Primjer čiste politike sigurnosti informacija na stolu. Prijetnje sigurnosti informacija

IN savremeni svet Koncept „politike informacione bezbednosti” može se tumačiti i u širem i u užem smislu. Što se tiče prvog, šireg značenja, ono znači složen sistem odluke koje donosi određena organizacija zvanično su dokumentovane i imaju za cilj da obezbede bezbednost preduzeća. U užem smislu, ovaj koncept označava dokument od lokalnog značaja, koji precizira bezbednosne zahteve, sistem preduzetih mera, odgovornost zaposlenih i kontrolni mehanizam.

Sveobuhvatna politika sigurnosti informacija je garancija stabilnog funkcionisanja svake kompanije. Njegova sveobuhvatnost je u promišljenosti i uravnoteženosti stepena zaštite, kao i razvoju ispravnih mjera i sistema kontrole u slučaju bilo kakvog kršenja.

Sve organizacijske metode igraju važnu ulogu u stvaranju pouzdane sheme sigurnosti informacija, jer je nezakonito korištenje informacija rezultat zlonamjernih radnji, nemara osoblja, a ne tehničkih problema. Za postizanje dobrog rezultata potrebna je složena interakcija organizacionih, pravnih i tehničke mjere, koji bi trebao isključiti sve neovlaštene prodore u sistem.

Sigurnost informacija je garancija nesmetanog rada kompanije i njenog stabilnog razvoja. Međutim, osnova konstrukcije sistem kvaliteta odbrana mora odgovoriti na sljedeća pitanja:

Šta je sistem podataka i koji nivo zaštite će biti potreban?

Ko je u stanju da nanese štetu kompaniji ometanjem njenog funkcionisanja? informacioni sistem i ko može koristiti primljene informacije?

Kako se takav rizik može svesti na minimum, a da se ne naruši nesmetano funkcionisanje organizacije?

Koncept informacione sigurnosti, dakle, treba razvijati lično za konkretno preduzeće iu skladu sa njegovim interesima. Glavna uloga u njoj karakteristike kvaliteta igrati organizacione aktivnosti koje uključuju:

Organizacija uspostavljenog sistema kontrole pristupa. Ovo se radi u cilju sprečavanja tajnog i neovlašćenog ulaska na teritoriju preduzeća od strane neovlašćenih lica, kao i kontrole boravka u prostorijama i vremena napuštanja.

Rad sa zaposlenima. Njegova suština je u organizovanju interakcije sa osobljem i regrutaciji osoblja. Također je važno upoznati se s njima, pripremiti i naučiti pravila za rad sa informacijama kako bi zaposleni znali granice njihove tajnosti.

Politika sigurnosti informacija također predviđa strukturirano korištenje tehničkih sredstava u cilju akumulacije, prikupljanja i povećanja povjerljivosti.

Obavljanje poslova u cilju praćenja osoblja u smislu njihove upotrebe povjerljive informacije i razvijanje mjera koje bi trebale osigurati njegovu zaštitu.

Troškovi implementacije takve politike ne bi trebali biti veći od potencijalne štete koja bi nastala njenim gubitkom.

Politika informacione bezbednosti i njena efikasnost u velikoj meri zavise od broja zahteva koje joj kompanija postavlja, a koji omogućavaju smanjenje stepena rizika na potreban nivo.

Razmotrimo administrativni nivo informacione bezbednosti preduzeća, odnosno mere koje preduzima menadžment organizacije. U srcu svih aktivnosti administrativnom nivou leži dokument koji se često naziva politika sigurnosti informacija preduzeća. Ispod politika sigurnosti informacija se shvata kao skup dokumentovanih upravljačkih odluka i razvijenih preventivnih mera u cilju zaštite informacionih resursa.

Razvijanje politike informacione sigurnosti nikako nije trivijalno pitanje. Efikasnost svih ostalih nivoa informacione bezbednosti – proceduralnih i softversko-hardverskih – zavisiće od temeljnosti njenog razvoja. Složenost izrade ovog dokumenta određena je problematičnom prirodom korišćenja tuđeg iskustva, budući da se bezbednosna politika zasniva na proizvodnim resursima i funkcionalnim zavisnostima datog preduzeća.

U tom smislu, preporučljivo je uključiti sljedeće tačke u dokument koji karakterizira politiku sigurnosti informacija organizacije:

• - uvodni, potvrđivanje interesa višeg menadžmenta za pitanja informacione sigurnosti;
• - organizaciono, koji sadrži opis odjeljenja, komisija, grupa i dr., odgovornih za rad u oblasti informacione sigurnosti;
• - klasifikacija, opisujući materijalne i informacione resurse koji su dostupni u preduzeću i potreban nivo njihove zaštite;
• - redovno karakterizacija mjera sigurnosti koje se primjenjuju na osoblje (opis pozicija sa stanovišta informacione sigurnosti, organizacija obuke, postupak reagovanja na kršenje režima i dr.);
• - dio koji pokriva pitanja fizičke zaštite informacije;
• - kontrolna sekcija, opisujući pristup upravljanju računarima i mrežama podataka;
• - odjeljak koji opisuje pravila kontrole pristupa na informacije o proizvodnji;
• - dio koji opisuje proceduru razvoja i implementacije sistema;
• - poglavlje, opisujući mjere koje imaju za cilj osiguranje kontinuiranog rada organizacije (dostupnost informacija);
• - pravni odjel, potvrđivanje usklađenosti politike informacione sigurnosti sa važećim zakonodavstvom.

Razvoj politike treba započeti analizom rizika. Analiza rizika se sastoji od dvije glavne faze: inventar I klasifikacija informacionih resursa.

Inventar Informacioni resursi će pomoći u određivanju stepena neophodne zaštite, praćenju sigurnosti, a biće korisni i u drugim oblastima, kao što su bezbednost i zdravlje na radu, osiguranje, finansije. As resursi, vezano za informatičku tehnologiju može uključivati:

• - informativni resursi: skladišta datoteka, baze podataka, dokumentacija, tutorijali, dokumenti proceduralnog nivoa (uputstva, itd.);
• - softverski resursi: aplikativni i sistemski softver, uslužni programi, itd.;
• - fizičkih resursa: računarska i komunikacijska oprema, mediji za pohranu podataka (trake i diskovi), ostala tehnička oprema (napajanja, klima uređaji), namještaj, prostorije;
• - Usluge: grijanje, rasvjeta, opskrba energijom, klimatizacija;
• - ljudski resursi.

Nakon popisa, resursi se klasifikuju. Vrijednost svakog resursa obično se predstavlja kao funkcija nekoliko diskretnih varijabli.

Navedimo primjer klasifikacije informacijskog izvora. Glavna varijabla je obično stepen povjerljivosti informacija sa sljedećim vrijednostima:

• - podatke koji sadrže državnu tajnu;
• - podatke koji sadrže poslovnu tajnu;
• - povjerljive informacije (informacije koje ne predstavljaju komercijalne ili državne tajne, iako je njegov publicitet nepoželjan);
• - besplatne informacije.

Sljedeća varijabla može biti odnos određenog resursa prema kršenju tri glavna aspekta informacione sigurnosti. Na primjer, baza podataka telefona zaposlenika u kompaniji može biti ocijenjena 81 za dostupnost, 2 za povjerljivost i 4 za integritet.

Zatim se vrši analiza rizika. Za svaki informacioni izvor utvrđuje se njegova integralna vrijednost i moguće prijetnje. Svaka prijetnja se procjenjuje u smislu njene primjenjivosti na dati resurs, vjerovatnoće nastanka i moguće štete. Na osnovu rezultata ove analize izrađuje se klasifikacijski odjeljak politike sigurnosti informacija.

Odjeljak za zapošljavanje ima za cilj smanjenje rizika od kadrovskih grešaka, krađe, prevare ili nezakonite upotrebe resursa. U budućnosti, ovaj odjeljak će se koristiti za izradu opisa poslova za korisnike i smjernica za odjele i službe za sigurnost informacija. Preporučljivo je da u dokument uključite sljedeće dijelove:

• - pravila za provjeru angažovanog osoblja (uključuje pravila za podnošenje zahtjeva za zapošljavanje, Potrebni dokumenti, obrazac životopisa, preporuke itd. Takođe, utvrđuju se potreba, oblik i postupak za obavljanje razgovora sa zaposlenima različitih kategorija. Ovdje su također opisane različite obaveze neotkrivanja podataka);
• - obaveze i prava korisnika u vezi sa informacionim resursima (odgovornosti korisnika za održavanje radnog mesta, kao i pri radu sa informacionim resursima);
• - obuka korisnika i procedura za pristup radu sa informacionim resursima ( neophodno znanje za različite kategorije zaposlenih učestalost i postupak obuke o korišćenju informacionih resursa. Korisnici moraju imati jasna znanja o svim proceduralnim pitanjima (identifikacija u sistemu, promjena lozinki, ažuriranje antivirusnih baza, rad sa softverskim paketima itd.). Dodatno, opisana je procedura povezivanja korisnika sa informacionim resursima (potrebna dokumentacija, lica za odobravanje i odjeljenja));
• - prava i odgovornosti administratora (za normalno funkcionisanje sistema administratori informacione bezbednosti moraju imati dovoljna prava. Isključivanje mreže ili informacionog resursa radna stanica, koji je nosilac virusa, nužnost, a ne kršenje tehnološkog procesa);
• - postupak reagovanja na događaje koji predstavljaju prijetnju informacionoj sigurnosti (za pravovremeno reagovanje na prijetnje po sigurnost sistema treba jasno definisati formalne procedure za obavještavanje i reagovanje na takve sisteme. Od svih korisnika treba tražiti da informišu dodijeljene lica o incidentima i slabostima u sigurnosnom sistemu, operativnim kvarovima softvera i hardvera Metode za evidentiranje simptoma kvarova hardvera treba identifikovati i saopštiti korisnicima);
• - postupak za izricanje kazni (sadrži opis postupka za izricanje kazni za kršenje pravila informacione bezbednosti uspostavljenih u preduzeću. Kaznene mere i stepen odgovornosti moraju biti dokumentovani).

U zavisnosti od tipa preduzeća, mere fizičke zaštite mogu se veoma razlikovati. Na osnovu analize rizika za svako preduzeće potrebno je striktno opisati tipove prostorija i potrebne mere bezbednosti za njih. Sigurnosne mjere uključuju postavljanje rešetki, brava, procedure za pristup prostorijama, sredstva elektromagnetna zaštita itd. Osim toga, potrebno je uspostaviti pravila za korištenje desktopa i metode za reciklažu materijala (razne magnetni mediji, papirna dokumenta, jedinice), pravila za premeštanje softvera i hardvera van organizacije.

Odjeljci upravljanja koji opisuju pristupe upravljanju računarima i mrežama podataka i postupak razvoja i implementacije sistema, opisuju proceduru izvođenja standardnih operativnih procedura za rukovanje podacima, pravila puštanja sistema u rad (prihvatanje sistema) i reviziju njihovog rada. Pored toga, ovaj odeljak navodi proceduru za zaštitu preduzeća od zlonamernog softver(propisi o radu antivirusni sistem posebno). Određuje se postupak revizije performansi sistema i pravljenja rezervnih kopija. Opisuje standardni softver odobren za upotrebu u preduzeću. Takođe opisuje sisteme zaštite elektronske pošte, elektronske digitalni potpis i drugi sistemi za kriptografiju i autentifikaciju koji rade u preduzeću. Ovo je važno jer rusko zakonodavstvo region je težak u tom pogledu.

Prava pristupa sistemima moraju biti dokumentovana, a procedura za njihovo obezbjeđivanje je određena regulatornim dokumentima. Moraju se navesti pozicije koje koordiniraju aplikacije za dodjelu prava pristupa, kao i prava distribucije. Pored toga, u organizacijama sa ozbiljnim zahtevima za bezbednost informacija, utvrđuje se postupak provere prava pristupa sistemima i lica koja je vrše. Ovaj odjeljak također opisuje pravila (politike) za korisničke lozinke.

Dakle, politika informacione sigurnosti preduzeća je dokument na osnovu kojeg se gradi sigurnosni sistem. Zauzvrat, politika se zasniva na analizi rizika, a što je analiza potpunija, to će dokument biti efikasniji. Analiziraju se svi glavni resursi, uključujući materijalne i ljudske resurse. Sigurnosna politika se gradi u skladu sa specifičnostima preduzeća i zakonodavni okvir države.

Politika sigurnosti informacija (primjer)

Sažetak političari

Informacije uvijek moraju biti zaštićene, bez obzira na njihov oblik i način na koji se distribuiraju, prenose i pohranjuju.

Uvod

Informacije mogu postojati u mnogo različitih oblika. Može se odštampati ili napisati na papiru, pohraniti u u elektronskom formatu, koji se prenose poštom ili elektronskim uređajima, prikazuju na filmu ili se saopštavaju usmeno.

Informaciona sigurnost je zaštita informacija od različitih prijetnji, osmišljena kako bi se osigurao kontinuitet poslovnih procesa, minimizirao poslovni rizik i maksimizirao povrat ulaganja i osigurale poslovne prilike.

