Informacije igraju posebnu ulogu u razvoju civilizacije. Posjedovanje informacionih resursa i njihova racionalna upotreba stvaraju uslove za optimalno upravljanje društvom. I naprotiv, izobličenje informacija, blokiranje njihovog prijema, korištenje netačnih podataka dovode do pogrešnih odluka.
Jedan od glavnih faktora koji obezbjeđuje efikasnost u upravljanju različitim sferama javnog života je pravilno korištenje informacija različite prirode. Tempo napretka danas, a još više sutra, u velikoj meri zavisi od stanja u oblasti informacionih i računarskih usluga u najvažnijim sferama delatnosti – nauci, tehnologiji, proizvodnji i menadžmentu.
Posebno je aktuelan problem korišćenja ekonomskih informacija u oblasti upravljanja materijalnom proizvodnjom, gde je rast protoka informacija u kvadratnoj zavisnosti od industrijskog potencijala zemlje. Zauzvrat, brzi razvoj procesa automatizacije, upotreba računara u svim sferama modernog života, pored nesumnjivih prednosti, dovela je do pojave niza specifičnih problema. Jedna od njih je potreba da se osigura efikasna zaštita informacija. Na osnovu toga, stvaranje pravnih normi kojima se obezbjeđuju prava i obaveze građana, kolektiva i države na informisanje, kao i zaštita ovih informacija, postaju najvažniji aspekt informacione politike države. Zaštita informacija, posebno u ekonomskoj sferi, vrlo je specifična i važna djelatnost. Dovoljno je reći da se u svijetu prosječna šteta od jedne krađe banke korištenjem elektronskih sredstava procjenjuje na 9 hiljada dolara.Godišnji gubici od kompjuterskog kriminala u SAD-u i zapadnoj Evropi dostižu 140 milijardi dolara.Prema američkim stručnjacima, kompjuterske mreže će uništiti 20% srednjih preduzeća u roku od nekoliko sati, 40% srednjih i 16% velikih kompanija će propasti za nekoliko dana, 33% banaka će propasti za 2-5 sati, 50% banaka u 2-3 dana.
Zanimljive su informacije o problemima zaštite podataka koji su doveli do materijalnih gubitaka u američkim kompanijama:
kvarovi na mreži (24%);
softverske greške (14%);
kompjuterski virusi (12%);
kvarovi na računarima (11%);
krađa podataka (7%);
sabotaža (5%);
neovlašteno uvođenje u mrežu (4%);
ostali (23%).
Brzi razvoj i širenje kompjuterskih sistema i informacionih mreža koje opslužuju banke i berze prati porast prekršaja vezanih za krađu i neovlašćeni pristup podacima koji se čuvaju u memoriji računara i prenose putem komunikacionih linija.
Kompjuterski zločini se danas javljaju u svim zemljama svijeta i česti su u mnogim oblastima ljudskih aktivnosti. Odlikuje ih visoka tajnost, složenost prikupljanja dokaza o utvrđenim činjenicama njihovog izvršenja i složenost dokazivanja takvih slučajeva na sudu. Prekršaji iz oblasti kompjuterskih informacija mogu se počiniti u obliku:
prevara kompjuterskom manipulacijom sistema za obradu podataka u cilju sticanja finansijske koristi;
kompjuterska špijunaža i krađa softvera;
kompjuterska sabotaža;
krađa usluga (vremena), zloupotreba sistema za obradu podataka;
nezakonit pristup sistemima za obradu podataka i njihovo "hakovanje";
tradicionalna krivična dela iz oblasti poslovanja (privrede), počinjena korišćenjem sistema za obradu podataka.
Kompjuterski kriminal, po pravilu, vrše visokokvalifikovani sistemski i bankarski programeri, specijalisti iz oblasti telekomunikacionih sistema. Ozbiljnu prijetnju informacionim resursima predstavlja hakeri i krekeri, prodiranje u kompjuterske sisteme i mreže razbijanjem sigurnosnog softvera. Krekeri također mogu obrisati ili modificirati podatke u banci informacija u skladu sa svojim interesima. Posljednjih decenija u zemljama bivšeg SSSR-a pojavila se moćna generacija visoko obučenih potencijalnih hakera koji su radili u organizacijama i odjelima uključenim u informatičku pirateriju na državnom nivou kako bi koristili informacije dobijene sa Zapada za vojne i ekonomske interese.
Šta hakeri kradu? Potencijalni objekat može biti bilo koja informacija ugrađena u računar, koja prolazi kroz računarske mreže ili se nalazi na računarskom mediju i sposobna da donese profit hakeru ili njegovom poslodavcu. Ovi podaci obuhvataju gotovo sve podatke koji čine poslovnu tajnu preduzeća, od razvoja i znanja do platnih spiskova, po kojima je lako „izračunati“ promet kompanije, broj zaposlenih itd.
Posebno su vrijedne informacije o bankarskim transakcijama i kreditima obavljenim putem e-maila, kao i transakcijama na berzi. Od velikog interesa za hakere su softverski proizvodi čija se cijena na modernom tržištu kreće u hiljadama ili čak milionima dolara.
Krekeri - "kompjuterski teroristi" - uključeni su u oštećenje programa ili informacija uz pomoć virusa - posebnih programa koji osiguravaju uništavanje informacija ili kvarove u sistemu. Kreiranje "virusnih" programa je vrlo isplativ posao, jer neki proizvođači koriste viruse kako bi zaštitili svoje softverske proizvode od neovlaštenog kopiranja.
Za mnoge firme, dobijanje informacija kroz predstavljanje hakera-programera konkurenciji je najjednostavniji i najprofitabilniji posao. Uvođenje posebne opreme rivalima, stalno praćenje njihove kancelarije na zračenje uz pomoć specijalne opreme je skup i opasan posao. Osim toga, konkurentska firma, nakon otkrivanja tehničkih sredstava, može započeti igru kao odgovor, dajući lažne informacije. Stoga je haker-programer u "taboru neprijatelja" najpouzdaniji način borbe protiv konkurenata.
Dakle, sve veća opasnost od kompjuterskog kriminala, prije svega u finansijsko-kreditnoj sferi, određuje važnost obezbjeđivanja sigurnosti automatizovanih informacionih sistema.
Informaciona sigurnost organizacije (institucije)
Ispod Bezbednost automatizovanog informacionog sistema organizacije (institucije) podrazumeva njegovu zaštitu od slučajnog ili namernog mešanja u normalan proces funkcionisanja, kao i od pokušaja krađe, modifikacije ili uništenja njegovih komponenti. Sigurnost sistema se postiže osiguranjem povjerljivosti informacija koje obrađuje, kao i integriteta i dostupnosti komponenti i resursa sistema.
Povjerljivost kompjuterskih informacija - ovo je svojstvo informacija da budu poznati samo dozvoljenim i verifikovanim (ovlašćenim) subjektima sistema (korisnici, programi, procesi, itd.).
Integritet komponenta (resurs) sistema - svojstvo komponente (resursa) da bude nepromijenjeno (u semantičkom smislu) tokom funkcionisanja sistema.
Dostupnost komponenta (resurs) sistema - svojstvo komponente (resursa) da bude dostupno za korištenje ovlaštenim subjektima sistema u bilo koje vrijeme.
Sigurnost sistema osigurava se nizom tehnoloških i administrativnih mjera koje se primjenjuju na hardver, softver, podatke i usluge kako bi se osigurala dostupnost, integritet i povjerljivost računarskih resursa; ovo takođe uključuje procedure za provjeru da sistem izvršava određene funkcije u strogom skladu sa njihovim planiranim redoslijedom rada.
Sigurnosni sistem sistema se može podijeliti na sljedeće podsisteme:
kompjuterska sigurnost;
sigurnost podataka;
siguran softver;
sigurnost komunikacija.
Računarska sigurnost obezbjeđen setom tehnoloških i administrativnih mjera primijenjenih na računarski hardver kako bi se osigurala dostupnost, integritet i povjerljivost povezanih resursa.
Sigurnost podataka se postiže zaštitom podataka od neovlaštenih, slučajnih, namjernih ili nemarnih modifikacija, uništavanja ili otkrivanja.
Bezbedan softver je opće namjene i aplikativni programi i alati koji provode sigurnu obradu podataka u sistemu i bezbedno koriste resurse sistema.
Sigurnost komunikacije obezbjeđen putem telekomunikacione autentifikacije preduzimanjem mjera za sprječavanje pružanja kritičnih informacija neovlaštenim licima, koje sistem može izdati kao odgovor na zahtjev telekomunikacija.
TO objekti za sigurnost informacija u preduzeću (firmi) uključuju:
informacioni izvori koji sadrže informacije klasifikovane kao poslovna tajna i povjerljive informacije predstavljene u obliku dokumentiranih nizova informacija i baza podataka;
sredstva i sistemi informatizacije - sredstva računarske i organizacione tehnologije, mreže i sistemi, opšti sistemski i primenjeni softver, automatizovani sistemi upravljanja preduzeća (kancelarija), komunikacioni i prenosni sistemi, tehnička sredstva za prikupljanje, registrovanje, prenos, obradu i prikazivanje informacije, kao i njihova informativna fizička polja.
U savremenom svijetu informacioni resursi su postali jedna od moćnih poluga ekonomskog razvoja preduzeća (firmi) koja imaju važnu ulogu u poslovanju. Štaviše, odsustvo u sferi domaćeg poslovanja efikasnih kompjuterskih i savremenih informacionih tehnologija, koje su osnova za funkcionisanje „brzih“ ekonomija, značajno otežava prelazak na nove oblike upravljanja.
U informacionim i automatizovanim sistemima upravljanja preduzećem (firmom) u prvom planu je obezbeđivanje efikasnog rešenja zadataka marketing menadžmenta, odnosno zadataka računovodstva i analize ugovora i kontakata preduzeća (firme), traženja poslovnih partnera, organizovanja. reklamne kampanje, promocija robe, pružanje posredničkih usluga, razvoj strategije prodora na tržište itd.
Bez podrške raznih političkih, komercijalnih i zvaničnih struktura vlasti, obično je moguće kvalitetno izvesti bilo kakvu ozbiljnu operaciju samo skrivanjem njihovih pravih aktivnosti („ilegalni posao“) i njihovog pravog lica („ilegalna ličnost“).
Ovo se odnosi i na nezavisnog pojedinca i na nezvaničnu grupu posebno stvorenu za rješavanje nekih delikatnih, ne univerzalno odobrenih zadataka.
Isti problem nastaje kada se iz bilo kog razloga neko treba kriti od raznih službi komercijalne, državne, kriminalne, političke vrste.
Tipični ilegalni imigrant možete postati i namjerno i nevoljno. U svakom slučaju, međutim, potrebno je poznavati barem minimum standardne sigurnosne taktike kako bi se ovaj period uspješno provukao bez gubljenja, pukom glupošću, fizičke ili psihičke slobode, a ponekad i samog života.
Elementi sigurnosnog sistema
Nivo primijenjenih mjera osiguranja u velikoj mjeri zavisi kako od stepena željene tajnosti osobe (ili grupe), tako i od situacije, okruženja i, naravno, od sposobnosti samih osiguranika.
Određene tehnike lične sigurnosti trebaju postati prirodna navika i treba ih izvoditi bez obzira na potrebe trenutne situacije.
Ono što je ovdje prikazano ne iscrpljuje moguća sredstva svakodnevnog osiguranja, za čiju je primjenu uvijek visoko mišljenje neprijatelja i, naravno, zdrav razum samih osiguranika.
Tipične su sljedeće vrste sigurnosti:
Eksterni (u toku komunikacije sa strancima);
Interni (kada kontaktiraju u svom okruženju i grupi);
Lokalno (u raznim situacijama i radnjama).
Razmotrimo sve ovo malo detaljnije.
Eksterna sigurnost
Razne nevolje mogu nastati u komunikaciji sa običnim ljudima i državnim agencijama, ali puno toga se tu može predvidjeti i izbjeći koristeći banalni princip tri "ne": ne iritiraj, ne petljaj, ne isticaj se.
potrebno:
Ne privlačeći nepotrebnu pažnju na sebe (taktika "rastvaranja u okolini"):
- ne isticati se izgledom (obična frizura, pristojna odjeća, odsustvo bilo čega "glasnog"; ako je, međutim, vaše okruženje ekstravagantno, onda - budite poput njih...);
- nemojte se miješati u svađe i skandale (ovo, prvo, privlači nepotrebnu pažnju na vas, a drugo, može biti samo provokacija usmjerena na pritvor ili "kažnjavanje");
- tačno sačiniti sve račune za komunalije i druge državne naknade; uvijek plaćaju prijevozne cijene;
- pokušajte da tačno pratite sliku izabrane društvene uloge i da nemate pritužbi na posao (i da se tu ne ističete u opštoj kolektivnoj pozadini...);
- ne raspirujte opsesivnu radoznalost susjeda neobičnim načinom života ili posjetama različitih ljudi;
- ne pokazuj preteranu svest ni o čemu, osim ako, naravno, tvoja uloga to zahteva (ne zaboravite na drevne: „Budni mora imati zakon tri ne: „Ne znam“, „Nisam čuo“ ”,„Ne razumijem””) ...
Ne izazivajte neprijateljstvo kod komšija, kolega i poznanika, već budite simpatije u njima:
- ne biti „crna ovca“ (ljude uvijek privlači onaj ko se otkriva sa strane koju razumiju...);
- razvijaju ponašanje koje ne izaziva budnost kod drugih (pretjerana radoznalost, "inteligentnost" ili opsesija...) ili neprijateljstvo (netaktičnost, dosada, ponos, grubost...);
- biti ravnopravan i ljubazan sa svima okolo i, ako je moguće, pružiti im manje (ali ne servilne!) usluge;
- ne raditi ništa što bi moglo izazvati nezadovoljstvo i radoznalost kod komšija (lupanje vrata noću, višak posetilaca, povratak kući taksijem, posete žena, kasni telefonski pozivi u zajedničkom stanu...).
Pažljivo pratite sve svoje veze i kontakte (zapamtite da je "najopasniji od svih neprijatelj za kojeg ne sumnjate"):
- da čuvaju tajne od svojih komšija (supruga, prijateljica, rodbina, ljubavnica...);
- sa uobičajenom budnošću ("zašto i zašto?") Uvek uočite pokušaje da vam se približite (slučajno poznanstvo, nečije preporuke...);
- da bude pažljiv prema svim zaposlenima servisa za popravke, reklame i servisa, da pregleda njihovu dokumentaciju i ljubazno, ali razumno provjerava identitet telefonom, a zatim - sa „kolegama“;
- budite oprezni sa svima koji nude, takoreći, „nezainteresovane“ usluge (pozajmljuju novac, aktivno pomažu u nečemu, pružaju nešto što vam treba jeftino...).
Saznajte svoje vlastite ranjivosti i saznajte kako se možete zaštititi ovdje:
- analizirajte cijeli svoj život i istaknite one sumnjive trenutke koji se mogu iskoristiti za ucjenu ili diskreditaciju;
- realno procijeniti moguće posljedice otkrivanja takvih činjenica svima kojima se one mogu priopćiti;
- procijeniti ko i iz kog razloga može znati kompromitujuće dokaze i kako je moguće neutralisati takvu svijest;
- identifikujte objekte vaše ranjivosti (žena, djeca, moralna načela...), jer se preko njih može vršiti pritisak na vas;
- da otkrijete svoje slabosti (hobi, vino, seks, novac, karakterne osobine...) i zapamtite da se one uvijek mogu iskoristiti protiv vas.
- Nemojte se upuštati u sumnjive prevare koje nisu povezane sa zajedničkim ciljem. U rizične avanture vezane za slučaj, uključite se samo uz dozvolu odozgo.
Unutrašnja sigurnost
Kontakti u sopstvenom okruženju ne mogu se smatrati garantovano sigurnim. Zapamtite da "najveća šteta obično dolazi iz dva uslova: od odavanja tajni i povjerenja u izdajnike."
