli un atbildību). Automātiska personāla darbību reģistrācija.
Informācijas nesēju zādzība ( izdrukas, magnētiskie diski, lentes, atmiņas ierīces un veseli datori), rūpniecisko atkritumu zādzība ( izdrukas, ieraksti, izlietotie datu nesēji utt.)	Organizatoriskie pasākumi ( ).
Neatļauta informācijas nesēju kopēšana, atlikušās informācijas nolasīšana no brīvpiekļuves atmiņas un ārējām atmiņas ierīcēm	Organizatoriskie pasākumi ( nesēju ar aizsargātu informāciju uzglabāšanas un lietošanas organizēšana). Tehnisko līdzekļu izmantošana, lai ierobežotu piekļuvi aizsargātajiem resursiem un automātiska dokumentu kopiju saņemšanas reģistrācija.
Paroļu un citu piekļuves kontroles detaļu nelikumīga saņemšana ( ar slepeniem līdzekļiem, izmantojot lietotāju nolaidību, atlasi, imitējot sistēmas saskarni ar programmatūras grāmatzīmēm utt.) ar sekojošu maskēšanos kā reģistrētu lietotāju.	Organizatoriskie pasākumi ( darbību regulēšana, aizliegumu ieviešana, darbs ar personālu). Tehnisku līdzekļu izmantošana, kas neļauj ieviest programmas, lai pārtvertu paroles, atslēgas un citas detaļas.
AWP neatļauta izmantošana lietotājiem ar unikālām fiziskām īpašībām, piemēram, darbstacijas numuru tīklā, fiziskā adrese, adrese sakaru sistēmā, aparatūras kodēšanas bloks utt.	Organizatoriskie pasākumi ( stingrs regulējums attiecībā uz piekļuvi telpām un atļauju strādāt šajās AWP). Piekļuves kontroles fizisko un tehnisko līdzekļu izmantošana.
Programmatūras neatļauta modifikācija - programmatūras "grāmatzīmju" un "vīrusu" ieviešana ( Trojas zirgi un bugs), tas ir, tādas programmu sadaļas, kas nav nepieciešamas deklarēto funkciju īstenošanai, bet ļauj pārvarēt aizsardzības sistēmu, slepeni un nelikumīgi piekļūt sistēmas resursiem, lai reģistrētu un nodotu aizsargājamo informāciju vai dezorganizētu sistēmas darbību. sistēma	Organizatoriskie pasākumi ( stingrs regulējums attiecībā uz pieņemšanu darbā). Fizisku un tehnisku līdzekļu izmantošana, lai diferencētu piekļuvi un novērstu AWP aparatūras un programmatūras konfigurācijas neatļautas modifikācijas. Programmatūras integritātes kontroles rīku pielietošana.
Pa sakaru kanāliem pārraidīto datu pārtveršana, to analīze, lai iegūtu konfidenciālu informāciju un precizētu apmaiņas protokolus, noteikumus par ievadīšanu tīklā un lietotāju autorizāciju, ar sekojošiem mēģinājumiem atdarināt tos iekļūt sistēmā	Komunikācijas kanālu fiziskā aizsardzība. Pārraidāmās informācijas kriptogrāfiskās aizsardzības līdzekļu pielietošana.
Iejaukšanās sistēmas darbības procesā no publiskajiem tīkliem, lai veiktu neatļautu datu modifikāciju, piekļūtu konfidenciālai informācijai, apakšsistēmu darbības neorganizācijai utt.	Organizatoriskie pasākumi ( pieslēguma un darbības regulēšana publiskajos tīklos). Īpašu tehnisko aizsardzības līdzekļu izmantošana ( ugunsmūri, drošības kontrole un uzbrukumu noteikšana sistēmas resursiem utt.).

6.4. Informācija noplūst pa tehniskajiem kanāliem

AES tehniskā aprīkojuma ekspluatācijas laikā iespējami šādi informācijas noplūdes kanāli vai informācijas integritātes pārkāpums, tehniskā aprīkojuma darbības traucējumi:

informatīvā signāla sānu elektromagnētiskais starojums no tehniskajiem līdzekļiem un informācijas pārraides līnijām;
ar elektronisku datoru palīdzību apstrādāta informatīvā signāla pārtveršana uz vadiem un līnijām, kas pārsniedz biroju kontrolējamās zonas, t.sk. uz zemējuma un barošanas ķēdēm;
dažādi elektroniskās ierīces informācijas pārtveršana ( t.sk. "Grāmatzīmes") savienoti ar sakaru kanāliem vai informācijas apstrādes tehniskajiem līdzekļiem;
informācijas skatīšana no displeja ekrāniem un citiem tās attēlošanas līdzekļiem, izmantojot optiskos līdzekļus;
ietekme uz aparatūru vai programmatūru, lai pārkāptu integritāti ( iznīcināšana, sagrozīšana) informāciju, tehnisko līdzekļu darbspēju, informācijas drošības līdzekļus un informācijas, tostarp elektromagnētiskās, apmaiņas savlaicīgumu, izmantojot īpaši ieviestus elektroniskos un programmatūras rīkus ( "Grāmatzīmes").

Ņemot vērā apstrādes specifiku un informācijas drošības nodrošināšanu, konfidenciālas informācijas noplūdes draudus ( ieskaitot personas datus), izmantojot tehniskos kanālus, organizācijai nav nozīmes.

6.5. Iespējamā iebrucēja neformāls modelis

Pārkāpējs ir persona, kas mēģinājusi veikt aizliegtas darbības ( darbība) kļūdas, nezināšanas vai apzināti ļaunprātības dēļ ( interesēs) vai bez tā ( spēles vai baudas nolūkos, pašapliecināšanās nolūkos utt.) un tam izmantojot dažādas iespējas, metodes un līdzekļus.

AES aizsardzības sistēmai jābūt balstītai uz pieņēmumiem par šādiem iespējamiem likumpārkāpēju veidiem sistēmā ( ņemot vērā personu kategoriju, motivāciju, kvalifikāciju, speciālo līdzekļu pieejamību u.c.):

« Nepieredzējis (neuzmanīgs) lietotājs»- darbinieks, kurš var mēģināt veikt aizliegtas darbības, piekļūt ĀS aizsargātajiem resursiem, pārsniedzot savas pilnvaras, ievadīt nepareizus datus utt. darbības kļūdas, nekompetences vai nolaidības dēļ bez ļaunprātīga nolūka un izmantojot tikai standarta ( viņam pieejams) aparatūru un programmatūru.
« Mīļākais"- darbinieks, kurš cenšas pārvarēt aizsardzības sistēmu bez savtīgiem mērķiem un ļaunprātīgiem nolūkiem, pašapliecināšanās vai no" sporta interese". Viņš var izmantot, lai pārvarētu aizsardzības sistēmu un veiktu aizliegtas darbības dažādas metodes papildu pilnvaru iegūšana, lai piekļūtu resursiem ( vārdi, paroles utt. citiem lietotājiem), trūkumi aizsardzības sistēmas izbūvē un pieejamais personāls ( uzstādīts darbstacijā) programmas ( neatļautas darbības, pārsniedzot savas pilnvaras izmantot atļautos līdzekļus). Turklāt viņš var mēģināt izmantot papildu nestandarta instrumentālo un tehnoloģisko programmatūru ( atkļūdotāji, utilītas), patstāvīgi izstrādātas programmas vai standarta papildu tehniskie līdzekļi.
« Krāpnieks"- darbinieks, kurš savtīgos nolūkos, piespiedu kārtā vai ļaunprātīga nolūka dēļ var mēģināt veikt nelikumīgas tehnoloģiskas darbības, ievadīt viltotus datus un līdzīgas darbības, bet izmantojot tikai regulāras ( uzstādīts darbstacijā un tai pieejams) aparatūru un programmatūru savā vai cita darbinieka vārdā ( zinot savu vārdu un paroli, izmantojot īslaicīgu prombūtni no darba vietas u.c.).
« Ārējais iebrucējs (iebrucējs)"- nepiederošs vai bijušais darbinieks, kas mērķtiecīgi rīkojas savtīgu interešu, atriebības vai ziņkārības dēļ, iespējams, sadarbojoties ar citiem. Viņš var izmantot visu informācijas drošības pārkāpšanas metožu kopumu, metodes un līdzekļus, kā uzlauzt publiskajiem tīkliem raksturīgās drošības sistēmas ( īpaši uz IP balstītiem tīkliem), ieskaitot programmatūras grāmatzīmju attālinātu ieviešanu un īpašu instrumentālo un tehnoloģisko programmu izmantošanu, izmantojot esošās apmaiņas protokolu un organizācijas AS tīkla mezglu aizsardzības sistēmas vājās vietas.
« Iekšējais uzbrucējs»- darbinieks, kas reģistrēts kā sistēmas lietotājs, mērķtiecīgi rīkojoties savtīgu interešu vai atriebības dēļ, iespējams, sadarbojoties ar personām, kuras nav organizācijas darbinieki. Viņš var izmantot visu drošības sistēmas uzlaušanas metožu un līdzekļu klāstu, tostarp slepenās metodes piekļuves informācijas iegūšanai, pasīvos līdzekļus (tehniskos pārtveršanas līdzekļus, nemainot sistēmas komponentus), aktīvās ietekmes metodes un līdzekļus ( tehnisko līdzekļu modificēšana, pieslēgšana datu pārraides kanāliem, programmatūras grāmatzīmju ieviešana un speciālu instrumentālo un tehnoloģisko programmu izmantošana), kā arī ietekmes kombinācija gan no iekšpuses, gan no publiskajiem tīkliem.

Iekšējā informācija var būt persona no šādām personāla kategorijām:

reģistrēti ĀS gala lietotāji ( nodaļu un filiāļu darbinieki);
darbiniekiem nav atļauts strādāt ar ĀS;
personāls, kas apkalpo atomelektrostacijas tehniskos līdzekļus ( inženieri, tehniķi);
programmatūras izstrādes un uzturēšanas nodaļu darbinieki ( lietojumprogrammu un sistēmu programmētāji);
tehniskais personāls, kas apkalpo organizācijas ēkas un telpas ( apkopēji, elektriķi, santehniķi un citi darbinieki, kuriem ir piekļuve ēkām un telpām, kurās atrodas skaļruņu komponenti);
dažāda līmeņa vadītāji.

atlaistie darbinieki;
organizāciju pārstāvji, kas mijiedarbojas organizācijas dzīves nodrošināšanas jautājumos ( enerģija, ūdens, siltumapgāde utt.);
to firmu pārstāvji, kas piegādā aprīkojumu, programmatūru, pakalpojumus utt.;
noziedzīgu organizāciju un konkurējošu komercstruktūru dalībnieki vai personas, kas darbojas to vārdā;
personas, kuras nejauši vai apzināti iekļuvušas tīklā no ārējiem tīkliem ( "Hakeri").

Lietotājiem un apkalpojošajam personālam no strādnieku vidus ir vislielākās iespējas veikt neatļautas darbības, jo viņiem ir noteiktas tiesības piekļūt resursiem un labas informācijas apstrādes tehnoloģiju zināšanas. Šīs pārkāpēju grupas rīcība ir tieši saistīta ar esošo noteikumu un noteikumu pārkāpšanu. Šī pārkāpēju grupa ir īpaši bīstama, mijiedarbojoties ar noziedzīgām struktūrām.

Atlaistie darbinieki var izmantot savas zināšanas par darba tehnoloģiju, aizsardzības pasākumiem un piekļuves tiesībām savu mērķu sasniegšanai.

Kriminālās struktūras ir agresīvākais ārējo draudu avots. Lai īstenotu savus plānus, šīs struktūras var atklāti pārkāpt likumu un ar visiem sev pieejamajiem spēkiem un līdzekļiem iesaistīt savā darbībā organizācijas darbiniekus.

Hakeriem ir augstākā tehniskā kvalifikācija un zināšanas par ĀS izmantotās programmatūras vājajām vietām. Tie rada vislielākos draudus, saskaroties ar strādājošiem vai atlaistajiem darbiniekiem un noziedzīgām struktūrām.

Organizācijas, kas nodarbojas ar iekārtu un informācijas sistēmu izstrādi, piegādi un remontu, rada ārējus draudus, jo tām laiku pa laikam ir tieša piekļuve informācijas resursiem. Noziedzīgās struktūras var izmantot šīs organizācijas savu biedru pagaidu nodarbināšanai, lai piekļūtu aizsargātai informācijai.

7. Tehniskā politika informācijas drošības jomā

7.1. Tehniskās politikas galvenie noteikumi

Tehniskās politikas īstenošanai informācijas drošības jomā ir jāvadās no pieņēmuma, ka nepieciešamo informācijas drošības līmeni nav iespējams nodrošināt ne tikai ar vienas palīdzības palīdzību. atsevišķi līdzekļi (aktivitāte), bet arī ar to vienkāršās kombinācijas palīdzību. Ir nepieciešama to sistēmiskā koordinācija savā starpā ( sarežģīts pielietojums), un atsevišķie ĀS elementi, kas tiek izstrādāti, būtu jāuzskata par vienotu daļu informācijas sistēma aizsargātā versijā ar optimāla attiecība tehnisks ( aparatūra, programmatūra) līdzekļi un organizatoriski pasākumi.

