Anotação: A palestra discute os conceitos básicos de segurança da informação. Familiarização com a Lei Federal "Sobre Informação, Tecnologias da Informação e Proteção da Informação".

GOST " Proteção de dados... Termos e definições básicos "apresenta o conceito segurança da informação como um estado de segurança da informação, em que é fornecido confidencialidade, disponibilidade e integridade.

• Confidencialidade- o estado da informação em que o acesso a ela é realizado apenas por sujeitos que têm direito a ela.
• Integridade- o estado da informação em que não haja alteração da mesma, ou a alteração seja efetuada apenas intencionalmente pelos sujeitos que a ela têm direito;
• Disponibilidade- o estado da informação, em que os sujeitos com direito de acesso podem exercê-la sem impedimentos.

Ameaças à segurança da informação- um conjunto de condições e fatores que criam um perigo potencial ou real de violação da segurança da informação [,]. Por ataqueé chamado de tentativa de implementar uma ameaça, e aquele que faz tal tentativa - intruso... Potenciais intrusos são chamados fontes de ameaça.

A ameaça é consequência da presença vulnerabilidades ou vulnerabilidades no sistema de informação. Vulnerabilidades podem surgir por vários motivos, por exemplo, como resultado de erros não intencionais de programadores ao escrever programas.

As ameaças podem ser classificadas de acordo com vários critérios:

• sobre propriedades da informação(disponibilidade, integridade, confidencialidade) contra as quais as ameaças são dirigidas em primeiro lugar;
• pelos componentes dos sistemas de informação, que são alvos de ameaças (dados, programas, hardware, infraestrutura de apoio);
• pelo método de implementação (acidental / deliberado, ações de natureza natural / artificial);
• pela localização da fonte de ameaças (dentro / fora do SI considerado).

Garantir a segurança da informação é uma tarefa complexa que requer Uma abordagem complexa... Os seguintes níveis de proteção de informações são diferenciados:

1. legislativo - leis, regulamentos e outros documentos da Federação Russa e da comunidade internacional;
2. administrativo - conjunto de medidas tomadas localmente pela direção da organização;
3. nível processual - medidas de segurança implementadas por pessoas;
4. nível de software e hardware- meios diretos de proteção da informação.

O nível legislativo é a base para a construção de um sistema de proteção da informação, pois fornece conceitos básicos área de estudo e determina a punição para invasores em potencial. Este nível desempenha um papel de coordenação e orientação e ajuda a manter uma atitude negativa (e punitiva) na sociedade em relação às pessoas que violam a segurança da informação.

1.2. Lei Federal "Sobre Informação, Tecnologias da Informação e Proteção da Informação"

Na legislação russa, a lei básica no campo da proteção da informação é a Lei Federal "Sobre Informação, Tecnologias da Informação e Proteção da Informação" datada de 27 de julho de 2006, nº 149-FZ. Portanto, os conceitos básicos e soluções consagrados na lei requerem consideração cuidadosa.

A lei regula as relações decorrentes de:

• o exercício do direito de buscar, receber, transferir, produzir e divulgar informações;
• aplicativo tecnologias de informação;
• garantindo a proteção da informação.

A lei fornece definições básicas no campo da proteção de informações. Aqui estão alguns deles:

• em formação- informações (mensagens, dados) independentemente da forma de apresentação;
• Tecnologia da Informação- processos, métodos de pesquisa, coleta, armazenamento, processamento, fornecimento, disseminação de informações e formas de implementação de tais processos e métodos;
• Sistema de informação- conjunto de informações contidas em bases de dados e meios técnicos e tecnológicos de informação que garantam o seu tratamento;
• portador de informação- uma pessoa que criou informações de forma independente ou recebeu, com base em uma lei ou em um acordo, o direito de autorizar ou restringir o acesso às informações determinado por qualquer critério;
• operador de sistema de informação- o cidadão ou pessoa jurídica que opera o sistema de informação, incluindo o tratamento da informação contida nas suas bases de dados.
• confidencialidade da informação- um requisito obrigatório para uma pessoa que tem acesso a certas informações não transmitir tais informações a terceiros sem o consentimento de seu proprietário.

O artigo 4º da Lei formula os princípios da regulamentação jurídica das relações no domínio da informação, tecnologia da informação e protecção da informação:

1. liberdade de buscar, receber, transferir, produzir e divulgar informações por qualquer meio legal;
2. o estabelecimento de restrições ao acesso à informação apenas por meio de leis federais;
3. abertura das informações sobre a atuação dos órgãos estaduais e autônomos locais e livre acesso a tais informações, ressalvados os casos previstos em legislação federal;
4. igualdade das línguas dos povos da Federação Russa na criação de sistemas de informação e seu funcionamento;
5. garantia da segurança da Federação Russa durante a criação de sistemas de informação, seu funcionamento e proteção das informações neles contidas;
6. confiabilidade das informações e tempestividade de seu fornecimento;
7. inviolabilidade da vida privada, inadmissibilidade de coleta, armazenamento, uso e divulgação de informação sobre a vida privada de uma pessoa sem seu consentimento;
8. a inadmissibilidade do estabelecimento por atos normativos de quaisquer vantagens do uso de algumas tecnologias de informação sobre outras, a menos que a obrigatoriedade de uso de certas tecnologias de informação para a criação e operação de sistemas de informação estaduais não seja estabelecida por leis federais.

Todas as informações são divididas em disponível publicamente e limitado Acesso... As informações publicamente disponíveis incluem informações geralmente conhecidas e outras informações, cujo acesso não é limitado. A lei define informações que não podem ser restritas, como informações sobre meio ambiente ou atividades de órgãos governamentais. Também é estipulado que Limitação de acesso a informação é instituída por leis federais com o objetivo de proteger os fundamentos do sistema constitucional, da moralidade, da saúde, dos direitos e interesses legítimos de outrem, para garantir a defesa do país e a segurança do Estado. É obrigatório respeitar o sigilo das informações, cujo acesso é limitado por leis federais.

É proibido exigir que o cidadão (pessoa física) forneça informações sobre sua vida privada, inclusive informações que constituam segredo pessoal ou familiar, e receba essas informações contra a vontade do cidadão (pessoa física), a menos que de outra forma previsto pelas leis federais.

1. informações distribuídas gratuitamente;
2. informações fornecidas mediante acordo das pessoas que participam da relação em questão;
3. informações que, de acordo com as leis federais, estão sujeitas a fornecimento ou distribuição;
4. informações, cuja distribuição na Federação Russa é restrita ou proibida.

A lei estabelece a equivalência de uma mensagem eletrônica assinada com uma assinatura digital eletrônica ou outro análogo de uma assinatura manuscrita e um documento assinado com uma assinatura manuscrita.

É dada a seguinte definição de proteção da informação - é a adoção de medidas legais, organizacionais e técnicas destinadas a:

1. assegurar a proteção das informações contra acesso não autorizado, destruição, modificação, bloqueio, cópia, fornecimento, distribuição, bem como de outras ações ilegais em relação a tais informações;
2. observância do sigilo das informações restritas;
3. realização do direito de acesso à informação.

O proprietário da informação, o operador do sistema de informação nos casos estabelecidos pela legislação da Federação Russa, é obrigado a garantir:

1. prevenção do acesso não autorizado à informação e (ou) transferência para pessoas que não têm o direito de acesso à informação;
2. detecção oportuna de fatos de acesso não autorizado às informações;
3. prevenção da possibilidade de consequências adversas da violação do procedimento de acesso à informação;
4. prevenção do impacto nos meios técnicos de processamento da informação, em consequência do qual o seu funcionamento seja interrompido;
5. a possibilidade de recuperação imediata de informações modificadas ou destruídas pelo acesso não autorizado às mesmas;
6. controle constante sobre a garantia do nível de segurança da informação.

Assim, a Lei Federal "Sobre Informação, Tecnologias da Informação e Proteção da Informação" cria uma base legal para a troca de informações na Federação Russa e define os direitos e obrigações de seus súditos.

O rápido desenvolvimento das tecnologias de informação por computador está causando mudanças significativas em nossas vidas. A informação tornou-se uma mercadoria que pode ser comprada, vendida, trocada. Além disso, o custo da informação é muitas vezes centenas de vezes maior do que o custo do sistema de computador no qual está armazenada.

O bem-estar e, às vezes, a vida de muitas pessoas, depende do grau de segurança das tecnologias da informação. Esse é o preço da complicação e ampla disseminação dos sistemas automatizados de processamento de informações.

Debaixo segurança da informação significa a segurança do sistema de informação contra interferências acidentais ou deliberadas que sejam prejudiciais aos proprietários ou usuários das informações.

Na prática, os mais importantes são três aspectos da segurança da informação:

• disponibilidade(a oportunidade de receber o serviço de informações necessário em um tempo razoável);
• integridade(relevância e consistência da informação, sua proteção contra destruição e alterações não autorizadas);
• confidencialidade(proteção contra leitura não autorizada).

As violações da disponibilidade, integridade e confidencialidade das informações podem ser causadas por vários efeitos perigosos nos sistemas informáticos de informação.

As principais ameaças à segurança da informação

Um sistema de informação moderno é um sistema complexo que consiste em um grande número de componentes de vários graus de autonomia, que estão interconectados e trocam dados. Quase todos os componentes podem ser danificados ou danificados. Os componentes de um sistema de informação automatizado podem ser divididos nos seguintes grupos:

• hardware- computadores e seus componentes (processadores, monitores, terminais, periféricos- unidades de disquete, impressoras, controladores, cabos, linhas de comunicação, etc.);
• Programas- programas adquiridos, fonte, objeto, módulos de carga; sistemas operacionais e programas de sistema (compiladores, vinculadores, etc.), utilitários, programas de diagnóstico, etc.;
• dados- armazenado temporária e permanentemente, em mídia magnética, impressa, arquivos, logs do sistema, etc.;
• funcionários- pessoal de serviço e usuários.

Os impactos perigosos em um sistema de informação do computador podem ser divididos em acidentais e intencionais. Uma análise da experiência de projeto, fabricação e operação de sistemas de informação mostra que a informação é exposta a várias influências aleatórias em todos os estágios do ciclo de vida do sistema. As razões influências acidentais durante a operação pode ser:

• emergências devido a desastres naturais e cortes de energia;
• falhas e falhas de hardware;
• bugs no software;
• erros no trabalho do pessoal;
• interferência nas linhas de comunicação devido a influências ambientais.

Impactos intencionais- são ações deliberadas do agressor. Um funcionário, visitante, concorrente ou mercenário pode atuar como criminoso. As ações do agressor podem ser devido a diferentes motivos:

• a insatisfação do funcionário com sua carreira;
• suborno;
• curiosidade;
• luta competitiva;
• o desejo de se afirmar a qualquer custo.

Um modelo hipotético de um intruso em potencial pode ser traçado:

• a qualificação do infrator ao nível do desenvolvedor deste sistema;
• o infrator pode ser uma pessoa não autorizada ou um usuário legítimo do sistema;
• o infrator conhece informações sobre os princípios do sistema;
• o agressor escolhe o elo mais fraco na defesa.

O tipo mais comum e diverso de violação de computador é acesso não autorizado(NSD). O NSD utiliza qualquer erro no sistema de proteção e é possível com uma escolha irracional dos meios de proteção, sua instalação e configuração incorretas.

Vamos classificar os canais NSD pelos quais é possível roubar, alterar ou destruir informações:

• Por meio de uma pessoa:
  • roubo de suportes de informação;
  • ler informações de uma tela ou teclado;
  • ler informações de uma impressão.
• Por meio do programa:
  • interceptação de senhas;
  • descriptografia de informações criptografadas;
  • copiar informações da operadora.
• Por meio do hardware:
  • conexão de hardware especialmente projetado que fornece acesso à informação;
  • interceptação de radiação eletromagnética espúria de equipamentos, linhas de comunicação, redes de alimentação, etc.

Atenção especial deve ser dada às ameaças às quais as redes de computadores podem ser expostas. A principal característica de qualquer rede de computadores consiste no fato de seus componentes se distribuírem no espaço. A comunicação entre os nós da rede é realizada fisicamente usando linhas de rede e programaticamente usando um mecanismo de mensagem. Nesse caso, as mensagens de controle e os dados enviados entre os nós da rede são transmitidos na forma de pacotes de troca. As redes de computadores são caracterizadas pelo fato de os chamados ataques remotos... O invasor pode estar a milhares de quilômetros do objeto atacado, e não apenas um computador específico, mas também informações transmitidas pelos canais de comunicação da rede podem ser atacadas.

Segurança da informação

A formação de um regime de segurança da informação é um problema complexo. As medidas para resolvê-lo podem ser divididas em cinco níveis:

1. legislativo (leis, regulamentos, normas, etc.);
2. moral e ética (todos os tipos de normas de comportamento, cuja não observância leva a uma queda no prestígio de uma determinada pessoa ou de uma organização inteira);
3. administrativo (ações gerais tomadas pela direção da organização);
4. físicos (obstáculos mecânicos, eletro e eletrônico-mecânicos nas possíveis vias de entrada de potenciais intrusos);
5. hardware e software (dispositivos eletrônicos e programas especiais de segurança da informação).

Um único conjunto de todas essas medidas destinadas a combater as ameaças à segurança, a fim de minimizar a possibilidade de danos, forma sistema de proteção.

Um sistema de proteção confiável deve cumprir os seguintes princípios:

• O custo do equipamento de proteção deve ser menor do que a quantidade de danos possíveis.
• Cada usuário deve ter o conjunto mínimo de privilégios necessários para trabalhar.
• Quanto mais eficaz for a proteção, mais fácil será para o usuário trabalhar com ela.
• Possibilidade de desligamento em caso de emergência.
• Os especialistas relacionados com o sistema de proteção devem compreender plenamente os princípios de seu funcionamento e, em caso de situações difíceis, respondê-los adequadamente.
• Todo o sistema de processamento de informações deve ser protegido.
• Os desenvolvedores do sistema de segurança não devem estar entre aqueles que este sistema controlará.
• O sistema de segurança deve fornecer evidências da correção de seu trabalho.
• Os envolvidos na segurança da informação devem ser pessoalmente responsabilizados.
• É aconselhável dividir os objetos de proteção em grupos para que a violação da proteção em um dos grupos não afete a segurança de outros.
• Um sistema de segurança confiável deve ser totalmente testado e aprovado.
• A proteção se torna mais eficaz e flexível se permite que o administrador altere seus parâmetros.
• Um sistema de segurança deve ser projetado com o pressuposto de que os usuários cometerão erros graves e, em geral, terão as piores intenções.
• As decisões mais importantes e críticas devem ser feitas por humanos.
• A existência de mecanismos de segurança deve ser ocultada, tanto quanto possível, dos usuários cujo trabalho está sob controle.

Hardware e software de segurança da informação

Apesar do fato de que os sistemas operacionais modernos para computadores pessoais, como o Windows 2000, Windows XP e Windows NT, têm seus próprios subsistemas de proteção, a relevância de criar ferramentas de proteção adicionais permanece. O fato é que a maioria dos sistemas não é capaz de proteger dados fora deles, por exemplo, durante a troca de informações de rede.

O hardware e software de segurança da informação podem ser divididos em cinco grupos:

1. Sistemas de identificação (reconhecimento) e autenticação (autenticação) de usuários.
2. Sistemas de criptografia de disco.
3. Sistemas de criptografia para dados transmitidos por redes.
4. Sistemas de autenticação eletrônica de dados.
5. Ferramentas de gerenciamento de chaves criptográficas.

1. Sistemas de identificação e autenticação de usuários

Eles são usados ​​para restringir o acesso de usuários casuais e ilegais aos recursos do sistema de computador. O algoritmo geral para o funcionamento de tais sistemas é obter informações do usuário que comprovem sua identidade, verificar sua autenticidade e então fornecer (ou não) a esse usuário a capacidade de trabalhar com o sistema.

