Pagrindiniai informacijos saugumo aspektai. Informacijos saugumo technologiniai aspektai ir procesai

Anotacija: Paskaitoje apžvelgiamos pagrindinės informacijos saugumo sąvokos. Susipažinimas su federaliniu įstatymu „Dėl informacijos, informacinių technologijų ir informacijos apsaugos“.

GOST" Duomenų apsauga. Pagrindiniai terminai ir apibrėžimai“ pristato sąvoką informacijos saugumas kaip informacijos saugumo būsena, kurioje ji užtikrinama konfidencialumą, prieinamumas ir vientisumas.

  • Konfidencialumas– informacijos būsena, kai prie jos gali susipažinti tik teisę į ją turintys subjektai.
  • Sąžiningumas– informacijos būsena, kurioje nesikeičia arba keitimą atlieka tik tyčia subjektai, turintys teisę į tai;
  • Prieinamumas– informacijos būsena, kurioje prieigos teises turintys subjektai gali netrukdomai ja naudotis.

Informacijos saugumo grėsmės– sąlygų ir veiksnių, sukeliančių galimą ar faktinį informacijos saugumo pažeidimo pavojų [,], visuma. Puolimas vadinamas bandymu įgyvendinti grasinimą, o tą, kuris daro tokį bandymą, yra įsibrovėlis. Iškviečiami potencialūs užpuolikai grėsmės šaltiniai.

Grėsmė yra buvimo pasekmė pažeidžiamumų ar pažeidžiamumų informacinėje sistemoje. Pažeidžiamumas gali atsirasti dėl įvairių priežasčių, pavyzdžiui, dėl netyčinių programuotojų klaidų rašant programas.

Grėsmės gali būti klasifikuojamos pagal kelis kriterijus:

  • Autorius informacijos savybės(prieinamumas, vientisumas, konfidencialumas), prieš kuriuos pirmiausia nukreiptos grėsmės;
  • pagal informacinių sistemų komponentus, kuriems kyla grėsmės (duomenys, programos, aparatinė įranga, pagalbinė infrastruktūra);
  • pagal įgyvendinimo būdą (atsitiktiniai / tyčiniai, natūralūs / žmogaus sukurti veiksmai);
  • pagal grėsmės šaltinio vietą (atitinkamos IS viduje / už jos ribų).

Informacijos saugumo užtikrinimas yra sudėtingas uždavinys, kurio sprendimas reikalauja Kompleksinis požiūris. Išskiriami šie informacijos apsaugos lygiai:

  1. teisėkūros – Rusijos Federacijos ir tarptautinės bendruomenės įstatymai, taisyklės ir kiti dokumentai;
  2. administracinis – priemonių rinkinys, kurio lokaliai imasi organizacijos vadovybė;
  3. procedūrinis lygis – žmonių įgyvendinamos saugumo priemonės;
  4. programinės ir techninės įrangos lygis– tiesioginės informacijos apsaugos priemonės.

Įstatymų leidybos lygmuo yra informacijos saugumo sistemos kūrimo pagrindas, nes jame pateikiamos pagrindinės sąvokos dalykinė sritis ir nustato bausmę potencialiems užpuolikams. Šis lygis atlieka koordinacinį ir vadovaujantį vaidmenį bei padeda išlaikyti neigiamą (ir baudžiamąjį) požiūrį visuomenėje į žmones, kurie pažeidžia informacijos saugumą.

1.2. Federalinis įstatymas „Dėl informacijos, informacinių technologijų ir informacijos apsaugos“

Rusijos teisės aktuose pagrindinis įstatymas informacijos apsaugos srityje yra federalinis įstatymas „Dėl informacijos, informacinių technologijų ir informacijos apsaugos“, priimtas 2006 m. liepos 27 d., numeris 149-FZ. Todėl įstatyme įtvirtintos pagrindinės sąvokos ir sprendimai reikalauja kruopštaus svarstymo.

Įstatymas reglamentuoja santykius, atsirandančius, kai:

  • naudotis teise ieškoti, gauti, perduoti, gaminti ir skleisti informaciją;
  • informacinių technologijų taikymas;
  • informacijos saugumo užtikrinimas.

Įstatyme pateikiami pagrindiniai informacijos apsaugos apibrėžimai. Štai keletas iš jų:

  • informacija- informacija (pranešimai, duomenys) nepriklausomai nuo jų pateikimo formos;
  • Informacinės technologijos- informacijos paieškos, rinkimo, saugojimo, apdorojimo, teikimo, platinimo procesus, būdus ir tokių procesų bei metodų įgyvendinimo būdus;
  • Informacinė sistema- duomenų bazėse esančios informacijos visuma ir jos apdorojimą užtikrinančios informacinės technologijos ir techninės priemonės;
  • informacijos savininkas- asmuo, savarankiškai sukūręs informaciją arba įstatymo ar sutarties pagrindu gavęs teisę leisti arba apriboti prieigą prie informacijos, nustatytos bet kuriais kriterijais;
  • informacinės sistemos operatorius- pilietis ar juridinis asmuo, užsiimantis informacinės sistemos valdymu, įskaitant jos duomenų bazėse esančios informacijos tvarkymą.
  • informacijos konfidencialumas- privalomas reikalavimas asmeniui, gavusiam prieigą prie tam tikros informacijos, neperduoti tokios informacijos tretiesiems asmenims be jos savininko sutikimo.

Įstatymo 4 straipsnyje suformuluoti santykių informacijos, informacinių technologijų ir informacijos apsaugos srityje teisinio reguliavimo principai:

  1. laisvė ieškoti, gauti, perduoti, gaminti ir platinti informaciją bet kokiomis teisėtomis priemonėmis;
  2. prieigos prie informacijos apribojimų nustatymas tik federaliniais įstatymais;
  3. informacijos apie valstybės institucijų ir vietos valdžios institucijų veiklą atvirumas ir laisva prieiga prie tokios informacijos, išskyrus federalinių įstatymų nustatytus atvejus;
  4. lygiateisiškos Rusijos Federacijos tautų kalbų teisės kuriant informacines sistemas ir jas eksploatuojant;
  5. Rusijos Federacijos saugumo užtikrinimas kuriant informacines sistemas, jų veikimą ir jose esančios informacijos apsaugą;
  6. informacijos patikimumas ir jos pateikimo savalaikiškumas;
  7. privataus gyvenimo neliečiamumas, neleistinumas rinkti, kaupti, naudoti ir skleisti informaciją apie asmens privatų gyvenimą be jo sutikimo;
  8. neleistinumas norminiais teisės aktais nustatyti kai kurių informacinių technologijų naudojimo pranašumus prieš kitas, nebent federaliniai įstatymai nustato privalomą tam tikrų informacinių technologijų naudojimą kuriant ir eksploatuojant valstybės informacines sistemas.

Visa informacija suskirstyta į viešai prieinama ir ribotas prieiga. Viešoji informacija apima visuotinai žinomą informaciją ir kitą informaciją, prie kurios prieinamumas nėra ribojamas. Įstatymas apibrėžia informaciją, kurios prieiga negali būti apribota, pavyzdžiui, informacija apie aplinką ar valdžios institucijų veiklą. Taip pat numatyta, kad Prieigos apribojimas Informaciją nustato federaliniai įstatymai, siekiant apsaugoti konstitucinės santvarkos pagrindus, dorovę, sveikatą, kitų asmenų teises ir teisėtus interesus, užtikrinti šalies gynybą ir valstybės saugumą. Privaloma išlaikyti informacijos, prie kurios prieigą riboja federaliniai įstatymai, konfidencialumą.

Draudžiama reikalauti iš piliečio (asmens) pateikti informaciją apie savo privatų gyvenimą, įskaitant informaciją, sudarančią asmeninę ar šeimos paslaptį, ir gauti tokią informaciją prieš piliečio (asmens) valią, jei federaliniai įstatymai nenustato kitaip.

  1. laisvai skleidžiama informacija;
  2. informacija, pateikta atitinkamuose santykiuose dalyvaujančių asmenų susitarimu;
  3. informacija, kuri pagal federalinius įstatymus turi būti teikiama arba platinama;
  4. informacija, kurios platinimas Rusijos Federacijoje yra ribojamas arba draudžiamas.

Įstatymas nustato elektroninio pranešimo, pasirašyto elektroniniu skaitmeniniu parašu ar kitu rašytinio parašo analogu, ir ranka pasirašyto dokumento lygiavertiškumą.

Pateikiamas toks informacijos apsaugos apibrėžimas – tai teisinių, organizacinių ir techninių priemonių, skirtų:

  1. užtikrinti informacijos apsaugą nuo neteisėtos prieigos, sunaikinimo, keitimo, blokavimo, kopijavimo, teikimo, platinimo, taip pat nuo kitų neteisėtų veiksmų, susijusių su tokia informacija;
  2. riboto naudojimo informacijos konfidencialumo palaikymas;
  3. teisės susipažinti su informacija įgyvendinimas.

Informacijos savininkas, informacinės sistemos operatorius Rusijos Federacijos teisės aktų nustatytais atvejais privalo užtikrinti:

  1. užkirsti kelią neteisėtai prieigai prie informacijos ir (ar) jos perdavimo asmenims, neturintiems teisės susipažinti su informacija;
  2. laiku nustatyti neteisėtos prieigos prie informacijos faktus;
  3. užkirsti kelią neigiamų pasekmių galimybei, pažeidus prieigos prie informacijos tvarką;
  4. užkirsti kelią poveikiui techninėms informacijos apdorojimo priemonėms, dėl kurių sutrinka jų veikimas;
  5. galimybė nedelsiant atkurti informaciją, pakeistą ar sunaikintą dėl neteisėtos prieigos prie jos;
  6. nuolatinis informacijos saugumo lygio užtikrinimo stebėjimas.

Taigi federalinis įstatymas „Dėl informacijos, informacinių technologijų ir informacijos apsaugos“ sukuria teisinį keitimosi informacija pagrindą Rusijos Federacijoje ir nustato jos subjektų teises ir pareigas.

Informacijos saugumas reiškia informacijos ir ją palaikančios infrastruktūros saugumą nuo bet kokios atsitiktinės ar kenkėjiškos įtakos, galinčios pakenkti pačiai informacijai, jos savininkams ar pagalbinei infrastruktūrai.

Informacijos saugumo tikslas – apsaugoti sistemos vertybes, apsaugoti ir garantuoti informacijos tikslumą ir vientisumą bei iki minimumo sumažinti sunaikinimą, kuris gali įvykti pakeitus ar sunaikinus informaciją.

Praktiškai svarbiausi yra trys informacijos saugumo aspektai:

1. Prieinamumas (galimybė gauti reikiamą informacijos paslaugą per protingą laiką);

2. Vientisumas (jo apsauga nuo sunaikinimo ir neleistinų pakeitimų);

3. Konfidencialumas (apsauga nuo neteisėto skaitymo).

Informacijos apsaugos būdai (metodai):

· Leisti- sukurti kliūtį grėsmės kelyje, kurios įveikimas yra susijęs su sunkumais užpuolikui arba destabilizuojančiu veiksniu.

· Kontrolė- saugomos sistemos elementų kontrolės veiksmų teikimas.

· Maskuoti- veiksmai su apsaugota sistema ar informacija, dėl kurių jie transformuojami taip, kad užpuolikui jie tampa neprieinami. (Tai visų pirma apima kriptografinius apsaugos metodus).

· reglamentas- priemonių, kurios sudaro sąlygas apdoroti informaciją, kuri labai apsunkina užpuoliko atakų įgyvendinimą ar kitų destabilizuojančių veiksnių poveikį, sukūrimas ir įgyvendinimas.

· Prievarta- metodas yra sudaryti sąlygas, kuriomis vartotojai ir darbuotojai būtų priversti laikytis informacijos tvarkymo sąlygų, gresiant atsakomybei (materialinei, baudžiamajai, administracinei).

· Skatinimas- metodas yra sudaryti sąlygas, kuriomis vartotojai ir darbuotojai laikytųsi informacijos apdorojimo sąlygų dėl moralinių, etinių ir psichologinių priežasčių.

Informacijos saugumo priemonės:

· Fizinės priemonės- mechaniniai, elektriniai, elektromechaniniai, elektroniniai, elektroniniai-mechaniniai ir kt. prietaisai ir sistemos, kurios veikia autonomiškai, sukuriant įvairias kliūtis destabilizuojantiems veiksniams.

· Aparatūra- įvairios elektroninės ir elektroninės-mechaninės ir kt. prietaisai, kurie yra integruoti į duomenų apdorojimo sistemos įrangą arba su ja susiję specialiai informacijos saugumo problemoms spręsti.

· Programinė įranga- specialius programinės įrangos paketus arba į programinę įrangą įtrauktas atskiras programas informacijos saugumo problemoms spręsti.

· Organizacinės priemonės- organizacinės ir techninės priemonės, specialiai numatytos sistemos veikimo technologijoje, siekiant išspręsti informacijos saugumo problemas.

· Teisėkūros priemonės- norminiai teisės aktai, reglamentuojantys teises ir pareigas, taip pat nustato visų su sistemos veikimu susijusių asmenų ir padalinių atsakomybę už informacijos tvarkymo taisyklių pažeidimus, dėl kurių gali būti pažeistas jos saugumas.

· Psichologinės (moralinės ir etinės priemonės)- visuomenėje ar tam tikroje grupėje nusistovėjusios moralės normos ar etikos taisyklės, kurių laikymasis prisideda prie informacijos apsaugos, o jų pažeidimas prilyginamas elgesio visuomenėje ar kolektyve taisyklių nesilaikymui.

Informacijos apsaugos metodai ir priemonės

Informacijos saugumo užtikrinimo IS metodai:

· kliūtis;

· prieigos kontrolė;

· šifravimo mechanizmai;

· kovoti su kenkėjiškų programų atakomis;

· reguliavimas;

· prievarta;

· motyvacija.

Kliūtis – būdas fiziškai blokuoti užpuoliko kelią

saugoma informacija (įranga, laikmenos ir kt.).

Prieigos kontrolė – informacijos apsaugos reguliavimo būdais

visų IP ir IT išteklių naudojimas. Šie metodai turėtų atsispirti visiems

galimi neteisėtos prieigos prie informacijos būdai.

Prieigos kontrolė apima šias saugos funkcijas:

· vartotojų, personalo ir sistemos išteklių identifikavimas (priskyrimas

kiekvienas asmens identifikatoriaus objektas);

· objekto ar subjekto identifikavimas (autentifikavimas).

jiems pateiktas identifikatorius;

· kredencialų patikrinimas (tikrinama, ar laikomasi savaitės dienos, paros laiko,

reikalaujami ištekliai ir reglamentų nustatyta tvarka);

· darbo sąlygų leidimas ir sudarymas nustatytų taisyklių ribose;

· užklausų saugomiems ištekliams registravimas (registravimas);

· atsakymas (pavojaus signalas, išjungimas, darbų vėlavimas, prašymo atmetimas ir kt.)

kai bando atlikti neleistinus veiksmus.

Šifravimo mechanizmai – kriptografinis informacijos uždarymas. Šie

Apsaugos metodai vis dažniau naudojami tiek perdirbant, tiek sandėliuojant

informacija apie magnetines laikmenas. Perduodant informaciją ryšio kanalais

dideliais atstumais šis metodas yra vienintelis patikimas.

Kova su kenkėjiškų programų atakomis reikalauja visapusiško

įvairios organizacinės priemonės ir antivirusinės priemonės naudojimas

programas. Naudojamų priemonių tikslas – sumažinti užsikrėtimo tikimybę

AIS, sistemos infekcijos aptikimas; švelninimo

informacinės infekcijos, virusų lokalizavimas ar sunaikinimas; atsigavimas

informaciją IS. Norint įsisavinti šį priemonių ir priemonių rinkinį, reikia susipažinti su

specialioji literatūra.

reguliavimas – tokių sąlygų automatizuotam tvarkymui sudarymas,

saugomos informacijos saugojimas ir perdavimas, kuriam taikomos normos ir standartai

apsauga yra vykdoma didžiausiu mastu

Prievarta – tai apsaugos būdas, kai vartotojai ir IS darbuotojai

priverstas laikytis saugomų duomenų tvarkymo, perdavimo ir naudojimo taisyklių

informaciją, kuriai kyla materialinė, administracinė ar baudžiamoji grėsmė

atsakomybė.

Skatinimas – tai apsaugos būdas, skatinantis vartotojus ir IS personalą to nedaryti

pažeidžia nusistovėjusius įsakymus, laikydamasis nusistovėjusios moralės ir

etikos standartus

Visas techninių priemonių komplektas suskirstytas į techninę ir

fizinis.

Aparatinė įranga – įrenginiai, tiesiogiai įmontuoti

kompiuterinę įrangą arba įrenginius, kurie su ja siejasi pagal standartą

sąsaja.

Fizinės priemonės apima įvairius inžinerinius prietaisus ir

struktūras, kurios neleidžia fiziškai įsiskverbti įsibrovėliams

apsaugos ir personalo apsaugos objektai (asmeninės priemonės

saugumo), materialinių išteklių ir finansų, informacijos iš nelegalių

veiksmai. Fizinių valdiklių pavyzdžiai: durų spynos, langų grotos, valdikliai

elektroninė apsaugos signalizacija ir kt.

Programinės įrangos įrankiai yra specialios programos ir programinė įranga

kompleksai, skirti apsaugoti IP informaciją. Kaip minėta, daugelis

iš kurių yra sujungtos su pačios IS programine įranga.

Iš apsaugos sistemos programinės įrangos taip pat išskirsime programinės įrangos įrankius,

diegiant šifravimo mechanizmus (kriptografiją). Kriptografija yra mokslas apie

perduodamų paslapčių ir (arba) autentiškumo (autentiškumo) užtikrinimas

žinutes.

Organizacinės priemonės vykdo reguliavimą per savo kompleksą

gamybinė veikla intelektinės nuosavybės srityje ir atlikėjų santykiai

reguliavimo sistemą taip, kad atskleidimas, nutekėjimas ir

neteisėta prieiga prie konfidencialios informacijos tampa

neįmanoma arba labai apsunkinama dėl organizacinių

įvykius. Šių priemonių kompleksą įgyvendina informacinė grupė

saugumo, bet turi būti kontroliuojamas pirmojo vadovo.

Teisės gynimo priemones nustato teisės aktai

šalių, reglamentuojančių naudojimo, apdorojimo ir perdavimo taisykles

yra nustatytos ribotos prieigos informacija ir atsakomybės priemonės

šių taisyklių pažeidimas.

Moralinė ir etinė apsauga apima visas normas

elgesys (kuris tradiciškai susiformavo anksčiau) vystosi kaip

IP ir IT platinimas šalyje ir pasaulyje arba yra specialiai kuriami.

Moralės ir etikos standartai gali būti nerašyti (pavyzdžiui, sąžiningumas) arba

įformintas tam tikru taisyklių ar nuostatų rinkiniu (chartija). Šios normos paprastai yra

nėra teisiškai nustatytos, tačiau dėl jų neatitikimo atsiranda

iki organizacijos prestižo nuosmukio, jie laikomi privalomais.

Tipiškas tokių reglamentų pavyzdys yra Profesinės praktikos kodeksas

JAV kompiuterių vartotojų asociacijos narių elgesys.

9.3. Apsaugos technologijos

Naudodami bet kokias informacines technologijas turėtumėte atkreipti dėmesį

dėmesys duomenų apsaugos priemonių, programų, kompiuterinių sistemų prieinamumui.

Duomenų saugumas apima duomenų vientisumo užtikrinimą ir apsaugą

duomenis ir programas nuo neteisėtos prieigos, kopijavimo, modifikavimo.

Duomenų patikimumas yra kontroliuojamas visuose technologinio proceso etapuose

EIS veikimas. Yra vizualinio ir programinio valdymo metodai.

Vizuali apžiūra atliekama namuose ir paskutiniame etape.

Programinė įranga – mašinos viduje. Tokiu atveju reikia kontroliuoti įeinant.

duomenis, jų taisymą, t.y. visur, kur vartotojas įsikiša

skaičiavimo procesas. Kontroliuojamos atskiros detalės, įrašai, grupės

įrašai, bylos. Programinės įrangos įrankiai duomenų patikimumui kontroliuoti

nustatyta detaliojo projektavimo etape.

Duomenų ir programų apsauga nuo neteisėtos prieigos, kopijavimo, Informacinės technologijos0n3o.l0o1g.i1i3v ekonomika: 9.2. Informacijos apsaugos būdai ir priemonės »

abc.v v su.ru/Books/inform_tehnolog/page0025.asp 3/4

pakeitimai įgyvendinami programiniais ir techniniais metodais bei technologiniais

technikos. Aparatinės ir programinės įrangos saugumo priemonės apima slaptažodžius, elektroninius

raktai, elektroniniai identifikatoriai, elektroninis parašas, kodavimo įrankiai,

duomenų dekodavimas. Duomenims, programoms koduoti, dekoduoti ir

elektroninis parašas naudoja kriptografinius metodus. Pavyzdžiui, JAV

Naudojamas IETF grupės sukurtas kriptografinis standartas. Jis eksportuoja

netaikomas. Taip pat buvo sukurti buitiniai elektroniniai raktai, pvz.

NovexKey skirtas apsaugoti programas ir duomenis Windows, DOS, Netware sistemose.

Saugumo priemonės, anot specialistų, panašios į durų spyną. Spynos

jie įsilaužia, bet niekas jų nenuima nuo durų, palieka atvirą butą.

Technologinė kontrolė susideda iš kelių lygių organizavimo

Programų ir duomenų apsaugos sistemos kaip slaptažodžių tikrinimo priemonės, elektroninės

parašai, elektroniniai raktai, paslėpti failų ženklai, naudojant programinę įrangą

gaminiai, atitinkantys kompiuterių saugumo reikalavimus ir

patikimumo, vientisumo, išsamumo vizualinio ir programinio valdymo metodai

Duomenų tvarkymo saugumas priklauso nuo naudojimo saugumo

kompiuterių sistemos. Kompiuterinė sistema yra kolekcija

aparatinė ir programinė įranga, įvairios fizinės laikmenos

informacija, patys duomenys, taip pat išvardintus aptarnaujantis personalas

Komponentai.

Dabar JAV buvo sukurtas saugos įvertinimų standartas.

kompiuterinės sistemos – tinkamumo vertinimo kriterijai. Atsižvelgiama į keturis

kompiuterinių sistemų reikalavimų tipai:

· saugumo politikos įgyvendinimo reikalavimai – saugumo politika;

· kompiuterinių sistemų naudojimo apskaitos – apskaitos vedimas;

· pasitikėjimas kompiuterinėmis sistemomis;

· dokumentacijos reikalavimai.

Nuoseklios saugos politikos ir priežiūros reikalavimai

kompiuterinių sistemų naudojimo apskaita priklauso viena nuo kitos ir yra teikiamos

į sistemą įtrauktų lėšų, t.y. yra įtrauktas saugumo problemų sprendimas

į programinę ir techninę įrangą projektavimo etape.

Pasitikėjimo kompiuterinėmis sistemomis pažeidimą dažniausiai sukelia

programos kūrimo kultūros pažeidimas: struktūrinio atmetimas

programavimas, stubų nepanaikinimas, neapibrėžtas įėjimas ir kt. Dėl

tikrinant pasitikėjimą reikia žinoti programos architektūrą, stabilumo taisykles

jo priežiūra, bandymo pavyzdys.

Dokumentacijos reikalavimai reiškia, kad vartotojas turi turėti

išsamią informaciją visais klausimais. Tokiu atveju dokumentai turėtų

būti glaustai ir suprantamai.

Tik įvertinus kompiuterinės sistemos saugumą galima jį priimti

Į turgų.

IP veikimo metu didžiausią žalą ir nuostolius sukelia virusai. Apsauga

nuo virusų gali būti organizuojamas taip pat, kaip ir apsauga nuo neteisėtų

prieiga. Apsaugos technologija yra daugiapakopė ir susideda iš šių etapų:

1. Naujos programinės įrangos arba diskelio įvesties valdymas, kuris

atlieka specialiai atrinktų detektorių, auditorių ir filtrų grupė.

Pavyzdžiui, grupė gali apimti nuskaitymą, pagalbos testą, TPU8CLS. Gali

laikytis karantino režimo. Tam tikslui pagreitintas kompiuteris

kalendorius. Su kiekvienu paskesniu eksperimentu įvedama ir stebima nauja data

nukrypimas nuo senos programinės įrangos. Jei nuokrypio nėra, vadinasi, viruso nėra

atrado.

2. Kietojo disko segmentavimas. Tuo pačiu metu atskiri disko skaidiniai

priskiriamas atributas ReadOnly. Segmentavimui galite naudoti pvz.

Vadovo programa ir kt.

3. Sistemingas rezidento audito programų ir filtrų naudojimas

informacijos vientisumui stebėti, pavyzdžiui, Check21, SBM, Antivirus2 ir kt.

4. Archyvavimas. Tai taikoma ir sistemai, ir taikomosioms programoms. Jeigu

vienu kompiuteriu naudojasi keli vartotojai, patartina

kasdienis archyvavimas. Archyvavimui galite naudoti PKZIP ir kitus Apsaugos programinės įrangos efektyvumas priklauso nuo veiksmų teisingumo

vartotojas, kuris gali būti atliktas klaidingai arba turint piktų kėslų.

Todėl reikia imtis šių organizacinių apsaugos priemonių:

bendra prieigos kontrolė, įskaitant slaptažodžių sistemą ir segmentavimą

kietasis diskas;

· personalo mokymas apsaugos technologijų srityje;

· kompiuterio ir magnetinių laikmenų fizinio saugumo užtikrinimas;

· archyvavimo taisyklių kūrimas;

· atskirų failų saugojimas šifruota forma;

· kietojo disko ir sugadintos informacijos atkūrimo plano sudarymas.

Norėdami užšifruoti failus ir apsaugoti nuo neteisėto kopijavimo

Buvo sukurta daug programų, pavyzdžiui, Catcher, Exeb ir kt. Vienas iš apsaugos būdų

yra paslėpta failo etiketė: etiketė (slaptažodis) įrašoma į disko sektorių,

kuris neskaitomas kartu su failu, o pats failas yra iš kito sektoriaus,

taigi failo negalima atidaryti nežinant etiketės.

Informacijos atkūrimas standžiajame diske yra sunki užduotis, prieinama

aukštos kvalifikacijos sistemų programuotojai. Todėl patartina turėti

keli diskelių rinkiniai, skirti standžiojo disko archyvui ir cikliniam įrašymui juose

rinkiniai. Pavyzdžiui, norėdami įrašyti į tris diskelių rinkinius, galite naudoti

„savaitė-mėnuo-metai“ principu. Vieta turėtų būti periodiškai optimizuojama

failus standžiajame diske naudodami „SpeedDisk“ programą ir pan., kuri yra būtina

palengvina jų atsigavimą.

Informacijos saugumo komponentai

Apskritai informacijos saugumas (IS) gali būti apibrėžiamas kaip „informacijos, išteklių ir pagalbinės infrastruktūros saugumas nuo atsitiktinio ar tyčinio natūralaus ar dirbtinio poveikio, galinčio padaryti neleistiną žalą informacinių santykių subjektams – gamintojams, savininkams ir naudotojams. informacijos ir pagalbinės infrastruktūros.

Informacijos saugumas neapsiriboja vien apsauga nuo neteisėtos prieigos prie informacijos: tai iš esmės platesnė sąvoka, apimanti informacijos, technologijų ir sistemų apsaugą.

Saugumo reikalavimai įvairiais informacinės veiklos aspektais gali labai skirtis, tačiau jais visada siekiama šių trijų pagrindinių informacijos saugumo komponentų:

  • vientisumas. Tai, visų pirma, informacijos aktualumas ir nuoseklumas, jos apsauga nuo sunaikinimo ir neleistinų pakeitimų, o būtent: duomenys ir informacija, kurių pagrindu priimami sprendimai, turi būti patikimi, tikslūs ir apsaugoti nuo galimų netyčinių ir piktybinių iškraipymų;
  • privatumas. Įslaptinta informacija turėtų būti prieinama tik tiems, kuriems ji skirta. Tokios informacijos negalima gauti, skaityti, keisti ar perduoti, nebent yra atitinkamos prieigos teisės;
  • prieinamumas(pasirengimas). Tai galimybė gauti reikiamą informacinę paslaugą per protingą laiką, t.y. Duomenys, informacija ir susijusios paslaugos, automatizuotos paslaugos, sąveikos ir komunikacijos įrankiai turi būti prieinami ir paruošti veikti, kai tik jų prireikia.

Informacijos saugumo veikla siekiama užkirsti kelią, užkirsti kelią arba neutralizuoti šiuos veiksmus:

  • neteisėta prieiga prie informacinių išteklių (NSD, Unauthorized Access – UAA);
  • konfidencialios informacijos iškraipymas, dalinis ar visiškas praradimas;
  • kryptingais veiksmais (atakomis), siekiant sunaikinti programinių sistemų, duomenų sistemų ir informacinių struktūrų vientisumą;
  • programinės įrangos, techninės įrangos ir telekomunikacijų gedimai ir gedimai.

Taigi metodiškai teisingas požiūris į informacijos saugumo problemas prasideda nuo informacinių ryšių subjektų ir šių subjektų interesų, susijusių su informacinių technologijų ir sistemų (IT/IS) naudojimu, identifikavimo.

Vertinant realią situaciją, daugeliu atvejų tenka atsakyti į esminius klausimus, kurie sudaro sisteminį informacijos saugumo užtikrinimo pagrindą, o ypač ar būtina saugoti, nuo ko ir ką reikia saugoti, ką ir kaip reikia saugoti, kokios priemonės užtikrins apsaugos efektyvumą, taip pat įvertinti numatomas apsaugos sistemų kūrimo, diegimo, eksploatavimo, priežiūros ir modernizavimo išlaidas.

Pirmieji trys klausimai tiesiogiai susiję su realių grėsmių vertinimo problema (7.1 pav.) 16]. Atsakymai į šiuos klausimus yra dviprasmiški – daug kas priklauso nuo įmonės struktūros, veiklos srities ir tikslų. Integruojant individualias ir įmonių informacines sistemas bei išteklius į vieningą informacinę infrastruktūrą, lemiamas veiksnys yra užtikrinti tinkamą informacijos saugumo lygį kiekvienam subjektui, nusprendusiam įeiti į vieningą infrastruktūrą.

Ryžiai. 7.1.

Vienoje informacinėje erdvėje turi būti kuriama valstybės struktūra ar komercinė įmonė autentifikavimo mechanizmai ir įrankis vartotojo, pranešimo ir turinio autentifikavimui. Taigi turi būti sukurta informacijos saugumo sistema, kuri apimtų reikiamą priemonių kompleksą ir techninius sprendimus, siekiant apsaugoti:

  • nuo disfunkcijos informacinė erdvė, pašalinant poveikį informacijos kanalams ir ištekliams;
  • Nepatvirtintas prisijungimas į informaciją aptinkant ir pašalinant bandymus naudotis informacinės erdvės ištekliais, dėl kurių pažeidžiamas jos vientisumas;
  • įmontuotų apsaugos priemonių sunaikinimas su gebėjimas atpažinti neleistinus vartotojų ir aptarnaujančio personalo veiksmus;
  • programinės įrangos diegimas " virusai " ir "žymes" "programinės įrangos produktuose ir aparatinėje įrangoje.

Ypač atkreiptinas dėmesys į integruotoje informacinėje aplinkoje kuriamų ir modifikuojamų sistemų saugumo užtikrinimo uždavinius, nes modifikuojant MIS įvyksta avarinės sistemos nesaugumo situacijos (vadinamosios „skylės sistemoje“). yra neišvengiama.

Kartu su konkrečių įmonėje egzistuojančių apsaugos priemonių analize, plėtra informacijos saugumo politika, įskaitant organizacinių ir administracinių priemonių ir dokumentų rinkinį bei metodinius ir techninius sprendimus, kurie yra pagrindas kuriant informacijos saugumo infrastruktūrą (7.2 pav.).

Ryžiai. 7.2.

Kitas žingsnis kuriant visapusišką informacijos apsaugos sistemą – informacijos saugos priemonių ir mechanizmų įsigijimas, įdiegimas ir konfigūravimas. Tokios priemonės yra informacijos apsaugos nuo neteisėtos prieigos sistemos, kriptografinės apsaugos sistemos, ugniasienės (ugniasienės, ugniasienės), saugumo analizės įrankiai ir kt. Norint teisingai ir efektyviai naudoti įdiegtas apsaugos priemones, reikalingas kvalifikuotas personalas.

Laikui bėgant esamos apsaugos priemonės pasensta, išleidžiamos naujos informacijos saugumo sistemų versijos, nuolat plečiasi rastų spragų ir atakų sąrašas, keičiasi informacijos apdorojimo technologijos, programinė ir techninė įranga, įmonės personalas. Todėl būtina reguliariai peržiūrėti parengtus organizacinius ir administracinius dokumentus, atlikti informacinės sistemos ar jos posistemių tyrimą, apmokyti personalą ir atnaujinti saugos priemones.

Bet kuri įmonė, kuri gauna išteklių, įskaitant informaciją, juos apdoroja, kad galiausiai galėtų parduoti savo komercinį produktą rinkoje. Kartu ji sukuria specifinę vidinę aplinką, kurią formuoja visų struktūrinių padalinių personalo pastangos, taip pat techninės priemonės ir technologiniai procesai, ekonominiai ir socialiniai santykiai tiek įmonės viduje, tiek sąveikaujant su išorine aplinka.

Įmonės informacija atspindi įmonės finansinę ir ekonominę būklę bei jos veiklos rezultatus. Tokios informacijos pavyzdžiai yra registracija ir teisės aktuose numatyti dokumentai, ilgalaikiai ir dabartiniai planai, užsakymai, instrukcijos, ataskaitos, gamybos duomenys, duomenys apie finansų ir kitų išteklių srautus, informacija apie personalo mokymą ir produktų taikymo sritis, įskaitant metodus ir pardavimo kanalai, pardavimo būdai, užsakymai, logistika, informacija apie tiekėjus ir partnerius.

Įmonės informacijos šaltiniai - įmonės direkcija ir administracija, planavimo ir finansų skyriai, buhalterija, IT skyriai ir kompiuterių centrai, vyriausiojo inžinieriaus ir vyriausiojo mechaniko skyriai, gamybos skyriai, teisinės, eksploatacinės ir remonto paslaugos, logistika, pirkimai ir pardavimai skyriai ir kt.

Korporacinė aplinka apima vyriausybinius, ekonominius, politinius ir socialinius veikėjus, veikiančius už įmonės ribų. Informacija už įmonės aplinkos ribų dažnai yra neišsami, prieštaringa, apytikslė, nevienalytė ir nepakankamai atspindi išorinės aplinkos būklę. Išorinės informacijos, peržengiančios įmonės aplinką, pavyzdžiai yra rinkos būklė (jos ilgalaikė ir esama būklė, verslo aplinkos tendencijos, pasiūlos ir paklausos svyravimai, situacijos nestabilumas, kintamumas, prieštaringi reikalavimai), rinkos pokyčiai. teisės aktai, vartotojų lūkesčiai, konkurentų „intrigos“, politinių įvykių pasekmės ir kt.

Didžioji dalis šios informacijos yra atvira, tačiau priklausomai nuo vidinės veiklos ir sąveikos su išoriniu pasauliu ypatybių, dalis informacijos gali būti skirta „tarnybiniam naudojimui“, t.y. būti „griežtai konfidencialia“ arba „slapta“. Tokia informacija paprastai yra „uždara“ ir reikalauja atitinkamų apsaugos priemonių.

Norėdami užtikrinti saugumą dirbdami su apsaugota informacija, turėtumėte: Pirma, išsirikiuoti darbo su konfidencialia ir patentuota informacija politika, parengti ir įgyvendinti tinkamas gaires bei procedūras ir antra, aprūpinti reikiamais programinės ir techninės įrangos ištekliais.

Programinė ir techninė įranga, skirta darbui su apsaugota informacija, yra integruota į atitinkamus įmonės informacinės sistemos (CIS) modulius arba naudojama lokaliai informacijos saugos politikoje nurodytose sistemose. Tai apima įrenginius, kurie:

  • stebėti konfidencialios informacijos judėjimą per informacinę sistemą (Data-in-Shell);
  • duomenų nutekėjimo kontrolės valdymas per tinklo srautą per TCP/IP, SMTP, IMAP, HTTP (-us), IM (ICQ, AOL, MSN), FTP, SQL, patentuotus protokolus filtruojant turinį lygiu:
  • – vartai, per kuriuos srautas teka iš vidinio tinklo į išorinį tinklą (Data-in-Motion);
  • – serveris, apdorojantis tam tikro tipo srautą (Data-at-Rest);
  • – darbo vieta (Data-in-Use);
  • – vidiniai pašto kanalai Microsoft Exchange, Lotus Notes ir kt.
  • – saugomos informacijos nutekėjimo iš darbo vietų, periferinių ir mobiliųjų įrenginių valdymo kontrolė
  • – aktyvios apsaugos ir asmeninių užkardų sukūrimas;
  • – šešėlinis informacijos objektų kopijavimas į vieną turinio filtravimo duomenų bazę visiems kanalams pagal vienodas taisykles.

Tinkamai organizuoti saugomų duomenų ir informacijos apsaugą nėra nei paprasta, nei pigu. Norėdami tai padaryti, turite suskirstyti duomenis, atlikti išsamią informacijos išteklių inventorizaciją, pasirinkti tinkamą programinės ir techninės įrangos sprendimą, sukurti ir įdiegti norminių dokumentų rinkinį, užtikrinantį vidinį saugumą. Šiame nelengvame duomenų nutekėjimo rizikos mažinimo darbe pagrindinį vaidmenį atlieka aukščiausios įmonės vadovybės kompetencija ir valia, dabartinė politika ir efektyvi programinė įranga, taip pat komercinės paslapties režimas dirbant su saugoma informacija.

Informacijos saugumo problemoje galima išskirti šiuos aspektus:

Informacijos vientisumas

Informacijos vientisumas– tai jo fizinis saugumas, apsauga nuo sunaikinimo ir iškraipymo, taip pat jo aktualumas ir nuoseklumas.

Informacijos vientisumas skirstomas į:

· statinis,

· dinamiškas.

Statinis vientisumas informacija suponuoja informacijos objektų nekintamumą nuo pradinės būsenos, kurią nustato informacijos autorius ar šaltinis.

Dinaminis vientisumas informacija apima teisingo sudėtingų veiksmų su informacijos srautais atlikimo klausimus, pavyzdžiui, pranešimų srauto analizavimą, siekiant nustatyti neteisingus, teisingo pranešimų perdavimo stebėjimą, atskirų pranešimų patvirtinimą ir kt.

Integralumas yra svarbiausias informacijos saugumo aspektas tais atvejais, kai informacija naudojama valdyti įvairius procesus, pavyzdžiui, techninius, socialinius ir kt.

Taigi, valdymo programos klaida lems valdomos sistemos sustojimą, neteisingas įstatymo aiškinimas gali sukelti jos pažeidimus, kaip ir netikslus vaistinio preparato vartojimo instrukcijos vertimas gali pakenkti sveikatai. Visi šie pavyzdžiai iliustruoja informacijos vientisumo pažeidimą, kuris gali sukelti katastrofiškų pasekmių. Štai kodėl informacijos vientisumas yra akcentuojamas kaip vienas iš pagrindinių informacijos saugumo komponentų.

Vientisumas yra garantija, kad informacija dabar egzistuoja pradine forma, ty saugojimo ar perdavimo metu nebuvo atlikta neteisėtų pakeitimų.

Pavyzdžiui, įrašydami informaciją apie kolegijos studentus į kompiuterio kietąjį diską, tikimės, kad ji ten bus saugoma neribotą laiką (kol patys ištrinsime) nepakitusi (tai yra spontaniškai, mums nežinant, studentų vardai ir pavardės). šiame sąraše nesikeisti). Be to, tikimės informacijos nuoseklumo, pavyzdžiui, kad mokinių sąraše nebus vienerių metų vaiko, ar to paties mokinio nebus iš karto dviejų grupių sąrašuose.

Informacijos prieinamumas

Informacijos prieinamumas yra garantija, kad vartotojas per tam tikrą laiką gaus reikiamą informaciją ar informacinę paslaugą.

Informacijos prieinamumo vaidmuo ypač ryškus įvairių tipų valdymo sistemose – gamyboje, transporte ir kt. Mažiau dramatiškų, bet ir labai nemalonių pasekmių – tiek materialinių, tiek moralinių – gali sukelti ilgalaikis naudojamų informacinių paslaugų nepasiekiamumas. daug žmonių, pavyzdžiui, parduodant geležinkelio ir lėktuvo bilietus, bankines paslaugas, prieigą prie interneto informacinio tinklo ir kt.

Laiko veiksnys nustatant informacijos prieinamumą kai kuriais atvejais yra labai svarbus, nes kai kurios informacijos rūšys ir informacinės paslaugos yra reikšmingos tik tam tikrą laikotarpį. Pavyzdžiui, gauti iš anksto užsakytą lėktuvo bilietą po išvykimo netenka jokios prasmės. Taip pat nėra prasmės gauti vakarykščio orų prognozę, nes tas įvykis jau įvyko. Šiame kontekste labai tinka posakis „Šaukštas brangus vakarienei“.

Informacijos prieinamumas reiškia, kad informacinių santykių subjektas (vartotojas) turi galimybę gauti reikiamą informacinę paslaugą per priimtiną laiką.

Pavyzdžiui, kurdami informacinę sistemą su informacija apie kolegijos studentus, tikimės, kad šios sistemos pagalba bet kuriuo metu per kelias sekundes galėsime gauti reikiamą informaciją (bet kurios grupės studentų sąrašą, pilną informaciją apie konkretų mokinį, galutinius duomenis, pavyzdžiui, vidutinį mokinių amžių, berniukų ir mergaičių skaičių ir pan.).

Pažymėtina, kad elektroninės duomenų tvarkymo sistemos yra sukurtos būtent tam tikroms informacinėms paslaugoms teikti. Jei tokių paslaugų teikimas tampa neįmanomas, tai daro žalą visiems informacinių santykių subjektams. Todėl neprieštaraujant prieinamumui su kitais aspektais, jis išskiriamas kaip svarbiausias informacijos saugumo elementas.

Beveik visos organizacijos turi konfidencialią informaciją. Tai gali būti gamybos technologija, programinės įrangos produktas, darbuotojų asmeniniai duomenys ir kt. Kalbant apie kompiuterines sistemas, slaptažodžiai prieigai prie sistemos yra privalomi konfidencialūs duomenys.

Informacijos konfidencialumas– tai konkrečios informacijos prieinamumo garantija tik tam žmonių ratui, kuriems ji skirta.

Konfidenciali informacija– tai informacija, su kuria turi teisę susipažinti ribotas skaičius asmenų.

Jeigu prieigą prie konfidencialios informacijos gauna asmuo, neturintis tokios teisės, tai tokia prieiga vadinama neteisėta ir laikoma konfidencialios informacijos apsaugos pažeidimu. Iškviečiamas asmuo, kuris neteisėtai gauna arba bando gauti konfidencialią informaciją įsibrovėlis.

Pavyzdžiui, jei Sasha atsiuntė Masha laišką el. paštu, tada šiame laiške pateikta informacija yra konfidenciali, nes asmeninio susirašinėjimo slaptumą saugo įstatymai. Jei mašinos brolis, įsilaužęs į slaptažodį, gavo prieigą prie Mašinos pašto dėžutės ir perskaitė laišką, tada įvyko neteisėta prieiga prie konfidencialios informacijos, o mašinos brolis yra užpuolikas.

Informacijos konfidencialumo užtikrinimas yra labiausiai išplėtota informacijos saugumo dalis.

Federaliniame įstatyme „Dėl informacijos, informatizacijos ir informacijos apsaugos“ nustatyta, kad informacijos ištekliai, tai yra atskiri dokumentai ar dokumentų rinkiniai, įskaitant informacines sistemas, kurie yra fizinių, juridinių asmenų ir valstybės santykių objektas, yra privalomi. apskaita ir apsauga, kaip bet koks materialus savininko turtas. Tokiu atveju savininkui suteikiama teisė pagal savo kompetenciją savarankiškai nustatyti informacijos išteklių apsaugos ir prieigos prie jų režimą. Įstatymas taip pat nustato, kad „konfidenciali informacija yra tokia dokumentuota informacija, prie kurios prieiga yra ribojama pagal Rusijos Federacijos įstatymus“. Tuo pačiu metu federaliniame įstatyme gali būti tiesioginė nuostata, pagal kurią bet kokia informacija yra klasifikuojama kaip konfidenciali informacija arba prieiga prie jos yra apribota. Taigi federalinis įstatymas „Dėl informacijos, informatizacijos ir informacijos apsaugos“ tiesiogiai priskiria asmens duomenis (informaciją apie piliečius) kaip konfidencialią informaciją. Rusijos Federacijos įstatymas „Dėl bankų ir bankinės veiklos“ riboja prieigą prie informacijos apie banko klientų ir korespondentų operacijas ir sąskaitas.

Tačiau tiesioginė taisyklė netaikoma visai informacijai, kuri yra konfidenciali. Kartais įstatymais apibrėžiamos tik savybės, kurias turi atitikti ši informacija. Tai visų pirma taikoma oficialioms ir komercinėms paslaptims, kurių ypatybes nustato Rusijos Federacijos civilinis kodeksas ir kurios yra šios:

 svarbi informacija, nežinoma trečiosioms šalims

 nėra teisinio pagrindo laisvai susipažinti su šia informacija

 informacijos konfidencialumą užtikrinančių priemonių imasi informacijos savininkas.

Konfidenciali informacija skirstoma į:

· tema,

· aptarnavimas.

Dalyko informacija- tai informacija apie tam tikrą realaus pasaulio sritį. ko užpuolikui iš tikrųjų reikia, pavyzdžiui, povandeninio laivo brėžinių ar informacijos apie Osamos bin Ladeno buvimo vietą. Paslaugos informacija nėra susijęs su konkrečia dalykine sritimi, o yra susijęs su konkrečios duomenų apdorojimo sistemos veikimo parametrais. Paslaugos informacija visų pirma apima vartotojo slaptažodžius darbui sistemoje. Gavęs informaciją apie paslaugą (slaptažodį), užpuolikas gali jį panaudoti, kad gautų prieigą prie konfidencialios informacijos.

Kiekvienos iš trijų kategorijų pažeidimas sukelia viso informacijos saugumo pažeidimą. Taigi, prieinamumo pažeidimas veda prie prieigos prie informacijos atsisakymo, vientisumo pažeidimas veda prie informacijos klastojimo ir galiausiai konfidencialumo pažeidimas veda prie informacijos atskleidimo.

Šis informacijos saugumo aspektas pastaruoju metu tapo itin aktualus, nes buvo priimta nemažai tarptautinių teisės aktų dėl intelektinės nuosavybės apsaugos. Šis aspektas daugiausia susijęs su neteisėto programų naudojimo prevencija.

Taigi, pavyzdžiui, jei vartotojas savo kompiuteryje įdiegia nelicencijuotą „Windows“ sistemą, tai yra informacijos saugumo pažeidimas.

Be to, šis aspektas susijęs su informacijos, gautos iš elektroninių šaltinių, naudojimu. Ši problema tapo aktualesnė dėl interneto plėtros. Susidarė situacija, kai interneto vartotojas visą ten patalpintą informaciją laiko savo asmenine nuosavybe ir naudojasi be jokių apribojimų, dažnai perduodamas kaip savo intelektualinį produktą.

Pavyzdžiui, studentas „atsisiunčia“ rašinį iš interneto ir pateikia jį mokytojui savo pavarde.

Su šia problema susiję teisės aktai ir teisėsaugos praktika dar tik pradeda formuotis.

Pažymėtina, kad nors visose civilizuotose šalyse yra piliečių saugumą (įskaitant informacijos saugumą) saugantys įstatymai, kompiuterinių technologijų srityje teisėsaugos praktika dar nėra pakankamai išvystyta, o teisėkūros procesas neatsilieka nuo technologijų plėtra, todėl informacijos saugumo užtikrinimo procesas daugiausia grindžiamas savisaugos priemonėmis.

Todėl būtina suprasti, iš kur ir kokios jos gali kilti informacijos saugumo grėsmės, kokių priemonių galima imtis norint apsaugoti informaciją ir mokėti šias priemones kompetentingai taikyti.

Įmonių saugumas – visai ne naujas reiškinys. Tai, kas tik neseniai pradėta vadinti šiuo terminu, egzistuoja nuo pat prekybos pradžios. Kiekvienas prekybininkas siekė apsaugoti savo profesines paslaptis nuo konkurentų, kad neprarastų pelno.

Šiuolaikinės įmonės saugumo realijos

Tiesą sakant, šiuolaikinis įmonių saugumas nedaug skiriasi nuo senojo. Keičiasi tik realybė, kurioje verslininkai turi vykdyti savo verslą. Bet kuri įmonė nori būti patikimai apsaugota ne tik nuo išorinių, bet ir nuo vidinių grėsmių. Šią problemą sprendžia įmonių ir informacijos saugumo specialistai. Jiems tenka užduotis atlikti daugybę priemonių, apimančių beveik visas įmonės gyvenimo sritis:

  • komercinių paslapčių apsauga;
  • vidinis darbas su darbuotojais;
  • vidaus kontržvalgyba;
  • tarnybiniai tyrimai;
  • ekonominis saugumas;
  • techninė ir fizinė apsauga.

Jei kyla problemų dėl bent vieno iš šių taškų, bus problemų. Neseniai Didžiojoje Britanijoje kilo skandalas – kietieji diskai su klinikos pacientų duomenimis, kurie turėjo būti sunaikinti, staiga atsidūrė eBay aukcionuose.

Ligoninės perdavė nebeeksploatuojamus diskus rangovinei bendrovei, kuri savo ruožtu naudojosi privačios šalies paslaugomis. Iniciatyvus anglas, užuot sąžiningai atlikęs savo pareigas – sunaikinęs žiniasklaidą, parduodavo diskus su duomenimis.

Šiuo atveju du taškai gali būti vadinami „silpnomis grandimis“ - vidinis darbas su darbuotojais ir techninė apsauga. Išsiaiškinkime kodėl. Nutekėjimą lėmė pernelyg ilga tarpininkų grandinė, dėl kurios klientas net nežinojo, kas tiesiogiai dalyvauja sunaikinant diskus ir kieno veiksmus reikia stebėti. Be to, pats faktas, kad ligoninės trečiosioms šalims perdavė diskus su neapsaugotais pacientų asmens duomenimis, yra techninis darbuotojų neveikimas.

Atsakingas požiūris į įmonės informacijos saugumo užtikrinimą padėtų išvengti šios situacijos. Išsiaiškinkime, ką reikia padaryti, kad gautume tikrai veikiančią informacijos apsaugos sistemą.

Kaip atpažinti vagį įmonėje naudojant KIB SearchInform?

Trys sunkūs žingsniai

Prieš pradedant kurti efektyvią informacijos apsaugos sistemą, būtina atidžiai išanalizuoti įmonėje jau esančią duomenų saugojimo ir apdorojimo sistemą. Norint tai padaryti, reikia atlikti tris pagrindinius veiksmus:

1. Kritinės informacijos atpažinimas.

2. Įmonės saugumo trūkumų nustatymas.

3. Šios informacijos apsaugos galimybių įvertinimas.

Visus šiuos veiksmus gali atlikti arba savo darbuotojai, arba galite užsisakyti įmonės informacijos saugumo auditą iš specialistų. Pirmojo metodo privalumai yra mažesnė kaina ir, svarbiausia, trečiųjų šalių prieigos prie įmonės duomenų trūkumas. Tačiau jei organizacijoje nėra gerų etatinių saugos audito specialistų, tuomet geriausia pasitelkti trečiųjų šalių kompanijų pagalbą – rezultatas bus patikimesnis. Tai padės išvengti dažniausiai pasitaikančių informacijos saugumo klaidų.

„Dažniausios klaidos- tai grėsmių verslo veiklai nuvertinimas ir pervertinimas“, – mano Aleksandras Doroninas, ekonominio saugumo ekspertas ir knygos „Business Intelligence“ autorius. „Pirmuoju atveju įmonės apsaugos sistemoje yra spragų, dėl kurių organizacija patiria tiesioginę žalą dėl konfidencialios informacijos nutekėjimo, įmonių sukčiavimo ir tiesioginės vagystės.

Pervertindama grėsmes, apsaugos sistema ne tik užkrauna didelę naštą įmonės biudžetui, bet ir nepagrįstai apsunkina organizacijos darbuotojų pareigų atlikimą. Tai kelia grėsmę galimo pelno praradimui ir konkurencingumo praradimui.

Svarbiausios informacijos atpažinimas.Šiame etape identifikuojami tie dokumentai ir duomenys, kurių saugumas įmonei turi didelę reikšmę, o dėl kurių nutekėjimo patiriami didžiuliai nuostoliai. Dažniausiai tokia informacija yra komercinę paslaptį sudaranti informacija, bet ne tik.

Pavyzdžiui, priėmus naują federalinio įstatymo „Dėl asmens duomenų“ redakciją, visa organizacijos surinkta informacija apie savo darbuotojus ir klientus taip pat turi būti apsaugota. Praėjusių metų „Megafon“, internetinių parduotuvių ir „Rusijos geležinkelių“ nutekėjimų serija, taip pat šių incidentų kaltininkų gautos baudos yra geriausias įrodymas, kad tokią informaciją būtina saugoti.

Svarbu atsiminti: trečiųjų šalių auditoriai negali savarankiškai sudaryti visų dokumentų, kuriuos reikia apsaugoti, sąrašo. Auditoriaus darbas turėtų būti atliekamas kartu su įmonės darbuotoju, kuris gerai išmano dokumentų srauto ypatumus.

Įmonės saugumo trūkumų nustatymas.Šią užduotį tiesiogiai atlieka auditą atliekantys specialistai. Informacijos saugumo projektavimo schemos pasirinkimas priklauso nuo šio darbo rezultatų.

Nustatant informacijos spragas ir dėl to įmonės saugumą, vertinamos ne tik techninės priemonės. Labai svarbus momentas yra darbuotojų prieigos prie tos ar kitos informacijos diferencijavimas ir susitarimas dėl įmonės informacijos neatskleidimo. Taip pat svarbu įvertinti darbuotojų lojalumą vadovybei bei santykius kolektyve – už visa tai atsakinga personalo skyrius.

Naujausias situacijos, kai darbuotojas pasinaudojo savo padėtimi ir pavogė informaciją, pavyzdys buvo Kenijos „Google“ atstovybės informacijos apie startuolį „Mocality“ (internetinė verslo informacijos duomenų bazė) vagystė. „Google“ buvo priversta oficialiai atsiprašyti nukentėjusiųjų, o atstovybės, dėl kurios kaltės įvyko incidentas, vadovas buvo nušalintas nuo pareigų.

Informacijos saugumo galimybių įvertinimas. Tai yra paskutinis audito etapas, kurio metu, remiantis atlikta analize, sudaromas sąrašas konkrečių priemonių, kurių reikia imtis siekiant apsaugoti įmonės verslo paslaptis. Rekomendacijos gali būti techninio ir organizacinio pobūdžio.

Be to, šiame etape analizuojamos įmonės finansinės galimybės apsaugoti informaciją, nes daugelis informacijos apsaugos priemonių įmonei gali pasirodyti per brangios. Ir kai kurios iš šių priemonių tiesiog nėra praktiškos mažoms įmonėms. Ypatingas poreikis atsiranda, jei organizacija naudoja 50 ir daugiau kompiuterių.

DLP sistemos montavimas visada prieš techninį patikrinimą. Klientą po užsakymo konsultuoja SearchInform inžinieriai, kurie įvertina įmonės IT infrastruktūrą ir nustato, kiek pajėgumų reikia programai įdiegti.

Dvipusė apsauga

Informacijos saugumas yra tik vienas iš daugelio būdų (nors ir pats svarbiausias) užtikrinti įmonės apsaugą. Reikalingas priemonių kompleksas – techninis ir organizacinis.

Įmonės paslapčių apsaugos techniniai sprendimai apima DLP sistemos (Data Leak Prevention) diegimą. Šis programinės įrangos įrankių rinkinys stebi visus informacijos srautus organizacijoje – nuo ​​elektroninio pašto iki programų, kurios naudoja šifravimo algoritmus (pavyzdžiui, Skype) arba HTTPS protokolą. Taip pat valdomos visos išimamos laikmenos, įmonių kompiuteriai ir nešiojamieji kompiuteriai.

Svarbi DLP sistemų savybė yra jų savarankiškumas. Įmonei nereikia išlaikyti viso skyriaus, skirto informacijos saugumui. Užtenka kelių specialistų.

Naujausi „SearchInform“, pirmaujančios Rusijos informacijos saugumo rinkos žaidėjo, tyrimai parodė, kad DLP sistemos dabar nėra labai populiarios Rusijoje ir NVS šalyse. Kiek daugiau nei pusė organizacijų (58 proc.) planuoja greitai įdiegti visapusišką apsaugą. Likusieji nemano, kad jo įgyvendinimas yra būtinas arba mano, kad pakanka dalinės apsaugos. Tačiau informacijos saugumas bus optimalaus lygio tik tada, kai bus užtikrinta visapusiška apsauga.

DLP sistema leidžia ne tik užtikrinti patikimą paslapčių apsaugą. Jų funkcijos yra daug platesnės: pasirinkus tinkamą požiūrį, galima gauti informacijos apie darbuotojų nuotaikas komandoje, sekti pagrindinių dokumentų judėjimą, gaunamus ir siunčiamus pranešimus. Dėl to DLP sistemų naudojimas taip pat yra veiksminga pagalba atliekant tokią svarbią įmonės saugumo veiklą kaip vidinė kontržvalgyba ar vidaus tyrimai.

Tačiau vien techninio duomenų saugumo ir darbuotojų veiksmų sekimo neužtenka. Taip pat svarbios organizacinės priemonės, darbas su darbuotojais, vidinės dokumentacijos kūrimas.

„Įmonės apsaugos sistema turi būti visapusiška, kitaip bus kaip pokštas: prie įėjimo apsaugos darbuotojas griežtai tikrina įmonės darbuotojų leidimus, o dvidešimt metrų nuo įėjimo yra skylė, pro kurią kiekvienas gali patekti į įmonės. teritorija“, – patirtimi dalijasi jis Aleksandras Doroninas.

Organizacinis darbas apima personalo informavimą apie informacijos saugumo sistemų buvimą organizacijoje, būtinybę saugoti komercines paslaptis ir galimas jų atskleidimo pasekmes tiek įmonei, tiek pačiam darbuotojui. Kitas svarbus organizacinių priemonių aspektas yra teigiamos darbo aplinkos kūrimas. Įmonės saugumas neįmanomas, jei darbuotojai vienas į kitą žiūri su nepasitikėjimu. Toks „šaltasis karas“ gerokai sulėtins verslo procesus. Todėl verta dar kartą priminti svarbų personalo skyriaus vaidmenį.

Kalbant apie vidaus dokumentacijos rengimą, turi būti aiškiai nurodytos darbuotojų pareigos, taip pat jų teisės susipažinti su tam tikrais dokumentais. Kiekvienas skyrius turi atlikti jam pavestas užduotis – ne daugiau, bet ir ne mažiau.

Reikia nepamiršti ir tokių, atrodytų, elementarių dalykų kaip saugos tarnybos darbas. Fizinė darbuotojų apsauga darbo vietoje taip pat yra svarbi įmonės saugumo dalis.

Tik pasiekę tokią dvipusę – techninę ir organizacinę – apsaugą, neperdėdami ir nesumažindami grėsmės, galite sukurti patikimą įmonės apsaugą.

mob_info