DZWONEK

Są tacy, którzy czytają te wiadomości przed tobą.
Subskrybuj, aby otrzymywać świeże artykuły.
E-mail
Imię
Nazwisko
Jak chcesz przeczytać Dzwon
Bez spamu

Klasyfikacja metod i środków ochrony informacji komputerowych. Narzędzia bezpieczeństwa informacji. Obiekty bezpieczeństwa informacji

Dzielić
Dzielić
Ćwierkać
Lubić
Lubić

5.2 Klasyfikacja bezpieczeństwa informacji

Ogólnie rzecz biorąc, sposoby ochrony informacji w zakresie zapobiegania celowym działaniom, w zależności od metody realizacji, można podzielić na grupy:

    Urządzenia techniczne (sprzętowe). Są to różnego rodzaju urządzenia (mechaniczne, elektromechaniczne, elektroniczne itp.), Które rozwiązują zadania ochrony informacji przez sprzęt. Utrudniają fizyczną penetrację lub, jeśli penetracja nadal miała miejsce, dostęp do informacji, w tym poprzez ich przebranie. Pierwszą część problemu rozwiązują zamki, kraty w oknach, alarmy bezpieczeństwa itp. Druga to wspomniane powyżej generatory hałasu, zabezpieczenia przeciwprzepięciowe, skanery radiowe i wiele innych urządzeń, które „blokują” potencjalne kanały wycieku informacji lub umożliwiają ich wykrycie. Zalety środków technicznych związane są z ich niezawodnością, niezależnością od czynników subiektywnych i wysoką odpornością na modyfikacje. Słabe strony - brak elastyczności, stosunkowo duża objętość i masa, wysoki koszt.

    Narzędzia programowe obejmują programy do identyfikacji użytkownika, kontroli dostępu, szyfrowania informacji, usuwania resztkowych (roboczych) informacji, takich jak pliki tymczasowe, kontrola testowa systemu bezpieczeństwa itp. Zalety narzędzi programowych obejmują wszechstronność, elastyczność, niezawodność, łatwość instalacji, możliwość modyfikacji i rozwoju. Wady - ograniczona funkcjonalność sieci, wykorzystanie części zasobów serwera plików i stacji roboczych, wysoka czułość losowe lub celowe zmiany, możliwa zależność od typów komputerów (ich sprzętu).

    Mieszany sprzęt i oprogramowanie realizują osobno te same funkcje co sprzęt i oprogramowanie i mają właściwości pośrednie.

    Narzędzia organizacyjne obejmują organizacyjne i techniczne (przygotowanie pomieszczeń z komputerami, okablowanie, z uwzględnieniem wymagań ograniczających dostęp do niego itp.) Oraz organizacyjne i prawne (krajowe przepisy ustawowe i wykonawcze ustanowione przez kierownictwo danego przedsiębiorstwa). Zaletami narzędzi organizacyjnych jest to, że pozwalają rozwiązać wiele różnorodnych problemów, są łatwe do wdrożenia, szybko reagują na niepożądane działania w sieci i mają nieograniczone możliwości modyfikacji i rozwoju. Wady - duża zależność od czynników subiektywnych, w tym ogólnej organizacji pracy w konkretnej jednostce.

Szyfrowanie danych jest rodzajem oprogramowania do ochrony informacji i ma szczególne znaczenie w praktyce jako jedyne niezawodna ochrona informacje przekazywane przez długie linie szeregowe z wycieku.

Pojęcie „szyfrowania” jest często stosowane w połączeniu z większą liczbą ogólna koncepcja kryptografia. Kryptografia obejmuje metody i środki zapewniające poufność informacji (w tym poprzez szyfrowanie) i uwierzytelnianie.

Poufność - bezpieczeństwo informacji przed zapoznaniem się z ich treścią przez osoby, które nie mają prawa dostępu do nich. Z kolei uwierzytelnianie to ustalenie autentyczności różnych aspektów interakcji informacji: sesji komunikacyjnej, stron (identyfikacja), treści (ochrona bezpieczeństwa) i źródła (autorstwo poprzez podpis cyfrowy).

Wszystkie środki zaradcze można podzielić na dwie grupy - formalną i nieformalną. Narzędzia formalne obejmują te, które pełnią funkcje formalnej ochrony informacji, to znaczy głównie bez interwencji człowieka. Środki nieformalne obejmują fundusze oparte na celowej działalności ludzi. Formalne narzędzia są podzielone na techniczne (fizyczne, sprzętowe) i oprogramowanie.

Techniczne środki ochrony to środki, w których główny funkcja ochronna Jest realizowany przez niektóre urządzenia techniczne (złożone, systemowe).

Niewątpliwymi zaletami środków technicznych są szeroki zakres zadań, raczej wysoka niezawodność, zdolność do tworzenia rozwiniętych zintegrowanych systemów ochrony, elastyczna reakcja na próby nieautoryzowanych działań, tradycyjne metody stosowane do wykonywania funkcji ochronnych.

Główne wady to wysoki koszt wielu funduszy, potrzeba regularnych zaplanowanych prac i kontroli, możliwość fałszywych alarmów.

Wygodnie jest przeprowadzać systematyczną klasyfikację technicznych środków ochrony zgodnie z następującym zestawem wskaźników:

  • 1) cel funkcjonalny, czyli główne zadania ochrony obiektu, które można rozwiązać za pomocą ich zastosowania;
  • 2) sprzężenie wyposażenia ochronnego z innymi środkami urządzenia do przetwarzania informacji (OOI);
  • 3) złożoność wyposażenia ochronnego i jego praktyczne zastosowanie;
  • 4) rodzaj wyposażenia ochronnego, ze wskazaniem zasad działania jego elementów;
  • 5) koszt nabycia, instalacji i eksploatacji.

W zależności od celu i miejsca zastosowania, wykonywanych funkcji i wykonalności fizycznej środki techniczne można warunkowo podzielić na fizyczne i sprzętowe:

Środki fizyczne - mechaniczne, elektryczne, elektromechaniczne, elektroniczne, elektroniczno-mechaniczne i podobne urządzenia i systemy, które działają autonomicznie, tworząc różnego rodzaju przeszkody dla czynników destabilizujących.

  • 1. ochrona zewnętrzna - ochrona przed wpływem czynników destabilizujących, które występują poza środkami trwałymi obiektu (fizyczna izolacja konstrukcji, w których instalowane są urządzenia systemu automatycznego od innych konstrukcji);
  • 2. ochrona wewnętrzna - ochrona przed wpływem czynników destabilizujących, które przejawiają się bezpośrednio w przetwarzaniu informacji (ogrodzenie terytorium centrów komputerowych ogrodzeniem w odległościach wystarczających do wykluczenia skutecznej rejestracji promieniowania elektromagnetycznego i organizowania systematycznego monitorowania tych terytoriów);
  • 3. Identyfikacja - określona grupa narzędzi służących do identyfikacji osób i identyfikacji środków technicznych według różnych indywidualnych cech (organizacja punktów kontrolnych przy wejściach do pomieszczeń centrów komputerowych lub wyposażone drzwi wejściowe ze specjalnymi zamkami, które pozwalają kontrolować dostęp do pomieszczeń).

Sprzęt - różne urządzenia elektroniczne, elektroniczno-mechaniczne i podobne, które są zintegrowane ze sprzętem systemu przetwarzania danych lub połączone z nim specjalnie w celu rozwiązywania problemów związanych z bezpieczeństwem informacji. Na przykład generatory hałasu służą do ochrony przed wyciekiem przez kanały techniczne.