AES informācijas drošības nodrošināšanas tehniskās politikas īstenošanas galvenie virzieni ir nodrošināt informācijas resursu aizsardzību pret zādzībām, nozaudēšanu, noplūdi, iznīcināšanu, sagrozīšanu vai viltošanu nesankcionētas piekļuves un īpašu darbību rezultātā.

Informācijas drošības nodrošināšanas tehniskās politikas norādīto virzienu ietvaros tiek veikti:

izpildītāju uzņemšanas atļauju sistēmas ieviešana ( lietotāji, apkalpojošais personāls) darbiem, dokumentiem un konfidenciāla rakstura informācijai;
ierobežot izpildītāju un nepiederošu personu piekļuvi ēkām un telpām, kurās tiek veikts konfidenciāla rakstura darbs un atrodas informatizācijas un saziņas līdzekļi, uz kuriem ( uzglabā, pārraida) konfidenciāla rakstura informācija, tieši uz pašiem informatizācijas un saziņas līdzekļiem;
lietotāju un apkalpojošā personāla piekļuves diferencēšana informācijas resursiem, programmatūrai informācijas apstrādei un aizsardzībai ĀS iekļautajās dažāda līmeņa un mērķu apakšsistēmās;
dokumentu, informācijas masīvu reģistrēšana, lietotāju un apkalpojošā personāla darbību uzskaite, lietotāju, apkalpojošā personāla un nepiederošo personu nesankcionētas piekļuves un darbību kontrole;
vīrusu programmu, programmatūras grāmatzīmju ieviešanas novēršana automatizētajās apakšsistēmās;
Ar datortehnoloģiju un sakaru palīdzību apstrādātās un pārsūtītās informācijas kriptogrāfiska aizsardzība;
uzticama mašīnu datu nesēju, kriptogrāfisko atslēgu glabāšana ( galvenā informācija) un to aprite, izņemot zādzību, aizstāšanu un iznīcināšanu;
nepieciešamo tehnisko līdzekļu rezervēšana un masīvu un informācijas nesēju dublēšana;
dažādu automatizēto apakšsistēmu elementu radīto viltus emisiju un uztveršanas līmeņa un informācijas satura samazināšana;
elektroapgādes ķēžu, zemējuma un citu informatizācijas objektu ķēžu elektriskā izolēšana, kas iziet ārpus kontrolējamās zonas;
pretdarbība optiskajiem un lāzera novērošanas līdzekļiem.

7.2. Informācijas drošības režīma veidošana

Ņemot vērā identificētos apdraudējumus AES drošībai, informācijas drošības režīms veidojams kā metožu un pasākumu kopums, lai aizsargātu AES un to atbalsta infrastruktūrā cirkulējošo informāciju no nejaušas vai apzinātas dabiskas vai mākslīgas ietekmes, kas saistīta ar kaitējums informācijas īpašniekiem vai lietotājiem.

Pasākumu kopums informācijas drošības režīma veidošanai ietver:

informācijas drošības organizatoriskā un juridiskā režīma izveidošana automatizētajā sistēmā ( normatīvie dokumenti, darbs ar personālu, biroja darbs);
organizatorisko un tehnisko pasākumu īstenošana, lai aizsargātu ierobežotas izplatīšanas informāciju no noplūdes pa tehniskajiem kanāliem;
organizatoriskie un programmatūras tehniskie pasākumi, lai novērstu neatļautas darbības ( piekļuvi) ĀS informācijas resursiem;
pasākumu kopums ierobežotas izplatības informācijas resursu aizsardzības līdzekļu un sistēmu darbības kontrolei pēc nejaušas vai apzinātas ietekmes.

8. Informācijas drošības pasākumi, metodes un līdzekļi

8.1. Organizatoriskie pasākumi

Organizatoriskie pasākumi- tie ir organizatoriski pasākumi, kas regulē AES darbības procesus, to resursu izmantošanu, apkalpojošā personāla darbību, kā arī lietotāju mijiedarbības ar sistēmu kārtību tā, lai maksimāli sarežģītu vai izslēgtu iespēju ieviešot drošības apdraudējumus un to īstenošanas gadījumā samazināt zaudējumu apmēru.

8.1.1. Drošības politikas veidošana

Organizatorisko pasākumu galvenais mērķis ir informācijas drošības jomas politikas veidošana, atspoguļojot pieejas informācijas aizsardzībai, un nodrošināt tās īstenošanu, piešķirot nepieciešamos resursus un uzraugot lietu stāvokli.

No praktiskā viedokļa AES drošības politiku vajadzētu iedalīt divos līmeņos. Augšējais līmenis ietver lēmumus, kas ietekmē organizācijas darbību kopumā. Šādu risinājumu piemērs varētu būt:

visaptverošas informācijas drošības programmas veidošana vai pārskatīšana, par tās ieviešanu atbildīgo noteikšana;
mērķu formulēšana, mērķu izvirzīšana, darbības jomu noteikšana informācijas drošības jomā;
lēmumu pieņemšana par drošības programmas ieviešanu, kas tiek izskatīti organizācijas līmenī kopumā;
regulējuma nodrošināšana ( juridiski) drošības jautājumu datubāze utt.

Zemākā līmeņa politika nosaka mērķu sasniegšanas un informācijas drošības problēmu risināšanas procedūras un noteikumus un precizē (reglamentē) šos noteikumus:

kāds ir informācijas drošības politikas apjoms;
kādi ir par informācijas drošības politikas ieviešanu atbildīgo amatpersonu pienākumi un pienākumi;
kam ir tiesības piekļūt ierobežotas pieejamības informācijai;
kas un ar kādiem nosacījumiem var lasīt un modificēt informāciju utt.

Zemākā līmeņa politikai vajadzētu:

paredz informācijas attiecību regulējumu, izslēdzot patvaļīgas, monopoliskas vai neatļautas darbības iespēju attiecībā uz konfidenciālajiem informācijas resursiem;
definēt koalīcijas un hierarhijas principus un metodes noslēpumu apmaiņai un piekļuves ierobežošanai ierobežotas izplatīšanas informācijai;
izvēlēties programmatūras un aparatūras kriptogrāfiskās aizsardzības, manipulācijas novēršanas, autentifikācijas, autorizācijas, identifikācijas un citus aizsardzības mehānismus, kas nodrošina informācijas attiecību subjektu tiesību un pienākumu izpildi.

8.1.2. Tehnisko līdzekļu pieejamības regulējums

Drošu automatizētu darbstaciju un Bankas serveru darbība jāveic telpās, kas aprīkotas ar uzticamām automātiskām slēdzenēm, signalizāciju un pastāvīgi apsargātām vai uzraudzītām, izslēdzot iespēju nepiederošām personām nekontrolēti iekļūt telpās un nodrošinot apsargājamo resursu fizisko drošību. atrodas telpās ( AWP, dokumenti, piekļuves informācija utt.). Šādu AWP tehnisko līdzekļu izvietošanai un uzstādīšanai būtu jāizslēdz iespēja vizuāli skatīt ievadi ( atsaukts) ar to nesaistītu personu informācija. Telpu uzkopšana ar tajās uzstādītajām iekārtām jāveic atbildīgās personas klātbūtnē, kurai šie tehniskie līdzekļi ir piešķirti, vai iecirknī dežurējošās personas klātbūtnē, ievērojot pasākumus, kas izslēdz nepiederošu personu iekļūšanu telpās. aizsargājamie resursi.

Ierobežotas pieejamības informācijas apstrādes laikā telpās drīkst atrasties tikai darbinieki, kas ir tiesīgi strādāt ar šo informāciju.

Darba dienas beigās telpas ar uzstādītajiem aizsargātajiem AWP ir jānodod aizsardzībai.

Biroja dokumentu un mašīnu datu nesēju glabāšanai ar aizsargātu informāciju darbinieki tiek nodrošināti ar metāla skapjiem, kā arī līdzekļiem dokumentu iznīcināšanai.

Tehniskie līdzekļi, kas tiek izmantoti konfidenciālas informācijas apstrādei vai uzglabāšanai, ir jāaizzīmogo.

8.1.3. Nodarbināto uzņemšanas informācijas resursu lietošanā regulējums

Atļautās uzņemšanas sistēmas ietvaros tiek noteikts: kas, kam, kādu informāciju un kāda veida piekļuvei var sniegt un ar kādiem nosacījumiem; piekļuves kontroles sistēma, kas ietver visiem lietotājiem pieejamo ĀS informācijas un programmatūras resursu definēšanu noteiktām darbībām ( lasīt, rakstīt, modificēt, dzēst, izpildīt), izmantojot norādītos programmatūras un aparatūras piekļuves rīkus.

Stingri jāreglamentē strādnieku uzņemšana darbā ar ĀS un piekļuve viņu resursiem. Jebkādas izmaiņas ĀS apakšsistēmu lietotāju sastāvā un pilnvarās jāveic saskaņā ar noteikto procedūru.

Galvenie informācijas lietotāji ĀS ir organizācijas strukturālo nodaļu darbinieki. Katram lietotājam pilnvaru līmenis tiek noteikts individuāli, ievērojot šādas prasības:

atklāta un konfidenciāla informācija, kad vien iespējams, tiek ievietota dažādos serveros;
katrs darbinieks izmanto tikai viņam noteiktās tiesības attiecībā uz informāciju, ar kuru viņam nepieciešams strādāt saskaņā ar darba pienākumiem;
priekšniekam ir tiesības apskatīt savu padoto informāciju;
viskritiskākās tehnoloģiskās darbības jāveic saskaņā ar noteikumu "Divās rokās"- ievadītās informācijas pareizību apstiprina cita amatpersona, kurai nav tiesību ievadīt informāciju.

Par noteiktās automatizētās informācijas apstrādes kārtības, viņu rīcībā esošās sistēmas aizsargājamo resursu glabāšanas, izmantošanas un nodošanas noteikumu pārkāpumiem visiem darbiniekiem, kas uzņemti darbā AES, un AES apkalpojošajam personālam ir jāuzņemas personiska atbildība. Pieņemot darbā, katram darbiniekam jāparaksta Apņemšanās par konfidenciālas informācijas saglabāšanas prasību ievērošanu un atbildību par tās pārkāpšanu, kā arī par darba ar aizsargāto informāciju noteikumu ievērošanu ĀS.

Aizsargājamās informācijas apstrāde ĀS apakšsistēmās jāveic saskaņā ar apstiprinātajām tehnoloģiskajām instrukcijām ( pasūtījumus) šīm apakšsistēmām.

Lietotājiem, aizsargātām darbstacijām jāizstrādā nepieciešamās tehnoloģiskās instrukcijas, tajā skaitā prasības informācijas drošības nodrošināšanai.

8.1.4. Datu bāzu uzturēšanas un informācijas resursu modificēšanas procesu regulēšana

Visām operācijām ar datu bāzu uzturēšanu ĀS un darbinieku pielaišanai darbam ar šīm datu bāzēm jābūt stingri reglamentētām. Jebkādas izmaiņas ĀS datu bāzu lietotāju sastāvā un pilnvarās jāveic noteiktajā kārtībā.

Vārdu izplatīšana, paroļu ģenerēšana, datu bāzēm pieejas diferencēšanas noteikumu uzturēšana uzticēta Informācijas tehnoloģiju nodaļas darbiniekiem. Šajā gadījumā var izmantot gan standarta, gan papildu līdzekļus DBVS un operētājsistēmu aizsardzībai.

8.1.5. Apkopes procesu regulēšana un aparatūras un programmatūras resursu pārveidošana

Aizsargājamie sistēmas resursi ( uzdevumi, programmas, AWP) ir pakļauti stingrai uzskaitei ( pamatojoties uz atbilstošu veidlapu vai specializētu datu bāzu izmantošanu).

Automatizēto darbstaciju, kurās tiek apstrādāta aizsargātā informācija vai no kurām ir iespējama piekļuve aizsargātajiem resursiem, aparatūras un programmatūras konfigurācijai jāatbilst šīs AWS lietotājiem noteikto funkcionālo pienākumu lokam. Visas neizmantotās (nevajadzīgās) informācijas ievades-izvades ierīces ( COM, USB, LPT porti, diskešu diskdziņi, CD un citi datu nesēji) šādos AWP ir jāatspējo (jāizdzēš), ir jāizdzēš arī nevajadzīgā programmatūra un dati no AWS diskiem.

Lai vienkāršotu apkopi, apkopi un aizsardzības organizēšanu, darbstacijas jāaprīko ar programmatūru un jākonfigurē vienoti ( saskaņā ar noteiktajiem noteikumiem).

