Βασικές πτυχές της ασφάλειας πληροφοριών. Τεχνολογικές πτυχές και διαδικασίες ασφάλειας πληροφοριών

Σχόλιο: Η διάλεξη καλύπτει τις βασικές έννοιες της ασφάλειας των πληροφοριών. Εξοικείωση με τον Ομοσπονδιακό Νόμο "Περί Πληροφοριών, Τεχνολογιών Πληροφορικής και Προστασίας Πληροφοριών".

GOST" Προστασία δεδομένων. Βασικοί όροι και ορισμοί» εισάγει την έννοια ασφάλεια πληροφοριώνως κατάσταση ασφάλειας πληροφοριών, στην οποία διασφαλίζεται εμπιστευτικότητα, διαθεσιμότητα και ακεραιότητα.

  • Εμπιστευτικότητα– κατάσταση πληροφοριών κατά την οποία η πρόσβαση σε αυτές πραγματοποιείται μόνο από υποκείμενα που έχουν δικαίωμα σε αυτήν.
  • Ακεραιότητα– μια κατάσταση πληροφόρησης στην οποία δεν υπάρχει καμία αλλαγή ή αλλαγή πραγματοποιείται μόνο σκόπιμα από υποκείμενα που έχουν δικαίωμα σε αυτήν·
  • Διαθεσιμότητα– κατάσταση πληροφόρησης κατά την οποία τα υποκείμενα με δικαιώματα πρόσβασης μπορούν να την ασκήσουν χωρίς εμπόδια.

Απειλές για την ασφάλεια των πληροφοριών– ένα σύνολο συνθηκών και παραγόντων που δημιουργούν δυνητικό ή πραγματικό κίνδυνο παραβίασης της ασφάλειας των πληροφοριών [,]. Επίθεσηλέγεται προσπάθεια υλοποίησης απειλής, και αυτός που κάνει μια τέτοια προσπάθεια είναι παρείσακτος. Καλούνται οι πιθανοί επιτιθέμενοι πηγές απειλής.

Η απειλή είναι συνέπεια της παρουσίας τρωτά σημεία ή τρωτά σημείαστο πληροφοριακό σύστημα. Τα τρωτά σημεία μπορεί να προκύψουν για διάφορους λόγους, για παράδειγμα, ως αποτέλεσμα ακούσιων λαθών από τους προγραμματιστές κατά τη σύνταξη προγραμμάτων.

Οι απειλές μπορούν να ταξινομηθούν σύμφωνα με διάφορα κριτήρια:

  • Με ιδιότητες της πληροφορίας(διαθεσιμότητα, ακεραιότητα, εμπιστευτικότητα), κατά των οποίων στρέφονται κυρίως οι απειλές·
  • από στοιχεία πληροφοριακών συστημάτων που στοχεύουν απειλές (δεδομένα, προγράμματα, υλικό, υποστηρικτικές υποδομές);
  • με μέθοδο υλοποίησης (τυχαίες/εσκεμμένες, φυσικές/ανθρωπογενείς ενέργειες)·
  • κατά τοποθεσία της πηγής απειλής (εντός/εκτός του εν λόγω IS).

Η διασφάλιση της ασφάλειας των πληροφοριών είναι ένα πολύπλοκο έργο, η λύση του οποίου απαιτεί Μια σύνθετη προσέγγιση. Διακρίνονται τα ακόλουθα επίπεδα προστασίας πληροφοριών:

  1. νομοθετικές - νόμοι, κανονισμοί και άλλα έγγραφα της Ρωσικής Ομοσπονδίας και της διεθνούς κοινότητας.
  2. διοικητικά - ένα σύνολο μέτρων που λαμβάνονται τοπικά από τη διοίκηση του οργανισμού.
  3. διαδικαστικό επίπεδο - μέτρα ασφαλείας που εφαρμόζονται από άτομα.
  4. επίπεδο λογισμικού και υλικού– άμεσα μέσα προστασίας των πληροφοριών.

Το νομοθετικό επίπεδο αποτελεί τη βάση για την οικοδόμηση ενός συστήματος προστασίας πληροφοριών, καθώς παρέχει βασικές έννοιες θεματική ενότητακαι καθορίζει την τιμωρία για τους πιθανούς επιτιθέμενους. Αυτό το επίπεδο παίζει συντονιστικό και καθοδηγητικό ρόλο και βοηθά στη διατήρηση μιας αρνητικής (και τιμωρητικής) στάσης στην κοινωνία απέναντι σε άτομα που παραβιάζουν την ασφάλεια των πληροφοριών.

1.2. Ομοσπονδιακός νόμος «Πληροφοριών, Τεχνολογιών Πληροφορικής και Προστασίας Πληροφοριών»

Στη ρωσική νομοθεσία, ο βασικός νόμος στον τομέα της προστασίας των πληροφοριών είναι ο ομοσπονδιακός νόμος «Περί Πληροφοριών, Τεχνολογιών Πληροφοριών και Προστασίας Πληροφοριών» της 27ης Ιουλίου 2006, αριθμός 149-FZ. Επομένως, οι βασικές έννοιες και οι αποφάσεις που κατοχυρώνονται στο νόμο απαιτούν προσεκτική εξέταση.

Ο νόμος ρυθμίζει σχέσεις που προκύπτουν όταν:

  • την άσκηση του δικαιώματος αναζήτησης, λήψης, μετάδοσης, παραγωγής και διάδοσης πληροφοριών·
  • εφαρμογή των τεχνολογιών της πληροφορίας·
  • διασφαλίζοντας την ασφάλεια των πληροφοριών.

Ο νόμος παρέχει βασικούς ορισμούς στον τομέα της προστασίας των πληροφοριών. Εδώ είναι μερικά από αυτά:

  • πληροφορίες- πληροφορίες (μηνύματα, δεδομένα) ανεξάρτητα από τη μορφή παρουσίασής τους.
  • ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ- διαδικασίες, μέθοδοι αναζήτησης, συλλογής, αποθήκευσης, επεξεργασίας, παροχής, διανομής πληροφοριών και μέθοδοι εφαρμογής τέτοιων διαδικασιών και μεθόδων·
  • Σύστημα πληροφορίων- το σύνολο των πληροφοριών που περιέχονται σε βάσεις δεδομένων και τεχνολογίες πληροφοριών και τεχνικά μέσα που διασφαλίζουν την επεξεργασία τους·
  • κάτοχος πληροφοριών- πρόσωπο που δημιούργησε ανεξάρτητα πληροφορίες ή έλαβε, βάσει νόμου ή συμφωνίας, το δικαίωμα να επιτρέπει ή να περιορίζει την πρόσβαση σε πληροφορίες που καθορίζονται με οποιοδήποτε κριτήριο·
  • χειριστή πληροφοριακού συστήματος- πολίτης ή νομική οντότητα που ασχολείται με τη λειτουργία ενός συστήματος πληροφοριών, συμπεριλαμβανομένης της επεξεργασίας πληροφοριών που περιέχονται στις βάσεις δεδομένων του.
  • εμπιστευτικότητα των πληροφοριών- υποχρεωτική απαίτηση για ένα άτομο που έχει αποκτήσει πρόσβαση σε ορισμένες πληροφορίες να μην μεταφέρει αυτές τις πληροφορίες σε τρίτους χωρίς τη συγκατάθεση του κατόχου τους.

Το άρθρο 4 του νόμου διατυπώνει τις αρχές της νομικής ρύθμισης των σχέσεων στον τομέα των πληροφοριών, της τεχνολογίας των πληροφοριών και της προστασίας των πληροφοριών:

  1. ελευθερία αναζήτησης, λήψης, μετάδοσης, παραγωγής και διάδοσης πληροφοριών με οποιοδήποτε νόμιμο μέσο·
  2. θέσπιση περιορισμών στην πρόσβαση σε πληροφορίες μόνο από ομοσπονδιακούς νόμους·
  3. διαφάνεια των πληροφοριών σχετικά με τις δραστηριότητες των κρατικών φορέων και των τοπικών κυβερνήσεων και ελεύθερη πρόσβαση σε αυτές τις πληροφορίες, εκτός από περιπτώσεις που ορίζονται από ομοσπονδιακούς νόμους·
  4. ισότητα δικαιωμάτων για τις γλώσσες των λαών της Ρωσικής Ομοσπονδίας στη δημιουργία συστημάτων πληροφοριών και τη λειτουργία τους ·
  5. εξασφάλιση της ασφάλειας της Ρωσικής Ομοσπονδίας κατά τη δημιουργία συστημάτων πληροφοριών, τη λειτουργία τους και την προστασία των πληροφοριών που περιέχονται σε αυτά·
  6. την αξιοπιστία των πληροφοριών και την επικαιρότητα της παροχής τους·
  7. το απαραβίαστο της ιδιωτικής ζωής, το απαράδεκτο της συλλογής, αποθήκευσης, χρήσης και διάδοσης πληροφοριών σχετικά με την ιδιωτική ζωή ενός ατόμου χωρίς τη συγκατάθεσή του·
  8. το απαράδεκτο καθορισμού με κανονιστικές νομικές πράξεις οποιωνδήποτε πλεονεκτημάτων από τη χρήση ορισμένων τεχνολογιών πληροφοριών έναντι άλλων, εκτός εάν η υποχρεωτική χρήση ορισμένων τεχνολογιών πληροφοριών για τη δημιουργία και λειτουργία κρατικών συστημάτων πληροφοριών ορίζεται από ομοσπονδιακούς νόμους.

Όλες οι πληροφορίες χωρίζονται σε δημόσια διαθέσιμοκαι περιορισμένη πρόσβαση. Οι δημόσιες πληροφορίες περιλαμβάνουν γενικά γνωστές πληροφορίες και άλλες πληροφορίες, η πρόσβαση στις οποίες δεν είναι περιορισμένη. Ο νόμος ορίζει πληροφορίες στις οποίες δεν μπορεί να περιοριστεί η πρόσβαση, για παράδειγμα, πληροφορίες σχετικά με το περιβάλλον ή τις δραστηριότητες κυβερνητικών φορέων. Επίσης ορίζεται ότι Περιορισμός πρόσβασηςΗ ενημέρωση καθορίζεται από ομοσπονδιακούς νόμους για την προστασία των θεμελίων του συνταγματικού συστήματος, της ηθικής, της υγείας, των δικαιωμάτων και των νόμιμων συμφερόντων άλλων προσώπων, διασφαλίζοντας την άμυνα της χώρας και την ασφάλεια του κράτους. Είναι υποχρεωτική η τήρηση του απορρήτου των πληροφοριών, η πρόσβαση στις οποίες περιορίζεται από ομοσπονδιακούς νόμους.

Απαγορεύεται η απαίτηση από έναν πολίτη (άτομο) να παρέχει πληροφορίες για την ιδιωτική του ζωή, συμπεριλαμβανομένων πληροφοριών που αποτελούν προσωπικό ή οικογενειακό μυστικό, και να λαμβάνει τέτοιες πληροφορίες ενάντια στη θέληση του πολίτη (άτομο), εκτός εάν προβλέπεται διαφορετικά από τους ομοσπονδιακούς νόμους.

