داده های Ib. امنیت اطلاعات و حفاظت از اطلاعات به زبان ساده

به طور عینی، مقوله «امنیت اطلاعات» با پیدایش وسایل ارتباطی اطلاعاتی بین مردم و همچنین با آگاهی فرد از اینکه مردم و جوامع آنها دارای منافعی هستند که با تأثیرگذاری بر ابزارهای ارتباطی اطلاعاتی آسیب می بینند، به وجود آمد. حضور و توسعه که تبادل اطلاعات بین همه عناصر جامعه را تضمین می کند.

امنیت اطلاعات، حفاظت از اطلاعات و زیرساخت های پشتیبانی از تأثیرات تصادفی یا عمدی ماهیت طبیعی یا مصنوعی است که می تواند آسیب های غیرقابل قبولی را به موضوعات روابط اطلاعاتی وارد کند. زیرساخت های پشتیبانی - سیستم های برق، گرما، آب، گاز، سیستم های تهویه مطبوع و غیره و همچنین پرسنل خدمات. آسیب غیرقابل قبول آسیبی است که نمی توان از آن چشم پوشی کرد.

در حالی که امنیت اطلاعات- آی تی وضعیت امنیت محیط اطلاعاتی،حفاظت از داده هافعالیتی است برای جلوگیری از نشت اطلاعات محافظت شده، تأثیرات غیرمجاز و غیرعمدی بر اطلاعات محافظت شده، یعنی روند, با هدف دستیابی به این وضعیت .

امنیت اطلاعات سازمان- وضعیت امنیت محیط اطلاعاتی سازمان، حصول اطمینان از تشکیل، استفاده و توسعه آن.

امنیت اطلاعات ایالت- وضعیت حفظ منابع اطلاعاتی دولت و حمایت از حقوق قانونی فرد و جامعه در حوزه اطلاعات.

در جامعه مدرن حوزه اطلاعات دو جزء دارد: فناوری اطلاعات (دنیای مصنوعی تکنولوژی، تکنولوژی و...) و اطلاعاتی و روانی (جهان طبیعی طبیعت زنده، از جمله خود انسان).

امنیت اطلاعات- حفاظت از محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات.

1. محرمانه بودن: دارایی منابع اطلاعاتی، از جمله اطلاعات مربوط به این واقعیت است که آنها در دسترس قرار نمی گیرند و در اختیار افراد غیرمجاز قرار نمی گیرند.

2. تمامیت: ویژگی منابع اطلاعاتی از جمله اطلاعات که صحت و کامل بودن آنها را تعیین می کند.

3. دسترسی: دارایی منابع اطلاعاتی از جمله اطلاعات که امکان دریافت و استفاده از آنها را بنا به درخواست افراد مجاز تعیین می کند.

یک رویکرد سیستماتیک برای توصیف امنیت اطلاعات نشان می دهد که موارد زیر را برجسته کنید اجزای امنیت اطلاعات:

1. مبنای تقنینی، تنظیمی و علمی.

2. ساختار و وظایف ارگان ها (بخش ها) که امنیت فناوری اطلاعات را تضمین می کنند.

3. اقدامات و روش های سازمانی، فنی و امنیتی (سیاست امنیت اطلاعات).

4. روش ها و ابزارهای نرم افزاری و سخت افزاری تضمین امنیت اطلاعات.

با توجه به تاثیر بر تحول ایده های امنیت اطلاعات، در توسعه ارتباطات اطلاعاتی چندین مرحله وجود دارد:

Ø مرحله I - قبل از 1816 - با استفاده مشخص می شود ابزارهای طبیعی ارتباط اطلاعاتی... در این دوره وظیفه اصلی امنیت اطلاعات بود در حفاظت از اطلاعات مربوط به رویدادها، حقایق، اموال، مکان و سایر داده هایی که برای شخص شخص یا جامعه ای که به آن تعلق داشت اهمیت حیاتی دارد. .

Ø مرحله دوم - از سال 1816 - مرتبط با شروع استفاده وسایل فنی ارتباطات الکتریکی و رادیویی به طور مصنوعی ایجاد شده است... برای اطمینان از محرمانه بودن و مصونیت صوتی ارتباطات رادیویی، لازم بود از تجربه اولین دوره امنیت اطلاعات در سطح فناوری بالاتر، یعنی استفاده شود. استفاده از کدگذاری تصحیح خطای پیام (سیگنال) با رمزگشایی بعدی پیام دریافتی (سیگنال).

Ø مرحله III - از سال 1935 - مرتبط با ظهور تجهیزات رادار و هیدروآکوستیک.راه اصلی تضمین امنیت اطلاعات در این دوره بود ترکیبی از اقدامات سازمانی و فنی با هدف افزایش حفاظت از تجهیزات رادار در برابر تأثیر پوشش فعال و تقلید غیرفعال تداخل رادیویی الکترونیکی در دستگاه های دریافت کننده آنها.

Ø مرحله IV - از سال 1946 - مرتبط با اختراع و پیاده سازی کامپیوترهای الکترونیکی در عمل(کامپیوتر). وظایف امنیت اطلاعات عمدتاً حل شد روشها و روشهای محدود کردن دسترسی فیزیکی به تجهیزات ابزارهای استخراج، پردازش و انتقال اطلاعات .

Ø مرحله V - از سال 1965 - به دلیل ایجاد و توسعه شبکه های اطلاعاتی و ارتباطی محلی... وظایف امنیت اطلاعات نیز عمدتاً با روش ها و روش ها حل می شد حفاظت فیزیکی ابزارهای استخراج، پردازش و انتقال اطلاعات، متحد شده در یک شبکه محلی از طریق مدیریت و کنترل دسترسی به منابع شبکه .

Ø مرحله ششم - از سال 1973 - مرتبط با استفاده دستگاه های ارتباطی فوق سیار با طیف وسیعی از وظایف... تهدیدات امنیت اطلاعات بسیار جدی تر شده اند. برای اطمینان از امنیت اطلاعات در سیستم های کامپیوتری با شبکه های انتقال داده بی سیم، توسعه معیارهای امنیتی جدید مورد نیاز بود. جوامع مردم - هکرها تشکیل شد, با هدف آسیب رساندن به امنیت اطلاعات کاربران، سازمان ها و کل کشورها. منبع اطلاعاتی به مهم ترین منبع دولت تبدیل شده است و تامین امنیت آن به مهم ترین و واجب ترین جزء امنیت ملی تبدیل شده است. قانون اطلاعات در حال شکل گیری است - شاخه ای جدید از نظام حقوقی بین المللی.

Ø مرحله VII - از سال 1985 - با ایجاد و توسعه شبکه های اطلاعاتی و ارتباطی جهانی با استفاده از امکانات پشتیبانی فضایی همراه است. می توان فرض کرد که مرحله بعدی در توسعه امنیت اطلاعات، بدیهی است که با استفاده گسترده از دستگاه های ارتباطی فوق متحرک با طیف گسترده ای از وظایف و پوشش جهانی در فضا و زمان همراه خواهد بود که توسط اطلاعات و ارتباطات فضایی ارائه می شود. سیستم های. برای حل مشکلات امنیت اطلاعات در این مرحله، ایجاد یک کلان سیستم امنیت اطلاعات برای بشریت زیر نظر مجامع بین المللی پیشرو ضروری است. .

این عبارت در زمینه های مختلف می تواند معانی مختلفی داشته باشد. در دکترین امنیت اطلاعات فدراسیون روسیه، اصطلاح "امنیت اطلاعات"به معنای وسیع استفاده می شود. این به وضعیت حفاظت از منافع ملی در حوزه اطلاعات اشاره دارد که توسط مجموع منافع متوازن فرد، جامعه و دولت تعیین می شود.

در قانون فدراسیون روسیه "در مورد مشارکت در تبادل اطلاعات بین المللی" امنیت اطلاعاتبه روشی مشابه - به عنوان وضعیت حفاظت از محیط اطلاعاتی جامعه، تضمین شکل گیری، استفاده و توسعه آن به نفع شهروندان، سازمان ها و دولت تعریف می شود.

در این دوره، توجه ما بر ذخیره، پردازش و انتقال اطلاعات متمرکز خواهد بود، صرف نظر از اینکه به چه زبانی (روسی یا هر زبان دیگری) رمزگذاری شده است، منبع آن کیست یا چه کسی است و چه تأثیر روانی بر افراد دارد. بنابراین اصطلاح "امنیت اطلاعات"به معنای محدود استفاده خواهد شد، همانطور که مرسوم است، برای مثال، در ادبیات انگلیسی زبان.

