Metody ochrony informacji w sferze informacyjnej. Bezpieczeństwo informacji. Środki zapewnienia i monitorowania integralności oprogramowania i zasobów informacyjnych

Postęp achno-techniczny zwrócił informacje w produkcie, które można kupić, sprzedawać, wymianę. Często koszt danych jest kilka razy wyższy niż cena całego systemu technicznego, który przechowuje i przetwarza informacje.

Jakość informacji handlowych zapewnia niezbędny wpływ ekonomiczny dla Spółki, więc ważne jest, aby chronić krytyczne dane przed bezprawnymi działaniami. Pozwoli to firmie z powodzeniem konkurować na rynku.

Definicja bezpieczeństwa informacji

Bezpieczeństwo informacji (IB) - Jest to stan systemu informacyjnego, w którym jest najmniej podatny na interweniowanie i uszkodzenie osób trzecich. Bezpieczeństwo danych oznacza również również zarządzanie ryzykiem związane z ujawnieniem informacji lub wpływów na moduły ochrony sprzętu i oprogramowania.

Bezpieczeństwo informacji przetwarzanych w organizacji jest zestaw działań mających na celu rozwiązanie problemu ochrony środowiska informacyjnego w firmie. Jednocześnie informacje nie powinny ograniczać się do stosowania i dynamicznego rozwoju dla upoważnionych osób.

Wymagania dotyczące systemu ochrony IB

Ochrona zasobów informacyjnych powinna być:

1. Stały. Atakujący w dowolnym momencie może spróbować ominąć moduły ochrony danych, które go interesują.

2. Cel. Informacje powinny być bronione w pewnym celu, że ustawiona jest organizacja lub właściciel danych.

3. Zaplanowany. Wszystkie metody obrony muszą być zgodne ze standardami państwowymi, ustawami prawnymi i napisami, które regulują kwestie bezpieczeństwa poufnych danych.

4. Aktywny. Wydarzenia do obsługi pracy i poprawy systemu ochrony powinny być przeprowadzane regularnie.

5. Złożony. Zastosowanie tylko indywidualnych modułów ochrony lub środków technicznych jest niedopuszczalne. Konieczne jest stosowanie wszystkich rodzajów ochrony w najszerszym zakresie, w przeciwnym razie system opracowany zostanie pozbawiony znaczenia i fundacji gospodarczej.

6. Uniwersalny. Narzędzia obronne powinny być wybierane zgodnie z istniejącymi kanałami wycieków.

7. Niezawodny. Wszystkie techniki ochrony powinny niezawodnie pokrywać możliwymi sposobami chronionych informacji od atakującego, niezależnie od formularza prezentacji danych.

Wymienione wymagania muszą również odpowiadać systemowi DLP. I najlepiej ocenić swoje możliwości w praktyce, a nie teoretycznie. Możesz doświadczyć "Sirchinform KIB" za darmo w ciągu 30 dni.

Model systemu bezpieczeństwa.

Informacje są uważane za chronione, jeśli obserwuje się trzy główne właściwości.

Pierwszy - integralność - polega na zapewnieniu niezawodności i prawidłowego wyświetlania danych chronionych, niezależnie od tego, czego w firmie stosuje się systemy bezpieczeństwa i ochrony. Nie należy naruszać przetwarzanie danych, a użytkownicy systemu, którzy pracują z zabezpieczonymi plikami nie powinny być w obliczu nieautoryzowanej modyfikacji lub zniszczenia zasobów, awarii.

Druga - poufność - Oznacza, że \u200b\u200bdostęp do przeglądania i edycji danych jest zapewniony wyłącznie autoryzowanym użytkownikom systemu ochrony.

Trzeci - dostępność - Oznacza on, że wszyscy autoryzowani użytkownicy muszą mieć dostęp do informacji poufnych.

Wystarczy złamać jedną z właściwości chronionych informacji, dzięki czemu korzystanie z systemu stało się bez znaczenia.

Etapy tworzenia i dostarczania systemu ochrony informacji

W praktyce utworzenie systemu ochrony informacji prowadzi się w trzech etapach.

Na pierwszym etapie Opracowywany jest podstawowy model systemu, który będzie działał w firmie. Aby to zrobić, konieczne jest przeanalizowanie wszystkich typów danych, które są rozpowszechniane w firmie i które trzeba chronić przed ingerencjami innych firm. Plan pracy na początku etapu to cztery pytania:

1. Czy informacje powinny być chronione?
2. Jakie jest proliferację dostępu do bezpieczeństwa informacji?

Cel może być zapoznany, zmieniający, modyfikujący lub zniszczenie danych. Każda akcja jest nielegalna, jeśli napastnik jej wykonuje. Zapoznanie się nie prowadzi do zniszczenia struktury danych, a modyfikacja i zniszczenie prowadzą do częściowej lub całkowitej utraty informacji.

1. Jaka jest treść poufnych informacji?

Źródła w tym przypadku są ludzie i zasoby informacyjne: dokumenty, dyski flash, publikacje, produkty, systemy komputerowe, narzędzia warsztatowe.

1. Sposoby uzyskania dostępu i jak chronić przed nieautoryzowanymi próbami wpływania na system?

Odróżnij następujące sposoby uzyskania dostępu:

• Nieautoryzowany dostęp - nielegalne wykorzystanie danych;
• Wyciek - Niekontrolowane rozpowszechnianie informacji poza siecią korporacyjną. Wyciek występuje z powodu niedociągnięć, słabości kanału technicznego systemu bezpieczeństwa;
• Ujawnienie - Wpływ wpływu ludzkiego czynnika. Użytkownicy Sancational mogą ujawnić informacje, aby przekazać konkurencjom lub zaniedbaniem.

Druga faza Obejmuje rozwój systemu ochrony. Oznacza to do wdrożenia wszystkich wybranych metod, środków i kierunków ochrony danych.

System jest wybudowany natychmiast w kilku kierunkach ochrony, na kilku poziomach, które współdziałają ze sobą, aby zapewnić wiarygodną kontrolę informacji.

Poziom prawny Zapewnia zgodność ze standardami państwowymi w dziedzinie ochrony informacji i obejmuje prawa autorskie, dekrety, patenty i opisy stanowisk. Komputery system ochrony nie narusza prawa użytkownika i standardów przetwarzania danych.

Poziom organizacyjny Umożliwia tworzenie regulacji użytkowników z poufnymi informacjami, podnieś personel, organizować pracę z dokumentacją i nośnikami danych fizycznych.

Regulamin użytkowników z poufnymi informacjami nazywane są dostępem do zasad dostępu. Zasady ustalane są przez kierownictwo Spółki wraz z Usługą Bezpieczeństwa i dostawcą, który wprowadza system bezpieczeństwa. Celem jest stworzenie warunków dostępu do zasobów informacyjnych dla każdego użytkownika, na przykład, prawo do odczytu, edycji, przesyłania poufnego dokumentu. Zasady separacji dostępu są opracowywane na poziomie organizacyjnym i są wprowadzane na etapie pracy z elementem technicznym systemu.

Poziom techniczny Warunkowo podzielony na fizyczny, sprzętowy, oprogramowanie i matematyczny sufelvel.

• fizyczny - tworzenie barier wokół obiektu chronionego: systemy bezpieczeństwa, hałas, wzmacnianie struktur architektonicznych;
• sprzęt komputerowy - instalacja środków technicznych: Komputery specjalne, systemy sterowania pracownikami, ochroną serwerów i sieci korporacyjnymi;
• program - instalacja oprogramowania do systemów ochrony, wdrażanie zasady dostępu do usuwania i pracy testowej;
• matematyczny - Wdrożenie metod ochrony danych kryptograficznych i stenograficznych zapewniających bezpieczną transmisję w sieci korporacyjnej lub globalnej.

Trzeci, ostatni etap - Jest to wsparcie dla wykonywania systemu, regularnej kontroli i zarządzania ryzykiem. Ważne jest, aby moduł ochronny wyróżnia się elastycznością i umożliwił administrator bezpieczeństwa szybko poprawić system, gdy znaleziono nowe potencjalne zagrożenia.

Rodzaje poufnych danych

Dane poufne - To jest informacja, do której można ograniczyć się zgodnie z prawami państwa i normy, które firmy są zainstalowane samodzielnie.

• Osobisty Dane poufne: dane osobowe obywateli, prawo do życia osobistego, korespondencji, ukrycia osobowości. Wyjątek to tylko informacje, które dotyczą mediów.
• Usługa Dane poufne: Informacje, dostęp do którego można ograniczyć tylko państwo (władze państwowe).
• Sądowy Dane poufne: tajemnica dochodzenia i postępowań.
• Reklama w telewizji Dane poufne: Wszystkie rodzaje informacji związanych z handlem (dochodowym) i dostępem, do którego jest ograniczona przez prawo lub przedsiębiorstwo (tajne rozwój, technologia produkcji itp.).
• Profesjonalny Dane poufne: Dane związane z działaniami obywateli, na przykład, tajemnicą medyczną, notarialną lub prawnikową, których ujawnienie jest ścigane przez prawo.

Zagrożenia poufności zasobów informacyjnych

Zagrożenie - Są to możliwe lub rzeczywiste próby przejęcia posiadania chronionych zasobów informacyjnych.

Źródła zagrożenia Konserwowane zachowanie danych są konkurentami, atakującymi, organami zarządzania. Celem wszelkich zagrożeń jest wpłynięcie na integralność, kompletność i dostępność danych.

Zagrożenia są wewnętrzne lub zewnętrzne. Zagrożenia zewnętrzne Są próby uzyskania dostępu do danych z zewnątrz i towarzyszy im hacking serwery, sieci, konta pracowników i informacje o czytaniu informacji z kanałów wycieków technicznych (czytanie akustyczne z błędami, kamerami, wyposażeniem do sprzętu, uzyskiwanie informacji wibroakustycznych z okien i struktur architektonicznych) .

Zagrożenia krajowe Zmierz nielegalne działania personelu, Departament Pracy lub Zarząd Spółki. W rezultacie system użytkownikowy, który działa z informacjami poufnych, może wydawać z zewnątrz. W praktyce takie zagrożenie znajduje się częściej. Pracownik może "łączyć" tajne dane od lat. Jest to łatwo wdrożone, ponieważ działania autoryzowanego użytkownika, administrator bezpieczeństwa nie kwalifikuje się jako zagrożenie.

Ponieważ wewnętrzne zagrożenia IB są związane z czynnikiem ludzkim, śledzić je i zarządzają ich trudniejszymi. Możesz ostrzec incydenty, dzieląc pracowników do grup ryzyka. Dzięki temu zadaniu zautomatyzowany moduł może poradzić sobie z profili psychologicznych.

Próba nieautoryzowanego dostępu może wystąpić na kilka sposobów:

• przez pracownikówktóry może przekazywać poufne dane do obcych, podejmować fizyczne media lub dostęp do informacji chronionych przez drukowane dokumenty;
• korzystanie z oprogramowania. Atakujący przeprowadzają ataki, które mają na celu kradzież "Login-Hasło" Steam, przechwytywanie kluczy kryptograficznych, aby odszyfrować dane, nieautoryzowane kopiowanie informacji.
• z elementami sprzętowymi Zautomatyzowany system, na przykład wprowadzenie urządzeń do słuchania lub korzystanie z technologii odczytu sprzętowego w odległości (poza strefą sterowanej).

