طبقه بندی روش ها و روش های محافظت از اطلاعات رایانه ای. ابزارهای امنیتی اطلاعات اشیاء امنیت اطلاعات

5.2 طبقه بندی امنیت اطلاعات

بطور کلی ، ابزارهای محافظت از اطلاعات از نظر جلوگیری از اقدامات عمدی ، بسته به روش اجرای ، می توانند به گروههایی تقسیم شوند:

امکانات فنی (سخت افزاری). اینها دستگاه هایی با انواع مختلف (مکانیکی ، الکترومکانیکی ، الکترونیکی و ...) هستند که وظایف محافظت از اطلاعات را توسط سخت افزار حل می کنند. آنها یا مانع از نفوذ فیزیکی می شوند ، یا اگر این نفوذ هنوز رخ داده است ، دسترسی به اطلاعات ، از جمله از طریق مبدل بودن آن ، امکان دسترسی به اطلاعات وجود دارد. بخش اول این مشکل توسط قفل ها ، گریتینگ ها روی ویندوزها ، آلارم های امنیتی و غیره حل می شود. بخش دوم تولید کننده نویزهای ذکر شده در بالا ، محافظ های افزایش یافته ، رادیوهای اسکن شده و بسیاری از دستگاه های دیگر است که کانال های احتمالی نشت اطلاعات را "مسدود" می کنند یا اجازه شناسایی آنها را می دهند. مزایای ابزار فنی مربوط به قابلیت اطمینان آنها ، استقلال در برابر عوامل ذهنی و مقاومت بالا در برابر اصلاح است. نقاط ضعف - عدم انعطاف پذیری ، حجم و حجم نسبتاً زیاد ، هزینه بالا.

ابزارهای نرم افزاری شامل برنامه هایی برای شناسایی کاربر ، کنترل دسترسی ، رمزگذاری اطلاعات ، حذف اطلاعات باقیمانده (در حال کار) مانند پرونده های موقتی ، کنترل تست سیستم محافظت و غیره می باشد .از مزایای ابزارهای نرم افزاری قابلیت تطبیق پذیری ، انعطاف پذیری ، قابلیت اطمینان ، سهولت در نصب ، امکان اصلاح و توسعه می باشد. معایب - عملکرد شبکه محدود ، استفاده از بخشی از منابع سرور پرونده و ایستگاه های کاری ، حساسیت بالا تغییرات تصادفی یا عمدی ، وابستگی احتمالی به انواع رایانه ها (سخت افزار آنها).

سخت افزار و نرم افزار مخلوط همان عملکردهای سخت افزاری و نرم افزاری را بطور جداگانه پیاده سازی می کنند و دارای خاصیت میانی هستند.

ابزارهای سازمانی شامل سازمانی و فنی (تهیه محل با رایانه ، کابل کشی ، با در نظر گرفتن الزامات محدود کردن دسترسی به آن و غیره) و سازمانی و حقوقی (قوانین و مقررات ملی تعیین شده توسط مدیریت یک شرکت خاص) است. از مزایای ابزارهای سازمانی این است که به شما امکان می دهد بسیاری از مشکلات متنوع را حل کنید ، به راحتی قابل اجرا هستید ، به سرعت به اقدامات ناخواسته در شبکه پاسخ می دهید و امکانات نامحدودی برای اصلاح و توسعه دارید. معایب - وابستگی زیاد به عوامل ذهنی ، از جمله سازمان کلی کار در یک واحد خاص.

رمزگذاری داده ها نوعی نرم افزار محافظت از اطلاعات است و به عنوان تنها در عمل از اهمیت ویژه ای برخوردار است محافظت قابل اعتماد اطلاعات منتقل شده از طریق خطوط سریال طولانی از نشت.

مفهوم "رمزگذاری" اغلب در ارتباط با موارد بیشتر استفاده می شود مفهوم کلی رمزنگاری. رمزنگاری شامل روشها و روشهای اطمینان از محرمانه بودن اطلاعات (از جمله رمزگذاری) و تأیید اعتبار است.

محرمانه بودن - امنیت اطلاعات از آشنایی با محتوای آن توسط اشخاصی که حق دسترسی به آن را ندارند. به نوبه خود ، احراز هویت عبارت است از تأیید صحت ابعاد مختلف تعامل اطلاعات: جلسه ارتباطات ، احزاب (شناسایی) ، محتوا (حفاظت امنیتی) و منبع (تألیف با امضای دیجیتال).

کلیه راه حلهای درمانی را می توان به دو گروه رسمی و غیررسمی تقسیم کرد. ابزارهای رسمی شامل مواردی هستند که وظایف خود را برای محافظت از اطلاعات بطور رسمی انجام می دهند ، یعنی عمدتا بدون مداخله انسانی. وسایل غیررسمی شامل وجوهی مبتنی بر فعالیت هدفمند مردم است. ابزارهای رسمی به نرم افزارهای فنی (فیزیکی ، سخت افزاری) و نرم افزاری تقسیم می شوند.

وسایل فنی حفاظت از وسایلی است که اصلی در آن استفاده می شود عملکرد محافظ این توسط برخی از دستگاه های فنی (پیچیده ، سیستم) پیاده سازی شده است.

مزایای بدون شک وسایل فنی شامل طیف گسترده ای از کارها ، قابلیت اطمینان بالا ، امکان ایجاد سیستم های حفاظت شده یکپارچه توسعه یافته ، پاسخ انعطاف پذیر به اقدامات اقدامات غیرمجاز و روشهای سنتی مورد استفاده برای انجام کارکردهای محافظ است.

مضرات اصلی هزینه زیاد بودجه ، نیاز به کار منظم و کنترل منظم ، امکان هشدارهای دروغین است.

انجام طبقه بندی منظم از ابزارهای حفاظتی فنی مطابق با مجموعه زیر شاخص ها مناسب است:

• 1) هدف کاربردی ، یعنی وظایف اصلی محافظت از جسم ، که با کاربرد آنها قابل حل است.
• 2) ترکیب تجهیزات حفاظتی با سایر ابزارهای پردازش اطلاعات (OOI).
• 3) پیچیدگی تجهیزات حفاظتی و کاربرد عملی آن.
• 4) نوع تجهیزات حفاظتی که حاکی از اصول عملکرد عناصر آنها است.
• 5) هزینه کسب ، نصب و بهره برداری.

بسته به هدف و محل استفاده ، کارکردهای انجام شده و امکان سنجی فیزیکی ، وسایل فنی را می توان به صورت مشروط به فیزیکی و سخت افزاری تقسیم کرد:

ابزارهای جسمی - مکانیکی ، الکتریکی ، الکترومکانیکی ، الکترونیکی ، الکترونیکی-مکانیکی و دستگاه های مشابه و سیستم هایی که به صورت خود مختار عمل می کنند و انواع مختلفی از موانع را برای عوامل بی ثبات کننده ایجاد می کنند.

• 1. حفاظت خارجی - محافظت در برابر نفوذ عوامل بی ثبات کننده که در خارج از دارایی های ثابت تأسیسات ظاهر می شوند (جداسازی فیزیکی سازه هایی که تجهیزات سیستم خودکار در آنها از سایر سازه ها نصب شده است).
• 2- حفاظت داخلی - محافظت از تأثیر عوامل بی ثبات کننده ، که به طور مستقیم در وسایل پردازش اطلاعات (حصار کشیدن قلمرو مراکز رایانه ای با نرده ها در چنین مسافتهایی که برای محرومیت از ثبت موثر اشعه الکترومغناطیسی و سازماندهی نظارت منظم بر روی این سرزمین ها کافی است) آشکار می شوند.
• 3. شناسایی - گروه مشخصی از ابزارهای طراحی شده برای شناسایی افراد و شناسایی وسایل فنی با توجه به خصوصیات مختلف فردی (ساماندهی ایست های بازرسی در ورودی های محل های مراکز رایانه ای یا درهای ورودی مجهز با قفل های ویژه که به شما امکان کنترل دسترسی به محل را می دهد).

سخت افزار - انواع مختلف الکترونیکی ، الکترونیکی-مکانیکی و دستگاههای مشابه که در سخت افزار یک سیستم پردازش داده ادغام شده یا برای حل مشکلات امنیتی اطلاعات به طور خاص با آن در ارتباط هستند. به عنوان مثال ، از ژنراتورهای صوتی برای محافظت در برابر نشت از طریق کانالهای فنی استفاده می شود.

