Kako postaviti pametne telefone i računala. Informativni portal
  • Dom
  • Zanimljiv
  • Ib podaci. Informacijska sigurnost i zaštita informacija jednostavnim riječima

Ib podaci. Informacijska sigurnost i zaštita informacija jednostavnim riječima

12.06.2019 Zanimljiv

Objektivno, kategorija "informacijska sigurnost" nastala je pojavom sredstava informacijske komunikacije među ljudima, kao i sviješću osobe da ljudi i njihove zajednice imaju interese koji mogu biti oštećeni utjecajem na sredstva informacijske komunikacije, tj. prisutnost i razvoj koji osigurava razmjenu informacija između svih elemenata društva.

Informacijska sigurnost je zaštita informacijske i prateće infrastrukture od slučajnih ili namjernih utjecaja prirodne ili umjetne prirode koji mogu uzrokovati neprihvatljivu štetu subjektima informacijskih odnosa. Popratna infrastruktura - sustavi opskrbe električnom energijom, toplinom, vodom, plinom, klimatizacijskim sustavima i sl., kao i servisno osoblje. Neprihvatljiva šteta je šteta koja se ne može zanemariti.

Dok Sigurnost informacija- to stanje sigurnosti informacijskog okruženja, zaštita podataka je djelatnost sprječavanja curenja zaštićenih informacija, neovlaštenih i nenamjernih utjecaja na zaštićene informacije, tj. postupak, usmjereno na postizanje ovog stanja .

Informacijska sigurnost organizacije- stanje sigurnosti informacijskog okruženja organizacije, osiguravajući njegovo formiranje, korištenje i razvoj.

Informacijska sigurnost države- stanje očuvanosti informacijskih resursa države i zaštita zakonskih prava pojedinca i društva u informacijskoj sferi.

U modernom društvu informacijska sfera ima dvije komponente: informacijska tehnologija (umjetno stvoren svijet tehnologije, tehnologije itd.) i informativne i psihološke (prirodni svijet žive prirode, uključujući samog čovjeka).

Sigurnost informacija- zaštita povjerljivosti, integriteta i dostupnosti informacija.

1. Povjerljivost: vlasništvo informacijskih izvora, uključujući informacije vezane uz činjenicu da neće postati dostupni i neće biti otkriveni neovlaštenim osobama.

2. Integritet: svojstvo informacijskih izvora, uključujući informacije, koje određuje njihovu točnost i potpunost.

3. Dostupnost: vlasništvo informacijskih izvora, uključujući informacije, čime se utvrđuje mogućnost njihova zaprimanja i korištenja na zahtjev ovlaštenih osoba.

Sustavni pristup opisu informacijske sigurnosti predlaže istaknuti sljedeće komponente informacijske sigurnosti:

1. Zakonodavna, regulatorna i znanstvena osnova.

2. Struktura i zadaci tijela (odjela) koja osiguravaju informatičku sigurnost.

3. Organizacijske, tehničke i sigurnosne mjere i metode (Politika sigurnosti informacija).


4. Softverske i hardverske metode i sredstva osiguranja informacijske sigurnosti.

Razmatrajući utjecaj na transformaciju ideja informacijske sigurnosti, u razvoju informacijskih komunikacija postoji nekoliko faza:

Ø Faza I - prije 1816 - karakterizira korištenje prirodnim sredstvima informacijske komunikacije... U tom razdoblju glavna zadaća informacijske sigurnosti bila je u zaštiti informacija o događajima, činjenicama, imovini, lokaciji i drugim podacima koji su od vitalnog značaja za osobu osobno ili zajednicu kojoj je pripadao .

Ø II faza - od 1816 - vezano uz početak uporabe umjetno stvorena tehnička sredstva električnih i radijskih komunikacija... Kako bi se osigurala tajnost i otpornost na buku radio komunikacija, bilo je potrebno iskoristiti iskustvo prvog razdoblja informacijske sigurnosti na višoj tehnološkoj razini, tj. primjena kodiranja poruke (signala) za ispravljanje pogrešaka uz naknadno dekodiranje primljene poruke (signala).

Ø III faza - od 1935. godine - povezana s pojavom radarske i hidroakustičke opreme. Glavni način osiguranja informacijske sigurnosti u tom razdoblju bio je kombinacija organizacijskih i tehničkih mjera usmjerenih na poboljšanje zaštite radarske opreme od djelovanja aktivnog maskiranja i pasivnog imitiranja radioelektronskih smetnji na njihove prijamne uređaje.

Ø Stadij IV - od 1946. godine - povezana s izumom i primjenom elektroničkih računala u praksi(računala). Uglavnom su riješeni zadaci informacijske sigurnosti metode i metode ograničavanja fizičkog pristupa opremi sredstava za ekstrakciju, obradu i prijenos informacija .

Ø Stadij V - od 1965. godine - zbog stvaranja i razvoja lokalne informacijske i komunikacijske mreže... Zadaci informacijske sigurnosti također su rješavani uglavnom metodama i metodama fizička zaštita sredstava za ekstrakciju, obradu i prijenos informacija, ujedinjenih u lokalnu mrežu putem administracije i kontrole pristupa mrežnim resursima .

Ø Stadij VI - od 1973. godine - povezano s korištenjem ultra-mobilni komunikacijski uređaji sa širokim spektrom zadataka... Prijetnje informacijskoj sigurnosti postale su mnogo ozbiljnije. Kako bi se osigurala sigurnost informacija u računalnim sustavima s mrežama bežičnog prijenosa podataka, bila je potrebna izrada novih sigurnosnih kriterija. Formirane su zajednice ljudi - hakera, s ciljem narušavanja informacijske sigurnosti pojedinih korisnika, organizacija i cijelih zemalja. Informacijski resurs postao je najvažniji resurs države, a osiguranje njezine sigurnosti najvažnija i obvezna komponenta nacionalne sigurnosti. Formira se informacijski zakon - nova grana međunarodnog pravnog sustava.

Ø VII faza - od 1985. godine - povezan je s stvaranjem i razvojem globalnih informacijskih i komunikacijskih mreža korištenjem prostornih potpornih objekata. Može se pretpostaviti da će sljedeća faza u razvoju informacijske sigurnosti, očito, biti povezana s raširenom uporabom ultramobilnih komunikacijskih uređaja sa širokim spektrom zadataka i globalnom pokrivenošću u prostoru i vremenu, koju osiguravaju svemirske informacije i komunikacija. sustava. Za rješavanje problema informacijske sigurnosti u ovoj fazi potrebno je stvoriti makrosustav informacijske sigurnosti za čovječanstvo pod pokroviteljstvom vodećih međunarodnih foruma .

Izraz u različitim kontekstima može imati različita značenja. U Doktrini informacijske sigurnosti Ruske Federacije, izraz "Sigurnost informacija" koristi se u širem smislu. To se odnosi na stanje zaštite nacionalnih interesa u informacijskoj sferi, određeno ukupnošću uravnoteženih interesa pojedinca, društva i države.