Obim

Ova politika jača ukupnu sigurnosnu politiku organizacije.
Ova politika se odnosi na sve zaposlene u organizaciji.

Ciljevi informacione sigurnosti

1. Razumevanje i rukovanje strateškim i operativnim rizicima bezbednosti informacija tako da budu prihvatljivi za organizaciju.

2. Zaštitite povjerljivost informacija o kupcima, razvoja proizvoda i marketinških planova.

3. Održavanje integriteta računovodstvenih materijala.

4. Usklađenost zajedničkih web servisa i intraneta sa odgovarajućim standardima pristupačnosti.

Principi sigurnosti informacija

1. Organizacija promoviše preuzimanje rizika i prevazilazi rizike koje konzervativno vođene organizacije ne mogu da prevaziđu, pod uslovom da se rizici po informacije razumeju, prate i adresiraju na odgovarajući način. Detaljan opis pristupi koji se koriste za procjenu i tretiranje rizika mogu se naći u ISMS politici.

2. Svo osoblje mora biti svjesno i odgovorno za sigurnost informacija u vezi sa svojim poslovima.

3. Moraju se preduzeti radnje za finansiranje kontrola sigurnosti informacija i procesa upravljanja projektima.

4. Potencijal za prevaru i zloupotrebu u informacionim sistemima mora se uzeti u obzir kada generalni menadžment informacioni sistemi.

5. Izvještaji o statusu sigurnosti informacija trebaju biti dostupni.

6. Rizici sigurnosti informacija moraju se pratiti i preduzeti akcije kada promjene rezultiraju neočekivanim rizicima.

7. Kriterijumi za klasifikaciju rizika i prihvatljivost rizika mogu se naći u ISMS politici.

8. Situacije koje mogu dovesti organizaciju do kršenja zakona i utvrđenim standardima, ne bi trebalo dozvoliti.

Područja odgovornosti

1. Tim višeg menadžmenta odgovoran je za osiguravanje da se informacije obrađuju na odgovarajući način u cijeloj organizaciji.

2. Svaki viši menadžer je odgovoran da osigura da zaposleni koji rade pod njegovim ili njenim uputstvima štite informacije u skladu sa standardima organizacije.

3. Šef bezbednosti savetuje grupu viših menadžera, pruža stručnu pomoć zaposlenima u organizaciji i obezbeđuje dostupnost izveštaja o stanju informacione bezbednosti.

4. Svaki zaposleni u organizaciji odgovoran je za sigurnost informacija u okviru obavljanja svojih radnih obaveza.

Ključni rezultati

1. Sigurnosni incidenti ne smiju dovesti do značajnih neočekivanih troškova ili značajnih poremećaja u poslovnim uslugama i operacijama.

2. Gubici zbog prevare moraju biti poznati i unutar prihvatljivih granica.

3. Pitanja sigurnosti informacija ne bi trebala negativno utjecati na prihvaćanje proizvoda i usluga od strane korisnika.

Povezane politike

Sljedeće detaljne politike sadrže principe i preporuke o specifičnim aspektima sigurnosti informacija:

1. Politika sistema upravljanja sigurnošću informacija (ISMS);

2. Politika kontrole pristupa;

3. Politika čistog stola i ekrana;

4. Politika neovlaštenog softvera;

5. Politika u vezi sa dobijanjem softverskih datoteka od eksterne mreže ili preko njih;

6. Politika mobilnog koda;

7. Politika rezervne kopije;

8. Politika razmjene informacija između organizacija;

9. Politika prihvatljivog korišćenja elektronskih komunikacija;

10. Politika čuvanja zapisa;

11. Politika upotrebe mrežne usluge;

12. Politike vezane za mobilno računarstvo i komunikacije;

13. Politika rad na daljinu;

14. Politika upotrebe kriptografskih kontrola;

15. Politika usklađenosti;

16. Politika licenciranja softvera;

17. Politika uklanjanja softvera;

18. Zaštita podataka i politika privatnosti.

Sve ove politike jačaju:

· identifikovanje rizika obezbeđivanjem okvira kontrola koji se mogu koristiti za otkrivanje nedostataka u dizajnu i implementaciji sistema;

· tretman rizika pomažući u definisanju opcija tretmana za specifične ranjivosti i prijetnje.

Politika sigurnosti informacija kompanije

· 1. Opšte odredbe

o 1.1. Svrha i svrha ove Politike

o 1.2. Opseg ove Politike

o 2.1. Odgovornost za informacijsku imovinu

o 2.2. Kontrola pristupa informacionim sistemima

§ 2.2.1. Opće odredbe

§ 2.2.2. Pristup trećih lica sistemima Kompanije

§ 2.2.3. Daljinski pristup

§ 2.2.4. pristup Internetu

o 2.3. Zaštita opreme

§ 2.3.1. Hardver

§ 2.3.2. Softver

o 2.5. Izvještavanje o incidentima sigurnosti informacija, odgovor i izvještavanje

o 2.6. Prostor sa tehničkom informacijskom sigurnosnom opremom

o 2.7. Upravljanje mrežom

o 2.7.1. Zaštita podataka i sigurnost

o 2.8. Razvoj sistema i upravljanje promjenama

Opće odredbe

Informacije su vrijedan i vitalni resurs YOUR_KOPANIA (u daljem tekstu Kompanija). Ova politika sigurnosti informacija predviđa preduzimanje potrebnih mjera za zaštitu imovine od slučajne ili namjerne promjene, otkrivanja ili uništenja, kao i održavanje povjerljivosti, integriteta i dostupnosti informacija, te osiguravanje automatske obrade podataka u Kompaniji.

Svaki zaposleni u Kompaniji odgovoran je za očuvanje informacione sigurnosti, a primarni zadatak je osigurati sigurnost cjelokupne imovine Kompanije. To znači da informacije moraju biti zaštićene ništa manje pouzdano od bilo koje druge glavne imovine Kompanije. Osnovni ciljevi Društva ne mogu se ostvariti bez blagovremenog i puna odredba zaposlenike sa informacijama koje su im potrebne za obavljanje svojih radnih obaveza.

U ovoj Politici, izraz „zaposleni“ označava sve zaposlene u Kompaniji. Odredbe ove Politike primjenjuju se na lica koja rade za Kompaniju po građanskim ugovorima, uključujući i namještenike, ako je to predviđeno takvim ugovorom.

Uvod

Tempo razvoja savremenih informacionih tehnologija znatno je brži od tempa razvoja savetodavnog i regulatornog okvira upravljačkih dokumenata koji funkcionišu u Rusiji. Stoga je rješavanje pitanja razvoja efikasne politike sigurnosti informacija u savremenom preduzeću nužno povezano s problemom odabira sigurnosnih kriterija i indikatora, kao i efikasnosti korporativnog sistema informacione sigurnosti. Kao rezultat toga, pored zahtjeva i preporuka standarda, Ustava, zakona i drugih mjerodavnih dokumenata, potrebno je koristiti i niz međunarodnih preporuka. Uključujući prilagođavanje domaćim uslovima i primjenu u praksi metoda međunarodnih standarda, kao što su ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL i drugih, kao i korištenje tehnika upravljanja informacijskim rizikom u sprezi sa procjenama ekonomske efikasnosti ulaganja u osiguranje zaštite informacija preduzeća. Savremene tehnike upravljanja rizicima omogućavaju rješavanje niza problema dugoročnog strateškog razvoja savremeno preduzeće.

Prvo, da se kvantifikuje trenutni nivo informacione bezbednosti preduzeća, što će zahtevati identifikaciju rizika na pravnom, organizacionom, menadžerskom, tehnološkom i tehničkom nivou obezbeđivanja zaštite informacija.

Drugo, izraditi sigurnosnu politiku i planove za unapređenje korporativnog sistema sigurnosti informacija kako bi se postigao prihvatljiv nivo sigurnosti informatičke imovine kompanije. Da biste to uradili potrebno vam je:

opravdati i izračunati finansijska ulaganja u sigurnost na osnovu tehnologija analize rizika, povezati troškove sigurnosti sa potencijalnom štetom i vjerovatnoćom njenog nastanka;

identificirati i dati prioritet blokiranju najopasnijih ranjivosti prije pokretanja napada na ranjive resurse;

utvrđivanje funkcionalnih odnosa i područja odgovornosti u interakciji odjela i osoba radi osiguranja informacione sigurnosti kompanije, kreiranje potrebnog paketa organizacione i administrativne dokumentacije;

izraditi i koordinirati sa službama organizacije i nadzornim tijelima projekt za implementaciju potrebnih sistema zaštite, uzimajući u obzir savremenom nivou i trendovi u razvoju informacionih tehnologija;

osigurati održavanje implementiranog sigurnosnog kompleksa u skladu sa promjenjivim uslovima poslovanja organizacije, redovno unapređenje organizacione i administrativne dokumentacije, modifikacije tehnološkim procesima i modernizacija tehničkih sredstava zaštite.

Rješavanje ovih problema otvara nove široke mogućnosti za službenike na različitim nivoima.

To će pomoći višim menadžerima da objektivno i nezavisno procjenjuju trenutni nivo informacionu bezbednost preduzeća, obezbedi formiranje jedinstvene bezbednosne strategije, izračunati, dogovoriti i opravdati neophodni troškovi da zaštiti kompaniju. Na osnovu dobijene procjene, šefovi odjeljenja i službi moći će da razviju i opravdaju potrebno organizacione mjere(sastav i struktura službe informacione sigurnosti, propisi o poslovnoj tajni, paket opisa poslova i uputstva za postupanje u vanrednim situacijama). Srednji menadžeri će biti u mogućnosti da razumno biraju alate za informacionu bezbednost, kao i da prilagode i koriste u svom radu kvantitativne indikatore za procenu informacione bezbednosti, metode za procenu i upravljanje bezbednošću, vezane za ekonomsku efikasnost preduzeća.

Praktične preporuke za neutralizaciju i lokalizaciju identifikovanih ranjivosti sistema, dobijene kao rezultat analitičkih studija, pomoći će u radu na problemima informacione bezbednosti u različitim nivoima i, što je posebno važno, odrediti glavne oblasti odgovornosti, uključujući materijalnu, za nepropisno korištenje informacionih sredstava kompanije. Prilikom utvrđivanja obima odgovornosti za štetu prouzrokovanu poslodavcu, uključujući i odavanje poslovne tajne, treba se rukovoditi odgovarajućim odredbama Zakona o radu.

1. Analitički dio

1 Koncept sigurnosti informacija

Zaštita informacija je skup mjera usmjerenih na osiguranje informacione sigurnosti.

Informaciona sigurnost je kompleksan zadatak koji ima za cilj obezbjeđenje sigurnosti, koji se ostvaruje implementacijom sigurnosnog sistema. Problem informacione sigurnosti je višestruki i složen i obuhvata niz važnih zadataka. Problemi informacione sigurnosti stalno se pogoršavaju prodorom tehničkih sredstava za obradu i prenos podataka i, prije svega, kompjuterskih sistema u sve sfere društva.

Termin „informaciona bezbednost“ je nedavno ušao u široku upotrebu, iako se delatnost savremenog preduzeća ne može zamisliti bez personalnih računara. Za to postoji jednostavno objašnjenje: obim informacija koje se obrađuju i pohranjuju elektronski za prosječno preduzeće je milionima puta veći nego na papiru. Na računarima se instalira softver koji je teško konfigurisati, kreiraju se obrasci interakcije između računara i programa koje je teško vratiti, a obični korisnici obrađuju ogromne količine podataka. Jasno je da će svaki poremećaj uspostavljenog tehnološkog lanca dovesti do određenih gubitaka za preduzeće. Dakle, pod informacionom bezbednošću (IS) podrazumevamo bezbednost informacionog okruženja preduzeća od spoljašnjih i unutrašnjih pretnji do njegovog formiranja, upotrebe i razvoja.

U velikim preduzećima postoje posebne usluge sa značajnim budžetom, čiji zadaci uključuju osiguravanje sigurnosti informacija, identifikaciju, lokalizaciju i eliminaciju prijetnji informacijskoj sigurnosti poduzeća. Koriste poseban, skup softver i hardver, koji je ponekad toliko težak za održavanje da je za rad sa njim potrebna posebna obuka osoblja. Zadaci upravljanja sigurnošću informacija u takvim organizacijama često se svode na izdavanje instrukcija sa ključne riječi: “produbiti”, “proširiti”, “povećati”, “omogućiti” itd. Sav posao na osiguranju informacione sigurnosti obavlja se neprimjetno od strane menadžmenta zaposlenih u relevantnim službama, a opis metoda njihovog rada tema je za poseban veliki članak.

Istovremeno, informatičkoj sigurnosti malih preduzeća sa ne baš velikim brojem radnih mjesta za specijaliste (često ne više od 50) ne pridaje se previše pažnje. Međutim, trenutna organizacijska i tehnička situacija je takva da većina postojećih prijetnji informacijskoj sigurnosti, zbog toga što su velika preduzeća dobro zaštićena od njih, postaje relevantna upravo za manja preduzeća. Tipično, takva preduzeća imaju vrlo skroman IT budžet, što im omogućava samo kupovinu potrebnu opremu, softver i sadrže jednog administratora sistema.