Jaunu AWP nodošana ekspluatācijā un visas izmaiņas aparatūras un programmatūras konfigurācijā, esošajos AWP organizācijas AS ir jāveic tikai noteiktajā kārtībā.

Visa programmatūra ( izstrādājuši organizācijas speciālisti, iegūti vai iegādāti no ražotājiem) ir jāpārbauda noteiktajā kārtībā un jānodod organizācijas programmu depozitārijam. ĀS apakšsistēmās ir jāinstalē un jāizmanto tikai no depozitārija noteiktā kārtībā saņemta programmatūra. Programmatūras izmantošana AS, kas nav iekļauta programmatūras depozitārijā, ir jāaizliedz.

Programmatūras izstrāde, izstrādātās un iegādātās programmatūras testēšana, programmatūras nodošana ekspluatācijā jāveic noteiktajā kārtībā.

8.1.6. Lietotāju apmācība un izglītošana

Pirms piekļuves nodrošināšanas ĀS tās lietotājiem, kā arī vadības un apkopes personālam ir jāiepazīstas ar konfidenciālās informācijas sarakstu un savu pilnvaru līmeni, kā arī organizatorisko un administratīvo, normatīvo, tehnisko un darbības dokumentāciju, kas nosaka prasības. un šādas informācijas apstrādes kārtību.

Informācijas aizsardzība visās augstāk minētajās jomās iespējama tikai pēc tam, kad lietotāji ir izstrādājuši noteiktu disciplīnu, t.i. normas, kas ir saistošas visiem, kas strādā ĀS. Šīs normas ietver aizliegumu veikt jebkādas tīšas vai neapzinātas darbības, kas traucē normālu ĀS darbību, rada papildu resursu izmaksas, pārkāpj glabājamās un apstrādātās informācijas integritāti, pārkāpj likumīgo lietotāju intereses.

Visiem darbiniekiem, kuri darba laikā izmanto konkrētas AES apakšsistēmas, ir jāpārzina AES aizsardzības organizatoriski un administratīvie dokumenti viņu interesēs, jāzina un stingri jāievēro tehnoloģiskie norādījumi un vispārīgie pienākumi informācijas drošības nodrošināšanai. . Šo dokumentu prasību nodošana aizsargātās informācijas apstrādei pielaistajām personām jāveic nodaļu vadītājiem pret parakstu.

8.1.7. Atbildība par informācijas drošības prasību pārkāpšanu

Par katru nopietnu informācijas drošības prasību pārkāpumu no organizācijas darbinieku puses jāveic dienesta izmeklēšana. Pret vainīgajiem ir jāveic atbilstoši pasākumi. Personāla atbildības pakāpi par darbībām, kas izdarītas, pārkāpjot noteiktos noteikumus drošas automatizētas informācijas apstrādes nodrošināšanai, nosaka nodarītais kaitējums, ļaunprātīga nolūka klātbūtne un citi faktori.

Lai īstenotu lietotāju personīgās atbildības par savu rīcību principu, nepieciešams:

lietotāju un viņu uzsākto procesu individuāla identifikācija, t.i. izveidojot tiem identifikatoru, uz kura pamata tiks veikta piekļuves kontrole saskaņā ar piekļuves derīguma principu;
lietotāja autentifikācija ( autentifikācija), pamatojoties uz parolēm, atslēgām uz cita fiziska pamata utt .;
reģistrācija ( mežizstrāde) informācijas sistēmas resursiem pieejas kontroles mehānismu darbība, norādot datumu un laiku, pieprasīto un pieprasīto resursu identifikatorus, mijiedarbības veidu un rezultātu;
reakcija uz nesankcionētas piekļuves mēģinājumiem ( signalizācija, bloķēšana utt.).

8.2. Tehniskie aizsardzības līdzekļi

Tehnisks ( aparatūru un programmatūru) aizsardzības līdzekļi - dažādas elektroniskās ierīces un īpašas programmas kas ietilpst ĀS un veic (patstāvīgi vai kopā ar citiem līdzekļiem) aizsardzības funkcijas ( lietotāju identificēšana un autentifikācija, pieejas resursiem diferencēšana, notikumu reģistrācija, informācijas kriptogrāfiskā aizsardzība u.c.).

Ņemot vērā visas prasības un principus informācijas drošības nodrošināšanai atomelektrostacijā visās aizsardzības jomās, aizsardzības sistēmā jāiekļauj šādi līdzekļi:

lietotāju un skaļruņu elementu autentifikācijas līdzekļi ( termināļi, uzdevumi, datu bāzes vienumi utt.) atbilstošs informācijas un apstrādāto datu konfidencialitātes pakāpei;
līdzekļi piekļuves datu ierobežošanai;
informācijas kriptogrāfiskās aizsardzības līdzekļi datu pārraides līnijās un datubāzēs;
aprites reģistrācijas un aizsargātās informācijas izmantošanas kontroles līdzekļi;
līdzekļi, kā reaģēt uz atklātiem iejaukšanas vai manipulācijas mēģinājumiem;
līdzekļi viltus emisiju un uztveršanas līmeņa un informācijas satura samazināšanai;
aizsardzības līdzekļi pret optiskajiem novērošanas līdzekļiem;
aizsardzība pret vīrusiem un ļaunprātīgu programmatūru;
gan AU elementu, gan telpu, kurās iekārta atrodas, konstrukcijas elementu elektriskās atsaistes līdzekļi.

Tehniskajiem aizsardzības līdzekļiem pret nesankcionētiem uzbrukumiem ir uzticēts atrisināt šādus galvenos uzdevumus:

lietotāju identificēšana un autentifikācija, izmantojot vārdus un/vai īpašu aparatūru ( Pieskarieties vienumam Atmiņa, viedkarte utt.);
regulēt lietotāju piekļuvi darbstaciju fiziskajām ierīcēm ( diski, ievades-izejas porti);
selektīva (diskrecionāra) piekļuves kontrole loģiskajiem diskdziņiem, direktorijiem un failiem;
autoritatīva (obligāta) piekļuves diferencēšana aizsargātiem datiem darbstacijā un failu serverī;
izveidojot slēgtu programmatūras vide atļauts palaist programmas, kas atrodas gan lokālajos, gan tīkla diskos;
aizsardzība pret datorvīrusu un ļaunprātīgas programmatūras iekļūšanu;
aizsardzības sistēmas moduļu, disku sistēmas apgabalu un patvaļīgu failu sarakstu integritātes kontrole automātiskajā režīmā un ar administratora komandām;
lietotāja darbību reģistrācija aizsargātā žurnālā, vairāku reģistrācijas līmeņu klātbūtne;
datu aizsardzības sistēmas aizsardzība failu serverī no visu lietotāju, tostarp tīkla administratora, piekļuves;
centralizēta piekļuves diferencēšanas līdzekļu iestatījumu pārvaldība tīkla darbstacijās;
visu darbstacijās notikušo manipulāciju reģistrēšana;
operatīvā kontrole pār tīkla lietotāju darbu, mainot darbstaciju darbības režīmus un bloķēšanas iespēju ( ja nepieciešams) jebkura tīkla stacija.

Tehnisko aizsardzības līdzekļu veiksmīga izmantošana paredz, ka ar organizatoriskiem pasākumiem un izmantotajiem fiziskajiem aizsardzības līdzekļiem tiek nodrošināta šādu prasību izpilde:

tiek nodrošināta visu ĀS sastāvdaļu fiziskā integritāte;
katrs darbinieks ( sistēmas lietotājs) ir unikāls sistēmas nosaukums un minimālās tiesības piekļūt sistēmas resursiem, kas nepieciešami tā funkcionālo pienākumu veikšanai;
instrumentālo un tehnoloģisko programmu izmantošana darbstacijās ( pārbaudīt utilītas, atkļūdotājus utt.), kas pieļauj mēģinājumus uzlauzt vai apiet drošības pasākumus, ir ierobežots un stingri reglamentēts;
aizsargātajā sistēmā nav programmēšanas lietotāju, un programmu izstrāde un atkļūdošana tiek veikta ārpus aizsargātās sistēmas;
visas izmaiņas aparatūras un programmatūras konfigurācijā tiek veiktas stingri noteiktā veidā;
tīkla aparatūra ( centrmezgli, slēdži, maršrutētāji utt.) atrodas svešiniekiem nepieejamās vietās ( īpašas telpas, skapji utt.);
informācijas drošības dienests veic nepārtrauktu pārvaldību un administratīvo atbalstu informācijas drošības rīku funkcionēšanai.

8.2.1. Lietotāju identifikācijas un autentifikācijas rīki

Lai nepieļautu nepilnvarotu personu piekļuvi AU, ir jānodrošina, lai sistēma varētu atpazīt katru likumīgo lietotāju (vai ierobežotas lietotāju grupas). Lai to izdarītu, sistēmā ( aizsargātā vietā) jāsaglabā vairāki katra lietotāja atribūti, pēc kuriem šo lietotāju var identificēt. Turpmāk, ieejot sistēmā, un, ja nepieciešams, veicot noteiktas darbības sistēmā, lietotājam ir pienākums sevi identificēt, t.i. norāda tai piešķirto identifikatoru sistēmā. Turklāt identifikācijai var izmantot dažāda veida ierīces: magnētiskās kartes, atslēgu ieliktņus, disketes u.c.

Autentifikācija ( autentiskuma apstiprinājums) lietotājiem jāveic, pamatojoties uz paroļu (slepeno vārdu) vai īpašu autentifikācijas pārbaudes līdzekļu izmantošanu. unikālas īpašības(parametru) lietotājiem.

8.2.2. Līdzekļi piekļuves ierobežošanai automatizētās sistēmas resursiem

Pēc lietotāja atpazīšanas sistēmai ir jāautorizē lietotājs, tas ir, jānosaka, kādas tiesības lietotājam tiek piešķirtas, t.i. kādus datus un kā var izmantot, kādas programmas var izpildīt, kad, cik ilgi un no kādiem termināļiem var strādāt, kādus sistēmas resursus izmantot utt. Lietotāja autorizācija jāveic, izmantojot šādus piekļuves kontroles mehānismus:

selektīvi piekļuves kontroles mehānismi, kuru pamatā ir atribūtu shēmu, atļauju sarakstu utt. izmantošana;
autoritatīvi piekļuves kontroles mehānismi, kuru pamatā ir resursu konfidencialitātes etiķešu un lietotāju piekļuves līmeņu izmantošana;
mehānismi slēgtas vides nodrošināšanai ar uzticamu programmatūru ( individuāli katram lietotājam atļauto programmu saraksti) atbalsta mehānismi lietotāju identificēšanai un autentifikācijai, kad viņi piesakās sistēmā.

Konkrētu tehnisko aizsardzības līdzekļu atbildības jomas un uzdevumi tiek noteikti, pamatojoties uz to iespējām un darbības raksturlielumiem, kas aprakstīti šo līdzekļu dokumentācijā.

Piekļuves kontroles tehniskajiem līdzekļiem jābūt vienotas piekļuves kontroles sistēmas sastāvdaļai:

uz kontrolēto zonu;
atsevišķās telpās;
uz ĀS elementiem un informācijas drošības sistēmas elementiem ( fiziska piekļuve);
uz ĀS resursiem ( matemātiskā piekļuve);
uz informācijas krātuvēm ( datu nesēji, sējumi, faili, datu kopas, arhīvi, atsauces, ieraksti utt.);
uz aktīviem resursiem ( lietojumprogrammas, uzdevumi, pieprasījumu veidlapas utt.);
uz operētājsistēmu, sistēmas programmām un aizsardzības programmām utt.

8.2.3. Programmatūras un informācijas resursu integritātes nodrošināšanas un uzraudzības līdzekļi

Programmu, apstrādātās informācijas un aizsardzības līdzekļu integritātes kontrole, lai nodrošinātu programmatūras vides nemainīgumu, ko nosaka nodrošinātā apstrādes tehnoloģija, un aizsardzību pret nesankcionētu informācijas labošanu:

kontrolsummu aprēķināšanas līdzekļi;
ar līdzekļiem Elektroniskais paraksts;
līdzekļi kritisko resursu salīdzināšanai ar to oriģināleksemplāriem ( un piedziņa integritātes pārkāpuma gadījumā);
piekļuves kontroles līdzekļi ( piekļuves liegšana ar modifikācijas vai dzēšanas tiesībām).

Lai aizsargātu informāciju un programmas no neatļautas iznīcināšanas vai sagrozīšanas, ir jānodrošina:

sistēmas tabulu un datu dublēšana;
datu dupleksēšana un spoguļošana diskos;
darījumu izsekošana;
periodiska integritātes kontrole operētājsistēma un lietotāju programmas, kā arī lietotāju faili;
pretvīrusu aizsardzība un kontrole;
datu dublēšana saskaņā ar iepriekš izveidotu shēmu.