U Zakonu Ruske Federacije "O sudjelovanju u međunarodnoj razmjeni informacija" Sigurnost informacija definira se na sličan način - kao stanje zaštite informacijskog okruženja društva, osiguravajući njegovo formiranje, korištenje i razvoj u interesu građana, organizacija i države.

U ovom tečaju naša će pozornost biti usmjerena na pohranjivanje, obradu i prijenos informacija, neovisno o tome na kojem je jeziku (ruskom ili bilo kojem drugom) one kodirane, tko ili što im je izvor, te kakav psihološki učinak ima na ljude. Stoga pojam "Sigurnost informacija" koristit će se u užem smislu, kao što je uobičajeno, na primjer, u književnosti na engleskom jeziku.

Pod, ispod sigurnost informacija razumjet ćemo sigurnost informacija i od slučajnih ili namjernih utjecaja prirodne ili umjetne prirode, koji mogu uzrokovati neprihvatljiva šteta subjekte informacijskih odnosa, uključujući vlasnike i korisnike informacija i prateća infrastruktura... (Malo dalje ćemo objasniti što treba razumjeti pod prateća infrastruktura.)

Zaštita podataka Je skup mjera usmjerenih na osiguranje informacijske sigurnosti.

Dakle, s metodološkog stajališta, ispravan pristup problemima sigurnost informacija počinje identificiranjem subjekti informacijskih odnosa te interesi ovih aktera vezani uz korištenje informacijskih sustava (IS). Prijetnje sigurnost informacija- ovo je suprotna strana korištenja informacijske tehnologije.

Iz ove se pozicije mogu izvesti dvije važne posljedice:

  1. Tumačenje problema povezanih s sigurnost informacija, za različite kategorije subjekata mogu se značajno razlikovati. Za ilustraciju, dovoljno je usporediti režimske vladine organizacije i obrazovne institucije. U prvom slučaju "neka se sve pokvari nego neprijatelj nauči barem jednu tajnu malo", u drugom - "da, nemamo nikakvih tajni, samo da sve funkcionira."
  2. Sigurnost informacija nije ograničena samo na zaštitu od neovlaštenog pristupa informacijama, to je bitno širi pojam. Predmet informacijskih odnosa može pretrpjeti (pretrpeti gubitke i/ili dobiti moralnu štetu) ne samo od neovlaštenog pristupa, već i od kvara sustava koji je uzrokovao prekid u radu. Štoviše, za mnoge otvorene organizacije (primjerice, obrazovne) stvarna zaštita od neovlaštenog pristupa informacijama nije na prvom mjestu po važnosti.

Vraćajući se terminološkim pitanjima, napominjemo da nam se pojam "računalna sigurnost" (kao ekvivalent ili zamjena za informacijsku sigurnost) čini preuskim. Računala su samo jedna od komponenti informacijskih sustava, a iako će naša pozornost biti usmjerena prvenstveno na informacije koje se pohranjuju, obrađuju i prenose pomoću računala, njihovu sigurnost određuje ukupnost njegovih komponenti i prije svega najslabije poveznicu, za koju se u većini slučajeva ispostavi da je osoba (koja je, na primjer, zapisala svoju lozinku na "senf flaster" zalijepljenoj za monitor).

Prema definiciji informacijske sigurnosti, ona ne ovisi samo o računalima, već i o prateća infrastruktura, što uključuje sustave opskrbe električnom energijom, vodom i toplinom, klima uređaje, komunikacije i, naravno, servisno osoblje. Ova infrastruktura ima samostalnu vrijednost, ali će nas samo zanimati kako ona utječe na provedbu funkcija koje joj je dodijelio informacijski sustav.

Imajte na umu da se u definiciji IB-a ispred imenice "šteta" nalazi pridjev "neprihvatljivo". Očito je nemoguće osigurati od svih vrsta šteta, tim više je nemoguće to učiniti na ekonomski isplativ način, kada cijena zaštitne opreme i mjera ne prelazi iznos očekivane štete. To znači da se s nečim morate pomiriti i braniti se samo od onoga što nikako ne možete podnijeti. Ponekad je takva neprihvatljiva šteta šteta za ljudsko zdravlje ili okoliš, ali češće prag neprihvatljivosti ima materijalni (novčani) izraz, a cilj zaštite informacija je smanjenje količine štete na prihvatljive vrijednosti.

Glavne komponente. Važnost problema.

Informacijsku sigurnost (IS) treba shvatiti kao zaštitu interesa subjekata informacijskih odnosa. Njegove glavne komponente opisane su u nastavku - povjerljivost, integritet, dostupnost. Navedena je statistika kršenja informacijske sigurnosti, opisani su najtipičniji slučajevi.

Koncept informacijske sigurnosti

Izraz "informacijska sigurnost" u različitim kontekstima može imati različita značenja. U Doktrini informacijske sigurnosti Ruske Federacije pojam "informacijska sigurnost" koristi se u širem smislu. To se odnosi na stanje zaštite nacionalnih interesa u informacijskoj sferi, određeno ukupnošću uravnoteženih interesa pojedinca, društva i države.

U Zakonu Ruske Federacije "O sudjelovanju u međunarodnoj razmjeni informacija" informacijska sigurnost definirana je na sličan način - kao stanje zaštite informacijskog okruženja društva, osiguravajući njegovo formiranje, korištenje i razvoj u interesu građana, organizacija. , i država.

U ovom tečaju naša će pozornost biti usmjerena na pohranjivanje, obradu i prijenos informacija, neovisno o tome na kojem je jeziku (ruskom ili bilo kojem drugom) one kodirane, tko ili što im je izvor, te kakav psihološki učinak ima na ljude. Stoga će se termin "informacijska sigurnost" koristiti u užem smislu, kako je prihvaćeno, primjerice, u literaturi na engleskom jeziku.

Pod, ispod sigurnost informacija razumjet ćemo sigurnost informacijske i prateće infrastrukture od slučajnih ili namjernih utjecaja prirodne ili umjetne prirode koji mogu uzrokovati neprihvatljivu štetu subjektima informacijskih odnosa, uključujući vlasnike i korisnike informacijske i prateće infrastrukture. (Nešto kasnije ćemo objasniti što mislite pod infrastrukturom podrške.)

Zaštita podataka Je skup mjera usmjerenih na osiguranje informacijske sigurnosti.

Dakle, metodološki ispravan pristup problemima informacijske sigurnosti započinje identificiranjem subjekata informacijskih odnosa i interesa tih subjekata povezanih s korištenjem informacijskih sustava (IS). Prijetnje informacijskoj sigurnosti suprotna su strana korištenja informacijske tehnologije.

Iz ove se pozicije mogu izvesti dvije važne posljedice:

Tumačenje problema informacijske sigurnosti za različite kategorije subjekata može se značajno razlikovati. Za ilustraciju, dovoljno je usporediti režimske vladine organizacije i obrazovne institucije. U prvom slučaju "neka se sve pokvari nego neprijatelj nauči barem jednu tajnu malo", u drugom - "da, nemamo nikakvih tajni, samo da sve funkcionira."

