Adnotare: Prelegerea discută conceptele de bază ale securității informațiilor. Familiarizarea cu Legea Federală „Cu privire la Informații, Tehnologii Informaționale și Protecția Informației”.

GOST " Protecția informațiilor... Termeni și definiții de bază „introduce conceptul securitatea informatiei ca stare de securitate a informaţiei, în care este asigurată confidențialitatea, disponibilitate și integritate.

• Confidențialitate- starea informatiei in care accesul la acestea se realizeaza numai de catre subiectii care au dreptul la aceasta.
• Integritate- starea informatiei in care nu exista nicio modificare a acesteia, sau modificarea este efectuata numai intentionat de catre subiectii care au dreptul la aceasta;
• Disponibilitate- starea informaţiei, în care subiecţii care au drept de acces o pot exercita fără piedici.

Amenințări la securitatea informațiilor- un set de condiții și factori care creează un pericol potențial sau real de încălcare a securității informațiilor [,]. Prin atac se numește încercare de a implementa o amenințare, iar cel care face o astfel de încercare - intrus... Potențialii intrusi sunt chemați surse de amenințare.

Amenințarea este o consecință a prezenței vulnerabilități sau vulnerabilitățiîn sistemul informaţional. Vulnerabilitățile pot apărea din diverse motive, de exemplu, ca urmare a greșelilor neintenționate ale programatorilor la scrierea programelor.

Amenințările pot fi clasificate după mai multe criterii:

• pe proprietățile informațiilor(disponibilitate, integritate, confidențialitate) împotriva cărora sunt îndreptate în primul rând amenințările;
• de componentele sistemelor informatice, care sunt vizate de amenințări (date, programe, hardware, infrastructura de sprijin);
• prin metoda de implementare (accidental / deliberat, acțiuni de natură naturală / artificială);
• prin localizarea sursei amenințărilor (în interiorul / în afara SI considerat).

Asigurarea securității informațiilor este o sarcină complexă care necesită O abordare complexă... Se disting următoarele niveluri de protecție a informațiilor:

1. legislative - legi, reglementări și alte documente ale Federației Ruse și ale comunității internaționale;
2. administrativ - ansamblu de măsuri luate la nivel local de conducerea organizației;
3. nivel procedural - măsuri de securitate implementate de persoane;
4. nivel software și hardware- mijloace directe de protecţie a informaţiilor.

Nivelul legislativ stă la baza construirii unui sistem de protecție a informațiilor, deoarece oferă concepte de bază domeniul subiectuluiși determină pedeapsa pentru potențialii intrusi. Acest nivel joacă un rol de coordonare și îndrumare și ajută la menținerea unei atitudini negative (și punitive) în societate față de persoanele care încalcă securitatea informațiilor.

1.2. Legea federală „Cu privire la informații, tehnologii informaționale și protecția informațiilor”

În legislația rusă, legea de bază în domeniul protecției informațiilor este Legea federală „Cu privire la informații, tehnologii informaționale și protecția informațiilor” din 27 iulie 2006, nr. 149-FZ. Prin urmare, conceptele și soluțiile de bază consacrate de lege necesită o atenție atentă.

Legea reglementează raporturile care decurg din:

• exercitarea dreptului de a căuta, primi, transfera, produce și difuza informații;
• aplicarea tehnologia Informatiei;
• asigurarea protectiei informatiilor.

Legea oferă definiții de bază în domeniul protecției informațiilor. Aici sunt câțiva dintre ei:

• informație- informatii (mesaje, date) indiferent de forma de prezentare a acestora;
• tehnologia de informație- procese, metode de căutare, colectare, stocare, prelucrare, furnizare, diseminare a informațiilor și modalități de implementare a acestor procese și metode;
• Sistem informatic- un set de informații conținute în baze de date și tehnologii informaționale și mijloace tehnice care asigură prelucrarea acestora;
• detinator de informatii- o persoană care a creat în mod independent informații sau a primit, în baza unei legi sau a unui acord, dreptul de a autoriza sau restricționa accesul la informații determinat de orice criteriu;
• operator de sistem informatic- un cetățean sau persoană juridică care operează sistemul informațional, inclusiv prelucrarea informațiilor conținute în bazele de date ale acestuia.
• confidențialitatea informațiilor- o cerință obligatorie pentru o persoană care are acces la anumite informații să nu transfere astfel de informații către terți fără acordul proprietarului acesteia.

Articolul 4 din Lege formulează principiile reglementării juridice a relațiilor în domeniul informației, tehnologiei informației și protecției informațiilor:

1. libertatea de a căuta, primi, transfera, produce și difuza informații în orice mod legal;
2. stabilirea restricțiilor privind accesul la informații numai prin legile federale;
3. deschiderea informațiilor cu privire la activitățile organelor de stat și a organismelor locale de autoguvernare și accesul liber la astfel de informații, cu excepția cazurilor stabilite de legile federale;
4. egalitatea limbilor popoarelor Federației Ruse în crearea sistemelor informaționale și funcționarea acestora;
5. asigurarea securității Federației Ruse în timpul creării sistemelor informatice, funcționarea acestora și protecția informațiilor pe care le conțin;
6. fiabilitatea informațiilor și oportunitatea furnizării acestora;
7. inviolabilitatea vieții private, inadmisibilitatea colectării, stocării, utilizării și difuzării informațiilor despre viața privată a unei persoane fără consimțământul acesteia;
8. inadmisibilitatea instituirii prin acte juridice de reglementare a oricăror avantaje ale utilizării unor tehnologii informaționale față de altele, cu excepția cazului în care utilizarea obligatorie a anumitor tehnologii informaționale pentru crearea și funcționarea sistemelor informaționale de stat nu este stabilită de legile federale.

Toate informațiile sunt împărțite în la dispozitia publiculuiși limitată acces... Informațiile disponibile public includ informații general cunoscute și alte informații, la care accesul nu este limitat. Legea definește informații care nu pot fi restricționate, cum ar fi informații despre mediu sau activitățile agențiilor guvernamentale. Se mai prevede că Limitarea accesului informarea este stabilită prin legile federale pentru a proteja fundamentele sistemului constituțional, moralitatea, sănătatea, drepturile și interesele legitime ale altora, pentru a asigura apărarea țării și securitatea statului. Este obligatoriu să se respecte confidențialitatea informațiilor, accesul la care este limitat de legile federale.

Este interzisă solicitarea unui cetățean (persoane fizice) să furnizeze informații despre viața sa privată, inclusiv informații care constituie un secret personal sau de familie și să primească astfel de informații împotriva voinței cetățeanului (persoanelor fizice), cu excepția cazului în care legile federale prevăd altfel.

1. informații distribuite gratuit;
2. informații furnizate cu acordul persoanelor care participă la relația relevantă;
3. informații care, în conformitate cu legile federale, sunt supuse furnizării sau distribuirii;
4. informații, a căror distribuție în Federația Rusă este restricționată sau interzisă.

Legea stabilește echivalența unui mesaj electronic semnat cu o semnătură electronică digitală sau alt analog al unei semnături olografe și un document semnat cu o semnătură olografă.

Este dată următoarea definiție a protecției informațiilor - este adoptarea de măsuri legale, organizatorice și tehnice care vizează:

1. asigurarea protecției informațiilor împotriva accesului neautorizat, distrugerii, modificării, blocării, copierii, furnizării, distribuirii, precum și împotriva altor acțiuni ilegale în legătură cu astfel de informații;
2. respectarea confidențialității informațiilor restricționate;
3. realizarea dreptului de acces la informații.

Proprietarul informațiilor, operatorul sistemului informatic în cazurile stabilite de legislația Federației Ruse, sunt obligați să asigure:

1. prevenirea accesului neautorizat la informații și (sau) transferul acestora către persoane care nu au dreptul de acces la informații;
2. detectarea în timp util a faptelor de acces neautorizat la informații;
3. prevenirea posibilității de apariție a consecințelor negative ale încălcării procedurii de acces la informații;
4. prevenirea impactului asupra mijloacelor tehnice de prelucrare a informațiilor, în urma cărora funcționarea acestora este perturbată;
5. posibilitatea recuperării imediate a informațiilor modificate sau distruse din cauza accesului neautorizat la acestea;
6. control constant asupra asigurării nivelului de securitate a informațiilor.

Astfel, Legea federală „Cu privire la informații, tehnologii informaționale și protecția informațiilor” creează o bază legală pentru schimbul de informații în Federația Rusă și definește drepturile și obligațiile subiecților săi.

Dezvoltarea rapidă a tehnologiilor informaționale pe computer aduc schimbări semnificative în viața noastră. Informația a devenit o marfă care poate fi cumpărată, vândută, schimbată. Mai mult, costul informației este adesea de sute de ori mai mare decât costul sistemului informatic în care sunt stocate.

Bunăstarea, și uneori viața multor oameni, depinde de gradul de securitate al tehnologiilor informaționale. Acesta este prețul pentru complicarea și răspândirea pe scară largă a sistemelor automate de procesare a informațiilor.

Sub securitatea informatieiînseamnă securitatea sistemului informațional împotriva interferențelor accidentale sau deliberate care dăunează proprietarilor sau utilizatorilor de informații.

În practică, cele mai importante sunt trei aspecte ale securității informațiilor:

• disponibilitate(oportunitatea de a primi serviciul de informare solicitat într-un timp rezonabil);
• integritate(relevanța și consistența informațiilor, protecția acestora împotriva distrugerii și modificărilor neautorizate);
• confidențialitatea(protecție împotriva citirii neautorizate).

Încălcări ale disponibilității, integrității și confidențialității informațiilor pot fi cauzate de diferite efecte periculoase asupra sistemelor informatice informatice.

Principalele amenințări la adresa securității informațiilor

Un sistem informatic modern este un sistem complex format dintr-un număr mare de componente cu diferite grade de autonomie, care sunt interconectate și fac schimb de date. Aproape fiecare componentă poate fi deteriorată sau deteriorată. Componentele unui sistem informatic automat pot fi împărțite în următoarele grupe:

• hardware- calculatoare și componente ale acestora (procesoare, monitoare, terminale, periferice- unități de dischete, imprimante, controlere, cabluri, linii de comunicație etc.);
• software- programe achizitionate, sursa, obiect, module de incarcare; sisteme de operare și programe de sistem (compilatoare, linkere etc.), utilitare, programe de diagnosticare etc.;
• date- stocate temporar si permanent, pe suporturi magnetice, tiparite, arhive, jurnalele de sistem etc.;
• personal- personalul de service si utilizatorii.

Impacturile periculoase asupra unui sistem informatic informatic pot fi împărțite în accidentale și intenționate. O analiză a experienței de proiectare, fabricare și operare a sistemelor informaționale arată că informațiile sunt expuse la diferite influențe aleatorii în toate etapele ciclului de viață al sistemului. Motivele influențe accidentaleîn timpul funcționării poate fi:

• situații de urgență cauzate de dezastre naturale și pene de curent;
• defecțiuni și defecțiuni hardware;
• erori în software;
• greșeli în munca personalului;
• interferențe în liniile de comunicare din cauza influențelor mediului.

Impacturi intenționate- sunt acțiuni deliberate ale infractorului. Un angajat, un vizitator, un concurent sau un mercenar poate acționa ca un infractor. Acțiunile infractorului se pot datora unor motive diferite:

• nemulțumirea angajatului față de cariera sa;
• mită;
• curiozitate;
• luptă competitivă;
• dorinta de a se afirma cu orice pret.

Se poate elabora un model ipotetic al unui potențial intrus:

• calificarea infractorului la nivelul dezvoltatorului acestui sistem;
• contravenientul poate fi fie o persoană neautorizată, fie un utilizator legitim al sistemului;
• contravenientul cunoaște informații despre principiile sistemului;
• infractorul alege cea mai slabă verigă din apărare.

Cel mai comun și divers tip de încălcare a computerului este acces neautorizat(NSD). NSD folosește orice eroare în sistemul de protecție și este posibilă cu o alegere irațională a mijloacelor de protecție, instalarea și configurarea lor incorectă.

Să clasificăm canalele NSD prin care este posibil să furi, să schimbi sau să distrugi informații:

• Prin intermediul unei persoane:
  • furt de suporturi de informații;
  • citirea informațiilor de pe un ecran sau tastatură;
  • citirea informațiilor dintr-un tipărit.
• Prin program:
  • interceptarea parolelor;
  • decriptarea informațiilor criptate;
  • copierea informațiilor de la operator.
• Prin hardware:
  • conectarea hardware-ului special conceput care oferă acces la informații;
  • interceptarea radiațiilor electromagnetice false de la echipamente, linii de comunicație, rețele de alimentare etc.

O atenție deosebită trebuie acordată amenințărilor la care pot fi expuse rețelele de calculatoare. Caracteristica principală a oricărui rețea de calculatoare constă în faptul că componentele sale sunt distribuite în spaţiu. Comunicarea între nodurile de rețea se realizează fizic folosind linii de rețea și programatic folosind un mecanism de mesaje. În acest caz, mesajele de control și datele trimise între nodurile rețelei sunt transmise sub formă de pachete de schimb. Rețelele de calculatoare se caracterizează prin faptul că așa-numitele atacuri de la distanță... Intrusul se poate afla la mii de kilometri de obiectul atacat și nu doar un anumit computer, ci și informațiile transmise prin canalele de comunicare din rețea pot fi atacate.

Securitatea informațiilor

Formarea unui regim de securitate a informațiilor este o problemă complexă. Măsurile de rezolvare pot fi împărțite în cinci niveluri:

1. legislative (legi, reglementări, standarde etc.);
2. morale și etice (tot felul de norme de comportament, nerespectarea cărora duce la o scădere a prestigiului unei anumite persoane sau a unei întregi organizații);
3. administrative (acțiuni generale întreprinse de conducerea organizației);
4. fizice (obstacole mecanice, electro- și electronic-mecanice pe posibile rute de intrare a potențialilor intruși);
5. hardware și software (dispozitive electronice și programe speciale de securitate a informațiilor).

Un singur set din toate aceste măsuri menite să contracareze amenințările de securitate pentru a minimiza posibilitatea de deteriorare, formează sistem de protectie.

Un sistem de protecție fiabil trebuie să respecte următoarele principii:

• Costul echipamentului de protecție ar trebui să fie mai mic decât valoarea posibilelor daune.
• Fiecare utilizator ar trebui să aibă setul minim de privilegii necesare pentru a lucra.
• Cu cât protecția este mai eficientă, cu atât este mai ușor pentru utilizator să lucreze cu ea.
• Posibilitate de deconectare in caz de urgenta.
• Specialistii legati de sistemul de protectie trebuie sa inteleaga pe deplin principiile functionarii acestuia si, in cazul unor situatii dificile, sa le raspunda in mod adecvat.
• Întregul sistem de procesare a informațiilor trebuie protejat.
• Dezvoltatorii sistemului de securitate nu ar trebui să fie printre cei pe care acest sistem îi va controla.
• Sistemul de securitate trebuie să ofere dovezi ale corectitudinii activității sale.
• Cei implicați în securitatea informațiilor trebuie să fie trași la răspundere personal.
• Este recomandabil să împărțiți obiectele de protecție în grupuri, astfel încât încălcarea protecției într-unul dintre grupuri să nu afecteze securitatea celorlalți.
• Un sistem de securitate fiabil trebuie să fie pe deplin testat și aprobat.
• Protecția devine mai eficientă și mai flexibilă dacă permite administratorului să-și modifice parametrii.
• Un sistem de securitate ar trebui proiectat pornind de la presupunerea că utilizatorii vor face greșeli grave și, în general, vor avea cele mai rele intenții.
• Cele mai importante și critice decizii trebuie luate de oameni.
• Existența mecanismelor de securitate ar trebui să fie ascunsă pe cât posibil de utilizatorii a căror activitate este sub control.

Hardware și software pentru securitatea informațiilor

În ciuda faptului că sistemele de operare moderne pentru calculatoare personale, cum ar fi Windows 2000, Windows XP și Windows NT, au propriile subsisteme de protecție, relevanța creării de instrumente suplimentare de protecție rămâne. Faptul este că majoritatea sistemelor nu sunt capabile să protejeze datele în afara lor, de exemplu, în timpul schimbului de informații din rețea.

Hardware și software pentru securitatea informațiilor pot fi împărțite în cinci grupuri:

1. Sisteme de identificare (recunoaștere) și autentificare (autentificare) a utilizatorilor.
2. Sisteme de criptare a discurilor.
3. Sisteme de criptare pentru datele transmise prin rețele.
4. Sisteme electronice de autentificare a datelor.
5. Instrumente de gestionare a cheilor criptografice.

1. Sisteme de identificare și autentificare a utilizatorilor

Acestea sunt folosite pentru a restricționa accesul utilizatorilor ocazionali și ilegali la resursele sistemului informatic. Algoritmul general pentru funcționarea unor astfel de sisteme este de a obține de la utilizator informații care să-i dovedească identitatea, să verifice autenticitatea acesteia și apoi să ofere (sau să nu ofere) acestui utilizator capacitatea de a lucra cu sistemul.