Sprzęt i oprogramowanie IB

Wszystkie nowoczesne systemy operacyjne są wyposażone w wbudowane moduły ochrony danych na poziomie programu. Mac OS, Windows, Linux, IOS doskonale kople z zadaniem szyfrowania danych na dysku i podczas procesu transmisji do innych urządzeń. Ważne jest jednak, aby stosować dodatkowe moduły ochronne do tworzenia skutecznego pracy z informacjami poufnych.

Niestandardowy system operacyjny nie chroni danych w momencie transmisji przez sieć, a systemy ochrony umożliwiają kontrolowanie przepływów informacyjnych, które są cyrkulowane przez sieć korporacyjną i przechowywanie danych na jądrowej.

Moduł sprzętu i oprogramowania jest wykonany w celu podziału na grupy, z których każdy wykonuje funkcję ochrony poufnych informacji:

• Poziom identyfikacji - Jest to kompleksowy system rozpoznawania użytkowników, który może użyć uwierzytelniania standardowego lub wielopoziomowego, biometrii (rozpoznawanie twarzy, skanowanie odcisków palców, nagrywanie głosowe i inne techniki).
• Poziom szyfrowania Zapewnia kluczową wymianę między nadawcą a odbiorcą i szyfrowania / odszyfrowania wszystkich danych systemowych.

Ochrona prawna informacji

Podstawa prawna bezpieczeństwa informacji zapewnia państwo. Ochrona informacji podlega konwencjom międzynarodowym, konstytucji, praw federalnych i napisów.

Państwo określi również środek odpowiedzialności za naruszenie przepisów ustawodawstwa w dziedzinie IB. Na przykład rozdział 28 "Przestępstwa w sferze informacji o komputerach" w Kodeksie Karnym Federacji Rosyjskiej obejmuje trzy artykuły:

• Artykuł 272 "Nieautoryzowany dostęp do informacji o komputerach";
• Artykuł 273 "Tworzenie, wykorzystanie i rozpowszechnianie szkodliwych programów komputerowych";
• Artykuł 274 "Naruszenie zasad działania magazynowania, przetwarzania lub przekazywania informacji o komputerach i sieciach informacyjnych oraz telekomunikacyjnych".

Ochrona sprzętu oprogramowania przed nieautoryzowanym dostępem obejmuje środki identyfikacyjne, uwierzytelnianie i kontrola dostępu w systemie informacyjnym.

Identyfikacja - Przypisywanie unikalnych identyfikatorów dostęp do tematów.

Obejmuje to etykiety częstotliwości radiowych, technologie biometryczne, karty magnetyczne, uniwersalne klucze magnetyczne, logowanie do logowania itp.

Uwierzytelnianie - Sprawdzanie akcesoriów przedmiotu dostępu do identyfikatora i potwierdzenia jego autentyczności.

Procedury uwierzytelniania obejmują hasła, kody PIN, karty inteligentne, klucze USB, sygnatury cyfrowe, klucze sesji itp. Proceduralna część narzędzi identyfikacyjnych i uwierzytelniających jest ze sobą powiązana, a w rzeczywistości reprezentuje podstawową podstawę wszystkich oprogramowania i sprzętu bezpieczeństwa informacji, ponieważ wszystkie inne usługi są zaprojektowane w celu utrzymania określonych podmiotów, prawidłowo rozpoznawane przez system informacyjny. Ogólnie rzecz biorąc, identyfikacja pozwala podmiotowi zidentyfikować się do systemu informacyjnego, a przy pomocy uwierzytelniania, system informacyjny potwierdza, że \u200b\u200btemat jest rzeczywiście tym, dla którego kwestie to. W oparciu o przejście tej operacji operacja zapewniająca dostęp do systemu informacyjnego. Procedury kontroli dostępu umożliwiają upoważnione przedmioty do przeprowadzenia przepisów dotyczących działania, a system informacyjny w celu kontrolowania tych działań na temat poprawności i poprawności uzyskanej wyniku. Dostęp do systemu umożliwia zamknięcie danych od użytkowników, do których nie mają przyjęcia.

Poniższe środki ochrony oprogramowania i sprzętu jest protokołem i audytem informacyjnym.

Rejestrowanie obejmuje gromadzenie, akumulację i zachowanie informacji o zdarzeniach, działaniach, wynagrodzeniu, które wystąpiły podczas pracy systemu informacyjnego, indywidualnych użytkowników, procesów i wszystkich oprogramowania i sprzętu, które są zawarte w systemie informacyjnym Enterprise.

Ponieważ każdy składnik systemu informacyjnego ma z góry określony zestaw możliwych zdarzeń zgodnie z zaprogramowanymi klasyfikatorami, zdarzenia, działania i wyniki są podzielone na:

• zewnętrzne, spowodowane przez inne elementy,
• wewnętrzny, spowodowany działaniami samego składnika,
• klient, spowodowany przez użytkownika i administratorów.

Audytem informacji jest przeprowadzenie analizy operacyjnej w czasie rzeczywistym lub w danym okresie.

Zgodnie z wynikami analizy raport na temat zdarzeń, które wystąpiły, lub inicjowana jest automatyczna odpowiedź na sytuację niezależną.

Wdrożenie rejestrowania i audytu rozwiązuje następujące zadania:

• zapewnienie odpowiedzialności użytkowników i administratorów;
• zapewnienie zdolności do rekonstrukcji sekwencji zdarzeń;
• wykrywanie prób naruszeń bezpieczeństwa informacji;
• zapewnienie informacji do identyfikacji i analizowania problemów.

Często ochrona informacji jest niemożliwa bez użycia narkotyków kryptograficznych. Są one używane do zapewnienia działania usług szyfrowania, kontroli integralności i uwierzytelniania, gdy narzędzia uwierzytelniające są przechowywane przez użytkownika w postaci zaszyfrowanej. Istnieją dwie podstawowe metody szyfrowania: symetryczne i asymetryczne.

Kontrola integralności umożliwia ustalenie autentyczności i tożsamości obiektu, który jest tablicą danych, oddzielne części danych, źródło danych, a także zapewnienie, że nie można zwrócić się do działania przeprowadzonego w systemie z szeregiem informacji. Podstawą do wdrażania kontroli integralności jest technologia transformacji danych przy użyciu certyfikatów szyfrowania i cyfrowych.

Innym ważnym aspektem jest użycie ekranowania, technologii, co pozwala, wyróżniając dostęp do zasobów informacyjnych, kontroluje wszystkie przepływy informacji między systemem informacyjnym i obiektami zewnętrznymi, tablicami, tematami i odpowiednikami. Kontrola przepływu jest filtrowana i, jeśli to konieczne, przekształcić przesyłane informacje.

Zadaniem osłanianiem jest ochrona informacji wewnętrznych z potencjalnie wrogich czynników zewnętrznych i przedmiotów. Główną formą ekranu jest wykonywane przez zapory ogniowe lub zapory, różne typy i architekturę.

Ponieważ jeden ze znaków bezpieczeństwa informacji jest dostępność zasobów informacyjnych, a następnie zapewnienie wysokiego poziomu dostępności jest ważnym kierunkiem wdrażania środków oprogramowania i sprzętowych. W szczególności dwa kierunki są rozdzielone: \u200b\u200bzapewnienie tolerancji błędów, tj. Neutralizacja awarii systemu, zdolność do pracy, gdy występują błędy, i zapewnienie bezpiecznego i szybkiego odzyskiwania po awariach, tj. Usługa systemowa.

Głównym wymogiem systemów informacyjnych jest zawsze współpracować z daną wydajnością, minimalnym momentem niedostępności i szybkości reagowania.

Zgodnie z tym dostępność zasobów informacyjnych jest zapewniona przez:

• zastosowania architektury strukturalnej, co oznacza, że \u200b\u200bposzczególne moduły mogą być wyłączone w razie potrzeby lub szybko zastąpione bez uszczerbku dla innych elementów systemu informacyjnego;
• tolerancja błędów z tytułu: zastosowania autonomicznych elementów infrastruktury nośnej, tworzenie nadmiarowej mocy do konfiguracji oprogramowania i sprzętu, rezerwacji sprzętu, replikacja zasobów informacyjnych w systemie, kopia zapasowa danych itp.
• wspieranie serwisowania poprzez zmniejszenie czasu diagnozowania i wyeliminowania awarii i ich konsekwencji.

Inny rodzaj narzędzi bezpieczeństwa wystają chronione kanały komunikacyjne.

Funkcjonowanie systemów informatycznych jest nieuchronnie związany z przesyłaniem danych, więc konieczne jest, aby przedsiębiorstwa chroniące przesłane zasoby informacyjne za pomocą chronionych kanałów komunikacyjnych. Możliwość nieautoryzowanego dostępu do danych podczas przesyłania ruchu na otwartych kanałach komunikacyjnych jest ze względu na ich wspólną. Ponieważ "Komunikacja w ogóle nie jest fizycznie chroniona, dlatego lepiej jest początkowo postępować z założenia o ich luźności, a zatem zapewnić ochronę". Aby to zrobić, stosuje się technologie tunelowania, których istota ma być zamknięta dane, tj. Pakiet lub opakuj przesyłane pakiety danych, w tym wszystkie atrybuty serwisowe, we własnych kopertach. W związku z tym tunel jest bezpiecznym połączeniem przez otwarte kanały komunikacji, zgodnie z którym przesyłane są kryptograficznie bezpieczne pakiety danych. Tunelowanie służy do zapewnienia poufności ruchu, ukrywając informacje o serwisie i zapewnienie poufności i integralności przesyłanych danych, gdy są używane razem z elementami kryptograficznymi systemu informacyjnego. Łącząc tunelowanie i szyfrowanie umożliwia wdrożenie wirtualnej sieci prywatnej. Dzięki tym punkcie końcowym tuneli, które wdrażają wirtualne sieci prywatne, są zaporami serwującymi połączenie organizacji do sieci zewnętrznych.

Ekrany firewater jako punkty do wdrożenia usługi wirtualnych prywatnych sieci

Tak więc, tunelowanie i szyfrowanie wystają z dodatkowymi transformacjami przeprowadzonymi podczas procesu filtrowania ruchu sieciowego wraz z tłumaczeniem adresów. Końce tuneli, oprócz zapory korporacyjnej, mogą występować komputery osobiste i mobilne pracowników, bardziej precyzyjnie, ich osobiste zapory ogniowe i zaporowe. Dzięki temu podejściu funkcjonują chronione kanały komunikacji.

Procedury bezpieczeństwa informacji

Procedury bezpieczeństwa informacji są zwyczajowe w celu ograniczenia poziomu administracyjnego i organizacyjnego.

• Procedury administracyjne obejmują ogólne działania podejmowane przez kierownictwo organizacji, aby regulować wszystkie prace, działania, operacje w dziedzinie zapewnienia i utrzymywania bezpieczeństwa informacji realizowanych poprzez przydzielanie niezbędnych zasobów i monitorowania skuteczności podjętych środków.
• Poziom organizacyjny to procedury bezpieczeństwa informacji, w tym zarządzanie personelem, ochrona fizyczna, utrzymanie infrastruktury oprogramowania i sprzętowej, eliminację operacyjną naruszeń bezpieczeństwa i prac planowania.