  • 1. neutralizacja technicznych kanałów wycieku informacji (TKUI) pełni funkcję ochrony informacji przed wyciekiem przez kanały techniczne;
  • 2. wyszukiwanie urządzeń wbudowanych - ochrona przed wykorzystaniem przez osobę atakującą urządzeń wbudowanych do usuwania informacji;
  • 3 maskowanie sygnału zawierającego informacje poufne - ochrona informacji przed wykryciem jej nośników (metody skrótowe) i ochrona zawartości informacji przed ujawnieniem (metody kryptograficzne).

Specjalną i najbardziej rozpowszechnioną grupą sprzętowych urządzeń zabezpieczających są urządzenia do szyfrowania informacji (metody kryptograficzne).

Oprogramowanie - specjalne pakiety oprogramowania lub poszczególne programy zawarte w kompozycji oprogramowanie zautomatyzowane systemy w celu rozwiązania problemów związanych z bezpieczeństwem informacji. Mogą to być różne programy do konwersji danych kryptograficznych, kontroli dostępu, ochrony przed wirusami itp. Ochrona oprogramowania jest najczęstszym rodzajem ochrony, którą ułatwiają takie pozytywne właściwości to narzędzietakich jak uniwersalność, elastyczność, łatwość wdrożenia, prawie nieograniczone możliwości zmian i rozwoju itp. Ze względu na cel funkcjonalny można je podzielić na następujące grupy:

  • 1. identyfikacja sprzętu (terminali, grupowych urządzeń sterujących We / Wy, komputerów, nośników pamięci), zadań i użytkowników,
  • 2. określenie praw do środków technicznych (dni i czas pracy, z których można korzystać z zadania) oraz użytkowników,
  • 3. kontrola działania środków technicznych i użytkowników,
  • 4. rejestracja pracy środków technicznych i użytkowników w przetwarzaniu informacji o ograniczonym użytkowaniu,
  • 5. zniszczenie informacji w pamięci po użyciu,
  • 6. alarmy podczas nieautoryzowanych działań,
  • 7. programy pomocnicze do różnych celów: monitorowanie działania mechanizmu ochronnego, umieszczanie pieczęci tajności na wydanych dokumentach.

Środki nieformalne dzielą się na organizacyjne, legislacyjne i moralno-etyczne.

Środki organizacyjne - środki organizacyjne i techniczne specjalnie przewidziane w technologii funkcjonowania obiektu w celu rozwiązania zadań ochrony informacji, realizowane w formie celowych działań ludzi.

Działania organizacyjne odgrywają dużą rolę w tworzeniu niezawodnego mechanizmu ochrony informacji. Powodem, dla którego działania organizacyjne odgrywają coraz większą rolę w mechanizmie ochrony jest to, że możliwość nieuprawnionego wykorzystania informacji jest w dużej mierze determinowana przez aspekty nietechniczne: złośliwe działania, zaniedbania lub zaniedbania użytkowników lub personelu systemów przetwarzania danych. Wpływ tych aspektów jest prawie niemożliwy do uniknięcia lub lokalizacji przy użyciu narzędzi sprzętowych i programowych oraz omówionych powyżej fizycznych środków ochrony. Wymaga to połączenia środków organizacyjnych, organizacyjnych, technicznych i prawnych, co wykluczałoby w ten sposób ryzyko wycieku informacji.

Główne działania są następujące:

wymagany

  • 1) Działalność związana z projektowaniem, budową i wyposażeniem centrów komputerowych.
  • 2) Działania prowadzone w zakresie selekcji i szkolenia personelu centrum komputerowego (weryfikacja zatrudnienia, tworzenie warunków, w których personel nie chciałby stracić pracy, zapoznanie się ze środkami odpowiedzialności za naruszenie zasad ochrony).
  • 3) Organizacja niezawodnej kontroli dostępu.
  • 4) Kontrola zmian w matematyce i oprogramowaniu.
  • 5) Zapoznanie wszystkich pracowników z zasadami bezpieczeństwa informacji oraz zasadami działania urządzeń do przechowywania i przetwarzania informacji. Wyobrażając sobie, przynajmniej na poziomie jakościowym, co dzieje się podczas niektórych operacji, pracownik uniknie oczywistych błędów.
  • 6) Jasna klasyfikacja wszystkich informacji według stopnia ich poufności i wprowadzenie zasad postępowania z dokumentami o ograniczonej dystrybucji.
  • 7) Zobowiązać pracowników do przestrzegania wymogów ochrony informacji, popartych odpowiednimi środkami organizacyjnymi i dyscyplinarnymi.

Pożądany

  • 1) Zmusić wszystkich pracowników do studiowania nowoczesnych środków ochrony informacji i wystawić im ocenę.
  • 2) Poproś specjalistę, który jest profesjonalnie zaznajomiony z problemami bezpieczeństwa informacji.
  • 3) Nie używaj oprogramowania w pracy, w przypadku której nie ma wyraźnej pewności, że nie wykonuje on nieautoryzowanych działań z przetwarzanymi informacjami, takich jak nieuprawnione tworzenie kopii, zbieranie informacji o komputerze, wysyłanie informacji przez producenta oprogramowania.
  • 4) Kup certyfikowane narzędzia bezpieczeństwa informacji.
  • 5) Zabrania pracownikom (z wyjątkiem autoryzowanych specjalistów) instalowania nowego oprogramowania. Po otrzymaniu plików wykonywalnych pocztą elektroniczną usuń je bez zrozumienia.

Dodatkowy

  • 1) Opracuj kompleksową strategię bezpieczeństwa informacji w swoim przedsiębiorstwie. Lepiej przekazać takie zadanie zewnętrznym specjalistom.
  • 2) Przeprowadź „test” istniejących narzędzi bezpieczeństwa informacji, instruując zewnętrznego specjalistę, aby przetestował twoje bezpieczeństwo pod kątem siły.

Jednym z najważniejszych środków organizacyjnych jest utrzymanie w centrum komputerowym specjalnej pełnoetatowej usługi ochrony informacji, której liczba i skład zapewniłyby stworzenie niezawodnego systemu bezpieczeństwa i jego regularne działanie.

Środki legislacyjne - istniejące w kraju lub specjalnie wydane normatywne akty prawne, za pomocą których ustalane są prawa i obowiązki związane z zapewnieniem ochrony informacji wszystkich osób i jednostek związanych z funkcjonowaniem systemu, a także odpowiedzialność za naruszenie zasad przetwarzania informacji, w wyniku czego co może stanowić naruszenie bezpieczeństwa informacji.

Standardy moralne i etyczne - ustanowione standardy moralne lub zasady etyczne w społeczeństwie lub w danym zbiorowisku, których przestrzeganie przyczynia się do ochrony informacji, a ich łamanie sprowadza się do nieprzestrzegania zasad postępowania w społeczeństwie lub zbiorowości.

Moralne i moralne sposoby ochrony informacji wymagają przede wszystkim edukacji pracownika, który może zachować tajemnicę, to znaczy wykonywania specjalnej pracy mającej na celu ukształtowanie jego systemu określonych cech, poglądów i przekonań (patriotyzm, zrozumienie znaczenia i użyteczności ochrony informacji i dla niego osobiście) oraz szkolenie pracownika, który jest świadomy informacji stanowiących chroniony sekret, zasad i metod ochrony informacji, wpajając mu umiejętności pracy z przewoźnikami informacji tajnych i poufnych.

