Informācijas drošība. Informācijas drošības sistēma Informācijas drošība ir sasniegta

Anotācija: Lekcijā tiek apspriesti informācijas drošības pamatjēdzieni. Iepazīšanās ar federālo likumu "Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību".

GOST " Informācijas aizsardzība... Pamatjēdzieni un definīcijas "ievieš šo jēdzienu informācijas drošība kā informācijas drošības stāvoklis, kurā tā tiek nodrošināta konfidencialitāte, pieejamību un integritāti.

Konfidencialitāte- informācijas stāvoklis, kurā piekļuvi tai nodrošina tikai subjekti, kuriem ir tiesības uz to.
Integritāte- informācijas stāvoklis, kurā tajā nav nekādu izmaiņu, vai izmaiņas veic tikai apzināti subjekti, kuriem ir tiesības uz to;
Pieejamība- informācijas stāvoklis, kurā subjekti, kuriem ir piekļuves tiesības, var to netraucēti izmantot.

Informācijas drošības draudi- nosacījumu un faktoru kopums, kas rada potenciālus vai reālus draudus pārkāpt informācijas drošību [,]. Ar uzbrukumu sauc par mēģinājumu īstenot draudus, un tas, kurš šādu mēģinājumu veic - iebrucējs... Tiek saukti potenciālie iebrucēji draudu avoti.

Draudi ir klātbūtnes sekas ievainojamības vai ievainojamības informācijas sistēmā. Neaizsargātība var rasties dažādu iemeslu dēļ, piemēram, nejaušu programmētāju kļūdu dēļ, rakstot programmas.

Draudus var klasificēt pēc vairākiem kritērijiem:

uz informācijas īpašības(pieejamība, integritāte, konfidencialitāte), pret kuru vispirms tiek vērsti draudi;
informācijas sistēmu sastāvdaļas, uz kurām attiecas draudi (dati, programmas, aparatūra, atbalsta infrastruktūru);
pēc īstenošanas metodes (nejauša / apzināta, dabiska / cilvēka radīta rīcība);
pēc draudu avota atrašanās vietas (aplūkotajā IS iekšpusē / ārpus tās).

Informācijas drošības nodrošināšana ir sarežģīts uzdevums, kas prasa Sarežģīta pieeja... Tiek izdalīti šādi informācijas aizsardzības līmeņi:

likumdošana - Krievijas Federācijas un starptautiskās sabiedrības normatīvie akti un citi dokumenti;
administratīvais - pasākumu kopums, ko vietējā līmenī veic organizācijas vadība;
procesuālais līmenis - cilvēku īstenotie drošības pasākumi;
programmatūras un aparatūras līmenī- tieši informācijas aizsardzības līdzekļi.

Likumdošanas līmenis ir pamats informācijas aizsardzības sistēmas veidošanai, jo tas sniedz pamatjēdzienus priekšmetu jomā un nosaka sodu potenciālajiem iebrucējiem. Šim līmenim ir koordinējoša un vadoša loma, un tas palīdz sabiedrībā saglabāt negatīvu (un sodošu) attieksmi pret cilvēkiem, kuri pārkāpj informācijas drošību.

1.2. Federālais likums "Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību"

Krievijas tiesību aktos pamatlikums informācijas aizsardzības jomā ir 2006. gada 27. jūlija Federālais likums "Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību", Nr. 149-FZ. Tāpēc likumā nostiprinātie pamatjēdzieni un risinājumi ir rūpīgi jāapsver.

Likums regulē attiecības, kas izriet no:

tiesību meklēt, saņemt, nodot, ražot un izplatīt informāciju izmantošana;
pieteikumu informācijas tehnoloģijas;
informācijas aizsardzības nodrošināšana.

Likums sniedz pamata definīcijas informācijas aizsardzības jomā. Šeit ir daži no tiem:

informāciju- informācija (ziņas, dati) neatkarīgi no to pasniegšanas formas;
informāciju tehnoloģijas- procesi, informācijas meklēšanas, vākšanas, uzglabāšanas, apstrādes, nodrošināšanas, izplatīšanas metodes un šādu procesu un metožu īstenošanas veidi;
Informācijas sistēma- informācijas kopums, kas ietverts datubāzēs un informācijas tehnoloģijās, un tehniskie līdzekļi, kas nodrošina tās apstrādi;
informācijas turētājs- persona, kas patstāvīgi radīja informāciju vai, pamatojoties uz likumu vai līgumu, saņēma tiesības atļaut vai ierobežot piekļuvi informācijai, kas noteikta ar jebkādiem kritērijiem;
informācijas sistēmas operators- pilsonis vai juridiska persona, kas pārvalda informācijas sistēmu, tostarp tās datu bāzēs ietvertās informācijas apstrādi.
informācijas konfidencialitāte- obligāta prasība personai, kurai ir piekļuve noteiktai informācijai, nenodot šādu informāciju trešajām personām bez tās īpašnieka piekrišanas.

Likuma 4. pants formulē attiecību tiesiskā regulējuma principus informācijas, informācijas tehnoloģiju un informācijas aizsardzības jomā:

brīvība meklēt, saņemt, pārsūtīt, ražot un izplatīt informāciju jebkādā likumīgā veidā;
ierobežojumu noteikšana piekļuvei informācijai tikai ar federālajiem likumiem;
informācijas atklātība par valsts un vietējo pašvaldību darbību un brīva piekļuve šādai informācijai, izņemot gadījumus, kas noteikti federālajos likumos;
Krievijas Federācijas tautu valodu vienlīdzība informācijas sistēmu izveidē un to darbībā;
Krievijas Federācijas drošības nodrošināšana informācijas sistēmu izveides laikā, to darbība un tajās esošās informācijas aizsardzība;
informācijas ticamība un tās sniegšanas savlaicīgums;
privātās dzīves neaizskaramība, informācijas par personas privāto dzīvi vākšanas, glabāšanas, izmantošanas un izplatīšanas nepieļaujamība bez viņa piekrišanas;
nepieļaujamība ar normatīvajiem aktiem noteikt kādas priekšrocības, izmantojot dažas informācijas tehnoloģijas, salīdzinot ar citām, ja vien federālie likumi nenosaka obligātu noteiktu informācijas tehnoloģiju izmantošanu valsts informācijas sistēmu izveidošanai un darbībai.

Visa informācija ir sadalīta publiski pieejams un ierobežots piekļuvi... Publiski pieejamā informācija ietver vispārzināmu informāciju un citu informāciju, kurai piekļuve nav ierobežota. Likums nosaka informāciju, kuru nevar ierobežot, piemēram, informāciju par vidi vai valdības aģentūru darbību. Ir arī noteikts, ka Piekļuves ierobežojums informāciju nosaka federālie likumi, lai aizsargātu konstitucionālās kārtības pamatus, morāli, veselību, citu tiesības un likumīgās intereses, lai nodrošinātu valsts aizsardzību un valsts drošību. Ir obligāti jāievēro informācijas konfidencialitāte, kurai piekļuvi ierobežo federālie likumi.

Ir aizliegts pieprasīt no pilsoņa (indivīda) sniegt informāciju par savu privāto dzīvi, ieskaitot informāciju, kas veido personisko vai ģimenes noslēpumu, un saņemt šādu informāciju pret pilsoņa (indivīda) gribu, ja vien federālie likumi nenosaka citādi.

brīvi izplatīta informācija;
informācija, kas sniegta pēc attiecīgu attiecību dalībnieku vienošanās;
informācija, kas saskaņā ar federālajiem likumiem tiek sniegta vai izplatīta;
informācija, kuras izplatīšana Krievijas Federācijā ir ierobežota vai aizliegta.

Likums nosaka elektroniskā ziņojuma, kas parakstīts ar elektronisko ciparparakstu vai citu ar roku rakstīta paraksta analogu, un dokumenta, kas parakstīts ar roku, līdzvērtību.

Tiek dota šāda informācijas aizsardzības definīcija - tā ir juridisku, organizatorisku un tehnisku pasākumu pieņemšana, kuru mērķis ir:

informācijas aizsardzības nodrošināšana pret neatļautu piekļuvi, iznīcināšanu, pārveidošanu, bloķēšanu, kopēšanu, nodrošināšanu, izplatīšanu, kā arī no citām nelikumīgām darbībām saistībā ar šādu informāciju;
ierobežotas informācijas konfidencialitātes ievērošana;
īstenot tiesības piekļūt informācijai.

Informācijas īpašniekam, informācijas sistēmas operatoram gadījumos, kas noteikti Krievijas Federācijas tiesību aktos, ir pienākums nodrošināt:

novērst neatļautu piekļuvi informācijai un (vai) tās nodošanu personām, kurām nav tiesību piekļūt informācijai;
savlaicīga faktu atklāšana par neatļautu piekļuvi informācijai;
informācijas pieejamības procedūras pārkāpšanas nelabvēlīgo seku iespējamības novēršana;
ietekmes uz informācijas apstrādes tehniskajiem līdzekļiem novēršana, kā rezultātā tiek traucēta to darbība;
iespēja nekavējoties atgūt informāciju, kas modificēta vai iznīcināta neatļautas piekļuves dēļ tai;
pastāvīga kontrole pār informācijas drošības līmeņa nodrošināšanu.

Tādējādi federālais likums "Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību" rada juridisko pamatu informācijas apmaiņai Krievijas Federācijā un nosaka tās subjektu tiesības un pienākumus.

Strauji attīstošās datoru informācijas tehnoloģijas mūsu dzīvē ievieš būtiskas izmaiņas. Informācija ir kļuvusi par preci, kuru var iegādāties, pārdot, apmainīties. Turklāt informācijas izmaksas bieži vien ir simtiem reižu augstākas nekā tās datorsistēmas izmaksas, kurā tā tiek glabāta.

Daudzu cilvēku labklājība un dažreiz arī dzīvība ir atkarīga no informācijas tehnoloģiju drošības pakāpes. Tāda ir cena par automatizēto informācijas apstrādes sistēmu sarežģījumiem un plašo izplatīšanu.

Zem informācijas drošība nozīmē informācijas sistēmas drošību pret nejaušu vai apzinātu iejaukšanos, kas kaitē informācijas īpašniekiem vai lietotājiem.

Praksē vissvarīgākie ir trīs informācijas drošības aspekti:

pieejamība(iespēja saprātīgā laikā saņemt nepieciešamo informācijas pakalpojumu);
integritāti(informācijas atbilstība un konsekvence, tās aizsardzība pret iznīcināšanu un neatļautām izmaiņām);
konfidencialitāte(aizsardzība pret neatļautu lasīšanu).

Informācijas pieejamības, integritātes un konfidencialitātes pārkāpumus var izraisīt dažādas bīstamas sekas uz informācijas datorsistēmām.

Galvenie draudi informācijas drošībai

Mūsdienu informācijas sistēma ir sarežģīta sistēma, kas sastāv no liela skaita dažādu autonomijas pakāpju komponentu, kas ir savstarpēji saistīti un apmainās ar datiem. Gandrīz visas sastāvdaļas var tikt bojātas vai sabojātas. Automatizētās informācijas sistēmas sastāvdaļas var iedalīt šādās grupās:

aparatūra- datori un to sastāvdaļas (procesori, monitori, termināļi, perifērijas ierīces- disketes, printeri, kontrolieri, kabeļi, sakaru līnijas utt.);
programmatūru- iegādātās programmas, avots, objekts, ielādes moduļi; operētājsistēmas un sistēmu programmas (kompilatori, saistītāji utt.), utilītas, diagnostikas programmas utt.;
dati- tiek īslaicīgi un pastāvīgi glabāti uz magnētiskiem datu nesējiem, drukātiem, arhīviem, sistēmas žurnālos utt.;
personāls- apkalpojošais personāls un lietotāji.

Bīstamo ietekmi uz datora informācijas sistēmu var iedalīt nejaušā un tīšā. Informācijas sistēmu projektēšanas, ražošanas un ekspluatācijas pieredzes analīze liecina, ka informācija visos sistēmas dzīves cikla posmos ir pakļauta dažādām nejaušām ietekmēm. Iemesli nejauša ietekme darbības laikā var būt:

ārkārtas situācijas dabas katastrofu un strāvas padeves pārtraukumu dēļ;
aparatūras kļūmes un kļūmes;
kļūdas programmatūrā;
kļūdas personāla darbā;
sakaru līniju iejaukšanās vides ietekmes dēļ.

Apzināta ietekme- tās ir likumpārkāpēja apzinātas darbības. Darbinieks, apmeklētājs, konkurents vai algotnis var darboties kā likumpārkāpējs. Likumpārkāpēja rīcība var būt dažādu iemeslu dēļ:

darbinieka neapmierinātība ar savu karjeru;
kukulis;
zinātkāre;
konkurences cīņa;
vēlme par katru cenu sevi apliecināt.

Potenciālā iebrucēja hipotētisko modeli var izveidot:

likumpārkāpēja kvalifikācija šīs sistēmas izstrādātāja līmenī;
pārkāpējs var būt vai nu nepiederoša persona, vai likumīgs sistēmas lietotājs;
pārkāpējs zina informāciju par sistēmas principiem;
likumpārkāpējs izvēlas vājāko posmu aizsardzībā.

Visizplatītākais un daudzveidīgākais datoru pārkāpumu veids ir neatļauta piekļuve(NSD). NSD izmanto jebkādas kļūdas aizsardzības sistēmā un ir iespējams ar neracionālu aizsardzības līdzekļu izvēli, to nepareizu uzstādīšanu un konfigurāciju.

Mēs klasificēsim NSD kanālus, caur kuriem jūs varat nozagt, mainīt vai iznīcināt informāciju:

Caur personu:
- informācijas nesēju zādzības;
- informācijas nolasīšana no ekrāna vai tastatūras;
- nolasot informāciju no izdrukas.
Izmantojot programmu:
- paroļu pārtveršana;
- šifrētas informācijas atšifrēšana;
- informācijas kopēšana no pārvadātāja.
Izmantojot aparatūru:
- speciāli izstrādātas aparatūras pieslēgšana, kas nodrošina piekļuvi informācijai;
- viltus elektromagnētiskā starojuma pārtveršana no iekārtām, sakaru līnijām, barošanas tīkliem utt.

Īpaša uzmanība jāpievērš draudiem, kuriem var tikt pakļauti datortīkli. Galvenā iezīme jebkura datoru tīkls sastāv no tā, ka tā sastāvdaļas ir izplatītas telpā. Saziņa starp tīkla mezgliem tiek veikta fiziski, izmantojot tīkla līnijas, un programmatiski, izmantojot ziņojumu mehānismu. Šajā gadījumā kontroles ziņojumi un dati, kas nosūtīti starp tīkla mezgliem, tiek pārraidīti apmaiņas pakešu veidā. Datortīklus raksturo tas, ka t.s attāli uzbrukumi... Iebrucējs var atrasties tūkstošiem kilometru attālumā no uzbruktā objekta, un var uzbrukt ne tikai konkrētam datoram, bet arī informācijai, kas tiek pārraidīta, izmantojot tīkla sakaru kanālus.

Informācijas drošība

Informācijas drošības režīma veidošana ir sarežģīta problēma. Pasākumus tās novēršanai var iedalīt piecos līmeņos:

likumdošana (likumi, noteikumi, standarti utt.);
morāle un ētika (visa veida uzvedības normas, kuru neievērošana noved pie konkrētas personas vai visas organizācijas prestiža krituma);
administratīvās (vispārējās darbības, ko veic organizācijas vadība);
fiziski (mehāniski, elektriski un elektroniski-mehāniski šķēršļi iespējamiem iebrucēju iespiešanās ceļiem);
aparatūra un programmatūra (elektroniskās ierīces un īpašas informācijas drošības programmas).

Visu šo pasākumu kopums, kura mērķis ir novērst draudus drošībai, lai samazinātu kaitējuma iespējamību aizsardzības sistēma.

Uzticamai aizsardzības sistēmai jāatbilst šādiem principiem:

Aizsardzības līdzekļu izmaksām jābūt mazākām par iespējamo bojājumu summu.
Katram lietotājam ir jābūt minimālajam privilēģiju kopumam, kas nepieciešams darbam.
Jo efektīvāka ir aizsardzība, jo vieglāk lietotājam ar to strādāt.
Atvienošanas iespēja avārijas gadījumā.
Ar aizsardzības sistēmu saistītajiem speciālistiem ir pilnībā jāizprot tās darbības principi un sarežģītu situāciju gadījumā adekvāti uz tiem jāreaģē.
Ir jāaizsargā visa informācijas apstrādes sistēma.
Drošības sistēmas izstrādātājiem nevajadzētu būt starp tiem, kurus šī sistēma kontrolēs.
Drošības sistēmai jāsniedz pierādījumi par tās darba pareizību.
Informācijas drošībā iesaistītajiem ir jābūt personiski atbildīgiem.
Aizsardzības objektus ieteicams sadalīt grupās, lai aizsardzības pārkāpšana vienā no grupām neietekmētu citu drošību.
Uzticama drošības sistēma ir pilnībā jāpārbauda un jāvienojas.
Aizsardzība kļūst efektīvāka un elastīgāka, ja administrators ļauj mainīt tās parametrus.
Drošības sistēma būtu jāprojektē, pieņemot, ka lietotāji pieļaus nopietnas kļūdas un parasti viņiem būs vissliktākie nodomi.
Vissvarīgākie un kritiskākie lēmumi jāpieņem cilvēkiem.
Drošības mehānismu esamība pēc iespējas jāslēpj no lietotājiem, kuru darbs tiek kontrolēts.

Informācijas drošības aparatūra un programmatūra

Neskatoties uz to, ka mūsdienu operētājsistēmas personālie datori, piemēram, Windows 2000, Windows XP un Windows NT, ir savas aizsardzības apakšsistēmas, joprojām ir svarīgi izveidot papildu aizsardzības rīkus. Fakts ir tāds, ka lielākā daļa sistēmu nespēj aizsargāt datus ārpus tām, piemēram, tīkla informācijas apmaiņas laikā.

Informācijas drošības aparatūru un programmatūru var iedalīt piecās grupās:

Lietotāju identifikācijas (atpazīšanas) un autentifikācijas (autentifikācijas) sistēmas.
Diska datu šifrēšanas sistēmas.
Šifrēšanas sistēmas datiem, kas tiek pārraidīti pa tīkliem.
Elektroniskās datu autentifikācijas sistēmas.
Kriptogrāfijas atslēgu pārvaldības rīki.

1. Lietotāju identifikācijas un autentifikācijas sistēmas

Tos izmanto, lai ierobežotu gadījuma un nelikumīgu lietotāju piekļuvi datorsistēmas resursiem. Šādu sistēmu darbības vispārējais algoritms ir iegūt no lietotāja informāciju, kas pierāda viņa identitāti, pārbaudīt tās autentiskumu un pēc tam nodrošināt (vai nesniegt) šim lietotājam iespēju strādāt ar sistēmu.