  1. πληροφορίες που διαδίδονται ελεύθερα·
  2. πληροφορίες που παρέχονται κατόπιν συμφωνίας των προσώπων που συμμετέχουν στη σχετική σχέση·
  3. πληροφορίες που, σύμφωνα με τους ομοσπονδιακούς νόμους, υπόκεινται σε παροχή ή διανομή·
  4. πληροφορίες των οποίων η διανομή είναι περιορισμένη ή απαγορευμένη στη Ρωσική Ομοσπονδία.

Ο νόμος καθιερώνει την ισοδυναμία ενός ηλεκτρονικού μηνύματος που υπογράφεται με ηλεκτρονική ψηφιακή υπογραφή ή άλλο ανάλογο χειρόγραφης υπογραφής και εγγράφου που υπογράφεται με το χέρι.

Δίνεται ο ακόλουθος ορισμός της προστασίας των πληροφοριών - αντιπροσωπεύει την υιοθέτηση νομικών, οργανωτικών και τεχνικών μέτρων με στόχο:

  1. τη διασφάλιση της προστασίας των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση, καταστροφή, τροποποίηση, αποκλεισμό, αντιγραφή, παροχή, διανομή, καθώς και από άλλες παράνομες ενέργειες σε σχέση με τέτοιες πληροφορίες·
  2. διατήρηση του απορρήτου των περιορισμένων πληροφοριών·
  3. εφαρμογή του δικαιώματος πρόσβασης σε πληροφορίες.

Ο ιδιοκτήτης των πληροφοριών, ο χειριστής του συστήματος πληροφοριών σε περιπτώσεις που ορίζονται από τη νομοθεσία της Ρωσικής Ομοσπονδίας, υποχρεούται να διασφαλίζει:

  1. πρόληψη της μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες και (ή) μεταφορά τους σε άτομα που δεν έχουν δικαίωμα πρόσβασης σε πληροφορίες·
  2. έγκαιρη ανίχνευση γεγονότων μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες·
  3. αποτροπή της πιθανότητας δυσμενών συνεπειών της παραβίασης της σειράς πρόσβασης στις πληροφορίες·
  4. αποτροπή επιρροής σε τεχνικά μέσα επεξεργασίας πληροφοριών, ως αποτέλεσμα των οποίων διακόπτεται η λειτουργία τους·
  5. τη δυνατότητα άμεσης αποκατάστασης πληροφοριών που τροποποιήθηκαν ή καταστράφηκαν λόγω μη εξουσιοδοτημένης πρόσβασης σε αυτές·
  6. συνεχής παρακολούθηση για τη διασφάλιση του επιπέδου ασφάλειας των πληροφοριών.

Έτσι, ο ομοσπονδιακός νόμος «Περί Πληροφοριών, Τεχνολογιών Πληροφοριών και Προστασίας Πληροφοριών» δημιουργεί τη νομική βάση για την ανταλλαγή πληροφοριών στη Ρωσική Ομοσπονδία και καθορίζει τα δικαιώματα και τις υποχρεώσεις των υποκειμένων της.

Η ασφάλεια πληροφοριών αναφέρεται στην ασφάλεια των πληροφοριών και της υποστηρικτικής τους υποδομής από τυχόν τυχαίες ή κακόβουλες επιρροές που μπορεί να οδηγήσουν σε ζημιά στις ίδιες τις πληροφορίες, τους κατόχους τους ή την υποστηρικτική υποδομή.

Ο σκοπός της ασφάλειας πληροφοριών είναι να διασφαλίσει τις τιμές του συστήματος, να προστατεύσει και να εγγυηθεί την ακρίβεια και την ακεραιότητα των πληροφοριών και να ελαχιστοποιήσει την καταστροφή που μπορεί να συμβεί σε περίπτωση τροποποίησης ή καταστροφής πληροφοριών.

Στην πράξη, τρεις πτυχές της ασφάλειας των πληροφοριών είναι πιο σημαντικές:

1. Διαθεσιμότητα (η δυνατότητα απόκτησης της απαιτούμενης υπηρεσίας πληροφοριών σε εύλογο χρονικό διάστημα).

2. Ακεραιότητα (προστασία του από καταστροφή και μη εξουσιοδοτημένες αλλαγές).

3. Εμπιστευτικότητα (προστασία από μη εξουσιοδοτημένη ανάγνωση).

Μέθοδοι (μέθοδοι) προστασίας πληροφοριών:

· Αφήνω- δημιουργία εμποδίου στην πορεία μιας απειλής, η υπέρβαση της οποίας συνδέεται με δυσκολίες για έναν επιτιθέμενο ή με παράγοντα αποσταθεροποίησης.

· Ελεγχος- παροχή ενεργειών ελέγχου στα στοιχεία του προστατευόμενου συστήματος.

· Μεταμφίεση- ενέργειες στο προστατευμένο σύστημα ή πληροφορίες, που οδηγούν στη μετατροπή τους με τέτοιο τρόπο που τα καθιστά απρόσιτα σε έναν εισβολέα. (Σε αυτό περιλαμβάνονται, ειδικότερα, κρυπτογραφικές μέθοδοι προστασίας).

· Κανονισμός λειτουργίας- ανάπτυξη και εφαρμογή ενός συνόλου μέτρων που δημιουργούν συνθήκες για την επεξεργασία πληροφοριών που περιπλέκουν σημαντικά την υλοποίηση επιθέσεων από έναν εισβολέα ή τον αντίκτυπο άλλων αποσταθεροποιητικών παραγόντων.

· Καταναγκασμός- η μέθοδος συνίσταται στη δημιουργία συνθηκών υπό τις οποίες οι χρήστες και το προσωπικό αναγκάζονται να συμμορφωθούν με τις προϋποθέσεις για την επεξεργασία πληροφοριών υπό την απειλή ευθύνης (υλική, ποινική, διοικητική)

· Παρακίνηση- η μέθοδος συνίσταται στη δημιουργία συνθηκών υπό τις οποίες οι χρήστες και το προσωπικό συμμορφώνονται με τις προϋποθέσεις για την επεξεργασία πληροφοριών για ηθικούς, ηθικούς και ψυχολογικούς λόγους.

Μέτρα ασφάλειας πληροφοριών:

· Φυσικά μέσα- μηχανικές, ηλεκτρικές, ηλεκτρομηχανικές, ηλεκτρονικές, ηλεκτρονικές-μηχανικές κ.λπ. συσκευές και συστήματα που λειτουργούν αυτόνομα, δημιουργώντας ποικίλων ειδών εμπόδια στην πορεία αποσταθεροποιητικών παραγόντων.

· Σκεύη, εξαρτήματα- διάφορα ηλεκτρονικά και ηλεκτρονικά-μηχανικά κ.λπ. συσκευές που είναι ενσωματωμένες σε κύκλωμα στον εξοπλισμό ενός συστήματος επεξεργασίας δεδομένων ή συνδέονται με αυτό ειδικά για την επίλυση προβλημάτων ασφάλειας πληροφοριών.

· Λογισμικό- ειδικά πακέτα λογισμικού ή μεμονωμένα προγράμματα που περιλαμβάνονται στο λογισμικό για την επίλυση προβλημάτων ασφάλειας πληροφοριών.

· Οργανωτικά μέσα- οργανωτικά και τεχνικά μέτρα που προβλέπονται ειδικά στην τεχνολογία λειτουργίας του συστήματος για την επίλυση προβλημάτων ασφάλειας πληροφοριών.

· Νομοθετικά μέσα- κανονιστικές νομικές πράξεις που ρυθμίζουν τα δικαιώματα και τις υποχρεώσεις, καθώς και καθορίζουν την ευθύνη όλων των προσώπων και των υπηρεσιών που σχετίζονται με τη λειτουργία του συστήματος για παραβίαση των κανόνων επεξεργασίας πληροφοριών, που μπορεί να οδηγήσει σε παραβίαση της ασφάλειάς του.

· Ψυχολογικά (ηθικά και ηθικά μέσα)- ηθικούς κανόνες ή ηθικούς κανόνες που θεσπίζονται στην κοινωνία ή σε μια δεδομένη ομάδα, η συμμόρφωση με τους οποίους συμβάλλει στην προστασία των πληροφοριών και η παραβίασή τους ισοδυναμεί με μη συμμόρφωση με τους κανόνες συμπεριφοράς στην κοινωνία ή την ομάδα.

Μέθοδοι και μέσα προστασίας των πληροφοριών

Μέθοδοι για τη διασφάλιση της ασφάλειας των πληροφοριών στο IS:

· εμπόδιο?

· Έλεγχος πρόσβασης.

· Μηχανισμοί κρυπτογράφησης.

· αντιμετώπιση επιθέσεων κακόβουλου λογισμικού.

· κανονισμός λειτουργίας;

· εξαναγκασμός;

· κίνητρο.

Απόφραξη - μια μέθοδος σωματικού αποκλεισμού της διαδρομής ενός εισβολέα προς

προστατευμένες πληροφορίες (εξοπλισμός, μέσα αποθήκευσης, κ.λπ.).

Έλεγχος πρόσβασης - μέθοδοι προστασίας πληροφοριών μέσω κανονισμού

χρήση όλων των πόρων IP και IT. Αυτές οι μέθοδοι πρέπει να αντιστέκονται σε όλες

πιθανούς τρόπους μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες.

Ο έλεγχος πρόσβασης περιλαμβάνει τις ακόλουθες λειτουργίες ασφαλείας:

· Ταυτοποίηση χρηστών, προσωπικού και πόρων συστήματος (ανάθεση

κάθε αντικείμενο ενός προσωπικού αναγνωριστικού)·

· αναγνώριση (αυθεντικοποίηση) αντικειμένου ή θέματος από

το αναγνωριστικό που τους παρουσιάζεται·

· επαλήθευση των διαπιστευτηρίων (έλεγχος συμμόρφωσης με την ημέρα της εβδομάδας, την ώρα της ημέρας,

ζητούμενους πόρους και διαδικασίες που καθορίζονται από κανονισμούς)·

· άδεια και δημιουργία συνθηκών εργασίας εντός των καθιερωμένων κανονισμών.

· Καταγραφή (καταγραφή) αιτημάτων σε προστατευμένους πόρους.

· ανταπόκριση (συναγερμός, διακοπή λειτουργίας, καθυστέρηση εργασίας, απόρριψη αιτήματος κ.λπ.)

όταν επιχειρείτε μη εξουσιοδοτημένες ενέργειες.

Μηχανισμοί κρυπτογράφησης – κρυπτογραφικό κλείσιμο πληροφοριών. Αυτά τα

μέθοδοι προστασίας χρησιμοποιούνται όλο και περισσότερο τόσο κατά την επεξεργασία όσο και κατά την αποθήκευση

πληροφορίες για μαγνητικά μέσα. Κατά τη μετάδοση πληροφοριών μέσω καναλιών επικοινωνίας

σε μεγάλες αποστάσεις, αυτή η μέθοδος είναι η μόνη αξιόπιστη.

Η αντιμετώπιση επιθέσεων κακόβουλου λογισμικού απαιτεί μια ολοκληρωμένη

διάφορα οργανωτικά μέτρα και τη χρήση anti-virus

προγράμματα. Οι στόχοι των μέτρων που λαμβάνονται είναι η μείωση της πιθανότητας μόλυνσης

AIS, ανίχνευση μόλυνσης συστήματος. μείωση

λοιμώξεις πληροφοριών, εντοπισμός ή καταστροφή ιών. ανάκτηση

πληροφορίες στο ΚΠ. Η εξοικείωση με αυτό το σύνολο μέτρων και μέσων απαιτεί εξοικείωση

ειδική λογοτεχνία.

