فصل 5 ابزار فنی امنیت اطلاعات 5.1. حفاظت از اطلاعات امنیت اطلاعات به امنیت اطلاعات و زیرساخت های پشتیبانی کننده آن در برابر هرگونه تأثیرات تصادفی یا مخربی که می تواند منجر به آسیب شود اشاره دارد.

5.4. روش های حفاظت از اطلاعات

سیستم اطلاعات خطر (HIS) رانندگان و سایر کارکنان سازمان های حمل و نقل موتوری که مستقیماً در ثبت، آماده سازی و خدمات حمل و نقل کالاهای خطرناک نقش دارند، باید الزامات قوانین وزارتخانه را رعایت کنند. موقعیت های اضطراری، در

سوال 1. منابع اطلاعاتی و محرمانه بودن اطلاعات مطابق با قانون فعلی فدرال "در مورد اطلاعات، اطلاعات و حفاظت اطلاعات"، منابع اطلاعاتی یک شرکت، سازمان، موسسه، بانک، شرکت و دیگران

سوال 2. تهدیدات اطلاعات محرمانه یک سازمان همه منابع اطلاعاتی یک شرکت دائما در معرض تهدیدات عینی و ذهنی از دست دادن رسانه یا ارزش اطلاعات هستند.

سوال 2. مدل و روش شناسی سیستم امنیت اطلاعات شرکتی مطابق با هنر. 20 قانون فدرال "در مورد اطلاعات، اطلاعات و حفاظت اطلاعات"، اهداف حفاظت از اطلاعات عبارتند از: جلوگیری از نشت، سرقت، از دست دادن، تحریف، جعل

سخنرانی 5 مبانی مفهومی امنیت اطلاعات در سیستم های خودکار ah سوالات مطالعه: 1. تجزیه و تحلیل و تیپ سازی ساختارهای سازمانی، نرم افزاری و سخت افزاری سیستم های سازمانی خودکار2. تجزیه و تحلیل تهدیدات احتمالی و ویژگی آنها در انواع مختلف

سوال 3. سیستم سازی انواع حفاظت از اطلاعات در فعالیت های عملی در مورد استفاده از اقدامات و وسایل حفاظت از اطلاعات، حوزه های مستقل زیر متمایز می شوند که مطابق با ساختارهای صنعتی و انواع اطلاعات تعیین شده است.

سوال 3. اصول حفاظت از سیستم های خودکار بانکی هر سیستم پردازش اطلاعات امنیتی باید به صورت جداگانه و با در نظر گرفتن ویژگی های زیر توسعه یابد:؟ ساختار سازمانی بانک؛ حجم و ماهیت جریان اطلاعات (در داخل بانک در

سوال 2. مفهوم یکپارچه حفاظت از اطلاعات ما مفهوم یکپارچه امنیت اطلاعات (UKIS) را چارچوب ابزاری و روش شناختی می نامیم که اجرای عملی هر یک از استراتژی های حفاظتی (دفاعی، تهاجمی،

سوال 2. مدل های رسمی حفاظت بیایید به اصطلاح مدل ماتریسی حفاظت را در نظر بگیریم که امروزه در عمل بیشترین کاربرد را دارد.از نظر مدل ماتریسی، وضعیت سیستم حفاظتی با یک سه گانه توصیف می شود: (S, O ، M)، که در آن S مجموعه ای از موضوعات است

سوال 1. هدف از مدل های ریاضی برای تضمین امنیت اطلاعات در سیستم های کنترل خودکار عملکرد سیستم های کنترل خودکار که اجرای فناوری را تضمین می کند. کنترل خودکارفرآیندهای پیچیده در سیستم توزیع شده، باید بر اساس یک شروع برنامه ریزی شده از

سوال 2. تجزیه و تحلیل تطبیقی ​​و تعاریف اساسی مدل های ریاضی برای تضمین امنیت اطلاعات فناوری های موجود برای توصیف رسمی فرآیندهای تضمین امنیت اطلاعات مبتنی بر مفاهیم تئوری ماشین های حالت محدود، نظریه است.

سوال 1. اقدامات حقوقی و سازمانی حفاظتی اقدامات حقوقی عمدتاً به مسئولیت اداری و کیفری برای ایجاد و توزیع عمدی ویروس یا "اسب های تروا" با هدف ایجاد خسارت کاهش می یابد. دشواری کاربرد آنها.

سوال 2. روش ها و ابزارهای حفاظتی نرم افزاری و سخت افزاری کامپیوترهای شخصی مدرن اصل جداسازی نرم افزار و سخت افزار را اجرا می کنند. بنابراین، ویروس‌های نرم‌افزاری و اسب‌های تروجان نمی‌توانند به طور مؤثر بر تجهیزات تأثیر بگذارند، مگر در مواردی که

معرفی

نتیجه

کتابشناسی - فهرست کتب

معرفی

در مرحله کنونی توسعه جامعه ما، بسیاری از منابع سنتی پیشرفت بشری به تدریج اهمیت اولیه خود را از دست می دهند. آنها با یک منبع جدید جایگزین می شوند، تنها محصولی که کاهش نمی یابد، اما در طول زمان رشد می کند، به نام اطلاعات. اطلاعات امروزه به منبع اصلی توسعه علمی، فنی و اجتماعی-اقتصادی جامعه جهانی تبدیل شده است. اطلاعات با کیفیت بیشتر و سریعتر به اقتصاد ملی وارد می شود و برنامه های کاربردی خاص، هر چه سطح زندگی مردم بالاتر باشد، پتانسیل اقتصادی، دفاعی و سیاسی کشور افزایش می یابد.

یکپارچگی دنیای مدرن به عنوان یک جامعه عمدتاً از طریق تبادل اطلاعات فشرده تضمین می شود. تعلیق جریان های اطلاعاتی جهانی، حتی برای مدت کوتاه، می تواند به بحرانی کمتر از گسست روابط اقتصادی بین دولت ها منجر شود. بنابراین، در شرایط رقابتی بازار جدید، مشکلات زیادی نه تنها مربوط به تضمین امنیت اطلاعات تجاری (کارآفرینی) به عنوان یک نوع مالکیت معنوی، بلکه برای اشخاص حقیقی و حقوقی، اموال اموال و امنیت شخصی آنها به وجود می آید.

هدف از این کار بررسی امنیت اطلاعات به عنوان بخشی جدایی ناپذیر از امنیت ملی و همچنین شناسایی میزان امنیت آن در مرحله کنونی، تجزیه و تحلیل تهدیدات داخلی و خارجی، بررسی مشکلات و راه های حل آنها می باشد.

در این راستا وظایف خاصی تعیین شده است:

.تعیین مکان و اهمیت امنیت اطلاعات در مرحله کنونی توسعه؛

2.چارچوب نظارتی در زمینه حفاظت از اطلاعات را در نظر بگیرید.

.مشکلات و تهدیدات اصلی و راه حل آنها را شناسایی کنید.

فصل 1. مشکلات و تهدیدات امنیت اطلاعات

1.1 جایگاه امنیت اطلاعات در سیستم امنیت ملی روسیه

امنیت ملی فدراسیون روسیهبه طور قابل توجهی به امنیت اطلاعات بستگی دارد و با پیشرفت تکنولوژی این وابستگی افزایش خواهد یافت.

که در دنیای مدرنامنیت اطلاعات در حال تبدیل شدن به یک شرط حیاتی برای تامین منافع افراد، جامعه و دولت و مهمترین حلقه اصلی کل سیستم امنیت ملی کشور است.

چارچوب نظارتی برای تنظیم امنیت اطلاعات دکترین امنیت اطلاعات فدراسیون روسیه بود که توسط رئیس جمهور فدراسیون روسیه در سال 2001 تصویب شد. این چارچوب مجموعه ای از دیدگاه های رسمی در مورد اهداف، اهداف، اصول و جهت گیری های اصلی تضمین امنیت اطلاعات را نشان می دهد. در روسیه. دکترین خطاب به:

اشیاء، تهدیدات و منابع تهدیدات امنیت اطلاعات؛

پیامدهای احتمالی تهدیدات امنیت اطلاعات؛

روشها و ابزارهای پیشگیری و خنثی سازی تهدیدات امنیت اطلاعات؛

ویژگی های تضمین امنیت اطلاعات در حوزه های مختلف زندگی جامعه و دولت؛

مفاد اصلی سیاست عمومیدر مورد تضمین امنیت اطلاعات در فدراسیون روسیه.