Konstruējot šīs sistēmas, rodas problēma, izvēloties informāciju, uz kuras pamata tiek veiktas lietotāja identifikācijas un autentificēšanas procedūras. Var izdalīt šādus veidus:

lietotāja rīcībā esoša slepena informācija (parole, slepenā atslēga, personas identifikators utt.); lietotājam ir jāatceras šī informācija vai arī tam var izmantot īpašus uzglabāšanas līdzekļus;
personas fizioloģiskie parametri (pirkstu nospiedumi, acs varavīksnenes zīmējums utt.) vai uzvedības iezīmes (darbības ar tastatūru īpatnības utt.).

Tiek apsvērtas sistēmas, kuru pamatā ir pirmā veida informācija tradicionāls... Tiek sauktas sistēmas, kas izmanto otrā veida informāciju biometrisks... Jāatzīmē, ka biometrisko identifikācijas sistēmu attīstībā ir vērojama tendence.

2. Diska šifrēšanas sistēmas

Lai padarītu informāciju bezjēdzīgu ienaidniekam, tiek izmantota datu pārveidošanas metožu kopa, ko sauc kriptogrāfija[no grieķu valodas. kriptos- slēpta un grafo- rakstīšana].

Šifrēšanas sistēmas var veikt datu kriptogrāfiskas transformācijas faila vai diska līmenī. Pirmā tipa programmas ietver arhivētājus, piemēram, ARJ un RAR, kas ļauj izmantot kriptogrāfijas metodes, lai aizsargātu arhīva failus. Otrā tipa sistēmu piemērs ir šifrēšanas programma Diskreet, kas ir daļa no populārās programmatūras pakotne Norton Utilities, labākā kripta.

Vēl viena diska šifrēšanas sistēmu klasifikācijas iezīme ir to darbības veids. Saskaņā ar darbības metodi diska datu šifrēšanas sistēma ir sadalīta divās klasēs:

caurspīdīgas šifrēšanas sistēmas;
sistēmas, kas īpaši pieprasītas šifrēšanai.

Caurspīdīgās šifrēšanas sistēmās (šifrēšana lidojuma laikā) kriptogrāfiskās transformācijas tiek veiktas reālā laikā, lietotājam nemanot. Piemēram, lietotājs raksta teksta redaktorā sagatavotu dokumentu aizsargātā diskā, un aizsardzības sistēma to šifrē rakstīšanas procesā.

II klases sistēmas parasti ir komunālie pakalpojumi, kas īpaši jāizsauc, lai veiktu šifrēšanu. Tie ietver, piemēram, arhivētājus ar iebūvētu paroles aizsardzību.

Lielākā daļa sistēmu, kas piedāvā dokumentam iestatīt paroli, nesifrē informāciju, bet, piekļūstot dokumentam, nodrošina tikai paroles pieprasījumu. Šīs sistēmas ietver MS Office, 1C un daudzas citas.

3. Tīklu pārraidīto datu šifrēšanas sistēmas

Ir divas galvenās šifrēšanas metodes: kanālu šifrēšana un termināļa (abonenta) šifrēšana.

Kad kanālu šifrēšana visa saziņas kanālā pārraidītā informācija, ieskaitot pakalpojumu informāciju, ir aizsargāta. Šai šifrēšanas metodei ir šādas priekšrocības - šifrēšanas procedūru iestrādāšana datu saišu slānī ļauj izmantot aparatūru, kas uzlabo sistēmas veiktspēju. Tomēr šai pieejai ir arī būtiski trūkumi:

pakalpojuma datu šifrēšana sarežģī tīkla pakešu maršrutēšanas mehānismu un prasa atšifrēt datus starpposma sakaru ierīcēs (vārtejās, retranslatoros utt.);
pakalpojuma informācijas šifrēšana var izraisīt statistisku modeļu parādīšanos šifrētos datos, kas ietekmē aizsardzības uzticamību un ierobežo kriptogrāfijas algoritmu izmantošanu.

Pilnīga (abonenta) šifrēšanaļauj nodrošināt starp diviem abonentiem pārsūtīto datu konfidencialitāti. Šādā gadījumā tiek aizsargāts tikai ziņu saturs, visa pakalpojuma informācija paliek atvērta. Trūkums ir spēja analizēt informāciju par ziņojumu apmaiņas struktūru, piemēram, par sūtītāju un saņēmēju, par datu pārsūtīšanas laiku un nosacījumiem, kā arī par pārsūtīto datu apjomu.

4. Elektroniskās datu autentifikācijas sistēmas

Apmainoties ar datiem tīklos, rodas problēma ar dokumenta autora un paša dokumenta autentificēšanu, t.i. autora autentificēšana un pārbaude, vai saņemtajā dokumentā nav izmaiņu. Lai autentificētu datus, tiek izmantots ziņojuma autentifikācijas kods (atdarinājuma ieliktnis) vai elektroniskais paraksts.

Imitācijas ieliktnis tiek ģenerēts no atklātiem datiem, izmantojot īpašu šifrēšanas transformāciju, izmantojot slepeno atslēgu, un pārraidīts pa sakaru kanālu šifrēto datu beigās. Imitācijas ievietošanu pārbauda saņēmējs, kuram pieder slepenā atslēga, atkārtojot sūtītāja iepriekš veikto procedūru attiecībā uz saņemtajiem publiskajiem datiem.

Elektroniska Digitālais paraksts ir salīdzinoši neliels daudzums papildu autentifikācijas informācijas, kas tiek nosūtīta kopā ar parakstīto tekstu. Sūtītājs veido ciparparakstu, izmantojot sūtītāja slepeno atslēgu. Saņēmējs parakstu pārbauda, izmantojot sūtītāja publisko atslēgu.

Tādējādi imitācijas ievietošanas ieviešanai tiek izmantoti simetriskās šifrēšanas principi, bet elektroniskā paraksta ieviešanai - asimetriska. Šīs divas šifrēšanas sistēmas mēs sīkāk izpētīsim vēlāk.

5. Rīki kriptogrāfisko atslēgu pārvaldībai

Jebkuras kriptosistēmas drošību nosaka izmantotās kriptogrāfiskās atslēgas. Drošas atslēgu pārvaldības gadījumā uzbrucējs var iegūt galveno informāciju un iegūt pilnīgu piekļuvi visai sistēmas vai tīkla informācijai.

Ir šādi atslēgu pārvaldības funkciju veidi: atslēgu ģenerēšana, uzglabāšana un izplatīšana.

Veidi ģenerē atslēgas simetriskām un asimetriskām kriptosistēmām ir atšķirīgas. Simetrisku kriptosistēmu atslēgu ģenerēšanai tiek izmantota aparatūra un programmatūra nejaušu skaitļu ģenerēšanai. Atslēgu ģenerēšana asimetriskām kriptosistēmām ir grūtāka, jo atslēgām ir jābūt noteiktām matemātiskām īpašībām. Pie šī jautājuma pakavēsimies sīkāk, pētot simetriskas un asimetriskas kriptosistēmas.

Funkcija uzglabāšana ietver pamatinformācijas drošas glabāšanas, uzskaites un iznīcināšanas organizēšanu. Lai nodrošinātu drošu atslēgu glabāšanu, tās tiek šifrētas, izmantojot citas atslēgas. Šī pieeja noved pie galvenās hierarhijas jēdziena. Atslēgu hierarhijā parasti ietilpst galvenā atslēga (ti, galvenā atslēga), atslēgas šifrēšanas atslēga un datu šifrēšanas atslēga. Jāatzīmē, ka galvenās atslēgas ģenerēšana un glabāšana ir kritisks kriptogrāfijas aizsardzības jautājums.

Izplatīšana ir vissvarīgākais process atslēgu pārvaldībā. Šim procesam ir jānodrošina izplatāmo atslēgu slepenība, un tam jābūt ātram un precīzam. Atslēgas tiek sadalītas starp tīkla lietotājiem divos veidos:

izmantojot sesijas atslēgu tiešu apmaiņu;
izmantojot vienu vai vairākus atslēgu izplatīšanas centrus.

Dokumentu saraksts

PAR VALSTS SLEPENI. Krievijas Federācijas 1993. gada 21. jūlija likums Nr. 5485-1 (grozījumi izdarīti ar 1997. gada 6. oktobra federālo likumu Nr. 131-FZ).
PAR INFORMĀCIJU, INFORMĀCIJU UN INFORMĀCIJAS AIZSARDZĪBU. Krievijas Federācijas 1995. gada 20. februāra federālais likums Nr. 24-FZ. Pieņemts Valsts domē 1995. gada 25. janvārī.
PAR ELEKTRONISKO DATORU PROGRAMMU JURIDISKO AIZSARDZĪBU UN DATU BĀZĒM. Krievijas Federācijas 1992. gada 23. septembra likums Nr. 3524-1.
PAR ELEKTRONISKO DIGITĀLO PARAKSTU. Krievijas Federācijas 2002. gada 10. janvāra federālais likums Nr. 1-FZ.
PAR AUTORTIESĪBĀM UN SAISTĪTĀM TIESĪBĀM. Krievijas Federācijas 1993. gada 9. jūlija likums Nr. 5351-1.
PAR FEDERĀLO VALDĪBAS KOMUNIKĀCIJU UN INFORMĀCIJAS STRUKTŪRĀM. Krievijas Federācijas likums (grozījumi izdarīti ar Krievijas Federācijas prezidenta 1993. gada 24. decembra dekrētu Nr. 2288; 2000. gada 7. novembra federālais likums Nr. 135-FZ).
Noteikumi par testēšanas laboratoriju un struktūru akreditāciju informācijas drošības līdzekļu sertifikācijai saskaņā ar informācijas drošības prasībām / Valsts tehniskā komisija pie Krievijas Federācijas prezidenta.
Instrukcija par atbilstības sertifikātu, to kopiju un informācijas aizsardzības sertifikācijas līdzekļu marķēšanas procedūru / Valsts tehniskā komisija pie Krievijas Federācijas prezidenta.
Noteikumi par informatizācijas objektu sertificēšanu saskaņā ar informācijas drošības prasībām / Valsts tehniskā komisija pie Krievijas Federācijas prezidenta.
Noteikumi par informācijas drošības rīku sertificēšanu atbilstoši informācijas drošības prasībām: ar papildinājumiem saskaņā ar Krievijas Federācijas valdības 1995. gada 26. jūnija dekrētu Nr. 608 "Par informācijas drošības līdzekļu sertifikāciju" / Valsts tehniskā komisija saskaņā ar Krievijas Federācijas prezidents.
Noteikumi par valsts licencēšanu darbībām informācijas aizsardzības jomā / Valsts tehniskā komisija pie Krievijas Federācijas prezidenta.
Automatizētas sistēmas. Aizsardzība pret neatļautu piekļuvi informācijai. Automatizēto sistēmu klasifikācija un prasības informācijas aizsardzībai: Vadlīniju dokuments / Valsts tehniskā komisija pie Krievijas Federācijas prezidenta.
Datortehnikas un automatizētu sistēmu aizsardzības no nesankcionētas piekļuves informācijai koncepcija: Vadlīniju dokuments / Valsts tehniskā komisija pie Krievijas Federācijas prezidenta.
Datoru iekārtas. Ugunsmūri. Aizsardzība pret neatļautu piekļuvi informācijai. Drošības rādītāji pret neatļautu piekļuvi informācijai: Vadlīniju dokuments / Valsts tehniskā komisija pie Krievijas Federācijas prezidenta.
Datoru iekārtas. Aizsardzība pret neatļautu piekļuvi informācijai. Drošības rādītāji pret neatļautu piekļuvi informācijai: Vadlīniju dokuments / Valsts tehniskā komisija pie Krievijas Federācijas prezidenta.
Informācijas aizsardzība. Īpašas aizsardzības zīmes. Klasifikācija un vispārīgās prasības: Vadlīniju dokuments / Valsts tehniskā komisija pie Krievijas Federācijas prezidenta.
Aizsardzība pret neatļautu piekļuvi informācijai. Termini un definīcijas: Vadlīniju dokuments / Valsts tehniskā komisija pie Krievijas Federācijas prezidenta.

Informācijas drošības nodrošināšana ir sarežģīta sociāli sociāla, juridiska, ekonomiska un zinātniska problēma. Tikai visaptverošs tās mērķu un uzdevumu risinājums vienlaicīgi vairākās lidmašīnās varēs izmantot savu regulējošo ietekmi uz valsts informācijas drošības nodrošināšanu. Šajā jomā veiktajam darbam jābūt ne tikai praktiskam, bet arī zinātniskam.

Galvenie informācijas drošības nodrošināšanas mērķi tiek noteikti, pamatojoties uz ilgtspējīgām valsts un ekonomiskās drošības prioritātēm, kas atbilst sociālās attīstības ilgtermiņa interesēm, tostarp:

Krievijas valstiskuma un politiskās stabilitātes saglabāšana un stiprināšana sabiedrībā;

Sabiedrības demokrātisko institūciju saglabāšana un attīstība, pilsoņu tiesību un brīvību nodrošināšana, tiesiskuma un tiesiskuma stiprināšana;

Valsts cienīgas vietas un lomas nodrošināšana pasaules sabiedrībā;

Valsts teritoriālās integritātes nodrošināšana;

Progresīvas sociālekonomiskās attīstības nodrošināšana;

Nacionālo kultūras vērtību un tradīciju saglabāšana.

Saskaņā ar šīm prioritātēm galvenie informācijas drošības nodrošināšanas uzdevumi ir:

Informācijas drošības apdraudējumu avotu identificēšana, novērtēšana un prognozēšana;

Valsts politikas izstrāde informācijas drošības nodrošināšanai, pasākumu un mehānismu kopums tās īstenošanai;

Normatīvā regulējuma izstrāde informācijas drošības nodrošināšanai, valdības struktūru un uzņēmumu darbības koordinēšana informācijas drošības nodrošināšanai;

Sistēmas izstrāde informācijas drošības nodrošināšanai, tās organizācijas, formu, metožu un līdzekļu uzlabošana, lai novērstu, novērstu un neitralizētu draudus informācijas drošībai un novērstu tās pārkāpuma sekas;

Nodrošināt valsts aktīvu līdzdalību globālās izmantošanas radīšanas procesos informācijas tīkliem un sistēmas.

Svarīgākie informācijas drošības principi ir:

1) pasākumu likumību, lai identificētu un novērstu pārkāpumus informācijas jomā;

2) informācijas sistēmas kontroles un aizsardzības līdzekļu un metožu ieviešanas un uzlabošanas nepārtrauktību;

3) ekonomiskā iespējamība, t.i., iespējamā kaitējuma un informācijas drošības nodrošināšanas izmaksu salīdzināmība

4) visa pieejamo aizsardzības līdzekļu arsenāla izmantošanas sarežģītība visās uzņēmuma nodaļās un visos informācijas procesa posmos.

Informācijas aizsardzības procesa īstenošana ietver vairākus posmus:

Aizsardzības objekta noteikšana: tiesības aizsargāt informācijas resursu, informācijas resursa un tā galveno elementu izmaksu aprēķins, informācijas resursa dzīves cikla ilgums, informācijas procesa trajektorija, ko veic funkcionālās nodaļas uzņēmums;

Draudu avotu identificēšana (konkurenti, noziedznieki, darbinieki u.c.), draudu mērķi (iepazīšanās, modificēšana, iznīcināšana u.c.), iespējamie draudu ieviešanas kanāli (izpaušana, noplūde utt.);

Nepieciešamo aizsardzības pasākumu noteikšana;

To efektivitātes un ekonomiskās iespējamības novērtējums;

Veikto pasākumu īstenošana, ņemot vērā izvēlētos kritērijus;

Informēt personālu par veiktajiem pasākumiem, uzraudzīt to efektivitāti un novērst (novērst) draudu sekas.

Aprakstīto posmu īstenošana faktiski ir objekta informācijas drošības pārvaldības process, un to nodrošina kontroles sistēma, kas papildus pašam kontrolētajam (aizsargātajam) objektam ietver arī tā stāvokļa uzraudzības līdzekļus, mehānismu. pašreizējā stāvokļa salīdzināšanai ar nepieciešamo, kā arī mehānisms lokalizācijas darbību kontrolei un draudu radīto zaudējumu novēršanai. Šajā gadījumā par pārvaldības kritēriju ieteicams uzskatīt informācijas bojājumu minimuma sasniegšanu, un pārvaldības mērķis ir nodrošināt objekta nepieciešamo stāvokli tā informācijas drošības izpratnē.

Informācijas drošības metodes ir sadalītas juridiskās, organizatoriskās un tehniskās un ekonomiskās.

TO juridiskās metodes informācijas drošības nodrošināšana ietver normatīvo aktu izstrādi, kas regulē attiecības informācijas jomā, un normatīvos metodiskos dokumentus par informācijas drošību. Šīs darbības svarīgākās jomas ir:

Grozījumi un papildinājumi tiesību aktos, kas regulē attiecības informācijas drošības jomā, lai izveidotu un uzlabotu informācijas drošības sistēmu, novērstu iekšējās pretrunas federālajā likumdošanā, pretrunas saistībā ar starptautiskajiem līgumiem, kā arī lai konkretizētu tiesību normas, kas nosaka atbildību par pārkāpumiem informācijas drošības jomā;

Pilnvaru likumdošana, nosakot mērķus, uzdevumus un mehānismus dalībai šajā sabiedrisko apvienību, organizāciju un pilsoņu darbībā;

Normatīvo aktu izstrāde un pieņemšana, kas nosaka juridisku un fizisku personu atbildību par neatļautu piekļuvi informācijai, tās nelikumīgu kopēšanu, sagrozīšanu un nelikumīgu izmantošanu, apzinātas neprecīzas informācijas izplatīšanu, nelikumīgu izpaušanu konfidenciāla informācija, oficiālas informācijas vai komercnoslēpumus saturošas informācijas izmantošana noziedzīgiem un algotņiem;

Ārvalstu ziņu aģentūru, plašsaziņas līdzekļu un žurnālistu, kā arī investoru statusa precizēšana, piesaistot ārvalstu investīcijas vietējās informācijas infrastruktūras attīstībai;

Nacionālo sakaru tīklu attīstības un kosmosa sakaru satelītu iekšzemes ražošanas prioritātes likumdošanas konsolidācija;

Globālo informācijas un sakaru tīklu pakalpojumus sniedzošo organizāciju statusa noteikšana un šo organizāciju darbības tiesiskais regulējums;

Juridiskā pamata izveide reģionālo struktūru veidošanai informācijas drošības nodrošināšanai.

