زنگ.

کسانی هستند که این خبر را قبل از شما خوانده اند.
مشترک شدن برای دریافت مقالات تازه.
پست الکترونیک
نام
نام خانوادگی
چگونه می خواهید زنگ را بخوانید
بدون هرزنامه

روش های حفاظت از اطلاعات در حوزه اطلاعات. امنیت اطلاعات. به معنای تضمین و نظارت بر یکپارچگی نرم افزار و منابع اطلاعاتی است

اشتراک گذاری.
اشتراک گذاری.
توییت.
پسندیدن
پسندیدن

پیشرفت Achno-technical اطلاعات را به یک محصول تبدیل کرده است که می توانید خرید، فروش، مبادله را خریداری کنید. اغلب هزینه داده ها چند برابر بیشتر از قیمت کل سیستم فنی است که اطلاعات را ذخیره و پردازش می کند.

کیفیت اطلاعات تجاری، تأثیر اقتصادی لازم را برای شرکت فراهم می کند، بنابراین مهم است که از داده های انتقادی از اقدامات غیرقانونی محافظت کنیم. این به شرکت اجازه می دهد تا با موفقیت در بازار رقابت کنند.

تعریف امنیت اطلاعات

امنیت اطلاعات (IB) - این وضعیت سیستم اطلاعاتی است که در آن حداقل حساس به مداخله و آسیب از اشخاص ثالث است. امنیت داده ها همچنین به معنای مدیریت ریسک است که مربوط به افشای اطلاعات یا تأثیر بر روی ماژول های حفاظت از سخت افزار و نرم افزار است.

امنیت اطلاعاتی که در سازمان پردازش می شود، مجموعه ای از اقدامات است که هدف آن حل مسئله حفاظت از محیط اطلاعات در داخل شرکت است. در عین حال، اطلاعات نباید محدود به استفاده و توسعه پویا برای افراد مجاز باشد.

سیستم حفاظت از IB

حفاظت از منابع اطلاعات باید باشد:

1. مقدار ثابت. یک مهاجم در هر زمان می تواند سعی کند از ماژول های حفاظت از داده ها عبور کند که آن را مورد توجه قرار دهند.

2. هدف. اطلاعات باید در یک هدف خاص دفاع شود که سازمان یا صاحب داده ها تعیین شده است.

3. برنامه ریزی شده. تمام روش های دفاعی باید با استانداردهای دولتی، قوانین و زیرنویس مطابقت داشته باشند که مسائل مربوط به اطلاعات محرمانه را تنظیم می کنند.

4. فعال. حوادث برای حمایت از کار و بهبود سیستم حفاظت باید به طور مرتب انجام شود.

5. مجتمع استفاده از ماژول های حفاظت فردی یا ابزار فنی غیر قابل قبول است. لازم است تمام انواع حفاظت را به طور کامل اعمال کنیم، در غیر این صورت سیستم توسعه یافته از معنا و پایه اقتصادی محروم خواهد شد.

6. جهانی. ابزار دفاع باید مطابق با کانال های نشت موجود انتخاب شود.

7. قابل اعتماد. تمام تکنیک های حفاظت باید به طور قابل اعتماد از راه های احتمالی برای محافظت از اطلاعات از مهاجم، صرف نظر از فرم ارائه داده ها، همپوشانی داشته باشند.

الزامات ذکر شده نیز باید به سیستم DLP متصل شود. و بهتر است که قابلیت های آن را در عمل ارزیابی کنید و نه در تئوری. شما ظرف 30 روز می توانید "Sirchinform Kib" را به صورت رایگان تجربه کنید.

مدل سیستم امنیتی

اگر سه ویژگی اصلی مشاهده شود، اطلاعات محافظت می شود.

اولین - تمامیت - شامل اطمینان از قابلیت اطمینان و نمایش صحیح داده های محافظت شده، صرف نظر از آن سیستم های امنیتی و حفاظتی در شرکت استفاده می شود. پردازش داده ها نباید نقض شود، و کاربران سیستم هایی که با فایل های محافظت شده کار می کنند نباید با اصلاح غیر مجاز یا تخریب منابع، سوء عملکرد مواجه شوند.

دومین - محرمانه بودن - بدان معنی است که دسترسی به مشاهده و ویرایش اطلاعات به کاربران مجاز مجاز از سیستم حفاظت ارائه شده است.

سوم - دسترسی - این بدان معنی است که تمام کاربران مجاز باید به اطلاعات محرمانه دسترسی داشته باشند.

به اندازه کافی برای شکستن یکی از خواص اطلاعات محافظت شده به طوری که استفاده از سیستم بی معنی تبدیل شده است.

مراحل ایجاد و ارائه سیستم حفاظت از اطلاعات

در عمل، ایجاد یک سیستم حفاظت از اطلاعات در سه مرحله انجام می شود.

در مرحله اول یک مدل سیستم پایه در حال توسعه است، که در شرکت کار خواهد کرد. برای انجام این کار، لازم است تمام انواع داده های موجود در شرکت را تجزیه و تحلیل کنیم و شما باید در برابر تجاوزات شخص ثالث محافظت کنید. طرح کاری در مرحله اولیه چهار سوال است:

  1. آیا اطلاعات باید محافظت شود؟
  2. گسترش دسترسی به امنیت اطلاعات چیست؟

هدف ممکن است آشنا، تغییر، اصلاح یا تخریب داده ها باشد. هر اقدام غیرقانونی است اگر مهاجم آن را انجام دهد. آشنایی به تخریب ساختار داده منجر نمی شود و اصلاح و تخریب منجر به کاهش جزئی یا کامل اطلاعات می شود.

  1. محتوای اطلاعات محرمانه چیست؟

منابع در این مورد مردم و منابع اطلاعاتی هستند: اسناد، درایوهای فلش، نشریات، محصولات، سیستم های کامپیوتری، ابزار کارگاه.

  1. راه های دسترسی و نحوه محافظت در برابر تلاش های غیر مجاز برای تأثیرگذاری بر سیستم؟

روش های زیر را برای دسترسی به دست آورید:

  • دسترسی غیرمجاز - استفاده غیرقانونی از داده ها؛
  • نشت - انتشار غیرقابل کنترل اطلاعات خارج از شبکه شرکت های بزرگ. نشت به علت کمبودهای، ضعف کانال فنی سیستم امنیتی رخ می دهد؛
  • افشاء - تأثیر تاثیر عامل انسان. کاربران تحرک می توانند اطلاعات را برای انتقال به رقبا اعلام کنند یا بی توجهی کنند.

مرحله دوم شامل توسعه سیستم حفاظت است. این بدان معنی است که تمام روش های انتخاب شده، ابزار و جهت حفاظت از داده ها را اجرا کنید.

این سیستم بلافاصله در چند جهت حفاظت ساخته شده است، در سطوح مختلفی که با یکدیگر ارتباط برقرار می کنند تا کنترل اطلاعات قابل اطمینان را تضمین کنند.

سطح قانونی فراهم می کند مطابق با استانداردهای دولتی در زمینه حفاظت از اطلاعات و شامل کپی رایت، حکم، اختراعات و شرح شغلی است. سیستم حفاظت صالح ساخته شده از حقوق کاربر و استانداردهای پردازش داده ها را نقض نمی کند.

سطح سازمانی به شما اجازه می دهد تا یک تنظیم از کاربران را با اطلاعات محرمانه ایجاد کنید، پرسنل را انتخاب کنید، کار را با مستندات و حامل های داده فیزیکی سازماندهی کنید.

مقررات کاربران با اطلاعات محرمانه دسترسی به قوانین دسترسی نامیده می شود. قوانین توسط مدیریت شرکت همراه با سرویس امنیتی و ارائه دهنده تاسیس شده است که سیستم امنیتی را معرفی می کند. هدف این است که شرایط را برای دسترسی به منابع اطلاعاتی برای هر کاربر ایجاد کنید، به عنوان مثال، حق خواندن، ویرایش، انتقال یک سند محرمانه. قوانین جدایی دسترسی در سطح سازمانی توسعه یافته و در مرحله کار با مولفه فنی سیستم معرفی شده است.

سطح فنی به طور مشروط به فیزیکی، سخت افزار، نرم افزار و خطی ریاضی تقسیم شده است.

  • فیزیکی - ایجاد موانع در اطراف شیء محافظت شده: سیستم های امنیتی، سر و صدا، تقویت ساختارهای معماری؛
  • سخت افزار - نصب و راه اندازی ابزار فنی: رایانه های ویژه، سیستم های کنترل کارمند، حفاظت از سرور و شبکه های شرکتی؛
  • برنامه - نصب نرم افزار سیستم حفاظت، اجرای قانون دسترسی به دفع و آزمایش کار؛
  • ریاضی - پیاده سازی روش های محافظت از داده های رمزنگاری و استنوگرافی برای انتقال امن بر روی شبکه یا شبکه جهانی.

سوم، مرحله نهایی - این پشتیبانی از عملکرد سیستم، کنترل منظم و مدیریت ریسک است. مهم است که ماژول حفاظت از انعطاف پذیری متمایز شود و به مدیر امنیت اجازه دهد تا زمانی که تهدیدات بالقوه جدید یافت می شود، به سرعت سیستم را بهبود بخشد.

انواع داده های محرمانه

اطلاعات محرمانه - این اطلاعات است، دسترسی به آن محدود است مطابق با قوانین دولت و هنجارهایی که شرکت ها به تنهایی نصب شده اند.

  • شخصی داده های محرمانه: اطلاعات شخصی شهروندان، حق زندگی شخصی، مکاتبات، پنهان کردن شخصیت. استثنا تنها اطلاعاتی است که به رسانه ها اعمال می شود.
  • سرویس اطلاعات محرمانه: اطلاعات، دسترسی به آن تنها می تواند تنها دولت (مقامات دولتی) را محدود کند.
  • قضایی داده های محرمانه: راز تحقیق و رسیدگی.
  • تجاری داده های محرمانه: تمام انواع اطلاعات مربوط به تجارت (سودآور) و دسترسی به آن توسط قانون یا شرکت محدود (تحولات مخفی، تکنولوژی تولید و غیره) محدود شده است.
  • حرفه ای داده های محرمانه: اطلاعات مربوط به فعالیت های شهروندان، به عنوان مثال، یک راز پزشکی، اسناد رسمی یا وکیل، افشای آن توسط قانون تحت تعقیب قانونی قرار می گیرد.

تهدید محرمانه بودن منابع اطلاعاتی

تهدید - اینها ممکن است تلاش های واقعی برای مالکیت منابع اطلاعات محافظت شده باشد.

منابع تهدید حفاظت از داده های محافظه کاران، رقبا، مهاجمان، سازمان های مدیریتی هستند. هدف هر گونه تهدید، تأثیر یکپارچگی، کامل بودن و دسترسی به داده ها است.

تهدیدات داخلی یا خارجی هستند. تهدیدات خارجی آنها تلاش می کنند تا دسترسی به داده ها را از خارج به دست آورند و با هک کردن سرورها، شبکه ها، حساب های کارکنان و خواندن اطلاعات از کانال های نشت فنی (خواندن آکوستیک با اشکالات، دوربین ها، اتصالات برای سخت افزار، به دست آوردن اطلاعات ارتعاش از ویندوز و ساختارهای معماری همراه هستند) .

تهدیدات داخلی اقدامات غیرقانونی پرسنل، اداره کار یا مدیریت شرکت را اندازه گیری کنید. در نتیجه، سیستم کاربر که با اطلاعات محرمانه کار می کند می تواند بیگانگان را صادر کند. در عمل، چنین تهدیدی اغلب یافت می شود. یک کارمند می تواند داده های مخفی را برای سالها ادغام کند. این به راحتی اجرا می شود، زیرا اقدامات یک کاربر مجاز، مدیر امنیتی به عنوان یک تهدید واجد شرایط نیست.

از آنجا که تهدیدات داخلی IB با یک عامل انسانی مرتبط هستند، آنها را پیگیری و آنها را سخت تر مدیریت کنید. شما می توانید حوادث را با تقسیم کارکنان به گروه های ریسک هشدار دهید. با استفاده از این کار، یک ماژول خودکار می تواند با پروفیل های روانشناسی مقابله کند.

تلاش برای دسترسی غیر مجاز می تواند به چندین روش رخ دهد:

  • از طریق کارکنانکه می تواند داده های محرمانه را به غریبه ها انتقال دهد، رسانه های فیزیکی یا دسترسی به اطلاعات محافظت شده را از طریق اسناد چاپی انتقال دهد؛
  • با استفاده از نرم افزار مهاجمان حملات را انجام می دهند که هدف آن "Steam-login-password" را هدف قرار می دهند، کلید های رمزنگاری را برای رمزگشایی داده ها، کپی کردن اطلاعات غیر مجاز از بین می برد.
  • با اجزای سخت افزاری به عنوان مثال، سیستم خودکار، معرفی دستگاه های گوش دادن یا استفاده از فن آوری های سخت افزاری سخت افزاری در فاصله (خارج از منطقه کنترل شده).


سخت افزار و نرم افزار IB

تمام سیستم عامل های مدرن مجهز به ماژول های حفاظتی داخلی در سطح برنامه هستند. Mac OS، Windows، Linux، iOS کاملا با وظیفه رمزگذاری داده ها روی دیسک و در طول فرآیند انتقال به سایر دستگاه ها میباشد. با این حال، مهم است که از ماژول های حفاظت اضافی برای ایجاد کارآمد با اطلاعات محرمانه استفاده کنید.

سیستم عامل سفارشی از داده ها در زمان انتقال در شبکه محافظت نمی کند و سیستم های حفاظتی به شما اجازه می دهد تا جریان های اطلاعاتی را که توسط شبکه شرکت های بزرگ پخش می شوند، کنترل کنید و اطلاعات مربوط به هسته را ذخیره کنید.

ماژول سخت افزاری و نرم افزاری حفاظت برای تقسیم به گروه ها، هر کدام از آنها عملکرد حفاظت از اطلاعات حساس را انجام می دهد:

  • سطح شناسایی - این یک سیستم تشخیص جامع کاربر است که می تواند از احراز هویت استاندارد یا چند سطح، بیومتریک (تشخیص چهره، اسکن اثر انگشت، ضبط صدا و سایر تکنیک ها) استفاده کند.
  • سطح رمزگذاری تبادل کلیدی بین فرستنده و گیرنده را فراهم می کند و تمام داده های سیستم را رمزگذاری می کند.

حفاظت از حقوقی اطلاعات

اساس قانونی امنیت اطلاعات دولت را فراهم می کند. حفاظت از اطلاعات توسط کنوانسیون های بین المللی، قانون اساسی، قوانین فدرال و زیستن اداره می شود.

دولت همچنین اندازه گیری مسئولیت را برای نقض مقررات قوانین در زمینه IB تعیین می کند. به عنوان مثال، فصل 28 "جنایات در حوزه اطلاعات کامپیوتر" در قانون کیفری فدراسیون روسیه شامل سه مقاله است:

  • ماده 272 "دسترسی غیر مجاز به اطلاعات کامپیوتر"؛
  • ماده 273 "ایجاد، استفاده و انتشار برنامه های کامپیوتری مخرب"؛
  • ماده 274 "نقض قوانین عملیات ذخیره سازی، پردازش یا انتقال اطلاعات کامپیوتر و شبکه های اطلاعاتی و شبکه های مخابراتی".

حفاظت از سخت افزار سخت افزاری در برابر دسترسی غیر مجاز شامل اقدامات شناسایی، احراز هویت و کنترل دسترسی در سیستم اطلاعاتی است.

شناسایی - اختصاص دادن شناسه های منحصر به فرد دسترسی به موضوعات.

این شامل برچسب های فرکانس رادیویی، فن آوری های بیومتریک، کارت های مغناطیسی، کلیدهای مغناطیسی جهانی، ورود به سیستم ورود به سیستم و غیره

احراز هویت - بررسی لوازم جانبی دسترسی به شناسه و تأیید صحت آن.

روش های احراز هویت عبارتند از کلمه عبور، کد های پین، کارت های هوشمند، کلید های USB، امضا های دیجیتال، کلید های جلسه، و غیره بخش رویه ای از ابزارهای شناسایی و احراز هویت، مرتبط است و در واقع، نشان دهنده پایه اصلی تمام نرم افزار و سخت افزار امنیت اطلاعات است، زیرا تمام خدمات دیگر برای حفظ نهادهای خاص طراحی شده اند، به درستی توسط سیستم اطلاعاتی به رسمیت شناخته شده است. به طور کلی، شناسایی اجازه می دهد موضوع خود را برای شناسایی خود برای سیستم اطلاعاتی، و با کمک احراز هویت، سیستم اطلاعات تایید می کند که موضوع در واقع یکی از کسانی که برای آنها مسائل مربوط می شود. بر اساس گذشت این عملیات، عملیات برای دسترسی به سیستم اطلاعاتی فراهم می شود. روش های کنترل دسترسی اجازه می دهد تا افراد مجاز برای انجام مقررات اقدام، و سیستم اطلاعاتی برای کنترل این اقدامات بر صحت و صحت نتیجه به دست آمده. دسترسی به سیستم اجازه می دهد تا اطلاعات را از کاربران که آنها پذیرش ندارند، بسته شود.

به معنای حفاظت از نرم افزار و سخت افزاری، پروتکل و ممیزی اطلاعات است.

ورود به سیستم شامل مجموعه، انباشت و حفظ اطلاعات در مورد حوادث، اقدامات، نتایج حاصل از آن در طول عملیات سیستم اطلاعات، کاربران فردی، فرایندها و تمام نرم افزارهای و سخت افزار، که در سیستم اطلاعات سازمانی گنجانده شده است، شامل می شود.

از آنجایی که هر مولفه سیستم اطلاعاتی دارای مجموعه ای از پیش تعیین شده از رویدادهای احتمالی مطابق با طبقه بندی های برنامه ریزی شده، حوادث، اقدامات و نتایج به آن تقسیم می شود:

  • خارجی، ناشی از اجزای دیگر،
  • داخلی، ناشی از اقدامات جزء خود،
  • مشتری، ناشی از کاربر و مدیران.
ممیزی اطلاعات این است که تجزیه و تحلیل عملیاتی را در زمان واقعی یا در یک دوره معین انجام دهیم.

بر اساس نتایج تجزیه و تحلیل، یک گزارش در مورد رویدادهایی که رخ داده است، یا پاسخ خودکار به وضعیت آزادانه آغاز می شود.

پیاده سازی ورود به سیستم و حسابرسی، وظایف زیر را حل می کند:

  • اطمینان از پاسخگویی کاربران و مدیران؛
  • اطمینان از توانایی بازسازی دنباله ای از وقایع؛
  • تشخیص تلاش های نقض امنیت اطلاعات؛
  • ارائه اطلاعات برای شناسایی و تجزیه و تحلیل مشکلات.

اغلب، حفاظت از اطلاعات بدون استفاده از داروهای رمزنگاری غیر ممکن است. آنها برای اطمینان از عملیات خدمات رمزگذاری، کنترل یکپارچگی و احراز هویت استفاده می شود، زمانی که ابزار احراز هویت توسط کاربر در یک فرم رمزگذاری شده ذخیره می شود. دو روش رمزنگاری پایه وجود دارد: متقارن و نامتقارن.

کنترل یکپارچگی به شما اجازه می دهد تا اعتبار و هویت جسم را ایجاد کنید، که آرایه داده ها، بخش های داده جداگانه، منبع داده ها را ایجاد می کند و همچنین اطمینان حاصل کنید که این اقدام غیرممکن است که عمل انجام شده در سیستم با مجموعه ای از اطلاعات انجام شود. پایه ای برای اجرای یکپارچگی کنترل یک تکنولوژی تبدیل داده ها با استفاده از رمزگذاری و گواهینامه های دیجیتال است.

یکی دیگر از جنبه های مهم، استفاده از محافظتی، تکنولوژی است که اجازه می دهد تا دسترسی افراد به منابع اطلاعات را متمایز کند، تمام جریان های اطلاعاتی بین سیستم اطلاعات سازمانی و اشیاء خارجی، آرایه های داده ها، افراد و همتایان را کنترل می کند. کنترل جریان فیلتر شده است و در صورت لزوم، اطلاعات انتقال را تغییر می دهد.

وظیفه محافظتی حفاظت از اطلاعات داخلی از عوامل بالقوه خصمانه و عوامل خارجی است. شکل اصلی محافظ توسط فایروال ها یا فایروال ها، انواع مختلف و معماری انجام می شود.

از آنجا که یکی از نشانه های امنیت اطلاعات، دسترسی به منابع اطلاعاتی است، پس از آن اطمینان از سطح بالایی از قابلیت دسترسی، یک جهت مهم در اجرای اقدامات نرم افزاری و سخت افزاری است. به طور خاص، دو جهت جدا شده اند: اطمینان از تحمل خطا، I.E. خنثی سازی خرابی های سیستم، توانایی کار در هنگام خطاهای رخ می دهد، و اطمینان از بهبود ایمن و سریع پس از شکست، I.E. خدمات سیستم

الزام اصلی سیستم های اطلاعاتی همیشه با بهره وری معین، حداقل زمان عدم دسترسی و میزان پاسخ، کار می کند.

مطابق با این، دسترسی به منابع اطلاعاتی تضمین شده است:

  • برنامه های کاربردی معماری ساختاری، به این معنی که ماژول های فردی می توانند در صورت لزوم یا به سرعت بدون تعصب به سایر عناصر سیستم اطلاعات جایگزین شوند؛
  • تحمل گسل به علت: استفاده از عناصر خودمختار زیرساخت پشتیبانی، برق را به پیکربندی نرم افزار و سخت افزار، رزرو سخت افزاری، تکثیر منابع اطلاعاتی داخل سیستم، پشتیبان گیری داده ها و غیره
  • حمایت از قابلیت پذیری با کاهش زمان تشخیص و از بین بردن شکست ها و پیامدهای آنها.

نوع دیگری از ابزارهای امنیتی اطلاعات، کانال های ارتباطی محافظت شده را از بین می برد.

عملکرد سیستم های اطلاعاتی ناگزیر با انتقال داده ها مرتبط است، بنابراین برای شرکت ها برای محافظت از منابع اطلاعات منتخب با استفاده از کانال های ارتباطی محافظت شده ضروری است. امکان دسترسی غیرمجاز به داده ها هنگام انتقال ترافیک در کانال های ارتباطی باز به دلیل اشتیاق آنهاست. از آنجا که "ارتباطات در همه آنها از لحاظ جسمی محافظت نمی شود، بنابراین بهتر است ابتدا از این فرض در مورد آسیب پذیری خود ادامه دهید و بر این اساس، حفاظت را ارائه دهید." برای انجام این کار، تکنولوژی های تونل زنی استفاده می شود، ماهیت آن برای کپسول داده ها، I.E. بسته بندی بسته های داده منتقل شده، از جمله تمام ویژگی های خدمات، در پاکت های خود را بسته بندی کنید. بر این اساس، تونل یک اتصال امن از طریق کانال های باز ارتباطات است، که بر اساس آن بسته های داده ای امن رمزنگاری منتقل می شود. تونل زنی برای اطمینان از محرمانه بودن ترافیک توسط مخفی کردن اطلاعات خدمات و اطمینان از محرمانه بودن و یکپارچگی داده های منتقل شده در هنگام استفاده با عناصر رمزنگاری سیستم اطلاعات استفاده می شود. ترکیب تونل زنی و رمزگذاری اجازه می دهد تا شما را به پیاده سازی یک شبکه خصوصی مجازی. با استفاده از این نقطه پایانی تونل هایی که شبکه های خصوصی مجازی را اجرا می کنند، فایروال ها هستند که به اتصال سازمان ها به شبکه های خارجی خدمت می کنند.

صفحه نمایش های آتش نشانی به عنوان امتیاز برای اجرای خدمات شبکه های مجازی خصوصی

بنابراین، تونل زنی و رمزگذاری با تحولات اضافی انجام شده در طول فرآیند فیلتر کردن ترافیک شبکه همراه با ترجمه آدرس ها. انتهای تونل ها، علاوه بر فایروال های شرکتی، ممکن است رایانه های شخصی و تلفن همراه کارکنان، دقیق تر، فایروال های شخصی خود و فایروال ها وجود داشته باشد. با تشکر از این رویکرد، کانال های ارتباطی محافظت شده کار می کنند.

روش های امنیتی اطلاعات

روش های امنیتی اطلاعاتی معمول است که سطح اداری و سازمانی را محدود سازد.

  • رویه های اداری شامل اقدامات عمومی انجام شده توسط مدیریت سازمان، تنظیم تمامی آثار، اقدامات، عملیات در زمینه تضمین و حفظ امنیت اطلاعاتی با تخصیص منابع لازم و نظارت بر اثربخشی اقدامات انجام شده است.
  • سطح سازمانی روش های امنیتی اطلاعاتی است، از جمله مدیریت پرسنل، حفاظت فیزیکی، نگهداری زیرساخت های نرم افزاری و سخت افزاری، حذف عملیات نقض امنیتی و برنامه ریزی بازسازی.

