Kako postaviti pametne telefone i računala. Informativni portal
  • Dom
  • Windows Phone
  • Mjere pravne zaštite. Mjere i metode informacijske sigurnosti

Mjere pravne zaštite. Mjere i metode informacijske sigurnosti

12.08.2019 Windows Phone

Kako bi se osigurala sigurnost informacija u uredskim mrežama, provode se različite aktivnosti, ujedinjene konceptom "informacijskog sigurnosnog sustava". Sustav zaštite informacija je skup mjera, softvera i hardvera, pravnih i moralnih i etičkih standarda usmjerenih na suzbijanje prijetnji prekršitelja kako bi se smanjila moguća šteta korisnicima i vlasnicima sustava.

Tradicionalne mjere za suzbijanje curenja informacija dijele se na tehničke i organizacijske.

Tehničke mjere uključuju zaštitu od neovlaštenog pristupa sustavu, redundantnost posebno važnih računalnih podsustava, organizaciju računalnih mreža s mogućnošću preraspodjele resursa u slučaju kvara pojedinih veza, ugradnju opreme za detekciju i gašenje požara, opreme za detekciju vode, strukturalne mjere zaštite od krađe, sabotaže, sabotaže, eksplozija, ugradnja rezervnih sustava napajanja, opremanje prostora bravama, ugradnja alarma i još mnogo toga.

Organizacijske mjere uključuju sigurnost poslužitelja, pažljiv odabir osoblja, isključenje slučajeva kritičnog rada samo jedne osobe, plan za vraćanje performansi poslužitelja nakon kvara, svestranost zaštite od svih korisnika (uključujući i top menadžment).

Do neovlaštenog pristupa informacijama može doći tijekom održavanja ili popravka računala čitanjem preostalih informacija na mediju, unatoč tome što ih je korisnik uklonio konvencionalnim metodama. Drugi način je čitanje informacija s prijevoznika tijekom njegovog transporta bez sigurnosti unutar objekta ili regije.

Suvremeni računalni objekti temelje se na integriranim krugovima. Tijekom rada takvih krugova dolazi do visokofrekventnih promjena napona i struja, što dovodi do pojave u strujnim krugovima, u zraku, u obližnjoj opremi itd. elektromagnetska polja i prijemnici, koji se uz pomoć posebnih sredstava (nazovimo ih uvjetno "špijunski") mogu transformirati u obrađene informacije. Kako se udaljenost između prijemnika uljeza i hardvera smanjuje, povećava se vjerojatnost ovakvog pronalaženja i dešifriranja informacija.

Neovlašteno upoznavanje s informacijama moguće je i izravnim povezivanjem "špijunskog softvera" od strane prekršitelja na komunikacijske kanale i mrežni hardver.

Tradicionalne metode zaštite informacija od neovlaštenog pristupa su identifikacija i autentifikacija, zaštita lozinkom. Identifikacija i autentifikacija. U računalnim sustavima koncentrirane su informacije, pravo korištenja koje imaju određeni pojedinci ili skupine pojedinaca koji djeluju na osobnu inicijativu ili u skladu sa službenim dužnostima. Kako bi se osigurala sigurnost informacijskih resursa, otklonila mogućnost neovlaštenog pristupa, pojačana kontrola ovlaštenog pristupa povjerljivim ili povjerljivim podacima, uvode se različiti sustavi identifikacije, autentifikacije objekata (subjekata) i kontrole pristupa. Izgradnja ovakvih sustava temelji se na načelu prihvaćanja i izvršavanja samo onih referenci na informacije u kojima su prisutni odgovarajući znakovi dopuštenih ovlasti.

Identifikacija i autentifikacija ključni su koncepti u ovom sustavu. Identifikacija je dodjela jedinstvenog imena ili slike objektu ili subjektu. Autentifikacija je utvrđivanje autentičnosti, t.j. provjeravajući je li objekt (subjekt) doista onaj za koga se predstavlja.

Konačni cilj postupaka identifikacije i provjere autentičnosti objekta (subjekta) je njegovo prihvaćanje ograničenim informacijama u slučaju pozitivne provjere, odnosno odbijanje ulaska u slučaju negativnog rezultata provjere. Objekti identifikacije i autentifikacije mogu biti: ljudi (korisnici, operateri itd.); tehnička sredstva (monitori, radne stanice, pretplatničke točke); dokumenti (priručnik, ispisi itd.); magnetski mediji za pohranu; informacije na ekranu monitora itd. Identifikacija objekta može se izvršiti pomoću hardverskog uređaja, programa, osobe itd.

Zaštita lozinkom. Lozinka je skup znakova koji definira objekt (predmet). Prilikom odabira lozinke postavljaju se pitanja o njezinoj veličini, otpornosti na neovlašteni odabir i načinu na koji se koristi. Naravno, što je lozinka duža, to će sustav pružiti veću sigurnost, jer će trebati puno truda da je pogodite. Istodobno, izbor duljine lozinke uvelike je određen razvojem tehničkih sredstava, njihovom elementnom bazom i brzinom.

Ako se koristi lozinka, potrebno ju je povremeno mijenjati novom kako bi se smanjila vjerojatnost njenog presretanja izravnom krađom medija, izradom njezine kopije, pa čak i fizičkom prisilom osobe. Zaporku korisnik unosi na početku interakcije s računalnim sustavom, ponekad na kraju sesije (u posebno kritičnim slučajevima, uobičajena izlazna lozinka može se razlikovati od lozinke za unos). Za legitimnost korisnika može se predvidjeti unos lozinke u redovitim intervalima.