Organizatoriski un tehniski informācijas drošības metodes ir šādas:

Valsts informācijas drošības sistēmas izveide un pilnveidošana;

Stiprināt iestāžu tiesībaizsardzības darbību, tostarp noziegumu novēršanu un apkarošanu informācijas jomā, kā arī to personu identificēšanu, atklāšanu un saukšanu pie atbildības, kuras ir izdarījušas noziegumus un citus pārkāpumus šajā jomā;

Informācijas drošības līdzekļu un metožu izstrāde, izmantošana un uzlabošana šo līdzekļu efektivitātes uzraudzībai, drošu telekomunikāciju sistēmu izstrāde, īpašas programmatūras uzticamības paaugstināšana;

Sistēmu un līdzekļu izveide, lai novērstu nesankcionētu piekļuvi apstrādātajai informācijai un specefektiem, kas izraisa informācijas iznīcināšanu, iznīcināšanu, izkropļojumus, kā arī mainītu parastos sistēmu darbības veidus un informatizācijas un saziņas līdzekļus;

Atklāšana tehniskās ierīces un programmas, kas apdraud informācijas un sakaru sistēmu normālu darbību, neļaujot pārtvert informāciju, izmantojot tehniskos kanālus, izmantot kriptogrāfiskos līdzekļus informācijas aizsardzībai tās uzglabāšanas, apstrādes un pārraides laikā, izmantojot sakaru kanālus, uzraudzīt īpašo prasību izpildi informācijas aizsardzībai;

Informācijas drošības līdzekļu sertificēšana, darbību licencēšana valsts noslēpuma aizsardzības jomā, informācijas drošības metožu un līdzekļu standartizācija;

Telekomunikāciju iekārtu un programmatūras automatizētu informācijas apstrādes sistēmu sertifikācijas sistēmas pilnveidošana atbilstoši informācijas drošības prasībām;

Personāla rīcības kontrole aizsargātās informācijas sistēmās, apmācība valsts informācijas drošības nodrošināšanas jomā;

Informācijas drošības rādītāju un raksturlielumu uzraudzības sistēmas veidošana vissvarīgākajās sabiedrības un valsts dzīves un darbības jomās.

Ekonomiskās metodes informācijas drošības nodrošināšana ietver:

Programmu izstrāde valsts informācijas drošības nodrošināšanai un to finansēšanas kārtības noteikšana;

Pilnveidosim darba finansēšanas sistēmu, kas saistīta ar informācijas aizsardzības juridisko un organizatorisko un tehnisko metožu ieviešanu, izveidosim sistēmu fizisko un juridisko personu informācijas risku apdrošināšanai.

Kopā ar plašu izmantošanu standarta metodes un līdzekļi ekonomikai, prioritārās jomas informācijas drošības nodrošināšanai ir:

Tiesību normu izstrāde un pieņemšana, kas nosaka juridisko un fizisko personu atbildību par neatļautu piekļuvi un informācijas zādzību, apzinātu neprecīzas informācijas izplatīšanu, komercnoslēpumu izpaušanu, konfidenciālas informācijas noplūdi;

Valsts statistikas ziņošanas sistēmas izveide, kas nodrošina informācijas ticamību, pilnīgumu, salīdzināmību un drošību, ieviešot stingru juridisko atbildību par primārajiem informācijas avotiem, organizējot efektīvu kontroli pār to darbību un statistikas informācijas apstrādes un analīzes dienestu darbību, ierobežojot to komercializācija, izmantojot īpašus organizatoriskus un programmatūras un aparatūras informācijas drošības līdzekļus;

Īpašu finanšu un komerciālās informācijas aizsardzības līdzekļu izveide un uzlabošana;

Organizatorisku un tehnisku pasākumu kopuma izstrāde tehnoloģiju uzlabošanai informācijas aktivitātes un informācijas aizsardzība ekonomikas, finanšu, rūpniecības un citās ekonomikas struktūrās, ņemot vērā ekonomikai raksturīgās informācijas drošības prasības;

Personāla profesionālās atlases un apmācības sistēmas, ekonomiskās informācijas atlases, apstrādes, analīzes un izplatīšanas sistēmu uzlabošana.

Valsts politika informācijas drošības nodrošināšana veido valsts iestāžu un administrācijas darbības virzienus informācijas drošības jomā, ieskaitot visu subjektu tiesību uz informāciju garantijas, valsts un tās struktūru pienākumu un pienākumu konsolidāciju valsts informācijas drošības jomā , un tās pamatā ir indivīda, sabiedrības un valsts interešu līdzsvara uzturēšana informācijas jomā.

Valsts informācijas drošības politika ir balstīta uz šādiem pamatnoteikumiem:

Piekļuves informācijai ierobežošana ir izņēmums no vispārējā informācijas atklātības principa, un to veic, tikai pamatojoties uz tiesību aktiem;

Atbildība par informācijas drošību, tās klasifikāciju un deklasifikāciju ir personificēta;

Piekļuve jebkurai informācijai, kā arī noteiktie piekļuves ierobežojumi tiek veikti, ņemot vērā tiesību aktos noteiktās īpašuma tiesības uz šo informāciju;

Valstij jāveido tiesiskais regulējums, kas reglamentē visu informācijas jomā strādājošo subjektu tiesības, pienākumus un pienākumus;

Juridiskie un privātpersonas personas datu un konfidenciālas informācijas vākšana, uzkrāšana un apstrāde ir likuma priekšā atbildīga par to drošību un izmantošanu;

Valsts nodrošināšana ar juridiskiem līdzekļiem, lai aizsargātu sabiedrību no nepatiesas, sagrozītas un neprecīzas informācijas, kas nonāk plašsaziņas līdzekļos;

Valsts kontroles īstenošana attiecībā uz informācijas drošības līdzekļu radīšanu un izmantošanu, nodrošinot to obligātu sertifikāciju un darbību licencēšanu informācijas drošības jomā;

Īstenot valsts protekcionisma politiku, kas atbalsta vietējo informācijas tehnoloģiju un informācijas aizsardzības ražotāju darbību un veic pasākumus, lai aizsargātu iekšējo tirgu no zemas kvalitātes informācijas nesēju un informācijas produktu iekļūšanas;

Valsts atbalsts, nodrošinot pilsoņiem piekļuvi pasaules informācijas resursiem, globālajiem informācijas tīkliem,

Valsts izveido federālu informācijas drošības programmu, kas apvieno centienus valdības organizācijas un komerciālām struktūrām vienotas valsts informācijas drošības sistēmas izveidē;

Valsts cenšas pretoties citu valstu informācijas paplašināšanai, atbalsta globālo informācijas tīklu un sistēmu internacionalizāciju.

Pamatojoties uz noteiktajiem principiem un noteikumiem, tiek noteikti vispārējie informācijas drošības politikas veidošanas un īstenošanas virzieni valsts darbības politiskajā, ekonomiskajā un citās jomās.

Valsts politika kā mehānisms informācijas attiecību subjektu interešu saskaņošanai un kompromisa risinājumu meklēšanai paredz dažādu padomju, komiteju un komisiju ar plašu speciālistu un visu ieinteresēto struktūru pārstāvniecību efektīva darba veidošanu un organizēšanu. Valsts politikas īstenošanas mehānismiem jābūt elastīgiem un savlaicīgi jāatspoguļo izmaiņas, kas notiek valsts ekonomiskajā un politiskajā dzīvē.

Valsts informācijas drošības juridiskais atbalsts ir prioritāte informācijas drošības politikas īstenošanas mehānismu veidošanā un ietver:

1) noteikumu pieņemšanas darbības, lai izveidotu likumdošanu, kas regulē attiecības sabiedrībā saistībā ar informācijas drošības nodrošināšanu;

2) izpildvaras un tiesībaizsardzības darbības valsts iestāžu un administrāciju, organizāciju, pilsoņu tiesību aktu īstenošanai informācijas, informatizācijas un informācijas aizsardzības jomā.

Normatīva darbība informācijas drošības jomā paredz:

Pašreizējās likumdošanas stāvokļa novērtējums un programmas izstrāde tās uzlabošanai;

Organizatorisku un juridisku mehānismu izveide informācijas drošības nodrošināšanai;

Visu informācijas drošības sistēmas subjektu, informācijas un telekomunikāciju sistēmu lietotāju juridiskā statusa veidošana un viņu atbildības noteikšana par informācijas drošības nodrošināšanu;

Organizatoriska un juridiska mehānisma izstrāde statistikas datu vākšanai un analīzei par informācijas drošības draudu ietekmi un to sekām, ņemot vērā visa veida informāciju;

Normatīvo un citu normatīvo aktu izstrāde, kas reglamentē draudu ietekmes seku novēršanas kārtību, atjauno pārkāptās tiesības un resursus, un īsteno kompensācijas pasākumus.

Izpildu un izpildes pasākumi paredz izstrādāt kārtību normatīvo aktu piemērošanai vienībām, kuras ir izdarījušas noziegumus un pārkāpumus, strādājot ar konfidenciālu informāciju un pārkāpjot informācijas mijiedarbības noteikumus. Visas informācijas drošības juridiskā atbalsta darbības ir balstītas uz trim tiesību pamatnoteikumiem: tiesiskuma ievērošanu, atsevišķu subjektu un valsts interešu līdzsvara nodrošināšanu un soda neizbēgamību.

Likuma ievērošana paredz likumu un citu normatīvo aktu esamību, to piemērošanu un izpildi tiesību subjektiem informācijas drošības jomā.

12.3. INFORMĀCIJAS DROŠĪBAS STĀVOKLIS KRIEVIJĀ

Valsts informācijas drošības stāvokļa novērtēšana ietver esošo draudu novērtējumu. "Krievijas Federācijas informācijas drošības doktrīnas" 2. klauzula identificē šādus draudus Krievijas Federācijas informācijas drošībai:

Draudi cilvēka un pilsoņa konstitucionālajām tiesībām un brīvībām garīgās dzīves un informācijas aktivitāšu, indivīda, grupas un sabiedrības apziņas jomā, Krievijas garīgajai atdzimšanai;

Draudi Krievijas Federācijas valsts politikas informācijas atbalstam;

Draudi vietējās informācijas nozares, tostarp informatizācijas, telekomunikāciju un sakaru nozares, attīstībai, kas atbilst vietējā tirgus vajadzībām pēc saviem produktiem un šo produktu ienākšanai pasaules tirgū, kā arī nodrošina uzkrāšanu, saglabāšanu un efektīva vietējo informācijas resursu izmantošana;

__________________________________________________________________

Draudi informācijas un telekomunikāciju sistēmu drošībai, kas jau ir izvietotas un izveidotas Krievijas teritorijā.

Ārējie Krievijas informācijas drošības apdraudējumu avoti ir:

1) ārpolitisko, ekonomisko, militāro, izlūkošanas un informācijas struktūru darbība pret Krievijas Federāciju informācijas jomā;

2) vairāku valstu vēlme globālajā informācijas telpā dominēt un pārkāpt Krievijas intereses, izstumt to no ārējiem un iekšējiem informācijas tirgiem;

3) starptautiskās konkurences saasināšanās par informācijas tehnoloģiju un resursu glabāšanu;

4) starptautisko teroristu organizāciju darbība;

5) palielinot tehnoloģisko plaisu starp pasaules vadošajām lielvarām un palielinot to spējas pretoties konkurētspējīgu Krievijas informācijas tehnoloģiju radīšanai;

6) ārvalstu kosmosa, gaisa, jūras un sauszemes tehnisko un citu izlūkošanas līdzekļu (veidu) darbības;

7) informācijas karu koncepciju izstrāde vairākās valstīs, paredzot iespēju radīt bīstamas ietekmes līdzekļus uz citu pasaules valstu informācijas sfērām, traucēt normālu informācijas un telekomunikāciju sistēmu darbību, informācijas drošību resursiem, iegūstot tiem neatļautu piekļuvi.

Iekšējie Krievijas informācijas drošības apdraudējumu avoti ir:

1) vietējo nozaru kritiskais stāvoklis;

2) nelabvēlīga noziedzības situācija, ko papildina tendences valsts un noziedzīgu struktūru saplūšanai informācijas jomā, noziedzīgām struktūrām piekļūt konfidenciālai informācijai, palielinot organizētās noziedzības ietekmi uz sabiedrības dzīvi, samazinot pilsoņu, sabiedrības un valsts likumīgās intereses informācijas jomā;

3) nepietiekama federālo valsts varas institūciju, Krievijas Federācijas veidojošo vienību valsts varas institūciju darbības koordinācija vienotas valsts politikas veidošanā un īstenošanā Krievijas Federācijas informācijas drošības nodrošināšanas jomā;

4) nepietiekama tiesiskā regulējuma, kas regulē attiecības informācijas jomā, izstrāde, kā arī nepietiekama tiesībaizsardzības prakse;

5) pilsoniskās sabiedrības institūciju nepietiekama attīstība un nepietiekama kontrole pār informācijas tirgus attīstību Krievijā;

6) nepietiekama valsts ekonomiskā vara;

7) izglītības un apmācības sistēmas efektivitātes samazināšanās, nepietiekams kvalificēta personāla skaits informācijas drošības jomā;

8) Krievijas atpalicība no pasaules vadošajām valstīm federālo valdības struktūru, kredītu un finanšu, rūpniecības, lauksaimniecības, izglītības, veselības aprūpes, pakalpojumu un pilsoņu ikdienas dzīves ziņā.

Pēdējos gados Krievija ir īstenojusi pasākumu kopumu, lai uzlabotu savas informācijas drošības nodrošināšanu. Ir veikti pasākumi, lai nodrošinātu informācijas drošību federālajās valdības struktūrās, Krievijas Federācijas veidojošo vienību valdības struktūrās, uzņēmumos, iestādēs un organizācijās neatkarīgi no īpašumtiesību formas. Ir uzsākts darbs, lai valsts iestāžu interesēs izveidotu drošu informācijas un telekomunikāciju sistēmu īpašiem mērķiem.

Valsts informācijas aizsardzības sistēma, valsts noslēpuma aizsardzības sistēma un informācijas aizsardzības sertifikācijas sistēma veicina veiksmīgu Krievijas Federācijas informācijas drošības nodrošināšanas jautājumu risināšanu.

Struktūra valsts sistēma informācijas aizsardzība ir:

Krievijas Federācijas valsts iestādes un administrācijas un Krievijas Federāciju veidojošās vienības, kas savas kompetences ietvaros risina informācijas drošības nodrošināšanas problēmas;

Valsts un starpresoru komisijas un padomes, kas specializējas informācijas drošības jautājumos;

Valsts tehniskā komisija pie Krievijas Federācijas prezidenta;

Krievijas Federācijas Federālais drošības dienests;

Krievijas Federācijas Iekšlietu ministrija;

Krievijas Federācijas Aizsardzības ministrija;

Federālā valdības komunikāciju un informācijas aģentūra Krievijas Federācijas prezidenta pakļautībā;

Krievijas Federācijas Ārvalstu izlūkošanas dienests;

Strukturāla un starpnozaru nodaļa valsts iestāžu informācijas aizsardzībai;

Vadošās un vadošās pētniecības, zinātniskās un tehniskās, projektēšanas un inženiertehniskās organizācijas informācijas aizsardzībai;

Izglītības iestādes personāla apmācība un pārkvalificēšana darbam informācijas drošības sistēmā.

Valsts tehniskā komisija Krievijas Federācijas prezidenta pakļautībā kā valdības struktūra īsteno vienotu tehnisko politiku un koordinē darbu informācijas aizsardzības jomā, vada valsts sistēmu informācijas aizsardzībai no tehniskās izlūkošanas, ir atbildīga par informācijas aizsardzības nodrošināšanu. informāciju par tās noplūdi, izmantojot tehniskos kanālus Krievijas teritorijā, uzrauga veikto aizsardzības pasākumu efektivitāti.

Īpašu vietu informācijas drošības sistēmā ieņem valsts un sabiedriskās organizācijas, kas kontrolē valsts un nevalstisko mediju darbību.

Līdz šim Krievijas informācijas drošības jomā ir izveidots tiesiskais regulējums, kas ietver:

1. Krievijas Federācijas likumi:

Krievijas Federācijas konstitūcija;

"Par bankām un banku darbību";

"Par drošību";

"Par ārvalstu izlūkošanu";

"Par valsts noslēpumiem";

"Par komunikāciju";

"Par produktu un pakalpojumu sertifikāciju";

"Par plašsaziņas līdzekļiem";

"Par standartizāciju";

"Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību";

“Par Federālā drošības dienesta struktūrām Krievijas Federācijā”;

"Par dokumentu obligāto kopiju";

“Par dalību starptautiskajā informācijas apmaiņā”;

"O6 digitālais paraksts" utt.

2. Krievijas Federācijas prezidenta normatīvie akti:

"Krievijas Federācijas informācijas drošības doktrīna";

"Par Krievijas Federācijas Nacionālās drošības stratēģiju līdz 2020. gadam";

"Par dažiem jautājumiem, kas saistīti ar starpresoru valsts noslēpuma aizsardzības komisiju";

"Par valsts noslēpumā klasificētās informācijas sarakstu";

"Par valsts politikas pamatiem informatizācijas jomā";

"Par konfidenciālas informācijas saraksta apstiprināšanu" u.c.

H. Krievijas Federācijas valdības normatīvie akti:

"Par informācijas drošības rīku sertificēšanu";

"Par uzņēmumu, iestāžu un organizāciju darbības licencēšanu, lai veiktu darbu, kas saistīts ar valsts noslēpumu veidojošas informācijas izmantošanu, informācijas drošības līdzekļu izveidi, kā arī pasākumu īstenošanu un (vai) pakalpojumu sniegšanu valsts noslēpuma aizsardzība ”;

"Par valsts noslēpumu veidojošās informācijas klasificēšanas noteikumu apstiprināšanu dažādās slepenības pakāpēs";

"Par noteiktu veidu darbību licencēšanu" u.c.

4. Krievijas Valsts tehniskās komisijas vadošie dokumenti:

"Koncepcija par datortehnikas un automatizētu sistēmu aizsardzību pret neatļautu piekļuvi informācijai";

“Datoru iespējas. Aizsardzība pret neatļautu piekļuvi informācijai. Drošības rādītāji pret neatļautu piekļuvi informācijai ”;

“Automatizētas sistēmas. Aizsardzība pret neatļautu piekļuvi informācijai. Automatizēto sistēmu klasifikācija un prasības informācijas aizsardzībai ”;

"Informācijas aizsardzība. Īpašas aizsardzības zīmes. Klasifikācija un vispārīgās prasības ”;

"Aizsardzība pret neatļautu piekļuvi informācijai. 1. daļa. Programmatūra informācijas drošībai. Klasifikācija pēc nedeklarēto iespēju neesamības kontroles līmeņa ”.

5. Krievijas Federācijas Civilkodekss (ceturtā daļa).

6. Krievijas Federācijas Kriminālkodekss.

Starptautiskā sadarbība informācijas drošības jomā ir pasaules kopienas valstu ekonomiskās, politiskās, militārās, kultūras un cita veida mijiedarbības neatņemama sastāvdaļa. Šādai sadarbībai vajadzētu palīdzēt uzlabot visu pasaules sabiedrības locekļu, tostarp Krievijas, informācijas drošību. Krievijas Federācijas starptautiskās sadarbības īpatnības informācijas drošības jomā slēpjas faktā, ka tā tiek veikta saistībā ar saasināto starptautisko konkurenci par tehnoloģisko un informācijas resursi, par dominējošo stāvokli pārdošanas tirgos, nostiprinot tehnoloģisko plaisu starp pasaules vadošajām varām un palielinot to spējas radīt "informācijas ieročus". Tas varētu novest pie jauna bruņošanās sacensību attīstības posma informācijas jomā.

