Dostupnosť informačnej bezpečnosti. Bezpečnosť údajov: zaistenie bezpečnosti informácií

Zakladateľ kybernetiky Norbert Wiener veril, že informácie majú jedinečné vlastnosti a nemožno ich pripísať ani energii, ani hmote. Špeciálny status informácie ako fenoménu dal vznik mnohým definíciám.

V slovníku normy ISO / IEC 2382: 2015 "Informačné technológie" je uvedený nasledujúci výklad:

Informácie (v oblasti spracovania informácií)- akékoľvek údaje prezentované v elektronickej forme, napísané na papieri, vyjadrené na stretnutí alebo na akomkoľvek inom médiu, používané finančnou inštitúciou na rozhodovanie, presúvanie finančných prostriedkov, stanovovanie sadzieb, poskytovanie úverov, spracovanie transakcií atď., vrátane komponentov softvér spracovateľských systémov.

Informáciou sa pre rozvoj koncepcie informačnej bezpečnosti (IS) rozumie informácia, ktorá je k dispozícii na zhromažďovanie, uchovávanie, spracovanie (úpravu, transformáciu), používanie a prenos rôznymi spôsobmi, a to aj v počítačových sieťach a iných informačných systémoch.

Takéto informácie majú vysokú hodnotu a môžu sa stať predmetom zásahu zo strany tretích strán. Túžba chrániť informácie pred hrozbami je základom vytvárania systémov informačnej bezpečnosti.

Právny základ

V decembri 2017 Rusko prijalo doktrínu informačnej bezpečnosti. ZS je v dokumente definovaný ako stav ochrany národných záujmov v informačnej sfére... Národné záujmy sú v tomto prípade chápané ako súhrn záujmov spoločnosti, jednotlivca a štátu, pričom každá skupina záujmov je nevyhnutná pre stabilné fungovanie spoločnosti.

Doktrína je koncepčný dokument. Právne vzťahy súvisiace so zaistením informačnej bezpečnosti upravujú federálne zákony „O štátnom tajomstve“, „O informáciách“, „O ochrane osobných údajov“ a iné. Na základe základných normatívnych aktov sa vypracúvajú nariadenia vlády a rezortné normatívne akty o súkromných otázkach ochrany informácií.

Definícia informačnej bezpečnosti

Pred vypracovaním stratégie informačnej bezpečnosti je potrebné prijať základnú definíciu samotného pojmu, ktorá umožní použiť určitý súbor metód a spôsobov ochrany.

Odborníci z praxe navrhujú, aby sa informačná bezpečnosť chápala ako stabilný stav bezpečnosti informácií, ich nosičov a infraštruktúry, ktorý zabezpečuje integritu a stabilitu procesov súvisiacich s informáciami proti úmyselným alebo neúmyselným vplyvom prirodzeného a umelého charakteru. Dopady sú klasifikované ako hrozby IS, ktoré môžu poškodiť subjekty informačných vzťahov.

Pod ochranou informácií sa teda bude rozumieť komplex právnych, administratívnych, organizačných a technických opatrení zameraných na predchádzanie skutočným alebo domnelým hrozbám informačnej bezpečnosti, ako aj odstraňovanie následkov incidentov. Kontinuita procesu ochrany informácií by mala zaručiť boj proti hrozbám vo všetkých fázach informačného cyklu: v procese zhromažďovania, uchovávania, spracovania, používania a prenosu informácií.

Informačná bezpečnosť v tomto chápaní sa stáva jednou z charakteristík výkonu systému. Systém musí mať v každom okamihu merateľnú úroveň bezpečnosti a zaistenie bezpečnosti systému musí byť nepretržitý proces, ktorý sa vykonáva vo všetkých časových intervaloch počas životnosti systému.

Infografika využíva údaje z našich vlastnýchSearchInform.

V teórii informačnej bezpečnosti sú subjekty informačnej bezpečnosti chápané ako vlastníci a používatelia informácií, a to nielen používatelia priebežne (zamestnanci), ale aj používatelia, ktorí v ojedinelých prípadoch pristupujú k databázam, napríklad orgány štátnej správy požadujúce informácie. V mnohých prípadoch, napríklad v štandardoch bezpečnosti bankových informácií, sú akcionári klasifikovaní ako vlastníci informácií - právnických osôb ku ktorým patria určité údaje.

Podporná infraštruktúra z hľadiska základov informačnej bezpečnosti zahŕňa počítače, siete, telekomunikačné zariadenia, priestory, systémy na podporu života a personál. Pri analýze bezpečnosti je potrebné študovať všetky prvky systémov, pričom osobitnú pozornosť treba venovať personálu ako nositeľovi väčšiny vnútorných hrozieb.

Pre riadenie informačnej bezpečnosti a hodnotenie škôd sa používa charakteristika prijateľnosti, teda poškodenie je určené ako prijateľné alebo neprijateľné. Pre každú spoločnosť je užitočné stanoviť si vlastné kritériá prípustnosti škody v peňažnej forme alebo napríklad vo forme prijateľného poškodenia dobrého mena. Vo verejných inštitúciách si možno osvojiť aj iné charakteristiky, napríklad vplyv na proces riadenia či odraz miery poškodenia života a zdravia občanov. Kritériá významnosti, dôležitosti a hodnoty informácií sa môžu v priebehu meniť životný cyklus informačné pole by sa preto malo včas preskúmať.

Informačná hrozba v užšom zmysle je objektívna možnosť ovplyvniť predmet ochrany, čo môže viesť k úniku, odcudzeniu, prezradeniu alebo šíreniu informácií. V širšom zmysle budú hrozby informačnej bezpečnosti zahŕňať priame informačné dopady, ktorých účelom je poškodiť štát, organizáciu a jednotlivca. Medzi takéto hrozby patrí napríklad ohováranie, úmyselné zavádzanie a nevhodná reklama.

Tri hlavné otázky koncepcie informačnej bezpečnosti pre každú organizáciu

Čo chrániť?

Aké typy hrozieb prevládajú: vonkajšie alebo vnútorné?

Ako sa chrániť, akými metódami a prostriedkami?

IS systém

Systém informačnej bezpečnosti pre spoločnosť - právnickú osobu zahŕňa tri skupiny základných pojmov: integritu, dostupnosť a dôvernosť. Pod každým sú pojmy s mnohými charakteristikami.

Pod bezúhonnosť znamená odolnosť databáz, iných informačných polí proti náhodnému alebo úmyselnému zničeniu, neoprávneným zmenám. Na integritu sa dá pozerať takto:

statické vyjadrené v nezmeniteľnosti, pravosti informačných objektov k tým objektom, ktoré boli vytvorené podľa konkrétnej technickej úlohy a obsahujú množstvo informácií požadovaných užívateľmi pre ich hlavné činnosti, v požadovanom usporiadaní a poradí;
dynamický, čo znamená správne vykonanie zložitých akcií alebo transakcií bez poškodenia bezpečnosti informácií.

Na kontrolu dynamickej integrity sa používajú špeciálne technické prostriedky, ktoré analyzujú tok informácií, napríklad finančných, a identifikujú prípady krádeže, duplikácie, presmerovania a zmeny poradia správ. Integrita ako kľúčová charakteristika sa vyžaduje, keď sa rozhodnutia prijímajú na základe prichádzajúcich alebo dostupných informácií, aby sa podnikli kroky. Porušenie poradia príkazov alebo postupnosti úkonov môže spôsobiť veľké škody v prípade popisovania technologických procesov, programových kódov a v iných podobných situáciách.

Dostupnosť je vlastnosť, ktorá umožňuje oprávneným subjektom prístup alebo výmenu údajov, ktoré ich zaujímajú. Kľúčová požiadavka legitimácie či autorizácie subjektov umožňuje tvoriť rôzne úrovne prístup. Odmietnutie systému poskytnúť informácie sa stáva problémom pre akúkoľvek organizáciu alebo skupinu používateľov. Príkladom je neprístupnosť stránok verejných služieb v prípade zlyhania systému, čo mnohých používateľov pripravuje o možnosť získať potrebné služby alebo informácie.

Dôvernosť znamená vlastnosť informácií, ktoré majú byť dostupné týmto používateľom: subjektom a procesom, ku ktorým je pôvodne povolený prístup. Väčšina spoločností a organizácií vníma dôvernosť ako kľúčový prvok informačnej bezpečnosti, no v praxi je ťažké ju plne implementovať. Nie všetky údaje o existujúcich kanáloch úniku informácií majú autori koncepcií informačnej bezpečnosti k dispozícii a mnohé technické prostriedky ochrany, vrátane kryptografických, nie je možné voľne zakúpiť, v niektorých prípadoch je obrat obmedzený.

Rovnaké vlastnosti informačnej bezpečnosti majú pre používateľov rôzne hodnoty, preto existujú dve extrémne kategórie vo vývoji koncepcií ochrany údajov. Pre firmy či organizácie spojené so štátnym tajomstvom sa dôvernosť stane kľúčovým parametrom, pre verejné služby či vzdelávacie inštitúcie je najdôležitejším parametrom dostupnosť.

Prehľad bezpečnosti informácií

Chránené objekty v koncepciách informačnej bezpečnosti

Rozdielnosť subjektov vyvoláva rozdiely v predmetoch ochrany. Hlavné skupiny chránených objektov:

informačné zdroje všetkých typov (zdroj znamená materiálny objekt: HDD, iné médium, dokument s údajmi a podrobnosťami, ktoré ho pomáhajú identifikovať a odkazovať naň určitú skupinu predmety);
práva občanov, organizácií a štátu na prístup k informáciám, možnosť ich získavania v rámci zákona; prístup môže byť obmedzený len regulačnými právnymi aktmi, organizovanie akýchkoľvek prekážok porušujúcich ľudské práva je neprípustné;
systém na vytváranie, používanie a distribúciu údajov (systémy a technológie, archívy, knižnice, regulačné dokumenty);
systém formovania povedomia verejnosti (médiá, internetové zdroje, sociálne inštitúcie, vzdelávacie inštitúcie).

Každý objekt predpokladá osobitný systém opatrení na ochranu pred ohrozením informačnej bezpečnosti a verejného poriadku. Zabezpečenie informačnej bezpečnosti v každom prípade by malo byť založené na systematickom prístupe, ktorý zohľadňuje špecifiká zariadenia.

Kategórie a pamäťové médiá

Ruský právny systém, prax presadzovania práva a zavedené spoločenské vzťahy klasifikujú informácie podľa kritérií prístupnosti. To vám umožní objasniť základné parametre potrebné na zaistenie informačnej bezpečnosti:

informácie, ku ktorým je prístup obmedzený na základe zákonných požiadaviek (štátne tajomstvo, obchodné tajomstvo, osobné údaje);
informácie v otvorený prístup;
verejne dostupné informácie, ktoré sa poskytujú za určitých podmienok: platené informácie alebo údaje, na ktoré potrebujete vystaviť vstupné, napríklad čitateľský preukaz;
nebezpečné, škodlivé, nepravdivé a iné typy informácií, ktorých obeh a distribúcia je obmedzená buď požiadavkami zákonov alebo podnikových noriem.

Informácie z prvej skupiny majú dva spôsoby ochrany. Štátne tajomstvo, podľa zákona ide o štátom chránené informácie, ktorých bezplatné šírenie môže poškodiť bezpečnosť krajiny. Ide o údaje z oblasti vojenstva, zahraničnej politiky, spravodajstva, kontrarozviedky a ekonomickej činnosti štátu. Vlastníkom tejto skupiny údajov je samotný štát. Orgánmi oprávnenými prijímať opatrenia na ochranu štátneho tajomstva sú Ministerstvo obrany, Federálna bezpečnostná služba (FSB), Zahraničná spravodajská služba a Federálna služba technickej a exportnej kontroly (FSTEC).

Dôverné informácie- mnohostrannejší predmet regulácie. Zoznam informácií, ktoré môžu predstavovať dôverné informácie, je obsiahnutý v prezidentskom dekréte č. 188 „O schválení zoznamu dôverných informácií“. Ide o osobné údaje; utajenie vyšetrovania a súdneho konania; úradné tajomstvo; služobné tajomstvo (lekárske, notárske, advokátske); obchodné tajomstvo; informácie o vynálezoch a úžitkových vzoroch; informácie obsiahnuté v osobných spisoch odsúdených, ako aj informácie o nútenom výkone súdnych úkonov.

Osobné údaje existujú v otvorenom a dôvernom režime. Súčasťou osobných údajov otvorených a prístupných všetkým používateľom je krstné meno, priezvisko, priezvisko. Podľa FZ-152 „O osobných údajoch“ majú subjekty osobných údajov právo:

informačné sebaurčenie;
získať prístup k osobným údajom a vykonávať ich zmeny;
na blokovanie osobných údajov a prístupu k nim;
odvolať sa proti nezákonnému konaniu tretích osôb spáchaných v súvislosti s osobnými údajmi;
nahradiť spôsobenú škodu.

Právo na to je zakotvené v predpisoch o štátnych orgánoch, federálnych zákonoch, licenciách na prácu s osobnými údajmi vydanými Roskomnadzorom alebo FSTEC. Do registra, ktorý vedie Roskomnadzor, musia vstúpiť firmy, ktoré profesionálne pracujú s osobnými údajmi širokého spektra ľudí, napríklad telekomunikační operátori.

Samostatným objektom v teórii a praxi informačnej bezpečnosti sú nosiče informácií, ku ktorým je prístup otvorený a uzavretý. Pri vývoji koncepcie informačnej bezpečnosti sa metódy ochrany vyberajú v závislosti od typu média. Hlavné pamäťové médium:

tlačené a elektronické médiá, sociálne siete, iné zdroje na internete;
zamestnanci organizácie, ktorí majú prístup k informáciám na základe ich priateľských, rodinných, profesionálnych väzieb;
komunikačné prostriedky, ktoré prenášajú alebo uchovávajú informácie: telefóny, automatické telefónne ústredne, iné telekomunikačné zariadenia;
dokumenty všetkých typov: osobné, úradné, vládne;
softvér ako nezávislý informačný objekt, najmä ak bola jeho verzia upravená špeciálne pre konkrétnu spoločnosť;
elektronické pamäťové médiá, ktoré spracúvajú údaje automatickým spôsobom.

Na účely rozvoja koncepcií informačnej bezpečnosti sa prostriedky informačnej bezpečnosti zvyčajne delia na normatívne (neformálne) a technické (formálne).

Neformálnymi prostriedkami ochrany sú dokumenty, pravidlá, udalosti, formálnymi prostriedkami sú špeciálne technické prostriedky a softvér. Vymedzenie pomáha rozdeliť oblasti zodpovednosti pri vytváraní systémov informačnej bezpečnosti: pri všeobecnom riadení ochrany implementujú administratívni pracovníci normatívne metódy a IT špecialisti technické.

Základy informačnej bezpečnosti znamenajú vymedzenie právomocí nielen z hľadiska využívania informácií, ale aj z hľadiska práce s ich ochranou. Toto vymedzenie právomocí si tiež vyžaduje niekoľko úrovní kontroly.

Formálne opravné prostriedky

Široká škála technických prostriedkov informačnej bezpečnosti zahŕňa:

Fyzické ochranné prostriedky. Ide o mechanické, elektrické, elektronické mechanizmy, ktoré fungujú nezávisle od informačných systémov a vytvárajú bariéry prístupu k nim. Zámky, vrátane elektronických, clony, žalúzie sú navrhnuté tak, aby vytvárali prekážky pre kontakt destabilizujúcich faktorov so systémami. Skupinu dopĺňajú bezpečnostné systémy, napríklad videokamery, videorekordéry, senzory snímajúce pohyb alebo prekročenie stupňa elektromagnetického žiarenia v oblasti umiestnenia technických prostriedkov na vyhľadávanie informácií, vstavané zariadenia.

Hardvérová ochrana. Ide o elektrické, elektronické, optické, laserové a iné zariadenia, ktoré sú zabudované v informačných a telekomunikačných systémoch. Pred zavedením hardvéru do informačných systémov je potrebné zabezpečiť kompatibilitu.

softvér sú jednoduché a systémové, komplexné programy určené na riešenie špecifických a zložitých problémov súvisiacich s informačnou bezpečnosťou. Príkladom komplexných riešení sú tiež: prvé slúžia na zabránenie úniku, preformátovanie informácií a presmerovanie informačných tokov, druhé poskytujú ochranu pred incidentmi v oblasti informačnej bezpečnosti. Softvér je náročný na výkon hardvérových zariadení a pri inštalácii je potrebné zabezpečiť dodatočné rezervy.

môžu byť testované zadarmo po dobu 30 dní. Pred inštaláciou systému vykonajú inžinieri SearchInform technický audit vo firme zákazníka.

TO konkrétne prostriedky informačná bezpečnosť zahŕňa rôzne kryptografické algoritmy, ktoré šifrujú informácie na disku a sú presmerované cez externé komunikačné kanály. Transformácia informácií môže nastať pomocou softvérových a hardvérových metód fungujúcich v podnikových informačných systémoch.

Všetky prostriedky, ktoré zaručujú bezpečnosť informácií, by sa mali používať v kombinácii po predbežnom posúdení hodnoty informácie a jej porovnaní s nákladmi na zdroje vynaložené na bezpečnosť. Návrhy na použitie finančných prostriedkov by preto mali byť formulované už v štádiu vývoja systémov a schvaľovanie by malo prebiehať na úrovni manažmentu, ktorý je zodpovedný za schvaľovanie rozpočtov.

Pre zaistenie bezpečnosti je potrebné sledovať všetok moderný vývoj, prostriedky ochrany softvéru a hardvéru, hrozby a promptne vykonávať zmeny vo vlastných systémoch ochrany pred neoprávneným prístupom. Len primeranosť a rýchlosť reakcie na hrozby pomôže dosiahnuť vysoký stupeň dôvernosť pri práci spoločnosti.

Prvé vydanie vyšlo v roku 2018. Tento jedinečný program vytvára psychologické portréty zamestnancov a priraďuje ich k rizikovým skupinám. Tento prístup k zaisteniu informačnej bezpečnosti vám umožňuje predvídať možné incidenty a konať vopred.

Neformálne opravné prostriedky

Neformálne prostriedky nápravy sa delia na normatívne, administratívne a morálno-etické. Na prvom stupni ochrany sú regulačné prostriedky, ktoré regulujú informačnú bezpečnosť ako proces v činnosti organizácie.