8.2.4. Drošības notikumu vadīklas

Kontrolēm jānodrošina, lai visi notikumi ( lietotāju darbības, nepiederošu personu mēģinājumi utt.), kas var izraisīt drošības politikas pārkāpumu un izraisīt krīzes situāciju rašanos. Vadības elementiem ir jānodrošina iespēja:

pastāvīga tīkla galveno mezglu un tīklu veidojošo sakaru iekārtu uzraudzība, kā arī tīkla darbības galvenajos tīkla segmentos;
kontrole pār to, kā lietotāji izmanto korporatīvo un publisko tīklu pakalpojumus;
drošības notikumu žurnālu uzturēšana un analīze;
savlaicīga ārējo un iekšējo apdraudējumu informācijas drošībai atklāšana.

Reģistrējot drošības notikumus sistēmas žurnālā, jāreģistrē šāda informācija:

notikuma datums un laiks;
priekšmeta identifikators ( lietotājs, programma) veikt reģistrēto darbību;
darbība ( ja tiek reģistrēts piekļuves pieprasījums, tad tiek atzīmēts objekts un piekļuves veids).

Kontrolēm jānodrošina, ka tiek atklāti un reģistrēti šādi notikumi:

lietotāja pieteikšanās sistēmā;
lietotāja pieteikšanās tīklā;
neizdevās pieteikšanās vai tīkla mēģinājums ( nepareiza parole);
savienojums ar failu serveri;
programmas palaišana;
programmas pabeigšana;
mēģinājums palaist programmu, kas nav pieejama palaišanai;
mēģinājums piekļūt nepieejamam direktorijam;
mēģinājums nolasīt/rakstīt informāciju no diska, kas lietotājam nav pieejams;
mēģinājums palaist programmu no diska, kas lietotājam nav pieejams;
aizsardzības sistēmas programmu un datu integritātes pārkāpums utt.

Jāatbalsta šādi galvenie veidi, kā reaģēt uz nepiederošu personu atklātajiem faktiem ( iespējams, piedaloties drošības administratoram):

paziņot informācijas īpašniekam par NVD viņa datiem;
programmas atcelšana ( uzdevumus) ar turpmāku izpildi;
paziņojot datu bāzes administratoram un drošības administratoram;
atvienojot termināli ( darbstacija) no kuras NVD ir mēģinājusi iegūt informāciju vai nelikumīgas darbības tīklā;
pārkāpēja izslēgšana no reģistrēto lietotāju saraksta;
trauksmes signalizācija utt.

8.2.5. Kriptogrāfiskās informācijas drošība

Vienam no svarīgākajiem atomelektrostacijas informācijas drošības sistēmas elementiem vajadzētu būt kriptogrāfijas metožu un līdzekļu izmantošanai, lai aizsargātu informāciju no nesankcionētas piekļuves tās pārsūtīšanas pa sakaru kanāliem un uzglabāšanas laikā datorizētajos medijos.

Visiem informācijas kriptogrāfiskās aizsardzības līdzekļiem ĀS jābalstās uz pamata kriptogrāfijas kodolu. Organizācijai ir jābūt likumā noteiktām licencēm, lai iegūtu tiesības izmantot kriptogrāfijas nesējus.

ĀS izmantotajai kriptogrāfiskās aizsardzības līdzekļu atslēgu sistēmai būtu jānodrošina kriptogrāfiska izdzīvošana un daudzlīmeņu aizsardzība pret galvenās informācijas kompromitēšanu, lietotāju nodalīšana pēc aizsardzības līmeņiem un to mijiedarbības zonām ar otru un citu līmeņu lietotājiem.

Informācijas konfidencialitāte un imitācijas aizsardzība tās pārraidīšanas laikā pa sakaru kanāliem būtu jānodrošina, sistēmā izmantojot abonentu un kanālu šifrēšanas līdzekļus. Informācijas abonentu un kanālu šifrēšanas kombinācijai jānodrošina tās pilnīga aizsardzība visā ceļā, jāaizsargā informācija tās kļūdainas novirzīšanas gadījumā komutācijas centru aparatūras un programmatūras kļūmju un darbības traucējumu dēļ.

ĀS, kas ir sistēma ar izkliedētiem informācijas resursiem, jāizmanto arī līdzekļi elektronisko parakstu ģenerēšanai un pārbaudei, lai nodrošinātu ziņojumu integritāti un juridiski pierādījumu autentiskumu, kā arī lietotāju, abonentu staciju autentifikāciju un laika apstiprināšanu. ziņojumu sūtīšanai. Šajā gadījumā jāizmanto standartizēti elektroniskā paraksta algoritmi.

8.3. Informācijas drošības vadība

Informācijas drošības sistēmas vadība AES ir mērķtiecīga ietekme uz drošības sistēmas komponentiem ( organizatoriskā, tehniskā, programmatūras un kriptogrāfijas), lai sasniegtu nepieciešamos rādītājus un standartus AES cirkulējošās informācijas drošībai galveno drošības apdraudējumu īstenošanas kontekstā.

Informācijas drošības sistēmas vadības organizēšanas galvenais mērķis ir paaugstināt informācijas aizsardzības uzticamību tās apstrādes, uzglabāšanas un pārraidīšanas laikā.

Informācijas drošības sistēmas vadību realizē specializēta kontroles apakšsistēma, kas ir dažāda līmeņa kontroles institūciju, tehnisko, programmatūras un kriptogrāfijas rīku, kā arī organizatorisku pasākumu un savstarpēji mijiedarbojošu kontroles punktu kopums.

Vadības apakšsistēmas funkcijas ir: informācijas, vadības un palīgsistēmas.

Informācijas funkcija sastāv no nepārtrauktas aizsardzības sistēmas stāvokļa uzraudzīšanas, drošības rādītāju atbilstības pārbaudīšanas pieļaujamajām vērtībām un tūlītējas drošības operatoru informēšanas par situācijām, kas rodas atomelektrostacijā, kas var izraisīt informācijas drošības pārkāpumu. . Aizsardzības sistēmas stāvokļa uzraudzībai ir divas prasības: pilnīgums un uzticamība. Pilnīgums raksturo visu aizsardzības līdzekļu pārklājuma pakāpi un to darbības parametrus. Vadības uzticamība raksturo kontrolējamo parametru vērtību atbilstības pakāpi to patiesajai vērtībai. Kontroles datu apstrādes rezultātā tiek ģenerēta informācija par aizsardzības sistēmas stāvokli, kas tiek vispārināta un nosūtīta uz augstākiem kontroles punktiem.

Kontroles funkcija sastāv no atomelektrostacijas tehnoloģisko darbību īstenošanas plānu veidošanas, ņemot vērā informācijas drošības prasības apstākļos, kas pastāv šī brīža laikā, kā arī informācijas ievainojamības situācijas atrašanās vietas noteikšanā un tās noplūdes novēršanā, operatīvi bloķējot AES posmus, kuros rodas informācijas drošības apdraudējumi. Kontroles funkcijas ietver dokumentu un informācijas nesēju, paroļu un atslēgu uzskaiti, glabāšanu un izsniegšanu. Paralēli tiek veikta paroļu, atslēgu ģenerēšana, piekļuves kontroles līdzekļu uzturēšana, AS programmatūras vidē iekļautu jaunu programmatūras rīku pieņemšana, programmatūras vides atbilstības standartam kontrole, kā arī tehnoloģiskā kontrole. konfidenciālās informācijas apstrādes process tiek uzdots Informācijas tehnoloģiju departamenta un Ekonomiskās drošības departamenta darbiniekiem.

Kontroles apakšsistēmas palīgfunkcijās ietilpst visu automatizētajā sistēmā veikto darbību uzskaite ar aizsargāto informāciju, atskaites dokumentu veidošana un statistikas datu vākšana, lai analizētu un identificētu iespējamos informācijas noplūdes kanālus.

8.4. Aizsardzības sistēmas efektivitātes uzraudzība

Informācijas aizsardzības sistēmas efektivitātes uzraudzība tiek veikta, lai laikus identificētu un novērstu informācijas noplūdi nesankcionētas piekļuves dēļ, kā arī novērstu iespējamās speciālās darbības, kas vērstas uz informācijas iznīcināšanu, informācijas tehnoloģiju iznīcināšanu.

Informācijas aizsardzības pasākumu efektivitātes izvērtēšana tiek veikta, izmantojot organizatoriskās, aparatūras un programmatūras kontroles noteikto prasību ievērošanai.

Kontroli var veikt gan ar standarta informācijas aizsardzības sistēmas līdzekļu palīdzību, gan ar speciālu kontroles un tehnoloģiskās uzraudzības līdzekļu palīdzību.

8.5. Personas datu informācijas drošības nodrošināšanas pazīmes

Personas datu klasifikācija tiek veikta saskaņā ar personas datu drošības īpašību zaudēšanas seku smagumu personas datu subjektam.

Par personas datiem ”Īpašām personas datu kategorijām;
personas dati, kas klasificēti saskaņā ar federālo likumu " Par personas datiem ”Uz biometriskajiem personas datiem;
personas dati, kurus nevar attiecināt uz īpašām personas datu kategorijām, biometriskie personas dati, publiski pieejami vai anonimizēti personas dati;
personas dati, kas klasificēti saskaņā ar federālo likumu " Par personas datiem ”Uz publiski pieejamiem vai anonimizētiem personas datiem.

Personas datu nodošana trešajai personai ir jāveic, pamatojoties uz federālo likumu vai personas datu subjekta piekrišanu. Gadījumā, ja organizācija uz līguma pamata uztic personas datu apstrādi trešajai personai, būtisks šāda līguma nosacījums ir trešās personas pienākums nodrošināt personas datu konfidencialitāti un personas datu drošību. to apstrādes laikā.

Organizācijai ir jāpārtrauc personas datu apstrāde un jāiznīcina savāktie personas dati, ja vien Krievijas Federācijas tiesību aktos nav noteikts citādi, Krievijas Federācijas tiesību aktos noteiktajos termiņos šādos gadījumos:

pēc apstrādes mērķu sasniegšanas vai ja to sasniegšana nav nepieciešama;
pēc personas datu subjekta vai Personas datu subjektu tiesību aizsardzības pilnvarotās iestādes pieprasījuma - ja personas dati ir nepilnīgi, novecojuši, neuzticami, iegūti nelikumīgi vai nav nepieciešami norādītajam apstrādes mērķim;
kad personas datu subjekts atsauc savu piekrišanu savu personas datu apstrādei, ja šāda piekrišana ir nepieciešama saskaņā ar Krievijas Federācijas tiesību aktiem;
ja operatoram nav iespējams novērst personas datu apstrādē pieļautos pārkāpumus.

Organizācijai ir jādefinē un jādokumentē:

personas datu iznīcināšanas kārtība ( tostarp personas datu materiālie nesēji);
kārtību, kādā tiek apstrādāti personas datu subjektu pieprasījumi ( vai to likumīgie pārstāvji) par savu personas datu apstrādi;
rīcības kārtību Personas datu subjektu tiesību aizsardzības pilnvarotās institūcijas vai citu uzraudzības institūciju, kas veic kontroli un uzraudzību personas datu jomā, pieprasījumu gadījumā;
pieeja ĀS klasificēšanai kā personas datu informācijas sistēmas ( Tālāk - ISPDN );
ISPD saraksts. ISPD sarakstā jāiekļauj AS, kuras izveides un izmantošanas mērķis ir personas datu apstrāde.

Katrai PDIS identificē un dokumentē:

personas datu apstrādes mērķis;
apstrādāto personas datu apjoms un saturs;
ar personas datiem veikto darbību saraksts un to apstrādes metodes.

Personas datu apjomam un saturam, kā arī personas datu apstrādes darbību un metožu sarakstam jāatbilst apstrādes mērķiem. Gadījumā, ja informācijas tehnoloģiskā procesa īstenošanai, kura ieviešanu atbalsta ISPD, nav nepieciešama atsevišķu personas datu apstrāde, šie personas dati ir jādzēš.

Prasības personas datu drošības nodrošināšanai ISPDN parasti tiek īstenotas ar organizatorisku, tehnoloģisku, tehnisku un programmatūras pasākumu, līdzekļu un mehānismu kompleksu informācijas aizsardzībai.

Īstenošanas organizācija un ( vai) personas datu drošības nodrošināšanas prasību īstenošana būtu jāveic par personas datu drošības nodrošināšanu atbildīgajai organizācijas struktūrvienībai vai amatpersonai (darbiniekam), vai uz līguma pamata organizācijai - darījuma partnerim. organizācija, kurai ir licence nodrošināt konfidenciālas informācijas tehnisko aizsardzību.

Organizācijas ISPD izveidē jāietver ( paziņojums, apgalvojums) darba uzdevumā paredzēto veidojamās sistēmas organizatorisko, administratīvo, projektēšanas un darbības dokumentāciju. Dokumentācijā jāatspoguļo jautājumi par apstrādāto personas datu drošības nodrošināšanu.

Koncepciju, tehnisko specifikāciju izstrāde, projektēšana, izveide un testēšana, ISPD pieņemšana un nodošana ekspluatācijā jāveic pēc vienošanās un struktūrvienības vai amatpersonas (darbinieka) kontrolē, kas ir atbildīga par personas datu drošības nodrošināšanu.

