Disponibilitatea securității informațiilor. Securitatea datelor: asigurarea securității informațiilor

Fondatorul ciberneticii, Norbert Wiener, credea că informația are caracteristici unice și nu poate fi atribuită nici energiei, nici materiei. Statutul special al informaţiei ca fenomen a dat naştere multor definiţii.

În dicționarul standardului ISO / IEC 2382: 2015 „Tehnologia informației”, se oferă următoarea interpretare:

Informații (în domeniul prelucrării informațiilor)- orice date prezentate în formă electronică, scrise pe hârtie, exprimate în cadrul unei ședințe sau în orice alt suport, utilizate de o instituție financiară pentru luarea deciziilor, mutarea fondurilor, stabilirea ratelor, acordarea de împrumuturi, procesarea tranzacțiilor etc., inclusiv componentele software sisteme de prelucrare.

Pentru a dezvolta conceptul de securitate a informațiilor (IS), informația este înțeleasă ca informații care sunt disponibile pentru colectare, stocare, prelucrare (editare, transformare), utilizare și transmitere în diverse moduri, inclusiv în rețelele de calculatoare și alte sisteme informaționale.

Astfel de informații sunt de mare valoare și pot deveni obiecte de ucidere din partea terților. Dorința de a proteja informațiile de amenințări stă la baza creării sistemelor de securitate a informațiilor.

Bază legală

În decembrie 2017, Rusia a adoptat Doctrina Securității Informaționale. În document, IB este definită drept starea de protecție a intereselor naționale în sfera informațională... În acest caz, interesele naționale sunt înțelese ca totalitatea intereselor societății, ale individului și ale statului, fiecare grup de interese fiind necesar pentru funcționarea stabilă a societății.

Doctrina este o lucrare conceptuală. Relațiile juridice legate de asigurarea securității informațiilor sunt guvernate de legile federale „Cu privire la secretele de stat”, „Cu privire la informații”, „Cu privire la protecția datelor cu caracter personal” și altele. Pe baza actelor normative fundamentale se elaborează decrete guvernamentale și acte normative departamentale pe probleme private de protecție a informațiilor.

Definiția securității informațiilor

Înainte de a dezvolta o strategie de securitate a informațiilor, este necesar să se adopte o definiție de bază a conceptului în sine, care să permită utilizarea unui anumit set de metode și metode de protecție.

Practicienii din industrie sugerează ca securitatea informațiilor să fie înțeleasă ca o stare stabilă de securitate a informațiilor, a purtătorilor și a infrastructurii acesteia, care asigură integritatea și stabilitatea proceselor legate de informații împotriva impacturilor intenționate sau neintenționate de natură naturală și artificială. Impacturile sunt clasificate ca amenințări IS care pot dăuna subiecților relațiilor informaționale.

Astfel, protecția informațiilor va însemna un complex de măsuri legale, administrative, organizatorice și tehnice menite să prevină amenințările reale sau percepute la securitatea informațiilor, precum și eliminarea consecințelor incidentelor. Continuitatea procesului de protecție a informațiilor ar trebui să garanteze lupta împotriva amenințărilor în toate etapele ciclului informațional: în procesul de colectare, stocare, prelucrare, utilizare și transmitere a informațiilor.

Securitatea informațiilorîn această înțelegere, devine una dintre caracteristicile performanței sistemului. În fiecare moment, sistemul trebuie să aibă un nivel de securitate măsurabil, iar asigurarea securității sistemului trebuie să fie un proces continuu care se desfășoară la toate intervalele de timp pe durata de viață a sistemului.

Infograficul folosește date de la noiCăutareInform.

În teoria securității informațiilor, subiecții securității informațiilor sunt înțeleși ca proprietari și utilizatori ai informațiilor și nu numai utilizatorii în mod continuu (angajați), ci și utilizatorii care accesează baze de date în cazuri izolate, de exemplu, agențiile guvernamentale care solicită informații. Într-un număr de cazuri, de exemplu, în standardele de securitate a informațiilor bancare, acționarii sunt clasificați drept proprietari de informații - entitati legale căruia îi aparțin anumite date.

Infrastructura suport, din punctul de vedere al fundamentelor securității informațiilor, include computere, rețele, echipamente de telecomunicații, spații, sisteme de susținere a vieții și personal. Atunci când se analizează securitatea, este necesar să se studieze toate elementele sistemelor, acordând o atenție deosebită personalului ca purtător al majorității amenințărilor interne.

Pentru managementul securității informațiilor și evaluarea daunelor, se utilizează caracteristica de acceptabilitate, astfel încât daunele sunt determinate ca fiind acceptabile sau inacceptabile. Este util ca fiecare companie să-și stabilească propriile criterii de admisibilitate a prejudiciului sub formă bănească sau, de exemplu, sub forma unei prejudicii acceptabile aduse reputației. În instituțiile publice pot fi adoptate și alte caracteristici, de exemplu, influența asupra procesului de management sau reflectarea gradului de deteriorare a vieții și sănătății cetățenilor. Criteriile de semnificație, importanță și valoare a informațiilor se pot schimba în cursul ciclu de viață prin urmare, matricea de informații ar trebui revizuită în timp util.

O amenințare informațională în sens restrâns este o oportunitate obiectivă de a influența obiectul de protecție, care poate duce la scurgeri, furt, dezvăluire sau diseminare de informații. Într-un sens mai larg, amenințările la securitatea informațiilor vor include impacturi informaționale direcționate, al căror scop este de a dăuna statului, organizației și individului. Astfel de amenințări includ, de exemplu, defăimarea, denaturarea deliberată și publicitatea neadecvată.

Trei întrebări principale ale conceptului de securitate a informațiilor pentru orice organizație

Ce să protejez?

Ce tipuri de amenințări prevalează: externe sau interne?

Cum să protejăm, prin ce metode și mijloace?

sistem IS

Sistemul de securitate a informațiilor pentru o companie - entitate juridică include trei grupuri de concepte de bază: integritate, disponibilitate și confidențialitate. Sub fiecare sunt concepte cu multe caracteristici.

Sub integritateînseamnă rezistența bazelor de date, a altor matrice de informații la distrugerea accidentală sau intenționată, la modificări neautorizate. Integritatea poate fi privită ca:

static, exprimată în imuabilitatea, autenticitatea obiectelor informaționale față de acele obiecte care au fost create conform unei sarcini tehnice specifice și care conțin cantitatea de informații solicitată de utilizatori pentru activitățile lor principale, în configurația și succesiunea cerute;
dinamic, implicând executarea corectă a unor acțiuni sau tranzacții complexe, fără a prejudicia siguranța informațiilor.

Pentru a controla integritatea dinamică, sunt utilizate mijloace tehnice speciale care analizează fluxul de informații, de exemplu, cele financiare, și identifică cazurile de furt, duplicare, redirecționare și reordonare a mesajelor. Integritatea ca caracteristică cheie este necesară atunci când deciziile sunt luate pe baza informațiilor primite sau disponibile pentru a lua măsuri. Încălcarea ordinii comenzilor sau a secvenței de acțiuni poate cauza pagube mari în cazul descrierii proceselor tehnologice, codurilor de program și în alte situații similare.

Disponibilitate este o proprietate care permite subiecților autorizați să acceseze sau să facă schimb de date care îi interesează. Cerința cheie de legitimare sau autorizare a subiecților face posibilă crearea diferite niveluri acces. Refuzul sistemului de a furniza informații devine o problemă pentru orice organizație sau grup de utilizatori. Un exemplu este inaccesibilitatea site-urilor de servicii publice în cazul unei defecțiuni a sistemului, care privează mulți utilizatori de posibilitatea de a primi serviciile sau informațiile necesare.

Confidențialitateînseamnă proprietatea informațiilor de a fi disponibilă acelor utilizatori: subiecte și procese cărora li se permite inițial accesul. Majoritatea companiilor și organizațiilor percep confidențialitatea ca un element cheie al securității informațiilor, dar în practică este dificil să o implementeze pe deplin. Nu toate datele privind canalele existente de scurgere de informații sunt disponibile autorilor conceptelor de securitate a informațiilor, iar multe mijloace tehnice de protecție, inclusiv cele criptografice, nu pot fi achiziționate în mod liber, în unele cazuri cifra de afaceri este limitată.

Proprietățile egale ale securității informațiilor au valori diferite pentru utilizatori, de unde cele două categorii extreme în dezvoltarea conceptelor de protecție a datelor. Pentru companiile sau organizațiile asociate cu secretele de stat, confidențialitatea va deveni un parametru cheie, pentru serviciile publice sau instituțiile de învățământ cel mai important parametru este accesibilitatea.

Digest de securitate a informațiilor

Obiecte protejate în conceptele de securitate a informațiilor

Diferența de subiecte dă naștere unor diferențe în ceea ce privește obiectele de protecție. Principalele grupe de obiecte protejate:

resurse informaționale de toate tipurile (o resursă înseamnă un obiect material: HDD, un alt mediu, un document cu date și detalii care ajută la identificarea lui și la care se trimite un anumit grup subiecte);
drepturile cetățenilor, organizațiilor și statului de a accesa informații, capacitatea de a le obține în cadrul legii; accesul poate fi limitat doar prin acte normative; organizarea oricăror bariere care încalcă drepturile omului este inadmisibilă;
un sistem de creare, utilizare și distribuire a datelor (sisteme și tehnologii, arhive, biblioteci, documente de reglementare);
sistemul de formare a conștiinței publice (media, resurse de internet, instituții sociale, instituții de învățământ).

Fiecare obiect presupune un sistem special de măsuri de protecție împotriva amenințărilor la adresa securității informațiilor și ordinii publice. Asigurarea securității informațiilor în fiecare caz ar trebui să se bazeze pe o abordare sistematică care ține cont de specificul unității.

Categorii și medii de stocare

Sistemul juridic rus, practica de aplicare a legii și relațiile sociale stabilite clasifică informațiile în funcție de criteriile de accesibilitate. Acest lucru vă permite să clarificați parametrii esențiali necesari pentru a asigura securitatea informațiilor:

informații, la care accesul este limitat pe baza cerințelor legale (secrete de stat, secrete comerciale, date cu caracter personal);
informatii in acces deschis;
informații disponibile public care sunt furnizate în anumite condiții: informații plătite sau date pentru care trebuie să eliberați o admitere, de exemplu, un carnet de bibliotecă;
informații periculoase, dăunătoare, false și de altă natură, a căror circulație și distribuire este limitată fie de cerințele legilor, fie de standardele corporative.

Informațiile din primul grup au două moduri de protecție. Secret de stat, conform legii, este vorba de informații protejate de stat, a căror distribuire gratuită poate dăuna securității țării. Acestea sunt date din domeniul militar, al politicii externe, al informațiilor, al contrainformațiilor și al activităților economice ale statului. Proprietarul acestui grup de date este statul însuși. Organismele autorizate să ia măsuri pentru protejarea secretelor de stat sunt Ministerul Apărării, Serviciul Federal de Securitate (FSB), Serviciul de Informații Externe și Serviciul Federal de Control Tehnic și Export (FSTEC).

Informații confidențiale- un obiect de reglementare mai multifațetat. Lista informațiilor care pot constitui informații confidențiale este cuprinsă în decretul prezidențial nr. 188 „Cu privire la aprobarea listei informațiilor confidențiale”. Acestea sunt date personale; secretul anchetei și al procedurilor judiciare; secret oficial; secret profesional (medical, notarial, de avocat); secret comercial; informatii despre inventii si modele de utilitate; informații cuprinse în dosarele personale ale condamnaților, precum și informații privind executarea silită a actelor judiciare.

Datele personale există într-un mod deschis și confidențial. O parte din datele personale deschise și accesibile tuturor utilizatorilor includ prenumele, numele, patronimul. Conform FZ-152 „Cu privire la datele cu caracter personal”, subiecții datelor cu caracter personal au dreptul la:

autodeterminare informațională;
pentru a accesa datele personale cu caracter personal și a le face modificări;
pentru a bloca datele personale și accesul la acestea;
să facă recurs împotriva acțiunilor ilegale ale terților comise în legătură cu datele personale;
pentru a repara prejudiciul cauzat.

Dreptul la aceasta este consacrat în reglementările privind organele de stat, legile federale, licențele de lucru cu date personale emise de Roskomnadzor sau FSTEC. Companiile care lucrează profesional cu date personale ale unei game largi de persoane, de exemplu, operatorii de telecomunicații, trebuie să înscrie în registru, care este ținut de Roskomnadzor.

Un obiect separat în teoria și practica securității informațiilor sunt purtătorii de informații, accesul la care este deschis și închis. La elaborarea unui concept de securitate a informațiilor, metodele de protecție sunt selectate în funcție de tipul de suport. Principalele medii de stocare:

media tipărită și electronică, retele sociale, alte resurse de pe Internet;
angajații organizației care au acces la informații pe baza prieteniilor, familiei, legăturilor profesionale;
mijloace de comunicare care transmit sau stochează informații: telefoane, centrale telefonice automate, alte echipamente de telecomunicații;
documente de toate tipurile: personale, oficiale, guvernamentale;
software-ul ca obiect informațional independent, mai ales dacă versiunea acestuia a fost modificată special pentru o anumită companie;
medii electronice de stocare care procesează datele în mod automat.

În scopul dezvoltării conceptelor de securitate a informațiilor, mijloacele de securitate a informațiilor sunt de obicei împărțite în normative (informale) și tehnice (formale).

Mijloacele informale de protecție sunt documentele, regulile, evenimentele, mijloacele formale sunt mijloace tehnice și software speciale. Delimitarea ajută la repartizarea domeniilor de responsabilitate la crearea sistemelor de securitate a informațiilor: cu managementul general al protecției, personalul administrativ implementează metode normative, iar specialiștii IT, respectiv, pe cele tehnice.

Bazele securității informațiilor presupun delimitarea puterilor nu numai în ceea ce privește utilizarea informațiilor, ci și în ceea ce privește lucrul cu protecția acesteia. Această delimitare a puterilor necesită, de asemenea, mai multe niveluri de control.

Remedii formale

O gamă largă de mijloace tehnice de securitate a informațiilor include:

Echipament fizic de protecție. Acestea sunt mecanisme mecanice, electrice, electronice care funcționează independent de sistemele informaționale și creează bariere în calea accesului la acestea. Încuietorile, inclusiv cele electronice, ecranele, jaluzelele sunt concepute pentru a crea obstacole pentru contactul factorilor destabilizatori cu sistemele. Grupul este completat de sisteme de securitate, de exemplu, camere video, video recordere, senzori care detectează mișcarea sau excesul de gradul de radiație electromagnetică în zona de amplasare a mijloacelor tehnice de recuperare a informațiilor, dispozitive încorporate.

Protecție hardware. Acestea sunt dispozitive electrice, electronice, optice, laser și alte dispozitive care sunt încorporate în sistemele de informare și telecomunicații. Înainte de a introduce hardware-ul în sistemele informaționale, este necesar să se asigure compatibilitatea.

Software sunt programe simple și sistemice, complexe concepute pentru a rezolva probleme specifice și complexe legate de securitatea informațiilor. Un exemplu de soluții complexe sunt și: primele servesc la prevenirea scurgerilor, reformatarea informațiilor și redirecționarea fluxurilor de informații, cele din urmă asigură protecție împotriva incidentelor din domeniul securității informațiilor. Software-ul solicită puterea dispozitivelor hardware și trebuie furnizate rezerve suplimentare în timpul instalării.

poate fi testat gratuit timp de 30 de zile. Înainte de a instala sistemul, inginerii SearchInform vor efectua un audit tehnic la firma clientului.

LA mijloace specifice securitatea informațiilor include diverși algoritmi criptografici care criptează informațiile de pe disc și redirecționate prin canale de comunicare externe. Transformarea informațiilor poate avea loc folosind metode software și hardware care funcționează în sistemele informaționale corporative.

Toate mijloacele care garantează securitatea informațiilor ar trebui utilizate în combinație, după o evaluare preliminară a valorii informațiilor și compararea acesteia cu costul resurselor cheltuite pentru securitate. Prin urmare, propunerile de utilizare a fondurilor ar trebui formulate deja în stadiul de dezvoltare a sistemelor, iar aprobarea ar trebui făcută la nivelul managementului care este responsabil cu aprobarea bugetelor.

Pentru a asigura securitatea, este necesar să monitorizăm toate evoluțiile moderne, mijloacele de protecție software și hardware, amenințările și să facem cu promptitudine modificările propriilor noastre sisteme de protecție împotriva accesului neautorizat. Doar adecvarea și promptitudinea răspunsului la amenințări vor ajuta la realizarea nivel inalt confidențialitatea în activitatea companiei.

Prima lansare a fost lansată în 2018. Acest program unic creează portrete psihologice ale angajaților și îi atribuie grupurilor de risc. Această abordare a asigurării securității informațiilor vă permite să anticipați posibilele incidente și să luați măsuri în avans.

Remedii informale

Remediile informale sunt grupate în normative, administrative și moral-etice. La primul nivel de protecție se află mijloacele de reglementare care reglementează securitatea informațiilor ca proces în activitățile organizației.

Mijloace de reglementare

În practica mondială, atunci când se dezvoltă instrumente de reglementare, acestea sunt ghidate de standardele de protecție IS, principalul fiind ISO / IEC 27000. Standardul a fost creat de două organizații:

ISO - Comisia Internațională de Standardizare, care dezvoltă și aprobă majoritatea metodologiilor recunoscute internațional pentru certificarea calității proceselor de producție și management;
IEC - Comisia Internațională pentru Energie, care a introdus în standard înțelegerea sa despre sistemele de securitate a informațiilor, mijloacele și metodele de asigurare a acesteia

Versiunea actuală a ISO/IEC 27000-2016 oferă standarde gata făcute și metode dovedite necesare pentru implementarea securității informațiilor. Potrivit autorilor metodelor, baza securității informațiilor stă în consistența și implementarea consecventă a tuturor etapelor de la dezvoltare până la post-control.