Lozinka se može koristiti za identifikaciju i provjeru autentičnosti terminala s kojeg se korisnik prijavljuje i za povratnu provjeru autentičnosti računala korisniku. Za identifikaciju korisnika mogu se koristiti sustavi složeni u tehničkom smislu koji osiguravaju autentifikaciju korisnika na temelju analize njegovih pojedinačnih parametara: otisaka prstiju, linija šake, šarenice, boje glasa itd. Fizičke metode identifikacije pomoću nositelja šifre za lozinke su široko rasprostranjene... Takvi mediji su propusnice u sustavima kontrole pristupa; plastične kartice s imenom vlasnika, njegovom šifrom, potpisom; plastične kartice s magnetskom trakom; plastične kartice s ugrađenim mikrosklopom (smart-card); optičke memorijske kartice itd.

Alati za informacijsku sigurnost prema metodama implementacije mogu se podijeliti u tri skupine:

  • · Softver;
  • · Softver i hardver;
  • · Hardver.

Pod softverom za informacijsku sigurnost podrazumijevaju se posebno razvijeni programi koji implementiraju sigurnosne funkcije računalnog sustava, provode funkciju ograničavanja pristupa korisnika lozinkama, ključevima, pristupu na više razina itd. Ovi se programi mogu implementirati na praktički bilo koji operativni sustav prilagođen korisniku. Obično ovi softverski alati pružaju prilično visok stupanj zaštite sustava i razumne su cijene. Kada je takav sustav spojen na globalnu mrežu, povećava se vjerojatnost prekida zaštite. Stoga je ovaj način zaštite prihvatljiv za lokalne zatvorene mreže koje nemaju vanjski izlaz.

Hardver i softver su uređaji implementirani na univerzalnim ili specijaliziranim mikroprocesorima koji ne zahtijevaju izmjene u strujnom krugu kada se promijeni algoritam rada. Ovi uređaji su također prilagodljivi svakom operativnom sustavu i imaju visok stupanj zaštite. Oni će koštati malo više (njihova cijena ovisi o vrsti operativnog sustava). Štoviše, ova vrsta uređaja je najfleksibilniji alat koji vam omogućuje promjenu konfiguracije na zahtjev kupca. Firmware pruža visok stupanj zaštite za lokalnu mrežu spojenu na globalnu.

Hardver označava uređaje u kojima su funkcionalne jedinice implementirane na vrlo velikim integriranim sustavima (VLSI) s nepromjenjivim algoritmom rada. Ovaj tip uređaja prilagođava se svakom operativnom sustavu, najskuplji je za razvoj i ima visoke tehnološke zahtjeve u proizvodnji. Istovremeno, ovi uređaji imaju najviši stupanj zaštite, nemoguće je prodrijeti u njih i napraviti konstruktivne ili softverske promjene. Korištenje hardvera je teško zbog njihove visoke cijene i statične prirode algoritma.

Softver i hardver, koji su inferiorni u odnosu na hardver u brzini, omogućuju u isto vrijeme jednostavnu izmjenu algoritma funkcioniranja i nemaju nedostatke softverskih metoda. Zasebna skupina mjera za osiguranje sigurnosti informacija i prepoznavanje neovlaštenih upita uključuje programe za otkrivanje kršenja u stvarnom vremenu.

Održavanje

U svakom trenutku, informacije su bile temelj razvoja čovječanstva i svih sfera aktivnosti. Danas u svakom poslovnom procesu posjedovanje informacija ima ključnu ulogu, što znači i njihovu zaštitu.

Prema globalnim statistikama, 80% tvrtki koje su procurile komercijalne informacije neminovno je završilo svoje aktivnosti kolapsom.

Danas je preko 4,6 milijuna računala diljem svijeta ranjivo na ranjivosti, a preko 90% računala je potencijalno ranjivo. Dnevno se provodi više od 6000 napada na računalne mreže organizacija različitih razina. Prema InfoWatchu, u 2007. globalni gubici od curenja informacija dosegnut će 1 bilijun dolara. dolara To je 300 milijardi dolara više nego 2006. godine.

Posljednjih godina hitnost ove prijetnje toliko je porasla da danas krađa tajnih podataka dosljedno zauzima prvo mjesto u svim ocjenama prijetnji IT sigurnosti. Sve veća upotreba e-pošte, internetskih dojavljivača i drugih sredstava prijenosa podataka, rasprostranjenost mobilnih uređaja – sve to značajno otežava kontrolu nad tokovima podataka, a samim time i pridonosi curenju informacija.

Cilj kolegija je upoznati se sa načinima zaštite informacija. Neke od njih ćemo detaljno razmotriti.

o Kriptografija

o Autentifikacija

o Zapisivanje i revizija

o Kontrola pristupa

U praktičnom dijelu nastavnog rada dobili smo ekonomski zadatak. U rješavanju toga korišten je program za rad s proračunskim tablicama Microsoft Office Excel 2007. Dobiveni rezultati jasno su prikazani u obliku tablica i histograma.

Mjere informacijske sigurnosti

Informacijska sigurnost naglašava važnost informacija u suvremenom društvu – shvaćanje da su informacije vrijedan resurs, nešto više od pojedinačnih podataka. Informacijska sigurnost odnosi se na mjere zaštite informacija od neovlaštenog pristupa, uništenja, modifikacije, otkrivanja i odgode u pristupu. Sigurnost informacija uključuje mjere zaštite procesa stvaranja, unosa, obrade i izlaza podataka. Cilj informacijske sigurnosti je osigurati vrijednosti sustava, zaštititi i jamčiti točnost i integritet informacija, te minimizirati štetu koja može nastati ako se informacije modificiraju ili unište. Informacijska sigurnost zahtijeva uzimanje u obzir svih događaja tijekom kojih se informacije stvaraju, mijenjaju, pristupaju ili šire

Mogu se razlikovati sljedeća područja mjera informacijske sigurnosti.