Visi informācijas līdzekļi, kas pieder organizācijas ISPD, ir jāaizsargā no ietekmes ļaunprātīgs kods... Organizācijai jānosaka un jādokumentē prasības personas datu drošības nodrošināšanai ar pretvīrusu aizsardzības līdzekļiem un šo prasību izpildes uzraudzības kārtība.

Organizācijai ir jābūt piekļuves kontroles sistēmai, kas kontrolē piekļuvi sakaru portiem, ievades/izvades ierīcēm, noņemamiem iekārtas datu nesējiem un ārējie diskdziņi informācija ISPDN.

Organizācijas darbības un apkalpojošo ISPD nodaļu vadītāji nodrošina personas datu drošību to apstrādes laikā ISPDN.

Darbiniekiem, kuri apstrādā personas datus ISPDN, jārīkojas saskaņā ar instrukcijām ( norādījumi, noteikumi utt.), kas ir daļa no operatīvās dokumentācijas par ISPD, un atbilst IS nodrošināšanas dokumentu prasībām.

Pienākumi par aizsardzības līdzekļu un aizsardzības mehānismu administrēšanu, kas īsteno organizācijas IS ISPD nodrošināšanas prasības, tiek noteikti ar rīkojumiem ( pasūtījumus) par Informācijas tehnoloģiju katedras speciālistiem.

Informācijas tehnoloģiju katedras speciālistu un personas datu apstrādē iesaistītā personāla kārtību nosaka instrukcijas ( vadlīnijas), kuras sagatavo ISPD izstrādātājs kā daļu no ISPD operatīvās dokumentācijas.

Norādītās instrukcijas ( vadība):

nosaka prasības personāla kvalifikācijai informācijas drošības jomā, kā arī aktuālu aizsargājamo objektu sarakstu un tā aktualizācijas noteikumus;
satur pilnībā atbilstošu ( pēc laika) dati par lietotāju tiesībām;
satur datus par informācijas apstrādes tehnoloģijām informācijas drošības speciālistam nepieciešamajā apjomā;
noteikt notikumu žurnālu analīzes secību un biežumu ( žurnālu arhīvi);
regulēt citas darbības.

Informācijas tehnoloģiju katedras speciālistu atbildības jomā izmantoto aizsardzības līdzekļu un mehānismu informācijas aizsardzībai pret manipulācijām konfigurācijas parametri ir noteikti ISPD operatīvajā dokumentācijā. Uzstādīto konfigurācijas parametru pārbaužu kārtība un biežums ir noteikts ekspluatācijas dokumentācijā vai regulēts iekšējā dokumentā, savukārt pārbaudes jāveic vismaz reizi gadā.

Organizācijai jānosaka un jādokumentē piekļuves kārtība telpām, kurās atrodas ISPDN tehniskie līdzekļi un tiek glabāti personas datu nesēji, paredzot nepiederošu personu piekļuves kontroli un šķēršļu esamību nepiederošām personām. iekļūšana telpās. Noteiktā kārtība jāizstrādā struktūrvienībai vai amatpersonai ( darbinieks), kas atbild par fiziskās apsardzes režīma nodrošināšanu un ir saskaņota ar struktūrvienību vai amatpersonu ( darbinieks), kas atbild par personas datu drošības nodrošināšanu, un Ekonomiskās drošības departamentu.

ISPD lietotāji un apkalpojošais personāls nedrīkst veikt nesankcionētas un ( vai) nereģistrēts ( nekontrolēta) personas datu kopēšana. Šajā nolūkā ar organizatoriskiem un tehniskiem pasākumiem jāaizliedz neatļautas un ( vai) nereģistrēts ( nekontrolēta) personas datu kopēšana, tostarp izmantojot atsavinātu ( nomaināms) datu nesēji, mobilās ierīces informācijas kopēšanai un pārsūtīšanai, sakaru porti un ievades/izvades ierīces, kas ievieš dažādas saskarnes ( ieskaitot bezvadu), mobilo ierīču atmiņas ierīces ( piemēram, klēpjdatoriem, kabatas personālajiem datoriem, viedtālruņiem, Mobilie tālruņi ), kā arī foto un video ierīces.

Personiskās drošības kontroli veic informācijas drošības speciālists gan ar informācijas aizsardzības sistēmas standarta līdzekļu palīdzību, gan ar speciālu kontroles līdzekļu un tehnoloģiskās uzraudzības palīdzību.

Lejupielādēt ZIP fails (65475)

Dokumenti noderēja - liec "patīk" vai:

Ja pastāv draudi, ir jābūt aizsardzības un pretdarbības metodēm.... Metodes ir līdzekļi, lai sasniegtu uzticētos uzdevumus un metožu secība spēku izmantošanai, lai aizsargātu konfidenciālu informāciju.

Cilvēka darbības princips zemapziņā ir paredzēts, lai sasniegtu pozitīvi rezultāti... Profesionāļu pieredze informācijas drošības jomā diezgan skaidri definējusi to līdzekļu, spēku un paņēmienu kopumu, kuru mērķis ir garantēt informācijas drošību vai informācijas uzticamību.

Informācijas uzticamības vai informācijas drošības nodrošināšana tiek panākta ar šādām darbībām, kuru mērķis ir:

Apdraudējumu identificēšana izpaužas, pareizi analizējot un kontrolējot iespējamos vai reālos draudus pieļaujamos gadījumus, kā arī savlaicīgi veicot pasākumus to novēršanai;
apdraudējumu novēršana tiek panākta, nodrošinot informācijas drošību vai informācijas uzticamību par labu proaktīvai un to rašanās
atklāt draudus ar riska analīzi;
Pasākumu iekļaušana draudu vai noziedzīgu darbību novēršanai un noziedzīgu darbību lokalizācija;
draudu atklāšana tiek panākta, identificējot konkrētas noziedzīgas darbības un reālus draudus;
draudu un noziedzīgi specifisku darbību seku novēršana. Status quo atjaunošana (1. att.).

Informācijas aizsardzības metodes:

šķērslis - līdzeklis, kas fiziski neļauj uzbrucējam rīkoties, pamatojoties uz svarīgu informāciju
piekļuves kontrole - informācijas aizsardzības līdzeklis, regulējot visu IS resursu izmantošanu IT. Šādām metodēm vajadzētu aizsargāt pret informāciju
Šifrēšanas algoritmi - metodes tiek realizētas gan informācijas uzglabāšanas, gan apstrādes laikā. Pārsūtot informāciju, šī ir galvenā un vienīgā aizsardzības metode
Regulēšana ir tādu apstākļu radīšana informācijas glabāšanai un apstrādei informācijas sistēmā, saskaņā ar kuru tiek maksimāli īstenoti aizsardzības standarti un normas.
Piespiešana ir aizsardzības līdzeklis, kas liek lietotājiem ievērot darba noteikumus informācijas sistēmā
Stimuls ir aizsardzības līdzeklis, kas mudina informācijas sistēmas lietotājus nepārkāpt noteikumus ētikas un morāles standartu dēļ.
Aparatūra - ierīces, kas ir iegultas skaitļošanas mehānismos vai ir savienotas, izmantojot saskarnes
fiziski līdzekļi - dažādas inženierbūves, kas aizsargā personālu, informāciju, ierīces, lietas no iebrucējiem
Programmatūra - programmatūra, kas ir iestrādāta informācijas sistēmā, lai ieviestu aizsardzību
Organizatoriskie instrumenti - tiek sasniegti, pamatojoties uz normatīvajiem dokumentiem, kas regulē darbinieku darbu tā, lai tiktu īstenota maksimāla informācijas sistēmas aizsardzība

Prettiesisku un iespējamo darbību novēršanu var nodrošināt ar dažādiem līdzekļiem un pasākumiem, sākot no darbinieku savstarpējo attiecību ievērošanas ar organizatoriskām metodēm līdz aizsardzībai ar aparatūru, fizisko, programmatūras un metodēm (vai vai). Apdraudējumu novēršana iespējama arī informācijas iegūšanas stadijā par sagatavošanās darbībām, sagatavotajām darbībām, plānotajām zādzībām un citiem noziedzīgas darbības elementiem. Šādiem nolūkiem tas ir nepieciešams ar informantiem dažādās darbības sfērās ar dažādiem uzdevumiem. Daži novēro un objektīvi novērtē pašreizējo situāciju. Citi novērtē darbinieku attiecības komandā dažādās uzņēmuma daļās. Vēl citi strādā starp noziedzīgām grupām un konkurentiem.

1. attēls

Apdraudējumu novēršanā ļoti liela nozīme ir informācijas un analītiskās drošības dienesta darbībai, pamatojoties uz īpašās situācijas analīzi un uzbrucēju un konkurentu darbībām. Ja jums ir piekļuve internetam, drošības dienests. Un arī vai.

Aizsardzība pret datu izpaušanu tiek samazināta līdz informācijas kataloga izveidei, kas uzņēmumā ir komercnoslēpums. Šis informācijas katalogs ir jādara zināms ikvienam uzņēmuma darbiniekam, rakstiski apņemoties šim darbiniekam saglabāt šo noslēpumu. Viena no svarīgākajām darbībām ir kontroles sistēma komercnoslēpumu integritātes un konfidencialitātes saglabāšanai.

Konfidenciālas informācijas aizsardzība no noplūdes darbiem, pamatojoties uz uzskaiti, iespējamo noplūdes ceļu identificēšanu un kontroli konkrētās situācijās, kā arī tehnisko, organizatorisko, organizatorisko un tehnisko pasākumu īstenošanu to iznīcināšanai.

Konfidenciālas informācijas aizsardzība pret nesankcionētu piekļuvi darbojas, pamatojoties uz tehnisko, organizatorisko, organizatorisko un tehnisko procedūru ieviešanu, lai cīnītos pret nesankcionētu piekļuvi. Kā arī nesankcionētas piekļuves un analīzes metožu kontrole.

Praksē visās darbībās zināmā mērā tiek izmantota tehnika, un tās iedala trīs grupās (2. att.):

organizatoriski (tehnisko līdzekļu jomā);
tehnisks.
organizatoriskā un tehniskā;

2. attēls

Aizsardzības darbības atsauce

Aizsardzības darbu, kā arī informācijas drošības uzturēšanas paņēmienus un procedūras klasificē pēc pazīmēm un aizsardzības objektiem, kurus iedala šādos parametros:

Pēc ievirzes - aizsardzības metodes var klasificēt kā darbības, kursu, lai aizsargātu personālu, finanšu un materiālos aktīvus un informāciju kā fondu.

Pēc metodēm - tā ir noteikšana (piemēram:) vai brīdināšana, noteikšana, apspiešana un atjaunošana.

Virzieni - tā ir aizsardzība, kas balstīta uz juridiskām metodēm, organizatoriskām un inženiertehniskām darbībām.

Pārklājuma ziņā aizsardzības līdzekļi var būt vērsti uz uzņēmuma perimetra, atsevišķu telpu, ēku, konkrētu iekārtu grupu, tehnisko līdzekļu un sistēmu aizsardzību, atsevišķi elementi(mājas, telpas, iekārtas) bīstami no nesankcionētas piekļuves tiem.

Informācijas iemesls var būt cilvēki, atkritumi, tehniskie līdzekļi utt. Informācijas nesēji var būt akustiskie un elektromagnētiskie lauki vai vielas (izstrādājums, papīrs, materiāls). Izplatīšanās vide ir skarba vide vai gaisa telpa.

Pārkāpējam var būt visi nepieciešamie līdzekļi elektromagnētiskās un akustiskās enerģijas uztveršanai, gaisa novērošanai un spēja analizēt informācijas prezentācijas materiālus.

Informācijas attēlošana reālās formās. Lai izslēgtu konfidenciālas informācijas nelikumīgu sagrābšanu, signāls vai informācijas avots jāapstrādā ar klusinātiem vai citiem šifrēšanas līdzekļiem.

Palielinoties informācijas tīklu (vai) un personālo datoru izmantošanas un izplatīšanas ātrumam, palielinās dažādu faktoru loma, kas izraisa informācijas izpaušanu, noplūdi un nesankcionētu piekļuvi tai. Šie ir:

kļūdas;
darbinieku un lietotāju ļaunprātīga vai neatļauta rīcība;
aparatūras noklusējuma iestatījumi vai kļūdas programmās;
dabas katastrofas, dažādas izcelsmes un bīstamības avārijas;
lietotāja un personāla kļūdas;
kļūdas plkst.