Ao construir esses sistemas, surge o problema de escolher as informações com base nas quais os procedimentos de identificação e autenticação do usuário são executados. Os seguintes tipos podem ser distinguidos:

• informações secretas possuídas pelo usuário (senha, chave secreta, identificador pessoal, etc.); o usuário deve se lembrar desta informação ou meios especiais de armazenamento podem ser usados ​​para ela;
• parâmetros fisiológicos de uma pessoa (impressões digitais, desenho da íris do olho, etc.) ou comportamento (peculiaridades de trabalhar no teclado, etc.).

Sistemas baseados no primeiro tipo de informação são considerados tradicional... Os sistemas que usam o segundo tipo de informação são chamados biométrico... Deve-se notar que existe uma tendência emergente no desenvolvimento avançado de sistemas de identificação biométrica.

2. Sistemas de criptografia de disco

Para tornar a informação inútil para o inimigo, um conjunto de métodos de transformação de dados é usado, chamado criptografia[do grego. kryptos- escondido e grapho- escrevendo].

Os sistemas de criptografia podem realizar transformações criptográficas de dados no nível do arquivo ou disco. Os programas do primeiro tipo incluem arquivadores como ARJ e RAR, que permitem o uso de métodos criptográficos para proteger os arquivos compactados. Um exemplo de sistemas do segundo tipo é o programa de criptografia Diskreet, que faz parte do popular pacote de software Norton Utilities, Best Crypt.

Outro recurso de classificação dos sistemas de criptografia de disco é a maneira como funcionam. De acordo com o método de funcionamento, o sistema de criptografia de dados do disco é dividido em duas classes:

• sistemas de criptografia transparentes;
• sistemas especialmente chamados para criptografia.

Nos sistemas de criptografia transparentes (criptografia on the fly), as transformações criptográficas são realizadas em tempo real, sem que o usuário perceba. Por exemplo, um usuário grava um documento preparado em um editor de texto em um disco protegido e o sistema de proteção o criptografa durante o processo de gravação.

Os sistemas Classe II são geralmente utilitários que devem ser chamados especificamente para realizar a criptografia. Isso inclui, por exemplo, arquivadores com proteção de senha integrada.

A maioria dos sistemas que oferecem a definição de uma senha para um documento não criptografa as informações, apenas fornece uma solicitação de senha ao acessar o documento. Esses sistemas incluem MS Office, 1C e muitos outros.

3. Sistemas para criptografia de dados transmitidos por redes

Existem dois métodos principais de criptografia: criptografia de canal e criptografia de terminal (assinante).

Quando criptografia de canal todas as informações transmitidas pelo canal de comunicação são protegidas, incluindo informações de serviço. Este método de criptografia tem a seguinte vantagem - a incorporação de procedimentos de criptografia na camada de enlace de dados permite o uso de hardware, o que melhora o desempenho do sistema. No entanto, essa abordagem também tem desvantagens significativas:

• a criptografia de dados de serviço complica o mecanismo de roteamento de pacotes de rede e requer a descriptografia de dados em dispositivos de comunicação intermediários (gateways, repetidores, etc.);
• a criptografia de informações de serviço pode levar ao aparecimento de padrões estatísticos nos dados criptografados, o que afeta a confiabilidade da proteção e impõe restrições ao uso de algoritmos criptográficos.

Criptografia ponta a ponta (assinante) permite que você garanta a confidencialidade dos dados transferidos entre dois assinantes. Neste caso, apenas o conteúdo das mensagens é protegido, todas as informações do serviço permanecem abertas. A desvantagem é a capacidade de analisar informações sobre a estrutura da troca de mensagens, por exemplo, sobre o remetente e o destinatário, sobre o tempo e as condições da transferência de dados, bem como sobre a quantidade de dados transferidos.

4. Sistemas de autenticação eletrônica de dados

Ao trocar dados em redes, surge o problema de autenticação do autor do documento e do próprio documento, ou seja, autenticação do autor e verificação da ausência de alterações no documento recebido. Para autenticar dados, um código de autenticação de mensagem (inserção de imitação) ou uma assinatura eletrônica é usado.

Encarte de imitaçãoé gerado a partir de dados abertos por meio de uma transformação de criptografia especial usando uma chave secreta e transmitida por um canal de comunicação no final dos dados criptografados. A inserção da imitação é verificada pelo destinatário, que possui a chave privada, repetindo o procedimento realizado anteriormente pelo remetente nos dados públicos recebidos.

Eletrônico assinatura digital representa uma quantidade relativamente pequena de informações de autenticação adicionais transmitidas com o texto assinado. O remetente forma uma assinatura digital usando a chave secreta do remetente. O destinatário verifica a assinatura usando a chave pública do remetente.

Assim, para a implementação da inserção de imitação, são utilizados os princípios da criptografia simétrica, e para a implementação de uma assinatura eletrônica - assimétrica. Estudaremos esses dois sistemas de criptografia com mais detalhes posteriormente.

5. Ferramentas para gerenciar chaves criptográficas

A segurança de qualquer sistema criptográfico é determinada pelas chaves criptográficas utilizadas. No caso de gerenciamento de chaves inseguro, um invasor pode obter informações importantes e obter acesso total a todas as informações no sistema ou na rede.

Existem os seguintes tipos de funções de gerenciamento de chaves: geração, armazenamento e distribuição de chaves.

Os caminhos gerando chaves para criptosistemas simétricos e assimétricos são diferentes. Para gerar chaves de criptosistemas simétricos, hardware e software para geração de números aleatórios são usados. A geração de chaves para criptosistemas assimétricos é mais difícil, uma vez que as chaves devem ter certas propriedades matemáticas. Detenhamo-nos nesta questão com mais detalhes ao estudar criptosistemas simétricos e assimétricos.

Função armazenar envolve a organização de armazenamento seguro, contabilidade e descarte de informações importantes. Para garantir o armazenamento seguro das chaves, elas são criptografadas com outras chaves. Essa abordagem leva ao conceito de uma hierarquia de chave. Uma hierarquia de chave normalmente inclui uma chave mestra (ou seja, uma chave mestra), uma chave de criptografia de chave e uma chave de criptografia de dados. Deve-se observar que a geração e o armazenamento da chave mestra são questões críticas na proteção de criptografia.

Distribuiçãoé o processo mais crítico no gerenciamento de chaves. Este processo deve garantir o sigilo das chaves a serem distribuídas e deve ser rápido e preciso. As chaves são distribuídas entre os usuários da rede de duas maneiras:

• usando troca direta de chaves de sessão;
• usando um ou mais centros de distribuição de chaves.

Lista de documentos

1. SOBRE O SEGREDO DE ESTADO. Lei da Federação Russa de 21 de julho de 1993 Nº 5485-1 (conforme emenda pela Lei Federal Nº 131-FZ de 6 de outubro de 1997).
2. SOBRE INFORMAÇÕES, INFORMAÇÕES E PROTEÇÃO DE INFORMAÇÕES. Lei Federal da Federação Russa de 20 de fevereiro de 1995 No. 24-FZ. Adotado pela Duma Estadual em 25 de janeiro de 1995.
3. SOBRE A PROTEÇÃO LEGAL DE PROGRAMAS PARA COMPUTADORES ELETRÔNICOS E BANCOS DE DADOS. Lei da Federação Russa de 23 de setembro de 1992 No. 3524-1.
4. SOBRE ASSINATURA DIGITAL ELETRÔNICA. Lei Federal da Federação Russa de 10 de janeiro de 2002 No. 1-FZ.
5. SOBRE DIREITOS AUTORAIS E DIREITOS RELACIONADOS. Lei da Federação Russa datada de 9 de julho de 1993 No. 5351-1.
6. SOBRE ÓRGÃOS DE INFORMAÇÃO E COMUNICAÇÕES GOVERNAMENTAIS FEDERAIS. Lei da Federação Russa (conforme alterada pelo Decreto do Presidente da Federação Russa de 24 de dezembro de 1993 No. 2288; Lei Federal de 7 de novembro de 2000 No. 135-FZ.
7. Regulamentos sobre a acreditação de laboratórios de teste e organismos de certificação para produtos de segurança da informação de acordo com os requisitos de segurança da informação / Comissão Técnica Estadual sob o Presidente da Federação Russa.
8. Instruções sobre o procedimento de marcação de certificados de conformidade, suas cópias e meios de certificação de proteção de informações / Comissão Técnica Estadual sob o Presidente da Federação Russa.
9. Regulamentos sobre a certificação de objetos de informatização de acordo com os requisitos de segurança da informação / Comissão Técnica Estadual sob o Presidente da Federação Russa.
10. Regulamentos sobre a certificação de meios de segurança da informação de acordo com os requisitos de segurança da informação: com adições de acordo com o Decreto do Governo da Federação Russa datado de 26 de junho de 1995 No. 608 "Sobre a certificação de meios de segurança da informação" / Comissão Técnica Estadual sob o Presidente da Federação Russa.
11. Regulamentos sobre o licenciamento estadual de atividades no campo da proteção da informação / Comissão Técnica Estadual sob o Presidente da Federação Russa.
12. Sistemas automatizados. Proteção contra acesso não autorizado à informação. Classificação de sistemas automatizados e requisitos para proteção de informações: Documento de orientação / Comissão Técnica Estadual sob o Presidente da Federação Russa.
13. O conceito de proteção de equipamentos de informática e sistemas automatizados de acesso não autorizado à informação: Documento de orientação / Comissão Técnica Estadual sob o Presidente da Federação Russa.
14. Instalações de informática. Firewalls. Proteção contra acesso não autorizado à informação. Indicadores de segurança contra o acesso não autorizado à informação: Documento de orientação / Comissão Técnica Estatal sob o Presidente da Federação Russa.
15. Instalações de informática. Proteção contra acesso não autorizado à informação. Indicadores de segurança contra o acesso não autorizado à informação: Documento de orientação / Comissão Técnica Estatal sob o Presidente da Federação Russa.
16. Proteção de dados. Sinais de proteção especiais. Classificação e requisitos gerais: Documento de orientação / Comissão Técnica Estadual sob o Presidente da Federação Russa.
17. Proteção contra acesso não autorizado à informação. Termos e definições: Documento de orientação / Comissão Técnica Estadual sob o Presidente da Federação Russa.

Garantir a segurança da informação é um problema sócio-social, jurídico, econômico e científico complexo. Só uma solução abrangente de seus objetivos e metas simultaneamente em vários planos poderá exercer sua influência regulatória na garantia da segurança da informação do país. Os trabalhos desenvolvidos nesta área devem ter não só um enfoque prático, mas também uma base científica.

Os principais objetivos de garantir a segurança da informação são determinados com base em prioridades sustentáveis ​​de segurança nacional e econômica que atendam aos interesses de desenvolvimento social de longo prazo, que incluem:

Preservação e fortalecimento do Estado russo e estabilidade política na sociedade;

Preservação e desenvolvimento das instituições democráticas da sociedade, garantindo os direitos e liberdades dos cidadãos, fortalecendo o Estado de Direito e a lei e a ordem;

Assegurar um lugar digno e um papel do país na comunidade mundial;

Garantir a integridade territorial do país;

Garantir o desenvolvimento socioeconômico progressivo;

Preservação dos valores e tradições culturais nacionais.

De acordo com essas prioridades, as principais tarefas para garantir a segurança da informação são:

Identificação, avaliação e previsão de fontes de ameaças à segurança da informação;

Desenvolvimento de uma política de estado para garantir a segurança da informação, um conjunto de medidas e mecanismos para a sua implementação;

Desenvolvimento de um marco regulatório para garantir a segurança da informação, coordenando a atuação dos órgãos governamentais e empresariais para a garantia da segurança da informação;

Desenvolvimento de um sistema de garantia da segurança da informação, melhorando a sua organização, formas, métodos e meios de prevenir, combater e neutralizar as ameaças à segurança da informação e eliminar as consequências da sua violação;

Assegurar a participação ativa do país nos processos de criação do uso de global redes de informação e sistemas.

Os princípios mais importantes de segurança da informação são:

1) a legalidade das medidas de identificação e prevenção de infrações na esfera da informação;

2) a continuidade da implantação e aprimoramento dos meios e métodos de controle e proteção do sistema de informação;

3) viabilidade econômica, ou seja, comparabilidade de possíveis danos e custos para garantir a segurança da informação

4) a complexidade da utilização de todo o arsenal de meios de proteção disponíveis em todas as divisões da empresa e em todas as etapas do processo de informação.

A implementação do processo de proteção da informação inclui várias etapas:

Determinação do objeto de proteção: o direito de proteger o recurso de informação, a estimativa de custo do recurso de informação e seus principais elementos, a duração do ciclo de vida do recurso de informação, a trajetória do processo de informação pelas divisões funcionais do companhia;

Identificação das fontes de ameaças (concorrentes, criminosos, funcionários, etc.), objetivos das ameaças (familiarização, modificação, destruição, etc.), possíveis canais para a implementação de ameaças (divulgação, vazamento, etc.);

Determinação das medidas de proteção necessárias;

Avaliação de sua eficácia e viabilidade econômica;

Implementação das medidas tomadas, tendo em conta os critérios selecionados;

Comunicar ao pessoal as medidas tomadas, monitorizando a sua eficácia e eliminando (prevenindo) as consequências das ameaças.

A implementação das etapas descritas, na verdade, é um processo de gerenciamento da segurança da informação de um objeto e é fornecida por um sistema de controle que inclui, além do próprio objeto controlado (protegido), meios de monitorar seu estado, um mecanismo para comparar o estado atual com o necessário, bem como um mecanismo de controle de ações para localização e prevenção de danos por ameaças. Nesse caso, é aconselhável considerar como critério de gestão a obtenção de um mínimo de dano à informação, e a finalidade da gestão é garantir o estado exigido do objeto no sentido de sua segurança da informação.

Os métodos de segurança da informação são divididos em jurídicos, organizacionais e técnicos e econômicos.

PARA métodos legais a garantia da segurança da informação inclui o desenvolvimento de atos jurídicos normativos que regulam as relações na esfera da informação e documentos metodológicos normativos sobre segurança da informação. As áreas mais importantes desta atividade são:

Alterações e complementos na legislação que rege as relações em matéria de segurança da informação, com o objetivo de criar e melhorar o sistema de segurança da informação, eliminar as contradições internas da legislação federal, as contradições relacionadas com os acordos internacionais, bem como para concretizar as normas legais de responsabilização por infrações no domínio da segurança da informação;

Delimitação legislativa de competências no domínio de assegurar a definição de metas, objetivos e mecanismos de participação nesta atividade de associações, organizações públicas e cidadãos;

Desenvolvimento e adoção de atos jurídicos regulatórios que estabelecem a responsabilidade de pessoas jurídicas e indivíduos pelo acesso não autorizado à informação, sua cópia ilegal, distorção e uso ilegal, disseminação deliberada de informações imprecisas, divulgação ilegal informação confidencial, uso de informações oficiais ou informações contendo segredos comerciais para fins criminais e mercenários;

Esclarecimento sobre a situação das agências de notícias, meios de comunicação e jornalistas estrangeiros, bem como dos investidores na atração de investimentos estrangeiros para o desenvolvimento da infraestrutura de informação nacional;

Consolidação legislativa da prioridade do desenvolvimento das redes nacionais de comunicação e produção nacional de satélites de comunicação espacial;

Determinação da situação das organizações que prestam serviços de redes globais de informação e comunicação e regulamentação legal das atividades dessas organizações;

Criação de base jurídica para a formação de estruturas regionais de garantia da segurança da informação.