این دکترین همه کارها را در نظر می گیرد حوزه اطلاعاتبر اساس و در راستای منافع مفهوم امنیت ملی فدراسیون روسیه.

او چهار مؤلفه اصلی منافع ملی روسیه را در حوزه اطلاعات شناسایی می کند.

مؤلفه اول شامل رعایت حقوق و آزادی های قانون اساسی انسان و شهروند در زمینه به دست آوردن و استفاده از اطلاعات، اطمینان از تجدید معنوی روسیه، حفظ و تقویت ارزش های اخلاقی جامعه، سنت های میهن پرستی و انسان دوستی است. ظرفیت های فرهنگی و علمی کشور

برای اجرای آن نیاز دارید:

افزایش کارایی استفاده از زیرساخت های اطلاعاتی در راستای توسعه اجتماعی، تحکیم جامعه روسیهاحیای معنوی مردم چند ملیتی کشور;

بهبود سیستم تشکیل، حفظ و استفاده منطقی از منابع اطلاعاتی که اساس پتانسیل علمی، فنی و معنوی روسیه را تشکیل می دهد.

تضمین حقوق و آزادی های قانون اساسی انسان و شهروند برای جستجو، دریافت، انتقال، تولید و توزیع آزادانه اطلاعات به هر طریق قانونی، برای دریافت اطلاعات قابل اعتماد در مورد وضعیت محیط زیست.

تضمین حقوق و آزادی های قانون اساسی انسان و شهروند در مورد اسرار شخصی و خانوادگی، حریم مکاتبات، مکالمات تلفنی، پیام های پستی، تلگراف و غیره و حفظ آبرو و نام نیک خود.

تقویت مکانیسم های تنظیم حقوقی روابط در زمینه حفاظت از مالکیت معنوی، ایجاد شرایط برای رعایت محدودیت های دسترسی به اطلاعات محرمانه که توسط قانون فدرال تعیین شده است.

تضمین آزادی رسانه ها و ممنوعیت سانسور؛

اجازه ندهند تبلیغات و تحریکاتی که به تحریک نفرت و دشمنی اجتماعی، نژادی، ملی یا مذهبی کمک می کند.

حفاظت از اطلاعات محرمانه روسیه

اطمینان از ممنوعیت جمع آوری، ذخیره سازی، استفاده و انتشار اطلاعات مربوط به زندگی خصوصی شخص بدون رضایت وی و سایر اطلاعات، که دسترسی به آنها توسط قوانین فدرال محدود شده است.

دومین مؤلفه منافع ملی در حوزه اطلاعات شامل حمایت اطلاعاتی از سیاست دولتی کشور در ارتباط با اطلاع رسانی به مردم روسیه و بین المللی است. اطلاعات قابل اعتماددر مورد موضع رسمی خود در مورد رویدادهای مهم اجتماعی در زندگی روسیه و بین المللی، تضمین دسترسی شهروندان به دولت باز منابع اطلاعات. این مستلزم:

تقویت رسانه های دولتی، گسترش توانایی های آنها برای ارائه به موقع اطلاعات قابل اعتماد به شهروندان روسی و خارجی؛

تشدید تشکیل منابع اطلاعاتی حالت باز، افزایش کارایی استفاده اقتصادی از آنها.

سومین مولفه منافع ملی در حوزه اطلاعات شامل توسعه فناوری های نوین اطلاعاتی از جمله صنعت فناوری اطلاعات، مخابرات و ارتباطات، تامین نیازهای بازار داخلی با این محصولات و ورود آنها به بازارهای جهانی و نیز می باشد. حصول اطمینان از انباشت، حفظ و استفاده مؤثر از منابع اطلاعاتی داخلی.

برای دستیابی به نتایج در این راستا لازم است:

توسعه و بهبود زیرساخت فضای اطلاعات یکپارچه روسیه؛

توسعه صنعت خدمات اطلاعاتی داخلی و افزایش کارایی استفاده از منابع اطلاعاتی دولت.

توسعه تولید ابزارها و سیستم های رقابتی اطلاعات، مخابرات و ارتباطات در کشور، گسترش مشارکت روسیه در همکاری بین المللی تولید کنندگان این وسایل و سیستم ها.

حمایت دولتی از بنیادی و تحقیقات کاربردی، تحولات در زمینه اطلاعات، مخابرات و ارتباطات.

چهارمین مولفه منافع ملی در حوزه اطلاعات شامل حفاظت از منابع اطلاعاتی در برابر دسترسی غیرمجاز و تضمین امنیت اطلاعات و سیستم های مخابراتی است.

برای این اهداف لازم است:

بهبود امنیت سیستم‌های اطلاعاتی (از جمله شبکه‌های ارتباطی)، در درجه اول شبکه‌های ارتباطی اولیه و سیستم‌های اطلاعاتی ارگان‌های دولتی، بخش‌های مالی، اعتباری و بانکی، فعالیت‌های اقتصادی، سیستم‌ها و ابزارهای اطلاع‌رسانی سلاح‌ها و تجهیزات نظامی، سیستم‌های فرماندهی و کنترل نیروها و سلاح ها، صنایع خطرناک برای محیط زیست و از نظر اقتصادی مهم؛

تشدید توسعه تولید داخلی سخت افزار و نرم افزار برای امنیت اطلاعات و روش های نظارت بر اثربخشی آنها.

اطمینان از حفاظت از اطلاعات تشکیل دهنده اسرار دولتی؛

گسترش همکاری بین المللی بین روسیه در زمینه استفاده ایمن از منابع اطلاعاتی و مقابله با تهدید رویارویی در حوزه اطلاعات.

1.2 مشکلات اصلی امنیت اطلاعات و راه های حل آنها

تضمین امنیت اطلاعات مستلزم حل طیف وسیعی از مشکلات است.

مهمترین وظیفه در تضمین امنیت اطلاعات روسیه، در نظر گرفتن همه جانبه منافع فرد، جامعه و دولت در این زمینه است. دکترین این منافع را به شرح زیر تعریف می کند:

منافع فرد در حوزه اطلاعات در اجرای حقوق اساسی انسان و شهروند برای دسترسی به اطلاعات، استفاده از اطلاعات به منظور انجام فعالیت هایی که توسط قانون منع نشده است، رشد جسمی، معنوی و فکری و همچنین برای محافظت از اطلاعاتی که ایمنی شخصی را تضمین می کند؛

منافع جامعه در حوزه اطلاعات تضمین منافع جامعه در این زمینه، تقویت دموکراسی، ایجاد یک دولت اجتماعی قانونی، دستیابی و حفظ هماهنگی عمومی و تجدید معنوی روسیه است.

منافع دولت در حوزه اطلاعات در ایجاد شرایط برای توسعه هماهنگ زیرساخت اطلاعات روسیه، اجرای حقوق و آزادی های قانون اساسی یک شخص (شهروند) در زمینه کسب اطلاعات است. در عین حال، لازم است از این حوزه فقط برای اطمینان از نقض ناپذیری سیستم قانون اساسی، حاکمیت و تمامیت ارضی روسیه، ثبات سیاسی، اقتصادی و اجتماعی، تضمین بی قید و شرط قانون و نظم، و توسعه برابر و متقابل سودمند استفاده شود. همکاری بین المللی.

روش های حل کلی وظایف کلیدیدر تضمین امنیت اطلاعات، دکترین به سه گروه تقسیم می شود:

مجاز؛

سازمانی و فنی؛ اقتصادی

روش های حقوقی شامل توسعه قوانین قانونی هنجاری تنظیم کننده روابط در حوزه اطلاعات و اسناد روش شناختی هنجاری در مورد مسائل تضمین امنیت اطلاعات فدراسیون روسیه است (آنها به طور مفصل در فصل 4 این کتابچه راهنمای کاربر مورد بحث قرار گرفته اند).

روشهای سازمانی و فنی تضمین امنیت اطلاعات عبارتند از:

ایجاد و بهبود سیستم های امنیت اطلاعات؛

تقویت فعالیت های اجرای قانون مقامات، از جمله پیشگیری و سرکوب تخلفات در حوزه اطلاعات؛

ایجاد سیستم ها و وسایلی برای جلوگیری از دسترسی غیرمجاز به اطلاعات و اثراتی که باعث تخریب، تخریب، تحریف اطلاعات، تغییر می شود. حالت های استانداردعملکرد سیستم ها و وسایل اطلاعات و ارتباطات؛

صدور گواهینامه ابزارهای امنیت اطلاعات، صدور مجوز فعالیت در زمینه حفاظت از اسرار دولتی، استانداردسازی روش ها و ابزارهای امنیت اطلاعات.