Sigurnost informacija nije ograničena samo na zaštitu od neovlaštenog pristupa informacijama, ona je bitno širi pojam. Subjekt informacijskih odnosa može pretrpjeti (trpeti gubitke i/ili dobiti moralnu štetu) ne samo od neovlaštenog pristupa, već i od kvara sustava koji je uzrokovao prekid u radu. Štoviše, za mnoge otvorene organizacije (primjerice, obrazovne) stvarna zaštita od neovlaštenog pristupa informacijama nije na prvom mjestu po važnosti.

Vraćajući se terminološkim pitanjima, napominjemo da nam se pojam "računalna sigurnost" (kao ekvivalent ili zamjena za informacijsku sigurnost) čini preuskim. Računala su samo jedna od komponenti informacijskih sustava, a iako će naša pažnja biti usmjerena prvenstveno na informacije koje se pohranjuju, obrađuju i prenose pomoću računala, njihovu sigurnost određuje ukupnost njegovih komponenti i prije svega najslabije poveznicu, za koju se u većini slučajeva ispostavi da je osoba (koja je, na primjer, zapisala svoju lozinku na "senf flaster" zalijepljenoj za monitor).

Prema definiciji informacijske sigurnosti, ona ne ovisi samo o računalima, već io pratećoj infrastrukturi, koja uključuje elektroenergetske, vodovodne i sustave grijanja, klima uređaje, komunikacije i, naravno, servisno osoblje. Ova infrastruktura ima samostalnu vrijednost, ali će nas samo zanimati kako ona utječe na provedbu funkcija koje joj je dodijelio informacijski sustav.

Imajte na umu da se u definiciji IB-a ispred imenice "šteta" nalazi pridjev "neprihvatljivo". Očito je nemoguće osigurati od svih vrsta šteta, tim više je nemoguće to učiniti na ekonomski isplativ način, kada cijena zaštitne opreme i mjera ne prelazi iznos očekivane štete. To znači da se s nečim morate pomiriti i braniti se samo od onoga što nikako ne možete podnijeti. Ponekad je takva neprihvatljiva šteta šteta za ljudsko zdravlje ili okoliš, ali češće prag neprihvatljivosti ima materijalni (novčani) izraz, a svrha zaštite informacija je smanjenje iznosa štete na prihvatljive vrijednosti.

Glavne komponente informacijske sigurnosti

Informacijska sigurnost je višestruko, čak bi se moglo reći, višedimenzionalno područje djelovanja u kojem samo sustavni, integrirani pristup može donijeti uspjeh.

Raspon interesa subjekata vezanih uz korištenje informacijskih sustava može se podijeliti u sljedeće kategorije: pristupačnost, integritet i povjerljivost informacijski resursi i prateća infrastruktura.

Ponekad glavne komponente informacijske sigurnosti uključuju zaštitu od neovlaštenog kopiranja informacija, no, po našem mišljenju, to je previše specifičan aspekt sa sumnjivim izgledima za uspjeh, pa ga nećemo izdvajati.

Razjasnimo pojmove pristupačnosti, integriteta i povjerljivosti.

Dostupnost je mogućnost primanja tražene informacijske usluge u razumnom vremenu. Integritet znači relevantnost i dosljednost informacija, njihovu zaštitu od uništenja i neovlaštenih promjena.

Konačno, povjerljivost je zaštita od neovlaštenog pristupa informacijama.

Informacijski sustavi se stvaraju (kupuju) za primanje određenih informacijskih usluga. Ukoliko se iz ovih ili onih razloga onemogući pružanje ovih usluga korisnicima, to očito šteti svim subjektima informacijskih odnosa. Stoga, ne suprotstavljajući dostupnost drugim aspektima, izdvajamo je kao najvažniji element informacijske sigurnosti.

Vodeća uloga pristupačnosti posebno se jasno očituje u različitim vrstama sustava upravljanja – proizvodnim, transportnim itd. Izvana manje dramatične, ali i vrlo neugodne posljedice - materijalne i moralne - može imati dugotrajna nedostupnost informacijskih usluga koje koristi veliki broj ljudi (prodaja željezničkih i zrakoplovnih karata, bankarske usluge i sl.).

Integritet se može podijeliti na statički (shvaćen kao nepromjenjivost informacijskih objekata) i dinamički (vezan za ispravno izvršenje složenih radnji (transakcija)). Dinamičke kontrole integriteta koriste se, posebice, kada se analizira tijek financijskih poruka kako bi se otkrila krađa, preuređivanje ili dupliciranje pojedinačnih poruka.

Ispostavilo se da je integritet najvažniji aspekt informacijske sigurnosti u slučajevima kada informacije služe kao "vodič za akciju". Formulacija lijekova, propisani medicinski postupci, skup i karakteristike komponenti, tijek tehnološkog procesa, sve su to primjeri informacija čije kršenje integriteta može biti doslovno kobno. Također je neugodno iskrivljavati službene informacije, bilo da se radi o tekstu zakona ili stranici na web serveru državne organizacije. Povjerljivost je najrazvijeniji aspekt informacijske sigurnosti u našoj zemlji. Nažalost, praktična provedba mjera za osiguranje povjerljivosti suvremenih informacijskih sustava nailazi na ozbiljne poteškoće u Rusiji. Prvo, zatvorene su informacije o tehničkim kanalima curenja informacija, tako da većina korisnika nema priliku razumjeti potencijalne rizike. Drugo, postoje mnogi pravni i tehnički izazovi koji stoje na putu prilagođenoj kriptografiji kao primarnom alatu za zaštitu privatnosti.

Vratimo li se analizi interesa raznih kategorija subjekata informacijskih odnosa, onda je gotovo svima koji se stvarno koriste IP-om pristupačnost na prvom mjestu. Integritet praktički nije inferioran u svojoj važnosti - koji je smisao informacijske usluge ako sadrži iskrivljene informacije?

Konačno, mnoge organizacije također imaju povjerljive probleme (čak i gore spomenute obrazovne ustanove nastoje ne otkrivati ​​podatke o plaćama zaposlenika) i pojedinačne korisnike (primjerice, lozinke).

Najčešće prijetnje:

Poznavanje potencijalnih prijetnji, kao i sigurnosnih ranjivosti koje te prijetnje obično iskorištavaju, ključno je za odabir najisplativijih sigurnosnih mjera.

Osnovne definicije i kriteriji za klasifikaciju prijetnji

Prijetnja- ovo je potencijalna prilika da se na određeni način naruši informacijska sigurnost.

Pokušaj provedbe prijetnje naziva se napad, a onaj koji napravi takav pokušaj - uljez... Potencijalni uljezi se pozivaju izvore prijetnje.

Najčešće je prijetnja posljedica prisutnosti ranjivosti u zaštiti informacijskih sustava (poput mogućnosti pristupa neovlaštenih osoba kritičnoj opremi ili grešaka u softveru).