Do danas su formulisana tri osnovni principi da informaciona sigurnost mora osigurati:

integritet podataka - zaštita od kvarova koji dovode do gubitka informacija, kao i zaštita od neovlašćenog kreiranja ili uništavanja podataka;

povjerljivost informacija;

Postoje i druge ne uvijek obavezne kategorije sigurnosnog modela:

neporicanje ili mogućnost žalbe - nemogućnost odricanja od autorstva;

odgovornost - obezbeđivanje identifikacije subjekta pristupa i registracije njegovih radnji;

pouzdanost - svojstvo usklađenosti sa planiranim ponašanjem ili rezultatom;

Autentičnost ili originalnost je svojstvo koje garantuje da je entitet ili resurs identičan onome za šta se tvrdi.

2Koncept sigurnosne politike

Politika sigurnosti informacija (ISP) je skup smjernica, pravila, procedura i praksi u oblasti sigurnosti koje su usmjerene na zaštitu vrijednih informacija.

Svrha politike informacione sigurnosti:

formulisanje ciljeva i zadataka informacione sigurnosti organizacije sa poslovne tačke gledišta (omogućava vam da to odredite za menadžment i demonstrirate podršku menadžmenta važnosti informacione sigurnosti),

utvrđivanje pravila za organizovanje rada u kompaniji radi minimiziranja rizika po bezbednost informacija i povećanja efikasnosti poslovanja.

Zahtjevi politike sigurnosti informacija:

Politiku mora odobriti najviše administrativno tijelo kompanije (izvršni direktor, odbor direktora, itd.) kako bi se demonstrirala podrška menadžmenta.

Politika sigurnosti informacija mora biti napisana razumljivim jezikom za krajnjim korisnicima i menadžment kompanije i budite što je moguće kraći.

Politika informacione bezbednosti treba da definiše ciljeve bezbednosti informacija, metode za njihovo postizanje i odgovornosti. Tehnički detalji implementacije metoda sadržani su u uputstvima i propisima navedenim u Politici.

Minimiziranje uticaja bezbednosnih politika na proizvodni proces.

Kontinuitet obuke zaposlenih i menadžmenta organizacije u pitanjima informacione bezbednosti

Kontinuirano praćenje usklađenosti sa pravilima sigurnosne politike u fazi implementacije iu budućnosti.

Kontinuirano unapređenje bezbednosnih politika.

Dosljednost vizije i stvaranje korporativne sigurnosne kulture.

Predlaže se sljedeća struktura PIB-a:

· Opće odredbe (upućivanje na zakone, propise i druge mjerodavne dokumente kojima podliježe aktivnosti organizacije),

· Potvrda značaja informacione sigurnosti za organizaciju i formulisanje ciljeva zaštite informacija sa stanovišta poslovanja organizacije (usklađenost sa zakonskim zahtevima i drugim propisima, ispunjavanje očekivanja klijenata i partnera, povećanje konkurentnosti, finansijske stabilnosti i imidža). organizacije).

· Opis strategije informacione sigurnosti organizacije (na primjer, usklađenost sa zakonskim zahtjevima, procjena rizika i upravljanje).

· Opseg primjene PIB-a (na primjer, PIB je obavezan za sve zaposlene i rukovodstvo organizacije, ili posebne podružnice, ili zaposlenike koji koriste prijenosna računala)

· Opis zaštićenog objekta (zaštićeni resursi - informacije različitih kategorija, informacionu infrastrukturu itd.)

· Ciljevi i zadaci osiguranja informacione sigurnosti (na primjer, smanjenje prijetnji sigurnosti informacija na prihvatljiv nivo, prepoznavanje potencijalnih prijetnji i ranjivosti informacione sigurnosti, sprječavanje incidenata u informacijskoj sigurnosti)

· Prijetnje i model uljeza koji se uzimaju u obzir za datu organizaciju (prema izvorima pojave, metodama implementacije, fokusu)

· Kratko objašnjenje principa politike informacione sigurnosti:

o pristup izgradnji ISMS-a,

o zahtjevi za obukom i osviještenošću kadrova u oblasti informacione sigurnosti,

o posljedice i odgovornost za kršenje PIB-a,

o pristup upravljanje rizikom,

o utvrđivanje organizacijske strukture, općih i posebnih odgovornosti za upravljanje sigurnošću informacija, uključujući izvještaje o incidentima,

o veze do dokumentacije koja može podržati politiku, kao što su vlasničke sigurnosne politike i procedure za specifične informacione sisteme ili sigurnosna pravila koja korisnici moraju slijediti.

o mehanizme za praćenje poštovanja odredbi PIB-a,

o postupak razmatranja i usvajanja izmjena politike.

Nakon odobrenja politike sigurnosti informacija, morate:

· Snaži odredbe politike, podpolitika, procedura i uputstava o sigurnosti informacija, uz potpis, redovnim zaposlenima tokom njihove početne i naknadne periodične obuke i informisanja;

· Razviti procedure, uputstva, itd., pojašnjavajući i dopunjujući politiku (za stručnjake odeljenja za IS);

· Povremeno revidirati politike kako bi se podržala njihova adekvatnost i djelotvornost;

· Sprovedite periodične revizije usklađenosti zaposlenih sa odredbama politike i dajte izvještaj menadžmentu organizacije.

· Osim toga, u opisi poslova odgovorno osoblje, propisi o odeljenjima, ugovorne obaveze organizacije moraju sadržati odgovornosti za obezbeđenje informacione bezbednosti.

Dakle, kao rezultat, ne samo da je stvorena baza dokumenata ISMS-a, već postoji i stvarna raspodjela odgovornosti za osiguranje sigurnosti informacija među osobljem organizacije.

Životni ciklus sigurnosne politike:

Planiranje

Inicijalna bezbednosna revizija

obavljanje pregleda,

identifikacija resursa kojima je potrebna zaštita

procjena rizika.

Tokom revizije vrši se analiza trenutna drzava Identificiraju se sigurnost informacija, postojeće ranjivosti, najkritičnije oblasti rada i najosetljiviji poslovni procesi na sigurnosne prijetnje.

Razvoj sigurnosne politike:

Utvrđeni su osnovni uslovi, zahtjevi i osnovni sistem mjera za osiguranje informacione sigurnosti u organizaciji, koji omogućavaju smanjenje rizika na prihvatljiv nivo.

Oni su formalizovani u obliku odluka koje su dogovorene u okviru radne grupe i odobrene od strane menadžmenta organizacije.

Implementacija PIB-a

Rješavanje tehničkih, organizacionih i disciplinskih problema.

Ispitivanje

Revizija i kontrola.

Podešavanje

Periodični pregled i prilagođavanje, kao i kada se izvorni podaci mijenjaju.

informacioni sistem zaštite računara

1.3Savremena sredstva fizičke, hardverske i softverska zaštita informacije

Osnovni cilj svakog sistema informacione sigurnosti je osigurati održivo funkcioniranje objekta: sprječavanje prijetnji njegovoj sigurnosti, zaštita legitimnih interesa vlasnika informacija od nezakonitih napada, uključujući krivična djela iz oblasti odnosnih odnosa, pod uslovom jer po Krivičnom zakoniku, osiguravajući normalan proizvodne aktivnosti svim odjelima objekta. Drugi zadatak se svodi na poboljšanje kvaliteta pruženih usluga i garantovanje sigurnosti imovinskih prava i interesa klijenata. Da biste to uradili potrebno vam je:

klasificira informacije kao ograničeni pristup (službena tajna);

predviđa i blagovremeno identifikuje bezbednosne pretnje informacionim resursima, uzroke i uslove koji doprinose nanošenju finansijske, materijalne i moralne štete, narušavanju njenog normalnog funkcionisanja i razvoja;

stvaranje uslova za rad sa najmanjom verovatnoćom implementacije bezbednosnih pretnji na informacione resurse i izazivanja raznih vrsta štete;

stvaraju mehanizam i uslove za brzo reagovanje na prijetnje informacionoj bezbjednosti i manifestacije negativnih trendova u funkcionisanju, efikasno suzbijanje napada na resurse na osnovu zakonskih, organizacionih i tehničkih mjera i sredstava obezbjeđenja sigurnosti;

stvoriti uslove za maksimalnu moguću nadoknadu i lokalizaciju štete prouzrokovane protivpravnim radnjama fizičkih i pravnih lica i time oslabiti moguće Negativan uticaj posljedice narušavanja sigurnosti informacija.

Prilikom izrade bezbednosne politike možete koristiti sledeći model (slika 1), zasnovan na prilagođavanju Opštih kriterijuma (ISO 15408) i analizi rizika (ISO 17799). Ovaj model je u skladu sa posebnim regulatornim dokumentima o sigurnosti informacija usvojenim u Ruska Federacija, međunarodni standard ISO/IEC 15408 „Informaciona tehnologija – metode bezbednosti – kriterijumi za procenu bezbednosti informacija“, standard ISO/IEC 17799 „Upravljanje bezbednošću informacija“.

Rice. 1 Model za izgradnju korporativnog informacionog sistema

Prikazani model predstavlja skup objektivnih eksternih i internih faktora i njihov uticaj na stanje informacione sigurnosti u objektu i sigurnost materijalnih ili informacionih resursa.

Uzimaju se u obzir sljedeći objektivni faktori:

prijetnje sigurnosti informacija, koje karakterizira vjerovatnoća nastanka i vjerovatnoća implementacije;

ranjivosti informacionog sistema ili sistema protivmera (sistema bezbednosti informacija) koje utiču na verovatnoću realizacije pretnje; - rizik - faktor koji odražava moguću štetu organizaciji kao rezultat implementacije prijetnje sigurnosti informacija: curenje informacija i njihova zloupotreba (rizik na kraju odražava vjerovatne finansijske gubitke - direktne ili indirektne).

Za kreiranje efikasne sigurnosne politike, pretpostavlja se da se na početku izvrši analiza rizika u oblasti informacione sigurnosti. Zatim odrediti optimalni nivo rizika za preduzeće na osnovu navedenog kriterijuma. Sigurnosna politika i odgovarajući sistem korporativne zaštite informacija moraju biti izgrađeni na način da se postigne zadati nivo rizika.

Predložena metodologija za razvoj politike informacione sigurnosti za savremeno preduzeće omogućava vam da u potpunosti analizirate i dokumentujete zahtjeve koji se odnose na osiguranje informacione sigurnosti, izbjegnete troškove nepotrebnih mjera sigurnosti koje su moguće uz subjektivnu procjenu rizika, pružite pomoć u planiranju i implementiranje zaštite u svim fazama životnog ciklusa informacionih sistema, obezbediti da se rad obavi u kratkom roku, dati opravdanje za izbor kontramera, proceniti efikasnost protivmera, uporediti razne opcije protumjere

U toku rada moraju se utvrditi granice studije. Za to je potrebno izdvojiti resurse informacionog sistema za koje će se u budućnosti vršiti procjene rizika. U ovom slučaju potrebno je razdvojiti resurse koji se razmatraju i eksterne elemente sa kojima se ostvaruje interakcija. Resursi mogu biti računarska oprema, softver, podaci, kao i informacioni resursi - pojedinačni dokumenti i pojedinačni nizovi dokumenata, dokumenata i nizovi dokumenata u informacionim sistemima (biblioteke, arhivi, fondovi, banke podataka, drugi informacioni sistemi). Primjeri eksternih elemenata su komunikacione mreže, eksterne usluge itd.

Prilikom izgradnje modela, odnosi između resursa će se uzeti u obzir. Na primjer, kvar bilo koje opreme može dovesti do gubitka podataka ili kvara druge kritične opreme. važan element sistemima. Takvi odnosi određuju osnovu za konstruisanje modela organizacije sa stanovišta bezbednosti informacija.

Ovaj model, u skladu sa predloženom metodologijom, konstruisan je na sledeći način: za dodeljena sredstva utvrđuje se njihova vrednost, kako sa stanovišta mogućih finansijskih gubitaka u vezi sa njima, tako i sa stanovišta štete po ugled. organizacije, prekid njenih aktivnosti i nematerijalna šteta od otkrivanja povjerljivih informacija itd. Zatim se opisuju odnosi resursa, identifikuju sigurnosne prijetnje i procjenjuje se vjerovatnoća njihove implementacije.

Na osnovu konstruisanog modela moguće je razumno odabrati sistem kontramera koje smanjuju rizike na prihvatljiv nivo i imaju najveću troškovno efikasnost. Dio sistema protivmjera će uključivati ​​preporuke za redovne kontrole efikasnost sistema zaštite.

Osiguravanje povećanih zahtjeva za sigurnošću informacija zahtijeva odgovarajuće mjere u svim fazama životnog ciklusa informacione tehnologije. Planiranje ovih aktivnosti vrši se nakon završetka analize rizika i faze odabira protivmjera. Obavezna komponenta ovih planova je periodična provera usklađenosti postojećeg režima informacione bezbednosti sa bezbednosnom politikom, sertifikacija informacionog sistema (tehnologije) za usklađenost sa zahtevima određenog bezbednosnog standarda.