Z drugiej strony, rozgraniczenie procedur administracyjnych i organizacyjnych jest bez znaczenia, ponieważ procedury jednego poziomu nie mogą istnieć oddzielnie od innego poziomu, a tym samym naruszenie relacji między ochroną poziomu fizycznego, ochrony osobistej i organizacyjnej w koncepcji bezpieczeństwa informacji . W praktyce, zapewniając bezpieczeństwo informacji organizacji, nie zaniedbują procedur administracyjnych lub organizacyjnych, dlatego jest bardziej logiczny, aby rozważyć je jako zintegrowane podejście, ponieważ oba poziomy wpływają na poziom ochrony informacji fizycznych, organizacyjnych i osobistych.

Podstawą zintegrowanych procedur bezpieczeństwa informacji jest polityka bezpieczeństwa.

Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji Organizacja jest zestawem udokumentowanych decyzji podjętych przez kierownictwo organizacji i mające na celu ochronę informacji i zasobów związanych z nim.

W planie organizacyjnym i zarządzania polityka bezpieczeństwa może być ujednoliconym dokumentem lub wydanym w formie kilku niezależnych dokumentów lub zamówień, ale w każdym przypadku następujące aspekty ochrony systemu informacyjnego organizacji powinny obejmować:

• ochrona obiektów systemu informacyjnego, zasoby informacyjne i operacje bezpośrednie;
• ochrona wszystkich operacji związanych z przetwarzaniem informacji w systemie, w tym oprogramowanie do przetwarzania;
• ochrona kanałów komunikacyjnych, w tym przewodowych, radiowych kanałów, podczerwieni, sprzętu itp.;
• ochrona kompleksu sprzętowa z bocznych emisji elektromagnetycznych;
• zarządzanie systemem ochrony, w tym konserwacji, modernizacji i działań administracyjnych.

Każde aspekty powinny być szczegółowo opisane i jest udokumentowany w wewnętrznych dokumentach organizacji. Dokumenty krajowe obejmują trzy poziomy procesu ochrony: górna, średnia i niższa.

Dokumenty najwyższego poziomu polityki bezpieczeństwa informacji odzwierciedlają główne podejście do organizacji w celu ochrony własnych informacji i zgodności z normami państwowymi i / lub międzynarodowymi. W praktyce w organizacji znajduje się tylko jeden dokument najwyższego poziomu, oświetlony "koncepcja bezpieczeństwa informacji", "Regulamin bezpieczeństwa informacji" itp Formalnie dokumenty te nie reprezentują wartości poufnej, ich dystrybucja nie jest ograniczona, ale może zostać wydany w redakcji do użytku wewnętrznego i opublikowania.

Przeciętne dokumenty są ściśle poufne i odnoszą się do określonych aspektów bezpieczeństwa informacji organizacji: wykorzystywana ochrona informacji, bezpieczeństwo bazy danych, komunikacji, narzędzia kryptograficzne i inne informacje i procesy gospodarcze organizacji. Dokument jest realizowany w formie wewnętrznych standardów technicznych i organizacyjnych.

Dokumenty na poziomie są podzielone na dwa typy: przepisy robocze i instrukcje obsługi. Przepisy robocze są ściśle poufne i mają tylko osoby, które pracują nad administracją indywidualnych usług bezpieczeństwa informacji. Instrukcje użytkowania mogą być zarówno poufne, jak i publiczne; Są one przeznaczone dla pracowników organizacji i opisują procedurę pracy z poszczególnymi elementami systemu informacyjnego organizacji.

World Doświadczenie pokazuje, że polityka bezpieczeństwa informacji jest zawsze udokumentowana tylko w dużych firmach z rozwiniętym systemem informacyjnym, który poprawiły wymagania bezpieczeństwa informacji, średnie przedsiębiorstwa najczęściej mają tylko częściowo udokumentowane polityki bezpieczeństwa informacji, małe organizacje w przytłaczającej większości Wszystko. Polityka projektowa dokumentów. Niezależnie od formatu projektowania dokumentów, reżim bezpieczeństwa jest przeznaczony lub dystrybuowany, podstawowy aspekt.

Istnieją dwa różne podejścia, które są oparte na polityka bezpieczeństwa informacji:

1. "Wszystko, co nie jest zabronione, jest dozwolone.
2. "Jest zabronione wszystkim, co nie jest dozwolone".

Podstawowa wada pierwszego podejścia polega na tym, że w praktyce niemożliwe jest dostarczenie wszystkich niebezpiecznych spraw i zabrania im. Bez wątpienia należy zastosować tylko drugie podejście.

Poziom organizacyjny bezpieczeństwa informacji

Z punktu widzenia ochrony informacji, procedury organizacyjne zapewniające bezpieczeństwo informacji są prezentowane jako "regulator działalności produkcyjnej i związek między wykonawcami na podstawie regulacyjnej i prawnej, z wyjątkiem lub znacząco zdobądź opanowanie przez informacje poufne i manifestacja wewnętrznego i zewnętrzne zagrożenia. "

Środki zarządzania personelem mające na celu organizację pracy z personelem w celu zapewnienia bezpieczeństwa informacji obejmują oddzielenie obowiązków i minimalizacji uprawnień. Oddzielenie obowiązków przepisuje taką dystrybucję kompetencji i stref odpowiedzialności, w której jedna osoba nie jest w stanie przerwać procesu krytycznego dla organizacji. Zmniejsza to prawdopodobieństwo błędów i nadużycia. Minimalizacja przywilejów przepisuje wyposażenie użytkownika tylko przez poziom dostępu, który odpowiada potrzebom wypełnienia ich obowiązków służbowych. Zmniejsza to uszkodzenia z przypadkowych lub celowych nieprawidłowych działań.

Ochrona fizyczna oznacza rozwój i przyjęcie środków do bezpośredniej ochrony budynków, w których zasoby informacyjne organizacji w sąsiedztwie terytoriów, elementów infrastruktury, sprzętu informacyjnego, przewoźników danych i kanałów sprzętowych są opublikowane. Obejmuje to fizyczne kontrola dostępu, środki przeciwpożarowe, ochrona infrastruktury wspierającej, ochrona przed przechwytywaniem danych i ochronę systemów mobilnych.

Utrzymanie wydajności infrastruktury oprogramowania i sprzętu jest zapobieganie błędom stochastycznych, które zagrażają uszkodzeniu kompleksu sprzętowego, naruszeniem działania programów i utraty danych. Głównymi kierunkami w tym aspekcie są zapewnienie wsparcia dla użytkowników i oprogramowania, zarządzania konfiguracją, tworzenie kopii zapasowych, zarządzania informacjami, dokumentacją i pracą prewencyjną.

Eliminacyjna eliminacja naruszeń bezpieczeństwa realizuje trzy główne cele:

1. Lokalizacja incydentu i obniżona szkoda;
2. Wykrywanie intruza;
3. Zapobieganie powtarzającym się naruszeniom.

Wreszcie, prace renowacyjne planowania pozwala nam przygotować się do wypadków, zmniejszyć od nich uszkodzenia i utrzymywać zdolność do funkcjonowania przynajmniej w minimalnej objętości.

Korzystanie z oprogramowania i sprzętu i chronionych kanałów komunikacyjnych powinno być wdrażane w organizacji opartej na kompleksowym podejściu do rozwoju i zatwierdzenia wszystkich procedur regulacyjnych administracyjnych i organizacyjnych zapewniających bezpieczeństwo informacji. W przeciwnym razie przyjęcie poszczególnych środków nie gwarantuje ochrony informacji, a często, wręcz przeciwnie, prowokuje wyciek informacji poufnych, utraty krytycznych danych, uszkodzenia infrastruktury sprzętowej i naruszenia elementów programu systemu informacyjnego organizacji.

Metody bezpieczeństwa informacji.

Dla nowoczesnych przedsiębiorstw charakteryzuje się rozproszony system informacyjny, który pozwala nam uwzględnić biura rozproszonych i magazynów firmy, rachunkowości finansowej i kontroli księgowości i zarządzania, informacje z podstawy klienta, biorąc pod uwagę próbkę pod względem wskaźników i tak dalej. W ten sposób tablica danych jest bardzo znacząca, aw przytłaczającej większości te informacje mają wartość priorytetową dla Spółki w planie komercyjnym i gospodarczym. W rzeczywistości, zapewniając poufność danych, które ma wartość handlową, jest jednym z głównych zadań zapewnienia bezpieczeństwa informacji w firmie.

Zapewnienie bezpieczeństwa informacji w przedsiębiorstwie Musi być regulowany przez następujące dokumenty:

1. Przepisy dotyczące zapewnienia bezpieczeństwa informacji. Obejmuje cele i cele bezpieczeństwa informacji, wykaz wewnętrznych przepisów dotyczących bezpieczeństwa informacji i przepis dotyczący podawania rozproszonego systemu informacyjnego firmy. Dostęp do przepisów jest ograniczony przez kierownictwo organizacji i szefa działu automatyki.
2. Przepisy dotyczące świadczenia technicznego ochrony informacji. Dokumenty są poufne, dostęp jest ograniczony przez pracowników Departamentu Automatyki i Superior Porady.
3. Regulacja podawania rozproszonego systemu ochrony informacji. Dostęp do przepisów jest ograniczony przez pracowników Departamentu Automatyki odpowiedzialnego za administrowanie systemem informacyjnym oraz doskonałym wytycznym.

W takim przypadku dokumenty te nie powinny być ograniczone, a niższe poziomy również działają. W przeciwnym razie, jeżeli przedsiębiorstwo ma inne dokumenty dotyczące zapewnienia bezpieczeństwa informacji, wskaże niewystarczający stopień świadczenia ochrony informacji, ponieważ nie ma dokumentów niższego poziomu, w szczególności instrukcji obsługi poszczególnych elementów systemu informacyjnego .

Obowiązkowe procedury organizacyjne obejmują:

• podstawowe środki do odróżnienia personelu pod względem dostępu do zasobów informacyjnych,
• fizyczna ochrona biur spółki z bezpośredniej penetracji i zagrożeń dla zniszczenia, utraty lub przechwytywania danych,
• utrzymanie wydajności infrastruktury oprogramowania i sprzętu jest organizowane w formie automatycznej kopii zapasowej, zdalnie sprawdzić media, obsługa użytkowników i oprogramowania prowadzona jest na życzenie.

Powinno to również obejmować regulowane środki w celu reagowania i wyeliminowania przypadków zaburzeń bezpieczeństwa informacji.

W praktyce często obserwuje się, że przedsiębiorstwa nie są uważnie uważni na ten problem. Wszystkie działania w tym kierunku prowadzone są wyłącznie w kolejności roboczej, co zwiększa czas na wyeliminowanie zaburzeń i nie gwarantuje ostrzeżeń powtarzających się naruszeń bezpieczeństwa informacji. Ponadto istnieje w pełni nieobecna działanie planowania praktyki w celu wyeliminowania konsekwencji po wypadkach, wycieków informacyjnych, utraty danych i krytycznych sytuacjach. Wszystko to znacznie pogarsza bezpieczeństwo informacji przedsiębiorstwa.

Na poziomie sprzętu i sprzętu należy wdrożyć 3-poziomowy system bezpieczeństwa.