Vremenski interval od trenutka kada postane moguće koristiti slabu točku, pa do trenutka kada je jaz eliminiran, naziva se prozor opasnosti povezana s ovom ranjivošću. Sve dok postoji prozor opasnosti, uspješni napadi na IP su mogući.

Ako je riječ o softverskim pogreškama, prozor opasnosti se "otvara" pojavom sredstava korištenja greške i eliminira se primjenom zakrpa koje je popravljaju.

Za većinu ranjivosti prozor opasnosti postoji relativno dugo (nekoliko dana, ponekad tjedana), budući da bi se za to vrijeme trebali dogoditi sljedeći događaji:

sredstva za iskorištavanje sigurnosnog jaza moraju biti svjesna;

moraju se izdati odgovarajući flasteri;

zakrpe moraju biti instalirane u zaštićeni IC.

Već smo istaknuli da se sve vrijeme pojavljuju nove ranjivosti i sredstva za njihovo iskorištavanje; to znači, prvo, da gotovo uvijek postoje prozori opasnosti i, drugo, da takve prozore treba stalno nadzirati, te da puštanje i primjenu flastera treba provesti što je brže moguće.

Imajte na umu da se neke prijetnje ne mogu smatrati posljedicom nekih pogrešaka ili pogrešnih proračuna; postoje po samoj prirodi modernog IP-a. Na primjer, opasnost od nestanka struje ili njezinih parametara koji prelaze dopuštene granice postoji zbog ovisnosti hardvera IC-a o visokokvalitetnom napajanju.

Razmotrimo najčešće prijetnje kojima su izloženi suvremeni informacijski sustavi. Razumijevanje potencijalnih prijetnji, kao i ranjivosti koje te prijetnje obično iskorištavaju, ključno je za odabir najisplativijih sigurnosnih mjera. Previše mitova postoji u području informacijske tehnologije (sjetite se istog "Problema 2000."), pa neznanje u ovom slučaju dovodi do prekoračenja troškova i, još gore, do koncentracije resursa tamo gdje oni nisu posebno potrebni, slabljenjem stvarnog ranjivi smjerovi.

Naglasimo da se sam pojam "prijetnje" često različito tumači u različitim situacijama. Na primjer, za izrazito otvorenu organizaciju prijetnje povjerljivosti možda jednostavno ne postoje – sve informacije se smatraju javno dostupnima; međutim, u većini slučajeva ilegalni pristup se čini ozbiljnom prijetnjom. Drugim riječima, prijetnje, kao i sve ostalo u informacijskoj sigurnosti, ovise o interesima subjekata informacijskih odnosa (i o tome kakva je šteta za njih neprihvatljiva).

Pokušat ćemo sagledati temu sa stajališta tipične (po našem mišljenju) organizacije. Međutim, mnoge prijetnje (na primjer, požar) opasne su za sve.

Prijetnje se mogu klasificirati prema nekoliko kriterija:

o aspektu informacijske sigurnosti (dostupnost, integritet, povjerljivost), protiv koje su prijetnje prvenstveno usmjerene;

po komponentama informacijskih sustava koje su ciljane prijetnjama (podaci, programi, hardver, prateća infrastruktura);

načinom provedbe (slučajne / namjerne radnje prirodne / umjetne prirode);

prema lokaciji izvora prijetnji (unutar/izvan razmatranog IS-a).

Kao glavni kriterij koristit ćemo prvi (u smislu informacijske sigurnosti), uključujući i ostalo, ako je potrebno.

Najveće prijetnje privatnosti

Povjerljive informacije mogu se podijeliti na predmetne i servisne. Podaci o uslugama (na primjer, korisničke lozinke) ne pripadaju određenom predmetnom području, igraju tehničku ulogu u informacijskom sustavu, ali je njihovo otkrivanje posebno opasno, jer je prepuno neovlaštenog pristupa svim informacijama, uključujući i informacije o predmetu.

Čak i ako su informacije pohranjene na računalu ili namijenjene za korištenje računala, prijetnje njihovoj povjerljivosti mogu biti neračunalne i općenito netehničke prirode.

Mnogi ljudi moraju djelovati kao korisnici ne jednog, već više sustava (informacijskih usluga). Ako se za pristup takvim sustavima koriste lozinke ili druge povjerljive informacije za višekratnu upotrebu, tada će se najvjerojatnije ti podaci pohraniti ne samo u glavu, već i u bilježnicu ili na listove papira koje korisnik često ostavlja na radnoj površini, ili čak jednostavno gubi. I poanta ovdje nije u neorganiziranosti ljudi, već u početnoj neprikladnosti sheme lozinki. Nemoguće je zapamtiti mnogo različitih lozinki; preporuke za njihovu redovitu (ako je moguće - čestu) promjenu samo pogoršavaju situaciju, tjerajući na korištenje jednostavnih shema izmjenjivanja ili čak pokušati svesti stvar na dvije ili tri lako pamtljive (i jednako lako pogodne) lozinke.

Opisanu klasu ranjivosti možemo nazvati stavljanjem povjerljivih podataka u okruženje u kojem im nije osigurana (a često i ne može biti osigurana) potrebna zaštita. Prijetnja je da netko neće odbiti saznati tajne koje sam traži. Osim lozinki pohranjenih u korisničkim bilježnicama, ovaj razred uključuje prijenos povjerljivih podataka u čistom tekstu (u razgovoru, u pismu, preko mreže), što omogućuje presretanje podataka. Za napad se mogu koristiti razna tehnička sredstva (prisluškivanje ili prisluškivanje razgovora, pasivno prisluškivanje mreže i sl.), no ideja je ista – pristupiti podacima u trenutku kada su najmanje zaštićeni.

Prijetnju presretanja podataka treba uzeti u obzir ne samo tijekom početne konfiguracije IS-a, već i, što je vrlo važno, sa svim promjenama. Vrlo opasna prijetnja su ... izložbe, na koje mnoge organizacije bez zadrške šalju opremu iz proizvodne mreže, sa svim podacima pohranjenim na njima. Lozinke ostaju iste, s daljinskim pristupom nastavljaju se prenositi u čistom tekstu. To je loše čak i unutar sigurne mreže organizacije; u jedinstvenoj mreži izložbe - ovo je preteška kušnja poštenja svih sudionika.

Još jedan primjer promjene koja se često zanemaruje je pohrana podataka na sigurnosnom mediju. Za zaštitu podataka na glavnim medijima za pohranu koriste se napredni sustavi kontrole pristupa; kopije se često samo drže u ormarima i mnogi im mogu pristupiti.

Presretanje podataka vrlo je ozbiljna prijetnja, a ako je povjerljivost stvarno kritična i podaci se prenose na mnogo kanala, može biti vrlo teško i skupo zaštititi ih. Tehnička sredstva presretanja su dobro razvijena, pristupačna, laka za rukovanje i svatko ih može instalirati, primjerice, na kabelsku mrežu, pa se ova prijetnja mora uzeti u obzir u odnosu ne samo na vanjske, već i na interne komunikacije.