Šajā sakarā galvenie informācijas aizsardzības mērķi informācijas tīkli un dators ir:

informācijas noplūdes un zudumu, traucējumu un pārtveršanas novēršana visos ietekmes līmeņos, visiem ģeogrāfiski atdalītiem objektiem;
lietotāju tiesību un tiesību normu nodrošināšana saistībā ar to PIEKĻUVE informācijai un citiem resursiem, ietverot informācijas darbību administratīvo pārskatīšanu, tai skaitā personīgās atbildības darbības par darbības režīmu un lietošanas noteikumu ievērošanu;

3. attēls

secinājumus

1. Informācijas uzticamības vai drošības nodrošināšana tiek panākta ar organizatoriskām, tehniskām un organizatoriski tehniskām procedūrām, no kurām jebkura tiek nodrošināta ar unikālām metodēm, līdzekļiem un pasākumiem ar atbilstošiem parametriem.

2. Dažādas darbības un apstākļi, kas veicina konfidenciālu datu nelikumīgu vai pretlikumīgu asimilāciju, liek izmantot ne mazāk dažādas metodes, līdzekļus, spēkus un nodrošināt informācijas drošību vai uzticamību.

3. Informācijas aizsardzības galvenie uzdevumi ir garantēt informācijas resursu konfidencialitāti, integritāti un pietiekamību. Un arī ieviest to sistēmā.

4. Informācijas aizsardzības nodrošināšanas metodēm jābūt vērstām uz proaktīvu darbību temperamentu, kas vērsts uz proaktīviem veidiem, kā novērst iespējamos komercnoslēpumu apdraudējumus.

Informācijas drošība, tāpat kā informācijas aizsardzība, ir sarežģīts uzdevums, kura mērķis ir nodrošināt drošību, ko īsteno, ieviešot drošības sistēmu. Informācijas aizsardzības problēma ir daudzšķautņaina un sarežģīta un aptver vairākus svarīgus uzdevumus. Informācijas drošības problēmas pastāvīgi saasina datu apstrādes un pārsūtīšanas tehnisko līdzekļu iekļūšana visās sabiedrības sfērās un galvenokārt datorsistēmās.

Līdz šim trīs pamatprincipi informācijas drošībai jānodrošina:

datu integritāte - aizsardzība pret kļūmēm, kas izraisa informācijas zudumu, kā arī aizsardzība pret nesankcionētu datu radīšanu vai iznīcināšanu;

informācijas konfidencialitāte;

Datorsistēmu izstrādē, kuru darbības traucējumi vai kļūdas var izraisīt nopietnas sekas, datordrošības jautājumi kļūst par prioritāriem. Ir zināmi daudzi pasākumi, kuru mērķis ir nodrošināt datoru drošību, no kuriem galvenie ir tehniskie, organizatoriski un juridiskie.

Informācijas drošības nodrošināšana ir dārga ne tikai drošības pasākumu iegādes vai uzstādīšanas izmaksu dēļ, bet arī tāpēc, ka ir grūti prasmīgi definēt saprātīgas drošības robežas un nodrošināt, ka sistēma atbilstoši tiek uzturēta un darbojas.

Drošības līdzekļus nedrīkst projektēt, iegādāties vai instalēt, kamēr nav veikta atbilstoša analīze.

Vietnē tiek analizēta informācijas drošība un tās vieta valsts drošības sistēmā, identificētas vitāli svarīgas intereses informācijas sfērā un to apdraudējumi. Tiek aplūkoti informācijas kara jautājumi, informatīvie ieroči, informācijas drošības nodrošināšanas principi, galvenie uzdevumi un funkcijas, valsts informācijas drošības nodrošināšanas sistēmas funkcijas, iekšzemes un ārvalstu standarti informācijas drošības jomā. Liela uzmanība tiek pievērsta arī informācijas drošības juridiskajiem jautājumiem.

Tiek apskatīti arī vispārīgie informācijas aizsardzības jautājumi automatizētās datu apstrādes sistēmās (ASOD), informācijas aizsardzības subjekts un objekti, informācijas aizsardzības uzdevumi ASOD. Tiek apskatīti apzinātu drošības apdraudējumu veidi un informācijas aizsardzības metodes ASOD. Lietotāju autentifikācijas un viņu piekļuves diferencēšanas metodes un līdzekļi datoru resursi, piekļuves kontrole iekārtām, vienkāršu un dinamiski maināmu paroļu izmantošana, shēmas modificēšanas metodes vienkāršas paroles, funkcionālās metodes.

Informācijas drošības sistēmas veidošanas pamatprincipi.

Veidojot objekta informācijas drošības sistēmu, jāvadās pēc šādiem principiem:

Informācijas drošības sistēmas pilnveides un attīstības procesa nepārtrauktība, kas sastāv no racionālāko informācijas aizsardzības metožu, metožu un veidu pamatošanas un ieviešanas, nepārtrauktas uzraudzības, vājo vietu un vājo vietu un iespējamo informācijas noplūdes un nesankcionētas piekļuves kanālu identificēšanas.

Visa pieejamo aizsardzības līdzekļu arsenāla visaptveroša izmantošana visos informācijas ražošanas un apstrādes posmos. Tajā pašā laikā visi izmantotie instrumenti, metodes un pasākumi tiek apvienoti vienotā, holistiskā mehānismā – informācijas drošības sistēmā.

Aizsardzības mehānismu darbības uzraudzība, atjaunināšana un papildināšana atkarībā no iespējamo iekšējo un ārējo apdraudējumu izmaiņām.

Lietotāji ir atbilstoši apmācīti un ievēro visu noteikto privātuma praksi. Neizpildot šo prasību, neviena informācijas drošības sistēma nevar nodrošināt nepieciešamo aizsardzības līmeni.

Vissvarīgākais nosacījums drošības nodrošināšana ir likumība, pietiekamība, indivīda un uzņēmuma interešu līdzsvara uzturēšana, personāla un vadības savstarpējā atbildība, mijiedarbība ar valsts tiesībsargājošajām iestādēm.

10) Ēkas informācijas drošības posmi

Būvniecības stadijas.

1. Visaptveroša informācijas sistēmas analīze

dažādu līmeņu uzņēmumiem. Riska analīze.

2. Organizatorisko un administratīvo un

normatīvie dokumenti.

3. Apmācības, profesionālā pilnveide un

speciālistu pārkvalifikācija.

4. Ikgadēja informācijas stāvokļa pārvērtēšana

uzņēmuma drošība

11) Ugunsmūris

Ugunsmūri un pretvīrusu pakotnes.

Ugunsmūris (dažreiz saukts par ugunsmūri) palīdz uzlabot datora drošību. Tas ierobežo informācijas iekļūšanu jūsu datorā no citiem datoriem, ļaujot labāk kontrolēt datorā esošos datus un nodrošināt datora aizsardzības līniju pret cilvēkiem vai programmām (tostarp vīrusiem un tārpiem), kas nesankcionēti mēģina izveidot savienojumu ar datoru. Padomājiet par ugunsmūri kā robežstabu, kas pārbauda informāciju (bieži sauc par satiksmi), kas nāk no interneta vai lokālais tīkls... Šīs pārbaudes laikā ugunsmūris noraida vai atļauj informāciju datoram atbilstoši norādītajiem parametriem.

No kā ugunsmūris aizsargā?

Ugunsmūris VAR:

1. Bloķējiet datorvīrusu un "tārpu" piekļuvi datoram.

2. Piedāvājiet lietotājam izvēlēties, vai bloķēt vai atļaut konkrētus savienojuma pieprasījumus.

3. Veikt uzskaiti (drošības žurnāls) - pēc lietotāja pieprasījuma - reģistrēt atļautos un bloķētos mēģinājumus izveidot savienojumu ar datoru.

No kā ugunsmūris neaizsargā?

Viņš nevar:

1. Atklāt vai neitralizēt datorvīrusus un "tārpus", ja tie jau ir iekļuvuši datorā.

3. Bloķējiet surogātpasta vai nesankcionētu pasta sūtījumu nonākšanu jūsu iesūtnē.

APARATŪRAS UN PROGRAMMATŪRAS UGUNMŪRI

Aparatūras ugunsmūri- atsevišķas ierīces, kas ir ļoti ātras, uzticamas, bet ļoti dārgas, tāpēc tās parasti izmanto tikai lielu datortīklu aizsardzībai. Mājas lietotājiem optimāli ir ugunsmūri, kas iebūvēti maršrutētājos, slēdžos, bezvadu piekļuves punktos utt.. Kombinētie maršrutētāji-ugunsmūri nodrošina dubultu aizsardzību pret uzbrukumiem.

Programmatūras ugunsmūris ir drošības programma. Principā tas ir līdzīgs aparatūras ugunsmūrim, taču tas ir lietotājam draudzīgāks: tajā ir vairāk gatavu iestatījumu un bieži vien ir vedņi, kas palīdz iestatīt. Ar tās palīdzību jūs varat atļaut vai liegt citām programmām piekļuvi internetam.

Pretvīrusu programma (antivīruss)- jebkura programma datorvīrusu, kā arī nevēlamu (par ļaunprātīgu) programmu noteikšanai kopumā un ar šīm programmām inficēto (modificēto) failu atjaunošanai, kā arī profilaksei - failu vai operētājsistēmas inficēšanās (pārveidošanas) novēršanai ar ļaunprātīgu kodu. .

12) Skaitļošanas sistēmu klasifikācija

Atkarībā no abonentu sistēmu teritoriālās atrašanās vietas

datortīklus var iedalīt trīs galvenajās klasēs:

globālie tīkli (WAN - Wide Area Network);

reģionālie tīkli (MAN - Metropolitan Area Network);

Vietējie tīkli (LAN - Local Area Network).

Pamata LAN topoloģijas

LAN topoloģija ir tīkla mezglu savienojumu ģeometriskā diagramma.

Datortīklu topoloģijas var būt ļoti dažādas, bet

lokālajiem tīkliem tipiski ir tikai trīs:

Gredzens,

Zvaigznes formas.

Jebkuru datortīklu var uzskatīt par kolekciju

Mezgls- jebkura ierīce, kas ir tieši savienota ar

tīkla pārraides vide.

Gredzena topoloģija paredz tīkla mezglu savienošanu ar slēgtu līkni - pārraides vides kabeli. Viena saimniekdatora izeja ir savienota ar cita resursdatora ieeju. Informācija par gredzenu tiek pārsūtīta no mezgla uz mezglu. Katrs starpmezgls starp raidītāju un uztvērēju pārraida nosūtīto ziņojumu. Saņemošais mezgls atpazīst un saņem tikai tam adresētos ziņojumus.

Gredzena topoloģija ir ideāli piemērota tīkliem, kas aizņem salīdzinoši maz vietas. Tam nav centrālā centrmezgla, kas palielina tīkla uzticamību. Informācijas retranslācija ļauj kā pārraides līdzekli izmantot jebkura veida kabeļus.

Konsekventa šāda tīkla mezglu apkalpošanas disciplīna samazina tā veiktspēju, un viena no mezgliem atteice pārkāpj gredzena integritāti un prasa īpašus pasākumus, lai saglabātu informācijas pārraides ceļu.

Kopnes topoloģija- viens no vienkāršākajiem. Tas ir saistīts ar koaksiālā kabeļa izmantošanu kā pārraides līdzekli. Dati no pārraidītā tīkla mezgla tiek izplatīti pa kopni abos virzienos. Starpmezgli neapraida ienākošos ziņojumus. Informācija nonāk visos mezglos, bet ziņojums saņem tikai to, kuram tā ir adresēta. Pakalpojuma disciplīna ir paralēla.

Tas nodrošina augstas veiktspējas kopnes LAN. Tīklu ir viegli paplašināt un konfigurēt, kā arī pielāgot dažādām sistēmām Kopnes topoloģijas tīkls ir izturīgs pret iespējamie darbības traucējumi atsevišķi mezgli.

Kopnes topoloģijas tīkli pašlaik ir visizplatītākie. Jāņem vērā, ka tie ir īsi un neļauj vienā tīklā izmantot dažāda veida kabeļus.

Zvaigžņu topoloģija pamatā ir centrālā mezgla koncepcija, ar kuru ir savienoti perifērie mezgli. Katram perifērijas mezglam ir sava atsevišķa sakaru līnija ar centrālo mezglu. Visa informācija tiek pārraidīta caur centrālo centrmezglu, kas pārraida, pārslēdz un maršrutē informācijas plūsmas tīklā.

Zvaigznes formas topoloģija ievērojami vienkāršo LAN mezglu mijiedarbību savā starpā, ļauj izmantot vienkāršākus tīkla adapteri... Tajā pašā laikā LAN ar zvaigžņu topoloģiju veiktspēja ir pilnībā atkarīga no centrālās vietnes.

Reālos datortīklos var izmantot progresīvākas topoloģijas, kas dažos gadījumos atspoguļo aplūkoto topoloģiju kombinācijas.

Konkrētas topoloģijas izvēli nosaka LAN pielietojuma apgabals, tā mezglu ģeogrāfiskais izvietojums un visa tīkla izmērs.

Internets- vispasaules informācijas datortīkls, kas ir daudzu reģionālo datortīklu un datoru, kas apmainās ar informāciju, izmantojot publiskos telekomunikāciju kanālus (speciālās telefona analogās un digitālās līnijas, optisko sakaru kanālus un radio kanālus, tostarp satelītsakaru līnijas), apvienojums.

