Sigurnost informacija treba posmatrati kao. Prijetnje sigurnosti informacija koje uzrokuju najveću štetu

Sigurnost virtuelnog servera se može posmatrati samo direktno kao "Informaciona sigurnost". Mnogi su čuli ovu frazu, ali ne razumiju svi o čemu se radi?

"Informaciona sigurnost" je proces pružanja dostupnost, integritet i povjerljivost informacija.

Ispod "pristupačnost" podrazumijeva se, odnosno, pružanje pristupa informacijama. "Integritet" je osigurati tačnost i potpunost informacija. "povjerljivost" znači osiguravanje pristupa informacijama samo ovlaštenim korisnicima.

Na osnovu vaših ciljeva i zadataka koje obavljate na virtuelnom serveru, biće neophodne različite mere i stepeni zaštite koji se primenjuju na svaku od ove tri tačke.

Na primjer, ako koristite virtuelni server samo kao sredstvo za surfanje Internetom, tada će od potrebnih sredstava za osiguranje sigurnosti, prije svega, biti korištenje antivirusne zaštite, kao i usklađenost elementarna pravila sigurnost pri radu na internetu.

U drugom slučaju, ako na vašem serveru imate prodajnu stranicu ili server za igre neophodne mere zaštita će biti potpuno drugačija.

Poznavanje mogućih prijetnji, kao i sigurnosnih ranjivosti koje ove prijetnje obično iskorištavaju, neophodno je kako bismo odabrali najoptimalnije sigurnosne alate, za to ćemo razmotriti glavne točke.

Ispod "prijetnja" odnosi se na mogućnost da se na ovaj ili onaj način naruši sigurnost informacija. Pokušaj izvršenja prijetnje se zove "napad", a onaj koji implementira ovaj pokušaj se zove "uljez". Prijetnja je najčešće posljedica prisustva ranjivosti u zaštiti informacionih sistema.

Razmotrite najčešće prijetnje kojima su savremeni informacioni sistemi izloženi.

Prijetnje sigurnosti informacija koje uzrokuju najveću štetu

U nastavku razmotrite klasifikaciju vrsta prijetnji prema različitim kriterijima:

1. Direktna prijetnja sigurnosti informacija:
   • Dostupnost
   • Integritet
   • Povjerljivost
2. Komponente koje ciljaju prijetnje:
   • Podaci
   • Programi
   • Oprema
   • Prateća infrastruktura
3. Po načinu implementacije:
   • slučajno ili namjerno
   • prirodno ili ljudskom rukom
4. Prema lokaciji izvora prijetnje su:
   • Interni
   • Eksterni

Kao što je spomenuto na početku, koncept „prijetnje“ u različitim situacijama često se tumači na različite načine. I potrebne sigurnosne mjere će biti drugačije. Na primjer, za izrazito otvorenu organizaciju prijetnje privatnosti možda jednostavno ne postoje – sve informacije se smatraju javnim, ali u većini slučajeva nezakonit pristup predstavlja ozbiljnu opasnost.

Primijenjene na virtuelne servere, prijetnje koje vi kao administrator servera morate uzeti u obzir su prijetnja dostupnosti podataka, povjerljivosti i integritetu. Za mogućnost izvođenja prijetnji usmjerenih na povjerljivost i integritet podataka koji se ne odnose na hardversku ili infrastrukturnu komponentu, snosite direktnu i isključivu odgovornost. Uključujući primjenu potrebnih zaštitnih mjera, ovo je vaš neposredni zadatak.

Na prijetnje usmjerene na ranjivosti programa koje koristite, često vi, kao korisnik, nećete moći utjecati, osim da ne koristite ove programe. Dozvoljeno je korištenje ovih programa samo ako implementacija prijetnji korištenjem ranjivosti ovih programa ili nije preporučljiva sa stanovišta napadača, ili nema značajnih gubitaka za vas kao korisnika.

Pružanje potrebnih sigurnosnih mjera protiv prijetnji usmjerenih na opremu, infrastrukturu ili prijetnje umjetne i prirodne prirode direktno se bavi hosting kompanija koju ste odabrali i od koje iznajmljujete svoje servere. U ovom slučaju, potrebno je najpažljivije pristupiti izboru, prava hosting kompanija će vam pružiti pouzdanost hardverske i infrastrukturne komponente na odgovarajućem nivou.

Vi, kao administrator virtuelnog servera, trebali biste uzeti u obzir ove vrste prijetnji samo u slučajevima kada čak i kratkotrajni gubitak pristupa ili djelomično ili potpuno zaustavljanje rada servera zbog greške hosting kompanije može dovesti do nesrazmjerne problema ili gubitaka. Ovo se dešava prilično rijetko, ali iz objektivnih razloga, nijedna hosting kompanija ne može osigurati 100% Uptime.

Prijetnje direktne sigurnosti informacija

Glavne prijetnje pristupačnosti uključuju

1. Interni kvar informacionog sistema;
2. Kvar prateće infrastrukture.

Glavni izvori unutrašnjih kvarova su:

• Kršenje (slučajno ili namjerno) utvrđenih pravila rada
• Izlaz iz sistema redovni način rada eksploatacije zbog slučajnih ili namjernih radnji korisnika (prekoračivanje procijenjenog broja zahtjeva, prevelika količina obrađenih informacija itd.)
• Greške prilikom (ponovnog) konfigurisanja sistema
• Zlonamjerni softver
• Softverski i hardverski kvarovi
• Uništavanje podataka
• Uništenje ili oštećenje opreme

U odnosu na prateću infrastrukturu, preporučuje se razmotriti sljedeće prijetnje:

• Poremećaj rada (slučajan ili namjeran) komunikacijskih sistema, napajanja, vodo i/ili topline, klimatizacija;
• Uništenje ili oštećenje prostorija;
• Nemogućnost ili nespremnost uslužnog osoblja i/ili korisnika da obavljaju svoje dužnosti (građanski nemiri, saobraćajne nesreće, teroristički akt ili prijetnja njime, štrajk i sl.).

Glavne prijetnje integritetu

Mogu se podijeliti na statičke prijetnje integriteta i prijetnje dinamičkog integriteta.

Također je vrijedno podijeliti na prijetnje integritetu servisnih informacija i značajnih podataka. Servisne informacije odnose se na pristupne lozinke, rute za prijenos podataka lokalna mreža i slične informacije. Najčešće i gotovo u svim slučajevima, napadač, svjesno ili ne, ispada da je zaposlenik organizacije koji je upoznat sa načinom rada i mjerama zaštite.

Da bi narušio statički integritet, napadač može:

• Unesite netačne podatke
• Za promjenu podataka

Prijetnje dinamičkom integritetu su preuređivanje, krađa, dupliciranje podataka ili uvođenje dodatnih poruka.

Najveće prijetnje privatnosti

Povjerljive informacije mogu se podijeliti na predmetne i servisne. Informacije o uslugama (na primjer, korisničke lozinke) ne pripadaju određenoj predmetnoj oblasti, igraju tehničku ulogu u informacionom sistemu, ali je njihovo otkrivanje posebno opasno, jer je preplavljeno neovlašćenim pristupom svim informacijama, uključujući i informacije o predmetu. .

Čak i ako su informacije pohranjene na računaru ili namijenjene za korišćenje računara, prijetnje njegovoj privatnosti mogu biti ne-kompjuterske i općenito netehničke prirode.

Zloupotreba ovlasti jedna je od najgadnijih prijetnji od kojih se teško braniti. Na mnogim tipovima sistema, privilegovani korisnik (kao što je administrator sistema) može čitati bilo koju (nešifrovanu) datoteku, pristupiti pošti bilo kojeg korisnika itd. Drugi primjer je šteta uzrokovana uslugu nakon prodaje. Tipično, servisni inženjer ima neograničen pristup opremi i može zaobići mehanizme zaštite softvera.

Radi jasnoće, ove vrste prijetnji su također šematski prikazane ispod na slici 1.


Rice. 1. Klasifikacija vrsta prijetnji sigurnosti informacija

Za primjenu najoptimalnijih mjera zaštite potrebno je procijeniti ne samo prijetnje informacijskoj sigurnosti, već i moguću štetu, za to se koristi karakteristika prihvatljivosti, pa se moguća šteta utvrđuje kao prihvatljiva ili neprihvatljiva. Da biste to učinili, korisno je odobriti vlastite kriterije za prihvatljivost štete u novčanom ili drugom obliku.

Svako ko krene u organizaciju informacione sigurnosti mora odgovoriti na tri osnovna pitanja:

1. Šta zaštititi?
2. Od koga zaštititi, koje vrste prijetnji prevladavaju: vanjske ili unutrašnje?
3. Kako zaštititi, kojim metodama i sredstvima?

Uzimajući sve navedeno u obzir, možete najpotpunije procijeniti relevantnost, mogućnost i kritičnost prijetnji. Procijenivši sve potrebne informacije i vaganje svih za i protiv. Moći ćete odabrati najefikasnije i optimalnije metode i sredstva zaštite.

Glavne metode i sredstva zaštite, kao i minimalne i neophodne sigurnosne mjere koje se primjenjuju virtuelni serveri u zavisnosti od glavnih svrha njihove upotrebe i vrsta prijetnji, razmotrit ćemo ih u sljedećim člancima pod naslovom "Osnove sigurnosti informacija".

Nove metode obrade i prenošenja podataka doprinose nastanku novih prijetnji koje povećavaju vjerovatnoću izobličenja, presretanja itd. informacija. Stoga je danas implementacija informacione sigurnosti računara na mreži vodeći pravac u IT-u. Dokument koji jača legitimnost radnji i označava zajedničko razumijevanje svih aspekata - GOST R 50922-96.

U nastavku razmatramo glavne koncepte u ovom pravcu:

• Informaciona sigurnost je pravac za sprječavanje prijetnji informacijama.
• Predmet zaštite je informacija ili nosilac informacija koje je potrebno zaštititi.
• Svrha zaštite je određeni rezultat nakon određenog perioda zaštite ove informacije.
• Efikasnost zaštite informacija - indikator pokazuje koliko je stvarni rezultat blizak postavljenom rezultatu.
• Zaštita informacija od curenja - rad na sprečavanju nekontrolisanog prenosa zaštićenih podataka od otkrivanja ili
• Sistem sigurnosti informacija - skup komponenti koje se implementiraju u vidu opreme, softvera, ljudi, zakona itd., koje su organizovane i rade u jedinstvenom sistemu, a imaju za cilj zaštitu informacija
• Subjekt pristupa informacijama je učesnik pravnih odnosa u informacionim procesima
• Vlasnik informacije je autor koji ima puna prava na ove informacije u okviru zakona
• Vlasnik informacije je subjekt koji, po nalogu vlasnika, koristi informaciju i provodi je u određenim ovlaštenjima.
• Pravo na pristup informacijama je skup pravila za pristup podacima, utvrđenih dokumentima ili od strane vlasnika/vlasnika
• Ovlašteni pristup - pristup koji ne krši određena pravila kontrole pristupa
• Neovlašteni pristup je kršenje pravila kontrole pristupa. Proces ili entitet koji implementira UA je prekršilac
• Identifikacija subjekta je algoritam za prepoznavanje subjekta pomoću identifikatora
• Autorizacija subjekta je algoritam za dodjelu prava subjektu nakon uspješne autentifikacije i identifikacije u sistemu
• Ranjivost računarskog sistema je aspekt komponenti sistema koji dovode do
• Napad na računarski sistem (CS) je pretraga i implementacija ranjivosti sistema od strane napadača
• Zaštićeni sistem je sistem u kojem su ranjivosti sistema uspešno zatvorene i rizici od pretnji smanjeni
• Načini i metode zaštite informacija - pravila i procedure za primjenu sredstava zaštite
• Sigurnosna politika je skup pravila, normi i dokumenata za implementaciju zaštite informacionog sistema u preduzeću.

Ispod Sigurnost informacija utvrđuju sigurnost podataka od nezakonitih radnji sa njima, kao i performanse informacionog sistema i njegovih komponenti. Danas je AS (automatski sistem) za obradu podataka čitav sistem koji se sastoji od komponenti određene autonomije. Svaka komponenta može biti podložna lošem uticaju. AS elementi se mogu podijeliti u grupe:

• Hardverske komponente - računari i njihovi delovi (monitori, štampači, komunikacioni kablovi itd.)
• Softver - programi, OS itd.
• Osoblje - ljudi koji su direktno povezani sa informacionim sistemom (zaposleni, itd.)
• Podaci su informacije koje se nalaze u zatvorenom sistemu. Ovo su štampane informacije, časopisi, mediji itd.

Sigurnost informacija implementirana je korištenjem sljedećih aspekata: integriteta, povjerljivosti i dostupnosti. Privatnost podataka- ovo je aspekt informacija koji određuje stepen njihove tajnosti od trećih lica. Povjerljive informacije trebaju biti poznate samo ovlaštenim subjektima sistema. Integritet informacija definiše aspekt informacije u očuvanju njene strukture/sadržaja tokom prenosa ili skladištenja. Postizanje sigurnosti ovog aspekta važno je u okruženju u kojem postoji velika vjerovatnoća izobličenja ili drugih uticaja na uništavanje integriteta. Pouzdanost informacija sastoji se u strogom pridržavanju početne vrijednosti, tokom prijenosa i skladištenja.

Pravni značaj podataka određuje dokument koji je nosilac, a ima i pravnu snagu. Dostupnost podataka utvrđuje prijem informacija od strane subjekta uz pomoć tehničkih sredstava.

Norbert Wiener, tvorac kibernetike, vjerovao je da informacije imaju jedinstvene karakteristike i da se ne mogu pripisati ni energiji ni materiji. Poseban status informacije kao fenomena doveo je do mnogih definicija.

Rječnik ISO/IEC 2382:2015 "Informacijska tehnologija" pruža sljedeće tumačenje:

Informacije (u oblasti obrade informacija)- svi podaci predstavljeni u elektronskom obliku, napisani na papiru, izgovoreni na sastanku ili na bilo kojem drugom mediju koji finansijska institucija koristi za donošenje odluka, prijenos sredstava, određivanje stopa, odobravanje kredita, obradu transakcija itd., uključujući obradu komponenti sistemski softver.

Za razvoj koncepta informacione sigurnosti (IS), informacije se shvataju kao informacije koje su dostupne za prikupljanje, skladištenje, obradu (uređivanje, transformaciju), upotrebu i prenos na različite načine, uključujući i u računarskim mrežama i drugim informacionim sistemima.

Takve informacije su velike vrijednosti i mogu postati predmet kršenja od strane trećih strana. Želja za zaštitom informacija od prijetnji je u osnovi stvaranja sistema informacione sigurnosti.

Pravna osnova

U decembru 2017. godine u Rusiji je usvojena Doktrina informacione sigurnosti. U dokumentu je informaciona sigurnost definisana kao stanje zaštite nacionalnih interesa u informacionoj sferi. U ovom slučaju, nacionalni interesi se shvataju kao ukupnost interesa društva, pojedinca i države, svaka grupa interesa je neophodna za stabilno funkcionisanje društva.

Doktrina je konceptualni dokument. Pravni odnosi koji se odnose na osiguranje informacione sigurnosti uređeni su saveznim zakonima "O državnim tajnama", "O informacijama", "O zaštiti ličnih podataka" i dr. Na osnovu temeljnih normativnih akata izrađuju se vladine uredbe i resorni normativni akti o pojedinim pitanjima zaštite informacija.

Definicija sigurnosti informacija

Prije izrade strategije informacione sigurnosti potrebno je prihvatiti osnovnu definiciju samog koncepta, koja će omogućiti korištenje određenog skupa metoda i metoda zaštite.

Praktičari iz industrije predlažu da se informaciona bezbednost shvati kao stabilno stanje zaštite informacija, njihovih nosilaca i infrastrukture, koje obezbeđuje integritet i stabilnost procesa vezanih za informacije od namernih ili nenamernih uticaja prirodne i veštačke prirode. Uticaji su klasifikovani kao IS prijetnje koje mogu uzrokovati štetu subjektima informacionih odnosa.

Dakle, informaciona bezbednost će se shvatiti kao skup pravnih, administrativnih, organizacionih i tehničkih mera koje imaju za cilj sprečavanje stvarnih ili uočenih pretnji bezbednosti informacija, kao i otklanjanje posledica incidenata. Kontinuitet procesa zaštite informacija treba da garantuje borbu protiv pretnji u svim fazama informacionog ciklusa: u procesu prikupljanja, skladištenja, obrade, korišćenja i prenošenja informacija.

Informaciona sigurnost u ovom smislu postaje jedna od karakteristika performansi sistema. U svakom trenutku, sistem mora imati mjerljiv nivo sigurnosti, a osiguranje sigurnosti sistema mora biti kontinuiran proces koji se provodi u svim vremenskim intervalima tokom životnog vijeka sistema.

U teoriji informacione sigurnosti, subjekti IS se shvataju kao vlasnici i korisnici informacija, te korisnici ne samo na stalnoj osnovi (zaposleni), već i korisnici koji pristupaju bazama podataka u izolovanim slučajevima, na primjer, državni organi koji traže informacije. U nizu slučajeva, na primjer, u standardima bankarske informacione sigurnosti, vlasnici informacija su dioničari - pravna lica koja posjeduju određene podatke.

Prateća infrastruktura, sa stanovišta osnova informacione sigurnosti, obuhvata računare, mreže, telekomunikacionu opremu, prostorije, sisteme za održavanje života i osoblje. Prilikom analize sigurnosti potrebno je proučiti sve elemente sistema, pri čemu posebnu pažnju posvećujemo osoblju kao nosiocu većine unutrašnjih prijetnji.

Za upravljanje sigurnošću informacija i procjenu štete koristi se karakteristika prihvatljivosti, pa se šteta utvrđuje kao prihvatljiva ili neprihvatljiva. Korisno je da svaka kompanija odobri sopstvene kriterijume za prihvatanje štete u novčanom smislu ili, na primer, u obliku prihvatljive štete po ugled. U javnim ustanovama mogu se usvojiti i druge karakteristike, na primjer, uticaj na proces upravljanja ili odraz stepena oštećenja života i zdravlja građana. Kriterijumi materijalnosti, važnosti i vrijednosti informacija mogu se mijenjati tokom životnog ciklusa informacijskog niza, stoga se moraju blagovremeno preispitivati.

Informaciona prijetnja u užem smislu je objektivna mogućnost utjecaja na objekt zaštite, što može dovesti do curenja, krađe, otkrivanja ili širenja informacija. U širem smislu, prijetnje sigurnosti informacija će uključivati ​​ciljane informacijske utjecaje, čija je svrha nanošenje štete državi, organizaciji ili pojedincu. Takve prijetnje uključuju, na primjer, klevetu, namjerno lažno predstavljanje, netačno oglašavanje.

Tri glavna pitanja koncepta sigurnosti informacija za svaku organizaciju

Šta zaštititi?

Koje vrste prijetnji prevladavaju: vanjske ili unutrašnje?

Kako zaštititi, kojim metodama i sredstvima?

Sistem sigurnosti informacija

Sistem informacione bezbednosti preduzeća - pravnog lica obuhvata tri grupe osnovnih pojmova: integritet, dostupnost i poverljivost. Ispod svakog se nalaze koncepti sa mnogo karakteristika.

Ispod integritet odnosi se na otpornost baza podataka, drugih informacijskih nizova na slučajno ili namjerno uništavanje, neovlaštene promjene. Koncept integriteta može se posmatrati kao:

• statičnost, izražena u nepromjenjivosti, autentičnosti informacionih objekata prema onim objektima koji su kreirani prema određenom tehničkom zadatku i sadrže količinu informacija koja je neophodna korisnicima za njihovu glavnu djelatnost, u potrebnoj konfiguraciji i redoslijedu;
• dinamički, koji podrazumijevaju ispravno izvršavanje složenih radnji ili transakcija koje ne štete sigurnosti informacija.

Za kontrolu dinamičkog integriteta, poseban tehnička sredstva, koji analiziraju protok informacija, na primjer, finansijskih, i identifikuju slučajeve krađe, dupliciranja, preusmjeravanja, preuređenja poruka. Integritet kao glavna karakteristika je potreban kada se odluke donose na osnovu pristiglih ili dostupnih informacija za poduzimanje radnji. Kršenje redoslijeda naredbi ili redoslijeda radnji može uzrokovati veliku štetu u slučaju opisivanja tehnoloških procesa, programskih kodova iu drugim sličnim situacijama.

Dostupnost je svojstvo koje ovlaštenim subjektima omogućava pristup ili razmjenu podataka od interesa za njih. Ključni zahtjev legitimacije ili autorizacije subjekata omogućava stvaranje različitim nivoima pristup. Neuspjeh sistema da pruži informacije postaje problem za bilo koju organizaciju ili korisničku grupu. Primjer je nedostupnost web stranica javnih servisa u slučaju kvara sistema, što mnogim korisnicima uskraćuje mogućnost da dobiju potrebne usluge ili informacije.

Povjerljivost znači svojstvo informacija koje treba da budu dostupne tim korisnicima: subjektima i procesima kojima je pristup prvobitno dozvoljen. Većina kompanija i organizacija doživljava privatnost kao ključni element IS, međutim, u praksi ga je teško u potpunosti implementirati. Nisu svi podaci o postojećim kanalima curenja informacija dostupni autorima koncepata informacione sigurnosti, a mnoga tehnička sredstva zaštite, uključujući i kriptografska, ne mogu se besplatno kupiti, u nekim slučajevima je promet ograničen.

Jednaka svojstva informacione sigurnosti imaju različite vrijednosti za korisnike, pa otuda i dvije ekstremne kategorije u razvoju koncepata zaštite podataka. Za kompanije ili organizacije koje se bave državnim tajnama, povjerljivost će biti ključni parametar, za javne službe ili obrazovne institucije većina važan parametar- dostupnost.

Sažetak sigurnosti informacija

Mjesečni izbor korisnih publikacija, zanimljivih vijesti i događaja iz svijeta informacione sigurnosti. Stručno iskustvo i stvarni slučajevi iz prakse SearchInforma.

Objekti zaštite u konceptima IS

Razlika u subjektima stvara razlike u objektima zaštite. Glavne grupe zaštićenih objekata:

• informacioni resursi svih vrsta (resurs je materijalni objekat: hard disk, drugi medij, dokument sa podacima i detaljima koji pomažu da se identifikuje i pripiše određenoj grupi subjekata);
• prava građana, organizacija i države na pristup informacijama, mogućnost njihovog dobijanja u okviru zakona; pristup može biti ograničen samo regulatornim pravnim aktima, neprihvatljivo je organizovanje bilo kakvih barijera koje krše ljudska prava;
• sistem za kreiranje, korišćenje i distribuciju podataka (sistemi i tehnologije, arhivi, biblioteke, regulatorni dokumenti);
• sistem za formiranje javne svijesti (mediji, internet resursi, društvene institucije, obrazovne institucije).

Svaki objekat ima poseban sistem mjere zaštite od prijetnji po sigurnost informacija i javni red. Osiguravanje sigurnosti informacija u svakom slučaju treba se zasnivati ​​na sistematskom pristupu koji uzima u obzir specifičnosti objekta.

Kategorije i mediji

ruski legalni sistem, praksa provođenja zakona i uspostavljeni društveni odnosi klasifikuju informacije prema kriterijumima pristupačnosti. Ovo vam omogućava da razjasnite bitne parametre potrebne za osiguravanje sigurnosti informacija:

• informacije kojima je pristup ograničen na osnovu zakonskih uslova (državna tajna, poslovna tajna, lični podaci);
• informacije u javnom domenu;
• javno dostupne informacije koje se pružaju pod određenim uslovima: plaćene informacije ili podaci za koje je potreban pristup, na primer, bibliotečka karta;
• opasne, štetne, lažne i druge vrste informacija, čiji je promet i širenje ograničen ili zahtjevima zakona ili korporativnih standarda.

Informacije iz prve grupe imaju dva načina zaštite. državna tajna, prema zakonu, radi se o informacijama koje štiti država, čiji slobodan promet može štetiti bezbjednosti zemlje. Riječ je o podacima iz oblasti vojne, vanjske politike, obavještajnih, kontraobavještajnih i ekonomskih aktivnosti države. Vlasnik ove grupe podataka je direktno država. Vlasti ovlaštene da preduzmu zaštitne mjere državna tajna, - Ministarstvo odbrane, Federalna služba bezbjednosti (FSB), Spoljna obavještajna služba, Federalna služba za tehničku i izvoznu kontrolu (FSTEC).

Povjerljiva informacija- višestruki objekt regulacije. Spisak informacija koje mogu predstavljati poverljive informacije sadržan je u Predsedničkom dekretu br. 188 "O odobravanju liste poverljivih informacija". Ovo su lični podaci; tajnost istrage i sudskog postupka; službena tajna; profesionalna tajna (liječnička, javnobilježnička, advokatska); poslovna tajna; informacije o izumima i korisnim modelima; podatke sadržane u ličnim dosijeima osuđenih, kao i podatke o izvršenju sudskih akata.

Lični podaci postoje u otvorenom i povjerljivom načinu rada. Dio ličnih podataka koji je otvoren i dostupan svim korisnicima uključuje ime, prezime, patronim. Prema Federalnom zakonu-152 "O ličnim podacima", subjekti ličnih podataka imaju pravo:

• o informacionom samoopredeljenju;
• da pristupite ličnim podacima i izvršite izmjene u njima;
• blokirati lične podatke i pristup njima;
• podnošenje žalbe protiv nezakonitih radnji trećih lica počinjenih u vezi sa ličnim podacima;
• za naknadu štete.

Pravo na to je sadržano u propisima o državnim organima, saveznim zakonima, dozvolama za rad sa ličnim podacima koje izdaje Roskomnadzor ili FSTEC. Kompanije koje profesionalno rade s ličnim podacima širokog spektra ljudi, na primjer, telekom operateri, moraju ući u registar koji vodi Roskomnadzor.

Poseban predmet u teoriji i praksi informacione sigurnosti su nosioci informacija kojima je pristup otvoren i zatvoren. Prilikom izrade koncepta IS odabiru se metode zaštite ovisno o vrsti medija. Glavni nosioci informacija:

• štampano i elektronskim sredstvima masovni medij, društvene mreže, drugi resursi na internetu;
• zaposleni u organizaciji koji imaju pristup informacijama na osnovu prijateljskih, porodičnih, profesionalnih veza;
• sredstva komunikacije koja prenose ili pohranjuju informacije: telefoni, automatske telefonske centrale, druga telekomunikacijska oprema;
• dokumenti svih vrsta: lični, službeni, državni;
• softver kao samostalni informacijski objekt, posebno ako je njegova verzija razvijena posebno za određenu kompaniju;
• elektronski mediji informacije koje automatski obrađuju podatke.

Za potrebe razvoja koncepata informacione bezbednosti, alati za bezbednost informacija se obično dele na regulatorne (neformalne) i tehničke (formalne).

Neformalna sredstva zaštite su dokumenti, pravila, događaji, formalna su posebna tehnička sredstva i softver. Razlikovanje pomaže u raspodeli oblasti odgovornosti prilikom kreiranja sistema bezbednosti informacija: sa opštim upravljanjem zaštitom, administrativno osoblje primenjuje regulatorne metode, a IT stručnjaci, respektivno, tehničke.

Osnove informacione bezbednosti podrazumevaju podelu nadležnosti ne samo u pogledu korišćenja informacija, već i u pogledu rada na njihovoj zaštiti. Ova podjela vlasti zahtijeva nekoliko nivoa kontrole.

Formalni pravni lijekovi

Širok spektar tehničkih sredstava zaštite informacija uključuje:

Fizička sredstva zaštite. To su mehanički, električni, elektronski mehanizmi koji rade nezavisno od informacionih sistema i stvaraju prepreke za pristup njima. Brave, uključujući elektronske, ekrane, roletne su dizajnirane da stvaraju prepreke za kontakt destabilizirajućih faktora sa sistemima. Grupu dopunjuju sigurnosni sistemi, na primjer, video kamere, video rekorderi, senzori koji detektuju kretanje ili višak stepena elektromagnetnog zračenja u području gdje se nalaze tehnička sredstva za uklanjanje informacija, ugrađeni uređaji.

Hardverska zaštita. To su električni, elektronski, optički, laserski i drugi uređaji koji se ugrađuju u informacione i telekomunikacione sisteme. Prije uvođenja hardvera u informacione sisteme, mora se provjeriti kompatibilnost.

Softver jednostavni su i sistemski, sveobuhvatni programi dizajniran za rješavanje privatnih i složenih zadataka vezanih za obezbjeđivanje informacione sigurnosti. Primjer složenih rješenja su i: prva služe za sprječavanje curenja, preformatiranje informacija i preusmjeravanje tokova informacija, druga – obezbjeđuju zaštitu od incidenata u oblasti informacione sigurnosti. Softverski alati su zahtjevni za snagu hardverskih uređaja, te se prilikom instalacije moraju obezbijediti dodatne rezerve.

TO specifičnim sredstvima Sigurnost informacija uključuje različite kriptografske algoritme koji vam omogućavaju šifriranje informacija na disku i preusmjeravanja putem vanjskih komunikacijskih kanala. Transformacija informacija može se desiti uz pomoć softverskih i hardverskih metoda koje rade u korporativnim informacionim sistemima.

Sva sredstva koja garantuju sigurnost informacija treba koristiti zajedno, nakon preliminarne procene vrednosti informacija i poređenja sa troškovima sredstava utrošenih na zaštitu. Dakle, prijedloge za korištenje sredstava treba formulisati već u fazi razvoja sistema, a odobravanje na nivou menadžmenta koji je odgovoran za odobravanje budžeta.

Kako bi se osigurala sigurnost, potrebno je pratiti sav savremeni razvoj, softverske i hardverske alate za zaštitu, prijetnje i pravovremeno mijenjati vlastite sisteme zaštite od neovlaštenog pristupa. Samo adekvatnost i brz odgovor na prijetnje pomoći će da se postigne visok nivo povjerljivosti u radu kompanije.

Neformalni pravni lijekovi

Neformalni lijekovi su grupisani u normativne, administrativne i moralno-etičke. Na prvom nivou zaštite nalaze se regulatorni alati koji regulišu sigurnost informacija kao proces u aktivnostima organizacije.

• Regulatorna sredstva

U svjetskoj praksi, pri razvoju regulatornih alata, oni se rukovode standardima informacione sigurnosti, glavni je ISO / IEC 27000. Standard su kreirale dvije organizacije:

• ISO - Međunarodna komisija za standardizaciju, koja razvija i odobrava većinu međunarodno priznatih metoda za sertifikaciju kvaliteta proizvodnje i procesa upravljanja;
• IEC - Međunarodna energetska komisija, koja je u standard uvela svoje razumijevanje sistema sigurnosti informacija, sredstava i metoda njihovog obezbjeđivanja.

Trenutna verzija ISO/IEC 27000-2016 nudi gotove standarde i proverene metodologije neophodne za implementaciju informacione bezbednosti. Prema autorima metoda, osnova informacione sigurnosti leži u sistematskoj i doslednoj implementaciji svih faza od razvoja do post-kontrole.

Za dobijanje sertifikata koji potvrđuje usklađenost sa standardima informacione bezbednosti, potrebno je u potpunosti primeniti sve preporučene prakse. Ukoliko nema potrebe za pribavljanjem sertifikata, dozvoljeno je uzeti bilo koji od više rane verzije standarda, počevši od ISO / IEC 27000-2002, ili ruskih GOST-ova, koji su savjetodavne prirode.

Na osnovu rezultata proučavanja standarda razvijaju se dva dokumenta koja se odnose na sigurnost informacija. Glavni, ali manje formalan, je koncept informacione bezbednosti preduzeća, koji određuje mere i metode za implementaciju sistema bezbednosti informacija za informacione sisteme organizacije. Drugi dokument koji su svi zaposleni u kompaniji dužni da se pridržavaju je propis o informacionoj bezbednosti, koji se usvaja na nivou odbora direktora ili izvršnog organa.

Pored pozicije na nivou kompanije, treba izraditi liste podataka koji predstavljaju poslovnu tajnu, anekse ugovora o radu, utvrđivanje odgovornosti za otkrivanje povjerljivih podataka, druge standarde i metode. Interna pravila i propisi treba da sadrže mehanizme za implementaciju i odgovornosti. Najčešće su mjere disciplinske prirode, a prekršilac mora biti spreman na činjenicu da će kršenje režima poslovne tajne biti praćeno značajnim sankcijama, uključujući i otkaz.

• Organizacione i administrativne mjere

Kao dio administrativne aktivnosti o zaštiti informacione bezbednosti za zaposlene u službama bezbednosti otvara prostor za kreativnost. Riječ je o arhitektonsko-planerskim rješenjima koja vam omogućavaju zaštitu prostorija za sastanke i izvršne kancelarije od prisluškivanja, te uspostavljanje različitih nivoa pristupa informacijama. Važne organizacione mere biće sertifikacija delatnosti kompanije u skladu sa standardima ISO/IEC 27000, sertifikacija pojedinačnih hardverskih i softverskih sistema, sertifikacija subjekata i objekata za usklađenost sa neophodnim bezbednosnim zahtevima, kao i dobijanje licenci potrebnih za rad sa zaštićenim informacionim nizovima. .

Sa stanovišta regulisanja delatnosti osoblja biće važno osmisliti sistem zahteva za pristup Internetu, eksternoj elektronskoj pošti i drugim resursima. Poseban element će biti prijem elektronskog digitalnog potpisa radi poboljšanja sigurnosti finansijskih i drugih informacija koje se prenose državnim organima putem email kanala.

• Moralne i etičke mjere

Moralno-etičke mjere određuju lični stav osobe prema povjerljiva informacija ili informacije ograničene u opticaju. Povećanje nivoa znanja zaposlenih o uticaju pretnji na aktivnosti kompanije utiče na stepen svesti i odgovornosti zaposlenih. Za borbu protiv kršenja režima informisanja, uključujući, na primer, prenošenje lozinki, nepažljivo rukovanje medijima, širenje poverljivih podataka u privatnim razgovorima, potrebno je naglasiti ličnu savest zaposlenog. Biće korisno uspostaviti indikatore učinka za osoblje, koji će zavisiti od odnosa prema njima korporativni sistem IB.

Infografika koristi podatke iz našeg vlastitog istraživanjaSearchInform.

Studenti, postdiplomci, mladi naučnici koji koriste bazu znanja u svom studiranju i radu biće vam veoma zahvalni.

Hostirano na http://www.allbest.ru/

Uvod

2. Sistemi sigurnosti informacija

3. Informacijski resursi ograničene distribucije i prijetnje resursima. Pristup osoblja povjerljivim informacijama

Zaključak

Uvod

Od samog početka ljudske istorije postojala je potreba za prenošenjem i skladištenjem informacija.

Otprilike od 17. veka, u procesu formiranja mašinske proizvodnje, dolazi do izražaja problem ovladavanja energijom. Prvo su poboljšane metode ovladavanja energijom vjetra i vode, a zatim je čovječanstvo ovladalo toplotnom energijom.

Krajem 19. stoljeća počinje ovladavanje električnom energijom, izumljeni su električni generator i elektromotor. I konačno, sredinom 20. stoljeća čovječanstvo je ovladalo atomskom energijom; 1954. puštena je u rad prva nuklearna elektrana u SSSR-u.

Ovladavanje energijom omogućilo je prelazak na masovnu mašinsku proizvodnju robe široke potrošnje. Stvoreno je industrijsko društvo. Tokom ovog perioda došlo je i do značajnih promjena u metodama čuvanja i prenošenja informacija.

U informacionom društvu, glavni resurs su informacije. Na osnovu posedovanja informacija o širokom spektru procesa i pojava bilo koja aktivnost se može efikasno i optimalno izgraditi.

Važno je ne samo proizvoditi veliki broj proizvode, već da proizvede prave proizvode u određeno vrijeme. Uz određene troškove i tako dalje. Stoga se u informatičkom društvu povećava ne samo kvalitet potrošnje, već i kvalitet proizvodnje; osoba koja koristi informacionu tehnologiju Bolji uslovi rad, rad postaje kreativan, intelektualni, itd.

Trenutno su razvijene zemlje svijeta (SAD, Japan, zapadnoevropske zemlje) zapravo već ušle u informatičko društvo. Drugi, uključujući Rusiju, su joj blizu.

Mogu se odabrati tri kriterijuma za razvoj informacionog društva: dostupnost računara, stepen razvijenosti računarskih mreža i broj zaposlenih u informacionoj sferi, kao i korišćenje informaciono-komunikacionih tehnologija u svakodnevnim aktivnostima.

Današnje informacije su skupe i moraju biti zaštićene. Ispostavilo se da je masovna upotreba personalnih računara, nažalost, povezana s pojavom samoreproducirajućih virusnih programa koji sprečavaju normalan rad računara, uništavaju strukturu fajla diskova i oštetiti informacije pohranjene u računaru.

Informacije posjeduju i koriste svi ljudi bez izuzetka. Svaka osoba sama odlučuje koje informacije treba da dobije, koje informacije ne smiju biti dostupne drugima itd. Čovjeku je lako pohraniti informaciju koja mu je u glavi, ali šta ako se informacija unese u „mozak mašine“, kojoj mnogi ljudi imaju pristup.

1. Zaštita informacija i sigurnost informacija

Zaštita podataka

Problem kreiranja sistema informacione bezbednosti obuhvata dva komplementarna zadatka: 1) razvoj sistema informacione bezbednosti (njegova sinteza); 2) evaluacija razvijenog sistema informacione bezbednosti. Drugi zadatak se rješava analizom njegovih tehničkih karakteristika kako bi se utvrdilo da li sistem zaštite informacija zadovoljava skup zahtjeva za ove sisteme. Takav zadatak se trenutno rješava gotovo isključivo stručnim sredstvima kroz sertifikaciju alata za sigurnost informacija i sertifikaciju sistema informacione sigurnosti u procesu njegove implementacije.

Razmotrite glavni sadržaj predstavljenih metoda zaštite informacija, koji čine osnovu mehanizama zaštite.

Prepreke - metode fizičkog blokiranja puta napadača do zaštićenih informacija (do opreme, medija za pohranu itd.).

Kontrola pristupa je način zaštite informacija regulisanjem korišćenja svih resursa računarskog informacionog sistema (elementa baze podataka, softvera i hardvera). Kontrola pristupa uključuje sljedeće sigurnosne karakteristike:

identifikacija korisnika, osoblja i resursa sistema (dodjela ličnog identifikatora svakom objektu);

identifikacija (autentifikacija) objekta ili subjekta pomoću identifikatora koji im je predstavljen;

provjera ovlaštenja (provjera usklađenosti dana u sedmici, doba dana, traženih sredstava i procedura sa utvrđenim propisima);

dozvola i stvaranje uslova za rad u skladu sa utvrđenim propisima;

registracija (logiranje) poziva na zaštićene resurse;

registracija (signalizacija, gašenje, odlaganje rada, odbijanje zahtjeva) u slučaju pokušaja neovlaštenih radnji.

Maskiranje je metoda zaštite informacija kriptografskim zatvaranjem. Ova metoda se široko koristi u inostranstvu kako u obradi i skladištenju informacija, uključujući i na disketama. Prilikom prijenosa informacija putem komunikacijskih kanala na velike udaljenosti ovu metodu je jedini pouzdan.

Regulacija je način zaštite informacija koji stvara takve uslove za automatizovanu obradu, skladištenje i prenos zaštićenih informacija, pod kojima bi se mogućnost neovlašćenog pristupa istima svela na minimum.

Prinuda je način zaštite u kojem su korisnici i osoblje sistema prisiljeni da poštuju pravila obrade, prenosa i korištenja zaštićenih informacija pod prijetnjom finansijske, administrativne ili krivične odgovornosti.

Motivacija - način zaštite koji podstiče korisnika i osoblje sistema da ne krše utvrđeni poredak poštujući preovlađujuće moralne i etički standardi(i regulisano i nepisano).

Razmatrani načini obezbjeđivanja sigurnosti implementiraju se u praksi korištenjem različitih sredstava zaštite, kao što su tehnička, softverska, organizaciona, zakonodavna, moralna i etička. Glavne zaštite koje se koriste za stvaranje sigurnosnog mehanizma uključuju sljedeće.

Tehnička sredstva se realizuju u vidu električnih, elektromehaničkih i elektronskih uređaja. Čitav skup tehničkih sredstava podijeljen je na hardverska i fizička. Pod hardverom je uobičajeno podrazumijevati opremu ili uređaje koji su povezani sa sličnom opremom prema standardni interfejs. Na primjer, sistem identifikacije i diferencijacije pristupa informacijama (pomoću lozinki, kodova za snimanje i drugih informacija na raznim karticama). Fizička sredstva se realizuju u obliku autonomnih uređaja i sistema. Na primjer, brave na vratima gdje se nalazi oprema, rešetke na prozorima, izvori neprekidno napajanje, elektromehanička sigurnosna alarmna oprema. Dakle, postoje spoljni sigurnosni sistemi (“Raven”, GUARDWIR, FPS, itd.), ultrazvučni sistemi (Cyclops, itd.), sistemi za prekid snopa (Pulsar 30V itd.), televizijski sistemi (VM216, itd.), radarski sistemi sistemi (“VITIM” itd.), sistem za praćenje otvaranja opreme itd.

Softver znači softver posebno dizajniran za obavljanje funkcija sigurnosti informacija. Ova grupa alata uključuje: mehanizam šifriranja (kriptografija je poseban algoritam koji se pokreće jedinstvenim brojem ili nizom bitova, koji se obično naziva ključ za šifriranje; zatim se šifrirani tekst prenosi komunikacijskim kanalima, a primalac ima svoj ključ za dešifriranje informacija), mehanizam digitalnog potpisa, mehanizmi kontrole pristupa, mehanizmi integriteta podataka, mehanizmi planiranja, mehanizmi kontrole rutiranja, mehanizmi arbitraže, antivirusni programi, programi za arhiviranje (na primjer, zip, rar, arj, itd.), zaštita prilikom unosa i izlaza informacija itd.

Organizaciona sredstva zaštite su organizacione, tehničke i organizaciono-pravne mjere koje se sprovode u procesu stvaranja i rada računarske tehnologije, telekomunikacione opreme radi obezbjeđenja zaštite informacija. Organizacione mjere obuhvataju sve strukturne elemente opreme u svim fazama njihovog životnog ciklusa (izgradnja prostora, projektovanje računarskog informacionog sistema bankarstvo, ugradnja i podešavanje opreme, upotreba, rad).

Moralna i etička sredstva zaštite implementiraju se u obliku svih vrsta normi koje su se tradicionalno razvijale ili su formirane kao kompjuteri i sredstva komunikacije raširene u društvu. Ove norme uglavnom nisu obavezne kao zakonske mjere, međutim njihovo nepoštovanje obično dovodi do gubitka autoriteta i prestiža osobe. Najilustrativniji primjer takvih normi je Kodeks profesionalnog ponašanja za članove Američkog udruženja korisnika kompjutera.

Zakonska sredstva zaštite utvrđena su zakonodavnim aktima zemlje, kojima se uređuju pravila korišćenja, obrade i prenosa informacija sa ograničenim pristupom i utvrđuju odgovornost za kršenje ovih pravila.

Sva razmatrana sredstva zaštite dijele se na formalna (obavljanje zaštitnih funkcija striktno prema unaprijed određenoj proceduri bez direktnog učešća osobe) i neformalna (određena svrhovitom ljudskom djelatnošću ili reguliraju ovu djelatnost).

Trenutno, najakutniji sigurnosni problem (čak i u onim sistemima u kojima nije potrebno čuvanje tajnih podataka, kao i na kućnim računarima) su virusi. Stoga ćemo se ovdje detaljnije zadržati na njima. Kompjuterski virus je posebno napisan mali program koji se može "pripisati" drugim programima (tj. "inficirati" ih), kao i izvoditi razne neželjene radnje na računaru (na primjer, oštećenje datoteka ili tablica dodjele datoteka na disku, „začepljenje“ RAM memorije, itd.).

Glavno sredstvo zaštite od virusa je arhiviranje. Druge metode ga ne mogu zamijeniti, iako povećavaju ukupni nivo zaštite. Arhiviranje se mora obavljati svakodnevno. Arhiviranje se sastoji od pravljenja kopija datoteka koje se koriste i sistematskog ažuriranja izmijenjenih datoteka. Ovo omogućava ne samo uštedu prostora na posebnim arhivskim diskovima, već i kombiniranje grupa zajedničkih datoteka u jednu arhivski fajl, što znatno olakšava razumijevanje dijeljene arhive datoteka. Najranjivije su tabele alokacije datoteka, glavni direktorij i boot sektor. Datoteke se preporučuje povremeno kopirati na posebnu disketu. Njihova rezervacija je važna ne samo za zaštitu od virusa, već i za osiguranje za slučaj hitne slučajeve ili nečije postupke, uključujući njihove vlastite greške.

U cilju zaštite od virusa preporučuje se:

rad sa disketama zaštićenim od pisanja;

minimiziranje perioda dostupnosti disketa za pisanje;

dijeljenje disketa između određenih odgovornih korisnika;

razdvajanje predanih i dolaznih disketa;

razdvajanje skladištenja novoprimljenih programa i onih koji su ranije bili u funkciji;

provjera novoprimljenog softvera na prisustvo virusa testiranjem programa;

skladištenje programa na hard disku u arhiviranom obliku.

Kako bi se izbjegla pojava kompjuterskih virusa, prije svega se moraju pridržavati sljedećih mjera:

nemojte prepisivati ​​softver sa drugih računara, ako je potrebno, trebalo bi da preduzmete gore navedene mere;

ne dozvolite neovlašćenim licima da rade na računaru, posebno ako će raditi sa sopstvenim disketama;

nemojte koristiti strane diskete, posebno za kompjuterske igrice.

Možemo razlikovati sljedeće tipične korisničke greške koje dovode do infekcije virusom:

nedostatak odgovarajućeg sistema arhiviranja informacija;

pokretanje primljenog programa bez prethodne provjere za infekciju i bez instaliranja maksimalni način rada zaštita tvrdog diska uz pomoć sistema kontrole pristupa i lansiranja stalnog čuvara;

ponovno pokretanje sistema ako je disketa instalirana u drajv A (u ovom slučaju, BIOS pokušava da se pokrene sa ove diskete, a ne sa čvrstog diska; kao rezultat toga, ako je disketa zaražena virusom za pokretanje, tvrdi disk je zaražen);

pokretanje svih vrsta antivirusnih programa, bez poznavanja tipova dijagnostike istih virusa od strane različitih antivirusnih programa;

analiza i oporavak programa na zaraženom operativnom sistemu.

Trenutno najpopularniji antivirusni alati DialogNauka JSC u Rusiji su:

Aidstest polifag (polifag je program koji radi suprotno od onoga što virus radi kada inficira datoteku, odnosno pokušava da vrati datoteku);

revizor Adinf;

blok iscjeljenja AdinfExt;

polifag za "polimorfne" Doctor Web.

Postoje programi za filtriranje koji provjeravaju da li su datoteke (uključene korisnički specificiran disk) posebno za ovaj virus kombinacija bajtova. Također se koristi posebna obrada fajlovi, diskovi, direktoriji - vakcinacija: pokretanje programa vakcine koji imitiraju kombinaciju uslova u kojima ono počinje da radi i manifestuje se dati tip virus. Primjer rezidentnog programa za zaštitu od virusa je VSAFF kompanije Carmel Central Point Software. Kao program za ranu dijagnozu kompjuterski virus CRCLIST i CRCTEST programi se mogu preporučiti.

Sigurnost informacija.

Informacije sa stanovišta informacione bezbednosti imaju sledeće kategorije: poverljivost informacija - garancija da su određene informacije dostupne samo krugu ljudi kojima su namenjene; kršenje ove kategorije naziva se krađa ili otkrivanje integriteta informacija – garancija da informacije sada postoje u njima originalni oblik, odnosno tokom njegovog skladištenja ili prenosa nije izvršena nijedna neovlašćena promena; kršenje ove kategorije naziva se falsifikovanje poruke autentičnost informacije – garancija da je izvor informacije upravo osoba koja je deklarisana kao njen autor; kršenje ove kategorije naziva se i falsifikovanjem, ali već autoru poruke, prizivnost informacije je garancija da će se, ako je potrebno, moći dokazati da je autor poruke prijavljena osoba, a niko drugi može biti; razlika između ove kategorije i prethodne je u tome što pri smjeni autora neko drugi pokušava da se izjasni da je on autor poruke, a ako je žalba prekršena, sam autor pokušava da se "odrekne" svojih riječi, potpisanih od njega jednom.

Druge kategorije se odnose na informacione sisteme: Pouzdanost - Osiguranje da se sistem ponaša u normalnim i nenormalnim režimima kako je planirano Preciznost - Osiguranje da se sve komande izvršavaju tačno i potpuno Kontrola pristupa - Osiguravanje da različite grupe ljudi imaju različite pristupe informacionim objektima, a ovi ograničenja pristupa su stalno nametnuta kontrola - garancija da se u svakom trenutku može izvršiti potpuna provjera bilo koje komponente softverski paket kontrola identiteta - osiguravajući da je klijent koji je trenutno povezan sa sistemom upravo onaj za koga tvrdi da je otporan na namjerne kvarove - osiguravajući da će se, ako se greške namjerno unose unutar unaprijed određenih normi, sistem ponašati kako je unaprijed navedeno.

2. Sistemi sigurnosti informacija

Sigurnost prijenosa informacija na Internetu. Šifriranje informacija korištenjem javnih i privatnih ključeva. Digitalni potpis.

U modernom ruskom Internetu, većina njegovih korisnika, uključujući i korporativne, koristi globalna mreža, u osnovi kao ogromna baza podaci, najširi informativni resurs na kojem možete jednostavno i brzo pronaći sve informacije koje vas zanimaju ili pružiti širokoj publici informacije o sebi, svojim proizvodima ili uslugama.

Jedan od razloga ovakvog stanja je, po našem mišljenju, nepovjerenje predstavnika privrede u sigurnost prenosa informacija putem Interneta. Iz tog razloga se faks, odnosno kurir, često koristi tamo gdje se mogu uspješno iskoristiti mogućnosti interneta.

Razmotrimo koja područja zaštite i tehnička sredstva koja im odgovaraju danas izazivaju najveću pažnju programera i potrošača.

Zaštita od neovlašćenog pristupa (UAS) resursima samostalnih i umreženih računara. Ovu funkciju implementiraju softver, firmver i hardver, o čemu će biti riječi u nastavku s konkretnim primjerima.

Zaštita servera i pojedinačnih korisnika interneta od zlonamjernih hakera koji prodiru izvana. Za to se koriste posebni zaštitni zidovi (firewall) koji u U poslednje vreme postaju sve rasprostranjeniji (vidi PC World, br. 11/2000, str. 82).

Zaštita tajnih, povjerljivih i ličnih podataka od čitanja od strane neovlaštenih osoba i njihovog namjernog izvrtanja najčešće se vrši korištenjem kriptografskim sredstvima, tradicionalno dodijeljen u posebnu klasu. Ovo takođe uključuje potvrdu autentičnosti poruka pomoću elektronskog digitalnog potpisa (EDS). Upotreba kriptosistema sa javnim ključevima i EDS-om ima velike perspektive u bankarstvu i na polju elektronske trgovine. U ovom članku ova vrsta zaštite se ne razmatra.

Posljednjih godina softverska zaštita od ilegalnog kopiranja postala je prilično raširena upotreba elektronski ključevi. U ovom pregledu to se razmatra i na konkretnim primjerima.

Zaštita od curenja informacija kroz bočne kanale (kroz strujna kola, kanal elektromagnetnog zračenja iz računara ili monitora). Ovdje se koriste takva provjerena sredstva kao što su provjera prostorija i korištenje generatora buke, kao i poseban izbor monitora i kompjuterskih komponenti koje imaju najmanju zonu zračenja u frekvencijskom opsegu koja je najpogodnija za uljeze za daljinsko snimanje i dekodira signal.

Zaštitu od špijunskog softvera instaliranog direktno u računarske komponente, kao i mjerenja zona zračenja, sprovode posebne organizacije koje imaju potrebne dozvole nadležnih organa.

Nema sumnje u prednosti interneta povezane sa brzinom razmjene informacija, uštedom resursa u međugradskoj i međunarodnoj razmjeni informacija, jednostavnošću korištenja aplikacija koje automatiziraju različite poslovne procese između udaljene kancelarije kompanije, filijale, partneri, klijenti, zaposleni sa prenosivim računarima van svoje kancelarije.

Sve ove mogućnosti, naravno, mogu značajno smanjiti vremenske i finansijske troškove kompanije i značajno povećati efikasnost njenog poslovanja.

Upotreba interneta u međukorporativnoj razmjeni informacija, u sistemima kao što su B2B portal ili internet trgovinski sistem, može donijeti još značajniju efikasnost.

Nažalost, u ovom trenutku ove mogućnosti interneta nisu dovoljno tražene, a jedan od glavnih razloga za to je upravo razlog nepovjerenja u internet u pogledu sigurnosti njegovog korištenja.

Vrlo često se moramo suočiti s dvije ekstremne, suprotne tačke gledišta.

Prvi je da se negira problem sigurnosti kao takve, a kao rezultat toga, nedostatak ili odsustvo odgovarajućih sigurnosnih mjera, pri prenosu preko Interneta je dovoljno važna informacija. Ovaj pristup često završava ozbiljnim problemima i finansijskim gubitkom.

Drugo gledište je da je internet izuzetno opasan i da nikakve sigurnosne mjere neće pomoći da se očuva integritet informacija koje se prenose putem interneta.

Po mom mišljenju, najracionalniji izlaz iz ove situacije je princip „zlatne sredine“ po kojem kompanija koristi internet za rješavanje svojih telekomunikacijskih problema, uz odgovarajuće mjere sigurnosti.

Takve mjere mogu uključivati: vašu vlastitu analizu vaše telekomunikacijske infrastrukture u smislu sigurnosti, nabavku i instalaciju odgovarajuće zaštitne opreme i obuku vaših stručnjaka. Drugi pristup je uključivanje stručnjaka iz kompanija koje se bave ovim problemom u organizaciju i podršku njihovog sigurnosnog sistema.

Na Rusko tržište aktivnosti u oblasti informacione sigurnosti regulišu Državna tehnička komisija Ruske Federacije i FAPSI. I samo kompanije koje imaju licence od ovih struktura imaju pravo da se bave sigurnošću informacija u Rusiji.

Što se tiče proizvoda koji se mogu koristiti za zaštitu, oni imaju sistem sertifikacije koji im, ocjenjujući njihov kvalitet, dodjeljuje odgovarajuću klasu zaštite. Proizvodi koji se koriste za zaštitu mreža i računara od direktnog prodora u njih vanjski korisnici, certificirani su od strane Državne tehničke komisije i nazivaju se proizvodi za zaštitu od neovlaštenog pristupa (NSA). Ovi proizvodi uključuju "zaštitne zidove", proxy servere, itd.

Upotreba ovakvih sistema sa njihovom ispravnom konfiguracijom može značajno smanjiti rizik od neovlašćenog pristupa zaštićenim resursima.

Zaštita od neovlaštenog pristupa računarskim resursima je složen problem koji uključuje rješavanje sljedećih problema tehničkim sredstvima:

identifikacija i autentikacija korisnika prilikom prijave u sistem;

kontrolu integriteta sistema informacione bezbednosti, programa i podataka;

diferencijacija pristupa korisnika PC resursima;

blokiranje pokretanja OS sa diskete i CD-ROM-a;

registraciju radnji korisnika i programa.

Rad takvog ekrana može se demonstrirati na primjeru ličnog firewall ViPNet proizvođača InfoTeKS. Ovaj zaštitni zid se može instalirati i na server i na radnu stanicu. Koristeći njegove mogućnosti, možete organizirati rad na način da vlasnik računara može pristupiti bilo kojem otvorenom INTERNET resursu, ali kada neko iz vanjskog svijeta pokuša pristupiti njegovom računalu, sistem blokira takav pokušaj i o tome obavještava vlasnika. Zatim možete dobiti informacije od sistema o tome kojoj IP adresi ste pokušali pristupiti.

Druga kategorija proizvoda je dizajnirana da organizuje sigurnu razmenu informacija i, naravno, najpouzdanija je u smislu bezbednosti. Ovi proizvodi su uglavnom bazirani na kriptografiji, a regulativu u ovoj oblasti donosi Federalna agencija za vladine komunikacije i informacije. Takvi proizvodi imaju mogućnost zaštite podataka šifriranjem, ne samo podataka pohranjenih na tvrdom disku, već i podataka koji se prenose preko mreža, uključujući Internet.

Tako je moguće zaštititi i mail poruke i razmjenu informacija između pretplatnika u on-line modu. Sistemi koji vam omogućavaju prijenos bilo kakvih podataka preko Interneta u sigurnom obliku nazivaju se VPN (Virtual Private Network). VPN je virtuelna mreža sa razmjenom informacija potpuno zatvorena od neovlaštenog pristupa otvoreni internet. Zato se i zove privatno.

Zatvaranje informacija u takvim sistemima se po pravilu vrši pomoću enkripcije. Šifrovanje tj. konverzija otvorenih podataka u zatvorene (šifrovane) podatke vrši se pomoću posebnih, po pravilu, softverskih ključeva. Glavno pitanje u pogledu sigurnosti u takvim sistemima je pitanje ključne strukture. Kako i gdje se formira ključ, gdje se čuva, kako se prenosi, kome je dostupan.

Do danas su poznate samo dvije vrste algoritama za šifriranje: simetrični (klasični) i asimetrični (algoritmi šifriranja s javnim ključem). Svaki od ovih sistema ima svoje prednosti i nedostatke.

Simetrični algoritmi koriste isti ključ za šifriranje i dešifriranje informacija. One. ako korisnici A i B žele povjerljivo razmjenjivati ​​informacije, tada moraju izvršiti sljedeće radnje: korisnik A šifrira informaciju (čisti tekst) pomoću ključa i šalje primljeni šifrirani tekst korisniku B, koji prima otvoreni tekst koristeći isti ključ.

Međutim, algoritmi simetrične enkripcije imaju jedan nedostatak: prije razmjene povjerljivih informacija, dva korisnika moraju razmijeniti zajednički ključ, ali u uslovima kada su korisnici razdvojeni i ima ih mnogo, postoje velike neugodnosti u distribuciji ključeva. Osim toga, pošto ove ključeve obično formira određeni Formacijski centar, oni su ovom centru unaprijed poznati. Za rješavanje ovog problema kreirana je kriptografija s asimetričnim ključevima.

Osnovna ideja iza kriptografije asimetričnog ključa je korištenje para ključeva. Prvi je javni asimetrični ključ (javni ključ) - dostupan je svima i koriste ga svi koji će slati poruke vlasniku ključa. Drugi - tajni asimetrični ključ (privatni ključ) - poznat je samo vlasniku i uz pomoć njega se dešifriraju poruke šifrirane na uparenom javnom ključu. Dakle, tajni dio ključa generira i pohranjuje direktno pretplatnik i nije dostupan nikome drugom. U većini savremeni sistemi koristi se kombinovani sistem ključeva, koji ima i visoku simetričnu snagu ključa i nedostupnost centru i fleksibilnost asimetrični sistem. Takve kvalitete posjeduje, na primjer, sistem koji je kreirala kompanija "InfoTeKS" pod brendom ViPNet. Ovaj sistem omogućava: kako prenijeti bilo koje podatke, uključujući poštu, datoteke, govor, video itd. preko Interneta na bezbedan način, i zaštiti resurse mreže organizacije, uključujući servere, radne stanice, pa čak i mobilne računare koji pristupaju Internetu bilo gde u svetu od neovlašćenog pristupa.

3. Informacijski resursi ograničene distribucije i prijetnje resursima

Informacioni resursi su dokumenti i nizovi dokumenata u informacionim sistemima (biblioteke, arhivi, fondovi, banke podataka, depoi, muzejska skladišta itd.).

tokom prethodnog 20. veka. U istoriji razvoja ljudske civilizacije, materijalni predmeti su ostali glavni predmet rada. Aktivnosti izvan materijalne proizvodnje i održavanja općenito su klasifikovane kao neproduktivni troškovi. Ekonomska moć države mjerila se njenim materijalnim resursima. Još kasnih 70-ih, predsjedavajući programa politike informacionih resursa, profesor Univerziteta Harvard A. Osttinger pisao je da dolazi vrijeme kada informacije postaju isti osnovni resurs kao materijali i energija, a samim tim i u odnosu na to isto kritično Moraju se formulisati pitanja za resurs: ko je vlasnik, ko je zainteresovan za njega, koliko je dostupan, da li ga je moguće komercijalno koristiti? Predsjednik Američke akademije nauka F. Hendler formulirao je ovu ideju na sljedeći način: "Naša ekonomija nije zasnovana na prirodnim resursima, već na umovima i primjeni naučnog znanja." Trenutno vrijeme teče borba za kontrolu nad najvrednijim od svih do sada poznatih resursa – nacionalnim informacionim resursima.

“Ne idemo u druge zemlje da bismo iskoristili niže troškove. Tamo se infiltriramo jer tamo ima intelektualnih rezervi i moramo ih presresti da bismo se uspješno takmičili.”

Termin „informacioni resursi“ ušao je u široku upotrebu u naučnoj literaturi nakon objavljivanja poznate monografije G.R. Gromov “Nacionalni informacioni resursi: problemi industrijskog poslovanja”. Sada još nema jednoznačno tumačenje, uprkos činjenici da je ovaj koncept jedan od ključnih u problemu informatizacije društva. Stoga je važan problem razumijevanja suštine informacijskog resursa kao oblika predstavljanja podataka i znanja, njegove uloge u društvenim procesima, kao i obrazaca formiranja, transformacije i distribucije različitih vrsta informacionih resursa u društvu.

Da bi se osigurala aktivacija i efektivna upotreba informacionih resursa društva, potrebno je izvršiti „elektronizaciju“ informacionih fondova. Prema akademiku A. Eršovu, upravo „u učitavanju i aktiviranju informatičkog fonda čovečanstva u globalnoj računarskoj mreži, zapravo i leži zadatak informatizacije u njenom tehničkom sadržaju“.

Aktivni informacioni resursi su dio resursa koji su informacije dostupne za automatizirano pretraživanje, pohranjivanje i obradu: formalizirane i sačuvane na mašinskim medijima u obliku radnih programa, stručnih znanja i vještina, tekstualnih i grafičkih dokumenata, kao i svaki drugi sadržaj potencijalno komercijalno dostupan korisnicima Nacionalnog parka računara. Nacionalni i svjetski informacioni resursi su ekonomske kategorije.

Iz ovoga se može zaključiti da je efikasnost korišćenja informacionih resursa najvažniji pokazatelj informatičke kulture društva.

Glavni učesnici na tržištu informacionih usluga su:

Proizvođači informacija (proizvođači);

Prodavci informacija (prodavci, Dobavljači);

Korisnici informacija (korisnici) ili pretplatnici

Danas su najčešći način pristupa informacionim resursima računarske mreže, a najprogresivniji način dobijanja informacija je onlajn način rada (online – interaktivni, interaktivni režim). Omogućava korisniku, nakon što uđe u računarsku mrežu, da dobije pristup " veliki kompjuter“(Host – kompjuter) i svojim informacionim resursima u načinu direktnog dijaloga, implementiranog u realnom vremenu.

Korisnici ove vrste uključuju kako krajnje potrošače informacija, tako i posredne potrošače koji svojim korisnicima pružaju usluge u rješavanju problema informacija (posebnih informacionih centara sa pristupom višestrukim onlajn sistemi ili profesionalni stručnjaci uključeni u plaćene informacione usluge za klijente, potrošače informacija).

tržište informacija online usluge uključuje sljedeće glavne segmente:

Računalni sustavi rezervacija i financijske informacijske usluge;

Baze podataka (DB), fokusirane na masovnog potrošača;

profesionalne baze podataka.

Među bazama podataka obično se razlikuju sljedeće vrste:

Tekst (puni tekst, sažetak, bibliografski, rječnici);

Numeričke i tablične baze podataka;

Ploče sa oglasima.

Slične baze podataka su također pohranjene na CD-ROM-ovima, disketama i magnetnim trakama. U nastavku ćemo, međutim, govoriti o bazama podataka kojima se pristupa online – „profesionalnim online bazama podataka“.

Proizvođači informacija uključuju i organizacije koje prikupljaju i objavljuju informacije ( novinske agencije, masovni mediji, redakcije novina i časopisa, izdavači, zavodi za patente), kao i organizacije koje se profesionalno bave njenom obradom dugi niz godina (odabir informacija, indeksiranje, učitavanje u baze podataka u obliku punih tekstova, kratki sažetci itd.).

prijetnje resursima.

Prijetnje informacijskim resursima općenito se mogu klasificirati:

jedan). Prema svrsi implementacije prijetnji:

prijetnje privatnosti:

Krađa (kopiranje) informacija i sredstava za njihovu obradu (nosači);

Gubitak (nenamjerni gubitak, curenje) informacija i sredstava za njihovu obradu (nosača);

Prijetnje dostupnosti:

Blokiranje informacija;

Uništavanje informacija i sredstava za njihovu obradu (nosača);

Prijetnje integritetu:

Modifikacija (izvrtanje) informacija;

Uskraćivanje autentičnosti informacija;

Nametanje lažnih informacija, obmana

pri čemu:

Krađa i uništavanje informacija se shvata slično kao primenjena na vredne materijalne resurse. Uništavanje kompjuterskih informacija - brisanje informacija u memoriji računara.

Kopiranje informacija - ponavljanje i stabilno utiskivanje informacija na mašini ili drugom mediju.

Oštećenje je promjena svojstava nosioca informacija, u kojoj se njegovo stanje značajno pogoršava, značajan dio se gubi. korisna svojstva i postaje potpuno ili djelimično neprikladan za namjeravanu upotrebu.

Modifikacija informacija - unošenje bilo kakvih promjena, osim onih koje se odnose na prilagođavanje računarskog programa ili baze podataka za kompjuterske informacije.

Blokiranje informacija - neovlašćeno ometanje pristupa korisnika informacijama, koje nije povezano sa njihovim uništavanjem;

Neovlašćeno uništavanje, blokiranje, modifikacija, kopiranje informacija – bilo koje nedozvoljeno zakonom, vlasnik ili nadležni korisnik ovih radnji sa informacijama.

Prevara (negiranje autentičnosti, nametanje lažnih podataka) - namjerno izvrtanje ili prikrivanje istine kako bi se osoba koja je zadužena za imovinu dovela u zabludu, a na taj način od njega dobila dobrovoljni prenos imovine, kao i saopštavanje svjesno lažnih informacije za ovu svrhu.

2) Po principu uticaja na nosioce informacija - sistem za obradu i prenošenje informacija (ASOI):

Korišćenje pristupa uljeza (uljeza, ASOI korisnika, procesa) objektu (pregovaračkoj sobi, datoteci podataka, komunikacijskom kanalu, itd.);

Uz korištenje prikrivenih kanala - uz korištenje skladišta, RZU, puteva prijenosa informacija koji omogućavaju da dva međusobno povezana procesa (legitimni i ugrađeni od napadača) razmjenjuju informacije na način koji dovodi do curenja informacija.

3) Po prirodi uticaja na sistem za obradu i prenošenje informacija:

Aktivne prijetnje vezane za izvođenje bilo kakvih radnji od strane uljeza (kopiranje, neovlašteno snimanje, pristup skupovima podataka, programima, otkrivanje lozinke, itd.);

Pasivne prijetnje provode se tako što korisnik promatra sve nuspojave procesa kretanja informacija i analizira ih.

4) U prisustvu greške zaštite koja se može iskoristiti, prijetnja može biti uzrokovana jednim od sljedećih razloga:

Neadekvatnost - nepoštovanje sigurnosnog režima zaštite zaštitne zone.

Administrativne greške kontrolni režim sigurnost;

Greške u programskim algoritmima, u vezama između njih i sl. koje se javljaju u fazi projektovanja programa ili skupa programa i zbog kojih se ovi programi mogu koristiti na potpuno drugačiji način od opisanog u dokumentaciji.

Greške u implementaciji programskih algoritama (greške kodiranja), veze između njih i sl. koje se javljaju u fazama implementacije, otklanjanja grešaka i mogu poslužiti kao izvor nedokumentiranih svojstava.

5) Prema načinu uticaja na objekat napada (sa aktivnim uticajem):

Direktan utjecaj na objekt napada (uključujući korištenje privilegija), na primjer: direktan pristup zonama čujnosti i vidljivosti, skupu podataka, programu, usluzi, komunikacijskom kanalu itd., korištenjem neke vrste greške;

Uticaj na sistem dozvola (uključujući otmicu privilegija). U ovom slučaju se vrše neovlašćene radnje u vezi sa pravima korisnika na objekt napada, a pristup samom objektu se potom vrši na zakonit način;

Indirektni uticaj (preko drugih korisnika):

- "maskarada". U ovom slučaju, korisnik na neki način preuzima autoritet drugog korisnika, imitirajući ga;

- "slijepo korištenje". Ovom metodom jedan korisnik prisiljava drugog da izvrši potrebne radnje (za sistem zaštite ne izgledaju neovlaštene, jer ih izvodi korisnik koji na to ima pravo), a ovaj možda nije svjestan toga. . Za implementaciju ove prijetnje može se koristiti virus (on obavlja potrebne radnje i izvješćuje o njihovim rezultatima onome ko ga je uveo).

Posljednje dvije metode su vrlo opasne. Da bi se takve radnje spriječile, potrebna je stalna kontrola kako od strane administratora i operatera nad radom ASIS-a općenito, tako i od strane korisnika nad vlastitim skupovima podataka.

6) Prema načinu uticaja na ASOE:

U interaktivnom režimu - u procesu dugotrajnog rada sa programom;

V batch mod- nakon dugotrajne pripreme brzom implementacijom paketa programa usmjerenog djelovanja.

Radeći sa sistemom, korisnik se uvijek bavi nekim njegovim programom. Neki programi su dizajnirani na način da korisnik može brzo uticati na tok njihovog izvršavanja unosom različitih naredbi ili podataka, dok su drugi dizajnirani tako da se sve informacije moraju unaprijed postaviti. Prvi uključuju, na primjer, neke uslužne programe koji kontroliraju programe baze podataka, koji su uglavnom programi orijentirani na korisnike. Potonji uključuju uglavnom sistemske i aplikativne programe koji su fokusirani na izvođenje bilo kakvih strogo definiranih radnji bez intervencije korisnika.

Kada koristite programe prve klase, uticaj je vremenski duži i stoga ima veću vjerovatnoću detekcije, ali fleksibilniji, što vam omogućava da brzo promijenite redoslijed radnji. Izloženost kroz drugorazredne programe (npr. viruse) je kratkoročna, teško dijagnostikovana, mnogo opasnija, ali zahtijeva dosta preliminarne pripreme kako bi se sve unaprijed predvidjelo. moguće posljedice intervencija.

7) Po objektu napada:

ASOI općenito: napadač pokušava prodrijeti u sistem radi naknadnog izvođenja bilo kakvih neovlaštenih radnji. Obično koriste "maskaradu", presretanje ili krivotvorenje lozinke, hakovanje ili pristup ASOI-ju putem mreže;

ASOI objekti - podaci ili programi u ram memorija ili kod vanjski mediji, sami sistemski uređaji, kako eksterni (drikovi, mrežni uređaji, terminali) tako i interni (RAM, procesor), kanali za prenos podataka. Uticaj na sistemske objekte obično ima za cilj pristup njihovom sadržaju (kršenje povjerljivosti ili integriteta obrađenih ili pohranjenih informacija) ili narušavanje njihove funkcionalnosti (na primjer, punjenje cjelokupne RAM memorije računara besmislenim informacijama ili učitavanje računarskog procesora zadatkom sa neograničenim brojem podataka). vrijeme izvršenja);

ASOI subjekti su korisnički procesori. Svrha takvih napada je ili direktan utjecaj na rad procesora - njegovu suspenziju, promjenu karakteristika (na primjer, prioritet), ili suprotan efekat - napadač koristi privilegije i karakteristike drugog procesa za svoje potrebe. Uticaj može biti na korisničke procese, sisteme, mreže;

Kanali za prijenos podataka - slušanje kanala i analiza grafikona (tok poruka); zamjena ili modifikacija poruka u komunikacijskim kanalima i relejnim čvorovima; promjena topologije i karakteristika mreže, pravila komutacije i adresiranja.

8) Prema korištenim sredstvima napada:

Korištenje standardnog softvera;

Koristeći posebno dizajnirane programe.

9) Prema stanju objekta napada.

Predmet napada je pohranjen na disku, magnetnoj traci, u RAM-u ili na bilo kojem drugom mjestu u pasivnom stanju. U ovom slučaju, utjecaj na objekt se obično vrši korištenjem pristupa;

Objekt napada je u stanju prijenosa preko komunikacijske linije između mrežnih čvorova ili unutar čvora. Uticaj uključuje ili pristup fragmentima prenesenih informacija (na primjer, presretanje paketa na mrežnom repetitoru), ili jednostavno slušanje pomoću prikrivenih kanala;

Objekt napada (korisnički proces) je u stanju obrade.

Gornja klasifikacija pokazuje složenost identifikacije mogućih prijetnji i načina njihove implementacije.

Pristup osoblja povjerljivim informacijama.

Dozvola za pristup povjerljivim informacijama predstavnika drugog privrednog društva ili preduzeća izdaje se rješenjem ovlaštenog službenog lica na uputu (ili pismo, obavezu) koju dostavlja dotično lice. Rezolucija mora navesti konkretne dokumente ili informacije kojima je dozvoljen pristup. Istovremeno se navodi i ime zaposlenog u kompaniji, koji sa ovim podacima upoznaje predstavnika drugog preduzeća i odgovara za njegov rad - u prostorijama kompanije.

Pravilo da sve osobe koje imaju pristup određene dokumente, poslovne tajne. Ovo omogućava na visokom nivou da se izvrši informaciona podrška za analitički rad na identifikaciji mogući kanali gubitak informacija.

Prilikom organizovanja pristupa za zaposlene kompanije poverljivim nizovima elektronski dokumenti, baze podataka moraju biti svjesne svoje višestepene prirode. Mogu se razlikovati sljedeće glavne komponente:

* pristup personalnom računaru, serveru ili radna stanica;

* pristup medijumima za skladištenje podataka koji se nalaze izvan računara;

* direktan pristup bazama podataka i datotekama.

Pristup ličnom računaru, serveru ili radnoj stanici koji se koristi za obradu povjerljivih informacija uključuje:

* utvrđivanje i propisivanje od strane prvog rukovodioca preduzeća sastava zaposlenih koji imaju pravo pristupa (ulaza) u prostorije u kojima se nalazi odgovarajuća računarska oprema i komunikacioni objekti;

* propis prvog šefa privremenog režima za boravak ovih lica u naznačenim prostorijama; lično i privremeno snimanje (snimanje) od strane šefa odjela ili djelatnosti kompanije o dostupnosti dozvole i periodu rada ovih osoba u drugim vremenima (na primjer, uveče, vikendom i sl.);

* organizacija zaštite ovih prostorija u radnom i neradno vrijeme, utvrđivanje pravila otvaranja prostorija i gašenja sigurnosnih tehničkih sredstava informisanja i signalizacije; utvrđivanje pravila za čuvanje prostora; regulisanje rada ovih tehničkih sredstava tokom radnog vremena;

* organizacija kontrolisanog (po potrebi pristupa) načina ulaska i izlaska iz ovih prostorija;

* organizacija postupanja obezbeđenja i osoblja u ekstremnim situacijama ili u slučaju havarija mašina i opreme objekata;

* organizovanje iznošenja materijalnih sredstava, mašinskih i papirnih nosača informacija iz naznačenih prostorija; kontrola ličnih stvari koje se unose u prostorije i iznose od strane osoblja.

Unatoč činjenici da se na kraju radnog dana povjerljive informacije moraju prenijeti na fleksibilne medije i izbrisati sa tvrdi disk računara, prostor u kojem se nalazi računarska oprema podliježe zaštiti. To se objašnjava činjenicom da je, prvo, lako instalirati bilo koje sredstvo industrijske špijunaže u nečuvani računar, a drugo, napadač može koristiti posebne metode za vraćanje izbrisanih povjerljivih informacija na tvrdom disku (izvršiti "prikupljanje smeća") .

Pristup mašinskim nosiocima povjerljivih informacija pohranjenih izvan računara uključuje:

* organizacija računovodstva i izdavanja praznih mašinskih medija za skladištenje zaposlenima;

* organizacija dnevnog fiksnog izdavanja zaposlenima i prijema od zaposlenih u medijima sa snimljenim informacijama (glavnim i rezervnim);

* utvrđivanje i propisivanje od strane prvog rukovodioca sastava zaposlenih koji imaju pravo da rade sa poverljivim informacijama koristeći računare instalirane na njihovim radnim mestima i primaju registrovane mašinske medije za skladištenje podataka u CD servisu;

* organizacija sistema za dodjelu mašinskih medija za skladištenje zaposlenima i praćenje sigurnosti i integriteta informacija, uzimajući u obzir dinamiku promjena u sastavu snimljenih informacija;

* organizacija postupka za uništavanje podataka o nosiocu, postupak i uslovi za fizičko uništavanje nosača;

* organizacija skladištenja mašinskih medija u CD servisu tokom radnog i neradnog vremena, regulisanje postupka evakuacije medija u ekstremnim situacijama;

* utvrđivanje i propisivanje od strane prvog rukovodioca sastava zaposlenih koji iz objektivnih razloga ne predaju tehničke medije na čuvanje CD službi na kraju radnog dana, organizovanje posebne zaštite prostorija i računara ovih zaposlenih. Rad zaposlenih u CD servisu i kompanije u celini sa mašinskim medijima za skladištenje van računara treba organizovati po analogiji sa papirnim poverljivim dokumentima.

Pristup povjerljivim bazama podataka i datotekama je završna faza pristupa zaposlenika računaru. A ako je ovaj zaposlenik uljez, onda možemo pretpostaviti da su najozbiljnije linije zaštite zaštićenog elektronske informacije uspešno je prošao. Konačno, on može jednostavno da odnese računar ili da ga izvadi i odnese čvrsti disk bez "hakovanja" baze podataka.

Obično pristup bazama podataka i datotekama uključuje:

* utvrđivanje i propisivanje od strane prvog rukovodioca sastava zaposlenih kojima je dozvoljen rad sa određenim bazama podataka i fajlovima; kontrola pristupnog sistema od strane administratora baze podataka;

* imenovanje baza podataka i fajlova, fiksiranje u memoriji mašine imena korisnika i operatera koji imaju pravo pristupa njima;

* uzimajući u obzir sastav baze podataka i datoteka, redovna provera dostupnost, integritet i potpunost elektronskih dokumenata;

* registracija baze podataka, automatska registracija korisničkog imena i vremena rada; očuvanje originalnih informacija;

* registracija pokušaja neovlaštenog ulaska u bazu podataka, registracija pogrešne radnje korisnik, automatski prijenos alarmnog signala na sigurnost i automatsko gašenje računala;

* Uspostavljanje i neredovno mijenjanje korisničkih imena, nizova i fajlova (lozinke, kodovi, klasifikatori, ključne riječi itd.), posebno uz česte kadrovske promjene;

* gašenje računara u slučaju kršenja sistema kontrole pristupa ili kvara sistema informacione bezbednosti;

* mehaničko (ključem ili drugim uređajem) blokiranje onesposobljenog ali opterećenog računara tokom kratkih pauza u radu korisnika. Šifre, lozinke, ključne riječi, ključevi, šifre, specijalni softverski proizvodi, hardver itd. atribute sistema informacione bezbednosti u računaru razvija, menja specijalizovana organizacija i pojedinačno saopštava svakom korisniku zaposleni u ovoj organizaciji ili administrator sistema. Upotreba vlastitih kodova korisnika nije dozvoljena.

Dakle, procedure za prijem i pristup zaposlenih povjerljivim informacijama zaokružuju proces uključivanja ovaj zaposlenik u sastav lica koja stvarno posjeduju tajnu kompaniju. Od tada je od velikog značaja kontinuiran rad sa osobljem koje ima vrijedne i povjerljive informacije.

Zaključak

Stabilnost osoblja je najvažniji preduslov pouzdane informacione sigurnosti kompanije. Migracija specijalista je najteži kanal za kontrolu gubitka vrijednih i povjerljivih informacija. Međutim, otpuštanja zaposlenih nije moguće u potpunosti izbjeći. Neophodna je detaljna analiza razloga za otpuštanje, na osnovu čega se sačinjava i sprovodi program koji isključuje ove razloge. Na primjer, povećanje plata, iznajmljivanje stanova za zaposlene u blizini kompanije i poboljšanje psihološke klime, otpuštanje menadžera koji zloupotrebljavaju službeni položaj itd.

Spisak korišćene literature

sigurnost zaštite informacija

1. Zabelin E.I. Sigurnost informacija na Internetu - usluge za poslovanje

Originalni članak: http://www.OXPAHA.ru/view.asp?2280.

2. Tjednik "Computerworld", br. 22, 1999. // Izdavačka kuća " otvoreni sistemi» http://www.osp.ru/cw/1999/22/061.htm

3. A. Dmitriev Sistemi bezbednosti informacija. Časopis "Svijet računara", br. 05, 2001. // Izdavačka kuća "Otvoreni sistemi". http://www.osp.ru/pcworld/2001/05/010.htm

4. Novell-ove sigurnosne usluge. moduli za šifrovanje. http://novell.eureca.ru/

5. Paula Sherik. 10 pitanja o šifriranju u NT 4.0 http://www.osp.ru/win2000/2001/05/050.htm

Hostirano na Allbest.ru

Slični dokumenti

Problem sigurnosti informacija. Osobine zaštite informacija u računarskim mrežama. Prijetnje, napadi i kanali curenja informacija. Klasifikacija metoda i sredstava osiguranja sigurnosti. Arhitektura mreže i njena zaštita. Metode mrežne sigurnosti.

rad, dodato 16.06.2012


Sigurnost informacija, komponente sistema zaštite. destabilizujući faktori. Klasifikacija prijetnji sigurnosti informacija prema izvoru nastanka, prema prirodi ciljeva. Načini njihove implementacije. Nivoi zaštite informacija. Faze stvaranja sistema zaštite.

prezentacija, dodano 22.12.2015


Glavni kanali curenja informacija. Glavni izvori povjerljivih informacija. Glavni objekti zaštite informacija. Glavni rad na razvoju i unapređenju sistema informacione bezbednosti. Model zaštite informacione bezbednosti Ruskih železnica.

seminarski rad, dodan 05.09.2013


Vrste unutrašnjih i eksternih namjerne prijetnje sigurnost informacija. Opšti koncept zaštite i sigurnosti informacija. Glavni ciljevi i zadaci zaštita informacija. Koncept ekonomske izvodljivosti osiguranja sigurnosti informacija preduzeća.

test, dodano 26.05.2010


Zahtjevi za informacijama: dostupnost, integritet i povjerljivost. CIA model kao informacijska sigurnost, zasnovan na zaštiti dostupnosti, integriteta i povjerljivosti informacija. Direktne i indirektne prijetnje, sredstva zaštite informacija.

prezentacija, dodano 01.06.2014


Struktura i karakteristike Linux OS-a, istorija njegovog razvoja. Informaciona sigurnost: koncept i regulatorni dokumenti, pravci curenja informacija i njihova zaštita. Proračun kreiranja sistema informacione bezbednosti i proučavanje njegove efikasnosti.

seminarski rad, dodan 24.01.2014


Sistem formiranja režima sigurnosti informacija. Zadaci informacione sigurnosti društva. Sredstva zaštite informacija: osnovne metode i sistemi. Zaštita informacija u računarskim mrežama. Odredbe najvažnijih zakonodavnih akata Rusije.

sažetak, dodan 20.01.2014


Pojam i osnovni principi osiguranja informacione sigurnosti. Koncept sigurnosti u automatizovani sistemi. Osnove zakonodavstva Ruske Federacije u oblasti informacione sigurnosti i zaštite informacija, procesa licenciranja i sertifikacije.

kurs predavanja, dodato 17.04.2012


Pojam, ciljevi i zadaci informacione sigurnosti. Prijetnje informacionoj sigurnosti i načini njihove implementacije. Upravljanje pristupom informacijama i informacioni sistemi. Zaštita mreža i informacija tokom rada na Internetu. Koncept elektronskog potpisa.

test, dodano 15.12.2015


Najvažniji aspekti osiguranja informacione sigurnosti. Tehnička sredstva obrade informacija, njihovi nosioci dokumentacije. Tipični načini neovlaštenog pribavljanja informacija. Koncept elektronskog potpisa. Zaštita informacija od uništenja.

Svi su barem jednom čuli srceparajuće fraze o potrebi održavanja visokokvalitetnog nivoa sigurnosti informacija. Ove zastrašujuće hakerske priče pune vriska i očaja. Košmarne posljedice o kojima se govori na gotovo svim stranicama... Stoga, trenutno morate napuniti svoj kompjuter sigurnosnim alatima do maksimuma, kao i isjeći žice... Postoji mnogo sigurnosnih savjeta, ali iz nekog razloga nisu bez upotreba ne radi mnogo. Razlog je na mnogo načina u nerazumijevanju tako jednostavnih stvari kao što su "šta štitimo", "od koga štitimo" i "šta želimo da dobijemo kao rezultat". Ali prvo prvo.

Sigurnost informacija ovaj pojam označava razne mjere, stanje očuvanosti, tehnologije itd., ali sve je mnogo jednostavnije. I zato, prvo sebi odgovorite na pitanje, koliko je ljudi iz vašeg okruženja barem pročitalo definiciju ovog pojma, a ne mislite samo na poređenje riječi sa njihovim značenjem? Većina ljudi sigurnost povezuje s antivirusima, zaštitnim zidovima i drugim sigurnosnim softverom. Naravno, ovi alati vam omogućavaju da zaštitite svoj računar od pretnji i povećate nivo zaštite sistema, ali malo ljudi shvata šta ti programi zapravo rade.

Kada razmišljate o sigurnosti informacija, prije svega treba početi sa sljedećim pitanjima.:

• Objekat zaštite- morate razumjeti šta tačno želite da zaštitite. Ovo su lični podaci pohranjeni na računaru (da ih drugi ljudi ne bi dobili), ovo su performanse računara (da virusi i trojanci ne dovedu sistem na nivo prvog pentiuma), ovo mrežna aktivnost(da programi pohlepni za internet ne šalju statistiku o vama svakih pola sata), ovo je dostupnost računara (da plavi ekrani smrt nije preplavila sistem), to je...
• Željeni nivo sigurnosti. Potpuno zaštićen računar je računar koji ne postoji. Koliko god se trudili, uvijek će postojati šansa da će vam računar biti hakovan. Imajte na umu i uvijek zapamtite da postoji smjer kao socijalni inženjering(dobijajte lozinke iz kanti za smeće, prisluškivanje, virkanje itd.). Međutim, to nije razlog da sistem ostavite nezaštićenim. Na primjer, zaštita računala od većine poznatih virusa je sasvim izvodljiv zadatak, koji, zapravo, svaki običan korisnik obavlja instaliranjem jednog od popularnih antivirusa na svoj računar.
• Dozvoljeni nivo posledica. Ako shvatite da vaš računar može hakirati, na primjer, haker koji vas jednostavno zanima (desilo se da se napadaču dopala vaša IP adresa), onda razmislite o prihvatljivom nivou posljedica. Sistem se pokvario - neugodno, ali ne i zastrašujuće, jer imate disk za oporavak pri ruci. Vaš kompjuter stalno posjećuje začinjene stranice - prijatne i neugodne, ali podnošljive i popravljive. Ali, na primjer, ako su vaše lične fotografije dospjele na internet, za koje niko ne bi trebao znati (ozbiljan udar na reputaciju), onda je to već značajan nivo posljedica i morate se pozabaviti preventivne mjere(preterujem, uzmite stari kompjuter bez interneta i gledajte slike samo na njemu).
• Šta želite da dobijete kao rezultat? Ovo pitanje uključuje mnogo stvari - koliko nepotrebnih radnji morate izvršiti, šta morate žrtvovati, kako zaštita treba utjecati na performanse, treba li biti moguće dodavati programe na liste isključenja, koliko poruka i alarma treba da se pojavi na ekran (i da li bi se uopšte trebali pojaviti), kao i još mnogo toga. Danas postoji mnogo sigurnosnih alata, ali svaki od njih ima svoje prednosti i nedostatke. Na primjer, isti Windows UAC u operativnom sistemu Vista nije urađen na vrlo uspješan način, ali je već u Windows 7 doveden do tačke u kojoj je zaštitni alat postao relativno zgodan za korištenje.

Nakon što ste odgovorili na sva ova pitanja, biće vam mnogo lakše da shvatite kako ćete organizovati zaštitu informacija na svom računaru. Naravno, ovo nije cela lista pitanja, ali dovoljan deo obični korisnici nisu postavljeni ni od strane jednog od njih.

Instaliranje i konfigurisanje sigurnosnih alata na računaru samo je dio preduzetih koraka. Otvaranjem sumnjivih linkova i potvrđivanjem svih radnji ništa manje sumnjivih aplikacija, lako možete poništiti sve napore zaštitnih programa. Iz tog razloga, također vrijedi uvijek razmišljati o svojim postupcima. Na primjer, ako je vaš zadatak da zaštitite preglednik, ali ne možete izbjeći otvaranje sumnjivih linkova na bilo koji način (na primjer, zbog specifičnosti), tada uvijek možete instalirati dodatni pretraživač, koji se koristi isključivo za otvaranje sumnjivih veza, ili ekstenzija za provjeru kratkih veza. U ovom slučaju, ako se ispostavi da je bilo koji od njih phishing (krađa podataka, pristup itd.), napadač će postići malo.

Problem određivanja skupa radnji za zaštitu informacija najčešće leži u nedostatku odgovora na pitanja iz prethodnog stava. Na primjer, ako ne znate ili ne razumijete šta tačno želite da zaštitite, uvijek će biti teško smisliti ili pronaći neke dodatne sigurnosne mjere (osim onih uobičajenih kao što je neotvaranje sumnjivih linkova, ne posećivanje sumnjivih izvora itd.). Pokušajmo razmotriti situaciju na primjeru zadatka zaštite ličnih podataka, koji se najčešće stavlja na čelo zaštićenih objekata.

Zaštita ličnih podataka ovo je jedan od najtežih izazova sa kojima se ljudi suočavaju. Uz brz rast broja i sadržaja društvenih mreža, informacione usluge i specijalizovanih onlajn resursa, bila bi velika greška verovati da se zaštita vaših ličnih podataka svodi na obezbeđivanje pouzdanog nivoa bezbednosti vašeg računara. Ne tako davno, bilo je gotovo nemoguće saznati bilo šta o osobi koja živi stotinama kilometara od vas, ili čak u susjednoj kući, a da nema odgovarajućih veza. Danas skoro svako može saznati dosta ličnih podataka o svakome u samo nekoliko sati klikanja mišem u pretraživaču, ili čak i brže. Istovremeno, sve njegove radnje mogu biti apsolutno legalne, ali vi ste sami stavili informacije o sebi u javni pristup.

Svi su se susreli sa odjekom ovog efekta. Jeste li čuli da je test riječ na sigurnosno pitanje ne bi trebao biti povezan s vama i drugima? A ovo je samo mali dio. Koliko god da vas to iznenadi, ali u mnogo čemu zaštita ličnih podataka zavisi samo od vas. Nijedan sigurnosni alat, čak i ako ne dozvoljava nikome osim vama da pristupi računaru, ne može zaštititi informacije koje se prenose izvan računara (razgovore, internet, snimke itd.). Negdje ste ostavili svoju poštu - očekujte porast neželjene pošte. Ostavili ste fotografije kako grli medvjedića na resursima trećih strana, očekujte odgovarajuće duhovite "zanate" od dosadnih autora.

Ako malo ozbiljnije, onda ogromna otvorenost internet podataka i vaša neozbiljnost / otvorenost / vjetrovitost, uz sve sigurnosne mjere, mogu poništiti ovo drugo. Iz tog razloga, potrebno je voditi računa o izboru metoda zaštite informacija i uključiti u njih ne samo tehnička sredstva, već i radnje koje pokrivaju druge aspekte života.

Bilješka: Naravno, ne treba pretpostaviti da je podzemni bunker najbolje mjesto u životu. Međutim, razumijevanje da je na vama da zaštitite svoje lične podatke daće vam veliku prednost u odnosu na uljeze.

Metode sigurnosti informacijačesto poistovjećuju sa tehnička rješenja, ignorirajući tako ogroman rezervoar za potencijalne prijetnje kao što su radnje same osobe. Možete dati korisniku mogućnost da pokrene samo jedan program i da izvrši čišćenje za samo pet minuta, ako je to uopće moguće. Jedna poruka na forumu o čuloj informaciji može pokvariti najsavršeniju zaštitu (preterivanje, o prevenciji zaštitnih čvorova, drugim riječima, privremeni nedostatak zaštite).

Odlučiti o metodama zaštite podataka, morate ne samo tražiti odgovarajuće sigurnosne alate, lijeno klikćući mišem u prozoru pretraživača, već i razmisliti o tome kako se informacije mogu širiti i na šta se mogu odnositi. Kako god zvučalo, ali za to je potrebno uzeti papir i olovku u ruke, a zatim razmotriti sve moguće načine širenja informacija i s čime se to može povezati. Na primjer, uzmimo zadatak čuvanja lozinke što je moguće tajnije.

Situacija. ti si smislio složena lozinka, koji ni na koji način nije povezan s vama, u potpunosti ispunjava najstrože sigurnosne zahtjeve, nigdje nije ostavio niti jedan spomen (kao što su ostatci u memoriji računara, na disku i druge tačke se ne uzimaju u obzir), nemojte koristiti menadžeri lozinki, unesite lozinku samo sa jednog računara, koristeći sigurnu tastaturu, koristite VPN za povezivanje, pokrenite računar samo sa LiveCD-a. Jednom rečenicom, pravi paranoik i fanatik sigurnosti. Međutim, ovo možda neće biti dovoljno za zaštitu lozinke.

Evo nekoliko jednostavnih mogućih situacija koje jasno pokazuju potrebu za širokim pogledom na metode sigurnosti informacija:

• Šta ćete učiniti ako trebate unijeti lozinku kada su u prostoriji drugi ljudi, čak i "najbolji"? Nikada ne možete garantirati da neće nasumično spominjati indirektne informacije o lozinki. Na primjer, sjedenje u ugodnom okruženju u restoranu, fraza "ima takav duga lozinka, čak desetak i gomila različitih znakova“, što prilično dobro sužava područje pogađanja lozinke za napadača.
• Šta ćete učiniti ako se to dogodi i zatreba vam druga osoba da izvrši operaciju umjesto vas? Lozinku može slučajno čuti druga osoba. Ako diktirate lozinku osobi koja je slabo upućena u kompjutere, onda je vjerovatno da će je negdje zapisati, neće biti opravdano tražiti od njega svoj fanatizam.
• Šta ćete učiniti ako se to dogodi i neko sazna za način na koji dolazite do lozinki? Takve informacije također prilično dobro sužavaju područje odabira.
• Kako možete zaštititi lozinku ako je napadač hakovao jednu od lokacija koja omogućava siguran prijenos lozinke? Na primjer, hakiran je VPN server preko kojeg pristupate Internetu.
• Da li bi vaša lozinka imala smisla da je sistem koji ste koristili hakovan?
• I drugi

Naravno, to ne znači potrebu za tvrdoglavom i upornom traženjem višemjesečnih metoda zaštite informacija. Poenta je da čak i najsloženiji sistemi mogu biti razbijeni jednostavnim ljudskim manama, čije razmatranje je napušteno. Stoga, dok uređujete sigurnost svog računara, pokušajte da obratite pažnju ne samo na tehničku stranu problema, već i na svijet oko sebe.