La construirea acestor sisteme se pune problema alegerii informațiilor pe baza cărora sunt efectuate procedurile de identificare și autentificare a utilizatorilor. Se pot distinge următoarele tipuri:

• informații secrete deținute de utilizator (parolă, cheie secretă, identificator personal etc.); utilizatorul trebuie să-și amintească aceste informații sau se pot folosi mijloace speciale de stocare pentru aceasta;
• parametrii fiziologici ai unei persoane (amprentele digitale, desenul irisului ochiului etc.) sau comportamentul (particularitățile lucrului la tastatură etc.).

Sunt luate în considerare sistemele bazate pe primul tip de informații tradiţional... Sunt numite sisteme care utilizează al doilea tip de informații biometric... Trebuie remarcat faptul că există o tendință emergentă în dezvoltarea avansată a sistemelor de identificare biometrică.

2. Sisteme de criptare a discurilor

Pentru a face informația inutilă pentru inamic, se folosește un set de metode de transformare a datelor, numite criptografie[din greacă. criptos- ascuns și grapho- scris].

Sistemele de criptare pot efectua transformări criptografice ale datelor la nivel de fișier sau disc. Programele de primul tip includ arhivare precum ARJ și RAR, care permit utilizarea metodelor criptografice pentru a proteja fișierele de arhivă. Un exemplu de sisteme de al doilea tip este programul de criptare Diskreet, care face parte din popularul pachete software Norton Utilities, cea mai bună criptă.

O altă caracteristică de clasificare a sistemelor de criptare a discurilor este modul în care acestea funcționează. În funcție de metoda de funcționare, sistemul de criptare a datelor de pe disc este împărțit în două clase:

• sisteme transparente de criptare;
• sisteme special solicitate pentru criptare.

În sistemele transparente de criptare (criptare din mers), transformările criptografice sunt efectuate în timp real, neobservate de utilizator. De exemplu, un utilizator scrie un document pregătit într-un editor de text pe un disc protejat, iar sistemul de protecție îl criptează în timpul procesului de scriere.

Sistemele de clasa II sunt de obicei utilitare care trebuie apelate special pentru a realiza criptarea. Acestea includ, de exemplu, arhivele cu protecție încorporată prin parolă.

Majoritatea sistemelor care oferă setarea unei parole pentru un document nu criptează informațiile, ci oferă doar o cerere de parolă la accesarea documentului. Aceste sisteme includ MS Office, 1C și multe altele.

3. Sisteme de criptare a datelor transmise prin rețele

Există două metode principale de criptare: criptarea canalului și criptarea terminalului (abonatului).

Cand criptarea canalului toate informațiile transmise prin canalul de comunicație sunt protejate, inclusiv informațiile de serviciu. Această metodă de criptare are următorul avantaj - încorporarea procedurilor de criptare la nivelul de legătură de date permite utilizarea hardware-ului, ceea ce îmbunătățește performanța sistemului. Cu toate acestea, această abordare are și dezavantaje semnificative:

• criptarea datelor de serviciu complică mecanismul de rutare a pachetelor de rețea și necesită decriptarea datelor în dispozitivele intermediare de comunicație (gateway-uri, repetoare etc.);
• criptarea informațiilor de serviciu poate duce la apariția unor modele statistice în datele criptate, ceea ce afectează fiabilitatea protecției și impune restricții privind utilizarea algoritmilor criptografici.

Criptare end-to-end (abonat). vă permite să asigurați confidențialitatea datelor transferate între doi abonați. În acest caz, numai conținutul mesajelor este protejat, toate informațiile de serviciu rămân deschise. Dezavantajul este capacitatea de a analiza informații despre structura schimbului de mesaje, de exemplu, despre expeditor și destinatar, despre timpul și condițiile transferului de date, precum și despre cantitatea de date transferată.

4. Sisteme electronice de autentificare a datelor

La schimbul de date prin rețele, apare problema autentificării autorului documentului și a documentului în sine, adică. autentificarea autorului și verificarea absenței modificărilor în documentul primit. Pentru autentificarea datelor, se utilizează un cod de autentificare a mesajului (inserție de imitație) sau o semnătură electronică.

Inserție de imitație este generată din date deschise prin intermediul unei transformări speciale de criptare folosind o cheie secretă și transmisă printr-un canal de comunicare la sfârșitul datelor criptate. Inserarea imitatiei se verifica de catre destinatar, care detine cheia privata, prin repetarea procedurii efectuate anterior de expeditor asupra datelor publice primite.

Electronic semnatura digitala reprezintă o cantitate relativ mică de informații suplimentare de autentificare transmise cu textul semnat. Expeditorul formează o semnătură digitală folosind cheia secretă a expeditorului. Destinatarul verifică semnătura folosind cheia publică a expeditorului.

Astfel, pentru implementarea inserției de imitație se folosesc principiile criptării simetrice, iar pentru implementarea unei semnături electronice - asimetrică. Vom studia aceste două sisteme de criptare mai detaliat mai târziu.

5. Instrumente pentru gestionarea cheilor criptografice

Securitatea oricărui sistem criptografic este determinată de cheile criptografice utilizate. În cazul gestionării nesigure a cheilor, un atacator poate obține informații cheie și poate obține acces deplin la toate informațiile din sistem sau rețea.

Există următoarele tipuri de funcții de gestionare a cheilor: generarea, stocarea și distribuirea cheilor.

Modurile generatoare de chei pentru criptosistemele simetrice și asimetrice sunt diferite. Pentru a genera chei ale criptosistemelor simetrice, se utilizează hardware și software pentru generarea de numere aleatorii. Generarea cheilor pentru criptosistemele asimetrice este mai dificilă, deoarece cheile trebuie să aibă anumite proprietăți matematice. Să ne oprim asupra acestei probleme mai detaliat atunci când studiem criptosistemele simetrice și asimetrice.

Funcţie depozitare implică organizarea depozitării în condiții de siguranță, contabilității și eliminării informațiilor cheie. Pentru a asigura stocarea în siguranță a cheilor, acestea sunt criptate folosind alte chei. Această abordare duce la conceptul de ierarhie cheie. O ierarhie a cheilor include de obicei o cheie principală (adică o cheie principală), o cheie de criptare a cheii și o cheie de criptare a datelor. Trebuie remarcat faptul că generarea și stocarea cheii principale este o problemă critică în protecția cripto.

Distributie este cel mai critic proces în managementul cheilor. Acest proces trebuie să asigure secretul cheilor ce urmează a fi distribuite și trebuie să fie prompt și precis. Cheile sunt distribuite între utilizatorii rețelei în două moduri:

• utilizarea schimbului direct de chei de sesiune;
• folosind unul sau mai multe centre de distribuție cheie.

Lista documentelor

1. DESPRE SECRETUL DE STAT. Legea Federației Ruse din 21 iulie 1993 nr. 5485-1 (modificată prin Legea federală nr. 131-FZ din 6 octombrie 1997).
2. DESPRE INFORMAȚII, INFORMAȚII ȘI PROTECȚIA INFORMAȚIILOR. Legea federală a Federației Ruse din 20 februarie 1995 nr. 24-FZ. Adoptată de Duma de Stat la 25 ianuarie 1995.
3. PRIVIND PROTECȚIA LEGALĂ A PROGRAMELOR PENTRU CALCULATELE ELECTRONICE ȘI BAZELE DE DATE. Legea Federației Ruse din 23 septembrie 1992 nr. 3524-1.
4. DESPRE SEMNĂTURA ELECTRONICĂ DIGITALĂ. Legea federală a Federației Ruse din 10 ianuarie 2002 nr. 1-FZ.
5. PRIVIND DREPTURI DE AUTOR ȘI DREPTURI CONEXE. Legea Federației Ruse din 9 iulie 1993 nr. 5351-1.
6. DESPRE COMUNICAȚII ȘI ORGANELE DE INFORMAȚII GUVERNAMENTALE FEDERALE. Legea Federației Ruse (modificată prin Decretul președintelui Federației Ruse din 24 decembrie 1993 nr. 2288; Legea federală din 7 noiembrie 2000 nr. 135-FZ.
7. Reglementări privind acreditarea laboratoarelor de testare și a organismelor de certificare pentru produsele de securitate a informațiilor în conformitate cu cerințele de securitate a informațiilor / Comisia tehnică de stat sub președintele Federației Ruse.
8. Instrucțiuni privind procedura de marcare a certificatelor de conformitate, a copiilor lor și a mijloacelor de certificare de protecție a informațiilor / Comisia Tehnică de Stat sub președintele Federației Ruse.
9. Reglementări privind certificarea obiectelor de informatizare în conformitate cu cerințele de securitate a informațiilor / Comisia tehnică de stat sub președintele Federației Ruse.
10. Reglementări privind certificarea mijloacelor de securitate a informațiilor în conformitate cu cerințele de securitate a informațiilor: cu completări în conformitate cu Decretul Guvernului Federației Ruse din 26 iunie 1995 nr. 608 „Cu privire la certificarea mijloacelor de securitate a informațiilor” / Comisia Tehnică de Stat în conformitate cu președintele Federației Ruse.
11. Reglementări privind autorizarea de stat a activităților în domeniul protecției informațiilor / Comisia tehnică de stat sub președintele Federației Ruse.
12. Sisteme automatizate. Protecție împotriva accesului neautorizat la informații. Clasificarea sistemelor automate și cerințele pentru protecția informațiilor: document de orientare / Comisia tehnică de stat sub președintele Federației Ruse.
13. Conceptul de protecție a echipamentelor informatice și a sistemelor automate de accesul neautorizat la informații: document de orientare / Comisia tehnică de stat sub președintele Federației Ruse.
14. Dotări informatice. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații: document de orientare / Comisia tehnică de stat sub președintele Federației Ruse.
15. Dotări informatice. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații: document de orientare / Comisia tehnică de stat sub președintele Federației Ruse.
16. Protecția informațiilor. Semne speciale de protecție. Clasificare și cerințe generale: document de orientare / Comisia tehnică de stat sub președintele Federației Ruse.
17. Protecție împotriva accesului neautorizat la informații. Termeni și definiții: document de orientare / Comisia tehnică de stat sub președintele Federației Ruse.

Asigurarea securității informațiilor este o problemă complexă socio-socială, juridică, economică și științifică. Doar o soluție cuprinzătoare a scopurilor și obiectivelor sale simultan în mai multe planuri își va putea exercita influența de reglementare asupra asigurării securității informaționale a țării. Lucrările desfășurate în acest domeniu ar trebui să aibă nu doar un accent practic, ci și o bază științifică.

Principalele obiective ale asigurării securității informațiilor sunt determinate pe baza priorităților sustenabile ale securității naționale și economice care răspund intereselor pe termen lung ale dezvoltării sociale, care includ:

Păstrarea și întărirea statalității ruse și a stabilității politice în societate;

Conservarea și dezvoltarea instituțiilor democratice ale societății, asigurarea drepturilor și libertăților cetățenilor, întărirea statului de drept și a ordinii;

Asigurarea unui loc și rol demn al țării în comunitatea mondială;

Asigurarea integrității teritoriale a țării;

Asigurarea dezvoltării socio-economice progresive;

Păstrarea valorilor și tradițiilor culturale naționale.

În conformitate cu aceste priorități, principalele sarcini de asigurare a securității informațiilor sunt:

Identificarea, evaluarea și prognozarea surselor de amenințări la adresa securității informațiilor;

Elaborarea unei politici de stat pentru asigurarea securității informației, a unui set de măsuri și mecanisme de implementare a acesteia;

Dezvoltarea unui cadru de reglementare pentru asigurarea securității informațiilor, coordonarea activităților organismelor guvernamentale și a întreprinderilor pentru asigurarea securității informațiilor;

Dezvoltarea unui sistem de asigurare a securității informației, îmbunătățirea organizării acesteia, formele, metodele și mijloacele de prevenire, contracarare și neutralizare a amenințărilor la adresa securității informației și eliminarea consecințelor încălcării acesteia;

Asigurarea participării active a țării la procesele de creare a utilizării globale retelelor de informatiiși sisteme.

Cele mai importante principii ale securității informațiilor sunt:

1) legalitatea măsurilor de identificare și prevenire a infracțiunilor în sfera informațională;

2) continuitatea implementarii si imbunatatirii mijloacelor si metodelor de control si protectie a sistemului informatic;

3) fezabilitatea economică, adică comparabilitatea posibilelor daune și costurile asigurării securității informațiilor

4) complexitatea utilizării întregului arsenal de mijloace de protecție disponibile în toate diviziile companiei și în toate etapele procesului de informare.

Implementarea procesului de protecție a informațiilor cuprinde mai multe etape:

Determinarea obiectului de protecție: dreptul de a proteja resursa informațională, devizul de cost al resursei informaționale și principalele elemente ale acesteia, durata ciclului de viață al resursei informaționale, traiectoria procesului informațional de către diviziile funcționale ale companie;

Identificarea surselor de amenințări (concurenți, criminali, angajați etc.), a obiectivelor amenințărilor (familiarizare, modificare, distrugere etc.), a posibilelor canale de implementare a amenințărilor (dezvăluire, scurgere etc.);

Determinarea masurilor de protectie necesare;

Evaluarea eficacității și fezabilității economice a acestora;

Implementarea masurilor luate, tinand cont de criteriile selectate;

Comunicarea masurilor luate catre personal, monitorizarea eficacitatii acestora si eliminarea (prevenirea) consecintelor amenintarilor.

Implementarea etapelor descrise, de fapt, este un proces de gestionare a securității informaționale a unui obiect și este asigurată de un sistem de control care include, pe lângă obiectul controlat (protejat) însuși, mijloace de monitorizare a stării acestuia, un mecanism pentru compararea stării actuale cu cea necesară, precum și un mecanism de acțiuni de control pentru localizare și prevenirea daunelor cauzate de amenințări. În acest caz, este indicat să se considere realizarea unui minim de deteriorare a informaţiei drept criteriu de management, iar scopul managementului este asigurarea stării cerute a obiectului în sensul securităţii informaţionale a acestuia.

Metodele de securitate a informațiilor sunt împărțite în juridice, organizatorice și tehnice și economice.

LA metode legale asigurarea securității informației include elaborarea de acte normative care reglementează relațiile în sfera informațională și documente metodologice normative privind securitatea informațiilor. Cele mai importante domenii ale acestei activități sunt:

Modificări și completări la legislația care reglementează relațiile în domeniul securității informațiilor, în scopul creării și îmbunătățirii sistemului de securitate a informațiilor, eliminării contradicțiilor interne din legislația federală, contradicțiilor legate de acordurile internaționale, precum și în vederea concretizării normelor legale de stabilire a răspunderii. pentru infracțiuni în domeniul securității informațiilor;

Delimitarea legislativă a competențelor în domeniul asigurării definirii scopurilor, obiectivelor și mecanismelor de participare la această activitate a asociațiilor obștești, organizațiilor și cetățenilor;

Elaborarea și adoptarea actelor juridice de reglementare care stabilesc răspunderea persoanelor juridice și persoanelor fizice pentru accesul neautorizat la informații, copierea ilegală, denaturarea și utilizarea ilegală a acestora, difuzarea deliberată a informațiilor inexacte, dezvăluirea ilegală. informații confidențiale, utilizarea informațiilor oficiale sau a informațiilor care conțin secrete comerciale în scopuri criminale și mercenare;

Clarificarea statutului agențiilor de presă, mass-media și jurnaliștilor străine, precum și al investitorilor la atragerea investițiilor străine pentru dezvoltarea infrastructurii informaționale interne;

Consolidarea legislativă a priorității dezvoltării rețelelor naționale de comunicații și producției interne de sateliți de comunicații spațiale;

Determinarea statutului organizațiilor care furnizează servicii ale rețelelor globale de informații și comunicații și reglementarea legală a activităților acestor organizații;

Crearea unei baze legale pentru formarea structurilor regionale pentru asigurarea securității informației.

Organizatoric si tehnic metodele de securitate a informațiilor sunt:

Crearea și îmbunătățirea sistemului de securitate a informațiilor de stat;

Consolidarea activității de aplicare a legii a autorităților, inclusiv prevenirea și reprimarea infracțiunilor în sfera informațională, precum și identificarea, expunerea și urmărirea penală a persoanelor care au săvârșit infracțiuni și alte infracțiuni în acest domeniu;

Dezvoltarea, utilizarea și îmbunătățirea mijloacelor de securitate a informațiilor și a metodelor de monitorizare a eficacității acestor mijloace, dezvoltarea sistemelor de telecomunicații securizate, creșterea fiabilității software-ului special;

Crearea de sisteme și mijloace de prevenire a accesului neautorizat la informațiile prelucrate și a acțiunilor speciale care provoacă distrugerea, distrugerea, denaturarea informațiilor, precum și modificarea modurilor normale de funcționare a sistemelor și mijloacelor de informatizare și comunicare;

Dezvăluind dispozitive tehniceși programe care reprezintă o amenințare pentru funcționarea normală a sistemelor de informare și comunicații, împiedicând interceptarea informațiilor prin canale tehnice, utilizarea mijloacelor criptografice de protecție a informațiilor în timpul stocării, procesării și transmiterii acesteia prin canalele de comunicare, monitorizarea implementării cerințelor speciale pentru protecția informațiilor;

Certificarea mijloacelor de securitate a informațiilor, licențierea activităților în domeniul protecției secretului de stat, standardizarea metodelor și mijloacelor de securitate a informațiilor;

Îmbunătățirea sistemului de certificare pentru echipamentele de telecomunicații și software pentru sistemele automate de procesare a informațiilor în conformitate cu cerințele de securitate a informațiilor;

Controlul asupra acţiunilor personalului din sistemele informaţionale protejate, instruire în domeniul asigurării securităţii informaţionale a statului;

Formarea unui sistem de monitorizare a indicatorilor și caracteristicilor securității informațiilor în cele mai importante sfere ale vieții și activităților societății și ale statului.