• 1. خنثی سازی کانال های فنی نشت اطلاعات (TKUI) عملکرد محافظت از اطلاعات در برابر نشت آن از طریق کانال های فنی را انجام می دهد.
• 2. جستجوی دستگاه های تعبیه شده - محافظت در برابر استفاده توسط مهاجم دستگاه های جاسازی شده برای حذف اطلاعات.
• 3ـ پوشاندن سیگنال حاوی اطلاعات محرمانه - محافظت از اطلاعات در برابر شناسایی ناقلین آن (روش های کوتاه مدت) و محافظت از محتوای اطلاعات از افشای (روش های رمزنگاری).

گروه ویژه و گسترده ای از دستگاه های محافظت از سخت افزار دستگاه هایی برای رمزگذاری اطلاعات (روش های رمزنگاری) هستند.

نرم افزار - بسته های نرم افزاری ویژه یا برنامه های جداگانه موجود در ترکیب نرم افزار سیستم های خودکار به منظور حل مشکلات امنیتی اطلاعات اینها می توانند برنامه های مختلفی برای تبدیل داده های رمزنگاری ، کنترل دسترسی ، محافظت از ویروس و غیره باشند. حفاظت از نرم افزار رایج ترین نوع محافظت است که با چنین خصوصیات مثبت تسهیل می شود. این ابزارمانند جهانی بودن ، انعطاف پذیری ، سهولت اجرای ، امکانات تقریبا نامحدود برای تغییر و توسعه و غیره. با هدف عملکردی ، آنها می توانند به گروههای زیر تقسیم شوند:

• 1. شناسایی وسایل فنی (پایانه ها ، دستگاه های کنترل گروه I / O ، رایانه ها ، رسانه های ذخیره سازی) ، وظایف و کاربران ،
• 2. تعیین حقوق وسایل فنی (روزها و زمان کار مجاز به استفاده از کار) و کاربران ،
• 3. کنترل عملکرد ابزارهای فنی و کاربران ،
• 4- ثبت نام کار ابزارهای فنی و کاربران در پردازش اطلاعات با استفاده محدود ،
• 5- تخریب اطلاعات در حافظه پس از استفاده ،
• 6. هشدارها برای اقدامات غیرمجاز ،
• 7. برنامه های کمکی برای اهداف مختلف: نظارت بر عملکرد مکانیسم محافظت ، قرار دادن تمبر رازداری بر روی اسناد صادر شده.

وسایل غیررسمی به سازمانی ، قانونگذاری و اخلاقی تقسیم می شوند.

ابزارهای سازمانی - اقدامات سازمانی و فنی که بطور ویژه در فن آوری عملکرد تأسیسات برای حل وظایف محافظت از اطلاعات پیش بینی شده است ، که در قالب فعالیتهای هدفمند مردم انجام می شود.

فعالیتهای سازمانی نقش بزرگی در ایجاد مکانیزم قابل اعتماد برای محافظت از اطلاعات دارند. دلایلی که اقدامات سازمانی نقش مهمی در مکانیسم محافظت ایفا می کند این است که احتمال استفاده غیرمجاز از اطلاعات تا حد زیادی توسط جنبه های غیر فنی تعیین می شود: اقدامات مخرب ، سهل انگاری یا سهل انگاری کاربران یا پرسنل سیستم های پردازش داده. تأثیر این جنبه ها برای جلوگیری یا بومی سازی با استفاده از ابزارهای سخت افزاری و نرم افزاری و اقدامات محافظت جسمی که در بالا گفته شد ، عملاً غیرممکن است. این امر به ترکیبی از اقدامات سازمانی ، سازمانی ، فنی و حقوقی احتیاج دارد که احتمال بروز نشت اطلاعات از این طریق را از بین می برد.

فعالیت های اصلی به شرح زیر است:

ضروری

• 1) فعالیتهای انجام شده در زمینه طراحی ، ساخت و تجهیزات مراکز رایانه ای.
• 2) فعالیتهای انجام شده در انتخاب و آموزش پرسنل مرکز رایانه (تأیید استخدام ، ایجاد شرایطی که کارمندان مایل به از دست دادن شغل خود ، آشنایی با اقدامات مسئولیت نقض قوانین محافظت) نیستند.
• 3) سازمان کنترل دسترسی قابل اعتماد.
• 4) کنترل تغییرات در ریاضیات و نرم افزارها.
• 5) آشنایی کلیه کارکنان با اصول امنیت اطلاعات و اصول عملکرد دستگاههای ذخیره سازی و پردازش اطلاعات. تصور کنید ، حداقل در یک سطح کیفی ، آنچه در طی انجام عملیات مشخص رخ می دهد ، کارمند از خطاهای آشکار خودداری کند.
• 6) طبقه بندی کاملی از کلیه اطلاعات با توجه به میزان پنهان کاری آن و مقررات مربوط به رسیدگی به اسناد توزیع محدود.
• 7) کارمندان را ملزم به رعایت الزامات حفاظت از اطلاعات ، با حمایت مناسب از اقدامات سازمانی و انضباطی می دانند.

مطلوب

• 1) وادار كردن همه كاركنان به مطالعه روش هاي جديد حمايت از اطلاعات و نمره گذاري بر آنها.
• 2) یک متخصص داشته باشید که از نظر حرفه ای در زمینه مشکلات امنیت اطلاعات مهارت داشته باشد.
• 3) از نرم افزارهای موجود در کار استفاده نکنید ، که برای آن هیچگونه قطعیت مشخص وجود ندارد که با اطلاعات پردازش شده اقدامات غیرمجاز را انجام دهد ، مانند ایجاد غیرمجاز نسخه ها ، جمع آوری اطلاعات رایانه ای ، ارسال اطلاعات از طریق اینترنت به سازنده نرم افزار.
• 4) ابزارهای امنیتی اطلاعات معتبر را خریداری کنید.
• 5) کارمندان (به جز متخصصان مجاز) را از نصب هرگونه نرم افزار جدید منع کنید. پس از دریافت پرونده های اجرایی از طریق پست الکترونیکی ، آنها را بدون درک پاک کنید.

اضافی

• 1) استراتژی جامع امنیت اطلاعات را در شرکت خود تهیه کنید. بهتر است چنین کاری را به متخصصان خارجی واگذار کنید.
• 2) یک "آزمایش" از ابزارهای امنیتی اطلاعات موجود خود را انجام دهید ، و به یک متخصص شخص ثالث دستور دهید تا امنیت شما را برای دوام آزمایش کند.

یكی از مهمترین اقدامات سازمانی ، نگهداری در كامپيوتر یك سرویس ویژه حفاظت اطلاعاتی تمام وقت است كه تعداد و ترکیب آن می تواند ایجاد سیستم امنیتی قابل اطمینان و كاركرد منظم آن را تضمین كند.

وسایل قانونی - موجود در کشور یا اعمال قانونی ویژه اصولی صادر شده ، با کمک آنها حقوق و تعهدات مربوط به تضمین محافظت از اطلاعات ، کلیه اشخاص و واحدهای مرتبط با عملکرد سیستم تنظیم می شود ، و همچنین مسئولیت نقض مقررات مربوط به پردازش اطلاعات ایجاد می شود ، در نتیجه چه چیزی می تواند نقض امنیت اطلاعات باشد.

موازین اخلاقی و اخلاقی - معیارهای اخلاقی یا قوانین اخلاقی که در یک جامعه یا یک مجموعه معین ایجاد شده است ، رعایت آن به محافظت از اطلاعات کمک می کند و تخلف از آنها به معنای عدم رعایت قوانین سلوک در یک جامعه یا جمعی است.

روشهای اخلاقی و اخلاقی محافظت از اطلاعات ، قبل از هر چیز ، نیاز به آموزش کارمندی دارد که اجازه دارد اسرار را حفظ کند ، یعنی انجام کارهای ویژه با هدف تشکیل سیستم برخی خصوصیات ، دیدگاه ها و عقاید (میهن پرستی ، درک اهمیت و مفید بودن از حفاظت از اطلاعات و شخصاً برای او) ، و آموزش کارمندی که از اطلاعاتی که رازآمیز است ، قوانین و روشهای محافظت از اطلاعات آگاه است و به او مهارت می دهد تا در کار با حاملان اطلاعات مخفی و محرمانه مهارت داشته باشد.

روشهای اصلی سازمانی و فنی که برای محافظت از اسرار دولتی استفاده می شود عبارتند از: پنهان کردن ، رتبه بندی ، خرد کردن ، حسابداری ، اطلاعات غلط ، اقدامات اخلاقی ، رمزگذاری و رمزگذاری.

پنهان کاری به عنوان روشی برای محافظت از اطلاعات ، در قلب اجرای عملی آن یکی از اصول اصلی سازمانی حفاظت از اطلاعات است - حداکثر حد مجاز در تعداد افراد مجاز برای مخفی نگه داشتن. اجرای این روش معمولاً توسط:

• 1. اطلاعات طبقه بندی شده ، یعنی اختصاص آن به اطلاعات محرمانه یا محرمانه درجات مختلف پنهان کاری و محدود کردن دسترسی به این اطلاعات در رابطه با اهمیت آن برای مالک ، که در مهر محرمانه درج شده بر شرکت حامل اطلاعات وجود دارد.
• 2- از بین بردن یا تضعیف علائم ناخوشایند فنی اشیاء حفاظتی و کانالهای فنی برای نشت اطلاعات در مورد آنها.

پنهانکاری یکی از متداول ترین و پرکاربردترین روشهای محافظت از اطلاعات است.

رتبه بندی به عنوان روشی برای محافظت از اطلاعات شامل اولاً ، تقسیم اطلاعات طبقه بندی شده بر حسب میزان اسرار و ثانیاً ، تنظیم دسترسی و محدود کردن دسترسی به اطلاعات محافظت شده: ارائه حقوق فردی برای کاربران خاص برای دسترسی به اطلاعات خاص مورد نیاز و انجام برخی عملیات ها است.

رتبه بندی به عنوان روشی برای محافظت از اطلاعات یک مورد خاص از روش پنهان سازی است: کاربر مجاز به اطلاعاتی نیست که نیازی به انجام وظایف رسمی خود نداشته باشد ، و به این ترتیب این اطلاعات از او و سایر افراد (غیر مجاز) پنهان می شود.

اطلاعات نادرست یکی از روشهای محافظت از اطلاعات است که شامل انتشار اطلاعات غلط آگاهانه در مورد هدف واقعی برخی از اشیاء و محصولات ، وضعیت واقعی برخی از حوزه فعالیت های دولت است.

اطلاعات نادرست معمولاً با پخش اطلاعات نادرست از طریق کانالهای مختلف ، تقلید یا تحریف علائم و خصوصیات عناصر فردی اشیاء محافظت ، ایجاد اشیاء کاذب ، در شکل ظاهری یا مظاهراتی شبیه به اشیاء مورد علاقه طرف مقابل و غیره انجام می شود.

تکه تکه شدن (تقسیم بندی) اطلاعات به قسمتهایی با این شرط که دانش در مورد هر یک از اطلاعات (به عنوان مثال دانش یک عملکرد از فناوری تولید یک محصول) امکان بازیابی کل تصویر ، کل فناوری به عنوان یک کل را نمی دهد.

این ماده در تولید وسایل: اسلحه و تجهیزات نظامی و همچنین در تولید کالاهای مصرفی بسیار مورد استفاده قرار می گیرد.

حسابداری (ممیزی) همچنین یکی از مهمترین روشهای محافظت از اطلاعات ، فراهم آوردن امکان دریافت اطلاعات در هر زمان از هر رسانه اطلاعات محافظت شده ، تعداد و مکان کلیه حاملان اطلاعات طبقه بندی شده و همچنین داده های مربوط به کلیه کاربران این اطلاعات است. بدون در نظر گرفتن ، حل مشکلات غیرممکن خواهد بود ، به ویژه هنگامی که تعداد حاملها از یک حداقل حجم معین بیشتر باشد.

برنامه نویسی روشی برای محافظت از اطلاعات است که با هدف پنهان کردن محتوای اطلاعات محافظت شده از متخلف و متشکل از تبدیل متن ساده با استفاده از کدهای شرطی هنگام انتقال اطلاعات از طریق کانال های ارتباطی ، ارسال پیام کتبی در هنگام تهدید وجود دارد که ممکن است به اشتباه نرسد. هنگام پردازش و ذخیره اطلاعات در تأسیسات رایانه ای (CBT).

معمولاً از ترکیبی از کاراکترها (نمادها ، اعداد و غیره) و سیستمی از قوانین خاص برای رمزگذاری استفاده می شود که با استفاده از آن می توان اطلاعات را تبدیل (رمزگذاری) کرد به گونه ای که فقط در صورت استفاده از کلید (کد) مناسب برای رمزگشایی می توان آن را خواند. .

رمزگذاری روشی برای محافظت از اطلاعات است که بیشتر در هنگام انتقال پیام با استفاده از تجهیزات رادیویی مختلف ، ارسال پیام های کتبی و در موارد دیگر که خطر رهگیری این پیام ها وجود دارد ، بیشتر مورد استفاده قرار می گیرد. رمزگذاری عبارت است از تبدیل اطلاعات باز به شکلی که درک درستی از محتویات آن در صورتی که رهگیر اطلاعاتی (کلید) برای افشای رمز نداشته باشد محروم می شود.

دانستن قابلیت های این روش ها به شما امکان می دهد تا هنگام بررسی و استفاده از اقدامات قانونی ، سازمانی و مهندسی برای محافظت از اطلاعات طبقه بندی شده ، آنها را بطور فعال و جامع بکار بگیرید.

روند آموزشی در فناوری اطلاعات

در قسمت اول «اصول امنیت اطلاعات»ما در مورد بررسی کردیم. برای اینکه ما بتوانیم در انتخاب ابزارهای محافظت از اطلاعات گام برداریم ، لازم است با جزئیات بیشتری بررسی کنیم که چه چیزی را می توان به مفهوم اطلاعات نسبت داد.

اطلاعات و طبقه بندی آن

تعاریف و طبقه بندی های بسیاری از "اطلاعات" وجود دارد. مختصر ترین و در عین حال جامع ترین تعریف در قانون فدرال در تاریخ 27 ژوئیه 2006 ارائه شده است شماره 149-FZ (اصلاح شده در 29 ژوئیه 2017) ، ماده 2: اطلاعات بدون توجه به شکل ارائه آنها ، اطلاعات (پیام ها ، داده ها) هستند. "

اطلاعات را می توان در انواع مختلفی طبقه بندی کرد و بسته به دسته دسترسی به آن ، به آنها تقسیم می شود اطلاعات در دسترس عمومو همچنین اطلاعاتی که دسترسی به آنها محدود است - اطلاعات محرمانه و اسرار دولتی.

اطلاعات بسته به روال تهیه یا توزیع آن به اطلاعات تقسیم می شوند:

1. نرم افزار رایگان
2. با توافق افراد ارائه می شوددرگیر در روابط مربوطه
3. که مطابق با قوانین فدرال است تهیه یا توزیع شود
4. پخش کنید که فدراسیون روسیه محدود یا ممنوع

اطلاعات برای اهداف از انواع زیر است:

1. فله - حاوی اطلاعات بی اهمیت است و با مجموعه ای از مفاهیم قابل درک است که برای اکثر جامعه قابل درک است.
2. ویژه - شامل مجموعه مشخصی از مفاهیم است که ممکن است توسط بخش عمده جامعه قابل درک نباشد ، اما در یک گروه اجتماعی باریک که در آن از این اطلاعات استفاده می شود ، لازم و قابل درک است.
3. راز - دسترسی به آنها به یک حلقه باریک از افراد و از طریق کانال های بسته (محافظت شده) اعطا می شود.
4. شخصی (خصوصی) - مجموعه ای از اطلاعات در مورد یک فرد که وضعیت اجتماعی و انواع تعاملات اجتماعی را تعیین می کند.

وسایل محافظت از اطلاعات باید مستقیماً برای دسترسی به اطلاعات محدود شده استفاده شود - این اطلاعات محرمانه و محرمانه دولت.

طبق قانون فدراسیون روسیه مصوب 07.21.1993 N 5485-1 (اصلاح شده در 8 مارس 2015) "درباره راز دولت" ماده 5. "لیست اطلاعاتی که مخفی دولت است" اعمال میشود:

1. اطلاعات در زمینه نظامی.
2. اطلاعات در زمینه اقتصاد ، علم و فناوری.
3. اطلاعات در زمینه سیاست خارجی و اقتصاد.
4. اطلاعات در زمینه اطلاعات ، فعالیت های ضد اطلاعاتی و عملیاتی-جستجو و همچنین در زمینه مبارزه با تروریسم و \u200b\u200bدر زمینه تضمین امنیت اشخاصی که نسبت به آنها تصمیمی مبنی بر اعمال اقدامات حفاظت از کشور گرفته شده است.

لیستی از اطلاعاتی که ممکن است اطلاعات محرمانه را تشکیل دهند ، درج شده است فرمان ریاست جمهوری 6 مارس 1997 №188 (مطابق با 13 ژوئیه 2015) "درباره تأیید لیست اطلاعات محرمانه".

اطلاعات محرمانه - این اطلاعاتی است که دسترسی به آن مطابق با قوانین دولت و هنجارهایی که شرکت ها خودشان ایجاد می کنند محدود است. انواع داده های حساس زیر قابل تشخیص است:

• اطلاعات محرمانه شخصی: اطلاعات در مورد حقایق ، وقایع و شرایط زندگی خصوصی شهروندان ، به او امکان می دهد شخصیت خود (اطلاعات شخصی) را به استثنای اطلاعاتی که در رسانه ها توزیع می شود ، شناسایی کند. رسانه های جمعی در مواردی که توسط قوانین فدرال تعیین شده است. استثنا فقط اطلاعاتی است که در رسانه ها توزیع می شود.
• اطلاعات محرمانه خدمات: اطلاعات رسمی ، دسترسی به آنها مطابق با قانون مدنی فدراسیون روسیه و قوانین فدرال (اسرار رسمی) توسط مقامات دولتی محدود است.
• اطلاعات محرمانه قضایی: در مورد حمایت دولت از قضات ، مقامات اجرای قانون و دستگاههای نظارتی. در مورد حمایت دولت از قربانیان ، شاهدان و سایر شرکت کنندگان در دادرسی کیفری. اطلاعات موجود در پرونده های شخصی محکومین ، و همچنین اطلاعات مربوط به اجرای اقدامات قضایی ، اقدامات سایر ارگانها و مقامات ، به غیر از اطلاعاتی که مطابق قانون فدرال در 2 اکتبر 2007 N 229-ФЗ "در مورد مراحل اجرای" در دسترس عموم است. .
• اطلاعات محرمانه تجاری: کلیه انواع اطلاعات مربوط به تجارت (سود) و دسترسی به آنها محدود به قانون یا اطلاعات مربوط به ماهیت اختراع ، مدل ابزار یا طراحی صنعتی قبل از انتشار رسمی اطلاعات در مورد آنها توسط شرکت (تحولات مخفی ، فناوری های تولید و غیره) می باشد.
• اطلاعات محرمانه حرفه ای: اطلاعات مربوط به فعالیتهای حرفه ای ، دسترسی به آنها مطابق با قانون اساسی فدراسیون روسیه و قوانین فدرال (پزشکی ، اسناد رسمی ، راز وکالت ، راز مکاتبات ، مکالمات تلفنی ، محدود) موارد پستی، تلگراف یا سایر ارتباطات و موارد دیگر)

شکل 1. طبقه بندی انواع اطلاعات.

اطلاعات شخصی

ما همچنین باید توجه کنیم و به داده های شخصی توجه کنیم. طبق قانون فدرال مصوب 07.27.2006 شماره 152-FZ (اصلاح شده در 29 ژوئیه 2017) "درباره داده های شخصی" ، ماده 4: اطلاعات شخصی - این اطلاعاتی است که به طور مستقیم یا غیرمستقیم مربوط به شخص حقیقی یا قابل تعیین (موضوع داده های شخصی) است.

اپراتور داده های شخصی است - ارگان دولتی ، نهاد شهرداری ، قانونی یا شخصیبطور مستقل یا مشترک با سایر افراد که سازماندهی و (یا) انجام پردازش داده های شخصی و همچنین تعیین اهداف پردازش داده های شخصی ، ترکیب داده های شخصی برای پردازش ، اقدامات (عملیات) با داده های شخصی انجام می شود.

پردازش داده های شخصی - هرگونه عمل (عملیاتی) یا مجموعه ای از اقدامات (عملیات) انجام شده با استفاده از ابزارهای اتوماسیون یا بدون استفاده از چنین ابزارهایی با داده های شخصی ، از جمله جمع آوری ، ضبط ، سیستم سازی ، انباشت ، ذخیره سازی ، شفاف سازی (به روز رسانی ، اصلاح) ، استخراج ، استفاده ، انتقال (توزیع ، تهیه ، دسترسی) ، شخصی سازی ، مسدود کردن ، حذف ، تخریب اطلاعات شخصی.

حق پردازش داده های شخصی در آیین نامه مربوط به ارگانهای ایالتی ، قوانین فدرال ، مجوزهای کار با داده های شخصی صادر شده توسط Roskomnadzor یا FSTEC مشخص شده است.

شرکت هایی که به صورت حرفه ای با داده های شخصی طیف گسترده ای از مردم کار می کنند ، به عنوان مثال میزبانی شرکت های سرور مجازی یا اپراتورهای مخابراتی ، باید وارد رجیستری شوند ، توسط شرکت Roskomnadzor نگهداری می شود.

به عنوان مثال ، میزبانی وب سرورهای مجازی VPS.HOUSE طبق قوانین فدراسیون روسیه و مطابق با مجوزهای خدمات فدرال نظارت برای نظارت در زمینه ارتباطات ، فناوریهای اطلاعات و ارتباطات جمعی به شماره 129322 مورخ 12/25/2015 (خدمات ارتباطی از راه دور) و شماره 139323 مورخ 25.12 .2015 (خدمات ارتباطی برای انتقال داده ها ، به استثنای خدمات ارتباطی برای انتقال داده ها به منظور انتقال اطلاعات صوتی).

براین اساس ، هر سایتی که فرم ثبت نام کاربر در آن وجود داشته باشد ، که در آن اطلاعات مربوط به داده های شخصی نشان داده شده و متعاقبا پردازش شده باشد ، یک اپراتور داده شخصی است.

مشمول بند 7 قانون شماره 152-FZ "در مورد داده های شخصی" ، اپراتورها و سایر افرادی که به داده های شخصی دسترسی پیدا کرده اند موظف هستند اطلاعات شخصی را بدون رضایت موضوع داده های شخصی توزیع نکنند ، مگر اینکه در قانون فدرال تصریح شده باشد. بر این اساس ، به هر اپراتور اطلاعات شخصی موظف است امنیت و محرمانه بودن این اطلاعات را تأمین کند.

برای اطمینان از امنیت و محرمانه بودن اطلاعات ، باید تعیین کرد که چه نوع حامل اطلاعاتی وجود دارد ، دسترسی به آنها باز و بسته است. بر این اساس ، روش ها و وسایل حفاظت بسته به نوع حامل به همان روش انتخاب می شوند.

حاملان اصلی اطلاعات:

• رسانه های چاپی و الکترونیکی ، شبکه های اجتماعیمنابع دیگر در اینترنت؛
• کارمندان سازمان که بر اساس روابط دوستانه ، خانوادگی ، حرفه ای خود به اطلاعات دسترسی دارند.
• امکانات ارتباطی که اطلاعات را منتقل یا ذخیره می کنند: تلفن ، تبادل تلفنی خودکار و سایر تجهیزات ارتباطی.
• اسناد انواع: شخصی ، رسمی ، ایالتی؛
• نرم افزار به عنوان یک موضوع اطلاعات مستقل ، به ویژه اگر نسخه آن به طور خاص برای یک شرکت خاص تهیه شده باشد.
• رسانه ذخیره سازی الکترونیکی که داده ها را بطور خودکار پردازش می کند.

با تعیین اینکه چه اطلاعاتی در معرض حفاظت ، اطلاعات حامل و آسیب های احتمالی در هنگام افشای آن است ، می توانید وسایل لازم برای حفاظت را انتخاب کنید.

طبقه بندی امنیت اطلاعات

مطابق قانون فدرال 27 ژوئیه 2006 شماره 149-FZ (اصلاح شده در 29 ژوئیه 2017) "درباره اطلاعات ، فن آوری اطلاعات و حفاظت از اطلاعات" ، ماده 7 ، بند 1 و بند 4:

1. محافظت از اطلاعات نمایندگی می کند اتخاذ اقدامات قانونی ، سازمانی و فنی، نشانه رفته به طرف:

• امنیت محافظت از اطلاعات از دسترسی غیر مجاز ، تخریب ، اصلاح ، مسدود کردن ، کپی کردن ، تهیه ، توزیع و همچنین سایر اقدامات غیرقانونی در رابطه با چنین اطلاعاتی.
• انطباق محرمانه بودن اطلاعات محدود؛
• پیاده سازی حق دسترسی به اطلاعات

4- دارنده اطلاعات ، اپراتور سیستم اطلاعات در موارد تعیین شده توسط قانون فدراسیون روسیه ، باید تامین کند:

• جلوگیری دسترسی غیرمجاز به اطلاعات و (یا) انتقال آن به افرادی که حق دسترسی به اطلاعات را ندارند.
• به موقع تشخیص حقایق دسترسی غیر مجاز به اطلاعات.
• هشدار احتمال عواقب منفی ناشی از نقض ترتیب دسترسی به اطلاعات؛
• جلوگیری تأثیر بر وسایل فنی پردازش اطلاعات ، در نتیجه عملکرد آنها مختل می شود.
• امکان فوری بهبود اطلاعات اصلاح شده یا از بین رفته به دلیل دسترسی غیرمجاز به آن.
• مقدار ثابت کنترل برای اطمینان از سطح امنیت اطلاعات؛
• یافته در قلمرو فدراسیون روسیه ، بانکهای اطلاعاتی از اطلاعات با استفاده از آنها جمع آوری ، ضبط ، سیستم سازی ، انباشت ، ذخیره سازی ، به روزرسانی (به روزرسانی ، تغییر) ، استخراج داده های شخصی شهروندان فدراسیون روسیه انجام می شود (بند 7 توسط قانون فدرال 21 ژوئیه 2014 معرفی شد) شماره 242-ФЗ).

براساس قانون شماره 149-FZ حفاظت از اطلاعات همچنین می تواند به چندین سطح تقسیم شود:

1. سطح حقوقی تضمین انطباق با استانداردهای ایالتی در زمینه امنیت اطلاعات و شامل حق چاپ ، احکام ، ثبت اختراعات و توضیحات شغلی است.
   یک سیستم حفاظت مناسب ساخته شده ، حقوق کاربر و استانداردهای پردازش داده را نقض نمی کند.
2. سطح سازمانی به شما امکان می دهد قوانینی را ایجاد کنید که کاربران بتوانند با اطلاعات محرمانه کار کنند ، پرسنل را انتخاب کنید ، کار را با اسناد و حامل های داده سازماندهی کنید.
   قوانین کار برای کاربران دارای اطلاعات محرمانه ، قوانین کنترل دسترسی نامیده می شوند. این قوانین توسط مدیریت شرکت به همراه سرویس امنیتی و تأمین کننده اجرای سیستم امنیتی تعیین می شود. هدف ایجاد شرایطی برای دسترسی به منابع اطلاعاتی برای هر کاربر است ، به عنوان مثال حق خواندن ، ویرایش ، انتقال یک سند محرمانه.
   قوانین کنترل دسترسی در سطح سازمانی تهیه شده و در مرحله کار با مؤلفه فنی سیستم اجرا می شود.
3. سطح فنی به طور مشروط به فیزیکی ، سخت افزاری ، نرم افزاری و ریاضی (رمزنگاری) تقسیم می شود.

ابزارهای امنیتی اطلاعات

ابزارهای امنیتی اطلاعات تصمیم به تقسیم با هنجاری (غیررسمی) و فنی (رسمی).

وسیله غیررسمی امنیت اطلاعات

وسیله غیررسمی امنیت اطلاعات - هنجاری (قانونی) ، اداری (سازمانی) و اخلاقی و اخلاقی وجوهی که به آنها می توان نسبت داد: اسناد ، قوانین ، رویدادها.

مبنای قانونی ( وسیله قانونگذاری) امنیت اطلاعات توسط دولت تأمین می شود. محافظت از اطلاعات با كنوانسيون هاي بين المللي ، قانون اساسي ، قوانين فدرال "درمورد اطلاعات ، فن آوري هاي اطلاعاتي و محافظت از اطلاعات" ، قوانين فدراسيون روسيه "درباره امنيت" ، "در مورد ارتباطات" ، "در مورد اسرار دولت" و قوانين آيين نامه تنظيم شده است.

همچنین برخی از قوانینی که در بالا ذکر شد مورد استناد قرار گرفتند و مورد توجه ما در بالا به عنوان پایه قانونی برای امنیت اطلاعات قرار گرفت. عدم رعایت این قوانین مستلزم تهدید برای امنیت اطلاعات است که می تواند منجر به عواقب قابل توجهی شود که به نوبه خود با توجه به این قوانین در قبال مسئولیت کیفری مجازات می شود.

دولت همچنین میزان مسئولیت نقض مقررات قانون در حوزه امنیت اطلاعات را تعیین خواهد کرد. به عنوان مثال ، فصل 28 "جرایم در زمینه اطلاعات رایانه ای" در قانون جزایی فدراسیون روسیه شامل سه ماده است:

• ماده 272 ، "دسترسی غیرقانونی به اطلاعات رایانه"
• ماده 273 "ایجاد ، استفاده و توزیع برنامه های مخرب رایانه"
• ماده 274 "نقض مقررات مربوط به بهره برداری از وسایل ذخیره سازی ، پردازش یا انتقال اطلاعات رایانه ای و شبکه های اطلاعاتی و ارتباطی."

اداری (سازمانی) وقایع نقش مهمی در ایجاد یک مکانیسم محافظت از اطلاعات مطمئن دارند. از آنجا که احتمال استفاده غیرمجاز از اطلاعات محرمانه تا حد زیادی توسط جنبه های فنی بلکه با اقدامات مخرب مشخص می شود. به عنوان مثال ، سهل انگاری ، سهل انگاری و سهل انگاری کاربران یا پرسنل امنیتی.

برای کاهش تأثیر این جنبه\u200cها ، ترکیبی از اقدامات سازمانی و حقوقی و سازمانی و فنی لازم است که احتمال تهدیدات مربوط به اطلاعات محرمانه را از بین ببرد یا به حداقل برساند.

در این فعالیت اداری و سازمانی برای محافظت از اطلاعات برای کارکنان سرویس های امنیتی ، خلاقیت وجود دارد.

اینها راه حل های معماری و برنامه ریزی است که از اتاق های جلسات و اتاق های مدیریت از شنیدن و ایجاد سطوح مختلف دسترسی به اطلاعات محافظت می کند.

از منظر تنظیم فعالیت های پرسنل ، تهیه یک سیستم درخواست برای دسترسی به اینترنت ، نامه الکترونیکی خارجی و سایر منابع مهم خواهد بود. یک عنصر جداگانه دریافت امضای دیجیتالی الکترونیکی برای تقویت امنیت مالی و سایر اطلاعاتی است که از طریق نامه الکترونیکی به دستگاه های دولتی منتقل می شود.

به اخلاقی و اخلاقی وسایل را می توان به معیارهای اخلاقی یا قوانین اخلاقی نسبت داد که در یک جامعه یا یک مجموعه معین ایجاد شده است ، که رعایت آن به محافظت از اطلاعات کمک می کند و نقض آنها به معنای عدم رعایت قوانین سلوک در یک جامعه یا جمعی است. این هنجارها مانند هنجارهای مصوب قانونی واجب نیستند ، با این وجود عدم رعایت آنها منجر به افت قدرت ، حیثیت شخص یا سازمان می شود.

امنیت اطلاعات رسمی

تجهیزات محافظ رسمی - اینها سخت افزار و نرم افزار خاصی هستند که می توانند به صورت فیزیکی ، سخت افزاری ، نرم افزاری و رمزنگاری تقسیم شوند.