Krađa hardvera prijetnja je ne samo medijima za sigurnosne kopije, već i računalima, posebice prijenosnim računalima. Prijenosna računala često ostaju bez nadzora na poslu ili u autu, ponekad se jednostavno izgube.

Opasne netehničke prijetnje povjerljivosti su metode moralnog i psihološkog utjecaja, kao npr maškare - obavljanje radnji pod krinkom ovlaštenja za pristup podacima (vidi, na primjer, članak Ayre Winklera "Misija: špijuniranje" u Jet Info, 1996, 19).

Uključuju se neugodne prijetnje od kojih se teško obraniti zlouporaba ovlasti. Na mnogim vrstama sustava, privilegirani korisnik (na primjer, administrator sustava) može čitati bilo koju (nešifriranu) datoteku, pristupiti pošti bilo kojeg korisnika itd. Drugi primjer je oštećenje servisa. U pravilu, servisni inženjer ima neograničen pristup opremi i može zaobići mehanizme zaštite softvera.

To su glavne prijetnje koje nanose najveću štetu subjektima informacijskih odnosa.

Utemeljitelj kibernetike, Norbert Wiener, vjerovao je da informacije imaju jedinstvene karakteristike i da se ne mogu pripisati ni energiji ni materiji. Poseban status informacije kao fenomena doveo je do mnogih definicija.

U rječniku standarda ISO / IEC 2382: 2015 "Informacijska tehnologija" dano je sljedeće tumačenje:

Informacije (u području obrade informacija)- sve podatke prezentirane u elektroničkom obliku, napisane na papiru, izražene na sastanku ili na bilo kojem drugom mediju, koje financijska institucija koristi za donošenje odluka, premještanje sredstava, određivanje kamatnih stopa, davanje zajmova, obradu transakcija itd., uključujući sustav za obradu komponenti softver.

Za razvoj koncepta informacijske sigurnosti (IS) informacije se shvaćaju kao informacije koje su dostupne za prikupljanje, pohranu, obradu (uređivanje, transformaciju), korištenje i prijenos na različite načine, uključujući u računalnim mrežama i drugim informacijskim sustavima.

Takve informacije imaju veliku vrijednost i mogu postati predmetom zadiranja od strane trećih osoba. Želja za zaštitom informacija od prijetnji je temelj stvaranja sustava informacijske sigurnosti.

Pravna osnova

U prosincu 2017. Rusija je usvojila Doktrinu informacijske sigurnosti. U dokumentu se IS definira kao stanje zaštite nacionalnih interesa u informacijskoj sferi. Pod nacionalnim interesima u ovom slučaju podrazumijeva se ukupnost interesa društva, pojedinca i države, a svaka skupina interesa nužna je za stabilno funkcioniranje društva.

Doktrina je koncept papir. Pravni odnosi koji se odnose na osiguranje informacijske sigurnosti uređeni su saveznim zakonima "O državnim tajnama", "O informacijama", "O zaštiti osobnih podataka" i drugima. Na temelju temeljnih normativnih akata izrađuju se vladine uredbe i resorni normativni akti o privatnim pitanjima zaštite informacija.

Definicija informacijske sigurnosti

Prije izrade strategije informacijske sigurnosti potrebno je usvojiti osnovnu definiciju samog pojma, što će omogućiti korištenje određenog skupa metoda i metoda zaštite.

Stručnjaci iz industrije predlažu da se informacijska sigurnost shvati kao stabilno stanje sigurnosti informacija, njihovih nositelja i infrastrukture, koje osigurava cjelovitost i stabilnost informacijskih procesa od namjernih ili nenamjernih utjecaja prirodne i umjetne prirode. Utjecaji se klasificiraju kao prijetnje IS-a koje mogu naštetiti subjektima informacijskih odnosa.

Dakle, zaštita informacija značit će kompleks pravnih, administrativnih, organizacijskih i tehničkih mjera usmjerenih na sprječavanje stvarnih ili uočenih prijetnji informacijskoj sigurnosti, kao i na otklanjanje posljedica incidenata. Kontinuitet procesa zaštite informacija trebao bi jamčiti borbu protiv prijetnji u svim fazama informacijskog ciklusa: u procesu prikupljanja, pohrane, obrade, korištenja i prijenosa informacija.

Informacijska sigurnost u ovom shvaćanju postaje jedna od karakteristika performansi sustava. U svakom trenutku, sustav mora imati mjerljivu razinu sigurnosti, a osiguranje sigurnosti sustava mora biti kontinuiran proces koji se provodi u svim vremenskim intervalima tijekom životnog vijeka sustava.

U teoriji informacijske sigurnosti subjekti informacijske sigurnosti shvaćaju se kao vlasnici i korisnici informacija, i to ne samo korisnici na stalnoj osnovi (zaposlenici), već i korisnici koji pristupaju bazama podataka u izoliranim slučajevima, na primjer, državne agencije koje traže informacije. U nizu slučajeva, primjerice, u standardima bankarske informacijske sigurnosti, vlasnici informacija uključuju dioničare – pravne osobe koje posjeduju određene podatke.

Prateća infrastruktura, sa stajališta temelja informacijske sigurnosti, uključuje računala, mreže, telekomunikacijsku opremu, prostore, sustave za održavanje života i osoblje. Prilikom analize sigurnosti potrebno je proučiti sve elemente sustava, pri čemu se posebna pozornost posvećuje osoblju kao nositelju većine unutarnjih prijetnji.

Za upravljanje informacijskom sigurnošću i procjenu štete koristi se obilježje prihvatljivosti, pa se šteta utvrđuje kao prihvatljiva ili neprihvatljiva. Korisno je da svako poduzeće utvrdi vlastite kriterije za dopuštenost štete u novčanom obliku ili, na primjer, u obliku prihvatljive štete po ugled. U javnim ustanovama mogu se usvojiti i druge karakteristike, na primjer, utjecaj na proces upravljanja ili odraz stupnja oštećenja života i zdravlja građana. Kriteriji materijalnosti, važnosti i vrijednosti informacija mogu se mijenjati tijekom životnog ciklusa informacijskog niza, stoga ih treba na vrijeme revidirati.

Informacijska prijetnja u užem smislu je objektivna prilika za utjecaj na objekt zaštite, što može dovesti do curenja, krađe, otkrivanja ili širenja informacija. U širem smislu, prijetnje informacijske sigurnosti uključivat će usmjerene informacijske utjecaje čija je svrha nanošenje štete državi, organizaciji i pojedincu. Takve prijetnje uključuju, na primjer, klevetu, namjerno lažno predstavljanje i neprikladno oglašavanje.

Tri glavna pitanja koncepta informacijske sigurnosti za svaku organizaciju

    Što zaštititi?

    Koje vrste prijetnji prevladavaju: vanjske ili unutarnje?

    Kako zaštititi, kojim metodama i sredstvima?