Po završetku radova biće moguće odrediti mjeru garancije sigurnosti informacionog okruženja, na osnovu procjene sa kojom se može vjerovati informacionom okruženju objekta. Ovaj pristup pretpostavlja da veća sigurnost dolazi iz većeg napora u provođenju procjene sigurnosti. Adekvatnost procene zasniva se na uključivanju u proces procene većeg broja elemenata informacionog okruženja objekta, dubini postignutoj upotrebom većeg broja projekata i opisima detalja implementacije prilikom projektovanja sigurnosnog sistema, strogosti , koji se sastoji u korištenju većeg broja alata za pretraživanje i metoda usmjerenih na otkrivanje manje očiglednih ranjivosti ili smanjenje vjerovatnoće njihovog prisustva.

Važno je zapamtiti da je prije implementacije bilo kakvog rješenja za sigurnost informacija potrebno razviti sigurnosnu politiku koja je adekvatna ciljevima i zadacima modernog preduzeća. Konkretno, sigurnosna politika treba da opisuje kako se dodjeljuju i koriste prava pristupa korisnika, kao i zahtjeve za odgovornost korisnika za njihove sigurnosne radnje. Sistem bezbednosti informacija (ISS) će biti efikasan ako pouzdano podržava usklađenost sa pravilima bezbednosne politike, i obrnuto. Faze izgradnje sigurnosne politike su uvođenje strukture vrijednosti u opis objekta automatizacije i provođenje analize rizika, te definiranje pravila za svaki proces korištenja ove vrste pristupa resursima objekta automatizacije koji imaju zadati stepen vrijednost. U ovom slučaju, preporučljivo je formalizirati sigurnosnu politiku u obliku posebnog dokumenta i odobriti je od strane menadžmenta preduzeća.

4.Formulacija problema

Za postizanje ovog cilja potrebno je riješiti sljedeće zadatke:

· Odrediti ciljeve i ciljeve informacione sigurnosti u preduzeću.

· Odaberite model sigurnosne politike za ovu organizaciju.

· Kreirajte pristupnu matricu

· Odredite grupu zahtjeva za govornike

· Odredite sigurnosnu klasu zvučnika i zahtjeve za njega

· Identifikovati glavne objekte zaštite u preduzeću

· Odrediti predmet zaštite u preduzeću

· Identifikovati moguće pretnje zaštićenim informacijama u preduzeću i njihovoj strukturi

· Identifikovati izvore, vrste i metode destabilizirajućeg uticaja na zaštićene informacije u preduzeću

· Identifikovati kanale i metode neovlašćenog pristupa zaštićenim informacijama u preduzeću

· Odrediti glavne pravce, metode i sredstva zaštite informacija u preduzeću

Ciljevi zaštite informacija preduzeća su:

· sprečavanje krađe, curenja, gubitka, izobličenja, krivotvorenja povjerljivih informacija (poslovne tajne i ličnih podataka);

· sprečavanje ugrožavanja sigurnosti pojedinaca i preduzeća;

· sprečavanje neovlašćenih radnji uništavanja, modifikacije, iskrivljavanja, kopiranja, blokiranja povjerljivih informacija;

· sprečavanje drugih oblika nezakonitog mešanja u informacione resurse i sisteme, obezbeđivanje pravnog režima dokumentovanih informacija kao predmeta svojine;

· zaštita ustavnih prava građana na čuvanje lične tajne i povjerljivost ličnih podataka dostupnih u informacionim sistemima;

· čuvanje povjerljivosti dokumentovanih informacija u skladu sa zakonom.

Poslovi zaštite informacija u preduzeću uključuju:

Pružanje usluga upravljanja, finansijskih i marketinških aktivnosti preduzeća osjetljivim informacionim uslugama, odnosno snabdijevanje svih službi, odjeljenja i službenika potrebnim informacijama, povjerljivim i neklasificiranim.

Garantovanje sigurnosti informacija i njihovih sredstava, sprečavanje curenja zaštićenih informacija i sprečavanje svakog neovlašćenog pristupa medijima poverljivih informacija.

Razvoj mehanizama za brzo reagovanje na pretnje, korišćenje pravnih, ekonomskih, organizacionih, socio-psiholoških, inženjerskih i tehničkih sredstava i metoda za identifikaciju i neutralisanje izvora pretnji po bezbednost preduzeća.

Dokumentovanje procesa zaštite informacija, posebno informacija koje predstavljaju poslovnu tajnu.

Organizacija posebnog kancelarijskog rada koji isključuje neovlašćeno primanje povjerljivih informacija.

· Nalozi, odluke, propisi, uputstva, sporazumi i obaveze neotkrivanja podataka, nalozi, ugovori, planovi, izvještaji, izjave o upoznavanju sa Pravilnikom o povjerljivim informacijama i drugim dokumentima koji predstavljaju poslovnu tajnu, u papirnoj i elektronskoj formi.

2. Dizajnerski dio

Efikasnost savremene organizacije danas sve više određuje stepen upotrebe informacionih tehnologija u procesu njenog funkcionisanja. Kontinuirano se povećava kako obim informacija koje se obrađuju elektronski, tako i broj različitih informacionih sistema. S tim u vezi, razvoj bezbednosne politike i zaštita informacija u preduzeću dolazi do izražaja u zadatku obezbeđivanja bezbednosti preduzeća.

Osiguranje zaštite informacija zahtijeva zaštitu nekoliko vrsta tajni: komercijalnih i ličnih podataka. Najvažnija je zaštita ličnih podataka, jer se povjerenje kupaca prvenstveno zasniva na pružanju njihovih ličnih podataka, a samim tim i na njihovom čuvanju od strane zaposlenih u organizaciji.

Stoga je svrha osiguranja sigurnosti u radionici da se razvije sigurnosna politika i osigura pouzdana zaštita informacije u preduzeću za njegovo normalno funkcionisanje.

1 Izbor i opravdanje modela sigurnosti informacija

Glavni objekti zaštite u studiju su:

· osoblje (budući da je ovim osobama dozvoljeno da rade sa zakonom zaštićenim informacijama (poslovne tajne, lični podaci) ili imaju pristup prostorijama u kojima se ti podaci obrađuju)

· objekti informatizacije - alati i sistemi informatizacije, tehnička sredstva za prijem, prenos i obradu informacija, prostorije u kojima su instalirani,

· ograničene informacije:

poslovna tajna (podaci o korištenim izvornim metodama upravljanja preduzećem, podaci o pripremi, donošenju i izvršavanju pojedinačnih odluka uprave preduzeća o komercijalnim, organizacionim i drugim pitanjima; podaci o činjenicama ponašanja, ciljevima, predmetu i rezultatima sastanci i sastanci organa upravljanja organizacije (upravljačkih partnera itd.);

lični podaci zaposlenih (prezime, ime, patronime, godina, mjesec, datum i mjesto rođenja, adresa, bračno stanje, obrazovanje, zanimanje, stručnost, prihod, kazneni dosije i neki drugi podaci potrebni poslodavcu u vezi sa radnih odnosa i koji se odnose na određenog zaposlenog).

lični podaci klijenata (prezime, ime, patronime, datum rođenja, broj telefona, podaci o narudžbi i lični popusti)

javne informacije zaštićene od gubitka:

dokumentovane informacije o statusu preduzeća, pravima, dužnostima i odgovornostima njegovih zaposlenih (Povelj, evidencija, ugovor o osnivanju, propisi o delatnosti, propisi o strukturnim podelama, opisi poslova zaposlenih)

· materijalni medij informacija zaštićenih zakonom (lični dosijei zaposlenih, lični dosijei klijenata, elektronske baze podataka zaposlenih i klijenata, papirni mediji i elektronske opcije nalozi, odluke, planovi, ugovori, izvještaji koji predstavljaju poslovnu tajnu)

alati za sigurnost informacija ( antivirusni programi, alarmni i video nadzor, sistem protivpožarne zaštite.)

· tehnološki otpad (smeće) nastao kao rezultat obrade informacija zaštićenih zakonom (lični dosijei bivših klijenata i zaposlenih)

Predmet zaštite informacija u studiju je informativni medij na kojem se snimaju i prikazuju zaštićene informacije:

· Lični dosijei klijenata u papirnom i elektronskom obliku (baza podataka klijenata i zaposlenih);

· Nalozi, odluke, propisi, uputstva, sporazumi i obaveze neotkrivanja podataka, nalozi, ugovori, planovi, izvještaji, izjave o upoznavanju sa Pravilnikom o povjerljivim informacijama i drugim dokumentima koji predstavljaju poslovnu tajnu, u papirnoj i elektronskoj formi.

Prijetnje zaštićenim informacijama.

Spoljne pretnje:

· Konkurenti (privatni studiji koji su konkurenti Vilden studiju);

· Organi uprave (državni organi);

· Kriminalci.

Insajderske prijetnje:

· Osoblje;

· Administracija preduzeća.

Klasifikacija prijetnji:

Po objektima:

1. Osoblje;

2. Materijalna sredstva;

3. Finansijske vrijednosti.

Po oštećenju:

1. Materijal;

2. Moral.

Po visini štete:

1. Ultimate (potpuna propast);

2. Značajan (neki bruto prihod);

3. Manji (gubitak dobiti).

U odnosu na objekat:

1. Interni;

2. Eksterni.

Prema vjerovatnoći pojave:

1. Vrlo vjerovatno;

2. Vjerovatno;

3. Malo vjerovatno.

Po prirodi uticaja:

1. Aktivan;

2. Pasivno.

Zbog manifestacije:

1. Prirodni;

2. Namjerno.

Izvori destabilizirajućeg uticaja na informacije uključuju:

tehnička sredstva za prikazivanje (snimanje), skladištenje, obradu, reprodukciju, prijenos informacija, sredstva komunikacije i sisteme za osiguranje njihovog funkcionisanja;

prirodne pojave.

Vrste i metode destabilizirajućeg uticaja na zaštićene informacije razlikuju se prema izvorima uticaja. Najveći broj vrsta i metoda destabilizirajućih efekata odnosi se na ljude.

Moguće su sljedeće vrste utjecaja ljudi koji dovode do uništenja, izobličenja i blokiranja:

Direktan uticaj na medije zaštićenih informacija.

Neovlaštena distribucija povjerljivih informacija.

Kvar tehničkih sredstava za prikazivanje, skladištenje, obradu, reprodukciju, prenos informacija i komunikacija.

Kršenje režima rada navedenih sredstava i tehnologije obrade informacija.

Kvar i poremećaj režima rada sistema koji osiguravaju funkcionisanje imenovanih sredstava.

verbalni prijenos (poruka) informacija;

Prijenos kopija (slika) medija za pohranu;

Prikaz medija za pohranu;

Unošenje informacija u računalne mreže;

korištenje informacija u otvorenim javnim govorima, uklj. na radiju, televiziji;

gubitak medija za skladištenje.

Metode ometanja rada tehničkih sredstava prikazivanja, skladištenja, obrade, reprodukcije, prijenosa informacija, komunikacionih sredstava i tehnologije obrade informacija, koje dovode do uništenja, izobličenja i blokiranja informacija, mogu biti:

oštećenje pojedinih elemenata fondova;

kršenje pravila za rad fondova;

unošenje izmjena u proceduru obrade informacija;

infekcija programa za obradu informacija zlonamjernim softverom;

izdavanje pogrešnih softverskih komandi;

prekoračenje procijenjenog broja zahtjeva;

stvaranje smetnji na radiju uz pomoć dodatnog zvuka ili pozadinske buke, mijenjanje (preklapanja) frekvencija prijenosa informacija;

prijenos lažnih signala - povezivanje filtera za suzbijanje na informacijske krugove, strujne i uzemljujuće krugove;

kršenje (promjena) načina rada sistema za osiguranje funkcionisanja fondova.

Vrste destabilizujućih efekata na zaštićene informacije od tehničkih sredstava za prikazivanje, skladištenje, obradu, reprodukciju, prenos informacija i komunikacionih sredstava i sistema za obezbeđivanje njihovog funkcionisanja uključuju kvar sredstava; kvarovi opreme i stvaranje elektromagnetnog zračenja.

Najvjerovatniji kanali curenja informacija uključuju:

· vizuelno posmatranje;

· prisluškivanje;

· tehnički nadzor;

· direktno ispitivanje, ispitivanje;

· upoznavanje sa materijalima, dokumentima, proizvodima itd.;

· zbirka otvorene dokumente i drugi izvori informacija;

· krađa dokumenata i drugih izvora informacija;

· proučavanje više izvora informacija koji sadrže potrebne informacije u dijelovima.

Oblasti zaštite informacija.

Pravna zaštita - posebna pravna pravila, procedure i mjere stvorene za osiguranje informacione sigurnosti preduzeća.

Organizaciona zaštita je regulisanje proizvodnih aktivnosti i odnosa između izvođača na pravnom osnovu korišćenjem štete. Organizacijska zaštita pruža:

Organizacija sigurnosnog režima, rad sa osobljem, dokumentacija;

Upotreba tehničke sigurnosne opreme;

Korištenje informacija i analitičkog rada za prepoznavanje prijetnji.

Inženjerska i tehnička zaštita - korištenje različitih tehničkih sredstava za osiguranje zaštite povjerljivih informacija. Inženjerska i tehnička zaštita koristi sredstva kao što su:

Fizički - uređaji, inženjerske konstrukcije, organizacione mjere koje isključuju ili ometaju prodor do izvora povjerljivih informacija (sistemi ograda, sistemi kontrole pristupa, uređaji za zaključavanje i prostori za skladištenje);

Hardver - uređaji koji štite od curenja, otkrivanja i tehničkih sredstava industrijske špijunaže

Softver.

Metode sigurnosti informacija.

Glavne metode koje se koriste za zaštitu informacija su sljedeće:

· implementacija sistema izdavanja dozvola za pristup korisnicima (uslužnom osoblju) informacionim resursima, informacionom sistemu i radovima i dokumentima koji se odnose na njegovo korišćenje;

· diferencijacija pristupa korisnika i uslužnog osoblja informacionim resursima, softveru za obradu (prenos) i zaštitu informacija;

· redundantnost tehničkih sredstava, dupliranje nizova i medija za skladištenje podataka;

· korištenje mjera sigurnosti informacija koje su prošle kroz njih na propisan način postupak ocjenjivanja usklađenosti;

· organizacija fizičke zaštite prostorija i stvarnih tehničkih sredstava koja omogućavaju obradu ličnih podataka;

· sprečavanje prodora u informacione sisteme malware(virusni programi) i softverske oznake.

Principi za snimanje povjerljivih informacija:

obavezna registracija svih medija zaštićenih informacija;

jednokratna registracija određenog nosioca takvih informacija;

naznaku u evidenciji adrese na kojoj se trenutno nalazi ovaj medij povjerljive informacije;

isključivu odgovornost za sigurnost svakog medija zaštićene informacije i odraz ovih informacija u korisničkim nalozima u ovom trenutku, kao i svih prethodnih korisnika ovih informacija.

Alati za sigurnost informacija

Sredstva informacione sigurnosti su skup inženjerskih, električnih, elektronskih, optičkih i drugih uređaja i uređaja, instrumenata i tehničkih sistema, kao i drugih materijalnih elemenata koji se koriste za rješavanje različitih problema zaštite informacija, uključujući sprječavanje curenja i osiguranje sigurnosti zaštićenog informacije.

Kao osnova za klasifikaciju alata za sigurnost informacija koriste se glavne grupe zadataka koji se rješavaju korištenjem tehničkih sredstava:

stvaranje fizičkih (mehaničkih) prepreka pristupu napadača medijima za pohranu informacija (rešetke, sefovi, brave, itd.);

otkrivanje pokušaja prodora u bezbednosni objekat, do mesta gde su koncentrisani zaštićeni nosioci informacija (elektronski i elektrooptički alarmi);

upozorenje na hitne slučajeve (požar, poplava, itd.) i reagovanje u vanrednim situacijama (oprema za gašenje požara, itd.);

održavanje komunikacije sa različitim odjeljenjima, prostorijama i drugim mjestima obezbjeđenja;

neutralizacija, apsorpcija ili refleksija zračenja od eksploatiranih ili testiranih proizvoda (ekrana, zaštitni filteri, razdjelni uređaji u mrežama napajanja itd.);

sveobuhvatna provjera tehničkih sredstava za obradu informacija i dodijeljenih prostorija na usklađenost sa sigurnosnim zahtjevima obrađenih govorne informacije utvrđeni standardi;

sveobuhvatna zaštita informacija u automatizovanim sistemima za obradu podataka korišćenjem filtera, elektronskih brava i ključeva u cilju sprečavanja neovlašćenog pristupa, kopiranja ili izobličenja informacija.

Poznavanje mogućnosti metoda i sredstava zaštite informacija omogućava vam da ih aktivno i sveobuhvatno primjenjujete prilikom razmatranja i korištenja zakonskih, organizacijskih i inženjerskih mjera za zaštitu povjerljivih informacija.

Model sigurnosne politike.

Trenutno se najbolje proučavaju dvije vrste sigurnosnih politika: diskrecione i obavezne, zasnovane na selektivnim i autoritativnim metodama kontrole pristupa.

Treba napomenuti da sigurnosne mjere dizajnirane za implementaciju bilo koje od gore navedenih metoda kontrole pristupa samo pružaju mogućnost pouzdane kontrole pristupa ili tokova informacija. Utvrđivanje prava pristupa subjekata objektima i/ili tokovima informacija (ovlasti subjekata i atributi objekata, dodjela oznaka kritičnosti i sl.) je u nadležnosti sistemske administracije.

Obavezna kontrola pristupa (MAC) sistemu znači da je dostupnost informacija nezavisna od njihovog vlasnika. U pravilu se u takvim slučajevima kontrola pristupa implementira na osnovu svojstava same informacije i svojstava onih koji im žele pristupiti prema pravilima neovisnim od njih oboje.

Tipično za modele namenjene za implementaciju u vojnim i državnim odbrambenim sistemima.

Strogo govoreći, kriteriji za određivanje kojoj klasi pripada određena metoda kontrole pristupa ne pružaju uvijek definitivan rezultat, ali su prilično precizni za većinu klasičnih modela sigurnosne politike.

Osnova diskrecione (diskretne) bezbednosne politike je diskreciona kontrola pristupa (DAC), koja je definisana sa dva svojstva:

· prava pristupa subjektu objektu sistema određuju se na osnovu nekog pravila izvan sistema;

· svi subjekti i objekti moraju biti identifikovani.

Diskreciona kontrola pristupa je metoda ograničavanja pristupa objektima, koja se zasniva na činjenici da neki subjekt (obično vlasnik objekta) može po svom nahođenju dati ili oduzeti drugim subjektima prava pristupa objektu.

Ovaj model implementira diskrecionu (arbitrarnu) kontrolu pristupa subjekta objektima i kontrolu distribucije prava pristupa.

2 Izbor i opravdanost fizičkih (nekompjuterskih) mjera zaštite informacija

Mjere zaštite fizičkih informacija uključuju:

zaštita od požara;

zaštita od vode;

zaštita od korozivnih plinova;

zaštita od elektromagnetnog zračenja;

zaštita od krađe i krađe;

zaštita od eksplozije;

zaštita od otpada koji pada;

zaštita od prašine;

zaštita od neovlašćenog pristupa prostorijama.

Prije svega, potrebno je pripremiti prostoriju u kojoj će se nalaziti računar.

Pametan korak bi bio da onemogućite neiskorištene disk jedinice, paralelne i serijske portove na vašem računaru. Preporučljivo je zapečatiti njegovo tijelo. Sve će to zakomplicirati krađu ili zamjenu informacija čak i ako napadač nekako uđe u prostoriju. Ne biste trebali zanemariti takve trivijalne zaštitne mjere kao što su željezne rešetke i vrata, kombinovane brave i CCTV kamere koje će kontinuirano snimati sve što se dešava u ključnim prostorijama ureda.

Još jedna uobičajena greška je vezana za sigurnosne kopije. Svi znaju za njegovu neophodnost, kao i za činjenicu da u slučaju požara morate imati aparat za gašenje požara. Ali iz nekog razloga zaboravljaju da rezervne kopije ne mogu biti pohranjene u istoj prostoriji kao i računar. Kao rezultat toga, pošto su se zaštitile od informacionih napada, kompanije se nađu bespomoćne čak i pred malom vatru u kojoj promišljeno napravljene kopije nestaju zajedno sa računarom.

Često, čak i nakon zaštite računara, zaborave da je i svim vrstama žica potrebna zaštita - kablovski sistem mreže. Štoviše, često se morate bojati ne uljeza, već najobičnijih čistača, koji se zasluženo smatraju najstrašnijim neprijateljima lokalnih mreža. Najbolja opcija za zaštitu kablova je kutija, ali, u principu, bilo koja druga metoda koja vam omogućava da sakrijete i sigurno učvrstite žice će biti dovoljna. Međutim, ne biste trebali gubiti iz vida mogućnost povezivanja s njima izvana kako biste presreli informacije ili stvorili smetnje, na primjer, kroz strujno pražnjenje. Mada, mora se priznati da ova opcija nije baš česta i da se uočava tek kada dođe do poremećaja u radu velikih kompanija.

Pored interneta, računari su uključeni u još jednu mrežu - običnu električnu. S tim se odnosi još jedna grupa problema fizičko obezbeđenje kompjuteri. Nije tajna da je kvalitet modernih energetskih mreža daleko od idealnog. Čak i ako nema vanjskih znakova anomalija, vrlo često je napon u električnoj mreži veći ili niži od normalnog. Međutim, većina ljudi ni ne sumnja da postoje problemi sa napajanjem u njihovoj kući ili uredu.

Podnapon je najčešća anomalija i čini oko 85%. ukupan broj razni problemi sa strujom. Njegov uobičajeni uzrok je nestašica struje, što je posebno česta pojava u zimskim mjesecima. Prenapon je gotovo uvijek rezultat neke vrste nezgode ili oštećenja ožičenja u prostoriji. Često, kao rezultat isključenja zajedničke neutralne žice, susjedne faze su pod naponom od 380 V. Također se dešava da se u mreži javlja visoki napon zbog nepravilnog prebacivanja žica.

Izvori impulsnih i visokofrekventnih smetnji mogu biti pražnjenja groma, uključivanje i isključivanje snažnih potrošača električne energije, havarije na trafostanicama, kao i rad nekih kućni električni aparati. Najčešće se takve smetnje javljaju u velikim gradovima i industrijskim područjima. Impulsi napona sa trajanjem od nanosekundi (10~9 s) do mikrosekundi (10~6 s) mogu dostići amplitudu od nekoliko hiljada volti. Mikroprocesori i druge elektronske komponente su najosjetljivije na takve smetnje. Neprigušeni pulsni šum često može dovesti do ponovnog pokretanja računara ili greške u obradi podataka. Ugrađeno napajanje računara, naravno, djelimično izglađuje skokove napona, štiteći elektronske komponente računara od kvara, ali zaostala buka i dalje smanjuje vijek trajanja opreme i također dovodi do povećanja temperature u napajanju računara. .

Da biste zaštitili računare od visokofrekventnog impulsnog šuma, koristite mrežne filtere (na primjer, Pilot brand), koji štite opremu od većine smetnji i napona. Pored toga, računari sa važnim informacijama treba da budu opremljeni izvorom neprekidno napajanje(UPS). Moderni UPS modeli ne samo da održavaju rad računara kada se nestane struje, već ga i isključuju iz mreže ako su parametri mreže izvan prihvatljivog opsega.

3 Izbor i opravdanost mjera zaštite hardverskih (računarskih) informacija

Hardver je tehničko sredstvo koje se koristi za obradu podataka. Tu spadaju: Personalni računar (skup tehničkih sredstava namenjenih za automatsku obradu informacija u procesu rešavanja računarskih i informacionih problema).

Periferna oprema (skup eksternih računarskih uređaja koji nisu pod direktnom kontrolom centralnog procesora).

Fizički medij kompjuterskih informacija.

Hardverska zaštita uključuje različite elektronske, elektronsko-mehaničke i elektrooptičke uređaje. Do danas je razvijen značajan broj hardverskih proizvoda za razne namjene međutim, najrašireniji su:

posebni registri za čuvanje sigurnosnih detalja: lozinke, identifikacioni kodovi, pečati ili sigurnosni nivoi;

generatori kodova dizajnirani da automatski generiraju identifikacijski kod uređaja;

uređaji za mjerenje individualnih karakteristika osobe (glas, otisci prstiju) u svrhu identifikacije;

posebni bitovi privatnosti, čija vrijednost određuje nivo privatnosti informacija pohranjenih u memoriji kojoj ovi bitovi pripadaju;

kola za prekid prenosa informacija u komunikacijskoj liniji radi periodične provjere izlazne adrese podataka Posebna i najraširenija grupa hardverskih sigurnosnih uređaja su uređaji za šifriranje informacija (kriptografske metode).

Hardver je osnova za izgradnju sistema zaštite od neovlašćenog pristupa informacijama

Devedesetih godina, zaposleni u OKB SAPR razvili su metodologiju za korištenje hardverske zaštite, priznatu neophodna osnova izgradnju sistema za zaštitu od neovlašćenog pristupa informacijama. Glavne ideje ovog pristupa su sljedeće:

integrisani pristup rešavanju pitanja zaštite informacija u automatizovanim sistemima (AS) od neovlašćenog pristupa. Prepoznavanje multiplikativne paradigme zaštite i, kao posledica toga, jednaka pažnja na pouzdanost sprovođenja kontrolnih postupaka u svim fazama rada NE;

“materijalističko” rješenje “glavnog pitanja” informacione sigurnosti: “šta je prvo – tvrdo ili meko?”;

dosledno odbacivanje softverskih metoda kontrole kao očigledno nepouzdanih i prenošenje najkritičnijih kontrolnih procedura na nivo hardvera;

maksimalno moguće razdvajanje uslovno konstantnih i uslovno promenljivih elemenata upravljačkih operacija;

izgradnju sredstava za zaštitu informacija od neovlašćenog pristupa (IPS NSD), što je moguće nezavisnije od operativnih i fajl sistema koji se koriste u AS. Ovo je implementacija procedura identifikacije/autentifikacije, praćenje integriteta hardvera i softver AC prije učitavanja operativnog sistema, administracije itd.

Navedeni principi hardverske zaštite implementirani su u hardversko-softverski kompleks za zaštitu informacija od neovlaštenog pristupa - hardverski pouzdani boot modul - "Accord-AMDZ". Ovaj kompleks pruža pouzdani način pokretanja u raznim operativnim okruženjima: MS DOS, Windows 3.x, Windows 9.x, Windows NT/2000/XP, OS/2, Unix, Linux.

Hardverska informaciona bezbednost obuhvata elektronske i elektronsko-mehaničke uređaje koji su uključeni u tehnička sredstva računarskog sistema i obavljaju (samostalno ili u sprezi sa softverom) neke funkcije obezbeđenja informacione bezbednosti. Kriterijum za razvrstavanje uređaja kao hardvera, a ne kao inženjerskog sredstva zaštite je njegovo obavezno uključivanje u tehnička sredstva.

Glavni alati za zaštitu hardverskih informacija uključuju:

uređaji za unos podataka za identifikaciju korisnika (magnetne i plastične kartice, otisci prstiju itd.);

Uređaji za šifriranje informacija;

uređaji za sprječavanje neovlaštenog aktiviranja radnih stanica (elektronske brave i blokade).

Primjeri pomoćnog hardvera za informacijsku sigurnost:

Uređaji za uništavanje informacija na magnetskim medijima;

alarmni uređaji o pokušajima neovlašćenih radnji od strane korisnika računara itd.

Hardver privlači sve veću pažnju stručnjaka ne samo zato što ih je lakše zaštititi od oštećenja i drugih slučajnih ili zlonamjernih utjecaja, već i zato što je hardverska implementacija funkcija brža od softvera, a njihova cijena stalno opada.

Na tržištu sigurnosnog hardvera pojavljuje se sve više novih uređaja. Ispod je opis elektronske brave kao primjer.

Elektronska brava "Sable". “Sobol”, koji je razvio i isporučio ZAO NIP “Informzashita”, pruža sljedeće funkcije zaštite:

identifikacija i autentikacija korisnika;

praćenje integriteta fajlova i fizičkih sektori hard disk;

blokiranje učitavanja OS sa disketa i CD-ROM-a;

blokiranje prijave registriranog korisnika ako premaši određeni broj neuspjeli pokusaji ulaz;

registracija događaja vezanih za sigurnost sistema.

Sigurnosni hardver operativnog sistema tradicionalno se podrazumijeva kao skup alata i metoda koji se koriste za rješavanje sljedećih problema:

operativni i virtuelna memorija kompjuter;

raspodjela procesorskog vremena između zadataka u višezadaćnom operativnom sistemu;

sinhronizaciju izvršavanja paralelnih zadataka u višezadaćnom operativnom sistemu;

osiguravanje zajedničkog pristupa zadataka resursima operativnog sistema.

Navedeni zadaci se u velikoj mjeri rješavaju korištenjem hardverski implementiranih funkcija procesora i ostalih komponenata računala. Međutim, u pravilu se za rješavanje ovih problema koristi i softver, pa termini „hardverska zaštita“ i „hardverska zaštita“ nisu sasvim tačni. Međutim, pošto su ovi uslovi zapravo opšte prihvaćeni, mi ćemo ih koristiti.

4 Izbor i opravdanost softverskih mjera za zaštitu informacija

Softver za informacijsku sigurnost znači specijalni programi, uključen u kompjuterski softver isključivo za obavljanje zaštitnih funkcija.

Glavni softverski alati za sigurnost informacija uključuju:

Računalni programi za identifikaciju i autentifikaciju korisnika;

Programi za ograničavanje pristupa korisnika računalnim resursima;

Programi za šifriranje informacija;

programi za zaštitu informacionih resursa (sistemski i aplikativni softver, baze podataka, kompjuterski alati za obuku, itd.) od neovlašćenih modifikacija, korišćenja i kopiranja.

Mora se shvatiti da se identifikacija, u odnosu na osiguranje informacione sigurnosti računara, shvata kao nedvosmisleno prepoznavanje jedinstvenog imena subjekta računara. Autentifikacija znači potvrđivanje da predstavljeno ime odgovara datom subjektu (potvrđivanje identiteta subjekta).

Softver za informacijsku sigurnost također uključuje:

programi revizije (vođenje dnevnika) događaja vezanih za kompjutersku sigurnost kako bi se osigurala mogućnost oporavka i dokaza o nastanku ovih događaja;

programi za simulaciju rada sa prekršiocem (odvraćaju ga da dobije navodno povjerljive informacije);

programi za testiranje računarske bezbednosti itd.

Prednosti softvera za sigurnost informacija uključuju:

lakoća replikacije;

fleksibilnost (može se prilagoditi raznim uslovima aplikacije koje uzimaju u obzir specifičnosti pretnji po bezbednost informacija određenih računara);

jednostavnost upotrebe - neki softverski alati, na primjer enkripcija, rade u "transparentnom" (korisniku nevidljivom) načinu rada, dok drugi ne zahtijevaju nikakve nove (u poređenju sa drugim programima) vještine od korisnika;

praktično neograničene mogućnosti za njihov razvoj unošenjem izmjena kako bi se uzele u obzir nove prijetnje sigurnosti informacija.

Nedostaci softvera za informacijsku sigurnost uključuju:

smanjenje efikasnosti računara usled potrošnje njegovih resursa potrebnih za funkcionisanje zaštitnih programa;

više niske performanse(u poređenju sa hardverskim sigurnosnim alatima koji obavljaju slične funkcije, kao što je šifriranje);

spajanje mnogih alata za zaštitu softvera (a ne njihova ugrađena priroda u kompjuterski softver, sl. 4 i 5), što stvara fundamentalnu mogućnost da ih uljez zaobiđe;

mogućnost zlonamerne modifikacije softverske zaštite tokom rada računara.

Specijalizirani softverski alati za zaštitu informacija od neovlaštenog pristupa općenito imaju bolje mogućnosti i karakteristike od ugrađenih mrežnih OS alata. Osim programa za šifriranje, postoji mnogo drugih dostupnih eksterna sredstva zaštita informacija. Od najčešće pominjanih, treba istaći sljedeća dva sistema koja omogućavaju ograničavanje protoka informacija: firewall (bukvalno firewall – zid od vatre). Između lokalne i globalne mreže kreiraju se posebni posredni serveri, koji pregledavaju i filtriraju sav promet na nivou mreže/transporta koji prolazi kroz njih. Ovo vam omogućava da dramatično smanjite prijetnju od neovlaštenog pristupa izvana korporativnim mrežama, ali ne eliminiše ovu opasnost u potpunosti. Sigurnija verzija metode je metoda maskiranja, kada sve dolazi iz lokalna mreža promet se šalje u ime firewall servera, čineći lokalnu mrežu gotovo nevidljivom serveri (proxy - punomoćje, osoba od povjerenja). Sav promet mrežnog/transportnog sloja između lokalne i globalne mreže potpuno je zabranjen - jednostavno nema rutiranja kao takvog, a pozivi iz lokalne mreže u globalnu mrežu se odvijaju preko posebnih posredničkih servera. Očigledno je da ovom metodom pristup iz globalne mreže u lokalnu postaje u principu nemoguć. Takođe je očigledno da ova metoda ne pruža dovoljnu zaštitu od napada na više visoki nivoi- na primjer, na nivou aplikacije (virusi, Java i JavaScript kod).

Pogledajmo pobliže kako zaštitni zid radi. Ovo je metoda zaštite mreže od sigurnosnih prijetnji koje predstavljaju drugi sistemi i mreže centralizacijom pristupa mreži i njenom kontrolom putem hardvera i softvera. Firewall je zaštitna barijera sastavljena od nekoliko komponenti (na primjer, ruter ili gateway koji pokreće softver zaštitnog zida). Zaštitni zid je konfigurisan u skladu sa politikom kontrole pristupa organizacije. interna mreža. Svi dolazni i odlazni paketi moraju proći kroz zaštitni zid, koji dozvoljava prolaz samo ovlaštenim paketima.

Zaštitni zid za filtriranje paketa je ruter ili računar koji pokreće softver konfigurisan da odbije određene vrste dolaznih i odlaznih paketa. Filtriranje paketa se vrši na osnovu informacija sadržanih u TCP i IP zaglavljima paketa (adrese pošiljaoca i primaoca, brojevi njihovih portova itd.).

Firewall stručnog nivoa - provjerava sadržaj primljenih paketa na tri nivoa OSI modela - mreža, sesija i aplikacija. Da bi se postigao ovaj zadatak, koriste se posebni algoritmi za filtriranje paketa za upoređivanje svakog paketa sa poznatim obrascem ovlaštenih paketa.

Kreiranje firewall-a odnosi se na rješavanje problema zaštite. Formalna formulacija problema skrininga je sljedeća. Neka postoje dva skupa informacionih sistema. Ekran je sredstvo za razgraničenje pristupa klijenata iz jednog skupa serverima iz drugog skupa. Ekran obavlja svoje funkcije tako što kontroliše sve tokove informacija između dva skupa sistema (slika 6). Kontrola toka sastoji se od njihovog filtriranja, eventualno izvođenja nekih transformacija.

Pored funkcija kontrole pristupa, ekrani snimaju razmjenu informacija.

Obično ekran nije simetričan, za njega su definisani koncepti „iznutra“ i „spolja“. U ovom slučaju, zadatak zaštite je formuliran kao zaštita unutrašnjeg područja od potencijalno neprijateljskog vanjskog. Stoga se firewall (FiW) najčešće instaliraju za zaštitu korporativne mreže organizacije koja ima pristup Internetu.

Zaštita pomaže u održavanju dostupnosti usluga interne domene tako što smanjuje ili eliminira opterećenje uzrokovano vanjskim aktivnostima. Smanjuje se ranjivost internih sigurnosnih servisa, jer napadač u početku mora posebno pažljivo savladati ekran na kojem su zaštitni mehanizmi konfigurisani. Osim toga, sistem zaštite, za razliku od univerzalnog, može se projektovati na jednostavniji, a samim tim i sigurniji način.

Zaštita takođe omogućava kontrolu tokova informacija usmerenih ka eksternom području, što pomaže u održavanju režima poverljivosti u informacionom sistemu organizacije.

Zaštita može biti djelomična, štiteći određene informacijske usluge (na primjer, zaštitu e-pošte).

Ograničavajući interfejs se takođe može smatrati vrstom zaštite. Nevidljivu metu je teško napasti, posebno sa fiksnim setom oružja. U tom smislu, web interfejs ima prirodnu sigurnost, posebno kada se hipertekstualni dokumenti generišu dinamički. Svaki korisnik vidi samo ono što bi trebalo da vidi. Može se povući analogija između dinamički generiranih hipertekstualnih dokumenata i reprezentacija u relacione baze podataka podataka, uz značajnu napomenu da je u ovom slučaju Web mogućnosti znatno šire.

Uloga skrininga Web servisa se jasno manifestuje kada ovaj servis obavlja posredničke (tačnije, integrativne) funkcije prilikom pristupa drugim resursima, na primer, tabelama baze podataka. Ovdje se ne samo kontrolira tok zahtjeva, već se i skriva stvarna organizacija podaci.

Identifikacija korisnika se vrši pomoću pojedinačnog ključa u obliku Touch Memory „tableta“, koji ima memoriju do 64 KB, a autentifikacija se vrši pomoću lozinke dužine do 16 znakova.

Kontrola integriteta je dizajnirana da osigura da programi i datoteke korisnika, a posebno OS sistemske datoteke, nisu modificirani od strane napadača ili programske oznake koju je on uveo. Da biste to učinili, prije svega, u igru ​​ulazi parser OS fajl sistema: izračunavanje referentnih vrijednosti i njihova kontrola tijekom učitavanja implementirana je u Sobolu na razini hardvera. Konstrukcija liste kontrole integriteta objekata vrši se korišćenjem OS uslužnog programa, što u principu omogućava programu presretača da modifikuje ovu listu, ali je dobro poznato da je ukupni nivo bezbednosti sistema određen nivoom sigurnost najslabije karike.

Šifrirani disk je datoteka kontejnera koja može sadržavati bilo koje druge datoteke ili programe (mogu se instalirati i pokrenuti direktno iz ove šifrirane datoteke). Ovaj disk je dostupan samo nakon unosa lozinke za datoteku kontejnera - tada se na računaru pojavljuje drugi disk, koji sistem prepoznaje kao logičan i rad sa njim se ne razlikuje od rada sa bilo kojim drugim diskom. Nakon isključivanja pogona logički pogon nestane, on jednostavno postaje „nevidljiv“.

Danas su najčešći programi za kreiranje šifrovanih diskova DriveCrypt, BestCrypt i PGPdisk. Svaki od njih je pouzdano zaštićen od daljinskog hakovanja.