Metode economice asigurarea securității informațiilor includ:

Elaborarea programelor de asigurare a securității informaționale a statului și determinarea procedurii de finanțare a acestora;

Îmbunătățirea sistemului de finanțare a lucrărilor legate de implementarea metodelor legale și organizatorice și tehnice de protecție a informațiilor, crearea unui sistem de asigurare a riscurilor informaționale ale persoanelor fizice și juridice.

Împreună cu utilizarea pe scară largă metode standardși fonduri pentru economie, domeniile prioritare pentru asigurarea securității informațiilor sunt:

Elaborarea și adoptarea prevederilor legale care stabilesc răspunderea persoanelor juridice și persoanelor fizice pentru accesul neautorizat și furtul de informații, diseminarea deliberată de informații inexacte, dezvăluirea secretelor comerciale, scurgerea de informații confidențiale;

Construirea unui sistem de raportare statistică de stat care să asigure fiabilitatea, completitudinea, comparabilitatea și securitatea informațiilor prin introducerea responsabilității legale stricte a surselor primare de informații, organizarea controlului efectiv asupra activităților acestora și asupra activităților serviciilor de prelucrare și analiză a informațiilor statistice, limitând comercializarea acesteia. , folosind mijloace organizatorice și software și hardware speciale de securitate a informațiilor;

Crearea și îmbunătățirea mijloacelor speciale de protecție a informațiilor financiare și comerciale;

Dezvoltarea unui set de măsuri organizatorice și tehnice pentru îmbunătățirea tehnologiei activitati de informareși protecția informațiilor în structuri economice, financiare, industriale și în alte structuri economice, ținând cont de cerințele de securitate a informațiilor specifice economiei;

Îmbunătățirea sistemului de selecție profesională și pregătire a personalului, sisteme de selecție, prelucrare, analiză și diseminare a informațiilor economice.

Politici publice asigurarea securității informațiilor formează direcțiile de activitate ale autorităților și administrației statului în domeniul asigurării securității informațiilor, inclusiv garanțiile drepturilor tuturor subiecților la informare, consolidarea atribuțiilor și responsabilităților statului și organelor sale pentru securitatea informațională a țării. , și se bazează pe menținerea unui echilibru de interese ale individului, societății și statului în sfera informațională.

Politica de securitate a informațiilor de stat se bazează pe următoarele prevederi de bază:

Restricționarea accesului la informații este o excepție de la principiul general al deschiderii informațiilor și se realizează numai pe baza legislației;

Responsabilitatea pentru siguranța informațiilor, clasificarea și declasificarea acesteia este personificată;

Accesul la orice informație, precum și restricțiile de acces impuse, se realizează ținând cont de drepturile de proprietate asupra acestor informații determinate de lege;

Formarea de către stat a unui cadru legal și de reglementare care reglementează drepturile, îndatoririle și responsabilitățile tuturor entităților care își desfășoară activitatea în sfera informațională;

Legal și indivizii colectarea, acumularea și prelucrarea datelor cu caracter personal și a informațiilor confidențiale sunt responsabile în fața legii pentru siguranța și utilizarea acestora;

Furnizarea statului de mijloace legale de protejare a societății împotriva informațiilor false, distorsionate și inexacte care vin prin mass-media;

Implementarea controlului de stat asupra creării și utilizării instrumentelor de securitate a informațiilor prin certificarea și autorizarea obligatorie a acestora a activităților din domeniul securității informațiilor;

Desfășurarea unei politici protecționiste a statului care sprijină activitățile producătorilor autohtoni de tehnologie a informației și protecția informațiilor și ia măsuri pentru protejarea pieței interne de pătrunderea media și a produselor informaționale de calitate scăzută;

Sprijin de stat pentru a oferi cetățenilor acces la resursele informaționale mondiale, la rețelele globale de informații,

Formarea de către stat a unui program federal de securitate a informațiilor care să unească eforturile organizatii guvernamentaleși structuri comerciale în crearea unui sistem unificat de securitate a informațiilor pentru țară;

Statul face eforturi pentru a contracara expansiunea informațională a altor țări, sprijină internaționalizarea rețelelor și sistemelor informaționale globale.

Pe baza principiilor și prevederilor enunțate se determină direcțiile generale de formare și implementare a politicii de securitate a informațiilor în sferele politice, economice și de altă natură ale activității statului.

Politica de stat ca mecanism de armonizare a intereselor subiecților relațiilor informaționale și găsirea de soluții de compromis prevede formarea și organizarea muncii eficiente a diferitelor consilii, comitete și comisii cu o largă reprezentare a specialiștilor și a tuturor structurilor interesate. Mecanismele de implementare a politicii de stat trebuie să fie flexibile și să reflecte în timp util schimbările care au loc în viața economică și politică a țării.

Susținerea juridică a securității informaționale a statului este un domeniu prioritar pentru formarea mecanismelor de implementare a politicii de securitate a informațiilor și include:

1) activități de reglementare pentru crearea legislației care reglementează relațiile în societate legate de asigurarea securității informațiilor;

2) activități executive și de drept pentru punerea în aplicare a legislației în domeniul informării, informatizării și protecției informațiilor de către autoritățile și conducerea statului, organizații, cetățeni.

Activitate normativăîn domeniul securității informațiilor oferă:

Evaluarea stării legislației actuale și elaborarea unui program de îmbunătățire a acesteia;

Crearea de mecanisme organizatorice și juridice pentru asigurarea securității informațiilor;

Formarea statutului juridic al tuturor subiecților din sistemul de securitate a informațiilor, utilizatorilor sistemelor informatice și de telecomunicații și determinarea răspunderii acestora pentru asigurarea securității informațiilor;

Dezvoltarea unui mecanism organizatoric și legal pentru colectarea și analiza datelor statistice privind impactul amenințărilor la securitatea informațiilor și consecințele acestora, luând în considerare toate tipurile de informații;

Elaborarea actelor legislative și a altor acte normative care reglementează procedura de eliminare a consecințelor impactului amenințărilor, restabilirea drepturilor și resurselor încălcate și implementarea măsurilor compensatorii.

Activități executive și de executare prevede elaborarea unor proceduri de aplicare a legislației și reglementărilor entităților care au comis infracțiuni și abateri atunci când lucrează cu informații confidențiale și au încălcat regulile de interacțiuni informaționale. Toate activitățile privind suportul juridic al securității informațiilor se bazează pe trei prevederi fundamentale ale legii: respectarea statului de drept, asigurarea unui echilibru între interesele subiecților individuali și ale statului și inevitabilitatea pedepsei.

Respectarea legii presupune existența legilor și a altor prevederi normative, aplicarea și executarea acestora de către subiecții de drept în domeniul securității informațiilor.

12.3. STAREA SECURITATII INFORMATIILOR IN RUSIA

Evaluarea stării securității informaționale a statului implică evaluarea amenințărilor existente. Clauza 2 din „Doctrina securității informațiilor din Federația Rusă” 1 identifică următoarele amenințări la adresa securității informațiilor din Federația Rusă:

Amenințări la adresa drepturilor și libertăților constituționale ale omului și cetățeanului în domeniul vieții spirituale și activităților de informare, conștiinței individuale, de grup și publice, renașterea spirituală a Rusiei;

Amenințări la adresa susținerii informaționale a politicii de stat a Federației Ruse;

Amenințări la adresa dezvoltării industriei informaționale interne, inclusiv a industriei informatizării, telecomunicațiilor și comunicațiilor, satisfacerea nevoilor pieței interne pentru produsele sale și intrarea acestor produse pe piața mondială, precum și asigurarea acumulării, conservării și utilizarea eficientă a resurselor informaționale interne;

__________________________________________________________________

Amenințări la adresa securității sistemelor informaționale și de telecomunicații, ambele deja implementate și create pe teritoriul Rusiei.

Sursele externe de amenințări la adresa securității informațiilor din Rusia includ:

1) activitățile structurilor politice, economice, militare, de informații și informații străine îndreptate împotriva Federației Ruse în sfera informațională;

2) dorința mai multor țări de a domina și de a încălca interesele Rusiei în spațiul informațional global, de a o îndepărta de pe piețele informaționale externe și interne;

3) agravarea competiției internaționale pentru deținerea de tehnologii și resurse informaționale;

4) activitățile organizațiilor teroriste internaționale;

5) creșterea decalajului tehnologic dintre principalele puteri ale lumii și consolidarea capacităților acestora de a contracara crearea de tehnologii informaționale competitive din Rusia;

6) activitățile spațiale, aeriene, maritime și terestre tehnice și alte mijloace (tipuri) de informații ale statelor străine;

7) dezvoltarea de către o serie de state a conceptelor de războaie informaționale, prevăzând crearea unor mijloace de influență periculoasă asupra sferelor informaționale ale altor țări ale lumii, perturbarea funcționării normale a sistemelor informaționale și de telecomunicații, siguranța informațiilor; resurse, obținând acces neautorizat la acestea.

Sursele interne de amenințări la adresa securității informațiilor din Rusia includ:

1) starea critică a industriilor autohtone;

2) o situație nefavorabilă a criminalității, însoțită de tendințe de contopire a structurilor de stat și criminale din sfera informațională, ca structurile criminale să aibă acces la informații confidențiale, să crească influența crimei organizate asupra vieții societății, să reducă gradul de protecție; a intereselor legitime ale cetățenilor, societății și statului în sfera informațională;

3) coordonarea insuficientă a activităților organelor federale ale puterii de stat, organelor puterii de stat ale entităților constitutive ale Federației Ruse în formarea și implementarea unei politici de stat unificate în domeniul asigurării securității informaționale a Federației Ruse;

4) elaborarea insuficientă a cadrului legal de reglementare care reglementează relațiile în sfera informațională, precum și practica insuficientă a legii;

5) subdezvoltarea instituțiilor societății civile și controlul insuficient asupra dezvoltării pieței informaționale din Rusia;

6) puterea economică insuficientă a statului;

7) scăderea eficienței sistemului de educație și formare, un număr insuficient de personal calificat în domeniul securității informaționale;

8) Rusia este în urmă față de țările lider ale lumii în ceea ce privește informatizarea organismelor guvernamentale federale, credit și finanțe, industrie, agricultură, educație, sănătate, servicii și viața de zi cu zi a cetățenilor.

În ultimii ani, Rusia a implementat un set de măsuri pentru a îmbunătăți asigurarea securității informațiilor sale. Au fost luate măsuri pentru asigurarea securității informațiilor în organismele guvernamentale federale, organismele guvernamentale ale entităților constitutive ale Federației Ruse, la întreprinderi, instituții și organizații, indiferent de forma de proprietate. Au fost demarate lucrări pentru crearea unui sistem securizat de informare și telecomunicații în scopuri speciale în interesul autorităților statului.

Sistemul de stat pentru protecția informațiilor, sistemul de protecție a secretelor de stat și sistemul de certificare pentru mijloacele de protecție a informațiilor contribuie la soluționarea cu succes a problemelor de asigurare a securității informaționale a Federației Ruse.

Structura sistem de stat protectia informatiilor sunt:

Organele puterii și administrației de stat ale Federației Ruse și entitățile constitutive ale Federației Ruse, soluționând problemele de asigurare a securității informațiilor în limitele competenței lor;

Comisiile și consiliile de stat și interdepartamentale specializate în probleme de securitate a informațiilor;

Comisia tehnică de stat sub președintele Federației Ruse;

Serviciul Federal de Securitate al Federației Ruse;

Ministerul Afacerilor Interne al Federației Ruse;

Ministerul Apărării al Federației Ruse;

Agenția Federală pentru Comunicații și Informații Guvernamentale sub președintele Federației Ruse;

Serviciul de Informații Externe al Federației Ruse;

Divizii structurale și intersectoriale pentru protecția informațiilor autorităților publice;

Conducerea și conducerea organizațiilor de cercetare, științifice și tehnice, de proiectare și inginerie pentru protecția informațiilor;

Unități de învățământ efectuarea de instruire si recalificare a personalului pentru munca in sistemul de securitate informatica.

Comisia Tehnică de Stat din subordinea Președintelui Federației Ruse, în calitate de organism guvernamental, implementează o politică tehnică unificată și coordonează activitatea în domeniul protecției informațiilor, conduce sistemul de stat pentru protecția informațiilor împotriva informațiilor tehnice și este responsabilă pentru asigurarea protecției. a informațiilor din scurgerea acesteia prin canalele tehnice pe teritoriul Rusiei, monitorizează eficacitatea măsurilor de protecție luate.

Un loc aparte în sistemul de securitate a informațiilor îl ocupă organizațiile de stat și publice care exercită controlul asupra activităților presei de stat și nestatale.

Până în prezent, a fost format un cadru legislativ și de reglementare în domeniul securității informațiilor în Rusia, care include:

1. Legile Federației Ruse:

Constituția Federației Ruse;

„Despre bănci și activități bancare”;

„Despre securitate”;

„Despre informații străine”;

„Despre secretele de stat”;

„Despre comunicare”;

„Cu privire la certificarea produselor și serviciilor”;

„Pe mass-media”;

„Despre standardizare”;

„Cu privire la informații, tehnologia informației și protecția informațiilor”;

„Despre organele Serviciului Federal de Securitate din Federația Rusă”;

„Pe copia obligatorie a actelor”;

„Cu privire la participarea la schimbul internațional de informații”;

„Semnătura digitală O6”, etc.

2. Acte normative ale președintelui Federației Ruse:

„Doctrina securității informațiilor a Federației Ruse”;

„Cu privire la Strategia de securitate națională a Federației Ruse până în 2020”;

„Cu privire la unele probleme ale comisiei interdepartamentale pentru ocrotirea secretului de stat”;

„Pe lista informațiilor clasificate ca secrete de stat”;

„Pe bazele politicii de stat în domeniul informatizării”;

„La aprobarea listei de informații confidențiale”, etc.

H. Acte juridice de reglementare ale Guvernului Federației Ruse:

„Cu privire la certificarea instrumentelor de securitate a informațiilor”;

„Cu privire la autorizarea activităților întreprinderilor, instituțiilor și organizațiilor pentru a desfășura activități legate de utilizarea informațiilor care constituie secret de stat, crearea de mijloace de protecție a informațiilor, precum și implementarea măsurilor și (sau) prestarea de servicii pentru protecția secretelor de stat”;

„Cu privire la aprobarea regulilor de clasificare a informațiilor care constituie secret de stat la diferite grade de secretizare”;

„Cu privire la licențierea anumitor tipuri de activități”, etc.

4. Documente directoare ale Comisiei Tehnice de Stat a Rusiei:

„Conceptul de protecție a echipamentelor informatice și a sistemelor automatizate de accesul neautorizat la informații”;

„Facilități de calculatoare. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații”;

„Sisteme automatizate. Protecție împotriva accesului neautorizat la informații. Clasificarea sistemelor automatizate și cerințe pentru protecția informațiilor”;

„Protecția informațiilor. Semne speciale de protecție. Clasificare și cerințe generale”;

„Protecție împotriva accesului neautorizat la informații. Partea 1. Software pentru securitatea informațiilor. Clasificarea în funcție de nivelul de control al absenței oportunităților nedeclarate”.

5. Codul civil al Federației Ruse (partea a patra).

6. Codul penal al Federației Ruse.

Cooperarea internațională în domeniul asigurării securității informațiilor este o parte integrantă a interacțiunii economice, politice, militare, culturale și de altă natură între țările comunității mondiale. O astfel de cooperare ar trebui să contribuie la îmbunătățirea securității informaționale a tuturor membrilor comunității mondiale, inclusiv a Rusiei. Particularitatea cooperării internaționale a Federației Ruse în domeniul securității informațiilor constă în faptul că se desfășoară în contextul unei concurențe internaționale intensificate pentru deținerea de instrumente tehnologice și resurse informaționale, pentru dominația pe piețele de vânzare, întărirea decalajului tehnologic dintre puterile lider ale lumii și construirea capacităților acestora de a crea „arme informaționale”. Acest lucru ar putea duce la o nouă etapă în dezvoltarea unei curse a înarmărilor în sfera informațională.