Organizacional e técnico os métodos de segurança da informação são:

Criação e aprimoramento do sistema estadual de segurança da informação;

Reforçar a actividade de aplicação da lei por parte das autoridades, incluindo a prevenção e repressão de infracções no domínio da informação, bem como a identificação, denúncia e acusação de pessoas que cometeram crimes e outras infracções nesta área;

Desenvolvimento, utilização e aprimoramento de meios de segurança da informação e métodos de monitoramento da eficácia desses meios, desenvolvimento de sistemas de telecomunicações seguros, aumentando a confiabilidade de softwares especiais;

Criação de sistemas e meios de prevenção do acesso não autorizado à informação tratada e dos efeitos especiais que causem destruição, destruição, distorção da informação, bem como alteração dos modos normais de funcionamento dos sistemas e meios de informatização e comunicação;

Revelador dispositivos técnicos e programas que ameacem o funcionamento normal dos sistemas de informação e comunicação, evitando a interceptação de informações por meio de canais técnicos, a utilização de meios criptográficos de proteção da informação durante seu armazenamento, processamento e transmissão por canais de comunicação, monitorando a implementação de requisitos especiais para proteção da informação;

Certificação de meios de segurança da informação, licenciamento de atividades no domínio da proteção de segredos de Estado, padronização de métodos e meios de segurança da informação;

Aprimoramento do sistema de certificação de equipamentos de telecomunicações e software para sistemas automatizados de processamento de informações de acordo com os requisitos de segurança da informação;

Controle sobre as ações do pessoal nos sistemas de informação protegidos, capacitação na área de garantia da segurança da informação do Estado;

Formação de um sistema de monitoramento de indicadores e características da segurança da informação nas mais importantes esferas da vida e atividades da sociedade e do Estado.

Métodos econômicos garantir a segurança da informação inclui:

Elaboração de programas de garantia da segurança da informação do Estado e determinação do procedimento para seu financiamento;

Aprimoramento do sistema de financiamento de obras relacionado com a implementação de métodos jurídicos, organizacionais e técnicos de proteção da informação, criação de um sistema de seguro de riscos de informação de pessoas físicas e jurídicas.

Junto com o uso generalizado métodos padrão e fundos para a economia, as áreas prioritárias de segurança da informação são:

Elaboração e adoção de dispositivos legais que estabeleçam a responsabilidade de pessoas jurídicas e físicas por acesso não autorizado e furto de informações, divulgação deliberada de informações incorretas, divulgação de segredos comerciais, vazamento de informações confidenciais;

Construir um sistema de informação estatística estadual que garanta a confiabilidade, completude, comparabilidade e segurança da informação, introduzindo estrita responsabilidade legal das fontes primárias de informação, organizando o controle efetivo sobre suas atividades e das atividades de processamento e análise de informação estatística, limitando sua comercialização , usando meios especiais de segurança da informação organizacional e de software e hardware;

Criação e aperfeiçoamento de meios especiais de proteção da informação financeira e comercial;

Desenvolvimento de um conjunto de medidas organizacionais e técnicas para melhorar a tecnologia atividades de informação e proteção da informação em estruturas econômicas, financeiras, industriais e outras estruturas econômicas, levando em consideração os requisitos de segurança da informação específicos da economia;

Melhoria do sistema de seleção e formação profissional de pessoal, dos sistemas de seleção, tratamento, análise e divulgação da informação económica.

Políticas públicas a garantia da segurança da informação constitui as diretrizes de atuação das autoridades e da administração do Estado no campo da garantia da segurança da informação, incluindo a garantia dos direitos de todos os sujeitos à informação, consolidando os deveres e responsabilidades do Estado e de seus órgãos pela segurança da informação do país , e baseia-se na manutenção de um equilíbrio de interesses do indivíduo, da sociedade e do Estado na esfera da informação.

A política estadual de segurança da informação é baseada nas seguintes disposições básicas:

A restrição do acesso à informação é uma exceção ao princípio geral de abertura da informação e é aplicada apenas com base na legislação;

A responsabilidade pela segurança da informação, sua classificação e desclassificação é personificada;

O acesso a qualquer informação, bem como as restrições impostas ao acesso, são efetuados tendo em consideração os direitos de propriedade a essa informação determinados por lei;

Formação pelo Estado de um quadro jurídico e regulamentar que rege os direitos, deveres e responsabilidades de todas as entidades que operam no domínio da informação;

Legal e indivíduos a coleta, acumulação e processamento de dados pessoais e informações confidenciais são responsáveis ​​perante a lei por sua segurança e uso;

Fornecer ao Estado meios legais para proteger a sociedade de informações falsas, distorcidas e imprecisas que chegam pelos meios de comunicação;

Implementação do controlo estatal sobre a criação e utilização de ferramentas de segurança da informação através da sua obrigatoriedade de certificação e licenciamento de actividades no domínio da segurança da informação;

Executar uma política protecionista do Estado que apoie as atividades dos fabricantes nacionais de tecnologia da informação e proteção da informação e tome medidas para proteger o mercado interno da penetração de meios de comunicação e produtos de informação de baixa qualidade;

Apoio do estado em fornecer aos cidadãos acesso a recursos de informação mundial, redes globais de informação,

Formação pelo estado de um programa federal de segurança da informação que reúna esforços organizações governamentais e estruturas comerciais na criação de um sistema unificado de segurança da informação para o país;

O estado se esforça para neutralizar a expansão da informação de outros países, apóia a internacionalização das redes e sistemas globais de informação.

Com base nos princípios e disposições declarados, são determinadas as orientações gerais para a formação e implementação da política de segurança da informação nas esferas política, econômica e outras da atividade do Estado.

A política de Estado como mecanismo de harmonização de interesses dos sujeitos das relações de informação e busca de soluções de compromisso prevê a formação e organização do trabalho efetivo de diversos conselhos, comitês e comissões com ampla representação de especialistas e de todas as estruturas interessadas. Os mecanismos de implementação da política de estado devem ser flexíveis e oportunos, refletindo as mudanças que estão ocorrendo na vida econômica e política do país.

O apoio jurídico à segurança da informação do estado é área prioritária para a formação de mecanismos para a implementação da política de segurança da informação e inclui:

1) atividades normativas para a criação de legislação que regule as relações na sociedade relacionadas com a garantia da segurança da informação;

2) Actividades executivas e de aplicação da lei para a implementação da legislação no domínio da informação, informatização e protecção da informação por parte das autoridades e gestores estatais, organizações, cidadãos.

Atividade normativa no campo da segurança da informação oferece:

Avaliação do estado da legislação em vigor e desenvolvimento de um programa para o seu aperfeiçoamento;

Criação de mecanismos organizacionais e legais para garantir a segurança da informação;

Formação do estatuto jurídico de todos os sujeitos do sistema de segurança da informação, utilizadores dos sistemas de informação e telecomunicações e determinação da sua responsabilidade pela garantia da segurança da informação;

Desenvolvimento de um mecanismo organizacional e legal de recolha e análise de dados estatísticos sobre o impacto das ameaças à segurança da informação e suas consequências, tendo em consideração todos os tipos de informação;

Desenvolvimento de atos legislativos e outros atos normativos que regulem o procedimento de eliminação das consequências do impacto das ameaças, restaurando direitos e recursos violados e implementando medidas compensatórias.

Atividades executivas e de fiscalização dispõe sobre o desenvolvimento de procedimentos para a aplicação de legislação e regulamentação às entidades que cometeram crimes e faltas no trabalho com informações confidenciais e violaram as regras de interação de informações. Todas as atividades de apoio jurídico à segurança da informação baseiam-se em três disposições fundamentais do direito: o cumprimento do Estado de Direito, a garantia do equilíbrio dos interesses dos sujeitos individuais e do Estado e a inevitabilidade da punição.

O cumprimento da lei pressupõe a existência de leis e demais disposições regulamentares, a sua aplicação e execução pelos sujeitos de direito no domínio da segurança da informação.

12,3. ESTADO DE SEGURANÇA DA INFORMAÇÃO NA RÚSSIA

A avaliação do estado de segurança da informação do estado envolve a avaliação das ameaças existentes. A cláusula 2 da "Doutrina de segurança da informação da Federação Russa" 1 identifica as seguintes ameaças à segurança da informação na Federação Russa:

Ameaças aos direitos e liberdades constitucionais do homem e dos cidadãos no campo da vida espiritual e atividades de informação, individual, coletiva e consciência pública, o renascimento espiritual da Rússia;

Ameaças ao suporte de informação da política estatal da Federação Russa;

Ameaças ao desenvolvimento da indústria nacional de informação, incluindo a indústria de informatização, telecomunicações e comunicações, atendendo às necessidades do mercado nacional de seus produtos e a entrada desses produtos no mercado mundial, bem como garantindo o acúmulo, preservação e uso eficaz de recursos de informação domésticos;

__________________________________________________________________

Ameaças à segurança dos sistemas de informação e telecomunicações, já implantados e criados no território da Rússia.

Fontes externas de ameaças à segurança da informação da Rússia incluem:

1) as atividades de estruturas políticas, econômicas, militares, de inteligência e de informação estrangeiras dirigidas contra a Federação Russa na esfera da informação;

2) o desejo de vários países de dominar e infringir os interesses da Rússia no espaço de informação global, de expulsá-lo dos mercados de informação externo e interno;

3) agravamento da competição internacional pela posse de tecnologias e recursos de informação;

4) as atividades de organizações terroristas internacionais;

5) aumentar a lacuna tecnológica entre as principais potências mundiais e desenvolver suas capacidades para combater a criação de tecnologias de informação russas competitivas;

6) atividades técnicas espaciais, aéreas, marítimas e terrestres e outros meios (tipos) de inteligência de estados estrangeiros;

7) o desenvolvimento por vários estados de conceitos de guerras de informação, prevendo a criação de meios de influência perigosa nas esferas de informação de outros países do mundo, perturbação do funcionamento normal dos sistemas de informação e telecomunicações, a segurança da informação recursos, obtendo acesso não autorizado a eles.

Fontes internas de ameaças à segurança da informação da Rússia incluem:

1) o estado crítico das indústrias domésticas;

2) uma situação de criminalidade desfavorável, acompanhada de tendências para a fusão das estruturas estatais e criminais na esfera da informação, para que as estruturas criminais tenham acesso à informação confidencial, aumentem a influência do crime organizado na vida da sociedade, diminuam o grau de protecção dos legítimos interesses dos cidadãos, da sociedade e do Estado na esfera da informação;

3) coordenação insuficiente das atividades dos órgãos federais do poder estadual, órgãos do poder estadual das entidades constituintes da Federação Russa na formação e implementação de uma política estadual unificada no campo da garantia da segurança da informação da Federação Russa;

4) insuficiente elaboração do quadro normativo que rege as relações em matéria de informação, bem como insuficiente prática de aplicação da lei;

5) subdesenvolvimento das instituições da sociedade civil e controle insuficiente sobre o desenvolvimento do mercado de informação na Rússia;

6) insuficiente poder econômico do Estado;

7) diminuição da eficiência do sistema de educação e formação, número insuficiente de pessoal qualificado no domínio da segurança da informação;

8) O atraso da Rússia em relação aos principais países do mundo em termos de informatização de órgãos do governo federal, crédito e finanças, indústria, agricultura, educação, saúde, serviços e vida cotidiana dos cidadãos.

Nos últimos anos, a Rússia implementou um conjunto de medidas para melhorar o fornecimento de sua segurança de informações. Medidas foram tomadas para garantir a segurança da informação em órgãos do governo federal, órgãos governamentais das entidades constituintes da Federação Russa, em empresas, instituições e organizações, independentemente da forma de propriedade. O trabalho foi iniciado para criar um sistema seguro de informação e telecomunicações para fins especiais no interesse das autoridades estaduais.

O sistema estatal de proteção de informações, o sistema de proteção de segredos de Estado e o sistema de certificação de meios de proteção de informações contribuem para a solução bem-sucedida das questões de garantia da segurança da informação na Federação Russa.

A estrutura sistema estadual proteção de informações são:

Órgãos do poder e da administração do Estado da Federação Russa e das entidades constituintes da Federação Russa, que resolvam os problemas de garantia da segurança da informação dentro dos limites de suas competências;

Comissões e conselhos estaduais e interdepartamentais especializados em questões de segurança da informação;

Comissão Técnica Estadual sob o Presidente da Federação Russa;

Serviço Federal de Segurança da Federação Russa;

Ministério de Assuntos Internos da Federação Russa;

Ministério da Defesa da Federação Russa;

Agência Federal para Comunicações e Informações Governamentais sob o Presidente da Federação Russa;

Serviço de Inteligência Estrangeira da Federação Russa;

Divisões estruturais e intersetoriais para a proteção da informação das autoridades públicas;

Organizações líderes e líderes de pesquisa, científica e técnica, de design e de engenharia para a proteção de informações;

Escolas realização de treinamento e reciclagem de pessoal para atuação no sistema de segurança da informação.

A Comissão Técnica Estadual sob o Presidente da Federação Russa, como um órgão governamental, implementa uma política técnica unificada e coordena o trabalho no campo da proteção da informação, dirige o sistema estadual para proteger as informações da inteligência técnica e é responsável por garantir a proteção de informações de seu vazamento através de canais técnicos no território da Rússia, monitora a eficácia das medidas de proteção tomadas.

Um lugar especial no sistema de segurança da informação é ocupado por organizações estatais e públicas que exercem controle sobre as atividades da mídia estatal e não estatal.

Até o momento, uma estrutura legislativa e regulatória foi formada no campo da segurança da informação na Rússia, que inclui:

1. Leis da Federação Russa:

A Constituição da Federação Russa;

“Sobre bancos e atividades bancárias”;

"Sobre segurança";

"On Foreign Intelligence";

"Sobre segredos de estado";

“Sobre comunicação”;

“Sobre certificação de produtos e serviços”;

"Na mídia de massa";

"Na padronização";

“Sobre informação, tecnologia da informação e proteção da informação”;

"Nos Órgãos do Serviço Federal de Segurança da Federação Russa";

“Na cópia obrigatória dos documentos”;

“Sobre a participação em intercâmbio internacional de informações”;

"Assinatura digital O6", etc.

2. Atos jurídicos normativos do Presidente da Federação Russa:

"Doutrina de segurança da informação da Federação Russa";

"Sobre a Estratégia de Segurança Nacional da Federação Russa até 2020";

“Sobre algumas questões da comissão interdepartamental para a proteção dos segredos de Estado”;

“Na lista das informações classificadas como segredos de Estado”;

“Sobre os fundamentos da política de Estado no domínio da informatização”;

“Com a aprovação da lista de informações confidenciais”, etc.

H. Atos legais regulamentares do Governo da Federação Russa:

“Sobre a certificação de ferramentas de segurança da informação”;

“Sobre o licenciamento da actividade de empresas, instituições e organizações para a realização de trabalhos relacionados com a utilização da informação que constitua segredo de Estado, a criação de meios de segurança da informação, bem como a implementação de medidas e (ou) a prestação de serviços ao proteção de segredos de Estado ";

“Sobre a aprovação das regras de classificação das informações que constituem segredo de Estado em diversos graus de sigilo”;

“Sobre o licenciamento de certos tipos de atividades”, etc.

4. Documentos orientadores da Comissão Técnica Estadual da Rússia:

“O conceito de proteção de equipamentos de informática e sistemas automatizados contra o acesso não autorizado à informação”;

“Instalações de informática. Proteção contra acesso não autorizado à informação. Indicadores de segurança contra acesso não autorizado à informação ";

“Sistemas automatizados. Proteção contra acesso não autorizado à informação. Classificação de sistemas automatizados e requisitos para proteção de informação ";

"Proteção de dados. Sinais de proteção especiais. Classificação e requisitos gerais ";

"Proteção contra acesso não autorizado à informação. Parte 1. Software para segurança da informação. Classificação de acordo com o nível de controle da ausência de oportunidades não declaradas ”.