Pentru a obține un certificat care confirmă conformitatea cu standardele de securitate a informațiilor, este necesară implementarea integrală a tuturor tehnicilor recomandate. Dacă nu este nevoie să obțineți un certificat, cu atât mai mult versiuni timpurii standard, începând cu ISO / IEC 27000-2002, sau GOST rusești, care sunt de natură recomandativă.

Pe baza rezultatelor studierii standardului, sunt în curs de elaborare două documente care se referă la securitatea informației. Principalul, dar mai puțin formal, este conceptul de securitate a informațiilor unei întreprinderi, care definește măsurile și metodele de implementare a unui sistem de securitate a informațiilor pentru sistemele informaționale ale unei organizații. Al doilea document pe care trebuie să-l respecte toți angajații companiei este regulamentul de securitate a informațiilor aprobat la nivelul consiliului de administrație sau al organului executiv.

Pe lângă poziția la nivel de companie, ar trebui elaborate liste de informații care constituie secret comercial, anexe la contractele de muncă, asigurarea răspunderii pentru dezvăluirea datelor confidențiale, alte standarde și metode. Normele și reglementările interne ar trebui să conțină mecanisme de implementare și măsuri de responsabilitate. Cel mai adesea, măsurile sunt de natură disciplinară, iar contravenientul trebuie să fie pregătit pentru faptul că încălcarea regimului secretului comercial va fi urmată de sancțiuni semnificative, până la concediere inclusiv.

Măsuri organizatorice și administrative

În cadrul activitati administrative pentru a proteja securitatea informațiilor pentru personalul de securitate, există spațiu pentru creativitate. Acestea sunt soluții arhitecturale și de planificare care ajută la protejarea sălilor de ședințe și a birourilor de management de interceptări și stabilirea diferitelor niveluri de acces la informații. Măsuri organizatorice importante vor fi certificarea activităților companiei în conformitate cu standardele ISO/IEC 27000, certificarea sistemelor hardware și software individuale, certificarea subiecților și obiectelor pentru conformitatea cu cerințele de securitate necesare și obținerea licențelor necesare pentru a lucra cu matrice protejate de informație.

Din punctul de vedere al reglementării activităților personalului, va fi important să se formuleze un sistem de solicitări de acces la Internet, e-mail extern și alte resurse. Un element separat va fi primirea unei semnături digitale electronice pentru a spori securitatea informațiilor financiare și de altă natură care sunt transmise agențiilor guvernamentale prin e-mail.

Măsuri morale și etice

Măsurile morale și etice determină atitudinea personală a unei persoane față de informații confidențiale sau informații limitate în circulație. Creșterea nivelului de cunoștințe al angajaților cu privire la impactul amenințărilor asupra activităților companiei afectează gradul de conștiință și responsabilitate al angajaților. Pentru a combate încălcările regimului informațional, inclusiv, de exemplu, transferul de parole, manipularea neglijentă a mass-media, diseminarea datelor confidențiale în conversații private, este necesar să se concentreze asupra conștiinciozității personale a angajatului. Va fi util să se stabilească indicatori ai eficacității personalului, care vor depinde de atitudinea față de sistem corporativ IB.

Politica de securitate a informațiilor.

1. Dispoziții generale

Această politică securitatea informatiilor ( Mai departe - Politică ) definește sistemul de opinii cu privire la problema asigurării securității informațiilor și reprezintă o declarație sistematizată a scopurilor și obiectivelor, precum și a aspectelor organizatorice, tehnologice și procedurale de asigurare a securității informațiilor obiectelor de infrastructură informațională, inclusiv un set de informații; centrele, băncile de date și sistemele de comunicații ale organizației. Această politică a fost elaborată ținând cont de cerințele legislației actuale a Federației Ruse și de perspectivele imediate de dezvoltare a infrastructurii informaționale, precum și de caracteristicile și capacitățile metodelor moderne de organizare și tehnică și hardware și software pentru protecția informațiilor. .

Principalele prevederi și cerințe ale Politicii se aplică tuturor diviziilor structurale ale organizației.

Politica constituie o bază metodologică pentru formarea și implementarea unei politici unificate în domeniul asigurării securității informațiilor obiectelor de infrastructură informațională, luării deciziilor coordonate de management și dezvoltării măsurilor practice care vizează asigurarea securității informațiilor, coordonarea activităților diviziilor structurale ale organizatia atunci cand efectueaza lucrari de creare, dezvoltare si exploatare a obiectelor informatice.infrastructura cu respectarea cerintelor de securitate a informatiilor.

Politica nu reglementează aspectele de organizare a protecției spațiilor și de asigurare a siguranței și integrității fizice a componentelor infrastructurii informaționale, de protecție împotriva dezastrelor naturale și a defecțiunilor în sistemul de alimentare cu energie, cu toate acestea, implică construirea unui sistem de securitate a informațiilor. pe aceleaşi fundamente conceptuale ca şi sistemul de securitate al organizaţiei în ansamblu.

Implementarea politicii este asigurată de ghiduri, reglementări, proceduri, instrucțiuni, ghiduri adecvate și un sistem de evaluare a securității informațiilor în organizație.

Politica folosește următorii termeni și definiții:

sistem automatizat ( LA FEL DE) — un sistem format din personal și un complex de mijloace pentru automatizarea activităților acestora, care implementează tehnologia informației pentru îndeplinirea funcțiilor stabilite.

Infrastructura informațională- un sistem de structuri organizatorice care asigură funcţionarea şi dezvoltarea spațiu informaționalși instrumente de comunicare. Infrastructura informațională include un set de centre de informații, bănci de date și cunoștințe, sisteme de comunicații și oferă consumatorilor acces la resursele informaționale.

Resurse informative ( IR) - acestea sunt documente separate și rețele separate de documente, documente și rețele de documente în sistemele informaționale ( biblioteci, arhive, fonduri, baze de date și alte sisteme informaționale).

Sistem informatic (IP) - sistemul de procesare a informațiilor și resursele organizaționale aferente ( uman, tehnic, financiar etc.) care furnizează și difuzează informații.

Siguranță - starea de protectie a intereselor ( obiective) organizații în fața amenințărilor.

Securitatea informațiilor ( IB) — securitatea legată de amenințările din sfera informațională. Securitatea se realizează prin asigurarea unui set de proprietăți IS - disponibilitatea, integritatea, confidențialitatea activelor informaționale. Prioritatea proprietăților IS este determinată de valoarea acestor active pentru dobânzi ( obiective) organizare.

Disponibilitatea activelor informaționale - proprietatea IS-ului unei organizații, care constă în faptul că activele informaționale sunt furnizate unui utilizator autorizat, și în forma și locul cerute de utilizator, precum și în momentul în care acesta are nevoie de ele.

Integritatea activelor informaționale - proprietatea securității informațiilor unei organizații de a menține neschimbate sau corecte modificări detectate în activele sale informaționale.

Confidențialitatea activelor informaționale - proprietatea securității informaționale a unei organizații, care constă în faptul că prelucrarea, stocarea și transferul activelor informaționale se realizează în așa fel încât activele informaționale să fie disponibile numai utilizatorilor autorizați, obiectelor de sistem sau proceselor.

Sistemul de securitate a informatiilor ( PENIŢĂ) — un set de măsuri de protecție, echipamente de protecție și procese de funcționare a acestora, inclusiv resurse și administrative ( organizatoric) prevedere.

Acces neautorizat- accesul la informații cu încălcarea atribuțiilor oficiale ale unui angajat, accesul la informații care este închis accesului public de către persoane care nu au permisiunea de a accesa aceste informații sau să obțină acces la informații de către o persoană care are dreptul de a accesa aceste informații într-o sumă care depăşeşte suma necesară îndeplinirii atribuţiilor oficiale.

2. Cerințe generale pentru securitatea informațiilor

Cerințe de securitate a informațiilor ( Mai departe -IB ) determină conținutul și obiectivele activităților organizației în cadrul proceselor de management SI.

Aceste cerințe sunt formulate pentru următoarele domenii:

atribuirea și distribuirea rolurilor și încrederea în personal;
etapele ciclului de viață al obiectelor de infrastructură informațională;
protectie impotriva accesului neautorizat ( Mai departe - NSD ), control acces și înregistrare în sisteme automatizate, în echipamente de telecomunicații și centrale telefonice automate etc.;
protectie antivirus;
utilizarea resurselor de internet;
utilizarea mijloacelor de protecție a informațiilor criptografice;
protectia datelor cu caracter personal.

3. Obiecte de protejat

Principalele obiecte care trebuie protejate sunt:

resurse informaționale prezentate sub formă de documente și rețele de informații, indiferent de forma și tipul de prezentare a acestora, inclusiv informații confidențiale și deschise;
sistem de formare, distribuire și utilizare a resurselor informaționale, biblioteci, arhive, baze de date și bănci de date, tehnologii informaționale, reglementări și proceduri de colectare, prelucrare, stocare și transmitere a informațiilor, personal tehnic și de servicii;
infrastructura informaţională, inclusiv sisteme de procesare și analiză a informațiilor, hardware și software pentru prelucrarea, transmiterea și afișarea acesteia, inclusiv canalele de schimb de informații și telecomunicații, sistemele și sistemele de securitate a informațiilor, instalațiile și spațiile în care se află componentele infrastructurii informaționale.

3.1. Caracteristicile sistemului automatizat

Informații de diferite categorii circulă în UA. Informațiile protejate pot fi partajate de diferiți utilizatori din subrețele diferite ale unei singure rețele corporative.

Un număr de subsisteme AS asigură interacțiunea cu extern ( de stat și comerciale, ruse și străine) organizații pe canale de comunicații comutate și dedicate care utilizează mijloace speciale de transmitere a informațiilor.

Complexul de mijloace tehnice al UA include mijloace de prelucrare a datelor ( stații de lucru, servere de baze de date, servere de mail etc.), mijloace de schimb de date în rețelele locale cu posibilitatea de a accesa rețele globale ( cablare, poduri, gateway-uri, modemuri etc.), precum si facilitati de depozitare ( incl. arhivare) date.

Principalele caracteristici ale funcționării UA includ:

necesitatea integrării într-un singur sistem un numar mare diverse mijloace tehnice de prelucrare și transmitere a informațiilor;
o mare varietate de sarcini de rezolvat și tipuri de date prelucrate;
combinarea informațiilor în diverse scopuri, apartenență și niveluri de confidențialitate în baze de date comune;
disponibilitatea canalelor de conectare la rețele externe;
continuitatea funcționării;
prezența subsistemelor cu cerințe diferite în ceea ce privește nivelurile de securitate, unite fizic într-o singură rețea;
varietate de categorii de utilizatori și personal de service.

În termeni generali, un singur AS este un ansamblu de rețele locale de subdiviziuni, interconectate prin intermediul telecomunicațiilor. Fiecare rețea locală reunește un număr de subsisteme automate interconectate și care interacționează ( site-uri tehnologice), asigurând soluționarea problemelor de către diviziile structurale individuale ale organizației.

Obiectele de informatizare includ:

echipamente tehnologice ( facilitati informatice, echipamente de retea si cablu);
resurse informaționale;
software ( sisteme de operare, sisteme de gestionare a bazelor de date, sisteme generale și aplicații software);
sisteme automate de comunicaţii şi transmisii de date (telecomunicaţii);
canale de conectare;
spatiu de birouri.

3.2. Tipuri de active informaționale ale organizației care trebuie protejate

Informații cu diferite niveluri de confidențialitate circulă în subsistemele AS ale organizației, conținând informații de distribuție limitată ( servicii, comerciale, date personale) și informații deschise.

Fluxul de documente al UA conține:

ordine de plata si documente financiare;
rapoarte ( financiar, analitic etc.);
informații despre conturile personale;
date personale;
alte informații cu distribuție limitată.

Toate informațiile care circulă în UA și conținute în următoarele tipuri de active informaționale sunt supuse protecției:

informații care constituie un secret comercial și oficial, accesul la care este limitat de organizație, în calitate de proprietar al informațiilor, în conformitate cu Legea federală " Despre informare, informatizare si protectia informatiilor „Drepturi și lege federală” Despre secretele comerciale »;
date personale, accesul la care este limitat în conformitate cu legea federală " Despre datele personale »;
informații deschise, în ceea ce privește asigurarea integrității și disponibilității informațiilor.

3.3. Categorii de utilizatori ai sistemului automatizat

Organizația are un număr mare de categorii de utilizatori și personal de servicii, care trebuie să aibă competențe diferite pentru a accesa resursele informaționale ale UA:

utilizatori obișnuiți ( utilizatori finali, angajați ai unităților organizaționale);
administratori de server ( servere de fișiere, servere de aplicații, servere de baze de date), rețele locale și sisteme de aplicații;
programatori de sistem ( responsabil pentru întreținerea software-ului general) pe serverele și stațiile de lucru ale utilizatorilor;
dezvoltatori de software de aplicatii;
specialişti în întreţinerea mijloacelor tehnice de tehnologie informatică;
administratorii de securitate a informațiilor etc.

3.4. Vulnerabilitatea principalelor componente ale Sistemului Automatizat

Cele mai vulnerabile componente ale AU sunt stațiile de lucru în rețea - stațiile de lucru automatizate ( Mai departe - AWP ) muncitorii. Tentative de acces neautorizat la informații sau încercări de acțiuni neautorizate ( neintenționat și voit) v rețea de calculatoare... Încălcările configurației hardware și software ale stațiilor de lucru și interferența ilegală în procesele de funcționare a acestora pot duce la blocarea informațiilor, imposibilitatea rezolvării la timp a sarcinilor importante și eșecul stațiilor de lucru și subsistemelor individuale.

Elementele de rețea, cum ar fi serverele de fișiere dedicate, serverele de baze de date și serverele de aplicații au nevoie de protecție specială. Dezavantajele protocoalelor de schimb și ale mijloacelor de diferențiere a accesului la resursele serverului pot face posibil accesul neautorizat la informații protejate și pot influența funcționarea diferitelor subsisteme. În acest caz, încercările pot fi făcute ca telecomandă ( de la stațiile din rețea) și direct ( de pe consola serverului) impactul asupra funcționării serverelor și asupra protecției acestora.

Podurile, gateway-urile, hub-urile, routerele, comutatoarele și alte dispozitive de rețea, legăturile și comunicațiile au, de asemenea, nevoie de protecție. Ele pot fi folosite de intruși pentru a restructura și dezorganiza operațiunile de rețea, pentru a intercepta informațiile transmise, pentru a analiza traficul și pentru a implementa alte metode de interferență cu procesele de schimb de date.

4. Principii de bază ale securității informațiilor

4.1. Principii generale de funcționare în siguranță

Promptitudinea detectării problemelor. Organizația ar trebui să identifice în timp util problemele care i-ar putea afecta obiectivele de afaceri.
Previzibilitatea dezvoltării problemelor. Organizația trebuie să identifice cauzalitatea posibile problemeși să construiască pe această bază o prognoză exactă a dezvoltării lor.
Evaluarea impactului problemelor asupra obiectivelor afacerii. Organizația trebuie să evalueze în mod adecvat impactul problemelor identificate.
Adecvarea măsurilor de protecție. Organizația ar trebui să selecteze măsuri de protecție adecvate modelelor de amenințări și infractori, ținând cont de costurile implementării unor astfel de măsuri și de cantitatea posibilelor pierderi din implementarea amenințărilor.
Eficacitatea măsurilor de protecție. Organizația trebuie să pună în aplicare efectiv măsurile de protecție luate.
Folosirea experienței în luarea și implementarea deciziilor. Organizația ar trebui să acumuleze, să generalizeze și să folosească atât propria experiență, cât și experiența altor organizații la toate nivelurile de luare a deciziilor și de implementare a acestora.
Continuitatea principiilor de funcționare în siguranță. Organizația trebuie să asigure continuitatea implementării principiilor de funcționare în siguranță.
Controlabilitatea măsurilor de protecție. Organizația ar trebui să aplice numai acele garanții care pot fi verificate ca funcționează corect, iar organizația ar trebui să evalueze în mod regulat caracterul adecvat al garanțiilor și eficacitatea implementării acestora, ținând cont de impactul garanțiilor asupra obiectivelor de afaceri ale organizației.

4.2. Principii speciale pentru asigurarea securității informațiilor

Implementarea principiilor speciale de securitate a informațiilor are ca scop creșterea nivelului de maturitate al proceselor de management al securității informațiilor dintr-o organizație.
Definiţia goals. Obiectivele funcționale și de securitate a informațiilor ale organizației ar trebui să fie definite în mod explicit într-un document intern. Incertitudinea duce la „ imprecizie”Structura organizatorică, rolurile personalului, politicile de securitate a informațiilor și imposibilitatea de a evalua caracterul adecvat al măsurilor de protecție luate.
Cunoașterea clienților și angajaților dvs. Organizația trebuie să aibă informații despre clienții săi, să selecteze cu atenție personalul ( muncitorii), dezvolta și menține etica corporativă, care creează un mediu favorabil de încredere pentru activitățile organizației de gestionare a activelor.
Personificarea și împărțirea adecvată a rolurilor și responsabilităților. Responsabilitatea oficialilor organizației pentru deciziile legate de activele acesteia ar trebui să fie personificată și îndeplinită în principal sub forma unei garanții. Ar trebui să fie adecvată gradului de influență asupra obiectivelor organizației, să fie fixată în politici, controlată și îmbunătățită.
Adecvarea rolurilor la funcții și proceduri și comparabilitatea acestora cu criteriile și sistemul de evaluare. Rolurile ar trebui să reflecte în mod adecvat funcțiile îndeplinite și procedurile de implementare a acestora adoptate în organizație. Atunci când se atribuie roluri interdependente, trebuie luată în considerare succesiunea necesară a implementării acestora. Rolul trebuie să fie în concordanță cu criteriile de evaluare a eficacității implementării sale. Conținutul principal și calitatea rolului jucat sunt de fapt determinate de sistemul de evaluare aplicat acestuia.
Disponibilitatea serviciilor si serviciilor. Organizația trebuie să asigure clienților și contractorilor săi disponibilitatea serviciilor și serviciilor în termenele stabilite stabilite prin acordurile relevante ( acorduri) și/sau alte documente.
Observabilitatea și evaluarea securității informațiilor. Orice măsuri de protecție propuse trebuie concepute astfel încât efectul aplicării lor să fie clar vizibil, observabil ( transparent) și ar putea fi evaluat de o divizie a organizației cu autoritatea corespunzătoare.