Regulačné prostriedky

Vo svetovej praxi sa pri vývoji regulačných nástrojov riadia normami ochrany IS, hlavným je ISO / IEC 27000. Štandard vytvorili dve organizácie:

ISO - Medzinárodná komisia pre normalizáciu, ktorá vyvíja a schvaľuje väčšinu medzinárodne uznávaných metodík certifikácie kvality výroby a procesov riadenia;
IEC - International Energy Commission, ktorá do normy zaviedla svoje chápanie systémov informačnej bezpečnosti, prostriedkov a metód jej zabezpečenia

Aktuálna verzia ISO / IEC 27000-2016 ponúka hotové štandardy a overené metódy potrebné na implementáciu informačnej bezpečnosti. Základ informačnej bezpečnosti podľa autorov metód spočíva v dôslednosti a dôslednej implementácii všetkých etáp od vývoja až po post-kontrolu.

Pre získanie certifikátu, ktorý potvrdzuje súlad so štandardmi informačnej bezpečnosti, je potrebné implementovať všetky odporúčané techniky v plnom rozsahu. Ak nie je potrebné získať certifikát, o to viac skoré verzie normou, počnúc ISO / IEC 27000-2002, alebo ruskými GOST, ktoré majú odporúčací charakter.

Na základe výsledkov štúdia normy sa vypracúvajú dva dokumenty, ktoré sa týkajú informačnej bezpečnosti. Hlavným, ale menej formálnym, je koncepcia informačnej bezpečnosti podniku, ktorá definuje opatrenia a spôsoby implementácie systému informačnej bezpečnosti pre informačné systémy organizácie. Druhým dokumentom, ktorý musia dodržiavať všetci zamestnanci spoločnosti, je predpis o informačnej bezpečnosti schválený na úrovni predstavenstva alebo výkonného orgánu.

Okrem pozície na úrovni spoločnosti by sa mali vypracovať zoznamy informácií tvoriacich obchodné tajomstvo, prílohy k pracovným zmluvám, zabezpečenie zodpovednosti za sprístupnenie dôverných údajov, ďalšie normy a metódy. Interné pravidlá a predpisy by mali obsahovať implementačné mechanizmy a opatrenia zodpovednosti. Opatrenia majú najčastejšie disciplinárny charakter a porušovateľ sa musí pripraviť na to, že za porušenie režimu obchodného tajomstva budú nasledovať výrazné sankcie až po prepustenie.

Organizačné a administratívne opatrenia

V rámci administratívne činnosti na ochranu informačnej bezpečnosti pre bezpečnostný personál existuje priestor pre kreativitu. Ide o architektonické a plánovacie riešenia, ktoré pomáhajú chrániť zasadacie miestnosti a kancelárie vedenia pred odpočúvaním a zriadením rôznych úrovní prístupu k informáciám. Dôležitými organizačnými opatreniami bude certifikácia činnosti spoločnosti v súlade s normami ISO / IEC 27000, certifikácia jednotlivých hardvérových a softvérových systémov, certifikácia subjektov a objektov na splnenie potrebných bezpečnostných požiadaviek, získanie licencií potrebných na prácu s chránenými dátovými poľami.

Z hľadiska regulácie činnosti personálu bude dôležité formulovať systém žiadostí o prístup na internet, externú elektronickú poštu a iné zdroje. Samostatným prvkom bude prijatie elektronického digitálneho podpisu na zvýšenie bezpečnosti finančných a iných informácií, ktoré sa prenášajú vládnym orgánom prostredníctvom e-mailu.

Morálne a etické opatrenia

Morálne a etické opatrenia určujú osobný postoj človeka k dôverné informácie alebo informácie obmedzené v obehu. Zvyšovanie úrovne vedomostí zamestnancov o vplyve hrozieb na činnosť spoločnosti ovplyvňuje mieru vedomia a zodpovednosti zamestnancov. V boji proti porušovaniu informačného režimu, medzi ktoré patrí napríklad prenášanie hesiel, neopatrné zaobchádzanie s médiami, šírenie dôverných údajov v súkromných rozhovoroch, je potrebné zamerať sa na osobnú svedomitosť zamestnanca. Bude užitočné stanoviť ukazovatele efektívnosti personálu, ktoré budú závisieť od postoja k nemu podnikový systém IB.

Politika informačnej bezpečnosti.

1. Všeobecné ustanovenia

Táto politika informačná bezpečnosť ( Ďalej - politika ) vymedzuje systém pohľadov na problém zaistenia bezpečnosti informácií a je systematizovaným výkazom cieľov a zámerov, ako aj organizačných, technologických a procesných aspektov zaistenia bezpečnosti informácií objektov informačnej infraštruktúry vrátane súboru informácií centrá, databanky a komunikačné systémy organizácie. Táto politika bola vypracovaná s prihliadnutím na požiadavky súčasnej legislatívy Ruskej federácie a na najbližšie vyhliadky rozvoja zariadení informačnej infraštruktúry, ako aj na vlastnosti a možnosti moderných organizačných a technických metód a hardvéru a softvéru pre ochranu informácií.

Hlavné ustanovenia a požiadavky Politiky sa vzťahujú na všetky štrukturálne divízie organizácie.

Politika je metodickým základom pre formovanie a realizáciu jednotnej politiky v oblasti zaisťovania bezpečnosti informácií objektov informačnej infraštruktúry, prijímania koordinovaných riadiacich rozhodnutí a rozvíjania praktických opatrení zameraných na zaistenie informačnej bezpečnosti, koordinácie činnosti štruktúrnych oddelení organizácie pri vykonávaní prác na tvorbe, rozvoji a prevádzke informačných objektov.infraštruktúra v súlade s požiadavkami informačnej bezpečnosti.

Politika neupravuje otázky organizácie ochrany priestorov a zaistenia bezpečnosti a fyzickej integrity komponentov informačnej infraštruktúry, ochrany pred živelnými pohromami a poruchami v napájacom systéme, predpokladá však vybudovanie systému informačnej bezpečnosti. na rovnakých koncepčných základoch ako bezpečnostný systém organizácie ako celku.

Implementácia politiky je zabezpečená vhodnými smernicami, predpismi, postupmi, pokynmi, smernicami a systémom hodnotenia informačnej bezpečnosti v organizácii.

Zásady používajú nasledujúce výrazy a definície:

Automatizovaný systém ( AS) — systém pozostávajúci z personálu a komplexu prostriedkov na automatizáciu ich činností, ktorý implementuje informačné technológie na vykonávanie stanovených funkcií.

Informačná infraštruktúra- systém organizačných štruktúr, ktoré zabezpečujú fungovanie a rozvoj informačný priestor a komunikačné nástroje. Informačná infraštruktúra zahŕňa súbor informačných centier, dátových a znalostných bánk, komunikačných systémov a poskytuje spotrebiteľom prístup k informačným zdrojom.

Informačné zdroje ( IR) - ide o samostatné dokumenty a samostatné polia dokumentov, dokumenty a polia dokumentov v informačných systémoch ( knižnice, archívy, fondy, databázy a iné informačné systémy).

Informačný systém (IP) - systém spracovania informácií a súvisiace organizačné prostriedky ( ľudské, technické, finančné atď.), ktoré poskytujú a šíria informácie.

bezpečnosť - stav ochrany záujmov ( Ciele) organizácie čeliace hrozbám.

Informačná bezpečnosť ( IB) — bezpečnosti súvisiacej s hrozbami v informačnej sfére. Bezpečnosť sa dosahuje zabezpečením súboru vlastností IS – dostupnosť, integrita, dôvernosť informačných aktív. Priorita majetku IS je určená hodnotou tohto majetku pre úroky ( Ciele) Organizácia.

Dostupnosť informačných aktív - majetkom IS organizácie, ktorý spočíva v tom, že informačné aktíva sú poskytované oprávnenému používateľovi, a to vo forme a na mieste, ktoré používateľ požaduje, a v čase, keď ich potrebuje.

Integrita informačných aktív - vlastnosť informačnej bezpečnosti organizácie udržiavať nezmenené alebo opravovať zistené zmeny v jej informačných aktívach.

Dôvernosť informačných aktív - vlastnosť informačnej bezpečnosti organizácie, ktorá spočíva v tom, že spracovanie, uchovávanie a prenos informačných aktív sa uskutočňuje tak, že informačné aktíva sú dostupné len oprávneným používateľom, objektom systému alebo procesom.

Systém informačnej bezpečnosti ( NIB) — súbor ochranných opatrení, ochranných prostriedkov a procesov ich prevádzky vrátane zdrojových a administratívnych ( organizačné) ustanovenie.

Nepovolený prístup- prístup k informáciám v rozpore s úradnými právomocami zamestnanca, prístup k informáciám, ktoré sú verejnosti neprístupné, osobám, ktoré nemajú povolenie na prístup k týmto informáciám, alebo získanie prístupu k informáciám osobou, ktorá má právo na prístup k týmto informáciám vo výške, ktorá presahuje sumu potrebnú na splnenie služobných povinností.

2. Všeobecné požiadavky na informačnú bezpečnosť

Požiadavky na informačnú bezpečnosť ( Ďalej -IB ) určujú obsah a ciele činnosti organizácie v rámci procesov riadenia IS.

Tieto požiadavky sú formulované pre tieto oblasti:

pridelenie a rozdelenie rolí a dôvera v personál;
etapy životného cyklu objektov informačnej infraštruktúry;
ochrana pred neoprávneným prístupom ( Ďalej - NSD ), kontrola prístupu a registrácia v automatizované systémy, v telekomunikačných zariadeniach a automatických telefónnych ústredniach atď.;
antivírusová ochrana;
používanie internetových zdrojov;
používanie prostriedkov na ochranu kryptografických informácií;
ochranu osobných údajov.

3. Objekty, ktoré sa majú chrániť

Hlavné objekty, ktoré sa majú chrániť, sú:

informačné zdroje prezentované vo forme dokumentov a súborov informácií, bez ohľadu na formu a typ ich prezentácie, vrátane dôverných a otvorených informácií;
systém tvorby, distribúcie a využívania informačných zdrojov, knižnice, archívy, databázy a databanky, informačné technológie, predpisy a postupy na zber, spracovanie, uchovávanie a prenos informácií, technický a obslužný personál;
informačnej infraštruktúry vrátane systémov na spracovanie a analýzu informácií, hardvéru a softvéru na ich spracovanie, prenos a zobrazovanie vrátane výmeny informácií a telekomunikačných kanálov, systémov a systémov informačnej bezpečnosti, zariadení a priestorov, v ktorých sa nachádzajú komponenty informačnej infraštruktúry.

3.1. Vlastnosti automatizovaného systému

V AÚ kolujú informácie rôznych kategórií. Chránené informácie môžu zdieľať rôzni používatelia z rôznych podsietí jednej podnikovej siete.

Množstvo AS subsystémov zabezpečuje interakciu s externými ( štátne a obchodné, ruské a zahraničné) organizácie na komutovaných a vyhradených komunikačných kanáloch, ktoré využívajú špeciálne prostriedky prenosu informácií.

Súčasťou komplexu technických prostriedkov AÚ sú prostriedky na spracovanie údajov ( pracovné stanice, databázové servery, poštové servery atď.), prostriedky výmeny údajov v lokálnych sieťach s možnosťou prístupu do globálnych sietí ( kabeláž, mosty, brány, modemy atď.), ako aj skladovacie priestory ( vrátane archivácia) údaje.

Medzi hlavné črty fungovania AÚ patria:

potreba integrácie do jedného systému Vysoké číslo rôzne technické prostriedky spracovania a prenosu informácií;
široká škála úloh, ktoré treba riešiť, a typov spracovávaných údajov;
kombinovanie informácií na rôzne účely, spolupatričnosť a úrovne dôvernosti v spoločných databázach;
dostupnosť pripojovacích kanálov k externým sieťam;
kontinuita fungovania;
prítomnosť podsystémov s rôznymi požiadavkami na úroveň bezpečnosti, ktoré sú fyzicky spojené do jednej siete;
rôznych kategórií používateľov a servisného personálu.

Vo všeobecnosti je jeden AS súbor lokálnych sietí pododdielov, ktoré sú vzájomne prepojené pomocou telekomunikácií. Každá lokálna sieť spája množstvo vzájomne prepojených a interagujúcich automatizovaných podsystémov ( technologické lokality), zabezpečenie riešenia problémov jednotlivými štrukturálnymi divíziami organizácie.

Objekty informatizácie zahŕňajú:

technologické vybavenie ( počítačové vybavenie, sieťové a káblové vybavenie);
informačné zdroje;
softvér ( operačné systémy, systémy správy databáz, všeobecný systémový a aplikačný softvér);
automatizované komunikačné systémy a systémy na prenos údajov (telekomunikácie);
kanály pripojenia;
kancelárskych priestorov.

3.2. Typy organizačných informačných aktív, ktoré sa majú chrániť

V AS subsystémoch organizácie kolujú informácie rôznych úrovní dôvernosti, ktoré obsahujú informácie s obmedzenou distribúciou ( služby, obchodné, osobné údaje) a otvorené informácie.

Tok dokumentov AÚ obsahuje:

platobné príkazy a finančné dokumenty;
správy ( finančné, analytické atď.);
informácie o osobných účtoch;
Osobné informácie;
iné informácie s obmedzenou distribúciou.

Všetky informácie obiehajúce v AÚ a obsiahnuté v nasledujúcich typoch informačných aktív podliehajú ochrane:

informácie predstavujúce obchodné a úradné tajomstvo, ku ktorým má organizácia ako vlastník informácií obmedzený prístup v súlade s federálnym zákonom “ O informáciách, informatizácii a ochrane informácií "Práva a federálne právo" O obchodných tajomstvách »;
osobné údaje, ku ktorým je prístup obmedzený v súlade s federálnym zákonom " O osobných údajoch »;
otvorené informácie, pokiaľ ide o zabezpečenie integrity a dostupnosti informácií.

3.3. Kategórie používateľov automatizovaného systému

Organizácia má veľký počet kategórií používateľov a servisného personálu, ktorí musia mať rôzne právomoci na prístup k informačným zdrojom AÚ:

bežní užívatelia ( koncoví užívatelia, zamestnanci organizačných jednotiek);
správcovia servera ( súborové servery, aplikačné servery, databázové servery), lokálne siete a aplikačné systémy;
systémoví programátori ( zodpovedný za údržbu všeobecného softvéru) na serveroch a pracovných staniciach používateľov;
Vývojári aplikačného softvéru;
špecialisti na údržbu technických prostriedkov výpočtovej techniky;
správcov informačnej bezpečnosti a pod.

3.4. Zraniteľnosť hlavných komponentov automatizovaného systému

Najzraniteľnejšími komponentmi AU sú sieťové pracovné stanice – automatizované pracovné stanice ( Ďalej - AWP ) pracovníci. Pokusy o neoprávnený prístup k informáciám alebo pokusy o neoprávnené akcie ( neúmyselné a úmyselné) v počítačová sieť... Porušenie konfigurácie hardvéru a softvéru pracovných staníc a nezákonné zasahovanie do procesov ich fungovania môže viesť k zablokovaniu informácií, nemožnosti včasného riešenia dôležitých úloh a zlyhaniu jednotlivých pracovných staníc a podsystémov.

Sieťové prvky, ako sú vyhradené súborové servery, databázové servery a aplikačné servery, potrebujú špeciálnu ochranu. Nevýhody výmenných protokolov a prostriedkov diferencovaného prístupu k zdrojom servera môžu umožniť neoprávnený prístup k chráneným informáciám a ovplyvniť činnosť rôznych podsystémov. V tomto prípade je možné vykonať pokusy ako diaľkové ( zo sieťových staníc) a priamy ( z konzoly servera) vplyv na prevádzku serverov a ich ochranu.

Mosty, brány, rozbočovače, smerovače, prepínače a ďalšie sieťové zariadenia, prepojenia a komunikácie tiež potrebujú ochranu. Môžu byť použité votrelcami na reštrukturalizáciu a dezorganizáciu sieťových operácií, zachytávanie prenášaných informácií, analýzu prevádzky a implementáciu iných metód zasahovania do procesov výmeny údajov.

4. Základné princípy informačnej bezpečnosti

4.1. Všeobecné zásady bezpečnej prevádzky

Včasnosť odhalenia problému. Organizácia by mala včas identifikovať problémy, ktoré by mohli ovplyvniť jej obchodné ciele.
Predvídateľnosť vývoja problémov. Organizácia musí identifikovať príčinnú súvislosť možné problémy a na tomto základe stavať presnú predpoveď ich vývoja.
Hodnotenie vplyvu problémov na obchodné ciele. Organizácia musí primerane posúdiť vplyv zistených problémov.
Primeranosť ochranných opatrení. Organizácia by mala zvoliť ochranné opatrenia, ktoré sú adekvátne modelom hrozieb a páchateľov, berúc do úvahy náklady na implementáciu takýchto opatrení a výšku možných strát z implementácie hrozieb.
Účinnosť ochranných opatrení. Organizácia musí účinne implementovať prijaté ochranné opatrenia.
Využívanie skúseností s rozhodovaním a realizáciou. Organizácia by mala zhromažďovať, zovšeobecňovať a využívať ako vlastné skúsenosti, tak aj skúsenosti iných organizácií na všetkých úrovniach rozhodovania a ich implementácie.
Kontinuita zásad bezpečnej prevádzky. Organizácia zabezpečí kontinuitu vykonávania zásad bezpečnej prevádzky.
Kontrolovateľnosť ochranných opatrení. Organizácia by mala uplatňovať len tie bezpečnostné opatrenia, u ktorých je možné overiť, že fungujú správne, a organizácia by mala pravidelne hodnotiť primeranosť bezpečnostných opatrení a efektívnosť ich implementácie, berúc do úvahy vplyv bezpečnostných opatrení na obchodné ciele organizácie.

