بیایید به موضوع فوری مقاله - محافظت از اشیا برویم.

فرض کنید مشتری با مشکل زیر با شما تماس گرفته است: این ظن وجود دارد که اطلاعات محرمانه در اختیار رقبا قرار می گیرد.

مشتری - صاحب یک تجارت کوچک با دفتری متشکل از چندین اتاق. این شرکت دارای یک بخش حسابداری، مناطق تولید، یک دفتر مدیر، یک اتاق پذیرایی و یک اتاق تفریحی است. این شرکت خدمات امنیتی خاص خود را دارد. فضای اداری در داخل یک ساختمان چند طبقه واقع شده است، اماکن مجاور نیز توسط ادارات اشغال شده است.

اقدامات حفاظتی را از کجا شروع کنیم؟ در نگاه اول، با بسته شدن تمام کانال های نشت اطلاعات معمولی، لازم است از محل شرکت محافظت شود. اما این پول زیادی است.

در مرحله اول، باید بپرسید مشتری به کدام یک از رقبا مشکوک به سرقت اطلاعات است. در صورت وجود سوء ظن صریح ، توصیه می شود متوجه شوید که اطلاعات ارسالی چقدر گران است ، توانایی های مالی و فنی مهاجمان چیست ، به عنوان مثال. چقدر آنها می توانند اطلاعات را اجاره کنند.

باید دریابید که کدام گروه از پرسنل به اطلاعات خروجی دسترسی دارند. با داشتن این اطلاعات به جلو می رویم.

اقدامات حفاظت از اطلاعات را می توان به دو گروه اصلی تقسیم کرد: اقدامات سازمانی و اقدامات فنی.

ما در مورد اقدامات سازمانی با جزئیات صحبت نخواهیم کرد، برای این یک سرویس امنیتی سازمانی وجود دارد. اما می توانید چند نکته را ارائه دهید.

لازم است دسترسی به اماکن و اطلاعات در بین پرسنل شرکت با توجه به فعالیت ها و سلسله مراتب آنها محدود شود. با انجام این کار، دایره افرادی که به اطلاعات محرمانه دسترسی دارند را به طور قابل توجهی محدود می کنیم.

کنترل روال روزانه تعیین شده شرکت ضروری است.

نیاز به کار توضیحی با کارکنان در مورد بحث نامطلوب برخی از جنبه های کار آنها در خارج از دیوارهای شرکت وجود دارد.

اگر اطلاعات در دسترس طیف گسترده ای از افراد باشد، به عنوان مثال، پنج کارمند در بخش حسابداری وجود دارد، اقدامات فنی حفاظتی کمک چندانی نخواهد کرد. در این صورت به عنوان مثال به جای نصب سیستم های حفاظتی برای مکالمات تلفنی در واحد حسابداری، بهتر است سیستمی برای مستندسازی مکالمات تلفنی مثلاً «اسپروت» نصب شود. در این صورت سرویس امنیتی به راحتی می تواند مسئول افشای اطلاعات محرمانه را شناسایی کند. استفاده مداوم از سایر سیستم های حفاظتی در چنین اتاقی نیز غیرممکن است، زیرا یا محیط کاری ناخوشایندی ایجاد می کند و یا در ابتدا گواهی پزشکی دستگاه حفاظتی مدت زمان کارکرد آن را محدود می کند و در نهایت عملکرد دستگاه ها می تواند نامطلوب باشد. بر عملکرد تجهیزات اداری تأثیر می گذارد.

بنابراین، بهتر است با کمک اقدامات سازمانی و دستگاه های کنترل فنی مجاز برای استفاده - ضبط کننده ها و تعرفه گذاری مکالمات تلفنی، سیستم های نظارت تصویری و صوتی، سیستم های کنترل دسترسی و غیره، اقدامات حفاظت از اطلاعات در مناطق اصلی شرکت تضمین شود.

چه چیزی باید در شرکت با کمک فناوری محافظت شود؟ بهتر است یک اتاق ویژه برای مذاکرات اختصاص دهید (معمولا اتاق استراحت)، دسترسی محدود به آن را فراهم کنید، در صورت نیاز به انجام مکالمات تلفنی محرمانه، یک خط تلفن شهری جداگانه (بدون رفت و آمد با مینی سانترال اداری) اختصاص دهید. ) و آن را به محل محافظت شده متصل کنید. اگر نیاز به استفاده از رایانه شخصی وجود دارد، بهتر است آن را از شبکه محلی شرکت حذف کنید. در صورت لزوم انجام مذاکرات محرمانه در دفتر مدیر، مشمول حفاظت فنی نیز می شود.

اکنون که در مورد یک اتاق خاص تصمیم گرفته ایم، بیایید به اقدامات حفاظت فنی برویم.

اول از همه، بیایید ویژگی های عملکرد اتاق را تعریف کنیم. اتاق دارای یک پنجره، یک باتری گرمایش مرکزی، دو پریز برق و روشنایی متصل به دو فاز مختلف برق است، یک خط تلفن شهری به اتاق آورده شده است، یک رایانه شخصی دائماً در اتاق قرار دارد که در قسمت محلی گنجانده نشده است. شبکه شرکت

دیوارهای اتاق بتن آرمه است. ابعاد اتاق: 4 متر در 5 متر در 2.7 متر.

پلان طبقه در شکل 1 نشان داده شده است.

اقدامات برای حفاظت فنی اطلاعات را می توان به طور مشروط به سه حوزه تقسیم کرد: غیرفعال، فعال و ترکیبی.

حفاظت غیرفعال به معنای شناسایی و محلی سازی منابع و کانال های نشت اطلاعات است.

فعال - تداخل در بازیابی اطلاعات.

ترکیبی - ترکیبی از استفاده از دو جهت قبلی و قابل اطمینان ترین است.

با این حال، پدافند غیرعامل و فعال به یک معنا آسیب پذیر هستند. به عنوان مثال، هنگام استفاده از حفاظت منحصراً غیرفعال، لازم است نظارت شبانه روزی انجام شود، زیرا مشخص نیست که دستگاه های پیک آپ چه زمانی فعال می شوند یا توانایی استفاده از تجهیزات تشخیص در طول یک جلسه کاری از بین می رود.

محافظت فعال می تواند زندگی را برای افرادی که شما را تماشا می کنند دشوار کند، و شما می توانید از آن در حالت بیکار استفاده کنید، بدون اینکه مطمئن باشید نظارت وجود دارد یا خیر.

حفاظت ترکیبی این معایب را از بین می برد.

مدل حفاظت اطلاعات در برابر نشت از طریق کانال های فنی از شی محافظت شده

جدول 9

	محل نصب	محل نصب دستگاه های بازیابی اطلاعات	نوع (شاخص) دستگاه برای خواندن اطلاعات	حالت کاربرد	کانال فنی برای بستن نشت اطلاعات
			مولد نویز "Thunder ZI - 4"	مدام	رادیو الکترونیک
	کامپیوتر دفتر شماره 3		مولد نویز "GSh-K-1000M"	مدام	رادیو الکترونیک
			مولد نویز "Kupol-W-DU"	مدام	رادیو الکترونیک
	سوکت 220 V. دفتر رئیس شی حفاظت شده		مولد نویز	با تصمیم مدیریت	رادیو الکترونیک
ادامه جدول
			مولد نویز "SI-8001"	مدام	رادیو الکترونیک
	سوکت 220 V. کابینت شماره 2		مولد نویز "SI-8001"	با تصمیم مدیریت	رادیو الکترونیک
			مولد نویز "Wave 4 M"	با تصمیم مدیریت	رادیو الکترونیک
	دفتر رئیس شیء حفاظت شده		مولد نویز "SELSP-21B1"	با تصمیم مدیریت	رادیو الکترونیک
	دفتر رئیس شیء حفاظت شده		فیلتر پاور "FSP-1F-7A"	مدام	رادیو الکترونیک
	پنجره دفتر رئیس شیء حفاظت شده		سیستم لرزشی "VGSh-103"	مدام	آکوستیک
	پنجره اتاق شعبه مخفی		مولد نویز ارتعاشی "ANG-2000"	با تصمیم مدیریت	آکوستیک

ویژگی های عملکرد تجهیزات حفاظتی

جدول 10

	محل نصب	نوع (شاخص) دستگاه های امنیت اطلاعات	مشخصات فنی
	دسکتاپ سر شیء محافظت شده	تندر ZI-4	محدوده فرکانس - 20 - 1000 مگاهرتز منبع تغذیه - شبکه 220 ولت ولتاژ سیگنال - در محدوده فرکانس 100 کیلوهرتز - 1 مگاهرتز - 60 دسی بل
	دفتر رئیس شیء حفاظت شده		محدوده فرکانس - 100 کیلوهرتز - 1000 مگاهرتز منبع تغذیه - + 12 ولت، از اتوبوس کامپیوتر سطوح قدرت تابشی نویز - 30 - 45 دسی بل
ادامه جدول
	محل اداره مخفی	Dome-W-DU	شعاع عمل - 5 - 10 متر محدوده فرکانس کاری - 100 کیلوهرتز - 1800 مگاهرتز منبع تغذیه - 220 ولت قدرت تشعشع - 15 وات فاکتور کیفیت نویز - نه بدتر از 0.6
	سوکت 220 V. دفتر رئیس شی حفاظت شده		عرض طیف تداخل - 30 کیلوهرتز - 30 مگاهرتز منبع تغذیه - 220 ولت سطح سیگنال نویز - 75 - 35 dB / μV
	سوکت 220 ولت. محل اداره مخفی		مصرف برق< 15ВА منبع تغذیه-220 ولت سطح تداخل -30 - 80 دسی بل
	سوکت 220 V. کابینت شماره 2		عرض طیف تداخل - 5 کیلوهرتز - 10 مگاهرتز منبع تغذیه-220 ولت سطح تداخل -30 - 80 دسی بل
	دفتر رئیس شیء حفاظت شده		محدوده فرکانس - 0.5 ... 1000 مگاهرتز قدرت - 20 وات تغذیه - 220 ولت دامنه سیگنال نویز - نه کمتر از 3 ولت
	دفتر رئیس شیء حفاظت شده		منبع تغذیه - 12 ولت محدوده فرکانس - 5 مگاهرتز ... 1 گیگاهرتز سطح سیگنال خروجی - 45 دسی بل جریان مصرفی - 350 میلی آمپر
	دفتر رئیس شیء حفاظت شده		محدوده فرکانس کاری -0.15-1000MHz میرایی -60 دسی بل جریان بار مجاز - 7 A
	پنجره دفتر رئیس شیء حفاظت شده		محدوده -40 دسی بل در محدوده فرکانس 175 - 5600 هرتز شعاع - 5 متر
	پنجره اتاق شعبه مخفی		عرض طیف تداخل - 250 هرتز - 5 کیلوهرتز منبع تغذیه-220 ولت مصرف برق - 24 وات ولتاژ خروجی -1 - 12 ولت مقاومت> 0.5 اهم

روش های محافظت از اطلاعات در برابر شرایط اضطراری

حفاظت از اطلاعات در برابر شرایط اضطراری شامل ایجاد ابزار هشدار، کنترل و اقدامات سازمانی برای جلوگیری از ارتباطات غیرمجاز در مجموعه تجهیزات اتوماسیون در صورت خرابی عملکرد آن، خرابی سیستم حفاظت اطلاعات، سیستم های پشتیبانی از زندگی افراد است. تسهیلات اقامتی و در صورت وقوع بلایای طبیعی.

عمل نشان می دهد که اگرچه یک موقعیت اضطراری یک رویداد نادر است (احتمال وقوع آن به دلایل زیادی بستگی دارد، از جمله دلایلی که خارج از کنترل فرد است، و این دلایل می توانند به هم مرتبط باشند)، اما محافظت از آن ضروری است، زیرا عواقب آن به عنوان یک نتیجه تأثیر آن، به عنوان یک قاعده، می تواند بسیار سنگین باشد، و زیان ها غیر قابل جبران است. هزینه محافظت در برابر شرایط اضطراری می تواند نسبتاً کم باشد و تأثیر آن در صورت وقوع حادثه زیاد است.

نقص عملکرد ASOI می تواند منجر به از کار افتادن سیستم حفاظت اطلاعات شود، دسترسی به حامل های آن می تواند باز شود، که می تواند منجر به تخریب عمدی، سرقت یا جایگزینی حامل شود. دسترسی غیرمجاز به نصب داخلی تجهیزات می تواند منجر به اتصال تجهیزات خارجی، تخریب یا تغییر نمودار مدار شود.

خرابی سیستم پشتیبانی زندگی می تواند منجر به ناتوانی پرسنل نگهداری و کنترل شود. بلایای طبیعی: آتش سوزی، سیل، زلزله، صاعقه و غیره - نیز می تواند منجر به عواقب فوق شود. وضعیت اضطراری می تواند عمدا ایجاد شود. سپس اقدامات سازمانی اعمال می شود.

در صورت خرابی عملیات ASOI، زیرسیستم کنترل دستکاری تجهیزات با یک منبع تغذیه مستقل عرضه می شود. برای جلوگیری از فقدان غیرقابل جبران اطلاعات، حامل های اطلاعات کپی شده و در یک مکان دور و امن جداگانه ذخیره می شوند. برای محافظت در برابر نشت، اطلاعات باید به روش رمزنگاری امن ذخیره شوند. به منظور انجام اقدامات به موقع برای حفاظت از سیستم پشتیبانی حیات، سنسورهای مناسب نصب شده است که سیگنال های آن به سیستم های کنترل متمرکز و هشدار ارسال می شود.

آتش یک تهدید معمولی است. ممکن است به دلیل تقصیر پرسنل خدمات، در صورت خرابی تجهیزات و همچنین در نتیجه یک بلایای طبیعی ایجاد شود.

اقدامات سازمانی برای حفاظت از اطلاعات در ASOI شامل توسعه و اجرای اقدامات اداری و سازمانی و فنی در طول آماده سازی و بهره برداری از سیستم است.

اقدامات سازمانی، به گفته کارشناسان خارجی، با وجود بهبود مستمر اقدامات فنی، بخش قابل توجهی از سیستم حفاظتی را تشکیل می دهد. آنها زمانی استفاده می شوند که سیستم محاسباتی نمی تواند مستقیماً استفاده از اطلاعات را کنترل کند. علاوه بر این، در برخی موارد بحرانی، به منظور بهبود اثربخشی حفاظت، تکرار اقدامات فنی با اقدامات سازمانی مفید است.

اقدامات سازمانی برای محافظت از سیستم ها در طول آماده سازی و عملیات آنها شامل تصمیمات و رویه هایی است که توسط مدیریت کاربر سیستم اتخاذ می شود. در حالی که برخی از اینها ممکن است توسط عوامل خارجی مانند قوانین یا مقررات دولتی هدایت شوند، اکثر مشکلات به صورت داخلی در یک سازمان تحت شرایط کنترل حل می شوند.

در اکثر مطالعاتی که به مشکلات حفاظت از اطلاعات اختصاص داشت و در نشریات خارجی موجود، توجه اصلی یا به جنبه حقوقی و مشکلات اجتماعی و قانونی مربوط به آن و یا به روش های فنی برای حل مشکلات خاص حفاظتی معطوف شد. در مقایسه با آنها، مسائل سازمانی فاقد آن فرمول روشنی بود که در ذاتی مشکلات فنی و آن رنگ‌بندی احساسی که در مسائل حقوقی ذاتی است.

بخش جدایی ناپذیر هر برنامه عملیاتی باید بیانیه واضح اهداف، تعیین مسئولیت ها و فهرستی از پادمان های سازمانی باشد. تخصیص مسئولیت و کارکردها برای اجرای حفاظت از سازمانی به سازمان دیگر می تواند متفاوت باشد، اما برنامه ریزی دقیق و تخصیص دقیق مسئولیت ها برای ایجاد یک سیستم دفاعی تاب آور موثر ضروری است.

اقدامات سازمانی برای حفاظت از اطلاعات در ASOI باید مراحل طراحی، توسعه، ساخت، آزمایش، آماده سازی برای بهره برداری و بهره برداری از سیستم را پوشش دهد.

مطابق با الزامات تکلیف فنی در سازمان، طراح به همراه ابزار فنی، اقدامات سازمانی را برای حفاظت از اطلاعات در مرحله ایجاد یک سیستم توسعه و اجرا می کند. فاز ساخت به طراحی، توسعه، ساخت و آزمایش سیستم اشاره دارد. در عین حال، لازم است اقدامات حفاظت از اطلاعات انجام شده توسط سازمان طراحی، توسعه دهنده و سازنده در فرآیند ایجاد یک سیستم و طراحی شده برای محافظت در برابر نشت اطلاعات در این سازمان و اقدامات مندرج در مستندات پروژه و توسعه یافته برای سیستم که به اصول سازماندهی حفاظت در خود سیستم مربوط می شود و از آن اقدامات سازمانی توصیه شده در اسناد عملیاتی توسط سازمان توسعه دهنده برای دوره راه اندازی و بهره برداری از سیستم پیروی می کند. اجرای این توصیه ها تضمین خاصی برای حفاظت از اطلاعات در ASOI است.

اقدامات سازمانی برای محافظت از اطلاعات در فرآیند ایجاد یک سیستم عبارتند از:

سازمان توسعه، اجرا و استفاده از بودجه؛

مدیریت دسترسی پرسنل به قلمرو، ساختمان‌ها و محل‌ها؛

معرفی کار در مناطق ضروری با رژیم محرمانه؛

تدوین شرح وظایف برای اطمینان از رژیم محرمانه مطابق دستورالعمل ها و مقررات جاری در کشور.

در صورت لزوم، تخصیص اتاق های جداگانه با دزدگیر و سیستم های دسترسی.

تمایز وظایف توسط مجری و انتشار اسناد.

تعیین مهر محرمانگی به مواد، اسناد، تجهیزات و نگهبانی آنها در اتاقهای مجزا با در نظر گرفتن و کنترل دسترسی مجریان.

نظارت مستمر بر رعایت رژیم و دستورالعمل های مربوطه توسط مجریان؛

ایجاد و توزیع افراد مسئول درز اطلاعات.

اقدامات سازمانی مندرج در دستورالعمل های عملیاتی سیستم و توصیه شده توسط سازمان مصرف کننده باید برای دوره های آماده سازی و بهره برداری از سیستم ارائه شود.

این اقدامات به عنوان روشی برای حفاظت از اطلاعات، مستلزم سیستمی از اقدامات سازمانی است که اقدامات فنی فوق را در یک سیستم واحد امنیت اطلاعات تکمیل و ترکیب می کند.

6. سیاست دولت در زمینه امنیت اطلاعات. تعریف و اهداف امنیت اطلاعات. مولفه های منافع ملی فدراسیون روسیه در حوزه اطلاعات.

7. حفاظت از اطلاعات. انواع و محتوای رویدادها.

8. حفاظت از اطلاعات. انواع و محتوای رویدادها.

10. وسایل فنی، آن. انواع کامپیوترهای مدرن

11. رایانه شخصی: هدف، عملکرد. دستگاه های اصلی کامپیوتر، هدف، عملکردها، ویژگی ها.

12. واحدهای اندازه گیری اطلاعات. دستگاه های ذخیره سازی اطلاعات

13. انواع و طبقه بندی نرم افزارها.

14. سیستم عامل: هدف، عملکرد. نقش و جایگاه زنبورها در نرم افزارهای کامپیوتری.

15. ویژگی ها و ویژگی های سیستم عامل ویندوز.

16. سازماندهی ذخیره سازی اطلاعات. ساختار سیستم فایل مفهوم دیسک، فایل، پوشه. انواع فایل

17. عملیات اساسی با فایل ها و پوشه ها. ابزارهای کار با پوشه ها و فایل ها: میانبر، پوشه سیستم سطل زباله، کلیپ بورد.

18. سرویس برای دستگاه های حافظه خارجی با استفاده از ابزارهای OS

19. کنترل های اساسی رابط کاربری ویندوز.

20. سفارشی سازی رابط کاربری. پیکربندی منوی اصلی، دسکتاپ

21. ویرایشگرهای متن به عنوان وسیله ای برای تهیه اسناد حقوقی: ویژگی ها و کارکردهای اساسی و اضافی Ms word.

26. کنترل املا و سبک، تصحیح خطا (msWord).

27. پارامترهای صفحه و نحوه تنظیم آنها msWord.

28. شماره گذاری صفحات. پارامترهای ستون (msWord)

29 استفاده از برگه های سفارشی برای استایل دادن به پاراگراف های ساخت یافته msWord.

31. تهیه و قالب بندی جداول.

32. پاورقی: ابزار ایجاد و طراحی.

33. مفهوم قالب سند و سبک طراحی: استفاده از آنها

34. مفهوم سرصفحه و پاورقی: ابزار ایجاد و طراحی.

35. ایجاد خودکار فهرست مطالب برای یک سند ساختاریافته.

36. ابزار ایجاد msWord متن چند ستونی.

37. صفحات گسترده: هدف، توابع اساسی و اضافی ms Excel.

38. مفهوم کتاب، برگه، سلول صفحه گسترده. مرجع سلولی مطلق و نسبی.

39. وارد کردن و ویرایش داده ها در صفحات گسترده.

40. قالب های سطر، ستون، سلول های صفحه گسترده و تنظیمات آنها. فرمت های داده های پایه: عددی، درصد، تاریخ و زمان MS Excel.

41. سازماندهی محاسبات در صفحه گسترده: وارد کردن و کپی فرمول.

43. ایجاد نمودارها و نمودارها در صفحه گسترده: مراحل ساخت ms excel.

45 انجام پردازش تحلیلی داده ها در لیست: مرتب سازی، انتخاب داده ها بر اساس معیار. جمع بندی (ms Excel).

46 حفاظت از داده ها در یک صفحه گسترده (ms Excel)

س 48. سیستم های مدیریت پایگاه داده فرعی: هدف و عملکرد.

50 . ایجاد پایگاه داده شرح فیلد: نوع، اندازه، قالب و سایر ویژگی های فیلد ms Access.

51. فیلد کلید، هدف و کاربرد آن.

52 - 53. ساختار پایگاه داده در اکسس. ارتباط بین جداول به ابزارهایی برای ایجاد روابط بین جداول دسترسی پیدا کنید.

54. فرم ها: هدف، ابزار ایجاد، استفاده از ms Access.

55. مرتب سازی رکوردهای صفحه: با استفاده از فیلتر

56. انواع درخواست ها ترتیب تشکیل درخواست.

57. درخواست انتخاب. خانم اکسس

58. محاسبه در درخواست روش های گروه بندی، توابع گروه.

59. محاسبه بر روی داده ها در پایگاه داده: تشکیل یک درخواست به روز رسانی Ms Access

سوال 60. پرس و جوهایی با پارامترهای ms Access.

61. گزارش ها: هدف، وسیله ایجاد، استفاده از ms Access.

62. مفهوم و انواع شبکه های کامپیوتری.

63. اینترنت به عنوان یک رسانه اطلاعاتی مفهوم سایت

سوال 64. ساختار منطقی و فیزیکی اینترنت. پروتکل Tcpip

65. فناوری فرامتن www. زبان Html. صفحه وب.

66. آدرس دهی اینترنتی، سیستم نام دامنه.

67. مرورگر مایکروسافت اینترنت اکسپلورر. ویژگی، روش های تنظیم و استفاده.

68. دسترسی به اینترنت. خدمات اینترنتی. روش های یافتن اطلاعات در اینترنت

69. موتورهای جستجوی اصلی زبان پرس و جو

70. ایمیل.

71. مفهوم و انواع ارائه الکترونیکی.

72. برنامه ریزی و سازماندهی ارائه الکترونیکی.

سوال 73-74 ساختار یک اسلاید ارائه الکترونیکی اسلایدهای ارائه را ایجاد و مدیریت کنید.

سوال 76: متحرک سازی اشیاء در یک اسلاید ارائه

76. متحرک سازی اشیاء در اسلاید ارائه.

77. ساختار آرایه اطلاعات در نظام حقوقی مرجع.

78. انواع جستجو در نظام های حقوقی مرجع.

79. جزئیات اسناد در نظام حقوقی مرجع، استفاده از آنها برای جستجو.

80 جستجوی متنی در متون اسناد نظام های حقوقی مرجع

81 جستجو بر اساس طبقه بندی های موضوعی در سیستم های حقوقی مرجع

82. جستجوی کلیدواژه در سیستم های حقوقی مرجع: انتساب به استفاده.

7. حفاظت از اطلاعات. انواع و محتوای رویدادها.

حفاظت از اطلاعات - مجموعه اقداماتی وجود دارد که توسط صاحب اطلاعات برای محافظت از حقوق خود برای داشتن و دفع اطلاعات انجام می شود تا شرایطی ایجاد کند که انتشار آن را محدود کند و دسترسی به اطلاعات طبقه بندی شده و حاملان آن را منتفی کند.

بنابراین، امنیت اطلاعات نیز باید به عنوان تضمین امنیت اطلاعات و رسانه های اطلاعاتی که اطلاعات محافظت شده در آن انباشته، پردازش و ذخیره می شود، درک شود.

بنابراین، حفاظت از اطلاعات، فعالیت صاحب اطلاعات یا اشخاصی است که از سوی وی مجاز به انجام موارد زیر است:

> حصول اطمینان از حقوق خود برای داشتن، دفع و مدیریت اطلاعات محافظت شده؛

> جلوگیری از نشت و از دست دادن اطلاعات؛

حفظ کامل بودن، قابلیت اطمینان، یکپارچگی اطلاعات محافظت شده، آرایه ها و برنامه های پردازش آن؛

> حفظ محرمانه یا محرمانه بودن اطلاعات محافظت شده مطابق با قوانین تعیین شده توسط قوانین و مقررات دیگر.

اقدامات اصلی سازمانی و فنی که توسط سیستم حفاظت اطلاعات دولتی انجام می شود باید در نظر گرفته شود:

صدور مجوز دولتی برای شرکت ها در زمینه حفاظت از اطلاعات؛

صدور گواهینامه اشیاء اطلاعاتی بر اساس الزامات امنیت اطلاعات، طراحی شده برای ارزیابی آمادگی سیستم ها و ابزارهای اطلاعات و ارتباطات برای پردازش اطلاعات حاوی اسرار دولتی، رسمی یا تجاری.

صدور گواهینامه سیستم های امنیت اطلاعات؛

اقدامات سازمانی و فنی انجام شده توسط سیستم حفاظت اطلاعات دولتی نیز شامل موارد زیر است:

معرفی محدودیت های سرزمینی، فرکانس، انرژی، مکانی و زمانی در حالت های عملکرد تجهیزات فنی مشمول حفاظت؛

ایجاد و بکارگیری اطلاعات و سیستم های کنترل خودکار در طراحی ایمن.

توسعه و اجرای راه حل های فنی و عناصر حفاظت از اطلاعات در ایجاد سلاح و تجهیزات نظامی و در طراحی، ساخت و بهره برداری از اشیاء اطلاعات، سیستم ها و وسایل اتوماسیون و ارتباطات.

8. حفاظت از اطلاعات. انواع و محتوای رویدادها.

1. ابزار فنی حفاظت از اطلاعات، از جمله ابزارهای نظارت بر اثربخشی اقدامات انجام شده برای حفاظت از اطلاعات:

1.1. ابزار حفاظت اطلاعات در برابر رهگیری سیگنال های نوری تصاویر در محدوده امواج مرئی، مادون قرمز و فرابنفش.

1.2. ابزار حفاظت اطلاعات در برابر رهگیری سیگنال های صوتی منتشر شده در هوا، آب، رسانه جامد.

2. سخت افزار و سیستم ها در یک طرح محافظت شده، از جمله:

2.1. ابزارهای درهم، پوشاندن یا رمزگذاری

اطلاعات از راه دور از طریق کانال های ارتباطی منتقل می شود.

2.2. تجهیزاتی برای انتقال اطلاعات ویدئویی از طریق یک کانال نوری.

3. وسایل فنی حفاظت از اقدامات عملیاتی و فنی ویژه وسایل فنی خاص که برای کسب اطلاعات مخفیانه در نظر گرفته شده است.

4. ابزار فنی حفاظت از اطلاعات در برابر دسترسی غیرمجاز توسط افراد غیرمجاز:

4.2. ابزارهای ویژه محافظت در برابر جعل اسناد مبتنی بر فناوری های نوری و شیمیایی، از جمله:

ابزار محافظت از اسناد در برابر فتوکپی

ابزار محافظت از اسناد در برابر جعل با کمک داروهای شناسایی شیمیایی

ابزار محافظت از اطلاعات با استفاده از نوشتن مخفی.

5. ابزارهای نرم افزاری برای محافظت از اطلاعات در برابر دستکاری و نشانک های نرم افزاری:

5.1. برنامه هایی که تمایز دسترسی به اطلاعات را فراهم می کنند.

5.3. برنامه هایی برای بررسی عملکرد سیستم حفاظت از اطلاعات و نظارت بر یکپارچگی وسایل حفاظت در برابر دستکاری.

5.4. برنامه های حفاظتی برای اهداف مختلف کمکی، از جمله برنامه های ضد ویروس.

6. نرم افزار محافظت شده برای پردازش اطلاعات:

6.1. بسته های برنامه برای ایستگاه های کاری خودکار AWP.

6.2. پایگاه های داده شبکه های کامپیوتری

7. ابزارهای نرم افزاری و سخت افزاری حفاظت از اطلاعات:

7.1 ابزارهای نرم افزاری و سخت افزاری برای محافظت از اطلاعات در برابر کپی غیرمجاز،

7.2. نرم‌افزار و سخت‌افزار برای حفاظت رمزنگاری و تنگ‌نگاری اطلاعات، از جمله ابزارهای پنهان‌سازی اطلاعات در هنگام ذخیره‌سازی اطلاعات در حامل‌های داده و هنگام انتقال از طریق کانال‌های ارتباطی.

7.3. ابزارهای نرم افزاری و سخت افزاری برای قطع عملکرد برنامه کاربر در صورت نقض قوانین دسترسی از جمله:

خاتمه اجباری برنامه

در حال قفل کردن کامپیوتر شما

7.4. ابزارهای نرم افزاری و سخت افزاری برای پاک کردن داده ها از جمله:

8. وسایل حفاظتی ویژه در برابر شناسایی

9. حفاظت نرم افزاری و سخت افزاری در برابر افراد غیرمجاز:

8.1. ابزار محافظت در برابر بررسی فونوگرافیک سیگنال های گفتاری.

8.2. ابزار محافظت در برابر بررسی اثر انگشت دسترسی حمام به سیستم های جستجوی عملیاتی SORM در خطوط ارتباطی را اندازه گیری می کند:

9.1. در سیستم های ارتباطی سیمی

9.2. در سیستم های ارتباط سلولی

9. مقررات اساسی قانون حفاظت از اطلاعات .

حفاظت حقوقی اطلاعات

حفاظت قانونی از برنامه‌ها و پایگاه‌های اطلاعاتی رایانه‌ای برای اولین بار توسط قانون فدراسیون روسیه در مورد حمایت قانونی از برنامه‌های رایانه‌های الکترونیکی و پایگاه‌های داده که در سال 1992 لازم‌الاجرا شد، به طور کامل در فدراسیون روسیه معرفی شد.

حمایت قانونی ارائه شده توسط این قانون شامل انواع برنامه های رایانه ای اعم از سیستم عامل ها و مجتمع های نرم افزاری می شود که می توانند به هر زبان و به هر شکلی از جمله متن مبدأ در زبان برنامه نویسی و کد ماشین بیان شوند. با این حال، حمایت قانونی به ایده ها و اصول زیربنای برنامه کامپیوتری تعمیم نمی یابد. از جمله ایده ها و اصول سازماندهی رابط و الگوریتم.

برای اطلاع از حقوق آنها، توسعه دهنده برنامه می تواند. با شروع از اولین انتشار برنامه، از علامت کپی رایت استفاده کنید که از سه عنصر تشکیل شده است:

حروف C در دایره یا پرانتز ج

نام دارنده حق چاپ

سال انتشار اولین برنامه.

c شرکت مایکروسافت 1993-1997.

سازمان یا کاربری که به طور قانونی مالک یک نسخه از برنامه است و مجوز استفاده از آن را خریداری کرده است، این حق را دارد که هرگونه اقدام مرتبط با عملکرد برنامه، از جمله ضبط و ذخیره آن در حافظه رایانه را بدون اخذ مجوز انجام دهد. مجوز اضافی از توسعه دهنده ضبط و ذخیره سازی در حافظه رایانه در رابطه با یک رایانه یا یک کاربر در شبکه مجاز است، مگر اینکه با توافق با توسعه دهنده، طور دیگری مقرر شده باشد.

شما باید از قوانین موجود که کپی غیرقانونی و استفاده از نرم افزارهای دارای مجوز را ممنوع می کند آگاه باشید و از آنها پیروی کنید. در خصوص سازمان‌ها یا کاربرانی که حق چاپ را نقض می‌کنند، توسعه‌دهنده می‌تواند جبران خسارات وارده و پرداخت غرامت توسط متخلف را به میزانی که به تشخیص دادگاه از ۵۰۰۰ برابر حداقل ۵۰۰۰۰ برابر حداقل دستمزد ماهانه تعیین می‌شود، مطالبه کند.

قانون فدرال 27 ژوئیه 2006 N 149-FZ در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات

ماده 16. حفاظت از اطلاعات

1. حفاظت اطلاعات عبارت است از اتخاذ تدابیر قانونی، سازمانی و فنی با هدف:

1 تضمین حفاظت از اطلاعات در برابر دسترسی غیرمجاز، تخریب، اصلاح، مسدود کردن، کپی کردن، ارائه، توزیع، و همچنین از سایر اقدامات غیرقانونی در رابطه با این اطلاعات

2 حفظ محرمانه بودن اطلاعات محدود شده،

3 استفاده از حق دسترسی به اطلاعات.

2. تنظیم روابط دولتی در زمینه حفاظت از اطلاعات با ایجاد الزاماتی برای حفاظت از اطلاعات و همچنین مسئولیت نقض قوانین فدراسیون روسیه انجام می شود.

فدراسیون اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات.

3. الزامات حفاظت از اطلاعات در دسترس عموم ممکن است فقط برای دستیابی به اهداف مشخص شده در بندهای 1 و 3 قسمت 1 این ماده ایجاد شود.

4. صاحب اطلاعات، اپراتور سیستم اطلاعاتی در مواردی که توسط قانون فدراسیون روسیه تعیین شده است، موظف است اطمینان حاصل کند:

1 جلوگیری از دسترسی غیرمجاز به اطلاعات و یا انتقال آن به افرادی که حق دسترسی به اطلاعات را ندارند.

2 تشخیص به موقع حقایق دسترسی غیرمجاز به اطلاعات

3 جلوگیری از احتمال عواقب نامطلوب نقض رویه دسترسی به اطلاعات

4 اجتناب از تأثیر بر وسایل فنی پردازش اطلاعات که در نتیجه….

طبق قانون فدرال شماره 149 "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات"، "حفاظت از اطلاعات اتخاذ اقدامات قانونی، سازمانی و فنی با هدف:

• 1) اطمینان از محافظت از اطلاعات در برابر دسترسی غیرمجاز، تخریب، اصلاح، مسدود کردن، کپی کردن، ارائه، توزیع و همچنین سایر اقدامات غیرقانونی در رابطه با چنین اطلاعاتی.
• 2) رعایت محرمانه بودن اطلاعات دسترسی محدود.
• 3) اجرای حق دسترسی به اطلاعات ". ФЗ № 149" در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات "

بر اساس این تعریف، تمامی اقدامات امنیت اطلاعات را می توان به سه دسته تقسیم کرد:

• 1) سازمانی
• 2) فنی
• 3) قانونی

اقدامات سازمانی ماهیت اداری و رویه ای دارند و فرآیندهای عملکرد سیستم اطلاعات داده ها و اقدامات پرسنل را تنظیم می کنند. در نتیجه اقدامات سازمانی را می توان به اقدامات اداری و رویه ای تقسیم کرد.

اقدامات اداری

هدف اصلی از اقدامات اداری ایجاد یک برنامه کاری با موضوع "امنیت اطلاعات" و تضمین اجرای آن است. این برنامه بر اساس سیاست امنیتی است. خط مشی امنیتی مجموعه ای از تصمیمات مستند است که توسط مدیریت یک سازمان اتخاذ می شود و هدف آن دستیابی به بالاترین سطح امنیت اطلاعات است. یک سیاست امنیتی را می توان به عنوان استراتژی امنیت اطلاعات یک سازمان در نظر گرفت.

به منظور تدوین یک استراتژی دقیق و اجرای آن در یک شرکت واقعی، لازم است ابتدا در مورد تصمیمات مختلف سیاسی مدیریت ارشد توافق شود. بر اساس این سیاست امنیتی، یک برنامه امنیتی ایجاد می شود. لازم به ذکر است که این سیاست قوانین، دستورالعمل ها و مقررات خاصی را ارائه می کند که مستقیماً به پرسنل شرکت مربوط می شود. توصیه می شود یک سیاست امنیتی را در سه سطح از جزئیات در نظر بگیرید:

• مرحله بالاتر
• سطح متوسط
• سطح پایین تر

بیایید این سطوح را با جزئیات در نظر بگیریم:

مرحله بالاتر.

سطح بالا شامل تصمیماتی است که بر کل سازمان تأثیر می گذارد. آنها ماهیت کلی دارند و معمولاً از رهبری سازمان می آیند.

سطح متوسط

این سطح از امنیت شامل مسائلی است که به جنبه های مهم تضمین امنیت اطلاعات برای سیستم های مختلف در سازمان مربوط می شود.

سؤالات زیر در اینجا ارزش پاسخگویی دارند:

• آیا کارمندان باید اجازه داشته باشند داده ها را از رایانه های خانگی به رایانه های محل کار منتقل کنند؟
• آیا کارمندان باید اجازه داشته باشند داده ها را از رایانه های کاری به رایانه های خانگی منتقل کنند؟

سطح پایین تر.

سیاست امنیتی سطح پایین را می توان به سرویس های اطلاعاتی خاص، سیستم های مختلف که به طور جداگانه عمل می کنند یا زیرسیستم های پردازش داده نسبت داد.

پس از تدوین یک خط مشی امنیتی جداگانه، می توانید شروع به تهیه یک برنامه امنیتی کنید، یعنی توسعه اقدامات خاص برای اجرای سیاست امنیتی.

به طور معمول، یک برنامه امنیتی به دو سطح تقسیم می شود:

• سطح بالا یا مرکزی که کل سازمان را در بر می گیرد.
• پایین تر، یا خدمات، مربوط به خدمات فردی یا گروهی از خدمات همگن.

این برنامه توسط شخصی که مسئولیت امنیت اطلاعات سازمان را بر عهده دارد هدایت می شود. برنامه سطح بالا باید در فعالیت های سازمان جایگاه کاملاً مشخصی داشته باشد، باید به طور رسمی توسط مدیریت پشتیبانی و تصویب شود و همچنین دارای کارکنان و بودجه مشخص باشد.

در این کار، اهداف و مقاصد اصلی سطح بالا مشخص شد:

• "مدیریت ریسک، از جمله ارزیابی ریسک و انتخاب راه حل های موثر.
• هماهنگی فعالیت ها در زمینه امنیت اطلاعات، تکمیل و توزیع منابع.
• برنامه ریزی استراتژیک. به عنوان بخشی از برنامه سطح بالا، تصمیمات استراتژیک برای تضمین امنیت اتخاذ می شود، نوآوری های تکنولوژیکی برای اطمینان از امنیت اطلاعات ارزیابی می شوند. فناوری اطلاعات بسیار سریع در حال پیشرفت است و لازم است سیاست مشخصی برای ردیابی و معرفی ابزارهای جدید داشته باشیم.
• کنترل فعالیت ها در زمینه امنیت اطلاعات. این کنترل دارای جهت دو طرفه است. ابتدا باید اطمینان حاصل شود که اقدامات سازمان با قوانین مغایرت ندارد. ثانیاً، شما باید به طور مداوم بر وضعیت امنیت در سازمان نظارت کنید، به حوادث نقض پاسخ دهید و اقدامات حفاظتی را با در نظر گرفتن وضعیت در حال تغییر اصلاح کنید. ماکارنکو S.I. امنیت اطلاعات: یک آموزش

برنامه سطح پایین تر

هدف یک برنامه سطح پایین، ارائه حفاظت مطمئن و مقرون به صرفه برای یک سرویس یا گروهی از خدمات خاص است. در این سطح، در مورد استفاده از مکانیسم های حفاظتی تصمیم گیری می شود. خرید و نصب تجهیزات فنی وجود دارد. تجویز روزانه انجام می شود. وضعیت نقاط ضعف نظارت می شود.

اقدامات رویه ای

تدابیر امنیتی رویه ای بر افراد متمرکز است نه فناوری. این افراد هستند که رژیم امنیت اطلاعات را تشکیل می دهند و آنها نیز تهدید اصلی هستند. بنابراین، «عامل انسانی» شایسته توجه ویژه است.

در سطح رویه ای، می توان طبقات زیر را از اقدامات متمایز کرد:

• 1. «مدیریت پرسنل
• 2. حفاظت فیزیکی
• 3. حفظ سلامت سیستم
• 4. پاسخگویی به نقض های امنیتی
• 5. برنامه ریزی کارهای مرمتی "Gatchin Yu.A., Sukhostat V.V. نظریه امنیت اطلاعات و روش شناسی امنیت اطلاعات: راهنمای مطالعه

اجازه دهید برخی از آنها را با جزئیات بیشتر شرح دهیم:

مدیریت منابع انسانی حتی قبل از استخدام کارمند جدید - با تهیه شرح شغل - شروع می شود. در انجام این کار، هنگام تعریف امتیازات رایانه باید دو اصل کلی را رعایت کنید:

• 1. «اصل تفکیک وظایف، توزیع نقش ها و مسئولیت ها را به گونه ای تجویز می کند که یک نفر نتواند فرآیندی را که برای سازمان حیاتی است مختل کند.
• 2. اصل به حداقل رساندن امتیازات ایجاب می کند که به کاربران فقط حقوقی داده شود که برای انجام وظایف رسمی خود به آن نیاز دارند. در همان مکان

حفاظت فیزیکی امنیت یک سیستم اطلاعاتی به محیطی که در آن کار می کند بستگی دارد. لازم است اقداماتی برای حفاظت از ساختمان ها و محیط اطراف، زیرساخت های پشتیبانی، رایانه ها، رسانه های ذخیره سازی انجام شود.

برای حفظ عملکرد سیستم های اطلاعاتی، انجام تعدادی از فعالیت های معمول ضروری است:

• 1. پشتیبانی کاربر، یعنی مشاوره و کمک در حل مشکلات مختلف. در عین حال، شناسایی مشکلات مربوط به امنیت اطلاعات مهم است
• 2. پشتیبانی نرم افزار در درجه اول مربوط به پیگیری نرم افزارهای نصب شده بر روی رایانه است. پشتیبانی نرم افزاری همچنین شامل کنترل عدم وجود تغییرات غیرمجاز در برنامه است.
• 3. پشتیبان گیری برای بازیابی برنامه ها و داده ها پس از بلایا ضروری است.
• 4. مدیریت رسانه به معنای محافظت از رسانه ها، هم از دسترسی غیرمجاز و هم در برابر تأثیرات مضر محیطی است.
• 5. مستندات بخشی جدایی ناپذیر از امنیت اطلاعات است. تقریباً همه چیز مستند است - از سیاست امنیتی گرفته تا گزارش رسانه. در عین حال، مهم است که اسناد وضعیت فعلی را منعکس کند تا در صورت لزوم به راحتی بتوان آن را پیدا کرد و همچنین از دسترسی غیرمجاز محافظت کرد.
• 6. کار معمول (به عنوان مثال، تعمیر) یک تهدید بسیار جدی برای امنیت است، زیرا در طول اجرای آنها، کارکنان غیر مجاز به سیستم دسترسی پیدا می کنند. صلاحیت و وظیفه شناسی این کارمندان در اینجا بسیار مهم است.

پاسخگویی به نقض های امنیتی دارای اهداف زیر است:

• 1. بومی سازی حوادث و کاهش آسیب
• 2. شناسایی مجرم
• 3. پیشگیری از تخلفات مکرر

در صورت شناسایی نقض امنیتی، باید فوراً اقدام شود، بنابراین بسیار مهم است که توالی اقدامات از قبل برنامه ریزی شده و در اسناد منعکس شود. همه کارمندان باید بدانند در صورت مشاهده این یا آن نقض حفاظت چگونه باید عمل کنند و با چه کسی تماس بگیرند و همچنین باید بدانند در صورت نقض قوانین امنیت اطلاعات چه عواقبی در انتظار آنهاست.

برنامه ریزی بازیابی به شما امکان می دهد برای حوادث آماده شوید، آسیب های ناشی از آنها را کاهش دهید و توانایی عملکرد را حداقل به حداقل برسانید. فرآیند برنامه ریزی بهبود را می توان به مراحل زیر تقسیم کرد:

• 1. شناسایی مهمترین وظایف سازمان.
• 2. تعیین منابع مورد نیاز برای انجام وظایف ضروری.
• 3. تعیین فهرست حوادث احتمالی. در عین حال، ایجاد یک "سناریوی" از یک تصادف مهم است تا بفهمیم آنها به چه عواقبی منجر خواهند شد.
• 4. توسعه یک استراتژی برای کار مرمت. استراتژی بازیابی باید بر اساس منابع موجود باشد و بیش از حد برای سازمان سنگین نباشد. باید نه تنها کار برای از بین بردن حوادث، بلکه بازگشت به عملکرد عادی را نیز شامل شود.
• 5. آمادگی برای اجرای استراتژی انتخاب شده، یعنی تدوین برنامه عملیاتی در صورت وقوع حادثه و همچنین اقداماتی برای تامین منابع اضافی مورد نیاز در صورت بروز حادثه.
• 6. بررسی استراتژی، که شامل تجزیه و تحلیل برنامه آماده شده، اقدامات انجام شده و برنامه ریزی شده است.