5. Scopuri și obiective ale securității informațiilor

5.1. Subiectele relaţiilor informaţionale în Sistemul automatizat

Subiectele raporturilor juridice la utilizarea UA și asigurarea securității informațiilor sunt:

Organizație ca proprietar al resurselor informaționale;
subdiviziunile organizației care asigură funcționarea CNE;
angajații diviziilor structurale ale organizației, în calitate de utilizatori și furnizori de informații în UA în conformitate cu funcțiile care le sunt atribuite;
persoane juridice și persoane fizice, informații despre care sunt acumulate, stocate și prelucrate în SA;
alte entități juridice și persoane fizice implicate în crearea și funcționarea UA ( dezvoltatori de componente de sistem, organizatii implicate in furnizarea de diverse servicii in domeniu tehnologia Informatiei si etc.).

Subiecții enumerați ai relațiilor de informare sunt interesați să asigure:

confidențialitatea unei anumite informații;
fiabilitate ( completitudine, acuratețe, adecvare, integritate) informație;
protecție împotriva impunerii false ( nesigur, distorsionat) informație;
accesul în timp util la informațiile necesare;
diferențierea răspunderii pentru încălcarea drepturilor legale ( interese) alte subiecte ale relaţiilor informaţionale şi regulile stabilite de prelucrare a informaţiilor;
posibilitatea monitorizării și gestionării continue a proceselor de prelucrare și transmitere a informațiilor;
protejarea unei părți a informațiilor de replicarea ilegală a acesteia ( protecția drepturilor de autor, drepturile proprietarului informațiilor etc.).

5.2. Obiectivul de securitate a informațiilor

Scopul principal al asigurării securității informațiilor este acela de a proteja subiecții relațiilor informaționale de eventualele daune materiale, morale sau de altă natură aduse acestora prin intervenția accidentală sau deliberată neautorizată în procesul de funcționare a UA sau accesul neautorizat la informațiile care circulă în aceasta și utilizarea sa ilegală.

Acest obiectiv este atins prin asigurarea și întreținerea constantă a următoarelor proprietăți ale informațiilor și a unui sistem automatizat de prelucrare a acesteia:

disponibilitatea informațiilor prelucrate pentru utilizatorii înregistrați;
confidențialitatea unei anumite părți a informațiilor stocate, prelucrate și transmise prin canale de comunicare;
integritatea și autenticitatea informațiilor stocate, procesate și transmise prin canalele de comunicare.

5.3. Obiectivele de securitate a informațiilor

Pentru a atinge obiectivul principal de asigurare a securității informațiilor, sistemul de securitate a informațiilor NPP trebuie să ofere o soluție eficientă pentru următoarele sarcini:

protecția împotriva interferenței în procesul de funcționare a UA de către persoane neautorizate;
diferențierea accesului utilizatorilor înregistrați la resursele hardware, software și informaționale ale UA, adică protecția împotriva accesului neautorizat;
înregistrarea acțiunilor utilizatorilor la utilizarea resurselor AS protejate în jurnalele de sistem și controlul periodic al corectitudinii acțiunilor utilizatorilor sistemului prin analizarea conținutului acestor jurnale de către specialiști din departamentele de securitate;
protecție împotriva modificărilor neautorizate și controlul integrității ( asigurarea imuabilităţii) mediul de execuție a programelor și restabilirea acestuia în caz de încălcare;
protecția împotriva modificărilor neautorizate și controlul integrității software-ului utilizat în UA, precum și protecția sistemului împotriva introducerii de programe neautorizate, inclusiv viruși informatici;
protecția informațiilor împotriva scurgerilor prin canale tehnice în timpul prelucrării, stocării și transmiterii acesteia prin canalele de comunicare;
protecția informațiilor stocate, prelucrate și transmise prin canalele de comunicare împotriva dezvăluirii sau denaturării neautorizate;
Furnizarea de autentificare a utilizatorilor care participă la schimbul de informații;
asigurarea supraviețuirii instrumentelor de protecție a informațiilor criptografice atunci când o parte a sistemului de chei este compromisă;
identificarea în timp util a surselor de amenințări la adresa securității informațiilor, a cauzelor și condițiilor care contribuie la deteriorarea subiecților interesați ai relațiilor informaționale, crearea unui mecanism de răspuns prompt la amenințările la adresa securității informațiilor și tendințele negative;
crearea condițiilor pentru minimizarea și localizarea daunelor cauzate de acțiunile ilegale ale persoanelor fizice și juridice, slăbirea impactului negativ și eliminarea consecințelor încălcării securității informațiilor.

5.4. Modalități de rezolvare a problemelor de securitate a informațiilor

Soluționarea problemelor de securitate a informațiilor se realizează:

contabilizarea strictă a tuturor resurselor sistemului supuse protecției ( informații, sarcini, canale de comunicare, servere, AWP);
reglementarea proceselor de prelucrare a informațiilor și a acțiunilor angajaților diviziilor structurale ale organizației, precum și a acțiunilor personalului care efectuează întreținerea și modificarea software-ului și hardware-ului centralei nucleare, pe baza documentelor organizatorice și administrative privind securitatea informației;
completitudinea, fezabilitatea reală și coerența cerințelor documentelor organizatorice și administrative privind securitatea informațiilor;
numirea și instruirea angajaților responsabili cu organizarea și implementarea măsurilor practice de asigurare a securității informațiilor;
imputernicirea fiecarui salariat cu minimul necesar acestuia pentru a-si indeplini atributiile functionale cu autoritate de acces la resursele centralei nucleare;
cunoașterea clară și respectarea strictă de către toți angajații care utilizează și întrețin hardware-ul și software-ul centralei nucleare, a cerințelor documentelor organizatorice și administrative privind securitatea informațiilor;
responsabilitatea personală pentru acțiunile sale a fiecărui angajat care participă, în cadrul atribuțiilor sale funcționale, la procesele de prelucrare automată a informațiilor și are acces la resursele UA;
implementarea proceselor tehnologice de prelucrare a informațiilor folosind complexe de măsuri organizatorice și tehnice pentru protejarea software-ului, hardware-ului și datelor;
adoptarea de măsuri eficiente pentru asigurarea integrității fizice a echipamentelor tehnice și menținerea continuă a nivelului necesar de protecție a componentelor CNE;
aplicarea tehnicilor ( software și hardware) mijloace de protejare a resurselor sistemului și suport administrativ continuu pentru utilizarea acestora;
delimitarea fluxurilor de informații și interzicerea transmiterii informațiilor de distribuție limitată prin canale de comunicare neprotejate;
control eficient asupra conformității de către angajați cu cerințele de securitate a informațiilor;
monitorizare constantă resursele rețelei, identificarea vulnerabilităților, detectarea în timp util și neutralizarea amenințărilor externe și interne la securitatea unei rețele de calculatoare;
protecția juridică a intereselor organizației împotriva acțiunilor ilegale în domeniul securității informațiilor.
efectuarea unei analize continue a eficacității și suficienței măsurilor luate și a mijloacelor de protecție a informațiilor utilizate, elaborarea și implementarea propunerilor de îmbunătățire a sistemului de protecție a informațiilor din centrala nucleară.

6 amenințări la securitatea informațiilor

6.1. Amenințările la securitatea informațiilor și sursele acestora

Cele mai periculoase amenințări la adresa securității informațiilor procesate într-o centrală nucleară sunt:

încălcarea confidențialității ( dezvăluire, scurgere) informații care constituie un secret oficial sau comercial, inclusiv datele personale;
funcționare defectuoasă ( dezorganizarea muncii) AU, blocarea informațiilor, încălcarea proceselor tehnologice, perturbarea soluționării la timp a problemelor;
încălcarea integrității ( denaturare, înlocuire, distrugere) informații, software și alte resurse ale UA.

Principalele surse de amenințări la adresa securității informațiilor NPP sunt:

evenimente adverse cu caracter natural și provocate de om;
terorişti, criminali;
infractorii informatici care efectuează acțiuni distructive vizate, inclusiv utilizarea virușii informaticiși alte tipuri de coduri și atacuri rău intenționate;
furnizori de software și hardware, consumabile, servicii etc.;
contractori care execută instalarea, punerea în funcțiune a echipamentelor și repararea acestora;
nerespectarea cerințelor organismelor de supraveghere și reglementare, legislația în vigoare;
defecțiuni, defecțiuni, distrugerea/deteriorarea software-ului și hardware-ului;
angajații care sunt participanți legali la procesele din UA și acționează în afara sferei de aplicare a competențelor acordate;
angajații care sunt participanți legali la procesele din UA și acționează în cadrul competențelor acordate.

6.2. Acțiuni neintenționate care conduc la o încălcare a securității informațiilor și măsuri de prevenire a acestora

Angajații organizației care au acces direct la procesele de prelucrare a informațiilor din UA sunt o sursă potențială de acțiuni accidentale neintenționate care pot duce la o încălcare a securității informațiilor.

Acțiuni majore neintenționate care conduc la o încălcare a securității informațiilor (acțiuni efectuate de oameni accidental, din ignoranță, neatenție sau neglijență, din curiozitate, dar fără intenție rău intenționată)) și sunt date măsuri de prevenire a unor astfel de acțiuni și de minimizare a pagubelor pe care le provoacă tabelul 1.

tabelul 1

Principalele acțiuni care conduc la o încălcare a securității informațiilor
Acțiuni ale angajaților care duc la defecțiuni parțiale sau complete ale sistemului sau la întreruperea performanței hardware sau software; deconectarea echipamentelor sau schimbarea modurilor de funcționare a dispozitivelor și programelor; distrugerea resurselor informaționale ale sistemului ( deteriorarea neintenționată a echipamentelor, ștergerea, denaturarea programelor sau fișierelor cu informații importante, inclusiv a celor de sistem, deteriorarea canalelor de comunicare, deteriorarea neintenționată a mediilor de stocare etc.)	Măsuri organizatorice ( ). Utilizarea mijloacelor fizice pentru a preveni comiterea involuntară a unei încălcări. Aplicarea tehnicilor ( hardware și software) mijloace de diferențiere a accesului la resurse. Rezervarea resurselor critice.
Lansarea neautorizată a programelor care, dacă sunt utilizate incompetent, pot cauza o pierdere a performanței sistemului ( îngheață sau bucle) sau efectuarea de modificări ireversibile în sistem ( formatarea sau restructurarea mediilor de stocare, ștergerea datelor etc.)	Măsuri organizatorice ( eliminarea tuturor programelor potențial periculoase de pe stația de lucru). Aplicarea tehnicilor ( hardware și software) mijloace de diferențiere a accesului la programe de pe stația de lucru.
Introducerea și utilizarea neautorizată a programelor neînregistrate ( jocuri, instruire, tehnologice și altele care nu sunt necesare angajaților pentru a-și îndeplini atribuțiile oficiale) cu risipa ulterioară nerezonabilă a resurselor ( timp procesor, memorie cu acces aleatoriu, memorie pe suport extern etc.)	Măsuri organizatorice ( impunerea de interdicții). Aplicarea tehnicilor ( hardware și software) înseamnă prevenirea introducerii și utilizării neautorizate a programelor neînregistrate.
Infectarea neintenționată cu virusuri a computerului dvs	Măsuri organizatorice ( reglementarea acțiunilor, introducerea interdicțiilor). masuri tehnologice ( utilizarea de programe speciale pentru detectarea și distrugerea virușilor). Utilizarea instrumentelor hardware și software care previn infectarea cu viruși informatici.
Dezvăluirea, transferul sau pierderea atributelor de control al accesului ( parole, chei de criptare sau semnătură electronică, cărți de identitate, permise etc.)	Măsuri organizatorice ( reglementarea acțiunilor, introducerea interdicțiilor, întărirea responsabilității). Utilizarea mijloacelor fizice pentru a asigura siguranța detaliilor specificate.
Ignorarea constrângerilor organizaționale ( regulile stabilite) când lucrați în sistem	Măsuri organizatorice ( ). Utilizarea mijloacelor fizice și tehnice suplimentare de protecție.
Utilizarea incompetentă, reglarea sau dezactivarea necorespunzătoare a echipamentului de protecție de către personalul de securitate	Măsuri organizatorice ( instruirea personalului, întărirea responsabilităţii şi controlului).
Introducerea datelor eronate	Măsuri organizatorice ( responsabilitate și control sporit). Măsuri tehnologice de control al erorilor operatorilor de introducere a datelor.

6.3. Acțiuni intenționate pentru a încălca securitatea informațiilor și măsuri de prevenire a acestora

Acțiuni intenționate de bază ( în scopuri egoiste, sub constrângere, din dorința de a se răzbuna etc.), care conduc la o încălcare a securității informaționale a centralei nucleare, iar măsurile de prevenire a acestora și de reducere a eventualelor daune produse sunt date în masa 2.

masa 2

Principalele acțiuni intenționate care conduc la o încălcare a securității informațiilor	Măsuri pentru prevenirea amenințărilor și minimizarea daunelor
Distrugerea fizică sau incapacitatea tuturor sau a unora dintre cele mai importante componente ale unui sistem automatizat ( dispozitive, purtători de informații importante de sistem, personal etc.), dezactivarea sau dezactivarea subsistemelor pentru a asigura funcționarea sistemelor de calcul ( sursa de alimentare, linii de comunicatie etc.)	Măsuri organizatorice ( reglementarea acțiunilor, introducerea interdicțiilor). Utilizarea mijloacelor fizice pentru a preveni comiterea deliberată a unei încălcări. Rezervarea resurselor critice.
Introducerea agenților în numărul de personal al sistemului ( inclusiv grupul administrativ responsabil cu securitatea), recrutare ( prin luare de mită, șantaj, amenințări etc.) utilizatorii care au anumite drepturi de acces la resurse protejate	Măsuri organizatorice ( selecția, plasarea și lucrul cu personalul, întărirea controlului și responsabilității). Înregistrarea automată a acțiunilor personalului.
Furtul de purtători de informații ( tipărituri, discuri magnetice, benzi, dispozitive de stocare și computere întregi), furtul deșeurilor industriale ( tipărite, înregistrări, suporturi aruncate etc.)	Măsuri organizatorice ( ).
Copierea neautorizată a suporturilor de informații, citirea informațiilor reziduale din memoria cu acces aleatoriu și de pe dispozitivele de stocare externe	Măsuri organizatorice ( organizarea stocării și utilizării mediilor cu informații protejate). Aplicarea mijloacelor tehnice de delimitare a accesului la resursele protejate și înregistrarea automată a primirii copiilor pe hârtie a documentelor.
Primirea ilegală a parolelor și a altor detalii de control al accesului ( prin mijloace sub acoperire, folosind neglijența utilizatorilor, prin selecție, prin imitarea interfeței sistemului cu marcaje software etc.) cu deghizarea ulterioară în utilizator înregistrat.	Măsuri organizatorice ( reglementarea acțiunilor, introducerea interdicțiilor, lucrul cu personalul). Utilizarea mijloacelor tehnice care împiedică implementarea programelor de interceptare a parolelor, cheilor și altor detalii.
Utilizarea neautorizată a AWP-urilor pentru utilizatorii cu caracteristici fizice unice, cum ar fi numărul unei stații de lucru din rețea, adresa fizica, adresa din sistemul de comunicații, unitatea de codificare hardware etc.	Măsuri organizatorice ( reglementarea strictă a accesului la spații și a admiterii la lucru în aceste AWP). Aplicarea mijloacelor fizice și tehnice de control al accesului.
Modificarea neautorizată a software-ului - introducerea software-ului „marcaje” și „viruși” ( Cai troieni și bug-uri), adică astfel de secțiuni de programe care nu sunt necesare pentru implementarea funcțiilor declarate, dar care permit depășirea sistemului de protecție, accesarea secretă și ilegală a resurselor sistemului în vederea înregistrării și transferului de informații protejate sau dezorganizarea funcționării sistemului. sistem	Măsuri organizatorice ( reglementare strictă a admiterii la muncă). Utilizarea mijloacelor fizice și tehnice de diferențiere a accesului și prevenirea modificării neautorizate a configurației hardware și software a AWP. Aplicarea instrumentelor de control al integrității software.
Interceptarea datelor transmise prin canalele de comunicare, analiza acestora în vederea obținerii de informații confidențiale și clarificării protocoalelor de schimb, regulilor de intrare în rețea și autorizarea utilizatorilor, cu încercări ulterioare de imitare a acestora pentru a pătrunde în sistem	Protecția fizică a canalelor de comunicare. Aplicarea mijloacelor de protecție criptografică a informațiilor transmise.
Interferența în procesul de funcționare a sistemului din rețelele publice în scopul modificării neautorizate a datelor, accesul la informații confidențiale, dezorganizarea funcționării subsistemelor etc.	Măsuri organizatorice ( reglementarea racordarii si functionarii in retelele publice). Utilizarea mijloacelor tehnice speciale de protecție ( firewall-uri, controale de securitate și detectarea atacurilor asupra resurselor sistemului etc.).