IS sustav

Sustav informacijske sigurnosti za tvrtku - pravnu osobu uključuje tri skupine osnovnih pojmova: integritet, dostupnost i povjerljivost. Ispod svakog se nalaze koncepti s mnogo karakteristika.

Pod, ispod integritet znači otpornost baza podataka, drugih informacijskih nizova na slučajno ili namjerno uništenje, neovlaštene promjene. Integritet se može posmatrati kao:

  • statičnost, izražena u nepromjenjivosti, vjerodostojnosti informacijskih objekata prema onim objektima koji su nastali prema određenom tehničkom zadatku i sadrže količinu informacija potrebnu korisnicima za njihovu glavnu djelatnost, u potrebnoj konfiguraciji i redoslijedu;
  • dinamički, što podrazumijeva ispravno izvršavanje složenih radnji ili transakcija, što ne šteti sigurnosti informacija.

Za kontrolu dinamičkog integriteta koriste se posebna tehnička sredstva koja analiziraju protok informacija, primjerice financijskih, te identificiraju slučajeve krađe, dupliciranja, preusmjeravanja i preuređivanja poruka. Integritet kao ključna karakteristika je potreban kada se odluke donose na temelju pristiglih ili dostupnih informacija za poduzimanje radnji. Kršenje redoslijeda naredbi ili redoslijeda radnji može uzrokovati veliku štetu u slučaju opisivanja tehnoloških procesa, programskih kodova iu drugim sličnim situacijama.

Dostupnost je svojstvo koje ovlaštenim subjektima omogućuje pristup ili razmjenu podataka od interesa za njih. Ključni zahtjev legitimacije ili autorizacije subjekata omogućuje stvaranje različitih razina pristupa. Odbijanje sustava da pruži informacije postaje problem za svaku organizaciju ili grupu korisnika. Primjer je nedostupnost stranica javnih usluga u slučaju kvara sustava, što mnogim korisnicima uskraćuje mogućnost primanja potrebnih usluga ili informacija.

Povjerljivost znači svojstvo informacija koje će biti dostupne tim korisnicima: subjektima i procesima kojima je u početku dopušten pristup. Većina tvrtki i organizacija povjerljivost doživljava kao ključni element informacijske sigurnosti, no u praksi ju je teško u potpunosti implementirati. Autorima koncepta informacijske sigurnosti nisu dostupni svi podaci o postojećim kanalima curenja informacija, a mnoga tehnička sredstva zaštite, uključujući i kriptografska, ne mogu se besplatno kupiti, u nekim slučajevima je promet ograničen.

Jednaka svojstva informacijske sigurnosti imaju različite vrijednosti za korisnike, pa otuda i dvije ekstremne kategorije u razvoju koncepata zaštite podataka. Za tvrtke ili organizacije povezane s državnim tajnama, povjerljivost će postati ključni parametar, za javne službe ili obrazovne ustanove najvažniji parametar je dostupnost.

Sažetak informacijske sigurnosti

Mjesečna zbirka korisnih publikacija, zanimljivih vijesti i događaja iz svijeta informacijske sigurnosti. Stručno iskustvo i stvarni slučajevi iz SearchInform prakse.

Zaštićeni objekti u konceptima informacijske sigurnosti

Razlika u subjektima stvara razlike u objektima zaštite. Glavne skupine zaštićenih objekata:

  • informacijski resursi svih vrsta (pod resursom se podrazumijeva materijalni objekt: tvrdi disk, drugi medij, dokument s podacima i pojedinostima koji pomažu u prepoznavanju i upućivanju na određenu skupinu subjekata);
  • prava građana, organizacija i države na pristup informacijama, mogućnost njihovog pribavljanja u okviru zakona; pristup se može ograničiti samo regulatornim pravnim aktima, nedopustivo je organiziranje bilo kakvih prepreka koje krše ljudska prava;
  • sustav za stvaranje, korištenje i distribuciju podataka (sustavi i tehnologije, arhivi, knjižnice, regulatorni dokumenti);
  • sustav za formiranje javne svijesti (mediji, internetski resursi, društvene institucije, obrazovne ustanove).

Svaki objekt pretpostavlja poseban sustav mjera zaštite od prijetnji informacijskoj sigurnosti i javnom redu. Osiguravanje informacijske sigurnosti u svakom slučaju treba se temeljiti na sustavnom pristupu koji uzima u obzir specifičnosti objekta.

Kategorije i mediji za pohranu

Ruski pravni sustav, praksa provedbe zakona i uspostavljeni društveni odnosi klasificiraju informacije prema kriterijima dostupnosti. To vam omogućuje da razjasnite bitne parametre potrebne za osiguravanje sigurnosti informacija:

  • informacije kojima je pristup ograničen na temelju zakonskih uvjeta (državne tajne, poslovne tajne, osobni podaci);
  • informacije u javnoj domeni;
  • javno dostupne informacije koje se pružaju pod određenim uvjetima: plaćene informacije ili podaci za koje trebate izdati upis, na primjer, knjižničnu iskaznicu;
  • opasne, štetne, lažne i druge vrste informacija, čiji je promet i distribucija ograničen ili zahtjevima zakona ili korporativnih standarda.

Informacije iz prve skupine imaju dva načina zaštite. Državna tajna, prema zakonu, radi se o informacijama zaštićenim od strane države, čija besplatna distribucija može štetiti sigurnosti zemlje. Riječ je o podacima iz područja vojnog, vanjskopolitičkog, obavještajnog, protuobavještajnog i gospodarskog djelovanja države. Vlasnik ove grupe podataka je sama država. Tijela ovlaštena za poduzimanje mjera zaštite državnih tajni su Ministarstvo obrane, Federalna služba sigurnosti (FSB), Vanjska obavještajna služba i Federalna služba za tehničku i izvoznu kontrolu (FSTEC).

Povjerljive informacije- višestruki objekt regulacije. Popis informacija koje mogu predstavljati povjerljive informacije sadržan je u predsjedničkom dekretu br. 188 "O odobravanju popisa povjerljivih informacija". Ovo su osobni podaci; tajnost istrage i sudskog postupka; službena tajna; profesionalna tajna (liječnička, javnobilježnička, odvjetnička); poslovna tajna; informacije o izumima i korisnim modelima; podatke sadržane u osobnim dosjeima osuđenika, kao i podatke o obveznom izvršenju sudskih akata.

Osobni podaci postoje u otvorenom i povjerljivom načinu rada. Dio osobnih podataka otvorenih i dostupnih svim korisnicima uključuje ime, prezime, patronim. Prema FZ-152 "O osobnim podacima", subjekti osobnih podataka imaju pravo:

  • informacijsko samoodređenje;
  • pristupiti osobnim podacima i izvršiti njihove izmjene;
  • blokirati osobne podatke i pristup njima;
  • žaliti se protiv nezakonitih radnji trećih osoba počinjenih u vezi s osobnim podacima;
  • nadoknaditi nastalu štetu.