Starptautiskā sadarbība informācijas drošības jomā ir balstīta uz šādu tiesisko regulējumu:

Līgums ar Kazahstānas Republiku 1995. gada 13. janvārī ar Maskavu (Krievijas Federācijas valdības 1994. gada 15. maija rezolūcija Nch 679);

Līgums ar Ukrainu, 1996. gada 14. jūnijs, Kijeva (Krievijas Federācijas valdības 1996. gada 7. jūnija rezolūcija Ns 655);

Līgums ar Baltkrievijas Republiku (projekts);

Sertifikātu un licenču izsniegšana starptautiskai informācijas apmaiņai (1996. gada 4. jūlija federālais likums, X 85-FZ).

Galvenās starptautiskās sadarbības jomas, kas atbilst Krievijas Federācijas interesēm, ir šādas:

Neatļautas piekļuves konfidenciālai informācijai novēršana starptautiskos banku tīklos un kanālos informācijas atbalstu pasaules tirdzniecību, konfidenciālu informāciju starptautiskajās ekonomiskajās un politiskajās savienībās, blokos un organizācijās, informāciju starptautiskajās tiesībaizsardzības organizācijās, kas cīnās pret starptautisko organizēto noziedzību un starptautisko terorismu;

"Informācijas ieroču" izstrādes, izplatīšanas un izmantošanas aizliegums;

Starptautiskās informācijas apmaiņas drošības nodrošināšana, tostarp informācijas drošība tās pārraides laikā, izmantojot valsts telekomunikāciju tīklus un sakaru kanālus;

To valstu tiesībaizsardzības iestāžu darbību koordinēšana, kuras piedalās starptautiskajā sadarbībā datoru noziegumu novēršanā;

Dalība starptautiskās konferencēs un izstādes par informācijas drošības problēmu.

Sadarbības gaitā īpaša uzmanība jāpievērš mijiedarbības problēmām ar NVS valstīm, ņemot vērā izredzes bijušās PSRS teritorijā izveidot vienotu informācijas telpu, kuras ietvaros ir praktiski vienotas telekomunikāciju sistēmas un sakaru līnijas. lietotas.

Tajā pašā laikā Krievijas informācijas drošības stāvokļa analīze liecina, ka tās līmenis pilnībā neatbilst sabiedrības un valsts vajadzībām. Pašreizējie valsts politiskās un sociālekonomiskās attīstības apstākļi pastiprina pretrunas starp sabiedrības vajadzībām paplašināt brīvu informācijas apmaiņu un nepieciešamību saglabāt noteiktus regulētus ierobežojumus tās izplatīšanai.

Krievijas Federācijas Konstitūcijā paredzētajām pilsoņu tiesībām uz privātās dzīves neaizskaramību, personīgajiem un ģimenes noslēpumiem, kā arī korespondences konfidencialitātei nav pietiekama juridiskā, organizatoriskā un tehniskā nodrošinājuma. Federālās valdības iestāžu savākto personas datu aizsardzība ir neapmierinoša.

Trūkst skaidrības valsts politikas īstenošanā Krievijas informācijas telpas veidošanas, masu mediju sistēmas attīstības, starptautiskās informācijas apmaiņas organizēšanas un Krievijas informācijas telpas integrācijas jomā. informācijas telpu, kas rada apstākļus Krievijas ziņu aģentūru un plašsaziņas līdzekļu izstumšanai no vietējā informācijas tirgus un starptautiskās informācijas apmaiņas deformācijas struktūrām.

Nav pietiekams valdības atbalsts Krievijas ziņu aģentūru darbībām, lai popularizētu savus produktus starptautiskajā informācijas tirgū.

Situācija ar valsts noslēpumu veidojošās informācijas drošības nodrošināšanu pasliktinās.

Nopietns kaitējums ir nodarīts zinātnes un ražošanas komandu personāla potenciālam, kas darbojas informācijas tehnoloģiju, telekomunikāciju un sakaru veidošanas jomā, kā rezultātā šo grupu viskvalificētākie speciālisti masveidā aizbrauca.

Iekšzemes informācijas tehnoloģiju atpalicība liek Krievijas Federācijas valsts iestādēm, veidojot informācijas sistēmas, iet importēto iekārtu iegādes ceļu un piesaistīt ārvalstu uzņēmumus, kas palielina neatļautas piekļuves iespējamību apstrādātajai informācijai un palielina Krievijas atkarību no ārvalstu ražotājiem. datoru un telekomunikāciju iekārtu, kā arī programmatūras nodrošināšana.

Saistībā ar ārvalstu informācijas tehnoloģiju intensīvu ieviešanu indivīda, sabiedrības un valsts darbības sfērās, kā arī ar plašu atvērto informācijas un telekomunikāciju sistēmu izmantošanu, vietējo un starptautisko informācijas sistēmu integrāciju, draudiem “informācijas ieroču” izmantošana pret Krievijas informācijas infrastruktūru ir palielinājusies. Centieni pienācīgi un visaptveroši novērst šos draudus tiek veikti ar nepietiekamu koordināciju un vāju budžeta finansējumu.

Kontroles jautājumi

1. Kāda ir informācijas drošības vieta valsts ekonomiskās drošības sistēmā? Parādiet ar piemēriem informācijas drošības nozīmi valsts ekonomiskās drošības nodrošināšanā?

2. Kāds ir iemesls informācijas drošības nozīmes pieaugumam mūsdienu periodā?

3. Aprakstiet galvenās informācijas drošības kategorijas: informācija, informatizācija, dokuments, informācijas process, informācijas sistēma, informācijas resursi, personas dati, konfidenciāla informācija.

4. Kādas ir indivīda, sabiedrības un valsts intereses informācijas jomā?

5. Kādi ir informācijas drošības draudu veidi?

6. Nosauciet draudu ietekmes veidus uz informācijas drošības objektiem.

7. Izskaidrojiet jēdzienu "informācijas karš".

8. Saraksts ārējie avoti draudus Krievijas informācijas drošībai.

9. Uzskaitiet iekšējos informācijas drošības apdraudējumu avotus Krievijā.

10. Kādi noteikumi nodrošina informācijas drošību Krievijas Federācijas teritorijā?

11. Kādus starptautiskos noteikumus informācijas aizsardzības jomā jūs zināt?

12. Kāda ir valsts informācijas drošības politikas būtība?

13. Uzskaitiet informācijas drošības nodrošināšanas metodes.

14. Aprakstiet valsts informācijas aizsardzības sistēmas struktūru

15. Sniedziet novērtējumu par informācijas drošības stāvokli Krievijā.

Informācijas drošības politika.

1. Vispārīgie noteikumi

Šī informācijas drošības politika ( Tālāk - Politika ) definē viedokļu sistēmu par informācijas drošības nodrošināšanas problēmu un ir sistemātisks mērķu un uzdevumu izklāsts, kā arī organizatoriskie, tehnoloģiskie un procesuālie aspekti informācijas infrastruktūras objektu informācijas drošības nodrošināšanai, ieskaitot informācijas kopumu centriem, datu bankām un organizācijas sakaru sistēmām. Šī politika ir izstrādāta, ņemot vērā spēkā esošo Krievijas Federācijas tiesību aktu prasības un tūlītējās informācijas infrastruktūras objektu attīstības perspektīvas, kā arī mūsdienu organizatorisko un tehnisko metožu un aparatūras un programmatūras īpašības informācijas aizsardzībai. .

Politikas galvenie noteikumi un prasības attiecas uz visām organizācijas struktūrvienībām.

Politika ir metodisks pamats vienotas politikas veidošanai un īstenošanai informācijas infrastruktūras objektu informācijas drošības nodrošināšanas jomā, pieņemot saskaņotus vadības lēmumus un izstrādājot praktiskus pasākumus, kuru mērķis ir nodrošināt informācijas drošību, koordinējot struktūrvienību darbības. organizācija, veicot darbu pie informācijas objektu izveides, attīstības un ekspluatācijas infrastruktūras izveidošanas, ievērojot informācijas drošības prasības.

Politika nereglamentē jautājumus par telpu aizsardzības organizēšanu un informācijas infrastruktūras sastāvdaļu drošības un fiziskās integritātes nodrošināšanu, aizsardzību pret dabas katastrofām un elektroapgādes sistēmas kļūmēm, tomēr tā paredz informācijas izveidi. drošības sistēmu uz tāda paša konceptuāla pamata kā visas organizācijas drošības sistēma.

Politikas īstenošanu nodrošina atbilstošas vadlīnijas, noteikumi, procedūras, instrukcijas, vadlīnijas un informācijas drošības novērtēšanas sistēma organizācijā.

Politika izmanto šādus terminus un definīcijas:

Automatizēta sistēma ( AS) — sistēma, kas sastāv no personāla un līdzekļu kopuma to darbību automatizēšanai, kas ievieš informācijas tehnoloģijas noteikto funkciju veikšanai.

Informācijas infrastruktūra- organizatorisko struktūru sistēma, kas nodrošina informācijas telpas un informācijas mijiedarbības līdzekļu darbību un attīstību. Informācijas infrastruktūrā ietilpst informācijas centru kopums, datu un zināšanu bankas, sakaru sistēmas, un tā nodrošina patērētājiem piekļuvi informācijas resursiem.

Informācijas resursi ( IR) - tie ir atsevišķi dokumenti un atsevišķi dokumentu masīvi, dokumenti un dokumentu masīvi informācijas sistēmās ( bibliotēkas, arhīvi, fondi, datubāzes un citas informācijas sistēmas).

Informācijas sistēma (IP) - informācijas apstrādes sistēma un ar to saistītie organizatoriskie resursi ( cilvēku, tehniski, finansiāli utt.), kas sniedz un izplata informāciju.

Drošība - interešu aizsardzības stāvoklis ( mērķus) organizācijām, saskaroties ar draudiem.

Informācijas drošība ( IB) — drošība, kas saistīta ar draudiem informācijas jomā. Drošība tiek panākta, nodrošinot IS īpašību kopumu - informācijas aktīvu pieejamību, integritāti, konfidencialitāti. IS īpašumu prioritāti nosaka šo aktīvu vērtība interesēm ( mērķus) organizācija.

Informācijas līdzekļu pieejamība - organizācijas IS īpašums, kas sastāv no fakta, ka informācijas līdzekļi tiek sniegti pilnvarotam lietotājam, un tādā formā un vietā, kāda nepieciešama lietotājam, un laikā, kad viņam tie ir nepieciešami.

Informācijas līdzekļu integritāte - organizācijas informācijas drošības īpašums saglabāt nemainīgu vai labot konstatētās izmaiņas tās informācijas līdzekļos.

Informācijas līdzekļu konfidencialitāte - organizācijas informācijas drošības īpašums, kas sastāv no tā, ka informācijas aktīvu apstrāde, uzglabāšana un pārsūtīšana tiek veikta tā, lai informācijas līdzekļi būtu pieejami tikai autorizētiem lietotājiem, sistēmas objektiem vai procesiem.

Informācijas drošības sistēma ( NIB) — aizsardzības pasākumu, aizsardzības līdzekļu un to darbības procesu kopums, ieskaitot resursu un administratīvos ( organizatoriski) drošība.

Neatļauta piekļuve- piekļuve informācijai, pārkāpjot darbinieka oficiālās pilnvaras, piekļuve informācijai, kas ir slēgta publiskai pieejamībai personām, kurām nav atļaujas piekļūt šai informācijai vai piekļūt informācijai, ko veic persona, kurai ir tiesības piekļūt šai informācijai apmērā, kas pārsniedz dienesta pienākumu izpildei nepieciešamo summu.

2. Vispārīgas prasības informācijas drošībai

Informācijas drošības prasības ( Tālāk -IB ) nosaka organizācijas darbības saturu un mērķus IS vadības procesu ietvaros.

Šīs prasības ir formulētas šādām jomām:

lomu piešķiršana un sadale un uzticēšanās personālam;
informācijas infrastruktūras objektu dzīves cikla posmi;
aizsardzība pret nesankcionētu piekļuvi ( Tālāk - NSD ), piekļuves kontrole un reģistrācija automatizētās sistēmās, telekomunikāciju iekārtās un automātiskās telefona centrāles utt.;
pretvīrusu aizsardzība;
interneta resursu izmantošana;
kriptogrāfiskās informācijas aizsardzības līdzekļu izmantošana;
personas datu aizsardzība.

3. Aizsargājamie objekti

Galvenie aizsargājamie objekti ir:

informācijas resursi uzrāda dokumentu un informācijas masīvu veidā neatkarīgi no to pasniegšanas formas un veida, ieskaitot konfidenciālu un atklātu informāciju;
informācijas resursu veidošanas, izplatīšanas un izmantošanas sistēma, bibliotēkas, arhīvi, datubāzes un datu bankas, informācijas tehnoloģijas, noteikumi un procedūras informācijas vākšanai, apstrādei, glabāšanai un pārsūtīšanai, tehniskais un apkalpojošais personāls;
informācijas infrastruktūru, ieskaitot informācijas apstrādes un analīzes sistēmas, aparatūru un programmatūru tās apstrādei, pārraidei un attēlošanai, ieskaitot informācijas apmaiņas un telekomunikāciju kanālus, sistēmas un informācijas drošības sistēmas, iekārtas un telpas, kurās atrodas informācijas infrastruktūras sastāvdaļas.

3.1. Automatizētās sistēmas iezīmes

ĀS apritē dažādu kategoriju informācija. Aizsargāto informāciju var koplietot dažādi lietotāji no viena korporatīvā tīkla apakštīkla.

Vairākas AS apakšsistēmas nodrošina mijiedarbību ar ārējiem ( valsts un tirdzniecības, krievu un ārvalstu) organizācijas ieslēgtos un īpašos saziņas kanālos, izmantojot īpašus informācijas pārraides līdzekļus.

ĀS tehnisko līdzekļu kompleksā ietilpst datu apstrādes līdzekļi ( darbstacijas, datu bāzes serveri, pasta serveri utt.), datu apmaiņas līdzekļi lokālajos tīklos ar iespēju piekļūt globālajiem tīkliem ( kabeļi, tilti, vārtejas, modemi utt.), kā arī uzglabāšanas telpas ( t.sk. arhivēšana) dati.

ĀS darbības galvenās iezīmes ir šādas:

nepieciešamība apvienot lielu skaitu dažādu tehnisko līdzekļu informācijas apstrādei un pārsūtīšanai vienā sistēmā;
dažādi uzdevumi un apstrādāto datu veidi;
apvienojot informāciju dažādiem mērķiem, piederības un konfidencialitātes līmeņiem vienā datu bāzē;
pieslēguma kanālu pieejamība ārējiem tīkliem;
darbības nepārtrauktība;
apakšsistēmu klātbūtne ar atšķirīgām drošības līmeņa prasībām, fiziski apvienotas vienā tīklā;
dažādu kategoriju lietotāji un apkalpojošais personāls.

Vispārīgi runājot, viena AS ir apakšnodaļu lokālo tīklu kopums, kas ir savstarpēji savienoti ar telekomunikāciju līdzekļiem. Katrs lokālais tīkls apvieno vairākas savstarpēji saistītas un mijiedarbojošas automatizētas apakšsistēmas ( tehnoloģiskās vietnes), nodrošinot problēmu risināšanu ar atsevišķām organizācijas struktūrvienībām.

Informatizācijas objekti ietver:

tehnoloģiskās iekārtas ( datoru iekārtas, tīkla un kabeļu iekārtas);
informācijas resursi;
programmatūra ( operētājsistēmas, datu bāzes pārvaldības sistēmas, vispārējā sistēma un lietojumprogrammatūra);
automatizētas sakaru un datu pārraides sistēmas (telekomunikācijas);
savienojuma kanāli;
biroja telpas.

3.2. Aizsargājamo organizācijas informācijas līdzekļu veidi

Organizācijas AS apakšsistēmās cirkulē dažāda līmeņa konfidencialitātes informācija, kas satur ierobežotas izplatīšanas informāciju ( pakalpojumu, komerciālos, personas datus) un atklātu informāciju.

ĀS dokumentu plūsmā ir:

maksājuma uzdevumi un finanšu dokumenti;
ziņojumi ( finanšu, analītiskie utt.);
informācija par personīgajiem kontiem;
Personīgā informācija;
cita ierobežotas izplatīšanas informācija.

Visa informācija, kas cirkulē ĀS un ir iekļauta šāda veida informācijas līdzekļos, ir aizsargāta:

informācija, kas ir komerciāls un oficiāls noslēpums, kurai piekļuvi ierobežo organizācija kā informācijas īpašnieks saskaņā ar federālo likumu " Par informāciju, informatizāciju un informācijas aizsardzību "Tiesības un federālais likums" Par komercnoslēpumiem »;
personas dati, kuriem piekļuve ir ierobežota saskaņā ar federālo likumu " Par personas datiem »;
atvērtu informāciju, lai nodrošinātu informācijas integritāti un pieejamību.

3.3. Automatizētās sistēmas lietotāju kategorijas

Organizācijā ir daudz lietotāju un apkalpojošā personāla kategoriju, kurām jābūt dažādām pilnvarām, lai piekļūtu ĀS informācijas resursiem:

parastajiem lietotājiem ( galalietotājiem, organizatorisko vienību darbiniekiem);
servera administratori ( failu serveri, lietojumprogrammu serveri, datu bāzes serveri), lokālos tīklus un lietojumprogrammu sistēmas;
sistēmas programmētāji ( atbildīgs par vispārējās programmatūras uzturēšanu) lietotāju serveros un darbstacijās;
lietojumprogrammu izstrādātāji;
speciālisti datortehnikas tehnisko līdzekļu uzturēšanā;
informācijas drošības administratori utt.

3.4. Automatizētās sistēmas galveno komponentu ievainojamība

Visneaizsargātākie ĀS komponenti ir tīkla darbstacijas - automatizētas darbstacijas ( Tālāk - AWP ) strādnieki. Mēģinājumi neatļauti piekļūt informācijai vai mēģinājumi veikt neatļautas darbības ( neapzināti un apzināti) datortīklā. Darbstaciju aparatūras un programmatūras konfigurācijas pārkāpumi un nelikumīga iejaukšanās to darbības procesos var izraisīt informācijas bloķēšanu, neiespējamu savlaicīgu svarīgu uzdevumu risināšanu un atsevišķu darbstaciju un apakšsistēmu kļūmi.

Tīkla elementiem, piemēram, īpašiem failu serveriem, datu bāzes serveriem un lietojumprogrammu serveriem, nepieciešama īpaša aizsardzība. Apmaiņas protokolu un piekļuves serveru resursiem diferencēšanas līdzekļu trūkumi var ļaut neatļauti piekļūt aizsargātai informācijai un ietekmēt dažādu apakšsistēmu darbību. Šajā gadījumā mēģinājumus var veikt kā tālvadības pulti ( no tīkla stacijām) un tiešais ( no servera konsoles) ietekme uz serveru darbību un to aizsardzību.