6.4. Scurgeri de informații prin canale tehnice

În timpul funcționării echipamentelor tehnice NPP, sunt posibile următoarele canale de scurgere sau încălcare a integrității informațiilor, perturbarea performanței echipamentelor tehnice:

radiația electromagnetică laterală a unui semnal informativ de la mijloace tehnice și linii de transmisie a informațiilor;
interceptarea unui semnal informativ, procesat prin intermediul calculatoarelor electronice, la fire și linii care depășesc zona controlată a birourilor, incl. pe circuitele de împământare și alimentare;
variat dispozitive electronice interceptarea informațiilor ( incl. „Marcaje”) conectat la canale de comunicare sau mijloace tehnice de prelucrare a informațiilor;
vizualizarea informațiilor de pe ecrane de afișare și alte mijloace de afișare a acestora folosind mijloace optice;
impact asupra hardware-ului sau software-ului pentru a încălca integritatea ( distrugere, denaturare) informațiile, operabilitatea mijloacelor tehnice, mijloacele de securitate a informațiilor și oportunitatea schimbului de informații, inclusiv electromagnetice, prin instrumente electronice și software special implementate ( „Marcaje”).

Ținând cont de specificul prelucrării și asigurării securității informațiilor, amenințarea cu scurgerea informațiilor confidențiale ( inclusiv datele personale) prin canale tehnice sunt irelevante pentru organizație.

6.5. Modelul informal al unui posibil intrus

Un infractor este o persoană care a încercat să efectueze operațiuni interzise ( acțiune) din greșeală, ignoranță sau intenționat cu răutate ( din interese personale) sau fără ea ( de dragul jocului sau al plăcerii, în scopul autoafirmării etc.) și folosind diverse posibilități, metode și mijloace pentru aceasta.

Sistemul de protecție a NPP ar trebui să se bazeze pe ipoteze despre următoarele tipuri posibile de infractori din sistem ( luând în considerare categoria de persoane, motivație, calificări, disponibilitatea mijloacelor speciale etc.):

« Utilizator neexperimentat (neatent).»- un angajat care poate încerca să efectueze operațiuni interzise, să acceseze resursele protejate ale UA peste puterile sale, să introducă date incorecte etc. acțiuni din greșeală, incompetență sau neglijență fără intenție rău intenționată și folosind doar standard ( la dispoziţia lui) hardware și software.
« Iubit„- un angajat care încearcă să depășească sistemul de apărare fără scopuri egoiste și intenții rău intenționate, pentru autoafirmare sau din” interes sportiv". Pentru a depăși sistemul de protecție și a comite acțiuni interzise, el poate folosi metode diferite obținerea de autoritate suplimentară pentru a accesa resurse ( nume, parole etc. alți utilizatori), deficiențe în construcția sistemului de protecție și personal disponibil ( instalat pe stația de lucru) programe ( acțiuni neautorizate prin depășirea autorității lor de a folosi mijloacele permise). În plus, el poate încerca să folosească software instrumental și tehnologic suplimentar non-standard ( depanatoare, utilitare utilitare), programe dezvoltate independent sau mijloace tehnice suplimentare standard.
« Escrocher„- un angajat care poate încerca să efectueze operațiuni tehnologice ilegale, să introducă date false și acțiuni similare în scopuri egoiste, sub constrângere sau din intenție rău intenționată, dar folosind numai obișnuit ( instalat pe stația de lucru și disponibil pentru aceasta) hardware și software în nume propriu sau în numele altui angajat ( cunoașterea numelui și a parolei, folosirea absenței sale de scurtă durată de la locul de muncă etc.).
« Intrus extern (intrus)„- un străin sau un fost angajat care acționează intenționat din interese egoiste, din răzbunare sau curiozitate, eventual în colaborare cu ceilalți. El poate folosi întregul set de metode de încălcare a securității informațiilor, metode și mijloace de spargere a sistemelor de securitate tipice rețelelor publice ( în special rețelele bazate pe IP), inclusiv implementarea de la distanță a marcajelor software și utilizarea unor programe instrumentale și tehnologice speciale, folosind punctele slabe existente ale protocoalelor de schimb și sistemul de protecție a nodurilor rețelei AS a organizației.
« Atacator intern»- un angajat înregistrat ca utilizator al sistemului, care acționează intenționat din interese egoiste sau răzbunare, eventual în colaborare cu persoane care nu sunt angajați ai organizației. El poate folosi întreaga gamă de metode și mijloace de piratare a sistemului de securitate, inclusiv metode sub acoperire de obținere a detaliilor de acces, mijloace pasive (mijloace tehnice de interceptare fără modificarea componentelor sistemului), metode și mijloace de influență activă ( modificarea mijloacelor tehnice, conectarea la canalele de transmisie a datelor, introducerea de marcaje software și utilizarea unor programe speciale instrumentale și tehnologice), precum și o combinație de influențe atât din interior, cât și din rețelele publice.

Un insider poate fi o persoană din următoarele categorii de personal:

utilizatori finali înregistrați ai AU ( angajaţii diviziilor şi filialelor);
lucrătorilor nu au voie să lucreze cu UA;
personalul care deservește mijloacele tehnice ale centralei nucleare ( ingineri, tehnicieni);
angajații departamentelor de dezvoltare și întreținere software ( programatori de aplicații și de sistem);
personalul tehnic care deservește clădirile și sediile organizației ( curățătorii, electricienii, instalatorii și alți lucrători care au acces la clădirile și spațiile în care sunt amplasate componentele difuzoarelor);
lideri de diferite niveluri.

lucrători disponibilizați;
reprezentanți ai organizațiilor care interacționează pe probleme de asigurare a vieții organizației ( energie, apă, căldură etc.);
reprezentanți ai firmelor furnizoare de echipamente, software, servicii etc.;
membri ai organizațiilor criminale și structuri comerciale concurente sau persoane care acționează în numele acestora;
persoane care au intrat accidental sau deliberat în rețea din rețele externe ( "Hackeri").

Utilizatorii și personalul de service din rândul lucrătorilor au cele mai mari oportunități de a desfășura acțiuni neautorizate, datorită autorității lor certe de a accesa resurse și cunoștințe bune a tehnologiei de prelucrare a informațiilor. Acțiunile acestui grup de infractori sunt direct legate de încălcarea regulilor și reglementărilor existente. Acest grup de infractori este deosebit de periculos atunci când interacționează cu structuri criminale.

Lucrătorii concediați își pot folosi cunoștințele despre tehnologia muncii, măsurile de protecție și drepturile de acces pentru a-și atinge obiectivele.

Structurile criminale reprezintă cea mai agresivă sursă de amenințări externe. Pentru a-și implementa planurile, aceste structuri pot încălca în mod deschis legea și pot implica angajații organizației în activitățile lor prin toate forțele și mijloacele disponibile.

Hackerii au cele mai înalte calificări tehnice și cunoștințe despre punctele slabe ale software-ului utilizat în UA. Ele reprezintă cea mai mare amenințare atunci când interacționează cu lucrătorii care lucrează sau disponibilizați și cu structurile criminale.

Organizațiile angajate în dezvoltarea, furnizarea și repararea echipamentelor și a sistemelor informaționale reprezintă o amenințare externă datorită faptului că din când în când au acces direct la resursele informaționale. Structurile criminale pot folosi aceste organizații pentru angajarea temporară a membrilor lor pentru a obține acces la informații protejate.

7. Politica tehnica in domeniul securitatii informatiei

7.1. Principalele prevederi ale politicii tehnice

Implementarea politicii tehnice în domeniul securității informațiilor trebuie să plece de la premisa că este imposibil să se asigure nivelul necesar de securitate a informațiilor nu numai cu ajutorul unuia. mijloace separate (Evenimente), dar și cu ajutorul combinației lor simple. Coordonarea lor sistemică între ele este necesară ( aplicație complexă), iar elementele individuale ale UA în curs de dezvoltare ar trebui considerate ca parte a unui singur Sistem informaticîntr-o versiune protejată cu raport optim tehnic ( hardware, software) fonduri și măsuri organizatorice.

Principalele direcții de implementare a politicii tehnice de asigurare a securității informațiilor CNE sunt asigurarea protecției resurselor informaționale împotriva furtului, pierderii, scurgerilor, distrugerii, denaturării sau contrafacerii din cauza accesului neautorizat și a acțiunilor speciale.

În cadrul direcțiilor indicate ale politicii tehnice de asigurare a securității informațiilor se realizează următoarele:

implementarea unui sistem de autorizare pentru admiterea artiștilor interpreți ( utilizatori, personal de service) la lucrări, documente și informații cu caracter confidențial;
restricționarea accesului artiștilor interpreți sau executanți și al persoanelor neautorizate la clădirile și spațiile în care se desfășoară lucrări cu caracter confidențial și sunt amplasate mijloacele de informare și comunicare pe care ( stocat, transmis) informații cu caracter confidențial, direct către chiar mijloacele de informare și comunicare;
diferențierea accesului utilizatorilor și personalului de servicii la resursele informaționale, software-ul pentru prelucrarea și protejarea informațiilor în subsisteme de diferite niveluri și scopuri incluse în UA;
înregistrarea documentelor, matricelor de informații, înregistrarea acțiunilor utilizatorilor și personalului de service, controlul accesului și acțiunilor neautorizate ale utilizatorilor, personalului de service și persoanelor neautorizate;
prevenirea introducerii de programe viruși, marcaje software în subsisteme automate;
Protecția criptografică a informațiilor procesate și transmise prin tehnologie informatică și comunicații;
stocare fiabilă a suporturilor de stocare a mașinii, chei criptografice ( informatie cheie) și circulația acestora, excluzând furtul, înlocuirea și distrugerea;
rezervarea necesară a mijloacelor tehnice și duplicarea matricelor și purtătorilor de informații;
reducerea nivelului și a conținutului informațional al emisiilor nocive și al captărilor create de diferite elemente ale subsistemelor automate;
izolarea electrică a circuitelor de alimentare, împământarea și alte circuite ale obiectelor de informatizare care depășesc zona controlată;
contracararea mijloacelor optice şi laser de observaţie.

7.2. Formarea regimului de securitate a informațiilor

Ținând cont de amenințările identificate la adresa siguranței CNE, regimul de securitate a informațiilor ar trebui format ca un ansamblu de metode și măsuri de protejare a informațiilor care circulă în CNE și infrastructura de susținere a acesteia de influențe accidentale sau deliberate de natură naturală sau artificială, implicând daune aduse proprietarilor sau utilizatorilor de informații.

Setul de măsuri pentru formarea unui regim de securitate a informațiilor cuprinde:

stabilirea unui regim organizatoric și juridic de securitate a informațiilor în sistemul automatizat ( acte normative, lucru cu personalul, munca de birou);
implementarea măsurilor organizatorice și tehnice pentru a proteja informațiile de distribuție limitată de scurgeri prin canalele tehnice;
măsuri organizatorice și software-tehnice pentru prevenirea acțiunilor neautorizate ( acces) către resursele informaționale ale UA;
un set de măsuri pentru controlul funcționării mijloacelor și sistemelor de protecție a resurselor informaționale cu distribuție limitată după impacturi accidentale sau deliberate.

8. Măsuri, metode și mijloace de securitate a informațiilor

8.1. Măsuri organizatorice

Măsuri organizatorice- sunt măsuri organizatorice care reglementează procesele de funcționare a CNE, utilizarea resurselor acestora, activitățile personalului de întreținere, precum și procedura de interacțiune a utilizatorilor cu sistemul în așa fel încât să complice sau să excludă cel mai mult posibilitatea implementarea amenințărilor de securitate și reducerea volumului daunelor în cazul implementării acestora.

8.1.1. Formarea politicii de securitate

Scopul principal al măsurilor organizaționale este formarea unei politici în domeniul securității informațiilor, care să reflecte abordările privind protecția informațiilor, și asigurarea implementării acesteia prin alocarea resurselor necesare și monitorizarea stării de fapt.

Din punct de vedere practic, politica de siguranță a CNE ar trebui împărțită pe două niveluri. Nivelul superior include deciziile care afectează activitățile organizației în ansamblu. Un exemplu de astfel de soluții ar putea fi:

formarea sau revizuirea unui program cuprinzător de securitate a informațiilor, determinarea responsabililor pentru implementarea acestuia;
formularea scopurilor, stabilirea scopurilor, definirea domeniilor de activitate in domeniul securitatii informatiei;
luarea deciziilor privind implementarea programului de securitate, care sunt luate în considerare la nivelul organizației în ansamblu;
prevederi de reglementare ( legale) o bază de date cu întrebări de securitate etc.

Politica de nivel inferior definește procedurile și regulile pentru atingerea obiectivelor și rezolvarea problemelor de securitate a informațiilor și detaliază (reglementează) aceste reguli:

care este domeniul de aplicare al politicii de securitate a informațiilor;
care sunt rolurile și responsabilitățile funcționarilor responsabili de implementarea politicii de securitate a informațiilor;
care are dreptul de acces la informații restricționate;
cine și în ce condiții poate citi și modifica informațiile etc.

Politica de nivel inferior ar trebui:

prevăd reglementarea relațiilor informaționale, excluzând posibilitatea unor acțiuni arbitrare, monopoliste sau neautorizate în legătură cu resursele de informații confidențiale;
definirea principiilor și metodelor coaliționale și ierarhice de împărtășire a secretelor și delimitarea accesului la informații de distribuție limitată;
alege mijloace software și hardware de protecție criptografică, contracarare la falsificare, autentificare, autorizare, identificare și alte mecanisme de protecție care oferă garanții pentru implementarea drepturilor și responsabilităților subiecților relațiilor informaționale.

8.1.2. Reglementarea accesului la mijloace tehnice

Exploatarea posturilor de lucru automatizate securizate și a serverelor Băncii trebuie să se efectueze în încăperi dotate cu încuietori automate fiabile, alarme și păzite sau monitorizate permanent, excluzând posibilitatea pătrunderii necontrolate în incinta persoanelor neautorizate și asigurând securitatea fizică a resurselor protejate. situat in incinta ( AWP, documente, detalii de acces etc.). Amplasarea și instalarea mijloacelor tehnice ale unor astfel de AWP ar trebui să excludă posibilitatea de vizualizare vizuală a intrării ( retras) informații de către persoane care nu au legătură cu aceasta. Curățarea spațiilor cu echipamente instalate în ele trebuie efectuată în prezența responsabilului, căruia i se atribuie aceste mijloace tehnice, sau a persoanei de serviciu în unitate, cu respectarea măsurilor care exclud accesul persoanelor neautorizate la spațiile protejate. resurse.

În timpul procesării informațiilor restricționate, numai personalul autorizat să lucreze cu aceste informații ar trebui să fie prezent în incintă.

La sfârșitul zilei de lucru, spațiile cu AWP-uri protejate instalate trebuie predate sub protecție.

Pentru a stoca documentele de birou și suporturile de mașină cu informații protejate, angajaților li se oferă dulapuri metalice, precum și mijloace pentru distrugerea documentelor.

Mijloacele tehnice care sunt utilizate pentru procesarea sau stocarea informațiilor confidențiale trebuie să fie sigilate.

8.1.3. Reglementarea admiterii salariaților la utilizarea resurselor informaționale

În cadrul sistemului permisiv de admitere se stabilește: cui, cui, ce informații și pentru ce tip de acces se pot furniza și în ce condiții; un sistem de control al accesului, care implică definirea, pentru toți utilizatorii, a resurselor informatice și software ale UA care le sunt disponibile pentru operațiuni specifice ( citiți, scrieți, modificați, ștergeți, executați) folosind instrumentele de acces software și hardware specificate.

Admiterea lucrătorilor să lucreze cu UA și accesul la resursele acestora trebuie să fie strict reglementate. Orice modificare în compoziția și competențele utilizatorilor subsistemelor UA ar trebui să fie făcută în conformitate cu procedura stabilită.

Principalii utilizatori ai informațiilor din UA sunt angajații diviziilor structurale ale organizației. Nivelul de autoritate pentru fiecare utilizator este determinat individual, cu respectarea următoarelor cerințe:

informațiile deschise și confidențiale sunt plasate, ori de câte ori este posibil, pe diferite servere;
fiecare angajat folosește numai drepturile care îi sunt prescrise în legătură cu informațiile cu care are nevoie să lucreze în conformitate cu responsabilitățile sale de serviciu;
șeful are dreptul de a vizualiza informațiile subordonaților săi;
operațiunile tehnologice cele mai critice să fie efectuate conform regulii „În două mâini”- corectitudinea informațiilor introduse este confirmată de un alt funcționar care nu are dreptul de a introduce informații.

Toți angajații admiși să lucreze în CNE și personalul de întreținere CNE trebuie să poarte responsabilitatea personală pentru încălcările procedurii stabilite de prelucrare automată a informațiilor, regulilor de stocare, utilizare și transfer al resurselor protejate ale sistemului de care dispun. La angajare, fiecare angajat trebuie să semneze un angajament privind respectarea cerințelor de păstrare a informațiilor confidențiale și responsabilitatea pentru încălcarea acestora, precum și privind respectarea regulilor de lucru cu informații protejate în UA.

Prelucrarea informațiilor protejate în subsistemele AU trebuie efectuată în conformitate cu instrucțiunile tehnologice aprobate ( Comenzi) pentru aceste subsisteme.

