Bilgi Güvenliği. Bilgi güvenliği sistemi Bilgi güvenliği sağlanır

Dipnot: Ders, bilgi güvenliğinin temel kavramlarını tartışır. "Bilgi, Bilgi Teknolojileri ve Bilgi Koruması" Federal Yasasına aşinalık.

GOST" Bilginin korunması... Temel terimler ve tanımlar "kavramını tanıtır. bilgi Güvenliği sağlandığı bir bilgi güvenliği durumu olarak gizlilik, kullanılabilirlik ve bütünlük.

Gizlilik- Bilgiye erişimin yalnızca buna hakkı olan kişiler tarafından gerçekleştirildiği bilgi durumu.
Bütünlük- içinde herhangi bir değişikliğin olmadığı veya değişikliğin sadece buna hakkı olan kişiler tarafından kasıtlı olarak yapıldığı bilgi durumu;
kullanılabilirlik- erişim hakkına sahip öznelerin herhangi bir engelleme olmaksızın kullanabileceği bilgi durumu.

Bilgi güvenliği tehditleri- potansiyel veya gerçek bir bilgi güvenliğini ihlal etme tehlikesi yaratan bir dizi koşul ve faktör [,]. saldırı yoluyla bir tehdidi uygulama girişimi olarak adlandırılır ve böyle bir girişimde bulunana - davetsiz misafir... Potansiyel davetsiz misafirlere denir tehdit kaynakları.

Tehdit varlığın bir sonucudur güvenlik açıkları veya güvenlik açıkları bilgi sisteminde. Güvenlik açıkları, örneğin program yazarken kasıtsız programcıların yaptığı hatalar gibi çeşitli nedenlerle ortaya çıkabilir.

Tehditler çeşitli kriterlere göre sınıflandırılabilir:

üzerinde bilginin özellikleri tehditlerin ilk etapta yönlendirildiği (kullanılabilirlik, bütünlük, gizlilik);
tehditlerin hedef aldığı bilgi sistemlerinin bileşenleri (veriler, programlar, donanımlar, destekleyici altyapı);
uygulama yöntemiyle (kazara / kasıtlı, doğal / insan yapımı eylemler);
tehdit kaynağının konumuna göre (değerlendirilen IS'nin içinde / dışında).

Bilgi güvenliğinin sağlanması karmaşık bir görevdir. Karmaşık bir yaklaşım... Aşağıdaki bilgi koruma seviyeleri ayırt edilir:

yasama - Rusya Federasyonu ve uluslararası toplumun yasaları, yönetmelikleri ve diğer belgeleri;
idari - kuruluşun yönetimi tarafından yerel olarak alınan bir dizi önlem;
prosedürel seviye - insanlar tarafından uygulanan güvenlik önlemleri;
yazılım ve donanım seviyesi- doğrudan bilgi koruma araçları.

Yasama düzeyi, temel kavramları verdiği için bir bilgi koruma sistemi oluşturmanın temelidir. konu alanı ve potansiyel davetsiz misafirler için cezayı belirler. Bu düzey, düzenleyici ve yönlendirici bir rol oynar ve toplumda bilgi güvenliğini ihlal eden kişilere karşı olumsuz (ve cezalandırıcı) bir tutumun korunmasına yardımcı olur.

1.2. "Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında Federal Kanun"

Rus mevzuatında, bilgi koruma alanındaki temel yasa, 27 Temmuz 2006 tarih ve 149-FZ sayılı "Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında Federal Yasa"dır. Bu nedenle, yasada yer alan temel kavramlar ve çözümler üzerinde dikkatle düşünülmesi gerekmektedir.

Kanun, aşağıdakilerden kaynaklanan ilişkileri düzenler:

bilgi arama, alma, aktarma, üretme ve yayma hakkının kullanılması;
başvuru Bilişim Teknolojileri;
bilgilerin korunmasını sağlamak.

Kanun, bilgi koruma alanında temel tanımlar sağlar. Bunlardan bazıları:

bilgi- sunum biçiminden bağımsız olarak bilgi (mesajlar, veriler);
bilgi Teknolojisi- süreçler, araştırma, toplama, depolama, işleme, sağlama, bilgi yayma yöntemleri ve bu tür süreç ve yöntemleri uygulama yolları;
Bilgi sistemi- veritabanlarında ve bilgi teknolojilerinde bulunan bir dizi bilgi ve işlenmesini sağlayan teknik araçlar;
bilgi sahibi- bağımsız olarak bilgi oluşturan veya bir yasa veya anlaşma temelinde, herhangi bir kriterle belirlenen bilgilere erişime izin verme veya kısıtlama hakkını alan bir kişi;
bilgi sistemi operatörü- veritabanlarında bulunan bilgilerin işlenmesi de dahil olmak üzere bilgi sistemini işleten bir vatandaş veya tüzel kişilik.
bilgi gizliliği- belirli bilgilere erişim elde eden bir kişinin, sahibinin rızası olmadan bu bilgileri üçüncü taraflara aktarmaması için zorunlu bir gereklilik.

Kanunun 4. Maddesi, bilgi, bilgi teknolojisi ve bilgi koruma alanındaki ilişkilerin yasal düzenleme ilkelerini formüle eder:

herhangi bir yasal yolla bilgi arama, alma, aktarma, üretme ve yayma özgürlüğü;
bilgiye erişime ilişkin kısıtlamaların yalnızca federal yasalarla belirlenmesi;
federal yasalarla belirlenen durumlar dışında, devlet organlarının ve yerel özyönetim organlarının faaliyetleri hakkında bilginin açıklığı ve bu bilgilere ücretsiz erişim;
bilgi sistemlerinin oluşturulmasında ve işletilmesinde Rusya Federasyonu halklarının dillerinin eşitliği;
bilgi sistemlerinin oluşturulması, işletilmesi ve içerdiği bilgilerin korunması sırasında Rusya Federasyonu'nun güvenliğini sağlamak;
bilginin güvenilirliği ve sağlanmasının güncelliği;
özel hayatın dokunulmazlığı, kişinin özel hayatıyla ilgili bilgilerin rızası olmadan toplanması, saklanması, kullanılması ve yayılmasının kabul edilemezliği;
devlet bilgi sistemlerinin oluşturulması ve işletilmesi için belirli bilgi teknolojilerinin zorunlu kullanımı federal yasalar tarafından oluşturulmadıkça, bazı bilgi teknolojilerini diğerlerine göre kullanmanın herhangi bir avantajının düzenleyici yasal düzenlemelerle kurulmasının kabul edilemezliği.

Tüm bilgiler bölünür kamuya açık ve sınırlı erişim... Kamuya açık bilgiler, genel olarak bilinen bilgileri ve erişimi sınırlı olmayan diğer bilgileri içerir. Yasa, çevre veya devlet kurumlarının faaliyetleri hakkında bilgiler gibi kısıtlanamayacak bilgileri tanımlar. Ayrıca şart koşulmuştur Erişim sınırlaması bilgi, anayasal düzenin temellerini, ahlakı, sağlığı, başkalarının haklarını ve meşru menfaatlerini korumak, ülkenin savunmasını ve devlet güvenliğini sağlamak için federal yasalarla kurulur. Erişimi federal yasalarla sınırlanan bilgilerin gizliliğine saygı gösterilmesi zorunludur.

Bir vatandaşın (bireyin), kişisel veya aile sırrı oluşturan bilgiler de dahil olmak üzere özel hayatı hakkında bilgi vermesini istemek ve federal yasalar tarafından aksi belirtilmedikçe, vatandaşın (bireysel) iradesine karşı bu tür bilgileri almak yasaktır.

serbestçe dağıtılan bilgiler;
ilgili ilişkiye katılan kişilerin mutabakatı ile sağlanan bilgiler;
federal yasalara uygun olarak tedarik veya dağıtıma tabi olan bilgiler;
Rusya Federasyonu'nda dağıtımı kısıtlanmış veya yasaklanmış bilgiler.

Kanun, elektronik dijital imza veya el yazısı imzanın diğer bir benzeri ile imzalanmış bir elektronik ileti ile el yazısı imza ile imzalanmış bir belgenin eşdeğerliğini belirler.

Aşağıdaki bilgi koruma tanımı verilmiştir - bu, aşağıdakileri amaçlayan yasal, organizasyonel ve teknik önlemlerin benimsenmesidir:

bilgilerin yetkisiz erişime, yok edilmesine, değiştirilmesine, engellenmesine, kopyalanmasına, sağlanmasına, dağıtımına ve ayrıca bu tür bilgilerle ilgili diğer yasa dışı eylemlere karşı korunmasını sağlamak;
kısıtlı bilgilerin gizliliğine uyulması;
bilgiye erişim hakkının gerçekleştirilmesi.

Bilgi sahibi, Rusya Federasyonu mevzuatı tarafından belirlenen durumlarda bilgi sisteminin operatörü aşağıdakileri sağlamakla yükümlüdür:

bilgilere yetkisiz erişimin ve (veya) bilgiye erişim hakkı olmayan kişilere aktarılmasının önlenmesi;
bilgilere yetkisiz erişim gerçeklerinin zamanında tespiti;
bilgiye erişim prosedürünün ihlalinin olumsuz sonuçları olasılığının önlenmesi;
teknik bilgi işleme araçları üzerindeki etkinin önlenmesi, bunun sonucunda işlevlerinin kesintiye uğraması;
yetkisiz erişim nedeniyle değiştirilen veya yok edilen bilgilerin derhal kurtarılması olasılığı;
bilgi güvenliği seviyesinin sağlanması üzerinde sürekli kontrol.

Bu nedenle, "Bilgi, Bilgi Teknolojileri ve Bilgi Koruma Hakkında" Federal Yasa, Rusya Federasyonu'nda bilgi alışverişi için yasal bir temel oluşturur ve konularının hak ve yükümlülüklerini tanımlar.

Hızla gelişen bilgisayar bilişim teknolojileri hayatımızda önemli değişiklikler yapmaktadır. Bilgi, satın alınabilen, satılabilen, değiş tokuş edilebilen bir meta haline geldi. Ayrıca, bilginin maliyeti çoğu zaman içinde saklandığı bilgisayar sisteminin maliyetinden yüzlerce kat daha fazladır.

Birçok insanın refahı ve bazen hayatı, bilgi teknolojilerinin güvenlik derecesine bağlıdır. Otomatik bilgi işleme sistemlerinin karmaşıklığının ve yaygın dağıtımının bedeli budur.

Altında bilgi Güvenliği Bilgi sisteminin, bilgi sahipleri veya kullanıcıları için zararlı olan kazara veya kasıtlı müdahalelere karşı güvenliği anlamına gelir.

Pratikte en önemlileri bilgi güvenliğinin üç yönüdür:

kullanılabilirlik(gerekli bilgi hizmetini makul bir sürede alma fırsatı);
bütünlük(bilginin uygunluğu ve tutarlılığı, imha ve yetkisiz değişikliklerden korunması);
gizlilik(yetkisiz okumaya karşı koruma).

Bilginin kullanılabilirliği, bütünlüğü ve gizliliğinin ihlali, bilgi bilgisayar sistemleri üzerindeki çeşitli tehlikeli etkilerden kaynaklanabilir.

Bilgi güvenliğine yönelik ana tehditler

Modern bir bilgi sistemi, birbirine bağlı ve veri alışverişi yapan, değişen derecelerde özerkliğe sahip çok sayıda bileşenden oluşan karmaşık bir sistemdir. Hemen hemen her bileşen hasar görebilir veya hasar görebilir. Otomatik bir bilgi sisteminin bileşenleri aşağıdaki gruplara ayrılabilir:

donanım- bilgisayarlar ve bileşenleri (işlemciler, monitörler, terminaller, çevre birimleri- disket sürücüler, yazıcılar, kontrolörler, kablolar, iletişim hatları vb.);
yazılım- satın alınan programlar, kaynak, nesne, yük modülleri; işletim sistemleri ve sistem programları (derleyiciler, bağlayıcılar vb.), yardımcı programlar, tanılama programları vb.;
veri- manyetik ortamlarda, basılı, arşivler, sistem günlükleri vb. üzerinde geçici ve kalıcı olarak saklanır;
kadro- servis personeli ve kullanıcılar.

Bir bilgisayar bilgi sistemi üzerindeki tehlikeli etkiler, kazara ve kasıtlı olarak ayrılabilir. Bilgi sistemlerinin tasarımı, üretimi ve işletimindeki deneyimlerin analizi, bilginin sistemin yaşam döngüsünün tüm aşamalarında çeşitli rastgele etkilere maruz kaldığını göstermektedir. Nedenler tesadüfi etkiler operasyon sırasında şunlar olabilir:

doğal afetler ve elektrik kesintilerinden kaynaklanan acil durumlar;
donanım arızaları ve arızaları;
yazılımdaki hatalar;
personelin çalışmasındaki hatalar;
çevresel etkiler nedeniyle iletişim hatlarında parazit.

kasıtlı etkiler- bunlar suçlunun kasıtlı eylemleridir. Bir çalışan, bir ziyaretçi, bir rakip veya bir paralı asker suçlu olarak hareket edebilir. Suçlunun eylemleri farklı nedenlere bağlı olabilir:

çalışanın kariyerinden memnuniyetsizliği;
rüşvet;
merak;
rekabetçi mücadele;
ne pahasına olursa olsun kendini kanıtlama arzusu.

Potansiyel bir davetsiz misafirin varsayımsal bir modeli çizilebilir:

suçlunun bu sistemin geliştiricisi düzeyinde yeterliliği;
ihlal eden, yetkisiz bir kişi veya sistemin meşru bir kullanıcısı olabilir;
ihlal eden, sistemin ilkeleri hakkında bilgi sahibidir;
suçlu savunmadaki en zayıf halkayı seçer.

En yaygın ve çeşitli bilgisayar ihlali türü, Yetkisiz Erişim(NSD). NSD, koruma sistemindeki herhangi bir hatayı kullanır ve mantıksız bir koruma aracı seçimi, bunların yanlış kurulumu ve konfigürasyonu ile mümkündür.

Bilgileri çalabileceğiniz, değiştirebileceğiniz veya yok edebileceğiniz NSD kanallarını sınıflandıracağız:

Bir kişi aracılığıyla:
- bilgi taşıyıcılarının çalınması;
- ekrandan veya klavyeden bilgi okuma;
- çıktıdan bilgi okuma.
Program aracılığıyla:
- şifrelerin ele geçirilmesi;
- şifrelenmiş bilgilerin şifresinin çözülmesi;
- taşıyıcıdan bilgi kopyalama.
Donanım aracılığıyla:
- bilgiye erişim sağlayan özel olarak tasarlanmış donanım bağlantısı;
- ekipmandan, iletişim hatlarından, güç kaynağı ağlarından vb. gelen sahte elektromanyetik radyasyonun ele geçirilmesi.

Bilgisayar ağlarının maruz kalabileceği tehditlere özel dikkat gösterilmelidir. Herhangi birinin ana özelliği bilgisayar ağı bileşenlerinin uzayda dağılmış olmasından ibarettir. Ağ düğümleri arasındaki iletişim, fiziksel olarak ağ hatları kullanılarak ve programlı olarak bir mesaj mekanizması kullanılarak gerçekleştirilir. Bu durumda, ağ düğümleri arasında gönderilen kontrol mesajları ve veriler, değişim paketleri şeklinde iletilir. Bilgisayar ağları, sözde uzaktan saldırılar... Saldırgan, saldırıya uğrayan nesneden binlerce kilometre uzakta olabilir ve yalnızca belirli bir bilgisayara değil, aynı zamanda ağ iletişim kanalları aracılığıyla iletilen bilgilere de saldırılabilir.

Bilgi Güvenliği

Bir bilgi güvenliği rejiminin oluşumu karmaşık bir sorundur. Bunu ele almak için alınacak önlemler beş seviyeye ayrılabilir:

yasama (kanunlar, yönetmelikler, standartlar, vb.);
ahlaki ve etik (uyulmaması belirli bir kişinin veya tüm organizasyonun prestijinde bir düşüşe yol açan her türlü davranış normu);
idari (kuruluş yönetimi tarafından alınan genel eylemler);
fiziksel (potansiyel davetsiz misafirlerin olası giriş yolları üzerindeki mekanik, elektro ve elektronik-mekanik engeller);
donanım ve yazılım (elektronik cihazlar ve özel bilgi güvenliği programları).

Hasar olasılığını en aza indirmek için güvenlik tehditlerine karşı koymayı amaçlayan tüm bu önlemlerin tek bir seti, koruma sistemi.

Güvenilir bir koruma sistemi aşağıdaki ilkelere uygun olmalıdır:

Koruyucu ekipmanın maliyeti, olası hasar miktarından daha az olmalıdır.
Her kullanıcı, çalışmak için gereken minimum ayrıcalıklara sahip olmalıdır.
Koruma ne kadar etkili olursa, kullanıcının onunla çalışması o kadar kolay olur.
Acil bir durumda bağlantı kesme olasılığı.
Koruma sistemiyle ilgili uzmanlar, işleyişinin ilkelerini tam olarak anlamalı ve zor durumlarda bunlara yeterince yanıt vermelidir.
Tüm bilgi işleme sistemi korunmalıdır.
Güvenlik sisteminin geliştiricileri, bu sistemin kontrol edeceği kişiler arasında olmamalıdır.
Güvenlik sistemi, çalışmasının doğruluğuna dair kanıt sağlamalıdır.
Bilgi güvenliğine dahil olanlar kişisel olarak sorumlu tutulmalıdır.
Koruma nesnelerinin gruplara bölünmesi tavsiye edilir, böylece gruplardan birindeki koruma ihlali diğerlerinin güvenliğini etkilemez.
Güvenilir bir güvenlik sistemi tamamen test edilmeli ve üzerinde anlaşmaya varılmalıdır.
Koruma, parametrelerinin yönetici tarafından değiştirilmesine izin verirse daha etkili ve esnek hale gelir.
Bir güvenlik sistemi, kullanıcıların ciddi hatalar yapacağı ve genel olarak kötü niyetli olacağı varsayımıyla tasarlanmalıdır.
En önemli ve kritik kararlar insanlar tarafından verilmelidir.
Güvenlik mekanizmalarının varlığı, çalışmaları kontrol altında olan kullanıcılardan mümkün olduğunca gizlenmelidir.

Bilgi güvenliği donanım ve yazılımı

Modern işletim sistemlerine rağmen kişisel bilgisayarlar Windows 2000, Windows XP ve Windows NT gibi , kendi koruma alt sistemlerine sahiptir, ek koruma araçları oluşturmanın önemi devam etmektedir. Gerçek şu ki, çoğu sistem, örneğin ağ bilgi alışverişi sırasında, dışındaki verileri koruyamaz.

Bilgi güvenliği donanım ve yazılımı beş gruba ayrılabilir:

Kullanıcıların kimlik (tanıma) ve kimlik doğrulama (kimlik doğrulama) sistemleri.
Disk veri şifreleme sistemleri.
Ağlar üzerinden iletilen veriler için şifreleme sistemleri.
Elektronik veri doğrulama sistemleri.
Kriptografik anahtar yönetim araçları.

1. Kullanıcı tanımlama ve doğrulama sistemleri

Sıradan ve yasadışı kullanıcıların bir bilgisayar sisteminin kaynaklarına erişimini kısıtlamak için kullanılırlar. Bu tür sistemlerin çalışması için genel algoritma, kullanıcıdan kimliğini kanıtlayan, gerçekliğini doğrulayan ve ardından bu kullanıcıya sistemle çalışma yeteneği sağlayan (veya sağlamayan) bilgiler almaktır.

Bu sistemleri kurarken, kullanıcıyı tanımlama ve doğrulama prosedürlerinin gerçekleştirildiği esasa göre bilgi seçme sorunu ortaya çıkar. Aşağıdaki türler ayırt edilebilir:

kullanıcının sahip olduğu gizli bilgiler (şifre, gizli anahtar, kişisel tanımlayıcı vb.); kullanıcı bu bilgiyi hatırlamalı veya bunun için özel saklama araçları kullanılabilir;
bir kişinin fizyolojik parametreleri (parmak izleri, gözün irisinin çizimi vb.) veya davranışsal özellikleri (klavyede çalışmanın özellikleri vb.).

İlk bilgi türüne dayalı sistemler dikkate alınır. geleneksel... İkinci tür bilgiyi kullanan sistemlere denir. biyometrik... Biyometrik tanımlama sistemlerinin ileri düzeyde geliştirilmesi için ortaya çıkan bir eğilimin olduğuna dikkat edilmelidir.

2. Disk şifreleme sistemleri

Bilgiyi düşman için kullanışsız hale getirmek için bir dizi veri dönüştürme yöntemi kullanılır. kriptografi[Yunancadan. kripto- gizli ve grafik- yazı].

Şifreleme sistemleri, dosya veya disk düzeyinde verilerin kriptografik dönüşümlerini gerçekleştirebilir. İlk türdeki programlar, arşiv dosyalarını korumak için kriptografik yöntemlerin kullanılmasına izin veren ARJ ve RAR gibi arşivleyicileri içerir. İkinci tür sistemlere bir örnek, popüler olanın bir parçası olan şifreleme programı Diskreet'tir. yazılım paketi Norton Utilities, En İyi Crypt.

Disk şifreleme sistemlerinin bir diğer sınıflandırma özelliği de çalışma biçimleridir. Çalışma yöntemine göre, disk veri şifreleme sistemi iki sınıfa ayrılır:

şeffaf şifreleme sistemleri;
özellikle şifreleme için çağrılan sistemler.

Şeffaf şifreleme sistemlerinde (anında şifreleme), kriptografik dönüşümler kullanıcı tarafından fark edilmeden gerçek zamanlı olarak gerçekleştirilir. Örneğin, bir kullanıcı, bir metin düzenleyicide hazırlanmış bir belgeyi korumalı bir diske yazar ve koruma sistemi, yazma işlemi sırasında onu şifreler.

Sınıf II sistemler genellikle şifreleme gerçekleştirmek için özel olarak çağrılması gereken yardımcı programlardır. Bunlar, örneğin, yerleşik parola korumalı arşivleyicileri içerir.

Bir belge için şifre belirlemeyi öneren çoğu sistem, bilgiyi şifrelemez, sadece belgeye erişirken bir şifre talebi sağlar. Bu sistemler MS Office, 1C ve diğerlerini içerir.

3. Ağlar üzerinden iletilen verilerin şifrelenmesi için sistemler

İki ana şifreleme yöntemi vardır: kanal şifrelemesi ve terminal (abone) şifrelemesi.

Ne zaman kanal şifreleme hizmet bilgileri de dahil olmak üzere iletişim kanalı üzerinden iletilen tüm bilgiler korunur. Bu şifreleme yönteminin şu avantajı vardır - veri bağlantı katmanına şifreleme prosedürleri yerleştirmek, sistem performansını artıran donanım kullanımına izin verir. Bununla birlikte, bu yaklaşımın da önemli dezavantajları vardır:

hizmet verilerinin şifrelenmesi, ağ paketlerinin yönlendirme mekanizmasını karmaşıklaştırır ve ara iletişim cihazlarındaki (ağ geçitleri, tekrarlayıcılar, vb.) verilerin şifresinin çözülmesini gerektirir;
hizmet bilgilerinin şifrelenmesi, şifrelenmiş verilerde korumanın güvenilirliğini etkileyen ve kriptografik algoritmaların kullanımına kısıtlamalar getiren istatistiksel kalıpların ortaya çıkmasına neden olabilir.

Uçtan uca (abone) şifreleme iki abone arasında aktarılan verilerin gizliliğini sağlamanıza olanak tanır. Bu durumda sadece mesajların içeriği korunur, tüm servis bilgileri açık kalır. Dezavantajı, örneğin gönderen ve alıcı hakkında, veri aktarımının zamanı ve koşulları ile aktarılan veri miktarı gibi mesaj alışverişinin yapısı hakkında bilgileri analiz etme yeteneğidir.

4. Elektronik veri doğrulama sistemleri

Ağlar üzerinden veri alışverişi yaparken, belgenin yazarının ve belgenin kendisinin kimliğini doğrulama sorunu ortaya çıkar, yani. yazarın kimlik doğrulaması ve alınan belgede değişiklik olmadığının doğrulanması. Verileri doğrulamak için bir mesaj doğrulama kodu (taklit eki) veya elektronik imza kullanılır.

Taklit ek gizli bir anahtar kullanılarak özel bir şifreleme dönüşümü ile açık verilerden üretilir ve şifrelenmiş verilerin sonunda bir iletişim kanalı üzerinden iletilir. Taklit ekleme, gizli anahtarın sahibi olan alıcı tarafından, daha önce gönderen tarafından alınan genel veriler üzerinde gerçekleştirilen prosedürü tekrarlayarak doğrulanır.

Elektronik elektronik imza imzalı metinle iletilen nispeten az miktarda ek kimlik doğrulama bilgisini temsil eder. Gönderici, gönderenin gizli anahtarını kullanarak dijital bir imza oluşturur. Alıcı, gönderenin ortak anahtarını kullanarak imzayı doğrular.

Bu nedenle, taklit eklemenin uygulanması için simetrik şifreleme ilkeleri ve elektronik imzanın uygulanması için asimetrik kullanılır. Bu iki şifreleme sistemini daha sonra daha detaylı inceleyeceğiz.

5. Şifreleme anahtarlarını yönetmek için araçlar

Herhangi bir şifreleme sisteminin güvenliği, kullanılan şifreleme anahtarları tarafından belirlenir. Güvenli olmayan anahtar yönetimi durumunda, bir saldırgan anahtar bilgileri ele geçirebilir ve sistem veya ağdaki tüm bilgilere tam erişim elde edebilir.

Aşağıdaki anahtar yönetim işlevleri türleri vardır: anahtarların oluşturulması, depolanması ve dağıtımı.

Yollar anahtar oluşturma simetrik ve asimetrik kriptosistemler için farklıdır. Simetrik kriptosistemlerin anahtarlarını oluşturmak için rasgele sayılar üretmek için donanım ve yazılım kullanılır. Asimetrik kriptosistemler için anahtar üretimi, anahtarların belirli matematiksel özelliklere sahip olması gerektiğinden daha zordur. Simetrik ve asimetrik kriptosistemleri incelerken bu konu üzerinde daha detaylı duralım.

İşlev depolamak anahtar bilgilerin güvenli depolanması, muhasebeleştirilmesi ve elden çıkarılmasının organizasyonunu içerir. Anahtarların güvenli bir şekilde saklanmasını sağlamak için diğer anahtarlar kullanılarak şifrelenirler. Bu yaklaşım, anahtar hiyerarşi kavramına yol açar. Bir anahtar hiyerarşisi tipik olarak bir ana anahtar (yani bir ana anahtar), bir anahtar şifreleme anahtarı ve bir veri şifreleme anahtarı içerir. Ana anahtarın üretilmesi ve saklanmasının kripto korumasında kritik bir konu olduğu unutulmamalıdır.

Dağıtım anahtar yönetimindeki en kritik süreçtir. Bu süreç, dağıtılacak anahtarların gizliliğini sağlamalı ve hızlı ve doğru olmalıdır. Anahtarlar ağ kullanıcıları arasında iki şekilde dağıtılır:

oturum anahtarlarının doğrudan değişiminin kullanılması;
bir veya daha fazla anahtar dağıtım merkezi kullanmak.

Belge listesi

DEVLET SIRRI HAKKINDA. 21 Temmuz 1993 tarihli ve 5485-1 sayılı Rusya Federasyonu Kanunu (6 Ekim 1997 tarih ve 131-FZ sayılı Federal Kanun ile değiştirildiği şekliyle).
BİLGİ, BİLGİ VE BİLGİ KORUMA HAKKINDA. 20 Şubat 1995 tarihli ve 24-FZ sayılı Rusya Federasyonu Federal Kanunu. 25 Ocak 1995'te Devlet Duması tarafından kabul edildi.
ELEKTRONİK BİLGİSAYARLAR VE VERİTABANLARI İÇİN PROGRAMLARIN YASAL KORUNMASI HAKKINDA. 23 Eylül 1992 tarihli ve 3524-1 sayılı Rusya Federasyonu Kanunu.
ELEKTRONİK DİJİTAL İMZA HAKKINDA. 10 Ocak 2002 tarihli ve 1-FZ sayılı Rusya Federasyonu Federal Kanunu.
TELİF HAKKI VE İLGİLİ HAKLAR HAKKINDA. 9 Temmuz 1993 tarihli ve 5351-1 sayılı Rusya Federasyonu Kanunu.
FEDERAL DEVLET İLETİŞİM VE BİLGİ KURULUŞLARI HAKKINDA. Rusya Federasyonu Kanunu (24 Aralık 1993 tarih ve 2288 sayılı Rusya Federasyonu Cumhurbaşkanı Kararnamesi ile değiştirildiği şekliyle; 7 Kasım 2000 tarih ve 135-FZ sayılı Federal Kanun.
Rusya Federasyonu Başkanı altında bilgi güvenliği gereklilikleri / Devlet Teknik Komisyonu uyarınca bilgi güvenliği ürünleri için test laboratuvarlarının ve belgelendirme kuruluşlarının akreditasyonuna ilişkin düzenlemeler.
Rusya Federasyonu Başkanı altında uygunluk sertifikaları, kopyaları ve bilgi koruma / Devlet Teknik Komisyonu belgelendirme araçlarının işaretleme prosedürü hakkında talimat.
Rusya Federasyonu Başkanı altındaki bilgi güvenliği gereklilikleri / Devlet Teknik Komisyonu uyarınca bilgi nesnelerinin sertifikalandırılmasına ilişkin düzenlemeler.
Bilgi güvenliği araçlarının sertifikalandırılmasına ilişkin düzenlemeler, bilgi güvenliği gerekliliklerine uygun olarak: Rusya Federasyonu Hükümeti'nin 26 Haziran 1995 tarih ve 608 sayılı "Bilgi güvenliği araçlarının sertifikalandırılması hakkında" / Devlet Teknik Komisyonu Kararnamesi uyarınca ilavelerle Rusya Federasyonu Başkanı.
Rusya Federasyonu Başkanı altında bilgi koruma / Devlet Teknik Komisyonu alanındaki faaliyetlerin devlet tarafından lisanslanmasına ilişkin düzenlemeler.
Otomatik sistemler. Bilgiye yetkisiz erişime karşı koruma. Otomatik sistemlerin sınıflandırılması ve bilgi koruma gereksinimleri: Rehberlik belgesi / Rusya Federasyonu Başkanı altındaki Devlet Teknik Komisyonu.
Bilgisayar ekipmanını ve otomatik sistemleri bilgiye yetkisiz erişimden koruma kavramı: Rehberlik belgesi / Rusya Federasyonu Başkanı altındaki Devlet Teknik Komisyonu.
Bilgisayar tesisleri. Güvenlik duvarları. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri: Rehberlik belgesi / Rusya Federasyonu Başkanı altındaki Devlet Teknik Komisyonu.
Bilgisayar tesisleri. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri: Rehberlik belgesi / Rusya Federasyonu Başkanı altındaki Devlet Teknik Komisyonu.
Bilginin korunması. Özel koruyucu işaretler. Sınıflandırma ve genel gereksinimler: Rehberlik belgesi / Rusya Federasyonu Başkanı altındaki Devlet Teknik Komisyonu.
Bilgiye yetkisiz erişime karşı koruma. Terimler ve tanımlar: Rehberlik belgesi / Rusya Federasyonu Başkanı altındaki Devlet Teknik Komisyonu.

Bilgi güvenliğinin sağlanması karmaşık bir sosyo-sosyal, yasal, ekonomik, bilimsel sorundur. Sadece birkaç düzlemde amaç ve hedeflerinin kapsamlı bir çözümü, ülkenin bilgi güvenliğini sağlama konusunda düzenleyici etkisini uygulayabilecektir. Bu alanda yapılan çalışmaların sadece pratik odaklı değil, aynı zamanda bilimsel bir temele sahip olması gerekir.

Bilgi güvenliğini sağlamanın ana hedefleri, sosyal kalkınmanın uzun vadeli çıkarlarını karşılayan ulusal ve ekonomik güvenliğin sürdürülebilir öncelikleri temelinde belirlenir; bunlar arasında şunlar yer alır:

Rus devletinin ve toplumda siyasi istikrarın korunması ve güçlendirilmesi;

Toplumun demokratik kurumlarının korunması ve geliştirilmesi, vatandaşların hak ve özgürlüklerinin sağlanması, hukukun üstünlüğü ile hukuk ve düzenin güçlendirilmesi;

Ülkenin dünya toplumunda layık olduğu yeri ve rolünü sağlamak;

Ülkenin toprak bütünlüğünü sağlamak;

İlerici sosyo-ekonomik kalkınmanın sağlanması;

Ulusal kültürel değerlerin ve geleneklerin korunması.

Bu öncelikler doğrultusunda bilgi güvenliğinin sağlanmasındaki başlıca görevler şunlardır:

Bilgi güvenliğine yönelik tehdit kaynaklarının belirlenmesi, değerlendirilmesi ve tahmin edilmesi;

Bilgi güvenliğini sağlamak için bir devlet politikasının geliştirilmesi, uygulanması için bir dizi önlem ve mekanizma;

Bilgi güvenliğini sağlamaya yönelik düzenleyici bir çerçevenin geliştirilmesi, bilgi güvenliğinin sağlanması için devlet kurumlarının ve işletmelerinin faaliyetlerini koordine etmek;

Bilgi güvenliğini sağlamak, organizasyonunu iyileştirmek, bilgi güvenliğine yönelik tehditleri önlemek, bunlara karşı koymak ve etkisiz hale getirmek ve ihlallerinin sonuçlarını ortadan kaldırmak için formları, yöntemleri ve araçları iyileştirmek için bir sistemin geliştirilmesi;

Küresel kullanımın yaratılması süreçlerine ülkenin aktif katılımının sağlanması bilgi ağları ve sistemler.

Bilgi güvenliğinin en önemli ilkeleri şunlardır:

1) bilgi alanındaki suçları tespit etmeye ve önlemeye yönelik önlemlerin yasallığı;

2) bilgi sisteminin kontrol ve koruma araçlarının ve yöntemlerinin uygulanmasının ve iyileştirilmesinin sürekliliği;

3) ekonomik fizibilite, yani olası hasarların ve bilgi güvenliğini sağlama maliyetlerinin karşılaştırılabilirliği

4) şirketin tüm bölümlerinde ve bilgi sürecinin tüm aşamalarında mevcut koruma araçlarının tüm cephaneliğinin kullanımının karmaşıklığı.

Bilgi koruma sürecinin uygulanması birkaç aşama içerir:

Koruma nesnesinin belirlenmesi: bilgi kaynağını koruma hakkı, bilgi kaynağının ve ana unsurlarının maliyet tahmini, bilgi kaynağının yaşam döngüsünün süresi, işlevsel bölümlere göre bilgi sürecinin yörüngesi. şirket;

Tehdit kaynaklarının (rakipler, suçlular, çalışanlar vb.), tehditlerin hedeflerinin (tanıma, değiştirme, imha vb.), tehditlerin uygulanması için olası kanalların (ifşa, sızıntı vb.) belirlenmesi;

Gerekli koruma önlemlerinin belirlenmesi;

Etkinliklerinin ve ekonomik fizibilitelerinin değerlendirilmesi;

Seçilen kriterler dikkate alınarak alınan tedbirlerin uygulanması;

Alınan tedbirleri personele iletmek, etkinliğini izlemek ve tehditlerin sonuçlarını ortadan kaldırmak (önlemek).

Açıklanan aşamaların uygulanması, aslında, bir nesnenin bilgi güvenliğini yönetme sürecidir ve kontrol edilen (korunan) nesnenin kendisine ek olarak, durumunu izleme araçlarını, bir mekanizmayı içeren bir kontrol sistemi tarafından sağlanır. mevcut durumu gerekli olanla karşılaştırmak ve ayrıca yerelleştirme eylemlerini kontrol etmek ve tehditlerden kaynaklanan hasarı önlemek için bir mekanizma. Bu durumda, minimum bilgi hasarının elde edilmesinin yönetim kriteri olarak dikkate alınması tavsiye edilir ve yönetimin amacı, bilgi güvenliği anlamında nesnenin gerekli durumunu sağlamaktır.

Bilgi güvenliği yöntemleri yasal, organizasyonel ve teknik ve ekonomik olmak üzere ikiye ayrılır.

İLE yasal yöntemler bilgi güvenliğinin sağlanması, bilgi alanındaki ilişkileri düzenleyen düzenleyici yasal düzenlemelerin ve bilgi güvenliğine ilişkin düzenleyici metodolojik belgelerin geliştirilmesini içerir. Bu faaliyetin en önemli alanları şunlardır:

Bilgi güvenliği sistemini oluşturmak ve geliştirmek, federal mevzuattaki iç çelişkileri, uluslararası anlaşmalara ilişkin çelişkileri ortadan kaldırmak ve sorumluluk tesis eden yasal normları somutlaştırmak amacıyla bilgi güvenliği alanındaki ilişkileri düzenleyen mevzuatta değişiklik ve eklemeler bilgi güvenliği alanındaki suçlar için;

Kamu derneklerinin, kuruluşlarının ve vatandaşların bu faaliyetlerine katılım için amaç, amaç ve mekanizmaların tanımlanmasını sağlama alanındaki yetkilerin yasal olarak tanımlanması;

Tüzel kişilerin ve bireylerin bilgiye yetkisiz erişim, yasadışı kopyalanması, çarpıtılması ve yasadışı kullanımı, yanlış bilgilerin kasıtlı olarak yayılması, yasadışı ifşa için sorumluluk oluşturan düzenleyici yasal düzenlemelerin geliştirilmesi ve kabul edilmesi kesin bilgi, resmi bilgilerin veya ticari sırlar içeren bilgilerin cezai ve bencil amaçlarla kullanılması;

Yurtiçi bilgi altyapısının geliştirilmesi için yabancı yatırım çekerken yabancı haber ajanslarının, kitle iletişim araçlarının ve gazetecilerin ve yatırımcıların durumunun netleştirilmesi;

Ulusal iletişim ağlarının geliştirilmesi ve uzay iletişim uydularının yerli üretiminin önceliğinin yasal olarak pekiştirilmesi;

Küresel bilgi ve iletişim ağlarına hizmet veren kuruluşların durumlarının belirlenmesi ve bu kuruluşların faaliyetlerinin yasal olarak düzenlenmesi;

Bilgi güvenliğinin sağlanması için bölgesel yapıların oluşturulması için yasal bir zemin oluşturulması.