- pravnim

Organizacijski

Tehnički

DO zakonske mjere treba uključiti razvoj normi koje utvrđuju odgovornost za računalne zločine, zaštitu autorskih prava programera, unapređenje kaznenog i građanskog zakonodavstva. Pravne mjere također uključuju pitanja javne kontrole nad razvijačima računalnih sustava i donošenje međunarodnih ugovora o njihovim ograničenjima, ako utječu ili mogu utjecati na vojne, gospodarske i socijalne aspekte života zemalja potpisnica sporazuma.

DO organizacijski aranžmani uključuje: sigurnost podatkovnog centra, pažljiv odabir osoblja, svestranost sredstava zaštite od svih korisnika (uključujući top menadžment), dodjeljivanje odgovornosti osobama koje moraju osigurati sigurnost centra, izbor lokacije centra itd.

DO tehničke mjere uključuju zaštitu od neovlaštenog pristupa sustavu, rezervaciju posebno važnih računalnih podsustava, organizaciju računalnih mreža s mogućnošću preraspodjele resursa u slučaju kvara pojedinih veza, ugradnju opreme za detekciju i gašenje požara, poduzimanje strukturnih mjera zaštite od krađe, sabotaže, sabotaže, eksplozije, instalacija rezervnih sustava napajanja, opremanje prostora bravama, ugradnja alarma i još mnogo toga.

Tehničke mjere informacijske sigurnosti

Tehničke mjere mogu se klasificirati kao potencijalne prijetnje protiv kojih su usmjerene tehničke mjere zaštite informacija:

1. Gubitak informacija zbog kvarova opreme:

nestašice struje;

rušenja diskovnih sustava;

rušenja poslužitelja, radnih stanica, mrežnih kartica itd.

2. Gubitak informacija zbog neispravnog rada programa:

gubitak ili promjena podataka zbog softverskih pogrešaka;

gubici kada je sustav zaražen računalnim virusima;

3. Gubici povezani s neovlaštenim pristupom:

neovlašteno kopiranje, uništavanje ili krivotvorenje informacija;

upoznavanje s povjerljivim informacijama

4. Greške servisnog osoblja i korisnika:

slučajno uništenje ili izmjena podataka;

netočna uporaba softvera i hardvera, što dovodi do uništenja ili izmjene podataka.

Prema sredstvima zaštite, tehničke mjere se mogu podijeliti na:

Hardverska zaštita

Hardverska zaštita znači posebna sredstva koja su izravno dio tehničke podrške i obavljaju zaštitne funkcije samostalno iu kombinaciji s drugim sredstvima, na primjer, sa softverom.

Mogu se identificirati najvažniji elementi hardverske zaštite:

zaštita od nestanka struje;

zaštita od kvarova poslužitelja, radnih stanica i lokalnih računala;

zaštita od kvarova uređaja, za pohranu informacija;

zaštita od curenja informacija elektromagnetskog zračenja.

softverska zaštita

Softver, nazivaju se alati za zaštitu podataka koji funkcioniraju kao dio softvera.

Među njima su sljedeće;

alati za arhiviranje podataka

antivirusni softver

kriptografskim sredstvima

sredstva identifikacije i autentifikacije korisnika

kontrole pristupa

evidentiranje i revizija

Primjeri kombinacija gornjih sredstava su:

zaštita baze podataka

zaštita informacija pri radu u računalnim mrežama.

Uredba o mjerama za osiguranje zaštite informacija.

Opće odredbe

Korištenje automatiziranih sustava značajno povećava učinkovitost organizacije i istovremeno stvara preduvjete za izobličenje i gubitak informacija zbog kvarova, kvarova, pogrešnih ili zlonamjernih radnji uslužnog osoblja, neovlaštenih radnji trećih osoba, računalnih kriminala.

Korištenje mrežnih tehnologija u obradi informacija u prvi plan stavlja problem sigurnosti.

Ovaj dokument definira sljedeće sigurnosne aspekte:

  • ograničavanje pristupa hardveru;
  • poštivanje sigurnosnih standarda na radnim mjestima;
  • pristup korisnika mrežnim resursima;
  • diferencijacija prava na razini aplikacijskih programa;
  • sigurnost pri radu s e-poštom;
  • sigurnost pri radu s internetom;
  • zaštita informacija pri radu s elektroničkim financijskim dokumentima;
  • pružanje zaštite za prijenos financijskih informacija.

1. Hardverska zaštita

Računalna oprema treba biti smještena na mjestima koja isključuju mogućnost pristupa neovlaštenih osoba bez znanja zaposlenika organizacije. Glavni poslužitelji trebali bi biti smješteni u odvojenim poslužiteljskim sobama, kojima ima pristup ograničen broj zaposlenika službe za automatizaciju organizacije. Popis ovih zaposlenika mora odobriti ovlašteni voditelj organizacije.

Dizajn mreže trebao bi minimizirati vjerojatnost neovlaštenog povezivanja na okosne kabele i/ili komutacijske uređaje.

Za zaštitu računala instaliranih izvan kontroliranog područja organizacije, moraju biti ispunjeni sljedeći dodatni zahtjevi:

  • kućište računala mora biti zapečaćeno;
  • BIOS postavka računala mora biti zaštićena lozinkom administratora;
  • računalo se mora pokrenuti nakon unosa korisničke lozinke ( ovu lozinku kontrolira BIOS);
  • BIOS administratorska i korisnička lozinka moraju imati najmanje 6 znakova i ne smiju se međusobno podudarati;
  • ako specifičnosti rada korisnika to dopuštaju, onda ih treba blokirati ( fizički onemogućen ili odgovarajućom postavkom BIOS-a) uređaji kao što su CD pogon, floppy disk ( disketa), USB priključci;

2. Poštivanje sigurnosnih standarda na radu

Svaki zaposlenik je dužan osigurati zaštitu od neovlaštenog pristupa informacijama na svom računalu tijekom radnog vremena. Na radnim mjestima korisnika sustava to se postiže korištenjem provjere autentičnosti pri pokretanju OS računala i zaključavanjem tipkovnice prilikom privremenog napuštanja radnog mjesta.