Minimalne kryteria bezpieczeństwa informacji:

1. Moduł kontroli dostępu:

• zaimplementowane wejście zamknięte do systemu informacyjnego, nie można wylogować zewnętrznych zadań;
• w przypadku pracowników, dostęp z ograniczoną funkcjonalnością z mobilnych komputerów osobistych została wdrożona;
• autoryzacja prowadzona jest przez ciągłych administratorów logowania i haseł.

2. Moduł szyfrowania szyfrowania i integralności:

• używane dane szyfrowania metody asymetrycznej;
• tablice danych krytycznych są przechowywane w bazach danych w zaszyfrowanej formie, która nie zezwala na ich dostęp nawet podlegającym hakowaniu systemu informacyjnego firmy;
• kontrola integralności zapewnia prosty sygnaturę cyfrową wszystkich przechowywanych zasobów informacyjnych, przetwarzanych lub przesyłanych wewnątrz systemu informacyjnego.

3. Moduł ekranujący:

• system filtrów jest zaimplementowany w zaporach, co pozwala kontrolować wszystkie przepływy informacji przez kanały komunikacyjne;
• zewnętrzne związki z globalnymi zasobami informacyjnymi i kanałami komunikacyjnymi publicznymi można przeprowadzić tylko za pośrednictwem ograniczonego zestawu zweryfikowanych stacji roboczych, które mają ograniczone połączenie z systemem informacji korporacyjnej;
• chroniony dostęp z pracy pracowników do spełnienia ich oficjalnych obowiązków jest realizowany za pośrednictwem dwupoziomowego systemu serwera proxy.

Wreszcie, przy pomocy technologii tunelowania, wirtualna prywatna sieć musi być wdrażana zgodnie z typowym modelem budownictwa, aby zapewnić chronione kanały komunikacji między różnymi działami firmy, partnerów i klientów firmy.

Pomimo faktu, że komunikacja jest bezpośrednio przeprowadzona w sieciach o potencjalnie niskim poziomie zaufania, technologii tunelowania z powodu stosowania narzędzi kryptograficznych umożliwiają zapewnienie niezawodnej ochrony wszystkich przesyłanych danych.

wnioski

Głównym celem wszystkich działań bezpieczeństwa informacji podjętych w dziedzinie bezpieczeństwa informacji jest ochrona interesów przedsiębiorstwa, w taki czy inny sposób związany z zasobami informacyjnymi, które ma. Chociaż przedsiębiorstwa nie są ograniczone do określonego obszaru, wszystkie z nich koncentruje się wokół dostępności, integralności i poufności informacji.

Problem zapewnienia bezpieczeństwa informacji jest wyjaśniony przez dwa główne powody.

1. Zasoby informacyjne nagromadzone przez przedsiębiorstwo są cenne.
2. Krytyczna zależność od technologii informacyjnej powoduje ich powszechne zastosowanie.

Biorąc pod uwagę szeroką gamę istniejących zagrożeń dla bezpieczeństwa informacji, takich jak zniszczenie ważnych informacji, nieautoryzowane wykorzystanie danych poufnych, przerw w pracach przedsiębiorstwa z powodu naruszeń systemu informacyjnego, można stwierdzić, że wszystkie obiektywnie prowadzi do Duże straty materiałowe.

Zapewniając bezpieczeństwo informacji, oprogramowanie i sprzęt do monitorowania podmiotów komputerowych, tj. Sprzęt, elementy oprogramowania, dane, tworzące ostatnią i najbardziej priorytetową linię bezpieczeństwa informacji. Przeniesienie danych powinny być również bezpieczne w kontekście zachowania ich poufności, integralności i dostępności. Dlatego w nowoczesnych warunkach technologie tunelowania w połączeniu z środkami kryptograficznymi są wykorzystywane do zapewnienia chronionych kanałów komunikacyjnych.

Literatura

1. Galatenko V.a. Standardy bezpieczeństwa informacji. - M.: Uniwersytet Informatyki Informatyki, 2006.
2. Party T.L., Popov I.i. Bezpieczeństwo informacji. - M.: Forum, 2012.

Dzięki tożsamości cybernetyki Norbert Wiener wierzył, że informacje miały wyjątkowe cechy i nie można go przypisać energii ani materii. Szczególny status informacji, jak zjawisko spowiadł różne definicje.

W normie informatycznej ISO / IEC 2382: 2015 podano taką interpretacja:

Informacje (w dziedzinie przetwarzania informacji) - Wszelkie dane prezentowane w formie elektronicznej napisane na papierze, wyrażone na spotkaniu lub na dowolnym innym nośniku stosowanym przez instytucję finansową podejmowanie decyzji, przenoszenie środków, ustanawiających stawki, świadczenie kredytów, operacji przetwarzania itp., W tym oprogramowanie oprogramowania do przetwarzania komponentów .

Aby opracować koncepcję zapewnienia bezpieczeństwa informacji (IB), informacje rozumie informacje, które są dostępne do zbierania, przechowywania, przetwarzania (edycji, transformacji), wykorzystania i transmisji na różne sposoby, w tym sieci komputerowe i inne systemy informacyjne.

Takie informacje mają wysoką wartość i mogą stać się przedmiotami wciągania przez osoby trzecie. Pragnienie ochrony informacji przed zagrożeniami leży u podstaw tworzenia systemów bezpieczeństwa informacji.

Podstawa prawna

W grudniu 2017 r. Doktryny bezpieczeństwa informacji zostały przyjęte w Rosji. Dokument IB jest zdefiniowany jako stan ochrony interesów narodowych w sferze informacyjnej. Zgodnie z interesami narodowymi w tym przypadku rozumie się jako połączenie interesów społeczeństwa, osobowości i państwa, każda grupa zainteresowań jest niezbędna do stabilnego funkcjonowania społeczeństwa.

Doktryna jest dokumentem koncepcyjnym. Stosunki prawne związane z zapewnieniem bezpieczeństwa informacji są rządzone przez prawa federalne "w sprawie tajemnicy państwowej", "na informacjach", "O ochronie danych osobowych" i innych. Na podstawie podstawowych regulacji, decyzje i rozporządzenia rządowe poświęcone prywatnych kwestii ochrony informacji.

Definicja bezpieczeństwa informacji

Przed opracowaniem strategii bezpieczeństwa informacji konieczne jest przyjęcie podstawowej definicji samej koncepcji, co pozwoli zastosować pewien zestaw metod i metod ochrony.

Praktyka branży jest proponowana, aby zrozumieć bezpieczeństwo informacji, stabilny stan bezpieczeństwa informacji, jego przewoźników i infrastruktury, co zapewnia integralność i trwałość procesów związanych z informacjami, celowym lub niezamierzonym skutkom natury naturalnej i sztucznej. Wpływ są klasyfikowane jako zagrożenia IB, które mogą uszkodzić podmiotów relacji informacyjnych.

Zatem ochrona informacji zostanie rozumiana jako zestaw środków prawnych, administracyjnych, organizacyjnych i technicznych mających na celu zapobieganie prawdziwym lub rzekomym zagrożeniom IB, a także wyeliminować konsekwencje incydentów. Ciągłość procesu bezpieczeństwa informacji powinna zapewnić walkę z zagrożeniami na wszystkich etapach cyklu informacyjnego: w procesie zbierania, przechowywania, przetwarzania, wykorzystania i przekazywania informacji.

Bezpieczeństwo informacji w tym zrozumieniu stają się jedną z cech wydajności systemu. W dowolnym momencie system musi mieć mierzalny poziom bezpieczeństwa, a zapewnienie bezpieczeństwa systemu musi być procesem ciągłym, który jest przeprowadzany przez cały segmenty czasowe w trakcie życia systemu.

W infografiki użył własnych danych Surchinform.

W teorii bezpieczeństwa informacji w ramach przedmiotów, IB rozumie właścicieli i użytkowników, a użytkownicy nie tylko na bieżąco (pracownicy), ale także użytkownicy, którzy zwracają się do baz danych w pojedynczych przypadkach, na przykład, organy rządowe wymagające informacji. W niektórych przypadkach, na przykład, w bankowości IB standardów, akcjonariusze należą do właścicieli informacji - podmioty prawne należące do niektórych danych.

Infrastruktura wspierająca, pod względem fundamentów IB, obejmuje komputery, sieci, sprzęt telekomunikacyjny, pomieszczenia, systemy utrzymania, personel. Podczas analizy bezpieczeństwa konieczne jest zbadanie wszystkich elementów systemów, zwracając szczególną uwagę na personel jako przewoźnika najbardziej wewnętrznych zagrożeń.

Aby zarządzać bezpieczeństwem informacji i ocenić obrażenia, stosuje się charakterystyka akceptowalności, więc uszkodzenia są zdefiniowane jako akceptowalne lub niedopuszczalne. Każda firma jest przydatna do zatwierdzenia własnych kryteriów szkód pieniężnych lub, na przykład w formie dopuszczalnych uszkodzeń reputacji. Inne cechy mogą być podejmowane w agencjach rządowych, na przykład, wpływ na proces zarządzania lub odzwierciedleniem stopnia szkody w życiu i zdrowiu obywateli. Kryteria istotności, ważności i wartości informacji mogą się różnić w trakcie cyklu życia tablicy informacyjnej, należy zatem zostać zmienione w odpowiednim czasie.

Zagrożenie informacji w wąskim znaczeniu jest obiektywną okazją do wpływania na przedmiot ochrony, co może prowadzić do wycieku, kradzieży, ujawniania lub rozpowszechniania informacji. W szerszym znaczeniu do zagrożeń IB, skierowany wpływ natury informacyjnej będzie traktowany, którego celem jest uszkodzenie państwa, organizacji, osobowości. Takie zagrożenia obejmują, na przykład zniesławienie, intencjonalne mylące, nieprawidłowe reklamy.

Trzy główne kwestie koncepcji IB dla każdej organizacji

Co chronić?

Jakie rodzaje zagrożeń przeważają: zewnętrzne lub wewnętrzne?

Jak chronić, jakie metody i środki?

System IB.

System bezpieczeństwa informacji dla firmy jest podmiotem prawnym obejmuje trzy grupy podstawowych pojęć: integralności, dostępność i poufność. W ramach każdej ukrycia koncepcji z różnymi cechami.

Pod integralność Jest rozumiany jako trwałość baz danych, innych tablic informacyjnych do losowego lub celowego zniszczenia, wprowadzając nieautoryzowane zmiany. Pojęcie integralności można uznać za:

• statyczny, wyrażone w niezmienności, autentyczność obiektów informacyjnych tych obiektów, które zostały utworzone na konkretnym zadaniu technicznym i zawierają kwotę informacji niezbędnych do użytkowników dla głównej aktywności w żądanej konfiguracji i sekwencji;
• dynamicznyco oznacza prawidłowe wykonanie złożonych działań lub transakcji, które szkodzi bezpieczeństwu informacji.

Specjalne środki techniczne są wykorzystywane do kontrolowania integralności dynamicznej, które analizują przepływ informacji, na przykład, finansowych i wykrywania przypadków kradzieży, powielania, przekierowania, zmian w kolejności komunikatu. Integralność jako główna cecha jest wymagana, gdy na podstawie przychodzących lub dostępnych informacji podejmuje decyzje w celu podjęcia działań. Naruszenie procedury ustalenia poleceń lub sekwencji działań może spowodować duże obrażenia w przypadku opisywania procesów technologicznych, kodów programowych oraz w innych podobnych sytuacjach.