4.2. Špeciálne zásady pre zaistenie informačnej bezpečnosti

Implementácia špeciálnych princípov informačnej bezpečnosti je zameraná na zvýšenie úrovne vyspelosti procesov riadenia informačnej bezpečnosti v organizácii.
Definícia cieľov. Funkčné ciele a ciele informačnej bezpečnosti organizácie by mali byť explicitne definované v internom dokumente. Neistota vedie k „ vágnosť„Organizačná štruktúra, personálne úlohy, politika informačnej bezpečnosti a nemožnosť posúdiť primeranosť prijatých ochranných opatrení.
Poznáte svojich zákazníkov a zamestnancov. Organizácia musí mať informácie o svojich zákazníkoch, starostlivo vyberať zamestnancov ( pracovníkov), rozvíjať a udržiavať podnikovú etiku, ktorá vytvára priaznivé prostredie dôvery pre činnosť správcovskej organizácie.
Personifikácia a primerané rozdelenie rolí a zodpovedností. Zodpovednosť funkcionárov organizácie za rozhodnutia súvisiace s jej majetkom by mala byť zosobnená a vykonávaná najmä vo forme ručenia. Mala by byť primeraná stupňu vplyvu na ciele organizácie, mala by byť pevne stanovená v politikách, kontrolovaná a zlepšovaná.
Primeranosť úloh k funkciám a postupom a ich porovnateľnosť s kritériami a systémom hodnotenia. Roly by mali primerane odrážať vykonávané funkcie a postupy na ich implementáciu prijaté v organizácii. Pri prideľovaní vzájomne súvisiacich rolí by sa mala brať do úvahy nevyhnutná postupnosť ich implementácie. Úloha musí byť v súlade s kritériami hodnotenia účinnosti jej implementácie. Hlavný obsah a kvalitu roly v skutočnosti určuje systém hodnotenia, ktorý sa na ňu vzťahuje.
Dostupnosť služieb a služieb. Organizácia musí zabezpečiť pre svojich zákazníkov a dodávateľov dostupnosť služieb a služieb v rámci stanovených časových rámcov určených príslušnými dohodami ( dohody) a/alebo iné dokumenty.
Pozorovateľnosť a vyhodnotiteľnosť informačnej bezpečnosti. Akékoľvek navrhované ochranné opatrenia musia byť navrhnuté tak, aby účinok ich aplikácie bol jasne viditeľný, pozorovateľný ( transparentný) a mohol by byť posúdený oddelením organizácie s príslušným orgánom.

5. Ciele a ciele informačnej bezpečnosti

5.1. Subjekty informačných vzťahov v automatizovanom systéme

Subjektmi právnych vzťahov pri využívaní AÚ a zaisťovaní bezpečnosti informácií sú:

Organizácia ako vlastník informačných zdrojov;
útvary organizácie zabezpečujúcej prevádzku JE;
zamestnanci štruktúrnych oddelení organizácie ako používatelia a poskytovatelia informácií v AÚ v súlade s funkciami, ktoré im boli pridelené;
právnické osoby a fyzické osoby, o ktorých sa informácie zhromažďujú, uchovávajú a spracúvajú v AS;
iné právnické osoby a fyzické osoby podieľajúce sa na vzniku a fungovaní AÚ ( vývojári systémových komponentov, organizácie zaoberajúce sa poskytovaním rôznych služieb v danej oblasti informačných technológií atď.).

Uvedené subjekty informačných vzťahov majú záujem zabezpečiť:

dôvernosť určitej informácie;
spoľahlivosť ( úplnosť, presnosť, primeranosť, integrita) informácie;
ochrana pred uvalením falošných ( nespoľahlivé, skreslené) informácie;
včasný prístup k potrebným informáciám;
diferenciácia zodpovednosti za porušenie zákonných práv ( záujmy) ostatné subjekty informačných vzťahov a ustanovené pravidlá nakladania s informáciami;
možnosť nepretržitého monitorovania a riadenia procesov spracovania a prenosu informácií;
ochrana časti informácií pred ich nelegálnou replikáciou ( ochrana autorských práv, práv vlastníka informácií a pod.).

5.2. Cieľ informačnej bezpečnosti

Hlavným cieľom zaistenia bezpečnosti informácií je ochrana subjektov informačných vzťahov pred ich prípadným materiálnym, morálnym alebo iným poškodením náhodným alebo úmyselným neoprávneným zasahovaním do procesu fungovania AÚ alebo neoprávneným prístupom k informáciám, ktoré v nej kolujú a jeho nezákonné používanie.

Tento cieľ sa dosahuje zabezpečením a neustálou údržbou nasledujúcich vlastností informácií a automatizovaným systémom na ich spracovanie:

dostupnosť spracovávaných informácií pre registrovaných užívateľov;
dôvernosť určitej časti informácií uchovávaných, spracovávaných a prenášaných prostredníctvom komunikačných kanálov;
integritu a autentickosť informácií uchovávaných, spracovávaných a prenášaných prostredníctvom komunikačných kanálov.

5.3. Ciele informačnej bezpečnosti

Na dosiahnutie hlavného cieľa zabezpečenia informačnej bezpečnosti musí systém informačnej bezpečnosti JE poskytovať efektívne riešenie nasledujúcich úloh:

ochrana pred zasahovaním do procesu fungovania AÚ neoprávnenými osobami;
diferenciácia prístupu registrovaných používateľov k hardvéru, softvéru a informačným zdrojom AÚ, to znamená ochrana pred neoprávneným prístupom;
registrácia akcií používateľov pri používaní chránených prostriedkov AS v systémových protokoloch a pravidelná kontrola správnosti akcií používateľov systému analýzou obsahu týchto protokolov odborníkmi z bezpečnostných oddelení;
ochrana proti neoprávneným úpravám a kontrola integrity ( zabezpečenie nemennosti) prostredie vykonávania programov a jeho obnovenie v prípade porušenia;
ochrana pred neoprávnenou úpravou a kontrola integrity softvéru používaného v AÚ, ako aj ochrana systému pred zavedením neoprávnených programov vrátane počítačových vírusov;
ochrana informácií pred únikom cez technické kanály počas ich spracovania, uchovávania a prenosu cez komunikačné kanály;
ochrana informácií uchovávaných, spracovávaných a prenášaných prostredníctvom komunikačných kanálov pred neoprávneným zverejnením alebo skreslením;
Poskytovanie autentifikácie užívateľov zúčastňujúcich sa na výmene informácií;
zabezpečenie životnosti nástrojov na ochranu kryptografických informácií, keď je ohrozená časť kľúčového systému;
včasná identifikácia zdrojov ohrozenia informačnej bezpečnosti, príčin a podmienok prispievajúcich k poškodeniu zainteresovaných subjektov informačných vzťahov, vytvorenie mechanizmu rýchlej reakcie na ohrozenie informačnej bezpečnosti a negatívne trendy;
vytváranie podmienok pre minimalizáciu a lokalizáciu škôd spôsobených protiprávnym konaním fyzických a právnických osôb, oslabenie negatívnych dopadov a odstraňovanie následkov narušenia informačnej bezpečnosti.

5.4. Spôsoby riešenia problémov informačnej bezpečnosti

Riešenie problémov informačnej bezpečnosti sa dosahuje:

prísne účtovanie všetkých systémových prostriedkov podliehajúcich ochrane ( informácie, úlohy, komunikačné kanály, servery, AWP);
regulácia procesov spracovania informácií a úkonov zamestnancov štruktúrnych oddelení organizácie, ako aj úkonov personálu vykonávajúceho údržbu a úpravy programového vybavenia a hardvéru jadrovej elektrárne na základe organizačných a administratívnych dokumentov o informačnej bezpečnosti;
úplnosť, reálna realizovateľnosť a konzistentnosť požiadaviek organizačných a administratívnych dokumentov o informačnej bezpečnosti;
menovanie a školenie zamestnancov zodpovedných za organizáciu a vykonávanie praktických opatrení na zaistenie bezpečnosti informácií;
splnomocnenie každého zamestnanca na minimum potrebné na to, aby mohol plniť svoje funkčné povinnosti s oprávnením na prístup k zdrojom jadrovej elektrárne;
jasné znalosti a prísne dodržiavanie všetkými zamestnancami, ktorí používajú a udržiavajú hardvér a softvér jadrovej elektrárne, požiadavky organizačných a administratívnych dokumentov o informačnej bezpečnosti;
osobnú zodpovednosť za svoje konanie každého zamestnanca, ktorý sa v rámci svojich funkčných povinností zúčastňuje procesov automatizovaného spracovania informácií a má prístup k zdrojom AÚ;
realizácia technologických procesov spracovania informácií s využitím komplexov organizačných a technických opatrení na ochranu softvéru, hardvéru a dát;
prijatie účinných opatrení na zabezpečenie fyzickej integrity technických zariadení a nepretržité udržiavanie požadovanej úrovne ochrany komponentov JE;
aplikácia technickej ( softvér a hardvér) prostriedky ochrany systémových zdrojov a nepretržitá administratívna podpora ich využívania;
vymedzenie informačných tokov a zákaz prenosu informácií s obmedzenou distribúciou prostredníctvom nechránených komunikačných kanálov;
efektívna kontrola dodržiavania požiadaviek bezpečnosti informácií zamestnancami;
neustále sledovanie sieťové zdroje, identifikácia slabých miest, včasná detekcia a neutralizácia vonkajších a vnútorných hrozieb pre bezpečnosť počítačovej siete;
právna ochrana záujmov organizácie pred protiprávnym konaním v oblasti informačnej bezpečnosti.
priebežnú analýzu účinnosti a dostatočnosti prijatých opatrení a použitých prostriedkov ochrany informácií, vypracovanie a realizáciu návrhov na zlepšenie systému ochrany informácií v jadrovej elektrárni.

6 hrozieb informačnej bezpečnosti

6.1. Hrozby informačnej bezpečnosti a ich zdroje

Najnebezpečnejšie hrozby pre bezpečnosť informácií spracovávaných v jadrovej elektrárni sú:

porušenie dôvernosti ( odhalenie, únik) informácie predstavujúce služobné alebo obchodné tajomstvo vrátane osobných údajov;
nefunkčné ( dezorganizácia práce) AU, blokovanie informácií, narušenie technologických procesov, narušenie včasného riešenia problémov;
porušenie integrity ( skreslenie, nahradenie, zničenie) informácie, softvér a iné zdroje AÚ.

Hlavnými zdrojmi ohrozenia informačnej bezpečnosti JE sú:

nežiaduce udalosti prírodného a človekom spôsobeného charakteru;
teroristi, zločinci;
počítačoví zločinci vykonávajúci cielené deštruktívne akcie vrátane použitia počítačové vírusy a iné typy škodlivých kódov a útokov;
dodávatelia softvéru a hardvéru, spotrebného materiálu, služieb atď.;
dodávatelia vykonávajúci inštaláciu, uvedenie zariadenia do prevádzky a jeho opravu;
nedodržiavanie požiadaviek dozorných a regulačných orgánov, platnej legislatívy;
poruchy, poruchy, zničenie/poškodenie softvéru a hardvéru;
zamestnanci, ktorí sú zákonnými účastníkmi procesov v AÚ a konajú nad rámec udelených právomocí;
zamestnancov, ktorí sú zákonnými účastníkmi procesov v AÚ a konajú v rámci udelených právomocí.

6.2. Neúmyselné konania vedúce k narušeniu informačnej bezpečnosti a opatrenia na ich predchádzanie

Zamestnanci organizácie, ktorí majú priamy prístup k procesom spracovania informácií v AÚ, sú potenciálnym zdrojom neúmyselných náhodných akcií, ktoré môžu viesť k narušeniu informačnej bezpečnosti.

Závažné neúmyselné kroky vedúce k narušeniu informačnej bezpečnosti (činnosti ľudí vykonané náhodne, z nevedomosti, nepozornosti alebo nedbanlivosti, zo zvedavosti, ale bez zlého úmyslu) a opatrenia na predchádzanie takýmto konaniam a minimalizovanie škôd, ktoré spôsobujú stôl 1.

stôl 1

Hlavné akcie vedúce k narušeniu informačnej bezpečnosti
Činnosti zamestnancov vedúce k čiastočnému alebo úplnému zlyhaniu systému alebo narušeniu výkonu hardvéru alebo softvéru; odpojenie zariadení alebo zmena prevádzkových režimov zariadení a programov; zničenie informačných zdrojov systému ( neúmyselné poškodenie zariadenia, vymazanie, skreslenie programov alebo súborov s dôležitými informáciami vrátane systémových, poškodenie komunikačných kanálov, neúmyselné poškodenie pamäťových médií a pod.)	Organizačné opatrenia ( ). Použitie fyzických prostriedkov na zabránenie neúmyselnému spáchaniu priestupku. Aplikácia technickej ( hardvér a softvér) prostriedky na diferenciáciu prístupu k zdrojom. Rezervácia kritických zdrojov.
Neoprávnené spustenie programov, ktoré pri nekompetentnom používaní môžu spôsobiť stratu výkonu systému ( zamrzne alebo zacyklí) alebo vykonaním nezvratných zmien v systéme ( formátovanie alebo reštrukturalizácia pamäťových médií, vymazanie údajov a pod.)	Organizačné opatrenia ( odstránenie všetkých potenciálne nebezpečných programov z pracovnej stanice). Aplikácia technickej ( hardvér a softvér) prostriedky na rozlíšenie prístupu k programom na pracovnej stanici.
Neoprávnené zavedenie a používanie nenahraných programov ( herné, školiace, technologické a iné, ktoré nie sú potrebné na to, aby zamestnanci mohli vykonávať služobné povinnosti) s následným neprimeraným plytvaním zdrojmi ( čas procesora, pamäť s náhodným prístupom, pamäť na externom médiu atď.)	Organizačné opatrenia ( ukladanie zákazov). Aplikácia technickej ( hardvér a softvér) znamená zabránenie neoprávnenému zavedeniu a použitiu nenahraných programov.
Neúmyselná vírusová infekcia vášho počítača	Organizačné opatrenia ( regulácia akcií, zavedenie zákazov). Technologické opatrenia ( používanie špeciálnych programov na detekciu a ničenie vírusov). Používanie hardvérových a softvérových nástrojov, ktoré zabraňujú infekcii počítačovými vírusmi.
Zverejnenie, prenos alebo strata atribútov riadenia prístupu ( heslá, šifrovacie kľúče alebo elektronický podpis, identifikačné karty, preukazy a pod.)	Organizačné opatrenia ( regulácia úkonov, zavedenie zákazov, posilnenie zodpovednosti). Použitie fyzických prostriedkov na zaistenie bezpečnosti špecifikovaných detailov.
Ignorovanie organizačných obmedzení ( zavedené pravidlá) pri práci v systéme	Organizačné opatrenia ( ). Použitie dodatočných fyzických a technických prostriedkov ochrany.
Nekompetentné používanie, nastavenie alebo nevhodné znefunkčnenie ochranných prostriedkov pracovníkmi bezpečnostnej služby	Organizačné opatrenia ( školenie personálu, posilnenie zodpovednosti a kontroly).
Zadanie chybných údajov	Organizačné opatrenia ( zvýšená zodpovednosť a kontrola). Technologické opatrenia na kontrolu chýb operátorov zadávania údajov.

6.3. Úmyselné akcie na porušenie informačnej bezpečnosti a opatrenia na ich predchádzanie

Základné úmyselné akcie ( na sebecké účely, pod nátlakom, z túžby po pomste atď.), ktoré vedú k narušeniu informačnej bezpečnosti jadrovej elektrárne, a opatrenia na ich zamedzenie a zníženie možnej spôsobenej škody sú uvedené v Tabuľka 2.

tabuľka 2

Hlavné úmyselné činnosti vedúce k narušeniu informačnej bezpečnosti	Opatrenia na predchádzanie hrozbám a minimalizovanie škôd
Fyzické zničenie alebo znefunkčnenie všetkých alebo niektorých najdôležitejších komponentov automatizovaného systému ( zariadenia, nosiče dôležitých systémových informácií, personál a pod.), deaktiváciu alebo deaktiváciu podsystémov na zabezpečenie fungovania počítačových systémov ( napájanie, komunikačné linky atď.)	Organizačné opatrenia ( regulácia akcií, zavedenie zákazov). Použitie fyzických prostriedkov na zabránenie úmyselnému spáchaniu priestupku. Rezervácia kritických zdrojov.
Zavedenie agentov do počtu zamestnancov systému ( vrátane administratívnej skupiny zodpovednej za bezpečnosť), nábor ( podplácaním, vydieraním, vyhrážkami a pod.) používateľov, ktorí majú určité práva na prístup k chráneným zdrojom	Organizačné opatrenia ( výber, umiestnenie a prácu s personálom, posilnenie kontroly a zodpovednosti). Automatická evidencia personálnych úkonov.
Krádež nosičov informácií ( výtlačky, magnetické disky, pásky, pamäťové zariadenia a celé PC), krádeže priemyselného odpadu ( výtlačky, záznamy, vyradené médiá a pod.)	Organizačné opatrenia ( ).
Neoprávnené kopírovanie nosičov informácií, čítanie zvyškových informácií z pamäte s náhodným prístupom a z externých pamäťových zariadení	Organizačné opatrenia ( organizácia skladovania a používania médií s chránenými informáciami). Aplikácia technických prostriedkov na vymedzenie prístupu k chráneným zdrojom a automatická registrácia príjmu tlačených dokumentov.
Nezákonný príjem hesiel a iných podrobností o kontrole prístupu ( tajnými prostriedkami, využívaním nedbanlivosti používateľov, selekciou, napodobňovaním rozhrania systému softvérovými záložkami a pod.) s následným prezlečením za registrovaného užívateľa.	Organizačné opatrenia ( regulácia úkonov, zavádzanie zákazov, práca s personálom). Používanie technických prostriedkov, ktoré bránia implementácii programov na zachytenie hesiel, kľúčov a iných detailov.
Neoprávnené používanie AWP pre používateľov s jedinečnými fyzickými charakteristikami, ako je napríklad číslo pracovnej stanice v sieti, fyzická adresa, adresa v komunikačnom systéme, hardvérová kódovacia jednotka atď.	Organizačné opatrenia ( prísna regulácia prístupu do priestorov a prístupu k práci na týchto ročných pracovných plánoch). Aplikácia fyzických a technických prostriedkov kontroly vstupu.
Neoprávnená úprava softvéru – zavedenie softvérových „záložiek“ a „vírusov“ ( Trójske kone a chyby), teda také časti programov, ktoré nie sú potrebné na implementáciu deklarovaných funkcií, ale ktoré umožňujú prekonať ochranný systém, tajne a nelegálne pristupovať k systémovým zdrojom s cieľom registrovať a prenášať chránené informácie alebo dezorganizovať fungovanie systému ochrany. systém	Organizačné opatrenia ( prísna regulácia prijímania do práce). Použitie fyzických a technických prostriedkov na rozlíšenie prístupu a zabránenie neoprávnenej modifikácii hardvérovej a softvérovej konfigurácie AWP. Aplikácia nástrojov na kontrolu integrity softvéru.
Odpočúvanie dát prenášaných komunikačnými kanálmi, ich analýza za účelom získania dôverných informácií a objasnenia výmenných protokolov, pravidiel vstupu do siete a autorizácie užívateľov, s následnými pokusmi o ich napodobenie preniknúť do systému	Fyzická ochrana komunikačných kanálov. Aplikácia prostriedkov kryptografickej ochrany prenášaných informácií.
Zásahy do procesu fungovania systému z verejných sietí za účelom neoprávnenej modifikácie údajov, prístupu k dôverným informáciám, dezorganizácie prevádzky podsystémov a pod.	Organizačné opatrenia ( regulácia pripojenia a prevádzky vo verejných sieťach). Použitie špeciálnych technických prostriedkov ochrany ( firewally, bezpečnostné kontroly a detekcia útokov na systémové prostriedky atď.).