Pravo na to je sadržano u propisima o državnim tijelima, saveznim zakonima, dozvolama za rad s osobnim podacima koje izdaje Roskomnadzor ili FSTEC. Tvrtke koje profesionalno rade s osobnim podacima širokog spektra ljudi, na primjer, telekom operateri, moraju ući u registar koji vodi Roskomnadzor.

Poseban predmet u teoriji i praksi informacijske sigurnosti su nositelji informacija kojima je pristup otvoren i zatvoren. Prilikom izrade koncepta informacijske sigurnosti odabiru se metode zaštite ovisno o vrsti medija. Glavni medij za pohranu:

  • tiskani i elektronički mediji, društvene mreže, drugi resursi na internetu;
  • zaposlenici organizacije koji imaju pristup informacijama na temelju svojih prijateljskih, obiteljskih, profesionalnih veza;
  • komunikacijska sredstva koja prenose ili pohranjuju informacije: telefoni, automatske telefonske centrale, druga telekomunikacijska oprema;
  • dokumenti svih vrsta: osobni, službeni, državni;
  • softver kao neovisni informacijski objekt, osobito ako je njegova verzija modificirana posebno za određenu tvrtku;
  • elektronički mediji za pohranu koji obrađuju podatke na automatski način.

U svrhu razvoja koncepata informacijske sigurnosti, sredstva informacijske sigurnosti obično se dijele na normativna (neformalna) i tehnička (formalna).

Neformalna sredstva zaštite su dokumenti, pravila, događaji, formalna sredstva su posebna tehnička sredstva i softver. Razgraničenje pomaže u raspodjeli područja odgovornosti pri stvaranju sustava informacijske sigurnosti: s općim upravljanjem zaštitom, administrativno osoblje provodi normativne metode, a IT stručnjaci, odnosno tehničke.

Osnove informacijske sigurnosti podrazumijevaju razgraničenje ovlasti ne samo u pogledu korištenja informacija, već i u smislu rada na njihovoj zaštiti. Ovo razgraničenje ovlasti također zahtijeva nekoliko razina kontrole.


Formalni pravni lijekovi

Širok raspon tehničkih sredstava informacijske sigurnosti uključuje:

Fizička zaštitna oprema. To su mehanički, električni, elektronički mehanizmi koji funkcioniraju neovisno o informacijskim sustavima i stvaraju prepreke za pristup njima. Brave, uključujući elektroničke, zaslone, rolete dizajnirane su tako da stvaraju prepreke za kontakt destabilizirajućih čimbenika sa sustavima. Grupa je dopunjena sigurnosnim sustavima, na primjer, video kamerama, videorekorderima, senzorima koji otkrivaju kretanje ili prekoračenje stupnja elektromagnetskog zračenja u području lokacije tehničkih sredstava za pronalaženje informacija, ugrađenih uređaja.

Hardverska zaštita. Riječ je o električnim, elektroničkim, optičkim, laserskim i drugim uređajima koji su ugrađeni u informacijske i telekomunikacijske sustave. Prije uvođenja hardvera u informacijske sustave potrebno je osigurati kompatibilnost.

Softver su jednostavni i sustavni, složeni programi dizajnirani za rješavanje specifičnih i složenih problema vezanih uz informacijsku sigurnost. Primjer složenih rješenja su također: prva služe za sprječavanje curenja, preformatiranje informacija i preusmjeravanje tokova informacija, druga pružaju zaštitu od incidenata u području informacijske sigurnosti. Softver je zahtjevan za snagu hardverskih uređaja, a tijekom instalacije potrebno je osigurati dodatne rezerve.

DO specifična sredstva informacijska sigurnost uključuje različite kriptografske algoritme koji šifriraju informacije na disku i preusmjeravaju kroz vanjske komunikacijske kanale. Transformacija informacija može se dogoditi korištenjem softverskih i hardverskih metoda koje djeluju u korporativnim informacijskim sustavima.

Sva sredstva koja jamče sigurnost informacija trebaju se koristiti u kombinaciji, nakon preliminarne procjene vrijednosti informacija i usporedbe s troškom sredstava utrošenih na sigurnost. Stoga bi se prijedlozi za korištenje sredstava trebali formulirati već u fazi razvoja sustava, a odobravanje na razini uprave koja je odgovorna za odobravanje proračuna.

Kako bismo osigurali sigurnost, potrebno je pratiti sva suvremena razvoja, softverska i hardverska sredstva zaštite, prijetnje i pravovremeno mijenjati vlastite sustave zaštite od neovlaštenog pristupa. Samo adekvatnost i ažurnost odgovora na prijetnje pomoći će postizanju visoke razine povjerljivosti u radu tvrtke.

Neformalni lijekovi

Neformalni lijekovi grupirani su u normativne, administrativne i moralno-etičke. Na prvoj razini zaštite su regulatorna sredstva koja reguliraju informacijsku sigurnost kao proces u aktivnostima organizacije.

  • Regulatorna sredstva

U svjetskoj praksi, pri razvoju regulatornih alata, oni se rukovode standardima zaštite IS-a, od kojih je glavni ISO / IEC 27000. Standard su kreirale dvije organizacije:

  • ISO - Međunarodno povjerenstvo za standardizaciju, koje razvija i odobrava većinu međunarodno priznatih metodologija za certificiranje kvalitete proizvodnje i procesa upravljanja;
  • IEC - Međunarodna energetska komisija, koja je u standard uvela svoje razumijevanje sustava informacijske sigurnosti, sredstava i metoda za njihovo osiguranje

Trenutna verzija ISO/IEC 27000-2016 nudi gotove standarde i provjerene metode potrebne za implementaciju informacijske sigurnosti. Prema autorima metoda, temelj informacijske sigurnosti leži u dosljednosti i dosljednoj provedbi svih faza od razvoja do naknadne kontrole.

Za dobivanje certifikata koji potvrđuje usklađenost sa standardima informacijske sigurnosti potrebno je u potpunosti implementirati sve preporučene tehnike. Ako nema potrebe za dobivanjem certifikata, dopušteno je prihvatiti bilo koju od ranijih verzija standarda, počevši od ISO / IEC 27000-2002, ili ruskih GOST-ova, koji su savjetodavne prirode, kao temelj za razvoj vlastitim sustavima informacijske sigurnosti.

Na temelju rezultata proučavanja standarda razvijaju se dva dokumenta koja se odnose na informacijsku sigurnost. Glavni, ali manje formalni, je koncept informacijske sigurnosti poduzeća, koji definira mjere i metode implementacije sustava informacijske sigurnosti za informacijske sustave organizacije. Drugi dokument kojeg se moraju pridržavati svi zaposlenici tvrtke je propis o informacijskoj sigurnosti odobren na razini upravnog odbora ili izvršnog tijela.

Uz poziciju na razini tvrtke, potrebno je izraditi popise podataka koji predstavljaju poslovnu tajnu, anekse ugovora o radu, osiguranje odgovornosti za otkrivanje povjerljivih podataka, druge standarde i metode. Interna pravila i propisi trebaju sadržavati provedbene mehanizme i mjere odgovornosti. Mjere su najčešće stegovne naravi, a prekršitelj mora biti spreman na činjenicu da će kršenje režima poslovne tajne biti praćeno značajnim sankcijama, uključujući i otkaz.