Čuvanje tajne ličnosti:
- umjesto pravih imena uvijek se koriste pseudonimi (obično imenski, ali i brojčani, abecedni ili "nadimak"); u svakom pravcu „igrači“ prolaze pod posebnim pseudonimom, iako je moguć rad pod više opcija, kao i akcija pod zajedničkim pseudonimom više različitih osoba;
- članovi tima, ako je moguće, poznaju se samo pod pseudonimima; samo ovlaštena lica trebaju znati prava prezimena, kućne adrese i brojeve telefona;
- uz preteću mogućnost neuspjeha i dešifriranja, svi korišteni aliasi se po pravilu mijenjaju;
- ne treba nikome davati bilo kakve intimne ili druge podatke o svojoj ličnosti;
- pokušajte stvoriti (koristeći nagoveštaje ili glasine) izmišljenu, ali spolja uvjerljivu "legendu" o sebi;
- niko u grupi ne treba da pokazuje preterano interesovanje za aktivnosti, navike i intimni život svojih drugova;
- niko ne smije drugima otkrivati podatke o partnerima, osim ako je to hitno potrebno;
- u nekim slučajevima ima smisla vizuelno promeniti izgled (frizura, brada, šminka, perike, tetovaže, boja kože, naočare sa jednostavnim ili zadimljenim naočarima i različitim okvirima, umetci koji menjaju glas i hod...) ;
- morate steći naviku da za sobom ne ostavljate nikakve materijalne tragove koji ukazuju na to da ste bili ovdje (opušci cigareta, napušteni komadići papira, tragovi cipela, kontrastni mirisi, primjetne promjene u okolini...).
Održavanje tajnosti slučaja:
- održavaju se aktivni radni kontakti sa strogo ograničenim skupom ljudi (sistem trojki ili petica, u zavisnosti od zadataka koji se rešavaju...), pri čemu drugovi ne bi trebalo da znaju šta partneri konkretno rade;
- svako se specijalizovao za samo dve ili tri oblasti, nakon što mu je postalo preopasno da se bavi aktivnostima u jednoj od njih - moguć je predah, kao i prelazak u drugi pravac;
- potrebno je striktno razlikovati operativni i informativni rad: svako neka radi samo svoj posao;
- Najbolje od svega, priprema za određenu akciju je maskirana mjerama za sprovođenje druge;
- o svojim aktivnostima možete pričati drugima samo ako im je to potrebno za slučaj; zapamtite da tajnu čuva najviše pet osoba;
- primljenu informaciju je potrebno prenijeti samo onima kojima je očigledno potrebna (pokazivanje pretjerane svijesti o nečemu može otkriti izvor informacije, a to može dovesti do njene neutralizacije);
- budite oprezni kada koristite sredstva komunikacije koja pružaju jasne mogućnosti za presretanje informacija (poruke pošte, radio i telefonski razgovori...);
- nikada ne pišite u čistom tekstu u pismima stvarne adrese, imena i stavove, nemojte ih spominjati u razgovorima na ulici ili telefonom;
- koriste kodove i pseudonime čak i tokom komunikacije unutar grupe, mijenjajući ih s vremena na vrijeme;
- grupa treba da ima 2-3 odvojene šifre poznate različitim ljudima;
- oslanjaju se više na memoriju nego na snimanje; u potonjem slučaju, morate koristiti svoj lični kod i kod;
- pokušajte da ne imate kompromitujuće radove napisane vlastitim rukopisom ili odštampane na vlastitoj kancelarijskoj opremi;
- u ophođenju sa "izloženim" osobama suzdržati se od direktnih kontakata, koristeći, po potrebi, sporedna lica ili druga sredstva komunikacije;
- uvijek vodite računa i zapamtite da postoji mogućnost curenja informacija ili izdaje i budite spremni na odgovarajuće protu-akcije.
Lokalno obezbeđenje
Najbolja garancija uspjeha obično je sigurnosna mreža, pa je stoga preporučljivo provoditi sve radnje uzimajući u obzir sve moguće nevolje od neprijatelja ili prolaznika koji su se slučajno pojavili.
Opća pravila za direktnu komunikaciju.
pokušajte da ne vodite informativne razgovore u čistom tekstu na ulici ili javnom prevozu;
ne treba u otvorenom razgovoru pominjati prava prezimena, imena, poznate nadimke i adrese, a ne koristiti „alarmantnu“ terminologiju;
koristiti kodna imena za označavanje pojedinačnih radnji;
najtajniji aspekti razgovora (prave adrese, lozinke, datumi) zapisuju se na papir, koji se potom uništava;
potrebno je snalaziti se u tehničkim mogućnostima sistema za prisluškivanje i poznavati elementarne protumjere (vidi odjeljak o dobijanju informacija...);
ako neko od sagovornika primeti nešto alarmantno tokom razgovora, partner se upozorava posebnom rečju ("atas"...) ili gestom (prst na usne...), a ceo razgovor se prenosi u neutralni kanal ;
ako znate da vas prisluškuju, bolje je ne voditi informativne pregovore ili ih koristiti za dezinformacije;
kada vas navodno "slušaju", ali ipak trebate komunicirati, onda se služe konvencionalnim jezikom, gdje bezazlene rečenice imaju potpuno drugačije značenje; Koriste se i fraze koje ne treba uzeti u obzir (obično se saopštavaju nekim dogovorenim gestom, npr. ukrštanjem prstiju...), a često i standardne tehnike (kašljanje, umetanje u usta...) koje otežavaju identificirati govornika;
kada je potrebno osigurati potpunu tajnost komunikacije u gužvi, koriste se metode uslovne (neverbalne) komunikacije, kao što su jezik gestikulacije, pokreta tijela i gestikulacije prstima, kao i kodovi zasnovani na atributima odeću (različiti položaji pokrivala, kopče za kravatu, maramicu...) ili za manipulaciju improvizovanim predmetima (satovi, cigarete, ključevi...).
Koristeći telefon
A. LIČNA SIGURNOST:
- pokušajte da pregovarate o vremenu tuđih i sopstvenih poziva i ograničite učestalost kontakata;
- da ne zloupotrebljavate razgovore na svom telefonu (s obzirom na to da se može prisluškivati) i da ne dajete drugima nepotrebno svoj broj (znajući da je pomoću njega lako doći do vaše adrese);
- vodite računa da mogu da slušaju kako ceo telefonski razgovor (kada je priključen na liniju...), tako i samo ono o čemu pričate ("buba" ili komšija ispred vrata...);
- korisno je u uređaj ugraditi najjednostavniju "kontrolu" (fiksiranje pada napona...) za spajanje na liniju tuđe opreme;
- koristite Caller ID (automatska ID pozivaoca), a bolje bi bilo "anti-anti-caller ID", kako ne biste reklamirali svoj broj kada zovete druge;
- ne oslanjati se na pouzdanost bilo kojeg radiotelefona;
- bolje je uspostaviti međugradske i druge fiksne kontakte sa tuđeg "broja" preko mobilnog "blizanca" ili radio ekstenzije (vidi odjeljak o ucjenama...), kao i direktnom vezom na bilo koji par kontakti u centrali;
- za veću tajnost pregovora možete koristiti scramblere (barem jednostavne improvizirane pretvarače i scramblere), iako njihova upotreba može oštro stimulirati pažnju drugih;
- ne treba posebno vjerovati zaštiti od "šuma" ili "porasta napona u liniji";
- ako ne želite da "dešifrujete" sagovornika, onda možete pokušati da promenite glas (pomoću mehaničkih i elektronskih trikova, ili jednostavnim kašljanjem, istezanjem i odvajanjem usana, štipanjem za nos...) i stilsko crtanje razgovora (upotrebom žargona...);
- ne zaboravite da se ponekad prisluškuju i govornice čija se lokacija lako izračunava, kao i svi drugi telefoni;
- ako vam treba tuđi poziv, a nema želje da date svoje koordinate, koristi se srednja - sa sekretaricom ili živim "dispečerom" koji može znati ili ne znati (jednosmjerna opcija...) Vaš privatni broj - telefon;
- u nekim slučajevima moguće je koristiti telefon bez riječi, kada jedan, a češće i više "praznih" poziva u određenom ritmu pokazuje neki kod;
- specifičan signal ponekad može biti samo činjenica poziva određene osobe tokom najsitnijeg razgovora, kao i kodirano pominjanje konvencionalnih imena u slučaju „greške u broju“.
B. OSIGURANJE VERBALNE SIGURNOSTI:
- ne vode poslovne razgovore u čistom tekstu;
- da ne govori tačne datume, imena, adrese;
- koristiti kodna imena pojedinačnih radnji;
- koristiti konvencionalni jezik u kojem bezazlene fraze imaju potpuno drugačije značenje;
- zvati samo kada je to potrebno, iako je moguće i česte razgovore “neposlovno” sa istom osobom (taktika “razbijanja informacija”).
C. RAZGOVOR SA STRANJIMA:
- cijeli dijalog vodi partner, a vi samo kažete "da" ili "ne" da oni pored vas ne razumiju i ne nauče;
- da se u blizini nalaze stranci se prijavljuje jasnim tekstom ili usmenim kodom; razgovor nakon ovoga treba da vodi partner kome ne dolikuje da postavlja bilo kakva pitanja koja zahtevaju detaljne odgovore;
- kada postoji direktna kontrola ne baš prijateljske osobe, partner se na to upozorava dogovorenom frazom-kodom (bolje u pozdravu...), nakon čega se cijeli razgovor vodi u praznom ili dezinformacionom stilu;
- ako neko od sagovornika pomisli da mu se prisluškuje telefon, odmah pokušava da upozori pozivaoce na to svima dobro poznatom frazom ("zubi bole"...), a onda se razgovor okreće u neutralni kanal.
D. KORIŠĆENJE ZAJEDNIČKOG TELEFONA (U STANU, NA POSLU...):
- koristite takav telefon što je moguće manje (posebno „za dogovor“), ako to nije vezano za ulogu koju igra (dispečer, agent za oglašavanje...);
- ista osoba mora nazvati ovaj telefon;
- pokušajte da ne zovete prekasno i prerano;
- kada autsajderi pokušaju da prepoznaju glas sagovornika („Ko pita?“ ...), odgovori ljubazno i neutralno („saradnik“ ...) i, ako sagovornik nije prisutan, odmah prekinu dalji razgovor;
- zapravo, nije teško napraviti poseban telefon koristeći, na primjer, razdjelnik koda, tako da će specifično biranje zajedničkog broja pouzdano omogućiti poziv samo vašem uređaju, a da uopće ne utiče na susjedni.
Organizacija sastanaka
Nivo sigurnosnih mjera potrebnih u konkretnim slučajevima zavisi od željenog stepena tajnosti kontakta, od stepena legalnosti njegovih učesnika i moguće kontrole istog od strane autsajdera.
A. IZBOR MJESTA SASTANKA:
- kada traže pogodna mjesta za kontakt, obično se oslanjaju na principe prirodnosti, valjanosti i slučajnosti;
- česte sastanke najlakše je provesti na mjestu zabavne zabave (uklapajući se u njen crtež...), u teretani sportske sekcije, u radnoj sobi...;
- posebno ozbiljni sastanci mogu se realizovati u lovištima, posebno iznajmljenim dačama, u kupalištima, odmaralištima, u svim vrstama sportskih centara, na plažama u inostranstvu;
- Upareni sastanci se zakazuju u metrou i trgovima, u toaletima i u automobilima, na slabo naseljenim ulicama, u zoološkim vrtovima, muzejima i izložbama; raskrsnice na takvim mjestima su malo vjerojatne, a samim tim i manje opasne;
- treba se suzdržati od tajnih sastanaka u poznatom restoranu, mondenom kafiću i na željezničkoj stanici, s obzirom da se takvi punktovi obično kontrolišu;
- moguće je održavati "nasumične" sastanke u privatnim stanovima trećih lica uz razumnu priliku (sahrana, godišnjica, "pranje" određenog događaja...);
- ne treba održavati nikakve sastanke (osim uobičajenih) u stereotipnim zajedničkim stanovima;
- koristiti svoje stanove za kontakt u krajnje ograničenom obimu;
- u nekim slučajevima ima smisla iznajmiti poseban siguran stan, ako je moguće u kući u kojoj postoji dupli izlaz;
- prilikom pregleda mjesta sastanka uvjerite se da li je moguće neprimijećeno ući tamo i kako bezbedno pobjeći odatle; zapamtite staru istinu: "Ako ne znate kako da izađete, ne pokušavajte da uđete!"
B. INFORMACIJE O SASTANKU:
- o mjestima mogućeg sastanka obično se razgovara unaprijed, a svima se daju šifre - abecedni, numerički ili "lažni" - nazivi, sa nekoliko opcija za svako;
- planirani kontakt se saopštava drugima telefonom, pejdžerom, pismom, kao i putem mesindžera;
- kada pristajete na susret na linijama "otvorene" komunikacije, koristite kodni naziv mjesta, šifrirani datum (na primjer dan prije navedenog) i pomaknuto vrijeme (po konstantnom ili kliznom broju);
- prije zakazanog datuma potrebno je izdati potvrdu o kontaktu u običnom tekstu ili signalizacijom;
- ako je dozvoljeno čekati na sastanku (na stajalištu javnog prevoza, u redu na benzinskoj pumpi...), preporučljivo je navesti određeni vremenski period nakon kojeg nema potrebe za čekanjem.
B. VOĐENJE SASTANKA:
- na prepune sastanke ne treba dolaziti u gužvi, već raštrkano i ne ostavljati sva lična kola na jednom mestu;
- pokušajte izbjeći prisustvo bilo kakvih stranaca i nepotrebnih osoba u kampu za obuku;
- shvaćajući da oni koji ne moraju znati za prepune tajne sastanke, ne bi trebali sa sobom ponijeti očigledno kompromitujuće stvari (oružje, falsifikovana dokumenta...) i zapamtiti da im se ponekad može okliznuti;
- veoma je poželjno kontrolisati mjesto komunikacije od strane posebnih ljudi prije, za vrijeme i nakon sastanka, kako bi, ako je potrebno, bilo kakvim dogovorenim (uzimajući u obzir njihovo hvatanje) signalima upozorili na opasnost koja dolazi;
- kod svih vrsta kontakta, morate shvatiti kako možete biti špijunirani ili preslušani, tvrdoglavo postavljajući sebi kratka pitanja: „Gdje? Kako? SZO?";
- posebno tajne razgovore treba obavljati na lokalnim izolovanim mestima, proveravati i osigurati na sve mogućnosti prisluškivanja, priviđanja i potkopavanja;
- poželjno je imati barem jednostavne indikatore koji obavještavaju o zračenju radio mikrofona ili da li sagovornik ima diktafon za snimanje;
- korisno je koristiti čak i "nespretne" prigušivače iskri, kao i generatore za brisanje magnetnog zapisa;
- klasični ilegalni sastanci parova se uvijek računaju do minuta i održavaju se "nasumično";
- da biste stigli na mjesto sastanka tačno u zakazano vrijeme, potrebno je unaprijed odrediti vrijeme kretanja i dati određenu marginu vremena za sve vrste iznenađenja (blokiranje rute, vezivanje autsajdera, saobraćajna nesreća ...);
- ako je sastanak planiran na ulici, onda to ne smeta da se prošetate sat vremena prije sastanka, pažljivo gledajući svakog prolaznika i sva parkirana vozila; ako vas nešto brine, onda se kontakt mora odgoditi, obavještavajući partnera o tome koristeći kamufliranu signalnu komunikaciju;
- pri susretu s nepoznatim osobama, ove potonje se prepoznaju po opisu njihovog izgleda, određenom držanju ili gestikulaciji, spominjanju stvari koje drže u rukama, a najbolje od svega - sa fotografije, uz daljnju potvrdu identiteta sa verbalna (i druga) lozinka;
- potrebno je biti smješten u bolnici na način da se cijelo vrijeme može kontrolisati očigledna mjesta na kojima prijeti opasnost (recimo u kafiću - okrenuta prema ulazu, gledajući šta se dešava izvan prozora i nalazi se nedaleko od otvorenog servisnog prolaza...);
- zapamtite i pridržavajte se svih prethodno navedenih pravila verbalne komunikacije.
D. ORGANIZACIJA VOĐENJA ZATVORENIH SASTANKA (PREGOVORA).
Organizacija bilo kojeg događaja, uključujući sastanke i pregovore, povezana je s njegovom pripremom. Ne postoje jedinstvena, nepogrešiva pravila u ovom pravcu. Međutim, preporučuje se sljedeća varijanta šeme takve pripreme: planiranje, prikupljanje materijala i njegova obrada, analiza prikupljenog materijala i njegovo uređivanje.
U početnoj fazi planiranja određuju se tema ili pitanja o kojima je poželjno razgovarati i mogući učesnici u poslovnom razgovoru. Osim toga, odabire se najuspješniji trenutak, a tek tada se dogovaraju o mjestu, vremenu sastanka i organizaciji obezbjeđenja preduzeća (po pravilu se takvi razgovori vode jedan na jedan, povjerljivo, bez učešća stranaca ).