Aizsardzība nepieciešama arī tiltiem, vārtejām, centrmezgliem, maršrutētājiem, slēdžiem un citām tīkla ierīcēm, saitēm un sakariem. Ieejotāji tos var izmantot, lai pārstrukturētu un dezorganizētu tīkla darbības, pārtvertu pārsūtīto informāciju, analizētu trafiku un ieviestu citas metodes, kā traucēt datu apmaiņas procesus.

4. Informācijas drošības pamatprincipi

4.1. Vispārīgi drošas ekspluatācijas principi

Problēmu noteikšanas savlaicīgums. Organizācijai vajadzētu savlaicīgi atklāt problēmas, kas varētu ietekmēt tās uzņēmējdarbības mērķus.
Problēmu attīstības paredzamība. Organizācijai jāidentificē iespējamo problēmu cēloņsakarība un, pamatojoties uz to, jāveido precīza to attīstības prognoze.
Problēmu ietekmes uz biznesa mērķiem novērtēšana. Organizācija adekvāti novērtē konstatēto problēmu ietekmi.
Aizsardzības pasākumu atbilstība. Organizācijai jāizvēlas aizsardzības pasākumi, kas ir piemēroti draudu un pārkāpēju modeļiem, ņemot vērā šādu pasākumu īstenošanas izmaksas un iespējamo zaudējumu apmēru no draudu ieviešanas.
Aizsardzības pasākumu efektivitāte. Organizācija efektīvi īsteno veiktos aizsardzības pasākumus.
Pieredzes izmantošana lēmumu pieņemšanā un īstenošanā. Organizācijai vajadzētu uzkrāt, vispārināt un izmantot gan savu, gan citu organizāciju pieredzi visos lēmumu pieņemšanas un to īstenošanas līmeņos.
Drošas ekspluatācijas principu nepārtrauktība. Organizācija nodrošina drošas ekspluatācijas principu īstenošanas nepārtrauktību.
Aizsardzības pasākumu vadāmība. Organizācijai jāpiemēro tikai tie aizsardzības pasākumi, par kuriem var pārbaudīt, vai tie darbojas pareizi, un organizācijai regulāri jānovērtē drošības pasākumu atbilstība un to īstenošanas efektivitāte, ņemot vērā drošības pasākumu ietekmi uz organizācijas uzņēmējdarbības mērķiem.

4.2. Īpaši principi informācijas drošības nodrošināšanai

Īpašu informācijas drošības principu ieviešana ir vērsta uz informācijas drošības pārvaldības procesu brieduma līmeņa paaugstināšanu organizācijā.
Mērķu definīcija. Organizācijas funkcionālie un informācijas drošības mērķi ir skaidri jānosaka iekšējā dokumentā. Neskaidrība noved pie tā, ka " neskaidrība”Organizācijas struktūra, personāla lomas, informācijas drošības politika un neiespējamība novērtēt veikto aizsardzības pasākumu atbilstību.
Zinot savus klientus un darbiniekus. Organizācijai ir jābūt informācijai par saviem klientiem, rūpīgi jāizvēlas personāls ( strādnieki), attīstīt un uzturēt korporatīvo ētiku, kas rada labvēlīgu vidi uzticības aktīvu pārvaldīšanas organizācijas darbībai.
Personifikācija un adekvāts lomu un pienākumu sadalījums. Organizācijas ierēdņu atbildībai par lēmumiem, kas saistīti ar tās aktīviem, jābūt personificētai un jāpilda galvenokārt galvojuma veidā. Tam vajadzētu būt atbilstošam ietekmes pakāpei uz organizācijas mērķiem, būt fiksētam politikā, kontrolēt un uzlabot.
Lomu atbilstība funkcijām un procedūrām un to salīdzināmība ar kritērijiem un novērtēšanas sistēmu. Lomām pienācīgi jāatspoguļo veicamās funkcijas un organizācijas procedūras to īstenošanai. Piešķirot savstarpēji saistītas lomas, jāņem vērā nepieciešamā to izpildes secība. Šai lomai jāatbilst tās īstenošanas efektivitātes novērtēšanas kritērijiem. Lomas galveno saturu un kvalitāti faktiski nosaka tai piemērotā novērtēšanas sistēma.
Pakalpojumu un pakalpojumu pieejamība. Organizācijai saviem klientiem un darbuzņēmējiem jānodrošina pakalpojumu un pakalpojumu pieejamība noteiktajos termiņos, kas noteikti attiecīgajos līgumos ( līgumiem) un / vai citus dokumentus.
Informācijas drošības novērojamība un novērtējamība. Visi ierosinātie aizsardzības pasākumi jāprojektē tā, lai to piemērošanas rezultāts būtu acīmredzams, caurspīdīgs), un to varētu novērtēt organizācijas nodaļa ar atbilstošu iestādi.

5. Informācijas drošības mērķi un uzdevumi

5.1. Informācijas attiecību priekšmeti automatizētajā sistēmā

Tiesisko attiecību subjekti, lietojot ĀS un nodrošinot informācijas drošību, ir:

Organizācija kā informācijas resursu īpašnieks;
AES darbību nodrošinošās organizācijas apakšnodaļas;
organizācijas strukturālo nodaļu darbinieki kā ĀS informācijas lietotāji un sniedzēji saskaņā ar tiem uzticētajām funkcijām;
juridiskas un fiziskas personas, par kurām informācija tiek uzkrāta, glabāta un apstrādāta AS;
citas juridiskas un fiziskas personas, kas iesaistītas ĀS izveidē un darbībā ( sistēmas komponentu izstrādātāji, organizācijas, kas iesaistītas dažādu pakalpojumu sniegšanā informācijas tehnoloģiju jomā utt.).

Uzskaitītie informācijas attiecību priekšmeti ir ieinteresēti nodrošināt:

noteiktas informācijas konfidencialitāte;
uzticamība ( pilnīgums, precizitāte, atbilstība, integritāte) informācija;
aizsardzība pret nepatiesu uzspiešanu ( neuzticams, sagrozīts) informācija;
savlaicīga piekļuve nepieciešamajai informācijai;
atbildības diferencēšana par likumīgo tiesību pārkāpumiem ( intereses) citi informācijas attiecību priekšmeti un noteiktie noteikumi informācijas apstrādei;
iespēja nepārtraukti uzraudzīt un pārvaldīt informācijas apstrādes un pārsūtīšanas procesus;
aizsargāt daļu informācijas no tās nelikumīgas replikācijas ( autortiesību aizsardzība, informācijas īpašnieka tiesības utt.).

5.2. Informācijas drošības mērķis

Galvenais informācijas drošības nodrošināšanas mērķis ir aizsargāt informācijas attiecību subjektus no iespējamiem materiāliem, morāliem vai citiem kaitējumiem, ko viņiem var radīt nejauša vai apzināta neatļauta iejaukšanās ĀS darbības procesā vai nesankcionēta piekļuve tajā cirkulējošajai informācijai un tās nelikumīgajai darbībai. izmantot.

Šis mērķis tiek sasniegts, nodrošinot un pastāvīgi uzturot šādas informācijas īpašības un automatizētu sistēmu tās apstrādei:

apstrādātās informācijas pieejamība reģistrētiem lietotājiem;
noteiktas informācijas daļas, kas tiek glabāta, apstrādāta un pārsūtīta, izmantojot saziņas kanālus, konfidencialitāte;
saziņas kanālos saglabātās, apstrādātās un pārraidītās informācijas integritāte un autentiskums.

5.3. Informācijas drošības mērķi

Lai sasniegtu galveno mērķi nodrošināt informācijas drošību, AES informācijas drošības sistēmai jānodrošina efektīvs risinājums šādiem uzdevumiem:

aizsardzība pret nepiederošu personu iejaukšanos ĀS darbības procesā;
reģistrēto lietotāju piekļuves diferencēšana ĀS aparatūrai, programmatūrai un informācijas resursiem, tas ir, aizsardzība pret nesankcionētu piekļuvi;
lietotāju darbību reģistrēšana, izmantojot sistēmas žurnālos aizsargātus AS resursus, un periodiska sistēmas lietotāju darbību pareizības kontrole, drošības departamentu speciālistu analizējot šo žurnālu saturu;
aizsardzība pret neatļautu pārveidošanu un integritātes kontrole ( nemainīguma nodrošināšana) programmu izpildes vide un tās atjaunošana pārkāpuma gadījumā;
aizsardzība pret nesankcionētu modifikāciju un ĀS izmantotās programmatūras integritātes kontrole, kā arī sistēmas aizsardzība pret neatļautu programmu, tostarp datorvīrusu, ieviešanu;
informācijas aizsardzība pret noplūdi pa tehniskajiem kanāliem tās apstrādes, uzglabāšanas un pārraides laikā, izmantojot sakaru kanālus;
pa saziņas kanāliem uzglabātās, apstrādātās un pārsūtītās informācijas aizsardzība pret neatļautu izpaušanu vai izkropļojumiem;
lietotāju autentifikācijas nodrošināšana, kas piedalās informācijas apmaiņā;
nodrošināt kriptogrāfijas informācijas aizsardzības rīku izdzīvošanu, ja tiek apdraudēta daļa no galvenās sistēmas;
savlaicīga informācijas drošības apdraudējumu avotu, cēloņu un apstākļu identificēšana, kas veicina kaitējumu ieinteresētajām informācijas attiecību tēmām, mehānisma izveidošana ātrai reaģēšanai uz draudiem informācijas drošībai un negatīvām tendencēm;
radot apstākļus, lai samazinātu un lokalizētu kaitējumu, ko rada fizisku un juridisku personu nelikumīga rīcība, vājinot negatīvo ietekmi un novēršot informācijas drošības pārkāpuma sekas.

5.4. Informācijas drošības problēmu risināšanas veidi

Tiek panākts informācijas drošības problēmu risinājums:

stingra visu sistēmas resursu uzskaite, uz kuriem attiecas aizsardzība ( informāciju, uzdevumus, saziņas kanālus, serverus, AWP);
informācijas apstrādes procesu un organizācijas struktūrvienību darbinieku darbību regulēšana, kā arī personāla darbības, kas veic atomelektrostacijas programmatūras un aparatūras apkopi un pārveidošanu, pamatojoties uz organizatoriskiem un administratīviem dokumentiem par informācijas drošību;
informācijas drošības organizatorisko un administratīvo dokumentu prasību pilnīgums, patiesa iespējamība un konsekvence;
tādu darbinieku iecelšana un apmācība, kuri ir atbildīgi par praktisku pasākumu organizēšanu un īstenošanu informācijas drošības nodrošināšanai;
pilnvarot katru darbinieku ar minimālajām pilnvarām, kas nepieciešamas viņa funkcionālo pienākumu veikšanai, piekļūt AES resursiem;
skaidras zināšanas un stingra ievērošana visiem darbiniekiem, kuri izmanto un uztur kodolelektrostacijas aparatūru un programmatūru, informācijas drošības organizatorisko un administratīvo dokumentu prasības;
personīga atbildība par katra darbinieka rīcību, ja katrs darbinieks savu funkcionālo pienākumu ietvaros piedalās automatizētās informācijas apstrādes procesos un kuram ir piekļuve ĀS resursiem;
informācijas apstrādes tehnoloģisko procesu ieviešana, izmantojot organizatorisko un tehnisko pasākumu kompleksus programmatūras, aparatūras un datu aizsardzībai;
efektīvu pasākumu pieņemšana, lai nodrošinātu tehniskā aprīkojuma fizisko integritāti un nepārtrauktu vajadzīgā AES komponentu aizsardzības līmeņa uzturēšanu;
tehniskā pielietošana ( programmatūra un aparatūra) līdzekļi sistēmas resursu aizsardzībai un pastāvīgs administratīvs atbalsts to izmantošanai;
informācijas plūsmu norobežošana un ierobežotas izplatīšanas informācijas pārsūtīšanas aizliegums, izmantojot neaizsargātus sakaru kanālus;
efektīva kontrole pār to, kā darbinieki ievēro informācijas drošības prasības;
pastāvīga uzraudzība tīkla resursi, ievainojamību noteikšana, savlaicīga atklāšana un neitralizēšana ārējos un iekšējos draudus datortīkla drošībai;
organizācijas interešu tiesiskā aizsardzība pret nelikumīgām darbībām informācijas drošības jomā.
veicot nepārtrauktu veikto pasākumu un izmantoto informācijas aizsardzības līdzekļu efektivitātes un pietiekamības analīzi, izstrādājot un īstenojot priekšlikumus informācijas aizsardzības sistēmas uzlabošanai atomelektrostacijā.

6 informācijas drošības draudi

6.1. Informācijas drošības draudi un to avoti

Visbīstamākie draudi atomelektrostacijā apstrādātās informācijas drošībai ir:

konfidencialitātes pārkāpums ( atklāšana, noplūde) informācija, kas veido oficiālu vai komercnoslēpumu, tostarp personas dati;
nepareiza darbība ( darba dezorganizācija) ĀS, informācijas bloķēšana, tehnoloģisko procesu pārkāpšana, problēmu savlaicīgas risināšanas traucējumi;
integritātes pārkāpums ( sagrozīšana, aizstāšana, iznīcināšana) informāciju, programmatūru un citus ĀS resursus.

Galvenie AES informācijas drošības apdraudējumu avoti ir:

dabiski un cilvēka radīti nelabvēlīgi notikumi;
teroristi, noziedznieki;
datoru kibernoziedznieki, kas veic apzinātas destruktīvas darbības, tostarp to izmantošanu datoru vīrusi un cita veida ļaunprātīgus kodus un uzbrukumus;
programmatūras un aparatūras rīku, palīgmateriālu, pakalpojumu uc piegādātāji;
darbuzņēmēji, kas veic iekārtu uzstādīšanu, nodošanu ekspluatācijā un to remontu;
neatbilstība uzraudzības un pārvaldes institūciju prasībām, spēkā esošajiem tiesību aktiem;
programmatūras un aparatūras kļūmes, kļūmes, iznīcināšana / bojāšana;
darbinieki, kas ir likumīgi dalībnieki ĀS procesos un darbojas ārpus piešķirto pilnvaru robežām;
darbinieki, kuri ir likumīgi dalībnieki ĀS procesos un darbojas piešķirto pilnvaru ietvaros.

6.2. Nejaušas darbības, kas izraisa informācijas drošības pārkāpumus, un pasākumi to novēršanai

Organizācijas darbinieki, kuriem ir tieša piekļuve ĀS informācijas apstrādes procesiem, ir potenciāls nejaušu nejaušu darbību avots, kas var izraisīt informācijas drošības pārkāpumu.

Lielas neparedzētas darbības, kas izraisa informācijas drošības pārkāpumu (darbības, ko cilvēki veikuši nejauši, neziņas, neuzmanības vai nolaidības dēļ, aiz ziņkārības, bet bez ļauna nodoma) un pasākumi, lai novērstu šādas darbības un samazinātu to radīto kaitējumu 1. tabula.

1. tabula

Galvenās darbības, kas noved pie informācijas drošības pārkāpuma
Darbinieku darbības, kas izraisa daļēju vai pilnīgu sistēmas kļūmi vai aparatūras vai programmatūras darbības traucējumus; iekārtu atvienošana vai ierīču un programmu darbības režīmu maiņa; sistēmas informācijas resursu iznīcināšana ( netīšs aprīkojuma bojājums, programmu vai failu dzēšana, izkropļojumi svarīga informācija, ieskaitot sistēmas, sakaru kanālu bojājumus, nejaušus informācijas nesēju bojājumus utt.)	Organizatoriskie pasākumi ( ). Fizisko līdzekļu izmantošana, lai novērstu nejaušu pārkāpuma izdarīšanu. Tehniskā pielietošana ( aparatūru un programmatūru) līdzekļi, lai diferencētu piekļuvi resursiem. Kritisko resursu rezervēšana.
Neatļauta tādu programmu palaišana, kuras nekvalificēta izmantošana var izraisīt sistēmas veiktspējas zudumu ( sasalšana vai cilpa) vai veic neatgriezeniskas izmaiņas sistēmā ( datu nesēja formatēšana vai pārstrukturēšana, datu dzēšana utt.)	Organizatoriskie pasākumi ( visu potenciāli bīstamo programmu noņemšana no darbstacijas). Tehniskā pielietošana ( aparatūru un programmatūru) līdzekļus, lai diferencētu piekļuvi programmām darbstacijā.
Neatļauta neierakstītu programmu ieviešana un izmantošana ( azartspēles, apmācība, tehnoloģiskie un citi, kas nav nepieciešami, lai darbinieki varētu veikt savus dienesta pienākumus) ar sekojošu nepamatotu resursu izšķērdēšanu ( procesora laiks, brīvpiekļuves atmiņa, ārējā datu nesēja atmiņa utt.)	Organizatoriskie pasākumi ( aizliegumu noteikšana). Tehniskā pielietošana ( aparatūru un programmatūru) nozīmē neautorizētu programmu neatļautas ieviešanas un izmantošanas novēršanu.
Nejauša datora vīrusu infekcija	Organizatoriskie pasākumi ( darbību regulēšana, aizliegumu ieviešana). Tehnoloģiskie pasākumi ( īpašu programmu izmantošana vīrusu atklāšanai un iznīcināšanai). Aparatūras un programmatūras rīku izmantošana, kas novērš inficēšanos ar datorvīrusiem.
Piekļuves kontroles atribūtu izpaušana, nodošana vai zaudēšana ( paroles, šifrēšanas atslēgas vai elektroniskais paraksts, identifikācijas kartes, caurlaides utt.)	Organizatoriskie pasākumi ( darbību regulēšana, aizliegumu ieviešana, atbildības stiprināšana). Fizisko līdzekļu izmantošana, lai nodrošinātu norādīto detaļu drošību.
Ignorējot organizatoriskos ierobežojumus ( noteiktos noteikumus), strādājot sistēmā	Organizatoriskie pasākumi ( ). Papildu fizisku un tehnisku aizsardzības līdzekļu izmantošana.
Drošības personāls nekvalificēti izmanto, pielāgo vai nepareizi izslēdz aizsardzības līdzekļus	Organizatoriskie pasākumi ( personāla apmācība, atbildības un kontroles stiprināšana).
Ievadot kļūdainus datus	Organizatoriskie pasākumi ( palielināta atbildība un kontrole). Tehnoloģiski pasākumi datu ievades operatoru kļūdu kontrolei.

6.3. Apzinātas darbības, lai pārkāptu informācijas drošību, un pasākumi to novēršanai

Apzinātas pamata darbības ( savtīgos nolūkos, piespiedu kārtā, aiz vēlmes atriebties utt.), kā rezultātā tiek pārkāptas rūpnīcas informācijas drošība, un pasākumi to novēršanai un iespējamā nodarītā kaitējuma samazināšanai ir izklāstīti 2. tabula.