  • Organizacijske i administrativne mjere

U sklopu administrativnih poslova zaštite informacijske sigurnosti za sigurnosno osoblje postoji prostor za kreativnost. Riječ je o arhitektonsko-planerskim rješenjima koja omogućuju zaštitu soba za sastanke i upravnih ureda od prisluškivanja, te uspostavljanje različitih razina pristupa informacijama. Važne organizacijske mjere bit će certificiranje djelatnosti tvrtke u skladu sa standardima ISO/IEC 27000, certificiranje pojedinih hardverskih i softverskih sustava, certificiranje subjekata i objekata za usklađenost s potrebnim sigurnosnim zahtjevima, ishođenje licenci potrebnih za rad sa zaštićenim nizovima podataka.

Sa stajališta reguliranja rada osoblja bit će važno formulirati sustav zahtjeva za pristup internetu, vanjskoj e-pošti i drugim resursima. Poseban element bit će primanje elektroničkog digitalnog potpisa radi povećanja sigurnosti financijskih i drugih informacija koje se prenose državnim tijelima putem e-pošte.

  • Moralne i etičke mjere

Moralne i etičke mjere određuju osobni stav osobe prema povjerljivim informacijama ili informacijama ograničenim u optjecaju. Povećanje razine znanja zaposlenika o utjecaju prijetnji na poslovanje poduzeća utječe na stupanj svijesti i odgovornosti zaposlenika. Za borbu protiv kršenja informacijskog režima, uključujući, na primjer, prijenos lozinki, neoprezno rukovanje medijima, širenje povjerljivih podataka u privatnim razgovorima, potrebno je usredotočiti se na osobnu savjesnost zaposlenika. Bit će korisno utvrditi pokazatelje učinkovitosti osoblja, koji će ovisiti o odnosu prema korporativnom informacijskom sigurnosnom sustavu.

Infografika koristi podatke iz vlastitog istraživanja.SearchInform.

Nove metode obrade i prijenosa podataka pridonose pojavi novih prijetnji koje povećavaju vjerojatnost izobličenja, presretanja itd. informacija. Stoga je danas implementacija informacijske sigurnosti računala u mreži vodeći smjer u IT-u. Dokument koji podržava zakonitost radnji i označavanje jedinstvenog razumijevanja svih aspekata - GOST R 50922-96.

U nastavku ćemo razmotriti osnovni koncept u ovom smjeru:

  • Zaštita informacija je smjer sprječavanja prijetnji informacijama.
  • Zaštićeni objekt je informacija ili medij s informacijama koje je potrebno zaštititi.
  • Cilj zaštite je određeni rezultat nakon određenog razdoblja zaštite ove informacije.
  • Učinkovitost zaštite informacija - indikator pokazuje koliko je stvarni rezultat blizu postavljenom rezultatu.
  • Zaštita informacija od curenja – rad na sprječavanju nekontroliranog prijenosa zaštićenih podataka od otkrivanja odn
  • Sustav informacijske sigurnosti - skup komponenti koje se implementiraju u obliku tehnologije, softvera, ljudi, zakona itd. koje su organizirane i djeluju u jedinstvenom sustavu, a usmjerene su na zaštitu informacija
  • Subjekt pristupa informacijama je sudionik pravnih odnosa u informacijskim procesima
  • Vlasnik informacija - autor koji ima puna prava na ove informacije u okviru zakona
  • Vlasnik informacije - subjekt koji po nalogu vlasnika koristi informaciju i provodi je u određenim ovlastima
  • Pravo na pristup informacijama je skup pravila za pristup podacima utvrđenih dokumentima ili od strane vlasnika/vlasnika
  • Ovlašteni pristup – pristup koji ne krši određena pravila kontrole pristupa
  • Neovlašteni pristup - kršenje pravila kontrole pristupa. Proces ili subjekt koji provodi NSD je prekršitelj
  • Identifikacija subjekta je algoritam za prepoznavanje subjekta po identifikatoru
  • Autorizacija subjekta je algoritam za dodjelu prava subjektu nakon uspješne autentifikacije i identifikacije u sustavu
  • Ranjivost računalnog sustava je aspekt komponenti sustava koji dovode do
  • Napad na računalni sustav (CS) je pretraživanje i implementacija ranjivosti sustava od strane napadača
  • Zaštićeni sustav je sustav u kojem su ranjivosti sustava uspješno zatvorene i smanjeni rizici prijetnji
  • Metode i metode zaštite informacija - pravila i postupak primjene sredstava zaštite
  • Sigurnosna politika je skup pravila, normi i dokumenata za provedbu zaštite informacijskog sustava u poduzeću.

Pod, ispod Sigurnost informacija utvrditi sigurnost podataka od nezakonitih radnji s njima, kao i operativnost informacijskog sustava i njegovih komponenti. Danas je AS (automatizirani sustav) obrade podataka cijeli sustav, koji se sastoji od komponenti određene autonomije. Svaka komponenta može biti jako pogođena. Elementi zvučnika mogu se kategorizirati u grupe:

  • Hardverske komponente - računala i njihovi dijelovi (monitori, pisači, komunikacijski kabeli itd.)
  • Softver - programi, OS itd.
  • Osoblje - osobe koje su izravno povezane s informacijskim sustavom (zaposlenici, itd.)
  • Podaci – informacije koje se nalaze u zatvorenom sustavu. To su tiskane informacije, časopisi, mediji itd.

Informacijska sigurnost se provodi kroz sljedeće aspekte: integritet, povjerljivost i dostupnost. Povjerljivost podataka Je aspekt informacije koji određuje stupanj njihove tajnosti od trećih strana. Povjerljive informacije trebaju biti poznate samo ovlaštenim subjektima sustava. Integritet informacija definira aspekt informacije u očuvanju njezine strukture/sadržaja tijekom prijenosa ili pohrane. Postizanje sigurnosti ovog aspekta važno je u okruženju u kojem postoji velika vjerojatnost izobličenja ili drugih učinaka na uništenje integriteta. Pouzdanost informacija sastoji se u strogom članstvu početne vrijednosti, tijekom prijenosa i skladištenja.

Pravni značaj podataka utvrđuje se ispravom koja je nositelj, a ima i pravnu snagu. Dostupnost podataka utvrđuje primanje od strane subjekta informacija korištenjem tehničkih sredstava.

Vrhunski povezani članci

Različiti pokreti miša okomito i vodoravno
Različiti pokreti miša okomito i vodoravno
Kako komprimirati teksture u Fallout 4
Kako komprimirati teksture u Fallout 4
Ostaje samo razumjeti potrebnu razinu
Ostaje samo razumjeti potrebnu razinu
Kategorije:
© 2021 bumotors.ru. Kako postaviti pametne telefone i računala. Informativni portal.