کنترل بر اقدامات پرسنل در سیستم های اطلاعاتی، آموزش در زمینه امنیت اطلاعات؛

تشکیل سیستم پایش شاخص ها و ویژگی های امنیت اطلاعات در مهمترین حوزه های زندگی و فعالیت جامعه و دولت.

روش های اقتصادی تضمین امنیت اطلاعات عبارتند از:

توسعه برنامه های امنیت اطلاعات و تعیین روش تامین مالی آنها.

بهبود سیستم تامین مالی کارهای مربوط به اجرای روشهای قانونی، سازمانی و فنی حفاظت از اطلاعات، ایجاد سیستمی برای بیمه خطرات اطلاعاتی اشخاص حقیقی و حقوقی.

طبق دکترین، دولت در فرآیند اجرای وظایف خود برای تضمین امنیت اطلاعات: تجزیه و تحلیل و پیش بینی عینی و جامع تهدیدات امنیت اطلاعات را انجام می دهد، اقداماتی را برای تضمین آن ایجاد می کند. کار مقامات را برای اجرای مجموعه ای از اقدامات با هدف جلوگیری، دفع و خنثی کردن تهدیدات امنیت اطلاعات سازماندهی می کند. از فعالیت های انجمن های عمومی با هدف اطلاع رسانی عینی به مردم در مورد پدیده های اجتماعی مهم زندگی عمومی، محافظت از جامعه در برابر اطلاعات تحریف شده و غیر قابل اعتماد پشتیبانی می کند. اعمال کنترل بر طراحی، ایجاد، توسعه، استفاده، صادرات و واردات ابزارهای امنیت اطلاعات از طریق صدور گواهینامه و مجوز فعالیت در زمینه امنیت اطلاعات. سیاست حمایتی لازم را در قبال تولید کنندگان ابزارهای اطلاعات و حفاظت اطلاعات در قلمرو فدراسیون روسیه دنبال می کند و اقداماتی را برای محافظت از بازار داخلی از نفوذ ابزارها و محصولات اطلاعاتی با کیفیت پایین انجام می دهد. کمک به ارائه فیزیکی و اشخاص حقوقیدسترسی به منابع اطلاعاتی جهان، شبکه های اطلاعاتی جهانی؛ حالت را تدوین و اجرا می کند سیاست اطلاعاتیروسیه؛ توسعه یک برنامه فدرال برای تضمین امنیت اطلاعات را سازماندهی می کند و تلاش های دولت و سازمان های غیر دولتی را در این زمینه ترکیب می کند. به بین المللی شدن جهانی کمک می کند شبکه های اطلاعاتیو سیستم ها و همچنین ورود روسیه به جهان جامعه اطلاعاتیبر اساس شرایط مشارکت برابر.

هنگام حل وظایف اصلی و اجرای اقدامات اولویت دار سیاست دولتی برای اطمینان از امنیت اطلاعات، تمایل به حل مشکلات عمدتاً نظارتی، قانونی و فنی در حال حاضر غالب است. اغلب ما در مورد "توسعه و اجرای هنجارهای حقوقی"، "بهبود فرهنگ حقوقی و سواد کامپیوترشهروندان، «ایجاد فناوری‌های اطلاعاتی ایمن»، «تامین استقلال فن‌آوری» و غیره.

بر این اساس توسعه یک سیستم آموزشی برای پرسنل مورد استفاده در زمینه امنیت اطلاعات برنامه ریزی شده است ، یعنی آموزش در زمینه ارتباطات ، پردازش اطلاعات و ابزارهای فنی حفاظت از آن غالب است. به میزان کمتر، متخصصان در زمینه اطلاعات و فعالیت های تحلیلی، اطلاعات اجتماعی و امنیت اطلاعات شخصی آموزش می بینند. متأسفانه بسیاری از نهادهای دولتی جنبه فنی مشکل را مهم‌ترین جنبه می‌دانند و جنبه‌های روانی-اجتماعی آن را نادیده می‌گیرند.

1.3 منابع تهدیدات امنیت اطلاعات

تهدید امنیت اطلاعات، استفاده از انواع مختلف اطلاعات علیه یک شیء اجتماعی (اقتصادی، نظامی، علمی و فنی و غیره) به منظور تغییر آن است. عملکردیا شکست کامل

با در نظر گرفتن تمرکز کلی، دکترین تهدیدات امنیت اطلاعات را به انواع زیر تقسیم می کند:

تهدید به حقوق اساسی و آزادی های انسان و شهروند در زمینه زندگی معنوی و فعالیت های اطلاعاتی، آگاهی فردی، گروهی و عمومی، احیای معنوی روسیه.

تهدید به حمایت اطلاعاتی از سیاست دولتی فدراسیون روسیه؛

تهدیدهای توسعه صنعت اطلاعات داخلی از جمله صنعت فناوری اطلاعات، مخابرات و ارتباطات، تامین نیازهای بازار داخلی به محصولات آن و ورود این محصولات به بازار جهانی و همچنین تضمین انباشت، حفظ و نگهداری استفاده مؤثر از منابع اطلاعاتی داخلی؛

تهدیدی برای امنیت تجهیزات و سیستم های اطلاعاتی و مخابراتی، هم اکنون مستقر شده و هم آنهایی که در خاک روسیه ایجاد شده اند.

تهدیدات حقوق اساسی و آزادی های انسان و شهروند در زمینه زندگی معنوی و فعالیت های اطلاعاتی، آگاهی فردی، گروهی و عمومی و احیای معنوی روسیه ممکن است به شرح زیر باشد:

تصویب قوانین قانونی که حقوق و آزادی های قانون اساسی شهروندان را در زمینه زندگی معنوی و فعالیت های اطلاعاتی نقض می کند.

ایجاد انحصار در تشکیل، دریافت و انتشار اطلاعات در فدراسیون روسیه، از جمله استفاده از سیستم های مخابراتی.

مخالفت، از جمله ساختارهای جنایی، با استفاده شهروندان از حقوق قانونی خود در مورد اسرار شخصی و خانوادگی، حریم خصوصی مکاتبات، مکالمات تلفنی و سایر ارتباطات؛

محدودیت بیش از حد دسترسی به اطلاعات لازم؛

استفاده غیرقانونی وسایل خاصتأثیر بر آگاهی فردی، گروهی و عمومی؛

عدم رعایت الزامات قوانین تنظیم کننده روابط در حوزه اطلاعات از سوی مقامات ایالتی و دولت های محلی، سازمان ها و شهروندان.

محدودیت غیرقانونی دسترسی شهروندان به منابع اطلاعاتی مقامات دولتی و خودگردانی محلی، باز کردن مطالب بایگانی و سایر اطلاعات باز و مهم اجتماعی.

بی نظمی و تخریب سیستم انباشت و حفاظت ارزش های فرهنگی، از جمله آرشیو؛

نقض حقوق اساسی و آزادی های انسان و شهروند در عرصه رسانه های جمعی؛

اخراج روسیه خبرگزاری ها، رسانه های داخلی بازار اطلاعاتو افزایش وابستگی حوزه های معنوی، اقتصادی و سیاسی زندگی عمومی در روسیه به ساختارهای اطلاعاتی خارجی.

بی ارزش کردن ارزش های معنوی، تبلیغ الگوهای فرهنگ توده ای مبتنی بر فرقه خشونت، ارزش های معنوی و اخلاقی که با ارزش های پذیرفته شده در جامعه روسیه در تضاد است.

کاهش پتانسیل معنوی، اخلاقی و خلاق جمعیت روسیه؛

دستکاری اطلاعات (اطلاعات نادرست، مخفی کردن یا تحریف اطلاعات).

تهدیدات مربوط به حمایت اطلاعاتی سیاست دولتی فدراسیون روسیه می تواند موارد زیر باشد:

انحصار بازار اطلاعات روسیه، آن بخش های فردیساختارهای اطلاعاتی داخلی و خارجی؛

مسدود کردن فعالیت رسانه های دولتی برای اطلاع رسانی به مخاطبان روسی و خارجی؛

راندمان پایین پشتیبانی اطلاعاتسیاست دولتی فدراسیون روسیه به دلیل کمبود پرسنل واجد شرایط، عدم وجود سیستمی برای تشکیل و اجرای سیاست اطلاعات دولتی.