زیر امنیت اطلاعاتما امنیت اطلاعات و تأثیرات تصادفی یا عمدی طبیعی یا مصنوعی را که ممکن است باعث آسیب غیر قابل قبولموضوعات روابط اطلاعاتی شامل صاحبان و استفاده کنندگان اطلاعات و زیرساخت های حمایتی... (کمی بیشتر توضیح خواهیم داد که چه چیزی را باید فهمید زیرساخت های حمایتی.)

حفاظت از داده هامجموعه ای از اقدامات با هدف تضمین امنیت اطلاعات است.

بنابراین، از دیدگاه روش شناختی، رویکرد صحیح به مسائل امنیت اطلاعاتبا شناسایی شروع می شود موضوعات روابط اطلاعاتیو منافع این بازیگران مربوط به استفاده از سیستم های اطلاعاتی (IS). تهدیدها امنیت اطلاعات- این طرف دیگر استفاده از فناوری اطلاعات است.

دو پیامد مهم را می توان از این موضع گرفت:

1. تفسیر مشکلات مرتبط با امنیت اطلاعات، برای دسته های مختلف موضوعات ممکن است به طور قابل توجهی متفاوت باشد. برای نشان دادن، کافی است سازمان های دولتی و مؤسسات آموزشی رژیم را با هم مقایسه کنیم. در مورد اول، "بگذارید همه چیز خراب شود تا دشمن حداقل یک بیت راز را یاد بگیرد"، در مورد دوم - "بله، ما هیچ رازی نداریم، اگر فقط همه چیز کار کند."
2. امنیت اطلاعاتصرفاً به محافظت در برابر دسترسی غیرمجاز به اطلاعات محدود نمی شود، این مفهوم اساساً گسترده تر است. موضوع روابط اطلاعاتیممکن است نه تنها از دسترسی غیرمجاز، بلکه همچنین از خرابی سیستم که باعث وقفه در کار شده است، متحمل ضرر (تلفات و / یا دریافت خسارت معنوی) شود. علاوه بر این، برای بسیاری از سازمان‌های باز (مثلاً سازمان‌های آموزشی)، حفاظت واقعی از دسترسی غیرمجاز به اطلاعات از نظر اهمیت در وهله اول قرار ندارد.

با بازگشت به مسائل اصطلاحات، توجه می کنیم که اصطلاح "امنیت رایانه" (به عنوان معادل یا جایگزین امنیت اطلاعات) به نظر ما بسیار محدود است. رایانه‌ها تنها یکی از اجزای سیستم‌های اطلاعاتی هستند و اگرچه توجه ما عمدتاً بر روی اطلاعاتی است که با استفاده از رایانه ذخیره، پردازش و ارسال می‌شوند، اما امنیت آن توسط مجموع اجزای آن و اولاً توسط ضعیف‌ترین آنها تعیین می‌شود. پیوندی که در بیشتر موارد مشخص می شود شخصی است (به عنوان مثال رمز عبور خود را روی "گچ خردل" که به مانیتور چسبیده است) یادداشت کرده است).

با توجه به تعریف امنیت اطلاعات، نه تنها به رایانه، بلکه به آن نیز بستگی دارد زیرساخت های حمایتیکه شامل سیستم های تامین برق، آب و حرارت، تهویه مطبوع، ارتباطات و البته پرسنل خدماتی می باشد. این زیرساخت دارای ارزش مستقلی است، اما ما فقط به چگونگی تأثیر آن بر اجرای عملکردهایی که توسط سیستم اطلاعاتی به آن اختصاص داده شده است علاقه مند خواهیم بود.

توجه داشته باشید که در تعریف IB قبل از اسم "ضرر" صفت "غیرقابل قبول" است. بدیهی است که بیمه کردن در برابر انواع خسارت غیرممکن است، حتی زمانی که هزینه تجهیزات و تدابیر حفاظتی از میزان خسارت مورد انتظار بیشتر نباشد، انجام آن از نظر اقتصادی غیرممکن است. این بدان معنی است که شما باید چیزی را تحمل کنید و فقط باید در برابر چیزی که به هیچ وجه نمی توانید تحمل کنید از خود دفاع کنید. گاهی اوقات چنین آسیب های غیرقابل قبولی به سلامت انسان یا محیط زیست آسیب می رساند، اما در بیشتر موارد آستانه عدم پذیرش بیان مادی (پولی) دارد و هدف حفاظت از اطلاعات کاهش میزان آسیب به مقادیر قابل قبول است.

اجزای اصلی. اهمیت مسئله.

امنیت اطلاعات (IS) باید به عنوان حفاظت از منافع موضوعات روابط اطلاعاتی درک شود. اجزای اصلی آن در زیر توضیح داده شده است - محرمانه بودن، یکپارچگی، در دسترس بودن. آمار نقض امنیت اطلاعات داده شده است، معمول ترین موارد شرح داده شده است.

مفهوم امنیت اطلاعات

عبارت "امنیت اطلاعات" در زمینه های مختلف می تواند معانی مختلفی داشته باشد. در دکترین امنیت اطلاعات فدراسیون روسیه، اصطلاح "امنیت اطلاعات" به معنای گسترده ای استفاده می شود. این به وضعیت حفاظت از منافع ملی در حوزه اطلاعات اشاره دارد که توسط مجموع منافع متوازن فرد، جامعه و دولت تعیین می شود.

در قانون فدراسیون روسیه "در مورد مشارکت در تبادل اطلاعات بین المللی" امنیت اطلاعات به روشی مشابه تعریف شده است - به عنوان وضعیت حفاظت از محیط اطلاعاتی جامعه، تضمین شکل گیری، استفاده و توسعه آن به نفع شهروندان، سازمان ها. ، و دولت.

در این دوره، توجه ما بر ذخیره، پردازش و انتقال اطلاعات متمرکز خواهد بود، صرف نظر از اینکه به چه زبانی (روسی یا هر زبان دیگری) رمزگذاری شده است، منبع آن کیست یا چه کسی است و چه تأثیر روانی بر افراد دارد. بنابراین، اصطلاح «امنیت اطلاعات» به معنای محدود به کار خواهد رفت، همانطور که مثلاً در ادبیات انگلیسی زبان پذیرفته شده است.

زیر امنیت اطلاعاتما امنیت اطلاعات و زیرساخت‌های پشتیبانی را از تأثیرات تصادفی یا عمدی طبیعی یا مصنوعی که می‌تواند آسیب غیرقابل قبولی به موضوعات روابط اطلاعاتی، از جمله صاحبان و کاربران اطلاعات و زیرساخت‌های پشتیبانی وارد کند، درک خواهیم کرد. (منظور شما از پشتیبانی از زیرساخت ها را کمی بعد توضیح خواهیم داد.)

حفاظت از داده هامجموعه ای از اقدامات با هدف تضمین امنیت اطلاعات است.

بنابراین، یک رویکرد صحیح روش شناختی به مشکلات امنیت اطلاعات با شناسایی موضوعات روابط اطلاعاتی و علایق این موضوعات مرتبط با استفاده از سیستم های اطلاعاتی (IS) آغاز می شود. تهدیدات امنیت اطلاعات طرف دیگر استفاده از فناوری اطلاعات است.

دو پیامد مهم را می توان از این موضع گرفت:

تفسیر مشکلات امنیت اطلاعات برای دسته های مختلف موضوعات ممکن است به طور قابل توجهی متفاوت باشد. برای نشان دادن، کافی است سازمان های دولتی و مؤسسات آموزشی رژیم را با هم مقایسه کنیم. در مورد اول، "بگذارید همه چیز خراب شود تا دشمن حداقل یک بیت راز را یاد بگیرد"، در مورد دوم - "بله، ما هیچ رازی نداریم، اگر فقط همه چیز کار کند."

امنیت اطلاعات صرفاً به محافظت در برابر دسترسی غیرمجاز به اطلاعات محدود نمی شود، این مفهوم اساساً گسترده تر است. موضوع روابط اطلاعاتی نه تنها از دسترسی غیرمجاز، بلکه همچنین از خرابی سیستم که باعث وقفه در کار شده است (متحمل ضرر و / یا آسیب معنوی می شود) متحمل می شود. علاوه بر این، برای بسیاری از سازمان‌های باز (مثلاً سازمان‌های آموزشی)، حفاظت واقعی از دسترسی غیرمجاز به اطلاعات از نظر اهمیت در وهله اول قرار ندارد.