2. tabula

Galvenās apzinātās darbības, kas noved pie informācijas drošības pārkāpuma	Pasākumi, lai novērstu draudus un samazinātu kaitējumu
Visu vai dažu vissvarīgāko automatizētās sistēmas sastāvdaļu fiziska iznīcināšana vai darbnespēja ( ierīces, svarīgu nesēji sistēmas informācija, personāls utt.), apakšsistēmu atvienošana vai atspējošana, lai nodrošinātu skaitļošanas sistēmu darbību ( barošanas avots, sakaru līnijas utt.)	Organizatoriskie pasākumi ( darbību regulēšana, aizliegumu ieviešana). Fizisku līdzekļu izmantošana, kas novērš apzinātu pārkāpuma izdarīšanu. Kritisko resursu rezervēšana.
Aģentu iekļaušana sistēmas darbinieku skaitā ( tostarp par drošību atbildīgā administratīvā grupa), pieņemšana darbā ( ar kukuļošanu, šantāžu, draudiem utt.) lietotājiem, kuriem ir noteiktas tiesības piekļūt aizsargātajiem resursiem	Organizatoriskie pasākumi ( atlase, izvietošana un darbs ar personālu, kontroles un atbildības stiprināšana). Automātiska personāla darbību reģistrācija.
Informācijas nesēju zādzības ( izdrukas, magnētiskos diskus, lentes, atmiņas ierīces un veselus datorus), rūpniecisko atkritumu zādzības ( izdrukas, ieraksti, izmesti materiāli utt.)	Organizatoriskie pasākumi ( ).
Informācijas nesēju neatļauta kopēšana, atlikušās informācijas nolasīšana no brīvpiekļuves atmiņas un no ārējām atmiņas ierīcēm	Organizatoriskie pasākumi ( mediju ar aizsargātu informāciju uzglabāšanas un izmantošanas organizēšana). Tehnisku līdzekļu izmantošana, lai ierobežotu piekļuvi aizsargātajiem resursiem un automātiska dokumentu drukāto kopiju saņemšanas reģistrācija.
Nelikumīga paroļu un citas piekļuves kontroles informācijas saņemšana ( ar slepeniem līdzekļiem, izmantojot lietotāju nolaidību, ar atlasi, atdarinot sistēmas saskarni ar programmatūras grāmatzīmēm utt.), vēlāk maskējoties kā reģistrēts lietotājs.	Organizatoriskie pasākumi ( darbību regulēšana, aizliegumu ieviešana, darbs ar personālu). Tehnisko līdzekļu izmantošana, kas neļauj īstenot programmas, lai pārtvertu paroles, atslēgas un citas detaļas.
AWP neatļauta izmantošana lietotājiem ar unikālām fiziskām īpašībām, piemēram, darbstacijas skaitu tīklā, fizisko adresi, adresi sakaru sistēmā, aparatūras šifrēšanas vienību utt.	Organizatoriskie pasākumi ( stingrs regulējums attiecībā uz piekļuvi telpām un atļauju strādāt pie šiem AWP). Piekļuves kontroles fizisko un tehnisko līdzekļu pielietošana.
Programmatūras neatļauta modificēšana - programmatūras "grāmatzīmju" un "vīrusu" ieviešana ( Trojas zirgi un bugs), tas ir, tādas programmu sadaļas, kas nav vajadzīgas deklarēto funkciju īstenošanai, bet ļauj pārvarēt aizsardzības sistēmu, slepeni un nelikumīgi piekļūt sistēmas resursiem, lai reģistrētu un pārsūtītu aizsargātu informāciju vai dezorganizētu sistēmas darbību	Organizatoriskie pasākumi ( stingri reglamentē uzņemšanu darbā). Fizisko un tehnisko līdzekļu izmantošana, lai diferencētu piekļuvi un novērstu neatļautu AWP aparatūras un programmatūras konfigurācijas pārveidošanu. Programmatūras integritātes kontroles rīku pielietošana.
Ar sakaru kanāliem pārsūtīto datu pārtveršana, to analīze, lai iegūtu konfidenciālu informāciju un precizētu apmaiņas protokolus, noteikumus par iekļūšanu tīklā un lietotāju atļauju piešķiršanu, vēlāk mēģinot atdarināt to iekļūšanu sistēmā	Komunikācijas kanālu fiziskā aizsardzība. Pārsūtītās informācijas kriptogrāfiskās aizsardzības līdzekļu pielietošana.
Iejaukšanās sistēmas darbības procesā no publiskajiem tīkliem, lai neatļauti mainītu datus, piekļūtu konfidenciālai informācijai, dezorganizētu apakšsistēmu darbību utt.	Organizatoriskie pasākumi ( savienojuma un darbības regulēšana publiskajos tīklos). Īpašu tehnisku aizsardzības līdzekļu izmantošana ( ugunsmūri, drošības kontroles un uzbrukumi sistēmas resursiem, utt.).

6.4. Informācija noplūst pa tehniskajiem kanāliem

AES tehnisko līdzekļu darbības laikā ir iespējami šādi noplūdes kanāli vai informācijas integritātes pārkāpums, tehnisko līdzekļu darbības traucējumi:

informatīvā signāla sānu elektromagnētiskais starojums no tehniskiem līdzekļiem un informācijas pārraides līnijām;
informatīvā signāla uztveršana, izmantojot elektroniskos datorus, pie vadiem un līnijām, kas pārsniedz biroja kontrolēto zonu, t.sk. uz zemējuma un barošanas ķēdēm;
dažādas elektroniskas ierīces informācijas pārtveršanai ( t.sk. "Grāmatzīmes") savienots ar sakaru kanāliem vai tehniskiem informācijas apstrādes līdzekļiem;
informācijas apskate no displeja ekrāniem un citiem līdzekļiem tās attēlošanai, izmantojot optiskos līdzekļus;
ietekme uz aparatūru vai programmatūru, lai pārkāptu integritāti ( iznīcināšana, sagrozīšana) informāciju, tehnisko līdzekļu, informācijas drošības līdzekļu izmantojamību un informācijas apmaiņas savlaicīgumu, tostarp elektromagnētisko, izmantojot īpaši ieviestus elektroniskos un programmatūras rīkus ( "Grāmatzīmes").

Ņemot vērā apstrādes specifiku un informācijas drošības nodrošināšanu, konfidenciālas informācijas noplūdes draudi ( ieskaitot personas datus), izmantojot tehniskos kanālus, organizācijai nav nozīmes.

6.5. Iespējamā iebrucēja neformālais modelis

Likumpārkāpējs ir persona, kas mēģinājusi veikt aizliegtas darbības ( darbība) kļūdas, nezināšanas vai apzinātas ļaunprātības dēļ ( aiz interesēm) vai bez tā ( rotaļās vai izpriecās, pašapliecināšanās nolūkos utt.) un tam izmantojot dažādas iespējas, metodes un līdzekļus.

AES aizsardzības sistēmai jābalstās uz pieņēmumiem par šādiem iespējamiem sistēmas pārkāpēju veidiem ( ņemot vērā personu kategoriju, motivāciju, kvalifikāciju, īpašu līdzekļu pieejamību utt.):

« Nepieredzējis (neuzmanīgs) lietotājs»- darbinieks, kurš var mēģināt veikt aizliegtas darbības, piekļūt ĀS aizsargātajiem resursiem, pārsniedzot savas pilnvaras, ievadīt nepareizus datus utt. darbības kļūdas, nekompetences vai nolaidības dēļ bez ļauna nodoma un izmantojot tikai standarta ( viņam pieejams) aparatūru un programmatūru.
« Mīļākais"- darbinieks, kurš mēģina pārvarēt aizsardzības sistēmu bez savtīgiem mērķiem un ļaunprātīgiem nodomiem, pašapliecināšanai vai no" interese par sportu". Lai pārvarētu aizsardzības sistēmu un veiktu aizliegtas darbības, viņš var izmantot dažādas metodes iegūt papildu pilnvaras piekļūt resursiem ( vārdi, paroles utt. citiem lietotājiem), nepilnības aizsardzības sistēmas uzbūvē un pieejamā personālā ( instalēta darbstacijā) programmas ( neatļautas darbības, pārsniedzot pilnvaras izmantot atļautos līdzekļus). Turklāt viņš var mēģināt izmantot papildu nestandarta instrumentālo un tehnoloģisko programmatūru ( atkļūdotāji, komunālie pakalpojumi), neatkarīgi izstrādātas programmas vai standarta papildu tehniskie līdzekļi.
« Krāpnieks"- darbinieks, kurš var mēģināt veikt nelikumīgas tehnoloģiskas darbības, ievadīt viltotus datus un tamlīdzīgas darbības savtīgos nolūkos, piespiedu kārtā vai ļaunprātīga nolūka dēļ, bet izmantojot tikai regulāru ( instalēta darbstacijā un tai pieejama) aparatūru un programmatūru savā vai cita darbinieka vārdā ( zinot viņa vārdu un paroli, izmantojot īslaicīgu prombūtni no darba vietas utt.).
« Ārējais iebrucējs (iebrucējs)»- nepiederošs cilvēks vai bijušais darbinieks, kas mērķtiecīgi rīkojas savtīgu interešu, atriebības vai zinātkāres dēļ, iespējams, slepeni sadarbojoties ar citiem. Viņš var izmantot visu informācijas drošības pārkāpšanas metožu kopumu, metodes un līdzekļus, kā pārkāpt publiskajiem tīkliem raksturīgās drošības sistēmas ( īpaši uz IP balstītus tīklus), ieskaitot programmatūras grāmatzīmju attālinātu ieviešanu un īpašu instrumentālu un tehnoloģisku programmu izmantošanu, izmantojot esošos apmaiņas protokolu trūkumus un organizācijas AS tīkla mezglu aizsardzības sistēmu.
« Iekšējais uzbrucējs»- darbinieks, kas reģistrēts kā sistēmas lietotājs, mērķtiecīgi rīkojoties savtīgu interešu vai atriebības dēļ, iespējams, slepeni sadarbojoties ar personām, kuras nav organizācijas darbinieki. Viņš var izmantot visu drošības sistēmas uzlaušanas metožu un līdzekļu kopumu, tostarp slepenas piekļuves detaļu iegūšanas metodes, pasīvos līdzekļus (pārtveršanas tehniskos līdzekļus, nemainot sistēmas komponentus), aktīvās ietekmes metodes un līdzekļus ( tehnisko līdzekļu pārveidošana, savienojums ar datu pārraides kanāliem, programmatūras grāmatzīmju ieviešana un īpašu instrumentālo un tehnoloģisko programmu izmantošana), kā arī ietekmju kombinācija gan no iekšējiem, gan no publiskajiem tīkliem.

Iekšējā informācija var būt persona no šādām personāla kategorijām:

reģistrētie ĀS galalietotāji ( nodaļu un filiāļu darbinieki);
darbinieki, kuriem nav atļauts strādāt ar ĀS;
personāls, kas apkalpo atomelektrostacijas tehniskos līdzekļus ( inženieri, tehniķi);
programmatūras izstrādes un uzturēšanas nodaļu darbinieki ( lietojumprogrammu un sistēmu programmētāji);
tehniskais personāls, kas apkalpo organizācijas ēkas un telpas ( tīrītājus, elektriķus, santehniķus un citus darbiniekus, kuriem ir pieeja ēkām un telpām, kur atrodas skaļruņu sastāvdaļas);
dažāda līmeņa vadītāji.

atlaisti darbinieki;
organizāciju pārstāvji, kas mijiedarbojas par jautājumiem, kas saistīti ar organizācijas dzīves nodrošināšanu ( enerģija, ūdens, siltumapgāde utt.);
uzņēmumu pārstāvji, kas piegādā aprīkojumu, programmatūru, pakalpojumus utt.;
noziedzīgu organizāciju un konkurējošu komerciālu struktūru locekļi vai personas, kas darbojas to vārdā;
personas, kuras nejauši vai apzināti iekļuvušas tīklā no ārējiem tīkliem ( "Hakeri").

Lietotājiem un apkopes personālam no darbiniekiem ir visplašākās iespējas veikt neatļautas darbības, jo viņiem ir noteiktas tiesības piekļūt resursiem un labas zināšanas informācijas apstrādes tehnoloģijas. Šīs pārkāpēju grupas darbības ir tieši saistītas ar esošo noteikumu un noteikumu pārkāpšanu. Šī pārkāpēju grupa ir īpaši bīstama, mijiedarbojoties ar noziedzīgām struktūrām.

Atlaistie darbinieki var izmantot savas zināšanas par darba tehnoloģiju, aizsardzības pasākumiem un piekļuves tiesībām, lai sasniegtu savus mērķus.

Noziedzīgās struktūras ir agresīvākais ārējo draudu avots. Lai īstenotu savus plānus, šīs struktūras var atklāti pārkāpt likumu un iesaistīt organizācijas darbiniekus savā darbībā ar visiem tiem pieejamajiem spēkiem un līdzekļiem.

Hakeriem ir visaugstākā tehniskā kvalifikācija un zināšanas par ĀS izmantotās programmatūras trūkumiem. Tie rada vislielākos draudus, mijiedarbojoties ar strādājošiem vai atlaistiem darbiniekiem un noziedzīgām struktūrām.

Organizācijas, kas nodarbojas ar iekārtu un informācijas sistēmu izstrādi, piegādi un remontu, rada ārējus draudus, jo tām reizēm ir tieša piekļuve informācijas resursiem. Kriminālās struktūras var izmantot šīs organizācijas savu biedru pagaidu nodarbināšanai, lai piekļūtu aizsargātai informācijai.

7. Tehniskā politika informācijas drošības jomā

7.1. Tehniskās politikas galvenie noteikumi

Tehniskās politikas īstenošanai informācijas drošības jomā jābalstās uz pieņēmumu, ka nav iespējams nodrošināt nepieciešamo informācijas drošības līmeni ne tikai ar viena atsevišķa līdzekļa palīdzību ( aktivitāte), bet arī ar to vienkāršās kombinācijas palīdzību. Viņu sistēmiskā koordinācija ir nepieciešama ( sarežģīts pielietojums), un atsevišķi atomelektrostacijas izstrādātie elementi būtu jāuzskata par daļu no vienotas informācijas sistēmas ar aizsargātu dizainu ar optimāla attiecība tehnisks ( aparatūra, programmatūra) līdzekļi un organizatoriskie pasākumi.

AES informācijas drošības nodrošināšanas tehniskās politikas īstenošanas galvenie virzieni ir nodrošināt informācijas resursu aizsardzību pret zādzībām, nozaudēšanu, noplūdi, iznīcināšanu, izkropļojumiem vai viltošanu neatļautas piekļuves un īpašas ietekmes dēļ.

Informācijas drošības nodrošināšanas tehniskās politikas norādīto norādījumu ietvaros tiek veiktas šādas darbības:

atļauju sistēmas ieviešana izpildītāju uzņemšanai ( lietotāji, apkalpojošais personāls) darbiem, dokumentiem un konfidenciāla rakstura informācijai;
ierobežojot izpildītāju un nepiederošu personu piekļuvi ēkām un telpām, kurās tiek veikts konfidenciāls darbs, kā arī informatizācijas un saziņas līdzekļi, uz kuriem ( uzglabāts, pārsūtīts) konfidenciāla informācija, tieši uz pašiem informatizācijas un saziņas līdzekļiem;
lietotāju un apkalpojošā personāla piekļuves diferencēšana informācijas resursiem, programmatūra informācijas apstrādei un aizsardzībai dažādu līmeņu un mērķu apakšsistēmās, kas iekļautas ĀS;
dokumentu, informācijas masīvu reģistrācija, lietotāju un apkalpojošā personāla darbību reģistrācija, lietotāju, apkalpojošā personāla un nepiederošo personu neatļautas piekļuves un darbību kontrole;
novērst vīrusu programmu, programmatūras grāmatzīmju ieviešanu automatizētās apakšsistēmās;
ar datortehnoloģiju un sakariem apstrādātas un pārraidītas informācijas kriptogrāfiskā aizsardzība;
droša mašīnas datu nesēja, kriptogrāfisko atslēgu uzglabāšana ( galvenā informācija) un to apriti, izņemot zādzības, aizstāšanu un iznīcināšanu;
nepieciešamā tehnisko līdzekļu rezervēšana un masīvu un informācijas nesēju dublēšanās;
dažādu automatizēto apakšsistēmu elementu radīto viltus emisiju un uztveršanas līmeņa un informācijas satura samazināšana;
elektroapgādes ķēžu, zemējuma un citu informatizācijas objektu ķēžu elektriskā izolācija, kas pārsniedz kontrolējamo zonu;
pretdarbība optiskajiem un lāzera novērošanas līdzekļiem.

7.2. Informācijas drošības režīma veidošana

Ņemot vērā konstatētos draudus AES drošībai, informācijas drošības režīms būtu jāveido kā metožu un pasākumu kopums, lai aizsargātu AES un tās atbalsta infrastruktūrā cirkulējošo informāciju no nejaušas vai apzinātas dabiskas vai mākslīgas ietekmes, kas ietver kaitējumu informācijas īpašniekiem vai lietotājiem.

Pasākumu kopums informācijas drošības režīma veidošanai ietver:

informācijas drošības organizatoriskā un tiesiskā režīma izveidošana automatizētajā sistēmā ( normatīvie dokumenti, darbs ar personālu, biroja darbs);
organizatorisku un tehnisku pasākumu īstenošana, lai ierobežotas izplatīšanas informāciju aizsargātu no noplūdes pa tehniskajiem kanāliem;
organizatoriski un programmatūras tehniski pasākumi, lai novērstu neatļautas darbības ( piekļuvi) ĀS informācijas resursiem;
pasākumu kopums, lai kontrolētu ierobežotas izplatīšanas informācijas resursu aizsardzības līdzekļu un sistēmu darbību pēc nejaušas vai apzinātas ietekmes.

8. Informācijas drošības pasākumi, metodes un līdzekļi

8.1. Organizatoriskie pasākumi

Organizatoriskie pasākumi- tie ir organizatoriski pasākumi, kas regulē AES darbības procesus, to resursu izmantošanu, apkopes personāla darbību, kā arī procedūru lietotāju mijiedarbībai ar sistēmu tādā veidā, kas visvairāk sarežģī vai izslēdz iespēju drošības apdraudējumu īstenošanu un samazināt kaitējuma apmēru to īstenošanas gadījumā.

8.1.1. Drošības politikas veidošana

Organizatorisko pasākumu galvenais mērķis ir veidot politiku informācijas drošības jomā, atspoguļojot pieejas informācijas aizsardzībai, un nodrošināt tās īstenošanu, piešķirot nepieciešamos resursus un uzraugot situāciju.

No praktiskā viedokļa AES drošības politika jāsadala divos līmeņos. Augstākajā līmenī ietilpst lēmumi, kas ietekmē organizācijas darbību kopumā. Šādu risinājumu piemērs varētu būt:

visaptverošas informācijas drošības programmas izveidošana vai pārskatīšana, par tās īstenošanu atbildīgo noteikšana;
mērķu formulēšana, mērķu izvirzīšana, darbības jomu noteikšana informācijas drošības jomā;
lēmumu pieņemšana par drošības programmas īstenošanu, kas tiek izskatīti visas organizācijas līmenī;
reglamentējošo noteikumu ( likumīgi) drošības jautājumu datubāze utt.