5. Código Civil da Federação Russa (parte quatro).

6. O Código Penal da Federação Russa.

A cooperação internacional no campo da garantia da segurança da informação é parte integrante da interação econômica, política, militar, cultural e de outros tipos entre os países da comunidade mundial. Essa cooperação deve ajudar a melhorar a segurança da informação de todos os membros da comunidade mundial, incluindo a Rússia. A peculiaridade da cooperação internacional da Federação Russa no campo da segurança da informação reside no fato de ser realizada no contexto de uma competição internacional acirrada pela posse de tecnologia e recursos de informação, pelo domínio dos mercados de venda, fortalecendo o fosso tecnológico entre as grandes potências mundiais e construindo as suas capacidades de criação de “armas de informação”. Isso pode levar a uma nova etapa no desenvolvimento de uma corrida armamentista na esfera da informação.

A cooperação internacional no campo da segurança da informação é baseada no seguinte marco regulatório:

Acordo com a República do Cazaquistão de 13 de janeiro de 1995, com Moscou (Decreto do Governo da Federação Russa de 15 de maio de 1994 Nch 679);

Acordo com a Ucrânia de 14 de junho de 1996, Kiev (Resolução do Governo da Federação Russa de 7 de junho de 1996 Ns 655);

Acordo com a República da Bielo-Rússia (Projeto);

Emissão de certificados e licenças para intercâmbio internacional de informações (Lei Federal de 4 de julho de 1996, X 85-FZ).

As principais áreas de cooperação internacional que atendem aos interesses da Federação Russa são:

Prevenção de acesso não autorizado a informações confidenciais em redes e canais bancários internacionais suporte de informação comércio mundial, a informações confidenciais em sindicatos, blocos e organizações econômicos e políticos internacionais, a informações em organizações internacionais de aplicação da lei que lutam contra o crime organizado internacional e o terrorismo internacional;

Proibição do desenvolvimento, proliferação e uso de “armas de informação”;

Garantir a segurança do intercâmbio internacional de informações, incluindo a segurança das informações durante sua transmissão por meio de redes nacionais de telecomunicações e canais de comunicação;

Coordenação das atividades dos órgãos de aplicação da lei dos Estados participantes da cooperação internacional na prevenção de crimes de informática;

Participação no conferências internacionais e exposições sobre o problema da segurança da informação.

No âmbito da cooperação, atenção especial deve ser dada aos problemas de interação com os países da CEI, levando em consideração as perspectivas de criação de um espaço único de informação no território da ex-URSS, dentro do qual se encontram sistemas de telecomunicações e linhas de comunicação praticamente unificados. usava.

Ao mesmo tempo, uma análise do estado da segurança da informação na Rússia mostra que seu nível não atende plenamente às necessidades da sociedade e do estado. As atuais condições de desenvolvimento político e socioeconômico do país exacerbam as contradições entre as necessidades da sociedade em ampliar a livre troca de informações e a necessidade de preservar certas restrições regulamentadas à sua divulgação.

Os direitos dos cidadãos à inviolabilidade da vida privada, aos segredos pessoais e familiares e à confidencialidade da correspondência consagrada na Constituição da Federação Russa não têm apoio legal, organizacional e técnico suficiente. A proteção de dados pessoais coletados por autoridades do governo federal é insatisfatória.

Há uma falta de clareza na condução da política de estado no campo da formação do espaço de informação russo, o desenvolvimento do sistema de mídia de massa, a organização do intercâmbio internacional de informação e a integração do espaço de informação da Rússia no global espaço de informação, que cria condições para expulsar as agências de notícias russas e os meios de comunicação de massa do mercado interno de informação e das estruturas de deformação do intercâmbio internacional de informações.

Não há apoio governamental suficiente para as atividades das agências de notícias russas para promover seus produtos no mercado de informação internacional.

A situação com a garantia da segurança das informações que constituem segredo de estado está se deteriorando.

O potencial do pessoal das equipas científicas e de produção que operam no domínio da criação das tecnologias da informação, telecomunicações e comunicações, causou graves prejuízos ao êxodo em massa dos mais qualificados especialistas dessas equipas.

A defasagem das tecnologias de informação domésticas força as autoridades estaduais da Federação Russa, ao criarem sistemas de informação, a seguir o caminho da compra de equipamentos importados e atrair empresas estrangeiras, o que aumenta a probabilidade de acesso não autorizado às informações processadas e aumenta a dependência da Rússia de fabricantes estrangeiros de equipamento informático e de telecomunicações, bem como de fornecimento de software.

Em conexão com a introdução intensiva de tecnologias de informação estrangeiras nas esferas de atividade do indivíduo, da sociedade e do Estado, bem como com a utilização generalizada de sistemas abertos de informação e telecomunicações, a integração dos sistemas de informação nacionais e internacionais, as ameaças de o uso de “armas de informação” contra a infraestrutura de informação da Rússia aumentou. Os esforços para enfrentar de forma adequada e abrangente essas ameaças estão sendo realizados com coordenação insuficiente e financiamento orçamentário insuficiente.

Perguntas de controle

1. Qual é o lugar da segurança da informação no sistema de segurança econômica do Estado? Mostrar por exemplos a importância da segurança da informação para garantir a segurança econômica do estado?

2. Qual a razão do aumento da importância da segurança da informação na era moderna?

3. Descrever as principais categorias de segurança da informação: informação, informatização, documento, processo de informação, sistema de informação, recursos de informação, dados pessoais, informação confidencial.

4. Quais são os interesses do indivíduo, da sociedade e do Estado na esfera da informação?

5. Quais são os tipos de ameaças à segurança da informação?

6. Cite as formas de impacto das ameaças nos objetos de segurança da informação.

7. Explique o conceito de "guerra de informação".

8. Lista fontes externas ameaças à segurança da informação da Rússia.

9. Liste as fontes internas de ameaças à segurança da informação na Rússia.

10. Quais regulamentações fornecem segurança da informação no território da Federação Russa?

11. Quais são as regulamentações internacionais no campo da proteção de informações que você conhece?

12. Qual é a essência da política estadual de segurança da informação?

13. Liste os métodos para garantir a segurança da informação.

14. Descreva a estrutura do sistema de proteção de informações do estado

15. Faça uma avaliação do estado da segurança da informação na Rússia.

Política de segurança da informação.

1. Disposições Gerais

Esta Política de Segurança da Informação ( Avançar - Política ) define o sistema de visões sobre o problema de garantia da segurança da informação e é uma declaração sistematizada de metas e objetivos, bem como de aspectos organizacionais, tecnológicos e procedimentais para garantir a segurança da informação de objetos de infraestrutura de informação, incluindo um conjunto de informações centros, bancos de dados e sistemas de comunicação da organização. Esta Política foi desenvolvida levando em consideração os requisitos da legislação vigente da Federação Russa e as perspectivas imediatas para o desenvolvimento de instalações de infraestrutura de informação, bem como as características e capacidades de métodos organizacionais e técnicos modernos e hardware e software para proteção de informação .

As principais disposições e requisitos da Política se aplicam a todas as divisões estruturais da organização.

A política constitui a base metodológica para a formação e implementação de uma política unificada no domínio da garantia da segurança da informação dos objetos da infraestrutura de informação, tomando decisões de gestão coordenadas e desenvolvendo medidas práticas destinadas a garantir a segurança da informação, coordenando as atividades das divisões estruturais da a organização na execução de trabalhos de criação, desenvolvimento e operação de objetos de informação, infraestrutura em conformidade com os requisitos de segurança da informação.

A política não regulamenta as questões de organização da proteção de instalações e garantia da segurança e integridade física dos componentes da infraestrutura de informação, proteção contra desastres naturais e falhas no sistema de alimentação, no entanto, implica a construção de um sistema de segurança da informação nas mesmas bases conceituais do sistema de segurança da organização como um todo.

A implementação da política é assegurada por directrizes, regulamentos, procedimentos, instruções, directrizes adequadas e um sistema de avaliação da segurança da informação na organização.

A Política usa os seguintes termos e definições:

Sistema automato ( COMO) — um sistema constituído por pessoal e um complexo de meios de automação de suas atividades, que implementa a tecnologia da informação para o desempenho das funções estabelecidas.

Infraestrutura de informação- um sistema de estruturas organizacionais que assegure o funcionamento e o desenvolvimento do espaço de informação e dos meios de interação da informação. A infraestrutura de informação inclui um conjunto de centros de informação, bancos de dados e conhecimento, sistemas de comunicação e fornece aos consumidores acesso a recursos de informação.

Recursos informativos ( IR) - estes são documentos separados e matrizes separadas de documentos, documentos e matrizes de documentos em sistemas de informação ( bibliotecas, arquivos, fundos, bancos de dados e outros sistemas de informação).

Sistema de informação (IP) - sistema de processamento de informações e recursos organizacionais relacionados ( humano, técnico, financeiro, etc.) que fornecem e divulgam informações.

Segurança - o estado de proteção de interesses ( metas) organizações face às ameaças.

Segurança da Informação ( IB) — segurança relacionada a ameaças na esfera da informação. A segurança é alcançada garantindo um conjunto de propriedades de SI - disponibilidade, integridade, confidencialidade dos ativos de informação. A prioridade das propriedades de IS é determinada pelo valor desses ativos para os juros ( metas) organização.

Disponibilidade de ativos de informação - propriedade do SI de uma organização, que consiste no fato de os ativos de informação serem fornecidos a um usuário autorizado, na forma e no local que o usuário solicitar e no momento em que ele precisar.

Integridade dos ativos de informação - propriedade da segurança da informação de uma organização para manter inalteradas ou corrigir as mudanças detectadas em seus ativos de informação.

Confidencialidade de ativos de informação - propriedade da segurança da informação de uma organização, que consiste no fato de o processamento, armazenamento e transferência dos ativos de informação serem realizados de forma que os ativos de informação estejam disponíveis apenas para usuários autorizados, objetos do sistema ou processos.

Sistema de segurança da informação ( NIB) — um conjunto de medidas de proteção, equipamentos de proteção e processos de sua operação, incluindo recursos e administrativos ( organizacional) provisão.

Acesso não autorizado- acesso a informações que violem os poderes oficiais de um funcionário, acesso a informações que estão fechadas para acesso público por pessoas que não têm permissão para acessar essas informações ou obter acesso às informações por uma pessoa que tem o direito de acessar essas informações em valor que exceda o necessário para cumprir funções oficiais.

2. Requisitos gerais para segurança da informação

Requisitos de segurança da informação ( Avançar -IB ) determinar o conteúdo e os objetivos das atividades da organização dentro dos processos de gerenciamento de SI.

Esses requisitos são formulados para as seguintes áreas:

• atribuição e distribuição de funções e confiança no pessoal;
• estágios do ciclo de vida de objetos de infraestrutura de informação;
• proteção contra acesso não autorizado ( Avançar - NSD ), controle de acesso e registro em sistemas automatizados, em equipamentos de telecomunicações e centrais telefônicas automáticas, etc .;
• proteção antivírus;
• uso de recursos da Internet;
• uso de meios de proteção de informações criptográficas;
• protecção de dados pessoais.

3. Objetos a serem protegidos

Os principais objetos a serem protegidos são:

• recursos informativos apresentados sob a forma de documentos e matrizes de informações, independentemente da forma e do tipo de apresentação, incluindo informações confidenciais e abertas;
• sistema de formação, distribuição e uso de recursos de informação, bibliotecas, arquivos, bases de dados e bancos de dados, tecnologias da informação, regulamentos e procedimentos para a recolha, processamento, armazenamento e transmissão de informação, pessoal técnico e de serviço;
• infraestrutura de informação, incluindo sistemas para processamento e análise de informações, ferramentas técnicas e de software para seu processamento, transmissão e exibição, incluindo troca de informações e canais de telecomunicações, sistemas e meios de segurança da informação, objetos e instalações nos quais os componentes da infraestrutura de informação estão localizados.

3.1. Características do sistema automatizado

Informações de diferentes categorias circulam na UA. As informações protegidas podem ser compartilhadas por diferentes usuários de diferentes sub-redes de uma única rede corporativa.

Uma série de subsistemas AS fornecem para interação com o externo ( estatal e comercial, russo e estrangeiro) organizações em canais de comunicação comutados e dedicados usando meios especiais de transmissão de informações.

O complexo de meios técnicos da UA inclui meios de processamento de dados ( estações de trabalho, servidores de banco de dados, servidores de correio etc.), meio de troca de dados em redes locais com a capacidade de acessar redes globais ( cabeamento, pontes, gateways, modems, etc.), bem como instalações de armazenamento ( incl. arquivamento) dados.

As principais características do funcionamento da UA incluem:

• a necessidade de combinar um grande número de vários meios técnicos para processar e transmitir informações em um único sistema;
• uma grande variedade de tarefas a serem resolvidas e tipos de dados processados;
• combinar informações para diversos fins, pertencimento e níveis de confidencialidade em bases de dados comuns;
• disponibilidade de canais de conexão a redes externas;
• continuidade de funcionamento;
• a presença de subsistemas com requisitos distintos ao nível dos níveis de segurança, fisicamente unidos numa única rede;
• uma variedade de categorias de usuários e pessoal de serviço.

Em termos gerais, um único AS é um conjunto de redes locais de subdivisões, interligadas por meio de telecomunicações. Cada rede local une uma série de subsistemas automatizados interconectados e interagindo ( sites tecnológicos), garantindo a solução de problemas por divisões estruturais individuais da organização.

Objetos de informatização incluem:

• equipamento tecnológico ( instalações de informática, rede e equipamento de cabo);
• recursos informacionais;
• Programas ( sistemas operacionais, sistemas de gerenciamento de banco de dados, sistema geral e software de aplicativo);
• sistemas automatizados de comunicação e transmissão de dados (telecomunicações);
• canais de conexão;
• espaço de escritório.

3.2. Tipos de ativos de informação da organização a serem protegidos

Informações de vários níveis de sigilo circulam nos subsistemas de AS da organização, contendo informações de distribuição limitada ( serviço, comercial, dados pessoais) e informações abertas.

O fluxo de documentos da UA contém:

• ordens de pagamento e documentos financeiros;
• relatórios ( financeiro, analítico, etc.);
• informações sobre contas pessoais;
• dados pessoais;
• outras informações de distribuição limitada.

Todas as informações que circulam na UA e contidas nos seguintes tipos de ativos de informação estão sujeitas a proteção:

• informação que constitui segredo comercial e oficial, cujo acesso é limitado pela organização, enquanto titular da informação, nos termos da Lei Federal " Sobre a informação, informatização e proteção da informação "Direitos e lei federal" Sobre segredos comerciais »;
• dados pessoais, cujo acesso é limitado de acordo com a Lei Federal " Sobre dados pessoais »;
• informação aberta, no sentido de garantir a integridade e disponibilidade da informação.

3,3. Categorias de usuários do sistema automatizado

A organização possui um grande número de categorias de usuários e pessoal de serviço, que devem ter diferentes poderes para acessar os recursos de informação da UA:

• usuários comuns ( usuários finais, funcionários de unidades organizacionais);
• administradores de servidor ( servidores de arquivos, servidores de aplicativos, servidores de banco de dados), redes locais e sistemas de aplicativos;
• programadores de sistema ( responsável pela manutenção de software geral) em servidores e estações de trabalho de usuários;
• desenvolvedores de software de aplicação;
• especialistas em manutenção de meios técnicos de informática;
• administradores de segurança da informação, etc.