U odjelima organizacije treba osigurati stalnu vizualnu kontrolu zaposlenika nad računalima privremeno odsutnih kolega.

Prilikom izlaza informacija na uređaj za ispis, zaposlenici su dužni kontrolirati proces ispisa, a printer ne bi smio ostati bez nadzora. Sve ispisane dokumente potrebno je odnijeti na radno mjesto. Papirnati dokumenti, čija je potreba za daljnjom uporabom nestala, moraju se uništiti prema redoslijedu koji je utvrdila organizacija, t.j. korištenjem odgovarajuće opreme, isključujući mogućnost obnove njihovog sadržaja.

Ukoliko je potrebno instalirati novi program na računalo, korisnik je dužan obratiti se Odjelu automatizacije radi obavljanja odgovarajućih radnji. Nije dopuštena samoinstalacija programa, kao i samopromjena postavki računala, operacijskog sustava i aplikacijskih programa, promjena konfiguracije računala. Svaki zaposlenik organizacije odgovoran je za prisutnost stranih programa i drugih neslužbenih elektroničkih informacija na svom stroju.

Kada zaposlenici organizacije rade s klijentima, preporučljivo je isključiti mogućnost da klijenti gledaju sadržaj zaslona monitora. To se postiže međusobnim položajem zaposlenika i klijenta koji se uslužuju "licem u lice" i odgovarajućom rotacijom monitora.

Posebnu pozornost treba posvetiti unosu lozinki: i mrežnih lozinki i lozinki koje se koriste u aplikacijama. Zabranjeno je zapisivati ​​ili spremati podatke o korisničkim lozinkama u datoteke.

3. Zaštita na razini lokalne mreže

3.1. Registracija korisnika na mreži

Sustav kontrole pristupa lokalnoj mreži određuje:

  • što korisnici mogu raditi na poslužitelju datoteka;
  • koje dane i u koje vrijeme korisnici mogu raditi;
  • s kojih radnih stanica korisnici mogu raditi.

Registraciju korisničkog računa na LAN poslužitelju provodi Administrator na temelju prijave koju potpisuje voditelj odjela u kojem zaposlenik radi.

Za kontrolu pristupa mreži organizacije, svakom korisniku se dodjeljuje jedan jedinstveni identifikator ( ime mreže), koju mu daje LAN administrator prilikom registracije, te privremenu lozinku za početno spajanje na mrežu. Pri prvom spajanju na mrežu, sustav kontrole pristupa će provjeriti ispravnost privremene lozinke i, ako je provjera uspješna, ponudit će promjenu lozinke u trajnu. Duljina lozinke koju odabere korisnik mora biti dovoljna da pruži razumnu grubu silu, obično 6 ili više znakova. Lozinka mora biti važeća ograničeno razdoblje, obično godinu dana ili manje.

Zahtjev za pristup korisnika LAN resursima potpisuje voditelj odjela.

Kada zaposlenik dobije otkaz, udaljavanje s posla, promjenu radnih obveza i funkcija, njegov neposredni rukovoditelj dužan je pisanim putem o tome obavijestiti LAN administratora. Administrator je dužan odmah izvršiti odgovarajuće promjene u postavkama računa i/ili u skupu ovlasti (prava) korisnika.

Prilikom registracije svakom korisniku LAN-a može se postaviti ograničenje broja veza na svaki od poslužitelja – u pravilu jedna veza na svaki od poslužitelja potrebna za rad korisnika. Vezanje naziva mreže na MAC adrese radnih stanica može se koristiti kao dodatna zaštita.

Ako je potrebno privremeno prenijeti ovlasti jednog korisnika LAN-a na drugog, voditelj nadležnog odjela dužan je o tome pisanim putem obavijestiti LAN administratora na vrijeme. U obavijesti se navodi datum početka i datum opoziva delegiranja ovlasti s jednog korisnika na drugog. Administratoru je zabranjeno delegiranje ovlasti korisnika na usmeni zahtjev voditelja odjela i zaposlenika. Prijenos naziva mreže i/ili lozinke s jednog korisnika na drugog nije dopušten.

Zahtjevi za povezivanje, delegiranje ovlasti i isključenje ( blokiranje) korisnike na mrežne resurse sprema administrator.

O svim pokušajima neovlaštenog pristupa informacijama u LAN-u administrator mora odmah obavijestiti voditelja odjela za automatizaciju.

Administrator mora biti u mogućnosti brzo doći do popisa korisnika, grupa i strukture njihovog pristupa mrežnim resursima.

3.2. Razlikovanje pristupa mrežnim resursima

Razlikovanje prava pristupa određenim bazama podataka i programima koji se nalaze na datotečnim poslužiteljima vrši se na razini mrežnih uređaja i direktorija. U slučaju korištenja DBMS-a na strani poslužitelja treba koristiti njihove interne mehanizme za autentifikaciju korisnika i zaštitu podataka.

Za organiziranje zajedničkog rada s resursima poslužitelja i razmjenu podataka putem poslužitelja, kreiraju se korisničke grupe ( na primjer, prema načelu administrativne podjele, prema korištenim aplikacijama, imenicima itd.). Svaka grupa ima prava pristupa određenim resursima. U pravilu se prava grupnog pristupa ne preklapaju.

Svaki korisnik, u skladu sa svojim funkcionalnim obvezama, pripada jednoj ili više grupa korisnika.

Poslužitelji ne smiju imati javne račune kao što je gost.