Dostępność - Jest to właściwość, która umożliwia dostęp do autoryzowanych przedmiotów do danych, które reprezentują ich odsetki lub udostępniają te dane. Kluczowe wymóg legitymacji lub autoryzacji przedmiotów umożliwia tworzenie różnych poziomów dostępu. System nie dostarcza informacji staje się problemem dla każdej organizacji lub grup użytkowników. Przykładowo możesz przynieść niedostępność witryn publicznych w przypadku awarii systemu, która pozbawia wielu użytkowników możliwości uzyskania niezbędnych usług lub informacji.

Poufność Wskazuje nieruchomość informacji, które mają być dostępne dla tych użytkowników: tematy i procesy, które umożliwiają początkowo tolerancję. Większość firm i organizacji postrzegają poufność jako kluczowy element IB, ale w praktyce jest w pełni trudny do wdrożenia. Nie wszystkie dane dotyczące istniejących kanałów wycieków są dostępne dla autorów koncepcji IB oraz wiele technicznych środków ochrony, w tym kryptograficznego, nie można go swobodnie zakupić, w niektórych przypadkach obrót jest ograniczony.

Równe właściwości IB mają inną wartość dla użytkowników, stąd - dwie skrajne kategorie w opracowywaniu koncepcji ochrony danych. W przypadku firm lub organizacji związanych z tajemnicą państwową parametr kluczowy będzie poufność, dla usług publicznych lub instytucji edukacyjnych, najważniejszym parametrem jest dostępność.

Digest bezpieczeństwa informacji

Obiekty ochronne w koncepcjach IB

Różnica w temacie generuje różnice w obiektach ochronnych. Główne grupy obiektów ochrony:

• Środki informacyjne wszelkiego rodzaju (w ramach zasobu oznacza obiekt materiałowy: dysk twardy, inny przewoźnik, dokument z danymi i szczegółami, które pomagają zidentyfikować i atrybudzić określoną grupą przedmiotów);
• prawa obywateli, organizacji i państwa na dostęp do informacji, możliwość otrzymania go w prawie; Dostęp może być ograniczony wyłącznie do aktów regulacyjnych, organizacja wszelkich barier, które naruszają prawa człowieka są niedopuszczalne;
• system tworzenia, wykorzystania i dystrybucji danych (systemy i technologia, archiwa, biblioteki, dokumenty regulacyjne);
• system tworzenia świadomości publicznej (media, zasoby internetowe, instytucje społeczne, instytucje edukacyjne).

Każdy obiekt obejmuje specjalny system środków w celu ochrony przed zagrożeniami z IB i porządku publicznego. Zapewnienie bezpieczeństwa w każdym przypadku powinny opierać się na systematycznym podejściu, które uwzględniają specyfikę obiektu.

Kategorie i media.

Rosyjski system prawny, egzekwowanie prawa i ustalone publiczne relacje klasyfikują informacje o kryteriach dostępności. Pozwala to wyjaśnić niezbędne parametry niezbędne do zapewnienia bezpieczeństwa informacji:

• informacje, do którego można ograniczyć się na podstawie wymogów ustawodawstw (tajemnice państwowe, tajemnice handlowe, dane osobowe);
• informacje w otwartym dostępie;
• informacje publiczne podane w określonych warunkach: Płatne informacje lub dane, do wykorzystania, które należy wykonać tolerancję, takie jak bilet biblioteczny;
• niebezpieczne, szkodliwe, fałszywe i inne rodzaje informacji, obrót i dystrybucja są ograniczone lub wymogi ustawodawstw lub standardów korporacyjnych.

Informacje z pierwszej grupy mają dwa tryby bezpieczeństwa. Tajemnica stanowaZgodnie z prawem są to informacje chronione przez państwo, którego wolna dystrybucja może spowodować uszkodzenie bezpieczeństwa kraju. Są to dane w dziedzinie wojskowej, polityki zagranicznej, inteligencji, kontroli i działalności gospodarczej państwa. Właściciel tej grupy danych jest bezpośrednio stanem. Władze upoważnione do podjęcia działań w celu ochrony tajemnic państwowych - Ministerstwo Obrony, Federal Security Service (FSB), Służba Wywiadu Zewnętrzna, Służba Federalna do kontroli technicznej i eksportu (FSTEC).

Poufna informacja - bardziej wielofunkcyjny obiekt regulacyjny. Lista informacji, które mogą być informacjami poufnych, jest zawarte w dekrecie prezydenta nr 188 "w sprawie zatwierdzenia listy poufnych informacji". Są to dane osobowe; tajemnica dochodzenia i postępowania sądowego; Tajemnica serwisowa; Profesjonalna tajemnica (medyczna, notarialna, prawnik); tajemnica handlowa; informacje o wynalazkach i użytecznych modelach; Informacje zawarte w sprawach osobistych skazanych, a także informacje o przymusowym wykonaniu aktów sądowych.

Dane osobowe istnieją w otwartym i w trybie poufnym. Otwarte i dostępne dla wszystkich użytkowników części danych osobowych obejmuje nazwisko, nazwisko, patronimy. Według FZ-152 "Na danych osobowych" jednostki danych osobowych są uprawnione:

• na temat samostanowienia informacji;
• uzyskać dostęp do danych osobowych i wprowadzania w nich zmian;
• na blokowaniu danych osobowych i dostępu do nich;
• odwołanie się od bezprawnych działań osób trzecich popełnionych w odniesieniu do danych osobowych;
• do rekompensaty za szkody.

Prawo do zapisania się w organach państwowych, przepisach federalnych, licencji na pracę z danymi osobowymi, co daje Rosekomnadzor lub FSTEC. Firmy, które zawodowo pracują z danymi osobowymi szerokiej gamy osób, takich jak operatory telekomunikacyjne, muszą być zawarte w rejestrze, Roskomnadzor prowadzi go.

Oddzielnym obiektem w teorii i praktyce IB jest media informacyjne, do którego dostępny jest otwarty i zamknięty. Opracowywając koncepcję IB, metody ochrony są wybierane w zależności od rodzaju mediów. Główne nośniki informacji:

• nośnik wydrukowanych i elektronicznych, sieci społecznościowych, inne zasoby w Internecie;
• pracownicy organizacji, którzy mają dostęp do informacji na podstawie ich przyjaznej, rodzinnej, zawodowych więzi;
• komunikacja oznacza, że \u200b\u200btransmisja lub zapisuje informacje: telefony, PBX, inne urządzenia telekomunikacyjne;
• dokumenty wszystkich typów: osobisty, urzędnik, państwo;
• oprogramowanie jako niezależny obiekt informacyjny, zwłaszcza jeśli jego wersja została udoskonalona specjalnie dla konkretnej firmy;
• elektroniczne media informacyjne, które przetwarzają dane automatyczne.

W celu opracowania koncepcji ochrony IB, narzędzia bezpieczeństwa są wykonywane w celu podziału na regulację (nieformalną) i techniczną (formalną).

Nieformalne środki ochrony to dokumenty, zasady, działania, formalne - są to specjalne środki techniczne i oprogramowanie. Wyróżnienie pomaga dystrybuować strefy odpowiedzialności przy tworzeniu systemów IB: z ogólnym wytycznym, personel administracyjny wdraża odpowiednio metody regulacyjne i specjalistów IT odpowiednio techniczne.

Podstawy bezpieczeństwa informacji obejmuje rozgraniczenie mocy nie tylko pod względem wykorzystania informacji, ale także pod względem pracy z ochroną. Takie rozgraniczenie mocy wymaga kilku poziomów kontroli.

Formalny sprzęt ochronny

Szeroka gama środków technicznych IB obejmuje:

Środki fizyczne. Są to mechanizmy mechaniczne, elektryczne, elektroniczne, które działają niezależnie od systemów informatycznych i tworzą przeszkody, aby uzyskać dostęp do nich. Zamki, w tym elektroniczne, ekrany, żaluzje mają na celu stworzenie przeszkód w kontakcie czynników destabilizujących z systemami. Grupa jest uzupełniana za pomocą systemów bezpieczeństwa, takich jak kamery, rejestratorów wideo, czujniki, które wykrywają ruch lub nadmiar stopnia promieniowania elektromagnetycznego w strefie lokalizacji środków technicznych usuwania informacji, urządzeń hipotecznych.

Ochrona sprzętu. Są to elektryczne, elektroniczne, optyczne, laserowe i inne urządzenia, które są osadzone w systemach informacyjnych i telekomunikacyjnych. Przed wprowadzeniem sprzętu do systemów informatycznych konieczne jest upewnienie się na kompatybilność.

Oprogramowanie - Są to proste i systemowe, kompleksowe programy mające na celu rozwiązanie prywatnych i złożonych zadań związanych z świadczeniem IB. Przykładem kompleksowych rozwiązań jest: Pierwszy służy do zapobiegania wyciekom, reformacji informacji i przekierowania przepływów informacyjnych, drugi - zapewnić ochronę przed incydentami w dziedzinie bezpieczeństwa informacji. Oprogramowanie wymagające, aby moc urządzeń sprzętowych i podczas instalacji konieczne jest zapewnienie dodatkowych rezerw.

Możesz przetestować za darmo przez 30 dni. Przed zainstalowaniem inżynierów surchinform w audycie technicznym klienta.

DO konkretne fundusze Zabezpieczenia informacji obejmuje różne algorytmy kryptograficzne, które umożliwiają szyfrowanie informacji na dysku i przekierowywanie zewnętrznych kanałów komunikacyjnych. Konwersja informacyjna może wystąpić w metodach oprogramowania i sprzętu pracujących w systemach informacyjnych korporacyjnych.

Wszystkie fundusze gwarantujące bezpieczeństwo informacji powinny być stosowane razem po wstępnej ocenie wartości informacji i porównując go z kosztami zasobów wydanych na strażnik. Dlatego sugestie dotyczące korzystania z funduszy powinny być sformułowane już w fazie rozwoju systemu, a zatwierdzenie należy dokonać na poziomie poziomu zarządzania, który jest odpowiedzialny za zatwierdzanie budżetów.

W celu zapewnienia bezpieczeństwa konieczne jest monitorowanie wszystkich nowoczesnych zmian, ochrony oprogramowania i sprzętu, zagrożeń i terminowe wprowadzać zmiany w ich nieautoryzowanych systemach dostępowych. Tylko adekwatność i wydajność odpowiedzi na zagrożenie pomogą osiągnąć wysoki poziom poufności w pracy Spółki.

W 2018 r. Opublikowano pierwsze wydanie. Ten unikalny program to psychologiczne portrety pracowników i dystrybuuje je grupami ryzyka. Takie podejście do świadczenia bezpieczeństwa informacyjnego pozwala przewidywać możliwe incydenty i podjąć środki z wyprzedzeniem.

Nieformalny sprzęt ochronny

Nieformalne środki ochrony są pogrupowane w regulacyjne, administracyjne i moralne i etyczne. Na pierwszym poziomie ochrony istnieją przepisy dotyczące bezpieczeństwa informacji jako proces działalności organizacji.