تهدیدهای توسعه صنعت اطلاعات داخلی ممکن است شامل موارد زیر باشد:

مخالفت با دسترسی به آخرین فناوری های اطلاعاتی، مشارکت متقابل سودمند و برابر تولید کنندگان روسیدر تقسیم کار جهانی در صنعت خدمات اطلاعات، وسایل اطلاعاتی، مخابرات و ارتباطات، محصولات اطلاعاتی، ایجاد شرایط برای تقویت وابستگی تکنولوژیکیروسیه در زمینه فناوری اطلاعات؛

خرید توسط مقامات دولتی تجهیزات وارداتی فناوری اطلاعات، مخابرات و ارتباطات در حضور آنالوگ های داخلی؛

اخراج سازندگان روسی فناوری اطلاعات، مخابرات و تجهیزات ارتباطی از بازار داخلی؛

استفاده از فناوری اطلاعات داخلی و خارجی تایید نشده، ابزارهای امنیت اطلاعات، ابزارهای اطلاعاتی، مخابرات و ارتباطات؛

خروج متخصصان و صاحبان حقوق مالکیت معنوی در خارج از کشور.

دکترین همه منابع تهدید امنیت اطلاعات را به خارجی و داخلی تقسیم می کند.

به منابع خارجیتهدیدات دکترین به موارد زیر اشاره دارد:

فعالیت های ساختارهای سیاسی، اقتصادی، نظامی، اطلاعاتی و اطلاعاتی خارجی علیه منافع فدراسیون روسیه؛

تمایل تعدادی از کشورها برای تسلط بر فضای جهانی اطلاعات و بیرون راندن روسیه از بازارهای اطلاعاتی؛

فعالیت های سازمان های تروریستی بین المللی؛

افزایش شکاف تکنولوژیکی قدرت های پیشرو جهان و افزایش قابلیت های آنها برای مقابله با ایجاد فناوری های اطلاعاتی رقابتی روسیه؛

فعالیت های فضایی، هوایی، دریایی و زمینی فنی و سایر وسایل (انواع) اطلاعاتی کشورهای خارجی.

توسعه مفاهیم جنگ اطلاعاتی توسط تعدادی از کشورها که ایجاد ابزارهای نفوذ خطرناک در حوزه اطلاعات سایر کشورها، اختلال در عملکرد سیستم های اطلاعاتی و مخابراتی و دسترسی غیرمجاز به آنها را فراهم می کند.

به منابع داخلیبر اساس دکترین تهدیدها عبارتند از: وضعیت بحرانی تعدادی از صنایع داخلی.

وضعیت نامطلوب جرم، همراه با روند ادغام ساختارهای دولتی و جنایی در حوزه اطلاعات، دسترسی ساختارهای جنایی به اطلاعات محرمانه، افزایش نفوذ جرایم سازمان یافته بر زندگی جامعه، کاهش درجه حفاظت از منافع مشروع شهروندان، جامعه و دولت در حوزه اطلاعات؛

هماهنگی ناکافی فعالیت‌های ارگان‌های دولتی در همه سطوح برای اجرای یک سیاست واحد دولتی در زمینه امنیت اطلاعات.

کاستی های چارچوب نظارتی حاکم بر روابط در حوزه اطلاعات و عملکرد اجرای قانون؛

توسعه نیافتگی نهادهای جامعه مدنی و کنترل ناکافی دولت بر توسعه بازار اطلاعات در روسیه؛

بودجه ناکافی برای فعالیت های امنیت اطلاعات؛

تعداد ناکافی پرسنل واجد شرایط در زمینه امنیت اطلاعات؛

فعالیت ناکافی مقامات فدرال در اطلاع رسانی به مردم در مورد فعالیت های خود، در توضیح تصمیمات اتخاذ شده، ایجاد منابع دولتی باز و توسعه سیستمی برای دسترسی شهروندان به آنها.

روسیه از نظر سطح اطلاع رسانی دولت و خودگردانی های محلی، اعتبارات و حوزه های مالی، صنعت، کشاورزی، آموزش، مراقبت های بهداشتی، خدمات و زندگی روزمره شهروندان از کشورهای پیشرو جهان عقب است.

فصل 2. حفاظت از اطلاعات محرمانه

2.1 طبقه بندی اطلاعات مشمول حفاظت

در حال حاضر، اسناد نظارتی مختلف تعداد قابل توجهی (بیش از 40) نوع اطلاعات را نشان می دهد که نیاز دارند حفاظت اضافی. برای راحتی در نظر گرفتن رژیم حقوقی منابع اطلاعاتی بر اساس دسترسی، می توان آنها را به طور مشروط در چهار گروه ترکیب کرد:

راز دولتی؛

راز تجارت؛

اطلاعات محرمانه؛

مالکیت معنوی.

راز دولتی قانون فدراسیون روسیه "در مورد اسرار دولتی" تعریف زیر را از اسرار دولتی ارائه می دهد: این اطلاعاتی است که توسط دولت در زمینه نظامی، سیاست خارجی، اقتصادی، اطلاعاتی، ضد جاسوسی و فعالیت های تحقیقاتی عملیاتی محافظت می شود، که انتشار آنها می تواند به امنیت روسیه آسیب برساند (ماده 2).

ماده 5 این قانون فهرست اطلاعات طبقه بندی شده به عنوان اسرار دولتی را تعریف می کند:

اطلاعات در زمینه نظامی - در مورد محتوای برنامه های استراتژیک و عملیاتی، در مورد برنامه های ساخت و ساز نیروهای مسلح، توسعه، فناوری، تولید، در تاسیسات تولید، در ذخیره سازی، در مورد دفع سلاح های هسته ای، در مورد تاکتیکی و فنی. ویژگی ها و امکانات استفاده رزمی از سلاح ها و تجهیزات نظامی، در مورد جابجایی موشک ها و به ویژه اشیاء مهم و غیره.

اطلاعات در زمینه اقتصاد، علم و فناوری - در مورد محتوای برنامه ها برای آماده سازی فدراسیون روسیه و مناطق منفرد آن برای اقدامات نظامی احتمالی، در مورد حجم تولید، در مورد برنامه های سفارش دولت، در مورد تولید و عرضه سلاح، تجهیزات نظامی، در مورد دستاوردهای علم و فناوری که پیامدهای مهم دفاعی یا اهمیت اقتصادی و غیره دارند؛

اطلاعات در زمینه سیاست خارجی و اقتصاد - در مورد سیاست خارجی و فعالیت های اقتصادی خارجی فدراسیون روسیه که انتشار زودهنگام آن می تواند به امنیت کشور آسیب برساند و غیره.

نیروها و وسایل فعالیت نامبرده، منابع، برنامه ها و نتایج آن؛

افرادی که به صورت محرمانه با نهادهایی که این فعالیت ها را انجام می دهند، همکاری می کنند یا همکاری می کنند.

سیستم های ریاست جمهوری، دولتی، رمزگذاری شده، از جمله ارتباطات رمزگذاری شده و طبقه بندی شده؛

رمزها و اطلاعات ویژه و سیستم های تحلیلی، روش ها و ابزارهای حفاظت از اطلاعات طبقه بندی شده و غیره.

یک اسرار تجاری می تواند هر اطلاعاتی باشد که در تجارت مفید باشد و نسبت به رقبای که چنین اطلاعاتی را ندارند برتری دهد. در بسیاری از موارد، اسرار تجاری نوعی مالکیت معنوی است.

طبق ماده 139 قسمت 1 قانون مدنی فدراسیون روسیه، اطلاعاتی که اسرار تجاری را تشکیل می دهد شامل اطلاعاتی است که به دلیل ناشناخته بودن برای اشخاص ثالث دارای ارزش تجاری واقعی یا بالقوه است و دسترسی آزاد به آنها وجود ندارد. به صورت قانونی. ممکن است شامل ایده‌ها، اختراعات و سایر اطلاعات تجاری باشد.

فرمان دولت فدراسیون روسیه در 5 دسامبر 1991 شماره 35 "در مورد لیست اطلاعاتی که نمی تواند یک راز تجاری باشد." این اطلاعات شامل:

اطلاعات سازمانی (منشور و اسناد تشکیل دهنده شرکت، گواهی های ثبت نام، مجوزها، اختراعات).

اطلاعات مالی (اسناد مربوط به محاسبه و پرداخت مالیات، سایر پرداخت های مقرر در قانون، اسناد مربوط به وضعیت پرداخت بدهی).

اطلاعات در مورد کارکنان و شرایط عملیاتی (تعداد و ترکیب کارکنان، آنها حق الزحمه، دسترسی صندلی های رایگان، تاثیر تولید بر محیط طبیعی، فروش محصولات مضر برای سلامت جامعه، مشارکت مسئولان در فعالیت کارآفرینی، نقض قوانین ضد انحصار)؛

اطلاعات در مورد دارایی (اندازه دارایی، پول نقد، سرمایه گذاری های پرداخت در اوراق بهادار، اوراق قرضه، وام، وجوه مجاز سرمایه گذاری مشترک).