با بازگشت به مسائل اصطلاحات، توجه می کنیم که اصطلاح "امنیت رایانه" (به عنوان معادل یا جایگزین امنیت اطلاعات) به نظر ما بسیار محدود است. رایانه‌ها تنها یکی از اجزای سیستم‌های اطلاعاتی هستند و اگرچه توجه ما عمدتاً بر روی اطلاعاتی است که با استفاده از رایانه ذخیره، پردازش و ارسال می‌شوند، اما امنیت آن توسط مجموع اجزای آن و اولاً توسط ضعیف‌ترین آنها تعیین می‌شود. پیوندی که در بیشتر موارد مشخص می شود شخصی است (به عنوان مثال رمز عبور خود را روی "گچ خردل" که به مانیتور چسبیده است) یادداشت کرده است).

طبق تعریف امنیت اطلاعات، نه تنها به رایانه، بلکه به زیرساخت های پشتیبانی نیز بستگی دارد که شامل سیستم های برق، آب و گرمایش، تهویه مطبوع، ارتباطات و البته پرسنل خدماتی می شود. این زیرساخت دارای ارزش مستقلی است، اما ما فقط به چگونگی تأثیر آن بر اجرای عملکردهایی که توسط سیستم اطلاعاتی به آن اختصاص داده شده است علاقه مند خواهیم بود.

توجه داشته باشید که در تعریف IB قبل از اسم "ضرر" صفت "غیرقابل قبول" است. بدیهی است که بیمه کردن در برابر انواع خسارت غیرممکن است، حتی زمانی که هزینه تجهیزات و تدابیر حفاظتی از میزان خسارت مورد انتظار بیشتر نباشد، انجام آن از نظر اقتصادی غیرممکن است. این بدان معنی است که شما باید چیزی را تحمل کنید و فقط باید در برابر چیزی که به هیچ وجه نمی توانید تحمل کنید از خود دفاع کنید. گاهی اوقات چنین آسیب های غیرقابل قبولی آسیب به سلامت انسان یا محیط زیست است، اما در اغلب موارد آستانه عدم پذیرش بیان مادی (پولی) دارد و هدف از حفاظت از اطلاعات کاهش میزان آسیب به مقادیر قابل قبول است.

مولفه های اصلی امنیت اطلاعات

امنیت اطلاعات یک حوزه فعالیت چند بعدی است که در آن تنها یک رویکرد سیستماتیک و یکپارچه می تواند موفقیت را به همراه داشته باشد.

دامنه علایق موضوعات مرتبط با استفاده از سیستم های اطلاعاتی را می توان به دسته های زیر تقسیم کرد: دسترسی, تمامیتو محرمانه بودنمنابع اطلاعاتی و زیرساخت های پشتیبانی

گاهی اوقات مؤلفه های اصلی امنیت اطلاعات شامل محافظت در برابر کپی غیرمجاز اطلاعات است، اما به نظر ما، این جنبه بسیار خاص با شانس موفقیت مشکوک است، بنابراین ما آن را جدا نمی کنیم.

بیایید مفاهیم دسترسی، یکپارچگی و محرمانه بودن را روشن کنیم.

در دسترس بودن، توانایی دریافت خدمات اطلاعاتی مورد نیاز در زمان معقول است. صداقت به معنای مرتبط بودن و سازگاری اطلاعات، محافظت از آن در برابر تخریب و تغییرات غیرمجاز است.

در نهایت، محرمانه بودن محافظت در برابر دسترسی غیرمجاز به اطلاعات است.

سیستم های اطلاعاتی برای دریافت خدمات اطلاعاتی خاص ایجاد (خرید) می شوند. اگر به هر دلیلی، ارائه این خدمات به کاربران غیرممکن شود، بدیهی است که به همه موضوعات روابط اطلاعاتی آسیب می رساند. بنابراین، بدون مخالفت با دسترسی به جنبه های دیگر، آن را به عنوان مهم ترین عنصر امنیت اطلاعات مشخص می کنیم.

نقش اصلی دسترسی به ویژه در انواع مختلف سیستم های مدیریتی - تولید، حمل و نقل و غیره آشکار می شود. عواقب ظاهری کمتر چشمگیر، اما همچنین بسیار ناخوشایند - اعم از مادی و معنوی - می تواند درازمدت در دسترس نبودن خدمات اطلاعاتی باشد که توسط تعداد زیادی از مردم استفاده می شود (فروش بلیط راه آهن و هواپیما، خدمات بانکی و غیره).

یکپارچگی را می توان به استاتیک (که به عنوان تغییرناپذیری اشیاء اطلاعاتی درک می شود) و پویا (مربوط به اجرای صحیح اقدامات پیچیده (معاملات)) تقسیم کرد. کنترل‌های یکپارچگی پویا، به‌ویژه هنگام تجزیه و تحلیل جریان پیام‌های مالی به منظور شناسایی سرقت، سفارش مجدد یا تکراری شدن پیام‌های فردی استفاده می‌شوند.

در مواردی که اطلاعات به عنوان "راهنمای عمل" عمل می کند، یکپارچگی مهمترین جنبه امنیت اطلاعات است. فرمولاسیون داروها، روش های پزشکی تجویز شده، مجموعه و ویژگی های اجزاء، روند فرآیند فن آوری همه نمونه هایی از اطلاعات هستند که نقض یکپارچگی آنها می تواند به معنای واقعی کلمه کشنده باشد. همچنین تحریف اطلاعات رسمی، خواه متن قانون یا صفحه ای در وب سرور یک سازمان دولتی، ناخوشایند است. رازداری توسعه یافته ترین جنبه امنیت اطلاعات در کشور ما است. متأسفانه، اجرای عملی اقدامات برای اطمینان از محرمانه بودن سیستم های اطلاعاتی مدرن با مشکلات جدی در روسیه روبرو می شود. در مرحله اول، اطلاعات مربوط به کانال های فنی نشت اطلاعات بسته می شود، به طوری که اکثر کاربران فرصت درک خطرات احتمالی را ندارند. دوم، چالش‌های قانونی و فنی زیادی وجود دارد که مانع رمزنگاری سفارشی به عنوان ابزار اصلی حفظ حریم خصوصی می‌شود.

اگر به تجزیه و تحلیل علایق دسته های مختلف موضوعات روابط اطلاعاتی بازگردیم، تقریباً برای همه کسانی که واقعاً از IP استفاده می کنند، دسترسی در وهله اول است. صداقت عملاً از نظر اهمیت کمتر از آن نیست - اگر یک سرویس اطلاعاتی حاوی اطلاعات تحریف شده باشد، چه فایده ای دارد؟

در نهایت، بسیاری از سازمان ها نیز مسائل محرمانه دارند (حتی موسسات آموزشی ذکر شده در بالا سعی می کنند اطلاعات مربوط به حقوق کارمندان را فاش نکنند) و کاربران فردی (مثلاً رمز عبور).

رایج ترین تهدیدها:

آگاهی از تهدیدات بالقوه، و همچنین آسیب پذیری های امنیتی که این تهدیدها معمولاً از آنها سوء استفاده می کنند، برای انتخاب مقرون به صرفه ترین اقدامات امنیتی ضروری است.

تعاریف و معیارهای اساسی برای طبقه بندی تهدیدات

تهدید- این یک فرصت بالقوه برای نقض امنیت اطلاعات به روشی خاص است.

تلاش برای اجرای یک تهدید نامیده می شود حمله کنندو کسی که چنین تلاشی می کند - مزاحم... متجاوزان بالقوه نامیده می شوند منابع تهدید.

اغلب، یک تهدید نتیجه وجود آسیب‌پذیری‌ها در حفاظت از سیستم‌های اطلاعاتی است (مانند توانایی افراد غیرمجاز برای دسترسی به تجهیزات حیاتی یا خطا در نرم‌افزار).

فاصله زمانی از لحظه ای که امکان استفاده از نقطه ضعف ممکن می شود و تا لحظه ای که شکاف از بین می رود، نامیده می شود. پنجره خطرمرتبط با این آسیب پذیری است. تا زمانی که پنجره ای از خطر وجود داشته باشد، حملات موفقیت آمیز به IP امکان پذیر است.

اگر در مورد خطاهای نرم افزار صحبت می کنیم، پنجره خطر با ظاهر ابزار استفاده از خطا "باز می شود" و با اعمال وصله هایی که آن را برطرف می کنند، حذف می شود.

برای بیشتر آسیب‌پذیری‌ها، پنجره خطر برای مدت نسبتاً طولانی (چند روز، گاهی هفته‌ها) وجود دارد، زیرا در این مدت باید حوادث زیر رخ دهد:

ابزارهای بهره برداری از شکاف امنیتی باید آگاه شوند.

باید پچ های مناسب صادر شود.

پچ ها باید در آی سی محافظت شده نصب شوند.

ما قبلاً اشاره کرده‌ایم که آسیب‌پذیری‌های جدید و ابزارهای بهره‌برداری از آنها همیشه در حال ظهور هستند. این بدان معناست که اولاً تقریباً همیشه پنجره های خطر وجود دارد و ثانیاً چنین پنجره هایی باید دائماً نظارت شوند و انتشار و اعمال وصله ها باید در سریع ترین زمان ممکن انجام شود.

توجه داشته باشید که برخی تهدیدها را نمی توان پیامد برخی اشتباهات یا محاسبات اشتباه دانست. آنها به دلیل ماهیت IP مدرن وجود دارند. به عنوان مثال، خطر قطع برق یا فراتر رفتن پارامترهای آن از حد مجاز به دلیل وابستگی سخت افزار آی سی به منبع تغذیه با کیفیت بالا وجود دارد.

بیایید رایج ترین تهدیدهایی را که سیستم های اطلاعاتی مدرن در معرض آنها قرار دارند، در نظر بگیریم. درک تهدیدهای بالقوه، و همچنین آسیب پذیری هایی که این تهدیدها معمولاً از آنها سوء استفاده می کنند، برای انتخاب مقرون به صرفه ترین اقدامات امنیتی ضروری است. افسانه های بسیار زیادی در زمینه فناوری اطلاعات وجود دارد (همان "مشکل 2000" را به خاطر بسپارید)، بنابراین ناآگاهی در این مورد منجر به گران شدن هزینه ها و حتی بدتر از آن، تمرکز منابع در جایی که نیاز خاصی به آنها وجود ندارد، با تضعیف منابع واقعی می شود. جهت های آسیب پذیر

اجازه دهید تأکید کنیم که خود مفهوم "تهدید" اغلب در موقعیت های مختلف به طور متفاوت تفسیر می شود. برای مثال، برای یک سازمان کاملاً باز، تهدیدهای محرمانه ممکن است به سادگی وجود نداشته باشند - همه اطلاعات در دسترس عموم در نظر گرفته می شود. با این حال، در بیشتر موارد، به نظر می رسد دسترسی غیرقانونی یک تهدید جدی است. به عبارت دیگر، تهدیدها، مانند هر چیز دیگری در امنیت اطلاعات، به منافع افراد مرتبط با روابط اطلاعاتی (و اینکه چه نوع آسیبی برای آنها غیرقابل قبول است) بستگی دارد.

ما سعی خواهیم کرد از دیدگاه یک سازمان معمولی (به نظر ما) به موضوع نگاه کنیم. با این حال، بسیاری از تهدیدها (مثلاً آتش سوزی) برای همه خطرناک است.

تهدیدات را می توان بر اساس چندین معیار طبقه بندی کرد:

از جنبه امنیت اطلاعات (در دسترس بودن، یکپارچگی، محرمانه بودن) که در وهله اول تهدیدها علیه آن قرار می گیرند.

توسط اجزای سیستم های اطلاعاتی که مورد هدف تهدید قرار می گیرند (داده ها، برنامه ها، سخت افزار، زیرساخت های پشتیبانی)؛

با روش اجرا (اقدامات تصادفی / عمدی ماهیت طبیعی / مصنوعی)؛

با توجه به محل منبع تهدیدات (داخل / خارج از IS در نظر گرفته شده).

به عنوان معیار اصلی، ما از اولین (از نظر امنیت اطلاعات) استفاده خواهیم کرد و در صورت لزوم بقیه را شامل می شود.

تهدیدهای برتر حریم خصوصی

اطلاعات محرمانه را می توان به اطلاعات موضوعی و خدماتی تقسیم کرد. اطلاعات سرویس (به عنوان مثال، رمزهای عبور کاربر) به یک حوزه موضوعی خاص تعلق ندارد، نقش فنی را در سیستم اطلاعات ایفا می کند، اما افشای آن به ویژه خطرناک است، زیرا مملو از دسترسی غیرمجاز به همه اطلاعات، از جمله اطلاعات موضوع است.

حتی اگر اطلاعات در رایانه ذخیره شده باشد یا برای استفاده رایانه ای در نظر گرفته شده باشد، تهدیدهای مربوط به محرمانه بودن آن می تواند ماهیت غیر رایانه ای و عموماً غیر فنی باشد.

بسیاری از مردم باید به عنوان کاربران نه یک، بلکه تعدادی از سیستم ها (سرویس های اطلاعاتی) عمل کنند. اگر از رمزهای عبور قابل استفاده مجدد یا سایر اطلاعات محرمانه برای دسترسی به چنین سیستم هایی استفاده شود، به احتمال زیاد این داده ها نه تنها در سر، بلکه در یک نوت بوک یا روی کاغذهایی که کاربر اغلب روی دسکتاپ می گذارد یا حتی به سادگی ذخیره می شود. از دست می دهد. و نکته اینجا در بی نظمی افراد نیست، بلکه در نامناسب بودن اولیه طرح رمز عبور است. به خاطر سپردن رمزهای عبور مختلف غیرممکن است. توصیه هایی برای تغییر منظم آنها (در صورت امکان - مکرر) فقط وضعیت را تشدید می کند و مجبور به استفاده از طرح های جایگزین ساده یا حتی سعی در کاهش موضوع به دو یا سه رمز عبور آسان (و به همان راحتی قابل حدس زدن) می شود.

کلاس توصیف شده از آسیب پذیری ها را می توان قرار دادن داده های محرمانه در محیطی نامید که در آن حفاظت لازم ارائه نشده (و اغلب نمی توان آنها را ارائه کرد). تهدید این است که کسی از آموختن رازهایی که خود خواسته است امتناع نکند. علاوه بر رمزهای عبور ذخیره شده در نوت بوک کاربران، این کلاس شامل انتقال داده های محرمانه به صورت متن واضح (در مکالمه، در نامه، از طریق شبکه) است که امکان رهگیری داده ها را فراهم می کند. ابزارهای فنی مختلفی را می توان برای حمله استفاده کرد (شنود یا استراق سمع مکالمات، استراق سمع غیرفعال شبکه و غیره)، اما ایده یکسان است - دسترسی به داده ها در لحظه ای که کمترین محافظت را دارند.

تهدید رهگیری داده ها نه تنها در پیکربندی اولیه IS، بلکه با همه تغییرات بسیار مهم است. یک تهدید بسیار خطرناک، نمایشگاه‌هایی است که بسیاری از سازمان‌ها بدون تردید تجهیزاتی را از شبکه تولید به همراه تمام داده‌های ذخیره شده روی آن‌ها ارسال می‌کنند. گذرواژه‌ها یکسان باقی می‌مانند، با دسترسی از راه دور، همچنان در متن واضح منتقل می‌شوند. این حتی در شبکه امن یک سازمان بد است. در شبکه متحد نمایشگاه - این یک آزمایش بسیار سخت برای صداقت همه شرکت کنندگان است.

نمونه دیگری از تغییراتی که اغلب نادیده گرفته می شود، ذخیره داده ها در رسانه های پشتیبان است. سیستم های کنترل دسترسی پیشرفته برای محافظت از داده ها در رسانه های ذخیره سازی اصلی استفاده می شود. کپی ها اغلب فقط در کمد نگهداری می شوند و بسیاری می توانند به آنها دسترسی داشته باشند.

رهگیری داده ها یک تهدید بسیار جدی است و اگر محرمانه بودن واقعاً حیاتی باشد و داده ها از کانال های زیادی منتقل شوند، محافظت از آن می تواند بسیار دشوار و پرهزینه باشد. ابزارهای فنی رهگیری به خوبی توسعه یافته، در دسترس، آسان برای کار هستند و هر کسی می تواند آنها را نصب کند، به عنوان مثال، در یک شبکه کابلی، بنابراین این تهدید باید نه تنها در ارتباط با ارتباطات خارجی، بلکه در ارتباط داخلی نیز در نظر گرفته شود.