• Przepisy prawne

W praktyce światowej, podczas opracowywania funduszy regulacyjnych, koncentrując się na standardach ochrony IB, głównym ISO / IEC 27000. Standard stworzył dwie organizacje:

• ISO - Międzynarodowa Komisja Standardizacji, która rozwija się i zatwierdza większość uznanych międzynarodowych metod certyfikacji jakości procesów produkcyjnych i zarządzających;
• IEC - Międzynarodowa Komisja Energetyczna, która wprowadziła zrozumienie systemów IB, funduszy i metod, aby zapewnić

Obecna wersja ISO / IEC 27000-2016 oferuje gotowe standardy i przetestowane techniki potrzebne do wdrożenia IB. Według autorów metodologii, podstawą bezpieczeństwa informacji jest systematyczna i konsekwentna realizacja wszystkich etapów od rozwoju przed kontrolą.

Aby uzyskać certyfikat potwierdzający zgodność ze standardami bezpieczeństwa informacji, konieczne jest wdrożenie wszystkich zalecanych technik w całości. Jeśli nie ma potrzeby otrzymywania certyfikatu, jako podstawy do rozwoju własnych systemów IB, może przyjmować dowolną z wcześniejszych wersji standardu, począwszy od ISO / IEC 27000-2002 lub rosyjskich gości, którzy mają Zalecana natura.

Zgodnie z wynikami badania standardu opracowywane są dwa dokumenty, które odnoszą się do bezpieczeństwa informacji. Główny, ale mniej formalny jest koncepcją IB Enterprise, który określa środki i metody wdrażania systemu IB dla systemów informatycznych organizacji. Drugi dokument, który jest zobowiązany do wykonania wszystkich pracowników Spółki, jest rozporządzenie w sprawie bezpieczeństwa informacji, zatwierdzonych na poziomie Rady Dyrektorów lub organu wykonawczego.

Oprócz sytuacji na poziomie Spółki, listy informacji stanowiących tajemnice handlowe, załączniki do umów pracy, zakrywa odpowiedzialność za ujawnienie poufnych danych, innych standardów i technik. Wewnętrzne normy i zasady powinny zawierać mechanizmy wdrażania i obowiązki. Najczęściej mierzy są dyscyplinarne, a gwałcicielka powinna być gotowa na fakt, że będą istotne sankcje na temat naruszenia reżimu tajemnicy handlowej, aż do zwolnienia.

• Środki organizacyjne i administracyjne

W ramach działań administracyjnych dotyczących ochrony IB dla pracowników służby bezpieczeństwa jest przestrzeń kreatywności. Jest to rozwiązania architektoniczne i planujące, które umożliwiają ochronę pokoi negocjacyjnych i podręczników z słuchania i ustanawianie różnych poziomów dostępu do informacji. Ważne środki organizacyjne będą certyfikowane przez działalność Spółki w sprawie ISO / IEC 27000, certyfikacji poszczególnych kompleksów sprzętu i oprogramowania, certyfikacji przedmiotów i przedmiotów do przestrzegania niezbędnych wymogów bezpieczeństwa, uzyskanie pozwoleń wymaganych do pracy z chronionymi tablicami informacji.

Z punktu widzenia regulacji działań personalnych, ważne będzie zaprojektowanie systemu wniosków o dostęp do Internetu, zewnętrznego e-maila, innych zasobów. Oddzielnym elementem będzie uzyskanie elektronicznego podpisu cyfrowego w celu zwiększenia bezpieczeństwa informacji finansowych i innych informacji, które są przekazywane władzom państwowym nad kanałami pocztowymi.

• Środki moralne i etyczne

Środki moralne i etyczne określają osobistą postawę osoby do informacji poufnych lub informacji ograniczonych w obrocie. Poprawa poziomu wiedzy pracowników dotyczących wpływu zagrożeń dla działalności Spółki wpływa na stopień świadomości i odpowiedzialności pracowników. Aby poradzić sobie z naruszeniem trybu informacyjnego, w tym na przykład transmisji haseł, niedbałych przewoźników, rozpowszechnianie poufnych danych w prywatnych rozmowach, musi skupić się na osobistej świadomości pracownika. Przydatne będzie ustanowienie wskaźników wydajności wydajności, które będą zależały od relacji z systemem korporacyjnym IB.

Szybko rozwijająca się technologia informacyjna komputera wprowadza zauważalne zmiany w naszym życiu. Informacje stały się towarami, które można kupić, sprzedawać, wymianę. Jednocześnie koszt informacji jest często setkami razy większy niż koszt systemu komputerowego, w którym jest przechowywany.

Zakres bezpieczeństwa technologii informatycznych zależy obecnie dobre samopoczucie, a czasami życie wielu ludzi. Taka jest opłata za komplikację i powszechna dystrybucja zautomatyzowanych systemów przetwarzania informacji.

Pod bezpieczeństwo informacji Rozumie się jako bezpieczeństwo systemu informacyjnego z losowej lub celowej interwencji, uszkodzenia właścicieli lub użytkowników informacji.

W praktyce najważniejsze są trzy aspekty bezpieczeństwa informacji:

• dostępność (Szansa na rozsądny czas na uzyskanie wymaganej usługi informacyjnej);
• integralność (trafność i spójność informacji, jego chroniony przed zniszczeniem i nieautoryzowaną zmianą);
• poufność (ochrona przed nieuprawnionym odczytem).

Zaburzenia dostępności, uczciwości i poufności informacji mogą być spowodowane przez różne niebezpieczne skutki w systemach komputerowych informacyjnych.

Główne zagrożenia bezpieczeństwa informacji

Nowoczesny system informacyjny jest złożonym systemem składającym się z dużej liczby składników różnorodnych stopni autonomii, które są połączone i wymieniane dane. Prawie każdy składnik może być narażony na działanie zewnętrzne lub niepowodzenie. Składniki automatycznego systemu informacyjnego można podzielić na następujące grupy:

• sprzęt komputerowy - komputery i ich elementy (procesory, monitory, terminale, urządzenia peryferyjne - napędy, drukarki, sterowniki, kable, linie komunikacyjne itp.);
• oprogramowanie - nabyte programy, źródło, obiekt, moduły ładujące; Systemy operacyjne i programy systemowe (kompilatory, łączniki itp.), Narzędzia, programy diagnostyczne itp.;
• dane - przechowywane tymczasowe i stale, na mediach magnetycznych, drukowanych, archiwach, dziennikach systemowych itp.;
• personel - Personel serwisowy i użytkownicy.

Niebezpieczne skutki na komputerowym systemie informacyjnym można podzielić na losowe i celowe. Analiza doświadczeń projektowania, produkcji i obsługi systemów informatycznych pokazuje, że informacje są poddawane różnym losowym skutkom na wszystkich etapach cyklu życia. Powody przypadkowe wpływy Podczas pracy może być:

• sytuacje awaryjne ze względu na klęski żywiołowe i przestoje energetyczne;
• awarie i awarie;
• błędy w oprogramowaniu;
• błędy w pracy pracowniczej;
• zakłócenia w linii komunikacyjnych ze względu na działanie środowiska zewnętrznego.

Celowe efekty - Są to ukierunkowane działania intruza. Pracownik, odwiedzający, zawodnik, najemnik może działać jako gwałciciel. Działania z tytułu utraty wartości mogą wynikać z różnych motywów:

• niezadowolenie służące kariery;
• przekupić;
• ciekawość;
• walka konkurencyjna;
• pragnienie stwierdzenia na wszelkie koszty.

Możesz dokonać hipotetycznego modelu potencjalnego intruza:

• kwalifikacje przemocy na poziomie rozwoju tego systemu;
• violator może być zarówno twarz outsider, jak i prawny system użytkownika;
• violatorem jest znane informacje na temat zasad systemu;
• violator wybiera najsłabsze link w obronie.

Najczęstszym i różnorodnym rodzajem zaburzeń komputerowych jest nieautoryzowany dostęp (NSD). NSD wykorzystuje dowolny błąd w systemie ochronnym i jest możliwe z irracjonalnym wyborem narzędzi ochronnych, ich nieprawidłową instalację i konfigurację.

Klasyfikujemy kanały NSD, dla których można dokonać kradzieży, zmiany lub zniszczenia informacji:

• Przez człowieka:
  • kradzież mediów;
  • czytanie informacji z ekranu lub klawiatury;
  • czytanie informacji z wydruku.
• Dzięki programowi:
  • przechwytywanie hasła;
  • dekwilowanie zaszyfrowane informacje;
  • kopiowanie informacji z mediów.
• Przez sprzęt:
  • podłączanie specjalnie zaprojektowanego sprzętu, zapewniający dostęp do informacji;
  • przechwytywanie bocznych emisji elektromagnetycznych z urządzeń, linii komunikacyjnych, sieci energetycznych itp.

Należy szczególnie podkreślić zagrożenia, które mogą być narażone na sieci komputerowe. Główną cechą dowolnej sieci komputerowej jest to, że jego składniki są dystrybuowane w przestrzeni. Połączenie między węzłami sieciowymi fizycznie przy użyciu linii sieciowych i oprogramowania za pomocą mechanizmu przesyłania wiadomości. W tym przypadku komunikaty sterujące i dane wysyłane między węzłami sieciowymi są przesyłane w postaci pakietów wymiany. Sieci komputerowe są charakterystyczne dla faktu, że tzw zdalne ataki. Lekarator może mieć tysiące kilometrów od atakowanego obiektu, a atak może nie tylko podlegać konkretnym komputerze, ale także przekazywane przez kanały komunikacji sieciowej.

Zapewnienie bezpieczeństwa informacji.

Tworzenie trybu bezpieczeństwa informacji jest złożony problem. Środki do rozwiązania można podzielić na pięć poziomów:

1. legislacyjne (prawa, akty regulacyjne, normy itp.);
2. moralne i etyczne (wszelkiego rodzaju normy behawioralne, niezgodność, z którymi prowadzi do upadku prestiżu danej osoby lub całej organizacji);
3. administracyjne (ogólne działania podjęte przez kierownictwo organizacji);
4. fizyczne (przeszkody mechaniczne, elektryczne i elektronowe na możliwych ścieżkach penetracji potencjalnych intruzów);
5. sprzęt i oprogramowanie (urządzenia elektroniczne i specjalne programy ochrony informacji).

Ujednolicona całość wszystkich tych środków mających na celu przeciwdziałanie zagrożeniom bezpieczeństwa, aby zminimalizować możliwość uszkodzenia formy system ochrony.

Niezawodny system ochrony musi być zgodny z następującymi zasadami:

• Koszt ochrony musi być mniejszy niż wielkość możliwych uszkodzeń.
• Każdy użytkownik musi mieć minimalny zestaw przywilejów wymaganych do pracy.
• Ochrona jest tym bardziej skuteczna, tym bardziej prostsza do współpracy z nim.
• Możliwość rozłączenia się w przypadkach nadzwyczajnych.
• Specjaliści związani z systemem ochrony powinni w pełni wyobrazić zasady jego funkcjonowania oraz w przypadku trudnych sytuacji, odpowiednio na nich odpowiedź.
• W obronie powinno być cały system do przetwarzania informacji.
• Deweloperzy systemu ochrony nie powinno być wśród tych, których ten system będzie kontrolować.
• System ochrony powinien dostarczyć dowodów na poprawność swojej pracy.
• Osoby zaangażowane w bezpieczeństwo informacji powinny ponosić odpowiedzialność osobistą.
• Obiekty ochronne są wskazane do podzielenia się na grupy, tak aby zaburzenie ochronne w jednej z grup nie wpływa na bezpieczeństwo innych.
• Niezawodny system ochrony musi być w pełni przetestowany i uzgodniony.
• Ochrona staje się bardziej wydajna i elastyczna, jeśli pozwala na zmianę parametrów od administratora.
• System ochrony powinien być opracowywany na podstawie założenia, że \u200b\u200bużytkownicy będą popełnić poważne błędy, a na ogół mają najgorsze intencje.
• Najważniejsze i krytyczne rozwiązania powinny być wykonane przez osobę.
• Istnienie mechanizmów ochrony powinien być ukryty od użytkowników, których praca jest pod kontrolą.

Oprogramowanie do ochrony sprzętowej do ochrony informacji

Pomimo faktu, że nowoczesny system operacyjny dla komputerów osobistych, takich jak Windows 2000, Windows XP i Windows NT, mają własne podsystemy ochrony, istotne jest znaczenie tworzenia dodatkowych narzędzi ochronnych. Faktem jest, że większość systemów nie jest w stanie chronić danych poza ich ograniczenia, na przykład, z wymianą informacji sieciowych.

Sprzęt i oprogramowanie do ochrony informacji można podzielić na pięć grup:

1. Systemy identyfikacji (rozpoznawanie) i uwierzytelnianie (uwierzytelnianie) użytkownicy.
2. Systemy szyfrowania danych dysku.
3. Systemy szyfrowania danych przesyłane przez sieci.
4. Elektroniczne systemy uwierzytelniania danych.
5. Środki zarządzania klucze kryptograficzne.

1. Systemy identyfikacji użytkownika i uwierzytelniania

Używany do ograniczania dostępu losowych i nielegalnych użytkowników do zasobów systemowych komputerowych. Ogólny algorytmem pracy takich systemów jest uzyskanie informacji od użytkownika, który poświadcza swoją tożsamość, sprawdzają jego autentyczność, a następnie zapewnić (lub nie dostarczaj) temu użytkownikowi do pracy z systemem.

Podczas budowy tych systemów powstaje problem wyboru informacji, w oparciu o procedury identyfikacji i uwierzytelniania użytkownika. Wyróżnia się następujące typy:

• tajne informacje, które użytkownik ma (hasło, tajny klucz, identyfikator osobisty itp.); Użytkownik musi pamiętać, że można zastosować te informacje lub specjalne przechowywania;
• parametry fizjologiczne osoby (odciski palców, rysunek irys itp.) Lub funkcje behawioralne (funkcje klawiatury itp.).

Systemy oparte na pierwszym rodzaju informacji są rozpatrywane tradycyjny. Systemy przy użyciu drugiego rodzaju informacji są nazywane biometryczny. Należy odnotować pojawiające się tendencję do zaawansowanego rozwoju systemów identyfikacji biometrycznych.

2. Systemy szyfrowania danych

Aby uzyskać informacje bezużyteczne dla wroga, użyj zestawu metod konwersji danych, zwanych kryptografia [z greckiego. kryptos. - Ukryty I. grapho. - Pisanie].

Systemy szyfrowania mogą wykonywać transformacje danych kryptograficznych na poziomie pliku lub na poziomie płyty. Programy pierwszego typu obejmują archiwa typu ARJ i RAR, które umożliwiają korzystanie z metod kryptograficznych do ochrony plików historycznych. Przykładem systemu drugiego typu może służyć jako program szyfrowania Diskreet, który jest częścią popularnych pakietu oprogramowania Norton Utilities, najlepsza krypta.

Inną funkcją klasyfikacji systemów szyfrowania danych dysków jest metoda ich funkcjonowania. Według sposobu funkcjonowania systemu szyfrowania danych dysku są one podzielone na dwie klasy:

• systemy "przezroczystego" szyfrowania;
• systemy zwane specjalnie do szyfrowania.

W przejrzystych systemach szyfrowania (szyfrowanie "w locie") transformacje kryptograficzne są przeprowadzane w czasie rzeczywistym, niezauważone dla użytkownika. Na przykład, użytkownik zapisuje dokument przygotowany w edytorze tekstu do tarczy chronionej, a system ochrony podczas procesu nagrywania wykonuje swoje szyfrowanie.

Systemy drugiej klasy są zwykle narzędziami, które należy zweryfikować do szyfrowania. Obejmują one na przykład łuki ze zintegrowaną ochroną hasłem.

Większość systemów oferujących hasło do dokumentu nie szyfruje informacji, ale zapewnia tylko żądanie hasła podczas uzyskiwania dostępu do dokumentu. Takie systemy obejmują MS Office, 1C i wiele innych.

3. Systemy szyfrowania danych przesyłane przez sieci

Istnieją dwie podstawowe metody szyfrowania: szyfrowanie szyfrowania kanału i szyfrowanie terminala (subskrybent).

Gdy szyfrowanie kanału Wszystkie informacje przesyłane na kanale komunikacji są chronione, w tym usługę. Ta metoda szyfrowania ma następującą przewagę - procedury szyfrowania osadzania na poziomie kanału pozwala na używanie sprzętu, co pomaga zwiększyć wydajność systemu. Jednak to podejście ma znaczące wady:

• szyfrowanie kodu opcji komplikuje mechanizm routingu pakietu sieciowego i wymaga danych odszyfrowywania w pośrednich urządzeniach komunikacyjnych (bramy, repeaterów itp.);
• oficjalne szyfrowanie może prowadzić do pojawienia się wzorców statystycznych w zaszyfrowanych danych, co wpływa na wiarygodność ochrony i nakłada ograniczenia dotyczące stosowania algorytmów kryptograficznych.

Szyfrowanie terminu (subskrybenta) Umożliwia zapewnienie poufności danych przekazywanych między dwoma abonentami. W tym przypadku chroniona jest tylko treść wiadomości, wszystkie informacje o usługach pozostają otwarte. Wadą jest możliwość analizowania informacji na temat struktury przesyłania wiadomości, na przykład nadawcy i odbiorcy, o czasie i warunkach transferu danych, a także ilość przesyłanych danych.

4. Systemy uwierzytelniania danych e-mail

Wymieniając dane w sieciach, problem uwierzytelniania autora i samego dokumentu pojawia się, tj. Uwierzytelnienie autora i weryfikuje brak zmian w otrzymanym dokumencie. Aby uwierzytelnić dane, użyj Kodeksu Uwierzytelniania wiadomości (Imitaving) lub podpisu elektronicznego.

Imitovstavka. Jest generowany z otwartych danych za pomocą specjalnej konwersji szyfrowania za pomocą tajnego klucza i jest przesyłany przez kanał komunikacyjny na końcu zaszyfrowanych danych. Symulator jest sprawdzany przez odbiorcę, który jest właścicielem tajnego klucza, powtarzając procedurę przeprowadzoną wcześniej przez nadawcę nad otrzymanymi danymi.

Elektroniczny podpis cyfrowy Jest stosunkowo niewielką ilością dodatkowych uwierzytelniających informacji przesyłanych z tekstem. Nadawca tworzy podpis cyfrowy za pomocą tajnego klucza nadawcy. Odbiorca sprawdza podpis za pomocą klucza publicznego nadawcy.

Zatem zasady szyfrowania symetrycznego są wykorzystywane do wdrożenia szyfrowania Simmetrycznego oraz wdrożenie podpisu elektronicznego - asymetryczny. Więcej szczegółów, te dwa systemy szyfrowania będą badane później.

5. Narzędzia do zarządzania klucze kryptograficzne

Bezpieczeństwo dowolnego kryptosystemu jest określone przez używane klucze kryptograficzne. W przypadku zarządu niewiarygodnych kluczy, atakujący może przejąć kluczowe informacje i uzyskać pełny dostęp do wszystkich informacji w systemie lub sieci.

Wyróżnia się następujące typy funkcji zarządzania kluczami: generacja, przechowywanie i rozkład kluczy.

Metody wytwarzanie kluczy Dla symetrycznych i asymetrycznych kryptosystemów są różne. Aby wygenerować kluczowe symetryczne kryptosystemy, wytwarzanie sprzętu i oprogramowania wygenerowania liczb losowych. Wytwarzanie kluczy do asymetrycznych kryptosystemów jest bardziej złożone, ponieważ klucze muszą mieć pewne właściwości matematyczne. Przeczytaj więcej na ten temat podczas badania symetrycznych i asymetrycznych kryptosystemów.

Funkcjonować przechowywanie Zakłada, że \u200b\u200borganizacja bezpiecznego przechowywania, księgowości i usuwania kluczowych informacji. Aby zapewnić bezpieczne przechowywanie kluczy, ich szyfrowanie jest używane przy użyciu innych kluczy. Takie podejście prowadzi do koncepcji hierarchii kluczy. Kluczowa hierarchia zwykle zawiera klucz główny (I.E. Master Key), kluczowy klucz szyfrowania i klucz szyfrowania danych. Należy zauważyć, że generacja i przechowywanie klucza głównego jest krytycznym problemem ochrony kryptograficznej.

Dystrybucja - najbardziej odpowiedzialny proces w zarządzaniu kluczami. Proces ten powinien zagwarantować tajemnicę kluczy rozproszonych, a także działać i dokładny. Między klucze sieci użytkowników są dystrybuowane na dwa sposoby:

• przez bezpośrednie udostępnianie kluczy sesji;
• przy użyciu jednego lub więcej kluczowych centrów dystrybucyjnych.