اطلاعات محرمانه. محرمانه بودن اطلاعات مشخصه ای از اطلاعات است که بیانگر نیاز به اعمال محدودیت در دایره افرادی است که به این اطلاعات دسترسی دارند. محرمانه بودن مستلزم حفظ حقوق اطلاعات، عدم افشای آن (محرمانه بودن) و تغییر ناپذیری آن در همه موارد به جز استفاده مجاز است.

فرمان رئیس جمهور فدراسیون روسیه در تاریخ 6 مارس 1997 به شماره 188 فهرستی از اطلاعات محرمانه را تأیید کرد. این لیست شامل:

اطلاعات در مورد حقایق، رویدادها و شرایط زندگی خصوصی یک شهروند، که اجازه می دهد هویت او شناسایی شود (داده های شخصی).

اطلاعاتی که راز تحقیقات و مراحل قانونی را تشکیل می دهد.

اطلاعات رسمی که دسترسی به آن توسط مقامات دولتی مطابق با قانون مدنی فدراسیون روسیه و قوانین فدرال محدود شده است ( راز رسمی);

اطلاعاتی درباره فعالیت حرفه ای(پزشکی، اسناد رسمی، محرمانه بودن وکیل-موکل، محرمانه بودن مکاتبات و غیره)؛

اطلاعات در مورد ماهیت اختراع یا طرح های صنعتی قبل از انتشار رسمی اطلاعات مربوط به آنها.

لیست اطلاعات محرمانه توسط سایر اقدامات قانونی تکمیل می شود: اصول قانون فدراسیون روسیه "در مورد حمایت از سلامت شهروندان"، قوانین فدراسیون روسیه "در مورد مراقبت های روانپزشکی و تضمین حقوق شهروندان در ضمانت آن". "، "در دفتر اسناد رسمی"، "در مورد حرفه حقوقی"، "در مورد تضمین های اساسی" حقوق انتخاباتی شهروندان فدراسیون روسیه، "در مورد بانک ها و فعالیت های بانکی"، و همچنین قانون مالیات فدراسیون روسیه، خانواده کد فدراسیون روسیه و غیره

در نتیجه، می‌توانیم چندین گروه از اطلاعات محرمانه را که «اسرار» خاصی را تشکیل می‌دهند، تشخیص دهیم:

محرمانه پزشکی (پزشکی)؛

اسرار بانکی؛

رازداری مالیاتی؛

راز اسناد رسمی؛

رمز و راز بیمه؛

امتیاز وکیل – مشتری؛

راز نگرش به دین و راز اقرار; مخفی بودن رای گیری؛ اسرار رسمی و غیره

اطلاعات تعریف شده توسط مفهوم مالکیت فکری شامل بیشتر اطلاعات فوق الذکر با ماهیت علمی و فناوری و همچنین آثار ادبی و هنری، محصولات فعالیت های اختراعی و منطقی و سایر انواع خلاقیت است. مطابق با قانون فدراسیون روسیه "در مورد حمایت قانونی از برنامه های رایانه های الکترونیکی و پایگاه های داده" مورخ 23 سپتامبر 1992، برنامه های رایانه ای و پایگاه های داده نیز موضوع حق چاپ هستند که نقض آن مستلزم مسئولیت مدنی، کیفری و اداری است. با قانون RF

بخشی از اطلاعات طبقه بندی شده به عنوان اسرار دولتی و تجاری نیز تحت تعریف مالکیت معنوی قرار می گیرد.

2.2 سازمان امنیت اطلاعات

اکثر کارشناسان اقدامات «محافظتی» زیر را معقول ترین تلاش ها در این راستا می دانند:

تعریف کافی از فهرست اطلاعات مشمول حفاظت؛

شناسایی سطوح دسترسی و پیش‌بینی آسیب‌پذیری‌های احتمالی در دسترسی به اطلاعات؛

اتخاذ تدابیری برای محدود کردن دسترسی به اطلاعات یا یک شی؛

سازماندهی امنیت محل و نظارت مداوم بر ایمنی اطلاعات (به ویژه نیاز به کابینت های قفل شونده، گاوصندوق، دفاتر، دوربین های امنیتی تلویزیون و غیره)؛

وجود قوانین واضح برای رسیدگی به اسناد و تکثیر آنها. همانطور که می دانید، اختراع فناوری تکراری به معنای واقعی کلمه باعث افزایش جاسوسی صنعتی شد.

وجود روی اسناد کتیبه های "راز" ، "برای استفاده رسمی" و روی درها - " ورود غیر مجازممنوع است." هر حامل اطلاعات (سند، دیسک و غیره) باید دارای محل مناسب و محل ذخیره سازی (اتاق، گاوصندوق، جعبه فلزی) باشد.

امضای قرارداد عدم افشای اطلاعات با کارکنان سازمان یا شرکت.

ابزار اصلی حفاظت از اطلاعات در حال حاضر اقدامات امنیتی با هدف جلوگیری از نشت اطلاعات خاص است. اتخاذ این اقدامات قبل از هر چیز به صاحبان اطلاعات، وضعیت رقابتی در حوزه فعالیت آنها، ارزش تولید یا اطلاعات تجاری، عوامل دیگر

اقدامات حفاظت از اطلاعات شامل خارجی و داخلی است.

فعالیت های خارجی عبارتند از: مطالعه شرکا، مشتریانی که باید با آنها تجارت کنید، جمع آوری اطلاعات در مورد قابلیت اطمینان، پرداخت بدهی و سایر داده ها و همچنین پیش بینی اقدامات مورد انتظار رقبا و عناصر جنایتکار. در صورت امکان، افراد علاقه مند به فعالیت های سازمان (شرکت) و پرسنل شاغل در سازمان شناسایی می شوند.

اقدامات امنیتی داخلی شامل مسائل مربوط به انتخاب و غربالگری افرادی است که متقاضی کار هستند: داده های شخصی آنها، رفتار آنها در محل سکونت و در محل کار قبلی، ویژگی های شخصی و تجاری، سازگاری روانی با کارکنان مورد مطالعه قرار می گیرد. دلایل ترک در حال روشن شدن است مکان سابقکار، سوابق کیفری و غیره در فرآیند کار، مطالعه و تجزیه و تحلیل اقدامات کارمند که بر منافع سازمان تأثیر می گذارد ادامه دارد و تجزیه و تحلیل روابط خارجی وی انجام می شود.

کارمندان - عامل ضروریسیستم های امنیتی. آنها می توانند نقش بسزایی در حفاظت از اسرار تجاری داشته باشند، اما در عین حال می توانند دلیل اصلی نشت آن نیز باشند. این اغلب به دلیل بی توجهی و بی سوادی اتفاق می افتد. بنابراین آموزش منظم و واضح پرسنل در خصوص مسائل رازداری مهمترین شرط حفظ رازداری است. با این حال، موارد انتقال (فروش) عمدی اسرار شرکت توسط یک کارمند را نمی توان رد کرد. مبنای انگیزشی چنین اقداماتی یا نفع شخصی یا انتقام از جانب یک کارمند اخراج شده است. انجام چنین اقداماتی به دوران باستان باز می گردد.

حفاظت از اطلاعات شامل استفاده از وسایل فنی ویژه و دستگاه های الکترونیکی است که نه تنها اجازه می دهد نشت آنها را مهار کند، بلکه فعالیت هایی مانند جاسوسی صنعتی (تجاری) را نیز متوقف کند. اکثر آنها هستند وسایل فنیتشخیص و اقدامات متقابل علیه دستگاه های شنود:

خنثی کننده تلفن (برای سرکوب عملکرد مینی فرستنده و خنثی کردن حذف اطلاعات صوتی)؛

مسدود کننده تلفن دستگاه های شنود;

آشکارساز حرفه ای (برای تعیین "خشن" محل بمب های رادیویی استفاده می شود).

آشکارساز فرستنده کوچک (برای تعیین دقیق محل بمب های رادیویی استفاده می شود).

مولد نویز

سازمان هایی که اطلاعات ارزشمندی دارند باید آن را در کابینت های ضد حریق یا گاوصندوق های مخصوص ذخیره کنند و از گم شدن یا انتقال کلیدها برای نگهداری به افراد دیگر، حتی کسانی که به ویژه مورد اعتماد هستند، جلوگیری کنند.

یکی از روش های متداول حمایت از مالکیت فکری، ثبت اختراع است، یعنی گواهینامه ای که برای مخترع یا جانشین او برای حق استفاده انحصاری از اختراعی که انجام داده است، صادر می شود. حق ثبت اختراع برای محافظت از مخترع (نویسنده) در برابر بازتولید، فروش و استفاده از اختراع او توسط دیگران است.

اجرای اقدامات داخلی و خارجی ویژه برای حفاظت از سیستم های اطلاعاتی ارزشمند باید به افراد آموزش دیده ویژه سپرده شود. برای این منظور، یک کارآفرین می تواند از شرکت های کارآگاه خصوصی متخصص در کشف و حفاظت از اموال کمک بگیرد. آنها همچنین می توانند خدمات امنیتی خود را ایجاد کنند. از آنجایی که اقدامات حفاظتی مستلزم هزینه های قابل توجهی است، خود کارآفرین باید تصمیم بگیرد که چه چیزی برای او سودآورتر است: تحمل نشت اطلاعات یا جذب خدمات تخصصی برای محافظت از آن.

نتیجه

وضعیت کنونی امنیت اطلاعات در روسیه وضعیت یک نهاد دولتی-عمومی جدید است که با در نظر گرفتن دستورات زمانه در حال شکل گیری است. تاکنون کارهای زیادی برای شکل‌گیری آن انجام شده است، اما مشکلات بیشتری وجود دارد که نیاز به راه‌حل فوری دارد. در سال های اخیر، تعدادی از اقدامات در فدراسیون روسیه برای بهبود امنیت اطلاعات اجرا شده است، از جمله:

تشکیل چارچوب قانونی برای امنیت اطلاعات آغاز شده است. تعدادی از قوانین تنظیم کننده روابط عمومی در این زمینه تصویب شده و کار برای ایجاد مکانیسم هایی برای اجرای آنها آغاز شده است. نتیجه مهم و چارچوب قانونی برای حل بیشتر مشکلات در این زمینه، تصویب دکترین امنیت اطلاعات فدراسیون روسیه توسط رئیس جمهور فدراسیون روسیه در سپتامبر 2001 بود.

امنیت اطلاعات با موارد زیر تضمین می شود:

سیستم حفاظت اطلاعات دولتی؛

سیستم صدور مجوز برای فعالیت در زمینه حفاظت از اسرار دولتی؛

سیستم صدور گواهینامه امنیت اطلاعات

در عین حال، تجزیه و تحلیل وضعیت امنیت اطلاعات نشان می دهد که هنوز تعدادی از مشکلات وجود دارد که به طور جدی مانع تامین کامل امنیت اطلاعات برای افراد، جامعه و دولت می شود. این دکترین مشکلات اصلی زیر را در این زمینه نام می برد.

شرایط مدرن توسعه سیاسی و اجتماعی-اقتصادی کشور هنوز تضادهای شدیدی را بین نیازهای جامعه برای گسترش تبادل آزاد اطلاعات و نیاز به محدودیت های تنظیم شده خاص در انتشار آن حفظ کرده است.

ناهماهنگی و توسعه نیافتگی مقررات قانونی روابط عمومی در حوزه اطلاعات، حفظ تعادل لازم در منافع فرد، جامعه و دولت را در این زمینه به طور قابل توجهی پیچیده می کند. هنجاری ناقص مقررات قانونیاجازه تکمیل تشکیل خبرگزاری ها و رسانه های رقابتی روسیه در قلمرو فدراسیون روسیه را نمی دهد.

ناامنی حقوق شهروندی در دسترسی به اطلاعات و دستکاری اطلاعات باعث واکنش منفی مردم می شود که در برخی موارد منجر به بی ثباتی اوضاع سیاسی-اجتماعی جامعه می شود.

حقوق شهروندان برای حفظ حریم خصوصی، اسرار شخصی و خانوادگی و محرمانه بودن مکاتبات مندرج در قانون اساسی فدراسیون روسیه عملاً از نظر قانونی، سازمانی و کافی برخوردار نیستند. پشتیبانی فنی. حفاظت از مواد جمع آوری شده به طور نامناسبی سازماندهی شده است. مقامات فدرالمقامات ایالتی، مقامات نهادهای تشکیل دهنده فدراسیون روسیه، اطلاعات دولت های محلی اشخاص حقیقی(اطلاعات شخصی).

در اجرای سیاست های دولتی در زمینه تشکیل فضای اطلاعاتی روسیه و همچنین سازماندهی تبادل اطلاعات بین المللی و ادغام فضای اطلاعاتی روسیه در فضای اطلاعاتی جهان که شرایطی را برای بیرون راندن اخبار روسیه ایجاد می کند، شفافیت وجود ندارد. آژانس ها و رسانه ها از بازار اطلاعات داخلی، منجر به تغییر شکل ساختار تبادل بین المللی می شود.

حمایت دولت از فعالیت های خبرگزاری های روسیه برای تبلیغ محصولات خود در بازار اطلاعات خارجی ناکافی است.

وضعیت تضمین امنیت اطلاعات محرمانه دولتی در حال بهبود نیست.

در نتیجه خروج گسترده مجرب ترین متخصصان از این تیم ها، آسیب جدی به پتانسیل پرسنلی تیم های علمی و تولیدی فعال در زمینه ایجاد فناوری اطلاعات، مخابرات و ارتباطات وارد شده است.

کتابشناسی - فهرست کتب

1.دکترین امنیت اطلاعات فدراسیون روسیه (تصویب رئیس جمهور فدراسیون روسیه در تاریخ 09.09.2000 شماره Pr-1895)

.قانون فدراسیون روسیه "در مورد امنیت" 2010

.قانون فدراسیون روسیه "در مورد اسرار دولتی"، تصویب شده در 21 ژوئیه 1993 (در 8 نوامبر 2011 اصلاح شده)

.قانون فدراسیون روسیه "در مورد کپی رایت و حقوق وابسته" که در 3 اوت 1993 لازم الاجرا شد (با اصلاح)

.قانون فدرال "در مورد اصول خدمات مدنی"، مصوب 31 ژوئیه 1995،

.قانون جنایی فدراسیون روسیه 2013

چگونه از داده های محرمانه محافظت کنیم، چگونه کار مراکز پردازش را ایمن کنیم؟

مانند جاهای دیگر، در مسائل ساختن سیستم‌های امنیت اطلاعات، یک رویکرد یکپارچه، متعادل و چند سطحی مورد نیاز است، زیرا اشتباه در یک موضوع می‌تواند تلاش‌ها را در سایر زمینه‌ها نفی کند.

به منظور درک زمینه های اصلی که باید به آنها توجه کنید، بیایید ویژگی های اصلی که سیستم های ذخیره سازی و پردازش داده را مشخص می کنند را در نظر بگیریم:

تمام مقادیر عمده اطلاعات در پایگاه داده های ساختاریافته انباشته می شوند.

همه منابع کامپیوتریمعمولاً در اتاق‌های سرور اختصاصی و محافظت شده (به اصطلاح DPC - مراکز پردازش داده) واقع شده است.

مخازن تنها انبارهای مرده اطلاعات نیستند، بلکه وجود تعداد زیادی از برنامه های کاربردی و سیستم های خدماتی نزدیک به هم هستند (به عنوان مثال، نرم افزاربرای آرشیو اطلاعات، مدیریت، سیستم های پردازش، سیستم هایی مانند ETL (استخراج، تبدیل، بارگذاری)، سیستم های کاربردی، که در واقع داده های منبع را تولید می کنند و غیره).

اندازه متوسط ​​ذخیره سازی 1 ترابایت و بالاتر است که نشان می دهد نگرش جدیبه زیرساخت شبکه و سیستم های ذخیره سازی و پردازش اطلاعات.

اگر امنیت فیزیکی و تدابیر سازمانی را در نظر نگیریم (ساماندهی مراکز پردازش نیازمند رویکرد جدی است)، یکی از اولین مسائل، ساماندهی زیرساخت مخابراتی مطمئن و ایمن اعم از حفاظت محیطی و امنیت داخلی خواهد بود.

مراکز پردازش باید تا حد امکان از تلاش برای ورود از بیرون مهر و موم شوند. تمام اتصالات خارجی باید شامل رمزگذاری ترافیک (SSH، IPSec، SSL، و غیره) باشد، که در شبکه مدیریت داخلی نیز مطلوب است (توصیه می شود آن را از شبکه داده عمومی در لایه فیزیکی یا با استفاده از VLAN جدا کنید). به دلیل مشکلات عملکرد، رمزگذاری در سطح هسته معمولاً استفاده نمی شود.