Zemākā līmeņa politika nosaka procedūras un noteikumus mērķu sasniegšanai un informācijas drošības problēmu risināšanai, un detalizēti (reglamentē) šos noteikumus:

kāda ir informācijas drošības politikas joma;
kādas ir par informācijas drošības politikas īstenošanu atbildīgo amatpersonu lomas un pienākumi;
kam ir tiesības piekļūt ierobežotai informācijai;
kas un ar kādiem nosacījumiem var lasīt un mainīt informāciju utt.

Zemāka līmeņa politikai vajadzētu:

paredz regulēt informācijas attiecības, izslēdzot patvaļīgas, monopola vai neatļautas darbības iespēju saistībā ar konfidenciāliem informācijas resursiem;
definēt koalīcijas un hierarhijas principus un metodes noslēpumu apmaiņai un ierobežotas piekļuves informācijas ierobežošanai;
izvēlēties programmatūras un aparatūras līdzekļus kriptogrāfijas aizsardzībai, pret viltošanu, autentifikāciju, autorizāciju, identifikāciju un citiem aizsardzības mehānismiem, kas nodrošina garantijas informācijas attiecību subjektu tiesību un pienākumu īstenošanai.

8.1.2. Tehnisko līdzekļu pieejamības regulēšana

Drošu automatizētu darbstaciju un Bankas serveru darbība jāveic telpās, kas aprīkotas ar uzticamām automātiskām slēdzenēm, signalizāciju un pastāvīgi tiek apsargātas vai uzraudzītas, izslēdzot iespēju nekontrolēti iekļūt nepiederošu personu telpās un nodrošināt aizsargāto resursu fizisko drošību atrodas telpās ( AWP, dokumenti, informācija par piekļuvi utt.). Šādu AWP tehnisko līdzekļu izvietošanai un uzstādīšanai jāizslēdz iespēja vizuāli aplūkot ievadīto informāciju ( atsaukts) ar to nesaistītu personu informāciju. Telpu tīrīšana ar tajās uzstādītu aprīkojumu jāveic atbildīgās personas, kurai ir piešķirti šie tehniskie līdzekļi, vai vienības dežūrētāja klātbūtnē, ievērojot pasākumus, kas izslēdz neatļautu piekļuvi aizsargātajiem resursiem.

Ierobežotās informācijas apstrādes laikā telpās jābūt tikai personālam, kas ir pilnvarots strādāt ar šo informāciju.

Darba dienas beigās telpas ar uzstādītajiem aizsargātajiem AWP ir jānodod aizsardzībā.

Oficiālo dokumentu un iekārtu ar aizsargātu informāciju glabāšanai darbiniekiem tiek nodrošināti metāla skapji, kā arī līdzekļi dokumentu iznīcināšanai.

Tehniskie līdzekļi, kas tiek izmantoti konfidenciālas informācijas apstrādei vai glabāšanai, ir jāapzīmogo.

8.1.3. Noteikumi par darbinieku pieņemšanu informācijas resursu izmantošanā

Pieļaujamās uzņemšanas sistēmas ietvaros tiek noteikts: kurš, kam, kādu informāciju un kāda veida piekļuvi var nodrošināt un ar kādiem nosacījumiem; piekļuves kontroles sistēma, kurā tiek pieņemts, ka visiem lietotājiem tiek definēta ĀS informācija un programmatūras resursi, kas viņiem pieejami konkrētām darbībām ( lasīt, rakstīt, modificēt, dzēst, izpildīt), izmantojot norādītos programmatūras un aparatūras piekļuves rīkus.

Stingri jāreglamentē darba ņēmēju uzņemšana darbā ar ĀS un piekļuve viņu resursiem. Jebkuras izmaiņas ĀS apakšsistēmu lietotāju sastāvā un pilnvarās jāveic saskaņā ar noteikto procedūru.

Galvenie informācijas lietotāji ĀS ir organizācijas struktūrvienību darbinieki. Katra lietotāja pilnvaru līmenis tiek noteikts individuāli, ievērojot šādas prasības:

atklāta un konfidenciāla informācija, ja vien iespējams, tiek ievietota dažādos serveros;
katrs darbinieks izmanto tikai viņam noteiktās tiesības saistībā ar informāciju, ar kuru viņam jāstrādā saskaņā ar viņa darba pienākumiem;
priekšniekam ir tiesības apskatīt savu padoto informāciju;
vissvarīgākās tehnoloģiskās darbības jāveic saskaņā ar noteikumu "Divās rokās"- ievadītās informācijas pareizību apstiprina cita amatpersona, kurai nav tiesību ievadīt informāciju.

Visiem darbiniekiem, kas uzņemti darbā AES, un AES apkopes personālam ir jābūt personiski atbildīgam par noteiktās automatizētās informācijas apstrādes kārtības, viņu rīcībā esošo sistēmas aizsargāto resursu uzglabāšanas, izmantošanas un nodošanas noteikumu pārkāpumiem. Pieņemot darbā, katram darbiniekam jāparaksta apņemšanās ievērot konfidenciālās informācijas saglabāšanas prasības un atbildību par to pārkāpšanu, kā arī par noteikumu ievērošanu darbā ar aizsargātu informāciju ĀS.

Aizsargātās informācijas apstrāde ĀS apakšsistēmās jāveic saskaņā ar apstiprinātajām tehnoloģiskajām instrukcijām ( pasūtījumus) šīm apakšsistēmām.

Lietotājiem, aizsargātām darbstacijām, jāizstrādā nepieciešamās tehnoloģiskās instrukcijas, tostarp prasības informācijas drošības nodrošināšanai.

8.1.4. Datu bāzu uzturēšanas un informācijas resursu pārveidošanas procesu regulēšana

Visas darbības datu bāzu uzturēšanai ĀS un darba ņēmēju uzņemšanai darbā ar šīm datubāzēm ir stingri jāreglamentē. Jebkuras izmaiņas ĀS datu bāzu lietotāju sastāvā un pilnvarās jāveic saskaņā ar noteikto procedūru.

Vārdu izplatīšana, paroļu ģenerēšana, datu bāzes piekļuves diferencēšanas noteikumu saglabāšana ir uzticēta Informācijas tehnoloģiju nodaļas darbiniekiem. Šajā gadījumā var izmantot gan standarta, gan papildu līdzekļus DBVS un operētājsistēmu aizsardzībai.

8.1.5. Tehniskās apkopes procesu regulēšana un aparatūras un programmatūras resursu modificēšana

Aizsargājamie sistēmas resursi ( uzdevumi, programmas, AWP) tiek pakļauti stingrai uzskaitei ( pamatojoties uz atbilstošu veidlapu vai specializētu datu bāzu izmantošanu).

Automatizēto darbstaciju, kurās tiek apstrādāta aizsargātā informācija vai no kurām ir iespējama piekļuve aizsargātajiem resursiem, aparatūras un programmatūras konfigurācijai jāatbilst funkcionālo pienākumu klāstam, kas piešķirts šīs AWP lietotājiem. Visas neizmantotās (nevajadzīgās) ievades-izvades ierīces ( COM, USB, LPT porti, disketes, CD un citi datu nesēji) šādos AWP ir jāatspējo (jāsvītro), jāizdzēš arī nevajadzīgā programmatūra un dati no AWS diskiem.

Lai vienkāršotu apkopi, apkopi un aizsardzības organizēšanu, darbstacijām jābūt aprīkotām ar programmatūru un jākonfigurē vienotā veidā ( saskaņā ar noteiktajiem noteikumiem).

Jaunu AWP nodošana ekspluatācijā un visas izmaiņas aparatūras un programmatūras konfigurācijā, esošās AWP organizācijas AS jāveic tikai noteiktajā kārtībā.

Visa programmatūra ( ko izstrādājuši organizācijas speciālisti, kas iegūti vai iegūti no ražotājiem) jāpārbauda saskaņā ar noteikto kārtību un jānodod organizācijas programmu depozitārijam. ĀS apakšsistēmās jāinstalē un jāizmanto tikai programmatūra, kas saskaņā ar noteikto procedūru saņemta no depozitārija. Būtu jāaizliedz izmantot programmatūru, kas nav iekļauta programmatūras depozitārijā.

Programmatūras izstrāde, izstrādātās un iegādātās programmatūras testēšana, programmatūras nodošana ekspluatācijā jāveic saskaņā ar noteikto kārtību.

8.1.6. Lietotāju apmācība un izglītošana

Pirms piekļuves nodrošināšanas ĀS, tās lietotājiem, kā arī vadības un tehniskās apkopes personālam vajadzētu iepazīties ar konfidenciālās informācijas sarakstu un viņu pilnvaru līmeni, kā arī ar organizatorisko un administratīvo, normatīvo, tehnisko un operatīvo dokumentāciju, kas nosaka prasības un šādas informācijas apstrādes kārtību.

Informācijas aizsardzība visās iepriekš minētajās jomās ir iespējama tikai pēc tam, kad lietotāji ir izstrādājuši noteiktu disciplīnu, t.i. normas, kas ir saistošas visiem, kas strādā ĀS. Šīs normas ietver aizliegumu veikt jebkādas tīšas vai netīšas darbības, kas traucē ĀS normālu darbību, rada papildu resursu izmaksas, pārkāpj uzglabātās un apstrādātās informācijas integritāti, pārkāpj likumīgo lietotāju intereses.

Visiem darbiniekiem, kuri darba laikā izmanto īpašas AES apakšsistēmas, ir jāpārzina organizatoriskie un administratīvie dokumenti atomelektrostacijas aizsardzībai attiecīgajā daļā, viņiem jāzina un stingri jāievēro tehnoloģiskie norādījumi un vispārējie pienākumi, lai nodrošinātu informāciju. Šo dokumentu prasību iesniegšana personām, kurām atļauts apstrādāt aizsargāto informāciju, būtu jāveic departamentu vadītājiem pret viņu parakstu.

8.1.7. Atbildība par informācijas drošības prasību pārkāpšanu

Par katru nopietnu informācijas drošības prasību pārkāpumu, ko veic organizācijas darbinieki, jāveic oficiāla izmeklēšana. Pret vainīgajiem ir jāveic atbilstoši pasākumi. Personāla atbildības pakāpe par darbībām, kas veiktas, pārkāpjot noteiktos noteikumus, lai nodrošinātu drošu automatizētu informācijas apstrādi, būtu jānosaka pēc nodarītā kaitējuma, ļaunprātīga nodoma klātbūtnes un citiem faktoriem.

Lai īstenotu lietotāju personiskās atbildības principu par savām darbībām, ir nepieciešams:

individuāla lietotāju un to uzsākto procesu identificēšana, t.i. izveidojot tiem identifikatoru, uz kura pamata piekļuve tiks diferencēta saskaņā ar piekļuves derīguma principu;
lietotāja autentifikācija ( autentifikācija), pamatojoties uz parolēm, atslēgām uz cita fiziskā pamata utt.;
reģistrācija ( mežizstrāde) mehānismu darbība, lai kontrolētu piekļuvi informācijas sistēmas resursiem, norādot datumu un laiku, pieprasītāja un pieprasītā resursa identifikatorus, mijiedarbības veidu un tā rezultātu;
reakcija uz neatļautas piekļuves mēģinājumiem ( signalizācija, bloķēšana utt.).

8.2. Tehniskie aizsardzības līdzekļi

Tehnisks ( aparatūru un programmatūru) aizsardzības līdzekļi - dažādas elektroniskas ierīces un īpašas programmas, kas ir ĀS daļa un veic (neatkarīgi vai kopā ar citiem līdzekļiem) aizsardzības funkcijas ( lietotāju identifikācija un autentifikācija, piekļuves resursiem diferencēšana, notikumu reģistrēšana, informācijas kriptogrāfiskā aizsardzība utt.).

Ņemot vērā visas prasības un principus informācijas drošības nodrošināšanai atomelektrostacijā visās aizsardzības jomās, aizsardzības sistēmā jāiekļauj šādi līdzekļi:

līdzekļi lietotāju un skaļruņu elementu autentificēšanai ( termināli, uzdevumi, datu bāzes vienumi utt.), kas atbilst informācijas un apstrādāto datu konfidencialitātes pakāpei;
līdzekļi piekļuves ierobežošanai datiem;
informācijas kriptogrāfiskās aizsardzības līdzekļi datu pārraides līnijās un datu bāzēs;
aprites reģistrēšanas un aizsargātās informācijas izmantošanas kontroles līdzekļi;
līdzekļi, lai reaģētu uz konstatētiem viltojumiem vai manipulācijām;
līdzekļi viltus emisiju un uztveršanas līmeņa un informācijas satura samazināšanai;
aizsardzības līdzekļi pret optiskiem novērošanas līdzekļiem;
aizsardzība pret vīrusiem un ļaunprātīgu programmatūru;
līdzekļi gan maiņstrāvas elementu, gan telpu, kurā atrodas iekārta, konstrukcijas elementu elektriskai atvienošanai.

Tehniskie aizsardzības līdzekļi pret neatļautiem uzbrukumiem ir atbildīgi par šādu galveno uzdevumu risināšanu:

lietotāju identifikācija un autentificēšana, izmantojot vārdus un / vai īpašu aparatūru ( Pieskarieties atmiņai, viedkartei utt.);
lietotāju piekļuves regulēšana darbstaciju fiziskajām ierīcēm ( diski, ieejas-izejas porti);
selektīva (pēc izvēles) piekļuves kontrole loģiski diski, katalogi un faili;
autoritatīva (obligāta) piekļuves diferencēšana aizsargātiem datiem darbstacijā un failu serverī;
izveidojot slēgtu programmatūras vide atļauts palaist programmas, kas atrodas gan vietējos, gan tīkla diskdziņos;
aizsardzība pret datorvīrusu un ļaunprātīgas programmatūras iekļūšanu;
Aizsardzības sistēmas moduļu, disku sistēmas apgabalu un patvaļīgu failu sarakstu integritātes kontrole automātiskais režīms un ar administratora pavēlēm;
lietotāju darbību reģistrēšana drošā žurnālā, vairāku reģistrācijas līmeņu klātbūtne;
datu aizsardzības sistēmas aizsardzība failu serverī no piekļuves visiem lietotājiem, ieskaitot tīkla administratoru;
centralizēta piekļuves diferenciācijas līdzekļu iestatījumu pārvaldība tīkla darbstacijās;
visu darbstacijās notiekošo manipulāciju reģistrēšana;
operatīva kontrole pār tīkla lietotāju darbu, mainot darbstaciju darbības režīmus un bloķēšanas iespēju ( ja nepieciešams) jebkura tīkla stacija.

Veiksmīga tehnisko aizsardzības līdzekļu pielietošana paredz, ka turpmāk uzskaitīto prasību izpildi nodrošina organizatoriski pasākumi un izmantotie fiziskie aizsardzības līdzekļi:

tiek nodrošināta visu ĀS sastāvdaļu fiziskā integritāte;
katrs darbinieks ( sistēmas lietotājs) ir unikāls sistēmas nosaukums un minimālās pilnvaras piekļūt sistēmas resursiem, kas nepieciešami viņa funkcionālo pienākumu veikšanai;
instrumentālo un tehnoloģisko programmu izmantošana darbstacijās ( testa utilītas, atkļūdotāji utt.), kas ļauj ielauzties vai apiet drošības pasākumus, ir ierobežota un stingri reglamentēta;
aizsargātajā sistēmā nav programmēšanas lietotāju, un programmu izstrāde un atkļūdošana tiek veikta ārpus aizsargājamās sistēmas;
visas izmaiņas aparatūras un programmatūras konfigurācijā tiek veiktas stingri noteiktā veidā;
tīkla aparatūra ( centrmezgli, slēdži, maršrutētāji utt.) atrodas vietās, kas nav pieejamas svešiniekiem ( īpašas telpas, skapji utt.);
informācijas drošības dienests veic nepārtrauktu pārvaldību un administratīvo atbalstu informācijas drošības rīku darbībai.

8.2.1. Lietotāja identifikācijas un autentifikācijas rīki

Lai novērstu nepiederošu personu piekļuvi ĀS, ir jānodrošina, lai sistēma varētu atpazīt katru likumīgo lietotāju (vai ierobežotas lietotāju grupas). Lai to izdarītu, sistēmā ( aizsargātā vietā) jāglabā vairāki katra lietotāja atribūti, pēc kuriem šo lietotāju var identificēt. Nākotnē, ievadot sistēmu, un, ja nepieciešams, veicot noteiktas darbības sistēmā, lietotājam ir pienākums sevi identificēt, t.i. norādiet tai piešķirto identifikatoru sistēmā. Turklāt identificēšanai var izmantot dažāda veida ierīces: magnētiskās kartes, atslēgu ieliktņus, disketes utt.

Autentifikācija ( autentiskuma apstiprinājums), pamatojoties uz paroļu (slepenu vārdu) vai īpašu autentifikācijas līdzekļu izmantošanu, pārbaudot lietotāju unikālās īpašības (parametrus).

8.2.2. Līdzekļi, lai ierobežotu piekļuvi automatizētās sistēmas resursiem

Pēc lietotāja atpazīšanas sistēmai ir jāautorizē lietotājs, tas ir, jānosaka, kādas tiesības lietotājam tiek piešķirtas, t.i. kādus datus un kā tos var izmantot, kādas programmas var izpildīt, kad, cik ilgi un no kādiem termināļiem tas var darboties, kādus sistēmas resursus var izmantot utt. Lietotāja autorizācija jāveic, izmantojot šādus piekļuves kontroles mehānismus:

selektīvi piekļuves kontroles mehānismi, kuru pamatā ir atribūtu shēmu, atļauju sarakstu uc izmantošana;
autoritatīvi piekļuves kontroles mehānismi, kuru pamatā ir resursu konfidencialitātes etiķešu un lietotāju piekļuves līmeņu izmantošana;
mehānismi uzticamas programmatūras slēgtas vides nodrošināšanai ( individuāli katram lietotājam atļauto programmu saraksts), ko atbalsta mehānismi lietotāju identificēšanai un autentificēšanai, kad viņi piesakās sistēmā.

Konkrētu tehnisko aizsardzības līdzekļu atbildības jomas un uzdevumi tiek noteikti, pamatojoties uz to iespējām un veiktspējas īpašībām, kas aprakstītas šo līdzekļu dokumentācijā.

Tehniskajiem piekļuves kontroles līdzekļiem jābūt vienotas piekļuves kontroles sistēmas neatņemamai sastāvdaļai:

uz kontrolējamo zonu;
atsevišķās telpās;
ĀS elementiem un informācijas drošības sistēmas elementiem ( fiziska piekļuve);
ĀS resursiem ( matemātiska piekļuve);
uz informācijas krātuvēm ( datu nesēji, sējumi, faili, datu kopas, arhīvi, atsauces, ieraksti utt.);
aktīvajiem resursiem ( lietojumprogrammas, uzdevumi, pieprasījumu veidlapas utt.);
uz operētājsistēmu, sistēmas programmas un drošības programmas utt.