Lista dokumentów

1. O tajemnicach państwowych. Prawo Federacji Rosyjskiej z dnia 21 lipca 1993 r. Nr 5485-1 (zmienione przez prawo federalne 6 października 1997 r. Nr 131-FZ).
2. Na informacje, informatyzacja i ochrona informacji. Prawo federalne Federacji Rosyjskiej w dniach 20 lutego 1995 r. Nr 24-FZ. Przyjęte przez Dumę Państwową 25 stycznia 1995 r.
3. W sprawie ochrony prawnej programów do elektronicznych maszyn i baz danych. Prawo Federacji Rosyjskiej 23 września 1992 r. Nr 3524-1.
4. O elektronicznym podpisie cyfrowym. Prawo federalne Federacji Rosyjskiej wobec 10 stycznia 2002 r. Nr 1-FZ.
5. O prawach autorskich i powiązanych prawach. Prawo Federacji Rosyjskiej z 9 lipca 1993 r. Nr 5351-1.
6. Na federalne organy rządowe i informacje. Prawo Federacji Rosyjskiej (zmienionej dekretem Prezesa Federacji Rosyjskiej w wysokości 24 grudnia 1993 r. 2288; Prawo federalne z 07.11.2000 nr 135-FZ.
7. Rozporządzenie w sprawie akredytacji laboratoriów badawczych i organów certyfikacji w celu ochrony informacji na temat ochrony informacji / Państwowej Komisji Technicznej pod Prezesem Federacji Rosyjskiej.
8. Instrukcje dotyczące procedury oznaczania certyfikatów zgodności, kopii i certyfikacji środków ochrony informacji / Państwowej Komisji Technicznej pod przewodniczącym Federacji Rosyjskiej.
9. Rozporządzenie w sprawie certyfikacji przedmiotów informatyzacji w zakresie bezpieczeństwa informacji / Państwowej Komisji Technicznej pod przewodniczącym Federacji Rosyjskiej.
10. Przepisy dotyczące certyfikacji ochrony informacji dla informacji na temat wymogów bezpieczeństwa informacji: z dodatkami zgodnie z dekretem rządu Federacji Rosyjskiej z dnia 26 czerwca 1995 r. Nr 608 "w sprawie certyfikacji środków na rzecz ochrony informacji" / państwo Komisja Techniczna Pod Prezesem Federacji Rosyjskiej.
11. Przepisy dotyczące licencjonowania państwowych informacji w dziedzinie ochrony informacji / Państwowej Komisji Technicznej pod przewodniczącym Federacji Rosyjskiej.
12. Zautomatyzowane systemy. Ochrona przed nieautoryzowanym dostępem do informacji. Klasyfikacja zautomatyzowanych systemów i wymogów ochrony informacji: Wytyczne / Państwowa Komisja Techniczna Pod Prezesem Federacji Rosyjskiej.
13. Koncepcja ochrony urządzeń komputerowych i zautomatyzowanych systemów z nieautoryzowanego dostępu do informacji: Wytyczne / Państwowa Komisja Techniczna Pod Prezesem Federacji Rosyjskiej.
14. Wyposażenie komputera. Ekrany firewater. Ochrona przed nieautoryzowanym dostępem do informacji. Wskaźniki ochrony przed nieautoryzowanym dostępem do informacji: Wytyczne / Państwowa Komisja Techniczna pod przewodniczącym Federacji Rosyjskiej.
15. Wyposażenie komputera. Ochrona przed nieautoryzowanym dostępem do informacji. Wskaźniki ochrony przed nieautoryzowanym dostępem do informacji: Wytyczne / Państwowa Komisja Techniczna pod przewodniczącym Federacji Rosyjskiej.
16. Ochrona informacji. Specjalne znaki ochronne. Klasyfikacja i ogólne wymagania: Wytyczne / Państwowa Komisja Techniczna Pod Prezesem Federacji Rosyjskiej.
17. Ochrona przed nieautoryzowanym dostępem do informacji. Warunki i definicje: Wytyczne / Państwowa Komisja Techniczna Pod Prezesem Federacji Rosyjskiej.

Historia powstania i rozwoju bezpieczeństwa informacji

Wraz z rozwojem komunikacji informacyjnej, aw konsekwencji, możliwość uszkodzenia informacji przechowywanych i jest przekazywana do ich pomocy, powstała bezpieczeństwo informacji (IB).

Głównym zadaniem IB przed 1816 r. Była ochrona różnego rodzaju informacji, która ma szczególne znaczenie dla przedmiotu (organizacja lub konkretna osoba).

Wprowadzenie i korzystanie z możliwości radiowych wykazało potrzebę zapewnienia ochrony komunikacji radiowej przed zakłóceniami, stosując zakodowanie odporne na hałas i dekodowanie sygnału. Później pojawiły się agencje radarowe i hydroakustyczne (1935), a które przewidziano poprzez wzrost ochrony środków radarowych ze skutków zakłóceń radiowo-elektronicznych.

Od 1946 r., Przy rozległym zastosowaniu w praktycznej aktywności elektronicznych maszyn obliczeniowych (komputerów), IB została osiągnięta, głównie ograniczając fizyczny dostęp do sprzętu, który zawierał lub przetworzył chronione informacje.

Od 1965 r. Rozwinęły się sieci lokalne, których bezpieczeństwo informacyjne osiągnęły głównie poprzez podawanie i zarządzając dostępem do zasobów sieciowych.

Z rozpoczęciem korzystania z urządzeń komunikacyjnych mobilnych, zagrożenie bezpieczeństwa informacji stało się znacznie poważniejsze i trudniejsze. Wziął rozwój nowych metod bezpieczeństwa, ponieważ sieci przesyłania danych bezprzewodowych były szeroko stosowane do przesyłania i przechowywania informacji. Pojawiły się hakerzy - społeczności ludzi, których celem była uszkodzenie IB różnych woluminów (od indywidualnych użytkowników do całych krajów). Od tego czasu zapewnienie bezpieczeństwa informacji staje się najważniejszym i obowiązkowym elementem bezpieczeństwa kraju.

Wraz z rozwojem globalnych sieci w celu rozwiązania zadania bezpieczeństwa informacji należy rozwiązać poprzez utworzenie makrosystemu bezpieczeństwa informacji o całej ludzkości. Przekładnia, przetwarzanie, przechowywanie informacji Obecnie występuje wyłącznie za pomocą systemów informatycznych. Global Sieci pozwalają rozwiązać ogromny zakres zadań obszarze komunikacyjnego (na przykład przez e-mail, telefony komórkowe), rozrywka (MP3, telewizja cyfrowa, gry), transport (silniki, nawigacja), handel (karty kredytowe, zakupy online), Medycyna (sprzęt, archiwa materiałów medycznych) itd.

Notatka 1.

W ten sposób zadania bezpieczeństwa informacji są w ochronie informacji przez wykrywanie, zapobiegaj i reagować na ataki.

Problemy z bezpieczeństwem informacji

Bezpieczeństwo informacji jest jednym z najważniejszych aspektów każdego poziomu bezpieczeństwa - krajowego, sektorowego, korporacyjnego lub osobistego.

Głównym problemem IB jest to, że jest to integralna część technologii informacyjnej.

Technologie programowania nie pozwalają na tworzenie programów bezbłędnych, które nie mogą zapewnić bezpieczeństwa informacji. Oznacza to, że istnieje potrzeba tworzenia niezawodnych systemów IB przy użyciu niewiarygodnych programów. Taka potrzeba wymaga zgodności z zasadami architektonicznymi i ochroną monitorowania podczas korzystania z IP. Również wraz z opracowaniem technologii informacyjnych i komunikacyjnych liczba ataków znacznie wzrosła ze stałym korzystaniem z sieci. Ale nie można go nazwać największym problemem bezpieczeństwa informacji, ponieważ znacznie ważniejsze problemy związane ze stałym wykrywaniem nowych wrażliwych miejsc w oprogramowaniu, a w wyniku pojawienia się nowych rodzajów ataków.

Deweloperzy absolutnie wszystkich odmian systemów operacyjnych pracuje nad zniszczeniem takich wrażliwych miejsc, ponieważ nowe błędy zaczynają być aktywnie stosowane przez intruzów.

Uwaga 2.

W takich przypadkach system IB powinien mieć środki opozycji do różnych ataków. Ataki mogą trwać jako sekundę podzieloną, a kilka godzin, powoli walcząc z wrażliwymi miejscami (w tym przypadku szkodliwe działanie jest prawie niezauważalne). Działania atakujących mogą mieć na celu naruszenie obu oddzielnych i wszystkich elementów IB - dostępności, uczciwości i poufności.

Skala konsekwencji naruszenia wykonywania oprogramowania i wsparcia technicznego IP można przedłożyć na kosztach rozwiązania "Problem-2000". Według jednego szacunków ekspertów, całkowita objętość globalnych inwestycji, która została wydana na przygotowanie do 2000 r., Wyniosła 300 miliardów dolarów, zgodnie z innymi danymi, kwota ta jest przecena.

Metody ochrony informacji

Następujące metody służą do zapewnienia bezpieczeństwa informacji w IP:

• pozwolić;
• kontrola dostępu;
• metody kryptograficzne;
• opozycja do ataków szkodliwych programów;
• rozporządzenie;
• przymus;
• ruch.

Rozważ każdy z nich bardziej szczegółowo.

Definicja 1.

Przeszkodą jest fizyczną blokadą ścieżki do informacji chronionych (wyposażenie techniczne, nośniki informacji itp.).

Kontrola dostępu - Metody ochrony informacji poprzez regulację korzystania z zasobów informatycznych i systemu informacyjnego. Kontrola dostępu musi utrudniać absolutnie wszystkie możliwe sposoby nieautoryzowanego dostępu do informacji chronionych.

Ochrona informacji przy użyciu kontroli dostępu za pośrednictwem:

• identyfikacja użytkowników i personelu (przypisanie osobistego identyfikatora);
• identyfikacja obiektu przez identyfikator;
• sprawdzanie autorytetu dostępu do informacji lub obiektu;
• rejestracja odwołań do informacji;
• odpowiedź (alarm, wyłączenie, opóźnienie pracy, odmowa w żądaniu itp.) Podczas próby nieautoryzowanych działań.

Metody ochrony kryptograficznej - szyfrowanie informacji. Metody szyfrowania są szeroko stosowane w przetwarzaniu i przechowywaniu informacji. Szczególnie wiarygodna metoda jest przy przekazywaniu informacji przez sieć.

Ochrona przed atakami złośliwym oprogramowaniem ma na celu zapewnienie kompleksu różnych metod organizacyjnych i stosowania programów antywirusowych, co powoduje zmniejszenie prawdopodobieństwa zakażenia IP, określające fakty infekcji systemu; Zmniejszenie lub zapobieganie skutkom infekcji informacji, zniszczenie wirusów; Późniejsze odzyskanie informacji.

Definicja 2.

Regulacja - Ograniczenie czasu pracy, ograniczony dostęp do informacji do informacji, ograniczenie dostępu w określonych dniach, godzinie, godzinę itp. Tworzenie takich warunków do pracy z chronionymi informacjami o normie i standardy ochrony będą przeprowadzane do największego stopnia.

Definicja 3.

Zachęta - metoda ochrony informacji, w której użytkownicy i pracownicy IP są zgodne z zasadami pracy z bezpieczeństwem pod zagrożeniem odpowiedzialnością (materialną, administracyjną lub karną).

Definicja 4.

Motywacja jest metodą, która zachęca (ze względu na zgodność z pojawiającymi się normami moralnymi i etycznymi) nie narusza ustalonych procedur.

Środki techniczne informacji o ochronie są podzielone na sprzęt i fizyczny.

Sprzęt obejmuje urządzenia, które są osadzone bezpośrednio do wyposażenia technicznego OD lub są z nim powiązane zgodnie ze standardowym interfejsem.

Wyposażenie fizyczne obejmują urządzenia inżynieryjne i struktury, które utrudniają penetrację fizyczną na obiekty ochronne i chronią personel, materiał, informacje i inne wartości (na przykład kraty, zamki, sejfy, systemy alarmowe itp.).

Szeroko stosowane narzędzia oprogramowania mające na celu ochronę informacji w OD. Obejmują one programy parkingowe, programy antywirusowe, programy ograniczenia dostępu, programy szyfrowania (kryptografia).

Fundusze organizacyjne zapewniają wydarzenia, które uniemożliwiają lub utrudniają ujawnienie, wyciek, nieautoryzowany dostęp do informacji na temat ram regulacyjnych.

Środki ustawodawcze regulują zasady pracy z informacjami i ustanawiają porządek odpowiedzialności za ich naruszenie. Środki ustawodawcze są określane przez akty prawne kraju.

Moralne i etyczne środki ochrony obejmują normy zachowania, które mogą być niepełne (na przykład uczciwość) lub ozdobione w formie zasad i przepisów. Z reguły nie są one zatwierdzone przez prawodawstwo, ale są uważane za obowiązkowe do wykonania. Przykładem takich zasad może być zestaw zasad komunikacji etycznej w sieci i tym podobne.