3.4. Vulnerabilidade dos principais componentes do Sistema Automatizado

Os componentes mais vulneráveis ​​da AU são as estações de trabalho em rede - estações de trabalho automatizadas ( Avançar - AWP ) trabalhadores. Tentativas de acesso não autorizado a informações ou tentativas de ações não autorizadas ( não intencional e intencional) em uma rede de computadores. As violações da configuração do hardware e software das estações de trabalho e interferências ilegais nos processos do seu funcionamento podem levar ao bloqueio de informações, à impossibilidade de resolução atempada de tarefas importantes e à falha de estações de trabalho e subsistemas individuais.

Elementos de rede, como servidores de arquivos dedicados, servidores de banco de dados e servidores de aplicativos, precisam de proteção especial. As desvantagens dos protocolos de troca e meios de diferenciar o acesso aos recursos do servidor podem tornar possível o acesso não autorizado a informações protegidas e influenciar a operação de vários subsistemas. Neste caso, as tentativas podem ser feitas como um controle remoto ( de estações de rede) e direto ( do console do servidor) impacto no funcionamento dos servidores e na sua proteção.

Pontes, gateways, hubs, roteadores, switches e outros dispositivos de rede, links e comunicações também precisam de proteção. Eles podem ser usados ​​por invasores para reestruturar e desorganizar as operações de rede, interceptar as informações transmitidas, analisar o tráfego e implementar outros métodos de interferência nos processos de troca de dados.

4. Princípios básicos de segurança da informação

4.1. Princípios gerais de operação segura

• Oportunidade de detecção de problemas. A organização deve identificar problemas em tempo hábil que possam afetar seus objetivos de negócios.
• Previsibilidade do desenvolvimento de problemas. A organização deve identificar a relação causal de possíveis problemas e construir, com base nisso, uma previsão precisa de seu desenvolvimento.
• Avaliação do impacto dos problemas nas metas de negócios. A organização deve avaliar adequadamente o impacto dos problemas identificados.
• Adequação das medidas de proteção. Convém que a organização selecione medidas de proteção que sejam adequadas aos modelos de ameaças e ofensores, levando em consideração os custos de implementação de tais medidas e a quantidade de perdas possíveis com a implementação de ameaças.
• Eficácia das medidas de proteção. A organização deve implementar efetivamente as medidas de proteção tomadas.
• Utilizando experiência na tomada e implementação de decisões. A organização deve acumular, generalizar e usar sua própria experiência e a experiência de outras organizações em todos os níveis de tomada de decisão e sua implementação.
• Continuidade dos princípios de operação segura. A organização deve assegurar a continuidade da implementação dos princípios de operação segura.
• Controlabilidade das medidas de proteção. Recomenda-se que a organização aplique apenas as salvaguardas que podem ser verificadas para seu funcionamento adequado e que avalie regularmente a adequação das salvaguardas e a eficácia de sua implementação, levando em consideração o impacto das salvaguardas nos objetivos de negócios da organização.

4.2. Princípios especiais para garantir a segurança da informação

• A implementação de princípios especiais de segurança da informação visa aumentar o nível de maturidade dos processos de gestão da segurança da informação em uma organização.
• Definição de objetivos. Os objetivos funcionais e de segurança da informação da organização devem ser explicitamente definidos em um documento interno. A incerteza leva a “ vagueza”Estrutura organizacional, funções de pessoal, políticas de segurança da informação e impossibilidade de avaliação da adequação das medidas de proteção tomadas.
• Conhecer seus clientes e funcionários. A organização deve ter informações sobre seus clientes, selecionar cuidadosamente o pessoal ( operários), desenvolver e manter a ética corporativa, que cria um ambiente favorável de confiança para as atividades da organização de gestão de ativos.
• Personificação e divisão adequada de funções e responsabilidades. Convém que a responsabilidade dos funcionários da organização pelas decisões relacionadas aos seus ativos seja personificada e executada principalmente na forma de fiança. Deve ser adequado ao grau de influência nos objetivos da organização, ser fixado em políticas, controlado e aprimorado.
• Adequação de papéis a funções e procedimentos e sua comparabilidade com os critérios e o sistema de avaliação. As funções devem refletir adequadamente as funções desempenhadas e os procedimentos para sua implementação adotados na organização. Ao atribuir funções inter-relacionadas, a seqüência necessária de sua implementação deve ser levada em consideração. A função deve ser consistente com os critérios de avaliação da eficácia de sua implementação. O conteúdo principal e a qualidade da função desempenhada são efetivamente determinados pelo sistema de avaliação que lhe é aplicado.
• Disponibilidade de serviços e serviços. A organização deve garantir para seus clientes e contratados a disponibilidade de serviços e serviços dentro dos prazos estabelecidos determinados pelos acordos relevantes ( acordos) e / ou outros documentos.
• Observabilidade e avaliabilidade da segurança da informação. Quaisquer medidas de proteção propostas devem ser projetadas de modo que o efeito de sua aplicação seja claramente visível, observável ( transparente) e pode ser avaliado por uma divisão da organização com a autoridade apropriada.

5. Metas e objetivos da segurança da informação

5.1. Assuntos das relações de informação no sistema automatizado

Os assuntos das relações jurídicas ao usar a UA e garantir a segurança da informação são:

• Organização como proprietária de recursos de informação;
• subdivisões da organização que fornece operação NPP;
• funcionários das divisões estruturais da organização, como utilizadores e fornecedores de informação na UA de acordo com as funções que lhes são atribuídas;
• pessoas jurídicas e pessoas físicas, cujas informações são acumuladas, armazenadas e processadas no AS;
• outras entidades legais e indivíduos envolvidos na criação e operação da UA ( desenvolvedores de componentes de sistema, organizações envolvidas na prestação de vários serviços na área de tecnologia da informação, etc.).

Os assuntos listados das relações de informação têm interesse em garantir:

• sigilo de determinada informação;
• confiabilidade ( completude, precisão, adequação, integridade) em formação;
• proteção contra a imposição de falsos ( não confiável, distorcido) em formação;
• acesso atempado às informações necessárias;
• diferenciação de responsabilidade por violações de direitos legais ( interesses) outros assuntos das relações de informação e as regras estabelecidas para o tratamento da informação;
• a possibilidade de monitoramento e gerenciamento contínuo dos processos de processamento e transmissão da informação;
• protegendo uma parte da informação de sua replicação ilegal ( proteção de direitos autorais, direitos do proprietário da informação, etc.).

5,2 Objetivo de Segurança da Informação

O principal objetivo de garantir a segurança da informação é proteger os sujeitos das relações de informação de possíveis danos materiais, morais ou outros a eles através de interferência não autorizada acidental ou deliberada no processo de funcionamento da UA ou acesso não autorizado à informação que circula nela e seu uso ilegal.

Este objetivo é alcançado através da garantia e manutenção constante das seguintes propriedades da informação e de um sistema automatizado para o seu processamento:

• a disponibilidade de informações processadas para usuários registrados;
• sigilo de uma determinada parte das informações armazenadas, processadas e transmitidas por meio de canais de comunicação;
• integridade e autenticidade das informações armazenadas, processadas e transmitidas por meio de canais de comunicação.

5.3. Objetivos de segurança da informação

Para atingir o objetivo principal de garantir a segurança da informação, o sistema de segurança da informação NPP deve fornecer uma solução eficaz para as seguintes tarefas:

• protecção contra a interferência no processo de funcionamento da UA por pessoas não autorizadas;
• diferenciação de acesso de usuários cadastrados a hardware, software e recursos de informação da UA, ou seja, proteção contra acesso não autorizado;
• registro das ações do usuário ao utilizar recursos protegidos do AS nos logs do sistema e controle periódico da correção das ações dos usuários do sistema por meio da análise do conteúdo desses logs por especialistas dos departamentos de segurança;
• proteção contra modificação não autorizada e controle de integridade ( garantindo imutabilidade) o ambiente de execução dos programas e seu restabelecimento em caso de violação;
• proteção contra modificação não autorizada e controle da integridade do software usado na UA, bem como proteção do sistema contra a introdução de programas não autorizados, incluindo vírus de computador;
• proteção da informação contra vazamento por meio de canais técnicos durante seu processamento, armazenamento e transmissão por meio de canais de comunicação;
• proteção de informações armazenadas, processadas e transmitidas por meio de canais de comunicação contra divulgação não autorizada ou distorção;
• fornecimento de autenticação de usuários que participam da troca de informações;
• garantir a capacidade de sobrevivência das ferramentas de proteção de informações criptográficas quando uma parte do sistema de chaves for comprometida;
• identificação oportuna de fontes de ameaças à segurança da informação, causas e condições propícias a danos aos sujeitos interessados ​​nas relações de informação, criação de um mecanismo de resposta imediata a ameaças à segurança da informação e tendências negativas;
• criar condições para minimizar e localizar danos causados ​​por ações ilícitas de pessoas físicas e jurídicas, enfraquecendo o impacto negativo e eliminando as consequências da violação da segurança da informação.

5,4 Maneiras de resolver problemas de segurança da informação

A solução dos problemas de segurança da informação é alcançada:

• contabilidade estrita de todos os recursos do sistema sujeitos à proteção ( informações, tarefas, canais de comunicação, servidores, AWP);
• regulamentação dos processos e ações de processamento da informação dos funcionários das divisões estruturais da organização, bem como das ações do pessoal que realiza a manutenção e modificação do software e hardware da central nuclear, com base em documentos organizacionais e administrativos de segurança da informação;
• completude, real viabilidade e consistência dos requisitos dos documentos organizacionais e administrativos de segurança da informação;
• a nomeação e formação de colaboradores responsáveis ​​pela organização e implementação de medidas práticas para garantir a segurança da informação;
• capacitar cada funcionário com o mínimo necessário ao cumprimento de suas obrigações funcionais com autoridade para acessar os recursos da usina nuclear;
• conhecimento claro e estrita observância por todos os funcionários que usam e mantêm o hardware e software da usina nuclear, os requisitos de documentos organizacionais e administrativos sobre segurança da informação;
• responsabilidade pessoal de cada funcionário que participa, no âmbito das suas funções funcionais, nos processos de tratamento automatizado de informação e com acesso aos recursos da UA;
• implementação de processos tecnológicos de processamento de informação utilizando complexos de medidas organizacionais e técnicas de proteção de software, hardware e dados;
• a adoção de medidas eficazes para garantir a integridade física dos equipamentos técnicos e a manutenção contínua do nível de proteção exigido dos componentes da NPP;
• aplicação de técnica ( software e hardware) meios de proteção dos recursos do sistema e suporte administrativo contínuo para seu uso;
• delimitação dos fluxos de informação e proibição de transmissão de informação de distribuição limitada por canais de comunicação desprotegidos;
• controle efetivo sobre a conformidade dos funcionários com os requisitos de segurança da informação;
• monitoramento constante recursos de rede, identificação de vulnerabilidades, detecção atempada e neutralização de ameaças externas e internas à segurança de uma rede informática;
• proteção legal dos interesses da organização contra ações ilegais no campo da segurança da informação.
• proceder a uma análise contínua da eficácia e suficiência das medidas tomadas e dos meios de protecção da informação utilizados, ao desenvolvimento e implementação de propostas de melhoria do sistema de protecção da informação na central nuclear.

6 ameaças à segurança da informação

6.1. Ameaças à segurança da informação e suas fontes

As ameaças mais perigosas à segurança das informações processadas em uma usina nuclear são:

• violação de confidencialidade ( divulgação, vazamento) informações que constituam um segredo oficial ou comercial, incluindo dados pessoais;
• com defeito ( desorganização do trabalho) UA, bloqueio de informação, violação de processos tecnológicos, perturbação da solução atempada de problemas;
• violação de integridade ( distorção, substituição, destruição) informações, software e outros recursos da UA.

As principais fontes de ameaças à segurança da informação do NPP são:

• eventos adversos de caráter natural e causado pelo homem;
• terroristas, criminosos;
• cibercriminosos de computador que realizam ações destrutivas direcionadas, incluindo o uso de Vírus informáticos e outros tipos de códigos maliciosos e ataques;
• fornecedores de software e hardware, consumíveis, serviços, etc.;
• empreiteiros que executam a instalação, comissionamento de equipamentos e seu reparo;
• não atendimento aos requisitos dos órgãos de supervisão e regulação, legislação vigente;
• falhas, falhas, destruição / dano de software e hardware;
• funcionários que sejam participantes legais nos processos da UA e atuem fora do âmbito das atribuições outorgadas;
• funcionários que são participantes legais nos processos na UA e atuam no âmbito dos poderes conferidos.

6,2 Ações não intencionais que levam a uma violação da segurança da informação e medidas para evitá-las

Os funcionários da organização que têm acesso direto aos processos de processamento de informações na UA são uma fonte potencial de ações acidentais não intencionais que podem levar a uma violação da segurança da informação.

Principais ações não intencionais que levam a uma violação da segurança da informação (ações realizadas por pessoas acidentalmente, por ignorância, desatenção ou negligência, por curiosidade, mas sem intenção maliciosa) e as medidas para prevenir tais ações e minimizar os danos que causam são fornecidas em tabela 1.

tabela 1

As principais ações que levam a uma violação da segurança da informação
Ações de funcionários que levam à falha parcial ou total do sistema ou interrupção do desempenho do hardware ou software; desconectar equipamentos ou alterar os modos de operação de dispositivos e programas; destruição dos recursos de informação do sistema ( danos não intencionais ao equipamento, exclusão, distorção de programas ou arquivos de informação importante, incluindo os do sistema, danos aos canais de comunicação, danos não intencionais aos suportes de informação, etc.)	Medidas organizacionais ( ). O uso de meios físicos para prevenir o cometimento inadvertido de uma violação. Aplicação de técnicas ( hardware e software) meios de diferenciar o acesso aos recursos. Reserva de recursos críticos.
Lançamento não autorizado de programas que, se usados ​​de forma inadequada, podem causar uma perda de desempenho do sistema ( congela ou faz loops) ou realizando mudanças irreversíveis no sistema ( formatação ou reestruturação de mídia de armazenamento, exclusão de dados, etc.)	Medidas organizacionais ( remoção de todos os programas potencialmente perigosos da estação de trabalho) Aplicação de técnicas ( hardware e software) meios de diferenciar o acesso a programas na estação de trabalho.
Introdução não autorizada e uso de programas não gravados ( jogos, treinamentos, tecnológicos e outros que não sejam necessários para os funcionários no desempenho de suas funções oficiais) com o subsequente desperdício de recursos não razoável ( tempo de processador, memória de acesso aleatório, memória em mídia externa, etc.)	Medidas organizacionais ( imposição de proibições) Aplicação de técnicas ( hardware e software) significa prevenir a introdução e uso não autorizado de programas não gravados.
Infecção de vírus não intencional em seu computador	Medidas organizacionais ( regulamentação de ações, introdução de proibições). Medidas tecnológicas ( o uso de programas especiais para a detecção e destruição de vírus). O uso de ferramentas de hardware e software que evitam a infecção por vírus de computador.
Divulgação, transferência ou perda de atributos de controle de acesso ( senhas, chaves de criptografia ou assinatura eletrônica, cartões de identificação, passes, etc.)	Medidas organizacionais ( regulamentação das ações, introdução de proibições, fortalecimento da responsabilidade) O uso de meios físicos para garantir a segurança dos detalhes especificados.
Ignorando as restrições organizacionais ( regras estabelecidas) ao trabalhar no sistema	Medidas organizacionais ( ) Uso de meios de proteção físicos e técnicos adicionais.
Uso incompetente, ajuste ou desativação inadequada de equipamentos de proteção pelo pessoal de segurança	Medidas organizacionais ( treinamento de pessoal, fortalecimento da responsabilidade e controle).
Inserindo dados errados	Medidas organizacionais ( maior responsabilidade e controle) Medidas tecnológicas para controlar erros dos operadores de entrada de dados.