4. Razlikovanje prava pristupa na razini aplikacijskih programa

Za rad sa sustavima organizacije, svaki korisnik mora imati svoj jedinstveni identifikator i/ili lozinku. Ovisno o izvedenim operacijama, korisniku se daje pristup određenim komponentama sustava. Istodobno, pristup je ograničen na razini korištenih funkcija i izvršenih operacija. Na najnižoj razini izvođači su definirani grupama dostupnih računa i ovlaštenjem za rad s tim računima.

Zahtjev za pristup korisnika programima potpisuje voditelj odjela, a potpisuje glavni računovođa organizacije.

Funkcije dodjele korisničkih prava pristupa aplikacijskim sustavima dodijeljene su Administratorima sustava i programa.

5. Korištenje sustava korporativne pošte

Svaki korisnik mail sustava mora imati svoj jedinstveni identifikator i lozinku. Administrator poštanskog sustava odgovoran je za povezivanje korisnika sa sustavom i obavljanje potrebnih radova na održavanju.

Zabranjeno je korištenje sustava pošte za prosljeđivanje poruka koje nisu povezane s radom organizacije: osobna korespondencija, neželjena pošta itd.

Zabranjeno je prosljeđivanje poruka koje sadrže komercijalne i druge vrste tajni na otvorenom ( nezaštićeni kriptografski sustav zaštite informacija) oblik.

Prilikom primanja poruka koje sadrže priložene datoteke, zaposlenik mora osigurati antivirusnu kontrolu tih datoteka dok se ne koriste u aplikacijskim programima.

Na poslužitelju korporativne pošte preporučljivo je koristiti anti-spam i anti-virus filtere.

6. Sigurnosne mjere pri radu s internetom

Glavni zadatak pri interakciji s internetom je zaštita interne mreže. Obavezno je korištenje vatrozida, fizičko odvajanje resursa vanjske mreže od interne mreže organizacije.

Od integracije mreža organizacije, podružnica i dodaj. uredi se provode putem VPN-a izgrađenog na temelju Interneta, potrebno je osigurati pouzdanu zaštitu perimetra ujedinjene mreže u svakoj od zasebnih divizija. To se postiže korištenjem odgovarajućih tehničkih i/ili softverskih alata: VPN-usmjerivača, vatrozida, antivirusnog softvera.

Zabranjeno je korištenje pristupa Internetu u osobne ili neposlovne svrhe.

Ako se prilikom pristupa Internetu pojave znakovi nestandardnog ponašanja ili nestabilnog rada računala, kao i kada antivirusni sustav signalizira pokušaj zaraze, morate odmah obavijestiti administratora LAN-a organizacije.

7. Zaštita u prijenosu financijskih informacija

Prilikom razmjene platnih dokumenata potrebno je koristiti sredstva kriptografske zaštite prenesenih informacija: enkripciju i elektronički digitalni potpis ( EDS ). Dopuštena je uporaba samo certificiranih kriptografskih zaštitnika.

Zaposlenici odgovorni za formiranje disketa ključeva za sredstva kriptografske zaštite ( sigurnosni administratori), imenuju se po nalogu organizacije. Sve radnje za generiranje i prijenos ključeva trebaju biti dokumentirane od strane sigurnosnih administratora u posebnim zapisnicima.

8. Dodatni zahtjevi za usklađenost sa sigurnosnim standardima tijekom rada sustava "Klijent-Banka".

Poštivanje sigurnosnih mjera propisanih relevantnim dokumentima ovlaštenih tijela potrebno je za osiguranje sigurnosti u organizaciji koja se bavi tehničkom podrškom, distribucijom i djelovanjem programa zaštite informacija prema klasi " S ».

Za rad u sustavu potrebno je pridržavanje sigurnosnih mjera " Klijent-banka».

Pristup prostoriji u kojoj je instalirano računalo koje prenosi i prima dokumente putem sustava" Klijent-banka»Treba dati samo ograničenom broju osoba, čiji se popis nalazi u odgovarajućim nalozima za organizaciju.

Zbog činjenice da je računalo sa softverom za prijenos i primanje datoteka od sudionika u sustavu " Klijent-banka»Izravno spojeni na vanjske računalne mreže, morate:

1. Poduzmite mjere kako biste osigurali da se vanjski korisnik ne može prijaviti s ovog računala na internu mrežu organizacije.

2. Sve povjerljive informacije pohranjene na ovom računalu moraju biti šifrirane ili na drugi način transformirane kako bi se spriječila njihova neovlaštena uporaba.

Sve operacije i radnje koje se odvijaju u sustavu" Klijent-banka"Mora biti zapisano u datoteke ( časopisi) protokoli.

Kako bi se sustav brzo obnovio, potrebno je kreirati njegove dnevne sigurnosne kopije, koje bi trebale biti pohranjene na drugom računalu, fizički smještenom u drugom prostoru organizacije.

9. Osiguravanje integriteta i pouzdanosti informacija

Povremeno treba provoditi profilaktička skeniranja tvrdih diskova računala pomoću antivirusnih programa. Pri korištenju prijenosnih medija elektroničkih informacija obavezno ih je provjeriti antivirusnim programom tijekom prve instalacije ( a za medije koji se mogu ponovno upisivati ​​- uz svaku instalaciju) na računalo.

Osnovne informacije pohranjene elektronički na poslužiteljima organizacije trebale bi biti sigurnosno kopirane na dnevnoj bazi. Trebali biste imati kopiju baze podataka o operativnim aktivnostima na početku dana.

Arhivske informacije moraju se kopirati u dva primjerka na mediju za dugotrajnu pohranu ( CD-ROM, DVD-ROM, magneto-optički diskovi, itd.). Preslike arhivskih podataka treba čuvati u posebnim skladišnim prostorima koji osiguravaju odgovarajuće uvjete za njihovo održavanje i nemogućnost neovlaštenog pristupa njima.