ISP- tīkla pakalpojumu sniedzējs - persona vai organizācija, kas sniedz pakalpojumus pieslēgšanai datortīkliem.

Saimnieks (no angļu valodas host — "saimnieks uzņem viesus")- jebkura ierīce, kas nodrošina pakalpojumus "klienta-servera" formātā servera režīmā jebkurā saskarnē un ir unikāli definēta šajās saskarnēs. Konkrētākā gadījumā ar resursdatoru var saprast jebkuru datoru vai serveri, kas savienots ar lokālo vai globālo tīklu.

Tīkla protokols- noteikumu un darbību kopums (darbību secība), kas ļauj izveidot savienojumu un apmainīties ar datiem starp divām vai vairākām tīklam pievienotām ierīcēm.

IP adrese (IP adrese, angļu valodas interneta protokola adreses saīsinājums)- unikāla tīkla adrese mezgls datortīklā, kas izveidots, izmantojot IP. Internetā ir nepieciešamas globāli unikālas adreses; strādājot lokālajā tīklā, ir nepieciešama adreses unikalitāte tīklā. IPv4 versijā IP adrese ir 4 baiti gara.

Domēna vārds- simbolisks nosaukums, kas palīdz atrast interneta serveru adreses.

13) Vienādranga uzdevumi

Programmaparatūra aizsardzībai pret nesankcionētu piekļuvi ietver identifikācijas, autentifikācijas un piekļuves informācijas sistēmai kontroles pasākumus.

Identifikācija ir unikālu identifikatoru piešķiršana piekļuves subjektiem.

Tas ietver RFID tagus, biometriskās tehnoloģijas, magnētiskās kartes, universālās magnētiskās atslēgas, pieteikšanās u.c.

Autentifikācija - piekļuves subjekta piederības uzrādītajam identifikatoram pārbaude un tā autentiskuma apstiprināšana.

Autentifikācijas procedūras ietver paroles, PIN kodus, viedkartes, USB atslēgas, ciparparakstus, sesijas atslēgas utt. Identifikācijas un autentifikācijas līdzekļu procesuālā daļa ir savstarpēji saistīta un faktiski ir visas programmatūras un aparatūras pamatbāze informācijas drošības nodrošināšanai, jo visi pārējie pakalpojumi ir paredzēti konkrētu subjektu apkalpošanai, kurus pareizi atpazīst informācijas sistēma. Kopumā identifikācija ļauj subjektam identificēt sevi informācijas sistēmai, un ar autentifikācijas palīdzību informācijas sistēma apstiprina, ka subjekts patiešām ir tas, par ko viņš uzdodas. Pamatojoties uz šīs operācijas pāreju, tiek veikta operācija, lai nodrošinātu piekļuvi informācijas sistēmai. Piekļuves kontroles procedūras ļauj pilnvarotajām personām veikt noteikumos atļautās darbības, bet informācijas sistēmai kontrolēt šīs darbības par rezultāta pareizību un pareizību. Piekļuves kontrole ļauj sistēmai slēpt no lietotājiem datus, kuriem viņiem nav piekļuves.

Nākamais programmatūras un aparatūras aizsardzības līdzeklis ir informācijas reģistrēšana un audits.

Mežizstrāde ietver informācijas vākšanu, uzkrāšanu un uzglabāšanu par notikumiem, darbībām, rezultātiem, kas notikuši informācijas sistēmas darbības laikā, atsevišķiem lietotājiem, procesiem un visu programmatūru un aparatūru, kas ir uzņēmuma informācijas sistēmas sastāvdaļa.

Tā kā katram informācijas sistēmas komponentam ir iepriekš noteikts iespējamo notikumu kopums saskaņā ar ieprogrammētajiem klasifikatoriem, notikumi, darbības un rezultāti tiek sadalīti:

ārējs, ko izraisa citu sastāvdaļu darbība,
iekšējs, ko izraisa paša komponenta darbības,
klienta pusē, ko izraisa lietotāju un administratoru darbības.

Informācijas audits sastāv no operatīvās analīzes veikšanas reāllaikā vai noteiktā laika posmā.

Balstoties uz analīzes rezultātiem, vai nu tiek ģenerēts ziņojums par notikušajiem notikumiem, vai arī tiek uzsākta automātiska reaģēšana uz ārkārtas situāciju.

Mežizstrādes un auditēšanas ieviešana atrisina šādus uzdevumus:

lietotāju un administratoru atbildības nodrošināšana;
nodrošinot iespēju rekonstruēt notikumu secību;
informācijas drošības pārkāpšanas mēģinājumu atklāšana;
sniegt informāciju, lai identificētu un analizētu problēmas.

Informācijas aizsardzība bieži vien nav iespējama bez kriptogrāfijas līdzekļu izmantošanas. Tos izmanto, lai nodrošinātu šifrēšanas, integritātes kontroles un autentifikācijas pakalpojumu darbību, kad autentifikācijas līdzekļus lietotājs glabā šifrētā veidā. Ir divas galvenās šifrēšanas metodes: simetriskā un asimetriskā.

Integritātes kontrole ļauj noteikt objekta, kas ir datu masīvs, atsevišķas datu daļas, datu avots, autentiskumu un identitāti, kā arī nodrošināt, ka ar masīvu nav iespējams atzīmēt sistēmā veikto darbību. informāciju. Integritātes kontroles ieviešana balstās uz datu pārveidošanas tehnoloģijām, izmantojot šifrēšanu un digitālos sertifikātus.

Citi svarīgs aspekts ir ekranēšanas izmantošana, tehnoloģija, kas ļauj, norobežojot subjektu piekļuvi informācijas resursiem, kontrolēt visas informācijas plūsmas starp uzņēmuma informācijas sistēmu un ārējiem objektiem, datu masīviem, subjektiem un pretsubjektiem. Straumes kontrole sastāv no to filtrēšanas un, ja nepieciešams, pārsūtītās informācijas konvertēšanas.

Ekranēšanas uzdevums ir aizsargāt iekšējo informāciju no potenciāli naidīgiem ārējiem faktoriem un subjektiem. Galvenais ekranēšanas realizācijas veids ir dažāda veida un arhitektūras ugunsmūri jeb ugunsmūri.

Tā kā viena no informācijas drošības pazīmēm ir informācijas resursu pieejamība, augsta pieejamības līmeņa nodrošināšana ir būtisks virziens programmatūras un aparatūras pasākumu īstenošanā. Jo īpaši ir sadalītas divas jomas: defektu tolerances nodrošināšana, t.i. neitralizēt sistēmas kļūmes, spēju darboties, kad rodas kļūdas, un nodrošināt drošu un ātra atveseļošanās pēc neveiksmēm, t.i. sistēmas izmantojamība.

Galvenā prasība informācijas sistēmām ir, lai tās vienmēr strādātu ar noteiktu efektivitāti, minimālo nepieejamības laiku un reakcijas ātrumu.

Saskaņā ar to informācijas resursu pieejamību nodrošina:

strukturālas arhitektūras izmantošana, kas nozīmē, ka atsevišķus moduļus vajadzības gadījumā var atspējot vai ātri nomainīt, nesabojājot citus informācijas sistēmas elementus;
defektu tolerances nodrošināšana saistībā ar: atbalsta infrastruktūras autonomo elementu izmantošanu, jaudas pārpalikuma ieviešanu programmatūras un aparatūras konfigurācijā, aparatūras dublēšanu, informācijas resursu replikāciju sistēmā, Rezerves kopija dati utt.
darbspējas nodrošināšana, samazinot kļūmju un to seku diagnostikas un novēršanas laiku.

Droši saziņas kanāli ir cita veida informācijas drošības rīki.

Informācijas sistēmu darbība neizbēgami ir saistīta ar datu nodošanu, tāpēc arī uzņēmumiem ir nepieciešams nodrošināt pārsūtīto informācijas resursu aizsardzību, izmantojot drošus sakaru kanālus. Iespēja nesankcionēti piekļūt datiem, pārraidot trafiku pa atvērtiem sakaru kanāliem, ir saistīta ar to publisko pieejamību. Tā kā "sakari visā to garumā nevar būt fiziski aizsargāti, tāpēc labāk ir sākotnēji balstīties uz pieņēmumu par to neaizsargātību un attiecīgi nodrošināt aizsardzību." Šim nolūkam tiek izmantotas tunelēšanas tehnoloģijas, kuru būtība ir datu iekapsulēšana, t.i. iesaiņojiet vai iesaiņojiet pārsūtītās datu paketes, tostarp visus pakalpojuma atribūtus, savās aploksnēs. Attiecīgi tunelis ir drošs savienojums caur atvērtiem sakaru kanāliem, pa kuriem tiek pārraidītas kriptogrāfiski aizsargātas datu paketes. Tunelēšana tiek izmantota, lai nodrošinātu trafika konfidencialitāti, slēpjot pakalpojumu informāciju un nodrošinot pārsūtīto datu konfidencialitāti un integritāti, ja to izmanto kopā ar informācijas sistēmas kriptogrāfiskajiem elementiem. Tunelēšanas un šifrēšanas kombinācija ļauj ieviest VPN. Šajā gadījumā tuneļu galapunkti, kas ievieš virtuālos privātos tīklus, ir ugunsmūri, kas apkalpo organizāciju savienojumu ar ārējiem tīkliem.

Ugunsmūri kā virtuālā privātā tīkla pakalpojuma ieviešanas punkti

Tādējādi tunelēšana un šifrēšana ir papildu transformācijas, kas tiek veiktas tīkla trafika filtrēšanas procesā kopā ar adrešu tulkošanu. Tuneļu galos, papildus korporatīvajiem ugunsmūriem, var būt darbinieku personālie un mobilie datori, precīzāk, viņu personīgie ugunsmūri un ugunsmūri. Šāda pieeja nodrošina drošu sakaru kanālu darbību.

Informācijas drošības procedūras

Informācijas drošības procedūras parasti tiek diferencētas administratīvajā un organizatoriskajā līmenī.

Administratīvās procedūras ietver vispārējas organizācijas vadības veiktās darbības, lai regulētu visu darbu, darbības, darbības informācijas drošības nodrošināšanas un uzturēšanas jomā, kas tiek īstenotas, piešķirot nepieciešamos resursus un uzraugot veikto pasākumu efektivitāti.
Organizatoriskais līmenis atspoguļo procedūras informācijas drošības nodrošināšanai, tai skaitā personāla vadībai, fiziskajai aizsardzībai, aparatūras un programmatūras infrastruktūras darbspējas uzturēšanai, operatīvai drošības pārkāpumu novēršanai un atkopšanas darbu plānošanai.

No otras puses, atšķirība starp administratīvajām un organizatoriskajām procedūrām ir bezjēdzīga, jo viena līmeņa procedūras nevar pastāvēt atsevišķi no cita, tādējādi pārkāpjot aizsardzības savstarpējo saistību. fiziskais slānis, personas un organizācijas aizsardzība informācijas drošības koncepcijā. Praksē, nodrošinot organizācijas informācijas drošību, netiek atstātas novārtā administratīvās vai organizatoriskās procedūras, tāpēc loģiskāk tās uzskatīt par integrētu pieeju, jo abi līmeņi ietekmē gan fizisko, gan organizatorisko un personīgo informācijas aizsardzības līmeni.

Kompleksu procedūru pamatā informācijas drošības nodrošināšanai ir drošības politika.

Informācijas drošības politika

Informācijas drošības politika organizācijā tas ir dokumentētu lēmumu kopums, ko pieņem organizācijas vadība un kuru mērķis ir aizsargāt informāciju un saistītos resursus.

Organizatoriskā un vadības ziņā informācijas drošības politika var būt viens dokuments vai sastādīta vairāku neatkarīgu dokumentu vai rīkojumu veidā, taču jebkurā gadījumā tai ir jāaptver šādi organizācijas informācijas sistēmas aizsardzības aspekti:

informācijas sistēmu objektu, informācijas resursu aizsardzība un tiešās darbības ar tiem;
visu ar informācijas apstrādi sistēmā saistīto darbību, tostarp apstrādes programmatūras, aizsardzība;
sakaru kanālu aizsardzība, ieskaitot vadu, radio, infrasarkano staru, aparatūru utt .;
aparatūras kompleksa aizsardzība no blakus elektromagnētiskā starojuma;
drošības pārvaldība, tostarp uzturēšana, jauninājumi un administratīvās darbības.

Katrs no aspektiem ir detalizēti jāapraksta un jādokumentē organizācijas iekšējos dokumentos. Iekšējie dokumenti aptver trīs drošības procesa līmeņus: augšējo, vidējo un apakšējo.