6.3. Ações intencionais para violar a segurança da informação e medidas para evitá-las

Ações intencionais básicas ( para fins egoístas, sob coação, por desejo de vingança, etc.), levando a uma violação da segurança da informação da usina nuclear, e as medidas para evitá-las e reduzir os possíveis danos causados ​​são fornecidas em mesa 2.

mesa 2

As principais ações intencionais que levam a uma violação da segurança da informação	Medidas para prevenir ameaças e minimizar danos
Destruição física ou incapacitação de todos ou alguns dos componentes mais importantes de um sistema automatizado ( dispositivos, portadores de importantes informação do sistema, pessoal, etc.), desativando ou desativando subsistemas para garantir o funcionamento dos sistemas de computação ( fonte de alimentação, linhas de comunicação, etc.)	Medidas organizacionais ( regulamentação de ações, introdução de proibições). O uso de meios físicos para prevenir o cometimento deliberado de uma violação. Reserva de recursos críticos.
A introdução de agentes no número de funcionários do sistema ( incluindo o grupo administrativo responsável pela segurança), recrutamento ( por suborno, chantagem, ameaças, etc.) usuários que têm certos direitos de acesso a recursos protegidos	Medidas organizacionais ( seleção, colocação e trabalho com o pessoal, fortalecendo o controle e a responsabilidade) Registro automático de ações de pessoal.
Roubo de suportes de informação ( impressões, discos magnéticos, fitas, dispositivos de armazenamento e PCs inteiros), roubo de resíduos industriais ( impressões, registros, mídia descartada, etc.)	Medidas organizacionais ( ).
Cópia não autorizada de suportes de informação, leitura de informação residual da memória de acesso aleatório e de dispositivos de armazenamento externo	Medidas organizacionais ( organização de armazenamento e uso de mídia com informações protegidas) Aplicação de meios técnicos de delimitação de acesso a recursos protegidos e registro automático de recebimento de cópias impressas de documentos.
Recebimento ilegal de senhas e outros detalhes de controle de acesso ( por meios secretos, usando a negligência dos usuários, por seleção, imitando a interface do sistema com marcadores de software, etc.) com subsequente disfarce de usuário registrado.	Medidas organizacionais ( regulamentação de ações, introdução de proibições, trabalho com pessoal) A utilização de meios técnicos que impeçam a implementação de programas de interceptação de senhas, chaves e outros detalhes.
Uso não autorizado de AWPs para usuários com características físicas exclusivas, como o número da estação de trabalho na rede, endereço físico, endereço no sistema de comunicação, unidade de criptografia de hardware, etc.	Medidas organizacionais ( regulamentação estrita de acesso às instalações e admissão para trabalhar nestes AWPs) Aplicação de meios físicos e técnicos de controle de acesso.
Modificação não autorizada de software - a introdução de "marcadores" e "vírus" de software ( Cavalos de tróia e insetos), isto é, as seções de programas que não são necessárias para a implementação das funções declaradas, mas que permitem a superação do sistema de proteção, acessar secreta e ilegalmente os recursos do sistema para registrar e transferir informações protegidas ou desorganizar o funcionamento do sistema	Medidas organizacionais ( regulamentação estrita de admissão ao trabalho). O uso de meios físicos e técnicos para diferenciar o acesso e prevenir a modificação não autorizada da configuração de hardware e software do AWP. Aplicação de ferramentas de controle de integridade de software.
Interceptação de dados transmitidos por canais de comunicação, sua análise para obtenção de informações confidenciais e esclarecimento de protocolos de troca, regras de entrada na rede e autorização de usuários, com posterior tentativa de imitação de penetração no sistema	Proteção física dos canais de comunicação. Aplicação de meios de proteção criptográfica das informações transmitidas.
Interferência no processo de funcionamento do sistema a partir de redes públicas com a finalidade de modificação não autorizada de dados, acesso a informações confidenciais, desorganização do funcionamento dos subsistemas, etc.	Medidas organizacionais ( regulação de conexão e operação em redes públicas) O uso de meios técnicos especiais de proteção ( firewalls, controles de segurança e detecção de ataques aos recursos do sistema, etc.).

6,4 Vazamento de informações por meio de canais técnicos

Durante a operação do equipamento técnico da NPP, os seguintes canais de vazamento ou violação da integridade da informação, interrupção do desempenho do equipamento técnico são possíveis:

• radiação eletromagnética lateral de um sinal informativo proveniente de meios técnicos e linhas de transmissão de informações;
• interceptação de um sinal informativo, processado por meio de computadores eletrônicos, a fios e linhas que vão além da área controlada dos escritórios, incl. nos circuitos de aterramento e de alimentação;
• vários dispositivos eletrônicos para interceptar informações ( incl. "Favoritos") conectado a canais de comunicação ou meio técnico de processamento de informações;
• visualização de informações em telas de exibição e outros meios de exibi-las usando meios ópticos;
• impacto no hardware ou software, a fim de violar a integridade ( destruição, distorção) informações, a operabilidade de meios técnicos, meios de segurança da informação e a oportunidade da troca de informações, incluindo eletromagnética, por meio de ferramentas eletrônicas e de software especialmente implementadas ( "Favoritos").

Levando em consideração as especificidades do processamento e garantindo a segurança das informações, a ameaça de vazamento de informações confidenciais ( incluindo dados pessoais) por meio de canais técnicos são irrelevantes para a organização.

6,5 Modelo informal de um provável intruso

Um criminoso é uma pessoa que tentou realizar operações proibidas ( açao) por engano, ignorância ou deliberadamente com malícia ( fora de interesses adquiridos) ou sem ele ( por uma questão de jogo ou prazer, com o propósito de auto-afirmação, etc.) e usando várias possibilidades, métodos e meios para isso.

O sistema de proteção NPP deve ser baseado em suposições sobre os seguintes tipos possíveis de infratores no sistema ( levando em consideração a categoria de pessoas, motivação, qualificações, disponibilidade de meios especiais, etc.):

• « Usuário inexperiente (desatento)»- um funcionário que pode tentar realizar operações proibidas, acessar os recursos protegidos da UA além de seus poderes, inserir dados incorretos, etc. ações por engano, incompetência ou negligência sem intenção maliciosa e usando apenas padrão ( disponível para ele) hardware e software.
• « Amante"- um funcionário que tenta superar o sistema de defesa sem objetivos egoístas e intenções maliciosas, para auto-afirmação ou de" interesse esportivo" Para superar o sistema de proteção e cometer ações proibidas, ele pode usar métodos diferentes obter autoridade adicional para acessar recursos ( nomes, senhas, etc. outros usuários), deficiências na construção do sistema de proteção e pessoal disponível ( instalado na estação de trabalho) programas ( ações não autorizadas, excedendo sua autoridade para usar os meios permitidos) Além disso, ele pode tentar usar software instrumental e tecnológico não padrão adicional ( depuradores, utilitários), programas desenvolvidos de forma independente ou meios técnicos adicionais padrão.
• « Scammer"- um funcionário que pode tentar realizar operações tecnológicas ilegais, inserir dados falsos e ações semelhantes para fins egoístas, sob coação ou intenção maliciosa, mas usando apenas ( instalado na estação de trabalho e disponível para ele) hardware e software em seu próprio nome ou em nome de outro funcionário ( saber seu nome e senha, usar sua ausência temporária do local de trabalho, etc.).
• « Intruso externo (intruso)"- um estranho ou ex-funcionário agindo propositalmente por interesses egoístas, por vingança ou curiosidade, possivelmente em conluio com outros. Ele pode usar todo o conjunto de métodos de violação da segurança da informação, métodos e meios de quebrar os sistemas de segurança típicos de redes públicas ( especialmente redes baseadas em IP), incluindo a implementação remota de marcadores de software e o uso de programas instrumentais e tecnológicos especiais, usando as deficiências existentes dos protocolos de intercâmbio e do sistema de proteção dos nós da rede de AS da organização.
• « Invasor interno»- um funcionário registrado como usuário do sistema, agindo propositalmente por interesse ou vingança egoísta, possivelmente em conluio com pessoas que não são funcionários da organização. Ele pode usar toda a gama de métodos e meios de hackear o sistema de segurança, incluindo métodos secretos de obtenção de detalhes de acesso, meios passivos (meios técnicos de interceptação sem modificar os componentes do sistema), métodos e meios de influência ativa ( modificação de meios técnicos, conexão a canais de transmissão de dados, introdução de marcadores de software e uso de programas instrumentais e tecnológicos especiais), bem como uma combinação de influências de dentro e de redes públicas.

Um insider pode ser uma pessoa das seguintes categorias de pessoal:

• usuários finais registrados da AU ( funcionários de divisões e filiais);
• trabalhadores não autorizados a trabalhar com a UA;
• pessoal de manutenção dos meios técnicos da usina nuclear ( engenheiros, técnicos);
• funcionários dos departamentos de desenvolvimento e manutenção de software ( programadores de aplicativos e sistemas);
• pessoal técnico atendendo edifícios e instalações da organização ( limpadores, eletricistas, encanadores e outros trabalhadores que têm acesso a edifícios e instalações onde os componentes dos alto-falantes estão localizados);
• líderes de vários níveis.

• trabalhadores dispensados;
• representantes de organizações interagindo sobre questões de garantia da vida da organização ( energia, água, fornecimento de calor, etc.);
• representantes de empresas fornecedoras de equipamentos, software, serviços, etc .;
• membros de organizações criminosas e estruturas comerciais concorrentes ou pessoas agindo em seu nome;
• pessoas que acidentalmente ou deliberadamente entraram na rede a partir de redes externas ( "Hackers").

Os usuários e o pessoal de manutenção de entre os trabalhadores têm as oportunidades mais amplas para realizar ações não autorizadas, devido à sua certa autoridade para acessar recursos e bom conhecimento tecnologias de processamento de informação. As ações desse grupo de violadores estão diretamente relacionadas à violação das regras e regulamentos existentes. Este grupo de violadores é especialmente perigoso ao interagir com estruturas criminosas.

Trabalhadores demitidos podem usar seu conhecimento de tecnologia de trabalho, medidas de proteção e direitos de acesso para atingir seus objetivos.

As estruturas criminais representam a fonte mais agressiva de ameaças externas. Para implementar seus planos, essas estruturas podem violar abertamente a lei e envolver os funcionários da organização em suas atividades por todas as forças e meios à sua disposição.

Hackers possuem as mais altas qualificações técnicas e conhecimento dos pontos fracos do software usado na UA. Eles representam a maior ameaça ao interagir com trabalhadores ou trabalhadores dispensados ​​e estruturas criminosas.

As organizações que se dedicam ao desenvolvimento, fornecimento e reparação de equipamentos e sistemas de informação constituem uma ameaça externa pelo facto de, ocasionalmente, terem acesso direto aos recursos de informação. As estruturas criminosas podem usar essas organizações para o emprego temporário de seus membros, a fim de obter acesso a informações protegidas.

7. Política técnica na área de segurança da informação

7.1. As principais disposições da política técnica

A implementação da política técnica no campo da segurança da informação deve partir da premissa de que é impossível garantir o nível necessário de segurança da informação não apenas com a ajuda de um meio separado ( Eventos), mas também com a ajuda de sua combinação simples. Sua coordenação sistêmica entre si é necessária ( aplicação complexa), e os elementos individuais desenvolvidos da usina nuclear devem ser considerados como parte de um sistema de informação unificado em um projeto seguro com proporção ótima técnico ( hardware, software) fundos e medidas organizacionais.

As principais orientações da implementação da política técnica para garantir a segurança das informações do NPP é garantir a proteção dos recursos de informação contra roubo, perda, vazamento, destruição, distorção ou falsificação devido a acesso não autorizado e influências especiais.

No âmbito das orientações indicadas da política técnica para garantir a segurança das informações, são executados:

• implementação de um sistema de autorização para a admissão de artistas ( usuários, pessoal de serviço) a obras, documentos e informações de natureza confidencial;
• restringir o acesso de artistas e pessoas não autorizadas a edifícios e instalações onde são realizados trabalhos de natureza confidencial e os meios de informatização e comunicação nos quais estão localizados ( armazenado, transmitido) informações de caráter sigiloso, diretamente aos próprios meios de informatização e comunicação;
• diferenciação de acesso de usuários e pessoal de serviço a recursos de informação, software para processamento e proteção de informação em subsistemas de vários níveis e propósitos incluídos na UA;
• registo de documentos, matrizes de informação, registo de acções de utilizadores e pessoal de serviço, controlo de acessos não autorizados e acções de utilizadores, pessoal de serviço e pessoas não autorizadas;
• prevenir a introdução de programas de vírus, marcadores de software em subsistemas automatizados;
• proteção criptográfica de informações processadas e transmitidas por tecnologia informática e comunicações;
• armazenamento confiável de mídia de armazenamento de máquina, chaves criptográficas ( informação chave) e a sua circulação, excluindo furto, substituição e destruição;
• reserva necessária de meios técnicos e duplicação de matrizes e suportes de informação;
• redução do nível e conteúdo de informação de emissões espúrias e pickups criados por vários elementos de subsistemas automatizados;
• isolamento elétrico de circuitos de alimentação, aterramento e demais circuitos de objetos de informatização que extrapolem a área controlada;
• contraposição a meios de observação ópticos e laser.

7,2 Formação do regime de segurança da informação

Tendo em conta as ameaças identificadas à segurança da NPP, o regime de segurança da informação deve ser constituído como um conjunto de métodos e medidas para proteger a informação que circula na NPP e a sua infraestrutura de suporte de influências acidentais ou deliberadas de natureza natural ou artificial, implicando danos aos proprietários ou usuários das informações.

O conjunto de medidas para a formação de um regime de segurança da informação inclui:

• estabelecimento de um regime organizacional e legal de segurança da informação no sistema automatizado ( documentos regulamentares, trabalho com pessoal, trabalho de escritório);
• implementação de medidas organizacionais e técnicas para proteger as informações de distribuição limitada de vazamento através de canais técnicos;
• medidas organizacionais e técnicas de software para prevenir ações não autorizadas ( Acesso) aos recursos de informação da UA;
• conjunto de medidas para controlar o funcionamento dos meios e sistemas de proteção dos recursos de informação de distribuição limitada após impactos acidentais ou deliberados.

8. Medidas, métodos e meios de segurança da informação

8,1 Medidas organizacionais

Medidas organizacionais- são medidas organizacionais que regulam os processos de funcionamento da NPP, a utilização dos seus recursos, as atividades do pessoal de manutenção, bem como o procedimento de interação dos usuários com o sistema de forma a mais complicar ou excluir a possibilidade de implementar ameaças de segurança e reduzir a quantidade de danos no caso de sua implementação.

8.1.1. Formação da política de segurança

O principal objetivo das medidas organizacionais é formar uma política no domínio da segurança da informação, refletindo as abordagens à proteção da informação, e assegurar a sua implementação através da alocação dos recursos necessários e do acompanhamento da situação.

Do ponto de vista prático, a política de segurança da NPP deve ser dividida em dois níveis. O nível superior inclui decisões que afetam as atividades da organização como um todo. Um exemplo dessas soluções pode ser:

• formação ou revisão de um programa abrangente de segurança da informação, determinação dos responsáveis ​​por sua implementação;
• formulação de metas, estabelecimento de metas, definição de áreas de atuação na área de segurança da informação;
• tomar decisões sobre a implementação do programa de segurança, que são consideradas no nível da organização como um todo;
• provisão de regulamentação ( jurídico) um banco de dados de perguntas de segurança, etc.