سرقت سخت افزار نه تنها برای رسانه های پشتیبان، بلکه برای رایانه ها، به ویژه لپ تاپ ها نیز تهدیدی است. لپ تاپ ها اغلب در محل کار یا ماشین بدون مراقبت رها می شوند، گاهی اوقات به سادگی گم می شوند.

تهدیدهای خطرناک غیر فنی برای محرمانگی روش های تأثیر اخلاقی و روانی هستند، مانند بالماسکه -انجام اقدامات تحت پوشش مجوز دسترسی به داده ها (برای مثال به مقاله آیر وینکلر "ماموریت: جاسوسی" در جت اینفو، 1996، 19 مراجعه کنید).

تهدیدهای ناخوشایندی که دفاع در برابر آنها دشوار است شامل سوء استفاده از قدرتدر بسیاری از انواع سیستم ها، یک کاربر ممتاز (به عنوان مثال، یک مدیر سیستم) می تواند هر فایل (رمزگذاری نشده) را بخواند، به نامه های هر کاربر و غیره دسترسی داشته باشد. مثال دیگر خسارت سرویس است. به طور معمول، یک مهندس خدمات دسترسی نامحدود به تجهیزات دارد و می تواند مکانیسم های حفاظتی نرم افزار را دور بزند.

اینها تهدیدهای اصلی هستند که بیشترین آسیب را به موضوعات روابط اطلاعاتی وارد می کنند.

بنیانگذار سایبرنتیک، نوربرت وینر، معتقد بود که اطلاعات دارای ویژگی های منحصر به فردی است و نمی توان آن را نه به انرژی و نه به ماده نسبت داد. جایگاه ویژه اطلاعات به عنوان یک پدیده تعاریف بسیاری را به وجود آورده است.

در فرهنگ لغت استاندارد ISO / IEC 2382: 2015 "فناوری اطلاعات"، تفسیر زیر آورده شده است:

اطلاعات (در زمینه پردازش اطلاعات)- هر گونه داده ارائه شده به صورت الکترونیکی، نوشته شده بر روی کاغذ، بیان شده در یک جلسه یا در هر رسانه دیگری که توسط یک موسسه مالی برای تصمیم گیری، انتقال وجوه، تعیین نرخ، اعطای وام، پردازش معاملات و غیره استفاده می شود، از جمله سیستم پردازش اجزا. نرم افزار.

برای توسعه مفهوم امنیت اطلاعات (IS)، اطلاعات به عنوان اطلاعاتی شناخته می شود که برای جمع آوری، ذخیره سازی، پردازش (ویرایش، تبدیل)، استفاده و انتقال به روش های مختلف، از جمله در شبکه های کامپیوتری و سایر سیستم های اطلاعاتی در دسترس است.

چنین اطلاعاتی از ارزش بالایی برخوردار هستند و می توانند به موارد تجاوز از طرف اشخاص ثالث تبدیل شوند. میل به محافظت از اطلاعات در برابر تهدیدها زمینه ساز ایجاد سیستم های امنیت اطلاعات است.

مبنای حقوقی

در دسامبر 2017، روسیه دکترین امنیت اطلاعات را پذیرفت. در این سند، IS به عنوان وضعیت حفاظت از منافع ملی در حوزه اطلاعات تعریف شده است. در این مورد، منافع ملی به عنوان مجموع منافع جامعه، فرد و دولت درک می شود، هر گروه از منافع برای عملکرد پایدار جامعه ضروری است.

دکترین یک مقاله مفهومی است. روابط حقوقی مربوط به تضمین امنیت اطلاعات توسط قوانین فدرال "در مورد اسرار دولتی"، "در مورد اطلاعات"، "در مورد حفاظت از داده های شخصی" و دیگران تنظیم می شود. بر اساس قوانین اساسی هنجاری، احکام دولتی و قوانین هنجاری ادارات در مورد مسائل خصوصی حفاظت از اطلاعات تدوین می شود.

تعریف امنیت اطلاعات

قبل از توسعه یک استراتژی امنیت اطلاعات، لازم است یک تعریف اساسی از خود مفهوم اتخاذ شود که امکان استفاده از مجموعه خاصی از روش ها و روش های حفاظت را فراهم می کند.

متخصصان صنعت پیشنهاد می‌کنند که امنیت اطلاعات به عنوان یک وضعیت پایدار از امنیت اطلاعات، حامل‌ها و زیرساخت‌های آن درک شود که یکپارچگی و ثبات فرآیندهای مرتبط با اطلاعات را در برابر تأثیرات عمدی یا غیرعمدی طبیعت و مصنوعی تضمین می‌کند. تأثیرات به عنوان تهدیدات IS طبقه بندی می شوند که می توانند به موضوعات روابط اطلاعاتی آسیب برسانند.

بنابراین، حفاظت از اطلاعات مجموعه ای از اقدامات قانونی، اداری، سازمانی و فنی با هدف جلوگیری از تهدیدات امنیت اطلاعات واقعی یا درک شده و همچنین از بین بردن پیامدهای حوادث است. تداوم فرآیند حفاظت از اطلاعات باید تضمین کننده مبارزه با تهدیدات در تمام مراحل چرخه اطلاعات باشد: در فرآیند جمع آوری، ذخیره سازی، پردازش، استفاده و انتقال اطلاعات.

امنیت اطلاعات در این درک به یکی از ویژگی های عملکرد سیستم تبدیل می شود. در هر لحظه از زمان، سیستم باید از سطح امنیتی قابل اندازه گیری برخوردار باشد و تضمین امنیت سیستم باید یک فرآیند مستمر باشد که در تمام فواصل زمانی در طول عمر سیستم انجام شود.

در تئوری امنیت اطلاعات، موضوعات امنیت اطلاعات به عنوان صاحبان و کاربران اطلاعات شناخته می شوند و نه تنها کاربران به طور مداوم (کارکنان)، بلکه کاربرانی که در موارد جداگانه به پایگاه های داده دسترسی دارند، برای مثال، سازمان های دولتی درخواست کننده اطلاعات هستند. در تعدادی از موارد، به عنوان مثال، در استانداردهای امنیت اطلاعات بانکی، صاحبان اطلاعات شامل سهامداران - اشخاص حقوقی هستند که دارای داده های خاص هستند.

زیرساخت پشتیبانی از دیدگاه مبانی امنیت اطلاعات شامل رایانه ها، شبکه ها، تجهیزات مخابراتی، اماکن، سیستم های پشتیبانی حیات و پرسنل می باشد. هنگام تجزیه و تحلیل امنیت، مطالعه تمام عناصر سیستم با توجه ویژه به پرسنل به عنوان حامل اکثر تهدیدات داخلی ضروری است.

برای مدیریت امنیت اطلاعات و ارزیابی خسارت از مشخصه مقبولیت استفاده می شود، بنابراین خسارت به عنوان قابل قبول یا غیرقابل قبول تعیین می شود. برای هر شرکتی مفید است که معیارهای خود را برای قابل قبول بودن خسارت به صورت پولی یا مثلاً در قالب آسیب قابل قبول به شهرت تعیین کند. در مؤسسات عمومی، ویژگی های دیگری را می توان اتخاذ کرد، به عنوان مثال، تأثیر بر فرآیند مدیریت یا انعکاس میزان آسیب به زندگی و سلامت شهروندان. معیارهای اهمیت، اهمیت و ارزش اطلاعات می تواند در طول چرخه عمر آرایه اطلاعات تغییر کند، بنابراین باید به موقع در آنها تجدید نظر شود.

تهدید اطلاعاتی در معنای محدود، فرصتی عینی برای تأثیرگذاری بر موضوع حفاظت است که می تواند منجر به نشت، سرقت، افشا یا انتشار اطلاعات شود. در یک مفهوم گسترده تر، تهدیدات امنیت اطلاعات شامل تأثیرات اطلاعاتی مستقیم می شود که هدف آن آسیب رساندن به دولت، سازمان و فرد است. برای مثال، چنین تهدیدهایی شامل افترا، ارائه نادرست عمدی و تبلیغات نامناسب است.

سه سوال اصلی مفهوم امنیت اطلاعات برای هر سازمان

از چه چیزی محافظت کنیم؟

چه نوع تهدیدهایی غالب هستند: خارجی یا داخلی؟

چگونه محافظت کنیم، با چه روش ها و وسایلی؟

سیستم IS

سیستم امنیت اطلاعات برای یک شرکت - یک شخص حقوقی شامل سه گروه از مفاهیم اساسی است: یکپارچگی، در دسترس بودن و محرمانه بودن. در زیر هر کدام مفاهیمی با ویژگی های بسیاری وجود دارد.

زیر تمامیتبه معنای مقاومت پایگاه های داده، سایر آرایه های اطلاعاتی در برابر تخریب تصادفی یا عمدی، تغییرات غیرمجاز است. صداقت را می توان به صورت زیر مشاهده کرد:

• ایستا، بیان شده در تغییرناپذیری، صحت اشیاء اطلاعاتی به آن اشیایی که مطابق با یک کار فنی خاص ایجاد شده اند و حاوی مقدار اطلاعات مورد نیاز کاربران برای فعالیت اصلی خود هستند، در پیکربندی و ترتیب مورد نیاز.
• پویا، به معنای اجرای صحیح اقدامات یا تراکنش های پیچیده است که به ایمنی اطلاعات آسیب نمی رساند.

برای کنترل یکپارچگی پویا، از ابزارهای فنی ویژه ای استفاده می شود که جریان اطلاعات را تجزیه و تحلیل می کند، به عنوان مثال، موارد مالی و موارد سرقت، تکرار، تغییر مسیر و ترتیب مجدد پیام ها را شناسایی می کند. صداقت به عنوان یک ویژگی کلیدی زمانی مورد نیاز است که تصمیمات بر اساس اطلاعات دریافتی یا موجود برای انجام اقدامات اتخاذ شود. نقض ترتیب دستورات یا توالی اقدامات می تواند در مورد توصیف فرآیندهای تکنولوژیکی، کدهای برنامه و سایر موقعیت های مشابه آسیب زیادی ایجاد کند.

دسترسیدارایی است که به افراد مجاز اجازه دسترسی یا تبادل داده های مورد علاقه خود را می دهد. شرط کلیدی مشروعیت یا مجوز سوژه ها، ایجاد سطوح مختلف دسترسی را ممکن می سازد. امتناع سیستم از ارائه اطلاعات برای هر سازمان یا گروه کاربری مشکل ساز می شود. به عنوان مثال می توان به عدم دسترسی به سایت های خدمات عمومی در صورت خرابی سیستم اشاره کرد که امکان دریافت خدمات یا اطلاعات لازم را از بسیاری از کاربران سلب می کند.

محرمانه بودنبه معنای ویژگی اطلاعاتی است که در دسترس آن دسته از کاربران قرار می گیرد: موضوعات و فرآیندهایی که در ابتدا مجاز به دسترسی هستند. اکثر شرکت ها و سازمان ها محرمانگی را به عنوان یک عنصر کلیدی امنیت اطلاعات می دانند، اما در عمل اجرای کامل آن دشوار است. تمام داده های موجود در کانال های نشت اطلاعات در دسترس نویسندگان مفاهیم امنیت اطلاعات نیست و بسیاری از ابزارهای فنی حفاظت از جمله موارد رمزنگاری را نمی توان آزادانه خریداری کرد، در برخی موارد گردش مالی محدود است.

ویژگی‌های برابر امنیت اطلاعات برای کاربران ارزش‌های متفاوتی دارد، از این رو دو دسته افراطی در توسعه مفاهیم حفاظت از داده‌ها وجود دارد. برای شرکت ها یا سازمان های مرتبط با اسرار دولتی، محرمانه بودن به یک پارامتر کلیدی تبدیل می شود، برای خدمات عمومی یا مؤسسات آموزشی مهم ترین پارامتر دسترسی است.

خلاصه امنیت اطلاعات

مجموعه ای ماهانه از نشریات مفید، اخبار و رویدادهای جالب از دنیای امنیت اطلاعات. تجربه تخصصی و موارد واقعی از عمل SearchInform.

اشیاء محافظت شده در مفاهیم امنیت اطلاعات

تفاوت در موضوعات باعث ایجاد تفاوت در موضوعات محافظت می شود. گروه های اصلی اشیاء محافظت شده:

• منابع اطلاعاتی از همه نوع (منبع به عنوان یک شیء مادی درک می شود: یک هارد دیسک، یک رسانه دیگر، یک سند با داده ها و جزئیات که به شناسایی آن و ارجاع آن به گروه خاصی از موضوعات کمک می کند).
• حقوق شهروندان، سازمان ها و دولت برای دسترسی به اطلاعات، توانایی به دست آوردن آن در چارچوب قانون؛ دسترسی را می توان تنها با قوانین قانونی نظارتی محدود کرد؛ سازماندهی هرگونه مانعی که حقوق بشر را نقض کند غیرقابل قبول است.
• سیستمی برای ایجاد، استفاده و توزیع داده ها (سیستم ها و فناوری ها، بایگانی ها، کتابخانه ها، اسناد نظارتی).
• سیستم شکل گیری آگاهی عمومی (رسانه ها، منابع اینترنتی، موسسات اجتماعی، موسسات آموزشی).

هر شی سیستم خاصی از اقدامات را برای محافظت در برابر تهدیدات امنیت اطلاعات و نظم عمومی در نظر می گیرد. تضمین امنیت اطلاعات در هر مورد باید مبتنی بر یک رویکرد سیستماتیک باشد که ویژگی های تسهیلات را در نظر می گیرد.

دسته ها و رسانه های ذخیره سازی

سیستم حقوقی روسیه، عملکرد اجرای قانون و روابط اجتماعی ایجاد شده، اطلاعات را بر اساس معیارهای دسترسی طبقه بندی می کند. این به شما امکان می دهد تا پارامترهای ضروری لازم برای اطمینان از امنیت اطلاعات را روشن کنید:

• اطلاعاتی که دسترسی به آنها بر اساس الزامات قانونی محدود شده است (اسرار دولتی، اسرار تجاری، داده های شخصی).
• اطلاعات در حوزه عمومی؛
• اطلاعات در دسترس عموم که تحت شرایط خاصی ارائه می شود: اطلاعات پولی یا داده هایی که برای آنها نیاز به صدور پذیرش دارید، به عنوان مثال، کارت کتابخانه.
• خطرناک، مضر، نادرست و انواع دیگر اطلاعات، که گردش و توزیع آنها با الزامات قوانین یا استانداردهای شرکت محدود شده است.

اطلاعات گروه اول دارای دو حالت حفاظتی است. راز دولتیطبق قانون، این اطلاعاتی است که توسط دولت محافظت می شود و توزیع رایگان آن ممکن است به امنیت کشور آسیب برساند. اینها داده هایی در زمینه نظامی، سیاست خارجی، اطلاعاتی، ضد جاسوسی و فعالیت های اقتصادی دولت است. مالک این گروه داده، خود ایالت است. نهادهایی که مجاز به اتخاذ تدابیری برای حفاظت از اسرار دولتی هستند، وزارت دفاع، سرویس امنیت فدرال (FSB)، سرویس اطلاعات خارجی، و سرویس فدرال برای کنترل فنی و صادرات (FSTEC) هستند.

اطلاعات محرمانه- موضوع مقررات چند وجهی تر. فهرست اطلاعاتی که ممکن است به منزله اطلاعات محرمانه باشد، در فرمان شماره 188 ریاست جمهوری «در مورد تأیید فهرست اطلاعات محرمانه» آمده است. این اطلاعات شخصی است. محرمانه بودن تحقیقات و مراحل قانونی؛ راز رسمی؛ راز حرفه ای (پزشکی، اسناد رسمی، وکیل)؛ راز تجارت؛ اطلاعات در مورد اختراعات و مدل های کاربردی؛ اطلاعات موجود در پرونده های شخصی محکومان و همچنین اطلاعات مربوط به اجرای اجباری اعمال قضایی.

داده های شخصی در حالت باز و محرمانه وجود دارد. بخشی از اطلاعات شخصی باز و قابل دسترسی برای همه کاربران شامل نام، نام خانوادگی، نام خانوادگی است. طبق FZ-152 "در مورد داده های شخصی"، افراد داده های شخصی حق دارند:

• خودمختاری اطلاعاتی؛
• برای دسترسی به اطلاعات شخصی شخصی و ایجاد تغییرات در آنها؛
• برای مسدود کردن اطلاعات شخصی و دسترسی به آنها؛
• اعتراض به اقدامات غیرقانونی اشخاص ثالث در رابطه با داده های شخصی؛
• برای جبران خسارت وارده.

حق این امر در مقررات مربوط به نهادهای ایالتی، قوانین فدرال، مجوزهای کار با داده های شخصی صادر شده توسط Roskomnadzor یا FSTEC ذکر شده است. شرکت هایی که به طور حرفه ای با داده های شخصی طیف گسترده ای از افراد کار می کنند، به عنوان مثال، اپراتورهای مخابراتی، باید ثبت نامی را وارد کنند که توسط Roskomnadzor نگهداری می شود.

یک شی جداگانه در تئوری و عمل امنیت اطلاعات حامل های اطلاعاتی هستند که دسترسی به آنها باز و بسته است. هنگام توسعه مفهوم امنیت اطلاعات، روش های حفاظت بسته به نوع رسانه انتخاب می شوند. رسانه ذخیره سازی اصلی:

• رسانه های چاپی و الکترونیکی، شبکه های اجتماعی، سایر منابع موجود در اینترنت؛
• کارکنان سازمان که بر اساس روابط دوستانه، خانوادگی، حرفه ای خود به اطلاعات دسترسی دارند.
• ارتباطات به معنی انتقال یا ذخیره اطلاعات: تلفن، مبادلات تلفنی خودکار، سایر تجهیزات مخابراتی.
• اسناد از همه نوع: شخصی، رسمی، دولتی.
• نرم افزار به عنوان یک شی اطلاعات مستقل، به خصوص اگر نسخه آن به طور خاص برای یک شرکت خاص اصلاح شده باشد.
• رسانه های ذخیره سازی الکترونیکی که داده ها را به صورت خودکار پردازش می کنند.

به منظور توسعه مفاهیم امنیت اطلاعات، ابزارهای امنیت اطلاعات معمولاً به هنجاری (غیررسمی) و فنی (رسمی) تقسیم می شوند.

ابزار غیررسمی حفاظت اسناد، قوانین، رویدادها، وسایل رسمی ابزارهای فنی و نرم افزارهای خاص هستند. ترسیم به توزیع زمینه های مسئولیت در هنگام ایجاد سیستم های امنیت اطلاعات کمک می کند: با مدیریت کلی حفاظت، پرسنل اداری روش های هنجاری را اجرا می کنند و متخصصان فناوری اطلاعات به ترتیب روش های فنی را اجرا می کنند.

مبانی امنیت اطلاعات مستلزم تعیین اختیارات نه تنها از نظر استفاده از اطلاعات، بلکه از نظر کار با حفاظت از آن است. این تقسیم قدرت نیز مستلزم چندین سطح کنترل است.

راه حل های رسمی

طیف گسترده ای از ابزارهای فنی امنیت اطلاعات شامل:

تجهیزات حفاظت فیزیکی.اینها مکانیسم های مکانیکی، الکتریکی، الکترونیکی هستند که مستقل از سیستم های اطلاعاتی عمل می کنند و موانعی را برای دسترسی به آنها ایجاد می کنند. قفل ها از جمله قفل های الکترونیکی، صفحه نمایش، پرده ها برای ایجاد موانع برای تماس عوامل بی ثبات کننده با سیستم ها طراحی شده اند. این گروه با سیستم های امنیتی تکمیل می شود، به عنوان مثال، دوربین های ویدئویی، ضبط کننده های ویدئویی، حسگرهایی که حرکت یا بیش از حد تابش الکترومغناطیسی را در منطقه مکان ابزارهای فنی بازیابی اطلاعات، دستگاه های تعبیه شده تشخیص می دهند.

حفاظت از سخت افزاراینها وسایل الکتریکی، الکترونیکی، نوری، لیزری و غیره هستند که در سیستم های اطلاعاتی و مخابراتی تعبیه شده اند. قبل از وارد کردن سخت افزار به سیستم های اطلاعاتی، لازم است از سازگاری اطمینان حاصل شود.

نرم افزاربرنامه های ساده و سیستمیک و پیچیده ای هستند که برای حل مشکلات خاص و پیچیده مرتبط با امنیت اطلاعات طراحی شده اند. نمونه‌ای از راه‌حل‌های پیچیده نیز عبارتند از: اولی برای جلوگیری از نشت، قالب‌بندی مجدد اطلاعات و تغییر جهت جریان اطلاعات، دومی محافظت در برابر حوادث در زمینه امنیت اطلاعات را فراهم می‌کند. نرم افزار به قدرت دستگاه های سخت افزاری نیاز دارد و باید در حین نصب، ذخایر اضافی فراهم شود.

به وسیله ای خاصامنیت اطلاعات شامل الگوریتم های رمزنگاری مختلفی است که اطلاعات را روی دیسک رمزگذاری کرده و از طریق کانال های ارتباطی خارجی هدایت می شود. تبدیل اطلاعات می‌تواند با استفاده از روش‌های نرم‌افزاری و سخت‌افزاری که در سیستم‌های اطلاعاتی شرکت‌ها کار می‌کنند، رخ دهد.

پس از ارزیابی اولیه ارزش اطلاعات و مقایسه آن با هزینه منابع صرف شده برای امنیت، همه ابزارهایی که امنیت اطلاعات را تضمین می کنند باید به صورت ترکیبی استفاده شوند. بنابراین، پیشنهادات برای استفاده از بودجه باید از قبل در مرحله توسعه سیستم ها تدوین شود و در سطح مدیریتی که مسئول تصویب بودجه است، تصویب شود.

به منظور تضمین امنیت، لازم است تمام پیشرفت‌های مدرن، ابزارهای حفاظتی نرم‌افزاری و سخت‌افزاری، تهدیدها را رصد کرده و به سرعت در سیستم‌های حفاظتی خود در برابر دسترسی‌های غیرمجاز تغییراتی ایجاد کنیم. تنها کفایت و سرعت پاسخگویی به تهدیدات به دستیابی به سطح بالایی از محرمانگی در کار شرکت کمک می کند.

درمان های غیررسمی

راه حل های غیررسمی به دو دسته هنجاری، اداری و اخلاقی-اخلاقی دسته بندی می شوند. در سطح اول حفاظت، ابزارهای نظارتی هستند که امنیت اطلاعات را به عنوان فرآیندی در فعالیت های سازمان تنظیم می کنند.

• وسیله تنظیمی

در عمل جهانی، هنگام توسعه ابزارهای نظارتی، آنها توسط استانداردهای حفاظت IS هدایت می شوند، که اصلی ترین آنها ISO / IEC 27000 است. این استاندارد توسط دو سازمان ایجاد شده است:

• ISO - کمیسیون بین المللی استانداردسازی که اکثر متدولوژی های شناخته شده بین المللی را برای صدور گواهینامه کیفیت تولید و فرآیندهای مدیریتی توسعه و تایید می کند.
• IEC - کمیسیون بین المللی انرژی، که درک خود را از سیستم های امنیت اطلاعات، ابزارها و روش های تضمین آن به استاندارد معرفی کرد.

نسخه فعلی ISO / IEC 27000-2016 استانداردهای آماده و روش های اثبات شده لازم برای اجرای امنیت اطلاعات را ارائه می دهد. به گفته نویسندگان این روش ها، اساس امنیت اطلاعات در اجرای سازگار و منسجم تمام مراحل از توسعه تا پس از کنترل نهفته است.

برای دریافت گواهی تایید کننده انطباق با استانداردهای امنیت اطلاعات، لازم است تمامی تکنیک های توصیه شده به طور کامل اجرا شوند. در صورت عدم نیاز به دریافت گواهی، مجاز به پذیرش هر یک از نسخه های قبلی استاندارد، با شروع ISO / IEC 27000-2002، یا GOST های روسی، که ماهیت مشاوره ای دارند، به عنوان مبنایی برای توسعه سیستم های امنیت اطلاعات خودشان

بر اساس نتایج مطالعه استاندارد، دو سند در حال تدوین است که مربوط به امنیت اطلاعات است. مفهوم اصلی، اما کمتر رسمی، مفهوم امنیت اطلاعات یک شرکت است که اقدامات و روش های اجرای یک سیستم امنیت اطلاعات را برای سیستم های اطلاعاتی یک سازمان تعریف می کند. دومین سندی که کلیه کارکنان شرکت باید رعایت کنند، آیین نامه امنیت اطلاعات مصوب در سطح هیات مدیره یا دستگاه اجرایی است.