6.4. Informácie unikajú cez technické kanály

Počas prevádzky technických zariadení JE sú možné nasledujúce kanály úniku alebo narušenia integrity informácií, narušenia výkonu technických zariadení:

bočné elektromagnetické vyžarovanie informatívneho signálu z technických prostriedkov a vedení na prenos informácií;
zachytenie informatívneho signálu, spracovaného pomocou elektronických počítačov, na vodiče a vedenia, ktoré presahujú kontrolovaný priestor kancelárií, vr. na uzemňovacích a napájacích obvodoch;
rôzne elektronické zariadenia zachytávanie informácií ( vrátane "záložky") napojené na komunikačné kanály alebo technické prostriedky spracovania informácií;
prezeranie informácií z obrazoviek displejov a iných prostriedkov na ich zobrazovanie pomocou optických prostriedkov;
vplyv na hardvér alebo softvér s cieľom narušiť integritu ( zničenie, skreslenie) informácií, prevádzkyschopnosti technických prostriedkov, prostriedkov informačnej bezpečnosti a včasnosti výmeny informácií vrátane elektromagnetických prostredníctvom špeciálne implementovaných elektronických a softvérových nástrojov ( "záložky").

Berúc do úvahy špecifiká spracovania a zaistenia bezpečnosti informácií, hrozba úniku dôverných informácií ( vrátane osobných údajov) cez technické kanály sú pre organizáciu irelevantné.

6.5. Neformálny model pravdepodobného votrelca

Páchateľom je ten, kto sa pokúsil vykonať zakázané úkony (napr. akcie) omylom, nevedomosťou alebo úmyselne so zlomyseľnosťou ( z vlastných záujmov) alebo bez neho ( za účelom hry alebo potešenia, za účelom sebapotvrdenia atď.) a využívajú na to rôzne možnosti, metódy a prostriedky.

Systém ochrany JE by mal byť založený na predpokladoch o nasledujúcich možných typoch páchateľov v systéme ( s prihliadnutím na kategóriu osôb, motiváciu, kvalifikáciu, dostupnosť špeciálnych prostriedkov a pod.):

« Neskúsený (nepozorný) používateľ»- zamestnanec, ktorý sa môže pokúšať vykonávať zakázané operácie, pristupovať k chráneným zdrojom AÚ nad rámec svojich právomocí, zadávať nesprávne údaje a pod. omylom, nekompetentnosťou alebo nedbalosťou bez zlého úmyslu a s použitím iba štandardných ( má k dispozícii) hardvér a softvér.
« Milenec"- zamestnanec, ktorý sa snaží prekonať obranný systém bez sebeckých cieľov a zlomyseľných úmyslov, pre sebapotvrdenie alebo z" športový záujem". Na prekonanie ochranného systému a spáchanie zakázaných akcií môže použiť rôzne metódy získanie dodatočného oprávnenia na prístup k zdrojom ( mená, heslá atď. ostatných používateľov), nedostatky v konštrukcii systému ochrany a dostupného personálu ( nainštalovaný na pracovnej stanici) programy ( neoprávneným konaním prekročením svojho oprávnenia použiť povolené prostriedky). Okrem toho sa môže pokúsiť použiť ďalší neštandardný prístrojový a technologický softvér ( debuggery, pomocné programy), samostatne vyvinuté programy alebo štandardné doplnkové technické prostriedky.
« Podvodník"- zamestnanec, ktorý sa môže pokúšať o vykonávanie nelegálnych technologických operácií, zadávanie falošných údajov a podobné akcie zo sebeckých dôvodov, pod nátlakom alebo zo zlomyseľných úmyslov, ale len za použitia bežných ( nainštalovaný na pracovnej stanici a dostupný pre ňu) hardvér a softvér vo vlastnom mene alebo v mene iného zamestnanca ( poznať jeho meno a heslo, využívať jeho krátkodobú neprítomnosť na pracovisku a pod.).
« Vonkajší votrelec (votrelec)„- outsider alebo bývalý zamestnanec konajúci účelovo zo sebeckých záujmov, z pomsty alebo zo zvedavosti, prípadne v tajnej dohode s inými. Dokáže využiť celý súbor metód narúšania bezpečnosti informácií, metód a prostriedkov na prelomenie bezpečnostných systémov typických pre verejné siete ( najmä siete založené na IP), vrátane vzdialenej implementácie softvérových záložiek a využitia špeciálnych prístrojových a technologických programov s využitím existujúcich slabín výmenných protokolov a systému ochrany uzlov siete AS organizácie.
« Vnútorný útočník»- zamestnanec registrovaný ako užívateľ systému, konajúci účelovo zo sebeckých záujmov alebo z pomsty, prípadne v tajnej dohode s osobami, ktoré nie sú zamestnancami organizácie. Môže využívať celú škálu metód a prostriedkov hackovania bezpečnostného systému, vrátane tajných metód získavania prístupových údajov, pasívnych prostriedkov (technické prostriedky odpočúvania bez úpravy komponentov systému), metód a prostriedkov aktívneho ovplyvňovania ( úprava technických prostriedkov, pripojenie na kanály prenosu dát, zavedenie softvérových záložiek a používanie špeciálnych prístrojových a technologických programov), ako aj kombinácia vplyvov zvnútra aj z verejných sietí.

Zasvätenou osobou môže byť osoba z nasledujúcich kategórií personálu:

registrovaní koncoví používatelia AU ( zamestnancov divízií a pobočiek);
pracovníci, ktorí nemajú dovolené pracovať s AÚ;
personál obsluhujúci technické prostriedky jadrovej elektrárne ( inžinieri, technici);
zamestnanci oddelení vývoja a údržby softvéru ( aplikačných a systémových programátorov);
technický personál obsluhujúci budovy a priestory organizácie ( upratovači, elektrikári, inštalatéri a iní pracovníci, ktorí majú prístup do budov a priestorov, kde sa nachádzajú komponenty reproduktorov);
lídrov rôznych úrovní.

prepustení pracovníci;
zástupcovia organizácií interagujúcich v otázkach zabezpečenia života organizácie ( energie, vody, tepla a pod.);
zástupcovia firiem dodávajúcich zariadenia, softvér, služby atď.;
členovia zločineckých organizácií a konkurenčné komerčné štruktúry alebo osoby konajúce v ich mene;
osoby, ktoré náhodne alebo úmyselne vstúpili do siete z externých sietí ( "hackeri").

Používatelia a obslužný personál z radov pracovníkov majú najväčšie príležitosti na vykonávanie neoprávnených akcií, a to vďaka ich určitej autorite na prístup k zdrojom a dobrej znalosti technológie spracovania informácií. Konanie tejto skupiny porušovateľov priamo súvisí s porušovaním existujúcich pravidiel a predpisov. Táto skupina porušovateľov je obzvlášť nebezpečná pri interakcii s kriminálnymi štruktúrami.

Prepustení pracovníci môžu využiť svoje znalosti o technológii práce, ochranných opatreniach a prístupových právach na dosiahnutie svojich cieľov.

Zločinecké štruktúry predstavujú najagresívnejší zdroj vonkajších hrozieb. Pre realizáciu svojich plánov môžu tieto štruktúry otvorene porušovať zákon a zapájať zamestnancov organizácie do svojej činnosti všetkými silami a prostriedkami, ktoré majú k dispozícii.

Hackeri majú najvyššiu technickú kvalifikáciu a znalosti o slabých stránkach softvéru používaného v AÚ. Najväčšiu hrozbu predstavujú pri interakcii s pracujúcimi alebo prepustenými pracovníkmi a kriminálnymi štruktúrami.

Organizácie zaoberajúce sa vývojom, dodávkami a opravami zariadení a informačných systémov predstavujú vonkajšiu hrozbu, pretože z času na čas majú priamy prístup k informačným zdrojom. Zločinecké štruktúry môžu tieto organizácie využívať na dočasné zamestnávanie svojich členov, aby získali prístup k chráneným informáciám.

7. Technická politika v oblasti informačnej bezpečnosti

7.1. Hlavné ustanovenia technickej politiky

Implementácia technickej politiky v oblasti informačnej bezpečnosti musí vychádzať z predpokladu, že nie je možné zabezpečiť požadovanú úroveň informačnej bezpečnosti nielen pomocou jedného samostatné prostriedky (činnosť), ale aj pomocou ich jednoduchej kombinácie. Ich vzájomná systémová koordinácia je nevyhnutná ( komplexná aplikácia) a jednotlivé prvky vyvíjanej AÚ by sa mali považovať za súčasť jedného informačný systém v chránenej verzii s optimálny pomer technický ( hardvér softvér) fondy a organizačné opatrenia.

Hlavnými smermi implementácie technickej politiky na zaistenie bezpečnosti informácií JE je zabezpečenie ochrany informačných zdrojov pred krádežou, stratou, únikom, zničením, skreslením alebo falšovaním v dôsledku neoprávneného prístupu a zvláštnych vplyvov.

V rámci uvedených pokynov technickej politiky na zaistenie bezpečnosti informácií sa vykonávajú tieto činnosti:

zavedenie povoľovacieho systému na prijímanie výkonných umelcov ( užívatelia, servisný personál) na diela, dokumenty a informácie dôverného charakteru;
obmedzenie prístupu výkonných umelcov a neoprávnených osôb do budov a priestorov, kde sa vykonáva práca dôverného charakteru a kde sa nachádzajú prostriedky informatizácie a komunikácie, na ktorých ( uložené, prenášané) informácie dôverného charakteru priamo k samotným prostriedkom informatizácie a komunikácie;
diferenciácia prístupu používateľov a obslužného personálu k informačným zdrojom, softvéru na spracovanie a ochranu informácií v podsystémoch rôznych úrovní a účelov zahrnutých v AÚ;
evidencia dokumentov, informačných polí, evidencia úkonov užívateľov a servisného personálu, kontrola neoprávneného prístupu a úkonov užívateľov, servisného personálu a neoprávnených osôb;
predchádzanie zavedeniu vírusových programov, softvérových záložiek do automatizovaných podsystémov;
kryptografická ochrana informácií spracovaných a prenášaných počítačovou technológiou a komunikáciou;
spoľahlivé ukladanie strojových pamäťových médií, kryptografické kľúče ( kľúčové informácie) a ich obeh, s výnimkou krádeže, zámeny a zničenia;
potrebná rezervácia technických prostriedkov a duplikácia polí a nosičov informácií;
zníženie úrovne a informačného obsahu rušivých emisií a snímačov vytváraných rôznymi prvkami automatizovaných subsystémov;
elektrické oddelenie napájacích obvodov, uzemnenia a iných obvodov objektov informatizácie, ktoré presahujú kontrolovaný priestor;
pôsobenie proti optickým a laserovým prostriedkom pozorovania.

7.2. Formovanie režimu informačnej bezpečnosti

S prihliadnutím na identifikované ohrozenia bezpečnosti JE by mal byť režim informačnej bezpečnosti vytvorený ako súbor metód a opatrení na ochranu informácií cirkulujúcich v JE a jej podpornej infraštruktúre pred náhodnými alebo zámernými vplyvmi prírodného alebo umelého charakteru, ktoré zahŕňajú poškodenie vlastníkov alebo používateľov informácií.

Súbor opatrení na vytvorenie režimu informačnej bezpečnosti zahŕňa:

vytvorenie organizačného a právneho režimu informačnej bezpečnosti v automatizovanom systéme ( regulačné dokumenty, práca s personálom, kancelárska práca);
implementácia organizačných a technických opatrení na ochranu informácií obmedzenej distribúcie pred únikom cez technické kanály;
organizačné a softvérovo-technické opatrenia na zamedzenie neoprávneného konania ( prístup) do informačných zdrojov AÚ;
súbor opatrení na kontrolu fungovania prostriedkov a systémov na ochranu informačných zdrojov s obmedzenou distribúciou po náhodných alebo úmyselných vplyvoch.

8. Opatrenia, metódy a prostriedky informačnej bezpečnosti

8.1. Organizačné opatrenia

Organizačné opatrenia- ide o organizačné opatrenia, ktoré upravujú procesy fungovania JE, využívanie ich zdrojov, činnosť personálu údržby, ako aj postup interakcie používateľov so systémom tak, aby čo najviac skomplikovali alebo vylúčili možnosť implementáciu bezpečnostných hrozieb a zníženie výšky škôd v prípade ich implementácie.

8.1.1. Formovanie bezpečnostnej politiky

Hlavným cieľom organizačných opatrení je formovať politiku v oblasti informačnej bezpečnosti, reflektujúcu prístupy k ochrane informácií a zabezpečiť jej realizáciu vyčlenením potrebných zdrojov a monitorovaním stavu vecí.

Z praktického hľadiska by mala byť bezpečnostná politika JE rozdelená do dvoch úrovní. Horná úroveň zahŕňa rozhodnutia, ktoré ovplyvňujú činnosť organizácie ako celku. Príkladom takýchto riešení môže byť:

vytvorenie alebo revízia komplexného programu informačnej bezpečnosti, určenie osôb zodpovedných za jeho realizáciu;
formulácia cieľov, stanovenie cieľov, definovanie oblastí činnosti v oblasti informačnej bezpečnosti;
prijímanie rozhodnutí o implementácii bezpečnostného programu, ktoré sa posudzujú na úrovni organizácie ako celku;
ustanovenie regulačného ( legálne) databáza bezpečnostných otázok atď.

Politika nižšej úrovne definuje postupy a pravidlá na dosiahnutie cieľov a riešenie problémov informačnej bezpečnosti a spresňuje (upravuje) tieto pravidlá:

aký je rozsah politiky informačnej bezpečnosti;
aké sú úlohy a povinnosti úradníkov zodpovedných za implementáciu politiky informačnej bezpečnosti;
kto má právo na prístup k dôverným informáciám;
kto a za akých podmienok môže čítať a upravovať informácie atď.

Politika nižšej úrovne by mala:

zabezpečiť reguláciu informačných vzťahov s vylúčením možnosti svojvoľného, monopolného alebo neoprávneného konania vo vzťahu k dôverným informačným zdrojom;
definovať koaličné a hierarchické princípy a metódy zdieľania tajomstiev a vymedzenia prístupu k informáciám s obmedzenou distribúciou;
zvoliť softvérové a hardvérové prostriedky kryptografickej ochrany, ochrany proti neoprávnenej manipulácii, autentifikácie, autorizácie, identifikácie a iných ochranných mechanizmov, ktoré poskytujú záruky pre realizáciu práv a povinností subjektov informačných vzťahov.

8.1.2. Regulácia prístupu k technickým prostriedkom

Prevádzka zabezpečených automatizovaných pracovných staníc a serverov banky musí byť vykonávaná v miestnostiach vybavených spoľahlivými automatickými zámkami, alarmmi a neustále strážené alebo monitorované s vylúčením možnosti nekontrolovaného vstupu do priestorov nepovolaných osôb a zaistením fyzickej bezpečnosti chránených zdrojov. nachádza sa v priestoroch ( AWP, dokumenty, prístupové údaje atď.). Umiestnenie a inštalácia technických prostriedkov takýchto AWP by mala vylúčiť možnosť vizuálneho sledovania vstupu ( stiahnutý) informácie od osôb, ktoré s tým nesúvisia. Upratovanie priestorov so zariadením v nich inštalovaným by sa malo vykonávať v prítomnosti zodpovednej osoby, ktorá má tieto technické prostriedky pridelené, alebo osoby v službe na oddelení, v súlade s opatreniami, ktoré vylučujú prístup nepovolaných osôb do chránených priestorov. zdrojov.

Počas spracovania obmedzených informácií by sa v priestoroch mali zdržiavať iba osoby oprávnené na prácu s týmito informáciami.

Na konci pracovného dňa musia byť priestory s inštalovanými chránenými AWP odovzdané pod ochranu.

Na uloženie kancelárskych dokumentov a strojových médií s chránenými informáciami majú zamestnanci k dispozícii kovové skrine, ako aj prostriedky na ničenie dokumentov.

Technické prostriedky, ktoré sa používajú na spracovanie alebo uchovávanie dôverných informácií, musia byť zapečatené.

8.1.3. Regulácia prístupu zamestnancov k využívaniu informačných zdrojov

V rámci permisívneho prijímacieho systému sa stanovuje: kto, komu, aké informácie a na aký typ prístupu a za akých podmienok možno poskytnúť; systém kontroly prístupu, ktorý zahŕňa definíciu informácií a softvérových prostriedkov, ktoré majú k dispozícii pre všetkých používateľov AÚ pre konkrétne operácie ( čítať, zapisovať, upravovať, mazať, spúšťať) pomocou špecifikovaných softvérových a hardvérových prístupových nástrojov.

Prijímanie pracovníkov na prácu s AÚ a prístup k ich zdrojom musia byť prísne regulované. Akékoľvek zmeny v zložení a právomociach používateľov subsystémov AÚ by sa mali vykonať v súlade so stanoveným postupom.

Hlavnými užívateľmi informácií v AÚ sú zamestnanci štruktúrnych oddelení organizácie. Úroveň oprávnenia pre každého používateľa sa určuje individuálne pri dodržaní nasledujúcich požiadaviek:

otvorené a dôverné informácie sa umiestňujú vždy, keď je to možné, na rôzne servery;
každý zamestnanec využíva len práva, ktoré sú mu predpísané vo vzťahu k informáciám, s ktorými potrebuje pracovať v súlade so svojimi pracovnými povinnosťami;
šéf má právo prezerať si informácie svojich podriadených;
najkritickejšie technologické operácie by sa mali vykonávať podľa pravidla "V dvoch rukách"- správnosť zadaných údajov potvrdí iný úradník, ktorý nemá právo zadávať informácie.

Všetci zamestnanci prijatí do práce v JE a pracovníci údržby JE musia niesť osobnú zodpovednosť za porušenie stanoveného postupu pre automatizované spracovanie informácií, pravidiel pre uchovávanie, používanie a prenos chránených zdrojov systému, ktorý majú k dispozícii. Pri prijímaní do zamestnania musí každý zamestnanec podpísať Záväzok o dodržiavaní požiadaviek na uchovávanie dôverných informácií a zodpovednosti za ich porušenie, ako aj o dodržiavaní pravidiel pre prácu s chránenými informáciami v AÚ.

Spracovanie chránených informácií v podsystémoch AU musí prebiehať v súlade so schválenými technologickými pokynmi ( objednávky) pre tieto subsystémy.

Pre používateľov, chránené pracovné stanice, by sa mali vypracovať potrebné technologické pokyny vrátane požiadaviek na zaistenie bezpečnosti informácií.

8.1.4. Regulácia procesov údržby databáz a úpravy informačných zdrojov

Všetky operácie na udržiavanie databáz v AÚ a prijímanie pracovníkov na prácu s týmito databázami musia byť prísne regulované. Akékoľvek zmeny v zložení a právomoci používateľov databáz AÚ by sa mali vykonať v súlade so stanoveným postupom.

Distribúciou mien, generovaním hesiel, udržiavaním pravidiel rozlišovania prístupov k databázam sú poverení pracovníci oddelenia informačných technológií. V tomto prípade je možné použiť štandardné aj dodatočné prostriedky na ochranu DBMS a operačných systémov.

8.1.5. Regulácia procesov údržby a úpravy hardvérových a softvérových prostriedkov

Systémové prostriedky, ktoré majú byť chránené ( úlohy, programy, AWP) podliehajú prísnemu účtovníctvu ( na základe použitia vhodných formulárov alebo špecializovaných databáz).

Hardvérová a softvérová konfigurácia automatizovaných pracovných staníc, na ktorých sa spracúvajú chránené informácie alebo z ktorých je možný prístup k chráneným zdrojom, musí zodpovedať rozsahu funkčných povinností pridelených používateľom tohto AWS. Všetky nepoužité (nepotrebné) informačné vstupno-výstupné zariadenia ( COM, USB, LPT porty, disketové mechaniky, CD a iné pamäťové médiá) na takýchto AWP je potrebné deaktivovať (vymazať), zmazať aj nepotrebný softvér a dáta z diskov AWS.

Na zjednodušenie údržby, údržby a organizácie ochrany by mali byť pracovné stanice vybavené softvérom a konfigurované jednotným spôsobom ( v súlade so stanovenými pravidlami).

Uvedenie nových AWP do prevádzky a všetky zmeny v konfigurácii hardvéru a softvéru, existujúcich AWP v AS organizácie by sa mali vykonávať len v stanovenom poradí.

Všetok softvér ( vyvinuté odborníkmi organizácie, získané alebo získané od výrobcov) by mal byť predpísaným spôsobom odskúšaný a odovzdaný do depozitára programov organizácie. V subsystémoch AÚ by sa mal inštalovať a používať iba softvér prijatý z depozitára v súlade so stanoveným postupom. Používanie softvéru v AS, ktorý nie je súčasťou softvérového depozitára, by malo byť zakázané.

Vývoj softvéru, testovanie vyvinutého a zakúpeného softvéru, prenos softvéru do prevádzky by sa mal vykonávať v súlade so stanoveným postupom.

8.1.6. Školenie a vzdelávanie používateľov

Pred poskytnutím prístupu do AÚ sa jej používatelia, ako aj pracovníci vedenia a údržby musia oboznámiť so zoznamom dôverných informácií a úrovňou ich oprávnení, ako aj s organizačnou a administratívnou, regulačnou, technickou a prevádzkovou dokumentáciou, ktorá určuje požiadavky a postup spracovania takýchto informácií.

Ochrana informácií vo všetkých vyššie uvedených oblastiach je možná až po tom, čo si používatelia osvoja určitú disciplínu, t.j. normy, ktoré sú záväzné pre každého, kto pracuje v AÚ. Tieto normy zahŕňajú zákaz akýchkoľvek úmyselných alebo neúmyselných akcií, ktoré narúšajú normálnu prevádzku AU, spôsobujú dodatočné náklady na zdroje, porušujú integritu uložených a spracovávaných informácií, porušujú záujmy oprávnených používateľov.

Všetci zamestnanci využívajúci pri svojej práci konkrétne subsystémy JE musia byť oboznámení s organizačnými a administratívnymi dokumentmi ochrany jadrovej elektrárne z hľadiska ich pôsobnosti, musia poznať a dôsledne dodržiavať technologické pokyny a všeobecné povinnosti na zaistenie bezpečnosti informácií. Donesenie náležitostí týchto dokumentov osobám povereným spracovaním chránených informácií musia vykonať vedúci oddelení proti ich podpisu.

8.1.7. Zodpovednosť za porušenie požiadaviek informačnej bezpečnosti

Pri každom závažnom porušení požiadaviek na bezpečnosť informácií zamestnancami organizácie by sa malo vykonať oficiálne vyšetrovanie. Proti páchateľom musia byť prijaté primerané opatrenia. Miera zodpovednosti personálu za činy spáchané v rozpore so stanovenými pravidlami na zabezpečenie bezpečného automatizovaného spracovania informácií by mala byť určená spôsobenou škodou, prítomnosťou zlého úmyslu a inými faktormi.

Na implementáciu zásady osobnej zodpovednosti používateľov za ich činy je potrebné:

individuálna identifikácia používateľov a nimi iniciované procesy, t.j. zriadenie im identifikátora, na základe ktorého sa bude vykonávať diferenciácia prístupu v súlade so zásadou platnosti prístupu;
overenie užívateľa ( Overenie) na základe hesiel, kľúčov na inom fyzickom základe atď.;
registrácia ( ťažba dreva) fungovanie mechanizmov kontroly prístupu k zdrojom informačného systému s uvedením dátumu a času, identifikátorov požadujúcich a požadovaných zdrojov, typu interakcie a jej výsledku;
reakcia na pokusy o neoprávnený prístup ( alarm, blokovanie a pod.).

8.2. Technické prostriedky ochrany

Technické ( hardvér a softvér) ochranné prostriedky - rôzne elektronické zariadenia a špeciálne programy ktoré sú súčasťou AU a vykonávajú (samostatne alebo v kombinácii s inými prostriedkami) ochranné funkcie ( identifikácia a autentifikácia používateľov, diferenciácia prístupu k zdrojom, registrácia udalostí, kryptografická ochrana informácií a pod.).

Pri zohľadnení všetkých požiadaviek a zásad zaistenia bezpečnosti informácií v jadrovej elektrárni vo všetkých oblastiach ochrany by mali byť do systému ochrany zahrnuté tieto prostriedky:

prostriedky autentifikácie používateľov a reproduktorových prvkov ( terminály, úlohy, položky databázy atď.) zodpovedajúcu stupňu dôvernosti informácií a spracúvaných údajov;
prostriedky na vymedzenie prístupu k údajom;
Prostriedky kryptografickej ochrany informácií v linkách na prenos údajov a v databázach;
prostriedky registrácie obehu a kontroly používania chránených informácií;
prostriedky reagovania na zistené manipulácie alebo pokusy o manipuláciu;
prostriedky na zníženie úrovne a informačného obsahu rušivých emisií a zberov;
prostriedky ochrany pred optickými prostriedkami pozorovania;
ochrana pred vírusmi a škodlivým softvérom;
prostriedky elektrického oddelenia prvkov AU a konštrukčných prvkov priestorov, v ktorých sa zariadenie nachádza.

Technické prostriedky ochrany pred neoprávnenými útokmi sú poverené riešením týchto hlavných úloh:

identifikácia a autentifikácia používateľov pomocou mien a/alebo špeciálneho hardvéru ( Dotknite sa položky Pamäť, Smart karta atď.);
regulácia prístupu používateľov k fyzickým zariadeniam pracovných staníc ( disky, vstupno-výstupné porty);
selektívna (voľná) kontrola prístupu k logickým jednotkám, adresárom a súborom;
autoritatívne (povinné) rozlišovanie prístupu k chráneným údajom na pracovnej stanici a na súborovom serveri;
vytvorenie uzavretého softvérové prostredie povolené spúšťať programy umiestnené na lokálnych aj sieťových jednotkách;
ochrana proti prenikaniu počítačových vírusov a malvéru;
kontrola integrity modulov systému ochrany, oblastí diskového systému a ľubovoľných zoznamov súborov v automatickom režime a príkazmi správcu;
registrácia akcií používateľa v chránenom časopise, prítomnosť niekoľkých úrovní registrácie;
ochrana systému ochrany údajov na súborovom serveri pred prístupom všetkých používateľov vrátane správcu siete;
centralizovaná správa nastavení prostriedkov diferenciácie prístupu na pracovných staniciach siete;
registrácia všetkých udalostí spojených s manipuláciou na pracovných staniciach;
prevádzková kontrola nad prácou používateľov siete, zmena režimov prevádzky pracovných staníc a možnosť blokovania ( Ak je to nevyhnutné) akúkoľvek stanicu v sieti.

Úspešná aplikácia technických prostriedkov ochrany predpokladá, že organizačnými opatreniami a použitými fyzickými prostriedkami ochrany je zabezpečené splnenie nasledujúcich požiadaviek:

je zabezpečená fyzická integrita všetkých zložiek AÚ;
každý zamestnanec ( používateľ systému) má jedinečný názov systému a minimálne oprávnenie na prístup k systémovým prostriedkom potrebným na plnenie jeho funkčných povinností;
používanie prístrojových a technologických programov na pracovných staniciach ( testovacie nástroje, debuggery atď.), ktorý umožňuje pokusy o hacknutie alebo obídenie bezpečnostných opatrení, je obmedzený a prísne regulovaný;
v chránenom systéme nie sú žiadni programujúci používatelia a vývoj a ladenie programov sa vykonáva mimo chráneného systému;
všetky zmeny v konfigurácii hardvéru a softvéru sa vykonávajú prísne stanoveným spôsobom;
sieťový hardvér ( rozbočovače, prepínače, smerovače atď.) sa nachádza na miestach neprístupných pre cudzincov ( špeciálne miestnosti, šatníky atď.);
služba informačnej bezpečnosti vykonáva nepretržité riadenie a administratívnu podporu fungovania nástrojov informačnej bezpečnosti.

8.2.1. Nástroje na identifikáciu a autentifikáciu používateľov

Aby sa zabránilo prístupu neoprávnených osôb k AU, je potrebné zabezpečiť, aby systém rozpoznal každého legitímneho používateľa (alebo obmedzené skupiny používateľov). Ak to chcete urobiť, v systéme ( na chránenom mieste) by mal uchovávať množstvo atribútov každého používateľa, podľa ktorých možno tohto používateľa identifikovať. Používateľ je v budúcnosti pri vstupe do systému, prípadne aj pri vykonávaní niektorých úkonov v systéme povinný sa identifikovať, t.j. uveďte identifikátor, ktorý je mu priradený v systéme. Okrem toho je možné na identifikáciu použiť rôzne typy zariadení: magnetické karty, kľúčenky, diskety atď.

Overenie ( potvrdenie pravosti) používatelia by sa mali vykonávať na základe použitia hesiel (tajných slov) alebo špeciálnych prostriedkov overenia autentifikácie jedinečné vlastnosti(parametre) užívateľov.

8.2.2. Prostriedky vymedzenia prístupu k zdrojom automatizovaného systému

Po rozpoznaní používateľa musí systém používateľa autorizovať, teda určiť, aké práva sú používateľovi udelené, t.j. aké dáta a ako môže využívať, aké programy môže vykonávať, kedy, ako dlho a z akých terminálov môže pracovať, aké systémové prostriedky môže využívať atď. Autorizácia používateľa by sa mala vykonávať pomocou nasledujúcich mechanizmov kontroly prístupu:

selektívne mechanizmy riadenia prístupu založené na použití schém atribútov, zoznamov povolení atď.;
autoritatívne mechanizmy kontroly prístupu založené na používaní štítkov dôvernosti zdrojov a úrovniach prístupu používateľov;
mechanizmy na poskytovanie uzavretého prostredia dôveryhodného softvéru ( individuálne pre každého používateľa zoznamy povolených programov na spustenie) podporované mechanizmami na identifikáciu a autentifikáciu používateľov, keď sa prihlásia do systému.

Oblasti zodpovednosti a úlohy konkrétnych technických prostriedkov ochrany sú ustanovené na základe ich schopností a výkonnostných charakteristík opísaných v dokumentácii k týmto prostriedkom.

Technické prostriedky kontroly vstupu by mali byť neoddeliteľnou súčasťou jednotného systému kontroly vstupu:

do kontrolovaného pásma;
v oddelených miestnostiach;
na prvky AÚ a prvky systému informačnej bezpečnosti ( fyzický prístup);
na zdroje AÚ ( matematický prístup);
do informačných úložísk ( pamäťové médiá, zväzky, súbory, súbory údajov, archívy, referencie, záznamy atď.);
k aktívnym zdrojom ( aplikačné programy, úlohy, formuláre žiadostí atď.);
na operačný systém, systémové programy a ochranné programy atď.

8.2.3. Prostriedky zabezpečenia a monitorovania integrity softvéru a informačných zdrojov

Kontrola integrity programov, spracovávaných informácií a prostriedkov ochrany, aby sa zabezpečila nemennosť softvérového prostredia, určená poskytnutou technológiou spracovania, a ochrana pred neoprávnenou opravou informácií by mala byť zabezpečená:

prostriedky na výpočet kontrolných súčtov;
prostriedkami elektronický podpis;
prostriedky na porovnanie dôležitých zdrojov s ich hlavnými kópiami ( a vymáhanie v prípade porušenia integrity);
prostriedky kontroly prístupu ( odmietnutie prístupu s právami na úpravu alebo vymazanie).

Na ochranu informácií a programov pred neoprávneným zničením alebo skreslením je potrebné zabezpečiť:

duplikácia systémových tabuliek a údajov;
duplexovanie a zrkadlenie údajov na diskoch;
sledovanie transakcií;
periodická kontrola integrity operačný systém a užívateľské programy, ako aj užívateľské súbory;
antivírusová ochrana a kontrola;
zálohovanie dát podľa vopred stanovenej schémy.

8.2.4. Ovládacie prvky bezpečnostných udalostí

Kontroly by mali zabezpečiť, aby všetky udalosti ( akcie užívateľa, pokusy neoprávnených osôb a pod.), ktoré môžu mať za následok porušenie bezpečnostnej politiky a viesť k vzniku krízových situácií. Ovládacie prvky by mali poskytovať možnosť:

neustále monitorovanie kľúčových uzlov siete a komunikačných zariadení tvoriacich sieť, ako aj sieťovej aktivity v kľúčových segmentoch siete;
kontrola používania podnikových a verejných sieťových služieb používateľmi;
udržiavanie a analýza protokolov bezpečnostných udalostí;
včasné odhalenie vonkajších a vnútorných hrozieb informačnej bezpečnosti.

Pri registrácii bezpečnostných udalostí do systémového denníka by sa mali zaznamenať nasledujúce informácie:

dátum a čas udalosti;
identifikátor subjektu ( užívateľ, program) vykonanie registrovanej akcie;
akcia ( ak je zaregistrovaná žiadosť o prístup, potom je označený objekt a typ prístupu).

Kontroly by mali zabezpečiť zistenie a zaznamenanie nasledujúcich udalostí:

prihlásenie užívateľa do systému;
prihlásenie používateľa do siete;
neúspešné prihlásenie alebo pokus o sieť ( nesprávne heslo);
pripojenie k súborovému serveru;
spustenie programu;
dokončenie programu;
pokus o spustenie programu, ktorý nie je možné spustiť;
pokus o získanie prístupu k neprístupnému adresáru;
pokus o čítanie/zápis informácií z disku, ktorý je pre používateľa nedostupný;
pokus o spustenie programu z disku, ktorý je pre používateľa nedostupný;
porušenie integrity programov a údajov systému ochrany atď.

Mali by byť podporované nasledujúce hlavné spôsoby reakcie na zistené skutočnosti neoprávnených osôb ( prípadne za účasti bezpečnostného správcu):

oznámenie vlastníkovi informácie o NSD k jeho údajom;
zrušenie programu ( úlohy) s ďalším vykonávaním;
upovedomenie správcu databázy a bezpečnostného správcu;
odpojenie terminálu ( pracovná stanica) z ktorých boli vykonané pokusy NSD o informácie alebo nezákonné akcie na sieti;
vylúčenie páchateľa zo zoznamu registrovaných užívateľov;
signalizácia alarmu atď.

8.2.5. Zabezpečenie kryptografických informácií

Jedným z najdôležitejších prvkov systému informačnej bezpečnosti jadrovej elektrárne by malo byť používanie kryptografických metód a prostriedkov na ochranu informácií pred neoprávneným prístupom pri ich prenose komunikačnými kanálmi a ukladaní na počítačové médiá.

Všetky prostriedky kryptografickej ochrany informácií v AU by mali byť založené na základnom kryptografickom jadre. Organizácia musí mať zákonom ustanovené licencie na právo používať kryptografické médiá.

Kľúčový systém prostriedkov kryptografickej ochrany používaných v AÚ by mal zabezpečovať šifrovaciu schopnosť prežitia a viacúrovňovú ochranu proti ohrozeniu kľúčových informácií, oddelenie používateľov podľa úrovní ochrany a zón ich interakcie medzi sebou navzájom a používateľmi iných úrovní.

Dôvernosť a ochrana pred imitáciou informácií počas ich prenosu prostredníctvom komunikačných kanálov by mala byť zabezpečená použitím prostriedkov predplatiteľa a kódovania kanálov v systéme. Kombinácia účastníckeho a kanálového šifrovania informácií by mala zabezpečiť ich end-to-end ochranu pozdĺž celej cesty, chrániť informácie v prípade ich chybného presmerovania v dôsledku porúch a porúch hardvéru a softvéru ústrední.

AÚ, ktorá je systémom s distribuovanými informačnými zdrojmi, musí využívať aj prostriedky na generovanie a overovanie elektronických podpisov, aby bola zabezpečená integrita a právne preukazné potvrdenie pravosti správ, ako aj autentifikácia používateľov, účastníckych staníc a potvrdenie času. odosielania správ. V tomto prípade by sa mali použiť štandardizované algoritmy elektronického podpisu.

8.3. Manažment informačnej bezpečnosti

Riadenie systému informačnej bezpečnosti v JE je cielený vplyv na komponenty bezpečnostného systému ( organizačné, technické, softvérové a kryptografické) za účelom dosiahnutia požadovaných ukazovateľov a štandardov pre bezpečnosť informácií obiehajúcich v JE v kontexte implementácie hlavných bezpečnostných hrozieb.

Hlavným cieľom organizácie riadenia systému informačnej bezpečnosti je zvýšiť spoľahlivosť ochrany informácií pri ich spracovaní, uchovávaní a prenose.

Riadenie systému informačnej bezpečnosti je realizované špecializovaným kontrolným subsystémom, ktorý je súborom kontrolných orgánov, technických, programových a kryptografických prostriedkov, ako aj organizačných opatrení a vzájomne pôsobiacich kontrolných bodov rôznych úrovní.

Funkcie riadiaceho subsystému sú: informačné, riadiace a pomocné.

Informačná funkcia spočíva v nepretržitom monitorovaní stavu systému ochrany, kontrole súladu bezpečnostných ukazovateľov s prípustnými hodnotami a okamžitom informovaní operátorov bezpečnosti o situáciách, ktoré nastanú v jadrovej elektrárni a ktoré môžu viesť k narušeniu informačnej bezpečnosti. . Na monitorovanie stavu systému ochrany sú dve požiadavky: úplnosť a spoľahlivosť. Úplnosť charakterizuje stupeň pokrytia všetkých prostriedkov ochrany a parametre ich fungovania. Spoľahlivosť riadenia charakterizuje stupeň primeranosti hodnôt kontrolovaných parametrov k ich skutočnej hodnote. V dôsledku spracovania riadiacich údajov sa generujú informácie o stave ochranného systému, ktoré sú zovšeobecnené a prenášané do vyšších kontrolných bodov.

Kontrolná funkcia spočíva v tvorbe plánov realizácie technologických operácií jadrovej elektrárne s prihliadnutím na požiadavky informačnej bezpečnosti v podmienkach prevládajúcich pre tohto momentučas, ako aj pri určovaní polohy situácie informačnej zraniteľnosti a zabránení jej úniku rýchlym blokovaním úsekov JE, kde vznikajú ohrozenia informačnej bezpečnosti. Kontrolné funkcie zahŕňajú účtovníctvo, ukladanie a vydávanie dokladov a nosičov informácií, hesiel a kľúčov. Zároveň prebieha generovanie hesiel, kľúčov, údržba prostriedkov kontroly prístupu, akceptácia nových softvérových nástrojov zaradených do softvérového prostredia AS, kontrola súladu softvérového prostredia s normou, ako aj kontrola nad technologickým procesom spracovania dôverných informácií sú poverení pracovníci Katedry informačných technológií a Katedry hospodárskej bezpečnosti.

Medzi pomocné funkcie riadiaceho subsystému patrí účtovanie všetkých operácií vykonávaných v automatizovanom systéme s chránenými informáciami, tvorba reportovacích dokumentov a zber štatistických údajov s cieľom analyzovať a identifikovať potenciálne kanály úniku informácií.

8.4. Monitorovanie účinnosti ochranného systému

Monitorovanie účinnosti systému ochrany informácií sa vykonáva s cieľom včas identifikovať a zabrániť úniku informácií v dôsledku neoprávneného prístupu k nim, ako aj zabrániť možným špeciálnym opatreniam zameraným na zničenie informácií, zničenie informačných technológií.

Hodnotenie účinnosti opatrení na ochranu informácií sa vykonáva pomocou organizačných, hardvérových a softvérových kontrol na dodržiavanie stanovených požiadaviek.

Riadenie je možné vykonávať ako pomocou štandardných prostriedkov systému ochrany informácií, tak aj pomocou špeciálnych prostriedkov riadenia a technologického monitorovania.

8.5. Vlastnosti zabezpečenia informačnej bezpečnosti osobných údajov

Klasifikácia osobných údajov sa vykonáva v súlade so závažnosťou dôsledkov straty bezpečnostných vlastností osobných údajov pre subjekt osobných údajov.

O osobných údajoch „Na špeciálne kategórie osobných údajov;
osobné údaje klasifikované v súlade s federálnym zákonom " O osobných údajoch „K biometrickým osobným údajom;
osobné údaje, ktoré nemožno zaradiť do osobitných kategórií osobných údajov, biometrické osobné údaje, verejne dostupné alebo anonymizované osobné údaje;
osobné údaje klasifikované v súlade s federálnym zákonom " O osobných údajoch „Na verejne dostupné alebo anonymizované osobné údaje.

Prenos osobných údajov tretej strane sa musí uskutočniť na základe federálneho zákona alebo súhlasu subjektu osobných údajov. V prípade, ak organizácia poverí spracúvaním osobných údajov tretiu osobu na základe zmluvy, nevyhnutnou podmienkou takejto dohody je povinnosť tretej osoby zabezpečiť dôvernosť osobných údajov a bezpečnosť osobných údajov pri ich spracovaní.

Organizácia musí prestať spracúvať osobné údaje a zhromaždené osobné údaje zlikvidovať, pokiaľ právne predpisy Ruskej federácie neustanovujú inak, v lehotách stanovených právnymi predpismi Ruskej federácie v týchto prípadoch:

pri dosiahnutí cieľov spracovania alebo ak ich nie je potrebné dosiahnuť;
na žiadosť subjektu osobných údajov alebo Povereného orgánu na ochranu práv subjektov osobných údajov - ak sú osobné údaje neúplné, neaktuálne, nedôveryhodné, získané nezákonne alebo nie sú potrebné na uvedený účel spracúvania;
keď subjekt osobných údajov odvolá svoj súhlas so spracovaním svojich osobných údajov, ak sa takýto súhlas vyžaduje v súlade s právnymi predpismi Ruskej federácie;
ak nie je možné zo strany prevádzkovateľa odstrániť porušenia, ktorých sa dopustil pri spracúvaní osobných údajov.

Organizácia musí definovať a zdokumentovať:

postup pri likvidácii osobných údajov ( vrátane hmotných nosičov osobných údajov);
postup pri vybavovaní žiadostí subjektov osobných údajov ( alebo ich zákonných zástupcov) o spracúvaní ich osobných údajov;
postup pri úkonoch v prípade žiadostí Povereného orgánu na ochranu práv dotknutých osôb alebo iných dozorných orgánov vykonávajúcich kontrolu a dozor v oblasti osobných údajov;
prístup ku klasifikácii AÚ ako informačných systémov osobných údajov ( Ďalej - ISPDN );
zoznam ISPD. Zoznam ISPD by mal obsahovať AS, ktorých účelom vytvorenia a použitia je spracúvanie osobných údajov.

Pre každý PDIS sa identifikujú a zdokumentujú:

účel spracúvania osobných údajov;
objem a obsah spracúvaných osobných údajov;
zoznam úkonov s osobnými údajmi a spôsoby ich spracúvania.

Objem a obsah osobných údajov, ako aj zoznam úkonov a spôsobov spracovania osobných údajov musí zodpovedať účelom spracovania. V prípade, že pre realizáciu informačno-technologického procesu, ktorého realizácia je podporovaná ISPD, nie je potrebné spracúvať niektoré osobné údaje, musia byť tieto osobné údaje vymazané.

Požiadavky na zaistenie bezpečnosti osobných údajov v ISPDN sú vo všeobecnosti realizované komplexom organizačných, technologických, technických a softvérových opatrení, prostriedkov a mechanizmov na ochranu informácií.

Organizácia implementácie a ( alebo) implementáciu požiadaviek na zaistenie bezpečnosti osobných údajov by mala vykonávať štrukturálna jednotka alebo úradník (zamestnanec) organizácie zodpovednej za zaistenie bezpečnosti osobných údajov alebo na zmluvnom základe organizácia - protistrana organizácie s licenciou na poskytovanie technickej ochrany dôverných informácií.

Vytvorenie ISPD organizácie by malo zahŕňať vypracovanie a schválenie ( vyhlásenie) organizačnú, administratívnu, projektovú a prevádzkovú dokumentáciu vytváraného systému podľa zadávacích podmienok. Dokumentácia by mala odrážať otázky zabezpečenia bezpečnosti spracúvaných osobných údajov.

Vývoj koncepcií, technických špecifikácií, návrh, tvorba a testovanie, akceptovanie a uvedenie do prevádzky ISPD by sa malo vykonávať na základe dohody a pod kontrolou štrukturálnej jednotky alebo úradníka (zamestnanca) zodpovedného za zabezpečenie bezpečnosti osobných údajov.

Všetky informačné aktíva patriace k ISPD organizácie musia byť chránené pred účinkami škodlivý kód... Organizácia musí určiť a zdokumentovať požiadavky na zaistenie bezpečnosti osobných údajov pomocou antivírusovej ochrany a postup kontroly plnenia týchto požiadaviek.

Organizácia by mala mať systém kontroly prístupu, ktorý riadi prístup ku komunikačným portom, vstupným/výstupným zariadeniam, vymeniteľným strojovým médiám a externé disky informácie ISPDN.

Bezpečnosť osobných údajov pri ich spracúvaní v ISPDN zabezpečujú vedúci prevádzkových a servisných oddelení ISPD organizácie.

Zamestnanci, ktorí spracúvajú osobné údaje v ISPDN, musia konať v súlade s pokynmi ( usmernenia, predpisy a pod.), ktorá je súčasťou prevádzkovej dokumentácie o ISPD, a vyhovujú požiadavkám dokumentov na zabezpečenie IS.

Zodpovednosti za správu ochranných prostriedkov a ochranných mechanizmov, ktoré realizujú požiadavky na zabezpečenie IS ISPD organizácie, určujú príkazy ( objednávky) o odborníkoch Katedry informačných technológií.

Postup pre špecialistov Katedry informačných technológií a personál zapojený do spracovania osobných údajov by mal byť určený pokynmi ( usmernenia), ktoré spracováva spracovateľ ISPD ako súčasť prevádzkovej dokumentácie pre ISPD.

Špecifikované pokyny ( vedenie):

stanoviť požiadavky na kvalifikáciu personálu v oblasti informačnej bezpečnosti, ako aj aktuálny zoznam chránených objektov a pravidlá jeho aktualizácie;
obsahovať plne relevantné ( časom) údaje o užívateľských právach;
obsahovať údaje o technológii spracovania informácií v množstve potrebnom pre špecialistu informačnej bezpečnosti;
stanoviť poradie a frekvenciu analýzy denníkov udalostí ( archívy denníkov);
regulovať iné akcie.

Konfiguračné parametre ochranných prostriedkov a mechanizmov ochrany informácií pred neoprávneným zásahom používaných v oblasti zodpovednosti špecialistov Katedry informačných technológií sú určené v prevádzkovej dokumentácii na ISPD. Postup a frekvencia kontroly inštalovaných konfiguračných parametrov je stanovená v prevádzkovej dokumentácii alebo upravená interným dokumentom, pričom kontroly by sa mali vykonávať najmenej raz ročne.

Organizácia musí určiť a zdokumentovať postup pri vstupe do priestorov, v ktorých sa nachádzajú technické prostriedky ISPDN a uchovávajú nosiče osobných údajov, zabezpečenie kontroly vstupu nepovolaných osôb do priestorov a prítomnosti prekážok pre neoprávnené osoby. vstup do priestorov. Špecifikovaný postup by mala vypracovať štrukturálna jednotka alebo úradník ( zamestnanec), zodpovedný za zabezpečenie režimu fyzickej bezpečnosti a odsúhlasený štrukturálnou jednotkou alebo úradníkom ( zamestnanec), zodpovedný za zaistenie bezpečnosti osobných údajov, a odbor ekonomického zabezpečenia.

Používatelia a servisný personál ISPD by nemali vykonávať neoprávnené a ( alebo) neregistrovaný ( nekontrolovane) kopírovanie osobných údajov. Na tento účel by organizačné a technické opatrenia mali zakázať neoprávnené a ( alebo) neregistrovaný ( nekontrolovane) kopírovanie osobných údajov vrátane používania odcudzených ( vymeniteľné) pamäťové médiá, mobilné zariadenia na kopírovanie a prenos informácií, komunikačné porty a vstupné/výstupné zariadenia, ktoré implementujú rôzne rozhrania ( vrátane bezdrôtových), úložné zariadenia mobilných zariadení ( napríklad notebooky, vreckové osobné počítače, smartfóny, mobilné telefóny ), ako aj fotografické a video zariadenia.

Kontrolu osobnej bezpečnosti vykonáva špecialista informačnej bezpečnosti, a to ako pomocou štandardných prostriedkov systému ochrany informácií, tak aj pomocou špeciálnych kontrolných prostriedkov a technologického monitoringu.

Stiahnuť ▼ ZIP súbor (65475)

Dokumenty prišli vhod - dajte "páči sa mi" alebo:

Ak existuje hrozba, musia existovať metódy ochrany a boja.... Metódy sú prostriedky na dosiahnutie zadaných úloh a poradie metód použitia síl na ochranu dôverných informácií.

Princíp ľudského pôsobenia na podvedomie je určený na dosiahnutie pozitívne výsledky... Skúsenosti profesionálov v oblasti informačnej bezpečnosti celkom jasne definovali súhrn prostriedkov, síl a techník zameraných na zaručenie informačnej bezpečnosti alebo informačnej spoľahlivosti.

Zabezpečenie spoľahlivosti informácií alebo informačnej bezpečnosti sa dosiahne nasledujúcimi opatreniami zameranými na:

Identifikácia hrozieb je vyjadrená v riadnej analýze a kontrole prípustných výskytov potenciálnych alebo skutočných hrozieb, ako aj včasných opatreniach na ich predchádzanie;
prevencia hrozieb sa dosahuje zabezpečením informačnej bezpečnosti alebo informačnej spoľahlivosti v prospech proaktívne a ich vzniku
odhaliť hrozby pomocou analýzy rizík;
Zahrnutie opatrení na elimináciu hrozieb alebo trestných činov a lokalizácia trestných činov;
detekcia hrozieb sa dosahuje identifikáciou konkrétnych trestných činov a skutočných hrozieb;
odstránenie následkov v súvislosti s vyhrážkami a konkrétnymi trestnými činmi. Obnovenie súčasného stavu (obr. 1).

Metódy ochrany informácií:

prekážka - prostriedok fyzického zabránenia útočníkovi konať na kritické informácie
kontrola prístupu - prostriedok ochrany informácií reguláciou využívania všetkých zdrojov IS v IT. Takéto metódy by mali chrániť pred informáciami
Šifrovacie algoritmy - metódy sú implementované ako pri ukladaní, tak aj pri spracovaní informácií. Pri prenose informácií je to hlavný a jediný spôsob ochrany
Regulácia je vytvorenie podmienok na uchovávanie a spracovanie informácií v informačnom systéme, za ktorých sa v najväčšej miere implementujú štandardy a normy na ochranu.
Donútenie je ochranným prostriedkom, ktorý núti používateľov dodržiavať pravidlá práce v informačnom systéme
Stimul je prostriedkom ochrany, ktorý nabáda používateľov informačného systému, aby neporušovali pravidlá z dôvodu etických a morálnych noriem.
Hardvér - zariadenia, ktoré sú zabudované vo výpočtových mechanizmoch alebo sú pripojené pomocou rozhraní
fyzické prostriedky - rôzne inžinierske štruktúry, ktoré chránia personál, informácie, zariadenia, veci pred votrelcami
Softvér – softvér, ktorý je zabudovaný v informačnom systéme na realizáciu ochrany
Organizačné nástroje – sú dosahované na základe regulačných dokumentov, ktoré upravujú prácu zamestnancov tak, aby bola realizovaná maximálna ochrana informačného systému

Prevenciu protiprávneho konania a možného konania je možné zabezpečiť rôznymi prostriedkami a opatreniami, počnúc dodržiavaním vzťahov medzi zamestnancami organizačnými metódami až po ochranu hardvérovou, fyzickou, softvérovou a metódami (alebo alebo). Prevencia ohrozenia je možná aj fázou získavania informácií o prípravných akciách, pripravovaných úkonoch, pripravovaných krádežiach a iných prvkoch trestných akcií. Na takéto účely je potrebné s informátormi v rôznych sférach pôsobenia s rôznymi úlohami. Niektorí pozorujú a objektívne hodnotia súčasnú situáciu. Iní hodnotia vzťahy zamestnancov v rámci tímu v rôznych častiach podniku. Ďalší pracujú medzi zločineckými skupinami a konkurentmi.

Obrázok 1

Pri predchádzaní hrozbám zohrávajú veľmi dôležitú úlohu činnosti informačno-analytickej bezpečnostnej služby založené na analýze špeciálnej situácie a činnosti útočníkov a konkurentov. Ak máte prístup na internet, bezpečnostná služba. A tiež alebo.

Ochrana pred zverejnením údajov sa redukuje na vytvorenie katalógu informácií, ktoré sú v podniku obchodným tajomstvom. Tento katalóg informácií by mal byť oznámený každému zamestnancovi v podniku s písomným záväzkom voči tomuto zamestnancovi zachovať toto tajomstvo. Jedným z dôležitých opatrení je systém kontroly na zachovanie integrity a dôvernosti obchodného tajomstva.

Ochrana dôverných informácií pred únikom funguje na základe účtovania, identifikácie a kontroly pravdepodobných únikových ciest v konkrétnych situáciách, ako aj vykonávania technických, organizačných, organizačných a technických opatrení na ich zničenie.

Ochrana dôverných informácií pred neoprávneným prístupom funguje na základe implementácie technických, organizačných, organizačných a technických postupov proti neoprávnenému prístupu. Rovnako ako kontrola metód neoprávneného prístupu a analýzy.

V praxi všetky činnosti do určitej miery využívajú technické a sú rozdelené do troch skupín (obr. 2):

organizačné (v oblasti technických prostriedkov);
technické.
organizačné a technické;

Obrázok 2

Odkaz na obrannú akciu

Ochranné práce, ako aj techniky a postupy na udržiavanie informačnej bezpečnosti sú klasifikované podľa charakteristík a predmetov ochrany, ktoré sú rozdelené do nasledujúcich parametrov:

Orientačne - ochranné metódy možno klasifikovať ako akcie, kurz na ochranu personálu, finančného a materiálneho majetku a informácií ako fondu.

Metódami - ide o detekciu (napríklad:) alebo varovanie, detekciu, potlačenie a obnovenie.

V smeroch - ide o ochranu založenú na zákonných metódach, organizačných a inžinierskych a technických úkonoch.

Z hľadiska pokrytia môžu byť ochranné prostriedky zamerané na ochranu perimetra podniku, jednotlivých miestností, budov, špecifických skupín zariadení, technických prostriedkov a systémov, jednotlivé prvky(domy, priestory, zariadenia) nebezpečné z hľadiska neoprávneného vstupu do nich.

Dôvodom informácie môžu byť ľudia, odpad, technické prostriedky a pod. Nosičmi informácií môžu byť akustické a elektromagnetické polia, prípadne látky (výrobok, papier, materiál). Médium šírenia je drsné prostredie alebo vzdušný priestor.

Páchateľ môže mať všetky potrebné prostriedky na príjem elektromagnetickej a akustickej energie, letecký dohľad a schopnosť analyzovať informačné prezentačné materiály.

Reprezentácia informácií v reálnych podobách. Aby ste vylúčili nezákonné zabavenie dôverných informácií, mali by ste signál alebo zdroj informácií spracovať tlmenými alebo inými šifrovacími prostriedkami.

S nárastom miery využívania a distribúcie informačných sietí (alebo) a PC rastie úloha rôznych faktorov, ktoré spôsobujú prezradenie, únik a neoprávnený prístup k informáciám. Toto sú:

chyby;
zlomyseľné alebo neoprávnené správanie zamestnancov a používateľov;
predvolené nastavenia hardvéru alebo chyby v programoch;
prírodné katastrofy, havárie rôzneho pôvodu a nebezpečenstiev;
chyby používateľov a personálu;
chyby pri.

V tomto smere sú hlavnými cieľmi ochrany informácií v informačných sietí a PC je:

predchádzanie úniku informácií a stratám, rušeniu a odpočúvaniu na všetkých úrovniach vplyvu pre všetky geograficky oddelené objekty;
zabezpečenie práv užívateľov a právnych noriem v súvislosti s tým PRÍSTUP na informácie a iné zdroje, vrátane administratívneho preskúmania informačných činností, vrátane činností osobnej zodpovednosti za dodržiavanie prevádzkových režimov a pravidiel používania;

Obrázok 3

závery

1. Zabezpečenie spoľahlivosti alebo bezpečnosti informácií sa dosahuje organizačnými, technickými a organizačno-technickými postupmi, z ktorých každý je zabezpečený jedinečnými metódami, prostriedkami a opatreniami s príslušnými parametrami.

2. Rôzne akcie a podmienky, ktoré prispievajú k nezákonnej alebo nezákonnej asimilácii dôverných údajov, si vynucujú použitie nemenej rôznorodých metód, prostriedkov, síl a zaistenie informačnej bezpečnosti alebo spoľahlivosti.

3. Hlavnou úlohou ochrany informácií je zaručiť dôvernosť, integritu a dostatok informačných zdrojov. A tiež ho zaviesť do systému.

4. Metódy zabezpečenia ochrany informácií by mali byť zamerané na proaktívny charakter konania zameraného na proaktívne spôsoby predchádzania možnému ohrozeniu obchodného tajomstva.

Informačná bezpečnosť, podobne ako ochrana informácií, je komplexná úloha zameraná na zaistenie bezpečnosti realizovaná implementáciou bezpečnostného systému. Problém ochrany informácií je mnohostranný a zložitý a zahŕňa množstvo dôležitých úloh. Problémy informačnej bezpečnosti neustále zhoršuje prenikanie technických prostriedkov na spracovanie a prenos dát do všetkých sfér spoločnosti a predovšetkým do počítačových systémov.

K dnešnému dňu tri základné princípyže informačná bezpečnosť by mala poskytovať:

integrita údajov - ochrana pred zlyhaniami vedúcimi k strate informácií, ako aj ochrana pred neoprávneným vytvorením alebo zničením údajov;

dôvernosť informácií;

Pri vývoji počítačových systémov, ktorých zlyhanie alebo chyby v prevádzke môžu viesť k vážnym následkom, sa otázky počítačovej bezpečnosti stávajú prioritou. Je známych mnoho opatrení zameraných na zabezpečenie počítačovej bezpečnosti, pričom hlavné sú technické, organizačné a právne.

Zabezpečenie bezpečnosti informácií je drahé, a to nielen kvôli nákladom na nákup alebo inštaláciu bezpečnostných opatrení, ale aj preto, že je ťažké šikovne definovať hranice primeranej bezpečnosti a zabezpečiť, aby bol systém udržiavaný v prevádzke.

Bezpečnostné funkcie sa nesmú navrhovať, kupovať ani inštalovať, kým sa nevykoná príslušná analýza.

Stránka analyzuje informačnú bezpečnosť a jej miesto v národnom bezpečnostnom systéme, identifikuje životné záujmy v informačnej sfére a hrozby pre ne. Zvažuje sa problematika informačnej vojny, informačných zbraní, princípov, hlavných úloh a funkcií zabezpečovania informačnej bezpečnosti, funkcií štátneho systému na zaistenie informačnej bezpečnosti, domácich a zahraničných štandardov v oblasti informačnej bezpečnosti. Značná pozornosť sa venuje aj právnym otázkam informačnej bezpečnosti.

Zvažované sú aj všeobecné otázky ochrany informácií v automatizovaných systémoch spracovania údajov (ASOD), predmet a predmety ochrany informácií, úlohy ochrany informácií v ASOD. Zvažujú sa typy úmyselných bezpečnostných hrozieb a spôsoby ochrany informácií v ASOD. Metódy a prostriedky autentifikácie používateľov a diferenciácie ich prístupu k počítačové zdroje, kontrola prístupu k zariadeniam, používanie jednoduchých a dynamicky sa meniacich hesiel, spôsoby úpravy schémy jednoduché heslá, funkčné metódy.

Základné princípy budovania systému informačnej bezpečnosti.

Pri budovaní systému informačnej bezpečnosti pre objekt by ste sa mali riadiť nasledujúcimi zásadami:

Kontinuita procesu zdokonaľovania a rozvoja systému informačnej bezpečnosti, ktorý spočíva v zdôvodňovaní a implementácii najracionálnejších metód, metód a spôsobov ochrany informácií, neustáleho monitorovania, identifikácie úzkych miest a slabín a potenciálnych kanálov úniku informácií a neoprávneného prístupu.

Komplexné využitie celého arzenálu dostupných prostriedkov ochrany vo všetkých fázach výroby a spracovania informácií. Všetky používané nástroje, metódy a opatrenia sú zároveň spojené do jediného, holistického mechanizmu – systému informačnej bezpečnosti.

Sledovanie fungovania, aktualizácia a dopĺňanie ochranných mechanizmov v závislosti od zmien možných vnútorných a vonkajších hrozieb.

Používatelia sú riadne vyškolení a dodržiavajú všetky zavedené postupy ochrany osobných údajov. Bez splnenia tejto požiadavky nemôže žiadny informačný bezpečnostný systém poskytnúť požadovanú úroveň ochrany.

Najdôležitejšia podmienka zabezpečenie bezpečnosti sú zákonnosť, dostatok, udržiavanie rovnováhy záujmov jednotlivca a podniku, vzájomná zodpovednosť personálu a manažmentu, interakcia so štátnymi orgánmi činnými v trestnom konaní.

10) Etapy budovania informačnej bezpečnosti

Etapy výstavby.

1. Komplexná analýza informačného systému

podniky na rôznych úrovniach. Analýza rizík.

2. Rozvoj organizačných a administratívnych a

regulačné dokumenty.

3. Školenie, profesionálny rozvoj a

rekvalifikácia špecialistov.

4. Každoročné prehodnocovanie stavu informácií

podniková bezpečnosť

11) Firewall

Firewally a antivírusové balíky.

Brána firewall (niekedy nazývaná brána firewall) pomáha zlepšiť bezpečnosť vášho počítača. Obmedzuje informácie vstupujúce do vášho počítača z iných počítačov, čo vám umožňuje lepšie kontrolovať údaje vo vašom počítači a poskytuje obrannú líniu počítača pred ľuďmi alebo programami (vrátane vírusov a červov), ktoré sa neoprávnene pokúšajú pripojiť k vášmu počítaču. Firewall si predstavte ako hraničný priechod, ktorý kontroluje informácie (často nazývané návštevnosť) prichádzajúce z internetu resp lokálna sieť... Počas tejto kontroly firewall odmietne alebo povolí informácie do počítača podľa zadaných parametrov.

Pred čím chráni firewall?

Firewall MÔŽE:

1. Blokujte počítačovým vírusom a „červom“ prístup k počítaču.

2. Vyzvite používateľa, aby si vybral, či chcete zablokovať alebo povoliť špecifické požiadavky na pripojenie.

3. Uchovávajte záznamy (záznam zabezpečenia) – na žiadosť používateľa – zaznamenávanie povolených a zablokovaných pokusov o pripojenie k počítaču.

Pred čím firewall nechráni?

On nemôže:

1. Zistite alebo neutralizujte počítačové vírusy a „červy“, ak sa už dostali do počítača.

3. Zablokujte spam alebo neoprávnené korešpondencie, aby sa dostali do vašej doručenej pošty.

HARDVÉROVÉ A SOFTVÉROVÉ FIREWALLY

Hardvérové brány firewall- jednotlivé zariadenia, ktoré sú veľmi rýchle, spoľahlivé, ale veľmi drahé, preto sa väčšinou používajú len na ochranu veľkých počítačových sietí. Pre domácich používateľov sú optimálne firewally zabudované v routeroch, prepínačoch, bezdrôtových prístupových bodoch atď.. Kombinované router-firewally poskytujú dvojitú ochranu pred útokmi.

Softvérový firewall je bezpečnostný program. V princípe je podobný hardvérovému firewallu, no je užívateľsky príjemnejší: má viac predvolieb a často má sprievodcov, ktorí vám pomôžu s nastavením. S jeho pomocou môžete povoliť alebo zakázať iným programom prístup na internet.

Antivírusový program (antivírus)- akýkoľvek program na zisťovanie počítačových vírusov, ako aj nechcených (považovaných za škodlivý) programov vo všeobecnosti a na obnovu súborov infikovaných (modifikovaných) takýmito programami, ako aj na profylaxiu - predchádzanie infekcii (úpravám) súborov alebo operačného systému škodlivý kód.

12) Klasifikácia výpočtových systémov

V závislosti od územného umiestnenia účastníckych systémov

Počítačové siete možno rozdeliť do troch hlavných tried:

globálne siete (WAN - Wide Area Network);

regionálne siete (MAN - Metropolitan Area Network);

Lokálne siete (LAN - Local Area Network).

Základné topológie LAN

Topológia LAN je geometrický diagram prepojení sieťových uzlov.

Topológie počítačových sietí môžu byť veľmi odlišné, ale

pre lokálne siete sú typické iba tri:

prsteň,

V tvare hviezdy.

Za zbierku možno považovať akúkoľvek počítačovú sieť

Uzol- akékoľvek zariadenie priamo pripojené

prenosové médium siete.

Prstencová topológia zabezpečuje prepojenie sieťových uzlov s uzavretou krivkou - káblom prenosového média. Výstup jedného hostiteľa je pripojený k vstupu druhého hostiteľa. Informácie o kruhu sa prenášajú z uzla do uzla. Každý medziľahlý uzol medzi vysielačom a prijímačom prenáša odoslanú správu. Prijímací uzol rozpoznáva a prijíma iba správy, ktoré sú mu adresované.

Kruhová topológia je ideálna pre siete, ktoré zaberajú relatívne málo miesta. Nemá centrálny rozbočovač, čo zvyšuje spoľahlivosť siete. Retransmisia informácií umožňuje použitie akéhokoľvek typu káblov ako prenosového média.

Dôsledná disciplína pri obsluhe uzlov takejto siete znižuje jej výkon a zlyhanie jedného z uzlov narúša integritu kruhu a vyžaduje špeciálne opatrenia na zachovanie cesty prenosu informácií.

Topológia zbernice- jeden z najjednoduchších. Je spojená s použitím koaxiálneho kábla ako prenosového média. Dáta z vysielacieho sieťového uzla sa šíria po zbernici v oboch smeroch. Medziľahlé uzly nevysielajú prichádzajúce správy. Informácia prichádza do všetkých uzlov, ale správa je prijatá len na ten, ktorému je adresovaná. Servisná disciplína je paralelná.

To poskytuje vysoko výkonnú zbernicu LAN. Sieť sa ľahko rozširuje a konfiguruje, ako aj prispôsobuje rôznym systémom.Sieť zbernicovej topológie je odolná voči možné poruchy jednotlivé uzly.

Zbernicové topologické siete sú v súčasnosti najbežnejšie. Treba poznamenať, že sú krátke a neumožňujú použitie rôznych typov káblov v rámci tej istej siete.

Topológia hviezdy vychádza z koncepcie centrálneho uzla, ku ktorému sú pripojené periférne uzly. Každý periférny uzol má svoju samostatnú komunikačnú linku s centrálnym uzlom. Všetky informácie sa prenášajú cez centrálny rozbočovač, ktorý prenáša, prepína a smeruje informačné toky v sieti.

Topológia v tvare hviezdy výrazne zjednodušuje interakciu uzlov LAN medzi sebou, umožňuje jednoduchšie použitie sieťové adaptéry... Výkon LAN s hviezdicovou topológiou je zároveň úplne závislý od centrálnej lokality.

V reálnych počítačových sieťach možno použiť pokročilejšie topológie, ktoré v niektorých prípadoch predstavujú kombinácie uvažovaných.

Výber konkrétnej topológie je určený oblasťou použitia LAN, geografickou polohou jej uzlov a rozmerom siete ako celku.

internet- celosvetová informačná počítačová sieť, ktorá je zjednotením mnohých regionálnych počítačových sietí a počítačov, ktoré si navzájom vymieňajú informácie prostredníctvom verejných telekomunikačných kanálov (vyhradené telefónne analógové a digitálne linky, optické komunikačné kanály a rádiové kanály vrátane satelitných komunikačných liniek).

ISP- poskytovateľ sieťových služieb - osoba alebo organizácia, ktorá poskytuje služby pre pripojenie k počítačovým sieťam.

Hostiteľ (z anglického hostiteľ - "hostiteľ prijímajúci hostí")- akékoľvek zariadenie, ktoré poskytuje služby vo formáte "klient-server" v serverovom režime na ľubovoľných rozhraniach a je na týchto rozhraniach jednoznačne definované. V špecifickejšom prípade môže byť hostiteľ chápaný ako akýkoľvek počítač alebo server pripojený k lokálnej alebo globálnej sieti.

Sieťový protokol- súbor pravidiel a akcií (postupnosť akcií), ktorý umožňuje spojenie a výmenu dát medzi dvoma alebo viacerými zariadeniami pripojenými k sieti.

IP adresa (IP adresa, skratka anglickej adresy internetového protokolu)- jedinečný sieťová adresa uzol v počítačovej sieti vybudovanej cez IP. Na internete sa vyžadujú globálne jedinečné adresy; v prípade práce v lokálnej sieti je potrebná jednoznačnosť adresy v rámci siete. Vo verzii IPv4 má IP adresa dĺžku 4 bajty.

Doménové meno- symbolický názov, ktorý pomáha nájsť adresy internetových serverov.

13) Úlohy typu Peer-to-Peer

Firmvér na ochranu pred neoprávneným prístupom zahŕňa opatrenia na identifikáciu, autentifikáciu a kontrolu prístupu do informačného systému.

Identifikácia je pridelenie jedinečných identifikátorov prístupovým subjektom.

Patria sem RFID štítky, biometrické technológie, magnetické karty, univerzálne magnetické kľúče, prihlasovacie údaje atď.

Autentifikácia – kontrola, či subjekt prístupu patrí k prezentovanému identifikátoru a potvrdenie jeho pravosti.

Autentifikačné postupy zahŕňajú heslá, PIN kódy, smart karty, USB kľúče, digitálne podpisy, kľúče relácie atď. Procesná časť identifikačných a autentizačných prostriedkov je vzájomne prepojená a v podstate predstavuje základný základ všetkého softvérového a hardvérového vybavenia pre zaistenie informačnej bezpečnosti, keďže všetky ostatné služby sú určené na obsluhu špecifických subjektov, správne rozpoznaných informačným systémom. Vo všeobecnosti identifikácia umožňuje subjektu identifikovať sa pre informačný systém a pomocou autentifikácie informačný systém potvrdzuje, že subjekt je skutočne tým, za koho sa vydáva. Na základe prechodu tejto operácie sa vykoná operácia na zabezpečenie prístupu do informačného systému. Postupy kontroly prístupu umožňujú oprávneným subjektom vykonávať úkony povolené predpismi a informačnému systému kontrolovať tieto úkony na správnosť a správnosť výsledku. Kontrola prístupu umožňuje systému skryť pred používateľmi údaje, ku ktorým nemajú prístup.

Ďalším prostriedkom softvérovej a hardvérovej ochrany je protokolovanie a auditovanie informácií.

Protokolovanie zahŕňa zhromažďovanie, zhromažďovanie a uchovávanie informácií o udalostiach, akciách, výsledkoch, ktoré sa udiali počas prevádzky informačného systému, jednotlivých používateľoch, procesoch a všetkom softvéri a hardvéri, ktoré tvoria informačný systém podniku.

Keďže každý komponent informačného systému má vopred určený súbor možných udalostí v súlade s naprogramovanými klasifikátormi, udalosti, akcie a výsledky sa delia na:

vonkajšie, spôsobené pôsobením iných zložiek,
vnútorné, spôsobené činnosťou samotného komponentu,
na strane klienta, spôsobené činnosťou používateľov a správcov.

Informačný audit spočíva vo vykonaní operatívnej analýzy v reálnom čase alebo v danom období.

Na základe výsledkov analýzy sa buď vygeneruje hlásenie o udalostiach, ktoré sa odohrali, alebo sa spustí automatická reakcia na mimoriadnu situáciu.

Implementácia protokolovania a auditovania rieši tieto úlohy:

vedenie zodpovednosti používateľov a správcov;
poskytovanie schopnosti rekonštruovať sled udalostí;
detekcia pokusov o narušenie informačnej bezpečnosti;
poskytovanie informácií na identifikáciu a analýzu problémov.

Ochrana informácií je často nemožná bez použitia kryptografických prostriedkov. Používajú sa na zabezpečenie chodu šifrovacích, integritných a autentifikačných služieb, kedy sú prostriedky autentifikácie uložené používateľom v zašifrovanej podobe. Existujú dve hlavné metódy šifrovania: symetrické a asymetrické.

Kontrola integrity vám umožňuje stanoviť pravosť a identitu objektu, ktorým je pole údajov, jednotlivé časti údajov, zdroj údajov a tiež zabezpečiť, aby nebolo možné označiť akciu vykonanú v systéme súborom údajov. informácie. Implementácia kontroly integrity je založená na technológiách transformácie údajov pomocou šifrovania a digitálnych certifikátov.

Iní dôležitý aspekt je využitie tienenia, technológie, ktorá umožňuje, vymedzujúc prístup subjektov k informačným zdrojom, riadiť všetky informačné toky medzi informačným systémom podniku a externými objektmi, dátovými poľami, subjektmi a protisubjektmi. Riadenie toku spočíva v ich filtrovaní a v prípade potreby aj v konverzii prenášaných informácií.

Úlohou tienenia je chrániť interné informácie pred potenciálne nepriateľskými vonkajšími faktormi a subjektmi. Hlavnou formou implementácie tienenia sú firewally alebo firewally, rôznych typov a architektúr.

Keďže jedným zo znakov informačnej bezpečnosti je dostupnosť informačných zdrojov, zabezpečenie vysokej úrovne dostupnosti je dôležitým smerom pri implementácii softvérových a hardvérových opatrení. Rozdeľujú sa najmä dve oblasti: zabezpečenie odolnosti voči poruchám, t.j. neutralizovať zlyhania systému, schopnosť prevádzky, keď sa vyskytnú chyby, a zabezpečiť bezpečné a rýchle uzdravenie po neúspechoch, t.j. prevádzkyschopnosti systému.

Hlavnou požiadavkou na informačné systémy je, aby vždy pracovali s danou efektivitou, minimálnou dobou nedostupnosti a rýchlosťou odozvy.

V súlade s tým je dostupnosť informačných zdrojov zabezpečená:

použitie štrukturálnej architektúry, čo znamená, že jednotlivé moduly je možné v prípade potreby deaktivovať alebo rýchlo vymeniť bez poškodenia ostatných prvkov informačného systému;
zabezpečenie odolnosti voči poruchám z dôvodu: použitia autonómnych prvkov podpornej infraštruktúry, zavedenia nadmernej kapacity v konfigurácii softvéru a hardvéru, redundancie hardvéru, replikácie informačných zdrojov v rámci systému, Rezervovať kópiuúdaje atď.
zabezpečenie prevádzkyschopnosti skrátením načasovania diagnostiky a odstraňovaním porúch a ich následkov.

Zabezpečené komunikačné kanály sú ďalším typom nástrojov informačnej bezpečnosti.

Fungovanie informačných systémov je nevyhnutne spojené s prenosom dát, preto je potrebné, aby aj podniky zabezpečili ochranu prenášaných informačných zdrojov bezpečnými komunikačnými kanálmi. Možnosť neoprávneného prístupu k údajom pri prenose prevádzky cez otvorené komunikačné kanály je spôsobená ich verejnou dostupnosťou. Keďže „komunikácie po celej ich dĺžke nie je možné fyzicky chrániť, je preto lepšie spočiatku vychádzať z predpokladu ich zraniteľnosti a podľa toho zabezpečiť ochranu“. Na to slúžia technológie tunelovania, ktorých podstatou je zapuzdrenie dát, t.j. zabaliť alebo zabaliť prenášané dátové pakety, vrátane všetkých atribútov služby, do ich vlastných obálok. Tunel je teda zabezpečené spojenie cez otvorené komunikačné kanály, cez ktoré sa prenášajú kryptograficky chránené dátové pakety. Tunelovanie sa používa na zabezpečenie dôvernosti prevádzky skrytím informácií o službách a zabezpečením dôvernosti a integrity prenášaných údajov pri použití spolu s kryptografickými prvkami informačného systému. Kombinácia tunelovania a šifrovania umožňuje implementáciu VPN. V tomto prípade sú koncovými bodmi tunelov, ktoré implementujú virtuálne privátne siete, firewally, ktoré slúžia na pripojenie organizácií k externým sieťam.

Firewally ako body implementácie služieb virtuálnych privátnych sietí

Tunelovanie a šifrovanie sú teda dodatočné transformácie vykonávané v procese filtrovania sieťovej prevádzky spolu s prekladom adries. Koncami tunelov môžu byť okrem firemných firewallov aj osobné a mobilné počítače zamestnancov, presnejšie ich osobné firewally a firewally. Tento prístup zabezpečuje fungovanie bezpečných komunikačných kanálov.

Postupy informačnej bezpečnosti

Postupy informačnej bezpečnosti sú zvyčajne diferencované na administratívnej a organizačnej úrovni.

Administratívne postupy zahŕňajú všeobecné úkony vykonávané vedením organizácie na reguláciu všetkých prác, úkonov, operácií v oblasti zaistenia a udržiavania informačnej bezpečnosti, realizované vyčlenením potrebných zdrojov a monitorovaním účinnosti prijatých opatrení.
Organizačná úroveň predstavuje postupy na zaistenie informačnej bezpečnosti vrátane personálneho manažmentu, fyzickej ochrany, udržiavania prevádzkyschopnosti hardvérovej a softvérovej infraštruktúry, promptnej eliminácie narušenia bezpečnosti a plánovania prác na obnove.

Na druhej strane, rozlišovanie medzi administratívnymi a organizačnými postupmi je nezmyselné, keďže postupy jednej úrovne nemôžu existovať oddelene od druhej, čím sa porušuje prepojenie ochrany. fyzická vrstva, osobnej a organizačnej ochrany v koncepcii informačnej bezpečnosti. V praxi sa pri zabezpečovaní informačnej bezpečnosti organizácie nezanedbávajú administratívne či organizačné postupy, preto je logickejšie ich považovať za integrovaný prístup, keďže obe úrovne ovplyvňujú fyzickú, organizačnú a personálnu úroveň ochrany informácií.

Základom zložitých postupov na zaistenie informačnej bezpečnosti je bezpečnostná politika.

Politika informačnej bezpečnosti

Politika informačnej bezpečnosti v organizácii je to súbor zdokumentovaných rozhodnutí, ktoré prijalo vedenie organizácie a ktoré sú zamerané na ochranu informácií a súvisiacich zdrojov.

Z organizačného a manažérskeho hľadiska môže byť politika informačnej bezpečnosti jeden dokument alebo môže byť vypracovaná vo forme niekoľkých nezávislých dokumentov alebo príkazov, ale v každom prípade by mala zahŕňať nasledujúce aspekty ochrany informačného systému organizácie:

ochrana objektov informačného systému, informačných zdrojov a priame operácie s nimi;
ochrana všetkých operácií súvisiacich so spracovaním informácií v systéme vrátane spracovateľského softvéru;
ochrana komunikačných kanálov vrátane káblových, rádiových, infračervených, hardvérových atď.;
ochrana hardvérového komplexu pred vedľajším elektromagnetickým žiarením;
riadenie bezpečnosti vrátane údržby, aktualizácií a administratívnych akcií.

Každý z aspektov by mal byť podrobne popísaný a zdokumentovaný v interných dokumentoch organizácie. Interné dokumenty pokrývajú tri úrovne bezpečnostného procesu: hornú, strednú a dolnú.

Dokumenty o politike bezpečnosti informácií na vysokej úrovni odrážajú hlavný prístup organizácie k ochrane vlastných informácií a súladu s národnými a/alebo medzinárodnými štandardmi. V praxi má organizácia iba jeden dokument najvyššej úrovne s názvom „Koncepcia informačnej bezpečnosti“, „Predpisy informačnej bezpečnosti“ atď. Formálne tieto dokumenty nemajú dôvernú hodnotu, ich distribúcia nie je obmedzená, ale môžu byť uvoľnené v edícii na interné použitie a otvorenú publikáciu.

Dokumenty strednej úrovne sú prísne dôverné a týkajú sa špecifických aspektov informačnej bezpečnosti organizácie: používané nástroje informačnej bezpečnosti, bezpečnosť databáz, komunikácie, kryptografické nástroje a ďalšie informačné a ekonomické procesy organizácie. Dokumentácia je realizovaná formou interných technických a organizačných noriem.

Dokumenty nižšej úrovne sa delia na dva typy: pracovný poriadok a návod na obsluhu. Pracovný poriadok je prísne dôverný a je určený len osobám, ktoré v službe vykonávajú práce na správe jednotlivých služieb informačnej bezpečnosti. Návod na obsluhu môže byť dôverný alebo verejný; sú určené pre personál organizácie a popisujú postup práce s jednotlivými prvkami informačného systému organizácie.

Svetové skúsenosti ukazujú, že politika informačnej bezpečnosti je dokumentovaná vždy len vo veľkých spoločnostiach, ktoré majú vyvinutý informačný systém kladúci zvýšené požiadavky na informačnú bezpečnosť, stredné podniky majú politiku informačnej bezpečnosti najčastejšie zdokumentovanú len čiastočne, malé organizácie v drvivej väčšine áno. nestarať sa o dokumentovanie bezpečnostnej politiky. Bez ohľadu na to, či je formát dokumentácie holistický alebo distribuovaný, základným aspektom je režim zabezpečenia.

Základ tvoria dva rôzne prístupy politika informačnej bezpečnosti:

"Všetko, čo nie je zakázané, je dovolené."
"Všetko, čo nie je dovolené, je zakázané."

Základným nedostatkom prvého prístupu je, že v praxi nie je možné predvídať všetky nebezpečné prípady a zakázať ich. Niet pochýb o tom, že by sa mal použiť iba druhý prístup.

Organizačná úroveň informačnej bezpečnosti

Z hľadiska ochrany informácií sú organizačné postupy na zaistenie informačnej bezpečnosti prezentované ako „úprava výrobných činností a vzťahu výkonných umelcov na právnom základe, ktorý vylučuje alebo výrazne sťažuje nezákonné získavanie dôverných informácií a prejavy interných a vonkajšie hrozby“.

Opatrenia personálneho manažmentu zamerané na organizáciu práce s personálom s cieľom zabezpečiť informačnú bezpečnosť zahŕňajú oddelenie povinností a minimalizáciu privilégií. Segregácia povinností predpisuje rozdelenie kompetencií a oblastí zodpovednosti, v ktorých jedna osoba nie je schopná narušiť kritický proces organizácie. Tým sa znižuje pravdepodobnosť chyby a zneužitia. Minimalizácia privilégií predpisuje udeliť používateľom iba úroveň prístupu, ktorá zodpovedá potrebe vykonávať ich oficiálne povinnosti. To znižuje škody spôsobené náhodným alebo úmyselným nesprávnym správaním.

Fyzickou ochranou sa rozumie vypracovanie a prijatie opatrení na priamu ochranu budov, v ktorých sa nachádzajú informačné zdroje organizácie, priľahlých území, prvkov infraštruktúry, počítačov, dátových nosičov a hardvérových komunikačných kanálov. To zahŕňa fyzické riadenie prístupu, požiarnu ochranu, podpornú ochranu infraštruktúry, ochranu proti odpočúvaniu dát a ochranu mobilných systémov.

Udržiavanie prevádzkyschopnosti softvérovej a hardvérovej infraštruktúry spočíva v predchádzaní stochastickým chybám, ktoré hrozia poškodením hardvérového komplexu, nefunkčnosťou programov a stratou dát. Hlavnými smermi v tomto aspekte sú poskytovanie užívateľskej a softvérovej podpory, konfiguračný manažment, zálohovanie, správa médií, dokumentácia a preventívne práce.

Okamžité odstránenie narušenia bezpečnosti má tri hlavné ciele:

Lokalizácia incidentu a zníženie spôsobenej škody;
identifikácia páchateľa;
Prevencia opakovaných porušení.

Napokon, plánovanie nápravy umožňuje pripraviť sa na havárie, znížiť škody z nich a udržať schopnosť fungovať aspoň na minime.

Používanie softvéru a hardvéru a bezpečných komunikačných kanálov by malo byť v organizácii implementované na základe integrovaného prístupu k rozvoju a schvaľovaniu všetkých administratívnych a organizačných regulačných postupov na zaistenie informačnej bezpečnosti. V opačnom prípade prijatie určitých opatrení nezaručuje ochranu informácií a často, naopak, spôsobuje úniky dôverných informácií, stratu kritických dát, poškodenie hardvérovej infraštruktúry a narušenie softvérových komponentov informačného systému organizácie.

Metódy informačnej bezpečnosti

Pre moderné podniky je charakteristický distribuovaný informačný systém, ktorý vám umožňuje brať do úvahy distribuované kancelárie a sklady spoločnosti, finančné účtovníctvo a riadenie riadenia, informácie od klientskej základne, berúc do úvahy vzorku podľa ukazovateľov atď. . Dátový súbor je teda veľmi významný a v drvivej väčšine ide o informácie, ktoré majú pre spoločnosť z obchodného a ekonomického hľadiska prioritný význam. Zabezpečenie dôvernosti údajov s komerčnou hodnotou je v skutočnosti jednou z hlavných úloh zabezpečenia informačnej bezpečnosti v spoločnosti.

Zabezpečenie informačnej bezpečnosti v podniku by sa mali riadiť nasledujúcimi dokumentmi:

Predpisy informačnej bezpečnosti. Zahŕňa formuláciu cieľov a zámerov na zaistenie informačnej bezpečnosti, zoznam interných predpisov o nástrojoch informačnej bezpečnosti a predpis o správe distribuovaného informačného systému spoločnosti. Prístup k predpisom je obmedzený na vedenie organizácie a vedúceho oddelenia automatizácie.
Predpisy pre technickú podporu ochrany informácií. Dokumenty sú dôverné, prístup je obmedzený na zamestnancov oddelenia automatizácie a vrcholového manažmentu.
Predpisy pre správu distribuovaného informačného bezpečnostného systému. Prístup k predpisom majú len zamestnanci útvaru automatizácie zodpovední za správu informačného systému a vyšší manažment.

Zároveň by sa tieto dokumenty nemali obmedzovať, ale mali by sa vypracovať aj nižšie úrovne. V opačnom prípade, ak podnik nemá žiadne ďalšie dokumenty týkajúce sa informačnej bezpečnosti, bude to znamenať nedostatočný stupeň administratívnej podpory informačnej bezpečnosti, pretože neexistujú žiadne dokumenty nižšej úrovne, najmä pokyny na prevádzku jednotlivých prvkov informačného systému.

Medzi povinné organizačné postupy patria:

základné opatrenia na diferenciáciu personálu podľa úrovne prístupu k informačným zdrojom,
fyzická ochrana sídla spoločnosti pred priamym prienikom a hrozbami zničenia, straty alebo zachytenia údajov,
udržiavanie prevádzkyschopnosti hardvérovej a softvérovej infraštruktúry je organizované formou automatizovaného zálohovania, vzdialeného overovania pamäťových médií, na požiadanie je poskytovaná užívateľská a softvérová podpora.

To by malo zahŕňať aj regulované opatrenia na reakciu na prípady narušenia bezpečnosti informácií a ich elimináciu.

V praxi sa často pozoruje, že podniky nevenujú tejto problematike dostatočnú pozornosť. Všetky akcie v týmto smerom sa vykonávajú výlučne v prevádzkovom stave, čo zvyšuje čas na odstránenie prípadov porušenia a nezaručuje predchádzanie opakovanému narušeniu informačnej bezpečnosti. Okrem toho úplne absentuje prax plánovania akcií na odstránenie následkov nehôd, úniku informácií, straty dát a kritických situácií. To všetko výrazne zhoršuje informačnú bezpečnosť podniku.

Na úrovni softvéru a hardvéru by mal byť implementovaný trojúrovňový systém informačnej bezpečnosti.

Minimálne kritériá na zabezpečenie informačnej bezpečnosti:

1. Modul kontroly prístupu:

implementovaná uzavretý vchod do informačného systému nie je možné vstúpiť do systému mimo overených pracovísk;
pre zamestnancov je implementovaný prístup s obmedzenou funkčnosťou z mobilných osobných počítačov;
autorizácia sa vykonáva pomocou prihlasovacích údajov a hesiel vygenerovaných administrátormi.

2. Modul pre šifrovanie a kontrolu integrity:

používa sa metóda asymetrického šifrovania prenášaných údajov;
polia kritických údajov sú uložené v databázach v zašifrovanej podobe, ktorá neumožňuje prístup k nim ani v prípade napadnutia informačného systému spoločnosti;
kontrola integrity je zabezpečená jednoduchým digitálne podpísané všetky informačné zdroje uchovávané, spracovávané alebo prenášané v rámci informačného systému.

3. Modul tienenia:

bol implementovaný systém filtrov vo firewalloch, ktorý umožňuje kontrolovať všetky informačné toky cez komunikačné kanály;
externé prepojenie s globálnymi informačnými zdrojmi a verejnými komunikačnými kanálmi je možné realizovať len prostredníctvom obmedzeného súboru overených pracovných staníc, ktoré majú obmedzené pripojenie k podnikovému informačnému systému;
zabezpečený prístup z pracovísk zamestnancov pre výkon služobných povinností je realizovaný prostredníctvom dvojvrstvového systému proxy serverov.

Nakoniec, s technológiami tunelovania musí podnik implementovať VPN v súlade s typickým dizajnovým modelom, aby zabezpečil bezpečné komunikačné kanály medzi rôznymi oddeleniami spoločnosti, partnermi a zákazníkmi spoločnosti.

Napriek tomu, že komunikácia prebieha priamo cez siete s poten nízky level dôvery, technológie tunelovania pomocou kryptografických nástrojov môžu poskytnúť spoľahlivú ochranu všetkých prenášaných údajov.

závery

Hlavným cieľom všetkých opatrení prijatých v oblasti informačnej bezpečnosti je chrániť záujmy podniku, tak či onak súvisiace s informačnými zdrojmi, ktorými disponuje. Aj keď záujmy podnikov nie sú obmedzené na konkrétnu oblasť, všetky sa sústreďujú na dostupnosť, integritu a dôvernosť informácií.

Problém zabezpečenia informačnej bezpečnosti sa vysvetľuje dvoma hlavnými dôvodmi.

Informačné zdroje nahromadené podnikom sú cenné.
Kritická závislosť od informačných technológií určuje ich široké využitie.

Vzhľadom na širokú škálu existujúcich hrozieb pre informačnú bezpečnosť, ako je zničenie dôležitá informácia, neoprávnené používanie dôverných údajov, prerušenia práce podniku v dôsledku narušenia informačného systému, možno konštatovať, že to všetko objektívne vedie k veľkým materiálnym stratám.

Pri zabezpečovaní informačnej bezpečnosti zohrávajú významnú úlohu softvérové a hardvérové nástroje zamerané na kontrolu počítačových entít, t.j. zariadenia, softvérové prvky, dáta, tvoriace poslednú a najvyššiu prioritnú líniu informačnej bezpečnosti. Prenos údajov musí byť bezpečný aj v kontexte zachovania ich dôvernosti, integrity a dostupnosti. Preto sa v moderných podmienkach používajú technológie tunelovania v kombinácii s kryptografickými prostriedkami na zabezpečenie bezpečných komunikačných kanálov.

Literatúra

Galatenko V.A. Štandardy informačnej bezpečnosti. - M .: Internetová univerzita informačných technológií, 2006.
Partyka T.L., Popov I.I. Informačná bezpečnosť. - M .: Fórum, 2012.