Cooperarea internațională în domeniul securității informațiilor se bazează pe următorul cadru de reglementare:

Acord cu Republica Kazahstan din 13 ianuarie 1995, cu Moscova (Decretul Guvernului Federației Ruse din 15 mai 1994 Nch 679);

Acordul cu Ucraina din 14 iunie 1996, Kiev (Rezoluția Guvernului Federației Ruse din 7 iunie 1996 Ns 655);

Acord cu Republica Belarus (proiect);

Eliberarea de certificate și licențe pentru schimbul internațional de informații (Legea federală din 4 iulie 1996, X 85-FZ).

Principalele domenii de cooperare internațională care răspund intereselor Federației Ruse sunt:

Prevenirea accesului neautorizat la informații confidențiale în rețelele și canalele bancare internaționale suport informativ comerțul mondial, la informații confidențiale din uniuni, blocuri și organizații economice și politice internaționale, la informații din organizațiile internaționale de aplicare a legii care luptă împotriva crimei internaționale organizate și terorismului internațional;

Interzicerea dezvoltării, proliferării și utilizării „armelor informaționale”;

Asigurarea securității schimbului internațional de informații, inclusiv a siguranței informațiilor în timpul transmiterii acestora prin rețelele naționale de telecomunicații și canalele de comunicații;

Coordonarea activităților organelor de drept ale statelor participante la cooperarea internațională în prevenirea infracțiunilor informatice;

Participarea la conferințe internaționaleși expoziții pe problema securității informațiilor.

În cursul cooperării, o atenție deosebită trebuie acordată problemelor de interacțiune cu țările CSI, ținând cont de perspectivele creării unui spațiu informațional unic pe teritoriul fostei URSS, în cadrul căruia sisteme de telecomunicații și linii de comunicații practic unificate. folosit.

În același timp, o analiză a stării securității informațiilor din Rusia arată că nivelul acesteia nu răspunde pe deplin nevoilor societății și ale statului. Condițiile actuale ale dezvoltării politice și socio-economice a țării determină o agravare a contradicțiilor dintre nevoile societății de extindere a liberului schimb de informații și necesitatea păstrării unor restricții reglementate privind difuzarea acestuia.

Drepturile cetățenilor la inviolabilitatea vieții private, la secretele personale și de familie și la confidențialitatea corespondenței, consacrate în Constituția Federației Ruse, nu au suficient suport juridic, organizatoric și tehnic. Protecția datelor cu caracter personal colectate de autoritățile guvernamentale federale este nesatisfăcătoare.

Există o lipsă de claritate în conduita politicii de stat în domeniul formării spațiului informațional rusesc, al dezvoltării sistemului mass-media, al organizării schimbului internațional de informații și al integrării spațiului informațional al Rusiei în mediul global. spațiu informațional, care creează condiții pentru îndepărtarea agențiilor de presă și mass-media ruse de pe piața internă a informațiilor și deformarea structurilor schimbului internațional de informații.

Nu există sprijin guvernamental insuficient pentru activitățile agențiilor de presă ruse de a-și promova produsele pe piața internațională a informațiilor.

Situația cu asigurarea securității informațiilor care constituie secret de stat se deteriorează.

Potențialul de personal al echipelor științifice și industriale care își desfășoară activitatea în domeniul realizării tehnologiei informației, telecomunicațiilor și comunicațiilor s-a produs serioase prejudicii, ca urmare a exodului în masă al celor mai calificați specialiști din aceste echipe.

Întârzierea tehnologiilor informaționale interne obligă autoritățile de stat ale Federației Ruse, atunci când creează sisteme informatice, să urmeze calea achiziționării de echipamente importate și atragerii de firme străine, ceea ce crește probabilitatea accesului neautorizat la informațiile prelucrate și crește dependența Rusiei de producătorii străini. de echipamente informatice și de telecomunicații, precum și de software.

În legătură cu introducerea intensivă a tehnologiilor informaționale străine în sferele de activitate ale individului, societății și statului, precum și cu utilizarea pe scară largă a sistemelor de informare și telecomunicații deschise, integrarea sistemelor informaționale interne și internaționale, amenințările de utilizarea „armelor informaționale” împotriva infrastructurii informaționale a Rusiei a crescut. Eforturile de a contracara în mod adecvat și cuprinzător aceste amenințări sunt derulate cu o coordonare insuficientă și o finanțare bugetară slabă.

Întrebări de control

1. Care este locul securității informaționale în sistemul de securitate economică al statului? Arătați prin exemple importanța securității informațiilor în asigurarea securității economice a statului?

2. Care este motivul creșterii importanței securității informațiilor în perioada modernă?

3. Descrieți principalele categorii de securitate a informațiilor: informație, informatizare, document, proces de informare, sistem informațional, resurse informaționale, date personale, informații confidențiale.

4. Care sunt interesele individului, societății și statului în sfera informațională?

5. Care sunt tipurile de amenințări la securitatea informațiilor?

6. Numiți modalitățile de impact al amenințărilor asupra obiectelor de securitate a informațiilor.

7. Explicați conceptul de „război informațional”.

8. Lista surse externe amenințări la adresa securității informațiilor din Rusia.

9. Enumerați sursele interne ale amenințărilor la adresa securității informațiilor din Rusia.

10. Ce reglementări asigură securitatea informațiilor pe teritoriul Federației Ruse?

11. Ce reglementări internaționale în domeniul protecției informațiilor cunoașteți?

12. Care este esența politicii de securitate a informațiilor de stat?

13. Enumeraţi metodele de asigurare a securităţii informaţiei.

14. Descrieți structura sistemului de protecție a informațiilor de stat

15. Oferiți o evaluare a stării securității informațiilor în Rusia.

Politica de securitate a informațiilor.

1. Dispoziții generale

Această politică de securitate a informațiilor ( Mai departe - Politică ) definește un sistem de opinii cu privire la problema asigurării securității informațiilor și reprezintă o declarație sistematică a scopurilor și obiectivelor, precum și a aspectelor organizatorice, tehnologice și procedurale de asigurare a securității informațiilor obiectelor de infrastructură informațională, inclusiv un set de informații; centrele, băncile de date și sistemele de comunicații ale organizației. Această politică a fost elaborată ținând cont de cerințele legislației actuale a Federației Ruse și de perspectivele pe termen scurt pentru dezvoltarea infrastructurii informaționale, precum și de caracteristicile și capacitățile metodelor organizaționale și tehnice moderne și hardware și software pentru protectia informatiilor.

Principalele prevederi și cerințe ale Politicii se aplică tuturor diviziilor structurale ale organizației.

Politica constituie o bază metodologică pentru formarea și implementarea unei politici unificate în domeniul asigurării securității informațiilor obiectelor de infrastructură informațională, luării deciziilor coordonate de management și dezvoltării măsurilor practice care vizează asigurarea securității informațiilor, coordonarea activităților diviziilor structurale ale organizatia atunci cand efectueaza lucrari de creare, dezvoltare si exploatare a obiectelor informatice.infrastructura cu respectarea cerintelor de securitate a informatiilor.

Politica nu reglementează aspectele de organizare a protecției spațiilor și de asigurare a siguranței și integrității fizice a componentelor infrastructurii informaționale, de protecție împotriva dezastrelor naturale și defecțiuni în sistemul de alimentare cu energie, cu toate acestea, implică construirea unui sistem de securitate a informațiilor. pe aceleaşi fundamente conceptuale ca şi sistemul de securitate al organizaţiei în ansamblu.

Implementarea politicii este asigurată de ghiduri, reglementări, proceduri, instrucțiuni, ghiduri adecvate și un sistem de evaluare a securității informațiilor în organizație.

Politica folosește următorii termeni și definiții:

sistem automatizat ( LA FEL DE) — un sistem format din personal și un complex de mijloace pentru automatizarea activităților acestora, care implementează tehnologia informației pentru îndeplinirea funcțiilor stabilite.

Infrastructura informațională- un sistem de structuri organizatorice care asigură funcţionarea şi dezvoltarea spaţiului informaţional şi a mijloacelor de interacţiune informaţională. Infrastructura informațională include un set de centre de informare, bănci de date și cunoștințe, sisteme de comunicații și oferă consumatorilor acces la resursele informaționale.

Resurse informative ( IR) - acestea sunt documente separate și rețele separate de documente, documente și rețele de documente în sistemele informaționale ( biblioteci, arhive, fonduri, baze de date și alte sisteme informaționale).

Sistem informatic (IP) - sistemul de procesare a informațiilor și resursele organizaționale aferente ( uman, tehnic, financiar etc.) care furnizează și difuzează informații.

Securitate - starea de protectie a intereselor ( obiective) organizații în fața amenințărilor.

Securitatea informațiilor ( IB) — securitatea legată de amenințările din sfera informațională. Securitatea se realizează prin asigurarea unui set de proprietăți IS - disponibilitatea, integritatea, confidențialitatea activelor informaționale. Prioritatea proprietăților IS este determinată de valoarea acestor active pentru dobânzi ( obiective) organizare.

Disponibilitatea activelor informaționale - proprietatea IS-ului unei organizații, care constă în faptul că activele informaționale sunt furnizate unui utilizator autorizat, și în forma și locul cerute de utilizator, precum și în momentul în care acesta are nevoie de ele.

Integritatea activelor informaționale - proprietatea securității informațiilor unei organizații de a menține neschimbate sau corecte modificări detectate în activele sale informaționale.

Confidențialitatea activelor informaționale - proprietatea securității informaționale a unei organizații, care constă în faptul că prelucrarea, stocarea și transferul activelor informaționale se realizează în așa fel încât activele informaționale să fie disponibile numai utilizatorilor autorizați, obiectelor de sistem sau proceselor.

Sistemul de securitate a informatiilor ( PENIŢĂ) — un set de măsuri de protecție, echipamente de protecție și procese de funcționare a acestora, inclusiv resurse și administrative ( organizatoric) prevedere.

Acces neautorizat- accesul la informații cu încălcarea atribuțiilor oficiale ale unui angajat, accesul la informațiile care este închisă accesului public de către persoane care nu au permisiunea de a accesa aceste informații sau să obțină acces la informații de către o persoană care are dreptul de a accesa aceste informații într-o sumă care depăşeşte suma necesară îndeplinirii atribuţiilor oficiale.

2. Cerințe generale pentru securitatea informațiilor

Cerințe de securitate a informațiilor ( Mai departe -IB ) determină conținutul și obiectivele activităților organizației în cadrul proceselor de management SI.

Aceste cerințe sunt formulate pentru următoarele domenii:

• atribuirea și distribuirea rolurilor și încrederea în personal;
• etapele ciclului de viață al obiectelor de infrastructură informațională;
• protectie impotriva accesului neautorizat ( Mai departe - NSD ), controlul accesului și înregistrarea în sisteme automate, în echipamente de telecomunicații și centrale telefonice automate etc.;
• protectie antivirus;
• utilizarea resurselor de internet;
• utilizarea mijloacelor de protecție a informațiilor criptografice;
• protectia datelor cu caracter personal.

3. Obiecte de protejat

Principalele obiecte care trebuie protejate sunt:

• resurse informaționale prezentate sub formă de documente și rețele de informații, indiferent de forma și tipul de prezentare a acestora, inclusiv informații confidențiale și deschise;
• sistem de formare, distribuire și utilizare a resurselor informaționale, biblioteci, arhive, baze de date și bănci de date, tehnologii informaționale, reglementări și proceduri de colectare, prelucrare, stocare și transmitere a informațiilor, personal tehnic și de servicii;
• infrastructura informaţională, inclusiv sisteme de prelucrare și analiză a informațiilor, hardware și software pentru prelucrarea, transmiterea și afișarea acesteia, inclusiv canalele de schimb de informații și de telecomunicații, sistemele și sistemele de securitate a informațiilor, instalațiile și spațiile în care se află componentele infrastructurii informaționale.

3.1. Caracteristicile sistemului automatizat

Informații de diferite categorii circulă în UA. Informațiile protejate pot fi partajate de diferiți utilizatori din subrețele diferite ale unei singure rețele corporative.

Un număr de subsisteme AS asigură interacțiunea cu extern ( de stat și comerciale, ruse și străine) organizații pe canale de comunicații comutate și dedicate care utilizează mijloace speciale de transmitere a informațiilor.

Complexul de mijloace tehnice al UA include mijloace de prelucrare a datelor ( stații de lucru, servere de baze de date, servere de mail etc.), mijloace de schimb de date în rețelele locale cu posibilitatea de a accesa rețele globale ( cablare, poduri, gateway-uri, modemuri etc.), precum si facilitati de depozitare ( incl. arhivare) date.

Principalele caracteristici ale funcționării UA includ:

• necesitatea de a combina un număr mare de mijloace tehnice diverse pentru prelucrarea și transmiterea informațiilor într-un singur sistem;
• o mare varietate de sarcini de rezolvat și tipuri de date prelucrate;
• combinarea informațiilor în diverse scopuri, apartenență și niveluri de confidențialitate în baze de date comune;
• disponibilitatea canalelor de conectare la rețele externe;
• continuitatea funcționării;
• prezența subsistemelor cu cerințe diferite în ceea ce privește nivelurile de securitate, unite fizic într-o singură rețea;
• varietate de categorii de utilizatori și personal de service.

În termeni generali, un singur AS este un ansamblu de rețele locale de subdiviziuni, interconectate prin intermediul telecomunicațiilor. Fiecare rețea locală reunește un număr de subsisteme automate interconectate și care interacționează ( site-uri tehnologice), asigurând soluționarea problemelor de către diviziile structurale individuale ale organizației.

Obiectele de informatizare includ:

• echipamente tehnologice ( facilitati informatice, echipamente de retea si cablu);
• resurse informaționale;
• software ( sisteme de operare, sisteme de gestionare a bazelor de date, sisteme generale și aplicații software);
• sisteme automate de comunicaţii şi transmisii de date (telecomunicaţii);
• canale de conectare;
• spatiu de birouri.

3.2. Tipuri de active informaționale ale organizației care trebuie protejate

Informații cu diferite niveluri de confidențialitate circulă în subsistemele AS ale organizației, conținând informații de distribuție limitată ( servicii, comerciale, date personale) și informații deschise.

Fluxul de documente al UA conține:

• ordine de plata si documente financiare;
• rapoarte ( financiar, analitic etc.);
• informații despre conturile personale;
• Informatii personale;
• alte informații cu distribuție limitată.

Toate informațiile care circulă în UA și conținute în următoarele tipuri de active informaționale sunt supuse protecției:

• informații care constituie un secret comercial și oficial, accesul la care este limitat de organizație, în calitate de proprietar al informațiilor, în conformitate cu Legea federală " Despre informare, informatizare si protectia informatiilor „Drepturi și lege federală” Despre secretele comerciale »;
• date personale, accesul la care este limitat în conformitate cu legea federală " Despre datele personale »;
• informații deschise, în ceea ce privește asigurarea integrității și disponibilității informațiilor.

3.3. Categorii de utilizatori ai sistemului automatizat

Organizația are un număr mare de categorii de utilizatori și personal de servicii, care trebuie să aibă competențe diferite pentru a accesa resursele informaționale ale UA:

• utilizatori obișnuiți ( utilizatori finali, angajați ai unităților organizaționale);
• administratori de server ( servere de fișiere, servere de aplicații, servere de baze de date), rețele locale și sisteme de aplicații;
• programatori de sistem ( responsabil pentru întreținerea software-ului general) pe serverele și stațiile de lucru ale utilizatorilor;
• dezvoltatori de software de aplicatii;
• specialişti în întreţinerea mijloacelor tehnice de tehnologie informatică;
• administratorii de securitate a informațiilor etc.

3.4. Vulnerabilitatea principalelor componente ale Sistemului Automatizat

Cele mai vulnerabile componente ale AU sunt stațiile de lucru în rețea - stațiile de lucru automatizate ( Mai departe - AWP ) muncitorii. Tentative de acces neautorizat la informații sau încercări de acțiuni neautorizate ( neintenționat și voit) într-o rețea de calculatoare. Încălcările configurației hardware și software ale stațiilor de lucru și interferența ilegală în procesele de funcționare a acestora pot duce la blocarea informațiilor, imposibilitatea rezolvării la timp a sarcinilor importante și eșecul stațiilor de lucru și subsistemelor individuale.

Elementele de rețea, cum ar fi serverele de fișiere dedicate, serverele de baze de date și serverele de aplicații au nevoie de protecție specială. Dezavantajele protocoalelor de schimb și ale mijloacelor de diferențiere a accesului la resursele serverului pot face posibil accesul neautorizat la informații protejate și pot influența funcționarea diferitelor subsisteme. În acest caz, încercările pot fi făcute ca telecomandă ( de la stațiile din rețea) și direct ( de pe consola serverului) impactul asupra funcționării serverelor și asupra protecției acestora.

Podurile, gateway-urile, hub-urile, routerele, comutatoarele și alte dispozitive de rețea, legăturile și comunicațiile au, de asemenea, nevoie de protecție. Ele pot fi folosite de intruși pentru a restructura și dezorganiza operațiunile de rețea, pentru a intercepta informațiile transmise, pentru a analiza traficul și pentru a implementa alte metode de interferență cu procesele de schimb de date.