Pentru utilizatori, stații de lucru protejate, trebuie elaborate instrucțiunile tehnologice necesare, inclusiv cerințe pentru asigurarea securității informațiilor.

8.1.4. Reglarea proceselor de întreținere a bazelor de date și modificarea resurselor informaționale

Toate operațiunile de întreținere a bazelor de date în UA și admiterea lucrătorilor să lucreze cu aceste baze de date trebuie să fie strict reglementate. Orice modificare în componența și autoritatea utilizatorilor bazelor de date UA ar trebui făcute în conformitate cu procedura stabilită.

Distribuirea numelor, generarea parolelor, menținerea regulilor de diferențiere a accesului la bazele de date este încredințată angajaților Direcției Tehnologia Informației. În acest caz, pot fi utilizate atât mijloace standard, cât și suplimentare de protecție a SGBD și a sistemelor de operare.

8.1.5. Reglarea proceselor de întreținere și modificarea resurselor hardware și software

Resurse de sistem care trebuie protejate ( sarcini, programe, AWP) sunt supuse unei contabilități stricte ( pe baza folosirii formularelor adecvate sau bazelor de date specializate).

Configurația hardware și software a stațiilor de lucru automate pe care sunt procesate informațiile protejate sau din care este posibil accesul la resursele protejate trebuie să corespundă gamei de sarcini funcționale atribuite utilizatorilor acestui AWS. Toate dispozitivele de intrare-ieșire a informațiilor neutilizate (inutile) ( Porturi COM, USB, LPT, unități de dischete, CD și alte medii de stocare) pe astfel de AWP-uri trebuie să fie dezactivate (șterse), software-ul și datele inutile de pe discurile AWS trebuie, de asemenea, șterse.

Pentru a simplifica întreținerea, întreținerea și organizarea protecției, stațiile de lucru ar trebui să fie echipate cu software și configurate într-o manieră unificată ( în conformitate cu regulile stabilite).

Punerea în funcțiune a noilor AWP-uri și toate modificările în configurația hardware-ului și software-ului, AWP-urile existente în AS-ul organizației ar trebui să fie efectuate numai în ordinea stabilită.

Toate programele ( dezvoltate de specialiștii organizației, obținute sau achiziționate de la producători) ar trebui să fie testat în modul prescris și transferat la depozitarul programelor organizației. În subsistemele UA, trebuie instalat și utilizat numai software-ul primit de la depozit în conformitate cu procedura stabilită. Utilizarea de software în AS care nu este inclus în depozitul de software ar trebui interzisă.

Dezvoltarea software-ului, testarea software-ului dezvoltat și achiziționat, transferul software-ului în funcțiune trebuie efectuate în conformitate cu procedura stabilită.

8.1.6. Formarea și educarea utilizatorilor

Înainte de a oferi acces la UA, utilizatorii acesteia, precum și personalul de management și întreținere, trebuie să fie familiarizați cu lista de informații confidențiale și nivelul lor de autoritate, precum și cu documentația organizatorică și administrativă, de reglementare, tehnică și operațională care determină cerințele. și procedura de prelucrare a acestor informații.

Protecția informațiilor în toate domeniile de mai sus este posibilă numai după ce utilizatorii au dezvoltat o anumită disciplină, de ex. norme care sunt obligatorii pentru toți cei care lucrează în UA. Aceste norme includ interzicerea oricăror acțiuni intenționate sau neintenționate care perturbă funcționarea normală a UA, provoacă costuri suplimentare cu resurse, încalcă integritatea informațiilor stocate și procesate, încalcă interesele utilizatorilor legitimi.

Toți angajații care utilizează subsisteme specifice CNE în timpul activității lor trebuie să cunoască documentele organizatorice și administrative pentru protecția centralei nucleare în ceea ce privește preocuparea lor, trebuie să cunoască și să respecte cu strictețe instrucțiunile tehnologice și atribuțiile generale de asigurare a siguranței informațiilor. Aducerea cerințelor acestor documente către persoanele admise la prelucrarea informațiilor protejate trebuie efectuată de șefii de compartimente împotriva semnăturii acestora.

8.1.7. Responsabilitatea pentru încălcarea cerințelor de securitate a informațiilor

Pentru fiecare încălcare gravă a cerințelor de securitate a informațiilor de către angajații organizației, ar trebui efectuată o investigație oficială. Împotriva făptuitorilor trebuie luate măsuri adecvate. Gradul de responsabilitate a personalului pentru acțiunile comise cu încălcarea regulilor stabilite pentru asigurarea prelucrării automate în siguranță a informațiilor ar trebui determinat de prejudiciul cauzat, prezența intenției rău intenționate și alți factori.

Pentru a implementa principiul răspunderii personale a utilizatorilor pentru acțiunile lor, este necesar:

identificarea individuală a utilizatorilor și a proceselor inițiate de aceștia, i.e. stabilirea unui identificator pentru acestea, pe baza căruia se va efectua diferențierea accesului în conformitate cu principiul validității accesului;
autentificarea utilizatorului ( autentificare) bazat pe parole, chei pe o bază fizică diferită etc.;
înregistrare ( Logare) funcționarea mecanismelor de control al accesului la resursele sistemului informațional, cu indicarea datei și orei, identificatorii resurselor solicitante și solicitate, tipul de interacțiune și rezultatul acesteia;
reacție la încercările de acces neautorizat ( alarma, blocare etc.).

8.2. Mijloace tehnice de protectie

tehnic ( hardware și software) echipamente de protectie - diverse dispozitive electronice si programe speciale care fac parte din UA și îndeplinesc (in mod independent sau în combinație cu alte mijloace) funcții de protecție ( identificarea și autentificarea utilizatorilor, diferențierea accesului la resurse, înregistrarea evenimentelor, protecția criptografică a informațiilor etc.).

Ținând cont de toate cerințele și principiile de asigurare a securității informațiilor în centrala nucleară în toate domeniile de protecție, în sistemul de protecție ar trebui incluse următoarele mijloace:

mijloace de autentificare a utilizatorilor și a elementelor difuzorului ( terminale, sarcini, elemente de bază de date etc.) corespunzător gradului de confidențialitate al informațiilor și datelor prelucrate;
mijloace de delimitare a accesului la date;
mijloace de protecție criptografică a informațiilor în liniile de transmisie a datelor și în baze de date;
mijloace de înregistrare a circulației și control asupra utilizării informațiilor protejate;
mijloace de răspuns la tentativele de manipulare sau de manipulare detectate;
mijloace pentru reducerea nivelului și a conținutului de informații al emisiilor nocive și al captărilor;
mijloace de protecție împotriva mijloacelor optice de observare;
protecție împotriva virușilor și a programelor malware;
mijloace de decuplare electrică atât a elementelor AU cât și a elementelor structurale ale incintei în care se află echipamentul.

Mijloacele tehnice de protecție împotriva atacurilor neautorizate sunt încredințate cu rezolvarea următoarelor sarcini principale:

identificarea și autentificarea utilizatorilor folosind nume și/sau hardware special ( Atingeți Memorie, Smart Card etc.);
reglementarea accesului utilizatorilor la dispozitivele fizice ale stațiilor de lucru ( discuri, porturi de intrare-ieșire);
control selectiv (discreționar) al accesului la unitățile logice, directoare și fișiere;
diferențierea autorizată (obligatorie) a accesului la datele protejate pe o stație de lucru și pe un server de fișiere;
creând un închis mediu software permis să ruleze programe situate atât pe unități locale, cât și pe unități de rețea;
protecție împotriva pătrunderii virușilor informatici și a programelor malware;
controlul integrității modulelor sistemului de protecție, a zonelor de sistem de discuri și a listelor de fișiere arbitrare în mod automat și prin comenzi de administrator;
înregistrarea acțiunilor utilizatorului într-un jurnal protejat, prezența mai multor niveluri de înregistrare;
protecția sistemului de protecție a datelor de pe serverul de fișiere împotriva accesului tuturor utilizatorilor, inclusiv al administratorului de rețea;
gestionarea centralizată a setărilor mijloacelor de diferențiere a accesului pe stațiile de lucru ale rețelei;
înregistrarea tuturor evenimentelor de falsificare care au loc la stațiile de lucru;
control operațional asupra activității utilizatorilor rețelei, schimbarea modurilor de funcționare a stațiilor de lucru și posibilitatea de blocare ( daca este necesar) orice stație din rețea.

Aplicarea cu succes a mijloacelor tehnice de protecție presupune ca îndeplinirea următoarelor cerințe să fie asigurată prin măsuri organizatorice și prin mijloacele fizice de protecție utilizate:

este asigurată integritatea fizică a tuturor componentelor UA;
fiecare angajat ( utilizator de sistem) are un nume de sistem unic și autoritatea minimă de acces la resursele sistemului necesare îndeplinirii atribuțiilor sale funcționale;
utilizarea programelor instrumentale și tehnologice la stațiile de lucru ( utilitare de testare, depanare etc.), care să permită încercări de hack sau de ocolire a măsurilor de securitate, este limitată și strict reglementată;
nu există utilizatori de programare în sistemul protejat, iar dezvoltarea și depanarea programelor se realizează în afara sistemului protejat;
toate modificările în configurația hardware și software se fac într-o manieră strict stabilită;
hardware de retea ( hub-uri, comutatoare, routere etc.) este situat în locuri inaccesibile străinilor ( camere speciale, dulapuri etc.);
serviciul de securitate a informațiilor realizează management continuu și suport administrativ pentru funcționarea instrumentelor de securitate a informațiilor.

8.2.1. Instrumente de identificare și autentificare a utilizatorilor

Pentru a preveni accesul persoanelor neautorizate în UA, este necesar să se asigure că sistemul poate recunoaște fiecare utilizator legitim (sau grupuri limitate de utilizatori). Pentru a face acest lucru, în sistem ( într-un loc adăpostit) ar trebui să stocheze un număr de atribute ale fiecărui utilizator prin care acest utilizator poate fi identificat. În viitor, la intrarea în sistem și, dacă este necesar, la efectuarea anumitor acțiuni în sistem, utilizatorul este obligat să se identifice, adică. indicați identificatorul care i-a fost atribuit în sistem. În plus, pentru identificare pot fi folosite diverse tipuri de dispozitive: carduri magnetice, inserții de chei, dischete etc.

Autentificare ( confirmarea autenticității) utilizatorii ar trebui să se desfășoare pe baza utilizării parolelor (cuvinte secrete) sau a mijloacelor speciale de verificare a autentificării caracteristici unice(parametri) utilizatori.

8.2.2. Mijloace de delimitare a accesului la resursele sistemului automatizat

După recunoașterea utilizatorului, sistemul trebuie să autorizeze utilizatorul, adică să determine ce drepturi sunt acordate utilizatorului, adică. ce date și cum poate folosi, ce programe poate executa, când, pentru cât timp și de pe ce terminale poate funcționa, ce resurse de sistem poate folosi etc. Autorizarea utilizatorului trebuie efectuată folosind următoarele mecanisme de control al accesului:

mecanisme de control selectiv al accesului bazate pe utilizarea schemelor de atribute, liste de permisiuni etc.;
mecanisme de control al accesului cu autoritate bazate pe utilizarea etichetelor de confidențialitate a resurselor și a nivelurilor de acces ale utilizatorilor;
mecanisme pentru furnizarea unui mediu închis de software de încredere ( individuale pentru fiecare utilizator liste de programe permise de rulat) susținut de mecanisme de identificare și autentificare a utilizatorilor atunci când aceștia se conectează la sistem.

Domeniile de responsabilitate și sarcinile mijloacelor tehnice specifice de protecție sunt stabilite pe baza capacităților și caracteristicilor de performanță ale acestora descrise în documentația pentru aceste mijloace.

Mijloacele tehnice de control al accesului ar trebui să fie parte integrantă a unui sistem unificat de control al accesului:

spre zona controlată;
în camere separate;
la elementele UA și elementele sistemului de securitate a informațiilor ( acces fizic);
la resursele UA ( acces matematic);
la depozitele de informații ( medii de stocare, volume, fișiere, seturi de date, arhive, referințe, înregistrări etc.);
la resursele active ( programe de aplicare, sarcini, formulare de solicitare etc.);
la sistemul de operare, programele de sistem și programele de protecție etc.

8.2.3. Mijloace de asigurare și monitorizare a integrității software-ului și a resurselor informaționale

Controlul integrității programelor, informațiilor prelucrate și mijloacelor de protecție, pentru a asigura invariabilitatea mediului software, determinată de tehnologia de prelucrare furnizată, și protecție împotriva corectării neautorizate a informațiilor trebuie asigurată:

mijloace de calcul a sumelor de control;
prin mijloace semnatura electronica;
mijloace de a compara resursele critice cu copiile lor principale ( și recuperarea în caz de încălcare a integrității);
mijloace de control al accesului ( interzicerea accesului cu drepturi de modificare sau ștergere).

Pentru a proteja informațiile și programele de distrugerea sau denaturarea neautorizată, este necesar să se asigure:

duplicarea tabelelor de sistem și a datelor;
duplexarea și oglindirea datelor pe discuri;
urmărirea tranzacțiilor;
control periodic al integrității sistem de operareși programe de utilizator, precum și fișiere de utilizator;
protectie si control antivirus;
realizarea de copii de rezervă a datelor conform unei scheme prestabilite.

8.2.4. Controlul evenimentelor de securitate

Controalele ar trebui să asigure că toate evenimentele ( acțiuni ale utilizatorului, încercări ale unor persoane neautorizate etc.), care poate antrena o încălcare a politicii de securitate și poate duce la apariția unor situații de criză. Controalele ar trebui să ofere capacitatea de a:

monitorizarea constantă a nodurilor cheie ale rețelei și a echipamentelor de comunicație care formează rețeaua, precum și a activității de rețea în segmentele cheie ale rețelei;
controlul asupra utilizării de către utilizatori a serviciilor corporative și publice de rețea;
menținerea și analizarea jurnalelor de evenimente de securitate;
detectarea la timp a amenințărilor externe și interne la adresa securității informațiilor.

Când înregistrați evenimente de securitate în jurnalul de sistem, trebuie înregistrate următoarele informații:

data și ora evenimentului;
identificatorul subiectului ( utilizator, program) efectuarea actiunii inregistrate;
acțiune ( dacă este înregistrată o cerere de acces, atunci obiectul și tipul de acces sunt marcate).

Controalele ar trebui să asigure că următoarele evenimente sunt detectate și înregistrate:

autentificarea utilizatorului la sistem;
autentificarea utilizatorului la rețea;
autentificare sau încercare de rețea eșuată ( parola incorecta);
conexiune la un server de fișiere;
pornirea programului;
finalizarea programului;
o încercare de a porni un program care nu este disponibil pentru lansare;
o încercare de a obține acces la un director inaccesibil;
o încercare de a citi / scrie informații de pe un disc care este inaccesibil utilizatorului;
o încercare de a lansa un program de pe un disc inaccesibil utilizatorului;
încălcarea integrității programelor și datelor sistemului de protecție etc.

Ar trebui susținute următoarele modalități principale de răspuns la faptele detectate ale persoanelor neautorizate ( eventual cu participarea unui administrator de securitate):

notificarea deținătorului informațiilor despre DNS asupra datelor sale;
anularea programului ( sarcini) cu executare ulterioară;
notificarea administratorului bazei de date și a administratorului de securitate;
deconectarea terminalului ( stație de lucru) din care au fost făcute tentative de către DNS la informare sau acțiuni ilegale în rețea;
excluderea contravenientului din lista utilizatorilor înregistrați;
semnalizare de alarmă etc.

8.2.5. Securitatea informațiilor criptografice

Unul dintre cele mai importante elemente ale sistemului de securitate a informațiilor centralei nucleare ar trebui să fie utilizarea metodelor și mijloacelor criptografice de protejare a informațiilor împotriva accesului neautorizat în timpul transmiterii acesteia prin canalele de comunicare și stocarea pe medii informatice.

Toate mijloacele de protecție criptografică a informațiilor din UA ar trebui să se bazeze pe un nucleu criptografic de bază. O organizație trebuie să dețină licențe stabilite prin lege pentru dreptul de a utiliza medii criptografice.

Sistemul cheie al instrumentelor de protecție criptografică utilizat în UA ar trebui să ofere supraviețuire criptografică și protecție pe mai multe niveluri împotriva compromiterii informațiilor cheie, separarea utilizatorilor pe niveluri de protecție și zone de interacțiune între ei și utilizatorii altor niveluri.

Confidențialitatea și protecția imitării informațiilor în timpul transmiterii acesteia prin canalele de comunicare ar trebui să fie asigurată prin utilizarea mijloacelor de criptare a abonaților și a canalului în sistem. Combinația de criptare a informațiilor abonatului și canalului ar trebui să asigure protecția lor end-to-end de-a lungul întregii căi de trecere, să protejeze informațiile în cazul redirecționării lor eronate din cauza defecțiunilor și defecțiunilor hardware și software ale centrelor de comutare.

UA, care este un sistem cu resurse de informații distribuite, ar trebui să utilizeze și mijloace de generare și verificare a semnăturilor electronice pentru a asigura integritatea și confirmarea legală a autenticității mesajelor, precum și autentificarea utilizatorilor, a posturilor de abonat și confirmarea momentul trimiterii mesajelor. În acest caz, ar trebui utilizați algoritmi standardizați de semnătură electronică.

8.3. Managementul securității informațiilor

Managementul sistemului de securitate a informațiilor într-o CNE este un impact vizat asupra componentelor sistemului de securitate ( organizatorice, tehnice, software și criptografice) în vederea realizării indicatorilor și standardelor solicitate pentru securitatea informațiilor care circulă în CNE în contextul implementării principalelor amenințări la adresa securității.