Κανονισμός – δημιουργία τέτοιων συνθηκών για αυτοματοποιημένη επεξεργασία,

αποθήκευση και μετάδοση προστατευόμενων πληροφοριών, στις οποίες οι κανόνες και τα πρότυπα για

προστασία πραγματοποιείται στο μέγιστο βαθμό

Ο εξαναγκασμός είναι μια μέθοδος προστασίας στην οποία οι χρήστες και το προσωπικό του ΚτΠ

αναγκάζονται να συμμορφώνονται με τους κανόνες επεξεργασίας, μεταφοράς και χρήσης των προστατευόμενων

πληροφορίες υπό απειλή υλικού, διοικητικού ή εγκληματικού χαρακτήρα

ευθύνη.

Η προτροπή είναι μια μέθοδος προστασίας που ενθαρρύνει τους χρήστες και το προσωπικό IS να μην το κάνουν

παραβιάζουν καθιερωμένες εντολές τηρώντας τα καθιερωμένα ηθικά και

ηθικά πρότυπα

Ολόκληρο το σύνολο των τεχνικών μέσων χωρίζεται σε υλικό και

φυσικός.

Υλικό – συσκευές ενσωματωμένες απευθείας

εξοπλισμό υπολογιστή ή συσκευές που διασυνδέονται με αυτόν σύμφωνα με τα πρότυπα

διεπαφή.

Τα φυσικά μέσα περιλαμβάνουν διάφορες μηχανικές συσκευές και

δομές που εμποδίζουν τη φυσική διείσδυση εισβολέων σε

αντικείμενα προστασίας και προστασίας προσωπικού (προσωπικά μέσα

ασφάλεια), υλικούς πόρους και οικονομικά, πληροφορίες από παράνομες

Ενέργειες. Παραδείγματα φυσικών ελέγχων: κλειδαριές στις πόρτες, μπάρες στα παράθυρα, χειριστήρια

ηλεκτρονικός συναγερμός ασφαλείας κ.λπ.

Τα εργαλεία λογισμικού είναι ειδικά προγράμματα και λογισμικό

συμπλέγματα σχεδιασμένα για την προστασία πληροφοριών σε IP. Όπως σημειώθηκε, πολλά

εκ των οποίων συγχωνεύονται με το λογισμικό του ίδιου του ΚτΠ.

Από τα εργαλεία λογισμικού συστήματος ασφαλείας, θα επισημάνουμε επίσης τα εργαλεία λογισμικού,

εφαρμογή μηχανισμών κρυπτογράφησης (κρυπτογραφία). Η κρυπτογραφία είναι η επιστήμη του

διασφάλιση του απορρήτου ή/και της γνησιότητας (αυθεντικότητα) της διαβίβασης

μηνύματα.

Τα οργανωτικά μέσα πραγματοποιούν ρύθμιση μέσω του συγκροτήματός τους

παραγωγικές δραστηριότητες στο IP και σχέσεις μεταξύ των εκτελεστών

κανονιστικό πλαίσιο με τέτοιο τρόπο ώστε η αποκάλυψη, η διαρροή και

γίνεται μη εξουσιοδοτημένη πρόσβαση σε εμπιστευτικές πληροφορίες

αδύνατη ή σημαντικά παρεμποδισμένη λόγω οργανωτικών

εκδηλώσεις. Μια σειρά από αυτά τα μέτρα υλοποιείται από την ομάδα ενημέρωσης

ασφάλεια, αλλά πρέπει να είναι υπό τον έλεγχο του πρώτου διαχειριστή.

Τα ένδικα μέσα καθορίζονται με νομοθετικές πράξεις

χώρες που ρυθμίζουν τους κανόνες χρήσης, επεξεργασίας και μεταφοράς

πληροφορίες περιορισμένης πρόσβασης και μέτρα ευθύνης

παραβίαση αυτών των κανόνων.

Η ηθική και ηθική προστασία περιλαμβάνει όλα τα είδη κανόνων

συμπεριφορά (που παραδοσιακά αναπτύχθηκε νωρίτερα) αναπτύσσεται ως

διανομή IP και IT στη χώρα και στον κόσμο ή ειδικά αναπτυγμένες.

Τα ηθικά και ηθικά πρότυπα μπορεί να είναι άγραφα (για παράδειγμα, ειλικρίνεια) ή

επισημοποιηθεί σε ένα συγκεκριμένο σύνολο (χάρτη) κανόνων ή κανονισμών. Αυτά τα πρότυπα είναι συνήθως

δεν είναι νομικά εγκεκριμένα, αλλά εφόσον η μη συμμόρφωσή τους οδηγεί σε

σε πτώση του κύρους του οργανισμού, θεωρούνται υποχρεωτικά.

Χαρακτηριστικό παράδειγμα τέτοιων κανονισμών είναι ο Κώδικας Επαγγελματικής Πρακτικής

συμπεριφορά των μελών της Ένωσης Χρηστών Υπολογιστών των ΗΠΑ.

9.3. Τεχνολογίες Ασφαλείας

Όταν χρησιμοποιείτε οποιαδήποτε τεχνολογία πληροφοριών, θα πρέπει να δίνετε προσοχή

προσοχή στη διαθεσιμότητα εργαλείων προστασίας δεδομένων, προγραμμάτων, συστημάτων υπολογιστών.

Η ασφάλεια δεδομένων περιλαμβάνει τη διασφάλιση της ακεραιότητας και την προστασία των δεδομένων

δεδομένα και προγράμματα από μη εξουσιοδοτημένη πρόσβαση, αντιγραφή, τροποποίηση.

Η αξιοπιστία των δεδομένων ελέγχεται σε όλα τα στάδια της τεχνολογικής διαδικασίας

λειτουργία της ΜΠΕ. Υπάρχουν μέθοδοι οπτικού ελέγχου και λογισμικού.

Ο οπτικός έλεγχος πραγματοποιείται στο σπίτι και στο τελικό στάδιο.

Λογισμικό – στο στάδιο της μηχανής. Σε αυτήν την περίπτωση, απαιτείται έλεγχος κατά την είσοδο.

δεδομένα, τη διόρθωσή τους, δηλ. όπου υπάρχει παρέμβαση χρήστη

υπολογιστική διαδικασία. Ελέγχονται μεμονωμένες λεπτομέρειες, αρχεία, ομάδες

αρχεία, αρχεία. Εργαλεία λογισμικού για έλεγχο αξιοπιστίας δεδομένων

που ορίζονται στο στάδιο του λεπτομερούς σχεδιασμού.

Προστασία δεδομένων και προγραμμάτων από μη εξουσιοδοτημένη πρόσβαση, αντιγραφή, Τεχνολογία πληροφοριών0n3o.l0o1g.i1i3v οικονομικά: 9.2. Μέθοδοι και μέσα προστασίας των πληροφοριών »

abc.v v su.ru/Books/inform_tehnolog/page0025.asp 3/4

Οι αλλαγές υλοποιούνται με μεθόδους λογισμικού και υλικού και τεχνολογικές

τεχνικές. Τα μέτρα ασφαλείας υλικού και λογισμικού περιλαμβάνουν κωδικούς πρόσβασης, ηλεκτρονικούς

κλειδιά, ηλεκτρονικά αναγνωριστικά, ηλεκτρονική υπογραφή, εργαλεία κωδικοποίησης,

αποκωδικοποίηση δεδομένων. Για κωδικοποίηση, αποκωδικοποίηση δεδομένων, προγραμμάτων και

Η ηλεκτρονική υπογραφή χρησιμοποιεί κρυπτογραφικές μεθόδους. Για παράδειγμα, στις Η.Π.Α

Χρησιμοποιείται το κρυπτογραφικό πρότυπο που αναπτύχθηκε από την ομάδα IETF. Εξάγει

δεν υπόκειται σε. Τα εγχώρια ηλεκτρονικά κλειδιά έχουν επίσης αναπτυχθεί, για παράδειγμα,

NovexKey για προστασία προγραμμάτων και δεδομένων σε συστήματα Windows, DOS, Netware.

Τα μέτρα ασφαλείας είναι παρόμοια, σύμφωνα με τους ειδικούς, με μια κλειδαριά πόρτας. Κλειδαριές

εισβάλλουν, αλλά κανείς δεν τους απομακρύνει από τις πόρτες, αφήνοντας το διαμέρισμα ανοιχτό.

Ο τεχνολογικός έλεγχος συνίσταται στην οργάνωση ενός πολυεπίπεδου

συστήματα για την προστασία προγραμμάτων και δεδομένων ως μέσα ελέγχου κωδικών πρόσβασης, ηλεκτρονικά

υπογραφές, ηλεκτρονικά κλειδιά, κρυφά σημάδια αρχείων, χρήση λογισμικού

προϊόντα που πληρούν τις απαιτήσεις ασφάλειας υπολογιστών και

μεθόδους οπτικού και λογισμικού ελέγχου αξιοπιστίας, ακεραιότητας, πληρότητας

Η ασφάλεια της επεξεργασίας δεδομένων εξαρτάται από την ασφάλεια χρήσης

συστήματα υπολογιστών. Ένα σύστημα υπολογιστή είναι μια συλλογή

υλικό και λογισμικό, διάφορα είδη φυσικών μέσων

πληροφορίες, τα ίδια τα δεδομένα, καθώς και το προσωπικό που εξυπηρετεί τα αναφερόμενα

Συστατικά.

Ένα πρότυπο για τις αξιολογήσεις ασφαλείας έχει πλέον αναπτυχθεί στις ΗΠΑ.

υπολογιστικά συστήματα – κριτήρια για την αξιολόγηση της καταλληλότητας. Λαμβάνει υπόψη τέσσερα

τύπος απαιτήσεων για συστήματα υπολογιστών:

· Απαιτήσεις για την εφαρμογή μιας πολιτικής ασφάλειας – πολιτική ασφάλειας.

· Τήρηση αρχείων χρήσης υπολογιστικών συστημάτων – λογαριασμών.

· εμπιστοσύνη στα συστήματα υπολογιστών.

· απαιτήσεις τεκμηρίωσης.

Απαιτήσεις για συνεπή πολιτική ασφάλειας και συντήρηση

λογιστική για τη χρήση των συστημάτων υπολογιστών εξαρτώνται μεταξύ τους και παρέχονται

κεφάλαια που περιλαμβάνονται στο σύστημα, δηλ. περιλαμβάνεται η επίλυση θεμάτων ασφαλείας

σε λογισμικό και υλικό στο στάδιο του σχεδιασμού.

Η παραβίαση της εμπιστοσύνης στα συστήματα υπολογιστών προκαλείται συνήθως από

παραβίαση της κουλτούρας ανάπτυξης του προγράμματος: απόρριψη του διαρθρωτικού

προγραμματισμός, μη εξάλειψη στέλεχος, απροσδιόριστη είσοδο κ.λπ. Για

δοκιμές για εμπιστοσύνη πρέπει να γνωρίζετε την αρχιτεκτονική της εφαρμογής, τους κανόνες σταθερότητας

συντήρησή του, παράδειγμα δοκιμής.