Nakon što je sastanak zakazan, sastavlja se plan sastanka. Najprije treba odrediti ciljeve s kojima se poduzetnik suočava, a zatim razviti strategiju za njihovo postizanje i taktiku vođenja razgovora.
Takav plan je jasan program radnji za pripremu i vođenje konkretnog razgovora. Planiranje vam omogućava da ublažite, neutrališete uticaj novih neočekivanih činjenica ili nepredviđenih okolnosti na tok razgovora.
Plan uključuje odgovorne za implementaciju svake tačke plana i sljedeće mjere za organizaciju obezbjeđenja sastanka (pregovori):
1. Sastanak gostiju koji dolaze na sastanak sa klijentom.
2. Koordinacija djelovanja glavne straže i tjelohranitelja pozvanih lica.
3. Obezbjeđenje odjeće, stvari gostiju i njihovih automobila na susjednoj teritoriji.
4. Sprečavanje incidenata između gostiju na sastanku.
5. Praćenje stanja pića, grickalica i drugih poslastica (u ove svrhe se koriste dresirani psi).
6. Identifikacija sumnjivih lica na događaju ili u susednim prostorijama.
7. Čišćenje prostorija (sala za sastanke i susjedne sobe) prije pregovora radi preuzimanja prislušnih i eksplozivnih naprava.
8. Uspostavljanje punktova za fiksiranje i osmatranje lica:
a) dolazak na poslovni prijem ili sastanak sa paketima, portfeljima i sl.;
b) donošenje audio ili video opreme na događaj;
c) koji dođu na poslovni prijem ili sastanak na kratko ili neočekivano napuste događaj.
9. Sprečavanje slušanja razgovora organizatora događaja i gostiju u prostorijama i telefonom.
10. Razvoj rezervnih opcija za pregovore (u privatnom stanu, u hotelu, u autu, na brodu, u kupatilu (sauna) itd.).
Ova lista aktivnosti nije konačna. Može se značajno proširiti i precizirati u zavisnosti od uslova objekta zaštite, prirode događaja i drugih uslova dogovorenih sa naručiocem.
Uobičajeni zadaci koji se rješavaju tokom sastanka (pregovaranja) ili drugih javnih događaja uključuju:
1) da su prostorije za pregovore odabrane tako da se nalaze na prvom ili poslednjem spratu i da se nalaze između onih prostorija koje kontroliše služba obezbeđenja;
2) upoznavanje sa objektom zaštite, utvrđivanje stanja kriminalne situacije oko njega;
3) uspostavljanje interakcije sa policijom u periodu dešavanja;
4) uspostavljanje kontrole pristupa radi sprečavanja prenosa oružja, eksplozivnih, zapaljivih i otrovnih materija, droge, teških predmeta i kamenja na čuvani objekat;
5) sprečavanje prolaza u zaštićeno područje ili u štićene prostorije za lica sa psima;
6) kontrolu i održavanje reda na susednoj teritoriji iu susednim prostorijama;
7) raspodela uloga između čuvara grupe za pojačanje (pomoć);
8) utvrđivanje opremljenosti stražara, uključujući njihovo naoružanje i veze;
9) uspostavljanje otvorenih i "šifrovanih" kontrolnih i osmatračnica;
10) priprema prevoza u slučaju ekstremnih okolnosti i evakuacija učesnika događaja;
11) proveru stabilnosti komunikacije na teritoriji objekta u cilju identifikacije tzv. "mrtvih zona";
12) proveru mogućnosti upotrebe gasnog oružja i suzavca radi utvrđivanja pravca kretanja vazduha, propuha i vrtloga, kako sami stražari ne bi stradali usled upotrebe specijalnih sredstava;
13) provera usklađenosti stražara uvežbavanjem različitih uvodnih zadataka.
Tokom radne faze obezbeđenja, osoblje obezbeđenja (bezbednosna kompanija) mora tačno da ispunjava svoje obaveze navedene u fazi pripreme.
Istovremeno, posebna pažnja se poklanja sljedećim pitanjima:
1) dolazak kasnih učesnika na događaj, koji računaju na slab pristupni režim nakon početka sastanka (pregovori);
2) obavezna provera sadržaja portfelja i vreća za rasuti teret ili upotreba ručnih detektora metala, detektora isparenja eksploziva koji se koriste za otkrivanje mina, granata, teških bombi i drugih eksplozivnih sredstava;
3) vozila koja ulaze i izlaze iz zaštićenog područja moraju biti podvrgnuta posebnom pregledu, barem vizuelno. Ovo je posebno važno kako bi se spriječio ulazak stranaca u čuvani objekat i isključilo miniranje vozila učesnika sastanka (pregovori);
4) kontrola unutrašnjosti i prtljažnika napuštajućih automobila može sprečiti otmicu lica koja su stigla na događaj, u cilju iznuđivanja od organizatora skupa (pregovori);
5) zaštita gornje odeće i ličnih stvari učesnika manifestacije u cilju sprečavanja njene krađe i utvrđivanja radio-bugova;
6) uprkos želji voditelja događaja da sa prozora ima lep pogled, potrebno je voditi računa da prostor bude pogodan za kontrolu službe obezbeđenja (bezbednosne kompanije);
7) ispod prozora prostorija za pregovore ne smeju se parkirati automobili u kojima se može nalaziti oprema za preuzimanje informacija iz radio obeleživača;
8) stvaranje sigurnosnih zona za prostoriju namenjenu pregovorima i opremanje posebnom opremom, paravanima, generatorima buke i dr.;
9) kada se pregovara u cilju očuvanja poslovne tajne, sve "tajne" informacije se dostavljaju u pisanoj formi, a rasprava se vodi ezopovskim jezikom.
U završnoj fazi događaja potrebno je da ostane na oprezu od strane osoblja obezbeđenja (bezbednosne kompanije), uprkos naizgled beznačajnosti događaja koji se dešavaju u objektu, a koji mogu biti veoma varljivi.
Provjera objekta nakon završetka događaja može biti povezana sa ne manjim rizikom po život od rada u prethodnim fazama. U tom periodu se vrši završno čišćenje objekta istom tehnikom kao i tokom pripremnih mjera. Istovremeno se vrši potraga za osobama koje se mogu sakriti u objektu, odnosno žrtvama kriminalaca kojima je potrebna medicinska pomoć. Velika pažnja posvećuje se zaboravljenim predmetima i stvarima.
Suveniri i pokloni koji se uručuju rukovodiocu organizacije (firme) i ostalim učesnicima priredbe podliježu kontrolnom pregledu.
Sve što čuvari otkriju na objektu, a ne pripada zaposlenima u organizaciji (preduzeću), podliježe predaji naručitelju ili upravi zaštićenog prostora uz jedan primjerak inventara. Drugi primerak inventara sa potpisom lica koje je odnelo stvari na čuvanje čuva se u službi obezbeđenja (bezbednosnoj kompaniji).
Stan, auto, ulica, restoran ne mogu biti pouzdani "branitelji" poslovne tajne. Stoga bi trebali poslušati savjete stručnjaka.
Prilikom održavanja poslovnih sastanaka neophodno je zatvoriti prozore i vrata. Poželjno je da izolovana prostorija, poput hodnika, služi kao prostorija za sastanke.
Takmičari, ako žele, mogu lako da slušaju razgovore, sjedeći u susjednim prostorijama, na primjer, u stanu na spratu iznad ili ispod. Vremena kada su obavještajci svih zemalja i naroda bušili rupe u stropovima i zidovima su davno prošla - posebno osjetljivi mikrofoni omogućavaju primanje potrebnih informacija gotovo nesmetano.
Za pregovore je potrebno izabrati prostorije sa izolovanim zidovima, upoznati komšije koji žive na spratu iznad i ispod; saznati da li iznajmljuju svoj stan (sobu) strancima. Vrijedno je pretvoriti susjede u saveznike, ali istovremeno uzeti u obzir da oni mogu igrati dvostruku igru ili se tiho pretvoriti iz dobronamjernika u ucjenjivače.
Aktivnost konkurenata zavisi, pre svega, od ozbiljnosti njihovih namera. Ako je potrebno, uređaji za prisluškivanje ("bube") mogu se ugraditi direktno u stan preduzetnika - i tu neće pomoći ni željezna vrata, ni uvezene brave, ni dobro obučeno osiguranje.
Poslovna osoba treba da zamoli svoje rođake da pozovu kući samo poznate ljude, ako je moguće, da kontrolišu njihovo ponašanje. Tokom prijema gostiju, vrata kućne kancelarije treba da budu zatvorena ključem, a da se deca ne bi zaveli, videorekorder i kompjuter treba da budu na njima pristupačnom mestu. Računar, naravno, treba da bude bez radnih programa i poverljivih informacija.
U slučaju sumnje da je Vaš automobil "opremljen", potrebno je izvršiti operaciju "očistiti auto" prije pregovora u njemu.
Uoči poslovnog sastanka, neko od zaposlenih u kompaniji ili prijatelj preduzetnika, kome potpuno veruje, mora ostaviti automobil na dogovorenom mestu. Nekoliko minuta nakon toga, poslovni čovjek prelazi iz svog automobila u napušteni i, nigdje se ne zaustavljajući, odlazi na pregovore. U tom slučaju ne zaboravite uzeti punomoćje za pravo upravljanja tuđim automobilom!
Tokom pregovora, automobil mora biti u pokretu, a njegovi prozori moraju biti dobro zatvoreni. Na autobuskim stanicama (na primjer, na semaforu) bolje je ne razgovarati o povjerljivim stvarima.
Hajde da analiziramo gdje još poslovna osoba može održati važan poslovni sastanak?
Napolju. Za slušanje razgovora mogu se koristiti dvije vrste mikrofona - visoko usmjereni i ugrađeni. Prvi vam omogućavaju snimanje informacija na udaljenosti do kilometra unutar linije vida. Ugrađeni mikrofoni funkcionišu na isti način kao i radio markeri.
Za efikasnu borbu protiv visoko usmjerenih mikrofona potrebno je stalno se kretati, naglo mijenjati smjer kretanja, koristiti javni prijevoz, organizirati kontranadzor - uz pomoć službe sigurnosti ili unajmljenih agenata privatnih detektivskih firmi.
U restoranu. Statička pozicija vam omogućava da kontrolišete razgovore u zajedničkim restoranskim prostorijama. Zbog toga je za ovakve poslovne sastanke potreban pouzdan glavni konobar. U vreme pogodno za preduzetnika i neočekivano za konkurente, rezervisan je sto ili posebna kancelarija, koja zauzvrat mora biti pod pouzdanom kontrolom službe obezbeđenja kompanije. Pokušaji da se razgovor zagluši zvucima restoranskog orkestra, kao i šumom vode, neučinkoviti su.
U hotelskoj sobi. Rezervacija hotelske sobe za pregovore mora se obaviti diskretno. Nakon početka poslovnog sastanka, osoblje obezbeđenja mora da kontroliše ne samo komšije, već i sve ljude koji žive na spratu iznad i ispod.
Sve gore navedene metode i kontramjere su efikasne pod uslovom da su dezinformacije drugih o vremenu i prirodi planiranih sastanaka (pregovaranja) dobro organizovane. Kada je krug zaposlenih koji su posvećeni kompletnoj listi planiranih događaja što je moguće uži i svako od učesnika u njima zna tačno onoliko koliko je potrebno u pogledu svojih obaveza, onda možete računati na uspeh u svakom poslu.
Zaštita informacionih objekata
Vrste prijetnji informacijskim objektima
Opća klasifikacija prijetnji automatiziranom informacionom sistemu objekta je sljedeća:
Prijetnje povjerljivosti podataka i programa. Implementiraju se u slučaju neovlaštenog pristupa podacima (na primjer, informacijama o stanju računa klijenata banke), programima ili kanalima komunikacije.
Informacije koje se obrađuju na računarima ili se prenose preko lokalnih mreža podataka mogu se ukloniti putem tehničkih kanala curenja. U ovom slučaju se koristi oprema koja analizira elektromagnetno zračenje koje nastaje radom računara.
Takvo pronalaženje informacija je složen tehnički problem i zahtijeva uključivanje kvalifikovanih stručnjaka. Uz pomoć prijemnika, napravljenog na bazi standardnog televizora, moguće je presresti informacije koje se prikazuju na ekranima kompjutera sa udaljenosti od hiljadu i više metara. Određene informacije o radu računarskog sistema dobijaju se čak i kada se proces razmene poruka prati bez pristupa njihovom sadržaju.
Prijetnje integritetu podataka, softvera, hardvera. Integritet podataka i programa se narušava neovlašćenim uništavanjem, dodavanjem nepotrebnih elemenata i modifikacijom evidencije o stanju računa, promenom redosleda podataka, generisanjem falsifikovanih platnih dokumenata kao odgovora na legitimne zahteve, uz aktivno prenošenje poruka sa njihovim kašnjenjem.
Neovlaštena modifikacija sigurnosnih informacija sistema može dovesti do neovlaštenih radnji (netačno usmjeravanje ili gubitak prenesenih podataka) ili izobličenja značenja poslanih poruka. Integritet opreme se narušava kada je oštećena, ukradena ili nezakonito promenjeni algoritmi rada.
Prijetnje dostupnosti podataka. Oni nastaju kada objekat (korisnik ili proces) ne dobije pristup uslugama ili resursima koji su mu zakonski dodijeljeni. Ova prijetnja se ostvaruje oduzimanjem svih resursa, blokiranjem komunikacijskih linija od strane neovlaštenog objekta kao rezultat prijenosa njegovih informacija preko njih ili eliminacijom potrebnih sistemskih informacija.
Ova prijetnja može dovesti do nepouzdanosti ili lošeg kvaliteta usluge u sistemu i samim tim će potencijalno uticati na tačnost i blagovremenost dostave platnih dokumenata.
– Prijetnje odbijanjem izvršenja transakcija. Oni nastaju kada legalni korisnik prenese ili prihvati platna dokumenta, a zatim to odbije kako bi se oslobodio odgovornosti.
Procjena ranjivosti automatizovanog informacionog sistema i izgradnja modela uticaja podrazumeva proučavanje svih opcija za implementaciju navedenih pretnji i identifikovanje posledica do kojih one dovode.
Prijetnje mogu biti uzrokovane:
- prirodni faktori (prirodne nepogode - požar, poplava, uragan, grom i drugi razlozi);
- ljudski faktori koji se dijele na:
pasivne pretnje(prijetnje uzrokovane slučajnim, nenamjernim aktivnostima). To su prijetnje povezane s greškama u pripremi, obradi i prijenosu informacija (naučno-tehnička, komercijalna, monetarna i finansijska dokumentacija); sa neciljanim „odlivom mozgova“, znanjem, informacijama (na primjer, u vezi sa migracijom stanovništva, odlaskom u druge zemlje radi spajanja porodice, itd.);
aktivne prijetnje(prijetnje uzrokovane namjernim, namjernim postupcima ljudi). To su prijetnje povezane sa prenošenjem, iskrivljavanjem i uništavanjem naučnih otkrića, izuma, proizvodnih tajni, novih tehnologija iz plaćeničkih i drugih antisocijalnih razloga (dokumentacija, crteži, opisi otkrića i izuma i drugi materijali); pregled i prenošenje različite dokumentacije, pregledavanje "đubreta"; prisluškivanje i prenošenje službenih i drugih naučnih, tehničkih i komercijalnih razgovora; sa namjernim "odlivom mozgova", znanjem, informacijama (na primjer, u vezi s dobijanjem drugog državljanstva iz sebičnih razloga);
- faktori ljudi-mašina i mašina, podijeljeno na:
pasivne pretnje. To su prijetnje povezane sa greškama u projektovanju, razvoju i proizvodnji sistema i njihovih komponenti (zgrade, strukture, prostorije, računari, komunikacije, operativni sistemi, aplikativni programi, itd.); s greškama u radu opreme zbog nekvalitetne izrade; sa greškama u pripremi i obradi informacija (greške programera i korisnika zbog nedovoljne kvalifikacije i nekvalitetne usluge, greške operatera u pripremi, unosu i izlazu podataka, ispravljanju i obradi informacija);
aktivne prijetnje. To su prijetnje povezane s neovlaštenim pristupom resursima automatiziranog informacionog sistema (uvođenje tehničkih promjena u računarskoj tehnologiji i komunikacionim objektima, povezivanje sa računarskim objektima i komunikacijskim kanalima, krađa različitih vrsta medija: disketa, opisa, ispisa i drugih materijala, pregled ulaznih podataka, ispisa, pregled "smeća"); prijetnje ostvarene beskontaktnom metodom (sakupljanje elektromagnetnog zračenja, presretanje signala indukovanih u strujnim krugovima (provodne komunikacije), vizuelno-optičke metode ekstrakcije informacija, prisluškivanje službenih i naučno-tehničkih razgovora i dr.).
Glavni tipični načini curenja informacija i neovlaštenog pristupa automatizovanim informacionim sistemima, uključujući i putem telekomunikacionih kanala, su sledeći:
presretanje elektronskih emisija;
korištenje uređaja za prisluškivanje (markera);
daljinsko fotografisanje;
presretanje akustične emisije i restauracija teksta na štampaču;
krađa nosača informacija i industrijskog otpada;
čitanje podataka u nizovima drugih korisnika;
čitanje preostalih informacija u sistemskoj memoriji nakon izvršenja ovlaštenih zahtjeva;
kopiranje nosilaca informacija sa prevazilaženjem mjera zaštite;
prerušavanje kao registrovani korisnik;
obmana (prikrivanje sistemskih zahtjeva);
nelegalno priključenje na opremu i komunikacione linije;
zlonamjerno onemogućavanje zaštitnih mehanizama;
korištenje "softverskih zamki".
Mogući kanali namjernog neovlaštenog pristupa informacijama u nedostatku zaštite u automatiziranom informacionom sistemu mogu biti:
standardni kanali pristupa informacijama (korisnički terminali, sredstva za prikazivanje i dokumentovanje informacija, mediji za skladištenje, sredstva za preuzimanje softvera, eksterni komunikacioni kanali) tokom njihovog nezakonitog korišćenja;
tehnološke konzole i kontrole;
unutrašnja instalacija opreme;
komunikacijske linije između hardvera;
kolateralno elektromagnetno zračenje koje nosi informacije;
bočni prijemnici na strujnim krugovima, uzemljenje opreme, pomoćne i vanjske komunikacije smještene u blizini kompjuterskog sistema.
Metode za uticaj pretnji na objekte informacione bezbednosti dele se na informacione, matematičke, fizičke, radio-elektronske i organizacione i pravne.
Metode informisanja uključuju:
kršenje ciljanosti i blagovremenosti razmjene informacija, nezakonito prikupljanje i korištenje informacija;
neovlašćen pristup informacionim resursima;
manipulacija informacijama (dezinformacija, prikrivanje ili iskrivljavanje informacija);
nezakonito kopiranje podataka u informacionim sistemima;
kršenje tehnologije obrade informacija.
Matematičke metode uključuju:
uvođenje kompjuterskih virusa;
Instalacija softverskih i hardverskih ugrađenih uređaja;
uništavanje ili modifikacija podataka u automatizovanim informacionim sistemima.
Fizičke metode uključuju:
uništavanje ili uništavanje objekata za obradu informacija i komunikacije;
uništavanje, uništavanje ili krađa mašine ili drugog originalnog medija za skladištenje;
krađa softverskih ili hardverskih ključeva i sredstava za kriptografsku zaštitu informacija;
uticaj na osoblje;
isporuka "zaraženih" komponenti automatizovanih informacionih sistema.
Elektronske metode su:
presretanje informacija u tehničkim kanalima o njihovom mogućem curenju;
uvođenje elektronskih uređaja za presretanje informacija u tehničkim sredstvima i prostorijama;
presretanje, dešifriranje i nametanje lažnih informacija u mrežama za prijenos podataka i komunikacijskim linijama;
uticaj na sisteme lozinki;
elektronsko ometanje komunikacionih linija i kontrolnih sistema.
Organizacione i pravne metode uključuju:
nepoštovanje zakonskih zahtjeva i kašnjenja u usvajanju neophodnih regulatornih i zakonskih odredbi u oblasti informisanja;
nezakonito ograničavanje pristupa dokumentima koji sadrže informacije važne za građane i organizacije.
Sigurnosne prijetnje softvera. Osiguravanje sigurnosti automatizovanih informacionih sistema zavisi od sigurnosti softvera koji se u njima koristi, a posebno od sledećih vrsta programa:
redovni korisnički programi;
posebni programi dizajnirani da naruše sigurnost sistema;
različiti sistemski uslužni programi i komercijalni aplikativni programi koji se odlikuju visokim profesionalnim nivoom razvoja i, ipak, mogu sadržavati pojedinačne nedostatke koji omogućavaju osvajačima da napadaju sisteme.
Programi mogu uzrokovati probleme dvije vrste: prvo, mogu presresti i modificirati podatke kao rezultat radnji korisnika koji nema pristup tim podacima, i drugo, korištenjem propusta u zaštiti računarskih sistema, mogu ili omogućiti korisnicima pristup sistemu, koji nemaju pravo na to, ili blokirati pristup sistemu legitimnim korisnicima.
Što je viši nivo obučenosti programera, to su implicitnije (čak i za njega) greške koje je napravio, a to je temeljnije i pouzdanije u stanju da sakrije namjerne mehanizme osmišljene da naruše sigurnost sistema.
Cilj napada mogu biti sami programi iz sljedećih razloga:
U savremenom svijetu softver može biti profitabilna roba, posebno za onoga ko prvi replicira softver u komercijalne svrhe i autorsko ga štiti.
Programi takođe mogu postati predmet napada čiji je cilj da se ti programi na neki način modifikuju, što bi omogućilo u budućnosti da se izvrši napad na druge objekte sistema. Ova vrsta napada posebno je često usmjerena na programe koji implementiraju funkcije zaštite sistema.
Pogledajmo nekoliko tipova programa i tehnika koje se najčešće koriste za napad na programe i podatke. Ove tehnike se označavaju jednim terminom - "softverske zamke". To uključuje softverske otvore, trojanske konje, logičke bombe, salami napade, tajne kanale, uskraćivanje usluge i kompjuterske viruse.
Šrafure u programima. Upotreba otvora za prodiranje u program jedan je od jednostavnih i često korištenih metoda narušavanja sigurnosti automatiziranih informacionih sistema.
Luke je sposobnost rada sa ovim softverskim proizvodom, što nije opisano u dokumentaciji za softverski proizvod. Suština korištenja otvora je da kada korisnik izvrši neke radnje koje nisu opisane u dokumentaciji, dobije pristup mogućnostima i podacima koji su mu inače zatvoreni (posebno pristup privilegovanom načinu rada).
Hatchways su najčešće rezultat zaborava programera. Privremeni mehanizam za direktan pristup dijelovima proizvoda, kreiran da olakša proces otklanjanja grešaka i koji se ne uklanja nakon njegovog završetka, može se koristiti kao otvor. Šrafure se mogu formirati i kao rezultat često praktikovane tehnologije razvoja softvera "od vrha do dna": njihova će uloga iz nekog razloga ostati u "stubovima" gotovog proizvoda - grupama naredbi koje imitiraju ili jednostavno označavaju mjesto povezivanje budućih potprograma.
Konačno, još jedan uobičajeni izvor šrafura je takozvani "nedefinisani unos" - unos "besmislenih" informacija, besmislica kao odgovor na sistemske zahtjeve. Reakcija nedovoljno dobro napisanog programa na nedefinisani unos može biti, u najboljem slučaju, nepredvidiva (kada program reaguje drugačije svaki put kada unesete istu pogrešnu komandu); mnogo je gore ako program, kao rezultat istog "nedefinisanog" unosa, izvodi neke radnje koje se ponavljaju - to omogućava potencijalnom uljezu da planira svoje akcije kako bi narušio sigurnost.
Nedefinirani ulaz je privatna implementacija prekida. Odnosno, u opštem slučaju, napadač može namjerno stvoriti neku nestandardnu situaciju u sistemu koja bi mu omogućila da izvrši potrebne radnje. Na primjer, može vještački uzrokovati pad programa koji radi u privilegovanom načinu rada kako bi preuzeo kontrolu dok bi ostao u privilegovanom načinu rada.
Borba protiv mogućnosti prekida u konačnici rezultira potrebom da se u razvoju programa obezbijedi set mehanizama koji čine tzv. Smisao ove zaštite je da garantovano odseče svaku verovatnoću obrade nedefinisanog unosa i svih vrsta nestandardnih situacija (posebno grešaka) i na taj način spreči narušavanje bezbednosti računarskog sistema čak i u slučaju nepravilnog rada sa program.
Dakle, otvor (ili šrafure) može biti prisutan u programu zbog činjenice da programer:
zaboravili da ga uklonite;
namjerno ga ostavio u programu radi testiranja ili za ostatak otklanjanja grešaka;
namjerno ostavio u programu u interesu olakšavanja konačnog sklapanja konačnog softverskog proizvoda;
namjerno ga ostavio u programu kako bi imao skriveno sredstvo za pristup programu nakon što je uključen u konačni proizvod.
Luke je prvi korak za napad na sistem, sposobnost da se prodre u kompjuterski sistem zaobilazeći sigurnosne mehanizme.
Trojanski konji.
Postoje programi koji implementiraju, pored funkcija opisanih u dokumentaciji, i neke druge funkcije koje nisu opisane u dokumentaciji. Takvi programi se nazivaju trojanski konji.
Što su očigledniji rezultati njegovih radnji (na primjer, brisanje datoteka ili promjena njihove zaštite), veća je vjerovatnoća otkrivanja trojanskog konja. Sofisticiraniji trojanski konji mogu prikriti tragove svojih aktivnosti (na primjer, vratiti zaštitu datoteka u prvobitno stanje).
"Logičke bombe".
"Logička bomba" se obično naziva programom ili čak dijelom koda u programu koji implementira funkciju kada se ispuni određeni uvjet. Ovo stanje može biti, na primjer, pojavljivanje određenog datuma ili otkrivanje datoteke s određenim imenom.
Eksplodirajući, logička bomba implementira funkciju koja je neočekivana i, po pravilu, nepoželjna za korisnika (na primjer, briše neke podatke ili uništava neke strukture sistema). "Logička bomba" je jedan od omiljenih načina osvete programerima protiv kompanija koje su ih na neki način otpustile ili uvrijedile.
Salami napad.
Napad salame postao je pošast bankarskih kompjuterskih sistema. U bankarskim sistemima svakodnevno se obavljaju hiljade transakcija vezanih za bezgotovinska plaćanja, prenose iznosa, odbitke itd.
Prilikom obrade faktura koriste se cijele jedinice (rublje, centi), a pri obračunu kamate često se dobivaju razlomci. Obično se vrijednosti koje prelaze pola rublje (centa) zaokružuju na najbližu rublju (cent), a vrijednosti manje od pola rublje (centa) jednostavno se odbacuju. Prilikom napada na "salamu" ove beznačajne vrijednosti se ne brišu, već se postepeno akumuliraju na posebnom računu.
Kao što praksa pokazuje, iznos napravljen bukvalno iz ničega, tokom nekoliko godina rada "lukavog" programa na prosečnoj banci može iznositi hiljade dolara. Salami napade je teško otkriti osim ako napadač ne počne gomilati velike količine novca na jednom računu.
Skriveni kanali.
Tajni kanali su programi koji prenose informacije pojedincima koji, u normalnim uslovima, ne bi trebali primati te informacije.
U onim sistemima u kojima se obrađuju kritične informacije, programer ne bi trebao imati pristup podacima koje program obrađuje nakon početka rada ovog programa.
Moguće je izvući znatnu korist od činjenice posjedovanja neke vlasničke informacije, barem elementarne, prodajom ovih informacija (na primjer, spisak klijenata) konkurentskoj firmi. Dovoljno kvalifikovan programer uvek može pronaći način da prenese informacije na skriveni način; međutim, program dizajniran za kreiranje najbezazlenijih izvještaja može biti malo komplikovaniji nego što zadatak zahtijeva.
Za skriveni prijenos informacija možete uspješno koristiti različite elemente "bezopasnog" formata izvještaja, na primjer, različite dužine redova, praznine između redova, prisustvo ili odsustvo zaglavlja servisa, kontrolirani izlaz beznačajnih cifara u izlaznim vrijednostima, broj razmaka ili drugih znakova na određenim mjestima izvještaja, itd. .d.
Ako uljez ima mogućnost da pristupi računaru dok je program od interesa pokrenut, prenos kritičnih informacija na niz podataka posebno kreiran u RAM-u računara može postati skriveni kanal.
Tajni kanali su najprimenljiviji u situacijama kada uljeza ne zanima ni sadržaj informacija, već, na primer, činjenica njihove dostupnosti (na primer, postojanje bankovnog računa sa određenim brojem).
Uskraćivanje usluge.
Većina sigurnosnih propusta ima za cilj dobivanje pristupa podacima koje sistem inače ne bi dozvolio. Međutim, ništa manje interesantan za osvajače nije pristup kontroli samog kompjuterskog sistema ili promena njegovih kvalitativnih karakteristika, na primer, stavljanje nekog resursa (procesora, ulazno-izlaznog uređaja) u isključivu upotrebu ili izazivanje klinč situacije za nekoliko procesa.
Ovo može biti potrebno kako bi eksplicitno koristili kompjuterski sistem za svoje potrebe (barem za besplatno rješavanje svojih problema), ili jednostavno blokirali sistem, čineći ga nedostupnim drugim korisnicima. Ova vrsta narušavanja sigurnosti sistema naziva se "uskraćivanje usluge" ili "uskraćivanje koristi". Uskraćivanje usluge je izuzetno opasno za sisteme u realnom vremenu - sisteme koji kontrolišu neke tehnološke procese, vrše razne vrste sinhronizacije itd.
Kompjuterski virusi.
Kompjuterski virusi su kvintesencija svih vrsta kršenja sigurnosti. Jedan od najčešćih i omiljenih načina širenja virusa je metoda trojanskog konja. Virusi se od "logičke bombe" razlikuju samo po svojoj sposobnosti da se umnože i osiguraju njihovo lansiranje, tako da se mnogi virusi mogu smatrati posebnim oblikom "logičke bombe".
Da bi napali sistem, virusi aktivno koriste razne vrste "otvora". Virusi mogu implementirati širok spektar prljavih trikova, uključujući napad salame. Osim toga, uspjeh napada jednog tipa često doprinosi smanjenju „imuniteta“ sistema, stvara povoljno okruženje za uspjeh napada drugih vrsta. Osvajači to znaju i aktivno koriste ovu okolnost.
Naravno, gore opisane tehnike prilično su rijetke u svom čistom obliku. Češće nego ne, napad koristi pojedinačne elemente različitih tehnika.
Prijetnje informacijama u kompjuterskim mrežama. Računarske mreže imaju mnoge prednosti u odnosu na skup računara koji rade odvojeno, a među njima se mogu uočiti: podjela sistemskih resursa, povećanje pouzdanosti sistema, raspodjela opterećenja među mrežnim čvorovima i proširivost dodavanjem novih čvorova.
Istovremeno, pri korištenju računarskih mreža javljaju se ozbiljni problemi osiguranja informacione sigurnosti. Mogu se uočiti sljedeće od njih.
Zajedničko dijeljenje resursa.
Dijeljenje velikog broja resursa od strane različitih korisnika mreže, eventualno lociranih na velikoj udaljenosti jedan od drugog, uvelike povećava rizik od neovlaštenog pristupa, jer se to može učiniti lakše i nevidljivije na mreži.
Proširenje zone kontrole.
Administrator ili operater određenog sistema ili podmreže mora pratiti aktivnosti korisnika koji su van njegovog dosega.
Kombinacija različitih softvera i hardvera.
Povezivanje više sistema u mrežu povećava ranjivost čitavog sistema u celini, jer je svaki informacioni sistem konfigurisan da ispuni svoje specifične bezbednosne zahteve, što može biti nekompatibilno sa zahtevima drugih sistema.
Nepoznati parametar.
Laka proširivost mreža ponekad otežava definiranje granica mreže, budući da isti čvor može biti dostupan korisnicima različitih mreža. Štoviše, za mnoge od njih nije uvijek moguće precizno odrediti koliko korisnika ima pristup određenom mrežnom čvoru i tko su oni.
Mnogo tačaka napada.
U mrežama se isti skup podataka ili poruka može prenijeti kroz nekoliko međučvorova, od kojih je svaki potencijalni izvor prijetnje. Osim toga, mnogim modernim mrežama se može pristupiti korištenjem dial-up linija i modema, što uvelike povećava broj mogućih tačaka napada.
Složenost upravljanja i kontrole pristupa sistemu.
Mnogi napadi na mrežu mogu se izvesti bez dobijanja fizičkog pristupa određenom hostu — koristeći mrežu sa udaljenih lokacija.
U ovom slučaju, identifikacija uljeza može biti veoma teška. Osim toga, vrijeme napada može biti prekratko da bi se poduzela adekvatna akcija.
S jedne strane, mreža je jedinstven sistem sa jedinstvenim pravilima za obradu informacija, as druge, skup odvojenih sistema, od kojih svaki ima svoja pravila za obradu informacija. Stoga, uzimajući u obzir dualnost prirode mreže, napad na mrežu može se izvršiti sa dva nivoa: gornjeg i donjeg (moguća je i njihova kombinacija).
U napadu visokog nivoa na mrežu, napadač koristi svojstva mreže da se infiltrira u drugi host i izvrši određene neovlaštene radnje. U napadu niskog nivoa na mrežu, napadač koristi svojstva mrežnih protokola da ugrozi povjerljivost ili integritet pojedinačnih poruka ili toka u cjelini.
Poremećaj protoka poruka može dovesti do curenja informacija, pa čak i gubitka kontrole nad mrežom.
Razlikujte pasivne i aktivne prijetnje niskog nivoa, specifične za mreže.
Pasivne pretnje
(povreda povjerljivosti podataka koji kruže mrežom) je pregled i/ili snimanje podataka koji se prenose komunikacijskim linijama. To uključuje:
gledanje poruke;
analiza rasporeda - napadač može pregledati zaglavlja paketa koji kruže mrežom i na osnovu servisnih informacija sadržanih u njima donijeti zaključke o pošiljaocima i primateljima paketa i uvjetima prijenosa (vrijeme slanja, klasa poruke, kategorija sigurnosti, dužina poruke, obim saobraćaja itd.) .).
Aktivne prijetnje
(povreda integriteta ili dostupnosti resursa i mrežnih komponenti) - neovlašteno korištenje uređaja koji imaju pristup mreži za promjenu pojedinačnih poruka ili toka poruka. To uključuje:
neuspjeh servisa za razmjenu poruka - napadač može uništiti ili odgoditi pojedinačne poruke ili cijeli tok poruka;
"Maskarada" - napadač može dodijeliti tuđi identifikator svom čvoru ili releju i primati ili slati poruke u ime nekog drugog;
uvođenje mrežnih virusa - prijenos tijela virusa preko mreže uz njegovu naknadnu aktivaciju od strane korisnika udaljenog ili lokalnog hosta;
Modifikacija toka poruka - Napadač može selektivno uništiti, modificirati, odgoditi, preurediti i duplirati poruke, kao i umetnuti lažne poruke.
Prijetnje komercijalnim informacijama.
U pogledu informatizacije, posebno su opasne i metode neovlaštenog pristupa povjerljivim informacijama kao što su kopiranje, krivotvorenje, uništavanje.
Kopiranje.
U slučaju neovlašćenog pristupa povjerljivim informacijama, kopiraju se: dokumenti koji sadrže informacije od interesa za napadača; tehnički mediji; informacije obrađene u automatizovanim informacionim sistemima. Koriste se sljedeće metode kopiranja: fotokopiranje, fotokopiranje, termalno kopiranje, fotokopiranje i elektronsko kopiranje.
Lažna.
Krivotvorenje, modifikacija i imitacija su u velikom obimu u konkurentskom okruženju. Napadači krivotvore dokumente o povjerenju koji im omogućavaju da dobiju određene informacije, pisma, fakture, računovodstvene i finansijske dokumente; falsifikovani ključevi, propusnice, lozinke, šifre, itd. U automatizovanim informacionim sistemima, krivotvorenje uključuje, posebno, zlonamerne radnje kao što su falsifikovanje (pretplatnik primalac lažira primljenu poruku, predstavljajući je kao validnu u sopstvenom interesu), prikrivanje ( pretplatnik - pošiljalac se maskira u drugog pretplatnika kako bi primio zaštićene informacije).
Uništenje.
Posebnu opasnost predstavlja uništavanje informacija u automatizovanim bazama podataka i bazama znanja. Informacije na magnetnim medijima se uništavaju pomoću kompaktnih magneta i softvera ("logičke bombe"). Značajno mjesto u krivičnim djelima protiv automatizovanih informacionih sistema zauzimaju sabotaže, eksplozije, uništavanje, onesposobljavanje priključnih kablova, sistema klimatizacije.
Metode i sredstva osiguranja informacione sigurnosti organizacije (firme)
Metode osiguranja zaštite informacija su sljedeće: prepreka, kontrola pristupa, prikrivanje, regulacija, provođenje i podsticanje.
prepreka - metoda fizičkog blokiranja puta napadača do zaštićenih informacija (do opreme, medija za skladištenje itd.).
Kontrole pristupa- način zaštite informacija regulisanjem korišćenja svih resursa automatizovanog informacionog sistema organizacije (firme). Kontrola pristupa uključuje sljedeće sigurnosne karakteristike:
identifikacija korisnika, osoblja i resursa informacionog sistema (dodeljivanje ličnog identifikatora svakom objektu);
autentikacija (autentifikacija) objekta ili subjekta prema identifikatoru koji je on predstavio;
provjera ovlaštenja (provjera usklađenosti dana u sedmici, doba dana, traženih resursa i procedura sa utvrđenim propisima);
dozvola i stvaranje uslova za rad u skladu sa utvrđenim propisima;
registracija (logiranje) poziva na zaštićene resurse;
odgovor (alarm, isključenje, kašnjenje u radu, odbijanje zahtjeva) prilikom pokušaja neovlaštenih radnji.
maskiranje - metoda zaštite informacija u automatizovanom informacionom sistemu putem njihovog kriptografskog zatvaranja.
Regulativa- način zaštite informacija, stvarajući takve uslove za automatizovanu obradu, skladištenje i prenos informacija, u kojima bi se mogućnost neovlašćenog pristupa istima svela na minimum.
prinuda - takav način zaštite informacija, u kojem su korisnici i osoblje sistema prisiljeni da poštuju pravila obrade, prenosa i korišćenja zaštićenih informacija pod prijetnjom materijalne, administrativne ili krivične odgovornosti.
motivacija - način zaštite informacija koji podstiče korisnike i osoblje sistema da ne krše utvrđena pravila poštujući preovlađujuće moralne i etičke standarde.
Navedene metode osiguranja informacione sigurnosti organizacije (firme) se u praksi implementiraju korištenjem različitih mehanizama zaštite, za čije se kreiranje koriste sljedeća osnovna sredstva: fizička, hardverska, softverska, hardversko-softverska, kriptografska, organizaciona, zakonodavne i moralne i etičke.
Fizička zaštita namenjeni su za spoljnu zaštitu teritorije objekata, zaštitu komponenti automatizovanog informacionog sistema preduzeća i realizuju se u vidu autonomnih uređaja i sistema.
Uz tradicionalne mehaničke sisteme sa dominantnim učešćem ljudi, razvijaju se i implementiraju univerzalni automatizovani sistemi elektronske fizičke zaštite namenjeni zaštiti teritorija, čuvanju prostorija, organizovanju kontrole pristupa, organizovanju nadzora; Sistemi za dojavu požara; sistemi za sprečavanje krađe medija.
Elementnu bazu ovakvih sistema čine različiti senzori čije signale obrađuju mikroprocesori, elektronski pametni ključevi, uređaji za određivanje biometrijskih karakteristika osobe itd.
Za organizaciju zaštite opreme koja je deo automatizovanog informacionog sistema preduzeća, i pokretnih medija (flopi diskovi, magnetne trake, ispisi), koriste se:
razne brave (mehaničke, sa kodiranim setom, upravljane mikroprocesorom, radio-upravljane), koje se ugrađuju na ulazna vrata, grilje, sefove, ormare, uređaje i sistemske blokove;
Mikroprekidači za otvaranje ili zatvaranje vrata i prozora;
inercijski senzori, za čije povezivanje možete koristiti rasvjetnu mrežu, telefonske žice i ožičenje televizijskih antena;
specijalne folijske naljepnice koje se lijepe na sve dokumente, uređaje, jedinice i sistemske blokove kako bi se spriječilo njihovo uklanjanje iz prostorije. Prilikom svakog pokušaja da se predmet sa naljepnicom premjesti izvan prostorije, posebna instalacija (analog detektora metalnih predmeta) koja se nalazi u blizini izlaza daje alarm;
specijalni sefovi i metalni ormari za ugradnju pojedinih elemenata automatizovanog informacionog sistema (file server, štampač i sl.) i pokretnih medija.
Za neutralizaciju curenja informacija kroz elektromagnetne kanale koriste se zaštitni i upijajući materijali i proizvodi. pri čemu:
Zaštita radnih prostorija u kojima su ugrađene komponente automatizovanog informacionog sistema vrši se oblaganjem zidova, poda i plafona metalizovanim tapetama, provodljivim emajlom i malterom, žičanom mrežom ili folijom, postavljanjem ograda od provodljive cigle, višeslojnog čelika, aluminijuma ili posebne plastične ploče;
za zaštitu prozora koriste se metalizirane zavjese i staklo s provodljivim slojem;
svi otvori su prekriveni metalnom mrežom spojenom na sabirnicu za uzemljenje ili zidni štit;
granične magnetne zamke se montiraju na ventilacijske kanale kako bi se spriječilo širenje radio valova.
Za zaštitu od hvatanja na električnim krugovima čvorova i blokova automatiziranog informacionog sistema, koristite:
oklopljeni kabel za instalaciju u stalak, unutar jedinice, inter-unit i vanjsku instalaciju;
oklopljeni elastični konektori (konektori), filteri za suzbijanje prenapona;
žice, papučice, prigušnice, kondenzatori i drugi radio i električni proizvodi za ometanje;
razdjelni dielektrični umetci postavljaju se na cijevi za vodu, grijanje, plin i druge metalne cijevi, koji prekidaju elektromagnetno kolo.
Za kontrolu napajanja koriste se elektronički tragači - uređaji koji se ugrađuju na ulazne točke mreže izmjeničnog napona. Ako je kabel za napajanje prekinut, isječen ili izgorio, kodirana poruka pokreće alarm ili aktivira televizijsku kameru za snimanje događaja.
Rendgenski pregled se smatra najefikasnijim za otkrivanje ugrađenih "bugova". Međutim, implementacija ove metode povezana je sa velikim organizacijskim i tehničkim poteškoćama.
Upotreba specijalnih generatora buke za zaštitu od krađe informacija sa računara tako što pokupi njihovo zračenje sa ekrana ima štetan uticaj na ljudski organizam, što dovodi do brzog ćelavosti, gubitka apetita, glavobolje i mučnine. Zbog toga se rijetko koriste u praksi.
Hardverska zaštita - to su različiti elektronski, elektromehanički i drugi uređaji direktno ugrađeni u blokove automatizovanog informacionog sistema ili projektovani kao nezavisni uređaji i povezani sa tim blokovima.
Namenjeni su za unutrašnju zaštitu konstruktivnih elemenata računarskih objekata i sistema: terminala, procesora, periferne opreme, komunikacionih linija itd.
Glavne funkcije hardverske zaštite:
zabrana neovlašćenog internog pristupa pojedinačnim fajlovima ili bazama podataka informacionog sistema, mogućim kao rezultat slučajnih ili namjernih radnji službenog osoblja;
zaštita aktivnih i pasivnih (arhivskih) datoteka i baza podataka povezanih s neodržavanjem ili gašenjem automatiziranog informacijskog sustava;
zaštita integriteta softvera.
Ovi zadaci se realizuju hardverskim sredstvima informacione bezbednosti metodom kontrole pristupa (identifikacija, autentifikacija i verifikacija ovlašćenja subjekata sistema, registracija i odgovor).
Za rad sa posebno vrednim informacijama organizacije (firme), proizvođači računara mogu proizvesti pojedinačne diskove sa jedinstvenim fizičkim karakteristikama koje ne dozvoljavaju čitanje informacija. U ovom slučaju, cijena računala može se povećati nekoliko puta.
Zaštita softvera dizajnirani su za obavljanje logičkih i intelektualnih zaštitnih funkcija i uključeni su ili u softver automatizovanog informacionog sistema, ili u sredstva, komplekse i sisteme upravljačke opreme.
Softver za sigurnost informacija je najčešći tip zaštite, koji ima sljedeća pozitivna svojstva: svestranost, fleksibilnost, lakoću implementacije, mogućnost promjene i razvoja. Ova okolnost ih ujedno čini i najranjivijim elementima zaštite informacionog sistema preduzeća.
Trenutno je kreiran veliki broj operativnih sistema, sistema za upravljanje bazama podataka, mrežnih paketa i aplikativnih softverskih paketa, uključujući razne alate za sigurnost informacija.
Uz pomoć softverskih alata za zaštitu rješavaju se sljedeći zadaci sigurnosti informacija:
kontrola učitavanja i prijavljivanja u sistem korišćenjem ličnih identifikatora (ime, šifra, lozinka, itd.);
razgraničenje i kontrola pristupa subjekata resursima i komponentama sistema, eksternim resursima;
izolacija programa procesa koji se izvode u interesu određenog subjekta od drugih subjekata (obezbeđivanje rada svakog korisnika u pojedinačnom okruženju);
kontrolu tokova povjerljivih informacija kako bi se spriječilo evidentiranje neodgovarajućeg nivoa (pečata) tajnosti na nosiocima podataka;
Zaštita informacija od računalnih virusa;
brisanje preostalih povjerljivih informacija u poljima RAM-a računala koja su otključana nakon što su zahtjevi završeni;
brisanje zaostalih povjerljivih informacija na magnetnim diskovima, izdavanje protokola o rezultatima brisanja;
osiguranje integriteta informacija uvođenjem redundantnosti podataka;
automatska kontrola rada korisnika sistema na osnovu rezultata evidentiranja i izrade izvještaja o podacima upisa u sistemski dnevnik.
Trenutno, brojni operativni sistemi izvorno sadrže ugrađeno blokiranje "ponovne upotrebe". Za druge vrste operativnih sistema postoji mnogo komercijalnih programa, a da ne spominjemo posebne sigurnosne pakete koji implementiraju slične funkcije.
Upotreba redundantnih podataka ima za cilj sprječavanje slučajnih grešaka u podacima i identifikaciju neovlaštenih modifikacija. To može biti upotreba kontrolnih suma, kontrola podataka za par-nepar, kodiranje za ispravljanje grešaka, itd.
Često je praksa da se potpisi važnih sistemskih objekata pohranjuju na nekom zaštićenom mjestu u sistemu. Na primjer, za datoteku, kombinacija sigurnosnog bajta datoteke sa njenim imenom, dužinom i datumom posljednje izmjene može se koristiti kao potpis. Svaki put kada se pristupi datoteci ili u slučaju sumnje, trenutne karakteristike datoteke se upoređuju sa referencom.
Svojstvo koje se može revidirati sistema kontrole pristupa znači da se događaji ili procedure mogu rekonstruisati. Revizije moraju otkriti šta se zapravo dogodilo. Radi se o dokumentovanju procedura koje treba izvršiti, vođenju dnevnika i primjeni jasnih i nedvosmislenih metoda identifikacije i verifikacije.
Treba napomenuti da se problem kontrole pristupa uz osiguranje integriteta resursa pouzdano rješava jedino šifriranjem informacija.
Firmware za zaštitu od neovlaštenog pristupa uključuje mjere za identifikaciju, autentifikaciju i kontrolu pristupa informacionom sistemu.
Identifikacija je dodjela jedinstvenih identifikatora subjektima pristupa.
Ovo uključuje RFID oznake, biometrijske tehnologije, magnetne kartice, univerzalne magnetne ključeve, prijave, itd.
Autentifikacija - provjera da subjekt pristupa pripada prikazanom identifikatoru i potvrda njegove autentičnosti.
Procedure autentifikacije uključuju lozinke, pin kodove, pametne kartice, usb ključeve, digitalne potpise, ključeve sesije, itd. Proceduralni dio sredstava za identifikaciju i autentifikaciju je međusobno povezan i zapravo predstavlja osnovnu osnovu svih softvera i hardvera za obezbjeđivanje informacione sigurnosti, budući da su svi ostali servisi dizajnirani da služe određenim subjektima, ispravno prepoznatim od strane informacionog sistema. Generalno, identifikacija omogućava subjektu da se identifikuje za informacioni sistem, a uz pomoć autentifikacije, informacioni sistem potvrđuje da je subjekt zaista ono za koga se predstavlja. Na osnovu prolaska ove operacije vrši se operacija za omogućavanje pristupa informacionom sistemu. Procedure kontrole pristupa omogućavaju ovlašćenim subjektima da vrše radnje dozvoljene propisima, a informacioni sistem da kontroliše te radnje za ispravnost i tačnost rezultata. Kontrola pristupa omogućava sistemu da sakrije od korisnika podatke kojima oni nemaju pristup.
Sljedeće sredstvo softverske i hardverske zaštite je evidencija informacija i revizija.
Logiranje obuhvata prikupljanje, akumulaciju i skladištenje informacija o događajima, radnjama, rezultatima koji su se desili tokom rada informacionog sistema, pojedinačnih korisnika, procesa i svih softvera i hardvera koji čine informacioni sistem preduzeća.
Kako svaka komponenta informacionog sistema ima unapred određen skup mogućih događaja u skladu sa programiranim klasifikatorima, događaji, radnje i rezultati se dele na:
- vanjski, uzrokovan djelovanjem drugih komponenti,
- unutrašnje, uzrokovano djelovanjem same komponente,
- na strani klijenta, uzrokovano radnjama korisnika i administratora.
Revizija informacija se sastoji u provođenju operativne analize u realnom vremenu ili u datom periodu.
Na osnovu rezultata analize, ili se generiše izveštaj o događajima koji su se desili, ili se pokreće automatski odgovor na vanrednu situaciju.
Implementacijom evidentiranja i revizije rješavaju se sljedeći zadaci:
- držanje korisnika i administratora odgovornim;
- pružanje mogućnosti rekonstrukcije slijeda događaja;
- otkrivanje pokušaja kršenja informacione sigurnosti;
- pružanje informacija za identifikaciju i analizu problema.
Zaštita informacija je često nemoguća bez upotrebe kriptografskih sredstava. Koriste se za osiguranje rada enkripcije, kontrole integriteta i usluga autentikacije, kada sredstva autentifikacije korisnik pohranjuje u šifriranom obliku. Postoje dvije glavne metode šifriranja: simetrična i asimetrična.
Kontrola integriteta vam omogućava da utvrdite autentičnost i identitet objekta, koji je niz podataka, pojedinačni delovi podataka, izvor podataka, a takođe i da obezbedite da je nemoguće označiti radnju koja se izvršava u sistemu nizom informacije. Implementacija kontrole integriteta zasniva se na tehnologijama transformacije podataka korištenjem enkripcije i digitalnih certifikata.
Drugi važan aspekt je upotreba skrininga, tehnologije koja omogućava, ograničavajući pristup subjektima informacionim resursima, kontrolu svih tokova informacija između informacionog sistema preduzeća i eksternih objekata, nizova podataka, subjekata i protivsubjekata. Kontrola toka se sastoji u njihovom filtriranju i, ako je potrebno, pretvaranju prenesenih informacija.
Zadatak zaštite je da zaštiti interne informacije od potencijalno neprijateljskih vanjskih faktora i subjekata. Glavni oblik implementacije zaštite su firewall ili firewall različitih tipova i arhitektura.
Budući da je jedan od znakova informacione sigurnosti dostupnost informacionih resursa, obezbjeđivanje visokog nivoa dostupnosti je važan pravac u implementaciji softverskih i hardverskih mjera. Posebno su podijeljena dva područja: osiguranje tolerancije grešaka, tj. neutraliziranje kvarova sistema, mogućnost rada u slučaju kvarova i osiguranje sigurnog i brzog oporavka od kvarova, tj. servisabilnost sistema.
Osnovni zahtev za informacione sisteme je da uvek rade sa zadatom efikasnošću, minimalnim vremenom nedostupnosti i brzinom reagovanja.
U skladu s tim, dostupnost informacionih resursa obezbjeđuje se:
- korištenje strukturalne arhitekture, što znači da se pojedinačni moduli mogu deaktivirati, ako je potrebno, ili brzo zamijeniti bez oštećenja ostalih elemenata informacionog sistema;
- obezbeđivanje tolerancije grešaka usled: korišćenja autonomnih elemenata prateće infrastrukture, uvođenja viška kapaciteta u konfiguraciju softvera i hardvera, hardverske redundance, replikacije informacionih resursa unutar sistema, backup podataka itd.
- osiguranje upotrebljivosti smanjenjem vremena dijagnoze i otklanjanja kvarova i njihovih posljedica.
Sigurni komunikacijski kanali su još jedna vrsta alata za sigurnost informacija.
Funkcionisanje informacionih sistema je neminovno povezano sa prenosom podataka, stoga je neophodno da preduzeća obezbede zaštitu prenetih informacionih resursa korišćenjem sigurnih komunikacionih kanala. Mogućnost neovlaštenog pristupa podacima prilikom prenosa saobraćaja otvorenim komunikacijskim kanalima je zbog njihove javne dostupnosti. Budući da se "komunikacije cijelom dužinom ne mogu fizički zaštititi, stoga je bolje u početku poći od pretpostavke njihove ranjivosti i, shodno tome, pružiti zaštitu." Za to se koriste tehnologije tuneliranja čija je suština inkapsulacija podataka, tj. zapakuju ili umotaju prenete pakete podataka, uključujući sve atribute usluge, u sopstvene koverte. Prema tome, tunel je sigurna veza kroz otvorene komunikacione kanale preko kojih se prenose kriptografski zaštićeni paketi podataka. Tuneliranje se koristi da bi se osigurala povjerljivost saobraćaja skrivanjem servisnih informacija i osiguravanjem povjerljivosti i integriteta prenesenih podataka kada se koristi zajedno sa kriptografskim elementima informacionog sistema. Kombinacija tuneliranja i enkripcije omogućava implementaciju VPN-a. U ovom slučaju, krajnje tačke tunela koji implementiraju virtuelne privatne mreže su zaštitni zidovi koji služe za povezivanje organizacija sa eksternim mrežama.
Vatrozidovi kao tačke implementacije usluge virtuelnog privatnog umrežavanja
Dakle, tuneliranje i enkripcija su dodatne transformacije koje se izvode u procesu filtriranja mrežnog saobraćaja uz translaciju adresa. Krajevi tunela, pored korporativnih firewall-a, mogu biti lični i mobilni računari zaposlenih, tačnije, njihovi lični firewall i firewall. Ovakav pristup osigurava funkcioniranje sigurnih komunikacijskih kanala.
Procedure sigurnosti informacija
Procedure informacione sigurnosti se obično razlikuju na administrativnom i organizacionom nivou.
- Administrativni postupci obuhvataju opšte radnje koje rukovodstvo organizacije preduzima za regulisanje svih poslova, radnji, poslova u oblasti obezbeđivanja i održavanja informacione bezbednosti, koje se sprovode izdvajanjem potrebnih resursa i praćenjem efektivnosti preduzetih mera.
- Organizacioni nivo predstavlja procedure za obezbeđivanje informacione bezbednosti, uključujući upravljanje osobljem, fizičku zaštitu, održavanje operativnosti hardverske i softverske infrastrukture, promptno otklanjanje narušavanja bezbednosti i planiranje radova na oporavku.
S druge strane, diferencijacija administrativnih i organizacionih postupaka je besmislena, jer procedure jednog nivoa ne mogu postojati odvojeno od drugog, čime se narušava međupovezanost zaštite fizičkog nivoa, lične i organizacione zaštite u konceptu informacione bezbednosti. U praksi, uz osiguranje informacione sigurnosti organizacije, ne zanemaruju se administrativne ili organizacione procedure, pa ih je logičnije posmatrati kao integrisani pristup, jer oba nivoa utiču na fizički, organizacioni i lični nivo zaštite informacija.
Osnova za složene procedure za osiguranje informacione sigurnosti je sigurnosna politika.
Politika sigurnosti informacija
Politika sigurnosti informacija u organizaciji, to je skup dokumentovanih odluka koje donosi menadžment organizacije i koje imaju za cilj zaštitu informacija i povezanih resursa.
U organizacionom i upravljačkom smislu, politika sigurnosti informacija može biti jedan dokument ili sastavljena u obliku više nezavisnih dokumenata ili naloga, ali u svakom slučaju treba da obuhvati sljedeće aspekte zaštite informacionog sistema organizacije:
- zaštita objekata informacionog sistema, informacionih resursa i neposrednog poslovanja sa njima;
- zaštita svih operacija vezanih za obradu informacija u sistemu, uključujući softver za obradu;
- zaštita komunikacijskih kanala, uključujući žičane, radio, infracrvene, hardverske itd.;
- zaštita hardverskog kompleksa od kolateralnog elektromagnetnog zračenja;
- upravljanje sigurnošću, uključujući održavanje, nadogradnje i administrativne radnje.
Svaki od aspekata treba detaljno opisati i dokumentovati u internim dokumentima organizacije. Interni dokumenti pokrivaju tri nivoa procesa zaštite: gornji, srednji i donji.
Dokumenti o politici bezbednosti informacija visokog nivoa odražavaju glavni pristup organizacije zaštiti sopstvenih informacija i usklađenosti sa nacionalnim i/ili međunarodnim standardima. U praksi, organizacija ima samo jedan dokument najvišeg nivoa pod nazivom „Koncept sigurnosti informacija“, „Propisi o sigurnosti informacija“ itd. Formalno, ovi dokumenti nemaju povjerljivu vrijednost, njihova distribucija nije ograničena, ali se mogu izdati u izdanju za internu upotrebu i javno objavljivanje.
Dokumenti srednjeg nivoa su strogo povjerljivi i odnose se na specifične aspekte informacione sigurnosti organizacije: korištene alate za sigurnost informacija, sigurnost baze podataka, komunikacije, kriptografske alate i druge informacije i ekonomske procese organizacije. Dokumentacija je implementirana u obliku internih tehničkih i organizacionih standarda.
Dokumenti nižeg nivoa dijele se na dvije vrste: pravilnik o radu i uputstvo za upotrebu. Pravilnik o radu je strogo povjerljiv i namijenjen je samo licima koja na dužnosti obavljaju poslove na administraciji pojedinačnih službi zaštite informacija. Uputstva za rad mogu biti povjerljiva ili javna; namijenjeni su osoblju organizacije i opisuju proceduru rada sa pojedinim elementima informacionog sistema organizacije.
Svetsko iskustvo pokazuje da je politika informacione bezbednosti uvek dokumentovana samo u velikim kompanijama koje imaju razvijen informacioni sistem koji nameću povećane zahteve za bezbednost informacija, srednja preduzeća najčešće imaju samo delimično dokumentovanu politiku informacione bezbednosti, male organizacije u ogromnoj većini imaju nije briga za dokumentovanje sigurnosne politike. Bez obzira na to da li je format dokumentovanja holistički ili distribuiran, sigurnosni način je osnovni aspekt.
Postoje dva različita pristupa koja čine osnovu politika sigurnosti informacija:
- "Sve što nije zabranjeno je dozvoljeno."
- "Zabranjeno je sve što nije dozvoljeno."
Osnovni nedostatak prvog pristupa je da je u praksi nemoguće predvidjeti sve opasne slučajeve i zabraniti ih. Nema sumnje da treba koristiti samo drugi pristup.
Organizacioni nivo informacione sigurnosti
Sa stanovišta zaštite informacija, organizacione procedure za osiguranje informacione sigurnosti predstavljene su kao „regulisanje proizvodnih aktivnosti i odnosa izvođača na pravnom osnovu koji isključuje ili značajno otežava nezakonito sticanje poverljivih informacija i ispoljavanje unutrašnjih i spoljne pretnje."
Mjere upravljanja kadrovima koje imaju za cilj organizovanje rada sa osobljem u cilju obezbjeđivanja informacione sigurnosti uključuju razdvajanje dužnosti i minimiziranje privilegija. Podjela dužnosti propisuje raspodjelu nadležnosti i područja odgovornosti u kojoj jedna osoba nije u mogućnosti da poremeti kritičan proces za organizaciju. Ovo smanjuje vjerovatnoću greške i zloupotrebe. Minimizacija privilegija propisuje da se korisnicima daje samo onaj nivo pristupa koji odgovara potrebi obavljanja službene dužnosti. Ovo smanjuje štetu od slučajnog ili namjernog lošeg ponašanja.
Fizička zaštita podrazumeva razvoj i donošenje mera za neposrednu zaštitu objekata u kojima se nalaze informacioni resursi organizacije, okolnih teritorija, elemenata infrastrukture, računara, nosača podataka i hardverskih komunikacionih kanala. Ovo uključuje fizičku kontrolu pristupa, zaštitu od požara, zaštitu prateće infrastrukture, zaštitu od prisluškivanja podataka i zaštitu mobilnih sistema.
Održavanje operativnosti softverske i hardverske infrastrukture sastoji se u sprečavanju stohastičkih grešaka koje prijete oštećenjem hardverskog kompleksa, kvara programa i gubitka podataka. Glavni pravci u ovom aspektu su pružanje korisničke i softverske podrške, upravljanje konfiguracijom, backup, upravljanje medijima, dokumentacijom i preventivnim radom.
Brzo otklanjanje sigurnosnih prekršaja ima tri glavna cilja:
- Lokalizacija incidenta i smanjenje pričinjene štete;
- Identifikacija počinioca;
- Sprečavanje ponovljenih kršenja.
Konačno, planiranje sanacije vam omogućava da se pripremite za nesreće, smanjite štetu od njih i održite sposobnost funkcioniranja barem na minimum.
Korišćenje softvera i hardvera i sigurnih komunikacionih kanala treba da se implementira u organizaciji na osnovu integrisanog pristupa razvoju i odobravanju svih administrativnih i organizacionih regulatornih procedura za obezbeđivanje informacione bezbednosti. Inače, donošenje određenih mjera ne garantuje zaštitu informacija, a često, naprotiv, izaziva curenje povjerljivih informacija, gubitak kritičnih podataka, oštećenje hardverske infrastrukture i narušavanje softverskih komponenti informacionog sistema organizacije.
Metode sigurnosti informacija
Za savremena preduzeća karakterističan je distribuirani informacioni sistem koji omogućava uzimanje u obzir raspoređenih kancelarija i skladišta kompanije, finansijsko računovodstvo i kontrolu upravljanja, informacije iz baze klijenata, uzimajući u obzir uzorak po indikatorima i tako dalje. Dakle, skup podataka je veoma značajan, a u ogromnoj većini su to informacije koje su od prioritetnog značaja za kompaniju u komercijalnom i ekonomskom smislu. Naime, osiguranje povjerljivosti podataka komercijalne vrijednosti jedan je od glavnih zadataka osiguranja informacione sigurnosti u kompaniji.
Osiguravanje sigurnosti informacija u preduzeću treba da bude regulisana sledećim dokumentima:
- Propisi o sigurnosti informacija. Uključuje formulisanje ciljeva i zadataka za osiguranje informacione bezbednosti, listu internih propisa o alatima za bezbednost informacija i pravilnik o upravljanju distribuiranim informacionim sistemom kompanije. Pristup propisima ograničen je na rukovodstvo organizacije i šefa odjeljenja za automatizaciju.
- Propisi za tehničku podršku zaštite informacija. Dokumenti su povjerljivi, pristup je ograničen na zaposlenike odjela za automatizaciju i više rukovodstvo.
- Propisi za administraciju distribuiranog informacionog sistema. Pristup propisima ograničen je na zaposlene u odeljenju za automatizaciju odgovorne za administraciju informacionog sistema i na viši menadžment.
Istovremeno, ove dokumente ne treba ograničavati, već treba razraditi niže nivoe. U suprotnom, ako preduzeće nema druge dokumente koji se odnose na informacionu sigurnost, onda će to ukazivati na nedovoljan stepen administrativne podrške za informacionu bezbednost, budući da ne postoje dokumenti nižeg nivoa, posebno uputstva za rad pojedinih elemenata sistema. informacioni sistem.
Obavezne organizacione procedure uključuju:
- osnovne mjere za diferenciranje osoblja prema stepenu pristupa informacijskim resursima,
- fizička zaštita ureda kompanije od direktnog prodora i prijetnji uništenja, gubitka ili presretanja podataka,
- održavanje operativnosti hardverske i softverske infrastrukture organizovano je u vidu automatizovanog backup-a, daljinske verifikacije medija za skladištenje podataka, pruža se korisnička i softverska podrška na zahtev.
Ovo bi takođe trebalo da uključuje regulisane mere za reagovanje i eliminisanje slučajeva kršenja bezbednosti informacija.
U praksi se često uočava da preduzeća ne posvećuju dovoljno pažnje ovom pitanju. Sve radnje u ovom pravcu provode se isključivo u ispravnom stanju, što povećava vrijeme za otklanjanje slučajeva kršenja i ne garantuje sprečavanje ponovljenih kršenja informacione sigurnosti. Osim toga, potpuno je izostala praksa planiranja akcija za otklanjanje posljedica nesreća, curenja informacija, gubitka podataka i kritičnih situacija. Sve to značajno pogoršava informacionu sigurnost preduzeća.
Na nivou softvera i hardvera treba implementirati trostepeni sistem informacione sigurnosti.
Minimalni kriterijumi za osiguranje informacione sigurnosti:
1. Modul kontrole pristupa:
- implementiran je zatvoren ulaz u informacioni sistem, nemoguće je ući u sistem van verifikovanih radnih mesta;
- implementiran pristup sa ograničenom funkcionalnošću sa mobilnih personalnih računara za zaposlene;
- autorizacija se vrši korištenjem prijava i lozinki koje generiraju administratori.
2. Modul za enkripciju i kontrolu integriteta:
- koristi se asimetrična metoda šifriranja za prenesene podatke;
- nizovi kritičnih podataka pohranjeni su u bazama podataka u šifriranom obliku, što im ne dozvoljava pristup čak i ako je informacioni sistem kompanije hakovan;
- kontrola integriteta je obezbeđena jednostavnim digitalnim potpisom svih informacionih resursa koji se čuvaju, obrađuju ili prenose u okviru informacionog sistema.
3. Modul za zaštitu:
- implementiran je sistem filtera u zaštitnim zidovima koji vam omogućava kontrolu svih tokova informacija kroz komunikacijske kanale;
- eksterne veze sa globalnim informacionim resursima i javnim komunikacionim kanalima mogu se ostvariti samo preko ograničenog skupa verifikovanih radnih stanica koje imaju ograničenu vezu sa korporativnim informacionim sistemom;
- bezbedan pristup sa radnih mesta zaposlenih za obavljanje službenih dužnosti realizuje se kroz dvoslojni sistem proxy servera.
Konačno, s tehnologijama tuneliranja, preduzeće mora implementirati VPN u skladu sa tipičnim modelom dizajna kako bi obezbijedio sigurne komunikacijske kanale između različitih odjela kompanije, partnera i kupaca kompanije.
Uprkos činjenici da se komunikacije direktno odvijaju preko mreža s potencijalno niskim nivoom povjerenja, tehnologije tuneliranja, koristeći kriptografske alate, mogu osigurati pouzdanu zaštitu svih prenesenih podataka.
zaključci
Osnovni cilj svih mera koje se preduzimaju u oblasti informacione bezbednosti je zaštita interesa preduzeća, na ovaj ili onaj način u vezi sa informacionim resursima kojima raspolaže. Iako interesi preduzeća nisu ograničeni na određeno područje, svi se oni fokusiraju na dostupnost, integritet i povjerljivost informacija.
Problem osiguranja informacione sigurnosti objašnjava se sa dva glavna razloga.
- Informacioni resursi koje preduzeće akumulira su dragoceni.
- Kritična zavisnost od informacionih tehnologija određuje njihovu široku upotrebu.
Uzimajući u obzir širok spektar postojećih pretnji po bezbednost informacija, kao što su uništavanje važnih informacija, neovlašćeno korišćenje poverljivih podataka, prekidi u radu preduzeća usled poremećaja u radu informacionog sistema, možemo zaključiti da je sve ovo objektivno dovodi do velikih materijalnih gubitaka.
U osiguranju informacione sigurnosti značajnu ulogu imaju softverski i hardverski alati koji imaju za cilj kontrolu nad računarskim entitetima, tj. oprema, softverski elementi, podaci, koji čine posljednju i najprioritetniju liniju informacione sigurnosti. Prijenos podataka također mora biti siguran u kontekstu održavanja njegove povjerljivosti, integriteta i dostupnosti. Stoga se u savremenim uslovima koriste tehnologije tuneliranja u kombinaciji sa kriptografskim sredstvima za obezbeđivanje sigurnih komunikacijskih kanala.
Književnost
- Galatenko V.A. Standardi sigurnosti informacija. - M.: Internet univerzitet informacionih tehnologija, 2006.
- Partyka T.L., Popov I.I. Sigurnost informacija. - M.: Forum, 2012.
Napomena: Na predavanju se razmatraju osnovni koncepti informacione sigurnosti. Upoznavanje sa Federalnim zakonom "O informacijama, informacionim tehnologijama i zaštiti informacija".
GOST " Zaštita podataka... Osnovni pojmovi i definicije „uvodi pojam sigurnost informacija kao stanje informacione sigurnosti u kojem se ona pruža povjerljivost, dostupnost i integritet.
- Povjerljivost- stanje informacija u kojem pristup njima imaju samo subjekti koji na njih imaju pravo.
- Integritet- stanje informacije u kojem nema nikakve promjene u njoj, ili je promjena izvršena samo namjerno od strane subjekata koji na nju imaju pravo;
- Dostupnost- stanje informacija u kojem ga subjekti koji imaju pravo pristupa mogu nesmetano koristiti.
Prijetnje sigurnosti informacija- skup uslova i faktora koji stvaraju potencijalnu ili stvarnu opasnost od narušavanja sigurnosti informacija [,]. Napadom naziva se pokušajem sprovođenja prijetnje, a onaj ko učini takav pokušaj - uljez... Pozivaju se potencijalni uljezi izvore prijetnje.
Prijetnja je posljedica prisustva ranjivosti ili ranjivosti u informacionom sistemu. Ranjivosti mogu nastati iz različitih razloga, na primjer, kao rezultat nenamjernih grešaka programera prilikom pisanja programa.
Prijetnje se mogu klasificirati prema nekoliko kriterija:
- on svojstva informacija(dostupnost, integritet, povjerljivost) protiv kojih su prijetnje prvenstveno usmjerene;
- od strane komponenti informacionih sistema koji su na meti pretnji (podaci, programi, hardver, prateća infrastruktura);
- po načinu implementacije (slučajno / namjerno, radnje prirodne / umjetne prirode);
- prema lokaciji izvora prijetnji (unutar / izvan razmatranog IS-a).
Osiguravanje sigurnosti informacija je složen zadatak koji zahtijeva Kompleksan pristup... Razlikuju se sljedeći nivoi zaštite informacija:
- zakonodavni - zakoni, propisi i drugi dokumenti Ruske Federacije i međunarodne zajednice;
- administrativni - skup mjera koje lokalno poduzima menadžment organizacije;
- proceduralni nivo - mjere sigurnosti koje sprovode ljudi;
- softverski i hardverski nivo- direktno sredstvo zaštite informacija.
Zakonodavni nivo je osnova za izgradnju sistema zaštite informacija, jer daje osnovne koncepte predmetna oblast i određuje kaznu za potencijalne uljeze. Ovaj nivo igra ulogu koordinacije i usmjeravanja i pomaže u održavanju negativnog (i kaznenog) stava u društvu prema ljudima koji krše informacijsku sigurnost.
1.2. Savezni zakon "o informacijama, informacionim tehnologijama i zaštiti informacija"
U ruskom zakonodavstvu, osnovni zakon u oblasti zaštite informacija je Federalni zakon "O informacijama, informacionim tehnologijama i zaštiti informacija" od 27. jula 2006. godine, br. 149-FZ. Dakle, osnovni koncepti i rješenja sadržani u zakonu zahtijevaju pažljivo razmatranje.
Zakonom se uređuju odnosi koji proizlaze iz:
- ostvarivanje prava na pretraživanje, primanje, prenos, proizvodnju i širenje informacija;
- primjena informacionih tehnologija;
- osiguravanje zaštite informacija.
Zakon daje osnovne definicije u oblasti zaštite informacija. Evo nekih od njih:
- informacije- informacije (poruke, podaci) bez obzira na oblik njihovog predstavljanja;
- informacione tehnologije- procesi, metode pretraživanja, prikupljanja, skladištenja, obrade, pružanja, širenja informacija i načini implementacije tih procesa i metoda;
- Informacioni sistem- skup informacija sadržanih u bazama podataka i informacionih tehnologija i tehničkih sredstava koja obezbjeđuju njihovu obradu;
- nosilac informacija- lice koje je samostalno kreiralo informacije ili dobilo, na osnovu zakona ili sporazuma, pravo da ovlasti ili ograniči pristup informacijama utvrđenim kriterijumima;
- operater informacionog sistema- građanin ili pravno lice koje upravlja informacionim sistemom, uključujući i obradu informacija sadržanih u njegovim bazama podataka.
- povjerljivost informacija- obavezan uslov da lice koje ima pristup određenim informacijama ne prenosi te informacije trećim licima bez saglasnosti njihovog vlasnika.
Članom 4. Zakona formulisana su načela pravnog uređenja odnosa u oblasti informacija, informacionih tehnologija i zaštite informacija:
- sloboda pretraživanja, primanja, prenosa, proizvodnje i širenja informacija na bilo koji legalan način;
- uspostavljanje ograničenja pristupa informacijama samo saveznim zakonima;
- otvorenost informacija o radu državnih organa i organa lokalne samouprave i slobodan pristup tim informacijama, osim u slučajevima utvrđenim saveznim zakonima;
- ravnopravnost jezika naroda Ruske Federacije u stvaranju informacionih sistema i njihovom radu;
- osiguranje sigurnosti Ruske Federacije tokom stvaranja informacionih sistema, njihovog rada i zaštite informacija koje sadrže;
- pouzdanost informacija i blagovremenost njihovog dostavljanja;
- nepovredivost privatnog života, nedozvoljenost prikupljanja, čuvanja, korišćenja i širenja informacija o privatnom životu lica bez njegovog pristanka;
- nedopustivost utvrđivanja regulatornim pravnim aktima bilo kakvih prednosti korišćenja jednih informacionih tehnologija u odnosu na druge, osim ako saveznim zakonima nije utvrđena obavezna upotreba određenih informacionih tehnologija za stvaranje i rad državnih informacionih sistema.
Sve informacije su podijeljene na javno dostupan i ograničeno pristup... Javno dostupne informacije obuhvataju opšte poznate informacije i druge informacije kojima pristup nije ograničen. Zakon definiše informacije koje se ne mogu ograničiti, kao što su informacije o životnoj sredini ili aktivnostima državnih organa. Takođe je propisano da Ograničenje pristupa informisanje se utvrđuje saveznim zakonima radi zaštite temelja ustavnog poretka, morala, zdravlja, prava i legitimnih interesa drugih, obezbjeđivanja odbrane zemlje i državne bezbjednosti. Obavezno je poštivati povjerljivost informacija, pristup kojima je ograničen saveznim zakonima.
Zabranjeno je zahtijevati od građanina (pojedinca) da daje podatke o svom privatnom životu, uključujući podatke koji predstavljaju ličnu ili porodičnu tajnu, te primanje tih informacija protiv volje građanina (pojedinca), osim ako saveznim zakonima nije drugačije određeno.
- informacije koje se slobodno distribuiraju;
- informacije date po dogovoru lica koja učestvuju u relevantnom odnosu;
- informacije koje, u skladu sa saveznim zakonima, podležu pružanju ili distribuciji;
- informacije čija je distribucija u Ruskoj Federaciji ograničena ili zabranjena.
Zakonom je utvrđena ekvivalentnost elektronske poruke potpisane elektronskim digitalnim potpisom ili drugog analoga vlastitog potpisa i dokumenta potpisanog svojeručnim potpisom.
Daje se sljedeća definicija zaštite informacija - to je donošenje pravnih, organizacionih i tehničkih mjera koje imaju za cilj:
- obezbjeđivanje zaštite informacija od neovlaštenog pristupa, uništavanja, modifikacije, blokiranja, kopiranja, pružanja, distribucije, kao i od drugih nezakonitih radnji u vezi sa tim informacijama;
- poštovanje povjerljivosti informacija ograničenog pristupa;
- ostvarivanje prava na pristup informacijama.
Vlasnik informacija, operater informacionog sistema u slučajevima utvrđenim zakonodavstvom Ruske Federacije, dužan je osigurati:
- sprečavanje neovlašćenog pristupa informacijama i (ili) njihovog prenošenja licima koja nemaju pravo pristupa informacijama;
- blagovremeno otkrivanje činjenica neovlaštenog pristupa informacijama;
- sprječavanje mogućnosti nastanka štetnih posljedica kršenja procedure pristupa informacijama;
- sprečavanje uticaja na tehnička sredstva obrade informacija, usled čega se narušava njihovo funkcionisanje;
- mogućnost trenutnog povrata informacija izmijenjenih ili uništenih zbog neovlaštenog pristupa njima;
- stalna kontrola obezbjeđenja nivoa informacione sigurnosti.
Dakle, Federalni zakon "O informacijama, informacionim tehnologijama i zaštiti informacija" stvara pravni osnov za razmjenu informacija u Ruskoj Federaciji i definira prava i obaveze njenih subjekata.
Sigurnost informacija, kao i zaštita informacija, složen je zadatak koji ima za cilj obezbjeđivanje sigurnosti, a realizuje se implementacijom sigurnosnog sistema. Problem zaštite informacija je višestruk i složen i obuhvata niz važnih zadataka. Problemi informacione sigurnosti stalno se pogoršavaju prodorom tehničkih sredstava za obradu i prenos podataka u sve sfere društva, a prije svega u kompjuterske sisteme.
Do danas su formulisana tri osnovna principa koji bi trebalo da obezbede sigurnost informacija:
integritet podataka - zaštita od kvarova koji dovode do gubitka informacija, kao i zaštita od neovlašćenog stvaranja ili uništavanja podataka;
povjerljivost informacija;
U razvoju računarskih sistema, čiji kvar ili greške u radu mogu dovesti do ozbiljnih posledica, pitanja računarske bezbednosti postaju prioritet. Poznate su mnoge mjere koje imaju za cilj osiguranje računarske sigurnosti, a glavne su tehničke, organizacione i pravne.
Osiguravanje sigurnosti informacija je skupo, ne samo zbog cijene kupovine ili instaliranja sigurnosnih mjera, već i zbog toga što je teško vješto definirati granice razumne sigurnosti i osigurati da se sistem održava i radi u skladu s tim.
Sigurnosne funkcije možda neće biti dizajnirane, kupljene ili instalirane dok se ne izvrši odgovarajuća analiza.
Sajt analizira informacionu bezbednost i njeno mesto u sistemu nacionalne bezbednosti, identifikuje vitalne interese u informacionoj sferi i pretnje po njih. Razmatraju se pitanja informacionog rata, informaciono oružje, principi, glavni zadaci i funkcije obezbjeđenja informacione bezbjednosti, funkcije državnog sistema za osiguranje informacione bezbjednosti, domaći i strani standardi u oblasti informacione bezbjednosti. Značajna pažnja se poklanja i pravnim pitanjima sigurnosti informacija.
Takođe se razmatraju opšta pitanja zaštite informacija u sistemima automatizovane obrade podataka (ASOD), predmet i objekti zaštite informacija, zadaci zaštite informacija u ASOD-u. Razmatraju se vrste namjernih sigurnosnih prijetnji i metode zaštite informacija u ASOD-u. Razmatraju se metode i sredstva autentifikacije korisnika i diferencijacije njihovog pristupa kompjuterskim resursima, kontrola pristupa opremi, upotreba jednostavnih i dinamički promenljivih lozinki, metode modifikacije jednostavnih šema lozinki, funkcionalne metode.
Osnovni principi izgradnje sistema informacione bezbednosti.
Prilikom izgradnje sistema informacione sigurnosti za objekat treba se voditi sljedećim principima:
Kontinuitet procesa unapređenja i razvoja sistema informacione bezbednosti, koji se sastoji u opravdavanju i primeni najracionalnijih metoda, metoda i načina zaštite informacija, kontinuiranom praćenju, identifikovanju uskih grla i slabosti i potencijalnih kanala curenja informacija i neovlašćenog pristupa.
Sveobuhvatno korištenje cjelokupnog arsenala raspoloživih sredstava zaštite u svim fazama proizvodnje i obrade informacija. Istovremeno, svi korišteni alati, metode i mjere objedinjeni su u jedinstven, holistički mehanizam – sistem informacione sigurnosti.
Praćenje funkcionisanja, ažuriranje i dopuna zaštitnih mehanizama u zavisnosti od promena mogućih unutrašnjih i eksternih pretnji.
Korisnici su adekvatno obučeni i poštuju sve ustanovljene prakse privatnosti. Bez ispunjavanja ovog zahtjeva, nijedan sistem informacione sigurnosti ne može pružiti potreban nivo zaštite.
Najvažniji uslov za obezbjeđivanje sigurnosti je zakonitost, dovoljnost, održavanje ravnoteže interesa pojedinca i preduzeća, međusobna odgovornost osoblja i menadžmenta, interakcija sa državnim organima za provođenje zakona.
10) Faze izgradnje informacione sigurnosti
Faze izgradnje.
1. Sveobuhvatna analiza informacionog sistema
preduzeća na različitim nivoima. Analiza rizika.
2. Razvoj organizacionih i administrativnih i
regulatorni dokumenti.
3. Obuka, stručno usavršavanje i
prekvalifikacija specijalista.
4. Godišnja ponovna procjena stanja informacija
sigurnost preduzeća
11) Firewall
Zaštitni zidovi i antivirusni paketi.
Zaštitni zid (koji se ponekad naziva i zaštitni zid) pomaže u poboljšanju sigurnosti vašeg računara. Ograničava informacije koje ulaze u vaš računar sa drugih računara, omogućavajući vam bolju kontrolu podataka na vašem računaru i pružajući liniju odbrane vašeg računara od ljudi ili programa (uključujući viruse i crve) koji se neovlašćeno pokušavaju povezati sa vašim računarom. Zamislite firewall kao granični stup koji pregleda informacije (koji se često nazivaju prometom) koje dolaze sa Interneta ili LAN-a. Tokom ove provjere, zaštitni zid odbija ili dozvoljava informacije računaru prema navedenim parametrima.
Od čega štiti zaštitni zid?
Firewall MOŽE:
1. Blokirajte kompjuterske viruse i "crve" da pristupe računaru.
2. Zamolite korisnika da odabere da li će blokirati ili dozvoliti određene zahtjeve za povezivanje.
3. Voditi evidenciju (sigurnosni dnevnik) - na zahtjev korisnika - evidentirati dozvoljene i blokirane pokušaje povezivanja na računar.
Od čega firewall ne štiti?
On ne može:
1. Otkrijte ili neutralizirajte kompjuterske viruse i "crve" ako su već ušli u računar.
3. Blokirajte neželjenu poštu ili neovlaštene e-mailove da dođu u vašu pristiglu poštu.
HARDVERSKI I SOFTVERSKI ZAŠTITNI ZIDOVI
Hardverski zaštitni zidovi- pojedinačni uređaji koji su veoma brzi, pouzdani, ali veoma skupi, pa se najčešće koriste samo za zaštitu velikih računarskih mreža. Za kućne korisnike optimalni su firewall ugrađeni u rutere, prekidače, bežične pristupne tačke itd. Kombinovani ruter-firewall pružaju dvostruku zaštitu od napada.
Softverski zaštitni zid je sigurnosni program. U principu, sličan je hardverskom zaštitnom zidu, ali je lakši za korisnika: ima više gotovih postavki i često ima čarobnjake koji vam pomažu u postavljanju. Uz njegovu pomoć, drugim programima možete dozvoliti ili zabraniti pristup Internetu.
Antivirusni program (antivirus)- bilo koji program za otkrivanje kompjuterskih virusa, kao i neželjenih (koji se smatraju zlonamjernim) programa općenito i vraćanje datoteka koje su zaražene (modificirane) tim programima, kao i za profilaksu - sprječavanje infekcije (modifikacije) datoteka ili operativnog sistema zlonamjernim kodom .
12) Klasifikacija računarskih sistema
U zavisnosti od teritorijalne lokacije pretplatničkih sistema
Računarske mreže se mogu podijeliti u tri glavne klase:
globalne mreže (WAN - Wide Area Network);
regionalne mreže (MAN - Metropolitan Area Network);
Lokalne mreže (LAN - Local Area Network).
Osnovne LAN topologije
LAN topologija je geometrijski dijagram veza mrežnih čvorova.
Topologije računarskih mreža mogu biti veoma različite, ali
za lokalne mreže, tipične su samo tri:
prsten,
U obliku zvijezde.
Bilo koja računarska mreža se može smatrati zbirkom
Čvor- bilo koji uređaj na koji je direktno povezan
prenosni medij mreže.
Topologija prstena omogućava povezivanje mrežnih čvorova sa zatvorenom krivom - kablom za prenosni medij. Izlaz jednog hosta je povezan sa ulazom drugog. Informacije o prstenu se prenose od čvora do čvora. Svaki međučvor između predajnika i prijemnika prenosi poslanu poruku. Prijemni čvor prepoznaje i prima samo poruke upućene njemu.
Prstenasta topologija je idealna za mreže koje zauzimaju relativno malo prostora. Nema centralno čvorište, što povećava pouzdanost mreže. Retransmisija informacija omogućava korištenje bilo koje vrste kablova kao medija za prijenos.
Dosljedna disciplina servisiranja čvorova takve mreže smanjuje njene performanse, a kvar jednog od čvorova narušava integritet prstena i zahtijeva posebne mjere za očuvanje putanje prijenosa informacija.
Topologija sabirnice- jedan od najjednostavnijih. Povezan je sa upotrebom koaksijalnog kabla kao prenosnog medija. Podaci iz prijenosnog mrežnog čvora se propagiraju duž magistrale u oba smjera. Međučvorovi ne emituju dolazne poruke. Informacije stižu u sve čvorove, ali samo onaj na koji je upućena poruka prima. Servisna disciplina je paralelna.
Ovo obezbeđuje LAN sabirnice visokih performansi. Mreža se lako širi i konfiguriše, kao i prilagođava različitim sistemima Mreža sa topologijom magistrale je otporna na moguće kvarove pojedinih čvorova.
Mreže sa sabirničkom topologijom su trenutno najčešće. Treba napomenuti da su kratki i ne dozvoljavaju upotrebu različitih vrsta kablova unutar iste mreže.
Topologija zvijezda zasniva se na konceptu centralnog čvora na koji su povezani periferni čvorovi. Svaki periferni čvor ima svoju zasebnu komunikacijsku liniju sa centralnim čvorom. Sve informacije se prenose kroz centralno čvorište, koje prenosi, prebacuje i usmjerava tokove informacija u mreži.
Topologija zvijezda uvelike pojednostavljuje međusobnu interakciju LAN čvorova i omogućava korištenje jednostavnijih mrežnih adaptera. U isto vrijeme, performanse LAN-a sa topologijom zvijezde u potpunosti zavise od centralne lokacije.
U stvarnim računarskim mrežama mogu se koristiti naprednije topologije, koje u nekim slučajevima predstavljaju kombinacije razmatranih.
Izbor određene topologije određen je područjem primjene LAN-a, geografskom lokacijom njegovih čvorova i dimenzijom mreže u cjelini.
Internet- svjetska informatička kompjuterska mreža, koja predstavlja objedinjenje mnogih regionalnih računarskih mreža i računara koji međusobno razmjenjuju informacije putem javnih telekomunikacijskih kanala (namjenske telefonske analogne i digitalne linije, optički komunikacioni kanali i radio kanali, uključujući i satelitske komunikacione linije).
ISP- provajder mrežnih usluga - osoba ili organizacija koja pruža usluge povezivanja na računarske mreže.
Domaćin (od engleskog host - "domaćin koji prima goste")- svaki uređaj koji pruža usluge u formatu "klijent-server" u serverskom režimu na bilo kom interfejsu i jedinstveno je definisan na tim interfejsima. U konkretnijem slučaju, host se može shvatiti kao bilo koji računar ili server povezan na lokalnu ili globalnu mrežu.
Mrežni protokol- skup pravila i radnji (slijed radnji), koji omogućava povezivanje i razmjenu podataka između dva ili više uređaja povezanih na mrežu.
IP adresa (IP adresa, skraćenica od engleske Internet Protocol Address)- jedinstvena mrežna adresa čvora u računarskoj mreži izgrađenoj korištenjem IP protokola. Globalno jedinstvene adrese su potrebne na Internetu; u slučaju rada u lokalnoj mreži potrebna je jedinstvenost adrese unutar mreže. U IPv4 verziji, IP adresa je duga 4 bajta.
Ime domena- simbolično ime koje pomaže u pronalaženju adresa Internet servera.
13) Peer-to-Peer zadaci
Ako postoji prijetnja, moraju postojati metode zaštite i suprotstavljanja.... Metode su sredstva za postizanje zadatih zadataka i redosled metoda za korišćenje snaga za zaštitu poverljivih informacija.
Princip ljudskog djelovanja na podsvijest osmišljen je za postizanje pozitivnih rezultata. Iskustvo profesionalaca u oblasti informacione bezbednosti prilično je jasno definisalo sveukupnost sredstava, snaga i tehnika koje imaju za cilj garantovanje bezbednosti informacija ili pouzdanosti informacija.
Osiguravanje pouzdanosti informacija ili sigurnosti informacija postiže se sljedećim radnjama koje imaju za cilj:
- Identifikacija prijetnji se izražava u urednoj analizi i kontroli dopuštenih pojava potencijalnih ili stvarnih prijetnji, kao i pravovremenim mjerama za njihovo sprječavanje;
- prevencija prijetnji se postiže osiguravanjem sigurnosti informacija ili pouzdanosti informacija u korist proaktivnog i njihovog pojavljivanja.
otkrivanje prijetnji analizom rizika; - Uključivanje mjera za otklanjanje prijetnji ili krivičnih djela i lokalizacija krivičnih djela;
- otkrivanje prijetnji se postiže utvrđivanjem konkretnih kriminalnih radnji i stvarnih prijetnji;
- otklanjanje posljedica u pogledu prijetnji i konkretnih krivičnih radnji. Vraćanje statusa quo (slika 1).
Metode zaštite informacija:
- prepreka – sredstvo fizičkog sprječavanja napadača da djeluje na kritične informacije
- kontrola pristupa - sredstvo zaštite informacija kroz regulisanje korišćenja svih IS resursa u IT. Takve metode treba da štite od informacija
- Algoritmi enkripcije - metode se implementiraju i tokom skladištenja i obrade informacija. Prilikom prenošenja informacija, ovo je glavni i jedini način zaštite
- Regulacija je stvaranje uslova za čuvanje i obradu informacija u informacionom sistemu, pod kojim se u najvećoj meri primenjuju standardi i norme zaštite.
- Prinuda je sredstvo zaštite koje primorava korisnike da se pridržavaju pravila rada u informacionom sistemu
- Podsticaj je sredstvo zaštite kojim se podstiču korisnici informacionog sistema da ne krše pravila, zbog etičkih i moralnih standarda
- Hardver - uređaji koji su ugrađeni u računarske mehanizme ili su povezani pomoću interfejsa
- fizička sredstva - razne inženjerske strukture koje štite osoblje, informacije, uređaje, stvari od uljeza
- Softver - softver koji se ugrađuje u informacioni sistem radi implementacije zaštite
- Organizacioni alati - postižu se na osnovu regulatornih dokumenata koji regulišu rad zaposlenih na način da se realizuje maksimalna zaštita informacionog sistema.
Sprečavanje nezakonitih radnji i mogućih može se obezbijediti raznim sredstvima i mjerama, od poštovanja odnosa između zaposlenih organizacionim metodama do zaštite hardverskom, fizičkom, softverskom i metodama (ili ili). Prevencija prijetnji je moguća i putem pribavljanja informacija o pripremnim radnjama, pripremljenim radnjama, planiranoj krađi i drugim elementima krivičnih radnji. Za takve svrhe potrebno je sa informatorima u različitim sferama djelovanja sa različitim zadacima. Neki posmatraju i daju objektivnu procjenu postojećeg stanja. Drugi procjenjuju odnose zaposlenih unutar tima u različitim dijelovima preduzeća. Drugi pak rade među kriminalnim grupama i konkurentima.
Slika 1
Za prevenciju prijetnji vrlo važnu ulogu imaju aktivnosti informaciono-analitičke službe sigurnosti koje se baziraju na analizi posebne situacije i aktivnosti napadača i konkurenata. Ako imate pristup Internetu, sigurnosna služba. I takođe ili.
Zaštita od otkrivanja podataka svodi se na izradu kataloga informacija koje su poslovna tajna u preduzeću. Ovaj katalog informacija treba dostaviti svakom zaposlenom u preduzeću, uz pismenu obavezu da taj zaposlenik čuva ovu tajnu. Jedna od važnih radnji je sistem kontrole očuvanja integriteta i povjerljivosti poslovnih tajni.
Zaštita povjerljivih informacija od curenja radova na osnovu obračuna, identifikacije i kontrole mogućih puteva curenja u konkretnim situacijama, kao i sprovođenje tehničkih, organizacionih, organizacionih i tehničkih mjera za njihovo uništavanje.
Zaštita povjerljivih informacija od neovlaštenog pristupa djeluje na osnovu provođenja tehničkih, organizacionih, organizacionih i tehničkih procedura za suzbijanje neovlaštenog pristupa. Kao i kontrola metoda neovlaštenog pristupa i analize.
U praksi, sve aktivnosti u određenoj meri koriste tehničke, a dele se u tri grupe (slika 2):
- organizacioni (u oblasti tehničkih sredstava);
- tehnički.
- organizacione i tehničke;
Slika 2
Referenca za odbrambene akcije
Zaštitni rad, kao i tehnike i postupci za održavanje informacione sigurnosti, klasifikuju se prema karakteristikama i objektima zaštite, koji se dele na sledeće parametre:
Po orijentaciji – zaštitne metode se mogu klasifikovati kao akcije, kursevi zaštite kadrova, finansijskih i materijalnih sredstava i informacija kao fond.
Po metodama - ovo je detekcija (na primjer:) ili, upozorenje, detekcija, potiskivanje i restauracija.
U pravcima - to je zaštita zasnovana na zakonskim metodama, organizacionim i inženjerskim i tehničkim radnjama.
U pogledu pokrivenosti, zaštitna oprema može imati za cilj zaštitu perimetra preduzeća, pojedinačnih prostorija, zgrada, određenih grupa opreme, tehničkih sredstava i sistema, pojedinačnih elemenata (kuća, prostorija, opreme) koji su opasni sa stanovišta. neovlašćenog pristupa njima.
Razlog za informacije mogu biti ljudi, otpad, tehnička sredstva itd. Nosioci informacija mogu biti akustična i elektromagnetna polja, ili supstance (proizvod, papir, materijal). Medij za širenje je surovo okruženje ili vazdušni prostor.
Počinilac može imati sva potrebna sredstva za prijem elektromagnetne i akustične energije, zračni nadzor i mogućnost analize materijala za prezentaciju informacija.
Predstavljanje informacija u realnim oblicima. Da biste isključili nezakonitu zapljenu povjerljivih informacija, trebali biste obraditi signal ili izvor informacija prigušenim ili drugim sredstvima šifriranja.
Sa povećanjem stope korišćenja i distribucije informacionih mreža (ili) i računara, povećava se uloga različitih faktora koji izazivaju otkrivanje, curenje i neovlašćeni pristup informacijama. Ovo su:
- greške;
- zlonamerno ili neovlašćeno ponašanje zaposlenih i korisnika;
- hardverske zadane postavke ili greške u programima;
- prirodne katastrofe, udesi različitog porijekla i opasnosti;
- greške korisnika i osoblja;
- greške kod.
U tom smislu, glavni ciljevi zaštite informacija u informacionim mrežama i računarima su:
- sprečavanje curenja i gubitaka informacija, smetnji i presretanja na svim nivoima uticaja, za sve geografski odvojene objekte;
- osiguranje prava korisnika i pravnih normi u vezi PRISTUP na informacije i druge resurse, uključujući administrativni pregled aktivnosti informisanja, uključujući radnje lične odgovornosti za praćenje načina rada i pravila korišćenja;
Slika 3
zaključci
1. Osiguranje pouzdanosti ili sigurnosti informacija postiže se organizacionim, tehničkim i organizaciono-tehničkim postupcima, od kojih se svaka obezbjeđuje jedinstvenim metodama, sredstvima i mjerama sa odgovarajućim parametrima.
2. Različite radnje i uslovi koji doprinose nezakonitoj ili nezakonitoj asimilaciji povjerljivih podataka, prisiljavaju upotrebu ne manje različitih metoda, sredstava, snaga i osiguravaju sigurnost ili pouzdanost informacija.
3. Glavni zadaci zaštite informacija su garantovanje povjerljivosti, integriteta i dovoljnosti informacionih resursa. I da ga uvede u sistem.
4. Metode obezbjeđivanja zaštite informacija treba da budu usmjerene na proaktivan temperament djelovanja usmjerenih na proaktivne načine sprječavanja mogućih prijetnji poslovnim tajnama.