A política de nível inferior define os procedimentos e regras para atingir os objetivos e resolver os problemas de segurança da informação e detalha (regula) estas regras:

• qual o escopo da política de segurança da informação;
• quais são as funções e responsabilidades dos funcionários responsáveis ​​pela implementação da política de segurança da informação;
• quem tem o direito de acessar informações restritas;
• quem e em que condições pode ler e modificar informações, etc.

A política de nível inferior deve:

• prever a regulamentação das relações de informação, excluindo a possibilidade de arbitragem, monopólio ou ações não autorizadas em relação aos recursos de informação confidencial;
• definir princípios e métodos de coalizão e hierarquia para compartilhar segredos e delimitar o acesso a informações de distribuição limitada;
• escolher os meios de software e hardware de proteção criptográfica, contra-ataque à adulteração, autenticação, autorização, identificação e outros mecanismos de proteção que ofereçam garantias para a implementação dos direitos e responsabilidades dos sujeitos das relações de informação.

8.1.2. Regulamento de acesso a meios técnicos

O funcionamento dos postos de trabalho automatizados seguros e dos servidores do Banco deve ser efectuado em salas equipadas com fechaduras automáticas fiáveis, alarmes e permanentemente vigiadas ou vigiadas, excluindo a possibilidade de entrada descontrolada nas instalações de pessoas não autorizadas e garantindo a segurança física dos recursos protegidos localizado nas instalações ( AWP, documentos, detalhes de acesso, etc.) A colocação e instalação de meios técnicos de tais AWPs devem excluir a possibilidade de visualização visual da entrada ( retirado) informações de pessoas não relacionadas a ele. A limpeza dos locais com os equipamentos neles instalados deve ser realizada na presença do responsável, a quem são atribuídos esses meios técnicos, ou do plantonista na unidade, obedecendo às medidas que excluem o acesso de pessoas não autorizadas às unidades protegidas Recursos.

Durante o processamento de informações restritas, apenas pessoal autorizado a trabalhar com essas informações deve estar presente nas instalações.

Ao final da jornada de trabalho, as dependências com os AWPs protegidos instalados devem ser entregues sob proteção.

Para armazenar documentos de escritório e mídias de máquina com informações protegidas, os funcionários contam com armários de metal e meios para a destruição de documentos.

Os meios técnicos usados ​​para processar ou armazenar informações confidenciais devem ser lacrados.

8.1.3. Regulamento de admissão de funcionários ao uso de recursos de informação

No quadro do sistema de admissão permissiva, são estabelecidos: quem, a quem, que informação e para que tipo de acesso pode ser prestado e em que condições; um sistema de controle de acesso, que envolve a definição para todos os usuários dos recursos de informação e software da UA disponíveis para eles para operações específicas ( ler, escrever, modificar, excluir, executar) usando as ferramentas de acesso de software e hardware especificadas.

A admissão de trabalhadores para trabalhar com a UA e o acesso aos seus recursos devem ser estritamente regulamentados. Quaisquer mudanças na composição e poderes dos usuários dos subsistemas da UA devem ser feitas de acordo com o procedimento estabelecido.

Os principais usuários da informação na UA são funcionários das divisões estruturais da organização. O nível de autoridade de cada usuário é determinado individualmente, observando os seguintes requisitos:

• as informações abertas e confidenciais são colocadas, sempre que possível, em diferentes servidores;
• cada funcionário usa apenas os direitos que lhe são prescritos em relação às informações com as quais precisa trabalhar de acordo com suas responsabilidades profissionais;
• o chefe tem o direito de ver as informações de seus subordinados;
• as operações tecnológicas mais críticas devem ser realizadas de acordo com a regra "Em duas mãos"- a exatidão das informações inseridas é confirmada por outro funcionário que não tem o direito de inseri-las.

Todos os funcionários admitidos a trabalhar na NPP e o pessoal de manutenção da NPP devem ser pessoalmente responsáveis ​​por violações do procedimento estabelecido para o processamento automatizado de informações, regras para armazenamento, uso e transferência dos recursos protegidos do sistema à sua disposição. No momento da contratação, cada colaborador deve assinar um Compromisso de cumprimento dos requisitos de manutenção da confidencialidade da informação e da responsabilidade pela sua violação, bem como do cumprimento das regras para o trabalho com informação protegida na UA.

O processamento das informações protegidas nos subsistemas da UA deve ser realizado de acordo com as instruções tecnológicas aprovadas ( ordens) para esses subsistemas.

Para os usuários, estações de trabalho protegidas, devem ser desenvolvidas as instruções tecnológicas necessárias, incluindo requisitos para garantir a segurança das informações.

8.1.4. Regulação dos processos de manutenção de bancos de dados e modificação de recursos de informação

Todas as operações de manutenção de bancos de dados na UA e a admissão de trabalhadores para trabalhar com esses bancos de dados devem ser estritamente regulamentadas. Quaisquer mudanças na composição e autoridade dos usuários das bases de dados da UA devem ser feitas de acordo com o procedimento estabelecido.

A distribuição de nomes, a geração de senhas, a manutenção das regras de diferenciação de acesso às bases de dados estão a cargo dos colaboradores do Departamento de Informática. Nesse caso, os meios padrão e adicionais de proteção do DBMS e dos sistemas operacionais podem ser usados.

8.1.5. Regulação dos processos de manutenção e modificação dos recursos de hardware e software

Recursos do sistema a serem protegidos ( tarefas, programas, AWP) estão sujeitos a uma contabilidade estrita ( com base no uso de formulários apropriados ou bancos de dados especializados).

A configuração de hardware e software de estações de trabalho automatizadas nas quais as informações protegidas são processadas ou a partir das quais o acesso aos recursos protegidos é possível deve corresponder à gama de funções funcionais atribuídas aos usuários desta AWS. Todos os dispositivos de entrada e saída de informações não utilizados (desnecessários) ( Portas COM, USB, LPT, unidades de disquete, CD e outras mídias de armazenamento) em tais AWPs devem ser desabilitados (excluídos), software desnecessário e dados dos discos AWS também devem ser excluídos.

Para simplificar a manutenção, manutenção e organização da proteção, as estações de trabalho devem ser equipadas com software e configuradas de forma unificada ( de acordo com as regras estabelecidas).

O comissionamento de novos AWPs e todas as alterações na configuração de hardware e software, AWPs existentes no AS da organização, devem ser realizados apenas na ordem estabelecida.

Todo o software ( desenvolvido por especialistas da organização, obtido ou adquirido de fabricantes) devem ser testados da maneira prescrita e transferidos para o depositário dos programas da organização. Nos subsistemas da UA, apenas o software recebido do depositário de acordo com o procedimento estabelecido deve ser instalado e utilizado. O uso de software no AS que não esteja incluído no depositário do software deve ser proibido.

O desenvolvimento do software, o teste do software desenvolvido e adquirido, a transferência do software para operação devem ser realizados de acordo com o procedimento estabelecido.

8.1.6. Treinamento e educação do usuário

Antes de fornecer acesso à UA, seus usuários, bem como o pessoal de gestão e manutenção, devem estar familiarizados com a lista de informações confidenciais e seu nível de autoridade, bem como a documentação organizacional e administrativa, regulamentar, técnica e operacional que determina os requisitos e procedimento para o processamento de tais informações.

A proteção das informações em todas as áreas acima só é possível depois que os usuários desenvolverem uma determinada disciplina, ou seja, normas que vinculam todos os que trabalham na UA. Essas normas incluem a proibição de quaisquer ações intencionais ou não intencionais que perturbem o funcionamento normal da UA, causem custos de recursos adicionais, violem a integridade das informações armazenadas e processadas, violem os interesses de usuários legítimos.

Todos os funcionários que usam subsistemas NPP específicos durante seu trabalho devem estar familiarizados com os documentos organizacionais e administrativos para a proteção da usina nuclear em termos de sua preocupação, devem conhecer e seguir rigorosamente as instruções tecnológicas e deveres gerais para garantir a segurança das informações . A apresentação dos requisitos destes documentos às pessoas admitidas ao tratamento das informações protegidas deve ser efetuada pelos chefes dos serviços contra a sua assinatura.

8.1.7. Responsabilidade pela violação dos requisitos de segurança da informação

Para cada violação grave dos requisitos de segurança da informação por funcionários da organização, uma investigação oficial deve ser realizada. Devem ser tomadas medidas adequadas contra os perpetradores. O grau de responsabilidade do pessoal por ações cometidas em violação das regras estabelecidas para garantir o processamento automatizado seguro das informações deve ser determinado pelos danos causados, a presença de intenção maliciosa e outros fatores.

Para implementar o princípio da responsabilidade pessoal dos usuários por suas ações, é necessário:

• identificação individual dos usuários e os processos iniciados por eles, ou seja, o estabelecimento de um identificador para os mesmos, com base no qual a diferenciação do acesso será realizada de acordo com o princípio da validade do acesso;
• autenticação de usuário ( autenticação) com base em senhas, chaves em uma base física diferente, etc.;
• cadastro ( exploração madeireira) funcionamento dos mecanismos de controle de acesso aos recursos do sistema de informação, indicando a data e hora, identificadores dos recursos solicitantes e solicitados, o tipo de interação e seu resultado;
• reação a tentativas de acesso não autorizado ( alarme, bloqueio, etc.).

8,2. Meios técnicos de proteção

Técnico ( hardware e software) meios de proteção - vários dispositivos eletrônicos e programas especiais que fazem parte da UA e executam (independentemente ou em combinação com outros meios) funções de proteção ( identificação e autenticação de usuários, diferenciação de acesso a recursos, registro de eventos, proteção criptográfica de informações, etc.).

Levando em consideração todos os requisitos e princípios para garantir a segurança das informações na usina nuclear em todas as áreas de proteção, os seguintes meios devem ser incluídos no sistema de proteção:

• meios de autenticação de usuários e elementos de alto-falante ( terminais, tarefas, itens de banco de dados, etc.) correspondendo ao grau de confidencialidade das informações e dados processados;
• meios de delimitar o acesso aos dados;
• meios de proteção criptográfica de informações em linhas de transmissão de dados e em bancos de dados;
• meios de registro da circulação e controle do uso das informações protegidas;
• meios de responder às tentativas de adulteração ou adulteração detectadas;
• meios para reduzir o nível e conteúdo de informação de emissões espúrias e pickups;
• meios de proteção contra meios óticos de observação;
• proteção contra vírus e malware;
• meios de desacoplamento elétrico de ambos os elementos da UA e dos elementos estruturais das instalações em que o equipamento está localizado.

Os meios técnicos de proteção contra ataques não autorizados são encarregados da solução das seguintes tarefas principais:

• identificação e autenticação de usuários usando nomes e / ou hardware especial ( Memória de toque, cartão inteligente, etc.);
• regulamentação do acesso do usuário aos dispositivos físicos das estações de trabalho ( discos, portas de entrada e saída);
• controle seletivo (discricionário) de acesso a drives lógicos, diretórios e arquivos;
• diferenciação autorizada (obrigatória) de acesso a dados protegidos em uma estação de trabalho e em um servidor de arquivos;
• criando um fechado ambiente de software permissão para executar programas localizados em unidades locais e de rede;
• proteção contra a penetração de vírus e malware de computador;
• controle da integridade dos módulos do sistema de proteção, áreas do sistema de disco e listas de arquivos arbitrários em modo automático e pelos comandos do administrador;
• registro das ações do usuário em periódico protegido, presença de diversos níveis de registro;
• proteção do sistema de proteção de dados no servidor de arquivos do acesso de todos os usuários, incluindo o administrador da rede;
• gestão centralizada das configurações dos meios de diferenciação de acesso nas estações de trabalho da rede;
• registro de todos os eventos de adulteração que ocorrem nas estações de trabalho;
• controle operacional sobre o trabalho dos usuários da rede, alterando os modos de operação das estações de trabalho e a possibilidade de bloqueio ( se necessário) qualquer estação da rede.

A aplicação bem-sucedida dos meios técnicos de proteção pressupõe que o cumprimento dos seguintes requisitos seja garantido por medidas organizacionais e pelos meios físicos de proteção utilizados:

• a integridade física de todos os componentes da UA é garantida;
• cada funcionário ( usuário do sistema) tem um nome de sistema único e autoridade mínima para acessar os recursos do sistema necessários para o desempenho de suas funções funcionais;
• uso de programas instrumentais e tecnológicos nas estações de trabalho ( teste utilitários, depuradores, etc.), permitindo tentativas de hackear ou contornar as medidas de segurança, é limitada e estritamente regulamentada;
• não há usuários programadores no sistema protegido e o desenvolvimento e a depuração de programas são realizados fora do sistema protegido;
• todas as alterações na configuração de hardware e software são feitas de maneira estritamente estabelecida;
• hardware de rede ( hubs, switches, roteadores, etc.) está localizado em locais inacessíveis a estranhos ( salas especiais, armários, etc.);
• o serviço de segurança da informação realiza uma gestão contínua e apoio administrativo ao funcionamento das ferramentas de segurança da informação.

8.2.1. Ferramentas de identificação e autenticação do usuário

Para evitar que pessoas não autorizadas acessem a UA, é necessário garantir que o sistema possa reconhecer cada usuário legítimo (ou grupos limitados de usuários). Para fazer isso, no sistema ( em um lugar abrigado) deve armazenar uma série de atributos de cada usuário, pelos quais esse usuário pode ser identificado. No futuro, ao entrar no sistema e, se necessário, ao realizar determinadas ações no sistema, o usuário é obrigado a se identificar, ou seja, indicar o identificador atribuído a ele no sistema. Além disso, vários tipos de dispositivos podem ser usados ​​para identificação: cartões magnéticos, inserções de chave, disquetes, etc.

Autenticação ( confirmação de autenticidade) dos usuários deve ser realizada com base no uso de senhas (palavras secretas) ou meios especiais de autenticação, verificando as características únicas (parâmetros) dos usuários.

8.2.2. Meio de delimitar o acesso aos recursos do sistema automatizado

Após reconhecer o usuário, o sistema deve autorizar o usuário, ou seja, determinar quais direitos são concedidos ao usuário, ou seja, quais dados e como ele pode usar, quais programas pode executar, quando, por quanto tempo e em quais terminais ele pode funcionar, quais recursos do sistema pode usar, etc. A autorização do usuário deve ser realizada usando os seguintes mecanismos de controle de acesso:

• mecanismos de controle de acesso seletivo baseados no uso de esquemas de atributos, listas de permissões, etc .;
• mecanismos autorizados de controle de acesso com base no uso de rótulos de confidencialidade de recursos e níveis de acesso do usuário;
• mecanismos para fornecer um ambiente fechado de software confiável ( individual para cada lista de usuários de programas permitidos para execução) suportado por mecanismos para identificar e autenticar usuários quando eles fazem logon no sistema.

As áreas de responsabilidade e tarefas de meios técnicos de proteção específicos são estabelecidas com base em suas capacidades e características de desempenho descritas na documentação para esses meios.

Os meios técnicos de controle de acesso devem ser parte integrante de um sistema de controle de acesso unificado:

• para a área controlada;
• em quartos separados;
• aos elementos da UA e elementos do sistema de segurança da informação ( acesso físico);
• aos recursos da UA ( acesso matemático);
• para armazenamentos de informações ( mídia de armazenamento, volumes, arquivos, conjuntos de dados, arquivos, referências, registros, etc.);
• para recursos ativos ( programas aplicativos, tarefas, formulários de solicitação, etc.);
• para o sistema operacional, programas de sistema e programas de segurança, etc.

8.2.3. Meios de garantir e monitorar a integridade do software e dos recursos de informação

Convém que controle de integridade de programas, informações processadas e meios de proteção, a fim de garantir a invariabilidade do ambiente de software, determinado pela tecnologia de processamento fornecida, e proteção contra correção não autorizada de informações:

• meios de calcular somas de verificação;
• por meio de assinatura eletrônica;
• meios de comparar recursos críticos com suas cópias mestre ( e recuperação em caso de violação da integridade);
• meios de controle de acesso ( negar acesso com direitos de modificação ou exclusão).