4. Principii de bază ale securității informațiilor

4.1. Principii generale de funcționare în siguranță

• Promptitudinea detectării problemelor. Organizația ar trebui să identifice în timp util problemele care i-ar putea afecta obiectivele de afaceri.
• Previzibilitatea dezvoltării problemelor. Organizația trebuie să identifice relația cauzală a posibilelor probleme și să construiască pe această bază o prognoză exactă a dezvoltării acestora.
• Evaluarea impactului problemelor asupra obiectivelor afacerii. Organizația trebuie să evalueze în mod adecvat impactul problemelor identificate.
• Adecvarea măsurilor de protecție. Organizația ar trebui să selecteze măsuri de protecție adecvate modelelor de amenințări și infractori, ținând cont de costurile implementării unor astfel de măsuri și de cantitatea posibilelor pierderi din implementarea amenințărilor.
• Eficacitatea măsurilor de protecție. Organizația trebuie să pună în aplicare efectiv măsurile de protecție luate.
• Folosirea experienței în luarea și implementarea deciziilor. Organizația ar trebui să acumuleze, să generalizeze și să folosească atât propria experiență, cât și experiența altor organizații la toate nivelurile de luare a deciziilor și de implementare a acestora.
• Continuitatea principiilor de funcționare în siguranță. Organizația trebuie să asigure continuitatea implementării principiilor de funcționare în siguranță.
• Controlabilitatea măsurilor de protecție. Organizația ar trebui să aplice numai acele garanții care pot fi verificate ca funcționează corect, iar organizația ar trebui să evalueze în mod regulat caracterul adecvat al garanțiilor și eficacitatea implementării acestora, ținând cont de impactul garanțiilor asupra obiectivelor de afaceri ale organizației.

4.2. Principii speciale pentru asigurarea securității informațiilor

• Implementarea principiilor speciale de securitate a informațiilor are ca scop creșterea nivelului de maturitate al proceselor de management al securității informațiilor dintr-o organizație.
• Definiţia goals. Obiectivele funcționale și de securitate a informațiilor ale organizației ar trebui să fie definite în mod explicit într-un document intern. Incertitudinea duce la „ imprecizie”Structura organizatorică, rolurile personalului, politicile de securitate a informațiilor și imposibilitatea de a evalua caracterul adecvat al măsurilor de protecție luate.
• Cunoașterea clienților și angajaților dvs. Organizația trebuie să aibă informații despre clienții săi, să selecteze cu atenție personalul ( muncitorii), dezvolta și menține etica corporativă, care creează un mediu favorabil de încredere pentru activitățile organizației de gestionare a activelor.
• Personificarea și împărțirea adecvată a rolurilor și responsabilităților. Responsabilitatea oficialilor organizației pentru deciziile legate de activele acesteia ar trebui să fie personificată și îndeplinită în principal sub forma unei garanții. Ar trebui să fie adecvată gradului de influență asupra obiectivelor organizației, să fie fixată în politici, controlată și îmbunătățită.
• Adecvarea rolurilor la funcții și proceduri și comparabilitatea acestora cu criteriile și sistemul de evaluare. Rolurile ar trebui să reflecte în mod adecvat funcțiile îndeplinite și procedurile de implementare a acestora adoptate în organizație. Atunci când se atribuie roluri interdependente, trebuie luată în considerare succesiunea necesară a implementării acestora. Rolul trebuie să fie în concordanță cu criteriile de evaluare a eficacității implementării sale. Conținutul principal și calitatea rolului jucat sunt de fapt determinate de sistemul de evaluare aplicat acestuia.
• Disponibilitatea serviciilor si serviciilor. Organizația trebuie să asigure clienților și contractorilor săi disponibilitatea serviciilor și serviciilor în termenele stabilite stabilite prin acordurile relevante ( acorduri) și/sau alte documente.
• Observabilitatea și evaluarea securității informațiilor. Orice măsuri de protecție propuse trebuie concepute astfel încât efectul aplicării lor să fie clar vizibil, observabil ( transparent) și ar putea fi evaluat de o divizie a organizației cu autoritatea corespunzătoare.

5. Scopuri și obiective ale securității informațiilor

5.1. Subiectele relaţiilor informaţionale în Sistemul automatizat

Subiectele raporturilor juridice la utilizarea UA și asigurarea securității informațiilor sunt:

• Organizație ca proprietar al resurselor informaționale;
• subdiviziunile organizației care asigură funcționarea CNE;
• angajații diviziilor structurale ale organizației, în calitate de utilizatori și furnizori de informații în UA în conformitate cu funcțiile care le sunt atribuite;
• persoane juridice și persoane fizice, informații despre care sunt acumulate, stocate și prelucrate în SA;
• alte entități juridice și persoane fizice implicate în crearea și funcționarea UA ( dezvoltatori de componente de sistem, organizații implicate în furnizarea de diverse servicii în domeniul tehnologiei informației etc.).

Subiecții enumerați ai relațiilor de informare sunt interesați să asigure:

• confidențialitatea unei anumite informații;
• fiabilitate ( completitudine, acuratețe, adecvare, integritate) informație;
• protecție împotriva impunerii false ( nesigur, distorsionat) informație;
• accesul în timp util la informațiile necesare;
• diferențierea răspunderii pentru încălcarea drepturilor legale ( interese) alte subiecte ale relaţiilor informaţionale şi regulile stabilite de prelucrare a informaţiilor;
• posibilitatea monitorizării și gestionării continue a proceselor de prelucrare și transmitere a informațiilor;
• protejarea unei părți a informațiilor de replicarea ilegală a acesteia ( protecția drepturilor de autor, drepturile proprietarului informațiilor etc.).

5.2. Obiectivul de securitate a informațiilor

Scopul principal al asigurării securității informațiilor este acela de a proteja subiecții relațiilor informaționale de eventualele daune materiale, morale sau de altă natură aduse acestora prin intervenția accidentală sau deliberată neautorizată în procesul de funcționare a UA sau accesul neautorizat la informațiile care circulă în aceasta și ilegale ale acestora. utilizare.

Acest obiectiv este atins prin asigurarea și întreținerea constantă a următoarelor proprietăți ale informațiilor și a unui sistem automatizat de prelucrare a acesteia:

• disponibilitatea informațiilor prelucrate pentru utilizatorii înregistrați;
• confidențialitatea unei anumite părți a informațiilor stocate, prelucrate și transmise prin canale de comunicare;
• integritatea și autenticitatea informațiilor stocate, procesate și transmise prin canalele de comunicare.

5.3. Obiectivele de securitate a informațiilor

Pentru a atinge obiectivul principal de asigurare a securității informațiilor, sistemul de securitate a informațiilor NPP trebuie să ofere o soluție eficientă pentru următoarele sarcini:

• protecția împotriva interferenței în procesul de funcționare a UA de către persoane neautorizate;
• diferențierea accesului utilizatorilor înregistrați la resursele hardware, software și informaționale ale UA, adică protecția împotriva accesului neautorizat;
• înregistrarea acțiunilor utilizatorilor la utilizarea resurselor AS protejate în jurnalele de sistem și controlul periodic al corectitudinii acțiunilor utilizatorilor sistemului prin analizarea conținutului acestor jurnale de către specialiști din departamentele de securitate;
• protecție împotriva modificărilor neautorizate și controlul integrității ( asigurarea imuabilităţii) mediul de execuție a programelor și restabilirea acestuia în caz de încălcare;
• protecția împotriva modificărilor neautorizate și controlul integrității software-ului utilizat în UA, precum și protecția sistemului împotriva introducerii de programe neautorizate, inclusiv viruși informatici;
• protecția informațiilor împotriva scurgerilor prin canale tehnice în timpul prelucrării, stocării și transmiterii acesteia prin canale de comunicare;
• protecția informațiilor stocate, prelucrate și transmise prin canalele de comunicare împotriva dezvăluirii sau denaturării neautorizate;
• Furnizarea de autentificare a utilizatorilor care participă la schimbul de informații;
• asigurarea supraviețuirii instrumentelor de protecție a informațiilor criptografice atunci când o parte a sistemului de chei este compromisă;
• identificarea în timp util a surselor de amenințări la adresa securității informațiilor, a cauzelor și condițiilor care contribuie la deteriorarea subiecților interesați ai relațiilor informaționale, crearea unui mecanism de răspuns prompt la amenințările la adresa securității informațiilor și tendințele negative;
• crearea condițiilor pentru minimizarea și localizarea daunelor cauzate de acțiunile ilegale ale persoanelor fizice și juridice, slăbirea impactului negativ și eliminarea consecințelor încălcării securității informațiilor.

5.4. Modalități de rezolvare a problemelor de securitate a informațiilor

Soluționarea problemelor de securitate a informațiilor se realizează:

• contabilizarea strictă a tuturor resurselor sistemului supuse protecției ( informații, sarcini, canale de comunicare, servere, AWP);
• reglementarea proceselor de prelucrare a informațiilor și a acțiunilor angajaților diviziilor structurale ale organizației, precum și a acțiunilor personalului care efectuează întreținerea și modificarea software-ului și hardware-ului centralei nucleare, pe baza documentelor organizatorice și administrative privind securitatea informației;
• completitudinea, fezabilitatea reală și coerența cerințelor documentelor organizatorice și administrative privind securitatea informațiilor;
• numirea și instruirea angajaților responsabili cu organizarea și implementarea măsurilor practice de asigurare a securității informațiilor;
• imputernicirea fiecarui salariat cu minimul necesar acestuia pentru a-si indeplini atributiile functionale cu autoritate de acces la resursele centralei nucleare;
• cunoașterea clară și respectarea strictă de către toți angajații care utilizează și întrețin hardware-ul și software-ul centralei nucleare, a cerințelor documentelor organizatorice și administrative privind securitatea informațiilor;
• responsabilitatea personală pentru acțiunile sale a fiecărui angajat care participă, în cadrul atribuțiilor sale funcționale, la procesele de prelucrare automată a informațiilor și are acces la resursele UA;
• implementarea proceselor tehnologice de prelucrare a informațiilor folosind complexe de măsuri organizatorice și tehnice pentru protejarea software-ului, hardware-ului și datelor;
• adoptarea de măsuri eficiente pentru asigurarea integrității fizice a echipamentelor tehnice și menținerea continuă a nivelului necesar de protecție a componentelor CNE;
• aplicarea tehnicilor ( software și hardware) mijloace de protejare a resurselor sistemului și suport administrativ continuu pentru utilizarea acestora;
• delimitarea fluxurilor de informații și interzicerea transmiterii informațiilor de distribuție limitată prin canale de comunicare neprotejate;
• control eficient asupra conformității de către angajați cu cerințele de securitate a informațiilor;
• monitorizare constantă resursele rețelei, identificarea vulnerabilităților, detectarea în timp util și neutralizarea amenințărilor externe și interne la securitatea unei rețele de calculatoare;
• protecția juridică a intereselor organizației împotriva acțiunilor ilegale în domeniul securității informațiilor.
• efectuarea unei analize continue a eficacității și suficienței măsurilor luate și a mijloacelor de protecție a informațiilor utilizate, elaborarea și implementarea propunerilor de îmbunătățire a sistemului de protecție a informațiilor din centrala nucleară.

6 amenințări la securitatea informațiilor

6.1. Amenințările la securitatea informațiilor și sursele acestora

Cele mai periculoase amenințări la adresa securității informațiilor procesate într-o centrală nucleară sunt:

• încălcarea confidențialității ( dezvăluire, scurgere) informații care constituie un secret oficial sau comercial, inclusiv datele personale;
• funcționare defectuoasă ( dezorganizarea muncii) AU, blocarea informațiilor, încălcarea proceselor tehnologice, perturbarea soluționării la timp a problemelor;
• încălcarea integrității ( denaturare, înlocuire, distrugere) informații, software și alte resurse ale UA.

Principalele surse de amenințări la adresa securității informațiilor NPP sunt:

• evenimente adverse cu caracter natural și provocate de om;
• terorişti, criminali;
• infractorii informatici care efectuează acțiuni distructive vizate, inclusiv utilizarea virușii informaticiși alte tipuri de coduri și atacuri rău intenționate;
• furnizori de software și hardware, consumabile, servicii etc.;
• antreprenori care execută instalarea, punerea în funcțiune a echipamentelor și repararea acestora;
• nerespectarea cerințelor organismelor de supraveghere și reglementare, legislația în vigoare;
• defecțiuni, defecțiuni, distrugerea/deteriorarea software-ului și hardware-ului;
• angajații care sunt participanți legali la procesele din UA și acționează în afara sferei de aplicare a competențelor acordate;
• angajații care sunt participanți legali la procesele din UA și acționează în cadrul competențelor acordate.

6.2. Acțiuni neintenționate care conduc la o încălcare a securității informațiilor și măsuri de prevenire a acestora

Angajații organizației care au acces direct la procesele de prelucrare a informațiilor din UA sunt o sursă potențială de acțiuni accidentale neintenționate care pot duce la o încălcare a securității informațiilor.

Acțiuni majore neintenționate care conduc la o încălcare a securității informațiilor (acțiuni efectuate de oameni accidental, din ignoranță, neatenție sau neglijență, din curiozitate, dar fără intenție rău intenționată)) și sunt date măsuri de prevenire a unor astfel de acțiuni și de minimizare a pagubelor pe care le provoacă tabelul 1.

tabelul 1

Principalele acțiuni care conduc la o încălcare a securității informațiilor
Acțiuni ale angajaților care duc la defecțiuni parțiale sau complete ale sistemului sau la întreruperea performanței hardware sau software; deconectarea echipamentelor sau schimbarea modurilor de funcționare a dispozitivelor și programelor; distrugerea resurselor informaționale ale sistemului ( deteriorarea neintenționată a echipamentelor, ștergerea, denaturarea programelor sau fișierelor din Informații importante, inclusiv cele de sistem, deteriorarea canalelor de comunicare, deteriorarea neintenționată a purtătorilor de informații etc.)	Măsuri organizatorice ( ). Utilizarea mijloacelor fizice pentru a preveni comiterea involuntară a unei încălcări. Aplicarea tehnicilor ( hardware și software) mijloace de diferențiere a accesului la resurse. Rezervarea resurselor critice.
Lansarea neautorizată a programelor care, dacă sunt utilizate incompetent, pot cauza o pierdere a performanței sistemului ( îngheață sau bucle) sau efectuarea de modificări ireversibile în sistem ( formatarea sau restructurarea mediilor de stocare, ștergerea datelor etc.)	Măsuri organizatorice ( eliminarea tuturor programelor potențial periculoase de pe stația de lucru). Aplicarea tehnicilor ( hardware și software) mijloace de diferențiere a accesului la programe de pe stația de lucru.
Introducerea și utilizarea neautorizată a programelor neînregistrate ( jocuri, instruire, tehnologice și altele care nu sunt necesare angajaților pentru a-și îndeplini atribuțiile oficiale) cu risipa ulterioară nerezonabilă a resurselor ( timp procesor, memorie cu acces aleatoriu, memorie pe suport extern etc.)	Măsuri organizatorice ( impunerea de interdicții). Aplicarea tehnicilor ( hardware și software) înseamnă prevenirea introducerii și utilizării neautorizate a programelor neînregistrate.
Infectarea neintenționată cu virusuri a computerului dvs	Măsuri organizatorice ( reglementarea acțiunilor, introducerea interdicțiilor). masuri tehnologice ( utilizarea de programe speciale pentru detectarea și distrugerea virușilor). Utilizarea instrumentelor hardware și software care previn infectarea cu viruși informatici.
Dezvăluirea, transferul sau pierderea atributelor de control al accesului ( parole, chei de criptare sau semnătură electronică, cărți de identitate, permise etc.)	Măsuri organizatorice ( reglementarea acțiunilor, introducerea interdicțiilor, întărirea responsabilității). Utilizarea mijloacelor fizice pentru a asigura siguranța detaliilor specificate.
Ignorarea constrângerilor organizaționale ( regulile stabilite) când lucrați în sistem	Măsuri organizatorice ( ). Utilizarea mijloacelor fizice și tehnice suplimentare de protecție.
Utilizarea incompetentă, reglarea sau dezactivarea necorespunzătoare a echipamentului de protecție de către personalul de securitate	Măsuri organizatorice ( instruirea personalului, întărirea responsabilităţii şi controlului).
Introducerea datelor eronate	Măsuri organizatorice ( responsabilitate și control sporit). Măsuri tehnologice de control al erorilor operatorilor de introducere a datelor.