Organizasyonel ve teknik bilgi güvenliği yöntemleri şunlardır:

Devlet bilgi güvenliği sisteminin oluşturulması ve iyileştirilmesi;

Bilgi alanındaki suçların önlenmesi ve bastırılmasının yanı sıra bu alanda suç ve diğer suçları işleyen kişilerin tespit edilmesi, ifşa edilmesi ve kovuşturulması da dahil olmak üzere yetkililerin kolluk faaliyetlerinin güçlendirilmesi;

Bilgi güvenliği araçlarının ve bu araçların etkinliğini izleme yöntemlerinin geliştirilmesi, kullanılması ve iyileştirilmesi, güvenli telekomünikasyon sistemlerinin geliştirilmesi, özel yazılımların güvenilirliğinin arttırılması;

İşlenmiş bilgilere yetkisiz erişimin önlenmesi ve bilgilerin yok edilmesine, yok edilmesine, bozulmasına neden olan özel etkilerin yanı sıra sistemlerin normal çalışma modlarının ve bilgi ve iletişim araçlarının değiştirilmesine yönelik sistemlerin ve araçların oluşturulması;

ifşa teknik cihazlar ve bilgi ve iletişim sistemlerinin normal işleyişine tehdit oluşturan programlar, bilgilerin teknik kanallar aracılığıyla ele geçirilmesini önleyen, bilgilerin saklanması, işlenmesi ve iletişim kanalları aracılığıyla iletilmesi sırasında kriptografik koruma araçlarının kullanılması, özel gereksinimlerin uygulanmasının izlenmesi bilgi koruması için;

Bilgi güvenliği araçlarının belgelendirilmesi, devlet sırlarının korunması alanındaki faaliyetlerin lisanslanması, bilgi güvenliği yöntemlerinin ve araçlarının standartlaştırılması;

Bilgi güvenliği gereksinimlerine uygun olarak telekomünikasyon ekipmanı ve otomatik bilgi işleme sistemleri için yazılım için sertifika sisteminin iyileştirilmesi;

Korunan bilgi sistemlerinde personelin eylemleri üzerinde kontrol, devletin bilgi güvenliğini sağlama alanında eğitim;

Toplumun ve devletin en önemli yaşam alanlarında ve faaliyetlerinde bilgi güvenliğinin göstergelerini ve özelliklerini izlemek için bir sistemin oluşturulması.

ekonomik yöntemler bilgi güvenliğinin sağlanması şunları içerir:

Devletin bilgi güvenliğini sağlamaya yönelik programların geliştirilmesi ve bunların finansmanına ilişkin prosedürün belirlenmesi;

Yasal ve organizasyonel ve teknik bilgi koruma yöntemlerinin uygulanması ile ilgili işin finansman sisteminin iyileştirilmesi, bireylerin ve tüzel kişilerin bilgi risklerinin sigortalanması için bir sistemin oluşturulması.

Yaygın kullanımı ile birlikte standart yöntemler ve ekonomiye yönelik fonlar, bilgi güvenliğinin sağlanması için öncelikli alanlar şunlardır:

Bilgiye yetkisiz erişim ve bilgi hırsızlığı, yanlış bilgilerin kasıtlı olarak yayılması, ticari sırların ifşa edilmesi, gizli bilgilerin sızdırılması konusunda tüzel kişilerin ve bireylerin sorumluluğunu belirleyen yasal hükümlerin geliştirilmesi ve kabul edilmesi;

Birincil bilgi kaynakları için katı yasal sorumluluk getirerek, bunların faaliyetleri ve istatistiksel bilgi işleme ve analiz hizmetlerinin faaliyetleri üzerinde etkili kontrol düzenleyerek, ticarileşmesini sınırlayarak bilgilerin güvenilirliğini, eksiksizliğini, karşılaştırılabilirliğini ve güvenliğini sağlayan bir devlet istatistiksel raporlama sistemi oluşturmak özel organizasyonel ve yazılımsal ve donanımsal bilgi güvenliği araçları kullanarak;

Mali ve ticari bilgilerin korunması için özel araçların oluşturulması ve iyileştirilmesi;

Teknolojiyi geliştirmek için bir dizi organizasyonel ve teknik önlemin geliştirilmesi bilgi faaliyetleri ekonomiye özgü bilgi güvenliği gerekliliklerini dikkate alarak ekonomik, finansal, endüstriyel ve diğer ekonomik yapılarda bilgi koruması;

Personelin profesyonel seçim ve eğitimi sisteminin iyileştirilmesi, ekonomik bilgilerin seçim, işleme, analiz ve dağıtım sistemleri.

Kamu politikası Bilgi güvenliğinin sağlanması, bilgi güvenliği alanındaki tüm kamu kurumlarının ve idarenin faaliyet yönergelerini oluşturur, tüm kişilerin bilgi edinme haklarının güvence altına alınması, ülkenin bilgi güvenliği için devletin ve organlarının görev ve sorumluluklarının güvence altına alınması, bilgi alanında birey, toplum ve devletin çıkarları dengesinin korunmasına dayanır.

Devlet bilgi güvenliği politikası aşağıdaki temel hükümlere dayanmaktadır:

Bilgiye erişimin kısıtlanması, bilginin açıklığı genel ilkesinin bir istisnasıdır ve yalnızca mevzuat temelinde gerçekleştirilir;

Bilginin güvenliği, sınıflandırılması ve sınıflandırılmasının kaldırılması sorumluluğu kişileştirilmiştir;

Herhangi bir bilgiye erişim ve ayrıca erişime getirilen kısıtlamalar, bu bilgilerin kanunla belirlenen mülkiyet hakları dikkate alınarak gerçekleştirilir;

Bilgi alanında faaliyet gösteren tüm kuruluşların haklarını, yükümlülüklerini ve sorumluluklarını düzenleyen düzenleyici ve yasal bir çerçevenin devlet tarafından oluşturulması;

Yasal ve bireyler kişisel verilerin ve gizli bilgilerin toplanması, biriktirilmesi ve işlenmesi, bunların güvenliği ve kullanımından kanun önünde sorumludur;

Toplumu medya yoluyla gelen yanlış, çarpık ve yanlış bilgilerden korumak için devlete yasal araçlar sağlamak;

Bilgi güvenliği alanındaki faaliyetlerin zorunlu sertifikalandırılması ve lisanslanması yoluyla bilgi güvenliği araçlarının oluşturulması ve kullanılması üzerinde devlet kontrolünün uygulanması;

Yerli bilgi teknolojisi ve bilgi koruma üreticilerinin faaliyetlerini destekleyen ve iç pazarı standart altı medya ve bilgi ürünlerinin sızmasından korumak için önlemler alan korumacı bir devlet politikası yürütmek;

Vatandaşların dünya bilgi kaynaklarına, küresel bilgi ağlarına erişimini sağlamada devlet desteği,

Çabaları birleştiren federal bir bilgi güvenliği programının devlet tarafından oluşturulması devlet kurumları ve ülke için birleşik bir bilgi güvenliği sisteminin oluşturulmasında ticari yapılar;

Devlet, diğer ülkelerin bilgi genişlemesine karşı koymak için çaba sarf eder, küresel bilgi ağlarının ve sistemlerinin uluslararasılaşmasını destekler.

Belirtilen ilke ve hükümler temelinde, devletin siyasi, ekonomik ve diğer faaliyet alanlarında bilgi güvenliği politikasının oluşturulması ve uygulanmasının genel yönleri belirlenir.

Bilgi ilişkileri konularının çıkarlarını uyumlu hale getirmek ve uzlaşmacı çözümler bulmak için bir mekanizma olarak devlet politikası, uzmanların ve tüm ilgili yapıların geniş bir temsili ile çeşitli konseylerin, komitelerin ve komisyonların etkin çalışmasının oluşturulmasını ve örgütlenmesini sağlar. Devlet politikasının uygulanmasına yönelik mekanizmalar esnek olmalı ve ülkenin ekonomik ve siyasi yaşamında meydana gelen değişiklikleri zamanında yansıtmalıdır.

Devletin bilgi güvenliğinin yasal desteği, bilgi güvenliği politikasının uygulanması için mekanizmaların oluşturulması için öncelikli bir alandır ve şunları içerir:

1) bilgi güvenliğinin sağlanmasına ilişkin toplumdaki ilişkileri düzenleyen mevzuat oluşturmaya yönelik kural koyma faaliyetleri;

2) devlet makamları ve yönetimi, kuruluşlar, vatandaşlar tarafından bilgi, bilgilendirme ve bilgilerin korunması alanındaki mevzuatın uygulanması için yürütme ve kolluk faaliyetleri.

normatif aktivite bilgi güvenliği alanında şunları sağlar:

Mevcut mevzuatın durumunun değerlendirilmesi ve iyileştirilmesi için bir programın geliştirilmesi;

Bilgi güvenliğini sağlamak için organizasyonel ve yasal mekanizmaların oluşturulması;

Bilgi güvenliği sistemindeki tüm öznelerin, bilgi ve telekomünikasyon sistemleri kullanıcılarının hukuki durumlarının oluşturulması ve bilgi güvenliğinin sağlanmasına yönelik sorumluluklarının belirlenmesi;

Her türlü bilgiyi dikkate alarak bilgi güvenliği tehditlerinin etkisi ve sonuçları hakkında istatistiksel verilerin toplanması ve analiz edilmesi için kurumsal ve yasal bir mekanizmanın geliştirilmesi;

Tehditlerin etkisinin sonuçlarının ortadan kaldırılması, ihlal edilen hakların ve kaynakların geri yüklenmesi ve telafi edici önlemlerin uygulanması için prosedürü düzenleyen yasal ve diğer normatif düzenlemelerin geliştirilmesi.

Yürütme ve yürütme faaliyetleri gizli bilgilerle çalışırken suç ve görevi kötüye kullanan ve bilgi etkileşimi kurallarını ihlal eden kuruluşlara mevzuat ve yönetmeliklerin uygulanmasına yönelik prosedürlerin geliştirilmesini sağlar. Bilgi güvenliğinin hukuki desteğine ilişkin tüm faaliyetler, hukukun üç temel hükmüne dayanmaktadır: hukukun üstünlüğüne uygunluk, bireysel özneler ve devletin çıkar dengesinin sağlanması ve cezanın kaçınılmazlığı.

Hukuka uygunluk, bilgi güvenliği alanında kanunların ve diğer düzenleyici hükümlerin varlığını, bunların hukuk özneleri tarafından uygulanmasını ve yürütülmesini gerektirir.

12.3. RUSYA'DA BİLGİ GÜVENLİĞİNİN DURUMU

Devletin bilgi güvenliği durumunun değerlendirilmesi, mevcut tehditlerin değerlendirilmesini içerir. "Rusya Federasyonu bilgi güvenliği Doktrini"nin 2. Maddesi, Rusya Federasyonu'nun bilgi güvenliğine yönelik aşağıdaki tehditleri tanımlamaktadır:

Manevi yaşam ve bilgi faaliyetleri, birey, grup ve kamu bilinci, Rusya'nın manevi canlanması alanında insan ve vatandaşın anayasal hak ve özgürlüklerine yönelik tehditler;

Rusya Federasyonu devlet politikasının bilgi desteğine yönelik tehditler;

Bilişim, telekomünikasyon ve iletişim sektörleri de dahil olmak üzere yerli bilişim sektörünün gelişmesine, ürünlerine ilişkin iç pazarın ihtiyaçlarının karşılanmasına ve bu ürünlerin dünya pazarına girişine yönelik tehditler ile bilgi birikimi, muhafaza ve yerli bilgi kaynaklarının etkin kullanımı;

__________________________________________________________________

Her ikisi de Rusya topraklarında konuşlandırılmış ve oluşturulmuş bilgi ve telekomünikasyon sistemlerinin güvenliğine yönelik tehditler.

Rusya'nın bilgi güvenliğine yönelik dış tehdit kaynakları şunları içerir:

1) bilgi alanında Rusya Federasyonu'na yönelik yabancı siyasi, ekonomik, askeri, istihbarat ve bilgi yapılarının faaliyetleri;

2) bir dizi ülkenin Rusya'nın küresel bilgi alanındaki çıkarlarına hükmetme ve ihlal etme, onu dış ve iç bilgi pazarlarından çıkarma arzusu;

3) bilgi teknolojileri ve kaynaklarına sahip olmak için uluslararası rekabetin şiddetlenmesi;

4) uluslararası terör örgütlerinin faaliyetleri;

5) dünyanın önde gelen güçleri arasındaki teknolojik uçurumu artırmak, rekabetçi Rus bilgi teknolojilerinin yaratılmasına karşı koymak için yeteneklerini geliştirmek;

6) yabancı devletlerin uzay, hava, deniz ve kara teknik ve diğer istihbarat araçları (türleri) faaliyetleri;

7) dünyanın diğer ülkelerinin bilgi alanları üzerinde tehlikeli etki araçlarının yaratılmasını, bilgi ve telekomünikasyon sistemlerinin normal işleyişinin bozulmasını, bilgi güvenliğini sağlayan bir dizi bilgi savaşı kavramının geliştirilmesi kaynaklara yetkisiz erişim elde etmek.

Rusya'nın bilgi güvenliğine yönelik iç tehdit kaynakları şunları içerir:

1) yerli endüstrilerin kritik durumu;

2) devlet ve suç yapılarının bilgi alanında birleşme eğilimlerinin eşlik ettiği olumsuz bir suç durumu, suç teşkilatlarının gizli bilgilere erişim elde etmesi, organize suçun toplum yaşamı üzerindeki etkisini artırması, koruma derecesini azaltması vatandaşların, toplumun ve devletin bilgi alanındaki meşru çıkarları;

3) Rusya Federasyonu'nun bilgi güvenliğini sağlama alanında birleşik bir devlet politikasının oluşturulması ve uygulanmasında federal devlet organlarının, Rusya Federasyonu'nun kurucu kuruluşlarının devlet iktidar organlarının faaliyetlerinin yetersiz koordinasyonu;

4) bilgi alanındaki ilişkileri düzenleyen düzenleyici yasal çerçevenin yetersiz detaylandırılması ve ayrıca yetersiz yasa uygulama uygulaması;

5) sivil toplum kurumlarının az gelişmişliği ve Rusya'daki bilgi piyasasının gelişimi üzerinde yetersiz kontrol;

6) devletin yetersiz ekonomik gücü;

7) eğitim ve öğretim sisteminin etkinliğinin azalması, bilgi güvenliği alanında yetersiz sayıda kalifiye personel;

8) Rusya, federal hükümet organlarının bilgilendirilmesi, kredi ve finans, sanayi, tarım, eğitim, sağlık, hizmetler ve vatandaşların günlük yaşamı açısından dünyanın önde gelen ülkelerinin gerisindedir.

Son yıllarda Rusya, bilgi güvenliğinin sağlanmasını iyileştirmek için bir dizi önlem uygulamaya koymuştur. Federal devlet organlarında, Rusya Federasyonu'nun kurucu kuruluşlarının devlet organlarında, mülkiyet biçiminden bağımsız olarak işletmelerde, kurumlarda ve kuruluşlarda bilgi güvenliğini sağlamak için önlemler alınmıştır. Kamu otoritelerinin çıkarları doğrultusunda özel amaçlar için güvenli bir bilgi ve telekomünikasyon sistemi oluşturulmasına yönelik çalışmalar başlatılmıştır.

Bilgi koruma devlet sistemi, devlet sırlarını koruma sistemi ve bilgi koruma araçları için sertifika sistemi, Rusya Federasyonu'nun bilgi güvenliğini sağlama sorunlarının başarılı bir şekilde çözülmesine katkıda bulunur.

Yapı Devlet sistemi bilgi koruması şunlardır:

Rusya Federasyonu devlet makamları ve idareleri ve Rusya Federasyonu'nun kurucu kuruluşları, bilgi güvenliğini sağlama sorunlarını yetkileri dahilinde çözerek;

bilgi güvenliği konularında uzmanlaşmış devlet ve bakanlıklar arası komisyonlar ve konseyler;

Rusya Federasyonu Başkanı altında Devlet Teknik Komisyonu;

Rusya Federasyonu Federal Güvenlik Servisi;

Rusya Federasyonu İçişleri Bakanlığı;

Rusya Federasyonu Savunma Bakanlığı;

Rusya Federasyonu Başkanına bağlı Federal Hükümet İletişim ve Bilgi Ajansı;

Rusya Federasyonu Dış İstihbarat Servisi;

Kamu yetkililerinin bilgilerinin korunması için yapısal ve sektörler arası bölümler;

Bilginin korunması için öncü ve lider araştırma, bilimsel ve teknik, tasarım ve mühendislik kuruluşları;

Eğitim kurumları bilgi güvenliği sisteminde çalışacak personeli eğitmek ve yeniden eğitmek.

Rusya Federasyonu Başkanına bağlı Devlet Teknik Komisyonu, bir devlet organı olarak, birleşik bir teknik politika uygular ve bilgi koruma alanındaki çalışmaları koordine eder, bilgileri teknik istihbarattan korumak için devlet sistemine başkanlık eder ve korumanın sağlanmasından sorumludur. Rusya topraklarındaki teknik kanallardan sızıntısından elde edilen bilgilerin, alınan koruma önlemlerinin etkinliğini izler.

Bilgi güvenliği sisteminde özel bir yer, devlet ve devlet dışı medyanın faaliyetleri üzerinde kontrol uygulayan devlet ve kamu kuruluşları tarafından işgal edilmektedir.

Bugüne kadar, Rusya'da bilgi güvenliği alanında aşağıdakileri içeren bir yasal ve düzenleyici çerçeve oluşturulmuştur:

1. Rusya Federasyonu Kanunları:

Rusya Federasyonu Anayasası;

"Bankalar ve bankacılık faaliyetleri hakkında";

"Güvenlik hakkında";

"Dış İstihbarat Üzerine";

"Devlet sırları hakkında";

"İletişim hakkında";

"Ürün ve hizmetlerin belgelendirilmesi hakkında";

"Kitle İletişim Araçları Üzerine";

"Standartizasyon hakkında";

"Bilgi, bilgi teknolojisi ve bilgi koruması hakkında";

“Rusya Federasyonu'ndaki Federal Güvenlik Hizmetinin Organları Üzerine”;

"Belgelerin zorunlu kopyası hakkında";

“Uluslararası bilgi alışverişine katılım hakkında”;

"O6 dijital imza" vb.

2. Rusya Federasyonu Başkanının normatif yasal düzenlemeleri:

"Rusya Federasyonu'nun bilgi güvenliği doktrini";

"2020'ye kadar Rusya Federasyonu Ulusal Güvenlik Stratejisi Üzerine";

"Devlet sırlarının korunması için bölümler arası komisyonun bazı konularında";

"Devlet sırrı olarak sınıflandırılan bilgiler listesinde";

"Bilgilendirme alanında devlet politikasının temelleri üzerine";

"Gizli bilgi listesinin onaylanması üzerine" vb.

H. Rusya Federasyonu Hükümetinin düzenleyici yasal işlemleri:

"Bilgi güvenliği araçlarının sertifikalandırılması hakkında";

"Devlet sırrını oluşturan bilgilerin kullanımı, bilgi güvenliği araçlarının oluşturulması, önlemlerin uygulanması ve (veya) hizmetlerin sağlanması ile ilgili çalışmaları yürütmek üzere işletme, kurum ve kuruluşların faaliyetlerinin lisanslanması hakkında. devlet sırlarının korunması";

"Devlet sırrını oluşturan bilgilerin çeşitli gizlilik derecelerinde sınıflandırılmasına ilişkin kuralların onaylanması üzerine";

"Belirli faaliyet türlerinin lisanslanması hakkında" vb.

4. Rusya Devlet Teknik Komisyonu'nun rehber belgeleri:

"Bilgisayar ekipmanını ve otomatik sistemleri bilgiye yetkisiz erişimden koruma kavramı";

“Bilgisayar tesisleri. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri ";

“Otomatik sistemler. Bilgiye yetkisiz erişime karşı koruma. Otomatik sistemlerin sınıflandırılması ve bilgi koruma gereksinimleri ";

"Bilginin korunması. Özel koruyucu işaretler. Sınıflandırma ve genel gereksinimler ";

"Bilgiye yetkisiz erişime karşı koruma. Bölüm 1. Bilgi güvenliği için yazılım. Beyan edilmeyen fırsatların yokluğunun kontrol düzeyine göre sınıflandırma”.

5. Rusya Federasyonu Medeni Kanunu (dördüncü bölüm).

6. Rusya Federasyonu Ceza Kanunu.

Bilgi güvenliğini sağlama alanındaki uluslararası işbirliği, dünya topluluğu ülkeleri arasındaki ekonomik, politik, askeri, kültürel ve diğer etkileşim türlerinin ayrılmaz bir parçasıdır. Bu tür bir işbirliği, Rusya da dahil olmak üzere dünya topluluğunun tüm üyelerinin bilgi güvenliğini geliştirmeye yardımcı olmalıdır. Rusya Federasyonu'nun bilgi güvenliği alanındaki uluslararası işbirliğinin özelliği, teknolojik ve donanıma sahip olmak için artan uluslararası rekabet bağlamında yürütülmesi gerçeğinde yatmaktadır. bilgi kaynakları, satış pazarlarında hakimiyet kurmak, dünyanın önde gelen güçleri arasındaki teknolojik uçurumu güçlendirmek ve "bilgi silahları" yaratma yeteneklerini geliştirmek için. Bu, bilgi alanında silahlanma yarışının gelişmesinde yeni bir aşamaya yol açabilir.

Bilgi güvenliği alanında uluslararası işbirliği, aşağıdaki düzenleyici çerçeveye dayanmaktadır:

Kazakistan Cumhuriyeti ile Moskova ile 13 Ocak 1995 tarihli Anlaşma (15 Mayıs 1994 Nch 679 Rusya Federasyonu Hükümeti Kararı);

Ukrayna ile 14 Haziran 1996 tarihli Anlaşma, Kiev (7 Haziran 1996 tarihli Rusya Federasyonu Hükümeti Kararı Ns 655);

Belarus Cumhuriyeti ile Anlaşma (Taslak);

Uluslararası bilgi alışverişi için sertifika ve lisansların verilmesi (4 Temmuz 1996 tarihli Federal Kanun, X 85-FZ).

Rusya Federasyonu'nun çıkarlarını karşılayan uluslararası işbirliğinin ana alanları şunlardır:

Uluslararası bankacılık ağlarında ve kanallarında gizli bilgilere yetkisiz erişimin önlenmesi bilgi desteği dünya ticareti, uluslararası ekonomik ve siyasi birlikler, bloklar ve kuruluşlardaki gizli bilgilere, uluslararası organize suç ve uluslararası terörle mücadele eden uluslararası kolluk kuvvetleri kuruluşlarındaki bilgilere;

"Bilgi silahlarının" geliştirilmesinin, yayılmasının ve kullanımının yasaklanması;

Ulusal telekomünikasyon ağları ve iletişim kanalları aracılığıyla iletilmesi sırasında bilgilerin güvenliği de dahil olmak üzere uluslararası bilgi alışverişinin güvenliğini sağlamak;

Bilgisayar suçlarının önlenmesinde uluslararası işbirliğine katılan devletlerin kolluk kuvvetlerinin faaliyetlerinin koordinasyonu;

Katılım uluslararası konferanslar ve bilgi güvenliği sorunu üzerine sergiler.

İşbirliği sırasında, eski SSCB topraklarında pratik olarak birleşik telekomünikasyon sistemleri ve iletişim hatlarının bulunduğu tek bir bilgi alanı yaratma beklentileri dikkate alınarak, BDT ülkeleriyle etkileşim sorunlarına özel dikkat gösterilmelidir. kullanılmış.

Aynı zamanda, Rusya'daki bilgi güvenliği durumunun bir analizi, seviyesinin toplumun ve devletin ihtiyaçlarını tam olarak karşılamadığını göstermektedir. Ülkenin siyasi ve sosyo-ekonomik gelişiminin mevcut koşulları, toplumun serbest bilgi alışverişini genişletme ihtiyaçları ile yayılmasına ilişkin belirli düzenlenmiş kısıtlamaları koruma ihtiyacı arasındaki çelişkileri şiddetlendirmektedir.

Rusya Federasyonu Anayasasında yer alan vatandaşların özel hayatlarının dokunulmazlığı, kişisel ve aile sırları ve yazışmaların gizliliği hakları yeterli yasal, organizasyonel ve teknik desteğe sahip değildir. Federal hükümet yetkilileri tarafından toplanan kişisel verilerin korunması yetersizdir.

Rus bilgi alanının oluşumu, kitle iletişim sisteminin geliştirilmesi, uluslararası bilgi alışverişinin organizasyonu ve Rus bilgi alanının küresel bilgi alanına entegrasyonu alanında devlet politikasının yürütülmesinde netlik eksikliği var. Rus haber ajanslarını ve kitle iletişim araçlarını iç bilgi pazarından ve uluslararası bilgi alışverişinin deformasyon yapılarından çıkarmak için koşullar yaratan uzay.

Rus haber ajanslarının ürünlerini uluslararası bilgi pazarında tanıtma faaliyetlerine yönelik hükümet desteği yetersizdir.

Devlet sırrı oluşturan bilgilerin güvenliğinin sağlanması ile ilgili durum giderek kötüleşmektedir.

Bilgi teknolojileri, telekomünikasyon ve iletişim alanlarında faaliyet gösteren bilim ve üretim ekiplerinin, bu ekiplerden en kalifiye uzmanların kitlesel göçü sonucunda personel potansiyeli ciddi şekilde zarar görmüştür.

Yerli bilgi teknolojilerinin geri kalmışlığı, bilgi sistemleri oluştururken Rusya Federasyonu devlet yetkililerini ithal ekipman satın alma ve yabancı firmaları çekme yolunu izlemeye zorluyor, bu da işlenmiş bilgilere yetkisiz erişim olasılığını artırıyor ve Rusya'nın yabancı üreticilere bağımlılığını artırıyor. bilgisayar ve telekomünikasyon ekipmanlarının yanı sıra yazılım sağlanması.

Birey, toplum ve devletin faaliyet alanlarında yabancı bilgi teknolojilerinin yoğun bir şekilde tanıtılmasının yanı sıra açık bilgi ve telekomünikasyon sistemlerinin yaygın kullanımı, yerel ve uluslararası bilgi sistemlerinin entegrasyonu, tehditler ile bağlantılı olarak Rusya'nın bilgi altyapısına karşı “bilgi silahları” kullanımı arttı. Bu tehditlere yeterli ve kapsamlı bir şekilde karşı koyma çabaları, yetersiz koordinasyon ve zayıf bütçe finansmanı ile yürütülmektedir.

Kontrol soruları

1. Devletin ekonomik güvenlik sisteminde bilgi güvenliğinin yeri nedir? Devletin ekonomik güvenliğini sağlamada bilgi güvenliğinin önemini örneklerle gösterin?

2. Modern dönemde bilgi güvenliğinin öneminin artmasının nedeni nedir?

3. Bilgi güvenliğinin ana kategorilerini tanımlayın: bilgi, bilgilendirme, belge, bilgi süreci, bilgi sistemi, bilgi kaynakları, kişisel veriler, gizli bilgiler.

4. Bilgi alanında bireyin, toplumun ve devletin çıkarları nelerdir?

5. Bilgi güvenliği tehditlerinin türleri nelerdir?

6. Tehditlerin bilgi güvenliği nesneleri üzerindeki etki biçimlerini adlandırın.

7. "Bilgi savaşı" kavramını açıklar.

8. Liste dış kaynaklar Rusya'nın bilgi güvenliğine yönelik tehditler.

9. Rusya'da bilgi güvenliğine yönelik iç tehdit kaynaklarını listeleyin.

10. Rusya Federasyonu topraklarında bilgi güvenliği sağlayan düzenlemeler nelerdir?

11. Bilgi koruma alanında hangi uluslararası düzenlemeleri biliyorsunuz?

12. Devlet bilgi güvenliği politikasının özü nedir?

13. Bilgi güvenliğini sağlama yöntemlerini listeler.

14. Devlet bilgi koruma sisteminin yapısını tanımlayın

15. Rusya'daki bilgi güvenliğinin durumu hakkında bir değerlendirme yapın.

Bilgi Güvenliği Politikası.

1. Genel Hükümler

Bu Bilgi Güvenliği Politikası ( Daha öte - Siyaset ) bilgi güvenliğini sağlama sorununa ilişkin bir görüş sistemi tanımlar ve bir dizi bilgi de dahil olmak üzere bilgi altyapısı nesnelerinin bilgi güvenliğini sağlamanın örgütsel, teknolojik ve prosedürel yönlerinin yanı sıra sistematik bir amaç ve hedefler ifadesidir. kuruluşun merkezleri, veri bankaları ve iletişim sistemleri. Bu Politika, Rusya Federasyonu'nun mevcut mevzuatının gereklilikleri ve bilgi altyapısı tesislerinin geliştirilmesine yönelik acil beklentiler ile bilgi koruması için modern organizasyonel ve teknik yöntemlerin ve donanım ve yazılımın özellikleri ve yetenekleri dikkate alınarak geliştirilmiştir. .

Politikanın ana hükümleri ve gereklilikleri, kuruluşun tüm yapısal bölümleri için geçerlidir.

Politika, bilgi altyapısı nesnelerinin bilgi güvenliğini sağlama, koordineli yönetim kararları alma ve bilgi güvenliğini sağlamaya yönelik pratik önlemler geliştirme, yapısal bölümlerin faaliyetlerini koordine etme alanında birleşik bir politikanın oluşturulması ve uygulanması için metodolojik bir temeldir. bilgi nesnelerinin oluşturulması, geliştirilmesi ve işletilmesi üzerine çalışmalar yürüten kuruluş. bilgi güvenliği gereksinimlerine uygun altyapı.

Politika, binaların korunmasının düzenlenmesi ve bilgi altyapısı bileşenlerinin güvenliğinin ve fiziksel bütünlüğünün sağlanması, doğal afetlere ve güç kaynağı sistemindeki arızalara karşı korunma konularını düzenlemez, ancak bir bilgi güvenliği sistemi kurmayı içerir. bir bütün olarak organizasyonun güvenlik sistemi ile aynı kavramsal temeller üzerinde.

Politikanın uygulanması, kuruluştaki bilgi güvenliğini değerlendirmek için uygun yönergeler, düzenlemeler, prosedürler, talimatlar, yönergeler ve bir sistem ile sağlanır.

Politika aşağıdaki terimleri ve tanımları kullanır:

Otomatik sistem ( OLARAK) — kurulu işlevleri yerine getirmek için bilgi teknolojisini uygulayan, faaliyetlerini otomatikleştirmek için personel ve bir araç kompleksinden oluşan bir sistem.

bilgi altyapısı- bilgi alanının ve bilgi etkileşim araçlarının işleyişini ve gelişmesini sağlayan bir organizasyon yapıları sistemi. Bilgi altyapısı bir dizi bilgi merkezini, veri ve bilgi bankalarını, iletişim sistemlerini içerir ve tüketicilere bilgi kaynaklarına erişim sağlar.

Bilgi kaynakları ( kızılötesi) Bilgi sistemlerinde ayrı belgeler ve ayrı belge dizileri, belgeler ve belge dizileridir ( kütüphaneler, arşivler, fonlar, veri tabanları ve diğer bilgi sistemleri).

Bilgi sistemi (IP) - bilgi işleme sistemi ve ilgili organizasyonel kaynaklar ( insan, teknik, finansal vb.) bilgi sağlayan ve yayan.

Güvenlik -çıkarların korunması durumu ( hedefler) tehditler karşısında örgütler.

Bilgi Güvenliği ( IB) — bilgi alanındaki tehditlerle ilgili güvenlik. Güvenlik, bir dizi IS özelliği - kullanılabilirlik, bütünlük, bilgi varlıklarının gizliliği sağlanarak sağlanır. IS mülklerinin önceliği, bu varlıkların çıkarlar için değerine göre belirlenir ( hedefler) organizasyon.

Bilgi varlıklarının mevcudiyeti - Bilgi varlıklarının yetkili bir kullanıcıya, kullanıcının ihtiyaç duyduğu şekilde ve yerde ve ihtiyaç duyduğu anda sağlanmasından oluşan bir kuruluşun IS'sinin özelliği.

Bilgi varlıklarının bütünlüğü - bilgi varlıklarında değişmeden veya doğru tespit edilen değişiklikleri sürdürmek için bir kuruluşun bilgi güvenliğinin özelliği.

Bilgi varlıklarının gizliliği - Bilgi varlıklarının yalnızca yetkili kullanıcılar, sistem nesneleri veya süreçleri tarafından erişilebilir olacak şekilde işlenmesi, depolanması ve aktarılmasının gerçekleştirilmesi gerçeğinden oluşan bir kuruluşun bilgi güvenliğinin özelliği.

Bilgi güvenlik sistemi ( NIB) — kaynak ve idari dahil olmak üzere bir dizi koruyucu önlem, koruyucu ekipman ve operasyon süreçleri ( örgütsel) güvenlik.

Yetkisiz Erişim- bir çalışanın resmi yetkilerini ihlal eden bilgilere erişim, bu bilgilere erişim izni olmayan kişilerin kamu erişimine kapalı bilgilere erişmesi veya bu bilgilere erişim hakkı olan bir kişinin bilgilere erişmesi resmi görevleri yerine getirmek için gerekli miktarı aşan bir miktarda.

2. Bilgi güvenliği için genel gereksinimler

Bilgi güvenliği gereksinimleri ( Daha öte -IB ) BS yönetim süreçleri içinde organizasyonun faaliyetlerinin içeriğini ve hedeflerini belirlemek.

Bu gereksinimler aşağıdaki alanlar için formüle edilmiştir:

rollerin atanması ve dağılımı ve personele güven;
bilgi altyapısı nesnelerinin yaşam döngüsünün aşamaları;
yetkisiz erişime karşı koruma ( Daha öte - NSD ), otomatik sistemlerde, telekomünikasyon ekipmanlarında ve otomatik telefon santrallerinde vb. erişim kontrolü ve kaydı;
anti-virüs koruması;
İnternet kaynaklarının kullanımı;
kriptografik bilgi koruma araçlarının kullanımı;
kişisel verilerin korunması.

3. Korunacak nesneler

Korunması gereken ana nesneler şunlardır:

bilgi kaynakları Gizli ve açık bilgiler de dahil olmak üzere, sunum şekli ve türü ne olursa olsun, belgeler ve bilgi dizileri şeklinde sunulan;
bilgi kaynaklarının oluşumu, dağıtımı ve kullanımı için sistem, kütüphaneler, arşivler, veri tabanları ve veri bankaları, bilgi teknolojisi, bilgilerin toplanması, işlenmesi, saklanması ve iletilmesi ile ilgili düzenlemeler ve prosedürler, teknik ve hizmet personeli;
bilgi altyapısı bilgi alışverişi ve telekomünikasyon kanalları, sistemler ve bilgi güvenliği sistemleri, bilgi altyapısının bileşenlerinin bulunduğu tesisler ve tesisler dahil olmak üzere, bilgilerin işlenmesi ve analiz edilmesi için sistemler, işlenmesi, iletilmesi ve görüntülenmesi için teknik ve yazılım araçları dahil.

3.1. Otomatik Sistemin Özellikleri

AU'da farklı kategorilere ait bilgiler dolaşır. Korunan bilgiler, tek bir şirket ağının farklı alt ağlarından farklı kullanıcılar tarafından paylaşılabilir.

Bir dizi AS alt sistemi, harici ( devlet ve ticari, Rus ve yabancı) özel bilgi iletimi araçları kullanan anahtarlı ve özel iletişim kanallarındaki kuruluşlar.

AU'nun teknik araçlarının kompleksi, veri işleme araçlarını içerir ( iş istasyonları, veritabanı sunucuları, posta sunucuları vesaire.), küresel ağlara erişim yeteneği olan yerel alan ağlarında veri alışverişi araçları ( kablolama, köprüler, ağ geçitleri, modemler vb.), yanı sıra depolama tesisleri ( dahil arşivleme) veri.

AU'nun işleyişinin ana özellikleri şunları içerir:

bilgileri tek bir sistemde işlemek ve iletmek için çok sayıda çeşitli teknik aracı birleştirme ihtiyacı;
çözülmesi gereken çok çeşitli görevler ve işlenmiş veri türleri;
çeşitli amaçlara, aidiyet ve gizlilik seviyelerine yönelik bilgileri tek bir veritabanında birleştirmek;
harici ağlara bağlantı kanallarının kullanılabilirliği;
işleyişin sürekliliği;
fiziksel olarak tek bir ağda birleştirilmiş güvenlik seviyeleri açısından farklı gereksinimlere sahip alt sistemlerin varlığı;
çeşitli kullanıcı kategorileri ve servis personeli.

Genel anlamda, tek bir AS, telekomünikasyon yoluyla birbirine bağlı bir dizi yerel alt bölüm ağıdır. Her yerel alan ağı, birbirine bağlı ve etkileşimli bir dizi otomatikleştirilmiş alt sistemi birleştirir ( teknolojik siteler), kuruluşun bireysel yapısal bölümleri tarafından sorunların çözümünün sağlanması.

Bilgilendirme nesneleri şunları içerir:

teknolojik ekipman ( bilgisayar tesisleri, ağ ve kablo ekipmanı);
bilgi kaynakları;
yazılım ( işletim sistemleri, veritabanı yönetim sistemleri, genel sistem ve uygulama yazılımları);
otomatik iletişim ve veri iletim sistemleri (telekomünikasyon);
bağlantı kanalları;
Ofis alanı.

3.2. Korunacak kuruluş bilgi varlıklarının türleri

Çeşitli gizlilik seviyelerindeki bilgiler, kuruluşun AS alt sistemlerinde, sınırlı dağıtım bilgilerini içeren dolaşır ( hizmet, ticari, kişisel veriler) ve açık bilgi.

AU'nun belge akışı şunları içerir:

ödeme emirleri ve mali belgeler;
raporlar ( finansal, analitik vb.);
kişisel hesaplar hakkında bilgi;
Kişisel bilgi;
diğer sınırlı dağıtım bilgileri.

AU'da dolaşan ve aşağıdaki bilgi varlık türlerinde bulunan tüm bilgiler korumaya tabidir:

Federal Yasa uyarınca, bilginin sahibi olarak kuruluş tarafından erişimi sınırlı olan ticari ve resmi bir sır oluşturan bilgiler " Bilgi, bilgilendirme ve bilgi koruması hakkında "Haklar ve Federal hukuk" Ticari sırlar hakkında »;
Federal Yasa uyarınca erişimi sınırlı olan kişisel veriler " Kişisel veriler hakkında »;
Bilginin bütünlüğü ve kullanılabilirliğini sağlamak açısından açık bilgi.

3.3. Otomatik Sistem kullanıcılarının kategorileri

Kuruluşun, AU'nun bilgi kaynaklarına erişmek için farklı yetkilere sahip olması gereken çok sayıda kullanıcı ve hizmet personeli kategorisi vardır:

sıradan kullanıcılar ( son kullanıcılar, kuruluş birimlerinin çalışanları);
sunucu yöneticileri ( dosya sunucuları, uygulama sunucuları, veritabanı sunucuları), yerel alan ağları ve uygulama sistemleri;
sistem programcıları ( genel yazılımın bakımından sorumlu) kullanıcıların sunucularında ve iş istasyonlarında;
uygulama yazılımı geliştiricileri;
bilgisayar teknolojisinin teknik araçlarının bakımında uzmanlar;
bilgi güvenliği yöneticileri vb.

3.4. Otomatik Sistemin ana bileşenlerinin güvenlik açığı

AU'nun en savunmasız bileşenleri ağ iş istasyonlarıdır - otomatik iş istasyonları ( Daha öte - AWP ) işçiler. Bilgiye yetkisiz erişim girişimleri veya yetkisiz işlem girişimleri ( kasıtsız ve kasıtlı) bir bilgisayar ağında. İş istasyonlarının donanım ve yazılım konfigürasyonunun ihlalleri ve işleyiş süreçlerine yasadışı müdahale, bilgilerin engellenmesine, önemli görevlerin zamanında çözülmesinin imkansızlığına ve bireysel iş istasyonlarının ve alt sistemlerin arızalanmasına neden olabilir.

Adanmış dosya sunucuları, veritabanı sunucuları ve uygulama sunucuları gibi ağ öğelerinin özel korumaya ihtiyacı vardır. Değişim protokollerinin dezavantajları ve sunucu kaynaklarına erişimi farklılaştırma araçları, korunan bilgilere yetkisiz erişimi mümkün kılabilir ve çeşitli alt sistemlerin çalışmasını etkileyebilir. Bu durumda uzaktan kumanda olarak denemeler yapılabilir ( ağ istasyonlarından) ve doğrudan ( sunucu konsolundan) sunucuların çalışması ve korunması üzerindeki etkisi.

Köprüler, ağ geçitleri, hub'lar, yönlendiriciler, anahtarlar ve diğer ağ cihazları, bağlantılar ve iletişim de korumaya ihtiyaç duyar. İzinsiz giriş yapanlar tarafından ağ işlemlerini yeniden yapılandırmak ve düzenini bozmak, iletilen bilgileri engellemek, trafiği analiz etmek ve veri alışverişi süreçlerine müdahale etmek için diğer yöntemleri uygulamak için kullanılabilirler.

4. Bilgi güvenliğinin temel ilkeleri

4.1. Güvenli çalışmanın genel prensipleri

Sorun tespitinin zamanlaması. Kuruluş, iş hedeflerini etkileyebilecek sorunları zamanında tespit etmelidir.
Sorunların gelişiminin öngörülebilirliği. Kuruluş, olası sorunların nedensel ilişkisini belirlemeli ve bu temelde, gelişimlerinin doğru bir tahminini oluşturmalıdır.
Sorunların iş hedefleri üzerindeki etkisinin değerlendirilmesi. Kuruluş, belirlenen sorunların etkisini yeterince değerlendirmelidir.
Koruyucu önlemlerin yeterliliği. Kuruluş, bu tür önlemlerin uygulanmasının maliyetini ve tehditlerin uygulanmasından kaynaklanan olası kayıpların miktarını dikkate alarak, tehdit ve ihlal eden modellere uygun koruyucu önlemleri seçmelidir.
Koruyucu önlemlerin etkinliği. Kuruluş, alınan koruyucu önlemleri etkin bir şekilde uygulamalıdır.
Karar vermede ve uygulamada deneyimi kullanma. Kuruluş hem kendi deneyimlerini hem de diğer kuruluşların tüm karar verme ve uygulama seviyelerindeki deneyimlerini biriktirmeli, genelleştirmeli ve kullanmalıdır.
Güvenli çalışma prensiplerinin sürekliliği. Kuruluş, güvenli çalışma ilkelerinin uygulanmasının sürekliliğini sağlamalıdır.
Koruyucu önlemlerin kontrol edilebilirliği. Kuruluş, yalnızca düzgün çalıştığı doğrulanabilen önlemleri uygulamalı ve güvenlik önlemlerinin kuruluşun iş hedefleri üzerindeki etkisini dikkate alarak, önlemlerin yeterliliğini ve bunların uygulanmasının etkinliğini düzenli olarak değerlendirmelidir.

4.2. Bilgi güvenliğini sağlamaya yönelik özel ilkeler

Özel bilgi güvenliği ilkelerinin uygulanması, bir kuruluştaki bilgi güvenliği yönetim süreçlerinin olgunluk düzeyini artırmayı amaçlar.
Hedeflerin tanımı. Kuruluşun işlevsel ve bilgi güvenliği hedefleri, dahili bir belgede açıkça tanımlanmalıdır. Belirsizlik, “ belirsizlik Organizasyon yapısı, personel rolleri, bilgi güvenliği politikaları ve alınan koruyucu tedbirlerin yeterliliğinin değerlendirilmesinin imkansızlığı.
Müşterilerinizi ve çalışanlarınızı tanımak. Kuruluş, müşterileri hakkında bilgi sahibi olmalı, personeli dikkatlice seçmelidir ( işçiler), varlık yönetimi organizasyonunun faaliyetleri için uygun bir güven ortamı yaratan kurumsal etik geliştirmek ve sürdürmek.
Kişileştirme ve yeterli rol ve sorumluluk dağılımı. Kuruluş yetkililerinin, varlıklarıyla ilgili kararlardan sorumlu olması, esas olarak bir kefil şeklinde kişileştirilmeli ve yerine getirilmelidir. Kuruluşun hedefleri üzerindeki etki derecesine yeterli olmalı, politikalarda sabitlenmeli, kontrol edilmeli ve geliştirilmelidir.
Rollerin işlevlere ve prosedürlere uygunluğu ve kriterler ve değerlendirme sistemi ile karşılaştırılabilirliği. Roller, gerçekleştirilen işlevleri ve kuruluşta benimsenen uygulama prosedürlerini yeterince yansıtmalıdır. Birbiriyle ilişkili roller atanırken, bunların yürütülmesinin gerekli sırası dikkate alınmalıdır. Rol, uygulamasının etkinliğini değerlendirme kriterleriyle tutarlı olmalıdır. Oynanan rolün ana içeriği ve kalitesi aslında kendisine uygulanan değerlendirme sistemi tarafından belirlenir.
Hizmet ve hizmetlerin mevcudiyeti. Kuruluş, müşterileri ve yüklenicileri için, ilgili anlaşmalarla belirlenen belirlenmiş zaman dilimleri içinde hizmetlerin ve hizmetlerin kullanılabilirliğini sağlamalıdır ( anlaşmalar) ve/veya diğer belgeler.
Bilgi güvenliğinin gözlemlenebilirliği ve değerlendirilebilirliği. Önerilen herhangi bir koruyucu önlem, uygulamalarının sonucunun açık olacağı şekilde tasarlanmalıdır, gözlemliyoruz ( şeffaf) ve kuruluşun uygun yetkiye sahip bir bölümü tarafından değerlendirilebilir.

5. Bilgi güvenliğinin amaç ve hedefleri

5.1. Otomatik sistemdeki bilgi ilişkilerinin konuları

AU kullanımında ve bilgi güvenliğinin sağlanmasında yasal ilişkilerin konuları şunlardır:

Bilgi kaynaklarının sahibi olarak organizasyon;
NPP'nin çalışmasını sağlayan organizasyonun alt bölümleri;
AU'da kendilerine atanan işlevlere uygun olarak bilgi kullanıcıları ve sağlayıcıları olarak kuruluşun yapısal bölümlerinin çalışanları;
AS'de bilgileri biriken, saklanan ve işlenen tüzel kişiler ve bireyler;
AU'nun oluşturulması ve işletilmesine dahil olan diğer tüzel kişiler ve bireyler ( sistem bileşenleri geliştiricileri, bilgi teknolojisi alanında çeşitli hizmetlerin sağlanmasında yer alan kuruluşlar vb.).

Listelenen bilgi ilişkileri konuları aşağıdakileri sağlamakla ilgilenir:

belirli bir bilgi parçasının gizliliği;
güvenilirlik ( tamlık, doğruluk, yeterlilik, bütünlük) bilgi;
yanlış dayatmaya karşı koruma ( güvenilmez, çarpık) bilgi;
gerekli bilgilere zamanında erişim;
yasal hakların ihlali için sorumluluğun farklılaşması ( ilgi alanları) diğer bilgi ilişkileri konuları ve bilgilerin işlenmesi için belirlenmiş kurallar;
bilgi işleme ve iletim süreçlerinin sürekli olarak izlenmesi ve yönetilmesi olasılığı;
bilgilerin bir kısmının yasa dışı kopyalanmasından korunması ( telif haklarının korunması, bilgi sahibinin hakları vb.).

5.2. Bilgi Güvenliği Hedefi

Bilgi güvenliğini sağlamanın temel amacı, bilgi ilişkilerinin konularını, AU'nun işleyişi sürecinde kazara veya kasıtlı yetkisiz müdahale veya içinde dolaşan bilgilere yetkisiz erişim ve yasa dışı yollarla olası maddi, manevi veya diğer zararlardan korumaktır. kullanmak.

Bu amaca, aşağıdaki bilgi özelliklerinin ve işlenmesi için otomatik bir sistemin sağlanması ve sürekli bakımının sağlanmasıyla ulaşılır:

kayıtlı kullanıcılar için işlenmiş bilgilerin mevcudiyeti;
iletişim kanalları aracılığıyla saklanan, işlenen ve iletilen bilgilerin belirli bir bölümünün gizliliği;
iletişim kanalları aracılığıyla saklanan, işlenen ve iletilen bilgilerin bütünlüğü ve gerçekliği.

5.3. Bilgi güvenliği hedefleri

Bilgi güvenliğini sağlama ana hedefine ulaşmak için, NPP bilgi güvenliği sistemi aşağıdaki görevlere etkili bir çözüm sağlamalıdır:

AU'nun işleyişi sürecinde yetkisiz kişiler tarafından müdahaleye karşı koruma;
kayıtlı kullanıcıların AU'nun donanım, yazılım ve bilgi kaynaklarına erişiminin farklılaşması, yani yetkisiz erişime karşı koruma;
sistem günlüklerinde korunan AS kaynakları kullanılırken kullanıcı eylemlerinin kaydı ve bu günlüklerin içeriğini güvenlik departmanlarından uzmanlar tarafından analiz edilerek sistem kullanıcılarının eylemlerinin doğruluğunun periyodik kontrolü;
yetkisiz değişiklik ve bütünlük kontrolüne karşı koruma ( değişmezliği sağlamak) programların yürütme ortamı ve bir ihlal durumunda restorasyonu;
AU'da kullanılan yazılımın yetkisiz değiştirilmesine ve bütünlüğünün kontrolüne karşı koruma ve ayrıca sistemin bilgisayar virüsleri de dahil olmak üzere yetkisiz programların girişine karşı korunması;
bilgilerin işlenmesi, saklanması ve iletişim kanalları aracılığıyla iletilmesi sırasında teknik kanallardan sızıntıdan korunması;
iletişim kanalları aracılığıyla saklanan, işlenen ve iletilen bilgilerin yetkisiz ifşa veya bozulmaya karşı korunması;
bilgi alışverişine katılan kullanıcıların kimlik doğrulamasını sağlamak;
anahtar sistemin bir parçası tehlikeye girdiğinde kriptografik bilgi koruma araçlarının hayatta kalmasını sağlamak;
bilgi güvenliğine yönelik tehdit kaynaklarının, bilgi ilişkilerinin ilgili konularına zarar veren neden ve koşulların zamanında belirlenmesi, bilgi güvenliğine yönelik tehditlere ve olumsuz eğilimlere anında yanıt vermek için bir mekanizmanın oluşturulması;
gerçek ve tüzel kişilerin yasa dışı eylemlerinin neden olduğu zararı en aza indirmek ve yerelleştirmek için koşullar yaratmak, olumsuz etkiyi zayıflatmak ve bilgi güvenliği ihlalinin sonuçlarını ortadan kaldırmak.

5.4. Bilgi güvenliği sorunlarını çözmenin yolları

Bilgi güvenliği sorunlarının çözümü sağlanır:

korumaya tabi tüm sistem kaynaklarının sıkı bir şekilde muhasebeleştirilmesi ( bilgi, görevler, iletişim kanalları, sunucular, AWP);
bilgi güvenliği ile ilgili kurumsal ve idari belgeler temelinde, bilgi işleme süreçlerinin ve kuruluşun yapısal bölümlerinin çalışanlarının eylemlerinin yanı sıra nükleer santralin yazılım ve donanımının bakımını ve değiştirilmesini gerçekleştiren personelin eylemlerinin düzenlenmesi;
bilgi güvenliğine ilişkin kurumsal ve idari belgelerin gereksinimlerinin eksiksizliği, gerçek fizibilitesi ve tutarlılığı;
bilgi güvenliğini sağlamak için pratik önlemlerin organizasyonundan ve uygulanmasından sorumlu çalışanların atanması ve eğitimi;
nükleer santralin kaynaklarına erişim yetkisi ile fonksiyonel görevlerini yerine getirmesi için her çalışana gerekli olan asgari yetkiyi vermek;
nükleer santralin donanım ve yazılımını kullanan ve bakımını yapan tüm çalışanlar tarafından açık bilgi ve sıkı gözlem, bilgi güvenliği ile ilgili organizasyonel ve idari belgelerin gereklilikleri;
işlevsel görevleri çerçevesinde, otomatik bilgi işleme ve AU kaynaklarına erişim süreçlerine katılan her çalışanın eylemleri için kişisel sorumluluk;
yazılım, donanım ve verileri korumak için organizasyonel ve teknik önlemlerin komplekslerini kullanarak teknolojik bilgi işleme süreçlerinin uygulanması;
teknik ekipmanın fiziksel bütünlüğünü sağlamak ve nükleer santral bileşenlerinin gerekli koruma seviyesinin sürekli korunmasını sağlamak için etkili önlemlerin benimsenmesi;
teknik uygulama ( yazılım ve donanım) sistem kaynaklarını koruma araçları ve kullanımları için sürekli idari destek;
bilgi akışlarının sınırlandırılması ve korunmasız iletişim kanalları aracılığıyla sınırlı dağıtım bilgilerinin iletilmesinin yasaklanması;
çalışanların bilgi güvenliği gereksinimlerine uyumu üzerinde etkin kontrol;
sürekli izleme ağ kaynakları, güvenlik açıklarının belirlenmesi, bir bilgisayar ağının güvenliğine yönelik dış ve iç tehditlerin zamanında tespiti ve etkisiz hale getirilmesi;
bilgi güvenliği alanındaki yasa dışı eylemlerden kuruluşun çıkarlarının yasal olarak korunması.
alınan önlemlerin ve kullanılan bilgi koruma araçlarının etkinliğinin ve yeterliliğinin sürekli bir analizinin yapılması, nükleer santralde bilgi koruma sisteminin iyileştirilmesine yönelik tekliflerin geliştirilmesi ve uygulanması.

6 bilgi güvenliği tehdidi

6.1. Bilgi güvenliği tehditleri ve kaynakları

Bir nükleer santralde işlenen bilgilerin güvenliğine yönelik en tehlikeli tehditler şunlardır:

gizliliğin ihlali ( ifşa, sızıntı) kişisel veriler de dahil olmak üzere resmi veya ticari sır oluşturan bilgiler;
arızalı ( iş düzensizliği) AU, bilgilerin engellenmesi, teknolojik süreçlerin ihlali, sorunların zamanında çözümünün bozulması;
bütünlük ihlali ( bozulma, ikame, imha) AU'nun bilgi, yazılım ve diğer kaynakları.

NPP bilgi güvenliğine yönelik başlıca tehdit kaynakları şunlardır:

doğal ve insan yapımı nitelikteki olumsuz olaylar;
teröristler, suçlular;
kullanımı da dahil olmak üzere hedefli yıkıcı eylemler gerçekleştiren bilgisayar siber suçluları bilgisayar virüsleri ve diğer kötü amaçlı kod ve saldırı türleri;
yazılım ve donanım araçları, sarf malzemeleri, hizmetler vb. tedarikçileri;
ekipmanın kurulumunu, devreye alınmasını ve onarımını gerçekleştiren yükleniciler;
denetleyici ve düzenleyici kurumların gerekliliklerine, mevcut mevzuata uyulmaması;
yazılım ve donanımın arızaları, arızaları, imhası/hasarı;
AU'daki süreçlere yasal olarak katılan ve verilen yetkiler dışında hareket eden çalışanlar;
AU'daki süreçlere yasal olarak katılan ve verilen yetkiler çerçevesinde hareket eden çalışanlar.

6.2. Bilgi güvenliğinin ihlaline yol açan kasıtsız eylemler ve bunları önlemeye yönelik önlemler

AU'daki bilgi işleme süreçlerine doğrudan erişimi olan kuruluş çalışanları, bilgi güvenliğinin ihlaline yol açabilecek kasıtsız kazara eylemlerin potansiyel bir kaynağıdır.

Bilgi güvenliğinin ihlaline yol açan büyük istenmeyen eylemler (İnsanlar tarafından yanlışlıkla, cehalet, dikkatsizlik veya ihmal yoluyla, meraktan, ancak kötü niyet olmaksızın yapılan eylemler) ve bu tür eylemleri önlemek ve neden oldukları zararı en aza indirmek için önlemler tablo 1.

tablo 1

Bilgi güvenliğinin ihlaline yol açan ana eylemler
Kısmi veya tam sistem arızasına veya donanım veya yazılım performansının bozulmasına yol açan çalışan eylemleri; ekipmanın bağlantısını kesmek veya cihaz ve programların çalışma modlarını değiştirmek; sistemin bilgi kaynaklarının imhası ( ekipmana kasıtsız hasar verilmesi, programların veya dosyaların silinmesi, bozulması önemli bilgi sistem olanlar dahil, iletişim kanallarına zarar, bilgi taşıyıcılarına kasıtsız hasar vb.)	Organizasyonel önlemler ( ). Bir ihlalin yanlışlıkla işlenmesini önlemek için fiziksel araçların kullanılması. Teknik uygulama ( donanım ve yazılım) kaynaklara erişimi farklılaştırma araçları. Kritik kaynakların rezervasyonu.
Yetkisiz kullanılırsa sistem performansının düşmesine neden olabilecek programların yetkisiz başlatılması ( donma veya döngü) veya sistemde geri dönüşü olmayan değişiklikler yapmak ( depolama ortamının biçimlendirilmesi veya yeniden yapılandırılması, verilerin silinmesi vb.)	Organizasyonel önlemler ( tüm potansiyel olarak tehlikeli programların iş istasyonundan kaldırılması). Teknik uygulama ( donanım ve yazılım) iş istasyonundaki programlara erişimi farklılaştırma araçları.
Kayıt dışı programların izinsiz tanıtılması ve kullanılması ( çalışanların resmi görevlerini yerine getirmeleri için gerekli olmayan oyun, eğitim, teknolojik ve diğer) müteakip makul olmayan kaynak harcamaları ile ( işlemci süresi, RAM, harici bellek vb.)	Organizasyonel önlemler ( yasakların getirilmesi). Teknik uygulama ( donanım ve yazılım) kaydedilmemiş programların izinsiz girişinin ve kullanımının önlenmesi anlamına gelir.
Bilgisayarınızın kasıtsız virüs bulaşması	Organizasyonel önlemler ( eylemlerin düzenlenmesi, yasakların getirilmesi). Teknolojik önlemler ( virüsleri tespit etmek ve yok etmek için özel programların kullanılması). Bilgisayar virüslerinin bulaşmasını önleyen donanım ve yazılım araçlarının kullanılması.
Erişim kontrol özelliklerinin ifşası, transferi veya kaybı ( şifreler, şifreleme anahtarları veya elektronik imza, kimlik kartları, geçişler vb.)	Organizasyonel önlemler ( eylemlerin düzenlenmesi, yasakların getirilmesi, sorumluluğun güçlendirilmesi). Belirtilen detayların güvenliğini sağlamak için fiziksel araçların kullanılması.
Organizasyonel kısıtlamaları göz ardı etmek ( yerleşik kurallar) sistemde çalışırken	Organizasyonel önlemler ( ). Ek fiziksel ve teknik koruma araçlarının kullanılması.
Güvenlik personeli tarafından koruyucu ekipmanın yetersiz kullanımı, ayarlanması veya uygun olmayan şekilde devre dışı bırakılması	Organizasyonel önlemler ( personel eğitimi, sorumluluk ve kontrolün güçlendirilmesi).
Hatalı veri girme	Organizasyonel önlemler ( artan sorumluluk ve kontrol). Veri girişi operatörlerinin hatalarını kontrol etmek için teknolojik önlemler.

6.3. Bilgi güvenliğini ihlal etmeye yönelik kasıtlı eylemler ve bunları önlemeye yönelik önlemler

Temel kasıtlı eylemler ( bencil amaçlar için, baskı altında, intikam alma arzusundan vb.), tesisin bilgi güvenliğinin ihlaline yol açan ve bunları önlemeye ve oluşabilecek zararları azaltmaya yönelik tedbirler aşağıda belirtilmiştir. Tablo 2.

Tablo 2

Bilgi güvenliğinin ihlaline yol açan ana kasıtlı eylemler	Tehditleri önlemek ve hasarı en aza indirmek için önlemler
Otomatik sistemin en önemli bileşenlerinin tümünün veya bir kısmının fiziksel olarak yok edilmesi veya etkisiz hale getirilmesi ( cihazlar, önemli taşıyıcılar sistem bilgisi, personel vb.), bilgi işlem sistemlerinin çalışmasını sağlamak için alt sistemleri devre dışı bırakmak veya devre dışı bırakmak ( güç kaynağı, iletişim hatları vb.)	Organizasyonel önlemler ( eylemlerin düzenlenmesi, yasakların getirilmesi). Bir ihlalin kasıtlı olarak işlenmesini önlemek için fiziksel araçların kullanılması. Kritik kaynakların rezervasyonu.
Acentelerin sistemin personel sayısına dahil edilmesi ( güvenlikten sorumlu idari grup dahil), işe alım ( rüşvet, şantaj, tehdit vb.) korunan kaynaklara erişmek için belirli haklara sahip kullanıcılar	Organizasyonel önlemler ( personel seçme, yerleştirme ve çalışma, kontrol ve sorumluluğun güçlendirilmesi). Personel eylemlerinin otomatik kaydı.
Bilgi taşıyıcılarının çalınması ( çıktılar, manyetik diskler, bantlar, depolama aygıtları ve tüm bilgisayarlar), endüstriyel atık hırsızlığı ( çıktılar, kayıtlar, atılan ortamlar vb.)	Organizasyonel önlemler ( ).
Bilgi taşıyıcılarının yetkisiz kopyalanması, rasgele erişimli bellekten ve harici depolama aygıtlarından kalan bilgilerin okunması	Organizasyonel önlemler ( korunan bilgilerle medyanın depolanması ve kullanılması organizasyonu). Korunan kaynaklara erişimi sınırlamak için teknik araçların uygulanması ve belgelerin basılı kopyalarının alınmasının otomatik olarak kaydedilmesi.
Parolaların ve diğer erişim denetimi ayrıntılarının yasa dışı alınması ( gizli yollarla, kullanıcıların ihmalini kullanarak, seçerek, sistem arayüzünü yazılım yer imleriyle taklit ederek vb.) kayıtlı bir kullanıcı olarak sonradan kılık değiştirerek.	Organizasyonel önlemler ( eylemlerin düzenlenmesi, yasakların getirilmesi, personelle çalışma). Şifreleri, anahtarları ve diğer ayrıntıları ele geçirmek için programların uygulanmasını engelleyen teknik araçların kullanılması.
Ağdaki iş istasyonu sayısı, fiziksel adres, iletişim sistemindeki adres, donanım şifreleme birimi gibi benzersiz fiziksel özelliklere sahip kullanıcılar için AWP'lerin yetkisiz kullanımı.	Organizasyonel önlemler ( tesislere erişimin ve bu AWP'ler üzerinde çalışmaya kabulün katı bir şekilde düzenlenmesi). Fiziksel ve teknik erişim kontrolü araçlarının uygulanması.
Yetkisiz yazılım değişikliği - yazılım "yer imleri" ve "virüsler" ( Truva atları ve böcekler), yani, beyan edilen işlevlerin uygulanması için gerekli olmayan, ancak güvenlik sisteminin üstesinden gelmeye izin veren, korunan bilgileri kaydetmek ve aktarmak veya sistemin işleyişini düzensizleştirmek için sistem kaynaklarına gizlice ve yasadışı olarak erişmeye izin veren program bölümleri. sistem	Organizasyonel önlemler ( işe kabulün katı düzenlemesi). AWP'nin donanım ve yazılım yapılandırmasında erişimi farklılaştırmak ve yetkisiz değişiklik yapılmasını önlemek için fiziksel ve teknik araçların kullanılması. Yazılım bütünlüğü kontrol araçlarının uygulanması.
İletişim kanalları aracılığıyla iletilen verilerin ele geçirilmesi, gizli bilgilerin elde edilmesi ve değişim protokollerinin açıklığa kavuşturulması için analizlerinin yapılması, ağa girme ve kullanıcıları yetkilendirme kuralları ve daha sonra sisteme girmeleri için onları taklit etme girişimleri	İletişim kanallarının fiziksel olarak korunması. İletilen bilgilerin kriptografik koruma araçlarının uygulanması.
Verilerin yetkisiz değiştirilmesi, gizli bilgilere erişim, alt sistemlerin işleyişinin düzensizliği vb. amaçlarla sistemin işleyişi sürecine genel ağlardan müdahale edilmesi.	Organizasyonel önlemler ( genel ağlarda bağlantı ve operasyonun düzenlenmesi). Özel teknik koruma araçlarının kullanılması ( güvenlik duvarları, güvenlik kontrolleri ve sistem kaynaklarına yönelik saldırıların tespiti vb.).

6.4. Teknik kanallardan bilgi sızıyor

NPP teknik araçlarının çalışması sırasında, aşağıdaki sızıntı kanalları veya bilgi bütünlüğünün ihlali, teknik araçların performansının bozulması mümkündür:

teknik araçlardan ve bilgi iletim hatlarından gelen bilgilendirici bir sinyalin yan elektromanyetik radyasyonu;
elektronik bilgisayarlar aracılığıyla işlenen bilgilendirici bir sinyalin, kontrol edilen ofis alanlarının ötesine geçen kablolara ve hatlara alınması, dahil. topraklama ve güç kaynağı devrelerinde;
bilgileri ele geçirmek için çeşitli elektronik cihazlar ( dahil "Yer imleri") iletişim kanallarına veya teknik bilgi işleme araçlarına bağlı;
görüntüleme ekranlarından bilgilerin görüntülenmesi ve optik araçlar kullanılarak görüntülenmesi için diğer araçlar;
bütünlüğü ihlal etmek için donanım veya yazılım üzerindeki etkisi ( yıkım, bozulma) özel olarak uygulanan elektronik ve yazılım araçları aracılığıyla bilgi, teknik araçların çalışabilirliği, bilgi güvenliği araçları ve elektromanyetik de dahil olmak üzere bilgi alışverişinin zamanında olması ( "Yer imleri").

Bilgilerin işlenmesinin ve güvenliğinin sağlanmasının özelliklerini dikkate alarak, gizli bilgilerin sızması tehdidi ( kişisel veriler dahil) teknik kanallar aracılığıyla organizasyon için önemsizdir.

6.5. Olası bir davetsiz misafirin gayri resmi modeli

Suçlu, yasaklanmış işlemleri gerçekleştirmeye teşebbüs eden kişidir ( eylem) yanlışlıkla, cehaletle veya kasten kötü niyetle ( kazanılmış menfaatler dışında) veya onsuz ( oyun veya zevk uğruna, kendini onaylama amacıyla vb.) ve bunun için çeşitli olasılıklar, yöntemler ve araçlar kullanmak.

Nükleer santral koruma sistemi, sistemdeki aşağıdaki olası suçlu türleri hakkındaki varsayımlara dayanmalıdır ( kişi kategorisini, motivasyonu, nitelikleri, özel araçların mevcudiyetini vb. dikkate alarak.):

« Deneyimsiz (dikkatsiz) kullanıcı»- yasaklanmış işlemleri gerçekleştirmeye, yetkisini aşan AU'nun korunan kaynaklarına erişmeye, yanlış veri girmeye vb. kötü niyet olmadan ve yalnızca standart ( onun için müsait) donanım ve yazılım.
« Sevgili"- bencil hedefler ve kötü niyet olmadan, kendini onaylamak için veya başkalarından savunma sistemini aşmaya çalışan bir çalışan" spor ilgisi". Koruma sisteminin üstesinden gelmek ve yasaklanmış eylemlerde bulunmak için kullanabilir farklı yöntemler kaynaklara erişmek için ek yetki edinme ( isimler, şifreler vb. diğer kullanıcılar), koruma sisteminin ve mevcut personelin yapımındaki eksiklikler ( iş istasyonunda yüklü) programlar ( izin verilen araçları kullanma yetkisini aşarak yetkisiz eylemler). Ayrıca, standart dışı ek enstrümantal ve teknolojik yazılımlar kullanmayı deneyebilir ( hata ayıklayıcılar, yardımcı programlar), bağımsız olarak geliştirilmiş programlar veya standart ek teknik araçlar.
« dolandırıcı"- Bencil amaçlarla, baskı altında veya kötü niyetle yasa dışı teknolojik işlemler gerçekleştirmeye, sahte veri girmeye ve benzeri eylemlere teşebbüs edebilecek, ancak yalnızca düzenli ( iş istasyonunda yüklü ve kullanılabilir) kendi adına veya başka bir çalışan adına donanım ve yazılım ( adını ve şifresini bilmek, işyerinde kısa süreli yokluğunu kullanmak vb.).
« Dış davetsiz misafir (davetsiz misafir)»- muhtemelen başkalarıyla gizli anlaşma içinde, bencil çıkarlar, intikam veya meraktan bilerek hareket eden bir yabancı veya eski çalışan. Bilgi güvenliğini ihlal etmek için tüm yöntemleri, genel ağlar için tipik olan güvenlik sistemlerini kırma yöntemlerini ve araçlarını kullanabilir ( özellikle IP tabanlı ağlar), yazılım yer imlerinin uzaktan uygulanması ve değişim protokollerinin mevcut zayıflıklarını ve kuruluşun AS'sinin ağ düğümlerinin koruma sistemini kullanarak özel enstrümantal ve teknolojik programların kullanımı dahil.
« Dahili saldırgan»- sistem kullanıcısı olarak kayıtlı, bencil çıkarlar veya intikam amacıyla kasıtlı olarak hareket eden, muhtemelen kuruluşun çalışanı olmayan kişilerle gizli anlaşma yapan bir çalışan. Erişim ayrıntılarını elde etmek için gizli yöntemler, pasif araçlar (sistem bileşenlerini değiştirmeden teknik müdahale araçları), aktif etki yöntemleri ve araçları dahil olmak üzere güvenlik sistemini hacklemek için tüm yöntem ve araçları kullanabilir ( teknik araçların değiştirilmesi, veri aktarım kanallarına bağlantı, yazılım yer imlerinin tanıtılması ve özel enstrümantal ve teknolojik programların kullanılması) yanı sıra hem içeriden hem de genel ağlardan gelen etkilerin bir kombinasyonu.

İçeriden biri, aşağıdaki personel kategorilerinden bir kişi olabilir:

AU'nun kayıtlı son kullanıcıları ( bölüm ve şube çalışanları);
AU ile çalışmasına izin verilmeyen işçiler;
nükleer santralin teknik araçlarına hizmet eden personel ( mühendisler, teknisyenler);
yazılım geliştirme ve bakım departmanlarının çalışanları ( uygulama ve sistem programcıları);
kuruluşun bina ve binalarına hizmet veren teknik personel ( hoparlör bileşenlerinin bulunduğu bina ve tesislere erişimi olan temizlikçiler, elektrikçiler, tesisatçılar ve diğer işçiler);
çeşitli düzeylerde liderler.

işten çıkarılan işçiler;
kuruluşun yaşamını sağlama konularında etkileşimde bulunan kuruluşların temsilcileri ( enerji, su, ısı temini vb.);
ekipman, yazılım, hizmet vb. tedarik eden firmaların temsilcileri;
suç örgütlerinin üyeleri ve rekabet eden ticari yapılar veya onlar adına hareket eden kişiler;
ağa yanlışlıkla veya kasıtlı olarak harici ağlardan giren kişiler ( "Bilgisayar korsanları").

Kullanıcılar ve işçiler arasından bakım personeli, kaynaklara ve kaynaklara erişme konusundaki kesin yetkileri nedeniyle yetkisiz eylemler gerçekleştirme konusunda en geniş fırsatlara sahiptir. iyi bilgi bilgi işleme teknolojileri. Bu ihlalci grubunun eylemleri doğrudan mevcut kural ve düzenlemelerin ihlali ile ilgilidir. Bu ihlalciler grubu, özellikle suç yapıları ile etkileşime girerken tehlikelidir.

İşten çıkarılan işçiler, hedeflerine ulaşmak için iş teknolojisi, koruyucu önlemler ve erişim hakları hakkındaki bilgilerini kullanabilirler.

Suç yapıları, dış tehditlerin en agresif kaynağını temsil eder. Planlarını uygulamak için, bu yapılar yasaları açıkça ihlal edebilir ve örgütün çalışanlarını mevcut tüm güç ve araçlarla faaliyetlerine dahil edebilir.

Bilgisayar korsanları, AU'da kullanılan yazılımın zayıf yönleri hakkında en yüksek teknik niteliklere ve bilgiye sahiptir. Çalışan veya işten çıkarılmış işçiler ve suç teşkilatlarıyla etkileşime girdiklerinde en büyük tehdidi oluştururlar.

Ekipman ve bilgi sistemlerinin geliştirilmesi, tedariki ve onarımı ile uğraşan kuruluşlar, zaman zaman bilgi kaynaklarına doğrudan erişimleri olması nedeniyle dış tehdit oluşturmaktadır. Suç yapıları, korunan bilgilere erişmek için bu örgütleri üyelerinin geçici istihdamı için kullanabilir.

7. Bilgi güvenliği alanında teknik politika

7.1. Teknik politikanın ana hükümleri

Bilgi güvenliği alanında teknik politikanın uygulanması, gerekli bilgi güvenliği seviyesinin sadece tek bir ayrı araçla sağlanmasının imkansız olduğu varsayımından hareket etmelidir ( aktivite), aynı zamanda basit kombinasyonlarının yardımıyla. Birbirleriyle sistemik koordinasyonları gereklidir ( karmaşık uygulama) ve nükleer santralin bireysel olarak geliştirilen unsurları, korumalı bir tasarımda birleşik bir bilgi sisteminin parçası olarak düşünülmelidir. optimal oran teknik ( donanım yazılım) fonlar ve organizasyonel önlemler.

NPP bilgilerinin güvenliğini sağlamak için teknik politikanın uygulanmasının ana yönergeleri, bilgi kaynaklarının yetkisiz erişim ve özel etkiler nedeniyle hırsızlık, kayıp, sızıntı, imha, bozulma veya sahteciliğe karşı korunmasını sağlamaktır.

Bilgi güvenliğinin sağlanmasına yönelik teknik politikanın belirtilen yönergeleri çerçevesinde aşağıdakiler gerçekleştirilir:

sanatçıların kabulü için izin sisteminin uygulanması ( kullanıcılar, servis personeli) gizli nitelikteki eserlere, belgelere ve bilgilere;
icracıların ve yetkisiz kişilerin gizli nitelikteki işlerin yürütüldüğü ve bilgi ve iletişim araçlarının bulunduğu bina ve tesislere erişiminin kısıtlanması ( saklanan, iletilen) doğrudan enformasyon ve iletişim araçlarına yönelik gizli nitelikteki bilgiler;
Kullanıcıların ve hizmet personelinin bilgi kaynaklarına erişiminin farklılaşması, AU'da bulunan çeşitli düzeylerde ve amaçlardaki alt sistemlerde bilgileri işleme ve koruma yazılımları;
belgelerin, bilgi dizilerinin kaydı, kullanıcıların ve hizmet personelinin eylemlerinin kaydı, yetkisiz erişim ve kullanıcıların, hizmet personelinin ve yetkisiz kişilerin eylemleri üzerinde kontrol;
virüs programlarının, yazılım yer imlerinin otomatikleştirilmiş alt sistemlere girmesini önlemek;
bilgisayar teknolojisi ve iletişim tarafından işlenen ve iletilen bilgilerin kriptografik olarak korunması;
makine depolama ortamının güvenilir şekilde depolanması, şifreleme anahtarları ( anahtar bilgi) ve hırsızlık, ikame ve imha hariç dolaşımları;
teknik araçların gerekli rezervasyonu ve dizilerin ve bilgi taşıyıcılarının çoğaltılması;
otomatikleştirilmiş alt sistemlerin çeşitli unsurları tarafından oluşturulan sahte emisyonların ve başlatmaların seviyesinin ve bilgi içeriğinin azaltılması;
kontrol edilen alanın ötesine geçen güç kaynağı devrelerinin, topraklamanın ve diğer bilişim nesnelerinin devrelerinin elektriksel izolasyonu;
optik ve lazer gözlem araçlarına karşı tepki.

7.2. Bilgi güvenliği rejiminin oluşumu

NGS güvenliğine yönelik tespit edilen tehditler dikkate alınarak, bilgi güvenliği rejimi, NGS'de dolaşan bilgileri ve destekleyici altyapısını doğal veya yapay nitelikteki kazara veya kasıtlı etkilerden korumak için bir dizi yöntem ve önlem olarak oluşturulmalıdır. bilgi sahiplerine veya kullanıcılarına zarar.

Bir bilgi güvenliği rejiminin oluşturulması için bir dizi önlem şunları içerir:

otomatik sistemde örgütsel ve yasal bir bilgi güvenliği rejiminin oluşturulması ( düzenleyici belgeler, personelle çalışma, ofis işleri);
sınırlı dağıtım bilgilerini teknik kanallar yoluyla sızıntıdan korumak için organizasyonel ve teknik önlemlerin uygulanması;
yetkisiz eylemleri önlemek için organizasyonel ve yazılım-teknik önlemler ( erişim) AU'nun bilgi kaynaklarına;
tesadüfi veya kasıtlı etkilerden sonra sınırlı dağıtımdaki bilgi kaynaklarını korumaya yönelik araç ve sistemlerin işleyişini kontrol etmek için bir dizi önlem.

8. Bilgi güvenliği önlemleri, yöntemleri ve araçları

8.1. Organizasyonel önlemler

Organizasyonel önlemler- bunlar, NPP işleyişi süreçlerini, kaynaklarının kullanımını, bakım personelinin faaliyetlerini ve ayrıca kullanıcıların sistemle etkileşimini en karmaşık veya olasılığını ortadan kaldıracak şekilde düzenleyen organizasyonel önlemlerdir. güvenlik tehditleri uygulamak ve bunların uygulanması durumunda hasar miktarını azaltmak.

8.1.1. Güvenlik politikasının oluşumu

Organizasyonel önlemlerin temel amacı, bilgi güvenliği alanında, bilgi koruma yaklaşımlarını yansıtan bir politika oluşturmak ve gerekli kaynakları tahsis ederek ve durumu izleyerek uygulanmasını sağlamaktır.

Pratik bir bakış açısından, NPP güvenlik politikası iki seviyeye ayrılmalıdır. Üst düzey, bir bütün olarak organizasyonun faaliyetlerini etkileyen kararları içerir. Bu tür çözümlerin bir örneği şunlar olabilir:

kapsamlı bir bilgi güvenliği programının oluşturulması veya gözden geçirilmesi, uygulanmasından sorumlu olanların belirlenmesi;
hedeflerin oluşturulması, hedeflerin belirlenmesi, bilgi güvenliği alanında faaliyet alanlarının tanımlanması;
bir bütün olarak kuruluş düzeyinde ele alınan güvenlik programının uygulanmasına ilişkin kararlar almak;
düzenleyici hüküm ( yasal) bir güvenlik soruları veri tabanı, vb.

Alt düzey politika, hedeflere ulaşmak ve bilgi güvenliği sorunlarını çözmek için prosedür ve kuralları tanımlar ve bu kuralları ayrıntılandırır (düzenler):

bilgi güvenliği politikasının kapsamı nedir;
bilgi güvenliği politikasının uygulanmasından sorumlu yetkililerin rolleri ve sorumlulukları nelerdir;
kısıtlı bilgilere erişim hakkına sahip olan;
bilgileri kimin ve hangi koşullar altında okuyabileceği ve değiştirebileceği vb.

Alt düzey politika şunları yapmalıdır:

gizli bilgi kaynaklarıyla ilgili keyfi, tekel veya yetkisiz eylemler olasılığı hariç olmak üzere bilgi ilişkilerinin düzenlenmesini sağlamak;
sırları paylaşmak ve sınırlı dağıtım bilgisine erişimi sınırlamak için koalisyon ve hiyerarşik ilkeleri ve yöntemleri tanımlamak;
bilgi ilişkileri konularının hak ve sorumluluklarının uygulanması için garanti sağlayan kriptografik koruma, kurcalamaya karşı önlem, kimlik doğrulama, yetkilendirme, tanımlama ve diğer koruyucu mekanizmaların yazılım ve donanım araçlarını seçin.

8.1.2. Teknik araçlara erişimin düzenlenmesi

Güvenli otomatik iş istasyonlarının ve Banka sunucularının çalışması, yetkisiz kişilerin tesislerine kontrolsüz giriş olasılığı ve korunan kaynakların fiziksel güvenliğinin sağlanması olasılığı hariç olmak üzere, güvenilir otomatik kilitler, alarmlar ile donatılmış ve sürekli olarak korunan veya izlenen odalarda gerçekleştirilmelidir. sitede yer almaktadır ( AWP, belgeler, erişim ayrıntıları vb.). Bu tür AWP'lerin teknik araçlarının yerleştirilmesi ve kurulumu, girdiyi görsel olarak görüntüleme olasılığını dışlamalıdır ( geri çekilmiş) kendisiyle ilgili olmayan kişiler tarafından verilen bilgiler. İçlerinde ekipman bulunan binaların temizliği, korunan kaynaklara yetkisiz erişimi engelleyen önlemlere uygun olarak, bu teknik araçlarla görevlendirilen sorumlu kişinin veya ünitede görevli kişinin huzurunda yapılmalıdır.

Kısıtlı bilgilerin işlenmesi sırasında, tesiste yalnızca bu bilgilerle çalışmaya yetkili personel bulunmalıdır.

Çalışma gününün sonunda, kurulu korumalı iş istasyonları bulunan tesisler koruma altına alınmalıdır.

Ofis belgelerinin ve makine ortamlarının korunan bilgilerle saklanması için, çalışanlara metal dolapların yanı sıra belgeleri imha etme araçları sağlanır.

Gizli bilgileri işlemek veya saklamak için kullanılan teknik araçlar mühürlenmelidir.

8.1.3. Çalışanların bilgi kaynaklarının kullanımına kabulünün düzenlenmesi

Müsaadeli kabul sistemi çerçevesinde; kime, kime, hangi bilgilerin ve ne tür erişim için ve hangi koşullarda sağlanabileceği; Belirli işlemler için kendilerine sunulan AU bilgisi ve yazılım kaynaklarının tüm kullanıcıları için tanımını içeren bir erişim kontrol sistemi ( oku, yaz, değiştir, sil, yürüt) belirtilen yazılım ve donanım erişim araçlarını kullanarak.

AU ile çalışmak üzere işçilerin kabulü ve kaynaklarına erişimleri sıkı bir şekilde düzenlenmelidir. AU alt sistemlerinin kullanıcılarının bileşiminde ve yetkilerinde herhangi bir değişiklik, belirlenmiş prosedüre uygun olarak yapılmalıdır.

AU'daki ana bilgi kullanıcıları, kuruluşun yapısal bölümlerinin çalışanlarıdır. Her kullanıcı için yetki seviyesi, aşağıdaki gereksinimler gözetilerek ayrı ayrı belirlenir:

açık ve gizli bilgiler, mümkün olduğunda farklı sunuculara yerleştirilir;
her çalışan, yalnızca iş sorumluluklarına uygun olarak çalışması gereken bilgilerle ilgili olarak kendisine verilen hakları kullanır;
patron, astlarının bilgilerini görme hakkına sahiptir;
en kritik teknolojik işlemler kuralına göre yapılmalıdır. "İki elinde"- Girilen bilgilerin doğruluğu, bilgi girme hakkı olmayan başka bir görevli tarafından teyit edilir.

NPP'de çalışmak üzere kabul edilen tüm çalışanlar ve NPP bakım personeli, otomatik bilgi işleme için yerleşik prosedürün, korunan sistem kaynaklarının depolanması, kullanılması ve ellerinde bulundurulmasıyla ilgili kuralların ihlal edilmesinden kişisel olarak sorumlu olmalıdır. İşe alırken, her çalışan, gizli bilgilerin korunması gerekliliklerine uygunluk ve ihlallerinin sorumluluğu ile AU'da korunan bilgilerle çalışma kurallarına uygunluk konusunda bir Taahhüt imzalamalıdır.

AU alt sistemlerinde korunan bilgilerin işlenmesi, onaylanmış teknolojik talimatlara uygun olarak gerçekleştirilmelidir ( emirler) bu alt sistemler için.

Kullanıcılar, korunan iş istasyonları için, bilgi güvenliğini sağlamaya yönelik gereksinimler de dahil olmak üzere gerekli teknolojik talimatlar geliştirilmelidir.

8.1.4. Veritabanlarının bakımını yapma ve bilgi kaynaklarını değiştirme süreçlerinin düzenlenmesi

AU'daki veritabanlarının bakımına yönelik tüm işlemler ve bu veritabanlarıyla çalışmak üzere çalışanların kabulü sıkı bir şekilde düzenlenmelidir. AU veritabanlarının kullanıcılarının bileşiminde ve yetkilerinde herhangi bir değişiklik, belirlenmiş prosedüre uygun olarak yapılmalıdır.

İsimlerin dağıtılması, şifrelerin oluşturulması, veritabanlarına erişimin farklılaştırılmasına ilişkin kuralların sürdürülmesi Bilgi İşlem Daire Başkanlığı çalışanlarına aittir. Bu durumda, DBMS'yi ve işletim sistemlerini korumak için hem standart hem de ek araçlar kullanılabilir.

8.1.5. Bakım süreçlerinin düzenlenmesi ve donanım ve yazılım kaynaklarının değiştirilmesi

Korunacak sistem kaynakları ( görevler, programlar, AWP) sıkı muhasebeye tabidir ( uygun formların veya özel veri tabanlarının kullanımına dayalı).

Korunan bilgilerin işlendiği veya korunan kaynaklara erişimin mümkün olduğu otomatikleştirilmiş iş istasyonlarının donanım ve yazılım konfigürasyonu, bu AWP'nin kullanıcılarına atanan işlevsel görevler aralığına karşılık gelmelidir. Kullanılmayan (gereksiz) tüm bilgi giriş-çıkış aygıtları ( COM, USB, LPT bağlantı noktaları, disket sürücüleri, CD ve diğer depolama ortamları) bu tür AWP'lerde devre dışı bırakılmalı (silinmeli), gereksiz yazılımlar ve AWS disklerindeki veriler de silinmelidir.

Bakım, bakım ve koruma organizasyonunu basitleştirmek için iş istasyonları yazılımla donatılmalı ve birleşik bir şekilde yapılandırılmalıdır ( belirlenmiş kurallara uygun olarak).

Yeni AWP'lerin devreye alınması ve donanım ve yazılım konfigürasyonundaki tüm değişiklikler, kuruluşun AS'sindeki mevcut AWP'ler yalnızca belirlenen prosedüre uygun olarak gerçekleştirilmelidir.

Tüm yazılımlar ( Kuruluşun uzmanları tarafından geliştirilen, üreticilerden alınan veya satın alınan) belirlenen prosedüre göre test edilmeli ve kuruluşun programlarının deposuna aktarılmalıdır. AU'nun alt sistemlerinde, yalnızca emanetçiden belirlenen prosedüre uygun olarak alınan yazılımlar kurulmalı ve kullanılmalıdır. Yazılım deposuna dahil olmayan yazılımların AS'de kullanılması yasaklanmalıdır.

Yazılım geliştirme, geliştirilen ve satın alınan yazılımların test edilmesi, yazılımın işletime alınması, belirlenen prosedüre uygun olarak gerçekleştirilmelidir.

8.1.6. Kullanıcı eğitimi ve eğitimi

AU'ya erişim sağlamadan önce, kullanıcıları ile yönetim ve bakım personeli, gizli bilgilerin listesine ve bunların yetki düzeylerine ve ayrıca gereksinimleri belirleyen kurumsal ve idari, düzenleyici, teknik ve operasyonel belgelere aşina olmalıdır. ve bu tür bilgilerin işlenmesi için prosedür.

Yukarıdaki alanların tamamında bilgi koruması, ancak kullanıcılar belirli bir disiplin geliştirdikten sonra mümkündür, yani. AU'da çalışan herkes için bağlayıcı olan normlar. Bu normlar, AU'nun normal çalışmasını bozan, ek kaynak maliyetlerine neden olan, saklanan ve işlenen bilgilerin bütünlüğünü ihlal eden, meşru kullanıcıların çıkarlarını ihlal eden herhangi bir kasıtlı veya kasıtsız eylemin yasaklanmasını içerir.

Çalışmaları sırasında belirli NGS alt sistemlerini kullanan tüm çalışanlar, nükleer santralin korunmasına ilişkin organizasyonel ve idari belgelerle ilgili kısımlara aşina olmalı, nükleer santralin güvenliğini sağlamak için teknolojik talimatları ve genel görevleri bilmeli ve bunlara kesinlikle uymalıdır. bilgi. Korunan bilgilerin işlenmesine kabul edilen kişilere bu belgelerin gerekliliklerinin getirilmesi, daire başkanları tarafından imzalarına karşı yapılmalıdır.

8.1.7. Bilgi güvenliği gereksinimlerinin ihlali sorumluluğu

Kuruluş çalışanları tarafından bilgi güvenliği gerekliliklerinin her ciddi ihlali için resmi bir soruşturma yapılmalıdır. Failler hakkında yeterli tedbirler alınmalıdır. Bilgilerin güvenli otomatik işlenmesini sağlamak için belirlenmiş kuralları ihlal ederek gerçekleştirilen eylemlerden dolayı personelin sorumluluk derecesi, neden olunan hasar, kötü niyetli niyetin varlığı ve diğer faktörler tarafından belirlenmelidir.

Kullanıcıların eylemleri için kişisel sorumluluk ilkesini uygulamak için gereklidir:

kullanıcıların bireysel olarak tanımlanması ve onlar tarafından başlatılan süreçler, ör. onlar için, erişimin geçerliliği ilkesine göre erişim kontrolünün gerçekleştirileceği bir tanımlayıcı oluşturmak;
Kullanıcı doğrulama ( kimlik doğrulama) parolalara, farklı bir fiziksel temele dayalı anahtarlara vb. dayalı;
kayıt ( Kerestecilik) bilgi sistemi kaynaklarına erişimi kontrol eden, tarih ve saati, talep eden ve talep edilen kaynakların tanımlayıcılarını, etkileşimin türünü ve sonucunu gösteren mekanizmaların işleyişi;
yetkisiz erişim girişimlerine tepki ( alarm, engelleme vb.).

8.2. Teknik koruma araçları

teknik ( donanım ve yazılım) koruma araçları - AU'nun bir parçası olan ve (bağımsız olarak veya diğer araçlarla birlikte) koruma işlevlerini gerçekleştiren çeşitli elektronik cihazlar ve özel programlar ( kullanıcıların tanımlanması ve doğrulanması, kaynaklara erişimin farklılaştırılması, olayların kaydı, bilgilerin kriptografik olarak korunması vb.).

Nükleer santraldeki bilgilerin güvenliğinin tüm koruma alanlarında sağlanmasına yönelik tüm gereklilikler ve ilkeler dikkate alınarak, koruma sistemine aşağıdaki araçlar dahil edilmelidir:

kullanıcıların ve konuşmacı öğelerinin kimliğini doğrulama araçları ( terminaller, görevler, veritabanı öğeleri vb.) bilgilerin ve işlenen verilerin gizlilik derecesine karşılık gelen;
verilere erişimi sınırlama araçları;
veri iletim hatlarındaki ve veri tabanlarındaki bilgilerin kriptografik olarak korunması;
korunan bilgilerin kullanımı üzerinde dolaşım ve kontrol kaydı araçları;
tespit edilen kurcalama veya kurcalama girişimlerine yanıt verme araçları;
sahte emisyonların ve başlatmaların seviyesini ve bilgi içeriğini azaltmak için araçlar;
optik gözlem araçlarına karşı koruma araçları;
virüslere ve kötü amaçlı yazılımlara karşı koruma;
hem AC elemanlarının hem de ekipmanın bulunduğu binanın yapısal elemanlarının elektriksel olarak ayrılması anlamına gelir.

Yetkisiz saldırılara karşı teknik koruma araçlarına aşağıdaki ana görevlerin çözümü emanet edilmiştir:

adları ve/veya özel donanımları kullanarak kullanıcıların tanımlanması ve doğrulanması ( Bellek, Akıllı Kart vb. öğesine dokunun.);
iş istasyonlarının fiziksel cihazlarına kullanıcı erişiminin düzenlenmesi ( diskler, giriş-çıkış portları);
erişimin seçici (isteğe bağlı) kontrolü mantıksal sürücüler, dizinler ve dosyalar;
bir iş istasyonunda ve bir dosya sunucusunda korunan verilere erişimin yetkili (zorunlu) farklılaşması;
kapalı oluşturma yazılım ortamı hem yerel hem de ağ sürücülerinde bulunan programları çalıştırma izni;
bilgisayar virüslerinin ve kötü amaçlı yazılımların sızmasına karşı koruma;
koruma sistemi modüllerinin, disk sistemi alanlarının ve rastgele dosya listelerinin bütünlüğünün kontrolü otomatik mod ve yöneticinin komutları ile;
kullanıcı eylemlerinin güvenli bir dergiye kaydedilmesi, birkaç kayıt seviyesinin varlığı;
ağ yöneticisi de dahil olmak üzere tüm kullanıcıların erişiminden dosya sunucusundaki veri koruma sisteminin korunması;
ağ iş istasyonlarına erişim farklılaştırma araçlarının ayarlarının merkezi yönetimi;
iş istasyonlarında meydana gelen tüm kurcalama olaylarının kaydı;
ağ kullanıcılarının çalışmaları üzerinde operasyonel kontrol, iş istasyonlarının çalışma modlarının değiştirilmesi ve engelleme olasılığı ( Eğer gerekliyse) ağdaki herhangi bir istasyon.

Teknik koruma araçlarının başarılı bir şekilde uygulanması, aşağıda sıralanan gereksinimlerin yerine getirilmesinin kurumsal önlemler ve kullanılan fiziksel koruma araçları ile sağlandığını varsayar:

AU'nun tüm bileşenlerinin fiziksel bütünlüğü sağlanır;
her çalışan ( sistem kullanıcısı) benzersiz bir sistem adına ve işlevsel görevlerinin yerine getirilmesi için gerekli sistem kaynaklarına erişmek için minimum yetkiye sahip;
iş istasyonlarında enstrümantal ve teknolojik programların kullanımı ( yardımcı programları, hata ayıklayıcıları vb. test edin.), güvenlik önlemlerini kırma veya atlama girişimlerine izin vermek sınırlıdır ve sıkı bir şekilde düzenlenir;
korunan sistemde programlama kullanıcısı yoktur ve programların geliştirilmesi ve hatalarının ayıklanması korunan sistem dışında gerçekleştirilir;
donanım ve yazılım konfigürasyonundaki tüm değişiklikler kesin olarak belirlenmiş bir şekilde yapılır;
ağ donanımı ( hub'lar, anahtarlar, yönlendiriciler vb.) yabancıların erişemeyeceği yerlerde bulunur ( özel odalar, dolaplar vb.);
bilgi güvenliği hizmeti, bilgi güvenliği araçlarının işleyişi için sürekli yönetim ve idari destek gerçekleştirir.

8.2.1. Kullanıcı tanımlama ve doğrulama araçları

Yetkisiz kişilerin AU'ya erişmesini önlemek için, sistemin her meşru kullanıcıyı (veya sınırlı kullanıcı gruplarını) tanımasını sağlamak gerekir. Bunun için sistemde ( korunaklı bir yerde) bu kullanıcının tanımlanabileceği her kullanıcının bir dizi özniteliğini saklamalıdır. Gelecekte, sisteme girerken ve gerekirse sistemde belirli eylemleri gerçekleştirirken, kullanıcı kendini tanıtmakla yükümlüdür, yani. sistemde kendisine atanan tanımlayıcıyı belirtin. Ek olarak, tanımlama için çeşitli aygıt türleri kullanılabilir: manyetik kartlar, anahtar girişleri, disketler vb.

kimlik doğrulama ( orijinallik onayı), kullanıcıların benzersiz özelliklerini (parametrelerini) kontrol ederek parolaların (gizli kelimeler) veya özel kimlik doğrulama araçlarının kullanımına dayalı olarak gerçekleştirilmelidir.

8.2.2. Otomatik sistemin kaynaklarına erişimi sınırlama araçları

Kullanıcıyı tanıdıktan sonra sistem kullanıcıya yetki vermelidir, yani kullanıcıya hangi hakların verildiğini belirlemelidir, yani. hangi verileri ve nasıl kullanabileceğini, hangi programları çalıştırabileceğini, ne zaman, ne kadar süreyle ve hangi terminallerden çalışabileceğini, hangi sistem kaynaklarını kullanabileceğini vb. Kullanıcı yetkilendirmesi, aşağıdaki erişim kontrol mekanizmaları kullanılarak gerçekleştirilmelidir:

öznitelik şemalarının, izin listelerinin vb. kullanımına dayalı seçici erişim kontrol mekanizmaları;
kaynak gizlilik etiketlerinin ve kullanıcı erişim düzeylerinin kullanımına dayalı yetkili erişim kontrol mekanizmaları;
kapalı bir güvenilir yazılım ortamı sağlamak için mekanizmalar ( çalıştırılmasına izin verilen programların her kullanıcı listesi için ayrı) sistemde oturum açtıklarında kullanıcıları tanımlamak ve doğrulamak için mekanizmalar tarafından desteklenir.

Belirli teknik koruma araçlarının sorumluluk alanları ve görevleri, bu araçların belgelerinde açıklanan yeteneklerine ve performans özelliklerine göre belirlenir.

Erişim kontrolünün teknik araçları, birleşik bir erişim kontrol sisteminin ayrılmaz bir parçası olmalıdır:

kontrol edilen alana;
ayrı odalarda;
AU unsurlarına ve bilgi güvenliği sisteminin unsurlarına ( fiziksel erişim);
AU'nun kaynaklarına ( matematiksel erişim);
bilgi depolarına ( depolama ortamı, ciltler, dosyalar, veri kümeleri, arşivler, referanslar, kayıtlar vb.);
aktif kaynaklara ( başvuru programları, görevler, istek formları vb.);
işletim sistemine, sistem programları ve güvenlik programları vb.

8.2.3. Yazılım ve bilgi kaynaklarının bütünlüğünü sağlama ve izleme araçları

Sağlanan işleme teknolojisi tarafından belirlenen yazılım ortamının değişmezliğini sağlamak ve bilgilerin yetkisiz olarak düzeltilmesine karşı koruma sağlamak için programların, işlenen bilgilerin ve koruma araçlarının bütünlüğünün kontrolü:

sağlama toplamlarını hesaplama araçları;
elektronik imza yoluyla;
kritik kaynakları ana kopyalarıyla karşılaştırma araçları ( ve bütünlüğün ihlali durumunda kurtarma);
erişim kontrolü araçları ( değiştirme veya silme haklarıyla erişimi reddetme).

Bilgileri ve programları yetkisiz imha veya bozulmaya karşı korumak için aşağıdakilerin sağlanması gereklidir:

sistem tablolarının ve verilerin çoğaltılması;
disklerdeki verileri dupleksleme ve yansıtma;
işlemlerin takibi;
işletim sistemi ve kullanıcı programlarının yanı sıra kullanıcı dosyalarının bütünlüğünün periyodik olarak izlenmesi;
anti-virüs koruması ve kontrolü;
verileri önceden belirlenmiş bir şemaya göre yedekleme.

8.2.4. Güvenlik Olayı Kontrolleri

Kontroller, tüm olayların ( kullanıcı eylemleri, yetkisiz kişilere yönelik girişimler vb.), güvenlik politikasının ihlalini gerektirebilir ve kriz durumlarının ortaya çıkmasına neden olabilir. Kontroller şunları sağlamalıdır:

ağın kilit düğümlerinin ve ağ oluşturan iletişim ekipmanının yanı sıra ağın önemli bölümlerinde ağ etkinliğinin sürekli izlenmesi;
kurumsal ve genel ağ hizmetlerinin kullanıcılar tarafından kullanımı üzerinde kontrol;
güvenlik olay günlüklerinin tutulması ve analiz edilmesi;
bilgi güvenliğine yönelik dış ve iç tehditlerin zamanında tespiti.

Güvenlik olaylarını kaydederken sistem günlüğü aşağıdaki bilgiler kaydedilmelidir:

etkinliğin tarihi ve saati;
konu tanımlayıcısı ( kullanıcı, program) kayıtlı eylemi gerçekleştirmek;
eylem ( bir erişim talebi kaydedilirse, erişim nesnesi ve türü işaretlenir).

Kontroller, aşağıdaki olayların tespit edilmesini ve kaydedilmesini sağlamalıdır:

sisteme kullanıcı girişi;
ağa kullanıcı girişi;
başarısız oturum açma veya ağ girişimi ( yanlış parola);
bir dosya sunucusuna bağlantı;
programı başlatmak;
programın tamamlanması;
başlatılamayan bir programı başlatma girişimi;
erişilemeyen bir dizine erişme girişimi;
kullanıcı tarafından erişilemeyen bir diskten bilgi okuma/yazma girişimi;
kullanıcının erişemeyeceği bir diskten bir program başlatma girişimi;
programların bütünlüğünün ve koruma sisteminin verilerinin ihlali vb.

Yetkisiz kişilerin tespit edilen gerçeklerine yanıt vermenin aşağıdaki ana yolları desteklenmelidir ( muhtemelen bir güvenlik yöneticisinin katılımıyla):

NSD ile ilgili bilgi sahibinin verilerine bildirilmesi;
programı iptal etmek ( görevler) daha fazla yürütme ile;
veritabanı yöneticisi ve güvenlik yöneticisinin bildirimi;
terminalin bağlantısını kesmek ( iş istasyonu), NSD tarafından ağdaki bilgi veya yasa dışı eylemlere yönelik girişimlerde bulunulan;
suçlunun kayıtlı kullanıcılar listesinden çıkarılması;
alarm sinyali vb.

8.2.5. Kriptografik bilgi güvenliği

Nükleer santral bilgi güvenliği sisteminin en önemli unsurlarından biri, iletişim kanalları aracılığıyla iletimi ve bilgisayar ortamında saklanması sırasında bilgilerin yetkisiz erişime karşı korunması için kriptografik yöntemler ve araçların kullanılması olmalıdır.

AU'daki bilgilerin kriptografik olarak korunmasının tüm araçları, temel bir kriptografik çekirdek temelinde oluşturulmalıdır. Bir kuruluşun kriptografik medyayı kullanma hakkı için kanunla belirlenmiş lisanslara sahip olması gerekir.

AU'da kullanılan kriptografik koruma araçlarının anahtar sistemi, anahtar bilgilerin tehlikeye atılmasına, kullanıcıların koruma seviyelerine göre ayrılmasına ve birbirleriyle ve diğer seviyelerdeki kullanıcılarla etkileşim bölgelerine karşı kriptografik hayatta kalma ve çok seviyeli koruma sağlamalıdır.

Bilgilerin iletişim kanallarından iletilmesi sırasında gizliliği ve taklit koruması, sistemde abone ve kanal şifreleme araçları kullanılarak sağlanmalıdır. Abone ve kanal bilgilerinin şifrelenmesi kombinasyonu, tüm yol boyunca uçtan uca korumasını sağlamalı, anahtarlama merkezlerinin donanım ve yazılımlarının arızaları ve arızaları nedeniyle hatalı yeniden yönlendirilmesi durumunda bilgileri korumalıdır.

Dağıtılmış bilgi kaynaklarına sahip bir sistem olan AU, mesajların gerçekliğinin ve ayrıca kullanıcıların, abone istasyonlarının ve saatin doğrulanmasının doğrulanmasının bütünlüğünü ve yasal olarak kanıtlayıcı onayını sağlamak için elektronik imzaları oluşturmak ve doğrulamak için araçlar kullanmalıdır. mesaj göndermekten. Bu durumda standartlaştırılmış elektronik imza algoritmaları kullanılmalıdır.

8.3. Bilgi güvenliği yönetimi

Nükleer santralde bilgi güvenliği sisteminin yönetimi, güvenlik sisteminin bileşenleri üzerinde hedeflenen bir etkidir ( organizasyonel, teknik, yazılım ve kriptografik) ana güvenlik tehditlerinin uygulanması bağlamında nükleer santralde dolaşan bilgilerin gerekli güvenlik göstergelerini ve standartlarını elde etmek için.

Bilgi güvenliği sisteminin yönetimini organize etmenin temel amacı, işlenmesi, depolanması ve iletilmesi sırasında bilgi korumasının güvenilirliğini arttırmaktır.

Bilgi güvenliği sisteminin yönetimi, bir dizi kontrol organı, teknik, yazılım ve kriptografik araçların yanı sıra organizasyonel önlemler ve çeşitli seviyelerde etkileşimli kontrol noktaları olan özel bir kontrol alt sistemi tarafından gerçekleştirilir.

Kontrol alt sisteminin işlevleri şunlardır: bilgi, kontrol ve yardımcı.

Bilgilendirme işlevi, koruma sisteminin durumunun sürekli izlenmesi, güvenlik göstergelerinin izin verilen değerlere uygunluğunun kontrol edilmesi ve nükleer santralde ortaya çıkan ve bilgi güvenliğinin ihlaline yol açabilecek durumlar hakkında güvenlik operatörlerine derhal bilgi verilmesinden oluşur. . Koruma sisteminin durumunu izlemek için iki gereksinim vardır: eksiksizlik ve güvenilirlik. Tamlık, tüm koruma araçlarının kapsam derecesini ve işlevlerinin parametrelerini karakterize eder. Kontrolün güvenilirliği, kontrol edilen parametrelerin değerlerinin gerçek değerlerine uygunluk derecesini karakterize eder. Kontrol verilerinin işlenmesinin bir sonucu olarak, genelleştirilmiş ve daha yüksek kontrol noktalarına iletilen koruma sisteminin durumu hakkında bilgi üretilir.

Kontrol işlevi, belirli bir an için geçerli olan koşullar altında bilgi güvenliği gereksinimlerini dikkate alarak NPP teknolojik operasyonlarının uygulanması için planlar formüle etmek ve ayrıca bilgi güvenlik açığı durumunun yerini belirlemek ve sızıntısını önlemektir. bilgi güvenliği tehditlerinin ortaya çıktığı NPP bölümlerinin derhal engellenmesi. ... Kontrol işlevleri, belgelerin ve bilgi taşıyıcılarının, şifrelerin ve anahtarların muhasebeleştirilmesi, saklanması ve verilmesini içerir. Aynı zamanda, şifrelerin, anahtarların oluşturulması, erişim kontrol tesislerinin bakımı, AS yazılım ortamına dahil olan yeni yazılım araçlarının kabulü, yazılım ortamının standarda uygunluğunun kontrolü ve teknolojik işleme sürecinin kontrolü Bilgi İşlem Daire Başkanlığı ve Ekonomik Güvenlik Daire Başkanlığı çalışanlarına gizli bilgiler verilmektedir.

İLE yardımcı fonksiyonlar kontrol alt sistemleri, AU'da gerçekleştirilen tüm işlemlerin korunan bilgilerle muhasebeleştirilmesini, raporlama belgelerinin oluşturulmasını ve potansiyel bilgi sızıntısı kanallarını analiz etmek ve tanımlamak için istatistiksel verilerin toplanmasını içerir.

8.4. Koruma sisteminin etkinliğinin izlenmesi

Bilgi koruma sisteminin etkinliğinin izlenmesi, yetkisiz erişim nedeniyle bilgi sızıntısını zamanında tespit etmek ve önlemek ve ayrıca bilgiyi yok etmeye, bilgi teknolojisini yok etmeye yönelik olası özel eylemleri önlemek için gerçekleştirilir.

Bilgi koruma önlemlerinin etkinliğinin değerlendirilmesi, belirlenen gereksinimlere uygunluk için organizasyonel, donanım ve yazılım kontrolleri kullanılarak gerçekleştirilir.

Kontrol, hem bilgi koruma sisteminin standart araçlarının yardımıyla hem de özel kontrol ve teknolojik izleme araçlarının yardımıyla gerçekleştirilebilir.

8.5. Kişisel verilerin bilgi güvenliğini sağlama özellikleri

Kişisel verilerin sınıflandırılması, kişisel verilerin konusu için kişisel verilerin güvenlik özelliklerinin kaybının sonuçlarının ciddiyetine göre gerçekleştirilir.

Kişisel veriler hakkında ”Özel kategorilerdeki kişisel verilere;
Federal Kanun uyarınca sınıflandırılmış kişisel veriler " Kişisel veriler hakkında ”Biyometrik kişisel verilere;
özel kategorideki kişisel verilerle ilişkilendirilemeyen kişisel veriler, biyometrik kişisel veriler, kamuya açık veya anonim hale getirilmiş kişisel veriler;
Federal Kanun uyarınca sınıflandırılmış kişisel veriler " Kişisel veriler hakkında ”Kamuya açık veya anonim hale getirilmiş kişisel verilere.

Kişisel verilerin üçüncü bir tarafa aktarılması, Federal Yasa veya kişisel verilerin konusunun rızası temelinde gerçekleştirilmelidir. Bir kuruluşun bir sözleşmeye dayalı olarak kişisel verilerin işlenmesini üçüncü bir tarafa emanet etmesi durumunda, böyle bir sözleşmenin temel koşulu, üçüncü kişinin kişisel verilerin gizliliğini ve kişisel verilerin güvenliğini sağlama yükümlülüğüdür. işlemeleri sırasında.

Kuruluş, Rusya Federasyonu mevzuatı tarafından aksi belirtilmedikçe, kişisel verileri işlemeyi durdurmalı ve toplanan kişisel verileri, aşağıdaki durumlarda Rusya Federasyonu mevzuatı tarafından belirlenen süreler içinde imha etmelidir:

işleme hedeflerine ulaşıldığında veya bunlara ulaşılmasına gerek olmadığında;
kişisel verilerin öznesinin veya Kişisel Veri Sahiplerinin Haklarının Korunması için Yetkili Kuruluşun talebi üzerine - kişisel verilerin eksik, güncelliğini yitirmiş, güvenilmez, hukuka aykırı olarak elde edilmiş olması veya belirtilen işleme amacı için gerekli olmaması;
kişisel verilerin konusu, Rusya Federasyonu mevzuatına göre bu tür bir onay gerekliyse, kişisel verilerinin işlenmesine yönelik rızasını iptal ettiğinde;
operatörün kişisel verilerin işlenmesinde işlenen ihlalleri ortadan kaldırmasının imkansız olması durumunda.

Kuruluş aşağıdakileri tanımlamalı ve belgelemelidir:

kişisel verilerin imhası prosedürü ( kişisel verilerin maddi taşıyıcıları dahil);
kişisel veri konularından gelen talepleri işleme prosedürü ( veya yasal temsilcileri) kişisel verilerinin işlenmesi hakkında;
Kişisel Veri Sahiplerinin Haklarının Korunması Yetkili Kuruluşundan veya kişisel veriler alanında kontrol ve denetim yapan diğer denetim kuruluşlarından talep gelmesi halinde yapılacak işlemlere ilişkin prosedür;
konuşmacıyı sınıflandırma yaklaşımı bilgi sistemi kişisel veri ( Daha öte - ISPDN );
ISPD listesi. ISPD listesi, oluşturulma ve kullanılma amacı kişisel verilerin işlenmesi olan AS'yi içermelidir.

Her PDIS için aşağıdakiler tanımlanmalı ve belgelenmelidir:

kişisel verilerin işlenme amacı;
işlenen kişisel verilerin hacmi ve içeriği;
kişisel veriler ve bunların işleme yöntemleri ile eylemlerin bir listesi.

Kişisel verilerin hacmi ve içeriği ile kişisel verilerin işlenmesine yönelik eylem ve yöntemlerin bir listesi, işleme amaçlarına uygun olmalıdır. Uygulaması ISPD tarafından desteklenen bilişim teknolojisi sürecinin uygulanması için belirli kişisel verilerin işlenmesine gerek olmaması durumunda, bu kişisel verilerin silinmesi gerekmektedir.

ISPDN'de kişisel verilerin güvenliğini sağlamaya yönelik gereklilikler, genellikle bilgiyi korumaya yönelik bir dizi kurumsal, teknolojik, teknik ve yazılım önlemi, aracı ve mekanizması tarafından uygulanır.

Uygulama organizasyonu ve ( veya) kişisel verilerin güvenliğini sağlamak için gerekliliklerin uygulanması, kişisel verilerin güvenliğini sağlamaktan sorumlu kuruluşun yapısal bir birimi veya bir yetkilisi (çalışanı) veya bir kuruluş tarafından sözleşmeye dayalı olarak gerçekleştirilmelidir - bir karşı taraf Gizli bilgilerin teknik olarak korunmasını sağlamak için lisanslı bir kuruluşun.

Bir kuruluşun ISPD'sinin oluşturulması, aşağıdakilerin geliştirilmesini ve onaylanmasını içermelidir ( Beyan) oluşturulmakta olan sistem için referans şartlarında sağlanan organizasyonel, idari, tasarım ve operasyonel belgeler. Belgeler, işlenen kişisel verilerin güvenliğinin sağlanması hususlarını yansıtmalıdır.

ISPD'nin konseptlerinin geliştirilmesi, teknik özellikleri, tasarımı, oluşturulması ve test edilmesi, kabulü ve devreye alınması, anlaşma ile ve kişisel verilerin güvenliğini sağlamaktan sorumlu bir yapısal birimin veya bir yetkilinin (çalışan) kontrolü altında gerçekleştirilmelidir.

Kuruluşun ISPD'sine ait tüm bilgi varlıkları, kötü niyetli kodların etkilerinden korunmalıdır. Kuruluş, anti-virüs koruması yoluyla kişisel verilerin güvenliğini sağlamak için gereksinimleri ve bu gereksinimlerin uygulanmasını izleme prosedürünü belirlemeli ve belgelemelidir.

Kuruluş, iletişim portlarına, giriş/çıkış cihazlarına, çıkarılabilir depolama ortamına ve harici depolama cihazlarına ISPDN erişiminin kontrolünü sağlayan bir erişim kontrol sistemine sahip olmalıdır.

Kuruluşun işletme ve hizmet veren ISPD bölümlerinin başkanları, kişisel verilerin ISPD'de işlenmesi sırasında güvenliğini sağlar.

ISPDN'de kişisel verileri işleyen çalışanlar, talimatlara uygun hareket etmelidir ( rehberlik, yönetmelik vb.), ISPD'deki operasyonel belgelerin bir parçasıdır ve IS bakım belgelerinin gereksinimlerine uygundur.

Kuruluşun ISPD'sini sağlamak için gereklilikleri uygulayan koruma araçlarının ve koruma mekanizmalarının yönetimine ilişkin sorumluluklar, emirlerle belirlenir ( emirler) Bilgi Teknolojileri Bölümü uzmanları hakkında.

Bilgi Teknolojileri Departmanı uzmanları ve kişisel verilerin işlenmesinde yer alan personel için prosedür talimatlarla belirlenmelidir ( yönergeler), ISPD geliştiricisi tarafından ISPD için operasyonel belgelerin bir parçası olarak hazırlanır.

Belirtilen talimatlar ( kılavuzlar):

bilgi güvenliği alanındaki personelin nitelikleri için gereksinimlerin yanı sıra güncel bir korunan nesneler listesi ve onu güncellemek için kurallar oluşturmak;
tamamen alakalı içerir ( zamanla) kullanıcı haklarına ilişkin veriler;
bir bilgi güvenliği uzmanı için gerekli miktarda bilgi işleme teknolojisi hakkında veri içerir;
olay günlüklerinin analiz sırasını ve sıklığını belirleyin ( günlük arşivleri);
diğer eylemleri düzenler.

Bilgi Teknolojileri Departmanı uzmanlarının sorumluluk alanında kullanılan bilgileri kurcalamaya karşı koruma araçlarının ve mekanizmalarının yapılandırma parametreleri, ISPD'nin operasyonel belgelerinde belirlenir. Kurulu konfigürasyon parametrelerinin kontrol prosedürü ve sıklığı, operasyonel belgelerde belirlenir veya dahili bir belge ile düzenlenirken, kontroller yılda en az bir kez yapılmalıdır.

Kuruluş, ISPDN'nin teknik araçlarının bulunduğu ve kişisel veri taşıyıcılarının depolandığı tesislere erişim prosedürünü belirlemeli ve belgelendirmeli, yetkisiz kişilerin tesislerine erişimin kontrolünü ve izinsiz girişin önündeki engellerin varlığını sağlamalıdır. bina. Belirtilen prosedür, yapısal bir birim veya bir yetkili tarafından geliştirilmelidir ( bir işçi), yapısal birim veya yetkili tarafından kabul edilen ve fiziksel güvenlik rejimini sağlamaktan sorumlu ( bir işçi), kişisel verilerin güvenliğini sağlamaktan sorumlu ve Ekonomik Güvenlik Departmanı.

ISPD kullanıcıları ve servis personeli yetkisiz ve ( veya) kayıtsız ( kontrolsüz) kişisel verilerin kopyalanması. Bu amaçla, organizasyonel ve teknik önlemler yetkisiz ve ( veya) kayıtsız ( kontrolsüz) yabancılaştırılmış kullanımı da dahil olmak üzere kişisel verilerin kopyalanması ( değiştirilebilir) depolama ortamı, bilgi kopyalama ve aktarma için mobil cihazlar, iletişim portları ve çeşitli arayüzleri uygulayan giriş / çıkış cihazları ( kablosuz dahil), mobil cihazların depolama cihazları ( örneğin dizüstü bilgisayarlar, PDA'lar, akıllı telefonlar, cep telefonları), fotoğraf ve video cihazlarının yanı sıra.

Kişisel güvenliğin kontrolü, hem bilgi koruma sisteminin standart araçları yardımıyla hem de özel kontrol ve teknolojik izleme araçları yardımıyla bir bilgi güvenliği uzmanı tarafından gerçekleştirilir.