Para proteger as informações e programas contra destruição ou distorção não autorizada, é necessário garantir:

• duplicação de tabelas e dados do sistema;
• duplexação e espelhamento de dados em discos;
• rastreamento de transações;
• monitoramento periódico da integridade do sistema operacional e dos programas do usuário, bem como dos arquivos do usuário;
• proteção e controle antivírus;
• fazer backup dos dados de acordo com um esquema pré-estabelecido.

8.2.4. Controles de eventos de segurança

Os controles devem garantir que todos os eventos ( ações do usuário, tentativas de pessoas não autorizadas, etc.), o que pode constituir uma violação da política de segurança e conduzir ao surgimento de situações de crise. Os controles devem fornecer a capacidade de:

• monitoramento constante dos nós-chave da rede e dos equipamentos de comunicação que formam a rede, bem como da atividade da rede em segmentos-chave da rede;
• controle sobre o uso de serviços de rede corporativa e pública pelos usuários;
• manter e analisar logs de eventos de segurança;
• detecção oportuna de ameaças externas e internas à segurança da informação.

Ao registrar eventos de segurança em registro do sistema as seguintes informações devem ser registradas:

• data e hora do evento;
• identificador de assunto ( usuário, programa) executar a ação registrada;
• açao ( se uma solicitação de acesso for registrada, o objeto e o tipo de acesso são marcados).

Os controles devem garantir que os seguintes eventos sejam detectados e registrados:

• login do usuário no sistema;
• login do usuário na rede;
• login falhado ou tentativa de rede ( senha incorreta);
• conexão a um servidor de arquivos;
• iniciar o programa;
• conclusão do programa;
• uma tentativa de iniciar um programa que não está disponível para lançamento;
• uma tentativa de obter acesso a um diretório inacessível;
• uma tentativa de ler / gravar informações de um disco inacessível ao usuário;
• uma tentativa de lançar um programa a partir de um disco inacessível ao usuário;
• violação da integridade de programas e dados do sistema de proteção, etc.

As seguintes formas principais de responder aos fatos detectados de pessoas não autorizadas devem ser apoiadas ( possivelmente com a participação de um administrador de segurança):

• notificar o proprietário de informações sobre o NSD aos seus dados;
• cancelando o programa ( tarefas) com execução posterior;
• notificando o administrador do banco de dados e o administrador de segurança;
• desconectando o terminal ( posto de trabalho) a partir da qual foram feitas tentativas pela NSD de obter informações ou ações ilegais na rede;
• exclusão do infrator da lista de usuários cadastrados;
• sinalização de alarme, etc.

8.2.5. Segurança da informação criptográfica

Um dos elementos mais importantes do sistema de segurança da informação de usinas nucleares deve ser o uso de métodos criptográficos e meios de proteção das informações contra o acesso não autorizado durante sua transmissão por meio de canais de comunicação e armazenamento em mídia de computador.

Todos os meios de proteção criptográfica da informação na UA devem ser baseados em um núcleo criptográfico básico. Uma organização deve ter licenças estabelecidas por lei para o direito de uso de mídia criptográfica.

O sistema de chave dos meios de proteção criptográfica usados ​​na UA deve fornecer capacidade de sobrevivência criptográfica e proteção em vários níveis contra o comprometimento da informação chave, separação de usuários por níveis de proteção e zonas de interação entre si e usuários de outros níveis.

Convém que a confidencialidade e a imitação de proteção da informação durante sua transmissão através dos canais de comunicação sejam asseguradas através do uso de meios de criptografia de assinante e canal no sistema. A combinação da criptografia do assinante e do canal de informação deve garantir sua proteção ponta a ponta ao longo de todo o caminho, proteger a informação no caso de seu redirecionamento errôneo devido a falhas e mau funcionamento do hardware e software das centrais de comutação.

A UA, que é um sistema com recursos de informação distribuídos, deve também utilizar meios de geração e verificação de assinaturas eletrónicas que garantam a integridade e a confirmação legal das evidências da autenticidade das mensagens, bem como a autenticação de utilizadores, estações de assinantes e confirmação de hora de envio de mensagens. Nesse caso, algoritmos padronizados de assinatura eletrônica devem ser usados.

8,3. Gestão de segurança da informação

A gestão do sistema de segurança da informação em uma NPP é um impacto direcionado sobre os componentes do sistema de segurança ( organizacional, técnico, software e criptográfico), a fim de atingir os indicadores e padrões exigidos para a segurança da informação que circula na NPP no contexto da implementação das principais ameaças à segurança.

O objetivo principal de organizar a gestão do sistema de segurança da informação é aumentar a confiabilidade da proteção da informação durante seu processamento, armazenamento e transmissão.

A gestão do sistema de segurança da informação é implementada por um subsistema de controlo especializado, que é um conjunto de órgãos de controlo, meios técnicos, software e criptográficos, bem como medidas organizacionais e pontos de controlo interactivos de vários níveis.

As funções do subsistema de controle são: informação, controle e auxiliar.

A função de informação consiste na monitorização contínua do estado do sistema de protecção, verificando a conformidade dos indicadores de segurança com os valores permitidos e informando imediatamente os operadores de segurança sobre situações que surjam na central nuclear e que possam levar a uma violação da segurança da informação. . Existem dois requisitos para monitorar o estado do sistema de proteção: integridade e confiabilidade. A completude caracteriza o grau de cobertura de todos os meios de proteção e parâmetros de seu funcionamento. A confiabilidade do controle caracteriza o grau de adequação dos valores dos parâmetros controlados ao seu valor real. Como resultado do processamento dos dados de controle, são geradas informações sobre o estado do sistema de proteção, que são generalizadas e transmitidas aos pontos de controle superiores.

A função de controlo consiste em formular planos de implementação de operações tecnológicas de NPP, tendo em conta os requisitos de segurança da informação nas condições vigentes num dado momento, bem como determinar a localização da situação de vulnerabilidade da informação e prevenir o seu vazamento por bloquear imediatamente as seções NPP onde surgem ameaças à segurança da informação ... As funções de controle incluem contabilidade, armazenamento e emissão de documentos e suportes de informações, senhas e chaves. Ao mesmo tempo, a geração de senhas, chaves, manutenção de meios de controle de acesso, aceitação de novas ferramentas de software incluídas no ambiente de software AS, controle da conformidade do ambiente de software com o padrão, bem como controle sobre a tecnologia O processo de processamento de informações confidenciais é atribuído aos funcionários do Departamento de Tecnologia da Informação e do Departamento de Segurança Econômica.

PARA funções auxiliares os subsistemas de controle incluem a contabilização de todas as operações realizadas na UA com informações protegidas, a formação de documentos de relatório e a coleta de dados estatísticos para analisar e identificar potenciais canais de vazamento de informações.

8.4. Monitorar a eficácia do sistema de proteção

O monitoramento da eficácia do sistema de proteção da informação é realizado de forma a identificar e prevenir tempestivamente o vazamento de informações por acesso não autorizado às mesmas, bem como prevenir possíveis ações especiais destinadas a destruir informação, destruindo a tecnologia da informação.

A avaliação da eficácia das medidas de proteção da informação é realizada através de controles organizacionais, de hardware e software para cumprimento dos requisitos estabelecidos.

O controle pode ser realizado tanto com a ajuda de meios padrão do sistema de proteção de informações, quanto com a ajuda de meios especiais de controle e monitoramento tecnológico.

8,5. Recursos para garantir a segurança da informação de dados pessoais

A classificação dos dados pessoais é efectuada de acordo com a gravidade das consequências da perda dos bens de segurança dos dados pessoais para o sujeito dos dados pessoais.

• Sobre dados pessoais ”Para categorias especiais de dados pessoais;
• dados pessoais classificados de acordo com a Lei Federal " Sobre dados pessoais ”Para dados pessoais biométricos;
• dados pessoais que não podem ser atribuídos a categorias especiais de dados pessoais, dados pessoais biométricos, dados pessoais publicamente disponíveis ou anônimos;
• dados pessoais classificados de acordo com a Lei Federal " Sobre dados pessoais ”Para dados pessoais publicamente disponíveis ou anônimos.

A transferência de dados pessoais a terceiros deve ser realizada com base na Lei Federal ou com o consentimento do titular dos dados pessoais. No caso de uma organização confiar o processamento de dados pessoais a terceiros com base em um acordo, uma condição essencial de tal acordo é a obrigação do terceiro de garantir a confidencialidade dos dados pessoais e a segurança dos dados pessoais durante seu processamento.

A organização deve interromper o processamento de dados pessoais e destruir os dados pessoais coletados, salvo disposição em contrário da legislação da Federação Russa, dentro dos prazos estabelecidos pela legislação da Federação Russa nos seguintes casos:

• ao atingir as metas de processamento ou se não houver necessidade de atingi-las;
• a pedido do titular dos dados pessoais ou do organismo autorizado para a proteção dos direitos dos titulares dos dados pessoais - se os dados pessoais estiverem incompletos, desatualizados, não fiáveis, obtidos ilegalmente ou não forem necessários para o propósito de processamento declarado;
• quando o titular dos dados pessoais revogar seu consentimento para o processamento de seus dados pessoais, se tal consentimento for exigido de acordo com a legislação da Federação Russa;
• se for impossível para o operador eliminar as violações cometidas no tratamento de dados pessoais.

A organização deve definir e documentar:

• procedimento para a destruição de dados pessoais ( incluindo suportes materiais de dados pessoais);
• o procedimento de processamento de pedidos de titulares de dados pessoais ( ou seus representantes legais) sobre o tratamento dos seus dados pessoais;
• o procedimento para as ações em caso de pedidos do Organismo Autorizado para a Proteção dos Direitos dos Titulares de Dados Pessoais ou de outros órgãos de supervisão que exerçam o controle e a supervisão no domínio dos dados pessoais;
• abordagem para classificar o orador como sistemas de informação dados pessoais ( Avançar - ISPDN );
• Lista ISPD. A lista de ISPD deve incluir AS, cuja finalidade da criação e utilização é o tratamento de dados pessoais.

Para cada PDIS, o seguinte deve ser identificado e documentado:

• a finalidade de processar dados pessoais;
• o volume e o conteúdo dos dados pessoais processados;
• uma lista de ações com dados pessoais e métodos de seu processamento.

O volume e o conteúdo dos dados pessoais, bem como uma lista de ações e métodos de tratamento de dados pessoais, devem corresponder às finalidades do tratamento. Caso para a implementação do processo tecnológico da informação, cuja implementação seja apoiada pelo ISPD, não haja necessidade de tratamento de determinados dados pessoais, estes devem ser eliminados.

Os requisitos para garantir a segurança dos dados pessoais na ISPDN são geralmente implementados por um complexo de medidas organizacionais, tecnológicas, técnicas e de software, meios e mecanismos de proteção da informação.

Organização de implementação e ( ou) a implementação dos requisitos para garantir a segurança dos dados pessoais deve ser realizada por uma unidade estrutural ou um funcionário (funcionário) da organização responsável por garantir a segurança dos dados pessoais, ou numa base contratual por uma organização - uma contraparte de uma organização licenciada para fornecer proteção técnica de informações confidenciais.

A criação de um ISPD de uma organização deve incluir o desenvolvimento e a aprovação de ( declaração) a documentação organizacional, administrativa, de concepção e operacional do sistema a ser criado, prevista no caderno de encargos. A documentação deve refletir as questões de garantia da segurança dos dados pessoais processados.

O desenvolvimento de conceitos, especificações técnicas, projeto, criação e teste, aceitação e comissionamento do ISPD deve ser realizado por acordo e sob o controle de uma unidade estrutural ou de um funcionário (funcionário) responsável por garantir a segurança dos dados pessoais.

Todos os ativos de informação pertencentes ao ISPD da organização devem ser protegidos dos efeitos de códigos maliciosos. A organização deve determinar e documentar os requisitos para garantir a segurança dos dados pessoais por meio da proteção antivírus e o procedimento para monitorar a implementação desses requisitos.

A organização deve definir um sistema de controle de acesso que permita o controle de acesso às portas de comunicação, dispositivos de entrada / saída, mídia de armazenamento removível e dispositivos de armazenamento de dados externos ISPDN.

Os chefes das divisões de operação e serviço do ISPD da organização garantem a segurança dos dados pessoais durante o processamento no ISPDN.

Os funcionários que processam dados pessoais em ISPDN devem agir de acordo com as instruções ( orientação, regulamentos, etc.), que faz parte da documentação operacional do ISPD, e cumpre os requisitos dos documentos para garantia de SI.

Responsabilidades pela administração dos meios de proteção e mecanismos de proteção que implementam os requisitos para garantir que o ISPD da organização sejam atribuídos por ordens ( ordens) em especialistas do Departamento de Tecnologia da Informação.

O procedimento para os especialistas do Departamento de Tecnologia da Informação e pessoal envolvido no processamento de dados pessoais deve ser determinado por instruções ( diretrizes), que são preparados pelo desenvolvedor do ISPD como parte da documentação operacional do ISPD.

As instruções especificadas ( Liderança):

• estabelecer requisitos para a qualificação de pessoal na área de segurança da informação, bem como uma lista atualizada de objetos protegidos e as regras para sua atualização;
• contém totalmente relevante ( por tempo) dados sobre direitos do usuário;
• conter dados sobre tecnologia de processamento da informação na quantidade necessária para um especialista em segurança da informação;
• estabelecer a ordem e frequência de análise de logs de eventos ( arquivos de log);
• regular outras ações.

Os parâmetros de configuração dos meios de proteção e mecanismos de proteção da informação contra a adulteração utilizados na área de responsabilidade dos especialistas do Departamento de Tecnologias da Informação encontram-se determinados na documentação operacional do ISPD. O procedimento e a frequência das verificações dos parâmetros de configuração instalados são estabelecidos na documentação operacional ou regulamentados por documento interno, devendo as verificações ser efetuadas pelo menos uma vez por ano.

A organização deve determinar e documentar o procedimento de acesso às instalações em que os meios técnicos da ISPDN estão localizados e os portadores de dados pessoais são armazenados, proporcionando o controle de acesso às instalações de pessoas não autorizadas e a presença de obstáculos para pessoas não autorizadas entrada nas instalações. O procedimento especificado deve ser desenvolvido por uma unidade estrutural ou um oficial ( Um empregado), responsável por garantir o regime de segurança física e acordado pela unidade estrutural ou oficial ( Um empregado), responsável por garantir a segurança dos dados pessoais, e o Departamento de Segurança Econômica.

Os usuários e pessoal de serviço do ISPD não devem realizar atividades não autorizadas e ( ou) não registrado ( descontrolado) cópia de dados pessoais. Para este fim, as medidas organizacionais e técnicas devem proibir pessoas não autorizadas e ( ou) não registrado ( descontrolado) cópia de dados pessoais, incluindo o uso de alienados ( substituível) mídia de armazenamento, dispositivos móveis para copiar e transferir informações, portas de comunicação e dispositivos de entrada / saída que implementam várias interfaces ( incluindo wireless), dispositivos de armazenamento de dispositivos móveis ( por exemplo, laptops, PDAs, smartphones, telefones celulares), bem como dispositivos de foto e vídeo.

O controle da segurança pessoal é realizado por um especialista em segurança da informação, tanto com o auxílio dos meios padrão do sistema de proteção da informação, quanto com o auxílio de meios especiais de controle e monitoramento tecnológico.

Baixar arquivo ZIP (65475)

Os documentos foram úteis - coloque "curtir" ou: