Metody ochrony informacji w sferze informacyjnej. Bezpieczeństwo informacji. Środki zapewniania i kontrolowania integralności oprogramowania i zasobów informacyjnych

Postęp naukowy i technologiczny zmienił informację w produkt, który można kupić, sprzedać i wymienić. Często koszt danych jest kilkakrotnie wyższy niż cena całego systemu technicznego, który przechowuje i przetwarza informacje.

Jakość informacji biznesowych zapewnia firmie niezbędny efekt ekonomiczny, dlatego ważne jest, aby chronić dane krytyczne przed bezprawnymi działaniami. Pozwoli to firmie skutecznie konkurować na rynku.

Definicja bezpieczeństwa informacji

Bezpieczeństwo informacji (IS) - to stan systemu informatycznego, w którym jest on najmniej podatny na ingerencje i uszkodzenia ze strony osób trzecich. Bezpieczeństwo danych oznacza również zarządzanie ryzykiem związanym z ujawnieniem informacji lub wpływem na moduły ochrony sprzętu i oprogramowania.

Bezpieczeństwo informacji przetwarzanych w organizacji to zespół działań mających na celu rozwiązanie problemu ochrony środowiska informacyjnego w firmie. Jednocześnie informacje nie powinny być ograniczane w użytkowaniu i dynamicznym rozwoju dla upoważnionych osób.

Wymagania dotyczące systemu ochrony IS

Ochrona zasobów informacyjnych powinna być:

1. Stały. Atakujący może w dowolnym momencie spróbować ominąć interesujące go moduły ochrony danych.

2. Cel. Informacje powinny być chronione w określonym celu wyznaczonym przez organizację lub właściciela danych.

3. Zaplanowany. Wszystkie metody ochrony muszą być zgodne z rządowymi standardami, przepisami i regulacjami dotyczącymi ochrony poufnych danych.

4. Aktywny. Działania wspierające działanie i usprawniające system ochrony powinny być wykonywane regularnie.

5. Zintegrowany. Stosowanie wyłącznie indywidualnych modułów ochronnych lub środków technicznych jest zabronione. Konieczne jest pełne zastosowanie wszystkich rodzajów zabezpieczeń, w przeciwnym razie opracowany system będzie pozbawiony sensu i podstaw ekonomicznych.

6. Uniwersalny. Sprzęt ochronny powinien być dobrany zgodnie z istniejącymi kanałami wycieku firmy.

7. Niezawodny. Wszystkie metody ochrony muszą niezawodnie blokować możliwe ścieżki do chronionych informacji ze strony atakującego, niezależnie od formy prezentacji danych.

System DLP również musi spełniać te wymagania. I najlepiej oceniać jego możliwości w praktyce, a nie w teorii. Możesz testować SearchInform KIB bezpłatnie przez 30 dni.

Model systemu bezpieczeństwa

Informacje są uważane za chronione, jeśli przestrzegane są trzy główne właściwości.

Pierwsza to integralność - polega na zapewnieniu rzetelności i poprawności wyświetlania chronionych danych, niezależnie od tego, jakie systemy bezpieczeństwa i techniki zabezpieczeń są stosowane w firmie. Przetwarzanie danych nie powinno być naruszane, a użytkownicy systemu pracujący z plikami chronionymi nie powinni być narażeni na nieautoryzowaną modyfikację lub zniszczenie zasobów, awarie oprogramowania.

Druga - poufność - oznacza, że \u200b\u200bdostęp do przeglądania i edycji danych mają wyłącznie uprawnieni użytkownicy systemu alarmowego.

Po trzecie - dostępność - oznacza, że \u200b\u200bwszyscy upoważnieni użytkownicy muszą mieć dostęp do informacji poufnych.

Wystarczy naruszyć jedną z właściwości chronionych informacji, aby korzystanie z systemu było bezsensowne.

Etapy tworzenia i udostępniania systemu ochrony informacji

W praktyce tworzenie systemu ochrony informacji przebiega w trzech etapach.

Na pierwszym etapie opracowywany jest podstawowy model systemu, który będzie funkcjonował w firmie. W tym celu konieczna jest analiza wszystkich rodzajów danych, które krążą w firmie i które należy chronić przed wtargnięciem osób trzecich. Wstępny plan pracy składa się z czterech pytań:

1. Jakie źródła informacji należy chronić?
2. Jaki jest cel uzyskania dostępu do chronionych informacji?

Celem może być zapoznanie się, zmiana, modyfikacja lub zniszczenie danych. Każda akcja jest nielegalna, jeśli jest wykonywana przez atakującego. Zapoznanie się nie prowadzi do zniszczenia struktury danych, a modyfikacja i zniszczenie prowadzi do częściowej lub całkowitej utraty informacji.

1. Jakie jest źródło informacji poufnych?

Źródłami w tym przypadku są ludzie i zasoby informacyjne: dokumenty, nośniki flash, publikacje, produkty, systemy komputerowe, środki zapewnienia aktywności zawodowej.

1. Sposoby uzyskania dostępu i jak zabezpieczyć się przed nieautoryzowanymi próbami wpływu na system?

Istnieją następujące sposoby uzyskania dostępu:

• Nieautoryzowany dostęp - nielegalne wykorzystanie danych;
• Wyciek - niekontrolowane rozprzestrzenianie się informacji poza sieć firmową. Wyciek występuje z powodu niedociągnięć, słabości kanału technicznego systemu bezpieczeństwa;
• Ujawnienie - konsekwencja wpływu czynnika ludzkiego. Upoważnieni użytkownicy mogą ujawniać informacje w celu przekazania ich konkurentom lub w wyniku zaniedbania.

Druga faza obejmuje opracowanie systemu bezpieczeństwa. Oznacza to wdrożenie wszystkich wybranych metod, środków i kierunków ochrony danych.

System jest zbudowany w kilku obszarach ochrony naraz, na kilku poziomach, które współdziałają ze sobą w celu zapewnienia niezawodnej kontroli informacji.

Poziom prawny zapewnia zgodność z rządowymi standardami ochrony informacji i obejmuje prawa autorskie, rozporządzenia, patenty i opisy stanowisk. Dobrze zbudowany system bezpieczeństwa nie narusza praw użytkownika i standardów przetwarzania danych.

Poziom organizacyjny umożliwia tworzenie regulaminów pracy użytkowników z informacjami poufnymi, dobór personelu, organizowanie pracy z dokumentacją i fizycznymi nośnikami danych.

Zasady pracy z informacjami poufnymi nazywane są regułami kontroli dostępu. Zasady ustalane są przez kierownictwo firmy we współpracy z ochroną i dostawcą, który wdraża system bezpieczeństwa. Celem jest stworzenie każdemu użytkownikowi warunków dostępu do zasobów informacyjnych, np. Prawa do czytania, redagowania, przekazania poufnego dokumentu. Zasady kontroli dostępu są opracowywane na poziomie organizacyjnym i wdrażane na etapie pracy z komponentem technicznym systemu.

Poziom techniczny konwencjonalnie podzielony na podpoziomy fizyczne, sprzętowe, programowe i matematyczne.

• fizyczny - tworzenie barier wokół chronionego obiektu: systemy bezpieczeństwa, hałas, wzmocnienie konstrukcji architektonicznych;
• sprzęt komputerowy - instalacja środków technicznych: specjalnych komputerów, systemów kontroli pracowników, ochrony serwerów i sieci korporacyjnych;
• program - instalacja powłoki oprogramowania systemu zabezpieczeń, wdrożenie zasad kontroli dostępu i testowanie pracy;
• matematyczny - wdrażanie kryptograficznych i dosłownych metod ochrony danych w celu bezpiecznej transmisji w sieci korporacyjnej lub globalnej.

Trzeci, ostatni etap - to wsparcie działania systemu, regularne monitorowanie i zarządzanie ryzykiem. Ważne jest, aby moduł ochrony był elastyczny i pozwalał administratorowi bezpieczeństwa na szybkie ulepszanie systemu w przypadku wykrycia nowych potencjalnych zagrożeń.

Rodzaje poufnych danych

Dane poufne - to informacje, do których dostęp jest ograniczony zgodnie z prawem państwa i normami, które firma samodzielnie ustanawia.

• Osobisty dane poufne: dane osobowe obywateli, prawo do prywatności, korespondencja, zatajenie tożsamości. Jedynym wyjątkiem są informacje rozpowszechniane w mediach.
• Usługa dane poufne: informacje, do których dostęp może ograniczyć jedynie państwo (władze publiczne).
• Sądowy dane poufne: tajemnica śledztwa i postępowania sądowego.
• Reklama w telewizji dane poufne: wszelkiego rodzaju informacje związane z handlem (zyskiem), do których dostęp jest ograniczony prawem lub przedsiębiorstwem (tajne opracowania, technologie produkcyjne itp.).
• Profesjonalny dane poufne: dane związane z działalnością obywateli, na przykład tajemnica lekarska, notarialna lub adwokacka, których ujawnienie jest karalne.

Zagrożenia poufności zasobów informacyjnych

Zagrożenie - są to możliwe lub rzeczywiste próby przejęcia chronionych zasobów informacyjnych.

Źródła zagrożenia bezpieczeństwo poufnych danych to konkurencyjne firmy, intruzi, organy kontrolne. Celem każdego zagrożenia jest wpłynięcie na integralność, kompletność i dostępność danych.

Zagrożenia mogą być wewnętrzne lub zewnętrzne. Zagrożenia zewnętrzne to próby uzyskania dostępu do danych z zewnątrz i towarzyszy im włamanie do serwerów, sieci, kont pracowników oraz odczyt informacji z technicznych kanałów wycieku (odczyt akustyczny z wykorzystaniem błędów, kamer, wskazywanie na sprzęt, pozyskiwanie informacji wibroakustycznych z okien i konstrukcji architektonicznych) .

Zagrożenia wewnętrzne oznacza bezprawne działania personelu, działu pracy lub kierownictwa firmy. W efekcie użytkownik systemu, który pracuje z informacjami poufnymi, może ujawniać informacje obcym osobom. W praktyce to zagrożenie występuje częściej niż inne. Pracownik może latami „wyciekać” informacje niejawne do konkurencji. Jest to łatwe do wdrożenia, ponieważ działania autoryzowanego użytkownika nie są klasyfikowane przez administratora bezpieczeństwa jako zagrożenie.

Ponieważ wewnętrzne zagrożenia bezpieczeństwa informacji są związane z czynnikiem ludzkim, trudniej jest je śledzić i zarządzać nimi. Możesz zapobiegać incydentom, dzieląc pracowników na grupy ryzyka. Zadanie to będzie obsługiwane przez zautomatyzowany moduł do tworzenia profili psychologicznych.

Próba nieautoryzowanego dostępu może nastąpić na kilka sposobów:

• przez pracownikówkto może przekazywać poufne dane osobom z zewnątrz, zabierać nośniki fizyczne lub uzyskiwać dostęp do chronionych informacji za pośrednictwem drukowanych dokumentów;
• przez oprogramowanie Atakujący przeprowadzają ataki mające na celu kradzież par login-hasło, przechwytywanie kluczy kryptograficznych w celu odszyfrowania danych oraz nieautoryzowane kopiowanie informacji.
• przy użyciu komponentów sprzętowych zautomatyzowany system, na przykład wprowadzenie urządzeń podsłuchowych lub wykorzystanie technologii sprzętowych do odczytywania informacji na odległość (poza obszarem kontrolowanym).

Bezpieczeństwo informacji o sprzęcie i oprogramowaniu

Wszystkie nowoczesne systemy operacyjne są wyposażone we wbudowane moduły ochrony danych na poziomie oprogramowania. MAC OS, Windows, Linux, iOS świetnie radzą sobie z szyfrowaniem danych na dysku i podczas przesyłania ich na inne urządzenia. Jednak aby efektywnie pracować z informacjami poufnymi, ważne jest stosowanie dodatkowych modułów bezpieczeństwa.

Systemy operacyjne użytkowników nie chronią danych w momencie ich przesyłania przez sieć, a systemy zabezpieczeń pozwalają kontrolować przepływ informacji, które krążą w sieci korporacyjnej i magazynach danych na północy.

Moduł ochrony sprzętowo-programowej jest zwykle podzielony na grupy, z których każda pełni funkcję ochrony poufnych informacji:

• Poziom tożsamości to kompleksowy system rozpoznawania użytkownika, który może wykorzystywać uwierzytelnianie standardowe lub wielopoziomowe, biometrię (rozpoznawanie twarzy, skanowanie odcisków palców, nagrywanie głosu i inne techniki).
• Poziom szyfrowania zapewnia wymianę kluczy między nadawcą a odbiorcą oraz szyfruje / deszyfruje wszystkie dane systemowe.

Prawna ochrona informacji

Państwo stanowi podstawę prawną dla bezpieczeństwa informacji. Ochrona informacji jest regulowana konwencjami międzynarodowymi, Konstytucją, federalnymi przepisami ustawowymi i wykonawczymi.

Państwo określi również miarę odpowiedzialności za naruszenie przepisów z zakresu bezpieczeństwa informacji. Na przykład rozdział 28 „Przestępstwa w dziedzinie informacji komputerowych” Kodeksu karnego Federacji Rosyjskiej zawiera trzy artykuły:

• Artykuł 272 „Nielegalny dostęp do informacji komputerowych”;
• Artykuł 273 „Tworzenie, używanie i rozpowszechnianie złośliwych programów komputerowych”;
• Artykuł 274 „Naruszenie zasad działania w zakresie przechowywania, przetwarzania lub przesyłania informacji komputerowych oraz sieci informatycznych i telekomunikacyjnych”.

Oprogramowanie sprzętowe do ochrony przed nieuprawnionym dostępem obejmuje środki służące do identyfikacji, uwierzytelniania i kontroli dostępu do systemu informatycznego.

Identyfikacja to przypisanie unikalnych identyfikatorów podmiotom dostępu.

Obejmuje to tagi RFID, technologie biometryczne, karty magnetyczne, uniwersalne klucze magnetyczne, loginy logowania itp.

Uwierzytelnienie - sprawdzenie, czy podmiot dostępu należy do przedstawionego identyfikatora i potwierdzenie jego autentyczności.

Procedury uwierzytelniania obejmują hasła, kody PIN, karty inteligentne, klucze USB, podpisy cyfrowe, klucze sesji itp. Część proceduralna środków identyfikacji i uwierzytelniania jest ze sobą połączona i stanowi w rzeczywistości podstawową podstawę całego oprogramowania i sprzętu w celu zapewnienia bezpieczeństwa informacji, ponieważ wszystkie inne usługi mają służyć określonym podmiotom, prawidłowo rozpoznawanym przez system informacyjny. Ogólnie rzecz biorąc, identyfikacja pozwala podmiotowi zidentyfikować się w systemie informacyjnym, a przy pomocy uwierzytelnienia system informacyjny potwierdza, że \u200b\u200bpodmiot jest rzeczywiście tym, za kogo się podaje. Na podstawie przejścia tej operacji wykonywana jest operacja w celu zapewnienia dostępu do systemu informatycznego. Procedury kontroli dostępu umożliwiają uprawnionym podmiotom wykonywanie czynności dozwolonych przepisami, a system informatyczny kontroluje te działania pod kątem poprawności i poprawności wyniku. Kontrola dostępu umożliwia systemowi ukrycie przed użytkownikami danych, do których nie mają oni dostępu.

Kolejnym sposobem ochrony oprogramowania i sprzętu jest rejestrowanie informacji i audyt.

Rejestrowanie obejmuje gromadzenie, gromadzenie i przechowywanie informacji o zdarzeniach, działaniach, wynikach, które miały miejsce podczas działania systemu informatycznego, indywidualnych użytkownikach, procesach oraz całym oprogramowaniu i sprzęcie wchodzącym w skład systemu informatycznego przedsiębiorstwa.

Ponieważ każdy element systemu informatycznego posiada z góry określony zestaw możliwych zdarzeń zgodnie z zaprogramowanymi klasyfikatorami, zdarzenia, akcje i wyniki dzieli się na:

• zewnętrzne, spowodowane działaniem innych elementów,
• wewnętrzne, spowodowane działaniem samego komponentu,
• po stronie klienta spowodowane działaniami użytkowników i administratorów.

Audyt informacji polega na przeprowadzeniu analizy operacyjnej w czasie rzeczywistym lub w zadanym okresie.

Na podstawie wyników analizy generowany jest raport o zdarzeniach, które miały miejsce, lub inicjowana jest automatyczna reakcja na sytuację awaryjną.

Wdrożenie logowania i audytu rozwiązuje następujące zadania:

• rozliczanie użytkowników i administratorów;
• zapewnienie możliwości odtworzenia sekwencji zdarzeń;
• wykrywanie prób naruszenia bezpieczeństwa informacji;
• dostarczanie informacji w celu identyfikacji i analizy problemów.

Ochrona informacji jest często niemożliwa bez użycia środków kryptograficznych. Służą do świadczenia usług szyfrowania, kontroli integralności i uwierzytelniania, gdy środki uwierzytelniania są przechowywane przez użytkownika w postaci zaszyfrowanej. Istnieją dwie główne metody szyfrowania: symetryczna i asymetryczna.

Kontrola integralności pozwala ustalić autentyczność i tożsamość obiektu, jakim jest tablica danych, poszczególne fragmenty danych, źródło danych, a także zapewnić, że nie jest możliwe oznaczenie wykonywanej w systemie akcji tablicą informacji. Wdrożenie kontroli integralności opiera się na technologiach transformacji danych z wykorzystaniem szyfrowania i certyfikatów cyfrowych.

Innym ważnym aspektem jest zastosowanie screeningu, technologii, która poprzez ograniczenie dostępu podmiotów do zasobów informacyjnych pozwala kontrolować wszystkie przepływy informacji między systemem informacyjnym przedsiębiorstwa a obiektami zewnętrznymi, tablicami danych, podmiotami i przeciw-podmiotami. Sterowanie strumieniem polega na ich filtrowaniu i, w razie potrzeby, konwersji przesyłanych informacji.

Zadaniem osłony jest ochrona informacji wewnętrznych przed potencjalnie wrogimi czynnikami zewnętrznymi i podmiotami. Główną formą realizacji osłon są zapory ogniowe lub zapory ogniowe różnego typu i architektury.

Ponieważ jednym z przejawów bezpieczeństwa informacji jest dostępność zasobów informacyjnych, zapewnienie wysokiego poziomu dostępności jest ważnym kierunkiem we wdrażaniu środków programowych i sprzętowych. W szczególności podzielono dwa obszary: zapewnienie odporności na uszkodzenia, tj. neutralizowanie awarii systemów, możliwość działania w przypadku wystąpienia błędów oraz zapewnienie bezpiecznego i szybkiego usuwania awarii, tj. konserwowalność systemu.

Głównym wymaganiem dla systemów informatycznych jest to, aby zawsze działały z określoną wydajnością, minimalnym czasem niedostępności i szybkością reakcji.

Zgodnie z tym dostępność zasobów informacyjnych zapewniają:

• zastosowanie architektury strukturalnej, co oznacza, że \u200b\u200bposzczególne moduły można w razie potrzeby wyłączyć lub szybko wymienić, bez wpływu na inne elementy systemu informatycznego;
• zapewnienie odporności na awarie poprzez: wykorzystanie autonomicznych elementów infrastruktury pomocniczej, wprowadzanie nadwyżek mocy do konfiguracji oprogramowania i sprzętu, redundancję sprzętową, replikację zasobów informacyjnych w systemie, backup danych itp.
• zapewnienie serwisowalności poprzez skrócenie czasu diagnozy oraz eliminację awarii i ich konsekwencji.

Innym rodzajem środków bezpieczeństwa informacji są bezpieczne kanały komunikacji.

Funkcjonowanie systemów informatycznych nieuchronnie wiąże się z przesyłaniem danych, dlatego przedsiębiorstwa muszą również zapewnić ochronę przekazywanych zasobów informacyjnych za pomocą bezpiecznych kanałów komunikacji. Możliwość nieuprawnionego dostępu do danych podczas przesyłania ruchu przez otwarte kanały komunikacyjne wynika z ich publicznej dostępności. Ponieważ „komunikacji na całej ich długości nie mogą być fizycznie chronione, dlatego lepiej jest początkowo wyjść z założenia, że \u200b\u200bsą podatne na uszkodzenia i odpowiednio zapewnić ochronę”. W tym celu wykorzystywane są technologie tunelowe, których istotą jest hermetyzacja danych, tj. pakować lub zawijać przesyłane pakiety danych, w tym wszystkie atrybuty usług, we własne koperty. W związku z tym tunel jest bezpiecznym połączeniem przez otwarte kanały komunikacyjne, przez które przesyłane są kryptograficznie chronione pakiety danych. Tunelowanie służy do zapewnienia poufności ruchu poprzez ukrywanie informacji o usługach oraz zapewnienie poufności i integralności przesyłanych danych w połączeniu z elementami kryptograficznymi systemu informatycznego. Połączenie tunelowania i szyfrowania umożliwia utworzenie wirtualnej sieci prywatnej. Jednocześnie punktami końcowymi tuneli, w których wdrażane są wirtualne sieci prywatne, są zapory, które służą do łączenia organizacji z sieciami zewnętrznymi.

Firewalle jako punkty implementacji usługi VPN

Zatem tunelowanie i szyfrowanie to dodatkowe transformacje wykonywane w procesie filtrowania ruchu sieciowego wraz z translacją adresów. Końcami tuneli, oprócz firmowych zapór ogniowych, mogą być osobiste i mobilne komputery pracowników, a dokładniej ich osobiste zapory i zapory. Takie podejście zapewnia funkcjonowanie bezpiecznych kanałów komunikacji.

Procedury bezpieczeństwa informacji

Procedury bezpieczeństwa informacji są zwykle zróżnicowane na poziomie administracyjnym i organizacyjnym.

• Procedury administracyjne obejmują ogólne działania podejmowane przez kierownictwo organizacji w celu regulowania wszelkich prac, działań, operacji w zakresie zapewnienia i utrzymania bezpieczeństwa informacji, realizowane poprzez przydzielanie niezbędnych zasobów i monitorowanie skuteczności podejmowanych działań.
• Poziom organizacyjny reprezentuje procedury zapewniające bezpieczeństwo informacji, w tym zarządzanie personelem, ochronę fizyczną, utrzymanie sprawności infrastruktury sprzętowej i oprogramowania, szybką eliminację naruszeń bezpieczeństwa i planowanie prac naprawczych.

Z drugiej strony rozróżnienie między procedurami administracyjnymi i organizacyjnymi jest bez znaczenia, ponieważ procedury jednego poziomu nie mogą istnieć oddzielnie od drugiego, naruszając tym samym połączenie ochrony na poziomie fizycznym, ochrony osobistej i organizacyjnej w koncepcji bezpieczeństwa informacji. W praktyce, zapewniając bezpieczeństwo informacji organizacji, nie zaniedbuje się procedur administracyjnych czy organizacyjnych, dlatego bardziej logiczne jest traktowanie ich jako podejścia zintegrowanego, ponieważ oba poziomy wpływają na fizyczny, organizacyjny i osobisty poziom ochrony informacji.

Podstawą kompleksowych procedur zapewnienia bezpieczeństwa informacji jest polityka bezpieczeństwa.

Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji w organizacji jest to zbiór udokumentowanych decyzji podejmowanych przez kierownictwo organizacji i mających na celu ochronę informacji i powiązanych zasobów.

Pod względem organizacyjnym i zarządczym polityka bezpieczeństwa informacji może być jednym dokumentem lub sporządzona w formie kilku niezależnych dokumentów lub zarządzeń, ale w każdym przypadku powinna obejmować następujące aspekty ochrony systemu informatycznego organizacji:

• ochrona obiektów systemu informatycznego, zasobów informacyjnych i bezpośrednich operacji z nimi;
• ochrona wszystkich operacji związanych z przetwarzaniem informacji w systemie, w tym oprogramowania przetwarzającego;
• ochrona kanałów komunikacyjnych, w tym przewodowych, radiowych, podczerwieni, sprzętu itp.;
• ochrona kompleksu sprzętowego przed dodatkowym promieniowaniem elektromagnetycznym;
• zarządzanie bezpieczeństwem, w tym konserwacja, aktualizacje i działania administracyjne.

Każdy z aspektów powinien zostać szczegółowo opisany i udokumentowany w wewnętrznych dokumentach organizacji. Dokumenty wewnętrzne obejmują trzy poziomy procesu bezpieczeństwa: górny, średni i dolny.

Dokumenty polityki bezpieczeństwa informacji wysokiego poziomu odzwierciedlają główne podejście organizacji do ochrony własnych informacji i zgodności z krajowymi i / lub międzynarodowymi standardami. W praktyce w organizacji istnieje tylko jeden dokument najwyższego poziomu, zatytułowany „Koncepcja bezpieczeństwa informacji”, „Przepisy dotyczące bezpieczeństwa informacji” itp. Formalnie dokumenty te nie mają wartości poufnej, ich dystrybucja nie jest ograniczona, ale mogą zostać udostępnione w edycji do użytku wewnętrznego i otwartej publikacji.

Dokumenty średniego poziomu są ściśle poufne i odnoszą się do określonych aspektów bezpieczeństwa informacji organizacji: stosowanych narzędzi bezpieczeństwa informacji, bezpieczeństwa baz danych, komunikacji, narzędzi kryptograficznych i innych procesów informacyjno-gospodarczych organizacji. Dokumentacja realizowana jest w postaci wewnętrznych standardów technicznych i organizacyjnych.

Dokumenty niższego poziomu dzielą się na dwa rodzaje: regulamin pracy i instrukcje operacyjne. Regulamin pracy ma charakter ściśle poufny i jest przeznaczony wyłącznie dla osób dyżurujących, wykonujących prace w zakresie administracji poszczególnych służb bezpieczeństwa informacji. Instrukcje obsługi mogą być poufne lub jawne; są przeznaczone dla personelu organizacji i opisują procedurę pracy z poszczególnymi elementami systemu informatycznego organizacji.

Światowe doświadczenia pokazują, że polityka bezpieczeństwa informacji jest zawsze dokumentowana tylko w dużych firmach, które mają rozbudowany system informatyczny, który stawia podwyższone wymagania w zakresie bezpieczeństwa informacji, średnie przedsiębiorstwa mają najczęściej tylko częściowo udokumentowaną politykę bezpieczeństwa informacji, małe organizacje w przeważającej większości nie przejmują się dokumentowanie polityki bezpieczeństwa. Niezależnie od tego, czy format dokumentacji jest holistyczny, czy rozproszony, bezpieczeństwo jest podstawowym aspektem.

Podstawę stanowią dwa różne podejścia polityka bezpieczeństwa informacji:

1. „Wszystko, co nie jest zabronione, jest dozwolone”.
2. „Wszystko, co jest niedozwolone, jest zabronione”.

Podstawową wadą pierwszego podejścia jest to, że w praktyce niemożliwe jest przewidzenie wszystkich niebezpiecznych przypadków i ich zakazanie. Nie ma wątpliwości, że należy zastosować tylko drugie podejście.

Poziom organizacyjny bezpieczeństwa informacji

Z punktu widzenia ochrony informacji procedury organizacyjne zapewniające bezpieczeństwo informacji przedstawiane są jako „regulowanie działalności produkcyjnej i stosunku wykonawców na podstawie prawnej, która wyklucza lub znacznie komplikuje nielegalne pozyskiwanie informacji poufnych oraz przejawianie się zagrożeń wewnętrznych i zewnętrznych”.

Środki zarządzania personelem mające na celu organizację pracy z personelem w celu zapewnienia bezpieczeństwa informacji obejmują podział obowiązków i minimalizację przywilejów. Podział obowiązków określa podział kompetencji i obszarów odpowiedzialności, w których jedna osoba nie jest w stanie zakłócić krytycznego dla organizacji procesu. Zmniejsza to prawdopodobieństwo błędów i nadużyć. Minimalizacja uprawnień nakazuje przyznanie użytkownikom tylko takiego poziomu dostępu, który odpowiada potrzebom wykonywania ich obowiązków służbowych. Zmniejsza to szkody wynikające z przypadkowego lub celowego niewłaściwego postępowania.

Ochrona fizyczna oznacza opracowanie i przyjęcie środków dla bezpośredniej ochrony budynków, w których znajdują się zasoby informacyjne organizacji, terenów przyległych, elementów infrastruktury, komputerów, nośników danych i sprzętowych kanałów komunikacyjnych. Obejmuje to fizyczną kontrolę dostępu, ochronę przeciwpożarową, ochronę infrastruktury pomocniczej, ochronę przed podsłuchem danych i ochronę systemów mobilnych.

Utrzymanie sprawności infrastruktury programowej i sprzętowej polega na zapobieganiu błędom stochastycznym, które grożą uszkodzeniem kompleksu sprzętowego, awarią programów i utratą danych. Główne kierunki w tym aspekcie to zapewnienie wsparcia użytkownika i oprogramowania, zarządzanie konfiguracją, tworzenie kopii zapasowych, zarządzanie mediami, dokumentacja i prace prewencyjne.

Szybka eliminacja naruszeń bezpieczeństwa ma trzy główne cele:

1. Lokalizacja zdarzenia i zmniejszenie wyrządzonych szkód;
2. Identyfikacja sprawcy;
3. Zapobieganie powtarzającym się naruszeniom.

Wreszcie planowanie prac naprawczych pozwala przygotować się na wypadki, zredukować spowodowane przez nie szkody i zachować zdolność do funkcjonowania przynajmniej do minimum.

Wykorzystanie oprogramowania i sprzętu oraz bezpiecznych kanałów komunikacji powinno być wdrażane w organizacji w oparciu o zintegrowane podejście do opracowywania i zatwierdzania wszelkich administracyjnych i organizacyjnych procedur regulacyjnych zapewniających bezpieczeństwo informacji. W przeciwnym razie przyjęcie indywidualnych środków nie gwarantuje ochrony informacji, a często wręcz przeciwnie, powoduje wyciek informacji poufnych, utratę danych krytycznych, uszkodzenie infrastruktury sprzętowej i zakłócenie elementów oprogramowania systemu informatycznego organizacji.

Metody bezpieczeństwa informacji

Współczesne przedsiębiorstwa charakteryzują się rozproszonym systemem informatycznym, który umożliwia uwzględnienie rozproszonych biur i magazynów firmy, rachunkowość finansową i kontrolę zarządczą, informacje z bazy klientów, uwzględnienie próby po wskaźnikach i tak dalej. Tym samym zestaw danych jest bardzo znaczący, aw przeważającej większości to informacje mają dla firmy priorytetowe znaczenie handlowe i gospodarcze. W rzeczywistości zapewnienie poufności danych o wartości handlowej jest jednym z głównych zadań zapewniania bezpieczeństwa informacji w firmie.

Zapewnienie bezpieczeństwa informacji w przedsiębiorstwie powinny być uregulowane następującymi dokumentami:

1. Przepisy dotyczące bezpieczeństwa informacji. Obejmuje sformułowanie celów i założeń zapewnienia bezpieczeństwa informacji, wykaz wewnętrznych regulacji dotyczących środków ochrony informacji oraz rozporządzenie w sprawie administrowania rozproszonym systemem informatycznym firmy. Dostęp do regulaminu ogranicza kierownictwo organizacji oraz kierownik działu automatyzacji.
2. Regulamin wsparcia technicznego ochrony informacji. Dokumenty są poufne, dostęp jest ograniczony do pracowników działu automatyzacji i wyższej kadry kierowniczej.
3. Regulamin administrowania rozproszonym systemem bezpieczeństwa informacji. Dostęp do regulaminu mają tylko pracownicy działu automatyzacji odpowiedzialni za administrację systemem informatycznym oraz wyższe kierownictwo.

Jednocześnie dokumenty te nie powinny być ograniczane, ale należy również wypracować niższe poziomy. W przeciwnym razie, jeśli przedsiębiorstwo nie posiada innych dokumentów związanych z bezpieczeństwem informacji, będzie to wskazywać na niewystarczający stopień wsparcia administracyjnego dla bezpieczeństwa informacji, ponieważ nie ma dokumentów niższego poziomu, w szczególności instrukcji obsługi poszczególnych elementów systemu informatycznego.

Obowiązkowe procedury organizacyjne obejmują:

• podstawowe mierniki różnicowania personelu ze względu na poziom dostępu do zasobów informacyjnych,
• fizyczna ochrona biur firmowych przed bezpośrednią penetracją i groźbą zniszczenia, utraty lub przechwycenia danych,
• utrzymanie sprawności oprogramowania i infrastruktury sprzętowej jest zorganizowane w formie automatycznego tworzenia kopii zapasowych, zdalnej weryfikacji nośników danych, na życzenie zapewniane jest wsparcie użytkownika i oprogramowania.

Powinno to również obejmować regulowane środki reagowania i eliminowania przypadków naruszenia bezpieczeństwa informacji.

W praktyce często obserwuje się, że przedsiębiorstwa nie przywiązują wystarczającej wagi do tego zagadnienia. Wszystkie działania w tym kierunku są wykonywane wyłącznie w porządku roboczym, co wydłuża czas eliminacji przypadków naruszeń i nie gwarantuje zapobiegania powtarzającym się naruszeniom bezpieczeństwa informacji. Ponadto praktyka planowania działań w celu wyeliminowania skutków wypadków, wycieków informacji, utraty danych i sytuacji krytycznych jest całkowicie nieobecna. Wszystko to znacznie pogarsza bezpieczeństwo informacyjne przedsiębiorstwa.

Na poziomie oprogramowania i sprzętu powinien zostać wdrożony trójpoziomowy system bezpieczeństwa informacji.

Minimalne kryteria bezpieczeństwa informacji:

1. Moduł kontroli dostępu:

• wdrożono zamknięte wejście do systemu informatycznego, niemożliwe jest wejście do systemu poza zweryfikowanymi miejscami pracy;
• dostęp o ograniczonej funkcjonalności z mobilnych komputerów osobistych jest realizowany dla pracowników;
• autoryzacja odbywa się za pomocą loginów i haseł generowanych przez administratorów.

2. Moduł do szyfrowania i kontroli integralności:

• stosowana jest metoda asymetrycznego szyfrowania przesyłanych danych;
• tablice danych krytycznych przechowywane są w bazach danych w postaci zaszyfrowanej, co uniemożliwia dostęp do nich nawet w przypadku włamania do systemu informatycznego firmy;
• kontrolę integralności zapewnia prosty podpis cyfrowy wszystkich zasobów informacji przechowywanych, przetwarzanych lub przesyłanych w systemie informacyjnym.

3. Moduł ekranujący:

• wdrożono system filtrów w firewallach, który pozwala kontrolować wszystkie przepływy informacji przez kanały komunikacyjne;
• połączenia zewnętrzne z globalnymi zasobami informacji i publicznymi kanałami komunikacji mogą być realizowane tylko przez ograniczony zestaw zweryfikowanych stacji roboczych, które mają ograniczone połączenie z korporacyjnym systemem informacyjnym;
• bezpieczny dostęp pracowników z miejsc pracy w celu wykonywania obowiązków służbowych realizowany jest poprzez dwupoziomowy system serwerów proxy.

Wreszcie, w przypadku technologii tunelowania, przedsiębiorstwo musi wdrożyć VPN zgodnie z typowym modelem projektowym, aby zapewnić bezpieczne kanały komunikacji między różnymi działami firmy, partnerami i klientami firmy.

Pomimo tego, że komunikacja odbywa się bezpośrednio przez sieci o potencjalnie niskim poziomie zaufania, technologie tunelowania, wykorzystujące narzędzia kryptograficzne, mogą zapewnić niezawodną ochronę wszystkich przesyłanych danych.

wnioski

Głównym celem wszelkich działań podejmowanych w zakresie bezpieczeństwa informacji jest ochrona interesów przedsiębiorstwa w taki czy inny sposób, związanych z posiadanymi zasobami informacyjnymi. Chociaż interesy firm nie ograniczają się do konkretnego obszaru, wszystkie koncentrują się wokół dostępności, integralności i poufności informacji.

Problem zapewnienia bezpieczeństwa informacji wyjaśniają dwa główne powody.

1. Zasoby informacyjne zgromadzone przez przedsiębiorstwo są cenne.
2. Krytyczna zależność od technologii informacyjnych determinuje ich powszechne stosowanie.

Biorąc pod uwagę różnorodność istniejących zagrożeń bezpieczeństwa informacji, takich jak niszczenie ważnych informacji, nieuprawnione wykorzystanie poufnych danych, przerwy w działaniu przedsiębiorstwa spowodowane zakłóceniami w działaniu systemu informatycznego, możemy stwierdzić, że wszystko to obiektywnie prowadzi do dużych strat materialnych.

W zapewnianiu bezpieczeństwa informacji istotną rolę odgrywają narzędzia programowo-sprzętowe służące do sterowania podmiotami komputerowymi, tj. sprzęt, elementy oprogramowania, dane, stanowiące ostatnią i najważniejszą linię bezpieczeństwa informacji. Transmisja danych musi być również bezpieczna w kontekście zachowania ich poufności, integralności i dostępności. Dlatego w nowoczesnych warunkach technologie tunelowania są wykorzystywane w połączeniu ze środkami kryptograficznymi w celu zapewnienia bezpiecznych kanałów komunikacji.

Literatura

1. Galatenko V.A. Standardy bezpieczeństwa informacji. - M .: Internetowy Uniwersytet Technologii Informacyjnych, 2006.
2. Partyka T.L., Popov I.I. Bezpieczeństwo informacji. - M .: Forum, 2012.

Twórca cybernetyki, Norbert Wiener, uważał, że informacja ma unikalne cechy i nie można jej przypisać ani energii, ani materii. Specjalny status informacji jako zjawiska doprowadził do powstania wielu definicji.

W słowniku normy ISO / IEC 2382: 2015 „Informatyka” podaje się następującą interpretację:

Informacje (w zakresie przetwarzania informacji) - wszelkie dane prezentowane w formie elektronicznej, zapisane na papierze, wyrażone na spotkaniu lub na jakimkolwiek innym nośniku, wykorzystywane przez instytucję finansową do podejmowania decyzji, przenoszenia środków, ustalania stóp procentowych, udzielania pożyczek, obsługi transakcji itp. oprogramowanie systemu przetwarzania.

Aby rozwinąć pojęcie bezpieczeństwa informacji (SI), przez informację rozumie się informacje, które są dostępne do gromadzenia, przechowywania, przetwarzania (edycji, przekształcania), wykorzystywania i przesyłania na różne sposoby, w tym w sieciach komputerowych i innych systemach informatycznych.

Takie informacje mają dużą wartość i mogą stać się przedmiotem ingerencji osób trzecich. Chęć ochrony informacji przed zagrożeniami leży u podstaw tworzenia systemów bezpieczeństwa informacji.

Podstawa prawna

W grudniu 2017 roku Rosja przyjęła doktrynę bezpieczeństwa informacji. W dokumencie SI definiuje się jako stan ochrony interesów narodowych w sferze informacyjnej. W tym przypadku interesy narodowe to całokształt interesów społeczeństwa, jednostki i państwa, każda grupa interesów jest niezbędna do stabilnego funkcjonowania społeczeństwa.

Doktryna to dokument koncepcyjny. Stosunki prawne związane z bezpieczeństwem informacji regulują ustawy federalne „O tajemnicy państwowej”, „O informacjach”, „O ochronie danych osobowych” i inne. Na podstawie podstawowych aktów normatywnych opracowywane są dekrety rządowe i ministerialne akty normatywne poświęcone poszczególnym zagadnieniom ochrony informacji.

Definicja bezpieczeństwa informacji

Przed opracowaniem strategii bezpieczeństwa informacji konieczne jest przyjęcie podstawowej definicji samego pojęcia, która pozwoli na zastosowanie określonego zestawu metod i metod ochrony.

Praktycy branżowi sugerują, że bezpieczeństwo informacji należy rozumieć jako stabilny stan bezpieczeństwa informacji, jej nośników i infrastruktury, który zapewnia integralność i odporność procesów związanych z informacją na celowe lub niezamierzone oddziaływania o charakterze naturalnym i sztucznym. Oddziaływania są klasyfikowane jako zagrożenia SI, które mogą zaszkodzić podmiotom relacji informacyjnych.

Zatem ochrona informacji będzie rozumiana jako zespół środków prawnych, administracyjnych, organizacyjnych i technicznych, których celem jest zapobieganie rzeczywistym lub domniemanym zagrożeniom bezpieczeństwa informacji, a także eliminowanie skutków incydentów. Ciągłość procesu ochrony informacji powinna gwarantować walkę z zagrożeniami na wszystkich etapach cyklu informacyjnego: w procesie gromadzenia, przechowywania, przetwarzania, wykorzystywania i przekazywania informacji.

Bezpieczeństwo informacji w tym rozumieniu staje się jedną z cech wydajności systemu. W każdym momencie system musi mieć wymierny poziom bezpieczeństwa, a zapewnienie bezpieczeństwa systemu musi być procesem ciągłym, który jest wykonywany we wszystkich odstępach czasu w trakcie życia systemu.

Infografika korzysta z naszych własnych danych SearchInform.

W teorii bezpieczeństwa informacji podmioty bezpieczeństwa informacji są rozumiane jako właściciele i użytkownicy informacji, a nie tylko użytkownicy na bieżąco (pracownicy), ale także użytkownicy, którzy uzyskują dostęp do baz danych w pojedynczych przypadkach, na przykład agencje rządowe żądające informacji. W wielu przypadkach, na przykład w standardach bezpieczeństwa informacji bankowych, akcjonariusze są uznawani za właścicieli informacji - osoby prawne, które są właścicielami określonych danych.

Infrastruktura pomocnicza z punktu widzenia podstaw bezpieczeństwa informacji obejmuje komputery, sieci, sprzęt telekomunikacyjny, pomieszczenia, systemy podtrzymywania życia oraz personel. Analizując bezpieczeństwo, należy zbadać wszystkie elementy systemów, zwracając szczególną uwagę na personel jako nośnik większości zagrożeń wewnętrznych.

Do zarządzania bezpieczeństwem informacji i oceny szkód wykorzystuje się cechę akceptowalności, więc uszkodzenie określa się jako akceptowalne lub niedopuszczalne. Każda firma powinna ustalić własne kryteria dopuszczalności szkody w formie pieniężnej lub, na przykład, w postaci możliwej do zaakceptowania szkody dla reputacji. W instytucjach publicznych można przyjąć inne cechy, na przykład wpływ na proces zarządzania czy odzwierciedlenie stopnia uszczerbku na życiu i zdrowiu obywateli. Kryteria istotności, ważności i wartości informacji mogą zmieniać się w trakcie cyklu życia tablicy informacji, dlatego należy je aktualizować w odpowiednim czasie.

Zagrożenie informacyjne w wąskim znaczeniu to obiektywna możliwość wpłynięcia na chroniony obiekt, co może prowadzić do wycieku, kradzieży, ujawnienia lub rozpowszechnienia informacji. W szerszym znaczeniu zagrożenia bezpieczeństwa informacji będą obejmowały ukierunkowane oddziaływania informacyjne, których celem jest zaszkodzenie państwu, organizacji i jednostce. Takie groźby obejmują na przykład zniesławienie, celowe wprowadzenie w błąd i nieodpowiednie reklamy.

Trzy główne pytania dotyczące koncepcji bezpieczeństwa informacji w każdej organizacji

Co chronić?

Jakie typy zagrożeń przeważają: zewnętrzne czy wewnętrzne?

Jak chronić, jakimi metodami i środkami?

System IS

System bezpieczeństwa informacji firmy - osoby prawnej obejmuje trzy grupy podstawowych pojęć: integralność, dostępność i poufność. Pod każdym z nich znajdują się koncepcje o wielu cechach.

Pod integralność oznacza stabilność baz danych, innych tablic informacyjnych do przypadkowego lub celowego zniszczenia, nieautoryzowanych zmian. Integralność można postrzegać jako:

• statycznywyrażone w niezmienności, autentyczności obiektów informacyjnych względem tych obiektów, które zostały utworzone zgodnie z określonym zadaniem technicznym i zawierają ilość informacji potrzebnych użytkownikom do ich głównych czynności, w wymaganej konfiguracji i kolejności;
• dynamiczny, co oznacza prawidłowe wykonanie złożonych działań lub transakcji, bez szkody dla bezpieczeństwa informacji.

Aby kontrolować integralność dynamiczną, stosuje się specjalne środki techniczne, które analizują przepływ informacji, na przykład informacje finansowe, oraz identyfikują przypadki kradzieży, duplikacji, przekierowania i zmiany kolejności wiadomości. Uczciwość jako kluczowa cecha jest wymagana, gdy podejmowane są decyzje o podjęciu działań na podstawie napływających lub dostępnych informacji. Naruszenie kolejności poleceń lub kolejności czynności może spowodować duże szkody w przypadku opisu procesów technologicznych, kodów programów oraz w innych podobnych sytuacjach.

Dostępność to własność, która umożliwia upoważnionym podmiotom dostęp lub wymianę interesujących ich danych. Kluczowy wymóg legitymacji lub upoważnienia podmiotów umożliwia tworzenie różnych poziomów dostępu. Niepowodzenie systemu w dostarczaniu informacji staje się problemem dla każdej organizacji lub grupy użytkowników. Przykładem jest niedostępność serwisów publicznych w przypadku awarii systemu, która pozbawia wielu użytkowników możliwości otrzymania niezbędnych usług lub informacji.

Poufność oznacza właściwość informacji, która ma być dostępna dla tych użytkowników: podmioty i procesy, do których początkowo zezwolono na dostęp. Większość firm i organizacji postrzega poufność jako kluczowy element bezpieczeństwa informacji, ale w praktyce trudno ją w pełni wdrożyć. Nie wszystkie dane o istniejących kanałach wycieku informacji są dostępne dla autorów koncepcji bezpieczeństwa informacji, a wielu technicznych środków ochrony, w tym kryptograficznych, nie można swobodnie nabyć, w niektórych przypadkach obrót jest ograniczony.

Jednakowe właściwości bezpieczeństwa informacji mają różne wartości dla użytkowników, stąd dwie skrajne kategorie przy opracowywaniu koncepcji ochrony danych. Dla firm czy organizacji związanych z tajemnicą państwową poufność stanie się kluczowym parametrem, dla służb publicznych czy placówek edukacyjnych najważniejszym parametrem jest dostępność.

Podsumowanie bezpieczeństwa informacji

Obiekty chronione w koncepcjach bezpieczeństwa informacji

Różnica podmiotów powoduje różnice w przedmiotach ochrony. Główne grupy chronionych obiektów:

• wszelkiego rodzaju zasoby informacyjne (przez zasób rozumie się przedmiot materialny: dysk twardy, inny nośnik, dokument z danymi i szczegółami, które pomagają go zidentyfikować i przypisać do określonej grupy podmiotów);
• prawa obywateli, organizacji i państwa do dostępu do informacji, możliwość ich uzyskania w ramach prawa; dostęp może być ograniczony tylko przez regulacyjne akty prawne; organizowanie jakichkolwiek barier, które naruszają prawa człowieka, jest niedopuszczalne;
• system tworzenia, wykorzystywania i dystrybucji danych (systemy i technologie, archiwa, biblioteki, dokumenty regulacyjne);
• system kształtowania świadomości społecznej (media, zasoby Internetu, instytucje społeczne, placówki edukacyjne).

Każdy obiekt zakłada specjalny system środków ochrony przed zagrożeniami dla bezpieczeństwa informacji i porządku publicznego. Zapewnienie bezpieczeństwa informacji w każdym przypadku powinno opierać się na systematycznym podejściu uwzględniającym specyfikę obiektu.

Kategorie i nośniki danych

Rosyjski system prawny, praktyka organów ścigania i ustalone stosunki społeczne klasyfikują informacje według kryteriów dostępności. Pozwala to wyjaśnić istotne parametry niezbędne do zapewnienia bezpieczeństwa informacji:

• informacje, do których dostęp jest ograniczony ze względu na wymogi prawne (tajemnica państwowa, handlowa, dane osobowe);
• informacje w domenie publicznej;
• publicznie dostępne informacje, które są udostępniane pod pewnymi warunkami: płatne informacje lub dane, na które musisz wydać wstęp, na przykład karta biblioteczna;
• niebezpiecznych, szkodliwych, fałszywych i innego rodzaju informacji, których obieg i rozpowszechnianie jest ograniczone wymogami prawa lub norm korporacyjnych.

Informacje z pierwszej grupy mają dwa tryby czuwania. Tajemnica państwowazgodnie z prawem są to informacje chronione przez państwo, których swobodne rozpowszechnianie może zaszkodzić bezpieczeństwu państwa. Są to dane z zakresu wojskowości, polityki zagranicznej, wywiadu, kontrwywiadu i działalności gospodarczej państwa. Właścicielem tej grupy danych jest samo państwo. Organami upoważnionymi do podejmowania środków w celu ochrony tajemnicy państwowej są Ministerstwo Obrony, Federalna Służba Bezpieczeństwa (FSB), Służba Wywiadu Zagranicznego oraz Federalna Służba Kontroli Technicznej i Eksportu (FSTEC).

Poufna informacja - bardziej wszechstronny przedmiot regulacji. Lista informacji, które mogą stanowić informacje poufne, znajduje się w dekrecie Prezydenta Republiki nr 188 „O zatwierdzaniu listy informacji poufnych”. To są dane osobowe; tajemnica śledztwa i postępowania sądowego; tajemnica służbowa; tajemnica zawodowa (lekarska, notarialna, prawnicza); tajemnica handlowa; informacje o wynalazkach i wzorach użytkowych; informacje zawarte w aktach osobowych skazanych, a także informacje o przymusowym wykonaniu czynności sądowych.

Dane osobowe istnieją w trybie jawnym i poufnym. Część danych osobowych jawnych i dostępnych dla wszystkich użytkowników obejmuje imię, nazwisko, patronimię. Zgodnie z FZ-152 „O danych osobowych” osoby, których dane dotyczą, mają prawo do:

• informacyjne samostanowienie;
• dostępu do danych osobowych i dokonywania w nich zmian;
• zablokować dane osobowe i uzyskać do nich dostęp;
• odwołania się od bezprawnych działań osób trzecich popełnionych w stosunku do danych osobowych;
• o odszkodowanie za wyrządzone szkody.

Prawo do tego jest zapisane w przepisach o organach stanowych, ustawach federalnych, licencjach na pracę z danymi osobowymi wydanymi przez Roskomnadzor lub FSTEC. Firmy, które zawodowo zajmują się danymi osobowymi szerokiego grona osób, na przykład operatorzy telekomunikacyjni, muszą wpisać się do rejestru prowadzonego przez Roskomnadzor.

Odrębnym przedmiotem w teorii i praktyce bezpieczeństwa informacji są nośniki informacji, do których dostęp jest otwarty i zamknięty. Opracowując koncepcję bezpieczeństwa informacji, metody ochrony dobierane są w zależności od rodzaju nośnika. Główne nośniki danych:

• media drukowane i elektroniczne, sieci społecznościowe, inne zasoby w Internecie;
• pracownicy organizacji, którzy mają dostęp do informacji na podstawie znajomości, rodziny, więzi zawodowych;
• urządzenia komunikacyjne, które przesyłają lub przechowują informacje: telefony, automatyczne centrale telefoniczne, inny sprzęt telekomunikacyjny;
• dokumenty wszelkiego rodzaju: osobiste, urzędowe, rządowe;
• oprogramowanie jako samodzielny obiekt informacyjny, zwłaszcza jeśli jego wersja została zmodyfikowana specjalnie dla konkretnej firmy;
• elektroniczne nośniki danych przetwarzające dane w sposób automatyczny.

W celu opracowania koncepcji bezpieczeństwa informacji, środki bezpieczeństwa informacji dzieli się zwykle na normatywne (nieformalne) i techniczne (formalne).

Nieformalne środki ochrony to dokumenty, reguły, zdarzenia, środki formalne to specjalne środki techniczne i oprogramowanie. Wyznaczenie pomaga w rozłożeniu obszarów odpowiedzialności przy tworzeniu systemów bezpieczeństwa informacji: przy ogólnym zarządzaniu ochroną, personel administracyjny wdraża metody normatywne, a specjaliści IT odpowiednio metody techniczne.

Podstawy bezpieczeństwa informacji implikują określenie uprawnień nie tylko w zakresie korzystania z informacji, ale także pracy z ich ochroną. To określenie uprawnień wymaga również kilku poziomów kontroli.

Formalne środki zaradcze

Szeroka gama technicznych środków bezpieczeństwa informacji obejmuje:

Fizyczny sprzęt ochronny. Są to mechanizmy mechaniczne, elektryczne, elektroniczne, które działają niezależnie od systemów informatycznych i tworzą bariery w dostępie do nich. Zamki, w tym elektroniczne, ekrany, rolety mają na celu tworzenie przeszkód dla kontaktu czynników destabilizujących z układami. Uzupełnieniem grupy są systemy bezpieczeństwa, np. Kamery wideo, magnetowidy, czujniki wykrywające ruch lub przekroczenie poziomu promieniowania elektromagnetycznego w obszarze lokalizacji technicznych środków wyszukiwania informacji, urządzenia wbudowane.

Ochrona sprzętu. Są to urządzenia elektryczne, elektroniczne, optyczne, laserowe i inne, które są osadzone w systemach informatycznych i telekomunikacyjnych. Przed wprowadzeniem sprzętu do systemów informatycznych konieczne jest zapewnienie kompatybilności.

Oprogramowanie to proste i systemowe, złożone programy przeznaczone do rozwiązywania konkretnych i złożonych problemów związanych z bezpieczeństwem informacji. Przykładem złożonych rozwiązań są: pierwsze służą zapobieganiu wyciekom, przeformatowaniu informacji i przekierowaniu przepływów informacji, drugie zapewniają ochronę przed incydentami z zakresu bezpieczeństwa informacji. Oprogramowanie wymaga mocy urządzeń sprzętowych, a podczas instalacji należy zapewnić dodatkowe rezerwy.

można testować bezpłatnie przez 30 dni. Przed zainstalowaniem systemu inżynierowie SearchInform przeprowadzą audyt techniczny w firmie klienta.

DO konkretne środki bezpieczeństwo informacji obejmuje różne algorytmy kryptograficzne, które szyfrują informacje na dysku i są przekierowywane przez zewnętrzne kanały komunikacyjne. Transformację informacji można przeprowadzić metodami programowymi i sprzętowymi funkcjonującymi w korporacyjnych systemach informatycznych.

Wszystkie środki gwarantujące bezpieczeństwo informacji należy stosować łącznie, po wstępnej ocenie wartości informacji i porównaniu z kosztami środków wydanych na bezpieczeństwo. Dlatego propozycje wykorzystania środków powinny być formułowane już na etapie tworzenia systemów, a akceptacja na poziomie kierownictwa odpowiedzialnego za zatwierdzanie budżetów.

W celu zapewnienia bezpieczeństwa konieczne jest monitorowanie wszystkich nowoczesnych rozwiązań, narzędzi ochrony oprogramowania i sprzętu, zagrożeń oraz szybkie wprowadzanie zmian we własnych systemach ochrony przed nieuprawnionym dostępem. Tylko adekwatność i szybkość reagowania na zagrożenia pozwoli osiągnąć wysoki poziom poufności w pracy firmy.

Pierwsza wersja została wydana w 2018 roku. Ten unikalny program tworzy profile psychologiczne pracowników i przypisuje ich do grup ryzyka. Takie podejście do zapewnienia bezpieczeństwa informacji pozwala przewidywać możliwe incydenty i podejmować działania z wyprzedzeniem.

Nieformalne środki zaradcze

Nieformalne środki zaradcze są podzielone na normatywne, administracyjne i moralno-etyczne. Na pierwszym poziomie ochrony znajdują się środki regulacyjne, które regulują bezpieczeństwo informacji jako proces w działalności organizacji.

• Środki regulacyjne

W praktyce światowej przy opracowywaniu narzędzi regulacyjnych kierują się standardami ochrony SI, z których głównym jest ISO / IEC 27000. Standard został stworzony przez dwie organizacje:

• ISO - Międzynarodowa Komisja Normalizacyjna, która opracowuje i zatwierdza większość uznanych na całym świecie metodologii certyfikacji jakości procesów produkcji i zarządzania;
• IEC - Międzynarodowa Komisja Energetyczna, która wprowadziła do normy swoje rozumienie systemów bezpieczeństwa informacji, środków i metod jego zapewnienia

Aktualna wersja ISO / IEC 27000-2016 oferuje gotowe standardy i sprawdzone metody niezbędne do realizacji bezpieczeństwa informacji. Według autorów metod podstawą bezpieczeństwa informacji jest spójność i konsekwentna realizacja wszystkich etapów od opracowania po pokontrolę.

Aby uzyskać certyfikat potwierdzający zgodność ze standardami bezpieczeństwa informacji, konieczne jest pełne wdrożenie wszystkich zalecanych metod. Jeśli nie ma potrzeby uzyskania certyfikatu, dopuszcza się akceptację dowolnej z wcześniejszych wersji normy, począwszy od ISO / IEC 27000-2002 lub rosyjskich GOST, które mają charakter doradczy, jako podstawę do opracowania własnych systemów bezpieczeństwa informacji.

Na podstawie wyników badania standardu opracowywane są dwa dokumenty dotyczące bezpieczeństwa informacji. Główną, ale mniej formalną, jest koncepcja bezpieczeństwa informacji przedsiębiorstwa, która określa środki i metody wdrażania systemu bezpieczeństwa informacji w systemach informatycznych organizacji. Drugim dokumentem, którego muszą przestrzegać wszyscy pracownicy firmy, jest rozporządzenie w sprawie bezpieczeństwa informacji zatwierdzone na szczeblu zarządu lub organu wykonawczego.

Oprócz stanowiska na poziomie przedsiębiorstwa należy opracować wykazy informacji stanowiących tajemnicę handlową, załączniki do umów o pracę, zabezpieczające odpowiedzialność za udostępnianie poufnych danych, inne standardy i metody. Zasady i regulacje wewnętrzne powinny zawierać mechanizmy wdrażania i środki odpowiedzialności. Najczęściej środki te mają charakter dyscyplinarny, a sprawca musi być przygotowany na to, że naruszenie reżimu dotyczącego tajemnicy handlowej pociągnie za sobą znaczące sankcje, aż do zwolnienia włącznie.

• Środki organizacyjne i administracyjne

W ramach działań administracyjnych na rzecz ochrony bezpieczeństwa informacji dla pracowników ochrony istnieje pole do kreatywności. Są to rozwiązania architektoniczne i planistyczne, które pozwalają zabezpieczyć sale spotkań i gabinety zarządcze przed podsłuchem oraz ustanowienie różnych poziomów dostępu do informacji. Ważnymi środkami organizacyjnymi będą certyfikacja działalności firmy zgodnie z normami ISO / IEC 27000, certyfikacja poszczególnych kompleksów sprzętowo-programowych, certyfikacja podmiotów i obiektów na zgodność z niezbędnymi wymogami bezpieczeństwa, uzyskanie licencji niezbędnych do pracy z chronionymi tablicami danych.

Z punktu widzenia uregulowania działalności personelu istotne będzie sformułowanie systemu wniosków o dostęp do Internetu, poczty zewnętrznej i innych zasobów. Odrębnym elementem będzie uzyskanie elektronicznego podpisu cyfrowego w celu zwiększenia bezpieczeństwa informacji finansowych i innych, które są przekazywane agencjom rządowym za pośrednictwem kanałów poczty elektronicznej.

• Środki moralne i etyczne

Środki moralne i etyczne określają osobisty stosunek danej osoby do informacji poufnych lub informacji ograniczonych w obiegu. Zwiększenie poziomu wiedzy pracowników na temat wpływu zagrożeń na działalność firmy wpływa na stopień świadomości i odpowiedzialności pracowników. Aby zwalczać naruszenia reżimu informacyjnego, w tym na przykład przekazywanie haseł, nieostrożne obchodzenie się z mediami, rozpowszechnianie poufnych danych w rozmowach prywatnych, należy skupić się na osobistej sumienności pracownika. Przydatne będzie ustalenie wskaźników efektywności personelu, która będzie zależała od stosunku do korporacyjnego systemu bezpieczeństwa informacji.

Szybko rozwijające się technologie informatyczne wprowadzają znaczące zmiany w naszym życiu. Informacja stała się towarem, który można kupić, sprzedać, wymienić. Ponadto koszt informacji jest często setki razy wyższy niż koszt systemu komputerowego, w którym są one przechowywane.

Dobrobyt, a czasem życie wielu ludzi, zależy od stopnia bezpieczeństwa technologii informatycznych. Taka jest cena za złożoność i powszechną dystrybucję zautomatyzowanych systemów przetwarzania informacji.

Pod bezpieczeństwo informacji oznacza zabezpieczenie systemu informatycznego przed przypadkową lub umyślną ingerencją, która szkodzi właścicielom lub użytkownikom informacji.

W praktyce najważniejsze są trzy aspekty bezpieczeństwa informacji:

• dostępność (możliwość otrzymania wymaganej usługi informacyjnej w rozsądnym czasie);
• integralność (aktualność i spójność informacji, ich ochrona przed zniszczeniem i nieautoryzowanymi zmianami);
• poufność (ochrona przed nieautoryzowanym odczytem).

Naruszenia dostępności, integralności i poufności informacji mogą być spowodowane różnymi niebezpiecznymi skutkami dla informatycznych systemów komputerowych.

Główne zagrożenia bezpieczeństwa informacji

Nowoczesny system informacyjny to złożony system składający się z dużej liczby elementów o różnym stopniu autonomii, które są ze sobą połączone i wymieniają dane. Prawie każdy element może zostać uszkodzony lub uszkodzony. Elementy zautomatyzowanego systemu informatycznego można podzielić na następujące grupy:

• sprzęt komputerowy - komputery i ich komponenty (procesory, monitory, terminale, urządzenia peryferyjne - napędy dysków, drukarki, kontrolery, kable, linie komunikacyjne itp.);
• oprogramowanie - zakupione programy, źródło, obiekt, moduły ładujące; systemy operacyjne i programy systemowe (kompilatory, konsolidatory itp.), narzędzia, programy diagnostyczne itp.;
• dane - przechowywane czasowo i trwale na nośnikach magnetycznych, drukach, archiwach, logach systemowych itp .;
• personel - personel serwisowy i użytkownicy.

Niebezpieczne wpływy na komputerowy system informacyjny można podzielić na przypadkowe i zamierzone. Analiza doświadczeń związanych z projektowaniem, produkcją i obsługą systemów informatycznych pokazuje, że informacje są narażone na różne losowe wpływy na wszystkich etapach cyklu życia systemu. Powody przypadkowe wpływy podczas pracy może być:

• sytuacje awaryjne spowodowane klęskami żywiołowymi i przerwami w dostawie prądu;
• awarie i awarie sprzętu;
• błędy w oprogramowaniu;
• błędy w pracy personelu;
• zakłócenia w liniach komunikacyjnych spowodowane wpływem środowiska.

Celowe skutki są umyślnymi działaniami sprawcy. Pracownik, gość, konkurent lub najemnik może działać jako przestępca. Działania przestępcy mogą wynikać z różnych motywów:

• niezadowolenie pracownika z kariery;
• przekupić;
• ciekawość;
• walka konkurencyjna;
• chęć utrzymania się za wszelką cenę.

Można sporządzić hipotetyczny model potencjalnego intruza:

• kwalifikacja sprawcy na poziomie twórcy tego systemu
• naruszyciel może być osobą nieuprawnioną lub legalnym użytkownikiem systemu;
• sprawca zna informacje o zasadach działania systemu;
• sprawca wybiera najsłabsze ogniwo obrony.

Najczęstszym i różnorodnym rodzajem naruszenia bezpieczeństwa komputera jest nieautoryzowany dostęp (NSD). NSD wykorzystuje każdy błąd w systemie zabezpieczeń i jest możliwe przy nieracjonalnym doborze narzędzi ochronnych, ich nieprawidłowej instalacji i konfiguracji.

Sklasyfikujmy kanały NSD, przez które możesz kraść, zmieniać lub niszczyć informacje:

• Przez osobę:
  • kradzież nośników informacji;
  • odczytywanie informacji z ekranu lub klawiatury;
  • odczyt informacji z wydruku.
• W ramach programu:
  • przechwytywanie haseł;
  • deszyfrowanie zaszyfrowanych informacji;
  • kopiowanie informacji od przewoźnika.
• Poprzez sprzęt:
  • podłączenie specjalnie zaprojektowanego sprzętu, który zapewnia dostęp do informacji;
  • przechwytywanie fałszywego promieniowania elektromagnetycznego ze sprzętu, linii komunikacyjnych, sieci zasilających itp.

Szczególną uwagę należy zwrócić na zagrożenia, na jakie mogą być narażone sieci komputerowe. Główną cechą każdej sieci komputerowej jest to, że jej składniki są rozmieszczone w przestrzeni. Komunikacja między węzłami sieci odbywa się fizycznie za pomocą linii sieciowych i programowo za pomocą mechanizmu wiadomości. W tym przypadku komunikaty sterujące i dane przesyłane między węzłami sieci są przesyłane w postaci pakietów wymiany. Sieci komputerowe charakteryzują się tym, że tzw ataki zdalne... Intruz może znajdować się tysiące kilometrów od zaatakowanego obiektu i zaatakować nie tylko konkretny komputer, ale także informacje przesyłane sieciowymi kanałami komunikacyjnymi.

Bezpieczeństwo informacji

Utworzenie systemu bezpieczeństwa informacji jest złożonym problemem. Środki zaradcze można podzielić na pięć poziomów:

1. ustawodawcze (ustawy, rozporządzenia, normy itp.);
2. moralne i etyczne (wszelkiego rodzaju normy zachowania, których nieprzestrzeganie prowadzi do spadku prestiżu konkretnej osoby lub całej organizacji);
3. administracyjne (ogólne działania podejmowane przez kierownictwo organizacji);
4. fizyczne (mechaniczne, elektromechaniczne i elektroniczno-mechaniczne przeszkody na możliwych drogach wejścia potencjalnych intruzów);
5. sprzęt i oprogramowanie (urządzenia elektroniczne i specjalne programy bezpieczeństwa informacji).

Jeden zestaw wszystkich tych działań, mających na celu przeciwdziałanie zagrożeniom bezpieczeństwa w celu zminimalizowania możliwości wystąpienia szkód, stanowi postać system ochrony.

Niezawodny system ochrony musi spełniać następujące zasady:

• Koszt wyposażenia ochronnego powinien być niższy niż kwota możliwych uszkodzeń.
• Każdy użytkownik powinien mieć minimalny zestaw uprawnień wymaganych do pracy.
• Im skuteczniejsza ochrona, tym łatwiej jest z nią pracować użytkownik.
• Możliwość odłączenia w przypadku awarii.
• Specjaliści związani z systemem ochrony muszą w pełni rozumieć zasady jego funkcjonowania iw przypadku trudnych sytuacji odpowiednio na nie reagować.
• Cały system przetwarzania informacji musi być chroniony.
• Twórcy systemu bezpieczeństwa nie powinni znajdować się wśród tych, których ten system będzie kontrolował.
• System bezpieczeństwa musi udokumentować poprawność swojego działania.
• Osoby zaangażowane w bezpieczeństwo informacji muszą być osobiście odpowiedzialne.
• Wskazane jest podzielenie obiektów ochrony na grupy, aby naruszenie ochrony w jednej z grup nie wpłynęło na bezpieczeństwo innych.
• Niezawodny system bezpieczeństwa musi zostać w pełni przetestowany i uzgodniony.
• Ochrona staje się bardziej skuteczna i elastyczna, jeśli umożliwia administratorowi zmianę jej parametrów.
• System bezpieczeństwa powinien być projektowany z założeniem, że użytkownicy będą popełniać poważne błędy i ogólnie mają najgorsze intencje.
• Najważniejsze i najważniejsze decyzje muszą być podejmowane przez ludzi.
• Istnienie mechanizmów bezpieczeństwa powinno być w miarę możliwości ukrywane przed użytkownikami, których praca jest pod kontrolą.

Sprzęt i oprogramowanie do ochrony informacji

Pomimo faktu, że nowoczesne systemy operacyjne dla komputerów osobistych, takie jak Windows 2000, Windows XP i Windows NT, mają własne podsystemy ochrony, znaczenie tworzenia dodatkowych narzędzi ochrony pozostaje. Faktem jest, że większość systemów nie jest w stanie zabezpieczyć danych znajdujących się poza nimi, na przykład podczas wymiany informacji w sieci.

Sprzęt i oprogramowanie służące do ochrony informacji można podzielić na pięć grup:

1. Systemy identyfikacji (rozpoznawania) i uwierzytelniania (uwierzytelniania) użytkowników.
2. Systemy szyfrowania danych na dysku.
3. Systemy szyfrowania danych przesyłanych przez sieci.
4. Elektroniczne systemy uwierzytelniania danych.
5. Narzędzia do zarządzania kluczami kryptograficznymi.

1. Systemy identyfikacji i uwierzytelniania użytkowników

Służą do ograniczania dostępu przypadkowych i nielegalnych użytkowników do zasobów systemu komputerowego. Ogólnym algorytmem działania takich systemów jest uzyskanie od użytkownika informacji potwierdzających jego tożsamość, zweryfikowanie jej autentyczności, a następnie zapewnienie (lub nie udostępnienie) temu użytkownikowi możliwości pracy z systemem.

Przy konstruowaniu tych systemów pojawia się problem wyboru informacji, na podstawie których przeprowadzane są procedury identyfikacji i uwierzytelniania użytkownika. Można wyróżnić następujące typy:

• tajne informacje posiadane przez użytkownika (hasło, tajny klucz, osobisty identyfikator itp.); użytkownik musi zapamiętać te informacje lub użyć do tego specjalnych środków przechowywania;
• parametry fizjologiczne osoby (odciski palców, rysunek tęczówki oka itp.) lub zachowanie (specyfika pracy na klawiaturze itp.).

Pod uwagę brane są systemy oparte na pierwszym rodzaju informacji tradycyjny... Nazywane są systemy wykorzystujące drugi rodzaj informacji biometryczny... Należy zauważyć, że pojawia się trend w zaawansowanym rozwoju systemów identyfikacji biometrycznej.

2. Systemy szyfrowania danych dyskowych

Aby informacje były bezużyteczne dla wroga, stosuje się zestaw metod transformacji danych, tzw kryptografia [z greckiego. kryptos - ukryte i grapho - pisanie].

Systemy szyfrowania mogą wykonywać kryptograficzne transformacje danych na poziomie pliku lub dysku. Do programów pierwszego typu należą archiwa takie jak ARJ i RAR, które pozwalają na wykorzystanie metod kryptograficznych do ochrony plików archiwalnych. Przykładem systemów drugiego typu jest program szyfrujący Diskreet, będący częścią popularnego pakietu oprogramowania Norton Utilities Best Crypt.

Inną cechą klasyfikacyjną systemów szyfrowania dysków jest sposób ich działania. Ze względu na sposób działania system szyfrowania danych na dysku dzieli się na dwie klasy:

• systemy „przejrzystego” szyfrowania;
• systemy specjalnie wezwane do szyfrowania.

W przejrzystych systemach szyfrowania (szyfrowanie w locie) transformacje kryptograficzne przeprowadzane są w czasie rzeczywistym, niezauważone przez użytkownika. Np. Użytkownik zapisuje dokument przygotowany w edytorze tekstu na chroniony dysk, a system ochrony szyfruje go podczas procesu zapisu.

Systemy klasy II to zazwyczaj narzędzia, które muszą być specjalnie wywoływane w celu wykonania szyfrowania. Należą do nich na przykład archiwa z wbudowaną ochroną hasłem.

Większość systemów oferujących ustawienie hasła dla dokumentu nie szyfruje informacji, a jedynie zapewnia żądanie hasła podczas uzyskiwania dostępu do dokumentu. Systemy te obejmują MS Office, 1C i wiele innych.

3. Systemy szyfrowania danych przesyłanych w sieci

Istnieją dwie główne metody szyfrowania: szyfrowanie kanału i szyfrowanie terminala (abonenta).

Gdy szyfrowanie kanałów Wszystkie informacje przesyłane kanałem komunikacyjnym są chronione, w tym informacje o usługach. Ta metoda szyfrowania ma następującą zaletę - osadzenie procedur szyfrowania w warstwie łącza pozwala na użycie sprzętu, co poprawia wydajność systemu. Jednak takie podejście ma również istotne wady:

• szyfrowanie danych usługowych komplikuje mechanizm routingu pakietów sieciowych i wymaga odszyfrowania danych w pośredniczących urządzeniach komunikacyjnych (bramach, repeaterach itp.);
• szyfrowanie informacji serwisowych może prowadzić do pojawienia się wzorców statystycznych w zaszyfrowanych danych, co wpływa na niezawodność ochrony i nakłada ograniczenia na stosowanie algorytmów kryptograficznych.

Szyfrowanie końcowe (subskrybenta) pozwala zapewnić poufność danych przesyłanych między dwoma abonentami. W tym przypadku chroniona jest tylko treść wiadomości, wszystkie informacje serwisowe pozostają otwarte. Wadą jest możliwość analizy informacji o strukturze wymiany wiadomości, np. O nadawcy i odbiorcy, o czasie i warunkach transmisji danych, a także o ilości przesyłanych danych.

4. Elektroniczne systemy uwierzytelniania danych

Podczas wymiany danych w sieciach pojawia się problem z uwierzytelnieniem autora dokumentu i samego dokumentu, tj. uwierzytelnienie autora i weryfikacja braku zmian w otrzymanym dokumencie. Do uwierzytelnienia danych stosuje się kod uwierzytelniający wiadomość (wstawka imitująca) lub podpis elektroniczny.

Imitacja wstawki jest generowany z otwartych danych za pomocą specjalnej transformacji szyfrowania przy użyciu tajnego klucza i przesyłany kanałem komunikacyjnym na końcu zaszyfrowanych danych. Wprowadzenie imitacji jest weryfikowane przez odbiorcę będącego właścicielem tajnego klucza poprzez powtórzenie procedury wykonanej wcześniej przez nadawcę na odebranych danych publicznych.

Elektroniczny podpis cyfrowy reprezentuje stosunkowo niewielką ilość dodatkowych informacji uwierzytelniających przesyłanych wraz z podpisanym tekstem. Nadawca składa podpis cyfrowy, używając tajnego klucza nadawcy. Odbiorca weryfikuje podpis za pomocą klucza publicznego nadawcy.

W związku z tym do realizacji imitacji wstawiania stosowane są zasady szyfrowania symetrycznego, a do realizacji podpisu elektronicznego - asymetrycznego. Później zbadamy te dwa systemy szyfrowania bardziej szczegółowo.

5. Narzędzia do zarządzania kluczami kryptograficznymi

Bezpieczeństwo każdego kryptosystemu jest określane przez używane klucze kryptograficzne. W przypadku niezabezpieczonego zarządzania kluczami osoba atakująca może przejąć kluczowe informacje i uzyskać pełny dostęp do wszystkich informacji w systemie lub sieci.

Istnieją następujące typy funkcji zarządzania kluczami: generowanie, przechowywanie i dystrybucja kluczy.

Drogi generowanie kluczy dla kryptosystemów symetrycznych i asymetrycznych są różne. Do generowania kluczy symetrycznych kryptosystemów używany jest sprzęt i oprogramowanie do generowania liczb losowych. Generowanie kluczy dla asymetrycznych kryptosystemów jest trudniejsze, ponieważ klucze muszą mieć określone właściwości matematyczne. Rozważmy tę kwestię bardziej szczegółowo, badając symetryczne i asymetryczne kryptosystemy.

Funkcjonować przechowywanie obejmuje organizację bezpiecznego przechowywania, ewidencjonowania i usuwania kluczowych informacji. Aby zapewnić bezpieczne przechowywanie kluczy, są one szyfrowane przy użyciu innych kluczy. Takie podejście prowadzi do koncepcji hierarchii kluczy. Hierarchia kluczy zazwyczaj obejmuje klucz główny (tj. Klucz główny), klucz szyfrowania klucza i klucz szyfrowania danych. Należy zauważyć, że generowanie i przechowywanie klucza głównego jest krytyczną kwestią w ochronie kryptograficznej.

Dystrybucja to najbardziej krytyczny proces w zarządzaniu kluczami. Proces ten musi zapewniać poufność kluczy, które mają być rozdawane, oraz musi być szybki i dokładny. Klucze są rozdzielane między użytkowników sieci na dwa sposoby:

• z wykorzystaniem bezpośredniej wymiany kluczy sesyjnych;
• za pomocą jednego lub więcej kluczowych centrów dystrybucji.

Lista dokumentów

1. O TAJEMNICY PAŃSTWOWEJ. Ustawa Federacji Rosyjskiej z dnia 21 lipca 1993 r. Nr 5485-1 (zmieniona ustawą federalną nr 131-FZ z dnia 6 października 1997 r.).
2. OCHRONY INFORMACJI, INFORMACJI I OCHRONY INFORMACJI. Ustawa federalna Federacji Rosyjskiej z dnia 20 lutego 1995 r. Nr 24-FZ. Przyjęty przez Dumę Państwową 25 stycznia 1995 r.
3. O PRAWNEJ OCHRONIE PROGRAMÓW DLA KOMPUTERÓW ELEKTRONICZNYCH I BAZ DANYCH. Ustawa Federacji Rosyjskiej z dnia 23 września 1992 r. Nr 3524-1.
4. O ELEKTRONICZNYM PODPISIE CYFROWYM. Ustawa federalna Federacji Rosyjskiej z dnia 10 stycznia 2002 r. Nr 1-FZ.
5. O PRAWACH AUTORSKICH I PRAWACH POKREWNYCH. Ustawa Federacji Rosyjskiej z dnia 9 lipca 1993 r. Nr 5351-1.
6. O FEDERALNYCH ORGANACH KOMUNIKACJI I INFORMACJI RZĄDOWYCH. Ustawa Federacji Rosyjskiej (zmieniona dekretem Prezydenta Federacji Rosyjskiej z dnia 12.24.1993 nr 2288; ustawa federalna z 07.11.2000 nr 135-FZ.
7. Regulamin akredytacji laboratoriów badawczych i jednostek certyfikujących narzędzia bezpieczeństwa informacji zgodnie z wymogami bezpieczeństwa informacji / Państwowa Komisja Techniczna przy Prezydencie Federacji Rosyjskiej.
8. Instrukcja w sprawie procedury oznaczania certyfikatów zgodności, ich kopii oraz środków certyfikujących ochronę informacji / Państwowa Komisja Techniczna przy Prezydencie Federacji Rosyjskiej.
9. Regulamin certyfikacji obiektów informatyzacji zgodnie z wymogami bezpieczeństwa informacji / Państwowa Komisja Techniczna przy Prezydencie Federacji Rosyjskiej.
10. Przepisy dotyczące certyfikacji środków bezpieczeństwa informacji zgodnie z wymogami bezpieczeństwa informacji: z uzupełnieniami zgodnie z Dekretem Rządu Federacji Rosyjskiej z dnia 26 czerwca 1995 r. Nr 608 „O certyfikacji środków bezpieczeństwa informacji” / Państwowa Komisja Techniczna przy Prezydencie Federacji Rosyjskiej.
11. Przepisy o zezwoleniu państwowym na działalność w zakresie ochrony informacji / Państwowa Komisja Techniczna przy Prezydencie Federacji Rosyjskiej.
12. Systemy automatyczne. Ochrona przed nieuprawnionym dostępem do informacji. Klasyfikacja systemów automatycznych i wymagania dotyczące ochrony informacji: Wytyczne / Państwowa Komisja Techniczna przy Prezydencie Federacji Rosyjskiej.
13. Koncepcja ochrony sprzętu komputerowego i zautomatyzowanych systemów przed nieuprawnionym dostępem do informacji: Wytyczne / Państwowa Komisja Techniczna przy Prezydencie Federacji Rosyjskiej.
14. Wyposażenie komputerowe. Firewalle. Ochrona przed nieuprawnionym dostępem do informacji. Wskaźniki bezpieczeństwa przed nieuprawnionym dostępem do informacji: Wytyczne / Państwowa Komisja Techniczna przy Prezydencie Federacji Rosyjskiej.
15. Wyposażenie komputerowe. Ochrona przed nieuprawnionym dostępem do informacji. Wskaźniki bezpieczeństwa przed nieuprawnionym dostępem do informacji: Wytyczne / Państwowa Komisja Techniczna przy Prezydencie Federacji Rosyjskiej.
16. Ochrona informacji. Specjalne znaki ochronne. Klasyfikacja i wymagania ogólne: Wytyczne / Państwowa Komisja Techniczna przy Prezydencie Federacji Rosyjskiej.
17. Ochrona przed nieuprawnionym dostępem do informacji. Terminy i definicje: Wytyczne / Państwowa Komisja Techniczna przy Prezydencie Federacji Rosyjskiej.

Historia powstania i rozwoju bezpieczeństwa informacji

Wraz z rozwojem komunikacji informacyjnej, a tym samym możliwością niszczenia informacji, które są przechowywane i przekazywane za ich pomocą, pojawiło się bezpieczeństwo informacji (IS).

Głównym zadaniem bezpieczeństwa informacji do 1816 roku była ochrona różnego rodzaju informacji, które mają szczególne znaczenie dla podmiotu (organizacji lub konkretnej osoby).

Wprowadzenie i wykorzystanie możliwości komunikacji radiowej ujawniło potrzebę zapewnienia ochrony komunikacji radiowej przed zakłóceniami poprzez zastosowanie kodowania przeciwzakłóceniowego i dekodowania sygnału. Później pojawiły się urządzenia radarowe i hydroakustyczne (1935), których bezpieczeństwo informacyjne zapewniono poprzez zwiększenie ochrony urządzeń radarowych przed skutkami zakłóceń elektronicznych.

Od 1946 r., Przy powszechnym stosowaniu komputerów elektronicznych (komputerów) w praktyce, bezpieczeństwo informacji zostało osiągnięte głównie poprzez ograniczenie fizycznego dostępu do sprzętu, który zawierał lub przetwarzał chronione informacje.

Od 1965 r. Rozwijają się sieci lokalne, których bezpieczeństwo informacji osiągano głównie poprzez administrowanie i kontrolę dostępu do zasobów sieciowych.

Wraz z wprowadzeniem mobilnych urządzeń komunikacyjnych zagrożenia bezpieczeństwa informacji stały się znacznie poważniejsze i bardziej złożone. Konieczne było opracowanie nowych metod bezpieczeństwa, ponieważ bezprzewodowe sieci transmisji danych były szeroko stosowane do przesyłania i przechowywania informacji. Pojawili się hakerzy - społeczności ludzi, których celem było wyrządzenie szkody w bezpieczeństwie informacji różnej wielkości (od indywidualnych użytkowników po całe kraje). Od tego czasu bezpieczeństwo informacji stało się najważniejszym i obowiązkowym elementem bezpieczeństwa kraju.

Wraz z rozwojem globalnych sieci w celu rozwiązania problemu bezpieczeństwa informacji należy rozwiązać problem poprzez stworzenie makrosystemu bezpieczeństwa informacji całej ludzkości. Przesyłanie, przetwarzanie i przechowywanie informacji odbywa się dziś wyłącznie za pomocą systemów informatycznych. Globalne sieci pozwalają rozwiązywać olbrzymi zakres zadań z zakresu komunikacji (np.poprzez e-mail, telefony komórkowe), rozrywki (MP3, telewizja cyfrowa, gry), transportu (silniki, nawigacja), handlu (karty kredytowe, sklepy internetowe), medycyny (sprzęt archiwum materiałów medycznych) itp.

Uwaga 1

W związku z tym do zadań bezpieczeństwa informacji należy ochrona informacji metodami wykrywania, zapobiegania i reagowania na ataki.

Kwestie bezpieczeństwa informacji

Bezpieczeństwo informacji jest jednym z najważniejszych aspektów każdego poziomu bezpieczeństwa - narodowego, branżowego, korporacyjnego czy osobistego.

Głównym problemem bezpieczeństwa informacji jest to, że stanowi integralną część technologii informacyjnej.

Technologie programowania nie pozwalają na tworzenie programów wolnych od błędów, które nie zapewniają bezpieczeństwa informacji. Oznacza to, że istnieje potrzeba tworzenia niezawodnych systemów bezpieczeństwa informacji przy użyciu zawodnych programów. Ta potrzeba wymaga przestrzegania zasad architektury i kontroli bezpieczeństwa podczas korzystania z protokołu IP. Ponadto wraz z rozwojem technologii informacyjno-komunikacyjnych, przy ciągłym korzystaniu z sieci, liczba ataków znacznie wzrosła. Nie można tego jednak nazwać największym problemem bezpieczeństwa informacji, ponieważ problemy związane z ciągłym wykrywaniem nowych luk w oprogramowaniu, a co za tym idzie, pojawianiem się nowych typów ataków są znacznie większe.

Twórcy absolutnie wszystkich typów systemów operacyjnych pracują nad wyeliminowaniem takich luk, ponieważ nowe błędy są aktywnie wykorzystywane przez cyberprzestępców.

Uwaga 2

W takich przypadkach systemy bezpieczeństwa informacji muszą mieć środki umożliwiające odparcie różnych ataków. Ataki mogą trwać nawet ułamek sekundy lub kilka godzin, powoli sondując luki (w tym przypadku złośliwa aktywność jest prawie niewidoczna). Działania napastników mogą mieć na celu naruszenie zarówno osobno podjętych, jak i wszystkich elementów bezpieczeństwa informacji - dostępności, integralności i poufności.

Skalę konsekwencji nieprawidłowego działania oprogramowania i sprzętu SI można przedstawić w kategoriach kosztów rozwiązania „Problem-2000”. Według szacunków niektórych ekspertów, łączna wielkość światowych inwestycji, które zostały wydane na przygotowania do 2000 roku, wyniosła 300 miliardów dolarów, według innych źródeł jest to kwota zawyżona o rząd wielkości.

Metody bezpieczeństwa informacji

Aby zapewnić bezpieczeństwo informacji w SI, stosuje się następujące metody:

• pozwolić;
• kontrola dostępu;
• metody kryptografii;
• przeciwdziałanie atakom złośliwych programów;
• rozporządzenie;
• przymus;
• motywacja.

Rozważmy każdy z nich bardziej szczegółowo.

Definicja 1

Przeszkoda - fizyczna przeszkoda na drodze do informacji chronionych (do urządzeń technicznych, nośników danych itp.).

Kontrola dostępu - metody ochrony informacji poprzez regulację wykorzystania zasobów technologii informacyjnej i systemu informatycznego. Kontrola dostępu powinna bezwzględnie zapobiegać wszelkim możliwym sposobom nieuprawnionego dostępu do chronionych informacji.

Ochrona informacji za pomocą kontroli dostępu odbywa się poprzez:

• identyfikacja użytkowników i personelu (przypisanie osobistego identyfikatora);
• identyfikacja przedmiotu za pomocą identyfikatora;
• sprawdzenie prawa dostępu do informacji lub obiektu;
• rejestracja odniesień do informacji;
• reakcja (alarm, wyłączenie, opóźnienie w pracy, odmowa żądania itp.) przy próbie wykonania nieautoryzowanych działań.

Metody ochrony kryptograficznej - szyfrowanie informacji. Metody szyfrowania są szeroko stosowane w przetwarzaniu i przechowywaniu informacji. Ta metoda jest szczególnie niezawodna podczas przesyłania informacji przez sieć.

Ochrona przed atakami złośliwych programów ma na celu zapewnienie zestawu różnych metod o charakterze organizacyjnym oraz wykorzystanie programów antywirusowych, co skutkuje zmniejszeniem prawdopodobieństwa infekcji IP, identyfikacją faktów infekcji systemu; ograniczanie lub zapobieganie konsekwencjom infekcji informacyjnych, niszczenia wirusów; późniejsze odzyskiwanie informacji.

Definicja 2

Regulacja - ograniczenie czasu pracy, ograniczony dostęp ludzi do informacji, ograniczenie dostępu w określone dni, porę dnia, godziny itp. Stworzenie takich warunków pracy z informacjami chronionymi, normami i standardami ochrony zostanie w największym stopniu spełnione.

Definicja 3

Przymus to metoda ochrony informacji, w której użytkownicy i pracownicy SI przestrzegają zasad pracy z informacjami chronionymi pod groźbą odpowiedzialności (materialnej, administracyjnej lub karnej).

Definicja 4

Motywacja to metoda, która zachęca (ze względu na przestrzeganie już ustalonych standardów moralnych i etycznych) podmioty IP, aby nie naruszały ustalonych procedur.

Techniczne środki ochrony informacji dzielą się na sprzętowe i fizyczne.

Sprzęt odnosi się do urządzeń, które są wbudowane bezpośrednio w wyposażenie techniczne układu scalonego lub komunikują się z nim za pośrednictwem standardowego interfejsu.

Środki fizyczne obejmują urządzenia i konstrukcje inżynieryjne, które zapobiegają fizycznemu przenikaniu do obiektów ochrony i chronią personel, materiały, informacje i inne wartości (na przykład kraty, zamki, sejfy, alarmy itp.).

Szeroko stosowane są również narzędzia programowe zaprojektowane do ochrony informacji w SI. Należą do nich programy haseł, programy antywirusowe, programy ograniczające dostęp, programy szyfrujące (kryptograficzne).

Narzędzia organizacyjne zapewniają środki, które uniemożliwiają lub utrudniają ujawnienie, wyciek, nieuprawniony dostęp do informacji na podstawie prawnej.

Środki prawne regulują zasady pracy z informacjami i ustanawiają procedurę odpowiedzialności za ich naruszenie. Środki prawne są określane przez prawo danego kraju.

Moralne zabezpieczenia etyczne obejmują normy zachowania, które mogą być niepisane (na przykład uczciwość) lub sformalizowane w formie zasad i przepisów. Z reguły nie są zatwierdzone przez prawo, ale są uważane za obowiązkowe. Przykładem takich reguł może być zbiór zasad etycznych dotyczących komunikacji w sieci itp.