Οι απαιτήσεις τεκμηρίωσης σημαίνουν ότι ο χρήστης πρέπει να έχει

ολοκληρωμένη ενημέρωση για όλα τα θέματα. Σε αυτή την περίπτωση, η τεκμηρίωση θα πρέπει

να είναι συνοπτικός και κατανοητός.

Μόνο μετά την αξιολόγηση της ασφάλειας του συστήματος υπολογιστή μπορεί να γίνει αποδεκτό

Στην αγορά.

Κατά τη λειτουργία μιας IP, η μεγαλύτερη ζημιά και απώλειες προκαλούνται από ιούς. ΠΡΟΣΤΑΣΙΑ

κατά των ιών μπορεί να οργανωθεί με τον ίδιο τρόπο όπως η προστασία από μη εξουσιοδοτημένα

πρόσβαση. Η τεχνολογία προστασίας είναι πολυεπίπεδη και περιλαμβάνει τα ακόλουθα στάδια:

1. Έλεγχος εισόδου νέου λογισμικού ή δισκέτας, η οποία

πραγματοποιείται από μια ομάδα ειδικά επιλεγμένων ανιχνευτών, ελεγκτών και φίλτρων.

Για παράδειγμα, η ομάδα μπορεί να περιλαμβάνει Scan, Aidstest, TPU8CLS. Μπορώ

εφαρμόζουν καθεστώς καραντίνας. Για το σκοπό αυτό, ένας επιταχυνόμενος υπολογιστής

Ημερολόγιο. Με κάθε επόμενο πείραμα, εισάγεται και παρατηρείται μια νέα ημερομηνία

απόκλιση σε παλιό λογισμικό. Εάν δεν υπάρχει απόκλιση, τότε ο ιός δεν είναι

ανακαλύφθηκε.

2. Τμηματοποίηση σκληρού δίσκου. Ταυτόχρονα, μεμονωμένα διαμερίσματα δίσκων

εκχωρείται το χαρακτηριστικό ReadOnly. Για τμηματοποίηση μπορείτε να χρησιμοποιήσετε, για παράδειγμα,

Πρόγραμμα διαχειριστή κ.λπ.

3. Συστηματική χρήση προγραμμάτων και φίλτρων ελεγκτών κατοίκων

για την παρακολούθηση της ακεραιότητας των πληροφοριών, για παράδειγμα Check21, SBM, Antivirus2, κ.λπ.

4. Αρχειοθέτηση. Τόσο τα προγράμματα συστήματος όσο και τα προγράμματα εφαρμογής υπόκεινται σε αυτό. Αν

ένας υπολογιστής χρησιμοποιείται από πολλούς χρήστες, συνιστάται

καθημερινή αρχειοθέτηση. Για την αρχειοθέτηση, μπορείτε να χρησιμοποιήσετε το PKZIP και άλλα Η αποτελεσματικότητα του λογισμικού ασφαλείας εξαρτάται από την ορθότητα των ενεργειών

χρήστη, η οποία μπορεί να εκτελεστεί λανθασμένα ή με κακόβουλη πρόθεση.

Ως εκ τούτου, θα πρέπει να ληφθούν τα ακόλουθα οργανωτικά προστατευτικά μέτρα:

γενικός έλεγχος πρόσβασης, συμπεριλαμβανομένου συστήματος κωδικού πρόσβασης και τμηματοποίησης

σκληρός δίσκος;

· εκπαίδευση του προσωπικού στην τεχνολογία προστασίας.

· Διασφάλιση της φυσικής ασφάλειας του υπολογιστή και των μαγνητικών μέσων.

· Ανάπτυξη κανόνων αρχειοθέτησης.

· αποθήκευση μεμονωμένων αρχείων σε κρυπτογραφημένη μορφή.

· δημιουργία σχεδίου για την επαναφορά του σκληρού δίσκου και των κατεστραμμένων πληροφοριών.

Για κρυπτογράφηση αρχείων και προστασία από μη εξουσιοδοτημένη αντιγραφή

Έχουν αναπτυχθεί πολλά προγράμματα, για παράδειγμα Catcher, Exeb, κ.λπ. Μία από τις μεθόδους προστασίας

είναι μια κρυφή ετικέτα αρχείου: η ετικέτα (κωδικός πρόσβασης) γράφεται σε έναν τομέα στο δίσκο,

που δεν διαβάζεται μαζί με το αρχείο και το ίδιο το αρχείο βρίσκεται από διαφορετικό τομέα,

Επομένως, το αρχείο δεν μπορεί να ανοίξει χωρίς να γνωρίζουμε την ετικέτα.

Η επαναφορά πληροφοριών σε έναν σκληρό δίσκο είναι μια δύσκολη εργασία, προσβάσιμη

προγραμματιστές συστημάτων υψηλής εξειδίκευσης. Ως εκ τούτου καλό είναι να έχετε

πολλά σετ δισκέτας για το αρχείο του σκληρού δίσκου και την κυκλική εγγραφή σε αυτά

κιτ. Για παράδειγμα, για εγγραφή σε τρία σετ δισκέτες, μπορείτε να χρησιμοποιήσετε

Αρχή «εβδομάδα-μήνας-έτος». Η τοποθεσία πρέπει να βελτιστοποιείται περιοδικά

αρχεία στον σκληρό δίσκο χρησιμοποιώντας το βοηθητικό πρόγραμμα SpeedDisk, κ.λπ., κάτι που είναι απαραίτητο

διευκολύνει την ανάρρωσή τους.

Στοιχεία ασφάλειας πληροφοριών

Γενικά, η ασφάλεια πληροφοριών (IS) μπορεί να οριστεί ως «η ασφάλεια πληροφοριών, πόρων και υποστηρικτικής υποδομής από τυχαίες ή σκόπιμες επιπτώσεις φυσικής ή τεχνητής φύσης που μπορεί να προκαλέσει απαράδεκτη ζημία στα υποκείμενα των σχέσεων πληροφοριών - παραγωγούς, ιδιοκτήτες και χρήστες. πληροφορικής και υποστηρικτικής υποδομής».

Η ασφάλεια των πληροφοριών δεν περιορίζεται μόνο στην προστασία από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες: είναι μια θεμελιωδώς ευρύτερη έννοια, συμπεριλαμβανομένης της προστασίας των πληροφοριών, των τεχνολογιών και των συστημάτων.

Οι απαιτήσεις ασφάλειας σε διάφορες πτυχές της δραστηριότητας πληροφοριών μπορεί να διαφέρουν σημαντικά, αλλά πάντα στοχεύουν στην επίτευξη των ακόλουθων τριών βασικών συνιστωσών της ασφάλειας των πληροφοριών:

  • ακεραιότητα. Αυτό είναι, πρώτα απ 'όλα, η συνάφεια και η συνέπεια των πληροφοριών, η προστασία τους από καταστροφή και μη εξουσιοδοτημένες αλλαγές, συγκεκριμένα: τα δεδομένα και οι πληροφορίες βάσει των οποίων λαμβάνονται οι αποφάσεις πρέπει να είναι αξιόπιστα, ακριβή και να προστατεύονται από πιθανές ακούσιες και κακόβουλες παραμορφώσεις.
  • μυστικότητα. Οι διαβαθμισμένες πληροφορίες θα πρέπει να είναι προσβάσιμες μόνο σε εκείνους για τους οποίους προορίζονται. Τέτοιες πληροφορίες δεν μπορούν να ληφθούν, να διαβαστούν, να αλλάξουν ή να μεταδοθούν εκτός εάν υπάρχουν κατάλληλα δικαιώματα πρόσβασης.
  • προσιτότητα(ετοιμότητα). Αυτή είναι μια ευκαιρία να λάβετε την απαιτούμενη υπηρεσία πληροφοριών σε εύλογο χρονικό διάστημα, π.χ. Δεδομένα, πληροφορίες και συναφείς υπηρεσίες, αυτοματοποιημένες υπηρεσίες, εργαλεία αλληλεπίδρασης και επικοινωνίας πρέπει να είναι διαθέσιμα και έτοιμα να λειτουργήσουν όποτε χρειάζονται.

Οι δραστηριότητες ασφάλειας πληροφοριών στοχεύουν στην πρόληψη, πρόληψη ή εξουδετέρωση των ακόλουθων ενεργειών:

  • μη εξουσιοδοτημένη πρόσβαση σε πόρους πληροφοριών (NSD, Unauthorized Access – UAA).
  • παραμόρφωση, μερική ή πλήρης απώλεια εμπιστευτικών πληροφοριών·
  • στοχευμένες ενέργειες (επιθέσεις) για την καταστροφή της ακεραιότητας συστημάτων λογισμικού, συστημάτων δεδομένων και δομών πληροφοριών·
  • βλάβες και δυσλειτουργίες λογισμικού, υλικού και τηλεπικοινωνιών.

Έτσι, μια μεθοδολογικά σωστή προσέγγιση στα προβλήματα ασφάλειας πληροφοριών ξεκινά με τον προσδιορισμό των θεμάτων των σχέσεων πληροφοριών και των ενδιαφερόντων αυτών των θεμάτων που σχετίζονται με τη χρήση τεχνολογιών και συστημάτων πληροφοριών (IT/IS).

Η αξιολόγηση της πραγματικής κατάστασης στις περισσότερες περιπτώσεις καταλήγει στην απάντηση στα βασικά ερωτήματα που αποτελούν τη συστημική βάση για τη διασφάλιση της ασφάλειας των πληροφοριών, και ειδικότερα εάν είναι απαραίτητο να προστατευθεί, από ποιον και τι πρέπει να προστατεύεται, τι και πώς πρέπει να προστατεύεται, ποια μέτρα θα διασφαλίσουν την αποτελεσματικότητα της προστασίας, καθώς και για την αξιολόγηση του εκτιμώμενου κόστους ανάπτυξης, υλοποίησης, λειτουργίας, συντήρησης και εκσυγχρονισμού των συστημάτων ασφαλείας.

Οι τρεις πρώτες ερωτήσεις σχετίζονται άμεσα με το πρόβλημα της αξιολόγησης πραγματικών απειλών (Εικ. 7.1) 16]. Οι απαντήσεις σε αυτές τις ερωτήσεις είναι διφορούμενες - πολλά εξαρτώνται από τη δομή, τον τομέα δραστηριότητας και τους στόχους της εταιρείας. Κατά την ενσωμάτωση μεμονωμένων και εταιρικών πληροφοριακών συστημάτων και πόρων σε μια ενοποιημένη υποδομή πληροφοριών, ο καθοριστικός παράγοντας είναι να διασφαλιστεί το κατάλληλο επίπεδο ασφάλειας πληροφοριών για κάθε οντότητα που αποφάσισε να εισέλθει στην ενοποιημένη υποδομή.

Ρύζι. 7.1.

Σε έναν ενιαίο χώρο πληροφόρησης πρέπει να δημιουργηθεί μια κρατική δομή ή μια εμπορική εταιρεία μηχανισμούς και εργαλείο ελέγχου ταυτότητας για τον έλεγχο ταυτότητας χρήστη, μηνύματος και περιεχομένου. Επομένως, πρέπει να δημιουργηθεί ένα σύστημα ασφάλειας πληροφοριών που θα περιλαμβάνει το απαραίτητο σύνολο μέτρων και τεχνικών λύσεων για την προστασία:

  • από δυσλειτουργία ο χώρος πληροφοριών εξαλείφοντας τον αντίκτυπο στα κανάλια και τους πόρους πληροφόρησης·
  • μη εξουσιοδοτημένη πρόσβαση στην πληροφόρηση με τον εντοπισμό και την εξάλειψη των προσπαθειών χρήσης των πόρων του χώρου πληροφοριών, που οδηγούν σε παραβίαση της ακεραιότητάς του·
  • καταστροφή του ενσωματωμένου προστατευτικού εξοπλισμού με την ικανότητα εντοπισμού μη εξουσιοδοτημένων ενεργειών των χρηστών και του προσωπικού σέρβις·
  • υλοποίηση λογισμικού " ιούς " και "σελιδοδείκτες" «σε προϊόντα λογισμικού και υλικό.

Ιδιαίτερα αξιοσημείωτα είναι τα καθήκοντα διασφάλισης της ασφάλειας των συστημάτων που αναπτύσσονται και τροποποιούνται σε ένα ολοκληρωμένο περιβάλλον πληροφοριών, καθώς κατά τη διαδικασία τροποποίησης του CIS, η εμφάνιση καταστάσεων έκτακτης ανάγκης ανασφάλειας του συστήματος (οι λεγόμενες «τρύπες στο σύστημα») είναι αναπόφευκτη.

Παράλληλα με την ανάλυση των συγκεκριμένων μέσων προστασίας που υπάρχουν στην εταιρεία, η ανάπτυξη πολιτικές ασφάλειας πληροφοριών, συμπεριλαμβανομένου ενός συνόλου οργανωτικών και διοικητικών μέτρων και εγγράφων, καθώς και μεθοδολογικών και τεχνικών λύσεων που αποτελούν τη βάση για τη δημιουργία μιας υποδομής ασφάλειας πληροφοριών (Εικ. 7.2).

Ρύζι. 7.2.

Το επόμενο βήμα για την ανάπτυξη ενός ολοκληρωμένου συστήματος ασφάλειας πληροφοριών είναι η απόκτηση, εγκατάσταση και διαμόρφωση εργαλείων και μηχανισμών ασφάλειας πληροφοριών. Τέτοια εργαλεία περιλαμβάνουν συστήματα προστασίας πληροφοριών από μη εξουσιοδοτημένη πρόσβαση, συστήματα κρυπτογραφικής προστασίας, τείχη προστασίας (τείχη προστασίας, τείχη προστασίας), εργαλεία ανάλυσης ασφαλείας κ.λπ. Για τη σωστή και αποτελεσματική χρήση των εγκατεστημένων εργαλείων ασφαλείας, απαιτείται εξειδικευμένο προσωπικό.

Με την πάροδο του χρόνου, τα υπάρχοντα μέσα προστασίας γίνονται ξεπερασμένα, νέες εκδόσεις συστημάτων ασφάλειας πληροφοριών κυκλοφορούν, ο κατάλογος των ευπαθειών και επιθέσεων που εντοπίστηκαν διευρύνεται συνεχώς, η τεχνολογία επεξεργασίας πληροφοριών, το λογισμικό και το υλικό, καθώς και το προσωπικό της εταιρείας αλλάζουν. Ως εκ τούτου, είναι απαραίτητο να επανεξετάζετε τακτικά τα αναπτυγμένα οργανωτικά και διοικητικά έγγραφα, να διεξάγετε έρευνα του συστήματος πληροφοριών ή των υποσυστημάτων του, να εκπαιδεύετε το προσωπικό και να ενημερώνετε τα μέτρα ασφαλείας.

Κάθε επιχείρηση που λαμβάνει πόρους, συμπεριλαμβανομένων των πληροφοριών, τους επεξεργάζεται για να πουλήσει τελικά το δικό της εμπορικό προϊόν στην αγορά. Ταυτόχρονα, δημιουργεί ένα συγκεκριμένο εσωτερικό περιβάλλον, το οποίο διαμορφώνεται από τις προσπάθειες του προσωπικού όλων των δομικών τμημάτων, καθώς και από τεχνικά μέσα και τεχνολογικές διαδικασίες, οικονομικές και κοινωνικές σχέσεις τόσο εντός της επιχείρησης όσο και σε αλληλεπίδραση με το εξωτερικό περιβάλλον.

Οι εταιρικές πληροφορίες αντικατοπτρίζουν τη χρηματοοικονομική και οικονομική κατάσταση της επιχείρησης και τα αποτελέσματα των δραστηριοτήτων της. Παραδείγματα τέτοιων πληροφοριών είναι η εγγραφή και τα νομοθετικά έγγραφα, τα μακροπρόθεσμα και τρέχοντα σχέδια, οι παραγγελίες, οι οδηγίες, οι εκθέσεις, τα δεδομένα παραγωγής, τα δεδομένα σχετικά με τη ροή των οικονομικών και άλλων πόρων, οι πληροφορίες για την εκπαίδευση του προσωπικού και οι τομείς εφαρμογής των προϊόντων, συμπεριλαμβανομένων των μεθόδων και κανάλια πωλήσεων, τεχνικές πωλήσεων, παραγγελίες, logistics, πληροφορίες για προμηθευτές και συνεργάτες.

Πηγές εταιρικών πληροφοριών - Διεύθυνση και διοίκηση της επιχείρησης, τμήματα σχεδιασμού και οικονομικών, λογιστικά, τμήματα πληροφορικής και κέντρα υπολογιστών, τμήματα αρχιμηχανικού και αρχιμηχανικού, τμήματα παραγωγής, νομικές, λειτουργικές και επισκευαστικές υπηρεσίες, logistics, αγορές και πωλήσεις τμήματα κλπ.

Το εταιρικό περιβάλλον περιλαμβάνει κυβερνητικούς, οικονομικούς, πολιτικούς και κοινωνικούς παράγοντες που δραστηριοποιούνται εκτός της επιχείρησης. Οι πληροφορίες έξω από το εταιρικό περιβάλλον είναι συχνά ελλιπείς, αντιφατικές, κατά προσέγγιση, ετερογενείς και δεν αντικατοπτρίζουν επαρκώς την κατάσταση του εξωτερικού περιβάλλοντος. Παραδείγματα εξωτερικών πληροφοριών που υπερβαίνουν το εταιρικό περιβάλλον είναι η κατάσταση της αγοράς (μακροπρόθεσμη και τρέχουσα κατάστασή της, τάσεις στο επιχειρηματικό περιβάλλον, διακυμάνσεις προσφοράς και ζήτησης, αστάθεια της κατάστασης, μεταβλητότητα, αντιφατικές απαιτήσεις), αλλαγές σε νομοθεσία, προσδοκίες των καταναλωτών, «ίντριγκες» ανταγωνιστών, συνέπειες πολιτικών γεγονότων κ.λπ.

Οι περισσότερες από αυτές τις πληροφορίες είναι ανοιχτές, αλλά ανάλογα με τα χαρακτηριστικά των εσωτερικών δραστηριοτήτων και την αλληλεπίδραση με τον έξω κόσμο, ορισμένες από τις πληροφορίες μπορεί να προορίζονται «για επίσημη χρήση», δηλ. να είναι «αυστηρά εμπιστευτικό» ή «μυστικό». Τέτοιες πληροφορίες είναι, κατά κανόνα, «κλειστές» και απαιτούν κατάλληλα μέτρα προστασίας.

Για να διασφαλίσετε την ασφάλεια κατά την εργασία με προστατευμένες πληροφορίες, θα πρέπει: Πρώτα, παράταξη πολιτική για την εργασία με εμπιστευτικές και αποκλειστικές πληροφορίες, να αναπτύξει και να εφαρμόσει κατάλληλες κατευθυντήριες γραμμές και διαδικασίες και, δεύτερον, να παρέχει τους απαραίτητους πόρους λογισμικού και υλικού.

Το λογισμικό και το υλικό για εργασία με προστατευμένες πληροφορίες είτε ενσωματώνονται στις αντίστοιχες μονάδες του εταιρικού συστήματος πληροφοριών (CIS) είτε χρησιμοποιούνται τοπικά σε συστήματα που καθορίζονται στην πολιτική ασφάλειας πληροφοριών. Αυτές περιλαμβάνουν συσκευές που:

  • παρακολούθηση της διακίνησης εμπιστευτικών πληροφοριών μέσω του συστήματος πληροφοριών (Data-in-Shell)·
  • διαχείριση του ελέγχου διαρροής δεδομένων μέσω της κυκλοφορίας δικτύου μέσω TCP/IP, SMTP, IMAP, HTTP(ων), IM (ICQ, AOL, MSN), FTP, SQL, ιδιόκτητων πρωτοκόλλων με φιλτράρισμα περιεχομένου σε επίπεδο:
  • – μια πύλη μέσω της οποίας η κυκλοφορία ρέει από το εσωτερικό δίκτυο στο εξωτερικό δίκτυο (Data-in-Motion).
  • – ένας διακομιστής που επεξεργάζεται έναν συγκεκριμένο τύπο κίνησης (Data-at-Rest).
  • – σταθμός εργασίας (Data-in-Use);
  • – εσωτερικά κανάλια αλληλογραφίας Microsoft Exchange, Lotus Notes κ.λπ.
  • – έλεγχος διαχείρισης διαρροής προστατευμένων πληροφοριών από σταθμούς εργασίας, περιφερειακούς και κινητούς
  • – δημιουργία προληπτικής προστασίας και προσωπικού τείχους προστασίας·
  • – σκιώδης αντιγραφή αντικειμένων πληροφοριών σε μια ενιαία βάση δεδομένων φιλτραρίσματος περιεχομένου για όλα τα κανάλια σύμφωνα με ενιαίους κανόνες.

Η σωστή οργάνωση της προστασίας των προστατευόμενων δεδομένων και πληροφοριών δεν είναι ούτε εύκολη ούτε φθηνή. Για να γίνει αυτό, πρέπει να ταξινομήσετε δεδομένα, να πραγματοποιήσετε μια λεπτομερή απογραφή των πόρων πληροφοριών, να επιλέξετε μια κατάλληλη λύση λογισμικού και υλικού, να αναπτύξετε και να εφαρμόσετε ένα σύνολο κανονιστικών εγγράφων για τη διασφάλιση της εσωτερικής ασφάλειας. Ο κύριος ρόλος σε αυτό το δύσκολο έργο ελαχιστοποίησης των κινδύνων διαρροής δεδομένων παίζει η ικανότητα και η βούληση της ανώτατης διοίκησης της επιχείρησης, οι τρέχουσες πολιτικές και το αποτελεσματικό λογισμικό, καθώς και το καθεστώς εμπορικών μυστικών κατά την εργασία με προστατευμένες πληροφορίες.

Οι ακόλουθες πτυχές μπορούν να διακριθούν στο πρόβλημα της ασφάλειας των πληροφοριών:

Ακεραιότητα πληροφοριών

Ακεραιότητα πληροφοριών– αυτή είναι η φυσική του ασφάλεια, η προστασία από καταστροφή και παραμόρφωση, καθώς και η συνάφεια και η συνοχή του.

Η ακεραιότητα των πληροφοριών χωρίζεται σε:

· στατικό,

· δυναμική.

Στατική ακεραιότηταΟι πληροφορίες προϋποθέτουν την αμετάβλητη των αντικειμένων πληροφοριών από την αρχική τους κατάσταση, που καθορίζεται από τον συγγραφέα ή την πηγή πληροφοριών.

Δυναμική ΑκεραιότηταΟι πληροφορίες περιλαμβάνουν θέματα σωστής εκτέλεσης πολύπλοκων ενεργειών με ροές πληροφοριών, για παράδειγμα, ανάλυση της ροής μηνυμάτων για τον εντοπισμό λανθασμένων, παρακολούθηση της σωστής μετάδοσης μηνυμάτων, επιβεβαίωση μεμονωμένων μηνυμάτων κ.λπ.

Η ακεραιότητα είναι η πιο σημαντική πτυχή της ασφάλειας των πληροφοριών σε περιπτώσεις όπου οι πληροφορίες χρησιμοποιούνται για τη διαχείριση διαφόρων διαδικασιών, για παράδειγμα, τεχνικές, κοινωνικές κ.λπ.

Έτσι, ένα λάθος στο πρόγραμμα ελέγχου θα οδηγήσει στη διακοπή του ελεγχόμενου συστήματος, μια εσφαλμένη ερμηνεία του νόμου μπορεί να οδηγήσει σε παραβιάσεις του, όπως μια ανακριβής μετάφραση των οδηγιών χρήσης ενός φαρμακευτικού προϊόντος μπορεί να βλάψει την υγεία. Όλα αυτά τα παραδείγματα απεικονίζουν παραβίαση της ακεραιότητας των πληροφοριών, η οποία μπορεί να οδηγήσει σε καταστροφικές συνέπειες. Αυτός είναι ο λόγος για τον οποίο η ακεραιότητα των πληροφοριών αναδεικνύεται ως ένα από τα βασικά στοιχεία της ασφάλειας των πληροφοριών.

Η ακεραιότητα αποτελεί εγγύηση ότι οι πληροφορίες υπάρχουν πλέον στην αρχική τους μορφή, δηλαδή ότι δεν έγιναν μη εξουσιοδοτημένες αλλαγές κατά την αποθήκευση ή μετάδοσή τους.

Για παράδειγμα, όταν καταγράφουμε πληροφορίες για φοιτητές στο σκληρό δίσκο ενός υπολογιστή, ελπίζουμε ότι θα αποθηκευτούν εκεί για απεριόριστη ώρα (μέχρι να τις σβήσουμε μόνοι μας) αμετάβλητες (δηλαδή αυθόρμητα, εν αγνοία μας, τα ονόματα των φοιτητών σε αυτή τη λίστα δεν αλλάζουν) . Επιπλέον, υπολογίζουμε στη συνοχή των πληροφοριών, για παράδειγμα, ότι δεν θα υπάρχει ένα παιδί ενός έτους στη λίστα των μαθητών ή ότι ο ίδιος μαθητής δεν θα βρίσκεται στις λίστες δύο ομάδων ταυτόχρονα.

Διαθεσιμότητα πληροφοριών

Διαθεσιμότητα πληροφοριώναποτελεί εγγύηση ότι ο χρήστης θα λάβει τις απαιτούμενες πληροφορίες ή υπηρεσία πληροφοριών εντός ορισμένου χρόνου.

Ο ρόλος της διαθεσιμότητας πληροφοριών είναι ιδιαίτερα εμφανής σε διάφορους τύπους συστημάτων διαχείρισης - παραγωγή, μεταφορά κ.λπ. Λιγότερο δραματικές, αλλά και πολύ δυσάρεστες συνέπειες - τόσο υλικές όσο και ηθικές - μπορεί να προκληθούν από τη μακροχρόνια μη διαθεσιμότητα των υπηρεσιών πληροφοριών που χρησιμοποιούνται από μεγάλο αριθμό ατόμων, για παράδειγμα, πωλήσεις σιδηροδρομικών και αεροπορικών εισιτηρίων, τραπεζικές υπηρεσίες, πρόσβαση στο δίκτυο πληροφοριών Διαδικτύου κ.λπ.

Ο παράγοντας χρόνος για τον προσδιορισμό της διαθεσιμότητας πληροφοριών σε ορισμένες περιπτώσεις είναι πολύ σημαντικός, καθώς ορισμένοι τύποι πληροφοριών και υπηρεσιών πληροφόρησης έχουν νόημα μόνο για μια συγκεκριμένη χρονική περίοδο. Για παράδειγμα, η λήψη ενός προκρατημένου αεροπορικού εισιτηρίου μετά την αναχώρηση χάνει κάθε νόημα. Ομοίως, δεν έχει νόημα να λάβετε μια πρόγνωση καιρού για χθες, καθώς αυτό το γεγονός έχει ήδη συμβεί. Σε αυτό το πλαίσιο, το ρητό «Ένα κουτάλι είναι αγαπητό στο δείπνο» είναι πολύ σωστό.

Η διαθεσιμότητα πληροφοριών συνεπάγεται ότι το υποκείμενο των σχέσεων πληροφόρησης (χρήστης) έχει τη δυνατότητα να αποκτήσει την απαιτούμενη υπηρεσία πληροφοριών εντός αποδεκτού χρόνου.

Για παράδειγμα, όταν δημιουργούμε ένα πληροφοριακό σύστημα με πληροφορίες για φοιτητές, αναμένουμε ότι με τη βοήθεια αυτού του συστήματος ανά πάσα στιγμή μέσα σε λίγα δευτερόλεπτα θα είμαστε σε θέση να λάβουμε τις απαιτούμενες πληροφορίες (λίστα φοιτητών οποιασδήποτε ομάδας, πλήρεις πληροφορίες σχετικά με έναν συγκεκριμένο μαθητή, τελικά δεδομένα, για παράδειγμα, τη μέση ηλικία των μαθητών , τον αριθμό των αγοριών και των κοριτσιών κ.λπ.).

Θα πρέπει να σημειωθεί ότι τα ηλεκτρονικά συστήματα επεξεργασίας δεδομένων δημιουργούνται ειδικά για την παροχή συγκεκριμένων υπηρεσιών πληροφοριών. Εάν η παροχή τέτοιων υπηρεσιών καταστεί αδύνατη, τότε αυτό προκαλεί ζημία σε όλα τα θέματα των σχέσεων πληροφόρησης. Ως εκ τούτου, χωρίς να αντιπαραβάλλεται η προσβασιμότητα με άλλες πτυχές, ξεχωρίζει ως το πιο σημαντικό στοιχείο ασφάλειας πληροφοριών.

Σχεδόν όλοι οι οργανισμοί έχουν εμπιστευτικές πληροφορίες. Αυτό θα μπορούσε να είναι μια τεχνολογία παραγωγής, ένα προϊόν λογισμικού, προσωπικά δεδομένα εργαζομένων κ.λπ. Σε σχέση με συστήματα υπολογιστών, οι κωδικοί πρόσβασης για πρόσβαση στο σύστημα είναι υποχρεωτικά εμπιστευτικά δεδομένα.

Εμπιστευτικότητα πληροφοριών– αυτό αποτελεί εγγύηση για τη διαθεσιμότητα συγκεκριμένων πληροφοριών μόνο στον κύκλο των ατόμων για τα οποία προορίζονται.

Εμπιστευτικές πληροφορίες– πρόκειται για πληροφορίες στις οποίες έχει δικαίωμα πρόσβασης περιορισμένος αριθμός ατόμων.

Εάν η πρόσβαση σε εμπιστευτικές πληροφορίες αποκτηθεί από άτομο που δεν έχει τέτοιο δικαίωμα, τότε η πρόσβαση αυτή ονομάζεται μη εξουσιοδοτημένη και θεωρείται παραβίαση της προστασίας των εμπιστευτικών πληροφοριών. Ένα άτομο που αποκτά ή επιχειρεί να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε εμπιστευτικές πληροφορίες καλείται παρείσακτος.

Για παράδειγμα, εάν η Σάσα έστειλε στη Μάσα μια επιστολή μέσω email, τότε οι πληροφορίες σε αυτήν την επιστολή είναι εμπιστευτικές, καθώς το απόρρητο της προσωπικής αλληλογραφίας προστατεύεται από το νόμο. Εάν ο αδελφός του Machine, έχοντας παραβιάσει τον κωδικό πρόσβασης, απέκτησε πρόσβαση στο γραμματοκιβώτιο του Machine και διάβασε την επιστολή, τότε έχει συμβεί μη εξουσιοδοτημένη πρόσβαση σε εμπιστευτικές πληροφορίες και ο αδερφός του Machine είναι εισβολέας.

Η διασφάλιση του απορρήτου των πληροφοριών είναι το πιο ανεπτυγμένο τμήμα της ασφάλειας των πληροφοριών.

Ο ομοσπονδιακός νόμος "Περί Πληροφοριών, Πληροφορικής και Προστασίας Πληροφοριών" ορίζει ότι οι πόροι πληροφοριών, δηλαδή μεμονωμένα έγγραφα ή συστοιχίες εγγράφων, συμπεριλαμβανομένων των συστημάτων πληροφοριών, που αποτελούν αντικείμενο σχέσεων μεταξύ ιδιωτών, νομικών οντοτήτων και του κράτους, υπόκεινται σε υποχρεωτική λογιστική και προστασία, ως κάθε ενσώματο ακίνητο του ιδιοκτήτη. Στην περίπτωση αυτή, ο ιδιοκτήτης έχει το δικαίωμα να θεσπίσει ανεξάρτητα, στο πλαίσιο της αρμοδιότητάς του, ένα καθεστώς για την προστασία των πόρων πληροφοριών και την πρόσβαση σε αυτούς. Ο νόμος ορίζει επίσης ότι «εμπιστευτικές πληροφορίες είναι τέτοιες τεκμηριωμένες πληροφορίες, η πρόσβαση στις οποίες είναι περιορισμένη σύμφωνα με τη νομοθεσία της Ρωσικής Ομοσπονδίας». Ταυτόχρονα, ο ομοσπονδιακός νόμος μπορεί να περιέχει μια άμεση διάταξη σύμφωνα με την οποία οποιαδήποτε πληροφορία χαρακτηρίζεται ως εμπιστευτική ή η πρόσβαση σε αυτές είναι περιορισμένη. Έτσι, ο ομοσπονδιακός νόμος «Περί Πληροφοριών, Πληροφορικής και Προστασίας Πληροφοριών» ταξινομεί άμεσα τα προσωπικά δεδομένα (πληροφορίες για πολίτες) ως εμπιστευτικές πληροφορίες. Ο νόμος της Ρωσικής Ομοσπονδίας «Για τις τράπεζες και τις τραπεζικές δραστηριότητες» περιορίζει την πρόσβαση σε πληροφορίες για συναλλαγές και λογαριασμούς πελατών και ανταποκριτών τραπεζών.

Ωστόσο, ο άμεσος κανόνας δεν ισχύει για όλες τις πληροφορίες που αποτελούν εμπιστευτικές πληροφορίες. Μερικές φορές μόνο τα χαρακτηριστικά που πρέπει να ικανοποιούνται από αυτές τις πληροφορίες ορίζονται από το νόμο. Αυτό, ειδικότερα, ισχύει για επίσημα και εμπορικά απόρρητα, τα χαρακτηριστικά των οποίων καθορίζονται από τον Αστικό Κώδικα της Ρωσικής Ομοσπονδίας και είναι τα εξής:

 σχετικές πληροφορίες άγνωστες σε τρίτους

 δεν υπάρχει νομική βάση για ελεύθερη πρόσβαση σε αυτές τις πληροφορίες

 μέτρα για τη διασφάλιση του απορρήτου των πληροφοριών λαμβάνονται από τον κάτοχο των πληροφοριών.

Οι εμπιστευτικές πληροφορίες χωρίζονται σε:

· θέμα,

· υπηρεσία.

Πληροφορίες για το θέμα- πρόκειται για πληροφορίες για κάποια περιοχή του πραγματικού κόσμου. το οποίο, στην πραγματικότητα, χρειάζεται ο επιτιθέμενος, για παράδειγμα, σχέδια ενός υποβρυχίου ή πληροφορίες σχετικά με την τοποθεσία του Οσάμα Μπιν Λάντεν. Πληροφορίες σέρβις δεν σχετίζεται με μια συγκεκριμένη θεματική περιοχή, αλλά σχετίζεται με τις παραμέτρους λειτουργίας ενός συγκεκριμένου συστήματος επεξεργασίας δεδομένων. Οι πληροφορίες υπηρεσίας περιλαμβάνουν κυρίως κωδικούς πρόσβασης χρήστη για εργασία στο σύστημα. Έχοντας λάβει πληροφορίες υπηρεσίας (κωδικός πρόσβασης), ένας εισβολέας μπορεί στη συνέχεια να τις χρησιμοποιήσει για να αποκτήσει πρόσβαση σε εμπιστευτικές πληροφορίες.

Η παραβίαση καθεμίας από τις τρεις κατηγορίες οδηγεί σε παραβίαση της ασφάλειας των πληροφοριών στο σύνολό της. Ετσι, παραβίαση προσβασιμότητας οδηγεί σε άρνηση πρόσβασης σε πληροφορίες, παραβίαση της ακεραιότητας οδηγεί σε παραποίηση πληροφοριών και, τέλος, παραβίαση του απορρήτου οδηγεί σε αποκάλυψη πληροφοριών.

Αυτή η πτυχή της ασφάλειας των πληροφοριών έχει γίνει εξαιρετικά σημαντική πρόσφατα λόγω της έγκρισης ορισμένων διεθνών νομικών πράξεων για την προστασία της πνευματικής ιδιοκτησίας. Αυτή η πτυχή αφορά κυρίως την πρόληψη της παράνομης χρήσης προγραμμάτων.

Έτσι, για παράδειγμα, εάν ένας χρήστης εγκαταστήσει ένα σύστημα Windows χωρίς άδεια στον υπολογιστή του, τότε υπάρχει παραβίαση της ασφάλειας των πληροφοριών.

Επιπλέον, αυτή η πτυχή αφορά τη χρήση πληροφοριών που λαμβάνονται από ηλεκτρονικές πηγές. Αυτό το πρόβλημα έχει γίνει πιο πιεστικό λόγω της ανάπτυξης του Διαδικτύου. Έχει προκύψει μια κατάσταση όπου ένας χρήστης του Διαδικτύου θεωρεί όλες τις πληροφορίες που δημοσιεύονται εκεί ως προσωπική του ιδιοκτησία και τις χρησιμοποιεί χωρίς περιορισμούς, συχνά μεταβιβάζοντάς τις ως δικό του πνευματικό προϊόν.

Για παράδειγμα, ένας μαθητής «κατεβάζει» ένα δοκίμιο από το Διαδίκτυο και το υποβάλλει στον καθηγητή με το επίθετό του.

Οι νομοθετικές πράξεις και οι πρακτικές επιβολής του νόμου που σχετίζονται με αυτό το πρόβλημα βρίσκονται ακόμη σε αρχικό στάδιο.

Θα πρέπει να σημειωθεί ότι παρόλο που σε όλες τις πολιτισμένες χώρες υπάρχουν νόμοι για τη διαφύλαξη της ασφάλειας των πολιτών (συμπεριλαμβανομένης της ασφάλειας των πληροφοριών), στον τομέα της τεχνολογίας υπολογιστών η πρακτική επιβολής του νόμου δεν έχει ακόμη αναπτυχθεί επαρκώς και η νομοθετική διαδικασία δεν συμβαδίζει με την ανάπτυξη της τεχνολογίας, επομένως η διαδικασία διασφάλισης της ασφάλειας των πληροφοριών βασίζεται σε μεγάλο βαθμό σε μέτρα αυτοάμυνας.

Ως εκ τούτου, είναι απαραίτητο να κατανοήσουμε από πού μπορεί να προέρχονται οι απειλές για την ασφάλεια των πληροφοριών και ποιες μπορεί να είναι, ποια μέτρα μπορούν να ληφθούν για την προστασία των πληροφοριών και να μπορούμε να εφαρμόζουμε σωστά αυτά τα μέτρα.

Η εταιρική ασφάλεια δεν είναι καθόλου νέο φαινόμενο. Αυτό που μόλις πρόσφατα έγινε γνωστό με αυτόν τον όρο υπάρχει από την αρχή του εμπορίου. Κάθε έμπορος προσπαθούσε να προστατεύσει τα επαγγελματικά του μυστικά από τους ανταγωνιστές, ώστε να μην χάσει το κέρδος του.

Σύγχρονες πραγματικότητες εταιρικής ασφάλειας της εταιρείας

Στην πραγματικότητα, η σύγχρονη εταιρική ασφάλεια δεν διαφέρει πολύ από την παλιά. Μόνο η πραγματικότητα στην οποία οι επιχειρηματίες πρέπει να ασκούν τις δραστηριότητές τους αλλάζουν. Κάθε εταιρεία θέλει να προστατεύεται αξιόπιστα όχι μόνο από εξωτερικές απειλές, αλλά και από εσωτερικές. Αυτό το πρόβλημα επιλύεται από εταιρικούς και ειδικούς σε θέματα ασφάλειας πληροφοριών. Είναι αντιμέτωποι με το καθήκον να πραγματοποιήσουν μια ολόκληρη σειρά μέτρων, συμπεριλαμβανομένων σχεδόν όλων των τομέων της ζωής της εταιρείας:

  • προστασία εμπορικών μυστικών·
  • εσωτερική εργασία με υπαλλήλους·
  • εγχώρια αντικατασκοπεία·
  • επίσημες έρευνες·
  • οικονομική ασφάλεια?
  • τεχνική και φυσική προστασία.

Εάν υπάρχουν προβλήματα με τουλάχιστον ένα από αυτά τα σημεία, θα υπάρξει πρόβλημα. Πριν από λίγο καιρό, ένα σκάνδαλο ξέσπασε στο Ηνωμένο Βασίλειο - σκληροί δίσκοι με δεδομένα ασθενών κλινικών που υποτίθεται ότι θα καταστραφούν κατέληξαν ξαφνικά σε δημοπρασίες eBay.

Τα νοσοκομεία μετέφεραν τους παροπλισμένους δίσκους σε εργολαβική εταιρεία, η οποία με τη σειρά της χρησιμοποίησε τις υπηρεσίες ιδιώτη. Ένας επιχειρηματίας Άγγλος, αντί να εκπληρώσει ευσυνείδητα τα καθήκοντά του - καταστρέφοντας τα ΜΜΕ - έβαλε δίσκους με δεδομένα προς πώληση.

Σε αυτή την περίπτωση, δύο σημεία μπορούν να ονομαστούν "αδύναμοι κρίκοι" - εσωτερική εργασία με υπαλλήλους και τεχνική προστασία. Ας καταλάβουμε γιατί. Η διαρροή προκλήθηκε από μια υπερβολικά μεγάλη αλυσίδα διαμεσολαβητών, με αποτέλεσμα ο πελάτης να μην γνωρίζει καν ποιος εμπλέκεται άμεσα στην καταστροφή δίσκων και ποιων οι ενέργειες έπρεπε να παρακολουθούνται. Επιπλέον, το ίδιο το γεγονός ότι τα νοσοκομεία μετέφεραν δίσκους με απροστάτευτα προσωπικά δεδομένα ασθενών σε τρίτους αποτελεί τεχνική παράλειψη των εργαζομένων.

Μια υπεύθυνη προσέγγιση για τη διασφάλιση της ασφάλειας των εταιρικών πληροφοριών θα βοηθούσε στην αποφυγή αυτής της κατάστασης. Ας καταλάβουμε τι πρέπει να γίνει για να αποκτήσουμε ένα πραγματικά λειτουργικό σύστημα ασφάλειας πληροφοριών.

Πώς να αναγνωρίσετε έναν κλέφτη σε μια εταιρεία χρησιμοποιώντας το KIB SearchInform;

Τρία δύσκολα βήματα

Πριν ξεκινήσετε τη δημιουργία ενός αποτελεσματικού συστήματος ασφάλειας πληροφοριών, είναι απαραίτητο να αναλύσετε προσεκτικά το σύστημα αποθήκευσης και επεξεργασίας δεδομένων που υπάρχει ήδη στην επιχείρηση. Υπάρχουν τρία βασικά βήματα που πρέπει να γίνουν για να γίνει αυτό:

1. Προσδιορισμός κρίσιμων πληροφοριών.

2. Εντοπισμός αδυναμιών στην εταιρική ασφάλεια.

3. Αξιολόγηση των δυνατοτήτων προστασίας αυτών των πληροφοριών.

Όλες αυτές οι ενέργειες μπορούν να εκτελεστούν είτε από τους δικούς σας υπαλλήλους είτε μπορείτε να παραγγείλετε έλεγχο της ασφάλειας πληροφοριών της εταιρείας από ειδικούς. Τα πλεονεκτήματα της πρώτης μεθόδου είναι το χαμηλότερο κόστος και, κυρίως, η έλλειψη πρόσβασης σε εταιρικά δεδομένα για τρίτους. Ωστόσο, εάν ο οργανισμός δεν διαθέτει καλούς ειδικούς ελέγχου ασφαλείας πλήρους απασχόλησης, τότε είναι καλύτερο να καταφύγετε στη βοήθεια τρίτων εταιρειών - το αποτέλεσμα θα είναι πιο αξιόπιστο. Αυτό θα σας βοηθήσει να αποφύγετε τα πιο συνηθισμένα λάθη στην ασφάλεια των πληροφοριών.

«Τα πιο συνηθισμένα λάθη- αυτό είναι μια υποτίμηση και υπερεκτίμηση των απειλών για την επιχειρηματική δραστηριότητα, - πιστεύει Αλεξάντερ Ντορόνιν, ειδικός στην οικονομική ασφάλεια και συγγραφέας του Business Intelligence. «Στην πρώτη περίπτωση, υπάρχουν κενά στο σύστημα ασφαλείας της επιχείρησης, τα οποία για τον οργανισμό έχουν ως αποτέλεσμα άμεση ζημιά από διαρροή εμπιστευτικών πληροφοριών, εταιρική απάτη και ξεκάθαρη κλοπή ό,τι έρθει στο χέρι».

Όταν υπερεκτιμούμε τις απειλές, το σύστημα ασφαλείας όχι μόνο επιβαρύνει σοβαρά τον προϋπολογισμό της επιχείρησης, αλλά δυσκολεύει αδικαιολόγητα τους υπαλλήλους του οργανισμού να εκπληρώσουν τα καθήκοντα που τους έχουν ανατεθεί. Αυτό απειλεί την απώλεια πιθανών κερδών και την απώλεια της ανταγωνιστικότητας».

Προσδιορισμός κρίσιμων πληροφοριών.Σε αυτό το στάδιο γίνεται η ταυτοποίηση εκείνων των εγγράφων και δεδομένων, η ασφάλεια των οποίων έχει μεγάλη σημασία για την εταιρεία και η διαρροή των οποίων προκαλεί τεράστιες ζημίες. Τις περισσότερες φορές, τέτοιες πληροφορίες περιλαμβάνουν πληροφορίες που αποτελούν εμπορικό μυστικό, αλλά όχι μόνο.

Για παράδειγμα, μετά την υιοθέτηση της νέας έκδοσης του ομοσπονδιακού νόμου «Περί Προσωπικών Δεδομένων», όλες οι πληροφορίες που συλλέγονται από έναν οργανισμό σχετικά με τους υπαλλήλους και τους πελάτες του χρειάζονται επίσης προστασία. Η περσινή σειρά διαρροών από τη Megafon, τα ηλεκτρονικά καταστήματα και τους Ρωσικούς Σιδηροδρόμους, καθώς και τα πρόστιμα που έλαβαν οι δράστες αυτών των περιστατικών, αποτελούν την καλύτερη απόδειξη της ανάγκης προστασίας τέτοιων πληροφοριών.

Είναι σημαντικό να θυμάστε: οι ελεγκτές τρίτων δεν μπορούν να συντάξουν ανεξάρτητα μια λίστα με όλα τα έγγραφα που πρέπει να προστατεύονται. Η εργασία του ελεγκτή θα πρέπει να εκτελείται από κοινού με έναν υπάλληλο της επιχείρησης που γνωρίζει καλά τις ιδιαιτερότητες της ροής των εγγράφων.

Εντοπισμός αδυναμιών στην εταιρική ασφάλεια.Αυτή η εργασία εκτελείται απευθείας από τους ειδικούς που διενεργούν τον έλεγχο. Η επιλογή του σχεδίου σχεδίασης ασφάλειας πληροφοριών εξαρτάται από τα αποτελέσματα αυτής της εργασίας.

Κατά τον εντοπισμό κενών στις πληροφορίες και, κατά συνέπεια, στην εταιρική ασφάλεια, δεν αξιολογούνται μόνο τεχνικά μέσα. Ένα πολύ σημαντικό σημείο είναι η ύπαρξη διαφοροποίησης των δικαιωμάτων πρόσβασης των εργαζομένων σε αυτήν ή την άλλη πληροφορία και μια συμφωνία μη αποκάλυψης για εταιρικές πληροφορίες. Είναι επίσης σημαντικό να αξιολογηθεί η πίστη των εργαζομένων στη διοίκηση και τις σχέσεις στην ομάδα - όλα αυτά είναι ευθύνη του τμήματος HR.

Ένα πρόσφατο παράδειγμα μιας κατάστασης όπου ένα μέλος του προσωπικού εκμεταλλεύτηκε τη θέση του και έκλεψε πληροφορίες ήταν η κλοπή από το γραφείο αντιπροσωπείας της Google στην Κένυα πληροφοριών σχετικά με την εκκίνηση Mocality (μια ηλεκτρονική βάση δεδομένων επιχειρηματικών πληροφοριών). Η Google αναγκάστηκε να ζητήσει επίσημη συγγνώμη από τα θύματα και ο επικεφαλής του γραφείου αντιπροσωπείας, με υπαιτιότητα του οποίου συνέβη το περιστατικό, απομακρύνθηκε από τη θέση του.

Αξιολόγηση δυνατοτήτων ασφάλειας πληροφοριών.Πρόκειται για το τελικό στάδιο του ελέγχου, κατά το οποίο, βάσει της ανάλυσης, καταρτίζεται κατάλογος συγκεκριμένων μέτρων που πρέπει να ληφθούν για την προστασία των εταιρικών μυστικών της εταιρείας. Οι συστάσεις μπορεί να είναι τόσο τεχνικής όσο και οργανωτικής φύσης.

Επιπλέον, σε αυτό το στάδιο αναλύονται οι οικονομικές δυνατότητες της εταιρείας να προστατεύει τις πληροφορίες, καθώς πολλά εργαλεία προστασίας πληροφοριών μπορεί να αποδειχθούν πολύ ακριβά για την επιχείρηση. Και ορισμένα από αυτά τα μέτρα απλά δεν είναι πρακτικά για τις μικρές επιχειρήσεις. Μια ειδική ανάγκη προκύπτει εάν ο οργανισμός χρησιμοποιεί 50 ή περισσότερους υπολογιστές.

Εγκατάσταση συστήματος DLP πάντα προηγείται ενός τεχνικού ελέγχου. Μετά την παραγγελία, οι μηχανικοί της SearchInform συμβουλεύονται τον πελάτη, οι οποίοι αξιολογούν την υποδομή πληροφορικής της εταιρείας και καθορίζουν πόση χωρητικότητα απαιτείται για την εγκατάσταση του προγράμματος.

Αμφίδρομη προστασία

Η ασφάλεια των πληροφοριών είναι μόνο ένας από τους πολλούς τρόπους (αν και ο πιο σημαντικός) για τη διασφάλιση της εταιρικής προστασίας. Απαιτείται ένα σύνολο μέτρων - τεχνικά και οργανωτικά.

Οι τεχνικές λύσεις για την προστασία των εταιρικών μυστικών περιλαμβάνουν την εγκατάσταση συστήματος DLP (Data Leak Prevention). Αυτό το σύνολο εργαλείων λογισμικού παρακολουθεί όλες τις ροές πληροφοριών στον οργανισμό - από email έως προγράμματα που χρησιμοποιούν αλγόριθμους κρυπτογράφησης (για παράδειγμα, Skype) ή το πρωτόκολλο HTTPS. Όλα τα αφαιρούμενα μέσα αποθήκευσης, οι εταιρικοί υπολογιστές και οι φορητοί υπολογιστές είναι επίσης υπό έλεγχο.

Ένα σημαντικό χαρακτηριστικό των συστημάτων DLP είναι η αυτονομία τους. Δεν υπάρχει ανάγκη για μια εταιρεία να διατηρεί ένα ολόκληρο τμήμα αφιερωμένο στην ασφάλεια των πληροφοριών. Λίγοι μόνο ειδικοί αρκούν.

Πρόσφατη έρευνα από την SearchInform, έναν κορυφαίο παίκτη στη ρωσική αγορά ασφάλειας πληροφοριών, έδειξε ότι τα συστήματα DLP δεν είναι πολύ δημοφιλή τώρα στη Ρωσία και στις χώρες της ΚΑΚ. Λίγο περισσότεροι από τους μισούς οργανισμούς (58%) σχεδιάζουν να εγκαταστήσουν ολοκληρωμένη ασφάλεια σύντομα. Οι υπόλοιποι δεν θεωρούν αναγκαία την εφαρμογή του ή πιστεύουν ότι αρκεί η μερική προστασία. Ωστόσο, η ασφάλεια των πληροφοριών θα είναι στο βέλτιστο επίπεδο μόνο όταν παρέχεται ολοκληρωμένη προστασία.

Το σύστημα DLP επιτρέπει όχι μόνο την εξασφάλιση αξιόπιστης προστασίας των μυστικών. Οι λειτουργίες τους είναι πολύ ευρύτερες: με τη σωστή προσέγγιση, μπορείτε να λάβετε πληροφορίες σχετικά με τη διάθεση των εργαζομένων στην ομάδα, να παρακολουθείτε την κίνηση των βασικών εγγράφων, τα εισερχόμενα και τα εξερχόμενα μηνύματα. Ως αποτέλεσμα, η χρήση συστημάτων DLP είναι επίσης μια αποτελεσματική βοήθεια σε τέτοιες σημαντικές δραστηριότητες εταιρικής ασφάλειας όπως η εσωτερική αντικατασκοπεία ή οι εσωτερικές έρευνες.

Ωστόσο, η ασφάλεια των τεχνικών δεδομένων και η παρακολούθηση των ενεργειών των εργαζομένων από μόνες τους δεν αρκούν. Τα οργανωτικά μέτρα, η εργασία με τους υπαλλήλους και η ανάπτυξη εσωτερικής τεκμηρίωσης είναι επίσης σημαντικά.

«Το εταιρικό σύστημα ασφαλείας πρέπει να είναι ολοκληρωμένο, διαφορετικά θα είναι σαν αστείο: στην είσοδο, ένας φύλακας ελέγχει αυστηρά τα περάσματα των εργαζομένων της εταιρείας και είκοσι μέτρα από την είσοδο υπάρχει μια τρύπα από την οποία ο καθένας μπορεί να εισέλθει στην εταιρεία επικράτεια», μοιράζεται την εμπειρία του Αλεξάντερ Ντορόνιν.

Το οργανωτικό έργο περιλαμβάνει ενημέρωση του προσωπικού για την παρουσία συστημάτων ασφάλειας πληροφοριών στον οργανισμό, την ανάγκη διατήρησης εμπορικών μυστικών και τις πιθανές συνέπειες της αποκάλυψής του, τόσο για την εταιρεία όσο και για τον ίδιο τον εργαζόμενο. Η δημιουργία ενός θετικού εργασιακού περιβάλλοντος είναι μια άλλη βασική πτυχή των οργανωτικών μέτρων. Η εταιρική ασφάλεια είναι αδύνατη εάν οι εργαζόμενοι κοιτάζουν ο ένας τον άλλον με δυσπιστία. Ένας τέτοιος «ψυχρός πόλεμος» θα επιβραδύνει σημαντικά τις επιχειρηματικές διαδικασίες. Ως εκ τούτου, αξίζει να υπενθυμίσουμε για άλλη μια φορά τον σημαντικό ρόλο του τμήματος HR.

Όσον αφορά την ανάπτυξη της εσωτερικής τεκμηρίωσης, πρέπει να αναφέρονται σαφώς οι ευθύνες των εργαζομένων, καθώς και τα δικαιώματά τους πρόσβασης σε ορισμένα έγγραφα. Κάθε τμήμα πρέπει να εκτελεί τα καθήκοντα που του έχουν ανατεθεί - όχι περισσότερο, αλλά όχι λιγότερο.

Δεν πρέπει να ξεχνάμε φαινομενικά βασικά πράγματα όπως το έργο της υπηρεσίας ασφαλείας. Η σωματική προστασία των εργαζομένων στο χώρο εργασίας είναι επίσης σημαντικό μέρος της εταιρικής ασφάλειας.

Μόνο με την επίτευξη μιας τέτοιας αμφίδρομης - τεχνικής και οργανωτικής - προστασίας, χωρίς υπερβολή ή ελαχιστοποίηση της απειλής, μπορείτε να δημιουργήσετε αξιόπιστη εταιρική προστασία για την εταιρεία.

mob_info