Preuzmite ZIP datoteku (20862)

Dokumenti su dobro došli - stavite "like":

Kako počinje informacijska sigurnost poslovnih računalnih mreža? Teorija govori o analizi rizika, kreiranju politike i sigurnosnoj organizaciji. I to je ispravno. No prije nego se prijeđemo na teoriju, potrebno je uspostaviti elementarni red i disciplinu u informacijskim službama poduzeća.

Trebali biste moći jasno odgovoriti na pitanja:

Koliko je računala (komunikacijska, pomoćna oprema) instalirano u Vašem poduzeću?

Koliko ih je sada, u ovom trenutku, a ne koliko ih je bilo jučer ili prije mjesec dana; koliko ih je na radnom mjestu, koliko u popravku, koliko u rezervi.

Hoćete li moći prepoznati svako računalo "iz viđenja"? Hoćete li pronaći hardversku "maskaradu" kada se neko računalo ili dio ili softver neovlašteno mijenja tako da ono što se čini kao radni hardver zapravo je trojanski konj?

Koji se zadaci i za koju svrhu rješavaju na svakom računalu? Jeste li sigurni u potrebu svakog dijela opreme koju kontrolirate i da među njom nema ničeg suvišnog, ugrađenog, recimo, za ljepotu i čekanja da vas primijeti neki mladi i odvažni zaposlenik haker? Uostalom, ako od opreme nema koristi, sa stajališta informacijske sigurnosti, od nje se može očekivati ​​samo šteta. A evo još nekih hardverskih pitanja. Koji je postupak popravka i tehničkog održavanja računala?

Kako se oprema vraćena s popravka provjerava prije ugradnje na redovno radno mjesto? Kako se računala oduzimaju i predaju odjelima i koja je procedura prijema nove opreme u rad?

Popis pitanja se nastavlja ... Slična pitanja se mogu postaviti o softveru i osoblju.

Drugim riječima, zaštita informacija počinje formuliranjem i rješavanjem organizacijskih pitanja. Oni koji su se u praksi već morali baviti pitanjima informacijske sigurnosti u automatiziranim sustavima, jednoglasno primjećuju sljedeću značajku - stvarni interes za problem informacijske sigurnosti, koji pokazuju najviši menadžeri, na razini odjela odgovornih za operativnost automatiziranog sustava organizacije zamjenjuje oštro odbijanje. Protiv obavljanja poslova i poduzimanja mjera za osiguranje informacijske sigurnosti u pravilu se navode sljedeći argumenti:

Pojava dodatnih ograničenja za krajnje korisnike i stručnjake odjela za podršku, što komplicira korištenje i rad automatiziranog sustava organizacije;

Potreba za dodatnim materijalnim troškovima kako za obavljanje takvog posla tako i za proširenje osoblja stručnjaka koji se bave problemom informacijske sigurnosti.

Uštede na informacijskoj sigurnosti mogu se izraziti u različitim oblicima, od kojih su ekstremni:

Usvajanje samo organizacijskih mjera za osiguranje sigurnosti informacija u korporativnoj mreži (CS);

Korištenje samo dodatnih tehničkih sredstava zaštite informacija (TSZI).

U prvom slučaju, u pravilu se izrađuju brojne upute, naredbe i propisi osmišljeni u kritičnom trenutku kako bi se odgovornost s osoba koje izdaju te dokumente prebacila na određene izvršitelje. Naravno, zahtjevi takvih dokumenata (u nedostatku odgovarajuće tehničke podrške) kompliciraju svakodnevne aktivnosti zaposlenika organizacije i, u pravilu, nisu ispunjeni.

U drugom slučaju se kupuju i instaliraju dodatni TSZI. Korištenje TSZI-a bez odgovarajuće organizacijske potpore također je neučinkovito zbog činjenice da bez utvrđenih pravila za obradu informacija u CS-u, korištenje bilo kojeg TSZI-ja samo pojačava postojeći poremećaj. Razmotrite skup organizacijskih mjera potrebnih za provedbu zaštite informacija u računalnim mrežama. S jedne strane, ove mjere trebale bi biti usmjerene na osiguranje ispravnog rada zaštitnih mehanizama i provoditi ih administrator sigurnosti sustava. S druge strane, uprava organizacije koja upravlja opremom za automatizaciju mora regulirati pravila za automatiziranu obradu informacija, uključujući i pravila za njihovu zaštitu, kao i utvrditi mjeru odgovornosti za kršenje ovih pravila.

Organizacijske mjere uključuju:

Jednokratne (jednokratne i ponovljene samo uz potpunu reviziju donesenih odluka) aktivnosti;

Mjere koje se provode u provedbi ili nastanku određenih promjena u samom zaštićenom COP-u ili u vanjskom okruženju (po potrebi);

Povremeno održavani (nakon određenog vremena) događaji;

Konstantno (kontinuirano ili diskretno u nasumično vrijeme) aktivnosti koje se provode.

Jednokratni događaji

Jednokratni događaji uključuju:

Mjere na razini cijelog sustava za stvaranje znanstvenih, tehničkih i metodoloških temelja (koncepta i drugih smjernica) za zaštitu COP-a;

Mjere koje se provode u projektiranju, izgradnji i opremanju računalnih centara i drugih objekata NEK (isključujući mogućnost tajnog prodora u prostor, isključujući mogućnost ugradnje prislušne opreme i sl.);

Aktivnosti koje se provode tijekom projektiranja, razvoja i puštanja u rad hardvera i softvera (provjera i certificiranje korištenog hardvera i softvera, dokumentacije i sl.);

Provođenje posebnih provjera sve računalne opreme koja se koristi u CS i poduzimanje mjera zaštite informacija od curenja kroz kanale slučajnog elektromagnetskog zračenja i smetnji;

Izrada i odobravanje funkcionalnih odgovornosti službenika službe računalne sigurnosti;

Izrada potrebnih izmjena i dopuna svih organizacijskih i administrativnih dokumenata (pravilnik o odjelima, funkcionalne dužnosti službenika, upute za korisnike sustava i sl.) o osiguranju sigurnosti softverskih i informacijskih resursa COP-a i postupanja u slučaju kriznih situacija;

Izvršenje pravnih dokumenata (u obliku ugovora, naloga i naloga uprave organizacije) o uređenju odnosa s korisnicima (klijentima) koji rade u automatiziranom sustavu, između sudionika u razmjeni informacija i treće strane (arbitraža, arbitražni sud) o pravilima rješavanja sporova vezanih uz elektronički potpis prijave;

Utvrđivanje postupka dodjele, promjene, odobravanja i davanja pojedinim službenicima potrebnih ovlasti za pristup resursima sustava;

Mjere za stvaranje sustava zaštite kompresorske stanice i izgradnju infrastrukture;

Mjere za razvoj pravila za kontrolu pristupa resursima sustava (određivanje popisa zadataka koje rješavaju strukturni odjeli organizacije koristeći CS, kao i načina obrade i pristupa podacima koji se koriste u njihovom rješavanju; utvrđivanje liste datoteka i baza podataka koje sadrže informacije koje predstavljaju poslovne i službene tajne, kao i zahtjeve za razine njihove zaštite od neovlaštenog pristupa tijekom prijenosa, pohranjivanja i obrade u CS-u; identifikacija najvjerojatnijih prijetnji za ovaj CS, identifikacija ranjivosti u proces obrade informacija i pristupnih kanala do njega, procjena moguće štete uzrokovane narušavanjem informacijske sigurnosti, izrada odgovarajućih zahtjeva o glavnim područjima zaštite);

Organizacija pouzdane kontrole pristupa;

Određivanje redoslijeda knjiženja, izdavanja, korištenja i pohrane prijenosnih magnetskih medija za pohranu koji sadrže standardne i sigurnosne kopije programa i informacijskih nizova, arhivske podatke itd.;

Organizacija računovodstva, skladištenja, korištenja i uništavanja dokumenata i medija s povjerljivim podacima;

Određivanje redoslijeda projektiranja, razvoja, otklanjanja pogrešaka, modifikacije, nabave, posebnog istraživanja, puštanja u rad, skladištenja i kontrole integriteta softverskih proizvoda, kao i postupka ažuriranja verzija korištenih i instaliranja novih sistemskih i aplikativnih programa na radna mjesta zaštićenog sustava (tko ima pravo ovlastiti takve radnje tko provodi, tko kontrolira i što pri tome treba činiti);

Osnivanje odjela (službi) računalne sigurnosti ili, u slučaju malih organizacija i odjela, imenovanje izvanslužbenih odgovornih osoba koje provode jedinstveno upravljanje, organizaciju i kontrolu ispunjavanja svih kategorija službenika zahtjeva za osiguranje sigurnosti softvera i informacijskih resursa automatiziranog sustava za obradu informacija;

Utvrđivanje popisa potrebnih redovito provođenih preventivnih mjera i operativnih radnji osoblja za osiguranje kontinuiranog rada i obnavljanja računskog procesa nuklearne elektrane u kritičnim situacijama koje nastaju kao posljedica neovlaštenog upravljanja, kvarova i kvarova SVT-a, pogrešaka u programi i djelovanje osoblja, elementarne nepogode.

Povremeno se održavaju događaji

Aktivnosti koje se povremeno održavaju uključuju:

Distribucija detalja kontrole pristupa (lozinke, ključevi za šifriranje, itd.);

Analiza zapisnika sustava, poduzimanje radnji na uočenim kršenjima pravila rada,

Mjere za reviziju pravila za razgraničenje pristupa korisnika informacijama u organizaciji;

Povremeno, uz uključivanje stručnjaka trećih strana, analiza stanja i procjena učinkovitosti mjera i primijenjene zaštitne opreme. Na temelju informacija dobivenih kao rezultat takve analize, poduzeti potrebne mjere za poboljšanje sustava zaštite;

Mjere revizije sastava i konstrukcije sustava zaštite.

Aktivnosti koje se provode po potrebi

Aktivnosti koje se provode po potrebi uključuju:

Mjere koje se provode u slučaju kadrovskih promjena u sastavu osoblja sustava;

Mjere koje se provode tijekom popravka i modifikacija opreme i softvera (strogo autorizacija, razmatranje i odobravanje svih promjena, provjera udovoljavanja zahtjevima zaštite, dokumentiranje promjena i sl.);

Aktivnosti odabira i raspoređivanja osoblja (provjera primljenih, obuka o pravilima rada s informacijama, upoznavanje s mjerama odgovornosti za kršenje pravila zaštite, obuka, stvaranje uvjeta pod kojima bi osoblje bilo neisplativo krše svoje dužnosti itd.).

Trajni događaji

Tekuće aktivnosti uključuju:

Mjere za osiguranje dovoljne razine fizičke zaštite svih komponenti kompresorske stanice (zaštita od požara, zaštita prostora, kontrola pristupa, osiguranje sigurnosti i fizičkog integriteta SVT-a, nositelja informacija i dr.).

Mjere za kontinuiranu potporu funkcioniranju i upravljanju korištenom zaštitnom opremom;

Eksplicitna i skrivena kontrola nad radom osoblja sustava;

Kontrola provođenja odabranih mjera zaštite tijekom projektiranja, razvoja, puštanja u pogon i rada NEK;

Stalno (od strane snaga sigurnosnog odjela (službe)) i povremeno (uz sudjelovanje stručnjaka trećih strana) provode se analiza stanja i procjena učinkovitosti mjera i primijenjenih sredstava zaštite.

Nakon donekle detaljnije metodologije izgradnje sustava informacijske sigurnosti u odnosu na korporativnu mrežu, a također uzimajući u obzir gore navedeno o mogućim mrežnim prijetnjama i dostupnim metodama borbe protiv njih, algoritam za izgradnju sustava informacijske sigurnosti za korporativnu mrežu može se predstavljen na sljedeći način.

Cijeli objekt zaštite ima nekoliko smjerova mogućih napada. Za svaku vrstu napada postoje odgovarajuće metode i sredstva za njihovo rješavanje. Nakon što smo identificirali glavne metode borbe, formirat ćemo politiku informacijske sigurnosti. Odabravši, u skladu s formiranom politikom, skup sredstava informacijske sigurnosti, kombinirajući ih sa sustavom upravljanja, zapravo ćemo dobiti sustav zaštite informacija.

Na isti se način analiziraju prijetnje na razini korporativne mreže. Može se predstaviti s tri glavne komponente - hardverom, informacijskom podrškom i softverom. Svaka od ovih komponenti može se dodatno detaljizirati do stupnja koji je dovoljan da se artikuliraju glavne prijetnje na ovoj razini i mogući načini suočavanja s njima.

Odabir specifičnih metoda i sredstava zaštite informacija na razini mreže također se prevodi u odgovarajuću politiku i informacijski sigurnosni sustav, koji se organski stapaju u opću politiku i sustav informacijske sigurnosti cijelog objekta ( pogledajte dijagram "Moguće prijetnje" ispod).

Kako bi se osigurala sigurnost informacija u uredskim mrežama, provode se različite aktivnosti, ujedinjene konceptom "informacijskog sigurnosnog sustava". Sustav zaštite informacija je skup mjera, softvera i hardvera, pravnih i moralnih i etičkih standarda usmjerenih na suzbijanje prijetnji prekršitelja kako bi se smanjila moguća šteta korisnicima i vlasnicima sustava.

Tradicionalne mjere za suzbijanje curenja informacija dijele se na tehničke i organizacijske G. Konakhovich Zaštita informacija u telekomunikacijskim sustavima. - M .: MK-Press, 2005. S. 123 ..

Tehničke mjere uključuju zaštitu od neovlaštenog pristupa sustavu, redundantnost posebno važnih računalnih podsustava, organizaciju računalnih mreža s mogućnošću preraspodjele resursa u slučaju kvara pojedinih veza, ugradnju opreme za detekciju i gašenje požara, opreme za detekciju vode, strukturalne mjere zaštite od krađe, sabotaže, sabotaže, eksplozija, ugradnja rezervnih sustava napajanja, opremanje prostora bravama, ugradnja alarma i još mnogo toga.

Organizacijske mjere uključuju sigurnost poslužitelja, pažljiv odabir osoblja, isključenje slučajeva kritičnog rada samo jedne osobe, plan za vraćanje performansi poslužitelja nakon kvara, svestranost zaštite od svih korisnika (uključujući i top menadžment).

Do neovlaštenog pristupa informacijama može doći tijekom održavanja ili popravka računala čitanjem preostalih informacija na mediju, unatoč tome što ih je korisnik uklonio konvencionalnim metodama. Drugi način je čitanje informacija s prijevoznika tijekom njegovog transporta bez sigurnosti unutar objekta ili regije.

Suvremeni računalni objekti temelje se na integriranim krugovima. Tijekom rada takvih krugova dolazi do visokofrekventnih promjena napona i struja, što dovodi do pojave u strujnim krugovima, u zraku, u obližnjoj opremi itd. elektromagnetska polja i smetnje, koje se uz pomoć posebnih sredstava mogu transformirati u obrađene informacije. Kako se udaljenost između prijemnika uljeza i hardvera smanjuje, povećava se vjerojatnost ovakvog pronalaženja i dešifriranja informacija.

Neovlašteno upoznavanje s informacijama moguće je i izravnim povezivanjem "špijunskog softvera" od strane prekršitelja na komunikacijske kanale i mrežni hardver.

Tradicionalne metode zaštite informacija od neovlaštenog pristupa su identifikacija i autentifikacija, zaštita lozinkom. Korzhov V. Strategija i taktika zaštite // Computerworld Russia. - 2004. - №14.

Identifikacija i autentifikacija. U računalnim sustavima koncentrirane su informacije, pravo korištenja koje imaju određeni pojedinci ili skupine pojedinaca koji djeluju na osobnu inicijativu ili u skladu sa službenim dužnostima. Kako bi se osigurala sigurnost informacijskih resursa, otklonila mogućnost neovlaštenog pristupa, pojačana kontrola ovlaštenog pristupa povjerljivim ili povjerljivim podacima, uvode se različiti sustavi identifikacije, autentifikacije objekata (subjekata) i kontrole pristupa. Izgradnja ovakvih sustava temelji se na načelu prihvaćanja i izvršavanja samo onih referenci na informacije u kojima su prisutni odgovarajući znakovi dopuštenih ovlasti.

Identifikacija i autentifikacija ključni su koncepti u ovom sustavu. Identifikacija je dodjela jedinstvenog imena ili slike objektu ili subjektu. Autentifikacija je utvrđivanje autentičnosti, t.j. provjeravajući je li objekt (subjekt) doista onaj za koga se predstavlja.

Vrhunski povezani članci

Kako znati je li vaše računalo hakirano
Kako znati je li vaše računalo hakirano
Kako kalibrirati i postaviti svoj monitor kod kuće
Kako kalibrirati i postaviti svoj monitor kod kuće
Kako kalibrirati svoj monitor na Windows ili Mac
Kako kalibrirati svoj monitor na Windows ili Mac
Kategorije:
© 2021 bumotors.ru. Kako postaviti pametne telefone i računala. Informativni portal.