علاوه بر موقعیت در سطح شرکت، لیستی از اطلاعات تشکیل دهنده یک اسرار تجاری، ضمیمه های قراردادهای کار، تامین مسئولیت برای افشای داده های محرمانه، سایر استانداردها و روش ها باید توسعه یابد. قوانین و مقررات داخلی باید دارای سازوکارهای اجرایی و اقدامات مسئولیت باشد. در اغلب موارد، این اقدامات ماهیت انضباطی دارند و متخلف باید برای این واقعیت آماده باشد که نقض رژیم اسرار تجاری تحریم های قابل توجهی از جمله اخراج را به دنبال خواهد داشت.

• اقدامات سازمانی و اداری

به عنوان بخشی از فعالیت های اداری برای حفاظت از امنیت اطلاعات برای پرسنل امنیتی، زمینه برای خلاقیت وجود دارد. اینها راه حل های معماری و برنامه ریزی هستند که امکان محافظت از اتاق های جلسه و دفاتر مدیریت را در برابر استراق سمع و ایجاد سطوح مختلف دسترسی به اطلاعات فراهم می کنند. از اقدامات مهم سازمانی می‌توان به صدور گواهینامه فعالیت‌های شرکت مطابق با استانداردهای ISO/IEC 27000، صدور گواهینامه سیستم‌های سخت‌افزاری و نرم‌افزاری فردی، صدور گواهینامه موضوعات و اشیاء برای انطباق با الزامات امنیتی لازم، اخذ مجوزهای لازم برای کار با آرایه‌های داده حفاظت‌شده اشاره کرد.

از نقطه نظر تنظیم فعالیت های پرسنل، تدوین یک سیستم درخواست برای دسترسی به اینترنت، ایمیل خارجی و سایر منابع مهم خواهد بود. یک عنصر جداگانه دریافت امضای دیجیتال الکترونیکی برای افزایش امنیت اطلاعات مالی و سایر اطلاعاتی است که از طریق پست الکترونیکی به سازمان های دولتی منتقل می شود.

• اقدامات اخلاقی و اخلاقی

اقدامات اخلاقی و اخلاقی نگرش شخصی فرد را نسبت به اطلاعات محرمانه یا اطلاعات محدود در گردش تعیین می کند. افزایش سطح دانش کارکنان در خصوص تأثیر تهدیدات بر فعالیت های شرکت بر میزان هوشیاری و مسئولیت پذیری کارکنان تأثیر می گذارد. برای مبارزه با نقض رژیم اطلاعات، از جمله، به عنوان مثال، انتقال رمز عبور، رسیدگی بی دقت به رسانه ها، انتشار داده های محرمانه در مکالمات خصوصی، باید بر وظیفه شناسی شخصی کارمند تمرکز کرد. ایجاد شاخص هایی از اثربخشی پرسنل، که به نگرش نسبت به سیستم امنیت اطلاعات شرکت بستگی دارد، مفید خواهد بود.

اینفوگرافیک از داده های تحقیقات خودمان استفاده می کند.SearchInform.

روش های جدید پردازش و انتقال داده ها به ظهور تهدیدهای جدید کمک می کند که احتمال تحریف، رهگیری و غیره اطلاعات را بهبود می بخشد. از این رو امروزه اجرای امنیت اطلاعات رایانه ها در شبکه، پیشرو در فناوری اطلاعات است. سندی که از قانونی بودن اقدامات و تعیین درک یکپارچه از همه جنبه ها پشتیبانی می کند - GOST R 50922-96.

در زیر به مفهوم اساسی در این جهت خواهیم پرداخت:

• حفاظت از اطلاعات جهت جلوگیری از تهدید اطلاعات است.
• یک شی محافظت شده اطلاعات یا رسانه ای با اطلاعاتی است که باید محافظت شود.
• هدف حفاظت، نتیجه مشخصی پس از یک دوره معین حفاظت از این اطلاعات است.
• کارایی حفاظت از اطلاعات - نشانگر نشان می دهد که نتیجه واقعی چقدر به نتیجه تنظیم شده نزدیک است.
• حفاظت از اطلاعات در برابر نشت - کار برای جلوگیری از انتقال کنترل نشده داده های محافظت شده از افشای یا
• سیستم امنیت اطلاعات - مجموعه ای از اجزایی است که در قالب فناوری، نرم افزار، افراد، قوانین و غیره پیاده سازی می شوند که در یک سیستم واحد سازماندهی شده و عمل می کنند و هدف آنها حفاظت از اطلاعات است.
• موضوع دسترسی به اطلاعات، مشارکت کننده در روابط حقوقی در فرآیندهای اطلاعاتی است
• صاحب اطلاعات - نویسنده ای که در چارچوب قوانین دارای حقوق کامل برای این اطلاعات است
• مالک اطلاعات - موضوعی است که به دستور مالک از اطلاعات استفاده می کند و آن را در اختیارات معینی اجرا می کند
• حق دسترسی به اطلاعات مجموعه ای از قوانین برای دسترسی به داده های ایجاد شده توسط اسناد یا توسط مالک / مالک است
• دسترسی مجاز - دسترسی که قوانین کنترل دسترسی خاصی را نقض نمی کند
• دسترسی غیرمجاز - نقض قوانین کنترل دسترسی. فرآیند یا موضوعی که NSD را اجرا می کند، ناقض است
• شناسایی سوژه الگوریتمی برای تشخیص موضوع توسط شناسه است
• مجوز موضوع الگوریتمی برای اعطای حقوق به موضوع پس از احراز هویت و شناسایی موفق در سیستم است.
• آسیب پذیری سیستم کامپیوتری جنبه ای از اجزای سیستم است که منجر به
• حمله به یک سیستم کامپیوتری (CS) جستجو و پیاده سازی آسیب پذیری های سیستم توسط یک مهاجم است
• سیستم محافظت شده سیستمی است که در آن آسیب پذیری های سیستم با موفقیت بسته شده و خطرات تهدید کاهش می یابد
• روشها و روشهای حفاظت از اطلاعات - قوانین و روشهای اجرای وسایل حفاظت
• سیاست امنیتی مجموعه ای از قوانین، هنجارها و اسناد برای اجرای حفاظت از یک سیستم اطلاعاتی در یک شرکت است.

زیر امنیت اطلاعاتتعیین امنیت داده ها از اقدامات غیرقانونی با آن و همچنین عملکرد سیستم اطلاعاتی و اجزای آن. امروزه AS (سیستم خودکار) پردازش داده یک سیستم کامل است که از اجزای یک استقلال خاص تشکیل شده است. هر جزء می تواند به شدت تحت تأثیر قرار گیرد. عناصر سخنران را می توان به گروه های زیر دسته بندی کرد:

• قطعات سخت افزاری - کامپیوترها و قطعات آنها (مانیتور، چاپگر، کابل های ارتباطی و غیره)
• نرم افزار - برنامه ها، سیستم عامل و غیره
• پرسنل - افرادی که به طور مستقیم با سیستم اطلاعاتی مرتبط هستند (کارکنان و غیره)
• داده - اطلاعاتی که در یک سیستم بسته است. این اطلاعات چاپی و مجلات، رسانه ها و غیره است.

امنیت اطلاعات از طریق جنبه های زیر اجرا می شود: یکپارچگی، محرمانه بودن و در دسترس بودن. محرمانه بودن داده هاجنبه ای از اطلاعات است که میزان محرمانه بودن آن را از اشخاص ثالث تعیین می کند. اطلاعات محرمانه باید فقط برای افراد مجاز سیستم شناخته شود. یکپارچگی اطلاعاتجنبه اطلاعات را در حفظ ساختار / محتوای آن در حین انتقال یا ذخیره سازی تعریف می کند. دستیابی به امنیت این جنبه در محیطی که احتمال اعوجاج یا اثرات دیگر بر تخریب یکپارچگی وجود دارد، مهم است. قابلیت اطمینان اطلاعاتشامل عضویت دقیق از مقدار اولیه، در طول انتقال و ذخیره سازی است.

اهمیت حقوقی داده ها توسط سندی که حامل است تعیین می شود و همچنین دارای قدرت قانونی است. در دسترس بودن داده هادریافت توسط موضوع اطلاعات را با استفاده از ابزار فنی تعیین می کند.