8.2.3. Programmatūras un informācijas resursu integritātes nodrošināšanas un uzraudzības līdzekļi

Jānodrošina programmu, apstrādātās informācijas un aizsardzības līdzekļu integritātes kontrole, lai nodrošinātu programmatūras vides nemainīgumu, ko nosaka nodrošinātā apstrādes tehnoloģija, un aizsardzība pret neatļautu informācijas labošanu:

kontrolsummu aprēķināšanas līdzekļi;
izmantojot elektronisko parakstu;
līdzekļi kritisko resursu salīdzināšanai ar to kopijām ( un atgūšana integritātes pārkāpuma gadījumā);
piekļuves kontroles līdzekļi ( piekļuves liegšana ar izmaiņām vai dzēšanu).

Lai aizsargātu informāciju un programmas no neatļautas iznīcināšanas vai sagrozīšanas, ir jānodrošina:

sistēmas tabulu un datu dublēšana;
datu divpusēja un spoguļošana diskos;
darījumu izsekošana;
periodiska operētājsistēmas un lietotāju programmu integritātes uzraudzība, kā arī lietotāju faili;
pretvīrusu aizsardzība un kontrole;
datu dublēšana saskaņā ar iepriekš izveidotu shēmu.

8.2.4. Drošības notikumu kontrole

Kontrolei jānodrošina, lai visi notikumi ( lietotāju darbības, nepiederošu personu mēģinājumi utt.), kas var izraisīt drošības politikas pārkāpumu un izraisīt krīzes situācijas. Kontrolei jānodrošina iespēja:

nepārtraukta tīkla galveno mezglu un tīklu veidojošo sakaru iekārtu uzraudzība, kā arī tīkla darbība galvenajos tīkla segmentos;
kontrole, kā lietotāji izmanto korporatīvos un publiskā tīkla pakalpojumus;
uzturēt un analizēt drošības notikumu žurnālus;
savlaicīgi atklāt ārējos un iekšējos draudus informācijas drošībai.

Reģistrējot drošības notikumus sistēmas žurnāls jāreģistrē šāda informācija:

notikuma datums un laiks;
tēmas identifikators ( lietotājs, programma) reģistrētās darbības veikšana;
darbība ( ja piekļuves pieprasījums ir reģistrēts, tad tiek atzīmēts objekts un piekļuves veids).

Kontrolei jānodrošina, ka tiek atklāti un reģistrēti šādi notikumi:

lietotāja pieteikšanās sistēmā;
lietotāja pieteikšanās tīklā;
neveiksmīga pieteikšanās vai tīkla mēģinājums ( nepareiza parole);
savienojums ar failu serveri;
programmas uzsākšana;
programmas pabeigšana;
mēģinājums palaist programmu, kas nav pieejama palaišanai;
mēģinājums piekļūt nepieejamam direktorijam;
mēģinājums lasīt / rakstīt informāciju no diska, kas lietotājam nav pieejams;
mēģinājums sākt programmu no diska, kas nav pieejams lietotājam;
aizsardzības sistēmas programmu un datu integritātes pārkāpums utt.

Būtu jāatbalsta šādi galvenie veidi, kā reaģēt uz neatļautu personu konstatētajiem faktiem ( iespējams, piedaloties drošības administratoram):

informācijas par NVD īpašnieka paziņojums viņa datiem;
programmas atcelšana ( uzdevumus) ar turpmāku izpildi;
paziņojums datu bāzes administratoram un drošības administratoram;
atvienojot termināli ( darbstacija), no kura NVD mēģināja iegūt informāciju vai veikt nelikumīgas darbības tīklā;
likumpārkāpēja izslēgšana no reģistrēto lietotāju saraksta;
trauksmes signāli utt.

8.2.5. Kriptogrāfiskās informācijas drošība

Vienam no svarīgākajiem atomelektrostacijas informācijas drošības sistēmas elementiem vajadzētu būt kriptogrāfijas metožu un līdzekļu izmantošanai, lai aizsargātu informāciju no nesankcionētas piekļuves tās pārraides laikā, izmantojot sakaru kanālus un uzglabāšanu datora datu nesējos.

Visi ĀS informācijas kriptogrāfiskās aizsardzības līdzekļi būtu jāveido, pamatojoties uz pamata kriptogrāfijas kodolu. Organizācijai ir jābūt ar likumu noteiktām licencēm par tiesībām izmantot kriptogrāfiskos datu nesējus.

ĀS izmantotajai kriptogrāfiskās aizsardzības līdzekļu galvenajai sistēmai būtu jānodrošina kriptogrāfiskā izdzīvošana un daudzlīmeņu aizsardzība pret pamatinformācijas kompromisu, lietotāju nošķiršana pēc aizsardzības līmeņiem un to mijiedarbības zonas savā starpā un citu līmeņu lietotāji.

Informācijas konfidencialitāte un imitācijas aizsardzība tās pārraides laikā, izmantojot sakaru kanālus, būtu jānodrošina, izmantojot sistēmā abonentu un kanālu šifrēšanas līdzekļus. Abonentu un kanālu informācijas šifrēšanas kombinācijai vajadzētu nodrošināt tās pilnīgu aizsardzību visā pārejas ceļā, aizsargāt informāciju, ja tā tiek kļūdaini novirzīta komutācijas centru aparatūras un programmatūras kļūmju un darbības traucējumu dēļ.

ĀS, kas ir sistēma ar izplatītiem informācijas resursiem, ir jāizmanto arī līdzekļi elektronisko parakstu ģenerēšanai un pārbaudei, lai nodrošinātu ziņojumu autentiskuma integritāti un juridiski pierādāmu apstiprinājumu, kā arī lietotāju, abonentu staciju autentifikāciju un laika apstiprinājumu par ziņu sūtīšanu. Šajā gadījumā jāizmanto standartizēti elektroniskā paraksta algoritmi.

8.3. Informācijas drošības vadība

Informācijas drošības sistēmas pārvaldība atomelektrostacijā ir mērķtiecīga ietekme uz drošības sistēmas komponentiem ( organizatoriskā, tehniskā, programmatūras un kriptogrāfiskā), lai sasniegtu nepieciešamos rādītājus un standartus AES apritē esošās informācijas drošībai saistībā ar galveno drošības apdraudējumu īstenošanu.

Informācijas drošības sistēmas vadības organizēšanas galvenais mērķis ir palielināt informācijas aizsardzības uzticamību tās apstrādes, uzglabāšanas un pārsūtīšanas laikā.

Informācijas drošības sistēmas pārvaldību īsteno specializēta kontroles apakšsistēma, kas ir kontroles struktūru, tehnisko, programmatūras un kriptogrāfijas līdzekļu kopums, kā arī organizatoriski pasākumi un dažādu līmeņu kontroles punkti, kas mijiedarbojas.

Vadības apakšsistēmas funkcijas ir: informācija, kontrole un palīgdarbības.

Informācijas funkcija sastāv no nepārtrauktas aizsardzības sistēmas stāvokļa uzraudzības, drošības indikatoru atbilstības pieļaujamajām vērtībām pārbaudes un tūlītējas drošības operatoru informēšanas par situācijām, kas rodas atomelektrostacijā, kas var izraisīt informācijas drošības pārkāpumus. . Aizsardzības sistēmas stāvokļa uzraudzībai ir divas prasības: pilnīgums un uzticamība. Pilnība raksturo visu aizsardzības līdzekļu pārklājuma pakāpi un to darbības parametrus. Kontroles uzticamība raksturo kontrolēto parametru vērtību atbilstības pakāpi to patiesajai vērtībai. Vadības datu apstrādes rezultātā tiek ģenerēta informācija par aizsardzības sistēmas stāvokli, kas tiek vispārināta un pārsūtīta uz augstākiem kontroles punktiem.

Kontroles funkcija ir izstrādāt plānus AES tehnoloģisko operāciju īstenošanai, ņemot vērā informācijas drošības prasības apstākļos, kas dominē noteiktā laika brīdī, kā arī noteikt informācijas ievainojamības situācijas atrašanās vietu un novērst tās noplūdi, nekavējoties bloķēt AES sadaļas, kurās rodas informācijas drošības draudi. ... Kontroles funkcijas ietver dokumentu un informācijas nesēju, paroļu un atslēgu uzskaiti, uzglabāšanu un izsniegšanu. Tajā pašā laikā paroļu, atslēgu ģenerēšana, piekļuves kontroles līdzekļu uzturēšana, jaunu programmatūras rīku, kas iekļauti AS programmatūras vidē, pieņemšana, programmatūras vides atbilstības kontrole standartam, kā arī tehnoloģiskā kontrole konfidenciālas informācijas apstrādes process ir uzticēts Informācijas tehnoloģiju nodaļas un Ekonomiskās drošības departamenta darbiniekiem.

TO palīgfunkcijas kontroles apakšsistēmas ietver visu ĀS veikto darbību uzskaiti ar aizsargāto informāciju, ziņošanas dokumentu veidošanu un statistikas datu vākšanu, lai analizētu un identificētu iespējamos informācijas noplūdes kanālus.

8.4. Aizsardzības sistēmas efektivitātes uzraudzība

Informācijas aizsardzības sistēmas efektivitātes uzraudzība tiek veikta, lai savlaicīgi identificētu un novērstu informācijas noplūdi neatļautas piekļuves dēļ tai, kā arī novērstu iespējamās īpašās darbības, kuru mērķis ir iznīcināt informāciju, iznīcināt informācijas tehnoloģijas.

Informācijas aizsardzības pasākumu efektivitātes novērtēšana tiek veikta, izmantojot organizatorisko, aparatūras un programmatūras kontroli, lai nodrošinātu atbilstību noteiktajām prasībām.

Kontrole var tikt veikta gan ar informācijas aizsardzības sistēmas standarta līdzekļu palīdzību, gan ar īpašu kontroles un tehnoloģiskās uzraudzības līdzekļu palīdzību.

8.5. Personas datu informācijas drošības nodrošināšanas iezīmes

Personas datu klasifikācija tiek veikta atbilstoši personas datu drošības īpašību zaudēšanas seku nopietnībai attiecībā uz personas datu subjektu.

Par personas datiem ”Īpašām personas datu kategorijām;
personas dati, kas klasificēti saskaņā ar federālo likumu " Par personas datiem ”Uz biometriskajiem personas datiem;
personas dati, kurus nevar attiecināt uz īpašām personas datu kategorijām, biometriskiem personas datiem, publiski pieejamiem vai anonimizētiem personas datiem;
personas dati, kas klasificēti saskaņā ar federālo likumu " Par personas datiem ”Publiski pieejamiem vai anonimizētiem personas datiem.

Personas datu nodošana trešajai pusei jāveic, pamatojoties uz federālo likumu vai personas datu subjekta piekrišanu. Gadījumā, ja organizācija uztic personas datu apstrādi trešai personai, pamatojoties uz līgumu, būtisks šāda līguma nosacījums ir trešās personas pienākums nodrošināt personas datu konfidencialitāti un personas datu drošību to apstrādes laikā.

Organizācijai jāpārtrauc personas datu apstrāde un jāiznīcina savāktie personas dati, ja vien Krievijas Federācijas tiesību akti neparedz citādi, termiņos, kas noteikti Krievijas Federācijas tiesību aktos, šādos gadījumos:

pēc apstrādes mērķu sasniegšanas vai ja nav vajadzības tos sasniegt;
pēc personas datu subjekta vai personas datu subjektu tiesību aizsardzības pilnvarotās institūcijas pieprasījuma - ja personas dati ir nepilnīgi, novecojuši, neuzticami, nelikumīgi iegūti vai nav nepieciešami noteiktajam apstrādes mērķim;
kad personas datu subjekts atsauc savu piekrišanu viņa personas datu apstrādei, ja šāda piekrišana ir nepieciešama saskaņā ar Krievijas Federācijas tiesību aktiem;
ja operatoram nav iespējams novērst personas datu apstrādē pieļautos pārkāpumus.

Organizācijai jādefinē un jādokumentē:

procedūra personas datu iznīcināšanai ( tostarp personas datu materiālie nesēji);
procedūra personas datu subjektu pieprasījumu apstrādei ( vai viņu likumiskie pārstāvji) par viņu personas datu apstrādi;
kārtību, kādā veicamas darbības personas datu subjektu tiesību aizsardzības pilnvarotās institūcijas vai citu uzraudzības iestāžu, kas veic kontroli un uzraudzību personas datu jomā, pieprasījumu gadījumā;
pieeja runātāja klasificēšanai kā Informācijas sistēmas personas dati ( Tālāk - ISPDN );
ISPD saraksts. ISPD sarakstā jāiekļauj AS, kuras izveides un izmantošanas mērķis ir personas datu apstrāde.

Katram PDIS identificē un dokumentē:

personas datu apstrādes mērķis;
apstrādāto personas datu apjoms un saturs;
darbību saraksts ar personas datiem un to apstrādes metodes.

Personas datu apjomam un saturam, kā arī personu datu apstrādes darbību un metožu sarakstam jāatbilst apstrādes mērķiem. Gadījumā, ja informācijas tehnoloģiskā procesa īstenošanai, kura īstenošanu atbalsta ISPD, nav nepieciešams apstrādāt noteiktus personas datus, šie personas dati ir jāsvītro.

Prasības personas datu drošības nodrošināšanai ISPDN parasti īsteno ar organizatorisku, tehnoloģisku, tehnisku un programmatūras pasākumu kompleksu, līdzekļiem un mehānismiem informācijas aizsardzībai.

Īstenošanas organizēšana un ( vai) personas datu drošības nodrošināšanas prasību īstenošana jāveic struktūrvienībai vai organizācijas ierēdnim (darbiniekam), kas atbildīgs par personas datu drošības nodrošināšanu, vai uz līguma pamata organizācijai - darījuma partnerim organizācija, kurai ir licence nodrošināt konfidenciālas informācijas tehnisko aizsardzību.

Organizācijas ISPD izveidei jāietver (apstiprināšana) paziņojums, apgalvojums) izveidotās sistēmas organizatoriskā, administratīvā, projektēšanas un darbības dokumentācija, kas paredzēta darba uzdevumā. Dokumentācijā jāatspoguļo jautājumi par apstrādāto personas datu drošības nodrošināšanu.

Koncepciju, tehnisko specifikāciju, dizaina, izveides un testēšanas, ISPD pieņemšanas un nodošanas ekspluatācijā izstrāde jāveic, vienojoties un struktūrvienības vai amatpersonas (darbinieka) kontrolē, kas ir atbildīga par personas datu drošības nodrošināšanu.

Visi informācijas resursi, kas pieder organizācijas ISPD, ir jāaizsargā no ļaunprātīga koda ietekmes. Organizācijai jānosaka un jādokumentē prasības personas datu drošības nodrošināšanai, izmantojot pretvīrusu aizsardzību, un šo prasību izpildes uzraudzības procedūra.

Organizācijai ir jābūt piekļuves kontroles sistēmai, kas ļauj kontrolēt piekļuvi sakaru portiem, ievades / izvades ierīcēm, noņemamiem datu nesējiem un ārējām atmiņas ierīcēm ISPDN.

Organizācijas ekspluatācijas un apkalpošanas ISPD nodaļu vadītāji nodrošina personas datu drošību, tos apstrādājot ISPDN.

Darbiniekiem, kuri apstrādā personas datus ISPDN, jārīkojas saskaņā ar norādījumiem ( norādījumi, noteikumi utt.), kas ir daļa no ISPD operatīvās dokumentācijas, un atbilst IS uzturēšanas dokumentu prasībām.

Pienākumi par aizsardzības līdzekļu un aizsardzības mehānismu administrēšanu, kas īsteno prasības organizācijas ISPD nodrošināšanai, ir noteikti ar rīkojumiem ( pasūtījumus) par Informācijas tehnoloģiju katedras speciālistiem.

Informācijas tehnoloģiju departamenta speciālistu un personāla datu apstrādē iesaistītā personāla procedūra jānosaka ar instrukcijām ( vadlīnijas), ko ISPD izstrādātājs sagatavo kā daļu no ISPD darbības dokumentācijas.

Norādītās instrukcijas ( ceļveži):

nosaka prasības personāla kvalifikācijai informācijas drošības jomā, kā arī atjauninātu aizsargājamo objektu sarakstu un tā atjaunināšanas noteikumus;
satur pilnīgi atbilstošu ( pēc laika) dati par lietotāju tiesībām;
saturēt datus par informācijas apstrādes tehnoloģiju tādā apjomā, kāds nepieciešams informācijas drošības speciālistam;
nosaka notikumu žurnālu analīzes secību un biežumu ( žurnālu arhīvi);
regulēt citas darbības.

Informācijas tehnoloģiju departamenta speciālistu atbildības jomā izmantoto aizsardzības līdzekļu un mehānismu konfigurācijas parametri informācijas aizsardzībai pret viltošanu tiek noteikti ISPD darbības dokumentācijā. Instalēto konfigurācijas parametru pārbaužu procedūra un biežums ir noteikts ekspluatācijas dokumentācijā vai reglamentēts ar iekšēju dokumentu, savukārt pārbaudes jāveic vismaz reizi gadā.

Organizācijai ir jānosaka un jādokumentē procedūra, kā piekļūt telpām, kurās atrodas ISPDN tehniskie līdzekļi un tiek glabāti personas datu nesēji, kas paredz piekļuves nepiederošām personām kontroli un šķēršļu klātbūtni neatļautai iekļūšanai. telpas. Norādītā procedūra jāizstrādā struktūrvienībai vai amatpersonai ( darbinieks), kas atbild par fiziskās drošības režīma nodrošināšanu un par ko vienojas struktūrvienība vai ierēdnis ( darbinieks), kas atbild par personas datu drošības nodrošināšanu, un Ekonomiskās drošības departaments.

ISPDN lietotāji un apkalpojošais personāls nedrīkst veikt neatļautu un ( vai) nereģistrēts ( nekontrolēts) personas datu kopēšana. Šim nolūkam organizatoriskiem un tehniskiem pasākumiem vajadzētu aizliegt neatļautu un ( vai) nereģistrēts ( nekontrolēts) personas datu kopēšana, ieskaitot atsavinātu ( nomaināms) datu nesēji, mobilās ierīces informācijas kopēšanai un pārsūtīšanai, sakaru porti un ievades / izvades ierīces, kas ievieš dažādas saskarnes ( ieskaitot bezvadu), mobilo ierīču atmiņas ierīces ( piemēram, klēpjdatorus, plaukstdatorus, viedtālruņus, mobilos tālruņus), kā arī foto un video ierīces.

Personiskās drošības kontroli veic informācijas drošības speciālists, gan izmantojot informācijas aizsardzības sistēmas standarta līdzekļus, gan izmantojot īpašus kontroles un tehnoloģiskās uzraudzības rīkus.