Scopul principal al organizării managementului sistemului de securitate a informațiilor este creșterea fiabilității protecției informațiilor în timpul procesării, stocării și transmiterii acestuia.

Managementul sistemului de securitate a informațiilor este implementat de un subsistem de control specializat, care este un ansamblu de organe de control, mijloace tehnice, software și criptografice, precum și măsuri organizatorice și puncte de control care interacționează la diferite niveluri.

Funcțiile subsistemului de control sunt: informare, control și auxiliar.

Funcția de informare constă în monitorizarea continuă a stării sistemului de protecție, verificarea conformității indicatorilor de securitate cu valorile admisibile și informarea imediată a operatorilor de securitate cu privire la situațiile care apar în centrala nucleară care pot duce la o încălcare a securității informațiilor. . Există două cerințe pentru monitorizarea stării sistemului de protecție: completitudine și fiabilitate. Completitudinea caracterizează gradul de acoperire a tuturor mijloacelor de protecție și parametrii funcționării acestora. Fiabilitatea controlului caracterizează gradul de adecvare a valorilor parametrilor controlați la valoarea lor reală. În urma prelucrării datelor de control, se generează informații despre starea sistemului de protecție, care sunt generalizate și transmise către punctele de control superioare.

Funcția de control constă în formarea planurilor de implementare a operațiunilor tehnologice ale centralei nucleare, ținând cont de cerințele de securitate a informațiilor în condițiile predominante pentru a acestui moment timp, precum și în determinarea locației unei situații de vulnerabilitate a informațiilor și prevenirea scurgerii acesteia prin blocarea promptă a secțiilor CNE unde apar amenințări la securitatea informațiilor. Funcțiile de control includ contabilitatea, stocarea și emiterea de documente și suporturi de informații, parole și chei. În același timp, generarea de parole, chei, întreținerea mijloacelor de control al accesului, acceptarea de noi instrumente software incluse în mediul software AS, controlul conformității mediului software cu standardul, precum și controlul asupra tehnologic Procesul de prelucrare a informațiilor confidențiale este atribuit angajaților Departamentului de Tehnologia Informației și Departamentului de Securitate Economică.

Funcțiile auxiliare ale subsistemului de control includ contabilizarea tuturor operațiunilor efectuate în sistemul automatizat cu informațiile protejate, formarea documentelor de raportare și colectarea datelor statistice în vederea analizării și identificării potențialelor canale de scurgere de informații.

8.4. Monitorizarea eficacității sistemului de protecție

Monitorizarea eficacității sistemului de protecție a informațiilor se realizează în scopul identificării în timp util și prevenirii scurgerii de informații din cauza accesului neautorizat la acesta, precum și pentru prevenirea eventualelor acțiuni speciale care vizează distrugerea informațiilor, distrugerea tehnologiei informației.

Evaluarea eficacității măsurilor de protecție a informațiilor se realizează folosind controale organizaționale, hardware și software pentru conformitatea cu cerințele stabilite.

Controlul poate fi efectuat atât cu ajutorul mijloacelor standard ale sistemului de protecție a informațiilor, cât și cu ajutorul unor mijloace speciale de control și monitorizare tehnologică.

8.5. Caracteristici de asigurare a securității informaționale a datelor cu caracter personal

Clasificarea datelor cu caracter personal se realizează în funcție de gravitatea consecințelor pierderii proprietăților de securitate ale datelor cu caracter personal pentru subiectul datelor cu caracter personal.

Despre datele personale ”La categorii speciale de date cu caracter personal;
date personale clasificate în conformitate cu legea federală " Despre datele personale ”La datele personale biometrice;
date cu caracter personal care nu pot fi atribuite unor categorii speciale de date cu caracter personal, date cu caracter personal biometrice, date cu caracter personal accesibile publicului sau anonimizate;
date personale clasificate în conformitate cu legea federală " Despre datele personale ”La date personale disponibile public sau anonimizate.

Transferul datelor cu caracter personal către un terț trebuie să fie efectuat pe baza Legii Federale sau a consimțământului subiectului datelor cu caracter personal. În cazul în care o organizație încredințează prelucrarea datelor cu caracter personal unui terț pe baza unui acord, o condiție esențială a unui astfel de acord este obligația terțului de a asigura confidențialitatea datelor cu caracter personal și securitatea datelor cu caracter personal. în timpul prelucrării acestora.

Organizația trebuie să înceteze prelucrarea datelor cu caracter personal și să distrugă datele cu caracter personal colectate, cu excepția cazului în care legislația Federației Ruse prevede altfel, în termenele stabilite de legislația Federației Ruse în următoarele cazuri:

la atingerea obiectivelor de prelucrare sau dacă nu este necesară realizarea acestora;
la solicitarea subiectului datelor cu caracter personal sau a Organismului împuternicit pentru protecția drepturilor subiecților datelor cu caracter personal - dacă datele cu caracter personal sunt incomplete, depășite, nesigure, obținute ilegal sau nu sunt necesare scopului declarat al prelucrării;
atunci când subiectul datelor cu caracter personal își revocă consimțământul pentru prelucrarea datelor sale cu caracter personal, dacă acest consimțământ este necesar în conformitate cu legislația Federației Ruse;
dacă operatorului îi este imposibil să elimine încălcările comise în prelucrarea datelor cu caracter personal.

Organizația trebuie să definească și să documenteze:

procedura de distrugere a datelor cu caracter personal ( inclusiv purtătorii materiale de date cu caracter personal);
procedura de prelucrare a cererilor de la subiecții de date cu caracter personal ( sau reprezentanții lor legali) privind prelucrarea datelor cu caracter personal ale acestora;
procedura de acțiuni în cazul solicitărilor din partea Organismului Autorizat pentru Protecția Drepturilor Subiecților Datelor cu Caracter Personal sau a altor organisme de supraveghere care exercită control și supraveghere în domeniul datelor cu caracter personal;
abordare a clasificării UA ca sisteme de informații cu date cu caracter personal ( Mai departe - ISPDN );
Lista ISPD. Lista ISPD ar trebui să includă AS, al cărei scop al creării și utilizării este prelucrarea datelor cu caracter personal.

Pentru fiecare PDIS, se identifică și se documentează următoarele:

scopul prelucrării datelor cu caracter personal;
volumul și conținutul datelor cu caracter personal prelucrate;
o listă de acțiuni cu date personale și metode de prelucrare a acestora.

Volumul și conținutul datelor cu caracter personal, precum și o listă de acțiuni și metode de prelucrare a datelor cu caracter personal trebuie să corespundă scopurilor prelucrării. În cazul în care pentru implementarea procesului tehnologic informațional, a cărui implementare este susținută de ISPD, nu este necesară prelucrarea anumitor date cu caracter personal, aceste date personale trebuie șterse.

Cerințele pentru asigurarea securității datelor cu caracter personal în ISPDN sunt în general implementate printr-un complex de măsuri, mijloace și mecanisme organizatorice, tehnologice, tehnice și software de protecție a informațiilor.

Organizarea implementării și ( sau) punerea în aplicare a cerințelor pentru asigurarea securității datelor cu caracter personal ar trebui să fie efectuată de o unitate structurală sau de un funcționar (angajat) al organizației responsabil cu asigurarea securității datelor cu caracter personal, sau pe bază contractuală de către o organizație - o contraparte a unei organizații autorizate să ofere protecție tehnică a informațiilor confidențiale.

Crearea ISPD al unei organizații ar trebui să includă dezvoltarea și aprobarea ( afirmație) documentația organizatorică, administrativă, de proiectare și operațională a sistemului în curs de creare prevăzută de caietul de sarcini. Documentația ar trebui să reflecte aspectele legate de asigurarea securității datelor cu caracter personal prelucrate.

Elaborarea conceptelor, specificațiilor tehnice, proiectarea, crearea și testarea, acceptarea și punerea în funcțiune a ISPD ar trebui efectuate prin acord și sub controlul unei unități structurale sau a unui funcționar (angajat) responsabil cu asigurarea securității datelor cu caracter personal.

Toate activele informaționale care aparțin ISPD al organizației trebuie protejate de efecte cod rău intenționat... Organizația trebuie să stabilească și să documenteze cerințele pentru asigurarea securității datelor cu caracter personal prin intermediul protecției antivirus și procedura de monitorizare a implementării acestor cerințe.

Organizația ar trebui să aibă un sistem de control al accesului care să controleze accesul la porturile de comunicație, dispozitivele de intrare/ieșire, mediile amovibile ale mașinii și unități externe informații ISPDN.

Șefii diviziilor de operare și service ISPD ale organizației asigură securitatea datelor cu caracter personal în timpul prelucrării acestora în ISPDN.

Angajații care prelucrează date cu caracter personal în ISPDN trebuie să acționeze în conformitate cu instrucțiunile ( îndrumări, reglementări etc.), care face parte din documentația operațională a ISPD și respectă cerințele documentelor de asigurare a SI.

Responsabilitățile pentru administrarea mijloacelor de protecție și a mecanismelor de protecție care implementează cerințele pentru asigurarea ISPD al organizației sunt atribuite prin ordine ( Comenzi) pe specialiştii Departamentului de Tehnologia Informaţiei.

Procedura pentru specialiștii Departamentului de Tehnologia Informației și personalul implicat în prelucrarea datelor cu caracter personal ar trebui să fie stabilită prin instrucțiuni ( instrucțiuni), care sunt pregătite de dezvoltatorul ISPD ca parte a documentației operaționale pentru ISPD.

Instrucțiunile specificate ( conducere):

stabilește cerințe pentru calificarea personalului în domeniul securității informațiilor, precum și o listă actualizată a obiectelor protejate și regulile de actualizare a acesteia;
conţine pe deplin relevante ( cu timpul) date privind drepturile utilizatorului;
conțin date despre tehnologia de prelucrare a informațiilor în cantitatea necesară unui specialist în securitatea informațiilor;
stabiliți ordinea și frecvența analizei jurnalelor de evenimente ( arhive de jurnal);
reglementează alte acțiuni.

Parametrii de configurare a mijloacelor de protecție și a mecanismelor de protecție a informațiilor împotriva falsificării utilizate în domeniul de responsabilitate a specialiștilor Departamentului de Tehnologii Informaționale sunt determinați în documentația operațională a ISPD. Procedura și frecvența verificărilor parametrilor de configurare instalați sunt stabilite în documentația operațională sau reglementate printr-un document intern, în timp ce verificările trebuie efectuate cel puțin o dată pe an.

Organizația trebuie să stabilească și să documenteze procedura de acces la sediul în care sunt amplasate mijloacele tehnice ale ISPDN și sunt stocate purtătorii de date cu caracter personal, prevăzând controlul accesului în sediul persoanelor neautorizate și prezența obstacolelor pentru persoanele neautorizate. intrarea in incinta. Procedura specificată ar trebui elaborată de o unitate structurală sau de un funcționar ( un angajat), responsabil de asigurarea regimului de securitate fizică și agreat de unitatea structurală sau funcționarul ( un angajat), responsabil cu asigurarea securității datelor cu caracter personal, și Departamentul de Securitate Economică.

Utilizatorii și personalul de service al ISPD nu trebuie să efectueze activități neautorizate și ( sau) neînregistrat ( necontrolat) copierea datelor cu caracter personal. În acest scop, măsurile organizatorice și tehnice ar trebui să interzică neautorizate și ( sau) neînregistrat ( necontrolat) copierea datelor cu caracter personal, inclusiv utilizarea înstrăinate ( înlocuibil) medii de stocare, dispozitive mobile de copiere și transfer de informații, porturi de comunicație și dispozitive de intrare/ieșire care implementează diverse interfețe ( inclusiv wireless), dispozitive de stocare a dispozitivelor mobile ( de exemplu, laptopuri, computere personale de buzunar, smartphone-uri, telefoane mobile ), precum și dispozitive foto și video.

Controlul securității personale este efectuat de un specialist în securitatea informațiilor, atât cu ajutorul mijloacelor standard ale sistemului de protecție a informațiilor, cât și cu ajutorul unor mijloace speciale de control și monitorizare tehnologică.

Descarca fișier Zip (65475)

Documentele au venit la îndemână - puneți „like” sau:

Dacă există o amenințare, trebuie să existe metode de protecție și contracarare.... Metodele sunt mijloacele de realizare a sarcinilor atribuite și ordinea metodelor de utilizare a forțelor pentru protejarea informațiilor confidențiale.

Principiul acțiunii umane asupra subconștientului este conceput pentru a atinge rezultate pozitive... Experiența profesioniștilor în domeniul securității informațiilor a definit destul de clar totalitatea mijloacelor, forțelor și tehnicilor care vizează garantarea securității informației sau a fiabilității informațiilor.

Asigurarea fiabilității informațiilor sau a securității informațiilor se realizează prin următoarele acțiuni care vizează:

Identificarea amenințărilor se exprimă prin analiza și controlul ordonat al aparițiilor admisibile ale amenințărilor potențiale sau reale, precum și prin măsuri oportune de prevenire a acestora;
prevenirea amenințărilor se realizează prin asigurarea securității informațiilor sau a fiabilității informațiilor în favoarea în mod proactiv și a apariției acestora
pentru a detecta amenințările cu analiza riscului;
Includerea de măsuri pentru eliminarea amenințărilor sau a actelor criminale și localizarea faptelor criminale;
detectarea amenințărilor se realizează prin identificarea acțiunilor infracționale specifice și a amenințărilor reale;
eliminarea consecințelor privind amenințările și acțiunile specifice penale. Restabilirea status quo-ului (Fig. 1).

Metode de protecție a informațiilor:

obstacol - un mijloc de a împiedica fizic un atacator să acționeze asupra informațiilor critice
controlul accesului - mijloace de protecție a informațiilor prin reglementarea utilizării tuturor resurselor IS din IT. Astfel de metode ar trebui să protejeze împotriva informațiilor
Algoritmi de criptare – metodele sunt implementate atât în timpul stocării, cât și în timpul procesării informațiilor. La transferul de informații, aceasta este principala și singura metodă de protecție
Reglementarea este crearea condițiilor de stocare și prelucrare a informațiilor într-un sistem informațional, în care standardele și normele de protecție sunt implementate în cea mai mare măsură.
Coerciția este un mijloc de protecție care obligă utilizatorii să respecte regulile de lucru în sistemul informațional
Stimulentul este un mijloc de protecție care încurajează utilizatorii sistemului informațional să nu încalce regulile, datorită standardelor etice și morale.
Hardware - dispozitive care sunt încorporate în mecanisme de calcul sau sunt conectate folosind interfețe
mijloace fizice - diverse structuri de inginerie care protejează personalul, informațiile, dispozitivele, lucrurile de intruși
Software - software care este încorporat în sistemul informațional pentru implementarea protecției
Instrumente organizatorice - se realizează pe baza documentelor de reglementare care reglementează munca angajaților în așa fel încât să implementeze protecția maximă a sistemului informațional.

Prevenirea acțiunilor ilegale și a celor posibile poate fi asigurată prin diverse mijloace și măsuri, de la respectarea relațiilor dintre angajați prin metode organizatorice până la protecție prin hardware, fizic, software și metode (sau). Prevenirea amenințărilor este posibilă și prin etapa de obținere a informațiilor despre acțiuni pregătitoare, acte pregătite, furt planificat și alte elemente ale acțiunilor penale. În astfel de scopuri, este necesar cu informatori în diferite sfere de acțiune cu sarcini diferite. Unii observă și oferă o evaluare obiectivă a situației actuale. Alții măsoară relațiile angajaților din cadrul echipei din diferite colțuri ale întreprinderii. Alții lucrează printre grupuri criminale și concurenți.

Poza 1

Pentru prevenirea amenințărilor, activitățile serviciului de securitate informațională și analitică joacă un rol foarte important pe baza analizei situației speciale și a activităților atacatorilor și concurenților. Dacă aveți acces la Internet, serviciul de securitate. Și, de asemenea, sau.

Protecția împotriva dezvăluirii datelor se reduce la crearea unui catalog de informații care reprezintă un secret comercial în întreprindere. Acest catalog de informații ar trebui comunicat fiecărui angajat din întreprindere, cu un angajament scris față de acest angajat de a păstra acest secret. Una dintre acțiunile importante este sistemul de control pentru păstrarea integrității și confidențialității secretelor comerciale.

Protecția informațiilor confidențiale împotriva lucrărilor de scurgere pe baza contabilizării, identificării și controlului căilor probabile de scurgere în situații specifice, precum și implementarea măsurilor tehnice, organizatorice, organizatorice și tehnice pentru distrugerea acestora.

Protecția informațiilor confidențiale împotriva accesului neautorizat funcționează pe baza implementării unor proceduri tehnice, organizatorice, organizatorice și tehnice pentru a contracara accesul neautorizat. Precum și controlul metodelor de acces neautorizat și analiză.

În practică, toate activitățile folosesc într-o oarecare măsură tehnică și sunt împărțite în trei grupuri (Fig. 2):

organizatoric (în domeniul mijloacelor tehnice);
tehnic.
organizatoric si tehnic;

Poza 2

Referință de acțiune defensivă

Lucrările de protecție, precum și tehnicile și procedurile de menținere a securității informațiilor, sunt clasificate în funcție de caracteristici și obiecte de protecție, care sunt împărțite în următorii parametri:

Prin orientare - metodele de protecție pot fi clasificate ca acțiuni, un curs de protejare a personalului, bunurilor financiare și materiale și informațiile ca fond.

Prin metode - aceasta este detectarea (de exemplu:) sau, avertizare, detectare, suprimare și restaurare.

În direcții - aceasta este protecția bazată pe metode legale, acțiuni organizatorice și inginerești și tehnice.