از سوی دیگر، تعریف رویه های اداری و سازمانی بی معنی است، زیرا روش های یک سطح نمی تواند به طور جداگانه از سطح دیگری وجود داشته باشد، در نتیجه، رابطه بین حفاظت از سطح فیزیکی، حفاظت شخصی و سازمانی را در مفهوم امنیت اطلاعات نقض می کند . در عمل، اطمینان از امنیت اطلاعات سازمان، آنها رویه های اداری یا سازمانی را نادیده می گیرند، بنابراین منطقی تر است که آنها را به عنوان یک رویکرد یکپارچه در نظر بگیریم، زیرا هر دو سطح بر سطح فیزیکی، سازمانی و شخصی حفاظت از اطلاعات تاثیر می گذارند.

اساس روش های امنیتی یکپارچه امنیت سیاست امنیتی است.

سیاست امنیت اطلاعات

سیاست امنیت اطلاعات این سازمان مجموعه ای از تصمیمات مستند شده توسط مدیریت سازمان است و با هدف حفاظت از اطلاعات و منابع مرتبط با آن است.

در طرح سازمانی و مدیریت، سیاست امنیت اطلاعات ممکن است یک سند واحد یا صادر شده در قالب چندین اسناد مستقل یا سفارشات باشد، اما در هر صورت جنبه های زیر حفاظت از سیستم اطلاعاتی سازمان باید پوشش دهد:

  • حفاظت از اشیاء سیستم اطلاعات، منابع اطلاعاتی و عملیات مستقیم با آنها؛
  • حفاظت از تمام عملیات مربوط به پردازش اطلاعات در سیستم، از جمله پردازش نرم افزار؛
  • حفاظت از کانال های ارتباطی، از جمله سیمی، کانال های رادیویی، مادون قرمز، سخت افزار و غیره؛
  • حفاظت از پیچیده سخت افزاری از انتشارات الکترومغناطیسی جانبی؛
  • مدیریت سیستم حفاظت، از جمله تعمیر و نگهداری، مدرنیزاسیون و اقدامات اداری.

هر جنبه باید به طور دقیق شرح داده شود و در اسناد داخلی سازمان مستند شده است. اسناد داخلی پوشش سه سطح فرآیند حفاظت را پوشش می دهند: بالا، متوسط \u200b\u200bو پایین تر.

اسناد سطح بالای سیاست امنیت اطلاعات، رویکرد اصلی را به سازمان منعکس می کند تا از اطلاعات و انطباق خود با استانداردهای دولتی و / یا بین المللی محافظت کند. در عمل، در سازمان تنها یک سند سطح بالا، یک مفهوم امنیتی اطلاعات روشنایی، "مقررات امنیت اطلاعات" و غیره وجود دارد. به طور رسمی، این اسناد ارزش محرمانه را نشان نمی دهد، توزیع آنها محدود نیست، اما می تواند در اداره سرمقاله برای استفاده داخلی و انتشار باز شود.

اسناد متوسط \u200b\u200bسطح به شدت محرمانه هستند و مربوط به جنبه های خاص امنیت اطلاعات سازمان هستند: حفاظت از اطلاعات، امنیت پایگاه داده، ارتباطات، ابزار رمزنگاری و سایر اطلاعات و فرآیندهای اقتصادی سازمان. مستند در قالب استانداردهای فنی و سازمانی داخلی اجرا می شود.

اسناد زیر سطح به دو نوع تقسیم می شوند: مقررات کار و دستورالعمل های عملیاتی. مقررات کار به شدت محرمانه است و تنها به افرادی که در حال کار بر روی اداره خدمات امنیتی اطلاعات فردی هستند، در نظر گرفته شده اند. دستورالعمل های استفاده می تواند هر دو محرمانه و عمومی باشد؛ آنها برای کارکنان سازمان در نظر گرفته شده اند و روش را برای کار با عناصر فردی سیستم اطلاعات سازمان توصیف می کنند.

تجربه جهانی نشان می دهد که سیاست امنیتی اطلاعات همیشه تنها در شرکت های بزرگ با یک سیستم اطلاعاتی توسعه یافته مستند شده است که نیازهای امنیتی اطلاعات را بهبود داده اند، به طور متوسط \u200b\u200bشرکت ها اغلب به طور جزئی سیاست های امنیتی اطلاعات را مستند کرده اند، سازمان های کوچک در اکثریت قریب به اتفاق اهمیت نمی دهند همه. سیاست های مستند طراحی صرف نظر از فرمت طراحی مستند، رژیم امنیتی در نظر گرفته شده یا توزیع شده، جنبه اساسی است.

دو روش متفاوت وجود دارد که بر اساس آن هستند سیاست های امنیتی اطلاعات:

  1. "همه چیز ممنوع است مجاز است.
  2. "این همه ممنوع است که مجاز نیست."

نقص اساسی اولین رویکرد، این واقعیت است که در عمل غیرممکن است که تمام موارد خطرناک را ارائه دهیم و آنها را ممنوع کنیم. بدون شک، تنها رویکرد دوم باید اعمال شود.

سطح سازمان امنیت اطلاعات

از دیدگاه حفاظت از اطلاعات، روش های سازمانی برای ارائه امنیت اطلاعات به عنوان "نظارتی فعالیت های تولید و ارتباط بین هنرمندان بر اساس قانونی و قانونی ارائه می شود، به استثنای یا به طور قابل توجهی از طریق اطلاعات محرمانه و تظاهرات داخلی تسلط می یابند و تهدیدات خارجی. "

اقدامات مدیریت پرسنل با هدف سازماندهی کار با پرسنل به منظور اطمینان از امنیت اطلاعات شامل جدایی مسئولیت ها و به حداقل رساندن امتیازات است. جداسازی وظایف چنین توزیع صلاحیت ها و مناطق مسئولیت را نشان می دهد که در آن یک فرد قادر به شکستن روند انتقادی برای سازمان نیست. این احتمال خطاهای و سوء استفاده را کاهش می دهد. به حداقل رساندن امتیازات اختصاص دادن سرمایه کاربر تنها با سطح دسترسی که مربوط به نیاز به انجام وظایف رسمی خود است. این باعث کاهش آسیب های تصادفی یا عمدی عمدی می شود.

حفاظت فیزیکی به معنی توسعه و تصویب اقدامات برای حفاظت مستقیم از ساختمان ها است که منابع اطلاعاتی سازمان مجاورت منطقه، عناصر زیرساخت، تجهیزات محاسباتی، حامل های داده ها و کانال های سخت افزاری ارسال شده است. این شامل کنترل دسترسی فیزیکی، اقدامات مبارزه با آتش، حفاظت از زیرساخت های پشتیبانی، حفاظت در برابر حکم داده ها و حفاظت از سیستم های تلفن همراه است.

حفظ عملکرد زیرساخت های نرم افزاری و سخت افزاری، جلوگیری از خطاهای تصادفی است که آسیب به پیچیدگی سخت افزاری را تهدید می کند، نقض عملیات برنامه ها و از دست دادن داده ها. دستورالعمل های اصلی در این جنبه، اطمینان از پشتیبانی از کاربران و نرم افزار، مدیریت پیکربندی، پشتیبان گیری، مدیریت اطلاعات، مستندات و کار پیشگیرانه است.

حذف عملیات نقض امنیتی سه هدف اصلی را دنبال می کند:

  1. محلی سازی حادثه و کاهش آسیب؛
  2. تشخیص مزاحم؛
  3. پیشگیری از نقض های مکرر.

در نهایت، برنامه ریزی بازسازی کار ما را قادر می سازد تا برای حوادث آماده شود، آسیب را از آنها کاهش دهیم و توانایی عملکرد حداقل در حداقل حجم را حفظ کنیم.

استفاده از نرم افزار و سخت افزار و کانال های ارتباطی محافظت شده باید در سازمان بر اساس یک رویکرد جامع به توسعه و تصویب تمام مراحل نظارتی اداری و سازمانی برای ارائه امنیت اطلاعات اجرا شود. در غیر این صورت، تصویب اقدامات فردی حفاظت از اطلاعات را تضمین نمی کند، و اغلب برعکس، نشت اطلاعات محرمانه، از دست دادن داده های بحرانی، آسیب به زیرساخت های سخت افزاری و نقض اجزای برنامه سیستم اطلاعات سازمان را تحریک می کند.

روش های امنیتی اطلاعات

برای شرکت های مدرن، یک سیستم اطلاعات توزیع شده مشخص می شود، که به ما اجازه می دهد تا دفاتر توزیع شده و انبارهای توزیع شده، حسابداری مالی و کنترل مدیریت، اطلاعات از پایگاه مشتری را در نظر بگیریم، با توجه به نمونه از نظر شاخص ها و غیره. بنابراین، آرایه داده ها بسیار مهم است و در اکثریت قریب به اتفاق این اطلاعات ارزش اولویتی برای شرکت در طرح تجاری و اقتصادی دارد. در واقع، ارائه محرمانه بودن اطلاعاتی که ارزش تجاری دارد، یکی از وظایف اصلی تضمین امنیت اطلاعات در شرکت است.

ارائه امنیت اطلاعات در شرکت باید توسط اسناد زیر تنظیم شود:

  1. مقررات برای ارائه امنیت اطلاعات. شامل اهداف و اهداف امنیتی اطلاعات، فهرستی از مقررات داخلی برای امنیت اطلاعات و ارائه مدیریت یک سیستم اطلاعات توزیع شده شرکت است. دسترسی به مقررات توسط مدیریت سازمان و رئیس بخش اتوماسیون محدود شده است.
  2. مقررات ارائه خدمات فنی حفاظت از اطلاعات. اسناد محرمانه هستند، دسترسی به کارکنان بخش اتوماسیون و راهنمایی های برتر محدود است.
  3. مقررات مدیریت یک سیستم حفاظت از اطلاعات توزیع شده. دسترسی به مقررات توسط کارکنان بخش اتوماسیون مسئول مدیریت یک سیستم اطلاعاتی و راهنمایی های برتر محدود شده است.

در این مورد، این اسناد نباید محدود نباشد و سطوح پایین تر نیز کار می کنند. در غیر این صورت، اگر شرکت دارای اسناد دیگری در مورد ارائه امنیت اطلاعات باشد، درجه ای ناکافی ارائه مدیریت اداری حفاظت از اطلاعات را نشان می دهد، زیرا اسناد سطح پایین تر، به ویژه دستورالعمل های عملیاتی عناصر فردی سیستم اطلاعاتی وجود ندارد .

روش های سازمانی اجباری عبارتند از:

  • اقدامات اساسی برای تمایز پرسنل از لحاظ دسترسی به منابع اطلاعاتی،
  • حفاظت فیزیکی دفاتر شرکت از نفوذ مستقیم و تهدید به تخریب، از دست دادن یا رهگیری از داده ها،
  • حفظ عملکرد زیرساخت های نرم افزاری و سخت افزاری به صورت پشتیبان خودکار، از راه دور رسانه ها، پشتیبانی از کاربران، پشتیبانی از کاربران و نرم افزار بر اساس درخواست انجام می شود.

این نیز باید شامل اقدامات تنظیم شده برای پاسخگویی و از بین بردن موارد اختلالات امنیتی اطلاعات باشد.

در عمل، اغلب مشاهده می شود که شرکت ها به این مسئله توجه ندارند. تمام اقدامات در این جهت به طور انحصاری در نظم کار انجام می شود، که زمان را برای از بین بردن اختلالات افزایش می دهد و هشدارهای نقض امنیت اطلاعات مکرر را تضمین نمی کند. علاوه بر این، یک اقدام برنامه ریزی کامل در عمل برای از بین بردن عواقب ناشی از حوادث، نشت اطلاعات، از دست دادن داده ها و شرایط بحرانی وجود دارد. این همه به طور قابل توجهی امنیت اطلاعات شرکت را بدتر می کند.

در سطح سخت افزار و سخت افزار، یک سیستم امنیتی اطلاعات سه سطح باید اجرا شود.

حداقل معیارهای امنیتی اطلاعات:

1. ماژول کنترل دسترسی:

  • ورود به سیستم بسته به سیستم اطلاعاتی، غیرممکن است که خارج از شغل های تأیید شده خارج شود؛
  • برای کارکنان، دسترسی به قابلیت محدود از رایانه های شخصی تلفن همراه اجرا شده است؛
  • مجوز توسط مدیران در حال اجرا از ورود و رمز عبور انجام می شود.

2. ماژول رمزگذاری رمزگذاری و یکپارچگی:

  • داده های نامتقارن رمزگذاری داده های انتقال داده شده؛
  • آرایه های داده های بحرانی در پایگاه داده ها در یک فرم رمزگذاری شده ذخیره می شوند که اجازه دسترسی به آنها را حتی به هک کردن سیستم اطلاعات شرکت نمی کند؛
  • کنترل یکپارچگی توسط یک امضای دیجیتال ساده از تمام منابع اطلاعات ذخیره شده، پردازش شده یا انتقال یافته در داخل سیستم اطلاعات ارائه می شود.

3. ماژول محافظ:

  • سیستم فیلتر در فایروال ها اجرا می شود، که به شما اجازه می دهد تمام جریان های اطلاعات را از طریق کانال های ارتباطی کنترل کنید.
  • ترکیبات خارجی با منابع اطلاعات جهانی و کانال های ارتباطی عمومی می توانند تنها از طریق یک مجموعه محدود از ایستگاه های کاری تأیید شده که دارای ارتباط محدودی با سیستم اطلاعات شرکت هستند، انجام شود.
  • دسترسی محافظت شده از مشاغل کارمند برای انجام وظایف رسمی خود از طریق یک سیستم سرور پروکسی دو مرحله ای اجرا می شود.

در نهایت، با کمک فن آوری تونل زنی، یک شبکه خصوصی مجازی باید مطابق با یک مدل معمول ساخت و ساز برای ارائه کانال های ارتباطی محافظت شده بین بخش های مختلف شرکت، شرکا و مشتریان شرکت اجرا شود.

با وجود این واقعیت که ارتباطات به طور مستقیم بر روی شبکه ها با سطح بالقوه کم اعتماد انجام می شود، فن آوری های تونل زنی به دلیل استفاده از ابزارهای رمزنگاری، امکان اطمینان از حفاظت قابل اعتماد از تمام داده های منتقل شده را فراهم می کند.

نتیجه گیری

هدف اصلی تمام فعالیت های امنیتی اطلاعاتی که در زمینه امنیت اطلاعات انجام شده است، حفاظت از منافع شرکت، یک راه یا دیگر مرتبط با منابع اطلاعاتی است که آن را دارد. اگر چه شرکت ها به یک منطقه خاص محدود نمی شوند، همه آنها در اطراف در دسترس بودن، یکپارچگی و محرمانه بودن اطلاعات متمرکز هستند.

مشکل ارائه امنیت اطلاعات به دو دلیل اصلی توضیح داده شده است.

  1. منابع اطلاعاتی انباشته شده توسط شرکت ارزشمند هستند.
  2. وابستگی بحرانی به فناوری اطلاعات باعث استفاده گسترده آنها می شود.

با توجه به طیف گسترده ای از تهدیدات موجود برای امنیت اطلاعات، مانند تخریب اطلاعات مهم، استفاده غیر مجاز از داده های محرمانه، وقفه ها در کار شرکت به علت نقض سیستم اطلاعاتی، می توان نتیجه گرفت که این همه به طور عینی منجر به زیان های بزرگ مواد.

در تضمین امنیت اطلاعات، نرم افزار و سخت افزار برای نظارت بر اشخاص کامپیوتر، I.E. تجهیزات، عناصر نرم افزاری، داده ها، تشکیل آخرین و اولویت ترین خط امنیت اطلاعات. انتقال داده ها نیز باید در زمینه حفظ محرمانه بودن، یکپارچگی و دسترسی آنها امن باشد. بنابراین، در شرایط مدرن، فن آوری تونل زنی در ترکیب با استفاده از ابزار رمزنگاری برای اطمینان از کانال های ارتباطی محافظت شده استفاده می شود.

ادبیات

  1. Galatenko v.A. استانداردهای امنیتی اطلاعات. - M: دانشگاه اینترنت فناوری اطلاعات، 2006.
  2. حزب T.L.، Popov I.I. امنیت اطلاعات. - M: Forum، 2012.

نوربرت وینر با هویت Cybernetics، معتقد بود که این اطلاعات دارای ویژگی های منحصر به فرد بوده و نمی تواند به انرژی یا مهم توجه شود. وضعیت خاصی از اطلاعات به عنوان پدیده، تعاریف مختلفی را ایجاد کرد.

در استاندارد ISO / IEC 2382: 2015 استاندارد فناوری اطلاعات، چنین تفسیری داده شده است:

اطلاعات (در زمینه پردازش اطلاعات) - هر گونه اطلاعات ارائه شده در فرم الکترونیکی نوشته شده بر روی کاغذ، بیان شده در یک جلسه و یا در هر حامل دیگر استفاده شده توسط موسسه مالی برای تصمیم گیری، انتقال بودجه، ایجاد نرخ، ارائه وام، عملیات پردازش، و غیره، از جمله نرم افزار نرم افزار پردازش نرم افزار .

برای توسعه یک مفهوم برای ارائه امنیت اطلاعات (IB)، اطلاعات درک اطلاعاتی را که برای جمع آوری، ذخیره سازی، پردازش، پردازش (ویرایش، تحول)، استفاده و انتقال به روش های مختلف، از جمله شبکه های کامپیوتری و سایر سیستم های اطلاعاتی در دسترس است، درک می کنیم.

چنین اطلاعاتی دارای ارزش بالایی است و می تواند توسط اشخاص ثالث از بین برود. تمایل به محافظت از اطلاعات از تهدیدات، ایجاد سیستم های امنیتی اطلاعات را تأمین می کند.

مبنای قانونی

در دسامبر 2017، آموزه های امنیت اطلاعات در روسیه تصویب شد. سند IB به عنوان حالت حفاظت از منافع ملی در حوزه اطلاعات تعریف شده است. تحت منافع ملی در این مورد، آن را به عنوان ترکیبی از منافع جامعه، شخصیت و دولت درک می شود، هر گروه مورد علاقه برای عملکرد پایدار جامعه ضروری است.

دکترین یک سند مفهومی است. روابط حقوقی مربوط به ارائه امنیت اطلاعات توسط قوانین فدرال "در مورد راز دولتی"، "در مورد اطلاعات"، "در حمایت از داده های شخصی" و دیگران، اداره می شود. بر اساس مقررات اساسی، تصمیمات دولتی و مقررات اداری اختصاص داده شده به مسائل مربوط به حفاظت از اطلاعات خصوصی در حال توسعه است.

تعریف امنیت اطلاعات

قبل از توسعه استراتژی امنیت اطلاعات، لازم است تعریف پایه ای از این مفهوم خود را اتخاذ کنید، که اجازه می دهد تا یک مجموعه خاص از روش ها و روش های حفاظت را اعمال کنید.

تمرین صنعت پیشنهاد شده است تا امنیت اطلاعات، وضعیت پایدار امنیت اطلاعات، حامل ها و زیرساخت های آن را درک کند که تضمین یکپارچگی و پایداری فرایندهای مربوط به اطلاعات، تاثیرات عمدی یا ناخواسته طبیعت طبیعی و مصنوعی را تضمین می کند. تاثیرات به عنوان تهدیدات IB طبقه بندی می شوند که ممکن است به افراد روابط اطلاعاتی آسیب برساند.

بنابراین، حفاظت از اطلاعات به عنوان مجموعه ای از اقدامات قانونی، اداری، سازمانی و فنی قابل درک است که هدف آن جلوگیری از تهدیدات واقعی یا ادعایی IB، و همچنین از بین بردن پیامدهای حوادث است. تداوم فرایند امنیت اطلاعات باید مبارزه با تهدیدات را در تمام مراحل چرخه اطلاعات تضمین کند: در فرآیند جمع آوری، ذخیره سازی، پردازش، استفاده و انتقال اطلاعات.

امنیت اطلاعات در این درک یکی از ویژگی های عملکرد سیستم می شود. در هر زمان، سیستم باید سطح قابل توجهی از امنیت داشته باشد و اطمینان از امنیت سیستم باید یک فرآیند مداوم باشد که در طول عمر سیستم در تمام بخش های زمان انجام می شود.

در Infographics از داده های خود استفاده کرد surchinform

در تئوری امنیت اطلاعات تحت موضوعات، IB صاحبان و کاربران اطلاعات را درک می کند، و کاربران نه تنها به طور مداوم (کارکنان)، بلکه کاربران نیز به پایگاه های داده های جداگانه، به عنوان مثال، سازمان های دولتی نیاز به اطلاعات دارند. در بعضی موارد، به عنوان مثال، در استانداردهای بانکداری IB، سهامداران متعلق به صاحبان اطلاعات هستند - اشخاص حقوقی متعلق به داده های خاص.

پشتیبانی از زیرساخت ها، از لحاظ پایه های IB، شامل کامپیوترها، شبکه ها، تجهیزات مخابراتی، محل، سیستم های معیشتی، پرسنل است. هنگام تجزیه و تحلیل امنیت، لازم است همه عناصر سیستم را مطالعه کنید، توجه ویژه ای به پرسنل به عنوان حامل اکثر تهدیدات داخلی.

برای مدیریت امنیت اطلاعات و ارزیابی آسیب، مشخصه پذیرش پذیری استفاده می شود، بنابراین آسیب به عنوان قابل قبول یا غیر قابل قبول تعریف شده است. هر شرکتی مفید است که معیارهای خود را برای خسارت به صورت نقدی یا به عنوان مثال، به شکل آسیب مجاز به شهرت تأیید کند. ویژگی های دیگر ممکن است در سازمان های دولتی، به عنوان مثال، تأثیر بر روند مدیریت یا انعکاس میزان آسیب به زندگی و سلامت شهروندان، انجام شود. معیارهای مادییت، اهمیت و ارزش اطلاعات ممکن است در طول چرخه عمر آرایه اطلاعات متفاوت باشد، بنابراین باید به موقع تجدید نظر شود.

یک تهدید اطلاعات به معنای باریک یک فرصت عینی است که بر روی یک هدف حفاظت تأثیر می گذارد، که می تواند منجر به نشت، سرقت، افشای اطلاعات یا انتشار اطلاعات شود. به معنای گسترده تر به تهدیدات IB، تأثیر هدایت شده از ماهیت اطلاعاتی تحت درمان قرار خواهد گرفت، هدف این است که به دولت، سازمان، شخصیت آسیب برساند. چنین تهدیدهای شامل، به عنوان مثال، تقصیر، گمراه کننده عمدی، تبلیغات نادرست است.

سه موضوع اصلی مفهوم IB برای هر سازمان

    چه باید بکنید؟

    چه نوع تهدیدات غالب می شود: خارجی یا داخلی؟

    چگونه برای محافظت، چه روش ها و روش ها؟

سیستم IB

سیستم امنیتی اطلاعاتی برای این شرکت یک نهاد قانونی شامل سه گروه از مفاهیم اساسی است: یکپارچگی، در دسترس بودن و محرمانه بودن. تحت هر مفاهیم مخفی با ویژگی های مختلف.

زیر تمامیت این به عنوان پایداری پایگاه های داده، سایر آرایه های اطلاعاتی به تخریب تصادفی یا عمدی، معرفی تغییرات غیر مجاز، قابل درک است. مفهوم یکپارچگی را می توان در نظر گرفت:

  • استاتیک، که در ناشناخته بیان شده است، اعتبار اشیاء اطلاعاتی از آن دسته از اشیاء که بر روی یک کار فنی خاص ایجاد شده و حاوی مقدار اطلاعات لازم برای کاربران برای فعالیت اصلی در پیکربندی و توالی مورد نظر است؛
  • پویاکه به معنای عملکرد صحیح اقدامات پیچیده یا معاملات است که به ایمنی اطلاعات آسیب می رساند.

ابزار ویژه فنی برای کنترل یکپارچگی پویا استفاده می شود که جریان اطلاعات را تجزیه و تحلیل می کند، به عنوان مثال، مالی و شناسایی موارد سرقت، تکثیر، تغییر مسیر، تغییر در سفارش پیام. یکپارچگی به عنوان ویژگی اصلی مورد نیاز است، در صورتی که بر اساس اطلاعات ورودی یا موجود، تصمیمات انجام شده است. نقض روش برای ترتیب دستورات یا دنباله ای از اقدامات می تواند موجب آسیب جدی در مورد توصیف فرایندهای تکنولوژیکی، کدهای برنامه و سایر موارد مشابه شود.

دسترسی - این یک ملک است که به شما اجازه می دهد تا به افراد مجاز به اطلاعاتی که علاقه مند به آنها هستند دسترسی داشته باشید یا این داده ها را به اشتراک بگذارید. الزامات کلیدی مشروعیت یا مجوز موضوعات باعث ایجاد سطوح مختلف دسترسی می شود. این سیستم نتواند اطلاعات را برای هر سازمان یا گروه های کاربر حل کند. به عنوان مثال، شما می توانید بدون دسترسی به سایت های عمومی خدمات عمومی در مورد شکست سیستم، که بسیاری از کاربران از این فرصت را برای دریافت خدمات و اطلاعات لازم را محروم می کند.

محرمانه بودن اموال اطلاعاتی را که برای کاربران در دسترس هستند، نشان می دهد: افراد و فرایندهایی که اجازه می دهند تحمل در ابتدا باشند. اکثر شرکت ها و سازمان ها محرمانه بودن را به عنوان یک عنصر کلیدی IB درک می کنند، اما در عمل، آن را به طور کامل دشوار است. همه داده ها در مورد کانال های نشت اطلاعات موجود برای نویسندگان مفاهیم IB در دسترس نیستند و بسیاری از ابزارهای فنی حفاظت، از جمله رمزنگاری، نمی توانند آزادانه خریداری شوند، در بعضی موارد، گردش مالی محدود است.

خواص برابر IB دارای ارزش های مختلف برای کاربران، از اینجا - دو دسته افراطی در توسعه مفاهیم حفاظت از داده ها. برای شرکت ها یا سازمان های مرتبط با راز دولتی، پارامتر کلیدی محرمانه بودن، برای خدمات عمومی یا موسسات آموزشی خواهد بود، مهمترین پارامتر دسترسی به آن است.

هضم امنیت اطلاعات

اشیاء حفاظت در مفاهیم IB

تفاوت در افراد، تفاوت ها را در اشیاء حفاظت تولید می کند. گروه های اصلی از اشیاء حفاظت:

  • منابع اطلاعاتی از همه انواع (تحت منابع به معنای یک شیء مواد: هارد دیسک، حامل دیگر، یک سند با داده ها و جزئیات است که به آن کمک می کند تا به یک گروه خاص از موضوعات شناسایی و مشخص شود)؛
  • حقوق شهروندان، سازمان ها و دولت برای دسترسی به اطلاعات، فرصتی برای دریافت آن در قانون؛ دسترسی تنها به اعمال نظارتی محدود می شود، سازماندهی هر گونه موانعی که حقوق بشر را نقض می کند غیر قابل قبول است؛
  • سیستم ایجاد، استفاده و توزیع داده ها (سیستم ها و فناوری ها، آرشیو ها، کتابخانه ها، اسناد نظارتی)؛
  • سیستم تشکیل آگاهی عمومی (رسانه ها، منابع اینترنتی، موسسات اجتماعی، موسسات آموزشی).

هر شیء شامل یک سیستم خاص از اقدامات برای محافظت در برابر تهدیدات از IB و نظم عمومی است. اطمینان از امنیت اطلاعات در هر مورد باید بر اساس یک رویکرد سیستماتیک باشد که ویژگی های این شی را در نظر بگیرد.

دسته ها و رسانه ها

سیستم حقوقی روسیه، اجرای قانون و روابط عمومی، اطلاعات مربوط به معیارهای دسترسی را طبقه بندی می کند. این به شما این امکان را می دهد تا پارامترهای ضروری لازم را برای ارائه امنیت اطلاعات روشن کنید:

  • اطلاعات، دسترسی به آن بر اساس الزامات قوانین (اسرار دولتی، اسرار تجاری، اطلاعات شخصی) محدود است.
  • اطلاعات در دسترسی آزاد؛
  • اطلاعات عمومی ارائه شده در شرایط خاص: اطلاعات پرداخت شده یا داده ها، برای استفاده از آن که شما نیاز به تحمل، مانند یک بلیط کتابخانه؛
  • خطرناک، مضر، نادرست و دیگر انواع اطلاعات، گردش مالی و توزیع آن محدود یا الزامات قوانین، و یا استانداردهای شرکتی است.

اطلاعات گروه اول دارای دو حالت امنیتی است. رمز و راز دولتیبا توجه به قانون، اینها اطلاعاتی هستند که توسط دولت محافظت می شوند، توزیع آزاد که ممکن است باعث آسیب به امنیت کشور شود. اینها اطلاعاتی در زمینه نظامی، سیاست خارجی، اطلاعات، مبارزه و فعالیت های اقتصادی دولت هستند. صاحب این گروه داده به طور مستقیم دولت است. مقامات مجاز به اقدامات لازم برای حفاظت از اسرار دولتی - وزارت دفاع، خدمات امنیت فدرال (FSB)، خدمات اطلاعات خارجی، خدمات فدرال برای کنترل فنی و صادرات (FSTEC).

اطلاعات محرمانه - یک شیء نظارتی چند منظوره بیشتر. فهرست اطلاعاتی که می تواند اطلاعات محرمانه باشد، در فرمان رئیس جمهور شماره 188 "در تصویب فهرست اطلاعات محرمانه" موجود است. این اطلاعات شخصی است؛ راز تحقیقات و پرونده های قانونی؛ رمز و راز خدمات؛ رمز و راز حرفه ای (پزشکی، دفتر اسناد رسمی، وکیل)؛ راز تجارت؛ اطلاعات مربوط به اختراعات و مدل های مفید؛ اطلاعات موجود در امور شخصی محکومین، و همچنین اطلاعات مربوط به اجرای اجباری اقدامات قضایی.

اطلاعات شخصی در حالت باز و محرمانه وجود دارد. باز و قابل دسترس برای همه کاربران بخشی از اطلاعات شخصی شامل نام، نام خانوادگی، Patronymic است. با توجه به FZ-152 "بر روی اطلاعات شخصی"، نهادهای داده های شخصی تحت عنوان "

  • در مورد خود تعیین اطلاعات؛
  • برای دسترسی به اطلاعات شخصی شخصی و ایجاد تغییرات در آنها؛
  • در مسدود کردن اطلاعات شخصی و دسترسی به آنها؛
  • برای تجدید نظر در برابر اقدامات غیرقانونی از اشخاص ثالث متعهد شده در رابطه با داده های شخصی؛
  • برای جبران خسارت.

حق انجام شده در سازمان های دولتی، قوانین فدرال، مجوز برای کار با اطلاعات شخصی، که به Roskomnadzor یا FSTEC می دهد، تثبیت شده است. شرکت هایی که به طور حرفه ای با اطلاعات شخصی از طیف گسترده ای از افراد کار می کنند، مانند اپراتورهای مخابراتی، باید در رجیستری گنجانده شود، Roskomnadzor آن را هدایت می کند.

یک شیء جداگانه در تئوری و عمل IB رسانه های اطلاعاتی است، دسترسی به آن باز و بسته است. هنگام توسعه مفهوم IB، روش های حفاظت بسته به نوع رسانه ها انتخاب می شوند. حامل های اصلی اطلاعات:

  • رسانه های چاپی و الکترونیکی، شبکه های اجتماعی، منابع دیگر در اینترنت؛
  • کارکنان سازمان که دسترسی به اطلاعات را بر اساس روابط دوستانه، خانواده، حرفه ای خود دارند؛
  • ارتباطات به این معنی است که انتقال یا ذخیره اطلاعات: تلفن، PBX، سایر تجهیزات مخابراتی؛
  • اسناد از همه انواع: شخصی، رسمی، دولت؛
  • نرم افزار به عنوان یک شیء اطلاعات مستقل، به ویژه اگر نسخه آن به طور خاص برای یک شرکت خاص تصفیه شده بود؛
  • رسانه های الکترونیکی اطلاعاتی که پردازش داده ها را پردازش می کنند.

به منظور توسعه مفاهیم حفاظت از IB، ابزارهای امنیتی اطلاعات برای تقسیم بر نظارتی (غیر رسمی) و فنی (رسمی) ساخته شده است.

به معنای حفاظت از غیر رسمی، اسناد، قوانین، فعالیت ها، رسمی است - اینها ابزار و نرم افزار فنی خاص هستند. تمایز به توزیع مناطق مسئولیت در هنگام ایجاد سیستم های IB کمک می کند: با دستورالعمل کلی، پرسنل اداری، روش های نظارتی را اجرا می کنند و متخصصان فناوری اطلاعات به ترتیب فنی هستند.

مبانی امنیت اطلاعات شامل تعریف قدرت نه تنها از لحاظ استفاده از اطلاعات، بلکه از لحاظ کار با حفاظت از آن است. چنین تعریف قدرت نیاز به چندین سطح کنترل دارد.


تجهیزات حفاظتی رسمی

طیف گسترده ای از ابزار فنی حفاظت از IB شامل موارد زیر است:

داروهای فیزیکی اینها مکانیسم های مکانیکی، الکتریکی، الکترونیکی هستند که به طور مستقل از سیستم های اطلاعاتی عمل می کنند و موانع دسترسی به آنها را ایجاد می کنند. قلعه ها، از جمله الکترونیک، صفحه نمایش، پرده ها برای ایجاد موانع به تماس با عوامل بی ثبات کننده با سیستم ها طراحی شده اند. این گروه با استفاده از سیستم های امنیتی مانند دوربین های فیلمبرداری، ضبط ویدئو، سنسورهایی که حرکت حرکت یا بیش از درجه تابش الکترومغناطیسی را در منطقه مکانیکی از روش های فنی، دستگاه های وام مسکن تشخیص می دهند، تکمیل می شود.

حفاظت از سخت افزار این دستگاه های الکتریکی، الکترونیکی، الکترونیک، لیزر و دیگر دستگاه هایی هستند که در سیستم های اطلاعاتی و سیستم های مخابراتی جاسازی شده اند. قبل از معرفی سخت افزار به سیستم های اطلاعات، لازم است مطمئن شوید سازگاری.

نرم افزار - این برنامه های ساده و سیستمیک، برنامه های جامع طراحی شده برای حل وظایف خصوصی و پیچیده مرتبط با ارائه IB است. یک نمونه از راه حل های جامع این است: برای اولین بار به منظور جلوگیری از نشت، اطلاعات اصلاح و جریان اطلاعات هدایت می شود، دوم، حفاظت از حوادث در زمینه امنیت اطلاعات را تضمین می کند. نرم افزار خواستار قدرت دستگاه های سخت افزاری و هنگام نصب، لازم است که ذخایر اضافی ارائه شود.

شما می توانید به مدت 30 روز به صورت رایگان آزمایش کنید. قبل از نصب مهندسین Surchinform در ممیزی فنی مشتری.

به بودجه خاص امنیت اطلاعات شامل الگوریتم های مختلف رمزنگاری است که به شما این امکان را می دهد که اطلاعات مربوط به دیسک را رمزگذاری کنید و توسط کانال های ارتباطی خارجی هدایت شود. تبدیل اطلاعات ممکن است با روش های نرم افزاری و سخت افزاری که در سیستم های اطلاعات شرکت های شرکت کار می کنند، رخ دهد.

تمام وجوه تضمین امنیت اطلاعات باید پس از ارزیابی اولیه از ارزش اطلاعات و مقایسه آن با هزینه منابع صرف شده برای نگهبان استفاده شود. بنابراین، پیشنهادات مربوط به استفاده از وجوه باید در مرحله توسعه سیستم فرموله شود، و تصویب باید در سطح سطح مدیریت، که مسئول تصویب بودجه است، تصویب شود.

برای اطمینان از امنیت، لازم است نظارت بر تمام تحولات مدرن، حفاظت از نرم افزار و سخت افزاری، تهدیدات و به موقع تغییرات را به سیستم های دسترسی غیر مجاز خود انجام دهیم. تنها کفایت و کارایی پاسخ به تهدید به دستیابی به سطح بالایی از محرمانه بودن در کار شرکت کمک خواهد کرد.

در سال 2018، اولین انتشار منتشر شد. این برنامه منحصر به فرد، پرتره های روانشناختی کارکنان است و آنها را با گروه های خطر توزیع می کند. چنین رویکردی برای ارائه امنیت اطلاعات به شما امکان می دهد تا حوادث احتمالی را پیش بینی کنید و اقدامات لازم را انجام دهید.

تجهیزات حفاظتی غیر رسمی

ابزارهای غیر رسمی حفاظت، به مقررات، اداری و اخلاقی و اخلاقی گروه بندی می شوند. در سطح اول از حفاظت، مقررات امنیت اطلاعات را به عنوان یک روند در فعالیت های سازمان وجود دارد.

  • آئین نامه

در عمل جهانی، هنگام توسعه بودجه های نظارتی، تمرکز بر استانداردهای حفاظت از IB، اصلی - ISO / IEC 27000. این استاندارد دو سازمان را ایجاد کرد:

  • ISO - کمیسیون بین المللی استاندارد سازی، که بسیاری از روش های شناخته شده بین المللی را برای صدور گواهینامه کیفیت فرآیندهای تولید و مدیریت توسعه می دهد؛
  • کمیسیون IEC - کمیسیون بین المللی انرژی، که درک خود را از سیستم های IB، بودجه و روش ها برای اطمینان از آن معرفی کرد

نسخه فعلی ISO / IEC 27000-2016 استانداردهای آماده شده و تکنیک های مورد نیاز برای اجرای IB را ارائه می دهد. به گفته نویسندگان روش شناسی، اساس امنیت اطلاعات، پیاده سازی سیستماتیک و سازگار از تمام مراحل از توسعه قبل از کنترل پس از آن است.

برای به دست آوردن گواهینامه ای که انطباق با استانداردهای امنیتی اطلاعات را تایید می کند، لازم است تمام تکنیک های توصیه شده را کامل کنیم. اگر نیازی به دریافت گواهینامه نیست، به عنوان پایه ای برای توسعه سیستم های IB خود، مجاز به گرفتن هر یک از نسخه های قبلی استاندارد است، با شروع از ISO / IEC 27000-2002، یا مهمانان روسی که دارند طبیعت توصیه شده

با توجه به نتایج مطالعه استاندارد، دو اسناد در حال توسعه هستند که مربوط به ایمنی اطلاعات هستند. مفهوم اصلی، اما کمتر، مفهوم یک شرکت IB است که اقدامات و روش های اجرای سیستم IB را برای سیستم های اطلاعاتی سازمان تعیین می کند. سند دوم، که موظف به اجرای تمام کارکنان شرکت است، مقررات امنیت اطلاعاتی است که در سطح هیئت مدیره یا سازمان اجرایی تایید شده است.

علاوه بر وضعیت در سطح شرکت، لیست اطلاعاتی که اسرار تجاری را تشکیل می دهند، ضمیمه ها به قراردادهای کارگری، مسئولیت افشای اطلاعات محرمانه، استانداردهای دیگر و تکنیک ها را تشکیل می دهند. هنجارهای داخلی و قوانین باید شامل مکانیسم های پیاده سازی و مسئولیت های اجباری باشند. اغلب اقدامات انضباطی هستند و متخلف باید برای این واقعیت آماده باشند که تحریم های قابل توجهی در مورد نقض رژیم محرمانه تجاری تا زمان اخراج وجود داشته باشد.

  • اقدامات سازمانی و اداری

به عنوان بخشی از فعالیت های اداری در حفاظت از IB برای کارکنان خدمات امنیتی، فضای خلاقیت وجود دارد. این راه حل های معماری و برنامه ریزی است که به شما اجازه می دهد تا از گوش دادن و دستورالعمل های مذاکره از گوش دادن و ایجاد سطوح مختلف دسترسی به اطلاعات محافظت کنید. اقدامات سازمانی مهم توسط فعالیت های شرکت در ISO / IEC 27000، صدور گواهینامه های سخت افزاری و نرم افزارهای نرم افزاری، صدور گواهینامه موضوعات و اشیاء برای انطباق با نیازهای امنیتی لازم، به دست آوردن مجوز مورد نیاز برای کار با آرایه های محافظت شده از اطلاعات، تایید می شود.

از نظر تنظیم مقررات فعالیت های پرسنل، برای طراحی یک سیستم درخواست برای دسترسی به اینترنت، ایمیل خارجی، منابع دیگر، مهم خواهد بود. یک عنصر جداگانه به دست آوردن امضای دیجیتال الکترونیکی برای افزایش امنیت اطلاعات مالی و دیگر، که به مقامات دولتی بیش از کانال های ایمیل منتقل می شود.

  • اقدامات اخلاقی و اخلاقی

اقدامات اخلاقی و اخلاقی، نگرش شخصی فرد را به اطلاعات محرمانه یا اطلاعات محدود در گردش، تعیین می کند. بهبود سطح آگاهی از کارکنان در مورد تاثیر تهدیدها به فعالیت های شرکت بر میزان آگاهی و مسئولیت کارکنان تاثیر می گذارد. برای مقابله با نقض حالت اطلاعات، از جمله، به عنوان مثال، انتقال رمز عبور، دست زدن بی دقتی از حامل ها، انتشار داده های محرمانه در مکالمات خصوصی، باید بر آگاهی شخصی کارمند تمرکز داشته باشد. این امر برای ایجاد شاخص های عملکرد عملکرد مفید خواهد بود که به ارتباط با سیستم شرکتی IB بستگی دارد.

به سرعت در حال توسعه فناوری اطلاعات کامپیوتر، تغییرات قابل توجهی در زندگی ما ایجاد می کند. اطلاعات تبدیل شده است کالا که می تواند خریداری، فروش، مبادله. در عین حال، هزینه اطلاعات اغلب صدها بار بیشتر از هزینه سیستم کامپیوتری است که در آن ذخیره می شود.

میزان ایمنی فناوری اطلاعات در حال حاضر به رفاه بستگی دارد، و گاهی اوقات زندگی بسیاری از مردم. چنین هزینه ای برای عوارض و توزیع گسترده سیستم های پردازش اطلاعات خودکار است.

زیر امنیت اطلاعات این به عنوان امنیت سیستم اطلاعاتی از مداخله تصادفی یا عمدی، آسیب به صاحبان یا کاربران اطلاعات قابل درک است.

در عمل، سه جنبه از امنیت اطلاعات مهمترین هستند:

  • دسترسی (فرصت برای زمان معقول برای دریافت خدمات اطلاعات مورد نیاز)؛
  • تمامیت (ارتباط و سازگاری اطلاعات، محافظت از آن از تخریب و تغییر غیر مجاز)؛
  • محرمانه بودن (حفاظت در برابر خواندن غیر مجاز).

اختلالات موجود بودن، یکپارچگی و محرمانه بودن اطلاعات ممکن است ناشی از تاثیرات خطرناک مختلف بر سیستم های کامپیوتری اطلاعات باشد.

تهدید اصلی امنیت اطلاعات

سیستم اطلاعات مدرن یک سیستم پیچیده است که شامل تعداد زیادی از اجزای مختلف درجه های مختلف خودمختاری است که داده های مرتبط و مبادله می شوند. تقریبا هر مولفه ممکن است در معرض نفوذ خارجی قرار گیرد یا شکست دهد. اجزای سیستم اطلاعات خودکار را می توان به گروه های زیر تقسیم کرد:

  • سخت افزار - کامپیوترها و اجزای آنها (پردازنده ها، مانیتور ها، پایانه ها، لوازم جانبی - درایو، چاپگرها، کنترل کننده ها، کابل ها، خطوط ارتباطی، و غیره)؛
  • نرم افزار - برنامه های به دست آمده، منبع، شی، ماژول های بارگیری؛ سیستم عامل ها و برنامه های سیستم (کامپایلرها، لینک ها، و غیره)، نرم افزار، برنامه های تشخیصی، و غیره؛
  • داده ها - ذخیره شده موقت و دائما، در رسانه های مغناطیسی، چاپ، آرشیو، سیاهههای مربوط به سیستم، و غیره.
  • کارکنان - پرسنل خدمات و کاربران.

تأثیرات خطرناک بر سیستم اطلاعات کامپیوتر را می توان به طور تصادفی و عمدی تقسیم کرد. تجزیه و تحلیل تجربه طراحی، ساخت و بهره برداری از سیستم های اطلاعاتی نشان می دهد که اطلاعات در تمام مراحل چرخه زندگی تحت تاثیر قرار می گیرد. دلایل تأثیرات تصادفی هنگامی که عملیات می تواند باشد:

  • شرایط اضطراری به علت بلایای طبیعی و قطع برق؛
  • شکست و خرابی؛
  • خطاهای نرم افزار؛
  • اشتباهات در کار کارکنان؛
  • تداخل در خطوط ارتباطی به علت اثرات محیط خارجی.

اثرات عمدی - این اقدامات هدفمند مزاحم است. یک کارمند، بازدید کننده، رقیب، مزدور می تواند به عنوان یک نقض کننده عمل کند. اقدامات اختلال ممکن است به دلیل نقاط مختلفی باشد:

  • نارضایتی خدمت حرفه ای خود؛
  • رشوه؛
  • کنجکاوی؛
  • مبارزه رقابتی؛
  • تمایل به ادعای خود را به هر هزینه ای.

شما می توانید یک مدل فرضی از یک مزاحم بالقوه ایجاد کنید:

  • واجد شرایط بودن نقض کننده در سطح توسعه این سیستم؛
  • نقض کننده می تواند هر دو یک چهره بیگانه و یک سیستم کاربر قانونی باشد؛
  • نقض کننده اطلاعات مربوط به اصول سیستم است؛
  • متخلفان ضعیف ترین لینک را در دفاع انتخاب می کند.

شایع ترین و متنوع ترین اختلالات کامپیوتری است دسترسی غیرمجاز (NSD). NSD از هر گونه خطا در سیستم حفاظت استفاده می کند و با انتخاب غیر منطقی از ابزارهای حفاظتی، نصب و پیکربندی نادرست آنها امکان پذیر است.

ما کانال های NSD را طبقه بندی می کنیم که می توانید سرقت، تغییر یا تخریب اطلاعات را انجام دهید:

  • از طریق مرد:
    • سرقت رسانه؛
    • خواندن اطلاعات از صفحه یا صفحه کلید؛
    • خواندن اطلاعات از چاپ
  • از طریق برنامه:
    • رمز عبور رمز عبور؛
    • رمزگشایی اطلاعات رمزگذاری شده؛
    • کپی اطلاعات از رسانه ها.
  • از طریق تجهیزات:
    • اتصال سخت افزار مخصوص طراحی شده، دسترسی به اطلاعات؛
    • رهگیری از انتشار الکترومغناطیسی جانبی از تجهیزات، خطوط ارتباطی، شبکه های برق و غیره

این باید به ویژه در تهدیدات که می تواند در معرض شبکه های کامپیوتری قرار گیرد، برجسته شود. ویژگی اصلی هر شبکه کامپیوتری این است که اجزای آن در فضا توزیع می شود. اتصال بین گره های شبکه فیزیکی با استفاده از خطوط شبکه و نرم افزار با استفاده از مکانیزم پیام رسانی است. در این مورد، پیام های کنترل و داده های ارسال شده بین گره های شبکه به صورت بسته های مبادله منتقل می شوند. شبکه های کامپیوتری مشخصه ای از این واقعیت است که به اصطلاح حملات از راه دور. این نقض کننده می تواند هزاران کیلومتر از شیء مورد حمله باشد، زیرا این حمله نه تنها به یک کامپیوتر خاص، بلکه همچنین اطلاعاتی از طریق کانال های ارتباطی شبکه منتقل می شود.

ارائه امنیت اطلاعات

شکل گیری حالت امنیت اطلاعات یک مشکل پیچیده است. اقدامات برای حل آن را می توان به پنج سطح تقسیم کرد:

  1. قانونگذاری (قوانین، اقدامات نظارتی، استانداردها، و غیره)؛
  2. اخلاقی و اخلاقی (همه انواع هنجارهای رفتاری، عدم انطباق که منجر به سقوط اعتبار یک فرد خاص یا کل سازمان می شود)؛
  3. اداری (اقدامات عمومی توسط مدیریت سازمان)؛
  4. فیزیکی (مکانیک، برق و الکترونیک موانع مکانیکی بر روی مسیرهای احتمالی نفوذ نفوذگران بالقوه)؛
  5. سخت افزار و نرم افزار (دستگاه های الکترونیکی و برنامه های حفاظت از اطلاعات خاص).

مجموع یکپارچه از همه این اقدامات با هدف مقابله با تهدیدات امنیتی برای به حداقل رساندن احتمال آسیب رساندن به شکل سیستم حفاظت.

یک سیستم حفاظت قابل اعتماد باید با اصول زیر مطابقت داشته باشد:

  • هزینه حفاظت باید کمتر از اندازه آسیب احتمالی باشد.
  • هر کاربر باید حداقل مجموعه ای از امتیازات مورد نیاز برای کار داشته باشد.
  • حفاظت همه موثرتر است، ساده تر برای کار با آن.
  • توانایی جدا شدن در موارد اضطراری.
  • متخصصان مربوط به سیستم حفاظت باید به طور کامل اصول عملکرد آن را تصور کنند و در صورت شرایط دشوار، به اندازه کافی به آنها پاسخ دهند.
  • تحت حفاظت باید یک سیستم کامل برای پردازش اطلاعات باشد.
  • توسعه دهندگان سیستم حفاظت، نباید در میان کسانی باشند که این سیستم را کنترل می کند.
  • سیستم حفاظت باید شواهدی از صحت کار خود را ارائه دهد.
  • افرادی که درگیر امنیت اطلاعات هستند باید مسئولیت شخصی را بر عهده بگیرند.
  • اشیاء حفاظت توصیه می شود به گروه ها تقسیم شوند تا اختلال حفاظت در یکی از گروه ها بر ایمنی دیگران تاثیر نمی گذارد.
  • یک سیستم حفاظت قابل اعتماد باید به طور کامل آزمایش و توافق شود.
  • حفاظت کارآمدتر و انعطاف پذیر تر می شود، اگر به شما اجازه می دهد پارامترهای خود را از مدیر تغییر دهید.
  • سیستم حفاظت باید بر اساس این فرض که کاربران مرتکب اشتباهات جدی می شوند و به طور کلی بدترین نیت را داشته باشند.
  • مهمترین و مهمترین راه حل های انتقادی باید توسط یک فرد انجام شود.
  • وجود مکانیزم های حفاظتی باید باشد که آیا از کاربرانی که کارشان تحت کنترل هستند پنهان شود.

سخت افزار نرم افزار برای حفاظت از اطلاعات

علیرغم این واقعیت که سیستم عامل مدرن برای رایانه های شخصی مانند ویندوز 2000، ویندوز XP و ویندوز NT، زیر سیستم های حفاظت خود را حفظ می کنند، ارتباط ابزارهای حفاظت اضافی حفظ می شود. واقعیت این است که اکثر سیستم ها قادر به محافظت از داده های فراتر از محدودیت های خود نیستند، به عنوان مثال، با تبادل اطلاعات شبکه.

سخت افزار و نرم افزار حفاظت از اطلاعات را می توان به پنج گروه تقسیم کرد:

  1. سیستم های شناسایی (تشخیص) و تأیید اعتبار (احراز هویت).
  2. سیستم های رمزنگاری داده دیسک.
  3. سیستم های رمزگذاری داده ها از طریق شبکه ها منتقل می شوند.
  4. سیستم های تصدیق داده های الکترونیکی.
  5. مدیریت کلید رمزنگاری معنی دارد.

1. سیستم شناسایی و سیستم های احراز هویت

استفاده شده برای محدود کردن دسترسی کاربران تصادفی و غیرقانونی به منابع سیستم کامپیوتری. الگوریتم کلی برای کار این سیستم ها این است که اطلاعات را از کاربر دریافت کنید که هویت آن را تایید می کند، اعتبار آن را بررسی می کند و سپس با توانایی کار با سیستم (یا ارائه می شود) را ارائه می دهد.

هنگام ساخت این سیستم ها، مشکل انتخاب اطلاعات بر اساس روش شناسایی و احراز هویت کاربر ایجاد می شود. انواع زیر را می توان تشخیص داد:

  • اطلاعات مخفی که کاربر دارای (رمز عبور، کلید مخفی، شناسه شخصی، و غیره)؛ کاربر باید این اطلاعات را به یاد داشته باشد یا امکانات ذخیره سازی ویژه را می توان به آن اعمال کرد.
  • پارامترهای فیزیولوژیکی یک فرد (اثر انگشت، نقاشی از عنبیه، و غیره) یا ویژگی های رفتاری (ویژگی های صفحه کلید و غیره).

سیستم ها بر اساس نوع اول اطلاعات در نظر گرفته می شود سنتی. سیستم ها با استفاده از نوع دوم اطلاعات نامیده می شوند بیومتریک. گرایش ظهور توسعه پیشرفته سیستم های شناسایی بیومتریک باید ذکر شود.

2. سیستم های رمزنگاری داده دیسک

برای ایجاد اطلاعات بی فایده برای دشمن، از مجموعه ای از روش های تبدیل داده ها استفاده کنید رمزنگاری [از یونانی. کریپتوس - پنهان I. گرافو - نوشتن]

سیستم های رمزگذاری می توانند تغییرات داده های رمزنگاری را در سطح فایل یا سطح دیسک انجام دهند. برنامه های نوع اول عبارتند از بایگانی نوع ARJ و RAR، که به شما این امکان را می دهد که از روش های رمزنگاری برای محافظت از فایل های تاریخی استفاده کنید. یک نمونه از یک سیستم دوم نوع می تواند به عنوان یک برنامه رمزگذاری DiskReet، که بخشی از نرم افزار محبوب نرم افزار Norton نرم افزار، بهترین Crypt است، خدمت می کند.

یکی دیگر از ویژگی های طبقه بندی سیستم های رمزنگاری داده دیسک، روش عملکرد آنهاست. با استفاده از روش عملکرد سیستم رمزنگاری داده دیسک، آنها به دو کلاس تقسیم می شوند:

  • سیستم های "شفاف" رمزگذاری؛
  • سیستم به طور خاص برای رمزگذاری نامیده می شود.

در سیستم های رمزنگاری شفاف (رمزگذاری "در پرواز")، تحولات رمزنگاری در زمان واقعی انجام می شود، برای کاربر غیر متمرکز شده است. به عنوان مثال، کاربر یک سند را که در ویرایشگر متن به یک دیسک محافظت شده تهیه می کند، می نویسد و سیستم حفاظت در طول فرایند ضبط رمزگذاری خود را انجام می دهد.

سیستم های کلاس دوم معمولا خدماتی هستند که باید به طور خاص برای رمزگذاری نامیده شوند. این شامل، به عنوان مثال، بایگانی ها با حفاظت از رمز عبور یکپارچه.

اکثر سیستم هایی که رمز عبور را ارائه می دهند، اطلاعات را رمزگذاری نمی کنند، اما هنگام دسترسی به سند، یک درخواست رمز عبور را فراهم می کند. چنین سیستمی شامل MS Office، 1C و بسیاری دیگر است.

3. سیستم های رمزنگاری داده منتقل شده توسط شبکه ها

دو روش رمزنگاری پایه وجود دارد: رمزگذاری کانال و رمزگذاری ترمینال (مشترک).

چه زمانی رمزگذاری کانال تمام اطلاعاتی که از طریق کانال ارتباطی منتقل می شود محافظت می شود، از جمله خدمات. این روش رمزگذاری دارای مزیت زیر است - روش های رمزنگاری تعبیه شده به سطح کانال اجازه می دهد تا شما را به استفاده از سخت افزار، که کمک می کند تا به افزایش عملکرد سیستم. با این حال، این رویکرد معایب قابل توجهی دارد:

  • رمزگذاری کد گزینه مکانیسم مسیریابی بسته شبکه را پیچیده می کند و نیاز به داده های رمزگشایی در دستگاه های ارتباطی متوسط \u200b\u200b(دروازه ها، تکرار کننده ها و غیره) دارد؛
  • رمزگذاری رسمی ممکن است منجر به ظهور الگوهای آماری در داده های رمز شده منجر شود که بر قابلیت اطمینان حفاظت تأثیر می گذارد و محدودیت های مربوط به استفاده از الگوریتم های رمزنگاری را اعمال می کند.

اصطلاح (مشترک) رمزگذاری به شما اجازه می دهد تا اطمینان حاصل کنید که محرمانه بودن داده های منتقل شده بین دو مشترک. در این مورد، تنها محتوای پیام ها محافظت می شود، تمام اطلاعات خدمات باز می شود. این معایب توانایی تجزیه و تحلیل اطلاعات در ساختار پیام رسانی، به عنوان مثال، فرستنده و گیرنده، در مورد زمان و شرایط انتقال داده ها، و همچنین مقدار داده های انتقال داده شده است.

4. سیستم های تأیید اطلاعات ایمیل

هنگام مبادله داده ها در شبکه ها، مشکل احراز هویت نویسنده و سند خود، به وجود می آید، I.E. احراز هویت نویسنده و بررسی عدم تغییر در سند دریافت شده. برای تأیید اعتبار داده ها، از کد تأیید اعتبار پیام (Imitaving) یا یک امضا الکترونیکی استفاده کنید.

imitovstavka این از طریق داده های باز با استفاده از یک تبدیل رمزنگاری ویژه با استفاده از کلید مخفی تولید می شود و از طریق کانال ارتباطی در انتهای داده های رمز شده منتقل می شود. شبیه ساز توسط گیرنده مورد بررسی قرار می گیرد که کلید مخفی را با تکرار روش انجام شده توسط فرستنده بیش از داده های دریافت شده انجام می دهد.

امضای دیجیتال الکترونیکی این مقدار نسبتا کمی از اطلاعات تایید کننده اضافی با متن است. فرستنده یک امضا دیجیتال را با استفاده از کلید مخفی فرستنده تشکیل می دهد. گیرنده امضا را با استفاده از کلید عمومی فرستنده بررسی می کند.

بنابراین، اصول رمزنگاری متقارن برای اجرای رمزنگاری سیممتریک استفاده می شود و برای اجرای یک امضا الکترونیکی - نامتقارن. جزئیات بیشتر، این دو سیستم رمزگذاری بعدا مورد مطالعه قرار می گیرند.

5. ابزار مدیریت رمزنگاری کلید های رمزنگاری

ایمنی هر رمزنگاری توسط کلیدهای رمزنگاری مورد استفاده تعیین می شود. در صورت مدیریت کلید های غیرقابل اعتماد، مهاجم می تواند اطلاعات کلیدی را به دست آورد و دسترسی کامل به تمام اطلاعات در سیستم یا شبکه را داشته باشد.

انواع زیر ویژگی های مدیریت کلیدی متمایز هستند: تولید، ذخیره سازی و توزیع کلیدی.

مواد و روش ها کلیدهای نسل برای رمزنگاری متقارن و نامتقارن متفاوت است. برای تولید رمزنگاری های کلیدی متقارن، سخت افزار و تولید نرم افزار از اعداد تصادفی استفاده می شود. تولید کلیدهای رمزنگاری نامتقارن پیچیده تر است، زیرا کلید ها باید خواص ریاضی خاصی داشته باشند. هنگام مطالعه رمزنگاری متقارن و نامتقارن، در این مورد بیشتر بخوانید.

تابع ذخیره سازی این سازمان ذخیره سازی امن، حسابداری و حذف اطلاعات کلیدی را به عهده می گیرد. برای اطمینان از ذخیره سازی کلید امن، رمزگذاری آنها با استفاده از کلیدهای دیگر استفاده می شود. چنین رویکردی منجر به مفهوم سلسله مراتب کلیدها می شود. سلسله مراتب کلیدی معمولا شامل کلید اصلی (i.e. Master Key)، کلید رمزگذاری کلیدی و کلید رمزگذاری داده ها است. لازم به ذکر است که تولید و ذخیره سازی کلید اصلی یک مسئله مهم حفاظت از رمزنگاری است.

توزیع - روند مسئول ترین در مدیریت کلیدی. این فرآیند باید محرمانه بودن کلید های توزیع شده را تضمین کند و همچنین عملیاتی و دقیق باشد. بین کلیدهای شبکه کاربران به دو روش توزیع می شوند:

  • با کلیدهای جلسه به اشتراک گذاری مستقیم؛
  • با استفاده از یک یا چند مرکز توزیع کلیدی.

فهرست اسناد

  1. درباره اسرار دولتی قانون فدراسیون روسیه از 21 ژوئیه 1993 شماره 5485-1 (همانطور که توسط قانون فدرال 6 اکتبر 1997 شماره 131-FZ اصلاح شد).
  2. در اطلاعات، اطلاعات و حفاظت از اطلاعات. قانون فدرال فدراسیون روسیه از 20 فوریه 1995 شماره 24-FZ. در 25 ژانویه 1995، دولت دوما را تصویب کرد.
  3. در حمایت قانونی از برنامه ها برای ماشین های کامپیوتری و پایگاه های داده های الکترونیکی. قانون فدراسیون روسیه 23 سپتامبر 1992 شماره 3524-1.
  4. درباره امضای دیجیتال الکترونیکی. قانون فدرال فدراسیون روسیه 10 ژانویه 2002 شماره 1-FZ.
  5. درباره حق کپی رایت و حقوق مرتبط. قانون فدراسیون روسیه از 9 ژوئیه 1993 شماره 5351-1.
  6. در سازمان های دولتی فدرال و اطلاعات. قانون فدراسیون روسیه (همانطور که توسط فرمان رئیس جمهور فدراسیون روسیه از 24 دسامبر 1993 اصلاح شد، قانون فدرال 07.11.2000 شماره 135-FZ.
  7. مقررات مربوط به اعتباربخشی آزمایشگاه های آزمایشگاهی و مقامات صدور گواهینامه برای حفاظت از اطلاعات امنیت اطلاعات امنیت / کمیسیون فنی دولتی تحت رییس فدراسیون روسیه.
  8. دستورالعمل ها در مورد روش مارک گواهینامه های انطباق، کپی و صدور گواهینامه ابزار حفاظت از اطلاعات / کمیسیون فنی دولتی تحت رییس فدراسیون روسیه.
  9. مقررات مربوط به صدور گواهینامه از اشیاء اطلاعاتی برای کمیته امنیت اطلاعات / کمیسیون فنی دولتی تحت رییس فدراسیون روسیه.
  10. مقررات مربوط به صدور گواهینامه حفاظت از اطلاعات برای اطلاعات مربوط به الزامات ایمنی اطلاعات: با توجه به فرمان دولت فدراسیون روسیه 26 ژوئن 1995 شماره 608 "در صدور گواهینامه بودجه حفاظت از اطلاعات" / دولت کمیسیون فنی تحت رییس فدراسیون روسیه.
  11. مقررات مربوط به صدور مجوز دولتی اطلاعات در زمینه حفاظت از اطلاعات / کمیسیون فنی دولتی تحت رییس فدراسیون روسیه.
  12. سیستم های خودکار حفاظت در برابر دسترسی غیر مجاز به اطلاعات. طبقه بندی سیستم های خودکار و الزامات حفاظت از اطلاعات: دستورالعمل / کمیسیون فنی دولتی تحت رییس فدراسیون روسیه.
  13. مفهوم حفاظت از تجهیزات محاسبات و سیستم های خودکار از دسترسی غیر مجاز به اطلاعات: دستورالعمل / کمیسیون فنی دولتی تحت رییس فدراسیون روسیه.
  14. تجهیزات کامپیوتر. صفحه نمایش های آتش نشانی. حفاظت در برابر دسترسی غیر مجاز به اطلاعات. شاخص های حفاظت از دسترسی غیر مجاز به اطلاعات: دستورالعمل / کمیسیون فنی دولتی تحت رییس فدراسیون روسیه.
  15. تجهیزات کامپیوتر. حفاظت در برابر دسترسی غیر مجاز به اطلاعات. شاخص های حفاظت از دسترسی غیر مجاز به اطلاعات: دستورالعمل / کمیسیون فنی دولتی تحت رییس فدراسیون روسیه.
  16. حفاظت از اطلاعات علائم حفاظتی ویژه طبقه بندی و الزامات کلی: دستورالعمل / کمیسیون فنی دولتی تحت رییس فدراسیون روسیه.
  17. حفاظت در برابر دسترسی غیر مجاز به اطلاعات. شرایط و تعاریف: دستورالعمل / کمیسیون فنی دولتی تحت رییس فدراسیون روسیه.

تاریخ ظهور و توسعه امنیت اطلاعات

با توسعه ارتباطات اطلاعات، و در نتیجه، احتمال آسیب رساندن به اطلاعات ذخیره شده و به کمک آنها منتقل می شود، امنیت اطلاعات (IB) به وجود آمده است.

وظیفه اصلی IB قبل از سال 1816، حفاظت از انواع مختلف اطلاعات بود که اهمیت ویژه ای برای موضوع (سازمان یا شخص خاص) دارد.

مقدمه و استفاده از قابلیت های رادیویی، نیاز به اطمینان از حفاظت از ارتباطات رادیویی در برابر دخالت را با استفاده از رمزگذاری مقاوم در برابر سر و صدا و رمزگشایی سیگنال نشان داد. بعدها، عوامل رادار و هیدروسیتتیک ظاهر شدند (1935)، و از طریق افزایش حفاظت از رادار از اثرات تداخل رادیویی الکترونیکی ارائه شد.

از سال 1946، با استفاده گسترده در فعالیت عملی ماشین های محاسباتی الکترونیکی (رایانه ها)، IB به طور عمده به دست آمد، عمدتا با محدود کردن دسترسی فیزیکی به تجهیزات، که حاوی اطلاعات محافظت شده یا پردازش شده است.

از سال 1965، شبکه های محلی توسعه یافته اند، امنیت اطلاعاتی که به طور عمده توسط اداره و مدیریت دسترسی به منابع شبکه به دست آمد.

با شروع استفاده از دستگاه های ارتباطات تلفن همراه، تهدید امنیت اطلاعات بسیار جدی تر و سخت تر شده است. توسعه روش های امنیتی جدید، از آنجا که شبکه های انتقال داده های بی سیم به طور گسترده ای برای انتقال و ذخیره اطلاعات استفاده می شود. هکرها ظاهر شدند - جوامع افرادی که هدف آنها به IB حجم های مختلف آسیب رسانده اند (از کاربران فردی به کل کشورها). از آن به بعد، اطمینان از امنیت اطلاعات، مهمترین و اجزای اجباری امنیت کشور است.

با توسعه شبکه های جهانی برای حل وظیفه امنیت اطلاعات باید از طریق ایجاد یک ماکروسیستم امنیت اطلاعات تمام بشریت حل شود. انتقال، پردازش، ذخیره سازی اطلاعات امروز به طور انحصاری از طریق سیستم های اطلاعاتی رخ می دهد. شبکه های جهانی به شما اجازه می دهد تا طیف وسیعی از وظایف منطقه ارتباطی را حل کنید (به عنوان مثال از طریق ایمیل، تلفن های همراه)، سرگرمی (MP3، تلویزیون دیجیتال، بازی ها)، حمل و نقل (موتورها، ناوبری)، تجارت (کارت های اعتباری، خرید آنلاین) پزشکی (تجهیزات، آرشیو مواد پزشکی)، و غیره

یادداشت 1.

بنابراین، وظایف امنیتی اطلاعات در حفاظت از اطلاعات با تشخیص، جلوگیری و پاسخ به حملات است.

مشکلات امنیت اطلاعات

امنیت اطلاعات یکی از مهمترین جنبه های هر سطح امنیت - ملی، بخش، شرکت یا شخصی است.

مشکل اصلی IB این است که بخشی جدایی ناپذیر از فناوری اطلاعات است.

فن آوری های برنامه نویسی اجازه نمی دهد برنامه های بدون خطا ایجاد کنند که نمی توانند امنیت اطلاعات را ارائه دهند. به این ترتیب، نیاز به ایجاد سیستم های قابل اعتماد IB با استفاده از برنامه های غیر قابل اعتماد وجود دارد. چنین نیازی به پیروی از اصول معماری و حفاظت از نظارت در هنگام استفاده از IP نیاز دارد. همچنین با توسعه فناوری اطلاعات و ارتباطات، تعداد حملات به طور قابل توجهی با استفاده مداوم از شبکه ها افزایش یافته است. اما نمی توان بزرگترین مشکل امنیت اطلاعات را نام برد، زیرا مشکلات بسیار مهمی در ارتباط با تشخیص دائمی مکان های آسیب پذیر جدید در نرم افزار و در نتیجه ظهور انواع جدید حملات است.

توسعه دهندگان مطلقا همه گونه های سیستم عامل ها بر تخریب چنین مکان های آسیب پذیر کار می کنند، زیرا خطاهای جدید شروع به فعالانه توسط مزاحمان می کنند.

تبصره 2

در چنین مواردی، سیستم IB باید ابزار مخالفت با حملات مختلف را داشته باشد. حملات می تواند به عنوان یک ثانیه تقسیم شود، و چند ساعت، به آرامی مقابله با مکان های آسیب پذیر (در این مورد، فعالیت های مخرب تقریبا غیر قابل تشخیص است). اقدامات مهاجمان را می توان به نقض هر دو جزء جداگانه و تمام اجزای IB - دسترسی، یکپارچگی و محرمانه بودن.

مقیاس عواقب ناشی از نقض عملکرد نرم افزار و پشتیبانی فنی IP می تواند بر هزینه راه حل "مشکل -2000" ارائه شود. بر اساس یک تخمینی از کارشناسان، حجم کل سرمایه گذاری جهانی، که برای آماده سازی سال 2000 صرف شده بود، به میزان 300 میلیارد دلار بود، با توجه به اطلاعات دیگر، این مقدار بیش از حد افزایش یافته است.

روش های حفاظت از اطلاعات

روش های زیر برای اطمینان از ایمنی اطلاعات در IP استفاده می شود:

  • اجازه دهید؛
  • کنترل دسترسی؛
  • روش های رمزنگاری؛
  • مخالفت با حملات برنامه های مخرب؛
  • مقررات؛
  • اجبار؛
  • جنبش.

هر یک از آنها را در جزئیات بیشتر در نظر بگیرید.

تعریف 1

مانع انسداد فیزیکی مسیر به اطلاعات محافظت شده (تجهیزات فنی، حامل های اطلاعات و غیره) است.

کنترل دسترسی - روش های حفاظت از اطلاعات از طریق تنظیم استفاده از منابع فناوری اطلاعات و سیستم اطلاعاتی. کنترل دسترسی باید به طور کامل تمام راه های ممکن برای دسترسی غیر مجاز به اطلاعات محافظت شده را متوقف کند.

حفاظت از اطلاعات با استفاده از کنترل دسترسی از طریق:

  • شناسایی کاربران و پرسنل (اختصاص یک شناسه شخصی)؛
  • شناسایی یک شی توسط شناسه؛
  • بررسی مجوز دسترسی به اطلاعات یا شی؛
  • ثبت درخواست تجدید نظر به اطلاعات؛
  • پاسخ (زنگ هشدار، خاموش شدن، تاخیر کار، امتناع در درخواست، و غیره) هنگام تلاش اقدامات غیر مجاز.

روش های حفاظت رمزنگاری - رمزگذاری اطلاعات. روش های رمزگذاری به طور گسترده ای در پردازش و ذخیره اطلاعات استفاده می شود. به ویژه قابل اعتماد این روش در هنگام انتقال اطلاعات در شبکه است.

حفاظت در برابر حملات مخرب طراحی شده است تا مجموعه ای از روش های مختلف سازمانی و استفاده از برنامه های آنتی ویروس را فراهم کند، که منجر به کاهش احتمال عفونت IP، تعیین حقایق عفونت سیستم می شود؛ کاهش یا جلوگیری از اثرات عفونت های اطلاعاتی، تخریب ویروس ها؛ بهبود پس از بهبود اطلاعات.

تعریف 2

مقررات - محدودیت زمان کار، دسترسی محدود به اطلاعات به اطلاعات، محدود کردن دسترسی به روزهای خاص، زمان روز، ساعت و غیره ایجاد چنین شرایطی برای کار با اطلاعات محافظت شده از هنجار و استانداردهای حفاظتی تا حد زیادی انجام خواهد شد.

تعریف 3

تشویق - یک روش برای محافظت از اطلاعاتی که کاربران و کارکنان IP مطابق با قوانین برای کار با امنیت تحت تهدید مسئولیت (مواد، اداری یا جنایتکار) است.

تعریف 4

انگیزه یک روش است که تشویق می کند (با توجه به انطباق با هنجارهای اخلاقی و اخلاقی در حال ظهور) روش های ایجاد شده را نقض نمی کند.

ابزار فنی حفاظت از اطلاعات به سخت افزار و فیزیکی تقسیم می شود.

سخت افزار شامل دستگاه هایی است که به طور مستقیم به تجهیزات فنی IP تعبیه شده اند یا با توجه به رابط استاندارد مرتبط هستند.

امکانات فیزیکی شامل دستگاه های مهندسی و سازه هایی است که مانع نفوذ فیزیکی بر روی اشیاء حفاظت شده و محافظت از پرسنل، مواد، اطلاعات و سایر مقادیر (به عنوان مثال، شبکه ها، قفل ها، گاوصندوق، سیستم های زنگ خطر، و غیره).

همچنین به طور گسترده ای از ابزارهای نرم افزاری استفاده شده برای محافظت از اطلاعات در IP استفاده می شود. این شامل برنامه های پارکینگ، برنامه های آنتی ویروس، برنامه های محدود کننده دسترسی، برنامه های رمزنگاری (رمزنگاری) است.

بودجه های سازمانی رویدادهایی را ارائه می دهند که غیرممکن است یا باعث افشای، نشت، دسترسی غیر مجاز به اطلاعات در یک چارچوب نظارتی دشوار می شود.

داروهای قانونی قوانین را برای کار با اطلاعات تنظیم می کنند و نظم مسئولیت نقض آنها را تعیین می کنند. داروهای قانونی توسط اقدامات قانونگذاری کشور تعیین می شود.

حفاظت اخلاقی و اخلاقی به معنای هنجارهای رفتار است که ممکن است ناامید کننده باشد (به عنوان مثال، صداقت) یا تزئین شده در قالب قوانین و مقررات. به عنوان یک قاعده، آنها توسط قانون تصویب نمی شوند، اما برای اعدام اجباری هستند. یک مثال از چنین قوانینی ممکن است مجموعه ای از قوانین ارتباطی اخلاقی در شبکه باشد و مانند آن.

اشتراک گذاری.
اشتراک گذاری.
توییت.
پسندیدن
پسندیدن

همچنین بخوانید

زنگ.

کسانی هستند که این خبر را قبل از شما خوانده اند.
مشترک شدن برای دریافت مقالات تازه.
پست الکترونیک
نام
نام خانوادگی
چگونه می خواهید زنگ را بخوانید
بدون هرزنامه