Adatbiztonság: az információbiztonság biztosítása. Az információbiztonság biztosítása Az információ biztonsága és védelme

Információbiztonsági szabályzat.

1. Általános rendelkezések

Ez az irányelv információbiztonság (tovább – Politika ) nézetrendszert határoz meg az információbiztonság biztosításának problémájával kapcsolatban, és szisztematikusan mutatja be az információs infrastruktúra objektumok információbiztonságának biztosításának céljait és célkitűzéseit, valamint szervezeti, technológiai és eljárási vonatkozásait, beleértve egy halmazt is. információs központok, a szervezet adatbankjai és kommunikációs rendszerei. Ez a politika az Orosz Föderáció hatályos jogszabályainak követelményeit és az információs infrastruktúra fejlesztésének közvetlen kilátásait, valamint a modern szervezési és technikai módszerek és hardver jellemzőit és képességeit figyelembe véve került kidolgozásra. szoftver információvédelem.

A Szabályzat főbb rendelkezései és követelményei a szervezet minden strukturális részlegére vonatkoznak.

A politika módszertani alapja az egységes politika kialakításának és megvalósításának az információs infrastruktúra létesítmények információbiztonságának biztosítása, az összehangolt vezetői döntések meghozatala és az információbiztonság biztosítását célzó gyakorlati intézkedések kidolgozása, a szervezet strukturális részlegeinek tevékenységének összehangolása terén. információs infrastruktúra infrastruktúra létrehozása, fejlesztése és üzemeltetése során az információbiztonsági követelményeknek megfelelően.

A házirend nem szabályozza a helyiségek biztonságának megszervezését és az információs infrastruktúra elemeinek biztonságának és fizikai épségének biztosítását, a természeti katasztrófáktól és az energiaellátó rendszer meghibásodásától való védelmet, hanem egy információbiztonsági rendszer kiépítését feltételezi ugyanezen a koncepción. mint a szervezet egészének biztonsági rendszere.

A politika megvalósítását a szervezetben a vonatkozó iránymutatások, szabályzatok, eljárások, utasítások, útmutatók és információbiztonsági értékelési rendszer biztosítják.

A szabályzat a következő kifejezéseket és meghatározásokat használja:

Automatizált rendszer ( AC) — személyzetből és tevékenységeik automatizálási eszközeiből álló rendszer, amely információs technológiát valósít meg a meghatározott funkciók ellátására.

Információs infrastruktúra— az információs tér és az információs interakció eszközeinek működését és fejlesztését biztosító szervezeti struktúrák rendszere. Az információs infrastruktúra információs központokból, adat- és tudásbankokból, kommunikációs rendszerekből áll, és hozzáférést biztosít a fogyasztók számára az információs forrásokhoz.

Információs források ( IR) – ezek külön dokumentumok és különálló dokumentumtömbök, dokumentumok és dokumentumtömbök információs rendszerek ah ( könyvtárak, archívumok, alapok, adatbázisok és egyéb információs rendszerek).

Információs rendszer (IP) - információfeldolgozó rendszer és a megfelelő szervezeti erőforrások ( humán, műszaki, pénzügyi stb.), amelyek információkat szolgáltatnak és terjesztenek.

Biztonság -érdekvédelmi állapot ( célokat) szervezetek fenyegetettségi körülmények között.

Információbiztonság ( IS) — fenyegetésekkel kapcsolatos biztonság információs szféra. A biztonságot az információbiztonsági tulajdonságok – elérhetőség, integritás, az információs eszközök titkossága – biztosításával érik el. Az információbiztonsági tulajdonságok prioritását a meghatározott vagyontárgyak kamatértéke határozza meg ( célokat) szervezetek.

Az információs eszközök rendelkezésre állása - a szervezet információbiztonságának tulajdona, amely abban áll, hogy az információs eszközöket a jogosult felhasználó rendelkezésére bocsátják, a felhasználó által megkívánt formában és helyen, és akkor, amikor szüksége van rá.

Az információs eszközök integritása - a szervezet információbiztonságának azon képessége, hogy változatlan maradjon, vagy korrigálja az információs eszközeiben észlelt változásokat.

Az információs eszközök bizalmas kezelése - a szervezet információbiztonságának tulajdona, amely abban áll, hogy az információvagyon feldolgozása, tárolása és továbbítása úgy történik, hogy az információvagyonhoz csak az arra jogosult felhasználók, rendszerobjektumok vagy folyamatok férhessenek hozzá.

Információbiztonsági rendszer ( TOLLHEGY) — védőintézkedések, védőfelszerelések és működésükhöz szükséges eljárások, beleértve az erőforrásokat és adminisztratív szervezeti) rendelkezés.

Jogosulatlan hozzáférés– a munkavállaló hatósági jogkörét sértő információkhoz való hozzáférés, elzárt információkhoz való hozzáférés nyilvános hozzáférés olyan személyektől származó információk, akik nem rendelkeznek engedéllyel ezen információkhoz való hozzáférésre, vagy ahhoz, hogy az információkhoz való hozzáférésre jogosult személy a hatósági feladatok ellátásához szükséges mennyiséget meghaladó mértékben férhessen hozzá.

2. Az információbiztonság biztosításának általános követelményei

Információbiztonsági követelmények ( tovább -IS ) meghatározza a szervezet tevékenységének tartalmát és céljait az információbiztonság-irányítási folyamatok keretében.

Ezek a követelmények a következő területekre vonatkoznak:

• a szerepek kiosztása és elosztása, valamint a személyzetbe vetett bizalom;
• az információs infrastruktúra objektumok életciklusának szakaszai;
• védelem az illetéktelen hozzáférés ellen ( tovább - NSD ), beléptetés és regisztráció automatizált rendszerek ah, a távközlési berendezésekben és az automatikus telefonközpontokban stb.;
• vírusvédelem;
• Internetes források használata;
• pénzeszközök felhasználása kriptográfiai védelem információ;
• személyes adatok védelme.

3. Védendő tárgyak

A főbb védendő objektumok a következők:

• információs források , amelyeket dokumentumok és információtömbök formájában mutatnak be, függetlenül azok bemutatásának formájától és típusától, beleértve a bizalmas és nyilvános információkat is;
• információforrások kialakításának, elosztásának és felhasználásának rendszere, könyvtárak, archívumok, adatbázisok és adatbankok, információs technológiák, információk gyűjtésére, feldolgozására, tárolására és továbbítására vonatkozó előírások és eljárások, műszaki és kiszolgáló személyzet;
• információs infrastruktúra, beleértve az információfeldolgozó és -elemző rendszereket, a feldolgozásához, továbbításához és megjelenítéséhez szükséges hardvert és szoftvert, beleértve a csatornákat is információcsereés távközlés, információbiztonsági rendszerek és eszközök, létesítmények és helyiségek, amelyekben az információs infrastruktúra elemei találhatók.

3.1. Az automatizált rendszer jellemzői

Különböző kategóriájú információk keringenek az AS-ben. A védett információkat egyetlen vállalati hálózat különböző alhálózatairól különböző felhasználók oszthatják meg.

Számos AS alrendszer biztosítja a külső ( állami és kereskedelmi, orosz és külföldi) szervezetek betárcsázós és dedikált kommunikációs csatornákon keresztül, speciális információtovábbítási eszközöket használva.

Az AS technikai eszközeinek komplexuma adatfeldolgozó eszközöket ( munkaállomások, adatbázis-kiszolgálók, levelezőszerverek stb.), adatcsere eszköz a helyi számítógépes hálózatokban, globális hálózatokhoz való hozzáférés lehetőségével ( kábelrendszer, hidak, átjárók, modemek stb.), valamint tárolóhelyek ( incl. archiválás) adatok.

Az AS működésének főbb jellemzői a következők:

• az információk feldolgozásának és továbbításának nagyszámú különböző technikai eszközének egyetlen rendszerben való kombinálásának szükségessége;
• sokféle megoldandó feladat és feldolgozott adattípus;
• különböző célú, hovatartozású és titkossági szintű információk egyesítése egyetlen adatbázisban;
• csatlakozási csatornák elérhetősége külső hálózatokhoz;
• a működés folyamatossága;
• a különböző biztonsági szintek követelményeivel rendelkező alrendszerek jelenléte, fizikailag egyetlen hálózatba egyesítve;
• a felhasználók és a kiszolgáló személyzet kategóriáinak sokfélesége.

Általánosságban elmondható, hogy egy AS a távközlési eszközökkel összekapcsolt részlegek helyi számítógépes hálózatainak gyűjteménye. Minden helyi számítógépes hálózat számos összekapcsolt és kölcsönhatásban lévő automatizált alrendszert integrál ( technológiai területeken), megoldást kínálva a problémákra a szervezet egyes strukturális részlegei által.

Az informatizálási objektumok a következők:

• technológiai berendezések ( számítástechnikai berendezések, hálózati és kábeles berendezések);
• információs források;
• szoftver ( operációs rendszerek, adatbázis-kezelő rendszerek, rendszerszintű és alkalmazási szoftverek);
• automatizált kommunikációs és adatátviteli rendszerek (telekommunikáció);
• kommunikációs csatornák;
• irodahelyiségek.

3.2. A védendő szervezeti információs eszközök típusai

A szervezet AS alrendszereiben különböző szintű bizalmas információk keringenek, amelyek korlátozott terjesztésű információkat tartalmaznak ( hivatalos, kereskedelmi, személyes adatok) és nyilvános információk.

Az AS dokumentumfolyamat a következőket tartalmazza:

• fizetési megbízások és pénzügyi dokumentumok;
• jelentések ( pénzügyi, elemző stb.);
• személyes fiókokkal kapcsolatos információk;
• személyes adatok;
• egyéb korlátozott információ.

Az AS-ben keringő és a következő típusú információs eszközökben található minden információ védelem alá esik:

• kereskedelmi és hivatali titkot képező információk, amelyekhez való hozzáférést a szervezet, mint az információ tulajdonosa korlátozza a szövetségi törvény rendelkezéseivel összhangban." Információról, informatizálásról és információvédelemről » jogok és szövetségi törvény » Az üzleti titkokról »;
• személyes adatok, amelyekhez való hozzáférés a szövetségi törvény értelmében korlátozott " A személyes adatokról »;
• nyílt információ, az információk integritásának és elérhetőségének biztosítása szempontjából.

3.3. Az automatizált rendszer felhasználói kategóriái

A szervezetnek számos felhasználói és szervizes kategóriája van, akiknek különféle hatáskörökkel kell rendelkezniük az AS információs erőforrásokhoz való hozzáféréshez:

• hétköznapi felhasználók ( végfelhasználók, szervezeti egységek alkalmazottai);
• szerver rendszergazdák ( fájlszerverek, alkalmazásszerverek, adatbázis-kiszolgálók), helyi számítógépes hálózatok és alkalmazásrendszerek;
• rendszerprogramozók ( általános fenntartásáért felelős szoftver ) szervereken és felhasználói munkaállomásokon;
• Alkalmazásszoftver-fejlesztők;
• Számítógépes hardver karbantartási szakemberek;
• információbiztonsági rendszergazdák stb.

3.4. Az automatizált rendszer fő összetevőinek sebezhetősége

Az AS legsebezhetőbb összetevői a hálózati munkaállomások - automatizált munkaállomások ( tovább – AWS ) dolgozók. Az információkhoz való jogosulatlan hozzáférési kísérletek vagy jogosulatlan cselekvések kísérletei ( akaratlan és szándékos) számítógépes hálózaton. A munkaállomások hardver- és szoftverkonfigurációjának megsértése, valamint működési folyamataikba való jogellenes beavatkozás az információk blokkolásához, a fontos problémák időben történő megoldásának képtelenségéhez, valamint az egyes munkaállomások és alrendszerek meghibásodásához vezethet.

A hálózati elemek, például a dedikált fájlszerverek, adatbázis-kiszolgálók és alkalmazáskiszolgálók különleges védelmet igényelnek. A csereprotokollok és a szerver erőforrásokhoz való hozzáférést korlátozó eszközök hátrányai jogosulatlan hozzáférést tesznek lehetővé a védett információkhoz, és befolyásolhatják a különböző alrendszerek működését. Ebben az esetben a kísérletek távolról ( hálózati állomásokról), és közvetlen ( a szerverkonzolról) hatással van a szerverek működésére és biztonsági intézkedéseikre.

Hidak, átjárók, hubok, útválasztók, kapcsolók és mások hálózati eszközök,a kommunikációs csatornák és eszközök is védelemre szorulnak. A támadók használhatják őket a hálózat átstrukturálására és megzavarására, a továbbított információk lehallgatására, a forgalom elemzésére és az adatcsere-folyamatok megzavarására.

4. Az információbiztonság alapelvei

4.1. A biztonságos üzemeltetés általános elvei

• A problémák időben történő felismerése. A szervezetnek azonnal észlelnie kell azokat a problémákat, amelyek potenciálisan hatással lehetnek üzleti céljaira.
• A probléma kialakulásának kiszámíthatósága. A szervezetnek azonosítania kell az ok-okozati összefüggéseket lehetséges problémákatés ennek alapján készítsenek pontos előrejelzést fejlődésükről.
• A problémák üzleti célokra gyakorolt ​​hatásának felmérése. A szervezetnek megfelelően fel kell mérnie az azonosított problémák hatását.
• A védőintézkedések megfelelősége. A szervezetnek olyan védelmi intézkedéseket kell kiválasztania, amelyek megfelelnek a fenyegetések és behatolók modelljének, figyelembe véve az intézkedések végrehajtásának költségeit és a fenyegetések végrehajtásából eredő esetleges veszteségek mértékét.
• A védőintézkedések hatékonysága. A szervezetnek hatékonyan kell végrehajtania a megtett védelmi intézkedéseket.
• A tapasztalatok felhasználása a döntések meghozatala és végrehajtása során. A szervezetnek a döntéshozatal és a végrehajtás minden szintjén fel kell halmoznia, általánosítania és fel kell használnia mind saját, mind más szervezetek tapasztalatait.
• A biztonságos működés elveinek folytonossága. A szervezetnek biztosítania kell a biztonságos működés elveinek folyamatos érvényesülését.
• A védőintézkedések ellenőrizhetősége. A szervezet csak olyan kontrollokat valósítson meg, amelyek megfelelő működése igazolható, a szervezet pedig rendszeresen értékelje a kontrollok megfelelőségét és végrehajtásuk eredményességét, figyelembe véve a kontrollok hatását a szervezet üzleti céljaira.

4.2. Speciális alapelvek az információbiztonság biztosítására

• A speciális információbiztonsági alapelvek megvalósítása a szervezeten belüli információbiztonsági menedzsment folyamatok érettségi szintjének növelését célozza.
• A célok meghatározása. A szervezet funkcionális és információbiztonsági céljait kifejezetten meg kell határozni egy belső dokumentumban. A bizonytalanság oda vezet, hogy „ bizonytalanság” szervezeti felépítés, személyzeti szerepkörök, információbiztonsági politikák és a megtett védelmi intézkedések megfelelőségének értékelésének képtelensége.
• Ismerje meg ügyfeleit és alkalmazottait. A szervezetnek információval kell rendelkeznie ügyfeleiről, és gondosan kell kiválasztania a személyzetet ( dolgozók), kialakítani és fenntartani a vállalati etikát, amely kedvező bizalmi környezetet teremt a szervezet vagyonkezelési tevékenységéhez.
• Megszemélyesítés, a szerepek és felelősségek megfelelő megosztása. A szervezet tisztségviselőinek a vagyonával kapcsolatos döntésekért való felelősségét meg kell személyesíteni, és azt elsősorban garancia formájában kell végrehajtani. Megfelelőnek kell lennie a szervezet céljaira gyakorolt ​​befolyás mértékének, irányelvekben rögzítve, ellenőrizve és javítva.
• A szerepkörök megfelelősége a funkcióknak és eljárásoknak, összehasonlíthatósága a kritériumokkal és értékelési rendszerrel. A szerepeknek megfelelően tükrözniük kell a szervezetben betöltött funkciókat és a végrehajtásukra elfogadott eljárásokat. Az egymással összefüggő szerepek kiosztásánál figyelembe kell venni azok megvalósításának szükséges sorrendjét. A szerepnek összhangban kell lennie a végrehajtás hatékonyságának értékelésére szolgáló kritériumokkal. A betöltött szerep fő tartalmát és minőségét valójában a rá alkalmazott értékelési rendszer határozza meg.
• A szolgáltatások elérhetősége. A szervezetnek biztosítania kell ügyfelei és partnerei számára a szolgáltatások és szolgáltatások elérhetőségét a vonatkozó szerződésekben meghatározott határidőn belül. megállapodások) és/vagy egyéb dokumentumokat.
• Az információbiztonsági támogatás megfigyelhetősége és értékelhetősége. Minden javasolt védőintézkedést úgy kell megtervezni, hogy alkalmazásuk eredménye egyértelműen megfigyelhető legyen ( átlátszó), és a szervezet megfelelő jogosultsággal rendelkező részlege értékelheti.

5. A biztonsági információk szolgáltatásának céljai és célkitűzései

5.1. Az információs kapcsolatok alanyai az automatizált rendszerben

Az AS használata és az információbiztonság biztosítása során a jogviszonyok alanyai:

• Szervezet, mint az információs források tulajdonosa;
• az atomerőmű működését biztosító szervezet részlegei;
• a szervezet strukturális részlegeinek alkalmazottai, mint felhasználói és információszolgáltatók az AS-ben a rájuk ruházott funkcióknak megfelelően;
• jogi és magánszemélyek, amelyre vonatkozó információkat a rendszer felhalmozza, tárolja és feldolgozza az AS-ben;
• az AS létrehozásában és működtetésében részt vevő egyéb jogi személyek és magánszemélyek ( rendszerelemek fejlesztői, a szakterület különböző szolgáltatásaiban részt vevő szervezetek információs technológia stb.).

Felsorolt ​​tantárgyak információs kapcsolatokérdekelne:

• az információ bizonyos részének bizalmas kezelése;
• megbízhatóság ( teljesség, pontosság, megfelelőség, integritás) információ;
• védelem a hamis ( megbízhatatlan, torz) információ;
• időben történő hozzáférés a szükséges információkhoz;
• a törvényes jogok megsértéséért való felelősség elhatárolása ( érdekeit) az információs kapcsolatok egyéb alanyai és az információkezelésre megállapított szabályok;
• az információfeldolgozási és -továbbítási folyamatok folyamatos nyomon követésének és irányításának lehetősége;
• bizonyos információk védelme az illegális sokszorosítástól ( szerzői jogok védelme, információtulajdonos jogai stb.).

5.2. Az információbiztonság célja

Az információbiztonság biztosításának fő célja, hogy megvédje az információs kapcsolatok alanyait az esetleges anyagi, erkölcsi vagy egyéb károktól az AS működési folyamatába való véletlen vagy szándékos jogosulatlan beavatkozás vagy a benne keringő információkhoz való jogosulatlan hozzáférés révén. illegális felhasználás.

Ezt a célt az információ következő tulajdonságainak biztosításával és folyamatos karbantartásával és egy automatizált feldolgozási rendszerrel érik el:

• a feldolgozott információk elérhetősége a regisztrált felhasználók számára;
• a kommunikációs csatornákon keresztül tárolt, feldolgozott és továbbított információ bizonyos részének bizalmas kezelése;
• a kommunikációs csatornákon keresztül tárolt, feldolgozott és továbbított információk integritása és hitelessége.

5.3. Információbiztonsági feladatok

Az információbiztonság biztosításának fő céljának eléréséhez az atomerőmű információbiztonsági rendszerének gondoskodnia kell hatékony megoldás a következő feladatokat:

• védelem az AS működési folyamatába való illetéktelen személyek általi beavatkozás ellen;
• a regisztrált felhasználók hozzáférésének korlátozása az AS hardveréhez, szoftveréhez és információs erőforrásaihoz, azaz az illetéktelen hozzáférés elleni védelem;
• a felhasználói műveletek rögzítése védett AS-erőforrások használatakor a rendszernaplókban, és rendszeres időközönként figyelemmel kíséri a rendszerfelhasználói műveletek helyességét e naplók tartalmának a biztonsági osztály szakemberei általi elemzésével;
• jogosulatlan módosítás elleni védelem és integritás ellenőrzése ( a változhatatlanságot biztosítva) programvégrehajtási környezet és annak visszaállítása megsértés esetén;
• védelem a jogosulatlan módosításokkal szemben és az AS-ben használt szoftverek integritásának ellenőrzése, valamint a rendszer védelme a jogosulatlan programok, beleértve a számítógépes vírusokat is, behatolása ellen;
• információk védelme a szivárgás ellen technikai csatornák feldolgozása, tárolása és kommunikációs csatornákon történő továbbítása során;
• a kommunikációs csatornákon keresztül tárolt, feldolgozott és továbbított információk védelme a jogosulatlan nyilvánosságra hozataltól vagy torzítástól;
• az információcserében részt vevő felhasználók hitelesítésének biztosítása;
• a kriptográfiai információvédelmi intézkedések fennmaradásának biztosítása a kulcsrendszer egy részének kompromittálódása esetén;
• az információbiztonságot fenyegető veszélyforrások, az információs kapcsolatok érdekelt alanyainak kárt okozó okok és feltételek időben történő azonosítása, az információbiztonságot fenyegető veszélyekre és a negatív tendenciákra adott gyors reagálás mechanizmusának létrehozása;
• feltételek megteremtése a magán- és jogi személyek jogellenes cselekményei által okozott károk minimalizálásához és lokalizálásához, az információbiztonsági megsértések negatív hatásainak mérsékléséhez és következményeinek megszüntetéséhez.

5.4. Információbiztonsági problémák megoldásának módjai

Az információbiztonság biztosításával kapcsolatos problémák megoldása megvalósul:

• minden védendő rendszererőforrás szigorú figyelembe vétele ( információk, feladatok, kommunikációs csatornák, szerverek, munkaállomások);
• a szervezet strukturális részlegeinek alkalmazottai információfeldolgozási folyamatainak és intézkedéseinek szabályozása, valamint az AS szoftverek és hardverek karbantartását és módosítását végző személyzet intézkedéseinek szabályozása az információbiztonsági kérdésekre vonatkozó szervezeti és adminisztratív dokumentumok alapján;
• az információbiztonsági kérdésekre vonatkozó szervezeti és adminisztratív dokumentumok követelményeinek teljessége, valós megvalósíthatósága és következetessége;
• az információbiztonságot biztosító gyakorlati intézkedések megszervezéséért és végrehajtásáért felelős alkalmazottak kinevezése és képzése;
• minden alkalmazott felruházása a funkcionális feladatai ellátásához szükséges minimális hatáskörökkel az AS erőforrásokhoz való hozzáféréshez;
• az AS hardverét és szoftverét használó és szervizelõ összes alkalmazott világos ismerete és szigorú betartása az információbiztonsági kérdésekre vonatkozó szervezeti és adminisztratív dokumentumok követelményeivel;
• az automatizált információfeldolgozási folyamatokban funkcionális feladatai keretében részt vevő és az AS-erőforrásokhoz hozzáféréssel rendelkező alkalmazottak személyes felelőssége a tetteikért;
• technológiai folyamatok végrehajtása információfeldolgozáshoz a szoftverek, hardverek és adatok védelmét szolgáló szervezeti és technikai intézkedések komplexeinek felhasználásával;
• hatékony intézkedések megtétele a műszaki berendezések fizikai épségének biztosítására és az atomerőmű-elemek szükséges biztonsági szintjének folyamatos fenntartására;
• műszaki alkalmazása ( szoftver és hardver) a rendszererőforrások védelmének eszközei és használatuk folyamatos adminisztratív támogatása;
• az információáramlás elhatárolása és a korlátozott terjesztésű információk nem védett kommunikációs csatornákon történő továbbításának tilalma;
• hatékony ellenőrzés a munkavállalók információbiztonsági követelmények betartása felett;
• állandó megfigyelés hálózati erőforrások, a sebezhetőségek azonosítása, időben történő észlelése és semlegesítése a külső és belső fenyegetések számítógépes hálózatok biztonsága;
• a szervezet érdekeinek jogi védelme az információbiztonság területén a jogellenes cselekményekkel szemben.
• a megtett intézkedések és az alkalmazott információbiztonsági eszközök hatékonyságának és elégségességének folyamatos elemzése, javaslatok kidolgozása és megvalósítása az AS információbiztonsági rendszerének fejlesztésére.

6. Információbiztonsági fenyegetések

6.1. Információbiztonsági fenyegetések és forrásaik

Az AS-ben feldolgozott információk biztonságát fenyegető legveszélyesebb fenyegetések a következők:

• a titoktartás megsértése ( nyilvánosságra hozatal, kiszivárgás) hivatalos vagy üzleti titok, beleértve a személyes adatokat;
• meghibásodás ( a munka szervezetlensége) AS, információk blokkolása, technológiai folyamatok megzavarása, a problémák időben történő megoldásának elmulasztása;
• integritás megsértése ( torzítás, helyettesítés, megsemmisítés) információk, szoftverek és egyéb AS-források.

Az AS-információk biztonságát fenyegető fő veszélyforrások a következők:

• természeti és ember okozta nemkívánatos események;
• terroristák, bűnöző elemek;
• számítógépes támadók, akik célzott pusztító hatást hajtanak végre, beleértve a számítógépes vírusok és más típusú rosszindulatú kódok és támadások használatát;
• szoftverek és hardverek, fogyóeszközök, szolgáltatások stb. szállítói;
• berendezések telepítését, üzembe helyezését és javítását végző vállalkozók;
• a felügyeleti és szabályozó hatóságok követelményeinek, a hatályos jogszabályoknak való be nem tartása;
• hibák, meghibásodások, a szoftver és a hardver megsemmisülése/károsodása;
• azon alkalmazottak, akik jogi résztvevői az AS-ben zajló folyamatoknak, és a kapott hatáskörökön kívül járnak el;
• olyan alkalmazottak, akik jogi résztvevői az AS-ben zajló folyamatoknak, és a kapott hatáskörök keretein belül járnak el.

6.2. Az információbiztonság megsértéséhez vezető nem szándékos cselekvések és azok megelőzésére irányuló intézkedések

Az automatizált rendszerben az információfeldolgozási folyamatokhoz közvetlenül hozzáférő szervezeti alkalmazottak potenciális forrásai a nem szándékos véletlen cselekvéseknek, amelyek az információbiztonság megsértéséhez vezethetnek.

Az információbiztonság megsértéséhez vezető nem szándékos főbb tevékenységek (az emberek által véletlenül, tudatlanságból, figyelmetlenségből vagy hanyagságból, kíváncsiságból, de rosszindulatú szándék nélkül elkövetett cselekedetek). 1. táblázat.

1. táblázat

6.3. Az információbiztonságot sértő szándékos cselekvések és azok megelőzésére irányuló intézkedések

Alapvető szándékos cselekvések ( önző célból, kényszerből, bosszúvágyból stb.), amelyek az üzem információbiztonságának megsértéséhez vezetnek, és intézkedéseket tesznek ezek megelőzésére és az esetleges károk csökkentésére 2. táblázat.

2. táblázat

6.4. Információszivárgás technikai csatornákon keresztül

Az atomerőmű műszaki berendezéseinek üzemeltetése során az információ szivárgásának vagy az információ integritásának megsértésének, a műszaki berendezések teljesítményének megzavarásának a következő csatornái lehetségesek:

• informatív jel oldalsó elektromágneses sugárzása műszaki eszközökről és információs átviteli vonalakról;
• elektronikus számítástechnikai berendezéssel feldolgozott tájékoztató jel irányítása az irodai ellenőrzött területen túlnyúló vezetékekre, vezetékekre, pl. a földelési és tápellátási áramkörökön;
• különféle elektronikus eszközök információ elfogása ( incl. "könyvjelzők"), kommunikációs csatornákhoz vagy információfeldolgozás technikai eszközeihez csatlakozik;
• információ megjelenítése a képernyőkről és egyéb, optikai eszközökkel történő megjelenítési eszközökről;
• hardverre vagy szoftverre gyakorolt ​​hatás az integritás megsértése érdekében ( pusztítás, torzítás) az információ, a technikai eszközök működőképessége, az információbiztonság eszközei és az információcsere időszerűsége, beleértve az elektromágneseseket is, speciálisan megvalósított elektronikus és szoftvereszközökön keresztül ( "könyvjelzők").

Figyelembe véve a feldolgozás sajátosságait és az információk biztonságának biztosítását, a bizalmas információk kiszivárgásának veszélyét ( beleértve a személyes adatokat is) technikai csatornákon keresztül irrelevánsak a szervezet számára.

6.5. Egy valószínű szabálysértő informális modellje

Szabálysértő az a személy, aki tiltott műveleteket kísérelt meg ( akciók) tévedésből, tudatlanságból vagy tudatosan ártó szándékkal ( önző érdekekből) vagy anélkül ( játék vagy öröm kedvéért, önigazolás céljából stb.) és ehhez különféle lehetőségeket, módszereket és eszközöket használva.

Az atomerőmű védelmi rendszerét a rendszerbe behatoló következő lehetséges típusokra vonatkozó feltételezések alapján kell felépíteni ( figyelembe véve a személyek kategóriáját, motivációját, képzettségét, speciális eszközök elérhetőségét stb.):

• « Tapasztalatlan (gondatlan) felhasználó„- olyan alkalmazott, aki megkísérelhet tiltott műveleteket végezni, jogosítványán túlmenően hozzáférhet a védett AS erőforrásokhoz, helytelen adatokat adhat meg stb. tévedésből, hozzá nem értésből vagy hanyagságból származó cselekmények rosszindulatú szándék nélkül, és csak rendszeres ( elérhető számára) hardver és szoftver.
• « Amatőr"- egy alkalmazott, aki önző célok vagy rosszindulatú szándék nélkül, önigazolásból vagy önbizalomból próbál legyőzni a védelmi rendszert" sportérdek" A biztonsági rendszer leküzdéséhez és a tiltott műveletek végrehajtásához különféle módszereket használhat az erőforrásokhoz való további hozzáférési jogok megszerzésére ( nevek, jelszavak stb. más felhasználók), hiányosságok a védelmi rendszer kiépítésében és a rendelkezésére álló személyzetben ( munkaállomásra telepítve) programok ( jogosulatlan cselekmények azáltal, hogy túllépik a felhatalmazást az engedélyezett eszközök használatára). Ezenkívül megpróbálhat további nem szabványos eszközöket és technológiai szoftvereket használni ( hibakeresők, segédprogramok), önállóan fejlesztett programok vagy szabványos kiegészítők technikai eszközöket.
• « Csaló"- az a munkavállaló, aki illegális technológiai műveletek végrehajtását, hamis adatok megadását és hasonló cselekményeket kísérelhet meg személyes haszonszerzés céljából, kényszerből vagy rosszindulatú szándékból, de csak rendszeres ( telepítve van a munkaállomásra, és elérhető a számára) hardver és szoftver a saját vagy egy másik alkalmazott nevében ( nevének és jelszavának ismeretében, rövid távú munkahelyi távollétének igénybevételével stb.).
• « Külső behatoló (támadó)„- önző érdekből, bosszúból vagy kíváncsiságból céltudatosan cselekvő kívülálló vagy volt alkalmazott, esetleg más személlyel összejátszva. Használhatja az információbiztonság megsértésére szolgáló módszerek teljes skáláját, a nyilvános hálózatokra jellemző biztonsági rendszerek feltörésének módszereit és eszközeit ( különösen az IP-alapú hálózatok), beleértve a szoftverkönyvjelzők távoli megvalósítását, valamint speciális műszeres és technológiai programok használatát, a csereprotokollok és a szervezet hálózati csomópontjainak védelmi rendszerének meglévő gyengeségei felhasználásával.
• « Belső támadó„- a rendszer felhasználójaként regisztrált alkalmazott, aki önző érdekből vagy bosszúból céltudatosan cselekszik, esetleg olyan személyekkel összejátszva, akik nem a szervezet alkalmazottai. A biztonsági rendszer feltörésének módszereinek és eszközeinek teljes skáláját tudja használni, beleértve a hozzáférési adatok megszerzésének titkos módszereit, a passzív eszközöket (a rendszerelemek módosítása nélküli lehallgatási technikai eszközök), az aktív befolyásolás módszereit és eszközeit ( technikai eszközök módosítása, adatátviteli csatornákhoz való kapcsolódás, szoftveres könyvjelzők megvalósítása és speciális műszeres és technológiai programok használata), valamint a belső és a nyilvános hálózatokból származó hatások kombinációi.

Belső elkövető a következő személyi kategóriákba tartozó személy lehet:

• az AS regisztrált végfelhasználói ( osztályok és kirendeltségek alkalmazottai);
• az alkalmazottak nem dolgozhatnak atomerőművekkel;
• az atomerőmű műszaki berendezéseit kiszolgáló személyzet ( mérnökök, technikusok);
• szoftverfejlesztési és -karbantartási osztályok alkalmazottai ( alkalmazás- és rendszerprogramozók);
• a szervezet épületeit és helyiségeit kiszolgáló műszaki személyzet ( takarítók, villanyszerelők, vízvezeték-szerelők és más olyan dolgozók, akik hozzáférhetnek azokhoz az épületekhez és helyiségekhez, ahol az AS alkatrészek találhatók);
• különböző szintű vezetők.

• elbocsátott dolgozók;
• a szervezet életének biztosításával kapcsolatos kérdésekben együttműködő szervezetek képviselői ( energia, víz, hőellátás stb.);
• berendezéseket, szoftvereket, szolgáltatásokat stb. szállító cégek képviselői;
• bűnszervezetek és versengő kereskedelmi struktúrák tagjai vagy a nevükben eljáró személyek;
• olyan személyek, akik véletlenül vagy szándékosan külső hálózatról léptek be a hálózatba ( "hackerek").

Az alkalmazottak közül a felhasználóknak és a kiszolgáló személyzetnek van a legnagyobb lehetősége a jogosulatlan cselekmények végrehajtására, mivel rendelkeznek bizonyos erőforrásokhoz való hozzáférési jogkörrel és jó információfeldolgozási technológiai ismeretekkel. A jogsértők ezen csoportjának tettei közvetlenül összefüggenek a hatályos szabályok és előírások megsértésével. A szabálysértőknek ez a csoportja különös veszélyt jelent a bűnözői szervezetekkel való interakció során.

A kitelepített munkavállalók a munkatechnológiai ismereteiket, a védőintézkedéseket és a hozzáférési jogokat felhasználhatják céljaik elérése érdekében.

A bûnszervezetek jelentik a külsõ fenyegetés legagresszívebb forrását. Terveik megvalósítása érdekében ezek a struktúrák nyíltan megsérthetik a törvényt, és minden rendelkezésükre álló erővel és eszközzel bevonhatják tevékenységükbe a szervezet alkalmazottait.

A hackerek rendelkeznek a legmagasabb műszaki képesítéssel és ismerik az AS-ben használt szoftver gyengeségeit. A legnagyobb veszélyt a dolgozó vagy elbocsátott alkalmazottakkal és bűnszervezetekkel való érintkezéskor jelentik.

Az eszközök, információs rendszerek fejlesztésével, szállításával és javításával foglalkozó szervezetek külső veszélyt jelentenek, mivel esetenként közvetlen hozzáféréssel rendelkeznek információforrásokhoz. A bûnszervezetek ezeket a szervezeteket arra használhatják, hogy tagjaikat ideiglenesen alkalmazzák a védett információkhoz való hozzáférés érdekében.

7. Technikai politika az információbiztonság területén

7.1. A műszaki politika alapvető rendelkezései

Az információbiztonság területén a technikai politika megvalósítása azon a feltevésen alapuljon, hogy nem csak egyetlen külön eszközzel nem lehet a szükséges információbiztonsági szintet biztosítani ( eseményeket), hanem egyszerű kombinációjuk segítségével is. Ezeket szisztematikusan össze kell hangolni egymással ( komplex alkalmazás), és az egyes fejlesztés alatt álló AS elemeket egy egységes információs rendszer részének kell tekinteni biztonságos kialakításban, amikor optimális arány műszaki ( hardver, szoftver) alapok és szervezési intézkedések.

Az AS-információk biztonságát biztosító technikai politika megvalósításának fő irányai az információs erőforrások védelmének biztosítása a lopás, elvesztés, kiszivárgás, megsemmisülés, torzulás vagy hamisítás ellen illetéktelen hozzáférés és különleges behatások miatt.

Az információbiztonságot biztosító műszaki politika meghatározott területei keretében a következőket végzik:

• engedélyezési rendszer bevezetése az előadóművészek befogadására felhasználók, szerviz személyzet) bizalmas jellegű művekre, dokumentumokra és információkra;
• előadóművészek és illetéktelen személyek belépésének korlátozása olyan épületekbe és helyiségekbe, ahol bizalmas munkát végeznek, és amelyeken információs és kommunikációs eszközök találhatók, tárolva, továbbítva) bizalmas jellegű információk közvetlenül az információs és kommunikációs eszközökhöz;
• a felhasználók és a kiszolgáló személyzet hozzáférésének megkülönböztetése az információs erőforrásokhoz, az információ feldolgozására és védelmére szolgáló szoftverekhez az AS-ben szereplő különböző szintű és célú alrendszerekben;
• dokumentumok, információs tömbök elszámolása, a felhasználók és a kiszolgáló személyzet tevékenységeinek nyilvántartása, a jogosulatlan hozzáférés és a felhasználók, a kiszolgáló személyzet és az illetéktelen személyek tevékenységének ellenőrzése;
• vírusprogramok és szoftverkönyvjelzők automatizált alrendszerekbe való bevezetésének megakadályozása;
• Számítógépes technológia és kommunikáció segítségével feldolgozott és továbbított információk kriptográfiai védelme;
• számítógépes adathordozók, kriptográfiai kulcsok megbízható tárolása ( kulcsfontosságú információk) és forgalmuk, ide nem értve a lopást, a helyettesítést és a megsemmisítést;
• a technikai eszközök szükséges redundanciája és a tömbök és adathordozók megkettőzése;
• az automatizált alrendszerek különböző elemei által keltett hamis kibocsátások és interferenciák szintjének és információtartalmának csökkentése;
• az ellenőrzött területen túlnyúló információs objektumok tápellátásának, földelésének és egyéb áramköreinek elektromos leválasztása;
• optikai és lézeres megfigyelőrendszerek ellensúlyozása.

7.2. Információbiztonsági rendszer kialakítása

Figyelembe véve az üzem biztonságát fenyegető azonosított veszélyeket, az információbiztonsági rendszert olyan módszerek és intézkedések összességeként kell kialakítani, amelyek megvédik az erőműben és az azt támogató infrastruktúrában keringő információkat a véletlen vagy szándékos természetes vagy mesterséges hatásoktól, kárt okoz az információ tulajdonosainak vagy felhasználóinak.

Az információbiztonsági rendszer létrehozására irányuló intézkedések sorozata a következőket tartalmazza:

• az információbiztonság szervezeti és jogi rendszerének kialakítása az AS-ben ( szabályozó dokumentumok, személyzettel való munka, irodai munka);
• szervezeti és technikai intézkedések végrehajtása a korlátozott terjesztésű információk műszaki csatornákon keresztül történő kiszivárgás elleni védelmére;
• szervezeti, szoftveres és technikai intézkedések a jogosulatlan tevékenységek megelőzésére ( hozzáférés) az AS információforrásokhoz;
• intézkedéscsomag a korlátozottan terjedő információforrások véletlen vagy szándékos hatások utáni védelmét szolgáló eszközök és rendszerek működésének ellenőrzésére.

8. Az információbiztonságot biztosító intézkedések, módszerek és eszközök

8.1. Szervezeti intézkedések

Szervezeti intézkedések- ezek olyan szervezeti jellegű intézkedések, amelyek az atomerőművek működését, erőforrásaik felhasználását, a karbantartó személyzet tevékenységét, valamint a felhasználók rendszerrel való interakciójának rendjét szabályozzák oly módon, hogy az a legnehezebb ill. kiküszöböli a biztonsági fenyegetések megvalósításának lehetőségét, és ezek megvalósulása esetén csökkenti a kár mértékét.

8.1.1. Biztonságpolitika kialakítása

A szervezeti intézkedések fő célja az információbiztonsági szemléletet tükröző információbiztonsági politika kialakítása, ennek megvalósítása a szükséges erőforrások allokálásával és a helyzet figyelemmel kísérésével.

Gyakorlati szempontból a nukleáris biztonságpolitikát célszerű két szintre osztani. A legfelső szintbe a szervezet egészének tevékenységét érintő döntések tartoznak. Ilyen megoldások például a következők:

• kialakítása vagy átdolgozása átfogó program az információbiztonság biztosítása, a végrehajtásért felelősök azonosítása;
• célok megfogalmazása, feladatok meghatározása, tevékenységi területek meghatározása az információbiztonság területén;
• döntések meghozatala a biztonsági program végrehajtásával kapcsolatos kérdésekben, amelyeket a szervezet egészének szintjén mérlegelnek;
• szabályozási ( jogi) biztonsági kérdések adatbázisa stb.

Az alsóbb szintű szabályzat meghatározza a célok eléréséhez és az információbiztonsági problémák megoldásához szükséges eljárásokat és szabályokat, és ezeket a szabályokat részletezi (szabályozza):

• mi az információbiztonsági politika hatálya;
• mi a szerepe és felelőssége az információbiztonsági politika végrehajtásáért felelős tisztviselőknek;
• aki hozzáférési joggal rendelkezik a korlátozott információkhoz;
• kik és milyen feltételek mellett olvashatnak és módosíthatnak információkat stb.

Az alacsonyabb szintű politikának:

• rendelkezzen az információs kapcsolatokra vonatkozó szabályozásról, amely kizárja az önkényes, monopolisztikus vagy jogosulatlan fellépés lehetőségét a bizalmas információforrásokkal kapcsolatban;
• meghatározza a koalíciós és hierarchikus elveket és módszereket a titkok megosztására és a korlátozott információkhoz való hozzáférés korlátozására;
• a kriptográfiai védelemhez, a jogosulatlan hozzáférés megakadályozásához, a hitelesítéshez, az engedélyezéshez, az azonosításhoz és más biztonsági mechanizmusokhoz olyan szoftvereket és hardvereket válasszon, amelyek garanciát nyújtanak az információs kapcsolatok alanyai jogainak és kötelezettségeinek érvényesítésére.

8.1.2. A műszaki eszközökhöz való hozzáférés szabályozása

A Bank védett munkaállomásainak és szervereinek üzemeltetését megbízható automata zárakkal, riasztórendszerrel felszerelt, állandó őrzés vagy megfigyelés alatt álló helyiségekben kell végezni, kizárva az illetéktelen személyek általi ellenőrizetlen belépés lehetőségét és a védett erőforrások testi épségét. helyiségében található ( AWS, dokumentumok, hozzáférési adatok stb.). Az ilyen munkaállomások műszaki eszközeinek elhelyezése és felszerelése kizárja a bemenet vizuális megtekintésének lehetőségét ( kimenet) hozzá nem kapcsolódó személyektől származó információk. A helyiségek takarítását a beépített berendezésekkel annak a felelős személynek a jelenlétében kell végezni, akihez ezeket a műszaki eszközöket hozzárendelték, vagy az egység szolgálatát teljesítő személy jelenlétében, olyan intézkedésekkel, amelyek megakadályozzák illetéktelen személyek hozzáférését a védett területre. erőforrás.

A korlátozott hozzáférésű információk feldolgozása során csak az ezen információkkal való foglalkozásra jogosult személyzet tartózkodhat a helyiségben.

A munkanap végén a védett automata munkaállomásokkal felszerelt helyiségeket őrzés alá kell helyezni.

A hivatalos dokumentumok és a védett információkat tartalmazó számítógépes adathordozók tárolására az alkalmazottak fémszekrényeket, valamint iratmegsemmisítési eszközöket kapnak.

A bizalmas információk feldolgozására vagy tárolására használt technikai eszközöket lepecsételni kell.

8.1.3. A munkavállalók információforrásokhoz való hozzáférésének szabályozása

Az engedélyezési hozzáférési rendszer keretein belül meghatározásra kerül: ki, kinek, milyen tájékoztatást, milyen típusú hozzáférésre és milyen feltételekkel nyújthat; beléptető rendszer, amely magában foglalja az AS összes felhasználója számára meghatározott műveletekhez rendelkezésre álló információk és szoftver erőforrások meghatározását ( olvasni, írni, módosítani, törölni, végrehajtani) meghatározott szoftver- és hardver-hozzáférési eszközök használatával.

Szigorúan szabályozni kell a dolgozók atomerőművekkel való munkavégzésének engedélyezését és az erőforrásokhoz való hozzáférést. Az AS-alrendszerek felhasználóinak összetételében és jogkörében bármilyen változtatást a megállapított eljárásnak megfelelően kell végrehajtani.

Az AS fő információfelhasználói a szervezet strukturális részlegeinek alkalmazottai. Az egyes felhasználók jogosultsági szintjét egyénileg határozzák meg, a következő követelmények betartásával:

• a nyílt és bizalmas információk lehetőség szerint különböző szervereken találhatók;
• minden alkalmazott csak a számára előírt jogokat élvezi azokkal az információkkal kapcsolatban, amelyek birtokában munkaköri feladataival összhangban dolgoznia kell;
• a főnöknek joga van megtekinteni beosztottjai információit;
• szabály szerint kell végrehajtani a legkritikusabb technológiai műveleteket "két kéz"— a bevitt adatok helyességét egy másik, adatbeviteli joggal nem rendelkező tisztviselő igazolja.

Az üzemben dolgozni felvett valamennyi munkavállaló és az üzem karbantartó személyzet személyes felelősséggel tartozik az automatizált információfeldolgozásra megállapított eljárás, valamint a rendelkezésükre álló védett rendszererőforrások tárolására, felhasználására és átadására vonatkozó szabályok megsértéséért. Felvételkor minden alkalmazottnak alá kell írnia a bizalmas információk megőrzésére vonatkozó követelmények betartására és a megsértésükért való felelősségre vonatkozó kötelezettségvállalást, valamint a védett információkkal való munkavégzésre vonatkozó szabályokat az AS-ben.

Az AS alrendszerekben a védett információk feldolgozását a jóváhagyott technológiai utasításoknak megfelelően kell végrehajtani ( parancsokat) ezekre az alrendszerekre.

A munkaállomásokkal védett felhasználók számára ki kell dolgozni a szükséges technológiai utasításokat, beleértve az információbiztonság biztosítására vonatkozó követelményeket.

8.1.4. Az adatbázisok karbantartásának és az információs források módosításának folyamatainak szabályozása

Szigorúan szabályozni kell az adatbázisok adatbázis-karbantartásának minden műveletét az AS-ben, valamint az alkalmazottak hozzáférését az adatbázisokkal való munkavégzéshez. Az AS-adatbázisok felhasználóinak összetételében és jogkörében bekövetkezett bármilyen változtatást a megállapított eljárásnak megfelelően kell végrehajtani.

A nevek terjesztése, jelszavak generálása, az adatbázisokhoz való hozzáférés korlátozására vonatkozó szabályok fenntartása az Informatikai Osztály munkatársainak feladata. Ebben az esetben a DBMS és az operációs rendszerek védelmére szabványos és kiegészítő eszközök is használhatók.

8.1.5. Karbantartási folyamatok szabályozása, hardver és szoftver erőforrások módosítása

A védendő rendszererőforrások ( feladatok, programok, munkaállomások) szigorú elszámolás alá tartoznak ( megfelelő űrlapok vagy speciális adatbázisok használata alapján).

Azon automatizált munkaállomások hardver- és szoftverkonfigurációjának, amelyeken védett információkat dolgoznak fel, vagy amelyekről lehetőség van a védett erőforrásokhoz való hozzáférésre, meg kell felelnie a munkaállomás felhasználóira ruházott funkcionális felelősségi körnek. Minden nem használt (extra) bemeneti/kimeneti eszköz ( COM, USB, LPT portok, hajlékonylemez-meghajtók, CD-k és egyéb adathordozók) ilyen munkaállomásokon le kell tiltani (törölni), a munkaállomás lemezeiről is törölni kell a szoftvereszközöket és a munkához szükségtelen adatokat.

A karbantartás, karbantartás és a védelem megszervezésének egyszerűsítése érdekében az automatizált munkahelyeket szoftverrel kell ellátni és egységesen konfigurálni ( megállapított szabályok szerint).

Az új munkaállomások üzembe helyezését, valamint a hardver és szoftver konfigurációjában, a meglévő munkaállomásokon a szervezet automatizált rendszereiben történő minden változtatást csak a megállapított módon szabad végrehajtani.

Minden szoftver ( a szervezet szakemberei által kifejlesztett, gyártó cégektől kapott vagy vásárolt) a megállapított eljárásnak megfelelően tesztelni kell, és át kell adni a szervezet programtárába. Az AS alrendszerekben csak a letétkezelőtől az előírt módon kapott szoftvert szabad telepíteni és használni. A szoftvertárban nem szereplő szoftverek használatát az AS-ben meg kell tiltani.

A szoftverfejlesztést, a kifejlesztett és vásárolt szoftverek tesztelését, a szoftverek üzembe helyezését a megállapított eljárási rend szerint kell elvégezni.

8.1.6. Felhasználói felkészítés és oktatás

A rendszerhez való hozzáférés biztosítása előtt annak felhasználóinak, valamint a vezető és karbantartó személyzetnek meg kell ismernie a bizalmas információk listáját és jogosultsági szintjét, valamint a rendszer követelményeit és eljárását meghatározó szervezeti, szabályozási, műszaki és működési dokumentációt. az ilyen információk feldolgozását.

Az információk védelme a fenti területek mindegyikén csak akkor lehetséges, ha a felhasználók kidolgoztak egy bizonyos tudományágat, pl. szabványok, amelyek mindenki számára kötelezőek, aki az üzemben dolgozik. Ilyen normák közé tartozik minden olyan szándékos vagy nem szándékos cselekvés tilalma, amely megzavarja a rendszer normál működését, többlet erőforrásköltséget okoz, sérti a tárolt és feldolgozott információk integritását, valamint sérti a jogos felhasználók érdekeit.

Minden munkavállalónak, aki munkavégzése során meghatározott atomerőmű-alrendszert használ, ismernie kell az atomerőmű védelmére vonatkozó szervezeti és adminisztratív dokumentumokat, ismernie kell és szigorúan be kell tartania a technológiai utasításokat és az információbiztonság biztosítására vonatkozó általános kötelezettségeket. Kommunikációs követelmények meghatározott dokumentumokat védett adatok feldolgozására jogosult személyek részére az osztályvezetőknek aláírás ellenében kell elvégezniük.

8.1.7. Felelősség az információbiztonsági követelmények megsértéséért

Az információbiztonsági követelményeknek egy szervezet alkalmazottai általi minden súlyos megsértése esetén belső vizsgálatot kell lefolytatni. A felelősökkel szemben megfelelő intézkedéseket kell hozni. A személyi felelősség mértékét az információ biztonságos automatizált feldolgozása érdekében megállapított szabályok megsértésével elkövetett cselekményekért az okozott kár, a rosszindulatú szándék és egyéb tényezők alapján kell meghatározni.

A felhasználók cselekedeteikért való személyes felelőssége elvének megvalósításához szükséges:

• a felhasználók és az általuk kezdeményezett folyamatok egyedi azonosítása, azaz. mögéjük azonosító létrehozása, amely alapján a hozzáférést a hozzáférés ésszerűsége elvének megfelelően megkülönböztetik;
• felhasználói hitelesítés ( hitelesítés) jelszavak, különféle fizikai alapú kulcsok stb. alapján;
• regisztráció ( fakitermelés) az információs rendszer erőforrásaihoz való hozzáférést szabályozó mechanizmusok működése, feltüntetve a dátumot és időpontot, az igénylő és a kért erőforrások azonosítóit, az interakció típusát és eredményét;
• válasz a jogosulatlan hozzáférési kísérletekre ( riasztás, blokkolás stb.).

8.2. Műszaki védelmi eszközök

műszaki ( hardver és szoftver) védőfelszerelések - különböző elektronikai eszközök ill speciális programok, amely az atomerőműben található és (önállóan vagy más eszközökkel kombinálva) védelmi funkciókat lát el ( a felhasználók azonosítása és hitelesítése, az erőforrásokhoz való hozzáférés korlátozása, eseményregisztráció, információk kriptográfiai védelme stb.).

Figyelembe véve az automatizált rendszer információbiztonságának biztosítására vonatkozó valamennyi követelményt és elvet a védelem minden területén, a következő eszközöket kell beépíteni a védelmi rendszerbe:

• a felhasználók és az AS-elemek hitelesítésének eszközei ( terminálok, feladatok, adatbázis elemek stb.), amely megfelel az információk és a feldolgozott adatok titkosságának fokának;
• az adatokhoz való hozzáférés korlátozásának eszközei;
• Adatsorokban és adatbázisokban lévő információk kriptográfiai védelmének eszközei;
• a kezelés nyilvántartásba vételére és a védett információk felhasználásának nyomon követésére szolgáló eszközök;
• az észlelt jogosulatlan hozzáférésre vagy megkísérelt jogosulatlan hozzáférésre való reagálás eszközei;
• a hamis kibocsátások és interferencia szintjének és információtartalmának csökkentésére szolgáló eszközök;
• az optikai megfigyelő berendezések elleni védelmi eszközök;
• vírusok és rosszindulatú programok elleni védelem;
• mind az AS-elemek, mind pedig azon helyiségek szerkezeti elemeinek elektromos leválasztásának eszközei, ahol a berendezés található.

Az illetéktelen hozzáférés elleni védelem technikai eszközei az alábbi fő feladatok megoldásáért felelősek:

• a felhasználók azonosítása és hitelesítése nevek és/vagy speciális hardver segítségével ( Érintse meg a Memória, Intelligens kártya stb.);
• a munkaállomások fizikai eszközeihez való felhasználói hozzáférés szabályozása ( lemezek, I/O portok);
• szelektív (diszkrecionális) hozzáférés-szabályozás logikai meghajtók, könyvtárak és fájlok;
• a védett adatokhoz való hozzáférés mérvadó (kötelező) megkülönböztetése a munkaállomáson és azon fájlszerver;
• a futtatható programok zárt szoftverkörnyezetének létrehozása, mind a helyi, mind a hálózati meghajtókon;
• számítógépes vírusok és rosszindulatú programok behatolása elleni védelem;
• a védelmi rendszermodulok, rendszerlemezterületek és tetszőleges fájllisták integritásának ellenőrzése automatikus módban és rendszergazdai parancsokkal;
• felhasználói műveletek regisztrálása egy biztonságos naplóban, több szintű regisztráció jelenléte;
• a fájlszerver biztonsági rendszeréből származó adatok védelme az összes felhasználó hozzáférésétől, beleértve a hálózati rendszergazdát is;
• hozzáférés-vezérlési beállítások központi kezelése a hálózati munkaállomásokon;
• a munkaállomásokon előforduló összes NSD esemény regisztrálása;
• a hálózati felhasználók munkája feletti operatív ellenőrzés, a munkaállomások működési módjának megváltoztatása és a blokkolási lehetőség ha szükséges) bármely hálózati állomást.

A technikai védelmi eszközök eredményes alkalmazása feltételezi, hogy az alábbiakban felsorolt ​​követelmények teljesítését szervezeti intézkedések és az alkalmazott fizikai védelmi eszközök biztosítják:

• az összes AS komponens fizikai integritása biztosított;
• minden alkalmazott ( rendszer felhasználója) egyedi rendszernévvel és a rendszererőforrásokhoz való hozzáféréshez szükséges funkcionális feladatai ellátásához szükséges minimális jogosultságokkal rendelkezik;
• műszeres és technológiai programok használata munkaállomásokon ( segédprogramokat, hibakeresőket stb.), amely lehetővé teszi a biztonsági intézkedések feltörését vagy megkerülését, korlátozott és szigorúan szabályozott;
• a védett rendszerben nincsenek programozó felhasználók, a programok fejlesztése és hibakeresése a védett rendszeren kívül történik;
• a hardver és a szoftver konfigurációjának minden módosítása szigorúan meghatározott módon történik;
• hálózati berendezések ( hubok, kapcsolók, útválasztók stb.) kívülállók számára elérhetetlen helyen található ( speciális helyiségek, szekrények stb.);
• Az információbiztonsági szolgáltatás folyamatos kezelési és adminisztrációs támogatást nyújt az információbiztonsági eszközök működéséhez.

8.2.1. Felhasználó azonosítási és hitelesítési eszközök

Annak megakadályozása érdekében, hogy illetéktelen személyek hozzáférjenek az AS-hez, biztosítani kell, hogy a rendszer minden jogos felhasználót (vagy a felhasználók korlátozott csoportjait) felismerjen. Ehhez a rendszerben ( védett helyen) minden egyes felhasználóról számos olyan jellemzőt kell tárolni, amelyek alapján ez a felhasználó azonosítható. A jövőben a rendszerbe való bejelentkezéskor, illetve adott esetben a rendszerben bizonyos műveletek elvégzésekor a felhasználó köteles azonosítani magát, pl. tüntesse fel a rendszerben a hozzá rendelt azonosítót. Ezen kívül az azonosításhoz különféle típusú eszközök használhatók: mágneskártyák, kulcsbetétek, hajlékonylemezek stb.

Hitelesítés ( hitelesítés) a felhasználóknak jelszavak (titkos szavak) vagy speciális hitelesítés-ellenőrzési eszközök használatán kell alapulniuk egyedi jellemzők felhasználók (paraméterei).

8.2.2. Az automatizált rendszer erőforrásaihoz való hozzáférés korlátozásának eszközei

A felhasználó felismerése után a rendszernek engedélyeznie kell a felhasználót, vagyis meg kell határoznia, hogy milyen jogosultságokat kap a felhasználó, pl. milyen adatokat és hogyan használhat, milyen programokat tud végrehajtani, mikor, mennyi ideig és milyen terminálokról tud működni, milyen rendszererőforrásokat használhat stb. A felhasználói jogosultságot a következő hozzáférés-felügyeleti mechanizmusokkal kell végrehajtani:

• attribútum-sémák, engedélylisták stb. használatán alapuló szelektív hozzáférés-szabályozási mechanizmusok;
• az erőforrás-érzékenységi címkéken és a felhasználói engedélyszinteken alapuló hiteles hozzáférés-ellenőrzési mechanizmusok;
• mechanizmusok a megbízható szoftverek zárt környezetének biztosítására ( az egyes felhasználók számára futtatható programok egyedi listája), amelyet olyan mechanizmusok támogatnak, amelyek azonosítják és hitelesítik a felhasználókat, amikor bejelentkeznek a rendszerbe.

Az egyes műszaki védelmi eszközök felelősségi és feladatai az eszközök dokumentációjában leírt képességeik és működési jellemzőik alapján kerülnek meghatározásra.

A hozzáférés-szabályozás technikai eszközeinek kell lenniük szerves része egységes rendszer hozzáférés szabályozás:

• ellenőrzött területre;
• elkülöníteni a szobákat;
• AS-elemekhez és információbiztonsági rendszerelemekhez ( fizikai hozzáférés);
• AS erőforrásokhoz ( program-matematikai hozzáférés);
• információs tárhelyekre ( adathordozók, kötetek, fájlok, adatkészletek, archívumok, referenciák, iratok stb.);
• aktív erőforrásokhoz ( pályázati programok, feladatok, igénylőlapok stb.);
• az operációs rendszerhez, rendszerprogramokés védelmi programok stb.

8.2.3. Eszközök a szoftverek és információs erőforrások integritásának biztosítására és felügyeletére

A programok, a feldolgozott információk és a biztonsági eszközök integritásának felügyeletét a biztosított feldolgozási technológia által meghatározott szoftverkörnyezet megváltoztathatatlansága, valamint az információk jogosulatlan javítása elleni védelem érdekében biztosítani kell:

• ellenőrző összegek kiszámításának eszközei;
• eszközök elektronikus aláírás;
• a kritikus erőforrások referenciapéldányaival való összehasonlításának eszközei ( és az integritás megsértése esetén a helyreállítás);
• beléptetési eszközök ( módosítási vagy törlési joggal történő hozzáférés tiltása).

Az információk és programok jogosulatlan megsemmisítéstől vagy torzítástól való védelme érdekében biztosítani kell:

• rendszertáblázatok és adatok sokszorosítása;
• kétoldalas nyomtatás és tükörkép adatok a lemezeken;
• Tranzakciókövetés;
• az operációs rendszer és a felhasználói programok, valamint a felhasználói fájlok integritásának időszakos ellenőrzése;
• vírusvédelem és ellenőrzés;
• adatmentés előre meghatározott séma szerint.

8.2.4. Biztonsági eseményvezérlők

Az ellenőrzéseknek biztosítaniuk kell, hogy minden eseményt észleljenek és rögzítsenek ( felhasználói műveletek, jogosulatlan hozzáférési kísérletek stb.), ami a biztonságpolitika megsértésével járhat, és válsághelyzetekhez vezethet. A vezérlőelemeknek lehetővé kell tenniük a következőket:

• a kulcsfontosságú hálózati csomópontok és hálózatalkotó kommunikációs berendezések folyamatos monitorozása, valamint hálózati tevékenység kulcsfontosságú hálózati szegmensekben;
• a vállalati és nyilvános hálózati szolgáltatások felhasználók általi használatának nyomon követése;
• biztonsági eseménynaplók karbantartása és elemzése;
• az információbiztonságot fenyegető külső és belső fenyegetések időben történő észlelése.

A biztonsági események naplózásakor a következő információkat kell rögzíteni a rendszernaplóban:

• az esemény dátuma és ideje;
• tárgyazonosító ( felhasználó, program) a regisztrált intézkedés végrehajtása;
• akció ( ha egy hozzáférési kérelmet naplóznak, a rendszer feljegyzi a hozzáférés objektumát és típusát).

A vezérlőknek képesnek kell lenniük a következő események észlelésére és rögzítésére:

• felhasználói bejelentkezés;
• felhasználói bejelentkezés a hálózatba;
• sikertelen kísérlet a rendszerbe vagy hálózatba való bejelentkezésre ( helytelen jelszóbevitel);
• kapcsolat fájlszerverrel;
• a program elindítása;
• a program befejezése;
• olyan program elindításának kísérlete, amely nem elérhető futtatásra;
• egy hozzáférhetetlen címtárhoz való hozzáférési kísérlet;
• a felhasználó számára hozzáférhetetlen lemezről történő információ olvasására/írására irányuló kísérlet;
• egy program elindításának kísérlete olyan lemezről, amely a felhasználó számára elérhetetlen;
• a biztonsági rendszer programjai és adatai sértetlenségének megsértése stb.

Az alábbi alapvető módszereket kell támogatni a nem megfelelőség észlelt tényeire való reagáláshoz ( biztonsági rendszergazda közreműködésével lehetséges):

• a tulajdonos értesítése az adatainak való megfelelés hiányáról;
• a program törlése ( feladatokat) a további végrehajtástól;
• értesítés az adatbázis-adminisztrátornak és a biztonsági adminisztrátornak;
• a terminál letiltása ( munkaállomás), ahonnan információhoz való jogosulatlan hozzáférési kísérletek vagy jogellenes tevékenységek történtek a hálózaton;
• az elkövető kizárása a regisztrált felhasználók listájáról;
• riasztójelzést adni stb.

8.2.5. Az információvédelem kriptográfiai eszközei

Az AS információbiztonsági rendszerének egyik legfontosabb eleme a kriptográfiai módszerek és eszközök alkalmazása az információk illetéktelen hozzáféréstől való védelmére, amikor azokat kommunikációs csatornákon továbbítják és számítógépes adathordozókon tárolják.

Az AS-ben a kriptográfiai információvédelem minden eszközének egy alapvető kriptográfiai magra kell épülnie. A kriptográfiai adathordozók használatához a szervezetnek rendelkeznie kell a törvény által meghatározott engedélyekkel.

Az AS-ben használt kriptográfiai védelmi eszközök kulcsrendszerének biztosítania kell a kriptográfiai túlélést és többszintű védelmet a kulcsinformációk kompromittálása ellen, a felhasználók védelmi szintek szerinti elkülönítését, valamint az egymással és más szintű felhasználókkal való interakciójuk területeit.

A kommunikációs csatornákon történő továbbítása során az információk titkosságát és imitációs védelmét előfizetői és csatornatitkosítási eszközök használatával kell biztosítani a rendszerben. Az információ előfizetői és csatornatitkosításának kombinációjának biztosítania kell annak végpontok közötti védelmét a teljes átviteli útvonalon, meg kell védenie az információt a kapcsolóközpontok hardverének és szoftverének meghibásodása és meghibásodása miatti hibás továbbítása esetén.

Az AS-nek, amely egy elosztott információs erőforrásokkal rendelkező rendszer, az elektronikus aláírások generálására és ellenőrzésére szolgáló eszközöket is alkalmaznia kell, biztosítva az üzenetek sértetlenségét és jogilag igazolható hitelességét, valamint a felhasználók hitelesítését, az előfizetői pontokat és az időpont visszaigazolását. üzenetek küldéséről. Ebben az esetben szabványos elektronikus aláírási algoritmusokat kell alkalmazni.

8.3. Információbiztonsági rendszer menedzsment

Az információbiztonsági rendszer kezelése az AS-ben célzottan hat a biztonsági rendszer összetevőire ( szervezési, technikai, szoftveres és kriptográfiai).

Az információbiztonsági rendszer irányításának megszervezésének fő célja az információvédelem megbízhatóságának növelése annak feldolgozása, tárolása és továbbítása során.

Az információbiztonsági rendszer kezelését egy speciális irányítási alrendszer valósítja meg, amely vezérlők, műszaki, szoftver és kriptográfiai eszközök, valamint különböző szintű, egymással kölcsönhatásban álló szervezeti intézkedések és vezérlőpontok összessége.

A vezérlő alrendszer funkciói: információs, vezérlési és segédrendszer.

Az információs funkció a védelmi rendszer állapotának folyamatos nyomon követéséből, a biztonsági mutatók elfogadható értékeknek való megfelelőségének ellenőrzéséből, valamint a biztonsági kezelők azonnali tájékoztatásából áll az üzemben felmerülő helyzetekről, amelyek az információbiztonság megsértéséhez vezethetnek. A védelmi rendszer állapotának figyelésére két követelmény vonatkozik: a teljesség és a megbízhatóság. A teljesség az összes védelmi eszköz lefedettségi fokát és működési paramétereit jellemzi. A szabályozás megbízhatósága jellemzi a szabályozott paraméterek értékeinek valós értékükhöz való megfelelőségét. A vezérlő adatok feldolgozása eredményeként a védelmi rendszer állapotáról információ keletkezik, amelyet összegezve továbbít a magasabb ellenőrzési pontokhoz.

Az irányítási funkció az üzem technológiai működésének megvalósítására vonatkozó tervek megfogalmazása az adott időpontban fennálló körülmények között fennálló információbiztonsági követelmények figyelembevételével, valamint az információs sérülékenység helyzetének helyének meghatározása, ill. megakadályozza a szivárgását azáltal, hogy azonnal blokkolja az üzem azon részeit, ahol az információbiztonságot fenyegetik. Az irányítási funkciók közé tartozik a könyvelés, a tárolás és a dokumentumok kiadása és információs médiumok, jelszavak és kulcsok. Ezzel egyidejűleg jelszavak és kulcsok generálása, beléptető eszközök karbantartása, az AS szoftverkörnyezetbe beépített új szoftverek elfogadása, a szoftverkörnyezet szabványnak való megfelelőségének figyelemmel kísérése, valamint az előrehaladás nyomon követése technológiai folyamat a bizalmas információk feldolgozásával az informatikai osztály és a gazdaságbiztonsági osztály dolgozói vannak megbízva.

A vezérlő alrendszer kiegészítő funkciói közé tartozik az AS-ben végzett összes művelet védett információval történő rögzítése, jelentési dokumentumok generálása és statisztikai adatok gyűjtése az információszivárgás lehetséges csatornáinak elemzése és azonosítása céljából.

8.4. A védelmi rendszer hatékonyságának nyomon követése

Az információbiztonsági rendszer hatékonyságának nyomon követése az ahhoz való jogosulatlan hozzáférésből eredő információszivárgás időben történő azonosítása és megelőzése, valamint az információk megsemmisítésére és az információs eszközök megsemmisítésére irányuló esetleges speciális befolyások megelőzése érdekében történik.

Az információbiztonsági intézkedések hatékonyságát szervezeti, technikai és szoftveres kontrollok segítségével értékelik a megállapított követelményeknek való megfelelés érdekében.

A vezérlés bármelyik használatával elvégezhető rendszeres alapok információbiztonsági rendszerekkel, valamint speciális vezérlőeszközök és technológiai felügyelet segítségével.

8.5. A személyes adatok információbiztonságának biztosításának jellemzői

A személyes adatok minősítése a személyes adatok biztonsági tulajdonságainak elvesztése a személyes adatok alanyára gyakorolt ​​következményeinek súlyosságával összhangban történik.

• A személyes adatokról ” a személyes adatok speciális kategóriáira;
• a szövetségi törvény szerint minősített személyes adatok A személyes adatokról ” a biometrikus személyes adatokhoz;
• a személyes adatok különleges kategóriájába nem sorolható személyes adatok, biometrikus személyes adatok, nyilvánosan elérhető vagy anonimizált személyes adatok;
• a szövetségi törvény szerint minősített személyes adatok A személyes adatokról ” nyilvánosan elérhető vagy anonimizált személyes adatokra.

A személyes adatok harmadik fél részére történő továbbítását az alapon kell végrehajtani Szövetségi törvény vagy a személyes adatok alanyának hozzájárulása. Ha a szervezet a személyes adatok feldolgozását megállapodás alapján harmadik személyre bízza, a megállapodás elengedhetetlen feltétele a harmadik fél kötelezettsége, hogy gondoskodjon a személyes adatok titkosságáról és a személyes adatok biztonságáról azok kezelése során. .

A szervezetnek le kell állítania a személyes adatok feldolgozását, és meg kell semmisítenie az összegyűjtött személyes adatokat, hacsak az Orosz Föderáció jogszabályai másként nem rendelkeznek, az Orosz Föderáció jogszabályai által meghatározott határidőn belül a következő esetekben:

• a feldolgozási célok elérésekor, vagy amikor már nincs szükség ezek elérésére;
• a személyes adatok alanyának vagy a személyes adatok alanyainak jogainak védelmére felhatalmazott szerv kérésére - ha a személyes adat hiányos, elavult, megbízhatatlan, jogellenesen jutott hozzá, vagy az adatkezelés megjelölt céljához nem szükséges;
• amikor a személyes adatok alanya visszavonja személyes adatainak feldolgozásához adott hozzájárulását, ha az Orosz Föderáció jogszabályai szerint ilyen hozzájárulás szükséges;
• ha az üzemeltető számára lehetetlen a személyes adatok kezelése során elkövetett jogsértések megszüntetése.

A szervezetnek meg kell határoznia és dokumentálnia kell:

• a személyes adatok megsemmisítésére vonatkozó eljárás beleértve a személyes adatok anyagi hordozóit is);
• a személyes érintettek kérelmeinek feldolgozására vonatkozó eljárás ( vagy törvényes képviselőik) személyes adataik kezelésével kapcsolatban;
• intézkedési eljárás a Személyes Adatalanyok Jogainak Védelmére Felhatalmazott Testület vagy a személyes adatok területén ellenőrzést és felügyeletet gyakorló egyéb felügyeleti hatóságok megkeresése esetén;
• az AS személyes adatok információs rendszerként való besorolásának megközelítése ( tovább - ISPDn );
• ISPDn listája. Az ISPD listájának tartalmaznia kell az AS-t, amelynek létrehozásának és felhasználásának célja a személyes adatok feldolgozása.

Minden egyes ISPD esetében a következőket kell azonosítani és dokumentálni:

• a személyes adatok feldolgozásának célja;
• a kezelt személyes adatok mennyisége és tartalma;
• a személyes adatokkal végzett műveletek listája és azok feldolgozási módjai.

A személyes adatok mennyiségének és tartalmának, valamint a személyes adatok kezelésével kapcsolatos tevékenységek és módszerek felsorolásának meg kell felelnie az adatkezelés céljainak. Abban az esetben, ha olyan információtechnológiai folyamat végrehajtásához, amelynek megvalósítását az ISPD támogatja, bizonyos személyes adatok feldolgozására nincs szükség, ezeket a személyes adatokat törölni kell.

Az ISPD-ben a személyes adatok biztonságának biztosítására vonatkozó követelményeket általában az információ védelmét szolgáló szervezeti, technológiai, műszaki és szoftveres intézkedések, eszközök és mechanizmusok hajtják végre.

A végrehajtás megszervezése és ( vagy) a személyes adatok biztonságának biztosítására vonatkozó követelmények végrehajtását a személyes adatok biztonságának biztosításáért felelős szervezet szervezeti egysége vagy tisztségviselője (alkalmazottja), vagy szerződéses alapon szervezete - a személyes adatok biztonságának biztosításáért felelős szerződő fél végzi. olyan szervezet, amely a bizalmas információk technikai védelmében való működésre engedéllyel rendelkezik.

A szervezet ISPD-jének létrehozásának tartalmaznia kell a kidolgozást és a jóváhagyást ( nyilatkozat) a létrehozandó rendszerre vonatkozó, a műszaki leírásban előírt szervezeti, adminisztratív, tervezési és működési dokumentációt. A dokumentációnak tükröznie kell a kezelt személyes adatok biztonságának biztosításával kapcsolatos kérdéseket.

A koncepciók, műszaki specifikációk kidolgozását, tervezését, létrehozását és tesztelését, az ISPD átvételét és üzembe helyezését a személyes adatok biztonságának biztosításáért felelős szerkezeti egység vagy tisztségviselő (munkavállaló) jóváhagyásával és irányítása mellett kell elvégezni.

A szervezet ISPD-jéhez tartozó minden információs vagyont védeni kell a befolyástól rosszindulatú kód. A szervezetnek meg kell határoznia és dokumentálnia kell a személyes adatok biztonságának vírusvédelemmel történő biztosítására vonatkozó követelményeket, valamint a követelmények teljesítésének ellenőrzésére vonatkozó eljárást.

A szervezetnek rendelkeznie kell olyan beléptető rendszerrel, amely lehetővé teszi a kommunikációs portokhoz, a bemeneti/kimeneti eszközökhöz, a cserélhető számítógépes adathordozókhoz és az ISPD információk külső tárolóeszközeihez való hozzáférés szabályozását.

A szervezet üzemeltető és szolgáltató ISPD egységeinek vezetői gondoskodnak az ISPD-ben történő feldolgozás során a személyes adatok biztonságáról.

Az ISPD-ben személyes adatokat feldolgozó alkalmazottaknak az utasításoknak megfelelően kell eljárniuk ( menedzsment, szabályzat stb.), amelyek szerepelnek az ISPD-ről szóló működési dokumentációban, és megfelelnek az információbiztonsági dokumentumok követelményeinek.

A szervezet információbiztonságát biztosító ISPD követelményeit megvalósító biztonsági eszközök és biztonsági mechanizmusok adminisztrációjával kapcsolatos feladatokat utasítások határozzák meg ( parancsokat) az informatikai osztály szakemberei számára.

Az Informatikai Tanszék szakembereinek és a személyes adatok kezelésében részt vevő személyzetnek az eljárási rendjét utasításokkal kell meghatározni ( kézikönyveket), amelyeket az ISPD fejlesztője készít az ISPD működési dokumentációjának részeként.

A kapott utasítások ( kézikönyveket):

• megállapítja az információbiztonság területén a személyzet képesítésének követelményeit, valamint a védett objektumok aktuális listáját és annak frissítésére vonatkozó szabályokat;
• teljes egészében tartalmazza az aktuális ( idő szerint) a felhasználói engedélyekre vonatkozó adatok;
• információfeldolgozás-technológiára vonatkozó adatokat tartalmazzon az információbiztonsági szakember számára szükséges mértékben;
• meghatározza az eseménynaplók elemzésének eljárását és gyakoriságát ( folyóirat archívuma);
• szabályozza az egyéb tevékenységeket.

Az Információtechnológiai Osztály szakembereinek felelősségi körébe tartozó biztonsági eszközök és az információk jogosulatlan hozzáféréssel szembeni védelmét szolgáló mechanizmusok konfigurációs paramétereit az ISPD működési dokumentációja határozza meg. A beépített konfigurációs paraméterek ellenőrzésének rendjét és gyakoriságát az üzemeltetési dokumentáció határozza meg, vagy belső dokumentum szabályozza, és az ellenőrzéseket legalább évente egyszer el kell végezni.

A szervezetnek meg kell határoznia és dokumentálnia kell az ISPD technikai felszerelését és a személyes adathordozókat tároló helyiségekbe való bejutásra vonatkozó eljárást, biztosítva az illetéktelen személyek belépésének ellenőrzését és a helyiségekbe való jogosulatlan belépést akadályozó tényezők jelenlétét. A meghatározott eljárásrendet szerkezeti egységnek vagy tisztségviselőnek kell kidolgoznia ( munkavállaló), amely felelős a fizikai biztonsági rendszer biztosításáért, és amelyről egy szervezeti egység vagy tisztviselő állapodott meg ( munkavállaló), a személyes adatok biztonságának biztosításáért felelős, valamint a Gazdaságbiztonsági Főosztály.

Az ISPD felhasználói és szerviz személyzete nem végezhet jogosulatlan és ( vagy) nem regisztrált ( ellenőrizetlen) személyes adatok másolása. Ebből a célból szervezési és technikai intézkedésekkel meg kell tiltani a jogosulatlan és ( vagy) nem regisztrált ( ellenőrizetlen) személyes adatok másolása, beleértve az elidegenített ( helyettesíthető) adathordozók, információk másolására és átvitelére szolgáló mobil eszközök, kommunikációs portok és különféle interfészeket megvalósító beviteli/kimeneti eszközök ( beleértve a vezeték nélküli), mobil tárolóeszközök ( például laptopok, zsebes személyi számítógépek, okostelefonok, mobiltelefonok ), valamint fotó- és videórögzítő eszközök.

A személyes adatok biztonságának ellenőrzését információbiztonsági szakember végzi, mind szabványos információbiztonsági rendszereszközökkel, mind speciális vezérlőeszközökkel és technológiai felügyelettel.

Letöltés ZIP fájl (65475)

Ha hasznosak a dokumentumok, nyomjon egy like-ot vagy:

A gyorsan fejlődő számítógépes információs technológiák jelentős változásokat vezetnek be életünkben. Az információ megvásárolható, eladható és cserélhető árucikké vált. Ugyanakkor az információ költsége gyakran több százszorosa a költségnek számítógépes rendszer amelyben tárolják.

Jelenleg sok ember jóléte és esetenként élete függ az információs technológiák biztonsági fokától. Ezt az árat kell fizetni az automatizált információfeldolgozó rendszerek növekvő összetettségéért és széles körű elterjedéséért.

Alatt információbiztonság az információs rendszer biztonságát jelenti a véletlen vagy szándékos beavatkozással szemben, amely az információ tulajdonosait vagy felhasználóit károsítja.

A gyakorlatban az információbiztonság három szempontja a legfontosabb:

• elérhetősége(a szükséges információszolgáltatás ésszerű időn belüli megszerzésének képessége);
• integritását(az információk relevanciája és konzisztenciája, megsemmisüléssel és jogosulatlan változtatásokkal szembeni védelme);
• titoktartás(védelem a jogosulatlan olvasás ellen).

Az információk elérhetőségének, integritásának és bizalmasságának megsértését a számítógépes információs rendszerekre gyakorolt ​​különféle veszélyes hatások okozhatják.

Az információbiztonságot fenyegető főbb veszélyek

A modern információs rendszer egy összetett rendszer, amely nagyszámú, különböző fokú autonómiájú összetevőből áll, amelyek egymással összekapcsolódnak és adatokat cserélnek. Szinte minden alkatrész ki lehet téve külső hatásoknak vagy meghibásodhat. Az automatizált információs rendszer összetevői a következő csoportokra oszthatók:

• hardver- számítógépek és alkatrészeik (processzorok, monitorok, terminálok, perifériák- lemezmeghajtók, nyomtatók, vezérlők, kábelek, kommunikációs vonalak stb.);
• szoftver- vásárolt programok, forrás, objektum, betöltő modulok; operációs rendszerek és rendszerprogramok (fordítók, linkerek stb.), segédprogramok, diagnosztikai programok stb.;
• adat- ideiglenesen és tartósan tárolva, mágneses adathordozón, nyomtatva, archívumban, rendszernaplókban stb.;
• személyzet- kezelő személyzet és felhasználók.

A számítógépes információs rendszert érő veszélyes hatások véletlenszerű és szándékos hatásokra oszthatók. Az információs rendszerek tervezése, gyártása és üzemeltetése során szerzett tapasztalatok elemzése azt mutatja, hogy az információ a rendszer életciklusának minden szakaszában különféle véletlenszerű hatásoknak van kitéve. Okok véletlenszerű hatások működés közben előfordulhatnak:

• természeti katasztrófák és áramkimaradások miatti vészhelyzetek;
• berendezések meghibásodása és meghibásodása;
• szoftverhibák;
• hibák a személyzeti munkában;
• a kommunikációs vonalak zavarása a környezeti hatások miatt.

Szándékos hatások- ezek az elkövető célzott cselekedetei. Az elkövető lehet alkalmazott, látogató, versenytárs vagy zsoldos. Az elkövető cselekedeteit különböző indítékok okozhatják:

• az alkalmazottak elégedetlensége a karrierjével;
• vesztegetés;
• kíváncsiság;
• verseny;
• a vágy, hogy bármi áron érvényesüljön.

Létrehozhat egy hipotetikus modellt a potenciális szabálysértőről:

• az elkövető minősítése a rendszer fejlesztőjének szintjén;
• a szabálysértő lehet a rendszer külső vagy jogos felhasználója;
• az elkövető ismer információkat a rendszer működési elveiről;
• az elkövető a védekezés leggyengébb láncszemét választja.

A számítógépes jogsértések leggyakoribb és legváltozatosabb típusa az jogosulatlan hozzáférés(NSD). Az NSD a biztonsági rendszer minden hibáját kihasználja, ami a biztonsági eszközök irracionális megválasztása, helytelen telepítése és konfigurációja miatt lehetséges.

Osztályozzuk azokat a nem diszkriminatív információs csatornákat, amelyeken keresztül az információ ellopható, megváltoztatható vagy megsemmisíthető:

• Egy személyen keresztül:
  • adathordozók ellopása;
  • információ olvasása a képernyőről vagy a billentyűzetről;
  • információ olvasása egy nyomatról.
• A programon keresztül:
  • jelszó lehallgatása;
  • titkosított információk visszafejtése;
  • információ másolása adathordozóról.
• Berendezésen keresztül:
  • speciálisan tervezett hardver csatlakoztatása, amely hozzáférést biztosít az információkhoz;
  • oldal elfogása elektromágneses sugárzás berendezésekből, kommunikációs vonalakból, áramellátó hálózatokból stb.

Különös figyelmet kell fordítani azokra a veszélyekre, amelyeknek a számítógépes hálózatok ki lehetnek téve. Minden számítógépes hálózat fő jellemzője, hogy összetevői térben vannak elosztva. A hálózati csomópontok közötti kommunikáció fizikailag hálózati vonalak használatával, programozottan pedig üzenetmechanizmussal történik. Ebben az esetben a hálózati csomópontok között küldött vezérlőüzenetek és adatok cserecsomagok formájában kerülnek továbbításra. Számítógépes hálózatok jellemzi, hogy az ún távoli támadások. A behatoló több ezer kilométerre is elhelyezkedhet a támadott objektumtól, és nem csak egy adott számítógépet támadhatnak meg, hanem a hálózati kommunikációs csatornákon továbbított információkat is.

Az információbiztonság biztosítása

Az információbiztonsági rendszer kialakítása összetett probléma. A megoldást szolgáló intézkedések öt szintre oszthatók:

1. jogalkotási (törvények, rendeletek, szabványok stb.);
2. erkölcsi és etikai (mindenféle viselkedési norma, amelynek be nem tartása egy adott személy vagy egy egész szervezet presztízsének csökkenéséhez vezet);
3. adminisztratív (a szervezet vezetésének általános intézkedései);
4. fizikai (mechanikai, elektro- és elektronikus-mechanikai akadályok a lehetséges behatolók lehetséges belépési útvonalain);
5. hardver és szoftver (elektronikus eszközök és speciális információbiztonsági programok).

Mindezen intézkedések egyetlen csoportja a biztonsági fenyegetések leküzdésére irányul, hogy minimalizálja a károk lehetőségét védelmi rendszer.

A megbízható védelmi rendszernek meg kell felelnie a következő elveknek:

• A védőfelszerelés költségének kisebbnek kell lennie, mint a lehetséges kár mértéke.
• Minden felhasználónak rendelkeznie kell a működéshez szükséges minimális jogosultságokkal.
• A védelem hatékonyabb a könnyebb a felhasználó számára dolgozni vele.
• Vészhelyzet esetén leállítási lehetőség.
• A védelmi rendszerben részt vevő szakembereknek teljes mértékben meg kell érteniük a működési elveket, és nehéz helyzetekben azokra megfelelően reagálniuk kell.
• A teljes információfeldolgozó rendszert védeni kell.
• A biztonsági rendszer fejlesztői nem tartozhatnak azok közé, akiket ez a rendszer irányítani fog.
• A biztonsági rendszernek bizonyítania kell működése helyességét.
• Az információbiztonság biztosításában részt vevő személyeknek személyes felelősséget kell viselniük.
• Célszerű a védett objektumokat csoportokra osztani, hogy a védelem megsértése valamelyik csoportban ne befolyásolja mások biztonságát.
• A megbízható biztonsági rendszernek teljes körűen teszteltnek és konzisztensnek kell lennie.
• A védelem hatékonyabbá és rugalmasabbá válik, ha lehetővé teszi a rendszergazda számára, hogy módosítsa a paramétereit.
• A biztonsági rendszereket azzal a feltételezéssel kell megtervezni, hogy a felhasználók súlyos hibákat követnek el, és általában a legrosszabb szándékkal rendelkeznek.
• A legfontosabb és legfontosabb döntéseket az embereknek kell meghozniuk.
• A biztonsági mechanizmusok létezését lehetőség szerint el kell rejteni azon felhasználók elől, akiknek a munkáját figyelemmel kísérik.

Annak ellenére, hogy a személyi számítógépek modern operációs rendszereinek, például a Windows 2000-nek, a Windows XP-nek és a Windows NT-nek saját biztonsági alrendszerei vannak, a további biztonsági eszközök létrehozásának jelentősége továbbra is fennáll. A helyzet az, hogy a legtöbb rendszer nem képes megvédeni a rajtuk kívül található adatokat, például a hálózati információcsere során.

A hardveres és szoftveres információbiztonsági eszközök öt csoportra oszthatók:

1. Felhasználó azonosítási (felismerési) és hitelesítési (hitelesítési) rendszerek.
2. Lemez adattitkosítási rendszerek.
3. Titkosító rendszerek a hálózatokon továbbított adatokhoz.
4. Elektronikus adathitelesítési rendszerek.
5. Kriptográfiai kulcskezelő eszközök.

1. Felhasználó azonosítási és hitelesítési rendszerek

Arra használják, hogy korlátozzák a véletlenszerű és illegális felhasználók hozzáférését a számítógépes rendszer erőforrásaihoz. Általános algoritmus Az ilyen rendszerek működése abból áll, hogy azonosító információkat szerezzenek be a felhasználótól, ellenőrizzék azok hitelességét, majd biztosítsák (vagy ne biztosítsák) a felhasználó számára a rendszerrel való együttműködés lehetőségét.

Ezeknek a rendszereknek a kiépítése során felmerül a felhasználó azonosítási és hitelesítési eljárások lefolytatásához szükséges információk kiválasztásának problémája. A következő típusokat lehet megkülönböztetni:

• a felhasználó titkos információi (jelszó, titkos kulcs, személyes azonosító stb.); a felhasználónak emlékeznie kell erre az információra, vagy speciális tárolóeszköz használható hozzá;
• a személy fiziológiai paraméterei (ujjlenyomatok, íriszmintázatok stb.) vagy viselkedési jellemzők (a billentyűzeten végzett munka jellemzői stb.).

Az első típusú információkon alapuló rendszereket tekintjük hagyományos. A második típusú információt használó rendszereket ún biometrikus. Meg kell jegyezni, hogy van egy felgyorsult fejlődés tendenciája biometrikus rendszerek azonosítás.

2. Lemez adattitkosítási rendszerek

Annak érdekében, hogy az információt használhatatlanná tegyük az ellenfél számára, adatátalakítási metódusokat hívunk kriptográfia[görögből kryptos- rejtett és grapho- Írok].

A titkosítási rendszerek az adatok kriptográfiai átalakításait fájlszinten vagy lemezszinten is végrehajthatják. Az első típusú programok közé tartoznak az olyan archiválók, mint az ARJ és a RAR, amelyek lehetővé teszik kriptográfiai módszerek használatát az archív fájlok védelmére. A második típusú rendszerre példa a Diskreet titkosító program, amely a népszerű Norton Utilities szoftvercsomag, a Best Crypt része.

A lemezes adattitkosítási rendszerek másik osztályozási jellemzője a működésük módja. A működési mód szerint a lemezadat-titkosítási rendszerek két osztályba sorolhatók:

• „átlátszó” titkosító rendszerek;
• kifejezetten titkosítás végrehajtására hivatott rendszerek.

Az átlátszó titkosítási rendszerekben (on-the-fly titkosítás) a kriptográfiai átalakítások valós időben, a felhasználó által észrevétlenül történnek. Például a felhasználó egy szövegszerkesztőben elkészített dokumentumot ír egy védett lemezre, amit a biztonsági rendszer az írási folyamat során titkosít.

A másodosztályú rendszerek általában olyan segédprogramok, amelyeket kifejezetten meg kell hívni a titkosítás végrehajtásához. Ilyenek például a beépített jelszavas védelemmel ellátott archiválók.

A legtöbb olyan rendszer, amely felajánlja a jelszó beállítását egy dokumentumhoz, nem titkosítja az információkat, hanem csak jelszót kér a dokumentum eléréséhez. Ilyen rendszerek közé tartozik az MS Office, az 1C és még sokan mások.

3. Titkosító rendszerek a hálózatokon továbbított adatokhoz

Két fő titkosítási módszer létezik: a csatornatitkosítás és a terminál (előfizető) titkosítás.

Amennyiben csatorna titkosítás A kommunikációs csatornán keresztül továbbított minden információ, beleértve a szolgáltatási információkat is, védett. Ennek a titkosítási módszernek a következő előnye van: a titkosítási eljárások adatkapcsolati rétegbe ágyazása lehetővé teszi a hardver használatát, ami segít javítani a rendszer teljesítményét. Ennek a megközelítésnek azonban jelentős hátrányai is vannak:

• a szolgáltatási adatok titkosítása bonyolítja a hálózati csomagok útválasztási mechanizmusát, és megköveteli az adatok visszafejtését a közbenső kommunikációs eszközökben (átjárók, átjátszók stb.);
• a szolgáltatási információk titkosítása statisztikai minták megjelenéséhez vezethet a titkosított adatokban, ami befolyásolja a védelem megbízhatóságát, és korlátozásokat ró a kriptográfiai algoritmusok használatára.

Terminál (előfizető) titkosítás lehetővé teszi a két előfizető között továbbított adatok titkosságának biztosítását. Ebben az esetben csak az üzenetek tartalma védett, minden szolgáltatási információ nyitva marad. Hátránya, hogy az üzenetváltás szerkezetére, így a feladóra és a címzettre, az adatátvitel idejére és feltételeire, valamint az átvitt adatok mennyiségére vonatkozó információkat elemezni lehet.

4. Elektronikus adathitelesítési rendszerek

A hálózatokon keresztüli adatcsere során felmerül a dokumentum szerzőjének és magának a dokumentumnak a hitelesítésének problémája, i. a szerző hitelességének megállapítása és annak ellenőrzése, hogy az átvett dokumentumban nincs-e változás. Az adatok hitelesítéséhez üzenet-hitelesítési kódot (immit beszúrást) vagy elektronikus aláírást használnak.

Imitovstak a sima adatokból egy speciális titkosítási transzformációval generálják titkos kulcs segítségével, és a titkosított adatok végén a kommunikációs csatornán továbbítják. A megszemélyesítés beillesztését a titkos kulcs birtokában lévő címzett ellenőrzi a kapott nyilvános adatokon a küldő által korábban elvégzett eljárás megismétlésével.

Elektronikus digitális aláírás Az aláírt szöveggel együtt továbbított, viszonylag kis mennyiségű további hitelesítési információt jelent. A feladó digitális aláírást generál a feladó privát kulcsának használatával. A címzett a segítségével ellenőrzi az aláírást nyilvános kulcs feladó.

Így az utánzatok megvalósításához a szimmetrikus titkosítás elveit, az elektronikus aláírás megvalósításához pedig az aszimmetrikus titkosítást alkalmazzák. Ezt a két titkosítási rendszert a későbbiekben részletesebben tanulmányozzuk.

5. Kriptográfiai kulcskezelési eszközök

Minden kriptorendszer biztonságát a használt kriptográfiai kulcsok határozzák meg. Ha a kulcskezelés nem biztonságos, a támadó kulcsfontosságú információkat szerezhet, és teljes hozzáférést kaphat a rendszeren vagy hálózaton található összes információhoz.

A kulcskezelési funkciók következő típusait különböztetjük meg: kulcsok generálása, tárolása és elosztása.

Mód kulcsgenerálás a szimmetrikus és az aszimmetrikus kriptorendszerek esetében eltérőek. A szimmetrikus titkosítási rendszerek kulcsainak generálásához véletlenszámok generálására szolgáló hardver és szoftver eszközöket használnak. Az aszimmetrikus kriptorendszerek kulcsgenerálása bonyolultabb, mivel a kulcsoknak rendelkezniük kell bizonyos matematikai tulajdonságokkal. A szimmetrikus és aszimmetrikus kriptorendszerek tanulmányozása során részletesebben foglalkozunk ezzel a kérdéssel.

Funkció tárolás magában foglalja a legfontosabb információk biztonságos tárolásának, rögzítésének és törlésének megszervezését. A kulcsok biztonságos tárolása érdekében azokat más kulcsokkal titkosítják. Ez a megközelítés a kulcshierarchia koncepciójához vezet. A kulcshierarchia jellemzően egy mesterkulcsot (azaz egy mesterkulcsot), egy kulcstitkosítási kulcsot és egy adattitkosítási kulcsot tartalmaz. Meg kell jegyezni, hogy a mesterkulcs előállítása és tárolása kritikus kérdés a kriptográfiai biztonságban.

Elosztás- a kulcskezelés legkritikusabb folyamata. Ennek a folyamatnak biztosítania kell a kiosztott kulcsok titkosságát, valamint gyorsnak és pontosnak kell lennie. A kulcsokat kétféleképpen osztják el a hálózati felhasználók között:

• a munkamenetkulcsok közvetlen cseréje;
• egy vagy több kulcsfontosságú elosztóközpont használatával.

Dokumentumok listája

1. AZ ÁLLAMTITOKRÓL. Törvény Orosz Föderáció 1993. július 21-én kelt 5485-1 (az 1997. október 6-i 131-FZ szövetségi törvénnyel módosított).
2. INFORMÁCIÓRÓL, INFORMÁCIÓK ÉS INFORMÁCIÓVÉDELEM. Az Orosz Föderáció 1995. február 20-i szövetségi törvénye, 24-FZ. Az Állami Duma 1995. január 25-én fogadta el.
3. AZ ELEKTRONIKUS SZÁMÍTÓGÉPEK ÉS ADATBÁZISOK PROGRAMJÁNAK JOGI VÉDELMÉRŐL. Az Orosz Föderáció 1992. február 23-i törvénye, 3524-1.
4. AZ ELEKTRONIKUS DIGITÁLIS ALÁÍRÁSRÓL. Az Orosz Föderáció 2002. január 10-i szövetségi törvénye, 1-FZ.
5. A SZERZŐI JOGOKRÓL ÉS A KAPCSOLÓDÓ JOGOKRÓL. Az Orosz Föderáció 1993. július 9-i törvénye, 5351-1.
6. A SZÖVETSÉGI KORMÁNYZATI KOMMUNIKÁCIÓS ÉS INFORMÁCIÓS SZERVEKRŐL. Az Orosz Föderáció törvénye (az Orosz Föderáció elnökének 1993. december 24-i 2288. sz. rendeletével módosított; 2000. november 7-i szövetségi törvény, 135-FZ.
7. Szabályzat az információbiztonsági berendezések vizsgálólaboratóriumainak és tanúsító testületeinek az információbiztonsági követelményeknek megfelelő akkreditációjáról / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.
8. Utasítások a megfelelőségi tanúsítványok, azok másolatai és információbiztonsági tanúsítványok jelölésére vonatkozó eljárásról / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.
9. Az informatizálási objektumok információbiztonsági követelmények szerinti tanúsítására vonatkozó előírások / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.
10. Az információbiztonsági eszközök információbiztonsági követelmények szerinti tanúsítására vonatkozó előírások: kiegészítéssel az Orosz Föderáció Kormányának 1995. június 26-i 608. számú „Az információbiztonsági eszközök tanúsításáról” / Állami Műszaki Bizottság az Elnöke alatt. az Orosz Föderáció.
11. Szabályzat az információbiztonság területén végzett tevékenységek állami engedélyezéséről / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.
12. Automatizált rendszerek. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Az automatizált rendszerek osztályozása és az információvédelem követelményei: Útmutató / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.
13. A számítógépes berendezések és automatizált rendszerek védelmének koncepciója az információkhoz való jogosulatlan hozzáféréstől: Útmutató / Állami Műszaki Bizottság az Orosz Föderáció elnöke alatt.
14. Számítógépes létesítmények. Tűzfalak. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Az információkhoz való jogosulatlan hozzáférés elleni biztonság mutatói: Útmutató / Állami Műszaki Bizottság az Orosz Föderáció elnöke alatt.
15. Számítógépes létesítmények. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Az információkhoz való jogosulatlan hozzáférés elleni biztonság mutatói: Útmutató / Állami Műszaki Bizottság az Orosz Föderáció elnöke alatt.
16. Információvédelem. Különleges védőjelek. Osztályozás és általános követelmények: Útmutató / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.
17. Védelem az információkhoz való jogosulatlan hozzáférés ellen. Kifejezések és meghatározások: Útmutató / Állami Műszaki Bizottság az Orosz Föderáció elnöke mellett.

Információvédelem és információbiztonság

Az új információs technológiák megjelenése, valamint az információ tárolására és feldolgozására szolgáló hatékony számítógépes rendszerek fejlődése megnövelte az információvédelem szintjét, és az adattárolási architektúra komplexitásával párhuzamosan az információvédelem hatékonyságának növekedését is szükségessé tette. Így fokozatosan kötelezővé válik a gazdasági információk védelme: mindenféle információvédelmi dokumentum készül; információvédelmi ajánlások születnek; Még egy szövetségi információvédelmi törvény is létezik, amely figyelembe veszi az információvédelmi problémákat és az információvédelmi feladatokat, és megold néhány egyedi információvédelmi kérdést is.

Így az információbiztonságot fenyegető veszély az információbiztonsági eszközöket az információs rendszerek egyik kötelező jellemzőjévé tette.

Manapság az információtároló és -feldolgozó rendszerek széles skálája létezik, ahol tervezésük során különösen fontos az Orosz Föderáció információbiztonsági tényezője a bizalmas információk tárolására. Ilyen információs rendszerek például a biztonságos dokumentumkezelést szolgáló banki vagy jogi rendszerek, valamint egyéb olyan információs rendszerek, amelyeknél az információbiztonság biztosítása létfontosságú az információs rendszerekben található információk védelme szempontjából.

Mi az „Az információk védelme a jogosulatlan hozzáféréstől” vagy információbiztonság Orosz Föderáció?

Információbiztonsági módszerek

Az Orosz Föderáció információs biztonsága (információs rendszer) olyan technika, amely megvédi az információkat a szándékos vagy véletlen jogosulatlan hozzáféréstől, és ezáltal károsítja a rendszerben a dokumentumáramlás és az adatcsere normál folyamatát, valamint az információk ellopását, módosítását és megsemmisítését. .

Más szóval, az információs rendszerek információbiztonságával és információbiztonságával kapcsolatos kérdéseket annak érdekében kell megoldani, hogy a normálisan működő információs rendszert elszigeteljék a jogosulatlan ellenőrzési tevékenységektől, valamint az illetéktelen személyek vagy programok általi lopás céljából az adatokhoz való hozzáféréstől.

Az „információs rendszerek biztonságát fenyegető veszély” kifejezés olyan valós vagy potenciális cselekményekre, eseményekre vonatkozik, amelyek az információs rendszerben tárolt adatokat eltorzíthatják, megsemmisíthetik, vagy a szabályzatban előre nem meghatározott célra felhasználhatják.

Az információs rendszerek biztonságát fenyegető veszélyek első felosztása típusokra

Ha olyan modellt veszünk, amely leír bármilyen irányított információs rendszert, akkor feltételezhetjük, hogy a zavaró hatás véletlenszerű lehet. Éppen ezért az információs rendszerek biztonságát fenyegető veszélyek mérlegelésekor azonnal különbséget kell tenni a szándékos és a véletlen zavarások között.

Az információvédelmi komplexum (tanfolyami információvédelem) például hardverhiba miatt letiltható. Szintén előtérbe kerülnek az információvédelem kérdései az adatbázisokhoz közvetlenül hozzáférő személyzet hibás intézkedései miatt, ami az információvédelem hatékonyságának csökkenését vonja maga után az információvédelmi tevékenység végzésének egyéb kedvező feltételei mellett. Ezenkívül a szoftverben nem szándékos hibák és egyéb információs rendszerhibák is előfordulhatnak. Mindez negatívan befolyásolja az információs rendszerekben létező és használt bármilyen típusú információbiztonság információvédelmének hatékonyságát.

Ez a rész az információbiztonság szándékos fenyegetését tárgyalja, amely abban különbözik a véletlen információbiztonsági fenyegetéstől, hogy a támadó célja, hogy kárt okozzon a rendszerben és annak felhasználóiban, és az információs rendszerek biztonságát fenyegető veszélyek gyakran nem mások, mint megszerzési kísérletek. személyes haszon a bizalmas információ birtoklásából.

Az információk számítógépes vírusokkal szembeni védelme (információs rendszerek információvédelme) olyan eszközöket foglal magában, amelyek védik a hálózaton lévő információkat, vagy inkább olyan szoftveres és hardveres információkat védenek, amelyek megakadályozzák, hogy a rosszindulatú programok illetéktelenül végrehajtsák az adatokat lefoglalni és elküldeni támadják meg, vagy semmisítsék meg az adatbázis-információkat, de a számítógépes vírusokkal szembeni védelmi információk nem képesek teljesen visszaverni egy hacker vagy egy számítógépes kalóznak nevezett személy támadását.

Az információk védelmének és a számítógépes vírusokkal szembeni védelmének feladata, hogy megnehezítse vagy lehetetlenné tegye mind a vírusok, mind a hackerek titkos adatokba való behatolását, aminek érdekében a hackerek illegális tevékenységeik során a titkos adatok legmegbízhatóbb forrását keresik. És mivel a hackerek igyekeznek minimális költséggel maximálisan megbízható titkos adatokat szerezni, az információvédelem feladata a támadó megzavarása: az információvédelmi szolgálat téves adatokat, védelmet biztosít neki. számítógépes információk igyekszik minél jobban elszigetelni az adatbázist a külső illetéktelen beavatkozástól stb.

A hackerek számítógépes információvédelme azok az információvédelmi intézkedések, amelyeket meg kell kerülni az információkhoz való hozzáféréshez. A számítógépes információk védelmére szolgáló architektúra úgy épül fel, hogy a támadónak több szintű információvédelemmel kell szembenéznie: a szerver védelme hozzáférés-vezérléssel és hitelesítési rendszerrel (információbiztonsági diploma) a felhasználók számára, valamint a felhasználó számítógépének védelme, amely működik. titkos adatokkal. A számítógépvédelem és a szervervédelem egyidejűleg lehetővé teszi a számítógépes információk védelmére szolgáló rendszer megszervezését oly módon, hogy a támadó ne tudjon behatolni a rendszerbe olyan megbízhatatlan eszközzel a hálózaton lévő információk védelmére, mint az emberi tényező. Vagyis még az adatbázis-felhasználó számítógépének védelmének megkerülésével és az információvédelem egy másik szintjére való átállással is a hackernek megfelelően kell használnia ezt a jogosultságot, ellenkező esetben a szerver védelme elutasítja az adatok megszerzésére irányuló kéréseit és a megkerülési kísérleteket. a számítógépes információk védelme hiábavaló lesz.

Az elmúlt évek publikációi azt mutatják, hogy az információbiztonsági technológia nem tart lépést a hatalmi visszaélések számával, és az információbiztonsági technológia mindig lemarad a hackerek által más titkainak átvételére használt technológiák mögött.

Vannak olyan információbiztonsági dokumentumok, amelyek egy információs rendszerben keringő és kommunikációs csatornákon továbbított információkat írnak le, de az információbiztonsággal kapcsolatos dokumentumok folyamatosan bővülnek, fejlesztik, bár csak azután, hogy a támadók újabb és újabb technológiai áttöréseket hajtanak végre az információbiztonsági modellben, bárhogyan is. összetett volt.

Napjainkban egy hatékony információvédelmi intézkedés megvalósításához nemcsak a hálózaton lévő információk védelmére szolgáló eszközök kidolgozására és egy információvédelmi modell mechanizmusainak kidolgozására van szükség, hanem szisztematikus megközelítést vagy információvédelmi komplexumot kell megvalósítani - ez a az „információvédelem” definíciója által leírt, egymással összefüggő intézkedések összessége. Ez az információbiztonsági komplexum általában speciális hardvert és szoftvert használ a gazdasági információk védelmét szolgáló intézkedések megszervezésére.

Ezen túlmenően az információbiztonsági modellek (az információbiztonság témájának kivonata) előírják a GOST „Information Security”-t, amely szabályozásokat, valamint erkölcsi és etikai intézkedéseket tartalmaz az információk védelmére és a külső támadások elleni küzdelemre. A GOST „Information Protection” számos átfogó információvédelmi intézkedéssel normalizálja az információvédelem meghatározását, amelyek a támadók összetett akcióiból fakadnak, és megpróbálják bármilyen szükséges eszközzel birtokba venni a titkos információkat. És ma már nyugodtan kijelenthetjük, hogy a GOST (információvédelem) és az információvédelem definíciója fokozatosan megszületik a modern technológia a számítógépes információs rendszerek és az adatátviteli hálózatok információinak védelmére, mint egy „információvédelmi” oklevél.

Milyen típusú információbiztonság és az információbiztonság szándékos fenyegetése létezik ma?

Az információbiztonság típusait, vagy inkább a vállalaton belüli információvédelmet fenyegető fenyegetéstípusokat passzívra és aktívra osztják.

A passzív információbiztonsági kockázat az információs források törvényen kívüli felhasználására irányul, és nem az információs rendszer működésének megzavarására irányul. A passzív információbiztonsági kockázatok közé tartozik például az adatbázishoz való hozzáférés vagy az adatátviteli csatornák lehallgatása.

Az aktív információbiztonsági kockázat célja egy meglévő információs rendszer működésének megzavarása az összetevői elleni célzott támadások révén.

A számítógépes biztonsági fenyegetések aktív típusai közé tartozik például a számítógép fizikai meghibásodása vagy szoftverszintű működési zavara.

Az információbiztonsági eszközök szükségessége. Az információk jogosulatlan hozzáférés elleni védelmének megszervezésének szisztematikus megközelítése

Az információvédelem módszerei és eszközei magukban foglalják az információvédelmi szervezési, technikai és jogi intézkedéseket, valamint az információvédelmi intézkedéseket (információ jogi védelme, információ technikai védelme, gazdasági információk védelme stb.).

Az információbiztonság és információbiztonság szervezeti módszerei Oroszországban a következő tulajdonságokkal rendelkeznek:

Az információbiztonság módszerei és eszközei biztosítják a szivárgási csatornák részleges vagy teljes blokkolását az információbiztonsági szabványoknak megfelelően (információbiztonsági objektumok lopása, másolása);

Az információbiztonsági rendszer egységes, integrált információbiztonsági testület, amely sokrétű információbiztonságot nyújt;

Az információbiztonság módszerei és eszközei (információs biztonsági módszerek absztrakt) és az információbiztonság alapjai:

Informatikai biztonság, amely az információvédelmi objektumokhoz való fizikai hozzáférés korlátozásán alapul biztonsági intézkedések és információbiztonsági módszerek alkalmazásával;

A szervezet információbiztonsága és az információbiztonság irányítása az információvédelmi objektumokhoz való hozzáférés elhatárolásán alapul - ez az információbiztonsági hatóságok általi hozzáférés elhatárolására vonatkozó szabályok megállapítása, az információk tárolása és továbbítása érdekében történő titkosítás (az információvédelem kriptográfiai módszerei, információbiztonsági szoftver és információvédelem a hálózatokban);

Az információvédelemnek biztosítania kell a legfontosabb adatállományok rendszeres biztonsági mentését és megfelelő tárolását ( az információ fizikai védelme);

Az információvédelmi hatóságoknak gondoskodniuk kell az információvédelmi objektumok számítógépes vírusok általi fertőzésének megakadályozásáról.

Az információvédelem jogalapja és az információvédelmi törvény. Információvédelem a vállalkozásban

Az információvédelem jogalapja egy információvédelmi jogalkotó testület, amelyben legfeljebb 4 jogi támogatási szint különböztethető meg az információbiztonság és a vállalkozás információbiztonsága tekintetében.

Az illetéktelen hozzáférés elleni szoftver- és hardvervédelem magában foglalja az azonosításra, hitelesítésre és az információs rendszerhez való hozzáférés ellenőrzésére szolgáló intézkedéseket.

Azonosítás – egyedi azonosítók hozzárendelése a hozzáférési alanyokhoz.

Ide tartoznak a rádiófrekvenciás címkék, biometrikus technológiák, mágneskártyák, univerzális mágneses kulcsok, rendszerbejelentkezések stb.

Hitelesítés – annak ellenőrzése, hogy a hozzáférés alanya a bemutatott azonosítóhoz tartozik-e, és annak hitelessége.

A hitelesítési eljárások közé tartoznak a jelszavak, PIN-kódok, intelligens kártyák, USB-kulcsok, digitális aláírások, munkamenet-kulcsok stb. Az azonosítási és hitelesítési eszközök procedurális része összefügg, és tulajdonképpen minden szoftveres és hardveres információbiztonsági eszköz alapját képezi, mivel minden egyéb szolgáltatás az információs rendszer által helyesen felismert, meghatározott alanyok kiszolgálására szolgál. Általában az azonosítás lehetővé teszi az alany számára, hogy azonosítsa magát egy információs rendszer előtt, és a hitelesítés segítségével az információs rendszer megerősíti, hogy az alany valóban az, akinek vallja magát. Ennek a műveletnek a befejezése alapján egy műveletet hajtanak végre az információs rendszerhez való hozzáférés biztosítására. A hozzáférés-ellenőrzési eljárások lehetővé teszik az arra jogosult alanyok számára, hogy az előírások által megengedett műveleteket hajtsák végre, és az információs rendszer ezeket a műveleteket figyeli a kapott eredmény helyessége és helyessége szempontjából. A hozzáférés-szabályozás lehetővé teszi, hogy a rendszer blokkolja az olyan felhasználók adatait, akikhez nem jogosultak.

A szoftver- és hardvervédelem következő eszköze az információk naplózása és auditálása.

A naplózás magában foglalja az információs rendszer működése során lezajlott eseményekről, akciókról, eredményekről, az egyes felhasználókról, folyamatokról és a vállalati információs rendszer részét képező összes szoftverről és hardverről információk gyűjtését, felhalmozását és tárolását.

Mivel az információs rendszer minden összetevője előre meghatározott lehetséges eseményekkel rendelkezik a programozott osztályozóknak megfelelően, az eseményeket, akciókat és eredményeket a következőkre osztják:

• külső, más összetevők működése miatt,
• belső, amelyet magának az összetevőnek a működése okoz,
• ügyféloldali, amelyet a felhasználók és a rendszergazdák tevékenységei okoznak.

Az információs audit az operatív elemzés valós idejű vagy adott időszakon belüli lefolytatásából áll.

Az elemzés eredményei alapján vagy jelentés készül a megtörtént eseményekről, vagy automatikus reagálás indul vészhelyzetre.

A naplózás és auditálás megvalósítása a következő problémákat oldja meg:

• a felhasználók és rendszergazdák elszámoltathatósága;
• az eseménysor rekonstrukciójának lehetőségének biztosítása;
• az információbiztonság megsértésére irányuló kísérletek észlelése;
• információk biztosítása a problémák azonosításához és elemzéséhez.

Az információk védelme gyakran lehetetlen kriptográfiai eszközök használata nélkül. Ezeket titkosítási, integritási és hitelesítési szolgáltatások biztosítására használják, amikor a hitelesítési eszközöket titkosított formában tárolják a felhasználó számára. Két fő titkosítási módszer létezik: szimmetrikus és aszimmetrikus.

Az integritás-ellenőrzés lehetővé teszi egy objektum hitelességének és azonosságának megállapítását, amely adattömb, egyes adatok, adatforrás, valamint biztosítja, hogy a rendszerben végrehajtott műveletet ne lehessen információtömbbel megjelölni. Az integritás-ellenőrzés megvalósításának alapja a titkosítást és digitális tanúsítványokat alkalmazó adatkonverziós technológiák.

Egy másik fontos szempont az árnyékolás alkalmazása, egy olyan technológia, amely az alanyok információforrásokhoz való hozzáférésének lehatárolásával lehetővé teszi a vállalati információs rendszer és a külső objektumok, adattömbök, alanyok és ellenalanyok közötti összes információáramlás szabályozását. Az áramlások szabályozása azok szűréséből és szükség esetén a továbbított információk konvertálásából áll.

Az árnyékolás célja, hogy megvédje a belső információkat a potenciálisan ellenséges külső tényezőktől és entitásoktól. Az árnyékolás megvalósításának fő formája a tűzfalak vagy tűzfalak, különféle típusokés az építészet.

Mivel az információbiztonság egyik jele az információs erőforrások elérhetősége, ezért a szoftveres és hardveres intézkedések megvalósításában fontos irány a magas szintű rendelkezésre állás biztosítása. Konkrétan két irány oszlik meg: a hibatűrés biztosítása, i.e. semlegesítse a rendszer meghibásodásait, a működési képességet, amikor hiba lép fel, és biztosítja a biztonságos és gyors felépülés kudarcok után, pl. rendszer szervizelhetősége.

Az információs rendszerekkel szemben támasztott fő követelmény, hogy mindig adott hatékonysággal, minimális elérhetetlenségi idővel és válaszsebességgel működjenek.

Ennek megfelelően az információs források elérhetőségét a következők biztosítják:

• strukturális architektúra alkalmazása, ami azt jelenti, hogy az egyes modulok szükség esetén letilthatók vagy gyorsan cserélhetők anélkül, hogy az információs rendszer más elemei károsodnának;
• a hibatűrés biztosítása: a támogató infrastruktúra autonóm elemeinek felhasználásával, többletkapacitás bevitelével a hardver- és szoftverkonfigurációba, hardver lefoglalása, információs erőforrások rendszeren belüli replikálása, biztonsági mentés adatok stb.
• a szervizelhetőség biztosítása a hibák és következményeik diagnosztizálásához és megszüntetéséhez szükséges idő csökkentésével.

Az információbiztonsági eszközök másik típusa a biztonságos kommunikációs csatornák.

Az információs rendszerek működése elkerülhetetlenül összefügg az adattovábbítással, ezért a vállalkozásoknak is gondoskodniuk kell a továbbított információforrások védelméről biztonságos kommunikációs csatornákon keresztül. Az adatokhoz való jogosulatlan hozzáférés lehetősége nyílt kommunikációs csatornákon keresztül történő forgalom továbbításakor azok általános elérhetőségéből adódik. Mivel „lehetetlen fizikailag védeni a kommunikációt azok teljes hosszában, ezért jobb, ha kezdetben a sebezhetőségük feltételezéséből indulunk ki, és ennek megfelelően gondoskodunk a védelemről”. Ehhez alagútépítési technológiákat alkalmaznak, amelyek lényege az adatok beágyazása, pl. csomagolja be vagy csomagolja be a továbbított adatcsomagokat, beleértve az összes szolgáltatásattribútumot is, saját borítékukba. Ennek megfelelően az alagút nyílt kommunikációs csatornákon keresztül kialakított biztonságos kapcsolat, amelyen keresztül kriptográfiailag védett adatcsomagokat továbbítanak. Az alagútkezelést a forgalom titkosságának biztosítására használják a szolgáltatási információk elrejtésével, valamint a továbbított adatok titkosságának és integritásának biztosításával, amikor egy információs rendszer kriptográfiai elemeivel együtt használják. Az alagút és a titkosítás kombinálása lehetővé teszi egy virtuális magánhálózat megvalósítását. Ebben az esetben a virtuális magánhálózatokat megvalósító alagutak végpontjai olyan tűzfalak, amelyek a szervezetek külső hálózatokhoz való csatlakozását szolgálják.

Tűzfalak, mint megvalósítási pontok a virtuális magánhálózati szolgáltatásokhoz

Így az alagút és a titkosítás további átalakítások, amelyeket a hálózati forgalom szűrése során hajtanak végre a címfordítással együtt. Az alagutak végei a vállalati tűzfalak mellett lehetnek személyes és mobil számítógépek alkalmazottai, pontosabban személyes tűzfalaik és tűzfalaik. Ez a megközelítés biztosítja a biztonságos kommunikációs csatornák működését.

Információbiztonsági eljárások

Az információbiztonsági eljárásokat általában adminisztratív és szervezeti szintre osztják.

• Az adminisztratív eljárások magukban foglalják a szervezet vezetése által az információbiztonság biztosítása és fenntartása terén végzett összes munka, intézkedés, művelet szabályozására irányuló általános intézkedéseket, amelyeket a szükséges erőforrások elkülönítésével és a megtett intézkedések hatékonyságának ellenőrzésével hajtanak végre.
• A szervezeti szint az információbiztonság biztosítására szolgáló eljárásokat jelenti, beleértve a személyzeti menedzsmentet, a fizikai védelmet, a szoftver és hardver infrastruktúra működőképességének fenntartását, a biztonsági megsértések azonnali kiküszöbölését és a helyreállítási munkák tervezését.

Másrészt értelmetlen az adminisztratív és szervezési eljárások megkülönböztetése, mivel az egyik szintű eljárások nem létezhetnek elkülönülten egy másik szinttől, ezáltal sértik a védelmi viszonyt. fizikai szinten, személyi és szervezeti védelem az információbiztonság fogalmában. A gyakorlatban egy szervezet információbiztonságának biztosításánál az adminisztratív vagy szervezési eljárások sem hanyagolhatók el, ezért logikusabb ezeket integrált megközelítésnek tekinteni, hiszen mindkét szint érinti az információvédelem fizikai, szervezeti és személyi szintjét.

Az információbiztonságot biztosító átfogó eljárások alapja a biztonsági politika.

Információbiztonsági szabályzat

Információbiztonsági szabályzat egy szervezetben a szervezet vezetése által hozott dokumentált döntések összessége, amelyek célja az információk és a kapcsolódó erőforrások védelme.

Szervezeti és vezetési szempontból az információbiztonsági szabályzat lehet egyetlen dokumentum, vagy több önálló dokumentum vagy megbízás formájában is kiadható, de mindenképpen ki kell terjednie a szervezet információs rendszerének védelmének alábbi szempontjaira:

• információs rendszer objektumainak, információs erőforrásainak védelme és a velük való közvetlen műveletek;
• a rendszerben történő információfeldolgozással kapcsolatos összes művelet védelme, beleértve a szoftverfeldolgozó eszközöket is;
• kommunikációs csatornák védelme, beleértve a vezetékes, rádiós, infravörös, hardvert stb.;
• a hardverkomplexum védelme a nem kívánt elektromágneses sugárzástól;
• biztonsági rendszer menedzsment, beleértve a karbantartást, frissítéseket és adminisztratív tevékenységeket.

Minden szempontot részletesen le kell írni és dokumentálni kell a szervezet belső dokumentumaiban. A belső dokumentumok a biztonsági folyamat három szintjét fedik le: felső, középső és alsó.

Dokumentumok legfelső szint Az információbiztonsági irányelvek tükrözik a szervezet alapvető megközelítését saját információi védelmére, valamint az állami és/vagy nemzetközi szabványoknak való megfelelésre. A gyakorlatban egy szervezetnek csak egy legfelső szintű dokumentuma van, melynek címe „Információbiztonsági koncepció”, „Információbiztonsági szabályzat” stb. Ezek a dokumentumok formailag nem képviselnek bizalmas értéket, terjesztésük nem korlátozott, de belső használatra és nyílt közzétételre a szerkesztők rendelkezésére bocsáthatók.

A középszintű dokumentumok szigorúan bizalmasak, és a szervezet információbiztonságának meghatározott aspektusaihoz kapcsolódnak: az alkalmazott információbiztonsági eszközök, adatbázis-biztonság, kommunikáció, kriptográfiai eszközök és a szervezet egyéb információs és gazdasági folyamatai. A dokumentáció belső műszaki és szervezeti szabványok formájában valósul meg.

Az alsóbb szintű dokumentumok két típusra oszthatók: munkaszabályzatra és üzemeltetési utasításra. A munkavégzési szabályzat szigorúan bizalmas, és csak azoknak szól, akik feladataik keretében egyéni információbiztonsági szolgálatok adminisztrálását végzik. A kezelési utasítások lehetnek bizalmasak vagy nyilvánosak; a szervezet személyzetének szólnak, és leírják a szervezet információs rendszerének egyes elemeivel végzett munka eljárását.

A világ tapasztalatai azt mutatják, hogy az információbiztonsági politikát mindig csak a fejlett információs rendszerrel rendelkező és megnövekedett információbiztonsági követelményekkel rendelkező nagyvállalatoknál dokumentálják a kis szervezetek túlnyomó többsége nem törődik a biztonsági politika dokumentációjával. A dokumentum formátumától függetlenül, holisztikus vagy elosztott, az alapvető szempont a biztonsági mód.

Két különböző megközelítés képezi az alapot információbiztonsági irányelvek:

1. "Minden megengedett, ami nem tilos."
2. "Minden, ami nem megengedett, tilos."

Az első megközelítés alapvető hibája, hogy a gyakorlatban lehetetlen mindent biztosítani veszélyes esetekés lehetetlen őket betiltani. Kétségtelenül csak a második megközelítést szabad alkalmazni.

Az információbiztonság szervezeti szintje

Az információvédelem szempontjából az információbiztonságot biztosító szervezeti eljárások „a produkciós tevékenység és az előadóművészek kapcsolatainak olyan jogi alapon történő szabályozásaként jelennek meg, amely kizárja vagy jelentősen megnehezíti a bizalmas információ jogellenes megszerzését, valamint a belső ill. külső fenyegetések.”

A személyzettel való munka megszervezését célzó, az információbiztonságot garantáló személyzeti menedzsment intézkedések közé tartozik a feladatok elkülönítése és a jogosultságok minimalizálása. A feladatmegosztás olyan kompetenciák és felelősségi területek megosztását írja elő, amelyben egy személy nem képes megzavarni a szervezet szempontjából kritikus folyamatot. Ez csökkenti a hibák és a visszaélések valószínűségét. A legkisebb jogosultság megköveteli, hogy a felhasználók csak olyan szintű hozzáférést kapjanak, amely a munkaköri feladataik ellátásához szükséges. Ez csökkenti a véletlen vagy szándékos helytelen tevékenységekből származó károkat.

A fizikai védelem a szervezet információs forrásainak, szomszédos területeinek, infrastrukturális elemeinek, számítástechnikai berendezéseinek, adathordozóinak és hardveres kommunikációs csatornáinak helyet adó épületek közvetlen védelmét szolgáló intézkedések kidolgozását és elfogadását jelenti. Ide tartozik a fizikai hozzáférés ellenőrzése, a tűzvédelem, a támogató infrastruktúra védelme, az adatlehallgatás elleni védelem és a mobil rendszerek védelme.

A hardver- és szoftverinfrastruktúra funkcionalitásának fenntartása magában foglalja a sztochasztikus hibák megelőzését, amelyek a hardverrendszer károsodásával, a programok leállásával és az adatvesztéssel fenyegetnek. A fő irányok ebben a vonatkozásban a felhasználói és szoftvertámogatás, a konfigurációkezelés, a biztonsági mentés, a médiakezelés, a dokumentáció és a karbantartás biztosítása.

A biztonsági megsértések azonnali megszüntetésének három fő célja van:

1. Az esemény lokalizálása és az okozott károk csökkentése;
2. A szabálysértő azonosítása;
3. Ismételt jogsértések megelőzése.

Végül a helyreállítási tervezés lehetővé teszi a balesetekre való felkészülést, az azokból származó károk csökkentését és a működési képesség legalább minimális mértékű fenntartását.

A szoftver- és hardverhasználatot, valamint a biztonságos kommunikációs csatornákat az információbiztonságot biztosító valamennyi adminisztratív és szervezeti szabályozási eljárás kidolgozásának és jóváhagyásának integrált megközelítése alapján kell megvalósítani a szervezetben. Ellenkező esetben az egyedi intézkedések meghozatala nem garantálja az információk védelmét, sőt gyakran, éppen ellenkezőleg, bizalmas információk kiszivárgását, kritikus adatok elvesztését, a hardver infrastruktúra károsodását és a szervezet információs rendszerének szoftverelemeinek megzavarását idézi elő.

Információbiztonsági módszerek

A modern vállalkozásokat az elosztott információs rendszer jellemzi, amely lehetővé teszi számukra, hogy figyelembe vegyék a vállalat elosztott irodáit és raktárait, a pénzügyi számviteli és gazdálkodási ellenőrzést, a ügyfélkör, figyelembe véve a mintát mutatók szerint, és így tovább. Az adatok tömbje tehát igen jelentős, túlnyomó többsége pedig olyan információ, amely kereskedelmi és gazdasági szempontból kiemelt jelentőségű a vállalat számára. Valójában a kereskedelmi értéket képviselő adatok bizalmas kezelésének biztosítása a vállalat információbiztonságának egyik fő célja.

Az információbiztonság biztosítása a vállalkozásban a következő dokumentumoknak kell szabályozniuk:

1. Információbiztonsági szabályzat. Tartalmazza az információbiztonság biztosítását célzó célok és célkitűzések megfogalmazását, az információbiztonsági eszközökre vonatkozó belső szabályzatok listáját, valamint a vállalat elosztott információs rendszerének adminisztrációjára vonatkozó előírásokat. A szabályzathoz csak a szervezet vezetése és az automatizálási osztály vezetője férhet hozzá.
2. Előírások technikai támogatás információvédelem. A dokumentumok bizalmasak, hozzáférhetnek az automatizálási részleg alkalmazottai és a felső vezetés.
3. Közigazgatási szabályzat elosztott rendszer információvédelem. A szabályzathoz az információs rendszer adminisztrálásáért felelős automatizálási osztály munkatársai és a felső vezetés férhetnek hozzá.

Ugyanakkor ne korlátozódjon ezekre a dokumentumokra, hanem dolgozzon az alsóbb szinteken is. Ellenkező esetben, ha a vállalkozás nem rendelkezik az információbiztonság biztosításához kapcsolódó egyéb dokumentumokkal, ez az információbiztonság adminisztratív támogatásának elégtelen mértékére utal, mivel nincsenek alacsonyabb szintű dokumentumok, különösen az információs rendszer egyes elemeinek kezeléséhez szükséges utasítások.

A kötelező szervezési eljárások a következők:

• fő intézkedések a személyzet megkülönböztetésére az információs forrásokhoz való hozzáférés szintje szerint,
• a vállalati irodák fizikai védelme az adatok közvetlen behatolásával és megsemmisítésével, elvesztésével vagy lehallgatásával szemben,
• a hardver és szoftver infrastruktúra működőképességének fenntartása automatizált biztonsági mentések, adathordozók távoli ellenőrzése, igény szerint felhasználói és szoftveres támogatás formájában történik.

Ennek tartalmaznia kell az információbiztonság megsértésének eseteire reagáló és kiküszöbölő szabályozott intézkedéseket is.

A gyakorlatban gyakran megfigyelhető, hogy a vállalkozások nem fordítanak kellő figyelmet erre a kérdésre. Minden ilyen irányú intézkedést kizárólag rutinszerűen hajtanak végre, ami megnöveli a jogsértések megszüntetésének idejét, és nem garantálja az információbiztonság ismételt megsértésének megelőzését. Ráadásul a balesetek, információszivárgás, adatvesztés és kritikus helyzetek következményeinek kiküszöbölésére irányuló intézkedések tervezésében teljes a gyakorlat hiánya. Mindez jelentősen rontja a vállalkozás információbiztonságát.

Szoftver és hardver szinten háromszintű információbiztonsági rendszert kell megvalósítani.

Minimális információbiztonsági kritériumok:

1. Beléptető modul:

• Az információs rendszerbe zárt bejárat került, ellenőrzött munkahelyeken kívül nem lehet belépni a rendszerbe;
• A mobil személyi számítógépekről korlátozott funkcionalitású hozzáférést valósítottak meg az alkalmazottak számára;
• az engedélyezés a rendszergazdák által generált bejelentkezési nevekkel és jelszavakkal történik.

2. Titkosítás és integritás vezérlő modul:

• aszimmetrikus módszert alkalmaznak a továbbított adatok titkosítására;
• a kritikus adatok tömbjeit adatbázisokban tárolják titkosított formában, ami nem teszi lehetővé a hozzáférést még akkor sem, ha a vállalat információs rendszerét feltörik;
• az integritás ellenőrzését egyszerű digitális aláírás az információs rendszerben tárolt, feldolgozott vagy továbbított összes információforrás.

3. Árnyékoló modul:

• a tűzfalakban szűrőrendszert valósítottak meg, amely lehetővé teszi az összes információáramlás vezérlését a kommunikációs csatornákon keresztül;
• külső kapcsolatok a globális információs erőforrásokhoz és nyilvános kommunikációs csatornákhoz csak korlátozott számú ellenőrzött munkaállomáson keresztül hozhatók létre, amelyek korlátozottan kapcsolódnak a vállalati információs rendszerhez;
• Az alkalmazottak munkaállomásairól a hivatalos feladataik ellátásához való biztonságos hozzáférés egy kétszintű proxy szerver rendszeren keresztül valósul meg.

Végül az alagútépítési technológiák segítségével a vállalatnak egy tipikus tervezési modellnek megfelelő virtuális magánhálózatot kell megvalósítania, hogy biztonságos kommunikációs csatornákat biztosítson a vállalat különböző részlegei, partnerei és ügyfelei között.

Annak ellenére, hogy a kommunikáció közvetlenül a potenciálisan hálózatokon keresztül történik alacsony szint bizalom, az alagútépítési technológiák a kriptográfia használatának köszönhetően lehetővé teszik az összes továbbított adat megbízható védelmét.

Következtetések

Az információbiztonság területén meghozott összes intézkedés fő célja a vállalkozás érdekeinek védelme a birtokában lévő információforrásokhoz kapcsolódóan, így vagy úgy. Bár a vállalati érdekek nem korlátozódnak egy adott területre, ezek mindegyike az információk elérhetősége, integritása és bizalmassága köré összpontosul.

Az információbiztonság biztosításának problémáját két fő ok magyarázza.

1. A vállalkozás által felhalmozott információforrások értékesek.
2. Az információs technológiáktól való kritikus függés meghatározza azok széles körű elterjedését.

Tekintettel az információbiztonságot fenyegető veszélyek széles skálájára, például a pusztításra fontos információkat, bizalmas adatok jogosulatlan felhasználása, a vállalkozás működésében az információs rendszer működésében fellépő fennakadások miatti fennakadások, megállapíthatjuk, hogy mindez objektíve nagy anyagi veszteséghez vezet.

Az információbiztonság biztosításában jelentős szerep jut a számítógépes entitások vezérlését célzó szoftvereknek és hardvereknek, pl. berendezések, szoftverelemek, adatok, amelyek az információbiztonság utolsó és legmagasabb prioritású sorát alkotják. Az adattovábbításnak biztonságosnak kell lennie a titkosságuk, sértetlenségük és elérhetőségük megőrzése szempontjából is. Ezért be modern körülmények között A biztonságos kommunikációs csatornák biztosítása érdekében az alagútépítési technológiákat kriptográfiai eszközökkel kombinálják.

Irodalom

1. Galatenko V.A. Információbiztonsági szabványok. – M.: Internetes Információs Technológiai Egyetem, 2006.
2. Partyka T.L., Popov I.I. Információbiztonság. – M.: Fórum, 2012.

Amikor az információbiztonságot fenyegető veszélyről beszélünk, általában azt képzeljük el, hogy egy tapasztalt hacker éjjel-nappal alaposan tanulmányozza az adatbázis-védelem legkisebb hiányosságait. A gyakorlat azonban azt mutatja, hogy a bajok gyakran a vállalaton belülről származnak - felügyelet vagy rosszindulatú szándék miatt bizalmas információk szivárognak ki a szervezet alkalmazottain keresztül.

Számos komoly szakember szervezeti információbiztonság a belső fenyegetést nevezi a legfontosabbnak, amely az összes lehetséges kockázat 80%-át teszi ki. Valójában, ha figyelembe vesszük a hackertámadások átlagos sebzését, akkor ez közel lesz a nullához, a nagyszámú feltörési kísérlet és azok nagyon alacsony hatékonysága miatt. Egyetlen személyi tévedés vagy sikeres bennfentes bûnügy több millió dolláros (közvetlen és közvetett) veszteségbe, perbe és ismertségbe kerülhet a cégnek az ügyfelek szemében. Valójában a vállalat léte is veszélybe kerülhet, és ez sajnos valóság. Hogyan kell biztosítani ? Hogyan védekezhet az információszivárgás ellen? Hogyan lehet időben felismerni és megelőzni egy belső fenyegetést? Milyen módszerek a leghatékonyabbak ma a leküzdésben?

Az ellenség belül van

Szinte minden alkalmazott, aki hozzáfér a bizalmas vállalati információkhoz, belső támadóvá vagy bennfentessé válhat. A bennfentes cselekedeteinek motivációja nem mindig nyilvánvaló, ami jelentős nehézségekkel jár az azonosításában. Egy nemrégiben elbocsátott alkalmazott, aki haragot táplál munkáltatója ellen; tisztességtelen munkavállaló, aki többletpénzt akar keresni adatok eladásával; modern Herostratus; egy versenytárs vagy bűnözői csoport speciálisan beágyazott ügynöke – ez csak néhány bennfentes archetípus.

A rosszindulatú bennfentes cselekmények által okozott gondok gyökere e fenyegetés jelentőségének alábecsülésében rejlik. A Perimetrix által végzett tanulmány szerint egy cég bizalmas információinak több mint 20%-ának kiszivárogtatása a legtöbb esetben a cég összeomlásához és csődjéhez vezet. A bennfentesek különösen gyakori, de még mindig legkiszolgáltatottabb áldozatai a tetszőleges méretű – több száz-több ezer fős – pénzintézetek. Annak ellenére, hogy a legtöbb esetben a cégek megpróbálják elrejteni vagy jelentősen alábecsülni a valós kárszámokat a bennfentesek cselekedeteiből, még a hivatalosan bejelentett veszteségek is lenyűgözőek. Az anyagi veszteségeknél sokkal fájdalmasabb egy vállalat számára a cég hírnevének károsodása és a vásárlói bizalom meredek csökkenése. A közvetett veszteségek gyakran sokszor nagyobbak lehetnek, mint a tényleges közvetlen károk. Így széles körben ismert a liechtensteini LGT bank esete, amikor 2008-ban egy banki alkalmazott betétes adatbázist adott át Németország, USA, Nagy-Britannia és más országok titkosszolgálatainak. Mint kiderült, a bank külföldi ügyfelei közül rengetegen éltek a speciális LGT státusszal az országukban hatályos adótörvények megkerülésével. Pénzügyi nyomozási és kapcsolódó peres eljárások hulláma söpört végig a világon, és az LGT Bank elveszítette összes jelentős ügyfelét, kritikus veszteségeket szenvedett, és egész Liechtensteint súlyos gazdasági és diplomáciai válságba sodorta. Nem kell messzire keresni a nagyon friss példákat - 2011 elején az ügyfelek személyes adatainak kiszivárgásának tényét egy olyan pénzügyi óriás ismerte fel, mint a Bank of America. Ennek eredményeként csalárd tevékenységek, a bankból kiszivárgott információk között szerepeltek nevek, címek, társadalombiztosítási és telefonszámok, bankszámlaszámok, ill. jogosítvány, címek email, PIN kódok és a betétesek egyéb személyes adatai. Nem valószínű, hogy pontosan meg lehet majd határozni a bank veszteségeinek valós mértékét, hacsak nem jelentették be hivatalosan, hogy az összeg „több mint 10 millió dollár”. Az adatszivárgás oka egy bennfentes cselekedete volt, aki információkat adott át egy szervezett bűnözői csoportnak. A bennfentes támadások azonban nem csak a bankokat és alapokat fenyegetik, elég csak felidézni számos nagy horderejű botrányt a WikiLeaks-forrás bizalmas adatainak nyilvánosságra hozatalával kapcsolatban – szakértők szerint az információkból tisztességes részesedést szereztek; bennfenteseken keresztül.

Az élet prózája

A bizalmas cégadatok nem szándékos megsértése, kiszivárgása vagy elvesztése sokkal gyakoribb és prózaibb dolog, mint a bennfentesek által okozott kár. A személyzet gondatlansága és az információbiztonság megfelelő technikai támogatásának hiánya a vállalati titkok közvetlen kiszivárogtatását okozhatja. Az ilyen gondatlanság nemcsak a cég költségvetésében és hírnevében okoz komoly károkat, hanem széles körű nyilvános disszonanciát is okozhat. A nyilvánosságra hozatalt követően a titkos információk nem a támadók szűk körének, hanem a teljes információs térnek a tulajdonába kerülnek – a kiszivárogtatásról az interneten, a televízióban és a sajtóban is szó esik. Emlékezzünk a hangos botrányra a legnagyobb orosz szolgáltató SMS-üzeneteinek közzétételével sejtes kommunikáció"Megafon". A technikai személyzet figyelmetlensége miatt az SMS-eket az internetes keresők indexelték, a hálózatba szivárgott az előfizetői levelezés, amely személyes és üzleti jellegű információkat is tartalmazott. Egy nagyon friss eset: az Orosz Nyugdíjalap ügyfelei személyes adatainak közzététele. Az alap egyik regionális irodájának képviselőinek hibája indexáláshoz vezetett személyes adatok 600 fő - név, regisztrációs szám, részletes összegeket bármely internetező elolvashatta a Nyugdíjpénztári ügyfelek megtakarításait.

A gondatlanságból eredő bizalmas adatok kiszivárgásának igen gyakori oka a cégen belüli iratok napi rotációja. Például egy alkalmazott átmásolhat egy bizalmas adatokat tartalmazó fájlt laptopra, USB-meghajtóra vagy PDA-ra, hogy az irodán kívül dolgozhasson az adatokkal. Ezenkívül az információ egy fájltároló szolgáltatásra vagy az alkalmazott személyes e-mail-címére kerülhet. Ilyen helyzetekben az adatok teljesen védtelenek a támadók számára, akik kihasználhatják a nem szándékos szivárgást.

Arany páncél vagy testpáncél?

Az információbiztonsági iparágban az adatszivárgás elleni védelem érdekében különféle rendszereket hoznak létre az információk szivárgás elleni védelmére, amelyeket hagyományosan az angol DLP rövidítéssel jelölnek. Adatszivárgás megelőzése. Általában ezek a legnehezebbek szoftverrendszerek, amely széles körű funkcionalitással rendelkezik a rosszindulatú vagy véletlen szivárgások megelőzésére minősített információ. Az ilyen rendszerek sajátossága, hogy helyes működésükhöz az információk és dokumentumok belső áramlásának szigorúan kiigazított szerkezetére van szükség, mivel minden információval végzett művelet biztonsági elemzése adatbázisokkal való munkavégzésen alapul. Ez magyarázza a professzionális DLP-megoldások telepítésének magas költségeit: a kliens cégnek már a közvetlen bevezetés előtt is vásárolnia kell egy adatbázis-kezelő rendszert (általában Oracle vagy SQL), megrendelnie kell az információáramlási struktúra költséges elemzését és auditját, valamint ki kell dolgoznia. új politika biztonság. Gyakori helyzet az, amikor egy vállalat információinak több mint 80%-a strukturálatlan, ami vizuális képet ad az előkészítő tevékenységek mértékéről. Természetesen maga a DLP rendszer is sok pénzbe kerül. Nem meglepő, hogy csak a nagy cégek készek milliókat költeni rá a szervezet információbiztonsága.

De mit tegyenek a kis- és középvállalkozások, ha biztosítaniuk kell üzleti információbiztonság, de nincs forrás és lehetőség egy professzionális DLP rendszer megvalósítására? A cégvezető vagy biztonsági tiszt számára a legfontosabb annak meghatározása, hogy milyen információkat védjen, és az alkalmazottak információs tevékenységének mely aspektusait kell ellenőriznie. IN Orosz üzlet Továbbra is az a vélemény uralkodik, hogy abszolút mindent meg kell védeni, az információk minősítése vagy a védőintézkedések hatékonyságának kiszámítása nélkül. Ezzel a megközelítéssel teljesen nyilvánvaló, hogy miután megtanulta a kiadások összegét vállalati információbiztonság, egy kis- és középvállalkozás vezetője legyintett, és reménykedik a „talán”.

Vannak alternatív módokon olyan védelmek, amelyek nem érintik az adatbázisokat és az információk meglévő életciklusát, de megbízható védelmet nyújtanak a támadók cselekedetei és a munkavállalók hanyagsága ellen. Ezek rugalmas moduláris rendszerek, amelyek zökkenőmentesen együttműködnek más biztonsági eszközökkel, mind hardverrel, mind szoftverrel (például vírusirtókkal). A jól megtervezett biztonsági rendszer nagyon megbízható védelmet nyújt mind a külső, mind a belső fenyegetésekkel szemben, ideális egyensúlyt biztosítva az ár és a funkcionalitás között. A SafenSoft információbiztonsági rendszereket fejlesztő orosz cég szakemberei szerint az optimális megoldás a külső fenyegetésekkel szembeni védelem elemeinek kombinálása (például a behatolást megakadályozó HIPS, plusz egy víruskereső) a hozzáférés felügyeletére és ellenőrzésére szolgáló eszközökkel. felhasználóknak és alkalmazásoknak az egyes információs szektorokhoz. Ezzel a megközelítéssel a szervezet teljes hálózati struktúrája teljesen védve van az esetleges hackeléstől vagy vírusfertőzéstől, és a személyzet információval történő munkavégzése során végzett tevékenységének nyomon követésére és felügyeletére szolgáló eszközök hatékonyan megakadályozhatják az adatszivárgást. Ha rendelkezik az összes szükséges védőfelszerelés arzenáljával, a moduláris rendszerek költsége tízszer alacsonyabb, mint a komplex DLP-megoldásoké, és nem igényel semmilyen költséget a vállalat információs struktúrájának előzetes elemzéséhez és adaptálásához.

Szóval, foglaljuk össze. Fenyegetések vállalati információbiztonság teljesen valósak, és nem szabad alábecsülni. Az ellenzék mellett külső fenyegetések Különös figyelmet kell fordítani a belső fenyegetésekre. Fontos megjegyezni, hogy a vállalati titkok kiszivárogtatása nem csak rosszindulatú szándékból következik be - általában az alkalmazott elemi hanyagsága és figyelmetlensége okozza. A védekezési eszközök kiválasztásakor nem kell minden elképzelhető és elképzelhetetlen fenyegetést lefedni, erre egyszerűen nincs elég pénz és erőfeszítés. Építsen meg megbízható moduláris biztonsági rendszert, amely védett a külső behatolás kockázataival szemben, és lehetővé teszi a vállalaton belüli információáramlás ellenőrzését és figyelemmel kísérését.

A vállalati információbiztonság a vállalati adatok olyan biztonsági állapota, amely biztosítja azok titkosságát, integritását, hitelességét és elérhetőségét.

A vállalat információbiztonságát a vállalati adatok védelmét célzó szervezési és technikai intézkedések egész sora biztosítja. A szervezeti intézkedések magukban foglalják a különböző típusú információkkal, informatikai szolgáltatásokkal, biztonsági eszközökkel stb. való munkavégzés dokumentált eljárásait és szabályait. A technikai intézkedések közé tartozik a hardver és szoftver hozzáférés-szabályozás, szivárgásfigyelés, vírusvédelem, tűzfal, elektromágneses sugárzás elleni védelem stb.

A vállalati információbiztonsági rendszerek feladatai változatosak. Ennek célja az információk biztonságos tárolása különböző médiákon; kommunikációs csatornákon továbbított adatok védelme; hozzáférés korlátozása különféle típusok dokumentumok; Teremtés biztonsági másolatok, információs rendszerek katasztrófa utáni helyreállítása stb.

Egy vállalkozás információbiztonságának biztosítása csak a védelem szisztematikus és átfogó megközelítésével lehetséges. Az információbiztonsági rendszernek figyelembe kell vennie az összes aktuális számítógépes fenyegetést és sebezhetőséget.

A vállalkozások és szervezetek teljes körű információbiztonsága magában foglalja az adatbiztonságot érintő valamennyi fontos esemény és körülmény folyamatos, valós idejű nyomon követését. A védelmet éjjel-nappal és egész évben kell végezni, és le kell fednie az információ teljes életciklusát – a beérkezéstől vagy létrehozástól a megsemmisítésig vagy a relevancia elvesztéséig.

Vállalati szinten az információbiztonságért az informatikai, a gazdaságbiztonsági, a személyzeti és egyéb szolgálatok osztályai felelnek.