Głównymi metodami organizacyjnymi i technicznymi stosowanymi do ochrony tajemnic państwowych są: ukrywanie, rankingowanie, niszczenie, księgowość, dezinformacja, środki moralne, kodowanie i szyfrowanie.

Ukrywanie jako metoda ochrony informacji leży u podstaw praktycznego wdrożenia jednej z głównych zasad organizacyjnych ochrony informacji - maksymalnego ograniczenia liczby osób, które mogą być utrzymywane w tajemnicy. Wdrożenie tej metody zwykle osiąga się poprzez:

  • 1. informacje niejawne, tj. przypisując je tajnym lub poufnym informacjom o różnym stopniu tajności i ograniczając dostęp do tych informacji w związku z ich znaczeniem dla właściciela, co przejawia się w pieczęci tajności umieszczonej na nośniku informacji;
  • 2. eliminacja lub osłabienie technicznych demaskowania znaków przedmiotów ochrony oraz technicznych kanałów wycieku informacji o nich.

Ukrywanie jest jedną z najczęstszych i najczęściej stosowanych metod ochrony informacji.

Ranking jako metoda ochrony informacji obejmuje, po pierwsze, dzielenie poufnych informacji przez stopień poufności, a po drugie, regulowanie dostępu i ograniczanie dostępu do chronionych informacji: przyznanie indywidualnych praw poszczególnym użytkownikom do dostępu do określonych potrzebnych im informacji i wykonywania określonych operacji.

Ranking jako metoda ochrony informacji jest szczególnym przypadkiem metody ukrywania: użytkownik nie może uzyskać informacji, że nie musi wykonywać swoich oficjalnych funkcji, a zatem informacje te są ukryte przed nim i wszystkimi innymi (nieupoważnionymi) osobami.

Dezinformacja jest jedną z metod ochrony informacji, która polega na rozpowszechnianiu świadomie fałszywych informacji dotyczących prawdziwego celu niektórych przedmiotów i produktów, faktycznego stanu niektórych obszarów działalności państwa.

Dezinformacja jest zwykle przeprowadzana przez rozpowszechnianie fałszywych informacji różnymi kanałami, naśladowanie lub zniekształcanie znaków i właściwości poszczególnych elementów przedmiotów ochrony, tworzenie fałszywych przedmiotów, ich wygląd lub manifestacja podobnych do obiektów będących przedmiotem zainteresowania przeciwnika itp.

Fragmentacja (podział) informacji na części pod warunkiem, że znajomość dowolnej części informacji (na przykład znajomość jednej operacji technologii produkcji produktu) nie pozwala na przywrócenie całego obrazu, całej technologii jako całości.

Jest szeroko stosowany w produkcji środków: broni i sprzętu wojskowego, a także w produkcji towarów konsumpcyjnych.

Rachunkowość (audyt) jest również jedną z najważniejszych metod ochrony informacji, zapewniającą możliwość otrzymywania w dowolnym czasie danych na dowolnym nośniku informacji chronionych, liczby i lokalizacji wszystkich nośników informacji niejawnych, a także danych dotyczących wszystkich użytkowników tych informacji. Bez uwzględnienia rozwiązywanie problemów byłoby niemożliwe, zwłaszcza gdy liczba przewoźników przekracza pewną minimalną objętość.

Kodowanie to metoda ochrony informacji mająca na celu ukrycie treści chronionych informacji przed naruszającym i polegająca na konwersji zwykłego tekstu przy użyciu kodów warunkowych przy przesyłaniu informacji kanałami komunikacyjnymi, wysyłaniu pisemnej wiadomości, gdy istnieje ryzyko, że wpadnie ona w niepowołane ręce, oraz podczas przetwarzania i przechowywania informacji w urządzeniach komputerowych (CBT).

Zwykle do kodowania używana jest kombinacja znaków (symboli, liczb itp.) I system pewnych reguł, za pomocą których informacje mogą być konwertowane (kodowane) w taki sposób, że można je odczytać tylko wtedy, gdy użytkownik ma odpowiedni klucz (kod) do jego odkodowania .

Szyfrowanie to metoda ochrony informacji, która jest stosowana częściej podczas przesyłania wiadomości za pomocą różnych urządzeń radiowych, wysyłania wiadomości pisemnych oraz w innych przypadkach, w których istnieje niebezpieczeństwo przechwycenia tych wiadomości. Szyfrowanie polega na przekształceniu otwartej informacji w formę, która wyklucza zrozumienie jej zawartości, jeśli przechwytujący nie ma informacji (klucza) do ujawnienia szyfru.

Znajomość możliwości tych metod pozwala na aktywne i kompleksowe stosowanie ich przy rozważaniu i stosowaniu środków prawnych, organizacyjnych i inżynieryjnych w celu ochrony informacji niejawnych.

  • Proces edukacyjny w IT

    • W pierwszej części „Podstawy bezpieczeństwo informacji»Sprawdziliśmy o. Abyśmy mogli wybrać narzędzia do ochrony informacji, musimy bardziej szczegółowo rozważyć, co można przypisać pojęciu informacji.

    Informacje i ich klasyfikacja

    Istnieje wiele definicji i klasyfikacji „informacji”. Najbardziej zwięzłą, a jednocześnie kompleksową definicję podano w ustawie federalnej z 27 lipca 2006 r Nr 149-FZ (zmieniony 29 lipca 2017 r.), art. 2: Informacje to informacje (wiadomości, dane) niezależnie od formy ich prezentacji. ”

    Informacje można podzielić na kilka rodzajów i, w zależności od kategorii dostępu do nich, są podzielone na publicznie dostępne informacje, a także informacje, których dostęp jest ograniczony - poufne dane i tajemnice państwowe.

    Informacje w zależności od procedury ich udostępniania lub dystrybucji są podzielone na informacje:

    1. Darmowe
    2. Zapewnione za zgodą osóbzaangażowany w odpowiednie relacje
    3. Co jest zgodne z prawem federalnym do dostarczenia lub dystrybucji
    4. Rozłóż które Federacja Rosyjska ograniczony lub zabroniony
    Informacje do tego celu należą do następujących typów:
    1. Wielka ilość - zawiera trywialne informacje i działa z zestawem pojęć zrozumiałych dla większości społeczeństwa.
    2. Specjalny - zawiera określony zestaw pojęć, które mogą nie być zrozumiane przez większość społeczeństwa, ale są niezbędne i zrozumiałe w wąskiej grupie społecznej, w której wykorzystywane są te informacje.
    3. Sekret - dostęp do którego zapewnia wąski krąg osób i zamkniętymi (chronionymi) kanałami.
    4. Osobiste (prywatne) - zestaw informacji o osobie, który określa status społeczny i rodzaje interakcji społecznych.
    Środki ochrony informacji muszą być stosowane bezpośrednio do dostępu do informacji, do którego dostęp jest ograniczony - to dane tajne i poufne.