6.3. Acțiuni intenționate pentru a încălca securitatea informațiilor și măsuri de prevenire a acestora

Acțiuni intenționate de bază ( în scopuri egoiste, sub constrângere, din dorința de a se răzbuna etc.), care conduc la o încălcare a securității informaționale a centralei nucleare, iar măsurile de prevenire a acestora și de reducere a eventualelor daune produse sunt date în masa 2.

masa 2

Principalele acțiuni intenționate care conduc la o încălcare a securității informațiilor	Măsuri pentru prevenirea amenințărilor și minimizarea daunelor
Distrugerea fizică sau incapacitatea tuturor sau a unora dintre cele mai importante componente ale unui sistem automatizat ( dispozitive, purtători de importante informatii despre sistem, personalul etc.), dezactivarea sau dezactivarea subsistemelor pentru a asigura funcționarea sistemelor de calcul ( sursa de alimentare, linii de comunicatie etc.)	Măsuri organizatorice ( reglementarea acțiunilor, introducerea interdicțiilor). Utilizarea mijloacelor fizice pentru a preveni comiterea deliberată a unei încălcări. Rezervarea resurselor critice.
Introducerea agenților în numărul de personal al sistemului ( inclusiv grupul administrativ responsabil cu securitatea), recrutare ( prin luare de mită, șantaj, amenințări etc.) utilizatorii care au anumite drepturi de acces la resurse protejate	Măsuri organizatorice ( selecția, plasarea și lucrul cu personalul, întărirea controlului și responsabilității). Înregistrarea automată a acțiunilor personalului.
Furtul de purtători de informații ( tipărituri, discuri magnetice, benzi, dispozitive de stocare și computere întregi), furtul deșeurilor industriale ( tipărite, înregistrări, suporturi aruncate etc.)	Măsuri organizatorice ( ).
Copierea neautorizată a suporturilor de informații, citirea informațiilor reziduale din memoria cu acces aleatoriu și de pe dispozitivele de stocare externe	Măsuri organizatorice ( organizarea stocării și utilizării mediilor cu informații protejate). Aplicarea mijloacelor tehnice de delimitare a accesului la resursele protejate și înregistrarea automată a primirii copiilor pe hârtie a documentelor.
Primirea ilegală a parolelor și a altor detalii de control al accesului ( prin mijloace sub acoperire, folosind neglijența utilizatorilor, prin selecție, prin imitarea interfeței sistemului cu marcaje software etc.) cu deghizarea ulterioară în utilizator înregistrat.	Măsuri organizatorice ( reglementarea acțiunilor, introducerea interdicțiilor, lucrul cu personalul). Utilizarea mijloacelor tehnice care împiedică implementarea programelor de interceptare a parolelor, cheilor și altor detalii.
Utilizarea neautorizată a AWP-urilor pentru utilizatorii cu caracteristici fizice unice, cum ar fi numărul stației de lucru din rețea, adresa fizică, adresa din sistemul de comunicații, unitatea de criptare hardware etc.	Măsuri organizatorice ( reglementarea strictă a accesului la spații și a admiterii la lucru în aceste AWP). Aplicarea mijloacelor fizice și tehnice de control al accesului.
Modificarea neautorizată a software-ului - introducerea software-ului „marcaje” și „viruși” ( Cai troieni și bug-uri), adică astfel de secțiuni de programe care nu sunt necesare pentru implementarea funcțiilor declarate, dar care permit depășirea sistemului de protecție, accesarea secretă și ilegală a resurselor sistemului în vederea înregistrării și transferului de informații protejate sau dezorganizarea funcționării sistemului. sistem	Măsuri organizatorice ( reglementare strictă a admiterii la muncă). Utilizarea mijloacelor fizice și tehnice de diferențiere a accesului și prevenirea modificării neautorizate a configurației hardware și software a AWP. Aplicarea instrumentelor de control al integrității software.
Interceptarea datelor transmise prin canalele de comunicare, analiza acestora în vederea obținerii de informații confidențiale și clarificării protocoalelor de schimb, regulilor de intrare în rețea și autorizarea utilizatorilor, cu încercări ulterioare de imitare a acestora pentru a pătrunde în sistem	Protecția fizică a canalelor de comunicare. Aplicarea mijloacelor de protecție criptografică a informațiilor transmise.
Imixtiune în procesul de funcționare a sistemului din rețelele publice în scopul modificării neautorizate a datelor, accesul la informații confidențiale, dezorganizarea funcționării subsistemelor etc.	Măsuri organizatorice ( reglementarea racordarii si functionarii in retelele publice). Utilizarea mijloacelor tehnice speciale de protecție ( firewall-uri, controale de securitate și detectarea atacurilor asupra resurselor sistemului etc.).

6.4. Scurgeri de informații prin canale tehnice

În timpul funcționării echipamentelor tehnice NPP, sunt posibile următoarele canale de scurgere sau încălcare a integrității informațiilor, perturbarea performanței echipamentelor tehnice:

• radiația electromagnetică laterală a unui semnal informativ de la mijloace tehnice și linii de transmisie a informațiilor;
• interceptarea unui semnal informativ, procesat prin intermediul calculatoarelor electronice, la fire și linii care depășesc zona controlată a birourilor, incl. pe circuitele de împământare și alimentare;
• diverse dispozitive electronice pentru interceptarea informațiilor ( incl. „Marcaje”) conectat la canale de comunicare sau mijloace tehnice de prelucrare a informațiilor;
• vizualizarea informațiilor de pe ecrane de afișare și alte mijloace de afișare a acestora folosind mijloace optice;
• impact asupra hardware-ului sau software-ului pentru a încălca integritatea ( distrugere, denaturare) informațiile, operabilitatea mijloacelor tehnice, mijloacele de securitate a informațiilor și oportunitatea schimbului de informații, inclusiv electromagnetice, prin instrumente electronice și software special implementate ( „Marcaje”).

Ținând cont de specificul prelucrării și asigurării securității informațiilor, amenințarea cu scurgerea informațiilor confidențiale ( inclusiv datele personale) prin canale tehnice sunt irelevante pentru organizație.

6.5. Modelul informal al unui posibil intrus

Un infractor este o persoană care a încercat să efectueze operațiuni interzise ( acțiune) din greșeală, ignoranță sau intenționat cu răutate ( din interese personale) sau fără ea ( de dragul jocului sau al plăcerii, în scopul autoafirmării etc.) și folosind diverse posibilități, metode și mijloace pentru aceasta.

Sistemul de protecție a NPP ar trebui să se bazeze pe ipoteze despre următoarele tipuri posibile de infractori din sistem ( luând în considerare categoria de persoane, motivație, calificări, disponibilitatea mijloacelor speciale etc.):

• « Utilizator neexperimentat (neatent).»- un angajat care poate încerca să efectueze operațiuni interzise, ​​să acceseze resursele protejate ale UA peste puterile sale, să introducă date incorecte etc. acțiuni din greșeală, incompetență sau neglijență fără intenție rău intenționată și folosind doar standard ( la dispoziţia lui) hardware și software.
• « Iubit„- un angajat care încearcă să depășească sistemul de apărare fără scopuri egoiste și intenții rău intenționate, pentru autoafirmare sau din” interes sportiv". Pentru a depăși sistemul de protecție și a comite acțiuni interzise, ​​el poate folosi metode diferite obținerea de autoritate suplimentară pentru a accesa resurse ( nume, parole etc. alți utilizatori), deficiențe în construcția sistemului de protecție și personal disponibil ( instalat pe stația de lucru) programe ( acțiuni neautorizate prin depășirea autorității lor de a folosi mijloacele permise). În plus, el poate încerca să folosească software instrumental și tehnologic suplimentar non-standard ( depanatoare, utilitare utilitare), programe dezvoltate independent sau mijloace tehnice suplimentare standard.
• « Escrocher„- un angajat care poate încerca să efectueze operațiuni tehnologice ilegale, să introducă date false și acțiuni similare în scopuri egoiste, sub constrângere sau din intenție rău intenționată, dar folosind numai obișnuit ( instalat pe stația de lucru și disponibil pentru aceasta) hardware și software în nume propriu sau în numele altui angajat ( cunoașterea numelui și a parolei, folosirea absenței sale de scurtă durată de la locul de muncă etc.).
• « Intrus extern (intrus)„- un străin sau un fost angajat care acționează intenționat din interese egoiste, din răzbunare sau curiozitate, eventual în colaborare cu ceilalți. El poate folosi întregul set de metode de încălcare a securității informațiilor, metode și mijloace de spargere a sistemelor de securitate tipice rețelelor publice ( în special rețelele bazate pe IP), inclusiv implementarea de la distanță a marcajelor software și utilizarea unor programe instrumentale și tehnologice speciale, folosind punctele slabe existente ale protocoalelor de schimb și sistemul de protecție a nodurilor rețelei AS a organizației.
• « Atacator intern»- un angajat înregistrat ca utilizator al sistemului, care acționează intenționat din interese egoiste sau răzbunare, eventual în colaborare cu persoane care nu sunt angajați ai organizației. El poate folosi întreaga gamă de metode și mijloace de piratare a sistemului de securitate, inclusiv metode sub acoperire de obținere a detaliilor de acces, mijloace pasive (mijloace tehnice de interceptare fără modificarea componentelor sistemului), metode și mijloace de influență activă ( modificarea mijloacelor tehnice, conectarea la canalele de transmisie a datelor, introducerea de marcaje software și utilizarea unor programe instrumentale și tehnologice speciale), precum și o combinație de influențe atât din interior, cât și din rețelele publice.

Un insider poate fi o persoană din următoarele categorii de personal:

• utilizatori finali înregistrați ai AU ( angajaţii diviziilor şi filialelor);
• lucrătorilor nu au voie să lucreze cu UA;
• personalul care deservește mijloacele tehnice ale centralei nucleare ( ingineri, tehnicieni);
• angajații departamentelor de dezvoltare și întreținere software ( programatori de aplicații și de sistem);
• personalul tehnic care deservește clădirile și sediile organizației ( curățătorii, electricienii, instalatorii și alți lucrători care au acces la clădirile și spațiile în care sunt amplasate componentele difuzoarelor);
• lideri de diferite niveluri.

• lucrători disponibilizați;
• reprezentanți ai organizațiilor care interacționează pe probleme de asigurare a vieții organizației ( energie, apă, căldură etc.);
• reprezentanți ai firmelor furnizoare de echipamente, software, servicii etc.;
• membri ai organizațiilor criminale și structuri comerciale concurente sau persoane care acționează în numele acestora;
• persoane care au intrat accidental sau deliberat în rețea din rețele externe ( "Hackeri").

Utilizatorii și personalul de întreținere din rândul lucrătorilor au cele mai ample oportunități de a efectua acțiuni neautorizate, datorită autorității lor certe de a accesa resurse și cunoștințe bune tehnologiile de prelucrare a informaţiei. Acțiunile acestui grup de infractori sunt direct legate de încălcarea regulilor și reglementărilor existente. Acest grup de infractori este deosebit de periculos atunci când interacționează cu structuri criminale.

Lucrătorii concediați își pot folosi cunoștințele despre tehnologia muncii, măsurile de protecție și drepturile de acces pentru a-și atinge obiectivele.

Structurile criminale reprezintă cea mai agresivă sursă de amenințări externe. Pentru a-și implementa planurile, aceste structuri pot încălca în mod deschis legea și pot implica angajații organizației în activitățile lor prin toate forțele și mijloacele disponibile.

Hackerii au cele mai înalte calificări tehnice și cunoștințe despre punctele slabe ale software-ului utilizat în UA. Ele reprezintă cea mai mare amenințare atunci când interacționează cu lucrătorii care lucrează sau disponibilizați și cu structurile criminale.

Organizațiile angajate în dezvoltarea, furnizarea și repararea echipamentelor și a sistemelor informaționale reprezintă o amenințare externă datorită faptului că din când în când au acces direct la resursele informaționale. Structurile criminale pot folosi aceste organizații pentru angajarea temporară a membrilor lor pentru a obține acces la informații protejate.

7. Politica tehnica in domeniul securitatii informatiei

7.1. Principalele prevederi ale politicii tehnice

Implementarea politicii tehnice în domeniul securității informațiilor trebuie să plece de la premisa că este imposibil să se asigure nivelul necesar de securitate a informațiilor nu numai cu ajutorul unui mijloc separat ( activitate), dar și cu ajutorul combinației lor simple. Coordonarea lor sistemică între ele este necesară ( aplicație complexă), iar elementele individuale ale UA în curs de dezvoltare ar trebui considerate ca parte a unui sistem informațional unificat într-un design protejat cu raport optim tehnic ( hardware, software) fonduri și măsuri organizatorice.

Principalele direcții de implementare a politicii tehnice de asigurare a securității informațiilor CNE sunt asigurarea protecției resurselor informaționale împotriva furtului, pierderii, scurgerilor, distrugerii, denaturării sau contrafacerii datorate accesului neautorizat și acțiunilor speciale.

În cadrul direcțiilor indicate ale politicii tehnice de asigurare a securității informațiilor se realizează următoarele:

• implementarea unui sistem de autorizare pentru admiterea artiștilor interpreți ( utilizatori, personal de service) la lucrări, documente și informații cu caracter confidențial;
• restricționarea accesului artiștilor interpreți sau executanți și al persoanelor neautorizate la clădirile și spațiile în care se desfășoară lucrări cu caracter confidențial și sunt amplasate mijloacele de informare și comunicare pe care ( stocat, transmis) informații cu caracter confidențial, direct către chiar mijloacele de informare și comunicare;
• diferențierea accesului utilizatorilor și personalului de servicii la resursele informaționale, software-ul pentru prelucrarea și protejarea informațiilor în subsisteme de diferite niveluri și scopuri incluse în UA;
• înregistrarea documentelor, matricelor de informații, înregistrarea acțiunilor utilizatorilor și personalului de service, controlul accesului și acțiunilor neautorizate ale utilizatorilor, personalului de service și persoanelor neautorizate;
• prevenirea introducerii de programe viruși, marcaje software în subsisteme automate;
• Protecția criptografică a informațiilor procesate și transmise prin tehnologie informatică și comunicații;
• stocare fiabilă a suporturilor de stocare a mașinii, chei criptografice ( informatie cheie) și circulația acestora, excluzând furtul, înlocuirea și distrugerea;
• rezervarea necesară a mijloacelor tehnice și duplicarea matricelor și purtătorilor de informații;
• reducerea nivelului și a conținutului informațional al emisiilor nocive și al captărilor create de diferite elemente ale subsistemelor automate;
• izolarea electrică a circuitelor de alimentare, împământarea și alte circuite ale obiectelor de informatizare care depășesc zona controlată;
• contracararea mijloacelor optice şi laser de observaţie.

7.2. Formarea regimului de securitate a informațiilor

Ținând cont de amenințările identificate la adresa siguranței CNE, regimul de securitate a informațiilor ar trebui format ca un ansamblu de metode și măsuri de protejare a informațiilor care circulă în CNE și infrastructura de susținere a acesteia de influențe accidentale sau deliberate de natură naturală sau artificială, implicând daune aduse proprietarilor sau utilizatorilor de informații.

Setul de măsuri pentru formarea unui regim de securitate a informațiilor cuprinde:

• stabilirea unui regim organizatoric și juridic de securitate a informațiilor în sistemul automatizat ( acte normative, lucru cu personalul, munca de birou);
• implementarea măsurilor organizatorice și tehnice pentru a proteja informațiile de distribuție limitată de scurgeri prin canalele tehnice;
• măsuri organizatorice și software-tehnice pentru prevenirea acțiunilor neautorizate ( acces) către resursele informaționale ale UA;
• un set de măsuri pentru controlul funcționării mijloacelor și sistemelor de protecție a resurselor informaționale cu distribuție limitată după impacturi accidentale sau deliberate.

8. Măsuri, metode și mijloace de securitate a informațiilor

8.1. Măsuri organizatorice

Măsuri organizatorice- sunt măsuri organizatorice care reglementează procesele de funcționare a CNE, utilizarea resurselor acestora, activitățile personalului de întreținere, precum și procedura prin care utilizatorii interacționează cu sistemul în așa fel încât să complice sau să excludă cel mai mult posibilitatea implementarea amenințărilor de securitate și reducerea volumului daunelor în cazul implementării acestora.

8.1.1. Formarea politicii de securitate

Scopul principal al măsurilor organizaționale este de a forma o politică în domeniul securității informațiilor, care să reflecte abordările privind protecția informațiilor, și de a asigura implementarea acesteia prin alocarea resurselor necesare și monitorizarea stării de fapt.

Din punct de vedere practic, politica de siguranță a CNE ar trebui împărțită pe două niveluri. Nivelul superior include deciziile care afectează activitățile organizației în ansamblu. Un exemplu de astfel de soluții ar putea fi:

• formarea sau revizuirea unui program cuprinzător de securitate a informațiilor, determinarea responsabililor pentru implementarea acestuia;
• formularea scopurilor, stabilirea scopurilor, definirea domeniilor de activitate in domeniul securitatii informatiei;
• luarea deciziilor privind implementarea programului de securitate, care sunt luate în considerare la nivelul organizației în ansamblu;
• prevederi de reglementare ( legale) o bază de date cu întrebări de securitate etc.

Politica de nivel inferior definește procedurile și regulile pentru atingerea obiectivelor și rezolvarea problemelor de securitate a informațiilor și detaliază (reglementează) aceste reguli:

• care este domeniul de aplicare al politicii de securitate a informațiilor;
• care sunt rolurile și responsabilitățile funcționarilor responsabili de implementarea politicii de securitate a informațiilor;
• care are dreptul de acces la informații restricționate;
• cine și în ce condiții poate citi și modifica informațiile etc.