Augsta līmeņa informācijas drošības politikas dokumenti atspoguļo organizācijas galveno pieeju savas informācijas aizsardzībai un atbilstību nacionālajiem un/vai starptautiskajiem standartiem. Praksē organizācijai ir tikai viens augstākā līmeņa dokuments ar nosaukumu "Informācijas drošības koncepcija", "Informācijas drošības noteikumi" u.c. Formāli šiem dokumentiem nav konfidenciālas vērtības, to izplatīšana nav ierobežota, taču tie var tikt izdoti izdevumā iekšējai lietošanai un atklātai publicēšanai.

Vidējā līmeņa dokumenti ir stingri konfidenciāli un attiecas uz konkrētiem organizācijas informācijas drošības aspektiem: izmantotajiem informācijas drošības rīkiem, datu bāzes drošību, sakariem, kriptogrāfijas rīkiem un citiem organizācijas informācijas un ekonomiskajiem procesiem. Dokumentācija tiek ieviesta iekšējo tehnisko un organizatorisko standartu veidā.

Zemākā līmeņa dokumentus iedala divos veidos: darba noteikumi un ekspluatācijas instrukcijas. Darba noteikumi ir stingri konfidenciāli un paredzēti tikai personām, kuras dežūras veic individuālo informācijas drošības dienestu administrēšanas darbus. Lietošanas instrukcijas var būt konfidenciālas vai publiskas; tie ir paredzēti organizācijas personālam un apraksta darba kārtību ar atsevišķiem organizācijas informācijas sistēmas elementiem.

Pasaules pieredze rāda, ka informācijas drošības politika vienmēr tiek dokumentēta tikai lielos uzņēmumos, kuriem ir izstrādāta informācijas sistēma, kas izvirza paaugstinātas prasības informācijas drošībai, vidējiem uzņēmumiem informācijas drošības politika visbiežāk ir tikai daļēji dokumentēta, mazajām organizācijām nospiedošā vairākumā. nerūpējas par drošības politikas dokumentēšanu. Neatkarīgi no tā, vai dokumentēšanas formāts ir holistisks vai izplatīts, drošības režīms ir galvenais aspekts.

Ir divas dažādas pieejas, kas veido pamatu informācijas drošības politika:

"Viss, kas nav aizliegts, ir atļauts."
"Viss, kas nav atļauts, ir aizliegts."

Pirmās pieejas būtisks trūkums ir tas, ka praksē nav iespējams paredzēt visus bīstamos gadījumus un tos aizliegt. Nav šaubu, ka jāizmanto tikai otrā pieeja.

Informācijas drošības organizatoriskais līmenis

No informācijas aizsardzības viedokļa organizatoriskās procedūras informācijas drošības nodrošināšanai tiek pasniegtas kā "ražošanas darbību regulējums un izpildītāju attiecības uz tiesiska pamata, kas izslēdz vai būtiski apgrūtina konfidenciālas informācijas nelikumīgu iegūšanu un iekšējās un ārējiem draudiem."

Personāla vadības pasākumi, kuru mērķis ir organizēt darbu ar personālu, lai nodrošinātu informācijas drošību, ietver pienākumu nošķiršanu un privilēģiju samazināšanu. Pienākumu nodalīšana nosaka kompetenču un atbildības jomu sadalījumu, kurā viena persona nespēj izjaukt organizācijai svarīgu procesu. Tas samazina kļūdu un ļaunprātīgas izmantošanas iespējamību. Privilēģiju minimizēšana paredz lietotājiem piešķirt tikai tādu piekļuves līmeni, kas atbilst viņu dienesta pienākumu veikšanas nepieciešamībai. Tas samazina nejaušas vai apzinātas nepareizas rīcības radītos bojājumus.

Fiziskā aizsardzība nozīmē pasākumu izstrādi un pieņemšanu ēku, kurās atrodas organizācijas informācijas resursi, piegulošo teritoriju, infrastruktūras elementu, datoru, datu nesēju un aparatūras sakaru kanālu tiešai aizsardzībai. Tas ietver fizisko piekļuves kontroli, ugunsdrošību, atbalsta infrastruktūras aizsardzību, datu noklausīšanās aizsardzību un mobilo sistēmu aizsardzību.

Programmatūras un aparatūras infrastruktūras darbspējas uzturēšana sastāv no stohastisku kļūdu novēršanas, kas draud sabojāt aparatūras kompleksu, programmu darbības traucējumus un datu zudumus. Galvenie virzieni šajā aspektā ir lietotāju un programmatūras atbalsta nodrošināšana, konfigurācijas pārvaldība, dublēšana, mediju pārvaldība, dokumentācija un profilaktiskais darbs.

Ātrai drošības pārkāpumu novēršanai ir trīs galvenie mērķi:

Notikuma lokalizācija un nodarītā kaitējuma samazināšana;
Pārkāpēja identifikācija;
Atkārtotu pārkāpumu novēršana.

Visbeidzot, sanācijas plānošana ļauj sagatavoties negadījumiem, samazināt to radītos zaudējumus un saglabāt spēju darboties vismaz līdz minimumam.

Programmatūras un aparatūras un drošu sakaru kanālu izmantošana organizācijā jāīsteno, pamatojoties uz integrētu pieeju visu informācijas drošības nodrošināšanas administratīvo un organizatorisko normatīvo procedūru izstrādei un apstiprināšanai. Pretējā gadījumā noteiktu pasākumu pieņemšana negarantē informācijas aizsardzību, un bieži vien, gluži pretēji, provocē konfidenciālas informācijas noplūdi, kritisko datu zudumu, aparatūras infrastruktūras bojājumus un organizācijas informācijas sistēmas programmatūras komponentu darbības traucējumus.

Informācijas drošības metodes

Mūsdienu uzņēmumiem ir raksturīga izplatīta informācijas sistēma, kas ļauj ņemt vērā uzņēmuma izplatītos birojus un noliktavas, finanšu uzskaiti un vadības kontroli, informāciju no klientu bāzes, ņemot vērā izlasi pēc rādītājiem utt. . Līdz ar to datu kopums ir ļoti nozīmīgs, un pārsvarā tā ir informācija, kas uzņēmumam ir prioritāra komerciālā un ekonomiskā ziņā. Faktiski komerciāli vērtīgu datu konfidencialitātes nodrošināšana ir viens no galvenajiem uzdevumiem informācijas drošības nodrošināšanā uzņēmumā.

Informācijas drošības nodrošināšana uzņēmumā jāregulē ar šādiem dokumentiem:

Informācijas drošības noteikumi. Tajā iekļauts informācijas drošības nodrošināšanas mērķu un uzdevumu formulējums, informācijas drošības rīku iekšējo noteikumu saraksts un uzņēmuma izplatītās informācijas sistēmas administrēšanas noteikumi. Piekļuve noteikumiem ir tikai organizācijas vadībai un automatizācijas nodaļas vadītājam.
Informācijas aizsardzības tehniskā nodrošinājuma noteikumi. Dokumenti ir konfidenciāli, tiem var piekļūt tikai automatizācijas nodaļas darbinieki un augstākā vadība.
Izkliedētās informācijas drošības sistēmas administrēšanas noteikumi. Piekļuve noteikumiem ir ierobežota par informācijas sistēmas administrēšanu atbildīgo automatizācijas nodaļas darbiniekiem un augstākai vadībai.

Tajā pašā laikā nevajadzētu ierobežot šos dokumentus, bet arī izstrādāt zemākos līmeņus. Pretējā gadījumā, ja uzņēmuma rīcībā nav citu ar informācijas drošību saistītu dokumentu, tas liecinās par nepietiekamu informācijas drošības administratīvā atbalsta pakāpi, jo nav zemāka līmeņa dokumentu, jo īpaši norādījumu par atsevišķu informācijas sistēmas elementu darbību. .

Obligātās organizatoriskās procedūras ietver:

pamatpasākumi personāla diferencēšanai atkarībā no informācijas resursu pieejamības līmeņa,
uzņēmuma biroju fiziska aizsardzība pret datu tiešu iespiešanos un iznīcināšanas, nozaudēšanas vai pārtveršanas draudiem,
aparatūras un programmatūras infrastruktūras darbspējas uzturēšana tiek organizēta automatizētas dublēšanas veidā, datu nesēju attālināta pārbaude, lietotāju un programmatūras atbalsts tiek nodrošināts pēc pieprasījuma.

Tam jāietver arī regulēti pasākumi, lai reaģētu uz informācijas drošības pārkāpumu gadījumiem un novērstu tos.

Praksē bieži tiek novērots, ka uzņēmumi šim jautājumam nepievērš pietiekamu uzmanību. Visas darbības iekšā šis virziens tiek veiktas tikai darba kārtībā, kas palielina laiku pārkāpumu gadījumu novēršanai un negarantē atkārtotu informācijas drošības pārkāpumu novēršanu. Turklāt pilnībā iztrūkst prakse plānot darbības avāriju, informācijas noplūdes, datu zudumu un kritisku situāciju seku likvidēšanai. Tas viss būtiski pasliktina uzņēmuma informācijas drošību.

Programmatūras un aparatūras līmenī būtu jāievieš trīs līmeņu informācijas drošības sistēma.

Minimālie kritēriji informācijas drošības nodrošināšanai:

1. Piekļuves kontroles modulis:

īstenota slēgta ieeja informācijas sistēmā nav iespējams iekļūt sistēmā ārpus pārbaudītajām darba vietām;
darbiniekiem ir ieviesta piekļuve ar ierobežotu funkcionalitāti no mobilajiem personālajiem datoriem;
autorizācija tiek veikta, izmantojot administratoru ģenerētus pieteikumvārdus un paroles.

2. Šifrēšanas un integritātes kontroles modulis:

tiek izmantota pārsūtīto datu asimetriskā šifrēšanas metode;
kritisko datu masīvi tiek glabāti datu bāzēs šifrētā veidā, kas neļauj tiem piekļūt arī tad, ja tiek uzlauzta uzņēmuma informācijas sistēma;
integritātes kontrole tiek nodrošināta ar vienkāršu digitāli parakstīts visi informācijas resursi, kas tiek glabāti, apstrādāti vai pārraidīti informācijas sistēmā.

3. Ekranēšanas modulis:

ir ieviesta filtru sistēma ugunsmūros, kas ļauj kontrolēt visas informācijas plūsmas pa sakaru kanāliem;
ārējos savienojumus ar globālajiem informācijas resursiem un publiskajiem saziņas kanāliem var veikt tikai caur ierobežotu verificētu darbstaciju kopumu, kurām ir ierobežots savienojums ar korporatīvo informācijas sistēmu;
droša piekļuve no darbinieku darba vietām dienesta pienākumu veikšanai tiek īstenota ar divu līmeņu starpniekserveru sistēmu.

Visbeidzot, izmantojot tuneļu tehnoloģijas, uzņēmumam ir jāievieš VPN saskaņā ar tipisku dizaina modeli, lai nodrošinātu drošus sakaru kanālus starp dažādām uzņēmuma nodaļām, partneriem un uzņēmuma klientiem.

Neskatoties uz to, ka sakari tiek tieši veikti tīklos ar potenciāli zems līmenis uzticēšanās, tunelēšanas tehnoloģijas, izmantojot kriptogrāfijas rīkus, var nodrošināt visu pārsūtīto datu drošu aizsardzību.

secinājumus

Visu informācijas drošības jomā veikto pasākumu galvenais mērķis ir aizsargāt uzņēmuma intereses vienā vai otrā veidā saistībā ar tā rīcībā esošajiem informācijas resursiem. Lai gan uzņēmumu intereses neaprobežojas tikai ar noteiktu jomu, tās visas ir saistītas ar informācijas pieejamību, integritāti un konfidencialitāti.

Informācijas drošības nodrošināšanas problēma tiek skaidrota ar diviem galvenajiem iemesliem.

Uzņēmuma uzkrātie informācijas resursi ir vērtīgi.
Kritiskā atkarība no informācijas tehnoloģijām nosaka to plašo izmantošanu.

Ņemot vērā esošo informācijas drošības apdraudējumu daudzveidību, piemēram, iznīcināšanu svarīga informācija, konfidenciālu datu neatļauta izmantošana, uzņēmuma darba pārtraukumi informācijas sistēmas pārkāpumu dēļ, secināms, ka tas viss objektīvi rada lielus materiālos zaudējumus.

Informācijas drošības nodrošināšanā būtiska loma ir programmatūras un aparatūras rīkiem, kuru mērķis ir kontrolēt datora entītijas, t.i. iekārtas, programmatūras elementi, dati, veidojot pēdējo un augstākās prioritātes informācijas drošības līniju. Datu pārraidei jābūt drošai arī to konfidencialitātes, integritātes un pieejamības saglabāšanas kontekstā. Tāpēc mūsdienu apstākļos tunelēšanas tehnoloģijas tiek izmantotas kombinācijā ar kriptogrāfijas līdzekļiem, lai nodrošinātu drošus sakaru kanālus.

Literatūra

Galatenko V.A. Informācijas drošības standarti. - M .: Informācijas tehnoloģiju interneta universitāte, 2006.
Partyka T.L., Popovs I.I. Informācijas drošība. - M .: Forums, 2012.