    Zgodnie z prawem Federacji Rosyjskiej z 07.21.1993 N 5485-1 (zmieniony 8 marca 2015 r.) „O tajemnicach państwowych” Artykuł 5. „Lista informacji stanowiących tajemnicę państwową” dotyczy:

    1. Informacje w dziedzinie wojskowej.
    2. Informacje w dziedzinie ekonomii, nauki i technologii.
    3. Informacje z zakresu polityki zagranicznej i ekonomii.
    4. Informacje w zakresie działań wywiadowczych, kontrwywiadu i operacji operacyjnych, a także w zakresie zwalczania terroryzmu oraz w zakresie zapewnienia bezpieczeństwa osobom, w stosunku do których podjęto decyzję o zastosowaniu środków ochrony państwa.
    Lista informacji, które mogą stanowić informacje poufne, znajduje się w dekret prezydenta 6 marca 1997 r №188 (zmieniony 13 lipca 2015 r.) „W sprawie zatwierdzenia listy informacji poufnych”.

    Poufne dane - są to informacje, do których dostęp jest ograniczony zgodnie z prawem państwa i normami, które same ustanawiają firmy. Można wyróżnić następujące typy danych wrażliwych:

    • Prywatne dane poufne: Informacje o faktach, zdarzeniach i okolicznościach życia prywatnego obywatela, umożliwiające mu zidentyfikowanie swojej osobowości (danych osobowych), z wyjątkiem informacji rozpowszechnianych w mediach środki masowego przekazu w przypadkach określonych przez prawo federalne. Wyjątkiem są tylko informacje dystrybuowane w mediach.
    • Usługa poufnych danych: Informacje oficjalne, do których dostęp są ograniczone przez władze publiczne zgodnie z Kodeksem cywilnym Federacji Rosyjskiej i przepisami federalnymi (tajemnice urzędowe).
    • Poufne dane sądowe: W sprawie ochrony państwa przez sędziów, urzędników organów ścigania i organów regulacyjnych. O ochronie państwa ofiar, świadków i innych uczestników postępowania karnego. Informacje zawarte w aktach osobowych osób skazanych, a także informacje dotyczące wykonywania aktów sądowych, działań innych organów i urzędników, z wyjątkiem informacji publicznie dostępnych zgodnie z ustawą federalną z dnia 2 października 2007 r. N 229-ФЗ „O postępowaniu egzekucyjnym” .
    • Poufne dane handlowe: wszystkie rodzaje informacji związanych z handlem (zyskiem), do których dostęp jest ograniczony przez prawo lub informacje na temat istoty wynalazku, wzoru użytkowego lub wzoru przemysłowego przed oficjalną publikacją informacji o nich przez przedsiębiorstwo (tajne opracowania, technologie produkcyjne itp.).
    • Profesjonalne dane poufne: Informacje związane z działalnością zawodową, do których dostęp jest ograniczony zgodnie z Konstytucją Federacji Rosyjskiej i przepisami federalnymi (medyczne, notarialne, tajemnica prawnika, tajemnica korespondencji, rozmowy telefoniczne, przesyłki pocztowe, telegraficzna lub inna komunikacja itd.)


    Rysunek 1. Klasyfikacja rodzajów informacji.

    Dane osobiste

    Powinniśmy również zwrócić uwagę i rozważyć dane osobowe. Zgodnie z ustawą federalną z 07.27.2006 Nr 152-ФЗ (zmieniony 29 lipca 2017 r.) „W sprawie danych osobowych”, art. 4: Dane osobiste - są to wszelkie informacje odnoszące się bezpośrednio lub pośrednio do konkretnej lub możliwej do ustalenia osoby fizycznej (podmiotu danych osobowych).

    Operatorem danych osobowych jest - organ państwowy, organ komunalny, prawny lub indywidualnyniezależnie lub wspólnie z innymi osobami organizującymi i (lub) przetwarzającymi dane osobowe, a także określającymi cele przetwarzania danych osobowych, skład danych osobowych, które mają być przetwarzane, działania (operacje) wykonywane z danymi osobowymi.

    Przetwarzanie danych osobowych - dowolna akcja (operacja) lub zestaw akcji (operacja) wykonana przy użyciu narzędzi automatyzacji lub bez użycia takich narzędzi z danymi osobowymi, w tym gromadzenie, nagrywanie, systematyzacja, akumulacja, przechowywanie, wyjaśnianie (aktualizacja, zmiana), pobieranie, wykorzystywanie, przekazywanie (dystrybucja, udostępnianie, dostęp), depersonalizacja, blokowanie, usuwanie, niszczenie danych osobowych.

    Prawo do przetwarzania danych osobowych jest zapisane w przepisach dotyczących organów państwowych, ustaw federalnych, licencji na przetwarzanie danych osobowych wydanych przez Roskomnadzor lub FSTEC.

    Firmy, które profesjonalnie pracują z danymi osobowymi wielu osób, na przykład hostując wirtualne serwery lub operatorów telekomunikacyjnych, muszą wejść do rejestru, jest on prowadzony przez Roskomnadzor.

    Na przykład nasz hosting wirtualnych serwerów VPS.HOUSE działa na podstawie przepisów Federacji Rosyjskiej i zgodnie z licencjami Federalnej Służby Nadzoru w dziedzinie telekomunikacji, technologii informacyjnych i komunikacji masowej nr 129322 z dnia 25/25/2015 (Telematic Communication Services) i nr 139323 z dnia 25.12 .2015 (Usługi łączności w zakresie przesyłania danych, z wyjątkiem usług łączności w celu przesyłania danych w celu przesyłania informacji głosowych).

    Na tej podstawie każda witryna, w której znajduje się formularz rejestracji użytkownika, w którym wskazane są informacje dotyczące danych osobowych, a następnie przetwarzane, jest operatorem danych osobowych.

    Z zastrzeżeniem art. 7 ustawy Nr 152-ФЗ   „W sprawie danych osobowych” operatorzy i inne osoby, które uzyskały dostęp do danych osobowych, muszą nie ujawniać stronom trzecim i nie rozpowszechniać danych osobowych bez zgody osoby, której dane dotyczą, chyba że prawo federalne stanowi inaczej. W związku z tym każdy operator danych osobowych jest zobowiązany do zapewnienia niezbędnego bezpieczeństwa i poufności tych informacji.

    W celu zapewnienia bezpieczeństwa i poufności informacji konieczne jest określenie, jakie media są dostępne, do których dostęp jest otwarty i zamknięty. W związku z tym metody i środki ochrony wybierane są w ten sam sposób w zależności od rodzaju mediów.

    Główne nośniki danych:

    • Media drukowane i elektroniczne, portale społecznościowe, inne zasoby w Internecie;
    • Pracownicy organizacji, którzy mają dostęp do informacji na podstawie ich przyjaznych, rodzinnych, zawodowych więzi;
    • Urządzenia komunikacyjne, które przesyłają lub przechowują informacje: telefony, centrale telefoniczne, inny sprzęt telekomunikacyjny;
    • Dokumenty wszelkiego rodzaju: osobiste, oficjalne, państwowe;
    • Oprogramowanie jako niezależny obiekt informacyjny, zwłaszcza jeśli jego wersja została opracowana specjalnie dla konkretnej firmy;
    • Elektroniczne nośniki danych, które przetwarzają dane automatycznie.
    Po ustaleniu, jakie informacje podlegają ochronie, nośnikom informacji i możliwym szkodom podczas ich ujawnienia, możesz wybrać niezbędne środki ochrony.

    Klasyfikacja bezpieczeństwa informacji


    Zgodnie z prawem federalnym z 27 lipca 2006 r Nr 149-FZ   (zmieniony 29 lipca 2017 r.) „Informacje, technologie informacyjne i ochrona informacji”, art. 7 ust. 1 i 4:

    1. Ochrona informacji   reprezentuje przyjęcie środków prawnych, organizacyjnych i technicznych, Celem:

    • Bezpieczeństwo   ochrona informacji przed nieuprawnionym dostępem, zniszczeniem, modyfikacją, blokowaniem, kopiowaniem, udostępnianiem, rozpowszechnianiem, a także przed innymi nielegalnymi działaniami związanymi z takimi informacjami;
    • Spełnienie   poufność informacji o ograniczonym dostępie;
    • Realizacja   prawa dostępu do informacji.
    4. Posiadacz informacji, operator systemu informatycznego   w przypadkach określonych przez ustawodawstwo Federacji Rosyjskiej, musi dostarczyc:
    • Zapobieganie   nieuprawniony dostęp do informacji i (lub) jej przekazanie osobom, które nie mają prawa dostępu do informacji;
    • Aktualny wykrycie   fakty nieuprawnionego dostępu do informacji;
    • Ostrzeżenie   możliwość negatywnych konsekwencji naruszenia kolejności dostępu do informacji;
    • Zapobieganie   wpływ na techniczne środki przetwarzania informacji, w wyniku których ich funkcjonowanie jest zakłócone;
    • Możliwość natychmiastowego poprawa   informacje zmodyfikowane lub zniszczone z powodu nieuprawnionego dostępu do nich;
    • Stały kontrola   dla zapewnienia poziomu bezpieczeństwa informacji;
    • Odkrycie   na terytorium Federacji Rosyjskiej prowadzone są bazy danych zawierające informacje, za pomocą których gromadzone, rejestrowane, systematyzowane, gromadzące, przechowujące, aktualizujące (aktualizujące, zmieniające), wydobywające dane osobowe obywateli Federacji Rosyjskiej (klauzula 7 została wprowadzona ustawą federalną z 21 lipca 2014 r. Nr 242-ФЗ).
      Na podstawie prawa Nr 149-FZ   ochronę informacji można również podzielić na kilka poziomów:
    1. Poziom prawny   zapewnia zgodność ze standardami państwowymi w zakresie bezpieczeństwa informacji i obejmuje prawa autorskie, dekrety, patenty i opisy stanowisk.
        Prawidłowo zbudowany system ochrony nie narusza praw użytkownika i standardów przetwarzania danych.
    2. Poziom organizacyjny   pozwala tworzyć reguły dla użytkowników do pracy z poufnymi informacjami, wybierać personel, organizować pracę z dokumentacją i nośnikami danych.
      Reguły pracy użytkowników z poufnymi informacjami nazywane są regułami kontroli dostępu. Zasady są ustalane przez kierownictwo firmy wraz ze służbą bezpieczeństwa i dostawcą, który wdraża system bezpieczeństwa. Celem jest stworzenie warunków dostępu do zasobów informacyjnych dla każdego użytkownika, na przykład prawa do czytania, edycji, przesyłania poufnego dokumentu.
        Zasady kontroli dostępu są opracowywane na poziomie organizacyjnym i wdrażane na etapie pracy z technicznym komponentem systemu.
    3. Poziom techniczny   podzielone warunkowo na fizyczne, sprzętowe, programowe i matematyczne (kryptograficzne).

    Narzędzia bezpieczeństwa informacji

    Narzędzia bezpieczeństwa informacji   zdecydowałem się podzielić normatywny (nieformalny)   i techniczne (formalne).

    Nieformalne środki bezpieczeństwa informacji

    Nieformalne środki bezpieczeństwa informacji   - są normatywne (legislacyjne), administracyjne (organizacyjne) i moralny i etyczny   fundusze, do których można przypisać: dokumenty, zasady, wydarzenia.

    Podstawa prawna ( środki legislacyjne) państwo zapewnia bezpieczeństwo informacji. Ochrona informacji jest regulowana przez konwencje międzynarodowe, Konstytucję, ustawy federalne „W sprawie informacji, technologii informatycznych i ochrony informacji”, przepisy Federacji Rosyjskiej „W sprawie bezpieczeństwa”, „W sprawie komunikacji”, „W sprawie tajemnic państwowych” i różnych rozporządzeń.

    Ponadto niektóre z wyżej wymienionych przepisów były cytowane i uważane przez nas za podstawę prawną bezpieczeństwa informacji. Nieprzestrzeganie tych przepisów wiąże się z zagrożeniami dla bezpieczeństwa informacji, co może prowadzić do znacznych konsekwencji, które zgodnie z tymi przepisami podlegają odpowiedzialności karnej.

    Państwo określi również miarę odpowiedzialności za naruszenie przepisów prawa w dziedzinie bezpieczeństwa informacji. Na przykład rozdział 28 „Przestępstwa w dziedzinie informacji komputerowej” w Kodeksie karnym Federacji Rosyjskiej zawiera trzy artykuły:

    • Artykuł 272 „Nielegalny dostęp do informacji komputerowych”;
    • Artykuł 273 „Tworzenie, wykorzystywanie i dystrybucja złośliwych programów komputerowych”;
    • Artykuł 274 „Naruszenie zasad działania środków przechowywania, przetwarzania lub transmisji informacji komputerowych oraz sieci informacyjnych i telekomunikacyjnych”.
    Administracyjny (organizacyjny) wydarzenia odgrywają istotną rolę w tworzeniu niezawodnego mechanizmu ochrony informacji. Ponieważ możliwość nieautoryzowanego wykorzystania informacji poufnych jest w dużej mierze uzależniona nie od aspektów technicznych, ale od złośliwych działań. Na przykład zaniedbanie, zaniedbanie i zaniedbanie użytkowników lub personelu bezpieczeństwa.

    Aby zmniejszyć wpływ tych aspektów, konieczne jest połączenie środków organizacyjnych i prawnych oraz organizacyjnych i technicznych, które wyeliminowałyby lub zminimalizowały możliwość zagrożenia poufnych informacji.

    W tej działalności administracyjnej i organizacyjnej mającej na celu ochronę informacji dla pracowników służb bezpieczeństwa istnieje pole do kreatywności.

    Są to rozwiązania architektoniczne i planistyczne, które chronią sale konferencyjne i pokoje zarządzania przed słuchaniem oraz ustanawiają różne poziomy dostępu do informacji.

    Z punktu widzenia regulacji działalności personelu ważne będzie opracowanie systemu wniosków o dostęp do Internetu, zewnętrznej poczty elektronicznej i innych zasobów. Osobnym elementem będzie otrzymanie elektronicznego podpisu cyfrowego w celu zwiększenia bezpieczeństwa informacji finansowych i innych, które są przekazywane organom państwowym pocztą elektroniczną.

    Do moralnego i etycznego   środki można przypisać standardom moralnym lub zasadom etycznym, które rozwinęły się w społeczeństwie lub w danym zbiorowisku, których przestrzeganie przyczynia się do ochrony informacji, a ich naruszenie oznacza nieprzestrzeganie zasad postępowania w społeczeństwie lub zbiorowości. Normy te nie są obowiązkowe, ponieważ normy prawnie zatwierdzone, ich nieprzestrzeganie prowadzi do spadku autorytetu, prestiżu osoby lub organizacji.

    Formalne bezpieczeństwo informacji

    Formalne wyposażenie ochronne   - To specjalny sprzęt i oprogramowanie, które można podzielić na fizyczne, sprzętowe, programowe i kryptograficzne.

    Bezpieczeństwo informacji fizycznych   - są to wszelkie mechaniczne, elektryczne i elektroniczne mechanizmy działające niezależnie od systemy informacyjne   i tworzyć bariery, aby uzyskać do nich dostęp.

    Zamki, w tym elektroniczne, ekrany, żaluzje, mają na celu tworzenie przeszkód w kontakcie czynników destabilizujących z systemami. Grupę uzupełniają systemy bezpieczeństwa, na przykład kamery wideo, rejestratory DVR, czujniki, wykrywające ruch lub nadmiar stopnia promieniowania elektromagnetycznego w obszarze lokalizacji sprzętu technicznego do pozyskiwania informacji.

    Bezpieczeństwo informacji o sprzęcie   - są to wszelkie urządzenia elektryczne, elektroniczne, optyczne, laserowe i inne, które są wbudowane w systemy informacyjne i telekomunikacyjne: komputery specjalne, systemy kontroli pracowników, ochrona serwerów i sieci korporacyjnych. Utrudniają dostęp do informacji, w tym poprzez ich przebranie.

    Sprzęt obejmuje: generatory szumów, zabezpieczenia przeciwprzepięciowe, skanery radiowe i wiele innych urządzeń, które „blokują” potencjalne kanały wycieku informacji lub umożliwiają ich wykrycie.

    Oprogramowanie zabezpieczające informacje   Są proste i kompleksowe programyprzeznaczony do rozwiązywania problemów związanych z bezpieczeństwem informacji.

    Przykładem zintegrowanych rozwiązań są systemy DLP i SIEM.

    Systemy DLP   („Zapobieganie wyciekom danych” dosłownie oznacza „zapobieganie wyciekom danych”) odpowiednio służy do zapobiegania wyciekom, formatowaniu informacji i przekierowywaniu przepływów informacji.

    Systemy SIEM   („Informacje o bezpieczeństwie i zarządzanie zdarzeniami”, co oznacza „Zarządzanie bezpieczeństwem zdarzeń i informacji”) zapewnia analizę zdarzeń bezpieczeństwa (alarmów) w czasie rzeczywistym z urządzeń i aplikacji sieciowych. SIEM jest reprezentowany przez aplikacje, urządzenia lub usługi, a także służy do rejestrowania i raportowania danych w celu zapewnienia zgodności z innymi danymi biznesowymi.

    Oprogramowanie wymaga mocy urządzeń, a podczas instalacji należy zapewnić dodatkowe rezerwy.

    Matematyczne (kryptograficzne)   - Wprowadzenie kryptograficznych i stenograficznych metod ochrony danych w celu bezpiecznej transmisji przez sieć korporacyjną lub globalną.

    Kryptografia jest uważana za jeden z najbardziej niezawodnych sposobów ochrony danych, ponieważ chroni samą informację, a nie dostęp do niej. Informacje przetworzone kryptograficznie zapewniają wysoki stopień ochrony.

    Wprowadzenie środków ochrony informacji kryptograficznej obejmuje utworzenie kompleksu sprzętowo-programowego, którego architektura i skład są określane na podstawie potrzeb konkretnego klienta, wymagań prawnych, zadań i niezbędnych metod oraz algorytmów szyfrowania.

    Może to obejmować komponenty oprogramowania do szyfrowania (dostawcy kryptografii), narzędzia organizacji VPN, narzędzia uwierzytelniania, narzędzia do generowania i weryfikacji kluczy oraz elektroniczne podpisy cyfrowe.

    Narzędzia szyfrujące mogą obsługiwać algorytmy szyfrowania GOST i zapewniać niezbędne klasy ochrony kryptograficznej w zależności od wymaganego stopnia ochrony, ram regulacyjnych i wymagań kompatybilności z innymi, w tym systemami zewnętrznymi. Jednocześnie narzędzia szyfrujące chronią cały zestaw komponentów informacyjnych, w tym pliki, katalogi plików, fizyczne i wirtualne nośniki danych, całe serwery i systemy przechowywania danych.

    Podsumowując drugą część, po krótkim omówieniu głównych metod i środków ochrony informacji, a także klasyfikacji informacji, możemy powiedzieć, co następuje: fakt, że dobrze znana teza jest ponownie potwierdzona, polega na tym, że zapewnienie bezpieczeństwa informacji jest całym kompleksem środków obejmujących wszystkie aspekty ochrony informacje, do których tworzenia i dostarczania należy podchodzić bardzo ostrożnie i poważnie.

    Konieczne jest ścisłe przestrzeganie i pod żadnym pozorem nie należy naruszać Złotej Reguły - jest to podejście zintegrowane.

    W celu bardziej wizualnego przedstawienia narzędzi ochrony informacji, mianowicie jako niepodzielny zestaw środków, przedstawiono poniżej na ryc. 2, z których każda z cegieł reprezentuje ochronę informacji w pewnym segmencie, usuń jedną z cegieł i powstanie ryzyko bezpieczeństwa.


      Rysunek 2. Klasyfikacja narzędzi bezpieczeństwa informacji.

    Rodzaje ochrony informacji, ich zakres.

    Klasyfikacja metod ochrony informacji. Uniwersalne metody ochrony informacji, ich zakres. Obszary zastosowania organizacyjnych, kryptograficznych i inżynierskich metod ochrony informacji.

    Pojęcie i klasyfikacja narzędzi bezpieczeństwa informacji. Wyznaczenie oprogramowania, kryptograficznych i technicznych środków ochrony.

    Pod pozorem ZI jest rozumiany   stosunkowo odizolowany obszar ZI, obejmujący głównie nieodłączne metody, środki i środki zapewniające bezpieczeństwo informacji.

    Obrona prawna   - rodzaj ochrony, w tym zbiór ustalonych i chronionych przez przepisy państwowe dotyczące ochrony informacji.

    Ochrona prawna informacji reguluje:

    1) określa rodzaj tajemnicy; skład informacji, które dotyczą i które można przypisać do każdego rodzaju tajemnicy, z wyjątkiem informacji handlowych; oraz procedurę przypisywania informacji do różnych rodzajów tajemnic;

    3) określa prawa i obowiązki właścicieli chronionych informacji;

    4) ustanawia podstawowe zasady (normy) pracy z informacjami chronionymi, z wyjątkiem stanowiących tajemnicę handlową;

    5) ustanawia odpowiedzialność karną, administracyjną i materialną za nielegalną próbę ochrony chronionych informacji, a także ich utratę i ujawnienie, w wyniku których wystąpiły lub mogłyby wystąpić negatywne konsekwencje dla właściciela lub właściciela informacji.

    Niektóre z tych kwestii powinny być regulowane wyłącznie przez prawo, inne zaś przez przepisy prawne i regulaminy.

    Bezpieczeństwo informacji organizacyjnych   - Jest to rodzaj ochrony, w tym zestaw dokumentów organizacyjnych i administracyjnych, metod i środków organizacyjnych, które regulują i zapewniają organizację, technologię i kontrolę ochrony informacji.

    Ochrona informacji organizacyjnych jest najważniejszym rodzajem ochrony informacji, wynika to z faktu, że jest ona wielofunkcyjna i, w przeciwieństwie do innych rodzajów ochrony, jest w stanie samodzielnie (niezależnie) zapewnić oddzielne obszary ochrony, a jednocześnie towarzyszyć innym rodzajom ochrony, ponieważ żaden z nich nie jest może zapewnić taki lub inny kierunek ochrony bez wdrożenia niezbędnych środków organizacyjnych.

    W odniesieniu do obszarów działalności można wyróżnić pięć obszarów zastosowania ochrony organizacyjnej:

    1. Zapewnienie zgodności z ustalonymi normami prawnymi dotyczącymi ochrony informacji. Kierunek ten realizowany jest przez taką regulację przedsiębiorstwa i jego pracowników, która pozwala, zobowiązuje lub zmusza do spełnienia wymagań norm prawnych dotyczących ochrony informacji. W tym celu normy prawne są ustanawiane (przekazywane) do dokumentów regulacyjnych przedsiębiorstwa, które regulują organizację i technologię wykonywania pracy, relacje z pracownikami, warunki zatrudniania i zwalniania pracowników, zasady pracy itp. Lub są przekształcane w specjalne dokumenty regulacyjne w celu ochrony informacji. Jednocześnie jedno nie wyklucza drugiego: niektóre kwestie mogą znaleźć odzwierciedlenie w dokumentach ogólnych, a niektóre w dokumentach specjalnych.

    2. Zapewnienie wdrożenia kryptograficznego, sprzętowego oprogramowania i inżynieryjno-technicznej ochrony informacji. Kierunek ten realizowany jest poprzez opracowanie dokumentów normatywno-metodologicznych i organizacyjno-technicznych, a także poprzez przeprowadzenie niezbędnych działań organizacyjnych w celu zapewnienia wdrożenia i funkcjonowania metod i środków tego rodzaju ochrony.

    3. Zapewnienie ochrony niektórych obszarów niezależnie tylko metodami i środkami organizacyjnymi. Pozwala rozwiązać tylko metody organizacyjne następujących problemów:

    Definicja nośników informacji chronionych;

    Ustalenie zakresu obrotu chronionymi informacjami;

    Zapewnienie zróżnicowanego podejścia do ochrony informacji (cecha ochrony tajemnicy, specyfika ochrony informacji);

    Utworzenie kręgu osób przyjętych do informacji chronionych;

    Zapewnienie zgodności z zasadami pracy z informacjami przez użytkowników;

    Zapobieganie wykorzystywaniu chronionych informacji podczas prac publicznych i wydarzeń, w tym przygotowywanie materiałów dla mediów, demonstracje na wystawach publicznych, przemówienia na imprezach publicznych, prowadzenie niejawnych prac biurowych i tak dalej.

    4. Zapewnienie ochrony niektórych obszarów w połączeniu z innymi rodzajami ochrony. Kierunek ten pozwala, w połączeniu z innymi rodzajami ochrony:

    Zidentyfikuj źródła, rodzaje i metody destabilizującego wpływu na informacje;

    Określić przyczyny, okoliczności i warunki wdrożenia destabilizującego wpływu na informacje;

    Zidentyfikuj kanały i metody nieautoryzowanego dostępu do chronionych informacji;

    Zdefiniuj metody ochrony informacji;

    Ustanowić procedurę postępowania z informacjami chronionymi;

    Ustanowienie systemu dostępu do chronionych informacji;

    Chroń informacje: w trakcie ich produkcji, przetwarzania i przechowywania; kiedy jest przesyłany przez linie komunikacyjne i kiedy transmisja fizyczna   osoby trzecie; podczas pracy z użytkownikami; podczas zamkniętych konferencji, spotkań, seminariów, wystaw; podczas prowadzenia zamkniętego procesu edukacyjnego i obrony pracy doktorskiej; przy wdrażaniu współpracy międzynarodowej; w razie wypadku.

    5. Obszar ten stanowi połączenie wszystkich rodzajów, metod i środków ochrony informacji w jeden system. Jest wdrażany poprzez opracowanie i wdrożenie dokumentów regulacyjnych i metodologicznych dotyczących organizacji systemy lokalne   kompleksowa ochrona informacji, wsparcie organizacyjne funkcjonowania systemów, a także zapewnienie kontroli niezawodności systemów.

    Podstawa ochrona kryptograficzna   Informacje to kryptografia, która jest odszyfrowywana jako kryptografia, system zmiany informacji w celu uczynienia ich niezrozumiałymi dla osób niewtajemniczonych, dlatego ochronę kryptograficzną informacji definiuje się jako rodzaj ochrony realizowanej przez konwersję (zamykanie) informacji za pomocą szyfrowania, kodowania lub innych specjalnych metod.

    Cele kryptografii zmieniły się w całej historii. Początkowo służył on bardziej zapewnieniu tajemnicy, zapobieganiu nieuprawnionemu ujawnieniu informacji przekazywanych za pośrednictwem łączności wojskowej i dyplomatycznej. Wraz z początkiem ery informacyjnej odkryto potrzebę zastosowania kryptografii w sektorze prywatnym. Ilość poufnych informacji jest ogromna - historie medyczne, dokumenty prawne, finansowe. Ostatnie postępy w kryptografii umożliwiły wykorzystanie go nie tylko do zapewnienia autentyczności i integralności informacji. Oprócz metod kryptograficznych stosuje się ochronę fizyczną i steganografię w celu zachowania tajemnicy wiadomości. Jak pokazuje praktyka, najskuteczniejsza ochrona informacji jest zapewniana na podstawie metod kryptograficznych i, co do zasady, w połączeniu z innymi metodami. Ważną koncepcją kryptografii jest siła - to zdolność do wytrzymania prób dobrze uzbrojonego nowoczesna technologia   oraz znajomość kryptoanalityka w celu odszyfrowania przechwyconej wiadomości, ujawnienia kluczy szyfrowych lub naruszenia integralności i / lub autentyczności informacji.

    Współczesna ochrona kryptograficzna jest wdrażana przez połączenie matematyki, oprogramowania, metod organizacyjnych i środków. Służy nie tylko i nie tyle do zamykania informacji podczas przechowywania i przetwarzania, co podczas ich przesyłania, zarówno tradycyjnymi metodami, a zwłaszcza drogą radiową i kablową.

    Bezpieczeństwo informacji o sprzęcie i oprogramowaniu   - rodzaj bezpieczeństwa informacji, w tym specjalne programy   samodzielna ochrona lub wdrożona w narzędzia programowe   przetwarzanie informacji lub urządzenia techniczne   chronić informacje.

    Metody sprzętowe i programowe do ochrony informacji nie istnieją, dlatego ochrona informacji odbywa się tylko za pomocą ochrony informacji.

    Informatyzacja wielu dziedzin społeczeństwa (obrona, polityka, finanse i banki, przemysł niebezpieczny dla środowiska, opieka zdrowotna i inne) prowadzi do korzystania z narzędzi obliczeniowych do pracy związanej z przetwarzaniem i przechowywaniem poufnych informacji oraz wymaganiem gwarantowanej wiarygodności wyników i przetwarzanych informacji. Najczęściej stosowanymi narzędziami obliczeniowymi są uniwersalne komputery i oprogramowanie. Dlatego konieczne jest opracowanie i zastosowanie dodatkowych środków ochrony informacji podczas tworzenia bezpiecznych zautomatyzowanych systemów i bezpiecznych technologii informatycznych.

    Dlatego ochrona oprogramowania i sprzętu ma na celu ochronę technologii informatycznych i technicznych środków przetwarzania informacji.

    Wymagania dotyczące bezpieczeństwa informacji podczas projektowania systemów informatycznych wskazują cechy charakteryzujące środki stosowane do ochrony informacji. Są zdefiniowane przez różne akty prawne w dziedzinie bezpieczeństwa informacji, w szczególności - FSTEC i FSB Rosji. Jakie są klasy bezpieczeństwa, rodzaje i rodzaje sprzętu ochronnego, a także gdzie można dowiedzieć się więcej na ten temat, znajdują odzwierciedlenie w artykule.

      Wprowadzenie

    Dzisiaj kwestie zapewnienia bezpieczeństwa informacji są przedmiotem szczególnej uwagi, ponieważ powszechnie wdrażane technologie bez zapewnienia bezpieczeństwa informacji stają się źródłem nowych poważnych problemów.

    FSB Rosji informuje o powadze sytuacji: wielkość szkód wyrządzonych przez cyberprzestępców na przestrzeni kilku lat na całym świecie wahała się od 300 miliardów dolarów do 1 biliona dolarów. Według informacji dostarczonych przez Prokuratora Generalnego Federacji Rosyjskiej, tylko w pierwszej połowie 2017 r. Liczba przestępstw związanych z zaawansowanymi technologiami w Rosji wzrosła sześciokrotnie, łączna kwota szkód przekroczyła 18 mln USD. Wzrost ataków ukierunkowanych w sektorze przemysłowym w 2017 r. Odnotowano na całym świecie . W szczególności w Rosji wzrost liczby ataków w stosunku do 2016 r. Wyniósł 22%.

    Technologie informacyjne zaczęły być wykorzystywane jako broń do celów wojskowo-politycznych, terrorystycznych, do ingerowania w wewnętrzne sprawy suwerennych państw, a także do popełniania innych przestępstw. Federacja Rosyjska opowiada się za stworzeniem międzynarodowego systemu bezpieczeństwa informacji.

    Na terytorium Federacji Rosyjskiej właściciele informacji i operatorzy systemów informatycznych są zobowiązani do blokowania prób nieautoryzowanego dostępu do informacji, a także do bieżącego monitorowania stanu bezpieczeństwa infrastruktury IT. Jednocześnie ochrona informacji jest zapewniona poprzez przyjęcie różnych środków, w tym technicznych.

    Środki ochrony informacji lub SZI zapewniają ochronę informacji w systemach informatycznych, które w istocie są kombinacją informacji przechowywanych w bazach danych, technologiami informatycznymi zapewniającymi ich przetwarzanie oraz środkami technicznymi.

    Nowoczesne systemy informacyjne charakteryzują się wykorzystaniem różnych platform sprzętowych i programowych, terytorialnym rozmieszczeniem komponentów, a także interakcją z otwartymi sieciami transmisji danych.

    Jak chronić informacje w takich warunkach? Odpowiednie wymagania są przedstawiane przez upoważnione organy, w szczególności FSTEC i FSB Rosji. W ramach artykułu postaramy się odzwierciedlić główne podejścia do klasyfikacji SZI, biorąc pod uwagę wymagania tych regulatorów. Inne sposoby opisu klasyfikacji SHI, odzwierciedlone w dokumentach regulacyjnych rosyjskich departamentów, a także zagranicznych organizacji i agencji, wykraczają poza zakres tego artykułu i nie są dalej rozważane.

    Artykuł może być przydatny dla początkujących w dziedzinie bezpieczeństwa informacji jako źródło ustrukturyzowanych informacji na temat metod klasyfikacji systemów bezpieczeństwa informacji w oparciu o wymagania FSTEC Rosji (w większym stopniu) i, krótko mówiąc, FSB Rosji.

    Strukturą determinującą porządek i działania koordynujące zapewniające niekryptograficzne metody bezpieczeństwa informacji jest FSTEC Rosji (wcześniej Państwowa Komisja Techniczna przy Prezydencie Federacji Rosyjskiej, Państwowa Komisja Techniczna).

    Jeśli czytelnik musiał zobaczyć Państwowy Rejestr Certyfikowanych Narzędzi Bezpieczeństwa Informacji, utworzony przez FSTEC Rosji, to z pewnością zwrócił uwagę na obecność w opisowej części celu SIS takich zwrotów jak „klasa drogi kołowania SVT”, „poziom braku NDV” itp. (Rysunek 1) .

    Ryc. 1. Fragment rejestru certyfikowanego SZI

      Klasyfikacja narzędzi bezpieczeństwa informacji kryptograficznych

    FSB Rosji zdefiniowała klasy kryptograficzne SSI: KS1, KS2, KS3, KV i KA.

    Główne cechy SIS klasy KS1 obejmują ich odporność na ataki przeprowadzane poza obszarem kontrolowanym. Rozumie się, że tworzenie metod ataku, ich przygotowywanie i przeprowadzanie odbywa się bez udziału specjalistów w dziedzinie opracowywania i analizy systemów bezpieczeństwa informacji kryptograficznych. Zakłada się, że informacje o systemie, w którym stosuje się określony SIS, można uzyskać z otwartych źródeł.

    Jeśli system ochrony informacji kryptograficznych jest w stanie wytrzymać ataki zablokowane za pomocą klasy KS1, a także przeprowadzone w strefie kontrolowanej, wówczas ten system informacyjny odpowiada klasie KS2. Jednocześnie dozwolone jest na przykład, aby podczas przygotowywania ataku mogły być dostępne informacje na temat fizycznych środków ochrony systemów informatycznych, zapewniania strefy kontrolowanej itp.

    Jeśli można wytrzymać ataki w obecności fizycznego dostępu do sprzętu komputerowego z ustanowionymi systemami ochrony danych kryptograficznych, środki takie odpowiadają klasie KC3.

    Jeśli kryptograficzny SZI jest odporny na ataki, których stworzenie zaangażowało ekspertów w rozwój i analizę tych narzędzi, w tym ośrodków badawczych, istniała możliwość badań laboratoryjnych sprzętu ochronnego, to mówimy o zgodności z klasą KV.

    Jeśli eksperci w dziedzinie korzystania z oprogramowania systemowego NDV byli zaangażowani w opracowywanie metod ataku, odpowiednia dokumentacja projektowa byłaby dostępna i istniałby dostęp do dowolnych komponentów sprzętowych systemów ochrony danych kryptograficznych, wówczas urządzenia klasy kosmicznej mogą zapewnić ochronę przed takimi atakami.

      Klasyfikacja ochrony podpisu elektronicznego

    Środki podpisu elektronicznego, w zależności od zdolności do odparcia ataków, są zwykle porównywane z następującymi klasami: KS1, KS2, KS3, KV1, KV2 i KA1. Ta klasyfikacja jest podobna do tej omówionej powyżej w odniesieniu do systemów bezpieczeństwa informacji kryptograficznych.

      Wyniki

    W artykule przeanalizowano niektóre metody klasyfikacji systemów bezpieczeństwa informacji w Rosji, których podstawą są ramy regulacyjne organów regulacyjnych w dziedzinie ochrony informacji. Rozważane opcje klasyfikacji nie są wyczerpujące. Niemniej jednak mamy nadzieję, że przedstawione skonsolidowane informacje umożliwią nowicjuszowi specjalistę ds. Bezpieczeństwa informacji szybką nawigację.

    Dzielić
    Dzielić
    Ćwierkać
    Lubić
    Lubić

    Czytaj także

    DZWONEK

    Są tacy, którzy czytają te wiadomości przed tobą.
    Subskrybuj, aby otrzymywać świeże artykuły.
    E-mail
    Imię
    Nazwisko
    Jak chcesz przeczytać Dzwon
    Bez spamu