Politica de nivel inferior ar trebui:

• prevăd reglementarea relațiilor informaționale, excluzând posibilitatea unor acțiuni arbitrare, monopoliste sau neautorizate în legătură cu resursele de informații confidențiale;
• definirea principiilor și metodelor coaliționale și ierarhice de împărtășire a secretelor și delimitarea accesului la informații de distribuție limitată;
• alege mijloace software și hardware de protecție criptografică, contracararea falsificării, autentificare, autorizare, identificare și alte mecanisme de protecție care oferă garanții pentru implementarea drepturilor și responsabilităților subiecților relațiilor informaționale.

8.1.2. Reglementarea accesului la mijloace tehnice

Exploatarea posturilor de lucru automatizate securizate și a serverelor Băncii trebuie să se efectueze în încăperi dotate cu încuietori automate fiabile, alarme și păzite sau monitorizate permanent, excluzând posibilitatea pătrunderii necontrolate în incinta persoanelor neautorizate și asigurând securitatea fizică a resurselor protejate. situat in incinta ( AWP, documente, detalii de acces etc.). Amplasarea și instalarea mijloacelor tehnice ale unor astfel de AWP ar trebui să excludă posibilitatea de vizualizare vizuală a intrării ( retras) informații de către persoane care nu au legătură cu aceasta. Curățarea spațiilor cu echipamente instalate în acestea trebuie efectuată în prezența responsabilului, căruia îi sunt atribuite aceste mijloace tehnice, sau a persoanei de serviciu în unitate, cu respectarea măsurilor care exclud accesul persoanelor neautorizate la resurse protejate.

În timpul procesării informațiilor restricționate, numai personalul autorizat să lucreze cu aceste informații ar trebui să fie prezent în incintă.

La sfârșitul zilei de lucru, spațiile cu AWP-uri protejate instalate trebuie predate sub protecție.

Pentru a stoca documentele de birou și suporturile de mașină cu informații protejate, angajaților li se oferă dulapuri metalice, precum și mijloace pentru distrugerea documentelor.

Mijloacele tehnice care sunt utilizate pentru procesarea sau stocarea informațiilor confidențiale trebuie să fie sigilate.

8.1.3. Reglementarea admiterii salariaților la utilizarea resurselor informaționale

În cadrul sistemului permisiv de admitere se stabilește: cui, cui, ce informații și pentru ce tip de acces se pot furniza și în ce condiții; un sistem de control al accesului, care implică definirea, pentru toți utilizatorii, a resurselor informatice și software ale UA care le sunt disponibile pentru operațiuni specifice ( citiți, scrieți, modificați, ștergeți, executați) folosind instrumentele de acces software și hardware specificate.

Admiterea lucrătorilor să lucreze cu UA și accesul la resursele acestora trebuie să fie strict reglementate. Orice modificare în compoziția și competențele utilizatorilor subsistemelor UA ar trebui să fie făcută în conformitate cu procedura stabilită.

Principalii utilizatori ai informațiilor din UA sunt angajații diviziilor structurale ale organizației. Nivelul de autoritate pentru fiecare utilizator este determinat individual, cu respectarea următoarelor cerințe:

• informațiile deschise și confidențiale sunt plasate, ori de câte ori este posibil, pe diferite servere;
• fiecare angajat folosește numai drepturile care îi sunt prescrise în legătură cu informațiile cu care are nevoie să lucreze în conformitate cu responsabilitățile sale de serviciu;
• șeful are dreptul de a vizualiza informațiile subordonaților săi;
• operațiunile tehnologice cele mai critice să fie efectuate conform regulii „În două mâini”- corectitudinea informațiilor introduse este confirmată de un alt funcționar care nu are dreptul de a introduce informații.

Toți angajații admiși să lucreze în CNE și personalul de întreținere a CNE trebuie să răspundă personal pentru încălcarea procedurii stabilite de prelucrare automată a informațiilor, regulilor de stocare, utilizare și transfer al resurselor protejate ale sistemului de care dispun. La angajare, fiecare angajat trebuie să semneze un angajament privind respectarea cerințelor de păstrare a informațiilor confidențiale și responsabilitatea pentru încălcarea acestora, precum și privind respectarea regulilor de lucru cu informații protejate în UA.

Prelucrarea informațiilor protejate în subsistemele AU trebuie efectuată în conformitate cu instrucțiunile tehnologice aprobate ( Comenzi) pentru aceste subsisteme.

Pentru utilizatori, stații de lucru protejate, trebuie elaborate instrucțiunile tehnologice necesare, inclusiv cerințe pentru asigurarea securității informațiilor.

8.1.4. Reglarea proceselor de întreținere a bazelor de date și modificarea resurselor informaționale

Toate operațiunile de întreținere a bazelor de date în UA și admiterea lucrătorilor să lucreze cu aceste baze de date trebuie să fie strict reglementate. Orice modificare în componența și autoritatea utilizatorilor bazelor de date UA ar trebui făcute în conformitate cu procedura stabilită.

Distribuirea numelor, generarea parolelor, menținerea regulilor de diferențiere a accesului la bazele de date este încredințată angajaților Direcției Tehnologia Informației. În acest caz, pot fi utilizate atât mijloace standard, cât și suplimentare de protecție a SGBD și a sistemelor de operare.

8.1.5. Reglarea proceselor de întreținere și modificarea resurselor hardware și software

Resurse de sistem care trebuie protejate ( sarcini, programe, AWP) sunt supuse unei contabilități stricte ( pe baza folosirii formularelor adecvate sau bazelor de date specializate).

Configurația hardware și software a stațiilor de lucru automate pe care sunt procesate informațiile protejate sau din care este posibil accesul la resursele protejate trebuie să corespundă gamei de sarcini funcționale atribuite utilizatorilor acestui AWS. Toate dispozitivele de intrare-ieșire a informațiilor neutilizate (inutile) ( Porturi COM, USB, LPT, unități de dischete, CD și alte medii de stocare) pe astfel de AWP-uri trebuie să fie dezactivate (șterse), software-ul și datele inutile de pe discurile AWS trebuie, de asemenea, șterse.

Pentru a simplifica întreținerea, întreținerea și organizarea protecției, stațiile de lucru ar trebui să fie echipate cu software și configurate într-o manieră unificată ( în conformitate cu regulile stabilite).

Punerea în funcțiune a noilor AWP-uri și toate modificările în configurația hardware-ului și software-ului, AWP-urile existente în AS-ul organizației ar trebui să fie efectuate numai în ordinea stabilită.

Toate programele ( dezvoltate de specialiștii organizației, obținute sau achiziționate de la producători) ar trebui să fie testat în modul prescris și transferat la depozitarul programelor organizației. În subsistemele UA, trebuie instalat și utilizat numai software-ul primit de la depozit în conformitate cu procedura stabilită. Utilizarea de software în AS care nu este inclus în depozitul de software ar trebui interzisă.

Dezvoltarea software-ului, testarea software-ului dezvoltat și achiziționat, transferul software-ului în funcțiune trebuie efectuate în conformitate cu procedura stabilită.

8.1.6. Formarea și educarea utilizatorilor

Înainte de a oferi acces la UA, utilizatorii acesteia, precum și personalul de management și întreținere, trebuie să fie familiarizați cu lista de informații confidențiale și nivelul lor de autoritate, precum și cu documentația organizatorică și administrativă, de reglementare, tehnică și operațională care determină cerințele. și procedura de prelucrare a acestor informații.

Protecția informațiilor în toate domeniile de mai sus este posibilă numai după ce utilizatorii au dezvoltat o anumită disciplină, de ex. norme care sunt obligatorii pentru toți cei care lucrează în UA. Aceste norme includ interzicerea oricăror acțiuni intenționate sau neintenționate care perturbă funcționarea normală a UA, provoacă costuri suplimentare cu resurse, încalcă integritatea informațiilor stocate și procesate, încalcă interesele utilizatorilor legitimi.

Toți angajații care utilizează subsisteme specifice CNE în timpul activității lor trebuie să cunoască documentele organizatorice și administrative pentru protecția centralei nucleare în ceea ce privește preocuparea lor, trebuie să cunoască și să respecte cu strictețe instrucțiunile tehnologice și atribuțiile generale de asigurare a siguranței informațiilor. Aducerea cerințelor acestor documente către persoanele admise la prelucrarea informațiilor protejate trebuie efectuată de șefii de compartimente împotriva semnăturii acestora.

8.1.7. Responsabilitatea pentru încălcarea cerințelor de securitate a informațiilor

Pentru fiecare încălcare gravă a cerințelor de securitate a informațiilor de către angajații organizației, ar trebui efectuată o investigație oficială. Împotriva făptuitorilor trebuie luate măsuri adecvate. Gradul de responsabilitate a personalului pentru acțiunile comise cu încălcarea regulilor stabilite pentru asigurarea prelucrării automate în siguranță a informațiilor ar trebui determinat de prejudiciul cauzat, prezența intenției rău intenționate și alți factori.

Pentru a implementa principiul răspunderii personale a utilizatorilor pentru acțiunile lor, este necesar:

• identificarea individuală a utilizatorilor și a proceselor inițiate de aceștia, i.e. stabilirea unui identificator pentru acestea, pe baza căruia se va efectua diferențierea accesului în conformitate cu principiul validității accesului;
• autentificarea utilizatorului ( autentificare) bazat pe parole, chei pe o bază fizică diferită etc.;
• înregistrare ( Logare) funcționarea mecanismelor de control al accesului la resursele sistemului informațional, cu indicarea datei și orei, identificatorii resurselor solicitante și solicitate, tipul de interacțiune și rezultatul acesteia;
• reacție la încercările de acces neautorizat ( alarma, blocare etc.).

8.2. Mijloace tehnice de protectie

tehnic ( hardware și software) mijloace de protecție - diverse dispozitive electronice și programe speciale care fac parte din UA și îndeplinesc (in mod independent sau în combinație cu alte mijloace) funcții de protecție ( identificarea și autentificarea utilizatorilor, diferențierea accesului la resurse, înregistrarea evenimentelor, protecția criptografică a informațiilor etc.).

Ținând cont de toate cerințele și principiile de asigurare a securității informațiilor în centrala nucleară în toate domeniile de protecție, în sistemul de protecție ar trebui incluse următoarele mijloace:

• mijloace de autentificare a utilizatorilor și a elementelor difuzorului ( terminale, sarcini, elemente de bază de date etc.) corespunzător gradului de confidențialitate al informațiilor și datelor prelucrate;
• mijloace de delimitare a accesului la date;
• mijloace de protecție criptografică a informațiilor în liniile de transmisie a datelor și în baze de date;
• mijloace de înregistrare a circulației și control asupra utilizării informațiilor protejate;
• mijloace de răspuns la tentativele de manipulare sau de manipulare detectate;
• mijloace pentru reducerea nivelului și a conținutului de informații al emisiilor nocive și al captărilor;
• mijloace de protecție împotriva mijloacelor optice de observare;
• protecție împotriva virușilor și a programelor malware;
• mijloace de decuplare electrică atât a elementelor AU cât și a elementelor structurale ale incintei în care se află echipamentul.

Mijloacele tehnice de protecție împotriva atacurilor neautorizate sunt încredințate cu rezolvarea următoarelor sarcini principale:

• identificarea și autentificarea utilizatorilor folosind nume și/sau hardware special ( Atingeți Memorie, Smart Card etc.);
• reglementarea accesului utilizatorilor la dispozitivele fizice ale stațiilor de lucru ( discuri, porturi de intrare-ieșire);
• control selectiv (discreționar) al accesului la unități logice, directoare și fișiere;
• diferențierea autorizată (obligatorie) a accesului la datele protejate pe o stație de lucru și pe un server de fișiere;
• creând un închis mediu software permis să ruleze programe situate atât pe unități locale, cât și pe unități de rețea;
• protecție împotriva pătrunderii virușilor informatici și a programelor malware;
• controlul integrității modulelor sistemului de protecție, zonelor sistemului de discuri și listelor de fișiere arbitrare în mod automatși prin comenzile administratorului;
• înregistrarea acțiunilor utilizatorului într-un jurnal protejat, prezența mai multor niveluri de înregistrare;
• protecția sistemului de protecție a datelor de pe serverul de fișiere împotriva accesului tuturor utilizatorilor, inclusiv al administratorului de rețea;
• gestionarea centralizată a setărilor mijloacelor de diferențiere a accesului pe stațiile de lucru ale rețelei;
• înregistrarea tuturor evenimentelor de falsificare care au loc la stațiile de lucru;
• control operațional asupra activității utilizatorilor rețelei, schimbarea modurilor de funcționare a stațiilor de lucru și posibilitatea de blocare ( daca este necesar) orice stație din rețea.

Aplicarea cu succes a mijloacelor tehnice de protecție presupune ca îndeplinirea următoarelor cerințe să fie asigurată prin măsuri organizatorice și prin mijloacele fizice de protecție utilizate:

• este asigurată integritatea fizică a tuturor componentelor UA;
• fiecare angajat ( utilizator de sistem) are un nume de sistem unic și autoritatea minimă de acces la resursele sistemului necesare îndeplinirii atribuțiilor sale funcționale;
• utilizarea programelor instrumentale și tehnologice la stațiile de lucru ( utilitare de testare, depanare etc.), care să permită încercări de hack sau de ocolire a măsurilor de securitate, este limitată și strict reglementată;
• nu există utilizatori de programare în sistemul protejat, iar dezvoltarea și depanarea programelor se realizează în afara sistemului protejat;
• toate modificările în configurația hardware și software se fac într-o manieră strict stabilită;
• hardware de retea ( hub-uri, comutatoare, routere etc.) este situat în locuri inaccesibile străinilor ( camere speciale, dulapuri etc.);
• serviciul de securitate a informațiilor realizează management continuu și suport administrativ pentru funcționarea instrumentelor de securitate a informațiilor.

8.2.1. Instrumente de identificare și autentificare a utilizatorilor

Pentru a preveni accesul persoanelor neautorizate în UA, este necesar să se asigure că sistemul poate recunoaște fiecare utilizator legitim (sau grupuri limitate de utilizatori). Pentru a face acest lucru, în sistem ( într-un loc adăpostit) ar trebui să stocheze un număr de atribute ale fiecărui utilizator prin care acest utilizator poate fi identificat. În viitor, la intrarea în sistem și, dacă este necesar, la efectuarea anumitor acțiuni în sistem, utilizatorul este obligat să se identifice, adică. indicați identificatorul care i-a fost atribuit în sistem. În plus, pentru identificare pot fi folosite diverse tipuri de dispozitive: carduri magnetice, inserții de chei, dischete etc.

Autentificare ( confirmarea autenticității) utilizatorilor ar trebui efectuate pe baza utilizării parolelor (cuvinte secrete) sau a mijloacelor speciale de autentificare, verificând caracteristicile (parametrii) unice ale utilizatorilor.

8.2.2. Mijloace de delimitare a accesului la resursele sistemului automatizat

După recunoașterea utilizatorului, sistemul trebuie să autorizeze utilizatorul, adică să determine ce drepturi sunt acordate utilizatorului, adică. ce date și cum poate folosi, ce programe poate executa, când, pentru cât timp și de pe ce terminale poate funcționa, ce resurse de sistem poate folosi etc. Autorizarea utilizatorului trebuie efectuată folosind următoarele mecanisme de control al accesului:

• mecanisme de control selectiv al accesului bazate pe utilizarea schemelor de atribute, liste de permisiuni etc.;
• mecanisme de control al accesului cu autoritate bazate pe utilizarea etichetelor de confidențialitate a resurselor și a nivelurilor de acces ale utilizatorilor;
• mecanisme pentru furnizarea unui mediu închis de software de încredere ( individuale pentru fiecare utilizator liste de programe permise de rulat) susținut de mecanisme de identificare și autentificare a utilizatorilor atunci când aceștia se conectează la sistem.

Domeniile de responsabilitate și sarcinile mijloacelor tehnice specifice de protecție sunt stabilite pe baza capacităților și caracteristicilor de performanță ale acestora descrise în documentația pentru aceste mijloace.

Mijloacele tehnice de control al accesului ar trebui să fie parte integrantă a unui sistem unificat de control al accesului:

• spre zona controlată;
• în camere separate;
• la elementele UA și elementele sistemului de securitate a informațiilor ( acces fizic);
• la resursele UA ( acces matematic);
• la depozitele de informații ( medii de stocare, volume, fișiere, seturi de date, arhive, referințe, înregistrări etc.);
• la resursele active ( programe de aplicare, sarcini, formulare de solicitare etc.);
• la sistemul de operare, programe de sistemși programe de securitate etc.

8.2.3. Mijloace de asigurare și monitorizare a integrității software-ului și a resurselor informaționale

Controlul integrității programelor, informațiilor prelucrate și mijloacelor de protecție, pentru a asigura invariabilitatea mediului software, determinată de tehnologia de procesare furnizată, și protecție împotriva corectării neautorizate a informațiilor trebuie asigurată:

• mijloace de calcul a sumelor de control;
• prin semnătură electronică;
• mijloace de a compara resursele critice cu copiile lor principale ( și recuperarea în caz de încălcare a integrității);
• mijloace de control al accesului ( interzicerea accesului cu drepturi de modificare sau ștergere).