امنیت اطلاعات فیزیکی - اینها هر مکانیسم مکانیکی ، الکتریکی و الکترونیکی هستند که مستقل از آنها کار می کنند سیستم های اطلاعاتی و ایجاد موانع برای دسترسی به آنها.

قفل ها ، از جمله آنهایی الکترونیکی ، صفحه نمایش ، پرده به گونه ای طراحی شده است که موانعی برای تماس با عوامل بی ثبات کننده با سیستم ایجاد می کند. این گروه با استفاده از سیستم های امنیتی ، به عنوان مثال ، دوربین های فیلمبرداری ، DVR ها ، سنسورها ، تشخیص حرکت یا مازاد درجه اشعه الکترومغناطیسی در منطقه محل تجهیزات فنی برای گرفتن اطلاعات تکمیل می شوند.

امنیت اطلاعات سخت افزار - اینها هر وسیله الکتریکی ، الکترونیکی ، نوری ، لیزر و سایر دستگاه هایی هستند که در سیستم های اطلاعاتی و ارتباطی تعبیه شده اند: رایانه های ویژه ، سیستم های نظارت بر کارکنان ، محافظت از سرور و شبکه های شرکت. آنها مانع از دسترسی به اطلاعات می شوند ، از جمله از طریق مبدل بودن آن.

این سخت افزار شامل: ژنراتورهای صوتی ، محافظهای افزایش یافته ، رادیوهای اسکن کننده و بسیاری از دستگاههای دیگر است که کانالهای احتمالی نشت اطلاعات را "مسدود" می کنند یا به آنها امکان شناسایی می دهند.

نرم افزار امنیت اطلاعات ساده هستند و برنامه های جامعطراحی شده برای حل مشکلات مربوط به امنیت اطلاعات.

نمونه ای از راه حل های یکپارچه سیستم های DLP و سیستم های SIEM هستند.

سیستم های DLP ("پیشگیری از نشت داده" به معنای واقعی کلمه به معنای "جلوگیری از نشت داده" است) به ترتیب برای جلوگیری از نشت ، بازتولید اطلاعات و هدایت جریان اطلاعات به کار می رود.

سیستم های SIEM ("اطلاعات امنیتی و مدیریت رویداد" ، به معنای "مدیریت امنیت رویداد و اطلاعات") تجزیه و تحلیل زمان واقعی رویدادهای امنیتی (آلارم) از دستگاه ها و برنامه های شبکه را ارائه می دهد. SIEM توسط برنامه ها ، دستگاه ها یا خدمات نمایش داده می شود ، همچنین برای گزارش داده ها و گزارش گیری برای سازگاری با سایر داده های تجاری استفاده می شود.

نرم افزار خواستار قدرت دستگاه های سخت افزاری است و در هنگام نصب باید ذخایر اضافی نیز ارائه شود.

ریاضی (رمزنگاری) - معرفی روشهای محافظت از داده های رمزنگاری و کوتاه برای انتقال ایمن از طریق شبکه های شرکتی یا جهانی.

رمزنگاری یکی از مطمئن ترین راه ها برای محافظت از داده ها به حساب می آید ، زیرا از اطلاعات خود محافظت می کند و دسترسی به آن نمی باشد. اطلاعات دگرگون شده رمزنگاری شده دارای حفاظت بالایی هستند.

معرفی ابزارهای محافظت از اطلاعات رمزنگاری شامل ایجاد یک مجموعه سخت افزاری و نرم افزاری است که معماری و ترکیب آن براساس نیاز مشتری خاص ، الزامات قانونی ، وظایف و روشهای لازم و الگوریتم های رمزگذاری تعیین می شود.

این ممکن است شامل مؤلفه های نرم افزار رمزگذاری (ارائه دهندگان رمزنگاری) ، ابزارهای سازمان VPN ، ابزارهای تأیید اعتبار ، ابزارهای تولید و تأیید کلیدها و امضاهای دیجیتالی الکترونیکی باشد.

ابزارهای رمزگذاری می توانند از الگوریتم های رمزگذاری GOST پشتیبانی کنند و بسته به میزان مورد نیاز از حفاظت ، چارچوب نظارتی و الزامات سازگاری با سایر سیستم ها ، از جمله سیستم های خارجی ، کلاس های لازم برای حفاظت از رمزنگاری را فراهم کنند. در عین حال ، ابزارهای رمزگذاری از کل مجموعه مؤلفه های اطلاعات ، از جمله پرونده ها ، دایرکتوری فایلها ، رسانه های ذخیره سازی فیزیکی و مجازی ، کل سرورها و سیستمهای ذخیره داده محافظت می کنند.

در خاتمه بخش دوم ، با نگاه اجمالی به روشها و روشهای اصلی محافظت از اطلاعات و همچنین طبقه بندی اطلاعات ، می توان موارد زیر را بیان کرد: واقعیتی که یک بار دیگر این پایان نامه مشهور تأیید شده است ، این است که تضمین امنیت اطلاعات ، مجموعه کاملی از اقدامات است که شامل همه جنبه های محافظت می شود اطلاعات ، ایجاد و تهیه آن باید با دقت و جدی ترین مورد به آنها نزدیک شود.

لازم است به شدت رعایت شود و تحت هیچ شرایطی نباید قانون طلایی را نقض کنید - این یک رویکرد یکپارچه است.

برای نمایش بصری بیشتر ابزارهای امنیتی اطلاعات ، یعنی به عنوان یک مجموعه اقدامات غیرقابل تفکیک ، در شکل 2 در زیر آورده شده است که هر یک از آجرهای آنها نمایانگر امنیت اطلاعات در یک بخش خاص است ، یکی از آجرها را برداشته و یک خطر امنیتی نیز به همراه خواهد داشت.

شکل 2. طبقه بندی ابزارهای امنیتی اطلاعات.

انواع حفاظت از اطلاعات ، دامنه آنها.

طبقه بندی روشهای محافظت از اطلاعات. روشهای جهانی حفاظت از اطلاعات ، دامنه آنها. زمینه های استفاده از روشهای سازمانی ، رمزنگاری و مهندسی حفاظت از اطلاعات.

مفهوم و طبقه بندی ابزارهای امنیتی اطلاعات. تعیین نرم افزار ، رمزنگاری و ابزارهای فنی حفاظت.

تحت پوشش ZI درک می شود یک منطقه نسبتاً جدا از ZI ، از جمله روشها ، ابزارها و اقدامات ذاتی برای اطمینان از امنیت اطلاعات.

دفاع حقوقی - نوع حمایت ، از جمله مجموعه ای از مقررات ایالتی حاكم بر محافظت از اطلاعات كه توسط دولت تأسیس و محافظت می شود.

حمایت حقوقی از اطلاعات حاکم است:

1) نوع راز را تعیین می کند؛ ترکیبی از اطلاعاتی که به هر نوع راز مربوط می شود و می توان به آنها نسبت داد ، بجز تجاری. و روش ارجاع اطلاعات به انواع اسرار؛

3) ایجاد حقوق و تعهدات صاحبان اطلاعات محافظت شده.

4) قوانين (هنجارها) اساسي كار را با اطلاعات محافظت شده ، بجز تشكيل راز تجارت ، برقرار كنيد.

5) مسئولیت کیفری ، اداری و مادی را برای تلاش غیرقانونی در مورد اطلاعات محافظت شده ، و همچنین از بین رفتن و افشای آن ، در نتیجه که پیامدهای منفی روی داده یا ممکن است برای صاحب یا صاحب اطلاعات ایجاد شده باشد ، تعیین می کند.

برخی از این موضوعات فقط با قانون تنظیم می شود ، بخش دیگر توسط قوانین و آیین نامه های قانونی.

امنیت اطلاعات سازمانی - این یک نوع حمایت است ، از جمله مجموعه ای از اسناد سازمانی و اداری ، روش ها و اقدامات سازمانی که سازمان ، فناوری و کنترل حفاظت از اطلاعات را تنظیم و تضمین می کند.

محافظت از اطلاعات سازمانی مهمترین نوع محافظت از اطلاعات است ، این به این دلیل است که چند منظوره است و برخلاف سایر انواع محافظت ، قادر است بطور مستقل (مستقل) زمینه های جداگانه ای از حفاظت را فراهم کند و در عین حال انواع دیگری از محافظت را نیز همراه داشته باشد ، زیرا یکی از آنها نیست می تواند یک یا جهت دیگر حفاظت را بدون اجرای اقدامات سازمانی لازم فراهم کند.

در رابطه با حوزه های فعالیت ، پنج حوزه استفاده از حمایت سازمانی قابل تفکیک است:

1- حصول اطمینان از رعایت استانداردهای قانونی تعیین شده برای محافظت از اطلاعات. این جهت با چنین مقرراتی در بنگاه و کارمندان آن انجام می شود ، که به آنها اجازه می دهد ، الزام آور یا مجبور به اجرای الزامات معیارهای قانونی برای حفاظت از اطلاعات می کنند. برای این منظور ، هنجارهای قانونی یا به اسناد نظارتی بنگاه تنظیم شده است که سازمان و فناوری عملکرد کار ، روابط کارکنان ، شرایط استخدام و اخراج کارمندان ، قوانین کار و نظایر آن را تنظیم می کند ، یا در اسناد نظارتی ویژه برای محافظت از اطلاعات تغییر می یابد. در عین حال ، یکی دیگر از این امر مستثنا نیست: برخی از موضوعات ممکن است در اسناد عمومی منعکس شود ، و برخی در اسناد ویژه.

2- حصول اطمینان از حفاظت از اطلاعات رمزنگاری ، سخت افزاری - نرم افزاری و مهندسی و فنی. این جهت با تهیه اسناد هنجاری- روش شناختی و سازمانی-فنی و همچنین با انجام اقدامات سازمانی لازم جهت اطمینان از اجرای و عملکرد روشها و ابزارهای این نوع محافظت ها انجام می شود.

3. تضمین حفاظت از مناطق خاص به طور مستقل فقط با روشها و اقدامات سازمانی. این امکان را برای شما فراهم می کند که فقط روش های سازمانی موارد زیر را حل کنید:

تعریف رسانه های اطلاعات محافظت شده؛

تعیین دامنه گردش اطلاعات محافظت شده؛

ارائه یک رویکرد متفاوت برای محافظت از اطلاعات (ویژگی حفاظت از اسرار ، خصوصیات حفاظت از اطلاعات).

ایجاد حلقه ای از افراد پذیرفته شده در اطلاعات محافظت شده؛

حصول اطمینان از رعایت قوانین کار با اطلاعات توسط کاربران آن.

جلوگیری از استفاده از اطلاعات محافظت شده در حین کارهای عمومی و رویدادها از جمله تهیه مواد برای رسانه ها ، تظاهرات در نمایشگاه های عمومی ، سخنرانی در برنامه های عمومی ، انجام کارهای اداری غیر طبقه بندی شده و غیره.

4- فراهم آوردن حفاظت از مناطق خاص بهمراه انواع دیگر محافظت. این جهت همراه با سایر انواع محافظت امکان پذیر است:

شناسایی منابع ، انواع و روشهای اثرات بی ثبات کننده بر اطلاعات.

تعیین دلایل ، شرایط و شرایط اجرای اثر بی ثبات کننده بر اطلاعات.

کانال ها و روش های دسترسی غیرمجاز به اطلاعات محافظت شده را شناسایی کنید.

روشهای محافظت از اطلاعات را تعریف کنید.

روشی برای دستیابی به اطلاعات محافظت شده ایجاد کنید.

ایجاد یک سیستم دسترسی به اطلاعات محافظت شده؛

محافظت از اطلاعات: در فرآیند تولید ، پردازش و ذخیره سازی آن. چه زمانی از طریق خطوط ارتباطی منتقل می شود و چه زمانی انتقال فیزیکی اشخاص ثالث؛ هنگام کار با کاربران؛ هنگام برگزاری کنفرانس های بسته ، جلسات ، سمینارها ، نمایشگاه ها. هنگام انجام یک روند آموزشی بسته و دفاع از پایان نامه؛ در اجرای همکاری های بین المللی؛ در صورت اضطراری

5- این منطقه ترکیبی از انواع ، روش ها و وسایل محافظت از اطلاعات به یک سیستم واحد است. این امر از طریق تهیه و پیاده سازی اسناد نظارتی و روش شناختی در سازمان اجرا می شود سیستمهای محلی محافظت از اطلاعات جامع ، پشتیبانی سازمانی از عملکرد سیستم ها و همچنین اطمینان از کنترل قابلیت اطمینان سیستم ها.

مبانی حفاظت رمزنگاری اطلاعات رمزنگاری است که به صورت رمزنگاری رمزگذاری می شود ، سیستم تغییر اطلاعات به منظور عدم درک آن برای افراد ناآگاه ، بنابراین محافظت رمزنگاری از اطلاعات به عنوان نوعی از محافظت انجام می شود که با تبدیل (بستن) اطلاعات با رمزگذاری ، رمزگذاری یا سایر روش های خاص انجام می شود.

اهداف رمزنگاری در طول تاریخ تغییر کرده است. در ابتدا ، به منظور جلوگیری از افشای غیرمجاز اطلاعات منتقل شده از طریق ارتباطات نظامی و دیپلماتیک ، بیشتر به منظور اطمینان از پنهان کاری خدمت می کرد. با آغاز عصر اطلاعات ، نیاز به استفاده از رمزنگاری در بخش خصوصی کشف شد. میزان اطلاعات محرمانه بسیار زیاد است - تاریخچه پزشکی ، اسناد قانونی و مالی. پیشرفت های اخیر در رمزنگاری ، استفاده از آن را نه تنها برای اطمینان از صحت و صحت اطلاعات ممکن کرده است. علاوه بر روشهای رمزنگاری ، از حفاظت فیزیکی و استگانوگرافی نیز برای حفظ اسرار پیام استفاده می شود. همانطور که عمل نشان داده است ، مؤثرترین محافظت از اطلاعات بر اساس روش های رمزنگاری و به طور معمول در ترکیب با سایر روش ها ارائه می شود. مفهوم مهم رمزنگاری قدرت است - این توانایی مقاومت در برابر تلاش های یک مسلح خوب است فن آوری پیشرفته و آگاهی از رمزنگاری برای رمزگشایی پیام رهگیری ، فاش کردن کلیدهای رمزگذاری شده یا نقض صداقت و / یا اصالت اطلاعات.

حفاظت رمزنگاری مدرن با ترکیبی از ریاضی ، نرم افزار ، روشها و ابزارهای سازمانی انجام می شود. نه تنها و نه به اندازه کافی برای بستن اطلاعات در طول ذخیره سازی و پردازش ، مانند هنگام انتقال آن ، چه از طریق روشهای سنتی و چه به ویژه از طریق کانالهای ارتباطی رادیویی و کابل ، مورد استفاده قرار می گیرد.

امنیت اطلاعات سخت افزار و نرم افزار - نوع امنیت اطلاعات ، از جمله برنامه های ویژه محافظت از خود ، یا اجرا شده در ابزارهای نرم افزاری پردازش اطلاعات یا دستگاه های فنی محافظت از اطلاعات.

روشهای سخت افزاری و نرم افزاری برای محافظت از اطلاعات وجود ندارد ، بنابراین ، حفاظت از اطلاعات فقط از طریق حفاظت از اطلاعات انجام می شود.

اطلاع رسانی در بسیاری از حوزه های جامعه (دفاع ، سیاست ، امور مالی و بانک ها ، صنایع خطرناک محیط زیست ، مراقبت های بهداشتی و موارد دیگر) منجر به استفاده از ابزارهای محاسباتی در کارهایی می شود که مربوط به پردازش و ذخیره اطلاعات محرمانه و نیاز به اطمینان مطمئن از نتایج و اطلاعات پردازش شده است. رایج ترین ابزارهای محاسباتی رایانه ها و نرم افزارهای جهانی هستند. این امر باعث می شود هنگام ایجاد سیستم های خودکار خودکار و ایمن سازی فن آوری اطلاعات ، توسعه و استفاده از وسایل اضافی برای حفاظت از اطلاعات ضروری باشد.

بنابراین ، محافظت از نرم افزار و سخت افزار برای محافظت از فناوری اطلاعات و ابزارهای فنی پردازش اطلاعات طراحی شده است.

الزامات امنیت اطلاعات در طراحی سیستم های اطلاعاتی مشخصه هایی را نشان می دهد که وسیله ای است که برای محافظت از اطلاعات به کار می رود. آنها با اعمال مختلف تنظیم کننده در زمینه امنیت اطلاعات ، به ویژه - FSTEC و FSB روسیه تعریف می شوند. چه کلاس های امنیتی وجود دارد ، انواع و انواع تجهیزات حفاظتی ، و همچنین از کجا می توان اطلاعات بیشتری در مورد این موضوع کسب کرد ، در مقاله بیان شده است.

مقدمه

امروزه ، مسائل مربوط به تضمین امنیت اطلاعات مورد توجه جدی قرار گرفته است ، زیرا فن آوری های جهانی و بدون اطمینان از امنیت اطلاعات ، منشأ مشکلات جدی جدیدی می شوند.

FSB روسیه در مورد جدی بودن اوضاع گزارش می دهد: میزان خسارات ناشی از مجرمان سایبری طی چند سال در سراسر جهان از 300 میلیارد دلار به 1 تریلیون دلار رسیده است. طبق اطلاعات ارائه شده توسط دادستان کل فدراسیون روسیه ، تنها در نیمه اول سال 2017 ، تعداد جرایم فناوری پیشرفته در روسیه شش برابر افزایش یافته است ، کل میزان خسارت ها از 18 میلیون دلار فراتر رفته است. رشد حملات هدفمند در بخش صنعت در سال 2017 در سراسر جهان مشاهده شد . به طور خاص ، در روسیه افزایش تعداد حملات نسبت به سال 2016 22٪ بود.

از فن آوری های اطلاعاتی به عنوان سلاح برای اهداف نظامی - سیاسی ، تروریستی ، برای دخالت در امور داخلی كشورهای مستقل و همچنین برای ارتكاب سایر جرایم استفاده شد. فدراسیون روسیه از ایجاد سیستم بین المللی امنیت اطلاعات حمایت می کند.

در قلمرو فدراسیون روسیه ، صاحبان اطلاعات و اپراتورهای سیستم اطلاعاتی موظف هستند تلاش های دسترسی غیرمجاز به اطلاعات را مسدود کرده و همچنین وضعیت امنیت زیرساخت های فناوری اطلاعات را بطور مداوم نظارت کنند. در عین حال ، با اتخاذ تدابیر مختلف ، از جمله اقدامات فنی ، حفاظت از اطلاعات تضمین می شود.

محافظت از اطلاعات ، یا SZI ، محافظت از اطلاعات را در سیستمهای اطلاعاتی ارائه می دهد ، که در اصل ترکیبی از اطلاعات ذخیره شده در بانکهای اطلاعاتی ، فناوریهای اطلاعاتی است که پردازش آن و روشهای فنی را تضمین می کند.

سیستم های اطلاعاتی مدرن با استفاده از سیستم عامل های مختلف سخت افزاری و نرم افزاری ، توزیع ارضی قطعات و همچنین تعامل با شبکه های انتقال داده باز مشخص می شوند.

چگونه می توان در چنین شرایطی از اطلاعات محافظت کرد؟ الزامات مربوطه توسط نهادهای مجاز ، به ویژه ، FSTEC و FSB روسیه ارائه می شود. در چارچوب مقاله سعی خواهیم کرد رویکردهای اصلی طبقه بندی SZI را با در نظر گرفتن الزامات این تنظیم کننده ها منعکس کنیم. روش های دیگر توصیف طبقه بندی SHI ، که در اسناد نظارتی ادارات روسیه و همچنین سازمان ها و آژانس های خارجی منعکس شده است ، از این مقاله خارج است و بیشتر مورد توجه قرار نمی گیرد.

این مقاله ممکن است برای مبتدیان در زمینه امنیت اطلاعات به عنوان منبع اطلاعاتی ساختار یافته در مورد روشهای طبقه بندی سیستمهای امنیتی اطلاعات بر اساس الزامات FSTEC روسیه (به میزان بیشتری) و به طور خلاصه FSB روسیه مفید باشد.

ساختاری که روش و اقدامات هماهنگ کننده تهیه روشهای غیر رمزنگاری امنیت اطلاعات را تعیین می کند FSTEC روسیه است (سابقاً کمیسیون فنی دولتی تحت ریاست فدراسیون روسیه ، کمیسیون فنی دولت).

اگر خواننده می بایست ثبت نام ایالتی ابزارهای معتبر امنیتی اطلاعات را که توسط FSTEC روسیه تشکیل شده است ببیند ، مطمئناً وی به حضور در قسمت توصیفی هدف SIS توجه می کند که عبارت هایی از قبیل "کلاس تاکسی SVT" ، "سطح عدم حضور NDV" و غیره را نشان می دهد (شکل 1) .

شکل 1. قطعه ثبت نام از SZI معتبر

طبقه بندی ابزارهای امنیتی اطلاعات رمزنگاری

FSB روسیه کلاس های رمزنگاری SSI را تعریف کرد: KS1 ، KS2 ، KS3 ، KV و KA.

ویژگی های اصلی کلاس S1 KS1 شامل توانایی آنها در مقاومت در برابر حملات انجام شده از خارج از منطقه کنترل شده است. این قابل درک است که ایجاد روشهای حمله ، تهیه و اجرای آنها بدون مشارکت متخصصان در زمینه توسعه و تحلیل سیستمهای امنیتی اطلاعات رمزنگاری انجام می شود. فرض بر این است که اطلاعات مربوط به سیستمی که SIS مشخص شده در آن اعمال می شود را می توان از منابع آزاد بدست آورد.

اگر سیستم حفاظت از اطلاعات رمزنگاری بتواند در مقابل حملات مسدود شده با استفاده از کلاس KS1 مقاومت کند و همچنین در منطقه کنترل شده انجام شود ، این سیستم اطلاعاتی با کلاس KS2 مطابقت دارد. در عین حال ، به عنوان مثال مجاز است که در هنگام آماده سازی حمله ، اطلاعات مربوط به اقدامات فیزیکی برای محافظت از سیستم های اطلاعاتی ، تهیه یک منطقه کنترل شده و غیره ، در دسترس قرار گیرد.

در صورت امکان مقاومت در برابر حملات در صورت دسترسی فیزیکی به تجهیزات رایانه ای با سیستم های محافظت از داده های رمزنگاری شده ، چنین وسایلی با کلاس KC3 مطابقت دارند.

اگر رمزنگاری SZI در برابر حملات مقاومت کند ، ایجاد آن شامل متخصصان در توسعه و تجزیه و تحلیل این ابزارها از جمله مراکز تحقیقاتی است ، امکان تحقیقات آزمایشگاهی تجهیزات محافظ وجود دارد ، بنابراین ما در مورد انطباق با کلاس KV صحبت می کنیم.

اگر متخصصان در زمینه استفاده از نرم افزار سیستم NDV در تهیه روش های حمله نقش داشته باشند ، مستندات طراحی مربوطه در دسترس بوده و در صورت دسترسی به هر مؤلفه سخت افزاری سیستم های محافظت از داده های رمزنگاری ، امکان استفاده از کلاس های فضاپیما می تواند از چنین حملاتی محافظت کند.

طبقه بندی حمایت از امضای الکترونیکی

امضای الکترونیکی ، بسته به توانایی تحمل حملات ، معمولاً با کلاسهای زیر مقایسه می شود: KS1 ، KS2 ، KS3 ، KV1 ، KV2 و KA1. این طبقه بندی مشابه آنچه در بالا با توجه به سیستم های امنیتی اطلاعات رمزنگاری شده بحث شد.

یافته ها

در این مقاله برخی از روش های طبقه بندی سیستم های امنیت اطلاعات در روسیه مورد بررسی قرار گرفته است ، که اساس آن چارچوب نظارتی تنظیم کننده ها در زمینه حفاظت از اطلاعات است. گزینه های طبقه بندی در نظر گرفته شده جامع نیست. با این وجود ، ما امیدواریم که اطلاعات تلفیقی ارائه شده به یک متخصص امنیت اطلاعات مبتدی اجازه می دهد به سرعت حرکت کند.