Kriptografija je nauka koja osigurava sigurnost podataka. Ona traži rješenja za četiri važna sigurnosna problema - povjerljivost, autentikacija, integritet i kontrola učesnika. Šifriranje je transformacija podataka u nečitljiv oblik pomoću ključeva za šifriranje-dešifriranje. Šifriranje vam omogućava da osigurate povjerljivost čuvanjem informacija u tajnosti od onih kojima nisu namijenjene.

Kriptografija se bavi traženjem i proučavanjem matematičkih metoda za pretvaranje informacija.

Glavna područja upotrebe kriptografskih metoda su prijenos povjerljivih informacija putem komunikacijskih kanala (na primjer, e-mail), autentifikacija prenesene poruke, skladištenje informacija (dokumenta, baza podataka) na medijima u šifriranom obliku.

Virusi mogu ući u mašinu na različite načine (preko globalne mreže, preko zaražene diskete ili fleš diska). Posljedice njihovog prodora su vrlo neugodne: od uništenja fajla do prekida rada cijelog računala. Dovoljan je samo jedan zaraženi fajl da se zaraze sve informacije na računaru, a zatim zarazi i čitava korporativna mreža.

Dr.Web Enterprise Suite je odabran za antivirusnu zaštitu. Ovaj paket pruža centralizovanu zaštitu za korporativnu mrežu bilo koje veličine. Savremeno rešenje zasnovano na Dr.Web tehnologijama za korporativne mreže, predstavlja jedinstven tehnički kompleks sa ugrađenim sistemom za centralizovano upravljanje antivirusnom zaštitom na nivou preduzeća. Dr.Web Enterprise Suite omogućava administratoru da radi i unutar mreže i na njoj udaljeni računar(putem interneta) obavljaju neophodne administrativne zadatke za upravljanje antivirusnom zaštitom organizacije.

5 Organizacijska podrška

Potcjenjivanje sigurnosnih faktora u svakodnevnom radu je Ahilova peta mnogih organizacija. Skupe sigurnosne funkcije su besmislene ako su loše dokumentirane, u sukobu s drugim softverom i ako lozinka administratora sistema nije promijenjena od instalacije.

Mogu se izdvojiti sljedeća područja svakodnevne aktivnosti:

korisnička podrška;

softverska podrška;

upravljanje konfiguracijom;

backup;

upravljanje medijima;

dokumentacija;

rutinsko održavanje.

Korisnička podrška prvenstveno uključuje pružanje savjeta i pomoći u rješavanju različitih vrsta problema. Ponekad organizacije kreiraju poseban “help desk” u tu svrhu, ali češće administrator sistema obeshrabruje korisnike. Vrlo je važno biti u stanju identificirati probleme vezane za sigurnost informacija u nizu pitanja. Stoga mnoge poteškoće za korisnike koji rade na personalnim računarima mogu biti rezultat infekcije virusom. Preporučljivo je snimiti korisnička pitanja kako biste identificirali njihove uobičajene greške i izdali podsjetnike s preporukama za uobičajene situacije.

Softverska podrška je jedno od najvažnijih sredstava za osiguranje integriteta informacija. Prije svega, morate pratiti koji softver je instaliran na vašim računarima. Ako korisnici instaliraju programe po vlastitom nahođenju, to može dovesti do zaraze virusima, kao i do pojave uslužnih programa koji zaobilaze mjere zaštite. Također je vjerovatno da će “samostalne aktivnosti” korisnika postepeno dovesti do haosa na njihovim računarima, a administrator sistema će morati da ispravi situaciju.

Drugi aspekt softverske podrške je kontrola odsustva neovlaštenih promjena programa i prava pristupa njima. Ovo takođe uključuje podršku za referentne kopije softverskih sistema. Kontrola se obično postiže kombinacijom fizičkih i logičkih kontrola pristupa, kao i upotrebom uslužnih programa za verifikaciju i integritet.

Upravljanje konfiguracijom vam omogućava da kontrolirate i bilježite promjene napravljene na konfiguraciju softvera. Prije svega, morate se osigurati od slučajnih ili loše osmišljenih modifikacija i moći se barem vratiti na prethodnu, radnu verziju. Popravljanje promjena će vam omogućiti da ih lako vratite trenutna verzija nakon pada.

Najbolji način za smanjenje grešaka u rutinski rad- automatizovati što je više moguće. U pravu su oni "lijeni" programeri i sistem administratori koji, gledajući oko sebe u more monotonih zadataka, kažu: "Nikad ovo neću, napisat ću program koji će sve učiniti umjesto mene." Automatizacija i sigurnost zavise jedna od druge; onaj kome je prvenstveno stalo da olakša svoj zadatak zapravo stvara režim informacione sigurnosti na optimalan način.

Sigurnosna kopija je neophodna za vraćanje programa i podataka nakon katastrofe. I ovdje je preporučljivo automatizirati rad, u najmanju ruku, kreiranjem kompjuterskog rasporeda za kreiranje punih i inkrementalnih kopija, a maksimalno korištenjem odgovarajućih softverskih proizvoda (vidi, na primjer, Jet Info, 2000, 12 ). Takođe je potrebno dogovoriti postavljanje kopija sigurno mjesto, zaštićen od neovlaštenog pristupa, požara, curenja, odnosno od svega što bi moglo dovesti do krađe ili oštećenja medija. Preporučljivo je imati nekoliko primjeraka rezervne kopije a neke od njih treba uskladištiti van lokacije, čime se štite od velikih nesreća i sličnih incidenata.

S vremena na vrijeme, u svrhu testiranja, trebali biste provjeriti mogućnost vraćanja informacija iz kopija.

Upravljanje medijima je neophodno kako bi se obezbijedila fizička sigurnost i računovodstvo za flopi diskove, trake, ispis itd. Upravljanje medijima mora osigurati povjerljivost, integritet i dostupnost informacija pohranjenih izvana. kompjuterski sistemi. Ispod fizička zaštita To znači ne samo odbijanje pokušaja neovlaštenog pristupa, već i zaštitu od štetnih utjecaja okruženje(toplina, hladnoća, vlaga, magnetizam). Upravljanje medijima mora pokrivati ​​cijeli životni ciklus, od nabavke do stavljanja van pogona.

Zaključak

Najvažnija mjera zaštite informacija u ovoj oblasti je jasna organizacija i kontrola upotrebe medija informisanja.

Napredak je dao čovječanstvu mnoga dostignuća, ali isti napredak je također izazvao mnogo problema. Ljudski um, rješavajući neke probleme, neminovno se susreće sa drugim, novim. Vječni problem- zaštita podataka. On razne faze Tokom svog razvoja, čovječanstvo je riješilo ovaj problem sa specifičnošću svojstvenom ovoj eri. Pronalazak računara i dalji brzi razvoj informacionih tehnologija u drugoj polovini 20. veka učinili su da problem zaštite informacija bude toliko aktuelan i akutan koliko je informatizacija aktuelna danas za čitavo društvo. Glavni trend koji karakteriše razvoj savremenih informacionih tehnologija je porast broja kompjuterskih kriminala i povezanih krađa povjerljivih i drugih informacija, kao i materijalnih gubitaka.

Danas, vjerovatno, niko ne može pouzdano navesti tačnu cifru ukupnih gubitaka od kompjuterskih zločina povezanih s neovlaštenim pristupom informacijama. Ovo se objašnjava, prije svega, nevoljkošću pogođenih kompanija da javno objave informacije o svojim gubicima, kao i činjenicom da se gubici od krađe informacija ne mogu uvijek precizno procijeniti u novčanom smislu.

Mnogo je razloga za intenziviranje kompjuterskog kriminala i povezanih finansijskih gubitaka, od kojih su najznačajniji:

prelazak sa tradicionalne “papirne” tehnologije za skladištenje i prenošenje informacija na elektronsku tehnologiju i nedovoljan razvoj tehnologije informacione bezbednosti u takvim tehnologijama;

objedinjavanje računarskih sistema, stvaranje globalnih mreža i proširenje pristupa informacionim resursima;

povećanje složenosti softvera i povezano smanjenje njihove pouzdanosti i povećanje broja ranjivosti.

Računarske mreže, zbog svoje specifičnosti, jednostavno neće moći normalno funkcionirati i razvijati se, zanemarujući probleme informacione sigurnosti.

Bibliografija

Barmen S. Razvoj pravila informacione sigurnosti. - M.: Izdavačka kuća Williams, 2002.

Bachilo I. L., Lopatin V. N., Fedotov M. A. Pravo informacija - Sankt Peterburg: Izdavačka kuća "Legal Center Press", 2001.

Biyachuev T.A. Sigurnost korporativnih mreža. Udžbenik / ur. L.G. Osovetski - Sankt Peterburg: Državni univerzitet St. Petersburg ITMO, 2004.

Crni W. Internet: sigurnosni protokoli. Obuka. - Sankt Peterburg: Petar, 2001.

Bozhday A.S., Finogeev A.G. Mrežne tehnologije. Dio 1: Tutorijal. Penza: Izdavačka kuća PSU, 2005.

Ispod sigurnosna politika organizacije razumeju skup dokumentovanih upravljačkih odluka koje imaju za cilj zaštitu informacija i povezanih resursa. Sigurnosna politika je način na koji se sprovode aktivnosti u kompjuterskom informacionom sistemu organizacije. Općenito, sigurnosne politike su određene računarskim okruženjem koje se koristi i odražavaju specifične potrebe organizacije.

Tipično, korporativni informacioni sistem je složen kompleks heterogenog, ponekad loše koordinisanog hardvera i softvera: računara, operativnih sistema, mrežnih alata, DBMS-a i raznih aplikacija. Sve ove komponente obično imaju vlastite zaštite koje je potrebno međusobno uskladiti. Stoga je efikasna sigurnosna politika veoma važna kao konzistentna platforma za osiguranje sigurnosti sistema preduzeća. Kako kompjuterski sistem raste i integriše se u globalnu mrežu, potrebno je osigurati da u sistemu nema slabih tačaka, jer se svi napori zaštite informacija mogu obezvrijediti samo jednom greškom.

Sigurnosne politike se mogu izgraditi tako da definišu ko ima pristup određenim sredstvima i aplikacijama, koje uloge i odgovornosti će imati određeni pojedinci i sigurnosne procedure koje jasno diktiraju kako bi se određeni sigurnosni zadaci trebali izvršavati. Individualne karakteristike rada zaposlenog mogu zahtijevati pristup informacijama koje ne bi trebale biti dostupne drugim zaposlenima. Na primjer, HR menadžer može imati pristup privatnim informacijama bilo kojeg zaposlenika, dok stručnjak za računovodstvo može imati pristup samo finansijskim podacima tih zaposlenika. A običan zaposlenik će imati pristup samo svojim ličnim podacima.

Sigurnosna politika definiše stav organizacije o racionalnom korišćenju računara i mreža, kao i procedure za sprečavanje i reagovanje na bezbednosne incidente. Sistem velikog preduzeća može imati širok spektar različitih politika, od poslovnih politika do specifičnih pravila za pristup skupovima podataka. Ove politike su u potpunosti određene specifičnim potrebama organizacije.

Osnovni konceptisigurnosne politike

Sigurnosna politika određuje strategiju upravljanja u oblasti informacione bezbjednosti, kao i količinu pažnje i količinu resursa koje menadžment smatra primjerenim da izdvoji.

Sigurnosna politika se zasniva na analizi rizika koji su prepoznati kao stvarni za informacioni sistem organizacije. Nakon izvršene analize rizika i utvrđivanja strategije zaštite, izrađuje se program čija implementacija treba da obezbijedi sigurnost informacija. Za ovaj program se izdvajaju sredstva, imenuju odgovorna lica, utvrđuje postupak praćenja realizacije programa itd.

Da bismo se upoznali sa osnovnim konceptima bezbednosnih politika, razmotrimo, kao konkretan primer, hipotetičku lokalnu mrežu koja pripada određenoj organizaciji i pripadajuću bezbednosnu politiku.

Bezbednosna politika organizacije treba da bude strukturirana kao koncizan, lako razumljiv, dokument politike visokog nivoa podržan nizom specifičnijih dokumenata specijalizovanih bezbednosnih politika i procedura.

Sigurnosnu politiku visokog nivoa treba periodično revidirati kako bi se osiguralo da odgovara trenutnim potrebama organizacije. Ovaj dokument je napisan na način da je politika relativno nezavisna od specifičnih tehnologija. U ovom slučaju, ovaj dokument politike neće trebati često mijenjati.

Sigurnosna politika se obično sastavlja u obliku dokumenta koji uključuje dijelove kao što su opis problema, obim, položaj organizacije, raspodjela uloga i odgovornosti, sankcije itd.

Opis problema. Informacije koje kruže unutar lokalne mreže su kritične. Lokalna mreža omogućava korisnicima da dijele programe i podatke, što povećava sigurnosne rizike. Dakle, svakom od računara na mreži treba više jaka odbrana. Ove pojačane sigurnosne mjere su predmet ovog dokumenta. Dokument ima sledeće ciljeve: da pokaže zaposlenima u organizaciji važnost zaštite mrežnog okruženja, da opiše njihovu ulogu u obezbeđivanju bezbednosti i da odredi konkretne odgovornosti za zaštitu informacija koje kruže mrežom.

Područje primjene. Opseg ove politike uključuje sav hardver, softver i informacione resurse uključene u lokalnu mrežu preduzeća. Politika se također odnosi na ljude koji rade na mreži, uključujući korisnike, podizvođače i dobavljače.

Položaj organizacije. Cilj organizacije je osigurati integritet, dostupnost i povjerljivost podataka, kao i njihovu potpunost i relevantnost. Konkretniji ciljevi su:

osiguranje nivoa sigurnosti koji je u skladu sa regulatornim dokumentima;

pridržavanje ekonomske izvodljivosti u odabiru zaštitnih mjera (troškovi zaštite ne bi trebali premašiti očekivanu štetu od povrede sigurnosti informacija);

osiguranje sigurnosti u svakom funkcionalnom području lokalne mreže;

osiguravanje odgovornosti za sve interakcije korisnika s informacijama i resursima;

Pružanje analize informacija o registraciji;

pružanje korisnicima dovoljno informacija za svjesno održavanje sigurnosti;

izradu planova oporavka nakon katastrofa i drugih kritičnih situacija za sva funkcionalna područja kako bi se osigurao kontinuitet rada mreže;

osiguranje usklađenosti sa postojećim zakonima i sigurnosnim politikama cijele organizacije.

Raspodjela uloga i odgovornosti. Za realizaciju navedenih ciljeva odgovorni su nadležni službenici i korisnici mreže.

Šefovi odjela odgovorni su za saopštavanje odredbi sigurnosnih politika korisnicima i za njihovo kontaktiranje.

osiguravaju kontinuiran rad mreže i odgovorni su za provođenje tehničkih mjera neophodnih za sprovođenje sigurnosne politike.

Administratori servisa odgovorni su za određene usluge, a posebno za osiguranje da je zaštita izgrađena u skladu sa opštom sigurnosnom politikom.

Korisnici dužni su da rade sa lokalnom mrežom u skladu sa sigurnosnom politikom, poštuju naredbe osoba odgovornih za određene aspekte sigurnosti i obavještavaju menadžment o svim sumnjivim situacijama.

Više detalja o ulogama i odgovornostima službenika i korisnika mreže dato je u nastavku.

Sankcije. Kršenje sigurnosne politike može izložiti lokalnu mrežu i informacije koje kruže na njoj neprihvatljivom riziku. Slučajevi kršenja sigurnosti od strane osoblja moraju odmah biti pregledani od strane rukovodstva radi disciplinskih mjera, sve do i uključujući prestanak rada.

Dodatne informacije. Specifični timovi će možda morati da pregledaju dodatne dokumente, kao što su specijalizovane bezbednosne politike i procedure, i druge smernice. Potreba za dodatnim dokumentima bezbednosne politike u velikoj meri zavisi od veličine i složenosti organizacije. Dovoljno velika organizacija može zahtevati specijalizovane bezbednosne politike pored osnovne politike. Manjim organizacijama je potreban samo podskup specijalizovanih politika. Mnogi od ovih pratećih dokumenata mogu biti prilično kratki - dužina od jedne ili dvije stranice.

Sa praktične tačke gledišta, bezbednosne politike se mogu podeliti na tri nivoa: gornji, srednji i donji.

Vrhunski nivo Sigurnosne politike definiraju odluke koje utiču na organizaciju u cjelini. Ove odluke su veoma opšte prirode i obično dolaze od menadžmenta organizacije.

Takva rješenja mogu uključivati ​​sljedeće elemente:

formulisanje ciljeva koje organizacija ostvaruje u oblasti informacione bezbednosti, određivanje opštih pravaca u ostvarivanju ovih ciljeva;

formiranje ili revizija sveobuhvatnog programa informacione bezbednosti, identifikacija odgovornih lica za promovisanje programa;

obezbjeđivanje materijalne osnove za poštovanje zakona i propisa;

formulisanje upravljačkih odluka o pitanjima implementacije sigurnosni programi, koje treba razmotriti na nivou organizacije u cjelini.

Sigurnosna politika najvišeg nivoa navodi ciljeve organizacije u pogledu sigurnosti informacija u smislu integriteta, dostupnosti i povjerljivosti. Ako je organizacija odgovorna za održavanje kritičnih baza podataka, integritet podaci. Za organizaciju koja se bavi prodajom, relevantnost informacija o pruženim uslugama i cijenama, kao i njihovim dostupnost maksimalan broj potencijalnih kupaca. O tome će se prvenstveno brinuti režimska organizacija privatnost informacije, odnosno njihovu zaštitu od neovlašćenog pristupa.

On vrhunski nivo Sprovodi se upravljanje sigurnosnim resursima i koordinacija korišćenja ovih resursa, izdvajanje posebnog osoblja za zaštitu kritičnih sistema i održavanje kontakata sa drugim organizacijama koje obezbeđuju ili kontrolišu režim bezbednosti.

Politika najvišeg nivoa mora jasno definisati svoju sferu uticaja. Ovo može uključiti sve kompjuterske sisteme organizacije, ili čak i više ako politika reguliše neki aspekt načina na koji zaposleni koriste svoje kućne računare. Takođe je moguće da sfera uticaja uključuje samo najvažnije sisteme.

Politika treba da definiše odgovornosti službenika za izradu programa bezbednosti i njegovo sprovođenje, odnosno politika može da posluži kao osnova za odgovornost osoblja.

Politika najvišeg nivoa bavi se tri aspekta poštovanja zakona i izvršne discipline. Prvo, organizacija mora da poštuje postojeće zakone. Drugo, treba pratiti radnje onih koji su odgovorni za razvoj sigurnosnog programa. Treće, potrebno je obezbijediti radnu disciplinu osoblja kroz sistem nagrađivanja i kažnjavanja.

Prosječan nivo Sigurnosna politika definira rješavanje pitanja vezanih za određene aspekte informacione sigurnosti, ali važna za različite sisteme kojima organizacija upravlja.

Primjeri takvih problema su stavovi prema pristupu Internetu (problem kombinovanja slobode primanja informacija sa zaštitom od vanjskih prijetnji), korištenje kućnih računara itd.

Sigurnosna politika srednjeg nivoa treba da definiše sledeće za svaki aspekt informacione bezbednosti:

opis aspekta- pozicija organizacije se može formulisati u prilično opštem obliku kao skup ciljeva koje organizacija teži u ovom aspektu;

područje primjene- treba precizirati gdje, kada, kako, na koga i na šta se primjenjuje ova sigurnosna politika;

uloge i odgovornosti- dokument mora sadržavati podatke o službenim licima odgovornim za sprovođenje bezbjednosne politike;

sankcije - politika mora sadržavati opći opis zabranjene radnje i kazne za njih;

kontaktne tačke- mora se znati gdje se obratiti za pojašnjenje, pomoć i dodatne informacije. Obično je “točka kontakta” ​​službena osoba.

Niži nivo sigurnosne politike se primjenjuju na određene usluge. Ova politika uključuje dva aspekta: ciljeve i pravila za njihovo postizanje, pa ju je ponekad teško odvojiti od pitanja implementacije. Za razliku od gornja dva nivoa, dotična politika mora biti detaljnija.

Evo nekoliko primjera pitanja na koja treba odgovoriti kada slijedite sigurnosnu politiku niskog nivoa:

ko ima pravo pristupa objektima koje servis podržava;

Kako je organizovan daljinski pristup servisu?

Sigurnosna politika niskog nivoa može biti zasnovano na razmatranjima integriteta, dostupnosti i povjerljivosti, ali ne bi trebalo stati na tome. Općenito, ciljevi bi trebali povezati objekte usluga i smislene akcije s njima.

Iz ciljeva se izvode sigurnosna pravila koja opisuju ko šta može i pod kojim uslovima. Što su pravila detaljnija, što su jasnije i formalnije navedena, lakše je podržati njihovu implementaciju softverskim i hardverskim mjerama. Obično se prava pristupa objektima specificiraju najformalnije.

Dajemo detaljniji opis odgovornosti svake kategorije osoblja.

Šefovi odjela su odgovorni za saopštavanje odredbi sigurnosnih politika korisnicima. Oni su dužni:

U svakom trenutku držite pod kontrolom sigurnosna pitanja. Osigurajte da njihovi podređeni rade isto;

izvrši analizu rizika, identifikujući sredstva koja zahtevaju zaštitu i ranjivosti sistema, procenu iznosa moguće štete od narušavanja bezbednosti i odabir efektivnih sredstava zaštite;

organizovati obuku osoblja o mjerama sigurnosti. Obratite posebnu pažnju na pitanja vezana za antivirusnu kontrolu;

informisati administratore lokalne mreže i administratore servisa o promjenama statusa svakog podređenog (prelazak na drugo radno mjesto, otpuštanje i sl.);

osigurati da svaki računar u njihovim odjelima ima vlasnika ili administratora sistema odgovornog za sigurnost i dovoljno kvalifikovanog za obavljanje ove uloge.

Administratori lokalne mreže osiguravaju kontinuiran rad mreže i odgovorni su za provođenje tehničkih mjera neophodnih za sprovođenje sigurnosne politike. Oni su dužni:

osigurati zaštitu lokalne mrežne opreme, uključujući interfejse sa drugim mrežama;

brzo i efikasno reagovati na preteće događaje. Obavještavati administratore servisa o pokušajima narušavanja sigurnosti;

koristiti dokazana sredstva revizije i otkrivanja sumnjivih situacija. Analizirajte dnevne informacije o registraciji koje se odnose na mrežu u cjelini i na serveri datoteka posebno;

ne zloupotrebljavajte svoje velike moći. Korisnici imaju pravo na privatnost;

razviti procedure i pripremiti upute za zaštitu lokalne mreže od zlonamjernog softvera. Pružanje pomoći u otkrivanju i eliminaciji zlonamjernog koda;

redovno pravite rezervne kopije informacija pohranjenih na serverima datoteka;

izvršite sve promjene u konfiguraciji mrežnog hardvera i softvera;

garantuju obaveznu proceduru identifikacije i autentifikacije za pristup mrežni resursi. Dati korisnicima imena za prijavu i početne lozinke samo nakon popunjavanja obrazaca za registraciju;

povremeno provjeravati pouzdanost zaštite lokalne mreže. Spriječite neovlaštene korisnike da steknu privilegije.

Administratori servisa odgovorni su za određene usluge, a posebno za osiguranje da je zaštita izgrađena u skladu sa opštom sigurnosnom politikom. Oni su dužni:

upravljati pravima pristupa korisnika servisiranim objektima;

brzo i efikasno reagovati na preteće događaje. Pružanje pomoći u odbijanju prijetnji, identifikaciji prekršitelja i pružanju informacija za njihovo kažnjavanje;

redovno rezervne kopije informacija koje servis obrađuje;

dodijeliti korisnička imena i početne lozinke korisnicima tek nakon popunjavanja registracionih obrazaca;

analizirajte informacije o registraciji u vezi sa uslugom na dnevnoj bazi. Redovno nadzirite uslugu na zlonamjerni softver;

periodično proveravajte pouzdanost servisne zaštite. Spriječite neovlaštene korisnike da steknu privilegije.

Korisnici dužni su da rade sa lokalnom mrežom u skladu sa sigurnosnom politikom, poštuju naredbe osoba odgovornih za određene aspekte sigurnosti i obavještavaju menadžment o svim sumnjivim situacijama. Oni su dužni:

poznaju i poštuju zakone, pravila usvojena u ovoj organizaciji, bezbednosne politike, bezbednosne procedure. Koristite dostupne sigurnosne mehanizme kako biste osigurali povjerljivost i integritet vaših informacija;

koristiti mehanizam za zaštitu datoteka i pravilno postaviti prava pristupa;

birajte visokokvalitetne lozinke i redovno ih mijenjajte. Ne zapisujte lozinke na papir niti ih otkrivajte drugima;

informisati administratore ili menadžment o kršenju sigurnosti i drugim sumnjivim situacijama;

ne iskorištavaju slabosti u zaštiti usluga i lokalne mreže u cjelini. Ne obavljajte neovlašteni rad sa podacima, ne ometajte druge korisnike;

uvijek dajte ispravne informacije za identifikaciju i autentifikaciju i ne pokušavajte djelovati u ime drugih korisnika;

osigurajte sigurnosnu kopiju informacija sa tvrdog diska vašeg računara;

znati kako zlonamjerni softver funkcionira, kako prodire i širi se. Poznavati i slijediti procedure za sprječavanje prodora zlonamjernog koda, njegovo otkrivanje i uništavanje;

poznaju i pridržavaju se pravila ponašanja u vanrednim situacijama, redoslijeda postupanja pri otklanjanju posljedica nesreća.

Mjere upravljanja za osiguranje sigurnosti informacija. Osnovni cilj mjera koje se preduzimaju na nivou menadžmenta je formulisanje programa rada u oblasti informacione bezbjednosti i obezbjeđivanje njegove implementacije izdvajanjem potrebnih resursa i redovnim praćenjem stanja. Osnova ovog programa je sigurnosna politika na više nivoa, koja odražava sveobuhvatan pristup organizacije zaštiti svojih resursa i informacijskih sredstava