În ceea ce privește acoperirea, echipamentele de protecție pot avea drept scop protejarea perimetrului unei întreprinderi, a încăperilor individuale, a clădirilor, a grupurilor specifice de echipamente, a mijloacelor și sistemelor tehnice, elemente individuale(case, incinte, utilaje) periculoase din punct de vedere al accesului neautorizat la acestea.

Motivul informării poate fi oameni, deșeuri, mijloace tehnice etc. Purtătorii de informații pot fi câmpuri acustice și electromagnetice sau substanțe (produs, hârtie, material). Mediul de propagare este mediile dure sau spațiul aerian.

Infractorul poate avea toate mijloacele necesare pentru a primi energie electromagnetică și acustică, supraveghere aeriană și capacitatea de a analiza materialele de prezentare a informațiilor.

Reprezentarea informațiilor în forme reale. Pentru a exclude confiscarea ilegală a informațiilor confidențiale, ar trebui să procesați semnalul sau sursa de informații cu mijloace de criptare înfundate sau alte mijloace.

Odată cu creșterea ratei de utilizare și distribuție a rețelelor de informații (sau) și a PC-urilor, rolul diverșilor factori care provoacă dezvăluirea, scurgerea și accesul neautorizat la informații crește. Acestea sunt:

erori;
comportament rău intenționat sau neautorizat al angajaților și utilizatorilor;
implicite hardware sau erori în programe;
dezastre naturale, accidente de diverse origini și pericole;
erori ale utilizatorilor și ale personalului;
erori la.

În acest sens, principalele obiective ale protecției informațiilor în retelelor de informatii iar PC-ul este:

prevenirea scurgerilor și pierderilor de informații, interferențelor și interceptării la toate nivelurile de influență, pentru toate obiectele separate geografic;
asigurarea drepturilor utilizatorilor și a normelor legale în legătură ACCES la informații și alte resurse, care implică o revizuire administrativă a activităților de informare, inclusiv acțiuni de responsabilitate personală pentru respectarea modurilor de funcționare și a regulilor de utilizare;

Figura 3

concluzii

1. Asigurarea fiabilității sau securității informațiilor se realizează prin proceduri organizatorice, tehnice și organizatoric-tehnice, oricare dintre acestea fiind asigurată prin metode, mijloace și măsuri unice cu parametri corespunzători.

2. O varietate de acțiuni și condiții care contribuie la asimilarea ilegală sau ilegală a datelor confidențiale, obligă la utilizarea unor metode, mijloace, forțe nu mai puțin diverse și pentru a asigura securitatea sau fiabilitatea informațiilor.

3. Principalele sarcini ale protecției informațiilor sunt garantarea confidențialității, integrității și suficienței resurselor informaționale. Și, de asemenea, să-l introduc în sistem.

4. Metodele de asigurare a protecției informațiilor ar trebui să vizeze un temperament proactiv al acțiunilor care vizează modalități proactive de prevenire a posibilelor amenințări la adresa secretelor comerciale.

Securitatea informațiilor, ca și protecția informațiilor, este o sarcină complexă care vizează asigurarea securității, implementată prin implementarea unui sistem de securitate. Problema protecției informațiilor este multifațetă și complexă și acoperă o serie de sarcini importante. Problemele de securitate a informațiilor sunt agravate constant de pătrunderea mijloacelor tehnice de prelucrare și transmitere a datelor în toate sferele societății și, mai ales, în sistemele informatice.

Până în prezent, trei principii de baza că securitatea informațiilor ar trebui să ofere:

integritatea datelor - protecție împotriva defecțiunilor care conduc la pierderea informațiilor, precum și protecție împotriva creării sau distrugerii neautorizate a datelor;

confidențialitatea informațiilor;

În dezvoltarea sistemelor informatice, defecțiunile sau erorile în funcționarea cărora pot duce la consecințe grave, problemele de securitate informatică devin prioritare. Sunt cunoscute numeroase măsuri care vizează asigurarea securității informatice, principalele fiind cele tehnice, organizatorice și juridice.

Asigurarea securității informațiilor este costisitoare și nu numai din cauza costului achiziționării sau instalării măsurilor de securitate, ci și pentru că este dificil să definiți cu pricepere limitele unei securități rezonabile și să vă asigurați că sistemul este menținut și funcțional corespunzător.

Caracteristicile de securitate nu pot fi proiectate, achiziționate sau instalate până când nu a fost efectuată o analiză adecvată.

Site-ul analizează securitatea informației și locul acesteia în sistemul național de securitate, identifică interese vitale în sfera informațională și amenințările la adresa acestora. Sunt avute în vedere problemele războiului informațional, armele informaționale, principiile, principalele sarcini și funcții de asigurare a securității informațiilor, funcțiile sistemului de stat de asigurare a securității informațiilor, standardele interne și externe în domeniul securității informației. De asemenea, se acordă o atenție considerabilă problemelor juridice de securitate a informațiilor.

Sunt luate în considerare și aspectele generale ale protecției informațiilor în sistemele automate de prelucrare a datelor (ASOD), subiectul și obiectele protecției informațiilor, sarcinile de protecție a informațiilor în ASOD. Sunt luate în considerare tipurile de amenințări deliberate la securitate și metodele de protecție a informațiilor în ASOD. Metode și mijloace de autentificare a utilizatorilor și de diferențiere a accesului acestora la resurse informatice, controlul accesului la echipamente, utilizarea parolelor simple și care se schimbă dinamic, metode de modificare a schemei parole simple, metode funcționale.

Principii de bază ale construirii unui sistem de securitate a informațiilor.

Când construiți un sistem de securitate a informațiilor pentru un obiect, trebuie să vă ghidați după următoarele principii:

Continuitatea procesului de îmbunătățire și dezvoltare a sistemului de securitate a informațiilor, care constă în justificarea și implementarea celor mai raționale metode, metode și modalități de protejare a informațiilor, monitorizare continuă, identificarea blocajelor și punctelor slabe și a potențialelor canale de scurgere de informații și acces neautorizat.

Utilizarea cuprinzătoare a întregului arsenal de mijloace de protecție disponibile în toate etapele producției și procesării informațiilor. În același timp, toate instrumentele, metodele și măsurile utilizate sunt combinate într-un singur mecanism holistic - un sistem de securitate a informațiilor.

Monitorizarea funcționării, actualizarea și completarea mecanismelor de protecție în funcție de modificările posibilelor amenințări interne și externe.

Utilizatorii sunt instruiți corespunzător și respectă toate practicile de confidențialitate stabilite. Fără îndeplinirea acestei cerințe, niciun sistem de securitate a informațiilor nu poate oferi nivelul necesar de protecție.

Cea mai importantă condiție asigurarea securității sunt legalitatea, suficiența, menținerea unui echilibru între interesele individului și al întreprinderii, responsabilitatea reciprocă a personalului și managementului, interacțiunea cu agențiile de drept de stat.

10) Etapele construcției securității informațiilor

Etapele construcției.

1. Analiza cuprinzătoare a sistemului informaţional

întreprinderi la diferite niveluri. Analiza de risc.

2. Dezvoltarea organizatorice si administrative si

documente de reglementare.

3. Formare, dezvoltare profesională și

recalificarea specialiştilor.

4. Reevaluarea anuală a stării informațiilor

securitatea întreprinderii

11) Firewall

Firewall-uri și pachete antivirus.

Un firewall (uneori numit firewall) ajută la îmbunătățirea securității computerului dvs. Restricționează informațiile care ajung la computer de la alte computere, permițând un control mai bun asupra datelor de pe computer și oferind linia de apărare a computerului împotriva persoanelor sau a programelor (inclusiv viruși și viermi) care încearcă neautorizat să se conecteze la computer. Gândiți-vă la un firewall ca la un post de frontieră care inspectează informații (numite adesea trafic) care provin de pe Internet sau retea locala... În timpul acestei verificări, firewall-ul respinge sau permite computerului informații conform parametrilor specificați.

Contra ce protejează firewall-ul?

Un firewall MAI:

1. Blocați accesul la computer al virușilor și „viermilor”.

2. Solicitați utilizatorului să aleagă dacă să blocheze sau să permită anumite solicitări de conectare.

3. Păstrați înregistrări (jurnal de securitate) - la cererea utilizatorului - înregistrând încercările permise și blocate de conectare la computer.

Contra ce nu protejează firewall-ul?

El nu poate:

1. Detectează sau neutralizează virușii informatici și „viermii” dacă au intrat deja în computer.

3. Blocați mesajele spam sau e-mailurile neautorizate să nu ajungă în căsuța dvs. de e-mail.

FIREWALL-uri HARDWARE ȘI SOFTWARE

Firewall-uri hardware- dispozitive individuale care sunt foarte rapide, fiabile, dar foarte scumpe, deci sunt folosite de obicei doar pentru protejarea rețelelor mari de calculatoare. Pentru utilizatorii casnici, firewall-urile încorporate în routere, switch-uri, puncte de acces fără fir etc. sunt optime. Combinațiile router-firewall-uri oferă protecție dublă împotriva atacurilor.

Firewall software este un program de securitate. În principiu, este asemănător cu un firewall hardware, dar este mai ușor de utilizat: are mai multe presetări și adesea are vrăjitori care să vă ajute să configurați. Cu ajutorul acestuia, puteți permite sau interzice accesul altor programe la Internet.

program antivirus (antivirus)- orice program pentru detectarea virușilor informatici, precum și a programelor nedorite (considerate a fi rău intenționate) în general și restaurarea fișierelor infectate (modificate) de astfel de programe, precum și pentru profilaxie - prevenirea infecției (modificării) fișierelor sau a sistemului de operare cu cod rău intenționat.

12) Clasificarea sistemelor de calcul

În funcţie de localizarea teritorială a sistemelor de abonaţi

rețelele de calculatoare pot fi împărțite în trei clase principale:

rețele globale (WAN - Wide Area Network);

rețele regionale (MAN - Metropolitan Area Network);

Rețele locale (LAN - Local Area Network).

Topologii LAN de bază

O topologie LAN este o diagramă geometrică a conexiunilor nodurilor de rețea.

Topologiile rețelelor de calculatoare pot fi foarte diferite, dar

pentru rețelele locale, doar trei sunt tipice:

Inel,

In forma de stea.

Orice rețea de calculatoare poate fi considerată o colecție

Nod- orice dispozitiv conectat direct la

mijlocul de transmisie al rețelei.

Topologie inel prevede conectarea nodurilor de rețea cu o curbă închisă - un cablu mediu de transmisie. Ieșirea unei gazde este conectată la intrarea alteia. Informațiile despre inel sunt transmise de la nod la nod. Fiecare nod intermediar dintre emițător și receptor transmite mesajul trimis. Nodul receptor recunoaște și primește doar mesajele care îi sunt adresate.

O topologie inel este ideală pentru rețelele care ocupă relativ puțin spațiu. Nu are un hub central, ceea ce crește fiabilitatea rețelei. Retransmiterea informațiilor permite utilizarea oricăror tipuri de cabluri ca mediu de transmisie.

Disciplina consecventă de deservire a nodurilor unei astfel de rețele îi reduce performanța, iar eșecul unuia dintre noduri încalcă integritatea inelului și necesită măsuri speciale pentru a păstra calea de transmitere a informațiilor.

Topologie magistrală- una dintre cele mai simple. Este asociat cu utilizarea cablului coaxial ca mediu de transmisie. Datele de la nodul rețelei de transmisie sunt propagate de-a lungul magistralei în ambele direcții. Nodurile intermediare nu difuzează mesajele primite. Informațiile ajung la toate nodurile, dar numai cel căruia îi este adresată este primit de mesaj. Disciplina de serviciu este paralelă.

Aceasta oferă o rețea de magistrală de înaltă performanță. Rețeaua este ușor de extins și configurat, precum și de adaptat la diferite sisteme.Rețeaua de topologie magistrală este rezistentă posibile defecțiuni noduri individuale.

Rețelele cu topologie de magistrală sunt în prezent cele mai comune. Trebuie remarcat faptul că sunt scurte și nu permit utilizarea diferitelor tipuri de cabluri în cadrul aceleiași rețele.

Topologie în stea se bazează pe conceptul de nod central la care sunt conectate nodurile periferice. Fiecare nod periferic are propria sa linie de comunicare separată cu nodul central. Toate informațiile sunt transmise printr-un hub central, care transmite, comută și direcționează fluxurile de informații în rețea.

O topologie în formă de stea simplifică foarte mult interacțiunea nodurilor LAN între ele, permite utilizarea unor adaptoare de rețea... În același timp, performanța unui LAN cu topologie în stea depinde în întregime de site-ul central.

În rețelele reale de calculatoare se pot folosi topologii mai avansate, care în unele cazuri reprezintă combinații ale celor considerate.

Alegerea unei anumite topologii este determinată de aria de aplicare a rețelei LAN, de locația geografică a nodurilor sale și de dimensiunea rețelei în ansamblu.

Internet- o rețea informatică mondială, care este o unificare a multor rețele regionale de calculatoare și calculatoare care fac schimb de informații între ele prin canale de telecomunicații publice (linii telefonice analog și digitale dedicate, canale de comunicații optice și canale radio, inclusiv linii de comunicații prin satelit).

ISP- furnizor de servicii de rețea - o persoană sau organizație care oferă servicii de conectare la rețele de calculatoare.

Gazdă (din engleză host - „host receiving guests”)- orice dispozitiv care oferă servicii în format „client-server” în modul server pe orice interfețe și este definit în mod unic pe aceste interfețe. Într-un caz mai specific, o gazdă poate fi înțeleasă ca orice computer sau server conectat la o rețea locală sau globală.

Protocol de rețea- un set de reguli și acțiuni (secvență de acțiuni), care permite conectarea și schimbul de date între două sau mai multe dispozitive conectate la rețea.

Adresă IP (adresă IP, abrevierea Adresei de protocol de internet în engleză)- unic adresă de rețea nod într-o rețea de calculatoare construită pe IP. Sunt necesare adrese unice la nivel global pe Internet; în cazul lucrului într-o rețea locală, este necesară unicitatea adresei în cadrul rețelei. În versiunea IPv4, adresa IP are o lungime de 4 octeți.

Numele domeniului- un nume simbolic care ajută la găsirea adreselor serverelor de Internet.

13) Sarcini peer-to-Peer

Firmware-ul de protecție împotriva accesului neautorizat include măsuri de identificare, autentificare și control al accesului la sistemul informațional.

Identificarea este atribuirea unor identificatori unici pentru a accesa subiectele.

Acestea includ etichete RFID, tehnologii biometrice, carduri magnetice, chei magnetice universale, autentificare etc.

Autentificare - verificarea ca subiectul de acces aparține identificatorului prezentat și confirmarea autenticității acestuia.

Procedurile de autentificare includ parole, coduri PIN, carduri inteligente, chei USB, semnături digitale, chei de sesiune etc. Partea procedurală a mijloacelor de identificare și autentificare este interconectată și, de fapt, reprezintă baza de bază a întregului software și hardware pentru asigurarea securității informațiilor, întrucât toate celelalte servicii sunt concepute pentru a deservi subiecte specifice, corect recunoscute de sistemul informațional. În general, identificarea permite subiectului să se identifice pentru sistemul informațional, iar cu ajutorul autentificării, sistemul informațional confirmă că subiectul este cu adevărat cine pretinde a fi. Pe baza parcurgerii acestei operațiuni se efectuează o operațiune de asigurare a accesului la sistemul informațional. Procedurile de control al accesului permit entităților autorizate să efectueze acțiuni permise de reglementări, iar sistemul informațional să controleze aceste acțiuni pentru corectitudinea și corectitudinea rezultatului. Controlul accesului permite sistemului să ascundă de utilizatori datele la care aceștia nu au acces.

Următorul mijloc de protecție software și hardware este înregistrarea și auditarea informațiilor.

Înregistrarea include colectarea, acumularea și stocarea informațiilor despre evenimente, acțiuni, rezultate care au avut loc în timpul funcționării sistemului informațional, utilizatori individuali, procese și toate programele și hardware-ul care fac parte din sistemul informațional al întreprinderii.

Deoarece fiecare componentă a sistemului informațional are un set predeterminat de evenimente posibile în conformitate cu clasificatorii programați, evenimentele, acțiunile și rezultatele sunt împărțite în:

extern, cauzat de acțiunile altor componente,
intern, cauzat de acțiunile componentei în sine,
partea clientului, cauzată de acțiunile utilizatorilor și ale administratorilor.

Auditul informațional constă în efectuarea analizei operaționale în timp real sau într-o perioadă dată.

Pe baza rezultatelor analizei, fie se generează un raport cu privire la evenimentele care au avut loc, fie se inițiază un răspuns automat la o situație de urgență.

Implementarea înregistrării și auditării rezolvă următoarele sarcini:

ținerea la răspundere a utilizatorilor și a administratorilor;
oferirea capacității de a reconstrui succesiunea evenimentelor;
detectarea încercărilor de încălcare a securității informațiilor;
furnizarea de informații pentru identificarea și analiza problemelor.

Protecția informațiilor este adesea imposibilă fără utilizarea mijloacelor criptografice. Acestea sunt folosite pentru a asigura funcționarea serviciilor de criptare, control al integrității și autentificare, atunci când mijloacele de autentificare sunt stocate de utilizator în formă criptată. Există două metode principale de criptare: simetrică și asimetrică.

Controlul integrității vă permite să stabiliți autenticitatea și identitatea unui obiect, care este o matrice de date, porțiuni individuale de date, o sursă de date și, de asemenea, să vă asigurați că este imposibil să marcați o acțiune efectuată în sistem cu o matrice de date. informație. Implementarea controlului integrității se bazează pe tehnologii de transformare a datelor folosind criptare și certificate digitale.

Alții aspect important este utilizarea scuturilor, tehnologie care permite, delimitând accesul subiecților la resursele informaționale, să controleze toate fluxurile de informații dintre sistemul informațional al întreprinderii și obiectele externe, matricele de date, subiecții și contrasubiecții. Controlul fluxului constă în filtrarea acestora și, dacă este necesar, convertirea informațiilor transmise.

Sarcina de a proteja este de a proteja informațiile interne de factori externi potențial ostili și de subiecții. Principala formă de implementare a scuturilor sunt firewall-urile sau firewall-urile, de diverse tipuri și arhitecturi.

Întrucât unul dintre semnele securității informației este disponibilitatea resurselor informaționale, asigurarea unui nivel ridicat de disponibilitate este o direcție importantă în implementarea măsurilor software și hardware. În special, sunt împărțite două domenii: asigurarea toleranței la erori, i.e. neutraliza defecțiunile sistemului, capacitatea de a opera atunci când apar erori și asigură siguranța și recuperare rapida după eșecuri, adică funcționalitatea sistemului.

Principala cerință pentru sistemele informaționale este ca acestea să funcționeze întotdeauna cu o anumită eficiență, timp minim de indisponibilitate și viteză de răspuns.

În conformitate cu aceasta, disponibilitatea resurselor informaționale este asigurată de:

utilizarea unei arhitecturi structurale, ceea ce înseamnă că modulele individuale pot fi dezactivate, dacă este necesar, sau înlocuite rapid fără deteriorarea altor elemente ale sistemului informațional;
asigurarea tolerantei la erori datorita: folosirii elementelor autonome ale infrastructurii suport, introducerii de capacitate in exces in configurarea software-ului si hardware-ului, redundanta hardware, replicarea resurselor informatice in cadrul sistemului, Rezervă copie date etc.
asigurarea funcționalității prin reducerea timpului de diagnosticare și eliminarea defecțiunilor și a consecințelor acestora.

Canalele de comunicare sigure sunt un alt tip de instrumente de securitate a informațiilor.

Funcționarea sistemelor informaționale este inevitabil asociată cu transferul de date; prin urmare, este necesar și ca întreprinderile să asigure protecția resurselor informaționale transferate prin intermediul canalelor de comunicații securizate. Posibilitatea accesului neautorizat la date la transmiterea traficului prin canale de comunicare deschise se datorează disponibilității lor publice. Deoarece „comunicațiile pe toată lungimea lor nu pot fi protejate fizic, este, prin urmare, mai bine să pornim inițial de la asumarea vulnerabilității lor și, în consecință, să oferiți protecție”. Pentru aceasta se folosesc tehnologii de tunelizare, a căror esență este încapsularea datelor, adică. împachetați sau împachetați pachetele de date transmise, inclusiv toate atributele serviciului, în propriile lor plicuri. În consecință, un tunel este o conexiune sigură prin canale de comunicație deschise prin care sunt transmise pachete de date protejate criptografic. Tunnelarea este utilizată pentru a asigura confidențialitatea traficului prin ascunderea informațiilor de serviciu și asigurarea confidențialității și integrității datelor transmise atunci când sunt utilizate împreună cu elementele criptografice ale sistemului informațional. Combinația de tunelare și criptare permite implementarea unui VPN. În acest caz, punctele finale ale tunelurilor care implementează rețele private virtuale sunt firewall-uri care servesc conexiunii organizațiilor la rețele externe.

Firewall-uri ca puncte de implementare a serviciilor de rețele private virtuale

Astfel, tunelul și criptarea sunt transformări suplimentare efectuate în procesul de filtrare a traficului de rețea împreună cu traducerea adresei. Capetele tunelurilor, pe lângă firewall-urile corporative, pot fi computere personale și mobile ale angajaților, mai exact firewall-urile și firewall-urile lor personale. Datorită acestei abordări, este asigurată funcționarea canalelor de comunicații securizate.

Proceduri de securitate a informațiilor

Procedurile de securitate a informațiilor sunt de obicei diferențiate la nivel administrativ și organizatoric.

Procedurile administrative includ acțiuni generale întreprinse de conducerea organizației pentru a reglementa toate lucrările, acțiunile, operațiunile din domeniul asigurării și menținerii securității informațiilor, implementate prin alocarea resurselor necesare și monitorizarea eficacității măsurilor luate.
Nivelul organizatoric reprezintă proceduri pentru asigurarea securității informațiilor, inclusiv managementul personalului, protecția fizică, menținerea operabilității infrastructurii hardware și software, eliminarea promptă a încălcărilor de securitate și planificarea lucrărilor de recuperare.

Pe de altă parte, distincția dintre procedurile administrative și organizatorice este lipsită de sens, întrucât procedurile de la un nivel nu pot exista separat de altul, încălcându-se astfel interconectarea protecției. strat fizic, protecția personală și organizațională în conceptul de securitate a informațiilor. În practică, deși se asigură securitatea informațiilor unei organizații, procedurile administrative sau organizaționale nu sunt neglijate, de aceea este mai logic să le considerăm ca o abordare integrată, întrucât ambele niveluri afectează nivelurile fizice, organizaționale și personale de protecție a informațiilor.

Baza procedurilor complexe de asigurare a securității informațiilor este politica de securitate.

Politica de securitate a informațiilor

Politica de securitate a informațiilorîntr-o organizație, este un set de decizii documentate luate de conducerea organizației și care vizează protejarea informațiilor și a resurselor asociate.

Din punct de vedere organizatoric și managerial, politica de securitate a informațiilor poate fi un singur document sau întocmită sub forma mai multor documente sau ordine independente, dar în orice caz ar trebui să acopere următoarele aspecte ale protecției sistemului informațional al organizației:

protecția obiectelor sistemului informațional, a resurselor informaționale și a operațiunilor directe cu acestea;
protecția tuturor operațiunilor legate de prelucrarea informațiilor în sistem, inclusiv a software-ului de procesare;
protecția canalelor de comunicație, inclusiv prin cablu, radio, infraroșu, hardware etc.;
protecția complexului hardware de radiațiile electromagnetice colaterale;
managementul securității, inclusiv întreținere, upgrade-uri și acțiuni administrative.

Fiecare dintre aspecte ar trebui descris în detaliu și documentat în documentele interne ale organizației. Documentele interne acoperă trei niveluri ale procesului de securitate: superior, mediu și inferior.

Documentele de politică de securitate a informațiilor la nivel înalt reflectă abordarea principală a organizației în ceea ce privește protejarea propriilor informații și conformitatea cu standardele naționale și/sau internaționale. În practică, o organizație are un singur document de nivel superior intitulat „Conceptul de securitate a informațiilor”, „Regulamente privind securitatea informațiilor”, etc. Formal, aceste documente nu au valoare confidențială, distribuția lor nu este limitată, dar pot fi eliberate în ediție pentru uz intern și publicare deschisă.

Documentele de nivel mediu sunt strict confidențiale și se referă la aspecte specifice ale securității informațiilor organizației: instrumente de securitate a informațiilor utilizate, securitatea bazelor de date, comunicații, instrumente criptografice și alte informații și procese economice ale organizației. Documentația este implementată sub forma unor standarde tehnice și organizatorice interne.

Documentele de nivel inferior sunt împărțite în două tipuri: regulamente de lucru și instrucțiuni de utilizare. Reglementările de muncă sunt strict confidențiale și sunt destinate numai persoanelor care, în serviciu, desfășoară activități de administrare a serviciilor individuale de securitate a informațiilor. Instrucțiunile de operare pot fi fie confidențiale, fie publice; sunt destinate personalului organizației și descriu procedura de lucru cu elementele individuale ale sistemului informațional al organizației.

Experiența mondială arată că politica de securitate a informațiilor este întotdeauna documentată doar în companiile mari care au un sistem informatic dezvoltat care impun cerințe sporite pentru securitatea informațiilor, întreprinderile mijlocii au cel mai adesea doar o politică de securitate a informațiilor parțial documentată, organizațiile mici în marea majoritate o fac. nu-i pasă de documentarea politicii de securitate. Indiferent dacă formatul de documentare este holistic sau distribuit, modul de securitate este aspectul de bază.

Există două abordări diferite care stau la baza politica de securitate a informatiilor:

„Orice lucru care nu este interzis este permis”.
„Este interzis tot ceea ce nu este permis”.

Defectul fundamental al primei abordări este că în practică este imposibil să se prevadă toate cazurile periculoase și să le interzică. Nu există nicio îndoială că ar trebui folosită doar a doua abordare.

Nivel organizațional de securitate a informațiilor

Din punct de vedere al protecției informațiilor, procedurile organizatorice de asigurare a securității informațiilor sunt prezentate ca „reglementarea activităților de producție și a relației dintre artiștii executanți pe o bază legală care exclude sau complică semnificativ achiziția ilegală de informații confidențiale și manifestarea amenințări externe.”

Măsurile de management al personalului care vizează organizarea muncii cu personalul în vederea asigurării securității informațiilor includ separarea sarcinilor și reducerea la minimum a privilegiilor. Segregarea sarcinilor prescrie o distribuție a competențelor și a domeniilor de responsabilitate în care o persoană nu este capabilă să perturbe un proces critic pentru organizație. Acest lucru reduce probabilitatea de eroare și abuz. Minimizarea privilegiilor prescrie acordarea utilizatorilor doar a nivelului de acces care corespunde nevoii de a-și îndeplini atribuțiile oficiale. Acest lucru reduce daunele cauzate de abateri accidentale sau deliberate.

Protecția fizică înseamnă elaborarea și adoptarea măsurilor de protecție directă a clădirilor în care se află resursele informaționale ale organizației, a teritoriilor adiacente, a elementelor de infrastructură, a calculatoarelor, a suporturilor de date și a canalelor de comunicații hardware. Aceasta include controlul accesului fizic, protecția împotriva incendiilor, protecția infrastructurii de sprijin, protecția la interceptarea datelor și protecția sistemelor mobile.

Menținerea operabilității infrastructurii software și hardware constă în prevenirea erorilor stocastice care amenință să deterioreze complexul hardware, funcționarea defectuoasă a programelor și pierderea datelor. Principalele direcții în acest aspect sunt furnizarea de suport pentru utilizatori și software, managementul configurației, backup, management media, documentare și lucru preventiv.

Eliminarea promptă a încălcărilor de securitate are trei obiective principale:

Localizarea incidentului și reducerea pagubelor produse;
Identificarea infractorului;
Prevenirea încălcărilor repetate.

În cele din urmă, planificarea remedierii vă permite să vă pregătiți pentru accidente, să reduceți daunele cauzate de acestea și să mențineți capacitatea de funcționare cel puțin la minimum.

Utilizarea software-ului și a hardware-ului și a canalelor de comunicații securizate ar trebui implementate în organizație pe baza unei abordări integrate a dezvoltării și aprobării tuturor procedurilor administrative și organizaționale de reglementare pentru asigurarea securității informațiilor. În caz contrar, adoptarea anumitor măsuri nu garantează protecția informațiilor și adesea, dimpotrivă, provoacă scurgeri de informații confidențiale, pierderi de date critice, deteriorarea infrastructurii hardware și perturbarea componentelor software ale sistemului informațional al organizației.

Metode de securitate a informațiilor

Pentru întreprinderile moderne este caracteristic un sistem informațional distribuit, care permite luarea în considerare a birourilor și depozitelor distribuite ale companiei, contabilitate financiară și control de gestiune, informații din baza de clienți, luarea în considerare a eșantionului pe indicatori etc. Astfel, setul de date este foarte semnificativ, iar în marea majoritate este vorba de informații care au o importanță prioritară pentru companie din punct de vedere comercial și economic. De altfel, asigurarea confidentialitatii datelor cu valoare comerciala este una dintre sarcinile principale de asigurare a securitatii informatiilor intr-o companie.

Asigurarea securității informațiilor la nivelul întreprinderii ar trebui reglementat de următoarele documente:

Reglementări de securitate a informațiilor. Acesta include formularea scopurilor și obiectivelor pentru asigurarea securității informațiilor, o listă de reglementări interne privind instrumentele de securitate a informațiilor și o reglementare privind administrarea sistemului informațional distribuit al companiei. Accesul la regulament este limitat la conducerea organizației și la șeful departamentului de automatizare.
Reglementări pentru suportul tehnic de protecție a informațiilor. Documentele sunt confidențiale, accesul este limitat la angajații departamentului de automatizare și ai conducerii superioare.
Reglementări pentru administrarea unui sistem distribuit de securitate a informațiilor. Accesul la reglementări este limitat la angajații departamentului de automatizare responsabil cu administrarea sistemului informațional și la conducerea superioară.

În același timp, aceste documente nu trebuie limitate, ci ar trebui elaborate și nivelurile inferioare. În caz contrar, dacă întreprinderea nu are alte documente legate de securitatea informațiilor, atunci acest lucru va indica un grad insuficient de suport administrativ pentru securitatea informațiilor, deoarece nu există documente de nivel inferior, în special instrucțiuni pentru funcționarea elementelor individuale ale sistemul informatic.

Procedurile organizatorice obligatorii includ:

măsuri de bază pentru diferențierea personalului în funcție de nivelul de acces la resursele informaționale,
protecția fizică a birourilor companiei împotriva pătrunderii directe și a amenințărilor de distrugere, pierdere sau interceptare a datelor;
menținerea operabilității infrastructurii hardware și software se organizează sub formă de backup automatizat, verificarea de la distanță a mediilor de stocare, se asigură la cerere suport utilizator și software.

Aceasta ar trebui să includă și măsuri reglementate pentru a răspunde și a elimina cazurile de încălcare a securității informațiilor.

În practică, se observă adesea că întreprinderile nu acordă suficientă atenție acestei probleme. Toate acțiunile în această direcție sunt efectuate exclusiv în stare de funcționare, ceea ce mărește timpul de eliminare a cazurilor de încălcări și nu garantează prevenirea încălcărilor repetate ale securității informațiilor. În plus, practica planificării acțiunilor pentru eliminarea consecințelor accidentelor, scurgerilor de informații, pierderii datelor și situațiilor critice este complet absentă. Toate acestea înrăutățesc semnificativ securitatea informațiilor întreprinderii.

La nivel de software și hardware, ar trebui implementat un sistem de securitate a informațiilor pe trei niveluri.

Criterii minime pentru asigurarea securității informațiilor:

1. Modul de control acces:

implementate intrare închisăîn sistemul informațional, este imposibilă intrarea în sistem în afara locurilor de muncă verificate;
accesul cu funcționalitate limitată de pe computerele personale mobile este implementat pentru angajați;
autorizarea se realizează cu ajutorul autentificărilor și parolelor generate de administratori.

2. Modul pentru criptare și control al integrității:

se utilizează o metodă de criptare asimetrică pentru datele transmise;
rețele de date critice sunt stocate în baze de date într-o formă criptată, ceea ce nu permite accesul la acestea chiar dacă sistemul informațional al companiei este piratat;
controlul integritatii este asigurat printr-un simplu semnat digital toate resursele informaționale stocate, prelucrate sau transmise în cadrul sistemului informațional.

3. Modul de ecranare:

a fost implementat un sistem de filtre în firewall-uri, care vă permite să controlați toate fluxurile de informații prin canalele de comunicare;
conexiunile externe cu resursele informaționale globale și canalele publice de comunicare pot fi realizate numai printr-un set limitat de stații de lucru verificate care au o conexiune limitată la sistemul informațional corporativ;
accesul securizat de la locurile de muncă al angajaților pentru îndeplinirea atribuțiilor lor oficiale este implementat printr-un sistem cu două niveluri de servere proxy.

În cele din urmă, cu tehnologiile de tunel, întreprinderea trebuie să implementeze un VPN în conformitate cu un model de design tipic pentru a oferi canale de comunicare sigure între diferitele departamente ale companiei, partenerii și clienții companiei.

În ciuda faptului că comunicațiile se realizează direct prin rețele cu potențial nivel scăzutîncredere, tehnologiile de tunel prin utilizarea instrumentelor criptografice pot oferi protecție fiabilă a tuturor datelor transmise.

concluzii

Scopul principal al tuturor măsurilor luate în domeniul securității informațiilor este acela de a proteja interesele întreprinderii, într-un fel sau altul legate de resursele informaționale de care dispune. Deși interesele întreprinderilor nu se limitează la o anumită zonă, toate se concentrează pe disponibilitatea, integritatea și confidențialitatea informațiilor.

Problema asigurării securității informațiilor se explică prin două motive principale.

Resursele informaţionale acumulate de întreprindere sunt valoroase.
Dependența critică de tehnologiile informaționale determină utilizarea lor pe scară largă.

Având în vedere varietatea largă de amenințări existente la adresa securității informațiilor, cum ar fi distrugerea Informații importante, utilizarea neautorizată a datelor confidențiale, întreruperile activității întreprinderii din cauza încălcărilor sistemului informațional, se poate concluziona că toate acestea duc în mod obiectiv la pierderi materiale mari.

În asigurarea securității informațiilor, un rol semnificativ îl joacă instrumentele software și hardware care vizează controlul entităților informatice, adică. echipamente, elemente software, date, formând ultima și cea mai înaltă linie prioritară de securitate a informațiilor. Transmiterea datelor trebuie, de asemenea, să fie sigură în contextul menținerii confidențialității, integrității și disponibilității acestora. Prin urmare, în condiții moderne, tehnologiile de tunelare sunt utilizate în combinație cu mijloace criptografice pentru a oferi canale de comunicații sigure.

Literatură

Galatenko V.A. Standarde de securitate a informațiilor. - M .: Internet University of Information Technologies, 2006.
Partyka T.L., Popov I.I. Securitatea informațiilor. - M .: Forum, 2012.