پروتکل های مختلف شبکه و تعاملات شبکه به سطوح حفاظتی خاص خود نیاز دارند:

حفاظت از لایه حمل و نقل؛

سازمان VLAN، Port Security و غیره؛

سرورهای پروکسی در محیط، تجزیه و تحلیل سطح تعامل برنامه.

سیستم های پیشگیری از نفوذ (تشخیص/پیشگیری از نفوذ) و غیره؛

لایه کانال فیبر: پروتکل احراز هویت کانال فیبر، پروتکل احراز هویت پیوند سوئیچ و غیره؛

سطح SAN: SAN مجازی، علامت گذاری LUN و غیره.

8.4. مشکل خودی

اخیراً مشکل نشت اطلاعات اغلب مورد بحث قرار گرفته است و راه حل هایی برای نظارت بر محیط مخابراتی و دستگاه های خارجی در رایانه ها در ارتباط با اصطلاح "خودی" در نظر گرفته شده است.

در این زمینه راه حل های خارجی و داخلی برای نظارت بر دستگاه های خارجی (مانند USB، DVD-RW، بلوتوث) وجود دارد. چنین محصولاتی توسط SecureWave (Sanctuary) ارائه می شود کنترل دستگاه)، Safend، Control Guard، SecurIT و سایر شرکت ها. گروه بزرگی از ابزارهای کنترل شبکه و حفاظت محیطی از شرکت‌ها وجود دارد (از بین شرکت‌های داخلی، Info Watch بیشتر از همه در اینجا قابل توجه است).

به هر حال، ما نباید نیاز به نظارت دقیق بر رایانه های کاربران را فراموش کنیم: چه نوع نرم افزاری روی آنها نصب شده است، آیا حفره های امنیتی وجود دارد، چه برنامه هایی مجاز به اجرا هستند، چه فرآیندهایی برای اجرا در سیستم مورد نیاز است؟ و غیره.

ولی! همانطور که اغلب اتفاق می افتد، تلاش برای ایمن ساختن زیرساخت تا حد امکان باعث ایجاد انحراف در اجرای یک سیستم امنیتی جامع می شود. اغلب شما نمی توانید جنگل را برای درختان ببینید.

اولین چیزی که باید به آن توجه کرد این است که هیچ محافظت 100٪ در برابر نشت اطلاعات وجود ندارد. شما می توانید ایمیل شرکت و پورت های کامپیوتر را کنترل کنید، اما یک مهاجم همیشه فرصت های اضافی برای اجرای برنامه خود پیدا می کند. به عنوان مثال، با استفاده از برنامه های تشخیص متن، یک سند چاپ کنید یا به سادگی از صفحه با تبدیل بیشتر به فرمت الکترونیکی مورد نظر عکس بگیرید. علاوه بر این، از مشکلات مربوط به نحوه کنترل دقیق همه اینها آگاه باشید (چه کسی اطلاعاتی را که کاربر مجاز روی دستگاه USB نوشته است تجزیه و تحلیل خواهد کرد؟). می‌توان جنبه اخلاقی و روان‌شناختی موضوع را نیز یادآور شد: اگر شرکت به کاربر اجازه کار با این سند را داده است (بنابراین، این کار به او اعتماد دارد)، پس نیاز به کنترل اعمال او از کجا می‌آید؟ در این مورد، این بدان معنی است که احتمالاً اصول اولیه امنیت - هویت شرکت، مجوز و مدیریت دسترسی، و همچنین حفاظت از پایگاه داده - به درستی در سازمان ساخته نشده است.

41. سازمانی و اقدامات قانونیحفاظت از اطلاعات محرمانه

حفاظت سازمانی تنظیم فعالیت های تولیدی و روابط بین مجریان بر مبنای قانونی است که کسب غیرقانونی اطلاعات محرمانه و بروز تهدیدات داخلی و خارجی را مستثنی یا به طور قابل توجهی پیچیده می کند.

حفاظت سازمانی فراهم می کند:

سازمان امنیت، رژیم، کار با پرسنل،

با مدارک؛

استفاده از ابزارهای امنیتی فنی و اطلاعات و فعالیت های تحلیلی برای شناسایی تهدیدات داخلی و خارجی برای فعالیت های تجاری.

اقدامات سازمانی نقش مهمی در ایجاد مکانیزم قابل اعتماد برای حفاظت از اطلاعات ایفا می کند، زیرا امکان استفاده غیرمجاز از اطلاعات محرمانه تا حد زیادی توسط جنبه های فنی تعیین نمی شود، بلکه توسط اقدامات مخرب، سهل انگاری، سهل انگاری و سهل انگاری کاربران یا پرسنل امنیتی تعیین می شود. اجتناب از تأثیر این جنبه ها با استفاده از ابزارهای فنی تقریباً غیرممکن است. این امر مستلزم مجموعه ای از اقدامات سازمانی، قانونی و سازمانی و فنی است که احتمال خطر اطلاعات محرمانه را از بین ببرد (یا حداقل به حداقل برساند).

عمده فعالیت های سازمانی عبارتند از:

سازمان نظام و امنیت. هدف آنها حذف امکان ورود مخفیانه به قلمرو و اماکن افراد غیرمجاز است. اطمینان از راحتی کنترل عبور و مرور کارکنان و بازدیدکنندگان؛ ایجاد مناطق تولید جداگانه بر اساس نوع کار محرمانه با سیستم های دسترسی مستقل. کنترل و رعایت رژیم موقت کار و اقامت در قلمرو پرسنل شرکت. سازماندهی و حفظ کنترل دسترسی قابل اعتماد و کنترل کارکنان و بازدیدکنندگان و غیره؛

سازماندهی کار با کارکنان، که شامل انتخاب و قرار دادن پرسنل، از جمله آشنایی با کارمندان، مطالعه آنها، آموزش قوانین کار با اطلاعات محرمانه، آشنایی با اقدامات مسئولیت برای نقض قوانین حفاظت از اطلاعات و غیره است.

سازمان استفاده از وسایل فنی

جمع آوری، پردازش، انباشت و ذخیره اطلاعات محرمانه؛

سازماندهی کار بر روی تجزیه و تحلیل داخلی و

تهدیدهای خارجی برای اطلاعات محرمانه و

توسعه اقدامات برای اطمینان از حفاظت از آن؛

سازماندهی کار برای نظارت سیستماتیک بر کار پرسنل با اطلاعات محرمانه، روش ضبط، ذخیره و از بین بردن اسناد و رسانه های فنی.

برای حفاظت از اطلاعات محرمانه، اسناد نظارتی و قانونی زیر باید در سازمان تدوین شود:

فهرست اطلاعاتی که اطلاعات محرمانه سازمان را تشکیل می دهد.

تعهد قراردادی عدم افشای CI

دستورالعمل برای حفاظت از اطلاعات محرمانه

حفاظت از اطلاعات روی رایانه ها باید مطابق با الزامات RD GostekhCommission و STR-k (الزامات و توصیه های ویژه برای حفاظت فنیاطلاعات محرمانه).

اول از همه، شما باید فهرستی از اطلاعاتی که اطلاعات محرمانه سازمان را تشکیل می دهد تهیه کنید. فهرست باید شامل تمام اطلاعاتی باشد که دارایی سازمان است.

اطلاعات (و رسانه های آن) یعنی:

داده های به دست آمده در نتیجه پردازش اطلاعات با استفاده از ابزار فنی (تجهیزات اداری)؛

اطلاعات به عنوان بخشی از داده است که حاوی اطلاعات مفید است و توسط کارکنان سازمان برای کار برای اهداف رسمی استفاده می شود.

اسناد (رسانه ها) که در نتیجه فعالیت ذهنی کارکنان سازمان شکل می گیرد، شامل اطلاعاتی از هر منشا، نوع و هدف، اما برای عملکرد عادی سازمان ضروری است.

حفاظت موثر از اطلاعات در سیستم های کامپیوتری ah با استفاده از وسایل مناسب به دست می آید که می توان آنها را به چند گروه تقسیم کرد:

1) محدودیت دسترسی به اطلاعات؛

2) حفاظت از اطلاعات هنگام انتقال آن از طریق کانال های ارتباطی.

3) محافظت در برابر نشت اطلاعات از طریق زمینه های فیزیکی مختلف که در حین کار ابزارهای فنی سیستم های رایانه ای ایجاد می شود.

4) محافظت در برابر اثرات برنامه های ویروسی؛

5) امنیت ذخیره سازی و حمل و نقل اطلاعات در رسانه و محافظت از آن در برابر کپی.

هدف اصلی چنین ابزارهایی محدود کردن دسترسی به منابع اطلاعاتی محلی و شبکه ای سیستم های کامپیوتری است که موارد زیر را فراهم می کند: شناسایی و احراز هویت کاربران، محدودیت دسترسی کاربران ثبت نام شده به منابع اطلاعاتی، ثبت اقدامات کاربر، حفاظت از بارگذاری سیستم عامل. از رسانه های انعطاف پذیر، نظارت بر یکپارچگی ابزارهای امنیت اطلاعات و منابع اطلاعاتی. علیرغم اشتراک عملکردی ابزارهای امنیت اطلاعات این گروه، آنها از نظر شرایط عملیاتی، پیچیدگی راه اندازی و مدیریت پارامترها، شناسه های مورد استفاده، فهرست رویدادهای ثبت شده و هزینه با یکدیگر تفاوت دارند. ابزارهای امنیت اطلاعات به دو دسته تقسیم می شوند رسمی ، که این عملکرد را طبق رویه ای از پیش تعیین شده بدون دخالت انسان انجام می دهند و دوستانه و غیر رسمی (محدود کردن فعالیت پرسنل یا تنظیم شدید آنها).

ابزار اصلی حفاظت شامل فنی و نرم افزار ; ابزارهای فنی معمولاً به دو دسته تقسیم می شوند فیزیکیو سخت افزار.

وسایل فیزیکیاز طریق تحقق می یابند دستگاه های مستقلو سیستم های امنیتی (دزدگیر، پوسته های محافظ برای تجهیزات، حفاظت محافظ داخلی از محل های فردی، تجهیزات نظارت خارجی و داخلی، قفل درب و غیره).

سخت افزار- اینها دستگاه هایی هستند که مستقیماً در دستگاه هایی ساخته می شوند که با تجهیزات مورد استفاده برای پردازش داده ها در ارتباط هستند رابط استاندارد(مدارهای کنترل اطلاعات برابری، مدارهای حفاظت از میدان حافظه توسط رجیسترهای کلیدی و ویژه).

به نرم افزار مربوط بودن برنامه های ویژهو/یا ماژول هایی که عملکردهای امنیت اطلاعات را انجام می دهند.

استفاده از تنها یکی از روش های فوق حفاظت از اطلاعات مشکل را حل نمی کند - یک رویکرد یکپارچه مورد نیاز است. دو روش اصلی معمولا مورد استفاده قرار می گیرد: مانع و کنترل دسترسی.

مسدود کردن- ایجاد موانع فیزیکی (برای دسترسی به قلمرو سازمان، مستقیماً به رسانه فیزیکیاطلاعات).

کنترل دسترسی- تنظیم و تنظیم دسترسی مجاز به منابع فنی، نرم افزاری، اطلاعاتی سیستم.

به نوبه خود، کنترل دسترسی مجاز از طریق برخی تضمین می شود توابع حفاظتی:

شناسایی کاربر - انتساب اولیه به هر کاربر یک نام شخصی، کد، رمز عبور، آنالوگ های آن که در سیستم امنیتی ذخیره می شود.

احراز هویت (بررسی اعتبار) - فرآیند مقایسه شناسه های ارائه شده با شناسه های ذخیره شده در سیستم.

ایجاد شرایط برای کار در چارچوب مقررات تعیین شده، یعنی توسعه و اجرای اقدامات جامع که در آن دسترسی غیرمجاز به حداقل ممکن کاهش یابد.

ثبت درخواست برای منابع حفاظت شده؛

پاسخ مناسب به اقدامات غیرمجاز.

برنامه های آنتی ویروس - متداول ترین ابزار محافظت - از رایانه های فردی کاربران خانگی تا شبکه های بزرگ شرکتی (Kaspersky Antivirus 7.0، Dr. Web 4.44 + antispam، AVPersonal، Panda، NOD32).

امضای دیجیتال الکترونیکی (EDS)- دنباله ای از کاراکترهای به دست آمده در نتیجه تبدیل رمزنگاری داده های الکترونیکی. امضای دیجیتال به بلوک داده اضافه می شود و به گیرنده بلوک اجازه می دهد منبع و یکپارچگی داده ها را تأیید کند و از جعل محافظت کند. EDS به عنوان آنالوگ امضای دست نویس استفاده می شود.

ابزارهای رمزگذاری شفافمحافظت از داده ها در برابر افشای ناخواسته و جلوگیری از نفوذ جاسوسان به داده های سایر کاربران. در همان زمان، کلیدهای رمزگذاری در حساب ها ذخیره می شوند، بنابراین برای صاحبان قانونی اطلاعات، رمزگشایی آن بدون توجه اتفاق می افتد. چندین راه حل از این دست در بازار وجود دارد. به ویژه، آنها توسط مایکروسافت ارائه شده است. راه حل مایکروسافتدر سیستم عامل به صورت رمزنگاری استفاده می شود سیستم فایل EFS. با این حال، اگر کارمندی که حقوق دسترسی به داده‌های رمزگذاری شده را دارد، به‌طور تصادفی آن‌ها را از طریق ایمیل ارسال کند یا به رسانه‌های رمزگذاری نشده منتقل کند، حفاظت به خطر می‌افتد. برای از بین بردن خطر چنین نشت های تصادفی، این شرکت می تواند انتقال داده ها را با استفاده از پروتکل ها کنترل کند پست الکترونیکو وب (برای محافظت از انتقال از طریق ایمیل وب). اما در برابر انتقال پنهان داده‌هایی که جاسوسان می‌توانند به دست آورند، چنین سیستم‌هایی به احتمال زیاد قادر به تامین امنیت نخواهند بود. به ویژه، هیچ حفاظتی نمی تواند یک فایل رمزگذاری شده را به درستی باز کند، و بنابراین نمی تواند محتویات آن را بررسی کند. با این حال، جالب ترین خدمات برای شرکت های داخلی، توسعه یک سیستم امنیتی جامع است که شامل ایجاد مکانیسم هایی برای جلوگیری از تهدیدات داخلی نیز می شود.

کنترل محتواآخرین افزایش علاقه به سیستم‌های کنترل محتوا ناشی از نگرانی‌های مربوط به هرزنامه است. با این حال، هدف اصلی ابزارهای کنترل محتوا، جلوگیری از نشت اطلاعات محرمانه و سرکوب سوء استفاده از اینترنت است. یکی از اولویت های سازندگان چنین ابزارهایی این است که اطمینان حاصل کنند که عملکرد سیستم کنترل محتوا توسط کاربر احساس نمی شود.

فایروال هاابزار اساسی بوده و هستند که حفاظت از اتصالات به شبکه های خارجی، کنترل دسترسی بین بخش های شبکه شرکتی و حفاظت از جریان داده های منتقل شده از طریق شبکه های باز را تضمین می کند. اولین (و مهمترین) کاری که باید انجام داد تا اطمینان حاصل شود امنیت شبکه، این برای نصب و پیکربندی صحیح یک فایروال است (نام دیگر فایروال یا فایروال است). فایروال - در علوم کامپیوتر - یک مانع نرم افزاری و/یا سخت افزاری بین دو شبکه است که اجازه می دهد فقط اتصالات اینترنتی مجاز برقرار شود. فایروال از شبکه شرکت متصل به اینترنت در برابر نفوذ خارجی محافظت می کند و از دسترسی به اطلاعات محرمانه جلوگیری می کند. پیکربندی صحیح و نگهداری فایروال بر عهده یک مدیر سیستم با تجربه است.

برای محافظت از شبکه های کوچک که نیازی به انجام تنظیمات زیاد مربوط به توزیع انعطاف پذیر پهنای باند و محدودیت های ترافیکی توسط پروتکل برای کاربران نیست، بهتر است از دروازه های اینترنتی یا روترهای اینترنتی استفاده کنید.

فایروال ها همچنین اسکن ضد ویروس محتوای وب یا ایمیل دانلود شده را انجام می دهند. پایگاه داده های آنتی ویروس از طریق اینترنت به روز می شوند تا شبکه شما با ظهور ویروس های جدید محافظت شود. تمام آمار مربوط به جریان داده ها، هشدارهای مربوط به حملات از طریق اینترنت و اطلاعات مربوط به فعالیت کاربر در ناوبری وب در زمان واقعی ذخیره می شود و می تواند در قالب یک گزارش ارائه شود.