Pentru a proteja informațiile și programele de distrugerea sau denaturarea neautorizată, este necesar să se asigure:

• duplicarea tabelelor de sistem și a datelor;
• duplexarea și oglindirea datelor pe discuri;
• urmărirea tranzacțiilor;
• monitorizarea periodică a integrității sistemului de operare și a programelor utilizator, precum și a fișierelor utilizatorului;
• protectie si control antivirus;
• realizarea de copii de rezervă a datelor conform unei scheme prestabilite.

8.2.4. Controlul evenimentelor de securitate

Controalele ar trebui să asigure că toate evenimentele ( acțiuni ale utilizatorului, încercări ale unor persoane neautorizate etc.), care poate antrena o încălcare a politicii de securitate și poate duce la apariția unor situații de criză. Controalele ar trebui să ofere capacitatea de a:

• monitorizarea constantă a nodurilor cheie ale rețelei și a echipamentelor de comunicație care formează rețeaua, precum și a activității de rețea în segmentele cheie ale rețelei;
• controlul asupra utilizării serviciilor corporative și publice de rețea de către utilizatori;
• menținerea și analizarea jurnalelor de evenimente de securitate;
• detectarea la timp a amenințărilor externe și interne la adresa securității informațiilor.

La înregistrarea evenimentelor de securitate în jurnalul de sistem trebuie înregistrate următoarele informații:

• data și ora evenimentului;
• identificatorul subiectului ( utilizator, program) efectuarea actiunii inregistrate;
• acțiune ( dacă este înregistrată o cerere de acces, atunci obiectul și tipul de acces sunt marcate).

Controalele ar trebui să asigure că următoarele evenimente sunt detectate și înregistrate:

• autentificarea utilizatorului la sistem;
• autentificarea utilizatorului la rețea;
• autentificare sau încercare de rețea eșuată ( parola incorecta);
• conexiune la un server de fișiere;
• pornirea programului;
• finalizarea programului;
• o încercare de a porni un program care nu este disponibil pentru lansare;
• o încercare de a obține acces la un director inaccesibil;
• o încercare de a citi / scrie informații de pe un disc care este inaccesibil utilizatorului;
• o încercare de a lansa un program de pe un disc inaccesibil utilizatorului;
• încălcarea integrității programelor și datelor sistemului de protecție etc.

Ar trebui susținute următoarele modalități principale de răspuns la faptele detectate ale persoanelor neautorizate ( eventual cu participarea unui administrator de securitate):

• notificarea deținătorului informațiilor despre DNS asupra datelor sale;
• anularea programului ( sarcini) cu executare ulterioară;
• notificarea administratorului bazei de date și a administratorului de securitate;
• deconectarea terminalului ( stație de lucru) din care au fost făcute tentative de către DNS la informare sau acțiuni ilegale în rețea;
• excluderea contravenientului din lista utilizatorilor înregistrați;
• semnalizare de alarmă etc.

8.2.5. Securitatea informațiilor criptografice

Unul dintre cele mai importante elemente ale sistemului de securitate a informațiilor centralei nucleare ar trebui să fie utilizarea metodelor și mijloacelor criptografice de protejare a informațiilor împotriva accesului neautorizat în timpul transmiterii acesteia prin canale de comunicație și stocare pe medii informatice.

Toate mijloacele de protecție criptografică a informațiilor din UA ar trebui să se bazeze pe un nucleu criptografic de bază. O organizație trebuie să dețină licențe stabilite prin lege pentru dreptul de a utiliza medii criptografice.

Sistemul cheie al instrumentelor de protecție criptografică utilizat în UA ar trebui să ofere supraviețuire criptografică și protecție pe mai multe niveluri împotriva compromiterii informațiilor cheie, separarea utilizatorilor pe niveluri de protecție și zone de interacțiune între ei și utilizatorii altor niveluri.

Confidențialitatea și protecția imitării informațiilor în timpul transmiterii acesteia prin canalele de comunicare ar trebui să fie asigurată prin utilizarea mijloacelor de criptare a abonaților și a canalului în sistem. Combinația de criptare a informațiilor abonatului și canalului ar trebui să asigure protecția acesteia de la capăt la capăt pe întreaga cale de trecere, să protejeze informațiile în cazul redirecționării lor eronate din cauza defecțiunilor și defecțiunilor hardware și software ale centrelor de comutare.

UA, care este un sistem cu resurse de informații distribuite, ar trebui să utilizeze și mijloace de generare și verificare a semnăturilor electronice pentru a asigura integritatea și confirmarea legală a autenticității mesajelor, precum și autentificarea utilizatorilor, posturilor de abonat și confirmarea momentul trimiterii mesajelor. În acest caz, ar trebui utilizați algoritmi standardizați de semnătură electronică.

8.3. Managementul securității informațiilor

Managementul sistemului de securitate a informațiilor într-o CNE este un impact vizat asupra componentelor sistemului de securitate ( organizatorice, tehnice, software și criptografice) în vederea realizării indicatorilor și standardelor solicitate pentru securitatea informațiilor care circulă în CNE în contextul implementării principalelor amenințări la adresa securității.

Scopul principal al organizării managementului sistemului de securitate a informațiilor este creșterea fiabilității protecției informațiilor în timpul procesării, stocării și transmiterii acestuia.

Managementul sistemului de securitate a informațiilor este implementat de un subsistem de control specializat, care este un ansamblu de organe de control, mijloace tehnice, software și criptografice, precum și măsuri organizatorice și puncte de control care interacționează la diferite niveluri.

Funcțiile subsistemului de control sunt: ​​informare, control și auxiliar.

Funcția de informare constă în monitorizarea continuă a stării sistemului de protecție, verificarea conformității indicatorilor de securitate cu valorile admisibile și informarea imediată a operatorilor de securitate cu privire la situațiile care apar în centrala nucleară care pot duce la o încălcare a securității informațiilor. . Există două cerințe pentru monitorizarea stării sistemului de protecție: completitudine și fiabilitate. Completitudinea caracterizează gradul de acoperire a tuturor mijloacelor de protecție și parametrii funcționării acestora. Fiabilitatea controlului caracterizează gradul de adecvare a valorilor parametrilor controlați la valoarea lor reală. În urma prelucrării datelor de control, se generează informații despre starea sistemului de protecție, care sunt generalizate și transmise către punctele de control superioare.

Funcția de control este de a formula planuri de implementare a operațiunilor tehnologice a CNE, ținând cont de cerințele de securitate a informațiilor în condițiile existente la un moment dat în timp, precum și în determinarea locației situației de vulnerabilitate a informațiilor și prevenirea scurgerii acesteia prin blocarea promptă a secțiilor NPP unde apar amenințări la securitatea informațiilor... Funcțiile de control includ contabilitatea, stocarea și emiterea de documente și suporturi de informații, parole și chei. Totodată, generarea de parole, chei, întreținerea mijloacelor de control al accesului, acceptarea de noi instrumente software incluse în mediul software AS, controlul conformității mediului software cu standardul, precum și controlul asupra mediului tehnologic. Procesul de prelucrare a informațiilor confidențiale este atribuit angajaților Departamentului de Tehnologia Informației și Departamentului de Securitate Economică.

LA funcții auxiliare subsistemele de control includ contabilizarea tuturor operațiunilor efectuate în UA cu informațiile protejate, formarea documentelor de raportare și colectarea datelor statistice pentru a analiza și identifica potențialele canale de scurgere de informații.

8.4. Monitorizarea eficacității sistemului de protecție

Monitorizarea eficacității sistemului de protecție a informațiilor se realizează în scopul identificării în timp util și prevenirii scurgerii de informații din cauza accesului neautorizat la acesta, precum și pentru prevenirea eventualelor acțiuni speciale care vizează distrugerea informațiilor, distrugerea tehnologiei informației.

Evaluarea eficacității măsurilor de protecție a informațiilor se realizează folosind controale organizaționale, hardware și software pentru conformitatea cu cerințele stabilite.

Controlul poate fi efectuat atât cu ajutorul mijloacelor standard ale sistemului de protecție a informațiilor, cât și cu ajutorul unor mijloace speciale de control și monitorizare tehnologică.

8.5. Caracteristici de asigurare a securității informaționale a datelor cu caracter personal

Clasificarea datelor cu caracter personal se realizează în funcție de gravitatea consecințelor pierderii proprietăților de securitate ale datelor cu caracter personal pentru subiectul datelor cu caracter personal.

• Despre datele personale ”La categorii speciale de date cu caracter personal;
• date personale clasificate în conformitate cu legea federală " Despre datele personale ”La datele personale biometrice;
• date cu caracter personal care nu pot fi atribuite unor categorii speciale de date cu caracter personal, date cu caracter personal biometrice, date cu caracter personal accesibile publicului sau anonimizate;
• date personale clasificate în conformitate cu legea federală " Despre datele personale ”La date personale disponibile public sau anonimizate.

Transferul datelor cu caracter personal către un terț trebuie să fie efectuat pe baza Legii Federale sau a consimțământului subiectului datelor cu caracter personal. În cazul în care o organizație încredințează prelucrarea datelor cu caracter personal unui terț pe baza unui acord, o condiție esențială a unui astfel de acord este obligația terțului de a asigura confidențialitatea datelor cu caracter personal și securitatea datelor cu caracter personal. în timpul prelucrării acestora.

Organizația trebuie să înceteze prelucrarea datelor cu caracter personal și să distrugă datele cu caracter personal colectate, cu excepția cazului în care legislația Federației Ruse prevede altfel, în termenele stabilite de legislația Federației Ruse în următoarele cazuri:

• la atingerea obiectivelor de prelucrare sau dacă nu este necesară realizarea acestora;
• la solicitarea subiectului datelor cu caracter personal sau a Organismului autorizat pentru protecția drepturilor subiecților datelor cu caracter personal - dacă datele cu caracter personal sunt incomplete, depășite, nesigure, obținute ilegal sau nu sunt necesare scopului declarat al prelucrării;
• atunci când subiectul datelor cu caracter personal își revocă consimțământul pentru prelucrarea datelor sale cu caracter personal, dacă acest consimțământ este necesar în conformitate cu legislația Federației Ruse;
• dacă operatorului îi este imposibil să elimine încălcările comise în prelucrarea datelor cu caracter personal.

Organizația trebuie să definească și să documenteze:

• procedura de distrugere a datelor cu caracter personal ( inclusiv purtătorii materiale de date cu caracter personal);
• procedura de prelucrare a cererilor de la subiecții de date cu caracter personal ( sau reprezentanții lor legali) privind prelucrarea datelor cu caracter personal ale acestora;
• procedura de acțiuni în cazul solicitărilor din partea Organismului Autorizat pentru Protecția Drepturilor Subiecților Datelor cu Caracter Personal sau a altor organisme de supraveghere care exercită control și supraveghere în domeniul datelor cu caracter personal;
• abordare a clasificării vorbitorului ca sisteme de informare date personale ( Mai departe - ISPDN );
• Lista ISPD. Lista ISPD ar trebui să includă AS, al cărei scop al creării și utilizării este prelucrarea datelor cu caracter personal.

Pentru fiecare PDIS, se identifică și se documentează următoarele:

• scopul prelucrării datelor cu caracter personal;
• volumul și conținutul datelor cu caracter personal prelucrate;
• o listă de acțiuni cu date personale și metode de prelucrare a acestora.

Volumul și conținutul datelor cu caracter personal, precum și o listă de acțiuni și metode de prelucrare a datelor cu caracter personal trebuie să corespundă scopurilor prelucrării. În cazul în care pentru implementarea procesului tehnologic informațional, a cărui implementare este susținută de ISPD, nu este necesară prelucrarea anumitor date cu caracter personal, aceste date personale trebuie șterse.

Cerințele pentru asigurarea securității datelor cu caracter personal în ISPDN sunt în general implementate printr-un complex de măsuri, mijloace și mecanisme organizatorice, tehnologice, tehnice și software de protecție a informațiilor.

Organizarea implementării și ( sau) implementarea cerințelor pentru asigurarea securității datelor cu caracter personal ar trebui să fie efectuată de o unitate structurală sau de un funcționar (angajat) al organizației responsabilă cu asigurarea securității datelor cu caracter personal sau pe bază contractuală de către o organizație - o contraparte a unei organizații autorizate să ofere protecție tehnică a informațiilor confidențiale.

Crearea ISPD al unei organizații ar trebui să includă dezvoltarea și aprobarea ( afirmație) documentația organizatorică, administrativă, de proiectare și operațională a sistemului în curs de creare prevăzută de caietul de sarcini. Documentația ar trebui să reflecte aspectele legate de asigurarea securității datelor cu caracter personal prelucrate.

Elaborarea conceptelor, specificațiilor tehnice, proiectarea, crearea și testarea, acceptarea și punerea în funcțiune a ISPD ar trebui efectuate prin acord și sub controlul unei unități structurale sau a unui funcționar (angajat) responsabil cu asigurarea securității datelor cu caracter personal.

Toate informațiile care aparțin ISPD al organizației trebuie protejate de efectele codului rău intenționat. Organizația trebuie să stabilească și să documenteze cerințele pentru asigurarea securității datelor cu caracter personal prin intermediul protecției antivirus și procedura de monitorizare a implementării acestor cerințe.

Organizația trebuie să definească un sistem de control al accesului care să permită controlul accesului la porturile de comunicație, dispozitivele de intrare/ieșire, mediile de stocare amovibile și dispozitivele externe de stocare a datelor ISPDN.

Șefii diviziilor de operare și service ISPD ale organizației asigură securitatea datelor cu caracter personal în timpul prelucrării acestora în ISPDN.

Angajații care prelucrează date cu caracter personal în ISPDN trebuie să acționeze în conformitate cu instrucțiunile ( îndrumări, reglementări etc.), care face parte din documentația operațională a ISPD și respectă cerințele documentelor de asigurare a SI.

Responsabilitățile pentru administrarea mijloacelor de protecție și a mecanismelor de protecție care implementează cerințele pentru asigurarea ISPD al organizației sunt atribuite prin ordine ( Comenzi) pe specialiştii Departamentului de Tehnologia Informaţiei.

Procedura pentru specialiștii Departamentului de Tehnologia Informației și personalul implicat în prelucrarea datelor cu caracter personal ar trebui să fie stabilită prin instrucțiuni ( instrucțiuni), care sunt pregătite de dezvoltatorul ISPD ca parte a documentației operaționale pentru ISPD.

Instrucțiunile specificate ( conducere):

• stabilește cerințe pentru calificarea personalului în domeniul securității informațiilor, precum și o listă actualizată a obiectelor protejate și regulile de actualizare a acesteia;
• conţine pe deplin relevante ( cu timpul) date privind drepturile utilizatorului;
• conțin date despre tehnologia de prelucrare a informațiilor în cantitatea necesară unui specialist în securitatea informațiilor;
• stabiliți ordinea și frecvența analizei jurnalelor de evenimente ( arhive de jurnal);
• reglementează alte acțiuni.

Parametrii de configurare a mijloacelor de protecție și a mecanismelor de protecție a informațiilor împotriva falsificării utilizate în domeniul de responsabilitate a specialiștilor Departamentului de Tehnologii Informaționale sunt determinați în documentația operațională a ISPD. Procedura și frecvența verificărilor parametrilor de configurare instalați sunt stabilite în documentația operațională sau reglementate printr-un document intern, în timp ce verificările trebuie efectuate cel puțin o dată pe an.

Organizația trebuie să stabilească și să documenteze procedura de acces la sediul în care sunt amplasate mijloacele tehnice ale ISPDN și sunt stocate purtătorii de date cu caracter personal, prevăzând controlul accesului în sediul persoanelor neautorizate și prezența obstacolelor pentru persoane neautorizate. intrarea in incinta. Procedura specificată ar trebui elaborată de o unitate structurală sau de un funcționar ( un angajat), responsabil de asigurarea regimului de securitate fizică și agreat de unitatea structurală sau funcționarul ( un angajat), responsabil cu asigurarea securității datelor cu caracter personal, și Departamentul de Securitate Economică.

Utilizatorii și personalul de service al ISPD nu trebuie să efectueze activități neautorizate și ( sau) neînregistrat ( necontrolat) copierea datelor cu caracter personal. În acest scop, măsurile organizatorice și tehnice ar trebui să interzică neautorizate și ( sau) neînregistrat ( necontrolat) copierea datelor cu caracter personal, inclusiv utilizarea înstrăinate ( înlocuibil) medii de stocare, dispozitive mobile pentru copierea și transferul de informații, porturi de comunicație și dispozitive de intrare/ieșire care implementează diverse interfețe ( inclusiv wireless), dispozitive de stocare a dispozitivelor mobile ( de exemplu, laptopuri, PDA-uri, smartphone-uri, telefoane mobile), precum și dispozitive foto și video.

Controlul securității personale este efectuat de un specialist în securitatea informațiilor, atât cu ajutorul mijloacelor standard ale sistemului de protecție a informațiilor, cât și cu ajutorul unor mijloace speciale de control și monitorizare tehnologică.

Descărcați fișierul ZIP (65475)

Documentele au fost la îndemână - puneți „like” sau: