Anotácia: Prednáška pojednáva o základných pojmoch informačnej bezpečnosti. Oboznámenie sa s federálnym zákonom „O informáciách, informačných technológiách a ochrane informácií“.

GOST" Ochrana informácií... Základné termíny a definície “predstavuje koncept informačná bezpečnosť ako stav informačnej bezpečnosti, v ktorom je poskytovaný dôvernosť, dostupnosť a integrita.

• Dôvernosť- stav informácií, v ktorom k nim majú prístup len subjekty, ktoré na ne majú právo.
• Bezúhonnosť- stav informácií, v ktorom nedošlo k žiadnej zmene, alebo zmenu vykonajú len zámerne subjekty, ktoré na to majú právo;
• Dostupnosť- stav informácií, v ktorom ich môžu subjekty s právom na prístup bez prekážok uplatňovať.

Ohrozenie informačnej bezpečnosti- súbor podmienok a faktorov, ktoré vytvárajú potenciálne alebo reálne nebezpečenstvo narušenia bezpečnosti informácií [,]. Útokom sa nazýva pokus realizovať hrozbu a ten, kto sa o to pokúsi - votrelec... Volajú sa potenciálni votrelci zdrojov ohrozenia.

Hrozba je dôsledkom prítomnosti zraniteľnosti alebo zraniteľnosti v informačnom systéme. Zraniteľnosť môže vzniknúť z rôznych dôvodov, napríklad v dôsledku neúmyselných chýb programátorov pri písaní programov.

Hrozby je možné klasifikovať podľa niekoľkých kritérií:

• na vlastnosti informácie(dostupnosť, integrita, dôvernosť), proti ktorým sú hrozby namierené v prvom rade;
• komponentmi informačných systémov, na ktoré sa zameriavajú hrozby (dáta, programy, hardvér, podporná infraštruktúra);
• spôsobom implementácie (náhodné / úmyselné, prirodzené / ľuďmi spôsobené akcie);
• podľa umiestnenia zdroja ohrozenia (vo vnútri / mimo uvažovaného IS).

Zabezpečenie informačnej bezpečnosti je komplexná úloha, ktorá si vyžaduje Komplexný prístup... Rozlišujú sa tieto úrovne ochrany informácií:

1. legislatíva - zákony, nariadenia a ďalšie dokumenty Ruskej federácie a medzinárodného spoločenstva;
2. administratívne - súbor opatrení prijatých lokálne vedením organizácie;
3. procedurálna úroveň - bezpečnostné opatrenia implementované ľuďmi;
4. úroveň softvéru a hardvéru- priamo prostriedky ochrany informácií.

Legislatívna úroveň je základom pre budovanie systému ochrany informácií, keďže dáva základné pojmy predmetná oblasť a určuje trest pre potenciálnych votrelcov. Táto úroveň zohráva koordinačnú a usmerňovaciu úlohu a pomáha udržiavať negatívny (a represívny) prístup v spoločnosti k ľuďom, ktorí porušujú informačnú bezpečnosť.

1.2. Federálny zákon „O informáciách, informačných technológiách a ochrane informácií“

V ruskej legislatíve je základným zákonom v oblasti ochrany informácií federálny zákon „O informáciách, informačných technológiách a ochrane informácií“ z 27. júla 2006, č. 149-FZ. Preto si základné pojmy a riešenia zakotvené v zákone vyžadujú dôkladné zváženie.

Zákon upravuje vzťahy vyplývajúce z:

• výkon práva vyhľadávať, prijímať, prenášať, vytvárať a šíriť informácie;
• aplikácie informačné technológie;
• zaistenie ochrany informácií.

Zákon poskytuje základné definície v oblasti ochrany informácií. Tu sú niektoré z nich:

• informácie- informácie (správy, údaje) bez ohľadu na formu ich prezentácie;
• informačné technológie- procesy, metódy vyhľadávania, zhromažďovania, uchovávania, spracovania, poskytovania, šírenia informácií a spôsoby implementácie týchto postupov a metód;
• Informačný systém- súbor informácií obsiahnutých v databázach a informačných technológiách a technických prostriedkoch zabezpečujúcich ich spracovanie;
• držiteľ informácií- osoba, ktorá nezávisle vytvorila informácie alebo získala na základe zákona alebo dohody právo autorizovať alebo obmedziť prístup k informáciám určeným akýmikoľvek kritériami;
• prevádzkovateľ informačného systému- občan alebo právnická osoba prevádzkujúca informačný systém vrátane spracovania informácií obsiahnutých v jeho databázach.
• dôvernosť informácií- povinná požiadavka, aby osoba, ktorá získala prístup k určitým informáciám, neprenášala tieto informácie tretím stranám bez súhlasu ich vlastníka.

Článok 4 zákona formuluje zásady právnej úpravy vzťahov v oblasti informácií, informačných technológií a ochrany informácií:

1. sloboda vyhľadávania, prijímania, prenosu, vytvárania a šírenia informácií akýmkoľvek legálnym spôsobom;
2. zavedenie obmedzení prístupu k informáciám iba podľa federálnych zákonov;
3. otvorenosť informácií o činnosti štátnych orgánov a orgánov miestnej samosprávy a voľný prístup k takýmto informáciám, s výnimkou prípadov ustanovených federálnymi zákonmi;
4. rovnosť jazykov národov Ruskej federácie pri vytváraní informačných systémov a ich prevádzke;
5. zaistenie bezpečnosti Ruskej federácie pri vytváraní informačných systémov, ich prevádzke a ochrane informácií v nich obsiahnutých;
6. spoľahlivosť informácií a včasnosť ich poskytovania;
7. nedotknuteľnosť súkromného života, neprípustnosť zhromažďovania, uchovávania, používania a šírenia informácií o súkromnom živote človeka bez jeho súhlasu;
8. neprípustnosť ustanovovať regulačnými právnymi aktmi akékoľvek výhody používania niektorých informačných technológií oproti iným, pokiaľ povinné používanie určitých informačných technológií na tvorbu a prevádzku štátnych informačných systémov neustanovujú federálne zákony.

Všetky informácie sú rozdelené do verejne dostupné a obmedzené prístup... Verejne dostupné informácie zahŕňajú všeobecne známe informácie a ďalšie informácie, ku ktorým prístup nie je obmedzený. Zákon definuje informácie, ktoré nemožno obmedziť, ako napríklad informácie o životnom prostredí alebo o činnosti orgánov štátnej správy. Je tiež stanovené, že Obmedzenie prístupu informácie sú ustanovené federálnymi zákonmi s cieľom chrániť základy ústavného poriadku, morálku, zdravie, práva a oprávnené záujmy ostatných, zaistiť obranu krajiny a bezpečnosť štátu. Je povinné rešpektovať dôvernosť informácií, ktorých prístup je obmedzený federálnymi zákonmi.

Je zakázané vyžadovať od občana (jednotlivca), aby poskytoval informácie o svojom súkromnom živote, vrátane informácií tvoriacich osobné alebo rodinné tajomstvo, a dostával tieto informácie proti vôli občana (jednotlivca), pokiaľ federálne zákony neustanovujú inak.

1. voľne šírené informácie;
2. informácie poskytnuté na základe dohody osôb zúčastnených na príslušnom vzťahu;
3. informácie, ktoré sú v súlade s federálnymi zákonmi predmetom poskytovania alebo distribúcie;
4. informácie, ktorých šírenie v Ruskej federácii je obmedzené alebo zakázané.

Zákon ustanovuje rovnocennosť elektronickej správy podpísanej elektronickým digitálnym podpisom alebo inou obdobou vlastnoručného podpisu a dokumentu podpísaného vlastnoručným podpisom.

Uvádza sa nasledujúca definícia ochrany informácií - ide o prijatie právnych, organizačných a technických opatrení zameraných na:

1. zabezpečenie ochrany informácií pred neoprávneným prístupom, zničením, úpravou, blokovaním, kopírovaním, poskytovaním, distribúciou, ako aj pred inými nezákonnými krokmi vo vzťahu k takýmto informáciám;
2. dodržiavanie dôvernosti vyhradených informácií;
3. realizácia práva na prístup k informáciám.

Vlastník informácií, prevádzkovateľ informačného systému v prípadoch ustanovených právnymi predpismi Ruskej federácie, je povinný zabezpečiť:

1. predchádzanie neoprávnenému prístupu k informáciám a (alebo) ich prenos na osoby, ktoré nemajú právo na prístup k informáciám;
2. včasné zistenie skutočností neoprávneného prístupu k informáciám;
3. predchádzanie možnosti negatívnych dôsledkov porušenia postupu pre prístup k informáciám;
4. predchádzanie vplyvu na technické prostriedky spracovania informácií, v dôsledku čoho je narušená ich funkčnosť;
5. možnosť okamžitej obnovy informácií upravených alebo zničených v dôsledku neoprávneného prístupu k nim;
6. neustála kontrola nad zaistením úrovne informačnej bezpečnosti.

Federálny zákon „o informáciách, informačných technológiách a ochrane informácií“ teda vytvára právny základ pre výmenu informácií v Ruskej federácii a definuje práva a povinnosti jej subjektov.

Rýchlo sa rozvíjajúce počítačové informačné technológie prinášajú významné zmeny v našich životoch. Informácie sa stali komoditou, ktorú je možné nakupovať, predávať, vymieňať. Okrem toho sú náklady na informácie často stokrát vyššie ako náklady na počítačový systém, v ktorom sú uložené.

Pohoda a niekedy aj život mnohých ľudí závisí od stupňa zabezpečenia informačných technológií. Takáto je cena za komplikácie a rozsiahle rozšírenie systémov automatizovaného spracovania informácií.

Pod informačná bezpečnosť znamená bezpečnosť informačného systému pred náhodným alebo úmyselným zasahovaním, ktoré poškodzuje vlastníkov alebo používateľov informácií.

V praxi sú najdôležitejšie tri aspekty informačnej bezpečnosti:

• dostupnosť(možnosť získať požadovanú informačnú službu v primeranom čase);
• integrita(relevantnosť a konzistentnosť informácií, ich ochrana pred zničením a neoprávnenými zmenami);
• dôvernosť(ochrana pred neoprávneným čítaním).

Narušenie dostupnosti, integrity a dôvernosti informácií môže byť spôsobené rôznymi nebezpečnými vplyvmi na informačné počítačové systémy.

Hlavné hrozby pre bezpečnosť informácií

Moderný informačný systém je komplexný systém pozostávajúci z veľkého množstva komponentov rôzneho stupňa autonómie, ktoré sú vzájomne prepojené a vymieňajú si údaje. Takmer každý komponent môže byť poškodený alebo poškodený. Komponenty automatizovaného informačného systému možno rozdeliť do nasledujúcich skupín:

• hardvér- počítače a ich súčasti (procesory, monitory, terminály, periférne zariadenia- disketové jednotky, tlačiarne, ovládače, káble, komunikačné linky atď.);
• softvér- zakúpené programy, zdroj, objekt, načítacie moduly; operačné systémy a systémové programy (kompilátory, linkery atď.), pomocné programy, diagnostické programy atď.;
• údaje- dočasne a trvalo uložené na magnetických médiách, tlačených, archívoch, systémových denníkoch atď.;
• personál- servisný personál a používatelia.

Nebezpečné vplyvy na počítačový informačný systém možno rozdeliť na náhodné a úmyselné. Analýza skúseností s navrhovaním, výrobou a prevádzkou informačných systémov ukazuje, že informácie sú vystavené rôznym náhodným vplyvom vo všetkých fázach životného cyklu systému. Dôvody náhodných vplyvov počas prevádzky môže byť:

• núdzové situácie v dôsledku prírodných katastrof a výpadkov elektrickej energie;
• poruchy a zlyhania hardvéru;
• chyby v softvéri;
• chyby v práci zamestnancov;
• interferencie v komunikačných linkách v dôsledku vplyvov prostredia.

Úmyselné vplyvy- ide o úmyselné činy páchateľa. Ako páchateľ môže vystupovať zamestnanec, návštevník, konkurent alebo žoldnier. Konanie páchateľa môže byť spôsobené rôznymi motívmi:

• nespokojnosť zamestnanca s jeho kariérou;
• úplatok;
• zvedavosť;
• konkurenčný boj;
• túžba presadiť sa za každú cenu.

Je možné zostaviť hypotetický model potenciálneho útočníka:

• kvalifikácia páchateľa na úrovni vývojára tohto systému;
• narušiteľom môže byť buď neoprávnená osoba, alebo legitímny používateľ systému;
• narušiteľ pozná informácie o zásadách systému;
• páchateľ si vyberie najslabší článok obrany.

Najbežnejším a najrozmanitejším typom narušenia počítača je nepovolený prístup(NSD). NSD používa akúkoľvek chybu v ochrannom systéme a je možná s iracionálnym výberom ochranných prostriedkov, ich nesprávnou inštaláciou a konfiguráciou.

Zaradíme kanály NSD, prostredníctvom ktorých môžete ukradnúť, zmeniť alebo zničiť informácie:

• Prostredníctvom osoby:
  • krádeže nosičov informácií;
  • čítanie informácií z obrazovky alebo klávesnice;
  • čítanie informácií z výtlačku.
• Cez program:
  • zachytávanie hesiel;
  • dešifrovanie zašifrovaných informácií;
  • kopírovanie informácií od dopravcu.
• Prostredníctvom hardvéru:
  • pripojenie špeciálne navrhnutého hardvéru, ktorý poskytuje prístup k informáciám;
  • zachytávanie rušivého elektromagnetického žiarenia zo zariadení, komunikačných liniek, napájacích sietí a pod.

Osobitná pozornosť by sa mala venovať hrozbám, ktorým môžu byť počítačové siete vystavené. Hlavnou črtou akéhokoľvek počítačová sieť spočíva v tom, že jeho súčasti sú distribuované v priestore. Komunikácia medzi sieťovými uzlami prebieha fyzicky pomocou sieťových liniek a programovo pomocou mechanizmu správ. V tomto prípade sa riadiace správy a údaje odosielané medzi uzlami siete prenášajú vo forme výmenných paketov. Počítačové siete sa vyznačujú tým, že tzv diaľkové útoky... Narušiteľ sa môže nachádzať tisíce kilometrov od napadnutého objektu a napadnutý môže byť nielen konkrétny počítač, ale aj informácie prenášané sieťovými komunikačnými kanálmi.

Informačná bezpečnosť

Vytvorenie režimu informačnej bezpečnosti je komplexný problém. Opatrenia na jeho riešenie je možné rozdeliť do piatich úrovní:

1. legislatíva (zákony, nariadenia, normy atď.);
2. morálne a etické (všetky druhy noriem správania, ktorých nedodržiavanie vedie k poklesu prestíže konkrétnej osoby alebo celej organizácie);
3. administratívne (všeobecné opatrenia prijaté vedením organizácie);
4. fyzické (mechanické, elektro- a elektronicko-mechanické prekážky na možných cestách vstupu potenciálnych narušiteľov);
5. hardvér a softvér (elektronické zariadenia a špeciálne programy na bezpečnosť informácií).

Tvorí sa jednotný súbor všetkých týchto opatrení zameraných na boj proti bezpečnostným hrozbám s cieľom minimalizovať možnosť škôd ochranný systém.

Spoľahlivý systém ochrany musí spĺňať nasledujúce zásady:

• Náklady na ochranné vybavenie by mali byť nižšie ako množstvo možného poškodenia.
• Každý používateľ by mal mať minimálnu sadu privilégií potrebných na prácu.
• Čím je ochrana účinnejšia, tým ľahšie sa s ňou používateľovi pracuje.
• Možnosť odpojenia v prípade núdze.
• Špecialisti súvisiace s ochranným systémom musia úplne porozumieť zásadám jeho fungovania a v prípade ťažkých situácií na ne adekvátne reagovať.
• Celý systém spracovania informácií musí byť chránený.
• Vývojári bezpečnostného systému by nemali byť medzi tými, ktorých bude tento systém ovládať.
• Bezpečnostný systém musí poskytnúť dôkazy o správnosti svojej práce.
• Osoby zodpovedné za bezpečnosť informácií musia byť brané na zodpovednosť.
• Predmety ochrany je vhodné rozdeliť do skupín tak, aby porušenie ochrany v jednej zo skupín neovplyvnilo bezpečnosť ostatných.
• Spoľahlivý bezpečnostný systém musí byť plne otestovaný a schválený.
• Ochrana sa stáva efektívnejšou a flexibilnejšou, ak umožňuje zmenu jej parametrov administrátorom.
• Bezpečnostný systém by mal byť navrhnutý s predpokladom, že používatelia budú robiť vážne chyby a vo všeobecnosti budú mať najhoršie úmysly.
• Najdôležitejšie a najdôležitejšie rozhodnutia musia urobiť ľudia.
• Existencia bezpečnostných mechanizmov by mala byť čo najďalej skrytá pred používateľmi, ktorých práca je pod kontrolou.

Hardvér a softvér na zabezpečenie informácií

Napriek tomu, že moderné operačné systémy pre osobné počítače, ako napríklad Windows 2000, Windows XP a Windows NT, majú svoje vlastné ochranné subsystémy, relevancia vytvárania ďalších ochranných nástrojov zostáva zachovaná. Faktom je, že väčšina systémov nie je schopná chrániť údaje mimo nich, napríklad počas výmeny sieťových informácií.

Hardvér a softvér na zabezpečenie informácií možno rozdeliť do piatich skupín:

1. Systémy identifikácie (rozpoznávania) a autentifikácie (autentifikácie) používateľov.
2. Systémy na šifrovanie údajov na disku.
3. Šifrovacie systémy pre dáta prenášané cez siete.
4. Elektronické systémy autentifikácie údajov.
5. Nástroje na správu kryptografických kľúčov.

1. Systémy identifikácie a autentifikácie používateľov

Používajú sa na obmedzenie prístupu náhodných a nelegálnych používateľov k zdrojom počítačového systému. Všeobecným algoritmom pre prevádzku takýchto systémov je získať od používateľa informácie, ktoré preukážu jeho identitu, overiť ich pravosť a následne poskytnúť (alebo neposkytnúť) tomuto používateľovi možnosť pracovať so systémom.

Pri konštrukcii týchto systémov vzniká problém s výberom informácií, na základe ktorých sa vykonávajú postupy identifikácie a autentifikácie používateľa. Možno rozlíšiť tieto typy:

• tajné informácie, ktoré má používateľ (heslo, tajný kľúč, osobný identifikátor atď.); používateľ si musí tieto informácie zapamätať alebo na to možno použiť špeciálne prostriedky na ukladanie;
• fyziologické parametre osoby (odtlačky prstov, kresba očnej dúhovky atď.) alebo vlastnosti správania (zvláštnosti práce na klávesnici atď.).

Do úvahy sa berú systémy založené na prvom type informácií tradičné... Systémy využívajúce druhý typ informácií sa nazývajú biometrický... Je potrebné poznamenať, že v predstihu vývoja biometrických identifikačných systémov existuje trend.

2. Systémy šifrovania diskov

Aby boli informácie pre nepriateľa zbytočné, používa sa súbor metód transformácie údajov, tzv kryptografia[z gréčtiny. kryptos- skrytý a grafo- písanie].

Šifrovacie systémy môžu vykonávať kryptografické transformácie údajov na úrovni súborov alebo diskov. Medzi programy prvého typu patria archivátory ako ARJ a RAR, ktoré umožňujú používať kryptografické metódy na ochranu archívnych súborov. Príkladom systémov druhého typu je šifrovací program Diskreet, ktorý je súčasťou obľúbeného softvérový balík Norton Utilities, najlepšia krypta.

Ďalšou klasifikačnou vlastnosťou systémov na šifrovanie diskov je spôsob ich fungovania. Podľa spôsobu prevádzky je systém šifrovania diskových údajov rozdelený do dvoch tried:

• transparentné šifrovacie systémy;
• systémy špeciálne vyžadované pre šifrovanie.

V systémoch transparentného šifrovania (šifrovanie „za behu“) sa kryptografické transformácie vykonávajú v reálnom čase, pričom si ich užívateľ nevšimne. Používateľ napríklad zapíše dokument pripravený v textovom editore na chránený disk a ochranný systém ho počas procesu zápisu zašifruje.

Systémy triedy II sú zvyčajne obslužné programy, ktoré je potrebné na šifrovanie špeciálne zavolať. Patria sem napríklad archívy so vstavanou ochranou heslom.

Väčšina systémov, ktoré ponúkajú nastavenie hesla pre dokument, nešifruje informácie, ale pri prístupe k dokumentu poskytuje iba žiadosť o heslo. Tieto systémy zahŕňajú MS Office, 1C a mnoho ďalších.

3. Systémy na šifrovanie údajov prenášaných cez siete

Existujú dva hlavné spôsoby šifrovania: šifrovanie kanála a šifrovanie terminálu (predplatiteľa).

Kedy kódovanie kanála všetky informácie prenášané cez komunikačný kanál sú chránené vrátane informácií o službe. Táto metóda šifrovania má nasledujúcu výhodu - vloženie šifrovacích procedúr do vrstvy dátového spojenia umožňuje použitie hardvéru, čo zlepšuje výkon systému. Tento prístup má však aj významné nevýhody:

• šifrovanie údajov služby komplikuje mechanizmus smerovania sieťových paketov a vyžaduje dešifrovanie údajov v medziľahlých komunikačných zariadeniach (brány, opakovače atď.);
• šifrovanie informácií o službách môže viesť k vzniku štatistických vzorov v šifrovaných údajoch, čo ovplyvňuje spoľahlivosť ochrany a ukladá obmedzenia na používanie kryptografických algoritmov.

Šifrovanie typu end-to-end (subscriber) vám umožňuje zaistiť dôvernosť údajov prenášaných medzi dvoma predplatiteľmi. V tomto prípade je chránený iba obsah správ, všetky informácie o službe zostanú otvorené. Nevýhodou je možnosť analyzovať informácie o štruktúre výmeny správ, napríklad o odosielateľovi a príjemcovi, o čase a podmienkach prenosu údajov, ako aj o množstve prenesených dát.

4. Systémy elektronickej autentifikácie údajov

Pri výmene dát po sieťach vzniká problém autentifikácie autora dokumentu a dokumentu samotného, ​​t.j. overenie totožnosti autora a overenie absencie zmien v prijatom dokumente. Na autentifikáciu údajov sa používa autentifikačný kód správy (imitácia vložky) alebo elektronický podpis.

Imitačná vložka sa generuje z otvorených údajov pomocou špeciálnej šifrovacej transformácie pomocou tajného kľúča a prenáša sa komunikačným kanálom na konci šifrovaných údajov. Vloženie imitácie je overené príjemcom, ktorý vlastní súkromný kľúč, opakovaním postupu, ktorý odosielateľ vykonal predtým na prijatých verejných údajoch.

Elektronické digitálny podpis predstavuje relatívne malé množstvo dodatočných overovacích informácií prenášaných s podpísaným textom. Odosielateľ vytvorí digitálny podpis pomocou tajného kľúča odosielateľa. Príjemca overí podpis pomocou verejného kľúča odosielateľa.

Na implementáciu imitácie vkladania sa teda používajú princípy symetrického šifrovania a na implementáciu elektronického podpisu - asymetrické. Tieto dva šifrovacie systémy budeme podrobnejšie študovať neskôr.

5. Nástroje na správu kryptografických kľúčov

Bezpečnosť každého kryptosystému je určená použitými kryptografickými kľúčmi. V prípade nezabezpečenej správy kľúčov môže útočník získať kľúčové informácie a získať plný prístup ku všetkým informáciám v systéme alebo sieti.

Existujú nasledujúce typy funkcií správy kľúčov: generovanie, ukladanie a distribúcia kľúčov.

Spôsoby generovanie kľúčov pre symetrické a asymetrické kryptosystémy sú odlišné. Na generovanie kľúčov symetrických kryptosystémov sa používa hardvér a softvér na generovanie náhodných čísel. Generovanie kľúčov pre asymetrické kryptosystémy je náročnejšie, pretože kľúče musia mať určité matematické vlastnosti. Pozrime sa na túto problematiku podrobnejšie pri štúdiu symetrických a asymetrických kryptosystémov.

Funkcia skladovanie zahŕňa organizáciu bezpečného uchovávania, účtovania a likvidácie kľúčových informácií. Aby sa zabezpečilo bezpečné uloženie kľúčov, sú šifrované pomocou iných kľúčov. Tento prístup vedie ku koncepcii kľúčovej hierarchie. Hierarchia kľúčov obvykle obsahuje hlavný kľúč (tj. Hlavný kľúč), šifrovací kľúč kľúča a šifrovací kľúč údajov. Je potrebné poznamenať, že generovanie a ukladanie hlavného kľúča je kritickým problémom krypto ochrany.

Distribúcia je najdôležitejším procesom pri správe kľúčov. Tento proces musí zabezpečiť utajenie kľúčov, ktoré sa majú distribuovať, a musí byť rýchly a presný. Kľúče sú medzi používateľmi siete distribuované dvoma spôsobmi:

• používanie priamej výmeny kľúčov relácie;
• pomocou jedného alebo viacerých kľúčových distribučných centier.

Zoznam dokumentov

1. O ŠTÁTNEJ TAJOMSTVE. Zákon Ruskej federácie z 21. júla 1993 č. 5485-1 (v znení federálneho zákona č. 131-FZ zo 6. októbra 1997).
2. O INFORMÁCIÁCH, INFORMÁCIÁCH A OCHRANE INFORMÁCIÍ. Federálny zákon Ruskej federácie z 20. februára 1995 č. 24-FZ. Prijaté Štátnou dumou 25. januára 1995.
3. O PRÁVNEJ OCHRANE PROGRAMOV PRE ELEKTRONICKÉ POČÍTAČE A DATABÁZY. Zákon Ruskej federácie z 23. septembra 1992 č. 3524-1.
4. O ELEKTRONICKOM DIGITÁLNOM PODPISE. Federálny zákon Ruskej federácie z 10. januára 2002 č. 1-FZ.
5. O AUTORSKÝCH PRÁVACH A SÚVISIACE PRÁVA. Zákon Ruskej federácie z 9. júla 1993 č. 5351-1.
6. O SPOLOČNÝCH VLÁDNYCH KOMUNIKÁCIÁCH A INFORMAČNÝCH ORGÁNOCH. Zákon Ruskej federácie (v znení vyhlášky prezidenta Ruskej federácie z 24. decembra 1993 č. 2288; federálny zákon zo 7. novembra 2000 č. 135-FZ.
7. Predpisy o akreditácii skúšobných laboratórií a certifikačných orgánov pre výrobky informačnej bezpečnosti v súlade s požiadavkami na bezpečnosť informácií / Štátna technická komisia pod prezidentom Ruskej federácie.
8. Inštrukcie k postupu označovania certifikátov zhody, ich kópií a certifikačných prostriedkov ochrany informácií / Štátna technická komisia pod prezidentom Ruskej federácie.
9. Predpisy o certifikácii predmetov informatizácie v súlade s požiadavkami informačnej bezpečnosti / Štátna technická komisia pod vedením prezidenta Ruskej federácie.
10. Predpisy o certifikácii prostriedkov informačnej bezpečnosti v súlade s požiadavkami informačnej bezpečnosti: s dodatkami v súlade s nariadením vlády Ruskej federácie z 26. júna 1995 č.608 "O certifikácii prostriedkov informačnej bezpečnosti" / Štátna technická komisia pod prezident Ruskej federácie.
11. Predpisy o štátnom udeľovaní licencií na činnosti v oblasti ochrany informácií / Štátna technická komisia pod prezidentom Ruskej federácie.
12. Automatizované systémy. Ochrana pred neoprávneným prístupom k informáciám. Klasifikácia automatizovaných systémov a požiadavky na ochranu informácií: Usmerňujúci dokument / Štátna technická komisia pod prezidentom Ruskej federácie.
13. Koncepcia ochrany počítačového vybavenia a automatizovaných systémov pred neoprávneným prístupom k informáciám: Usmerňovací dokument / Štátna technická komisia pod vedením prezidenta Ruskej federácie.
14. Počítačové vybavenie. Firewally. Ochrana pred neoprávneným prístupom k informáciám. Ukazovatele zabezpečenia pred neoprávneným prístupom k informáciám: Usmerňujúci dokument / Štátna technická komisia pod prezidentom Ruskej federácie.
15. Počítačové vybavenie. Ochrana pred neoprávneným prístupom k informáciám. Ukazovatele bezpečnosti proti neoprávnenému prístupu k informáciám: Usmerňovací dokument / Štátna technická komisia pod vedením prezidenta Ruskej federácie.
16. Ochrana informácií. Špeciálne ochranné znaky. Klasifikácia a všeobecné požiadavky: Usmerňujúci dokument / Štátna technická komisia pod prezidentom Ruskej federácie.
17. Ochrana pred neoprávneným prístupom k informáciám. Termíny a definície: Usmerňujúci dokument / Štátna technická komisia pod prezidentom Ruskej federácie.

Zaistenie informačnej bezpečnosti je komplexný sociálno-sociálny, právny, ekonomický a vedecký problém. Len komplexné riešenie jeho cieľov a zámerov súčasne vo viacerých rovinách bude môcť uplatniť svoj regulačný vplyv na zabezpečenie informačnej bezpečnosti krajiny. Práca vykonávaná v tejto oblasti by mala mať nielen praktickú orientáciu, ale aj vedecký základ.

Hlavné ciele zabezpečenia informačnej bezpečnosti sú stanovené na základe trvalo udržateľných priorít národnej a ekonomickej bezpečnosti, ktoré zodpovedajú dlhodobým záujmom sociálneho rozvoja, medzi ktoré patria:

Zachovanie a posilnenie ruskej štátnosti a politickej stability v spoločnosti;

Zachovanie a rozvoj demokratických inštitúcií spoločnosti, zaistenie práv a slobôd občanov, posilnenie právneho štátu a právneho poriadku;

Zabezpečenie dôstojného miesta a úlohy krajiny vo svetovom spoločenstve;

zabezpečenie územnej celistvosti krajiny;

Zabezpečenie progresívneho sociálno-ekonomického rozvoja;

Zachovanie národných kultúrnych hodnôt a tradícií.

V súlade s týmito prioritami sú hlavnými úlohami zabezpečenia informačnej bezpečnosti tieto:

Identifikácia, hodnotenie a predpovedanie zdrojov ohrozenia informačnej bezpečnosti;

Rozvoj štátnej politiky na zaistenie informačnej bezpečnosti, súboru opatrení a mechanizmov na jej implementáciu;

Rozvoj regulačného rámca na zaistenie informačnej bezpečnosti, koordinácia činností štátnych orgánov a podnikov na zaistenie informačnej bezpečnosti;

Vývoj systému na zaistenie informačnej bezpečnosti, zlepšenie jeho organizácie, foriem, metód a prostriedkov na predchádzanie hrozbám informačnej bezpečnosti, na boj proti nim a ich neutralizáciu a odstraňovanie dôsledkov jeho porušovania;

Zabezpečenie aktívnej účasti krajiny na procesoch vytvárania používania globálnych informačné siete a systémy.

Najdôležitejšie zásady informačnej bezpečnosti sú:

1) zákonnosť opatrení na identifikáciu a predchádzanie trestným činom v informačnej sfére;

2) kontinuita implementácie a zlepšovania prostriedkov a metód riadenia a ochrany informačného systému;

3) ekonomická uskutočniteľnosť, t. J. Porovnateľnosť možných škôd a nákladov na zaistenie informačnej bezpečnosti

4) komplexnosť použitia celého arzenálu dostupných ochranných prostriedkov vo všetkých divíziách spoločnosti a vo všetkých fázach informačného procesu.

Implementácia procesu ochrany informácií zahŕňa niekoľko fáz:

Stanovenie predmetu ochrany: právo na ochranu informačného zdroja, odhad nákladov na informačný zdroj a jeho hlavné prvky, trvanie životného cyklu informačného zdroja, trajektória informačného procesu podľa funkčných delení spoločnosť;

Identifikácia zdrojov hrozieb (konkurenti, zločinci, zamestnanci atď.), Cieľov hrozieb (zoznámenie sa, modifikácia, zničenie atď.), Možných kanálov na implementáciu hrozieb (odhalenie, únik, atď.);

Stanovenie potrebných ochranných opatrení;

Posúdenie ich účinnosti a ekonomickej uskutočniteľnosti;

Implementácia prijatých opatrení s prihliadnutím na zvolené kritériá;

Informovanie o prijatých opatreniach s personálom, sledovanie ich účinnosti a odstraňovanie (prevencia) následkov ohrozenia.

Implementácia opísaných etáp je v skutočnosti procesom riadenia informačnej bezpečnosti objektu a je zabezpečovaný riadiacim systémom, ktorý okrem samotného kontrolovaného (chráneného) objektu obsahuje prostriedky na monitorovanie jeho stavu, mechanizmus na porovnanie aktuálneho stavu s požadovaným a tiež mechanizmus na ovládanie akcií pre lokalizáciu a predchádzanie škodám spôsobeným hrozbami. V tomto prípade je vhodné považovať za kritérium riadenia dosiahnutie minimálneho poškodenia informácií a účelom riadenia je zabezpečiť požadovaný stav objektu v zmysle jeho informačnej bezpečnosti.

Metódy informačnej bezpečnosti sa delia na právne, organizačné a technické a ekonomické.

TO právne metódy zabezpečenie informačnej bezpečnosti zahŕňa vypracovanie regulačných právnych aktov upravujúcich vzťahy v informačnej sfére a regulačných metodických dokumentov o informačnej bezpečnosti. Najdôležitejšie oblasti tejto činnosti sú:

Zmeny a doplnenia legislatívy upravujúcej vzťahy v oblasti informačnej bezpečnosti s cieľom vytvoriť a zlepšiť systém informačnej bezpečnosti, odstrániť vnútorné rozpory vo federálnej legislatíve, rozpory súvisiace s medzinárodnými dohodami, ako aj s cieľom konkretizovať právne normy ustanovujúce zodpovednosť za priestupky v oblasti informačnej bezpečnosti;

Legislatívne vymedzenie právomocí v oblasti zabezpečenia definície cieľov, zámerov a mechanizmov účasti na tejto činnosti verejných združení, organizácií a občanov;

Vývoj a prijatie regulačných právnych aktov zakladajúcich zodpovednosť právnických a fyzických osôb za neoprávnený prístup k informáciám, ich nezákonné kopírovanie, skresľovanie a nezákonné používanie, zámerné šírenie nepresných informácií, nezákonné zverejnenie dôverné informácie, používanie oficiálnych informácií alebo informácií obsahujúcich obchodné tajomstvá na trestné a sebecké účely;

Objasnenie postavenia zahraničných tlačových agentúr, médií a novinárov, ako aj investorov pri získavaní zahraničných investícií na rozvoj domácej informačnej infraštruktúry;

Legislatívna konsolidácia priority rozvoja národných komunikačných sietí a domácej výroby kozmických komunikačných satelitov;

Stanovenie postavenia organizácií poskytujúcich služby globálnych informačných a komunikačných sietí a právna úprava činnosti týchto organizácií;

Vytvorenie právneho základu pre formovanie regionálnych štruktúr na zabezpečenie informačnej bezpečnosti.

Organizačne a technicky metódy informačnej bezpečnosti sú:

Vytváranie a zlepšovanie systému štátnej informačnej bezpečnosti;

Posilnenie činnosti orgánov činných v trestnom konaní vrátane prevencie a potláčania trestných činov v informačnej sfére, ako aj identifikácie, odhaľovania a stíhania osôb, ktoré sa v tejto oblasti dopustili trestných činov a iných trestných činov;

Vývoj, používanie a zdokonaľovanie prostriedkov a metód informačnej bezpečnosti na sledovanie účinnosti týchto prostriedkov, vývoj bezpečných telekomunikačných systémov, zvyšovanie spoľahlivosti špeciálneho softvéru;

Vytváranie systémov a prostriedkov na zabránenie neoprávnenému prístupu k spracovaným informáciám a špeciálnym účinkom, ktoré spôsobujú zničenie, zničenie, skreslenie informácií, ako aj zmenu bežných režimov prevádzky systémov a prostriedkov informatizácie a komunikácie;

Odhalenie technické zariadenia a programy, ktoré ohrozujú normálne fungovanie informačných a komunikačných systémov, zamedzenie odpočúvania informácií technickými kanálmi, používanie kryptografických prostriedkov na ochranu informácií počas ich uchovávania, spracovania a prenosu cez komunikačné kanály, monitorovanie plnenia osobitných požiadaviek na ochranu informácií;

Certifikácia prostriedkov informačnej bezpečnosti, povoľovanie činností v oblasti ochrany štátneho tajomstva, štandardizácia metód a prostriedkov informačnej bezpečnosti;

Zlepšenie certifikačného systému pre telekomunikačné zariadenia a softvér pre systémy automatizovaného spracovania informácií v súlade s požiadavkami informačnej bezpečnosti;

Kontrola konania personálu v chránených informačných systémoch, školenia v oblasti zaisťovania informačnej bezpečnosti štátu;

Vytvorenie systému sledovania ukazovateľov a charakteristík informačnej bezpečnosti v najdôležitejších sférach života a činnosti spoločnosti a štátu.

Ekonomické metódy zabezpečenie informačnej bezpečnosti zahŕňa:

Rozvoj programov na zaistenie informačnej bezpečnosti štátu a stanovenie postupu ich financovania;

Zlepšenie systému financovania prác spojených s implementáciou právnych a organizačných a technických metód ochrany informácií, vytvorenie systému poistenia informačných rizík fyzických a právnických osôb.

Spolu s rozšíreným používaním štandardné metódy a fondy pre hospodárstvo, prioritnými oblasťami na zaistenie informačnej bezpečnosti sú:

Vývoj a prijatie zákonných ustanovení zakladajúcich zodpovednosť právnických osôb a jednotlivcov za neoprávnený prístup a krádež informácií, úmyselné šírenie nepresných informácií, zverejnenie obchodného tajomstva, únik dôverných informácií;

Vybudovanie systému štátneho štatistického výkazníctva, ktorý zaistí spoľahlivosť, úplnosť, porovnateľnosť a bezpečnosť informácií zavedením prísnej právnej zodpovednosti primárnych zdrojov informácií, organizovaním účinnej kontroly nad ich činnosťami a činnosťami služieb pre spracovanie a analýzu štatistických informácií s obmedzením ich komercializácia pomocou špeciálnych organizačných a softvérových a hardvérových informačných bezpečnostných prostriedkov;

Vytváranie a zlepšovanie špeciálnych prostriedkov na ochranu finančných a obchodných informácií;

Rozvoj súboru organizačných a technických opatrení na zlepšenie technológie informačné aktivity a ochranu informácií v hospodárskych, finančných, priemyselných a iných hospodárskych štruktúrach, pričom sa zohľadňujú požiadavky na bezpečnosť informácií špecifické pre hospodárstvo;

Vylepšenie systému odborného výberu a školenia personálu, systémov výberu, spracovania, analýzy a šírenia ekonomických informácií.

Verejná politika zabezpečenie informačnej bezpečnosti tvorí smerovanie činnosti orgánov verejnej moci a správy v oblasti informačnej bezpečnosti vrátane garancií práv všetkých subjektov na informácie, upevnenie povinností a zodpovednosti štátu a jeho orgánov za informačnú bezpečnosť krajiny a je založená na udržiavaní rovnováhy záujmov jednotlivca, spoločnosti a štátu v informačnej sfére.

Štátna politika bezpečnosti informácií je založená na nasledujúcich základných ustanoveniach:

Obmedzenie prístupu k informáciám je výnimkou zo všeobecnej zásady otvorenosti informácií a vykonáva sa len na základe právnych predpisov;

Zodpovednosť za bezpečnosť informácií, ich klasifikáciu a odtajnenie je zosobnená;

Prístup k akýmkoľvek informáciám, ako aj uložené obmedzenia prístupu sa vykonávajú s prihliadnutím na zákonom stanovené vlastnícke práva k týmto informáciám;

Vytvorenie regulačného rámca upravujúceho práva, povinnosti a zodpovednosti všetkých subjektov pôsobiacich v informačnej sfére;

Právne a jednotlivcov zhromažďovanie, zhromažďovanie a spracovanie osobných údajov a dôverných informácií je pred zákonom zodpovedné za ich bezpečnosť a používanie;

Poskytovanie štátu zákonnými prostriedkami na ochranu spoločnosti pred falošnými, skreslenými a nepresnými informáciami, ktoré prichádzajú prostredníctvom médií;

Vykonávanie štátnej kontroly tvorby a používania prostriedkov informačnej bezpečnosti prostredníctvom ich povinnej certifikácie a licencovania činností v oblasti informačnej bezpečnosti;

Vykonávať ochranársku politiku štátu, ktorý podporuje činnosť domácich výrobcov informačných technológií a ochrany informácií, a prijíma opatrenia na ochranu vnútorného trhu pred prienikom neštandardných médií a informačných produktov;

Štátna podpora pri poskytovaní prístupu občanom k ​​svetovým informačným zdrojom, globálnym informačným sieťam,

Vytvorenie federálneho programu informačnej bezpečnosti štátom, ktorý spája snahy vládne organizácie a obchodné štruktúry pri vytváraní jednotného systému informačnej bezpečnosti krajiny;

Štát sa snaží pôsobiť proti informačnej expanzii ďalších krajín, podporuje internacionalizáciu globálnych informačných sietí a systémov.

Na základe uvedených zásad a ustanovení sa určujú všeobecné smery tvorby a realizácie politiky informačnej bezpečnosti v politickej, hospodárskej a inej sfére činnosti štátu.

Štátna politika ako mechanizmus harmonizácie záujmov subjektov informačných vzťahov a hľadania kompromisných riešení zabezpečuje formovanie a organizáciu efektívnej práce rôznych rád, výborov a komisií so širokým zastúpením špecialistov a všetkých zainteresovaných štruktúr. Mechanizmy realizácie štátnej politiky by mali byť flexibilné a včas odrážať zmeny prebiehajúce v hospodárskom a politickom živote krajiny.

Právna podpora informačnej bezpečnosti štátu je prioritnou oblasťou pre vytváranie mechanizmov implementácie politiky informačnej bezpečnosti a zahŕňa:

1) normotvorné činnosti na tvorbu legislatívy upravujúcej vzťahy v spoločnosti súvisiace so zaistením informačnej bezpečnosti;

2) výkonná činnosť a činnosť presadzovania práva na implementáciu legislatívy v oblasti informácií, informatizácie a ochrany informácií štátnymi orgánmi a manažmentom, organizáciami, občanmi.

Normatívna činnosť v oblasti informačnej bezpečnosti poskytuje:

Posúdenie stavu súčasnej legislatívy a vypracovanie programu na jej zlepšenie;

Vytvorenie organizačných a právnych mechanizmov na zaistenie bezpečnosti informácií;

Formovanie právneho postavenia všetkých subjektov v systéme informačnej bezpečnosti, používateľov informačných a telekomunikačných systémov a určenie ich zodpovednosti za zabezpečenie informačnej bezpečnosti;

Rozvoj organizačného a právneho mechanizmu na zber a analýzu štatistických údajov o vplyve hrozieb informačnej bezpečnosti a ich dôsledkoch, pričom sa zohľadnia všetky druhy informácií;

Vypracovanie legislatívnych a iných normatívnych aktov upravujúcich postup pri odstraňovaní následkov vplyvu hrozieb, obnovu porušených práv a zdrojov a implementáciu kompenzačných opatrení.

Výkonné a vynucovacie činnosti zabezpečuje vypracovanie postupov pre aplikáciu legislatívy a predpisov voči subjektom, ktoré sa dopustili trestných činov a pochybení pri práci s dôvernými informáciami a porušili pravidlá interakcie informácií. Všetky činnosti v oblasti právnej podpory informačnej bezpečnosti sú založené na troch základných ustanoveniach zákona: dodržiavanie zásad právneho štátu, zabezpečenie rovnováhy záujmov jednotlivých subjektov a štátu a neodvratnosť trestu.

Súlad so zákonom predpokladá existenciu zákonov a iných regulačných ustanovení, ich aplikáciu a výkon subjektmi práva v oblasti informačnej bezpečnosti.

12.3. STAV INFORMAČNEJ BEZPEČNOSTI V RUSKU

Posúdenie stavu informačnej bezpečnosti štátu zahŕňa posúdenie existujúcich hrozieb. Článok 2 „Doktríny informačnej bezpečnosti Ruskej federácie“ 1 identifikuje tieto hrozby pre informačnú bezpečnosť Ruskej federácie:

Ohrozenie ústavných práv a slobôd človeka a občana v oblasti duchovného života a informačných aktivít, individuálneho, skupinového a verejného povedomia, duchovného oživenia Ruska;

Ohrozenie informačnej podpory štátnej politiky Ruskej federácie;

Hrozby rozvoja domáceho informačného priemyslu, vrátane odvetvia informatizácie, telekomunikácií a komunikácií, uspokojovanie potrieb domáceho trhu svojimi produktmi a vstup týchto produktov na svetový trh, ako aj zabezpečenie akumulácie, uchovávania, resp. efektívne využívanie domácich informačných zdrojov;

__________________________________________________________________

Hrozby pre bezpečnosť informačných a telekomunikačných systémov, už rozmiestnených alebo vytvorených na území Ruska.

Medzi externé zdroje hrozieb pre ruskú informačnú bezpečnosť patria:

1) činnosti zahraničných politických, ekonomických, vojenských, spravodajských a informačných štruktúr namierených proti Ruskej federácii v informačnej sfére;

2) túžba niekoľkých krajín ovládnuť a porušiť záujmy Ruska v globálnom informačnom priestore, vytlačiť ho z vonkajších a vnútorných informačných trhov;

3) zosilnenie medzinárodnej súťaže o vlastníctvo informačných technológií a zdrojov;

4) činnosti medzinárodných teroristických organizácií;

5) zväčšovanie technologických rozdielov medzi poprednými svetovými mocnosťami a budovanie ich schopností čeliť vytváraniu konkurencieschopných ruských informačných technológií;

6) činnosti vo vesmíre, vo vzduchu, na mori a na zemi technické a iné prostriedky (druhy) inteligencie cudzích štátov;

7) vývoj koncepcií informačných vojen o niekoľko štátov, ktoré zabezpečujú vytvorenie prostriedkov nebezpečného vplyvu na informačné sféry iných krajín sveta, narušenie normálneho fungovania informačných a telekomunikačných systémov, bezpečnosť informácií zdrojov a získanie neoprávneného prístupu k nim.

Medzi interné zdroje hrozieb pre ruskú informačnú bezpečnosť patria:

1) kritický stav domáceho priemyslu;

2) nepriaznivá kriminálna situácia sprevádzaná tendenciami spájania štátnych a kriminálnych štruktúr v informačnej sfére, získavanie prístupu kriminálnych štruktúr k dôverným informáciám, zvyšovanie vplyvu organizovaného zločinu na život spoločnosti, znižovanie stupňa ochrany oprávnené záujmy občanov, spoločnosti a štátu v informačnej sfére;

3) nedostatočná koordinácia činnosti federálnych orgánov štátnej moci, orgánov štátnej moci zakladajúcich subjektov Ruskej federácie pri vytváraní a implementácii jednotnej štátnej politiky v oblasti zaistenia informačnej bezpečnosti Ruskej federácie;

4) nedostatočné rozpracovanie regulačného právneho rámca upravujúceho vzťahy v informačnej sfére, ako aj nedostatočné postupy presadzovania práva;

5) nedostatočný rozvoj inštitúcií občianskej spoločnosti a nedostatočná kontrola nad rozvojom informačného trhu v Rusku;

6) nedostatočná ekonomická sila štátu;

7) zníženie efektívnosti systému vzdelávania a odbornej prípravy, nedostatočný počet kvalifikovaných pracovníkov v oblasti informačnej bezpečnosti;

8) Zaostávanie Ruska za poprednými krajinami sveta v oblasti informatizácie orgánov federálnej vlády, úverov a financií, priemyslu, poľnohospodárstva, školstva, zdravotníctva, služieb a každodenného života občanov.

V posledných rokoch Rusko zaviedlo súbor opatrení na zlepšenie zabezpečenia informačnej bezpečnosti. Prijali sa opatrenia na zaistenie informačnej bezpečnosti vo federálnych vládnych orgánoch, vládnych orgánoch zakladajúcich subjektov Ruskej federácie, v podnikoch, inštitúciách a organizáciách bez ohľadu na formu vlastníctva. Začali sa práce na vytvorení bezpečného informačného a telekomunikačného systému na špeciálne účely v záujme verejných orgánov.

Štátny systém ochrany informácií, systém ochrany štátneho tajomstva a certifikačný systém prostriedkov ochrany informácií prispievajú k úspešnému riešeniu otázok zaistenia informačnej bezpečnosti Ruskej federácie.

Štruktúra štátny systém ochrana informácií sú:

Orgány štátnej moci a správy Ruskej federácie a zakladajúce subjekty Ruskej federácie, ktoré v rámci svojej pôsobnosti riešia problémy zabezpečenia informačnej bezpečnosti;

Štátne a medzirezortné komisie a rady špecializujúce sa na otázky informačnej bezpečnosti;

Štátna technická komisia pod predsedom Ruskej federácie;

Federálna bezpečnostná služba Ruskej federácie;

Ministerstvo vnútra Ruskej federácie;

Ministerstvo obrany Ruskej federácie;

Federálna agentúra pre vládnu komunikáciu a informácie pod prezidentom Ruskej federácie;

Zahraničná spravodajská služba Ruskej federácie;

Štrukturálne a medziodvetvové oddelenia na ochranu informácií verejných orgánov;

Vedúce a vedúce výskumné, vedecké a technické, projektové a inžinierske organizácie na ochranu informácií;

Vzdelávacie zariadeniaškolenie a preškoľovanie personálu na prácu v systéme informačnej bezpečnosti.

Štátna technická komisia pod vedením prezidenta Ruskej federácie ako vládny orgán vykonáva jednotnú technickú politiku a koordinuje prácu v oblasti ochrany informácií, vedie štátny systém ochrany informácií pred technickým spravodajstvom a zodpovedá za zabezpečenie ochrany informácií. informácií z ich úniku technickými kanálmi na území Ruska monitoruje účinnosť prijatých ochranných opatrení.

Osobitné miesto v systéme informačnej bezpečnosti majú štátne a verejné organizácie, ktoré vykonávajú kontrolu nad činnosťou štátnych a neštátnych médií.

Doteraz bol v oblasti informačnej bezpečnosti v Rusku vytvorený legislatívny a regulačný rámec, ktorý zahŕňa:

1. Zákony Ruskej federácie:

Ústava Ruskej federácie;

„O bankách a bankových činnostiach“;

"O bezpečnosti";

"O zahraničnej spravodajskej službe";

"O štátnych tajomstvách";

"O komunikácii";

„O certifikácii výrobkov a služieb“;

„O masmédiách“;

„O štandardizácii“;

„Informácie, informačné technológie a ochrana informácií“;

„O orgánoch Federálnej bezpečnostnej služby v Ruskej federácii“;

"Na povinnej kópii dokladov";

„Účasť na medzinárodnej výmene informácií“;

„Digitálny podpis O6“ atď.

2. Normatívne právne akty prezidenta Ruskej federácie:

„Doktrína informačnej bezpečnosti Ruskej federácie“;

„O stratégii národnej bezpečnosti Ruskej federácie do roku 2020“;

„K niektorým otázkam medzirezortnej komisie na ochranu štátneho tajomstva“;

„Na zozname informácií klasifikovaných ako štátne tajomstvo“;

„Na základoch štátnej politiky v oblasti informatizácie“;

„Po schválení zoznamu dôverných informácií“ atď.

H. Regulačné právne akty vlády Ruskej federácie:

„O certifikácii nástrojov informačnej bezpečnosti“;

„O licencovaní činností podnikov, inštitúcií a organizácií na výkon činností spojených s používaním informácií tvoriacich štátne tajomstvo, vytváraním prostriedkov informačnej bezpečnosti, ako aj s implementáciou opatrení a (alebo) poskytovaním služieb pre ochrana štátnych tajomstiev“;

„O schválení pravidiel klasifikácie informácií tvoriacich štátne tajomstvo v rôznej miere utajenia“;

„O licencovaní určitých typov činností“ atď.

4. Sprievodné dokumenty Štátnej technickej komisie Ruska:

„Koncepcia ochrany počítačového vybavenia a automatizovaných systémov pred neoprávneným prístupom k informáciám“;

„Počítačové vybavenie. Ochrana pred neoprávneným prístupom k informáciám. Ukazovatele zabezpečenia pred neoprávneným prístupom k informáciám “;

"Automatizované systémy." Ochrana pred neoprávneným prístupom k informáciám. Klasifikácia automatizovaných systémov a požiadavky na ochranu informácií “;

„Ochrana informácií. Špeciálne ochranné znaky. Klasifikácia a všeobecné požiadavky ";

„Ochrana pred neoprávneným prístupom k informáciám. Časť 1. Software pre bezpečnosť informácií. Klasifikácia podľa úrovne kontroly absencie neohlásených príležitostí “.

5. Občiansky zákonník Ruskej federácie (štvrtá časť).

6. Trestný zákon Ruskej federácie.

Medzinárodná spolupráca v oblasti informačnej bezpečnosti je neoddeliteľnou súčasťou ekonomických, politických, vojenských, kultúrnych a iných typov interakcie krajín svetového spoločenstva. Takáto spolupráca by mala pomôcť zlepšiť informačnú bezpečnosť všetkých členov svetového spoločenstva vrátane Ruska. Zvláštnosťou medzinárodnej spolupráce Ruskej federácie v oblasti informačnej bezpečnosti je, že sa uskutočňuje v kontexte zvýšenej medzinárodnej súťaže o držbu technologických a informačné zdroje, za dominanciu na predajných trhoch, posilnenie technologickej priepasti medzi poprednými svetovými mocnosťami a budovanie ich schopností vytvárať „informačné zbrane“. To by mohlo viesť k novej etape vo vývoji pretekov v zbrojení v informačnej sfére.

Medzinárodná spolupráca v oblasti informačnej bezpečnosti je založená na nasledujúcom regulačnom rámci:

dohoda s Kazašskou republikou z 13. januára 1995 s Moskvou (uznesenie vlády Ruskej federácie z 15. mája 1994 Nch 679);

Dohoda s Ukrajinou zo 14. júna 1996, Kyjev (uznesenie vlády Ruskej federácie zo 7. júna 1996, Ns 655);

dohoda s Bieloruskou republikou (návrh);

Vydávanie certifikátov a licencií na medzinárodnú výmenu informácií (federálny zákon zo 4. júla 1996, X 85-FZ).

Hlavnými oblasťami medzinárodnej spolupráce, ktoré spĺňajú záujmy Ruskej federácie, sú:

Zabránenie neoprávnenému prístupu k dôverným informáciám v medzinárodných bankových sieťach a kanáloch informačnú podporu svetový obchod, na dôverné informácie v medzinárodných ekonomických a politických zväzoch, blokoch a organizáciách, na informácie v medzinárodných organizáciách presadzovania práva bojujúcich s medzinárodným organizovaným zločinom a medzinárodným terorizmom;

Zákaz vývoja, šírenia a používania „informačných zbraní“;

Zaistenie bezpečnosti medzinárodnej výmeny informácií vrátane bezpečnosti informácií počas ich prenosu prostredníctvom národných telekomunikačných sietí a komunikačných kanálov;

Koordinácia činností orgánov činných v trestnom konaní štátov zúčastňujúcich sa na medzinárodnej spolupráci v oblasti prevencie počítačových zločinov;

Účasť v medzinárodných konferencií a výstavy o probléme informačnej bezpečnosti.

V rámci spolupráce by sa mala osobitná pozornosť venovať problémom interakcie s krajinami SNŠ, pričom sa zohľadnia perspektívy vytvorenia jednotného informačného priestoru na území bývalého ZSSR, v rámci ktorého sú prakticky zjednotené telekomunikačné systémy a komunikačné linky použité.

Analýza stavu informačnej bezpečnosti v Rusku zároveň ukazuje, že jeho úroveň úplne nespĺňa potreby spoločnosti a štátu. Súčasné podmienky politického a sociálno-ekonomického rozvoja krajiny spôsobujú zhoršenie rozporov medzi potrebami spoločnosti na rozšírenie voľnej výmeny informácií a potrebou zachovať určité regulované obmedzenia jej šírenia.

Práva občanov na nedotknuteľnosť súkromného života, osobné a rodinné tajomstvá a dôvernosť korešpondencie zakotvené v Ústave Ruskej federácie nemajú dostatočné právne, organizačné a technické zabezpečenie. Ochrana osobných údajov zhromaždených orgánmi federálnej vlády je neuspokojivá.

Existuje nejasnosť vo vedení štátnej politiky v oblasti formovania ruského informačného priestoru, rozvoja masmediálneho systému, organizácie medzinárodnej výmeny informácií a integrácie informačného priestoru Ruska do globálneho informačný priestor, ktorý vytvára podmienky na vytlačenie ruských tlačových agentúr a masmédií z domáceho informačného trhu a deformačných štruktúr medzinárodnej výmeny informácií.

Činnosť ruských tlačových agentúr zameraných na propagáciu ich produktov na medzinárodnom informačnom trhu nie je dostatočne podporovaná vládou.

Situácia so zaistením bezpečnosti informácií tvoriacich štátne tajomstvo sa zhoršuje.

Na personálnom potenciáli vedeckých a výrobných tímov pôsobiacich v oblasti tvorby informačných technológií, telekomunikácií a komunikácií došlo v dôsledku masového odchodu najkvalifikovanejších odborníkov z týchto tímov k vážnym škodám.

Zaostalosť domácich informačných technológií núti štátne orgány Ruskej federácie pri tvorbe informačných systémov ísť cestou nákupu dovážaných zariadení a získavania zahraničných firiem, čo zvyšuje pravdepodobnosť neoprávneného prístupu k spracovávaným informáciám a zvyšuje závislosť Ruska od zahraničných výrobcov. počítačových a telekomunikačných zariadení, ako aj softvéru.

V súvislosti s intenzívnym zavádzaním zahraničných informačných technológií do sfér činnosti jednotlivca, spoločnosti a štátu, ako aj so širokým využívaním otvorených informačných a telekomunikačných systémov, integráciou domácich a medzinárodných informačných systémov, hrozbami tzv. používanie „informačných zbraní“ proti informačnej infraštruktúre Ruska. Úsilie primerane a komplexne čeliť týmto hrozbám sa uskutočňuje s nedostatočnou koordináciou a slabým rozpočtovým financovaním.

Kontrolné otázky

1. Aké je miesto informačnej bezpečnosti v systéme ekonomického zabezpečenia štátu? Ukázať na príkladoch dôležitosť informačnej bezpečnosti pri zabezpečovaní ekonomickej bezpečnosti štátu?

2. Čo je dôvodom zvýšenia významu informačnej bezpečnosti v modernom období?

3. Popíšte hlavné kategórie informačnej bezpečnosti: informácie, informatizácia, dokument, informačný proces, informačný systém, informačné zdroje, osobné údaje, dôverné informácie.

4. Aké sú záujmy jednotlivca, spoločnosti a štátu v informačnej sfére?

5. Aké sú typy hrozieb informačnej bezpečnosti?

6. Vymenujte spôsoby vplyvu hrozieb na objekty informačnej bezpečnosti.

7. Vysvetlite pojem „informačná vojna“.

8. Zoznam externé zdroje hrozby pre informačnú bezpečnosť Ruska.

9. Vytvorte zoznam vnútorných zdrojov ohrození informačnej bezpečnosti v Rusku.

10. Aké predpisy poskytujú bezpečnosť informácií na území Ruskej federácie?

11. Aké medzinárodné predpisy v oblasti ochrany informácií poznáte?

12. Čo je podstatou štátnej politiky informačnej bezpečnosti?

13. Vymenujte metódy zaistenia informačnej bezpečnosti.

14. Popíšte štruktúru štátneho systému ochrany informácií

15. Posúďte stav informačnej bezpečnosti v Rusku.

Zásady informačnej bezpečnosti.

1. Všeobecné ustanovenia

Tieto zásady zabezpečenia informácií ( Ďalej - politika ) vymedzuje systém pohľadov na problém zaistenia bezpečnosti informácií a je systematickým vyjadrením cieľov a zámerov, ako aj organizačných, technologických a procesných aspektov zaistenia bezpečnosti informácií objektov informačnej infraštruktúry vrátane súboru informácií centrá, dátové banky a komunikačné systémy organizácie. Táto politika bola vypracovaná s prihliadnutím na požiadavky súčasnej legislatívy Ruskej federácie a bezprostredné vyhliadky na rozvoj zariadení informačnej infraštruktúry, ako aj na vlastnosti a možnosti moderných organizačných a technických metód a hardvéru a softvéru na ochranu informácií. .

Hlavné ustanovenia a požiadavky Zásady sa vzťahujú na všetky štrukturálne divízie organizácie.

Táto politika je metodickým základom pre formovanie a implementáciu jednotnej politiky v oblasti zaistenia bezpečnosti informácií o objektoch informačnej infraštruktúry, prijímania koordinovaných rozhodnutí manažmentu a rozvíjania praktických opatrení zameraných na zaistenie informačnej bezpečnosti, koordináciu činností štrukturálnych oddelení organizácia pri vykonávaní prác na vytváraní, vývoji a prevádzke informačných objektov infraštruktúra v súlade s požiadavkami na bezpečnosť informácií.

Táto politika neupravuje otázky organizácie ochrany priestorov a zaistenia bezpečnosti a fyzickej integrity komponentov informačnej infraštruktúry, ochrany pred prírodnými katastrofami a zlyhaniami systému napájania, ale zahŕňa vybudovanie systému informačnej bezpečnosti. na rovnakých koncepčných základoch ako bezpečnostný systém organizácie ako celku.

Implementáciu politiky zabezpečujú príslušné smernice, predpisy, postupy, inštrukcie, smernice a systém hodnotenia informačnej bezpečnosti v organizácii.

Zásady používajú nasledujúce výrazy a definície:

Automatizovaný systém ( AS) — systém pozostávajúci z personálu a súboru prostriedkov na automatizáciu ich činností, ktorý implementuje informačné technológie na vykonávanie stanovených funkcií.

Informačná infraštruktúra- systém organizačných štruktúr, ktoré zabezpečujú fungovanie a rozvoj informačného priestoru a prostriedkov interakcie informácií. Informačná infraštruktúra obsahuje súbor informačných centier, dátových a znalostných bánk, komunikačných systémov a poskytuje spotrebiteľom prístup k informačným zdrojom.

Informačné zdroje ( IR) - sú to samostatné dokumenty a samostatné polia dokumentov, dokumentov a polia dokumentov v informačných systémoch ( knižnice, archívy, fondy, databázy a ďalšie informačné systémy).

Informačný systém (IP) - systém spracovania informácií a súvisiace organizačné prostriedky ( ľudské, technické, finančné atď.), ktoré poskytujú a šíria informácie.

bezpečnosť - stav ochrany záujmov ( Ciele) organizácie čeliace hrozbám.

Informačná bezpečnosť ( IB) — zabezpečenie súvisiace s hrozbami v informačnej sfére. Bezpečnosť sa dosahuje zaistením súboru vlastností IS - dostupnosti, integrity, dôvernosti informačných aktív. Priorita vlastností IS je určená hodnotou týchto aktív pre úroky ( Ciele) Organizácia.

Dostupnosť informačných aktív - majetok IS organizácie, ktorý spočíva v tom, že informačné prostriedky sú poskytnuté oprávnenému používateľovi, vo forme a na mieste, ktoré užívateľ požaduje, a v čase, keď ich potrebuje.

Integrita informačných aktív - majetok informačnej bezpečnosti organizácie na udržanie nezmenených alebo opravených zistených zmien v jej informačnom majetku.

Dôvernosť informačných aktív - majetok informačnej bezpečnosti organizácie, ktorý spočíva v tom, že spracovanie, uchovávanie a prenos informačných aktív sa vykonáva tak, že informačné prostriedky sú dostupné iba oprávneným používateľom, objektom systému alebo procesom.

Informačný bezpečnostný systém ( NIB) — súbor ochranných opatrení, ochranných zariadení a postupov ich prevádzky, vrátane zdrojov a administratívy ( organizačné) bezpečnosť.

Nepovolený prístup- prístup k informáciám v rozpore s oficiálnymi právomocami zamestnanca, prístup k informáciám, ktoré sú pre verejný prístup uzavreté osobami, ktoré nemajú povolenie na prístup k týmto informáciám, alebo získať prístup k informáciám osobou, ktorá má právo na prístup k týmto informáciám v sume, ktorá presahuje sumu potrebnú na splnenie úradných povinností.

2. Všeobecné požiadavky na bezpečnosť informácií

Požiadavky na bezpečnosť informácií ( Ďalej -IB ) určiť obsah a ciele činností organizácie v rámci procesov riadenia IS.

Tieto požiadavky sú formulované pre tieto oblasti:

• pridelenie a rozdelenie rolí a dôvera v personál;
• etapy životného cyklu objektov informačnej infraštruktúry;
• ochrana pred neoprávneným prístupom ( Ďalej - NSD ), riadenie prístupu a registrácia v automatizovaných systémoch, telekomunikačných zariadeniach a automatických telefónnych ústredniach atď .;
• antivírusová ochrana;
• používanie internetových zdrojov;
• používanie prostriedkov na ochranu kryptografických informácií;
• ochranu osobných údajov.

3. Objekty, ktoré sa majú chrániť

Hlavné objekty, ktoré sa majú chrániť, sú:

• informačné zdroje prezentované vo forme dokumentov a súborov informácií, bez ohľadu na formu a typ ich prezentácie, vrátane dôverných a otvorených informácií;
• systém tvorby, distribúcie a využívania informačných zdrojov, knižnice, archívy, databázy a dátové banky, informačné technológie, predpisy a postupy pre zber, spracovanie, uchovávanie a prenos informácií, technický a servisný personál;
• informačná infraštruktúra, vrátane systémov na spracovanie a analýzu informácií, technických a softvérových nástrojov na ich spracovanie, prenos a zobrazovanie vrátane výmeny informácií a telekomunikačných kanálov, systémov a systémov informačnej bezpečnosti, zariadení a priestorov, v ktorých sa nachádzajú komponenty informačnej infraštruktúry.

3.1. Vlastnosti automatizovaného systému

V AÚ kolujú informácie rôznych kategórií. Chránené informácie môžu zdieľať rôzni používatelia z rôznych podsietí jednej podnikovej siete.

Množstvo AS subsystémov zabezpečuje interakciu s externými ( štátnych a obchodných, ruských a zahraničných) organizácie prostredníctvom prepínaných a vyhradených komunikačných kanálov používajúcich špeciálne prostriedky na prenos informácií.

Komplex technických prostriedkov AÚ zahŕňa prostriedky na spracovanie údajov ( pracovné stanice, databázové servery, poštové servery atď.), prostriedky výmeny údajov v lokálnych sieťach s možnosťou prístupu do globálnych sietí ( kabeláž, mosty, brány, modemy a pod.), ako aj skladovacie zariadenia ( vrátane archivácia) údaje.

Medzi hlavné črty fungovania AU patria:

• potreba kombinovať veľké množstvo rôznych technických prostriedkov na spracovanie a prenos informácií do jedného systému;
• široká škála úloh a typov spracovávaných údajov;
• kombinovanie informácií na rôzne účely, úrovne príslušnosti a dôvernosti do jednej databázy;
• dostupnosť pripojovacích kanálov k externým sieťam;
• kontinuita fungovania;
• prítomnosť podsystémov s rôznymi požiadavkami na úroveň bezpečnosti, ktoré sú fyzicky spojené do jednej siete;
• rôznych kategórií používateľov a servisného personálu.

Vo všeobecnosti je jeden AS súbor lokálnych sietí pododdielov, ktoré sú vzájomne prepojené pomocou telekomunikácií. Každá lokálna sieť spája množstvo vzájomne prepojených a interagujúcich automatizovaných podsystémov ( technologické stránky), zabezpečenie riešenia problémov jednotlivými štrukturálnymi divíziami organizácie.

Medzi objekty informatizácie patria:

• technologické vybavenie ( počítačové zariadenia, sieťové a káblové zariadenia);
• informačné zdroje;
• softvér ( operačné systémy, systémy správy databáz, všeobecný systémový a aplikačný softvér);
• automatizované komunikačné systémy a systémy prenosu údajov (telekomunikácie);
• spojovacie kanály;
• kancelárskych priestorov.

3.2. Typy organizačných informačných aktív, ktoré sa majú chrániť

V subsystémoch AS organizácie kolujú informácie rôznych úrovní dôvernosti, ktoré obsahujú informácie o obmedzenej distribúcii ( služby, obchodné, osobné údaje) a otvorené informácie.

Tok dokumentov AÚ obsahuje:

• platobné príkazy a finančné dokumenty;
• správy ( finančné, analytické atď.);
• informácie o osobných účtoch;
• Osobné informácie;
• iné informácie s obmedzenou distribúciou.

Všetky informácie obiehajúce v AÚ a obsiahnuté v nasledujúcich typoch informačných aktív podliehajú ochrane:

• informácie predstavujúce obchodné a úradné tajomstvo, ku ktorým má organizácia ako vlastník informácií obmedzený prístup v súlade s federálnym zákonom “ O informáciách, informatizácii a ochrane informácií „Práva a federálne právo“ O obchodných tajomstvách »;
• osobné údaje, ku ktorým je prístup obmedzený v súlade s federálnym zákonom " O osobných údajoch »;
• otvorené informácie z hľadiska zaistenia integrity a dostupnosti informácií.

3.3. Kategórie používateľov automatizovaného systému

Organizácia má veľký počet kategórií používateľov a servisného personálu, ktorí musia mať rôzne právomoci na prístup k informačným zdrojom AU:

• bežní užívatelia ( koncoví užívatelia, zamestnanci organizačných jednotiek);
• správcovia servera ( súborové servery, aplikačné servery, databázové servery), lokálne siete a aplikačné systémy;
• systémoví programátori ( zodpovedný za údržbu všeobecného softvéru) na serveroch a pracovných staniciach používateľov;
• Vývojári aplikačného softvéru;
• špecialisti na údržbu technických prostriedkov počítačovej technológie;
• správcov informačnej bezpečnosti a pod.

3.4. Zraniteľnosť hlavných komponentov automatizovaného systému

Najzraniteľnejšími komponentmi AU sú sieťové pracovné stanice - automatizované pracovné stanice ( Ďalej - AWP ) pracovníci. Pokusy o neoprávnený prístup k informáciám alebo pokusy o neoprávnené akcie je možné vykonať z pracovnej stanice pracovníkov ( neúmyselné a svojvoľné) v počítačovej sieti. Porušenie konfigurácie hardvéru a softvéru pracovných staníc a nezákonné zasahovanie do procesov ich fungovania môže viesť k blokovaniu informácií, nemožnosti včasného vyriešenia dôležitých úloh a zlyhaniu jednotlivých pracovných staníc a subsystémov.

Sieťové prvky, ako sú vyhradené súborové servery, databázové servery a aplikačné servery, potrebujú špeciálnu ochranu. Nevýhody výmenných protokolov a spôsobov rozlišovania prístupu k zdrojom serverov môžu umožniť neoprávnený prístup k chráneným informáciám a ovplyvniť činnosť rôznych subsystémov. V tomto prípade je možné vykonať pokusy ako diaľkové ( zo sieťových staníc) a priamy ( z konzoly servera) vplyv na prevádzku serverov a ich ochranu.

Mosty, brány, rozbočovače, smerovače, prepínače a ďalšie sieťové zariadenia, prepojenia a komunikácie tiež vyžadujú ochranu. Votrelci ich môžu použiť na reštrukturalizáciu a dezorganizáciu sieťových operácií, zachytávanie prenášaných informácií, analýzu prevádzky a implementáciu ďalších metód zasahovania do procesov výmeny údajov.

4. Základné princípy informačnej bezpečnosti

4.1. Všeobecné zásady bezpečnej prevádzky

• Včasnosť odhalenia problému. Organizácia by mala včas odhaliť problémy, ktoré by mohli ovplyvniť jej obchodné ciele.
• Predvídateľnosť vývoja problémov. Organizácia by mala identifikovať príčinnú súvislosť možných problémov a na tomto základe postaviť presnú predpoveď ich vývoja.
• Hodnotenie vplyvu problémov na obchodné ciele. Organizácia primerane posúdi vplyv zistených problémov.
• Primeranosť ochranných opatrení. Organizácia by mala zvoliť ochranné opatrenia, ktoré sú adekvátne modelom hrozby a narušiteľa, pričom zohľadní náklady na implementáciu takýchto opatrení a množstvo možných strát z implementácie hrozieb.
• Účinnosť ochranných opatrení. Organizácia musí účinne implementovať prijaté ochranné opatrenia.
• Využívanie skúseností s prijímaním a implementáciou rozhodnutí. Organizácia by mala zhromažďovať, zovšeobecňovať a využívať tak svoje vlastné skúsenosti, ako aj skúsenosti ostatných organizácií na všetkých úrovniach rozhodovania a ich implementácie.
• Kontinuita zásad bezpečnej prevádzky. Organizácia zabezpečí kontinuitu implementácie zásad bezpečnej prevádzky.
• Kontrolovateľnosť ochranných opatrení. Organizácia by mala uplatňovať len tie bezpečnostné opatrenia, ktorých správne fungovanie je možné overiť, a organizácia by mala pravidelne hodnotiť primeranosť bezpečnostných opatrení a účinnosť ich implementácie, pričom by mala brať do úvahy vplyv bezpečnostných opatrení na obchodné ciele organizácie.

4.2. Osobitné zásady na zaistenie bezpečnosti informácií

• Implementácia špeciálnych princípov informačnej bezpečnosti je zameraná na zvýšenie úrovne vyspelosti procesov riadenia informačnej bezpečnosti v organizácii.
• Definícia cieľov. Funkčné ciele a ciele informačnej bezpečnosti organizácie by mali byť explicitne definované v internom dokumente. Neistota vedie k „ nejasnosť„Organizačná štruktúra, personálne úlohy, politika informačnej bezpečnosti a nemožnosť posúdiť primeranosť prijatých ochranných opatrení.
• Poznáte svojich zákazníkov a zamestnancov. Organizácia musí mať informácie o svojich zákazníkoch, starostlivo vyberať zamestnancov ( pracovníkov), rozvíjať a udržiavať firemnú etiku, ktorá vytvára priaznivé prostredie dôvery pre činnosti organizácie spravujúcej aktíva.
• Personifikácia a adekvátne rozdelenie rolí a zodpovedností. Zodpovednosť funkcionárov organizácie za rozhodnutia súvisiace s jej majetkom by mala byť zosobnená a vykonávaná najmä vo forme ručenia. Malo by byť primerané stupňu vplyvu na ciele organizácie, malo by byť stanovené v politikách, kontrolované a zlepšované.
• Primeranosť úloh k funkciám a postupom a ich porovnateľnosť s kritériami a systémom hodnotenia. Úlohy by mali primerane odrážať vykonávané funkcie a postupy na ich implementáciu prijaté v organizácii. Pri prideľovaní vzájomne súvisiacich rolí by sa mala brať do úvahy nevyhnutná postupnosť ich vykonávania. Úloha musí byť v súlade s kritériami na hodnotenie účinnosti jej vykonávania. Hlavný obsah a kvalita zohrávanej úlohy v skutočnosti určuje hodnotiaci systém, ktorý sa na ňu uplatňuje.
• Dostupnosť služieb a služieb. Organizácia musí pre svojich zákazníkov a dodávateľov zaistiť dostupnosť služieb a služieb v stanovených časových rámcoch určených príslušnými zmluvami ( dohody) a/alebo iné dokumenty.
• Pozorovateľnosť a hodnotiteľnosť informačnej bezpečnosti. Akékoľvek navrhnuté ochranné opatrenia musia byť navrhnuté tak, aby bol výsledok ich aplikácie zrejmý, pozorujeme ( priehľadné) a môžu byť posúdené divíziou organizácie s príslušným orgánom.

5. Ciele a ciele informačnej bezpečnosti

5.1. Subjekty informačných vzťahov v automatizovanom systéme

Subjektmi právnych vzťahov pri využívaní AÚ a zaisťovaní bezpečnosti informácií sú:

• Organizácia ako vlastník informačných zdrojov;
• subdivízie organizácie zabezpečujúcej prevádzku JE;
• zamestnanci štrukturálnych divízií organizácie, ako užívatelia a poskytovatelia informácií v AU v súlade s funkciami, ktoré sú im pridelené;
• právnické osoby a fyzické osoby, informácie o ktorých sa hromadia, ukladajú a spracúvajú v AS;
• ďalšie právnické a fyzické osoby podieľajúce sa na vytváraní a prevádzke AÚ ( vývojári systémových komponentov, organizácie zaoberajúce sa poskytovaním rôznych služieb v oblasti informačných technológií a pod.).

Uvedené subjekty informačných vzťahov majú záujem zaistiť:

• dôvernosť určitej informácie;
• spoľahlivosť ( úplnosť, presnosť, primeranosť, integrita) informácie;
• ochrana pred uvalením falošného ( nespoľahlivé, skreslené) informácie;
• včasný prístup k potrebným informáciám;
• rozlíšenie zodpovednosti za porušenie zákonných práv ( záujmy) ďalšie subjekty informačných vzťahov a ustanovené pravidlá pre nakladanie s informáciami;
• možnosť nepretržitého monitorovania a riadenia procesov spracovania a prenosu informácií;
• ochrana časti informácií pred ich nezákonnou replikáciou ( ochrana autorských práv, práv vlastníka informácií a pod.).

5.2. Cieľ informačnej bezpečnosti

Hlavným cieľom zaistenia informačnej bezpečnosti je ochrana subjektov informačných vzťahov pred ich možným materiálnym, morálnym alebo iným poškodením náhodným alebo úmyselným neoprávneným zasahovaním do procesu fungovania AÚ alebo neoprávneným prístupom k informáciám, ktoré v nej kolujú, a ich nezákonnému používať.

Tento cieľ je dosiahnutý zaistením a neustálou údržbou nasledujúcich vlastností informácií a automatizovaným systémom na ich spracovanie:

• dostupnosť spracovaných informácií pre registrovaných užívateľov;
• dôvernosť určitej časti informácií uchovávaných, spracovávaných a prenášaných prostredníctvom komunikačných kanálov;
• integrita a autentickosť informácií uchovávaných, spracovávaných a prenášaných prostredníctvom komunikačných kanálov.

5.3. Ciele informačnej bezpečnosti

Na dosiahnutie hlavného cieľa zaistenia informačnej bezpečnosti musí systém informačnej bezpečnosti JE poskytovať efektívne riešenie nasledujúcich úloh:

• ochrana pred zasahovaním do procesu fungovania AU neoprávnenými osobami;
• diferenciácia prístupu registrovaných používateľov k hardvéru, softvéru a informačným zdrojom AÚ, to znamená ochrana pred neoprávneným prístupom;
• registrácia akcií používateľov pri používaní chránených prostriedkov AS v systémových protokoloch a pravidelná kontrola správnosti akcií používateľov systému analýzou obsahu týchto protokolov špecialistami z bezpečnostných oddelení;
• ochrana pred neoprávnenými úpravami a kontrola integrity ( zaistenie nemennosti) prostredie vykonávania programov a jeho obnova v prípade porušenia;
• ochrana pred neoprávnenou úpravou a kontrola integrity softvéru používaného v AÚ, ako aj ochrana systému pred zavedením neoprávnených programov vrátane počítačových vírusov;
• ochrana informácií pred únikom technickými kanálmi počas ich spracovania, uchovávania a prenosu prostredníctvom komunikačných kanálov;
• ochrana informácií uchovávaných, spracovávaných a prenášaných prostredníctvom komunikačných kanálov pred neoprávneným zverejnením alebo skreslením;
• Poskytovanie autentifikácie užívateľov zúčastňujúcich sa na výmene informácií;
• zabezpečenie prežitia nástrojov na ochranu kryptografických informácií v prípade ohrozenia časti kľúčového systému;
• včasná identifikácia zdrojov ohrozenia informačnej bezpečnosti, príčin a podmienok prispievajúcich k poškodeniu zainteresovaných subjektov informačných vzťahov, vytvorenie mechanizmu včasnej reakcie na ohrozenia informačnej bezpečnosti a negatívne trendy;
• vytváranie podmienok pre minimalizáciu a lokalizáciu škôd spôsobených protiprávnym konaním fyzických a právnických osôb, oslabenie negatívneho dopadu a odstraňovanie následkov narušenia informačnej bezpečnosti.

5.4. Spôsoby riešenia problémov informačnej bezpečnosti

Riešenie problémov s informačnou bezpečnosťou sa dosahuje:

• prísne účtovanie všetkých systémových prostriedkov podliehajúcich ochrane ( informácie, úlohy, komunikačné kanály, servery, AWP);
• regulácia procesov spracovania informácií a činností zamestnancov štrukturálnych oddelení organizácie, ako aj činností personálu vykonávajúceho údržbu a úpravu softvéru a hardvéru jadrovej elektrárne na základe organizačných a administratívnych dokumentov o informačnej bezpečnosti;
• úplnosť, skutočná uskutočniteľnosť a konzistentnosť požiadaviek organizačných a administratívnych dokumentov o informačnej bezpečnosti;
• menovanie a školenie zamestnancov zodpovedných za organizáciu a implementáciu praktických opatrení na zaistenie bezpečnosti informácií;
• splnomocnenie každého zamestnanca minimálnymi právomocami potrebnými na plnenie jeho funkčných povinností na prístup k zdrojom JE;
• jasné znalosti a prísne dodržiavanie všetkými zamestnancami, ktorí používajú a udržiavajú hardvér a softvér jadrovej elektrárne, požiadavky organizačných a administratívnych dokumentov o informačnej bezpečnosti;
• osobnú zodpovednosť za svoje konanie každého zamestnanca, ktorý sa v rámci svojich funkčných povinností zúčastňuje procesov automatizovaného spracovania informácií a má prístup k zdrojom AÚ;
• implementácia technologických procesov spracovania informácií pomocou komplexov organizačných a technických opatrení na ochranu softvéru, hardvéru a údajov;
• prijatie účinných opatrení na zabezpečenie fyzickej integrity technických zariadení a nepretržitú údržbu požadovanej úrovne ochrany komponentov JE;
• aplikácia technických ( softvér a hardvér) prostriedky ochrany systémových zdrojov a nepretržitá administratívna podpora ich používania;
• vymedzenie informačných tokov a zákaz prenosu informácií s obmedzenou distribúciou prostredníctvom nechránených komunikačných kanálov;
• efektívna kontrola dodržiavania požiadaviek bezpečnosti informácií zo strany zamestnancov;
• neustále sledovanie sieťové zdroje, identifikácia zraniteľností, včasná detekcia a neutralizácia vonkajších a vnútorných hrozieb pre bezpečnosť počítačovej siete;
• právna ochrana záujmov organizácie pred protiprávnym konaním v oblasti informačnej bezpečnosti.
• priebežnú analýzu účinnosti a dostatočnosti prijatých opatrení a použitých prostriedkov ochrany informácií, vývoj a implementáciu návrhov na zlepšenie systému ochrany informácií v jadrovej elektrárni.

6 hrozieb informačnej bezpečnosti

6.1. Hrozby informačnej bezpečnosti a ich zdroje

Najnebezpečnejšími hrozbami pre bezpečnosť informácií spracúvaných v jadrovej elektrárni sú:

• porušenie dôvernosti ( odhalenie, únik) informácie predstavujúce úradné alebo obchodné tajomstvo vrátane osobných údajov;
• nefunkčné ( dezorganizácia práce) AU, blokovanie informácií, porušenie technologických postupov, narušenie včasného riešenia problémov;
• porušenie integrity ( skreslenie, nahradenie, zničenie) informácie, softvér a iné zdroje AÚ.

Hlavnými zdrojmi hrozieb pre bezpečnosť informácií o JE sú:

• nepriaznivé udalosti prírodného a človekom spôsobeného charakteru;
• teroristi, zločinci;
• počítačoví zločinci vykonávajúci cielené deštruktívne akcie vrátane použitia počítačové vírusy a ďalšie typy škodlivých kódov a útokov;
• dodávatelia softvérových a hardvérových nástrojov, spotrebného materiálu, služieb atď .;
• Dodávatelia vykonávajúci inštaláciu, uvedenie do prevádzky a opravu zariadení;
• nedodržiavanie požiadaviek dozorných a regulačných orgánov, platnej legislatívy;
• poruchy, zlyhania, zničenie / poškodenie softvéru a hardvéru;
• zamestnanci, ktorí sú zákonnými účastníkmi procesov v AÚ a konajú mimo rámca udelených právomocí;
• zamestnancov, ktorí sú zákonnými účastníkmi procesov v AÚ a konajú v rámci udelených právomocí.

6.2. Neúmyselné akcie vedúce k narušeniu bezpečnosti informácií a opatrenia na ich predchádzanie

Zamestnanci organizácie, ktorí majú priamy prístup k procesom spracovania informácií v AÚ, sú potenciálnym zdrojom neúmyselných náhodných akcií, ktoré môžu viesť k narušeniu informačnej bezpečnosti.

Veľké nechcené akcie vedúce k narušeniu informačnej bezpečnosti (činnosti ľudí vykonané náhodne, z nevedomosti, nepozornosti alebo nedbanlivosti, zo zvedavosti, ale bez zlého úmyslu) a opatrenia, ktorými sa predchádza takýmto akciám a minimalizujú sa škody, ktoré spôsobujú stôl 1.

stôl 1

Hlavné opatrenia vedúce k narušeniu informačnej bezpečnosti
Akcie zamestnanca vedúce k čiastočnému alebo úplnému zlyhaniu systému alebo narušeniu výkonu hardvéru alebo softvéru; odpojenie zariadení alebo zmena prevádzkových režimov zariadení a programov; zničenie informačných zdrojov systému ( neúmyselné poškodenie zariadenia, vymazanie, skreslenie programov alebo súborov z dôležitá informácia, vrátane systémových, poškodenia komunikačných kanálov, neúmyselného poškodenia nosičov informácií atď.)	Organizačné opatrenia ( ). Použitie fyzických prostriedkov na zabránenie neúmyselnému spáchaniu priestupku. Aplikácia technických ( hardvér a softvér) prostriedky na diferenciáciu prístupu k zdrojom. Rezervácia kritických zdrojov.
Neoprávnené spustenie programov, ktoré ak sú používané nekompetentne, môžu spôsobiť stratu výkonu systému ( zmrazenie alebo slučka) alebo vykonaním nevratných zmien v systéme ( formátovanie alebo reštrukturalizácia pamäťových médií, vymazanie údajov a pod.)	Organizačné opatrenia ( odstránenie všetkých potenciálne nebezpečných programov z pracovnej stanice). Aplikácia technických ( hardvér a softvér) prostriedky na odlíšenie prístupu k programom na pracovnej stanici.
Neoprávnené zavedenie a používanie nenahraných programov ( herné, školiace, technologické a iné, ktoré nie sú potrebné na plnenie služobných povinností zamestnancami) s následným neprimeraným plytvaním zdrojmi ( čas procesora, pamäť s ľubovoľným prístupom, pamäť na externých médiách atď.)	Organizačné opatrenia ( ukladanie zákazov). Aplikácia technických ( hardvér a softvér) znamená zabránenie neoprávnenému zavedeniu a použitiu nenahraných programov.
Neúmyselná vírusová infekcia vášho počítača	Organizačné opatrenia ( regulácia akcií, zavedenie zákazov). Technologické opatrenia ( používanie špeciálnych programov na detekciu a ničenie vírusov). Používanie hardvérových a softvérových nástrojov, ktoré zabraňujú infekcii počítačovými vírusmi.
Zverejnenie, prenos alebo strata atribútov riadenia prístupu ( heslá, šifrovacie kľúče alebo elektronický podpis, identifikačné karty, preukazy a pod.)	Organizačné opatrenia ( regulácia akcií, zavedenie zákazov, posilnenie zodpovednosti). Použitie fyzických prostriedkov na zaistenie bezpečnosti uvedených podrobností.
Ignorovanie organizačných obmedzení ( zavedené pravidlá) pri práci v systéme	Organizačné opatrenia ( ). Použitie dodatočných fyzických a technických prostriedkov ochrany.
Nekompetentné používanie, úprava alebo nevhodné deaktivovanie ochranných prostriedkov bezpečnostným personálom	Organizačné opatrenia ( školenia zamestnancov, posilnenie zodpovednosti a kontroly).
Zadávanie chybných údajov	Organizačné opatrenia ( zvýšená zodpovednosť a kontrola). Technologické opatrenia na kontrolu chýb operátorov zadávania údajov.

6.3. Úmyselné opatrenia na porušenie bezpečnosti informácií a opatrenia na ich predchádzanie

Základné úmyselné akcie ( na sebecké účely, pod nátlakom, z túžby pomstiť sa atď.), čo vedie k narušeniu informačnej bezpečnosti závodu a opatrenia na ich predchádzanie a zníženie možných spôsobených škôd sú uvedené v Tabuľka 2.

tabuľka 2

Hlavné úmyselné akcie vedúce k narušeniu informačnej bezpečnosti	Opatrenia na predchádzanie hrozbám a minimalizáciu škôd
Fyzické zničenie alebo znefunkčnenie všetkých alebo niektorých najdôležitejších komponentov automatizovaného systému ( zariadenia, nosiče dôležitých systémové informácie, personál atď.), deaktivácia alebo deaktivácia subsystémov na zabezpečenie fungovania počítačových systémov ( napájanie, komunikačné linky atď.)	Organizačné opatrenia ( regulácia akcií, zavedenie zákazov). Použitie fyzických prostriedkov zabraňujúcich úmyselnému spáchaniu porušenia. Rezervácia kritických zdrojov.
Zavedenie agentov do počtu zamestnancov systému ( vrátane administratívnej skupiny zodpovednej za bezpečnosť), nábor ( úplatkom, vydieraním, vyhrážkami a pod.) používateľov, ktorí majú určité práva na prístup k chráneným zdrojom	Organizačné opatrenia ( výber, umiestnenie a práca s personálom, posilnenie kontroly a zodpovednosti). Automatická registrácia akcií personálu.
Krádež nosičov informácií ( výtlačky, magnetické disky, pásky, úložné zariadenia a celé počítače), krádež priemyselného odpadu ( výtlačky, záznamy, vyradené médiá a pod.)	Organizačné opatrenia ( ).
Neoprávnené kopírovanie nosičov informácií, čítanie zvyškových informácií z pamäte s náhodným prístupom a z externých úložných zariadení	Organizačné opatrenia ( organizácia skladovania a používania médií s chránenými informáciami). Aplikácia technických prostriedkov vymedzujúcich prístup k chráneným zdrojom a automatická registrácia príjmu tlačených kópií dokumentov.
Nezákonný príjem hesiel a iných podrobností o kontrole prístupu ( tajnými prostriedkami, využívaním nedbanlivosti používateľov, selekciou, napodobňovaním rozhrania systému softvérovými záložkami a pod.) s následným prestrojením za registrovaného používateľa.	Organizačné opatrenia ( regulácia akcií, zavedenie zákazov, práca s personálom). Použitie technických prostriedkov, ktoré zabraňujú implementácii programov na zachytávanie hesiel, kľúčov a ďalších podrobností.
Neoprávnené používanie AWP pre používateľov s jedinečnými fyzickými vlastnosťami, ako je číslo pracovnej stanice v sieti, fyzická adresa, adresa v komunikačnom systéme, hardvérová šifrovacia jednotka atď.	Organizačné opatrenia ( prísna regulácia prístupu do priestorov a prístupu k práci na týchto ročných pracovných plánoch). Aplikácia fyzických a technických prostriedkov riadenia prístupu.
Neoprávnená zmena softvéru - zavedenie „záložiek“ a „vírusov“ softvéru ( Trójske kone a chrobáky), teda také časti programov, ktoré nie sú potrebné na implementáciu deklarovaných funkcií, ale ktoré umožňujú prekonať ochranný systém, tajne a nelegálne pristupovať k systémovým zdrojom s cieľom registrovať a prenášať chránené informácie alebo dezorganizovať fungovanie systému ochrany. systému	Organizačné opatrenia ( prísna regulácia prijatia do práce). Použitie fyzických a technických prostriedkov na rozlíšenie prístupu a zabránenie neoprávnenej modifikácii hardvérovej a softvérovej konfigurácie AWP. Aplikácia nástrojov na kontrolu integrity softvéru.
Odpočúvanie dát prenášaných komunikačnými kanálmi, ich analýza za účelom získania dôverných informácií a objasnenia výmenných protokolov, pravidiel vstupu do siete a autorizácie užívateľov, s následnými pokusmi o ich napodobenie preniknúť do systému	Fyzická ochrana komunikačných kanálov. Aplikácia prostriedkov kryptografickej ochrany prenášaných informácií.
Interferencia v procese fungovania systému z verejných sietí na účely neoprávnenej úpravy údajov, prístupu k dôverným informáciám, dezorganizácie prevádzky subsystémov atď.	Organizačné opatrenia ( regulácia pripojenia a prevádzky vo verejných sieťach). Použitie špeciálnych technických prostriedkov ochrany ( firewally, bezpečnostné kontroly a detekcia útokov na systémové prostriedky a pod.).

6.4. Únik informácií prostredníctvom technických kanálov

Počas prevádzky technických prostriedkov JE sú možné nasledovné kanály úniku alebo narušenia integrity informácií, narušenia výkonu technických prostriedkov:

• bočné elektromagnetické vyžarovanie informatívneho signálu z technických prostriedkov a vedení na prenos informácií;
• zachytenie informatívneho signálu, spracovaného pomocou elektronických počítačov, na vodiče a vedenia, ktoré presahujú kontrolovaný priestor kancelárií, vr. na uzemňovacích a napájacích obvodoch;
• rôzne elektronické zariadenia na zachytávanie informácií ( vrátane "Záložky") napojené na komunikačné kanály alebo technické prostriedky spracovania informácií;
• sledovanie informácií z obrazoviek a iných spôsobov ich zobrazovania optickými prostriedkami;
• vplyv na hardvér alebo softvér s cieľom narušiť integritu ( zničenie, skreslenie) informácie, prevádzkyschopnosť technických prostriedkov, prostriedkov informačnej bezpečnosti a včasnosť výmeny informácií, vrátane elektromagnetických, prostredníctvom špeciálne implementovaných elektronických a softvérových nástrojov ( "Záložky").

Berúc do úvahy špecifiká spracovania a zaistenie bezpečnosti informácií, hrozbu úniku dôverných informácií ( vrátane osobných údajov) prostredníctvom technických kanálov sú pre organizáciu irelevantné.

6.5. Neformálny model pravdepodobného votrelca

Páchateľom je osoba, ktorá sa pokúsila vykonať zakázané činnosti (napr. akcie) omylom, nevedomosťou alebo úmyselne so zlobou ( z vlastných záujmov) alebo bez neho ( za účelom hry alebo potešenia, za účelom sebapotvrdenia atď.) a využívajú na to rôzne možnosti, metódy a prostriedky.

Systém ochrany JE by mal byť založený na predpokladoch o nasledujúcich možných typoch previnilcov v systéme ( s prihliadnutím na kategóriu osôb, motiváciu, kvalifikáciu, dostupnosť špeciálnych prostriedkov a pod.):

• « Neskúsený (nepozorný) užívateľ»- zamestnanec, ktorý sa môže pokúšať vykonávať zakázané operácie, pristupovať k chráneným zdrojom AU nad rámec svojich právomocí, zadávať nesprávne údaje a pod. omylom, nekompetentnosťou alebo nedbanlivosťou bez zlomyseľnosti a s použitím iba pravidelných ( jemu k dispozícii) hardvér a softvér.
• « Milenec„- zamestnanec pokúšajúci sa prekonať obranný systém bez sebeckých cieľov a zlomyseľných úmyslov, na sebapotvrdenie alebo z“ športový záujem“. Na prekonanie systému ochrany a spáchanie zakázaných akcií môže použiť rôzne metódy získanie dodatočného oprávnenia na prístup k zdrojom ( mená, heslá atď. ostatných používateľov), nedostatky v konštrukcii systému ochrany a dostupného personálu ( nainštalovaný na pracovnej stanici) programy ( neoprávneným konaním prekročením svojho oprávnenia použiť povolené prostriedky). Okrem toho sa môže pokúsiť použiť ďalší neštandardný inštrumentálny a technologický softvér ( debuggery, pomocné programy), nezávisle vyvinuté programy alebo štandardné dodatočné technické prostriedky.
• « Podvodník"- zamestnanec, ktorý sa môže pokúšať vykonávať nezákonné technologické operácie, zadávať falošné údaje a podobné akcie na sebecké účely, pod nátlakom alebo zo zlého úmyslu, ale iba pomocou pravidelných ( nainštalovaný na pracovnej stanici a dostupný pre ňu) hardvér a softvér vo vlastnom mene alebo v mene iného zamestnanca ( poznať jeho meno a heslo, využívať jeho krátkodobú neprítomnosť na pracovisku a pod.).
• « Externý votrelec (votrelec)»- outsider alebo bývalý zamestnanec konajúci účelovo zo sebeckých záujmov, z pomsty alebo zo zvedavosti, prípadne v tajnej dohode s inými. Dokáže využiť celý súbor metód narúšania bezpečnosti informácií, metód a prostriedkov na prelomenie bezpečnostných systémov typických pre verejné siete ( najmä siete založené na IP) vrátane vzdialenej implementácie softvérových záložiek a používania špeciálnych inštrumentálnych a technologických programov s využitím existujúcich slabých stránok výmenných protokolov a systému ochrany sieťových uzlov AS organizácie.
• « Vnútorný útočník»- zamestnanec registrovaný ako užívateľ systému, konajúci účelovo zo sebeckých záujmov alebo pomsty, prípadne v spolupráci s osobami, ktoré nie sú zamestnancami organizácie. Dokáže využiť celý súbor metód a prostriedkov hackovania bezpečnostného systému, vrátane tajných metód získavania prístupových údajov, pasívnych prostriedkov (technické prostriedky odpočúvania bez úpravy komponentov systému), metód a prostriedkov aktívneho ovplyvňovania ( úprava technických prostriedkov, pripojenie na kanály prenosu dát, zavedenie softvérových záložiek a používanie špeciálnych prístrojových a technologických programov), ako aj kombinácia vplyvov zvnútra aj z verejných sietí.

Zasvätenou osobou môže byť osoba z nasledujúcich kategórií zamestnancov:

• registrovaní koncoví užívatelia AU ( zamestnancov divízií a pobočiek);
• pracovníci, ktorým nie je dovolené pracovať s AÚ;
• personál obsluhujúci technické prostriedky jadrovej elektrárne ( inžinieri, technici);
• zamestnanci oddelení vývoja a údržby softvéru ( aplikačných a systémových programátorov);
• technický personál obsluhujúci budovy a priestory organizácie ( upratovači, elektrikári, inštalatéri a iní pracovníci, ktorí majú prístup do budov a priestorov, kde sa nachádzajú komponenty reproduktorov);
• vodcovia rôznych úrovní.

• prepustení pracovníci;
• zástupcovia organizácií, ktoré pôsobia v otázkach zabezpečenia života organizácie ( energie, vody, tepla a pod.);
• zástupcovia firiem dodávajúcich vybavenie, softvér, služby atď .;
• členovia zločineckých organizácií a konkurenčné komerčné štruktúry alebo osoby konajúce v ich mene;
• osoby, ktoré omylom alebo úmyselne vstúpili do siete z externých sietí ( "hackeri").

Používatelia a pracovníci údržby z radov zamestnancov majú najviac príležitostí na vykonávanie neoprávnených akcií, pretože majú určité oprávnenie na prístup k zdrojom a dobré znalosti technológie spracovania informácií. Konanie tejto skupiny porušovateľov priamo súvisí s porušovaním existujúcich pravidiel a predpisov. Táto skupina porušovateľov je obzvlášť nebezpečná pri interakcii s kriminálnymi štruktúrami.

Vyhodení pracovníci môžu využiť svoje znalosti pracovnej technológie, ochranných opatrení a prístupových práv na dosiahnutie svojich cieľov.

Kriminálne štruktúry predstavujú najagresívnejší zdroj vonkajších hrozieb. Na implementáciu svojich plánov môžu tieto štruktúry otvorene porušovať zákony a zapájať zamestnancov organizácie do svojich aktivít všetkými silami a prostriedkami, ktoré majú k dispozícii.

Hackeri majú najvyššiu technickú kvalifikáciu a znalosti o slabých stránkach softvéru používaného v AU. Najväčšiu hrozbu predstavujú pri interakcii s pracujúcimi alebo prepustenými pracovníkmi a kriminálnymi štruktúrami.

Organizácie zaoberajúce sa vývojom, dodávkou a opravou zariadení a informačných systémov predstavujú vonkajšiu hrozbu, pretože majú príležitostne priamy prístup k informačným zdrojom. Zločinecké štruktúry môžu tieto organizácie využívať na dočasné zamestnanie svojich členov za účelom prístupu k chráneným informáciám.

7. Technická politika v oblasti informačnej bezpečnosti

7.1. Hlavné ustanovenia technickej politiky

Implementácia technickej politiky v oblasti informačnej bezpečnosti musí vychádzať z predpokladu, že nie je možné zaistiť požadovanú úroveň informačnej bezpečnosti nielen pomocou jedného samostatného prostriedku ( činnosť), ale aj pomocou ich jednoduchej kombinácie. Je potrebná ich vzájomná systémová koordinácia ( komplexná aplikácia) a jednotlivé vyvinuté prvky jadrovej elektrárne by mali byť považované za súčasť jednotného informačného systému v chránenom dizajne s optimálny pomer technický ( hardvér softvér) fondy a organizačné opatrenia.

Hlavnými smermi implementácie technickej politiky na zaistenie bezpečnosti informácií JE je zabezpečenie ochrany informačných zdrojov pred krádežou, stratou, únikom, zničením, skreslením alebo falšovaním v dôsledku neoprávneného prístupu a zvláštnych vplyvov.

V rámci uvedených pokynov technickej politiky na zaistenie bezpečnosti informácií sa vykonávajú tieto činnosti:

• zavedenie povoľovacieho systému na prijímanie výkonných umelcov ( užívatelia, servisný personál) na diela, dokumenty a informácie dôverného charakteru;
• obmedzenie prístupu výkonných umelcov a neoprávnených osôb do budov a priestorov, kde sa vykonáva práca dôverného charakteru a kde sa nachádzajú prostriedky informatizácie a komunikácie, na ktorých ( uložené, prenášané) informácie dôverného charakteru, priamo k samotným prostriedkom informatizácie a komunikácie;
• diferenciácia prístupu používateľov a obslužného personálu k informačným zdrojom, softvéru na spracovanie a ochranu informácií v podsystémoch rôznych úrovní a účelov zahrnutých v AÚ;
• účtovanie dokumentov, informačné polia, evidencia akcií používateľov a servisného personálu, kontrola neoprávneného prístupu a konania používateľov, servisného personálu a neoprávnených osôb;
• predchádzanie zavádzaniu vírusových programov, softvérových záložiek do automatizovaných subsystémov;
• kryptografická ochrana informácií spracovaných a prenášaných počítačovou technológiou a komunikáciou;
• spoľahlivé ukladanie strojových pamäťových médií, kryptografické kľúče ( kľúčové informácie) a ich obeh, s výnimkou krádeže, zámeny a zničenia;
• potrebná rezervácia technických prostriedkov a duplikácia polí a nosičov informácií;
• zníženie úrovne a informačného obsahu falošných emisií a snímačov vytvorených rôznymi prvkami automatizovaných subsystémov;
• elektrická izolácia obvodov napájania, uzemnenia a iných obvodov objektov informatizácie, ktoré presahujú kontrolovanú oblasť;
• pôsobenie proti optickým a laserovým prostriedkom pozorovania.

7.2. Formovanie režimu informačnej bezpečnosti

Vzhľadom na identifikované hrozby pre bezpečnosť JE by mal byť režim bezpečnosti informácií vytvorený ako súbor metód a opatrení na ochranu informácií, ktoré cirkulujú v JE a jej podpornej infraštruktúre, pred náhodnými alebo úmyselnými vplyvmi prírodnej alebo umelej povahy, ktoré zahŕňajú poškodenie vlastníkov alebo používateľov informácií.

Súbor opatrení na vytvorenie režimu informačnej bezpečnosti zahŕňa:

• zavedenie organizačného a právneho režimu informačnej bezpečnosti v automatizovanom systéme ( regulačné dokumenty, práca s personálom, kancelárske práce);
• implementácia organizačných a technických opatrení na ochranu informácií o obmedzenej distribúcii pred únikom technickými kanálmi;
• organizačné a softvérovo-technické opatrenia na zamedzenie neoprávneného konania ( prístup) do informačných zdrojov AÚ;
• súbor opatrení na kontrolu fungovania prostriedkov a systémov na ochranu informačných zdrojov s obmedzenou distribúciou po náhodných alebo úmyselných vplyvoch.

8. Opatrenia, metódy a prostriedky informačnej bezpečnosti

8.1. Organizačné opatrenia

Organizačné opatrenia- ide o organizačné opatrenia, ktoré upravujú procesy fungovania JE, využívanie ich zdrojov, činnosť personálu údržby, ako aj postup interakcie používateľov so systémom tak, aby čo najviac skomplikovali alebo vylúčili možnosť implementáciu bezpečnostných hrozieb a zníženie výšky škôd v prípade ich implementácie.

8.1.1. Formovanie bezpečnostnej politiky

Hlavným cieľom organizačných opatrení je vytvoriť politiku v oblasti informačnej bezpečnosti, ktorá bude odrážať prístupy k ochrane informácií, a zabezpečiť jej implementáciu vyčlenením potrebných zdrojov a monitorovaním stavu vecí.

Z praktického hľadiska by mala byť bezpečnostná politika JE rozdelená do dvoch úrovní. Horná úroveň zahŕňa rozhodnutia, ktoré ovplyvňujú činnosť organizácie ako celku. Príkladom takýchto riešení môže byť:

• vytvorenie alebo revízia komplexného programu informačnej bezpečnosti, určenie osôb zodpovedných za jeho implementáciu;
• formulácia cieľov, stanovovanie cieľov, definovanie oblastí činnosti v oblasti informačnej bezpečnosti;
• prijímanie rozhodnutí o implementácii bezpečnostného programu, ktoré sa posudzujú na úrovni organizácie ako celku;
• poskytovanie regulačných ( legálne) databáza bezpečnostných otázok atď.

Politika nižšej úrovne definuje postupy a pravidlá na dosiahnutie cieľov a riešenie problémov informačnej bezpečnosti a spresňuje (upravuje) tieto pravidlá:

• aký je rozsah politiky bezpečnosti informácií;
• aké sú úlohy a zodpovednosti úradníkov zodpovedných za implementáciu politiky informačnej bezpečnosti;
• kto má právo na prístup k obmedzeným informáciám;
• kto a za akých podmienok môže čítať a upravovať informácie atď.

Politika nižšej úrovne by mala:

• zabezpečiť reguláciu informačných vzťahov s vylúčením možnosti svojvoľných, monopolných alebo neoprávnených akcií vo vzťahu k dôverným informačným zdrojom;
• definovať koaličné a hierarchické zásady a metódy zdieľania tajomstiev a vymedzenia prístupu k informáciám obmedzenej distribúcie;
• zvoliť softvérové ​​a hardvérové ​​prostriedky kryptografickej ochrany, boja proti neoprávnenej manipulácii, autentifikácie, autorizácie, identifikácie a ďalších ochranných mechanizmov, ktoré poskytujú záruky pri implementácii práv a povinností subjektov informačných vzťahov.

8.1.2. Regulácia prístupu k technickým prostriedkom

Prevádzka zabezpečených automatizovaných pracovných staníc a serverov banky musí byť vykonávaná v miestnostiach vybavených spoľahlivými automatickými zámkami, alarmmi a neustále strážené alebo monitorované s vylúčením možnosti nekontrolovaného vstupu do priestorov nepovolaných osôb a zaistením fyzickej bezpečnosti chránených zdrojov. nachádza sa v priestoroch ( AWP, dokumenty, prístupové údaje atď.). Umiestnenie a inštalácia technických prostriedkov takýchto AWP by mala vylúčiť možnosť vizuálneho prezerania vstupu ( stiahnutý) informácie od osôb, ktoré s nimi nesúvisia. Čistenie priestorov zariadeniami, ktoré sú v nich nainštalované, by sa malo vykonávať za prítomnosti zodpovednej osoby, ktorej sú tieto technické prostriedky priradené, alebo osoby pôsobiacej v jednotke, v súlade s opatreniami, ktoré vylučujú neoprávnený prístup k chráneným zdrojom .

Počas spracovania obmedzených informácií by v priestoroch mal byť prítomný iba personál oprávnený pracovať s týmito informáciami.

Na konci pracovného dňa sa priestory s nainštalovanými chránenými AWP musia vzdať pod ochranou.

Na uchovávanie kancelárskych dokumentov a strojových médií s chránenými informáciami sú zamestnancom k dispozícii kovové skrinky a prostriedky na ničenie dokumentov.

Technické prostriedky, ktoré sa používajú na spracovanie alebo uchovávanie dôverných informácií, musia byť zapečatené.

8.1.3. Regulácia prijatia zamestnancov na používanie informačných zdrojov

V rámci systému permisívneho prijímania je stanovené: kto, komu, aké informácie a pre aký typ prístupu je možné poskytnúť a za akých podmienok; systém riadenia prístupu, ktorý pre všetkých používateľov definuje informácie a softvérové ​​zdroje AU, ktoré majú k dispozícii pre konkrétne operácie ( čítať, zapisovať, upravovať, mazať, spúšťať) pomocou určeného softvéru a nástrojov na prístup k hardvéru.

Prijímanie pracovníkov na prácu s AÚ a prístup k ich zdrojom musia byť prísne regulované. Akékoľvek zmeny v zložení a právomociach používateľov subsystémov AÚ by sa mali vykonať v súlade so stanoveným postupom.

Hlavnými užívateľmi informácií v AÚ sú zamestnanci štrukturálnych divízií organizácie. Úroveň oprávnenia pre každého používateľa sa určuje individuálne pri dodržaní nasledujúcich požiadaviek:

• otvorené a dôverné informácie sú umiestnené, kedykoľvek je to možné, na rôzne servery;
• každý zamestnanec používa iba práva, ktoré mu boli predpísané v súvislosti s informáciami, s ktorými potrebuje pracovať v súlade so svojimi pracovnými povinnosťami;
• šéf má právo prezerať si informácie svojich podriadených;
• najdôležitejšie technologické operácie by sa mali vykonávať podľa pravidla "V dvoch rukách"- správnosť zadaných informácií je potvrdená iným úradníkom, ktorý nemá právo na zadanie informácií.

Všetci zamestnanci prijatí do práce v JE a pracovníci údržby JE musia osobne niesť zodpovednosť za porušenie zavedeného postupu automatizovaného spracovania informácií, pravidiel pre ukladanie, používanie a prenos chránených systémových zdrojov, ktoré majú k dispozícii. Pri prijímaní do zamestnania musí každý zamestnanec podpísať záväzok o dodržiavaní požiadaviek na zachovanie dôverných informácií a zodpovednosti za ich porušenie, ako aj o dodržiavaní pravidiel pre prácu s chránenými informáciami v AÚ.

Spracovanie chránených informácií v podsystémoch AU musí prebiehať v súlade so schválenými technologickými pokynmi ( objednávky) pre tieto subsystémy.

Pre používateľov, chránené pracovné stanice, by mali byť vypracované potrebné technologické pokyny vrátane požiadaviek na zaistenie bezpečnosti informácií.

8.1.4. Regulácia procesov údržby databáz a úpravy informačných zdrojov

Všetky operácie udržiavania databáz v AU a prijímania pracovníkov na prácu s týmito databázami musia byť prísne regulované. Akékoľvek zmeny v zložení a oprávnení používateľov databáz AU by sa mali vykonať v súlade so stanoveným postupom.

Distribúcia mien, generovanie hesiel, údržba pravidiel rozlišovania prístupu k databázam je zverená zamestnancom oddelenia informačných technológií. V tomto prípade je možné použiť štandardné aj dodatočné prostriedky ochrany DBMS a operačných systémov.

8.1.5. Regulácia procesov údržby a úpravy hardvérových a softvérových zdrojov

Systémové prostriedky, ktoré majú byť chránené ( úlohy, programy, AWP) podliehajú prísnemu účtovníctvu ( na základe použitia vhodných formulárov alebo špecializovaných databáz).

Hardvérová a softvérová konfigurácia automatizovaných pracovných staníc, kde sa spracúvajú chránené informácie alebo z ktorých je možný prístup k chráneným zdrojom, musí zodpovedať rozsahu funkčných povinností pridelených používateľom tohto AWS. Všetky nepoužité (nepotrebné) informačné vstupno-výstupné zariadenia ( COM, USB, LPT porty, disketové mechaniky, CD a iné pamäťové médiá) na takýchto AWP je potrebné deaktivovať (vymazať), zmazať aj nepotrebný softvér a dáta z diskov AWS.

Na zjednodušenie údržby, údržby a organizácie ochrany by mali byť pracovné stanice vybavené softvérom a nakonfigurované jednotným spôsobom ( v súlade so stanovenými pravidlami).

Uvedenie do prevádzky nových AWP a všetkých zmien v konfigurácii hardvéru a softvéru, existujúce AWP v AS organizácie by sa malo vykonávať iba v stanovenom poradí.

Všetok softvér ( vyvinuté odborníkmi organizácie, získané alebo získané od výrobcov) by mali byť testované v súlade so stanoveným postupom a prenesené do depozitára programov organizácie. V subsystémoch AÚ by sa mal inštalovať a používať iba softvér prijatý z depozitára v súlade so stanoveným postupom. Používanie softvéru v AS, ktorý nie je súčasťou softvérového depozitára, by malo byť zakázané.

Vývoj softvéru, testovanie vyvinutého a zakúpeného softvéru, prenos softvéru do prevádzky by sa mal vykonávať v súlade so stanoveným postupom.

8.1.6. Školenie a vzdelávanie používateľov

Pred poskytnutím prístupu k AU musia byť jeho používatelia, ako aj pracovníci manažmentu a údržby oboznámení so zoznamom dôverných informácií a úrovňou ich oprávnenia, ako aj s organizačnou a administratívnou, regulačnou, technickou a prevádzkovou dokumentáciou, ktorá určuje požiadavky a postup spracovania takýchto informácií.

Ochrana informácií vo všetkých vyššie uvedených oblastiach je možná až potom, čo si užívatelia osvoja určitú disciplínu, t.j. normy, ktoré sú záväzné pre každého, kto pracuje v AU. Tieto normy zahrnujú zákaz akýchkoľvek úmyselných alebo neúmyselných akcií, ktoré narúšajú normálnu prevádzku AU, spôsobujú dodatočné náklady na zdroje, porušujú integritu uložených a spracovaných informácií, porušujú záujmy legitímnych používateľov.

Všetci zamestnanci, ktorí pri svojej práci využívajú konkrétne subsystémy JE, musia byť oboznámení s organizačnými a administratívnymi dokumentmi na ochranu jadrovej elektrárne v časti, ktorá sa ich týka, musia poznať a dôsledne dodržiavať technologické pokyny a všeobecné povinnosti na zaistenie bezpečnosti informácie. Doručenie náležitostí týchto dokumentov osobám povereným spracovaním chránených informácií by mali vykonávať vedúci oddelení proti ich podpisu.

8.1.7. Zodpovednosť za porušenie požiadaviek na bezpečnosť informácií

Pri každom závažnom porušení požiadaviek na bezpečnosť informácií zamestnancami organizácie by sa malo vykonať oficiálne vyšetrovanie. Proti páchateľom je potrebné prijať primerané opatrenia. Stupeň zodpovednosti personálu za činnosti spáchané v rozpore so stanovenými pravidlami na zaistenie bezpečného automatizovaného spracovania informácií by mal byť určený spôsobenou škodou, prítomnosťou úmyselného úmyslu a ďalšími faktormi.

Na implementáciu zásady osobnej zodpovednosti používateľov za svoje činy je potrebné:

• individuálna identifikácia používateľov a nimi iniciované procesy, t.j. zriadenie im identifikátora, na základe ktorého sa bude rozlišovať prístup v súlade so zásadou platnosti prístupu;
• autentifikácia užívateľa ( Overenie) na základe hesiel, kľúčov na inom fyzickom základe atď.;
• registrácia ( ťažba dreva) fungovanie mechanizmov na kontrolu prístupu k zdrojom informačného systému s uvedením dátumu a času, identifikátorov požadujúcich a požadovaných zdrojov, typu interakcie a jej výsledku;
• reakcia na pokusy o neoprávnený prístup ( alarm, blokovanie atď.).

8.2. Technické prostriedky ochrany

Technické ( hardvér a softvér) prostriedky ochrany - rôzne elektronické zariadenia a špeciálne programy, ktoré sú súčasťou AU a vykonávajú (nezávisle alebo v kombinácii s inými prostriedkami) ochranné funkcie ( identifikácia a autentifikácia používateľov, diferenciácia prístupu k zdrojom, registrácia udalostí, kryptografická ochrana informácií a pod.).

Pri zohľadnení všetkých požiadaviek a zásad zaistenia bezpečnosti informácií v jadrovej elektrárni vo všetkých oblastiach ochrany by mali byť do systému ochrany zahrnuté tieto prostriedky:

• prostriedky autentifikácie používateľov a prvkov reproduktora ( terminály, úlohy, položky databázy atď.) zodpovedajúce stupňu dôvernosti informácií a spracovaných údajov;
• prostriedky na vymedzenie prístupu k údajom;
• prostriedky kryptografickej ochrany informácií v dátových prenosových linkách a v databázach;
• prostriedky registrácie obehu a kontroly používania chránených informácií;
• prostriedky reagovania na zistené manipulácie alebo pokusy o manipuláciu;
• prostriedky na zníženie úrovne a informačného obsahu falošných emisií a zachytávačov;
• prostriedky ochrany pred optickými prostriedkami pozorovania;
• ochrana pred vírusmi a škodlivým softvérom;
• prostriedky elektrického odpojenia striedavých prvkov a konštrukčných prvkov priestorov, v ktorých sa zariadenie nachádza.

Technické prostriedky ochrany pred neoprávnenými útokmi sú zodpovedné za riešenie týchto hlavných úloh:

• identifikácia a autentifikácia používateľov pomocou mien a/alebo špeciálneho hardvéru ( Dotyková pamäť, čipová karta atď.);
• regulácia prístupu používateľov k fyzickým zariadeniam pracovných staníc ( disky, vstupno-výstupné porty);
• selektívna (voľná) kontrola prístupu k logické disky, adresáre a súbory;
• autoritatívne (povinné) rozlišovanie prístupu k chráneným údajom na pracovnej stanici a na súborovom serveri;
• vytváranie uzavretých softvérové ​​prostredie povolené spúšťať programy umiestnené na lokálnych aj sieťových jednotkách;
• ochrana pred prienikom počítačových vírusov a škodlivého softvéru;
• kontrola integrity modulov systému ochrany, oblastí diskového systému a ľubovoľných zoznamov súborov v automatický režim a príkazmi správcu;
• registrácia akcií používateľa v zabezpečenom denníku, prítomnosť niekoľkých úrovní registrácie;
• ochrana systému ochrany údajov na súborovom serveri pred prístupom všetkých používateľov vrátane správcu siete;
• centralizovaná správa nastavení prostriedkov diferenciácie prístupu na pracovných staniciach siete;
• registrácia všetkých udalostí spojených s manipuláciou na pracovných staniciach;
• prevádzková kontrola nad prácou používateľov siete, zmena režimov prevádzky pracovných staníc a možnosť blokovania ( Ak je to nevyhnutné) akákoľvek stanica v sieti.

Úspešná aplikácia technických prostriedkov ochrany predpokladá, že splnenie nižšie uvedených požiadaviek je zabezpečené organizačnými opatreniami a použitými fyzickými prostriedkami ochrany:

• je zabezpečená fyzická integrita všetkých zložiek AÚ;
• každý zamestnanec ( používateľ systému) má jedinečný názov systému a minimálne oprávnenie na prístup k systémovým zdrojom potrebným na plnenie jeho funkčných povinností;
• používanie inštrumentálnych a technologických programov na pracovných staniciach ( testovacie nástroje, debuggery atď.), ktoré umožňujú pokusy o narušenie alebo obídenie bezpečnostných opatrení, je obmedzené a prísne regulované;
• v chránenom systéme nie sú žiadni programujúci používatelia a vývoj a ladenie programov sa vykonáva mimo chráneného systému;
• všetky zmeny v konfigurácii hardvéru a softvéru sa vykonávajú prísne stanoveným spôsobom;
• sieťový hardvér ( rozbočovače, prepínače, smerovače atď.) sa nachádza na miestach neprístupných pre cudzincov ( špeciálne miestnosti, skrine a pod.);
• služba informačnej bezpečnosti vykonáva nepretržitú správu a administratívnu podporu fungovania nástrojov informačnej bezpečnosti.

8.2.1. Nástroje na identifikáciu a autentifikáciu používateľov

Aby sa zabránilo neoprávneným osobám v prístupe k AU, je potrebné zabezpečiť, aby systém dokázal rozpoznať každého legitímneho používateľa (alebo obmedzené skupiny používateľov). Ak to chcete urobiť, v systéme ( na chránenom mieste) by mal uchovávať množstvo atribútov každého používateľa, podľa ktorých možno tohto používateľa identifikovať. V budúcnosti je používateľ pri vstupe do systému a v prípade potreby pri vykonávaní určitých akcií v systéme povinný sa identifikovať, t.j. uveďte identifikátor, ktorý je mu priradený v systéme. Okrem toho je možné na identifikáciu použiť rôzne typy zariadení: magnetické karty, vložky kľúčov, diskety atď.

Overenie ( potvrdenie pravosti) používateľov by sa malo vykonávať na základe použitia hesiel (tajných slov) alebo špeciálnych autentifikačných prostriedkov, pričom sa kontrolujú jedinečné vlastnosti (parametre) používateľov.

8.2.2. Prostriedky vymedzujúce prístup k zdrojom automatizovaného systému

Po rozpoznaní používateľa musí systém používateľa autorizovať, to znamená určiť, aké práva sú užívateľovi udelené, t.j. aké dáta a ako môže využívať, aké programy môže vykonávať, kedy, ako dlho a z akých terminálov môže pracovať, aké systémové prostriedky môže využívať atď. Autorizácia používateľa by sa mala vykonávať pomocou nasledujúcich mechanizmov riadenia prístupu:

• selektívne mechanizmy riadenia prístupu založené na použití schém atribútov, zoznamov povolení atď .;
• autoritatívne mechanizmy kontroly prístupu založené na používaní štítkov dôvernosti zdrojov a úrovniach prístupu používateľov;
• mechanizmy na poskytovanie uzavretého prostredia dôveryhodného softvéru ( individuálne pre každého používateľa zoznamy povolených programov na spustenie) podporované mechanizmami na identifikáciu a autentifikáciu používateľov, keď sa prihlásia do systému.

Oblasti zodpovednosti a úlohy konkrétnych technických prostriedkov ochrany sú stanovené na základe ich schopností a výkonnostných charakteristík popísaných v dokumentácii k týmto prostriedkom.

Technické prostriedky kontroly vstupu by mali byť neoddeliteľnou súčasťou jednotného systému kontroly vstupu:

• do kontrolovanej oblasti;
• v oddelených miestnostiach;
• na prvky AU a prvky systému informačnej bezpečnosti ( fyzický prístup);
• k zdrojom AÚ ( matematický prístup);
• do informačných úložísk ( pamäťové médiá, zväzky, súbory, množiny údajov, archívy, referencie, záznamy atď.);
• k aktívnym zdrojom ( aplikačné programy, úlohy, formuláre žiadostí a pod.);
• do operačného systému, systémové programy a bezpečnostné programy atď.

8.2.3. Prostriedky zabezpečenia a monitorovania integrity softvéru a informačných zdrojov

Kontrola integrity programov, spracovávaných informácií a prostriedkov ochrany, aby sa zabezpečila nemennosť softvérového prostredia, určená poskytnutou technológiou spracovania, a ochrana pred neoprávnenou opravou informácií by mala byť zabezpečená:

• prostriedky na výpočet kontrolných súčtov;
• prostredníctvom elektronického podpisu;
• prostriedky na porovnanie kritických zdrojov s ich základnými kópiami ( a vymáhanie v prípade porušenia integrity);
• prostriedky kontroly prístupu ( odmietnutie prístupu s právami na úpravu alebo vymazanie).

Na ochranu informácií a programov pred neoprávneným zničením alebo skreslením je potrebné zabezpečiť:

• duplikácia systémových tabuliek a údajov;
• duplexná tlač a zrkadlenie údajov na diskoch;
• sledovanie transakcií;
• pravidelné monitorovanie integrity operačného systému a užívateľských programov, ako aj užívateľských súborov;
• antivírusová ochrana a kontrola;
• zálohovanie dát podľa vopred stanovenej schémy.

8.2.4. Ovládacie prvky bezpečnostných udalostí

Kontroly by mali zabezpečiť, aby všetky udalosti ( akcie používateľov, pokusy o neoprávnené osoby atď.), čo môže mať za následok porušenie bezpečnostnej politiky a viesť k vzniku krízových situácií. Ovládacie prvky by mali poskytovať schopnosť:

• neustále monitorovanie kľúčových uzlov siete a komunikačných zariadení tvoriacich sieť, ako aj sieťovej aktivity v kľúčových segmentoch siete;
• kontrola používania podnikových a verejných sieťových služieb používateľmi;
• udržiavanie a analýza protokolov bezpečnostných udalostí;
• včasná detekcia vonkajších a vnútorných hrozieb pre bezpečnosť informácií.

Pri registrácii bezpečnostných udalostí v systémový denník mali by sa zaznamenať tieto informácie:

• dátum a čas udalosti;
• identifikátor subjektu ( užívateľ, program) vykonanie registrovanej akcie;
• akcia ( ak je zaregistrovaná žiadosť o prístup, potom sa označí objekt a typ prístupu).

Ovládacie prvky by mali byť schopné detekovať a zaznamenať nasledujúce udalosti:

• prihlásenie užívateľa do systému;
• prihlásenie používateľa do siete;
• neúspešné prihlásenie alebo pokus o sieť ( nesprávne heslo);
• pripojenie k súborovému serveru;
• spustenie programu;
• dokončenie programu;
• pokus o spustenie programu, ktorý nie je k dispozícii na spustenie;
• pokus o získanie prístupu k neprístupnému adresáru;
• pokus o čítanie / zápis informácií z disku neprístupného pre používateľa;
• pokus o spustenie programu z disku, ktorý je pre používateľa nedostupný;
• porušenie integrity programov a údajov systému ochrany atď.

Mali by byť podporované nasledujúce hlavné spôsoby reakcie na zistené skutočnosti neoprávnených osôb ( prípadne za účasti správcu zabezpečenia):

• oznámenie vlastníka informácií o NSD k jeho údajom;
• zrušenie programu ( úlohy) s ďalším vykonaním;
• upovedomenie správcu databázy a bezpečnostného správcu;
• odpojenie terminálu ( pracovná stanica), z ktorých boli vykonané pokusy NSD o informácie alebo nezákonné akcie na sieti;
• vylúčenie páchateľa zo zoznamu registrovaných užívateľov;
• signalizácia alarmu atď.

8.2.5. Zabezpečenie kryptografických informácií

Jedným z najdôležitejších prvkov systému informačnej bezpečnosti jadrovej elektrárne by malo byť používanie kryptografických metód a prostriedkov na ochranu informácií pred neoprávneným prístupom pri ich prenose komunikačnými kanálmi a ukladaní na počítačové médiá.

Všetky prostriedky kryptografickej ochrany informácií v AÚ by mali byť postavené na základe základného kryptografického jadra. Organizácia musí mať zákonom stanovené licencie na právo používať kryptografické médiá.

Kľúčový systém prostriedkov kryptografickej ochrany používaných v AÚ by mal zabezpečovať šifrovaciu schopnosť prežitia a viacúrovňovú ochranu proti ohrozeniu kľúčových informácií, oddelenie používateľov podľa úrovní ochrany a zón ich interakcie medzi sebou a používateľmi iných úrovní.

Dôvernosť a ochrana pred imitáciou informácií počas ich prenosu prostredníctvom komunikačných kanálov by mala byť zabezpečená použitím prostriedkov predplatiteľa a kódovania kanálov v systéme. Kombinácia predplatiteľa a kanálového šifrovania informácií by mala zaistiť jeho komplexnú ochranu po celej trase prechodu, chrániť informácie v prípade ich chybného presmerovania v dôsledku porúch a porúch hardvéru a softvéru prepínacích centier.

AÚ, ktorá je systémom s distribuovanými informačnými zdrojmi, by mala využívať aj prostriedky na generovanie a overovanie elektronických podpisov, aby sa zabezpečila integrita a právne dôkazné potvrdenie pravosti správ, ako aj autentifikácia používateľov, účastníckych staníc a potvrdenie času odosielania správ. V tomto prípade by sa mali použiť štandardizované algoritmy elektronického podpisu.

8.3. Správa informačnej bezpečnosti

Riadenie systému informačnej bezpečnosti v jadrovej elektrárni je cielený vplyv na zložky bezpečnostného systému ( organizačné, technické, softvérové ​​a kryptografické) s cieľom dosiahnuť požadované ukazovatele a štandardy bezpečnosti informácií obiehajúcich v JE v kontexte implementácie hlavných bezpečnostných hrozieb.

Hlavným cieľom organizácie riadenia systému informačnej bezpečnosti je zvýšiť spoľahlivosť ochrany informácií počas ich spracovania, uchovávania a prenosu.

Riadenie systému informačnej bezpečnosti je implementované špecializovaným riadiacim subsystémom, ktorý je súborom kontrolných orgánov, technických, softvérových a kryptografických prostriedkov, ako aj organizačných opatrení a interakčných kontrolných bodov rôznych úrovní.

Funkcie riadiaceho subsystému sú: informačné, riadiace a pomocné.

Informačná funkcia spočíva v nepretržitom monitorovaní stavu ochranného systému, kontrole súladu bezpečnostných indikátorov s prípustnými hodnotami a bezprostrednom informovaní bezpečnostných operátorov o situáciách, ktoré v jadrovej elektrárni vzniknú a ktoré môžu viesť k narušeniu informačnej bezpečnosti . Na monitorovanie stavu systému ochrany sú dve požiadavky: úplnosť a spoľahlivosť. Úplnosť charakterizuje stupeň pokrytia všetkých spôsobov ochrany a parametre ich fungovania. Spoľahlivosť riadenia charakterizuje stupeň primeranosti hodnôt kontrolovaných parametrov k ich skutočnej hodnote. V dôsledku spracovania riadiacich údajov sa generujú informácie o stave systému ochrany, ktoré sa zovšeobecnia a prenesú do vyšších riadiacich bodov.

Riadiacou funkciou je formulovať plány implementácie technologických operácií JE s prihliadnutím na požiadavky na bezpečnosť informácií za podmienok, ktoré v danom časovom okamihu prevládajú, ako aj určiť polohu situácie zraniteľnosti informácií a zabrániť jej úniku tým, že rýchle blokovanie sekcií JE, v ktorých vznikajú hrozby bezpečnosti informácií ... Kontrolné funkcie zahŕňajú účtovníctvo, ukladanie a vydávanie dokladov a nosičov informácií, hesiel a kľúčov. Zároveň je potrebné generovanie hesiel, kľúčov, údržba prostriedkov kontroly prístupu, akceptácia nových softvérových nástrojov zaradených do softvérového prostredia AS, kontrola súladu softvérového prostredia s normou, ako aj kontrola technologického procesu. spracúvania dôverných informácií sú pridelení pracovníci odboru informačných technológií a odboru ekonomického zabezpečenia.

TO pomocné funkcie riadiace subsystémy zahŕňajú účtovanie všetkých operácií vykonávaných v AÚ s chránenými informáciami, vytváranie ohlasovacích dokumentov a zber štatistických údajov s cieľom analyzovať a identifikovať potenciálne kanály úniku informácií.

8.4. Monitorovanie účinnosti systému ochrany

Monitorovanie účinnosti systému ochrany informácií sa vykonáva s cieľom včas identifikovať a predchádzať úniku informácií v dôsledku neoprávneného prístupu k nemu, ako aj zabrániť možným špeciálnym opatreniam zameraným na ničenie informácií a ničenie informačných technológií.

Hodnotenie účinnosti opatrení na ochranu informácií sa vykonáva pomocou organizačných, hardvérových a softvérových kontrol na zaistenie súladu so stanovenými požiadavkami.

Riadenie je možné vykonávať pomocou štandardných prostriedkov systému ochrany informácií, ako aj pomocou špeciálnych prostriedkov riadenia a technologického monitorovania.

8.5. Vlastnosti zaistenia informačnej bezpečnosti osobných údajov

Klasifikácia osobných údajov sa vykonáva v súlade so závažnosťou následkov straty vlastností zabezpečenia osobných údajov pre subjekt osobných údajov.

• O osobných údajoch „Na špeciálne kategórie osobných údajov;
• osobné údaje klasifikované v súlade s federálnym zákonom " O osobných údajoch „K biometrickým osobným údajom;
• osobné údaje, ktoré nemožno zaradiť do osobitných kategórií osobných údajov, biometrické osobné údaje, verejne dostupné alebo anonymizované osobné údaje;
• osobné údaje klasifikované v súlade s federálnym zákonom " O osobných údajoch „Verejne dostupné alebo anonymizované osobné údaje.

Prenos osobných údajov tretej strane sa musí uskutočniť na základe spolkového zákona alebo súhlasu subjektu osobných údajov. V prípade, že organizácia zverí spracúvanie osobných údajov tretej strane na základe dohody, zásadnou podmienkou takejto dohody je záväzok tretej strany zabezpečiť dôvernosť osobných údajov a bezpečnosť osobných údajov. počas ich spracovania.

Organizácia musí zastaviť spracúvanie osobných údajov a zničiť zhromaždené osobné údaje, pokiaľ právne predpisy Ruskej federácie neustanovujú inak, v lehotách stanovených právnymi predpismi Ruskej federácie v týchto prípadoch:

• pri dosiahnutí cieľov spracovania alebo ak ich nie je potrebné dosiahnuť;
• na žiadosť subjektu osobných údajov alebo Povereného orgánu na ochranu práv subjektov osobných údajov - ak sú osobné údaje neúplné, neaktuálne, nedôveryhodné, získané nezákonne alebo nie sú potrebné na uvedený účel spracúvania;
• keď subjekt osobných údajov odvolá svoj súhlas so spracovaním svojich osobných údajov, ak je taký súhlas požadovaný v súlade s právnymi predpismi Ruskej federácie;
• pokiaľ nie je možné, aby prevádzkovateľ odstránil porušenia, ktorých sa dopustil pri spracúvaní osobných údajov.

Organizácia by mala definovať a zdokumentovať:

• postup pri likvidácii osobných údajov ( vrátane hmotných nosičov osobných údajov);
• postup pri spracúvaní žiadostí subjektov osobných údajov ( alebo ich zákonní zástupcovia) o spracúvaní ich osobných údajov;
• postup pri opatreniach v prípade žiadostí autorizovaného orgánu na ochranu práv subjektov osobných údajov alebo iných dozorných orgánov vykonávajúcich kontrolu a dohľad v oblasti osobných údajov;
• prístup ku klasifikácii hovoriaceho ako informačné systémy osobné údaje ( Ďalej - ISPDN );
• Zoznam ISPD. Zoznam ISPD by mal obsahovať AS, ktorého účelom vytvorenia a použitia je spracovanie osobných údajov.

Pre každý PDIS sa identifikuje a zdokumentuje:

• účel spracúvania osobných údajov;
• objem a obsah spracúvaných osobných údajov;
• zoznam úkonov s osobnými údajmi a spôsobov ich spracovania.

Objem a obsah osobných údajov, ako aj zoznam úkonov a spôsobov spracúvania osobných údajov musia zodpovedať účelom spracúvania. V prípade, že na implementáciu informačno -technologického postupu, ktorého implementáciu podporuje ISPD, nie je potrebné spracúvať niektoré osobné údaje, tieto osobné údaje je potrebné vymazať.

Požiadavky na zaistenie bezpečnosti osobných údajov v ISPDN sú vo všeobecnosti realizované komplexom organizačných, technologických, technických a softvérových opatrení, prostriedkov a mechanizmov na ochranu informácií.

Organizácia implementácie a ( alebo) implementáciu požiadaviek na zaistenie bezpečnosti osobných údajov by mala vykonávať štrukturálna jednotka alebo úradník (zamestnanec) organizácie zodpovednej za zabezpečenie bezpečnosti osobných údajov alebo na zmluvnom základe organizácia - protistrana organizácie s licenciou na poskytovanie technickej ochrany dôverných informácií.

Vytvorenie ISPD organizácie by malo zahŕňať vypracovanie a schválenie ( vyhlásenie) organizačnú, administratívnu, projektovú a prevádzkovú dokumentáciu vytváraného systému podľa zadávacích podmienok. Dokumentácia by mala odrážať otázky zaistenia bezpečnosti spracúvaných osobných údajov.

Vývoj koncepcií, technických špecifikácií, návrh, tvorba a testovanie, akceptovanie a uvedenie ISPD do prevádzky by sa malo vykonávať na základe dohody a pod kontrolou štrukturálnej jednotky alebo úradníka (zamestnanca) zodpovedného za zabezpečenie bezpečnosti osobných údajov.

Všetky informačné aktíva patriace k ISPD organizácie musia byť chránené pred účinkami škodlivého kódu. Organizácia musí určiť a zdokumentovať požiadavky na zaistenie bezpečnosti osobných údajov pomocou antivírusovej ochrany a postup monitorovania implementácie týchto požiadaviek.

Organizácia by mala definovať systém kontroly prístupu, ktorý umožňuje kontrolu prístupu ku komunikačným portom, vstupným/výstupným zariadeniam, vymeniteľným pamäťovým médiám a externým zariadeniam na ukladanie údajov ISPDN.

Vedúci prevádzkových a obslužných divízií ISPD organizácie zaisťujú bezpečnosť osobných údajov počas ich spracovania v ISPD.

Zamestnanci, ktorí spracúvajú osobné údaje v ISPDN, musia konať v súlade s pokynmi ( usmernenia, predpisy atď.), ktorá je súčasťou prevádzkovej dokumentácie k ISPD, a spĺňajú požiadavky dokumentov údržby IS.

Zodpovednosti za správu ochranných prostriedkov a ochranných mechanizmov, ktoré realizujú požiadavky na zabezpečenie IS ISPD organizácie, ukladajú príkazy ( objednávky) o špecialistoch Katedry informačných technológií.

Postup pre špecialistov z odboru informačných technológií a personál zapojený do spracúvania osobných údajov by mal byť určený pokynmi ( usmernenia), ktoré sú vypracované vývojárom ISPD ako súčasť prevádzkovej dokumentácie k ISPD.

Špecifikované pokyny ( sprievodcov):

• stanoviť požiadavky na kvalifikáciu personálu v oblasti informačnej bezpečnosti, ako aj aktuálny zoznam chránených objektov a pravidlá jeho aktualizácie;
• obsahovať plne relevantné ( časom) údaje o užívateľských právach;
• obsahovať údaje o technológii spracovania informácií v množstve potrebnom pre špecialistu na informačnú bezpečnosť;
• stanoviť poradie a frekvenciu analýzy denníkov udalostí ( log archívy);
• regulovať ďalšie akcie.

Konfiguračné parametre ochranných prostriedkov a mechanizmy na ochranu informácií pred neoprávnenou manipuláciou používané v oblasti zodpovednosti špecialistov oddelenia informačných technológií sú stanovené v prevádzkovej dokumentácii k ISPD. Postup a frekvencia kontrol nainštalovaných konfiguračných parametrov je stanovená v prevádzkovej dokumentácii alebo je upravená interným dokumentom, pričom kontroly by sa mali vykonávať najmenej raz za rok.

Organizácia musí určiť a zdokumentovať postup pri vstupe do priestorov, v ktorých sa nachádzajú technické prostriedky ISPDN a uložené nosiče osobných údajov, zabezpečenie kontroly vstupu nepovolaných osôb do priestorov a prítomnosti prekážok neoprávneného vstupu do priestorov. priestorov. Špecifikovaný postup by mala vypracovať štrukturálna jednotka alebo úradník ( zamestnanec), zodpovedný za zaistenie režimu fyzickej bezpečnosti a schválený štrukturálnou jednotkou alebo úradníkom ( zamestnanec), zodpovedným za zaistenie bezpečnosti osobných údajov, a oddelením ekonomického zabezpečenia.

Používatelia a servisný personál ISPDN by nemali vykonávať neoprávnené a ( alebo) neregistrovaný ( nekontrolovane) kopírovanie osobných údajov. Na tento účel by organizačné a technické opatrenia mali zakázať neoprávnené a ( alebo) neregistrovaný ( nekontrolovane) kopírovanie osobných údajov, vrátane použitia odcudzených ( vymeniteľné) pamäťové médiá, mobilné zariadenia na kopírovanie a prenos informácií, komunikačné porty a vstupno -výstupné zariadenia, ktoré implementujú rôzne rozhrania ( vrátane bezdrôtového), úložné zariadenia mobilných zariadení ( notebooky, PDA, smartfóny, mobilné telefóny), ako aj foto a video zariadenia.

Riadenie osobnej bezpečnosti vykonáva špecialista na informačnú bezpečnosť, a to pomocou štandardných prostriedkov systému ochrany informácií, ako aj pomocou špeciálnych kontrolných a technologických monitorovacích nástrojov.

Stiahnuť súbor ZIP (65475)

Dokumenty sa nám hodili - dajte „páči sa mi to“ alebo: