Primjer politike informacijske sigurnosti čistog stola. Prijetnje informacijskoj sigurnosti

U suvremenom svijetu pojam "politika informacijske sigurnosti" može se tumačiti i u širem i u užem smislu. Što se tiče prvog, šireg značenja, ono se odnosi na složeni sustav odluka koje donosi organizacija, službeno dokumentiranih i usmjerenih na osiguranje sigurnosti poduzeća. U užem smislu, ovaj koncept je dokument lokalnog značaja, koji specificira sigurnosne zahtjeve, sustav poduzetih mjera, odgovornost zaposlenika i mehanizam kontrole.

Sveobuhvatna politika informacijske sigurnosti jamstvo je stabilnog funkcioniranja svake tvrtke. Njegova sveobuhvatnost leži u promišljenosti i uravnoteženosti stupnja zaštite, kao i razvoju pravih mjera i sustava kontrole u slučaju bilo kakvih prekršaja.

Sve organizacijske prakse igraju važnu ulogu u uspostavljanju snažne informacijske sigurnosne sheme, jer je nezakonita uporaba informacija rezultat zlonamjernih radnji, nemara osoblja, a ne tehničkih problema. Za postizanje dobrog rezultata potrebna je složena interakcija organizacijskih, pravnih i tehničkih mjera koja treba isključiti sve neovlaštene upade u sustav.

Informacijska sigurnost jamstvo je neometanog rada tvrtke i njenog stabilnog razvoja. Međutim, izgradnja kvalitetnog sustava zaštite trebala bi se temeljiti na odgovorima na sljedeća pitanja:

Što je podatkovni sustav i koja će razina zaštite biti potrebna?

Tko može naštetiti tvrtki narušavanjem funkcioniranja informacijskog sustava i tko može koristiti dobivene informacije?

Kako se ovaj rizik može svesti na najmanju moguću mjeru, a da se ne poremeti glatko funkcioniranje organizacije?

Koncept informacijske sigurnosti stoga treba razvijati osobno za pojedino poduzeće iu skladu s njegovim interesima. Glavnu ulogu u njegovim kvalitativnim karakteristikama igraju organizacijske mjere, koje uključuju:

Organizacija uspostavljenog sustava kontrole pristupa. To se radi kako bi se isključio tajni i neovlašteni ulazak neovlaštenih osoba na teritorij tvrtke, kao i kontrola boravka u prostorijama i vrijeme njegovog odlaska.

Rad sa zaposlenicima. Njegova bit leži u organizaciji interakcije s osobljem, odabiru osoblja. Također je važno upoznati se s njima, pripremiti i obučiti pravila za rad s informacijama, kako bi zaposlenici znali opseg njihove tajnosti.

Politika informacijske sigurnosti također predviđa strukturirano korištenje tehničkih sredstava usmjerenih na akumulaciju, prikupljanje i povećanje povjerljivosti.

Obavljanje poslova kontrole osoblja u pogledu korištenja klasificiranih podataka i razvijanje mjera koje trebaju osigurati njihovu zaštitu.

Troškovi provedbe takve police ne bi smjeli premašiti iznos potencijalne štete koja će biti primljena kao rezultat njezinog gubitka.

Politika informacijske sigurnosti i njezina učinkovitost uvelike ovise o broju zahtjeva koje tvrtka nameće, a koji omogućuju smanjenje stupnja rizika na željenu vrijednost.

Razmotrite administrativnu razinu informacijske sigurnosti poduzeća, odnosno mjere koje poduzima uprava organizacije. U središtu svih aktivnosti na administrativnoj razini nalazi se dokument koji se često naziva politikom informacijske sigurnosti poduzeća. Pod, ispod politika informacijske sigurnosti odnosi se na skup dokumentiranih upravljačkih odluka i razvijenih preventivnih mjera usmjerenih na zaštitu informacijskih izvora.

Razvoj politike informacijske sigurnosti nije beznačajna stvar. O temeljitosti njezine razrade ovisit će i učinkovitost svih ostalih razina informacijske sigurnosti - proceduralne i programske i hardverske. Složenost razvoja ovog dokumenta određena je problematičnim korištenjem tuđeg iskustva, budući da se sigurnosna politika temelji na proizvodnim resursima i funkcionalnim ovisnostima određenog poduzeća.

U tom smislu, preporučljivo je uključiti sljedeće stavke u dokument koji karakterizira politiku informacijske sigurnosti organizacije:

• - uvodni potvrđivanje interesa višeg menadžmenta za pitanja informacijske sigurnosti;
• - organizacijski, koji sadrži opis odjela, povjerenstava, grupa i sl., nadležnih za rad u području informacijske sigurnosti;
• - klasifikacija opisivanje materijalnih i informacijskih resursa kojima raspolaže poduzeće i potrebna razina njihove zaštite;
• - puno vrijeme karakteriziranje sigurnosnih mjera koje se primjenjuju na osoblje (opis položaja u pogledu informacijske sigurnosti, organizacija obuke, postupak reagiranja na kršenja režima, itd.);
• - dio fizičke zaštite informacija;
• - kontrolni odjeljak, opisujući pristup upravljanju računalima i podatkovnim mrežama;
• - odjeljak koji opisuje pravila kontrole pristupa informacije o proizvodnji;
• - odjeljak koji opisuje kako razviti i implementirati sustave;
• - poglavlje, opisujući mjere usmjerene na osiguranje kontinuiranog rada organizacije (dostupnost informacija);
• - pravni odjel, potvrđujući usklađenost politike informacijske sigurnosti s važećim zakonodavstvom.

Razvoj politike trebao bi započeti analizom rizika. Analiza rizika sastoji se od dva glavna koraka: inventar i klasifikacija informacijskih izvora.

Inventar informacijski resursi pomoći će u određivanju stupnja potrebne zaštite, praćenju sigurnosti, a bit će korisni iu drugim područjima, kao što su zdravlje i sigurnost na radu, osiguranje, financije. Kao resursi vezane uz informacijsku tehnologiju, mogu biti:

• - informativni izvori: skladišta datoteka, baze podataka, dokumentacija, tutorijali, dokumenti proceduralne razine (upute, itd.);
• - softverski resursi: aplikacijski i sistemski softver, uslužni programi itd.;
• - fizičke resurse: računalna i komunikacijska oprema, nosači podataka (vrpce i diskovi), ostala tehnička oprema (napajanja, klima uređaji), namještaj, prostori;
• - Usluge: grijanje, rasvjeta, struja, klimatizacija;
• - ljudski resursi.

Nakon popisa resursi se klasificiraju. Vrijednost svakog resursa obično se prikazuje kao funkcija nekoliko diskretnih varijabli.

Navedimo primjer klasifikacije informacijskih izvora. Kao glavna varijabla obično se odabire stupanj povjerljivosti informacija sa sljedećim vrijednostima:

• - podatke koji sadrže državnu tajnu;
• - podaci koji sadrže poslovne tajne;
• - povjerljivi podaci (podaci koji nisu komercijalna ili državna tajna, iako je njihova javnost nepoželjna);
• - besplatne informacije.

Kao sljedeća varijabla može se odabrati odnos ovog ili onog resursa prema kršenjima glavna tri aspekta informacijske sigurnosti. Na primjer, telefonska baza podataka zaposlenika tvrtke može dobiti ocjenu 81 za dostupnost, 2 za povjerljivost i 4 za integritet.

Slijedi analiza rizika. Za svaki informacijski resurs utvrđuje se njegova integralna vrijednost i moguće prijetnje. Svaka prijetnja procjenjuje se u smislu primjenjivosti na određeni resurs, vjerojatnosti nastanka i moguće štete. Na temelju rezultata ove analize sastavlja se klasifikacijski dio politike informacijske sigurnosti.

Odjel za zapošljavanje ima za cilj smanjiti rizik od ljudske pogreške, krađe, prijevare ili zlouporabe resursa. U budućnosti će se ovaj odjeljak koristiti za sastavljanje opisa poslova za korisnike i dokumenata sa uputama za odjele i službe informacijske sigurnosti. Dokument treba sadržavati sljedeće odjeljke:

• - pravila za provjeru primljenog osoblja (uključuje pravila za podnošenje zahtjeva za prijam, potrebne dokumente, obrazac životopisa, preporuke itd. Osim toga, utvrđuje se potreba, obrazac i postupak za intervjuiranje zaposlenika različitih kategorija. Također su opisane različite obveze tajnosti ovdje);
• - dužnosti i prava korisnika u odnosu na informacijske resurse (dužnosti korisnika da održavaju svoje radno mjesto, kao i pri radu s informacijskim resursima);
• - osposobljavanje korisnika i postupak pristupa radu s informacijskim resursima (potrebna znanja za različite kategorije zaposlenika, učestalost i postupak informiranja o korištenju informacijskih resursa. Korisnici moraju jasno poznavati sva proceduralna pitanja (identifikacija u sustav, promjena lozinke, ažuriranje antivirusnih baza, rad s programskim paketima itd.) Osim toga, opisan je postupak povezivanja korisnika s informacijskim izvorima (potrebni dokumenti, koordinirajuće osobe i odjeli));
• - prava i obveze administratora (za normalno funkcioniranje sustava administratori informacijske sigurnosti moraju imati dovoljna prava. Isključivanje s mreže ili informacijskog resursa radne stanice koja je nositelj virusa je nužnost, a ne povreda tehnološke postupak);
• - postupak reagiranja na događaje koji predstavljaju prijetnju informacijskoj sigurnosti (radi pravovremenog odgovora na prijetnje sigurnosti sustava treba jasno definirati formalne postupke obavješćivanja i odgovora na takve sustave. Svi korisnici trebaju biti obvezni prijaviti dodijeljene osobe o incidentima i slabostima u sigurnosnom sustavu, kvarovima hardvera i softvera (Metode za popravljanje simptoma kvarova hardvera treba identificirati i priopćiti korisnicima);
• - postupak izricanja kazni (sadrži opis postupka izricanja kazni za kršenje pravila informacijske sigurnosti utvrđenih u poduzeću. Kaznene mjere i stupanj odgovornosti moraju biti dokumentirani).

Ovisno o vrsti objekta, mjere fizičke zaštite mogu biti vrlo različite. Na temelju analize rizika za svako poduzeće potrebno je striktno opisati vrste prostora i sigurnosne mjere potrebne za njih. Sigurnosne mjere uključuju ugradnju rešetki, brava, postupak ulaska u prostorije, elektromagnetsku zaštitnu opremu itd. Osim toga, potrebno je utvrditi pravila za korištenje radne površine i metode zbrinjavanja materijala (razni magnetski mediji, papirnati dokumenti, jedinice), pravila za iznošenje softvera i hardvera iz organizacije.

Dijelovi menadžmenta koji opisuju pristupe upravljanju računalima i mrežama za prijenos podataka te postupak za razvoj i implementaciju sustava, opisuju postupak za izvođenje standardnih operativnih postupaka za rukovanje podacima, pravila za puštanje sustava u rad (prijem sustava) i reviziju njihovog rada. . Osim toga, ovaj odjeljak navodi postupak zaštite poduzeća od zlonamjernog softvera (osobito pravila za rad protuvirusnog sustava). Definirane su procedure revizije ispravnosti sustava i sigurnosne kopije. Opisuje standardni softver koji je dopušten za rad u poduzeću. Također opisuje sigurnosne sustave e-pošte, sustave elektroničkog digitalnog potpisa i druge kriptografske i autentifikacijske sustave koji rade u poduzeću. Ovo je važno jer je rusko zakonodavstvo u regiji strogo u tom pogledu.

Prava pristupa sustavima moraju biti dokumentirana, a postupak njihova dodjele određen je regulatornim dokumentima. Treba navesti pozicije koje koordiniraju zahtjeve za dodjelu prava pristupa, kao i osobe odgovorne za raspodjelu prava. Osim toga, u organizacijama s ozbiljnim zahtjevima za informacijskom sigurnošću utvrđuje se postupak provjere prava pristupa sustavima i osobe koje ga provode. Isti odjeljak opisuje pravila (politiku) korisničkih lozinki.

Dakle, politika informacijske sigurnosti poduzeća je dokument na temelju kojeg se gradi sigurnosni sustav. S druge strane, politika se temelji na analizi rizika, a što je analiza potpunija, dokument će biti učinkovitiji. Analiziraju se svi glavni resursi, uključujući materijalnu bazu i ljudske resurse. Sigurnosna politika izgrađena je u skladu sa specifičnostima poduzeća i zakonodavnim okvirom države.

Politika informacijske sigurnosti (primjer)

Sažetak politike

Informacije uvijek moraju biti zaštićene, bez obzira na njihov oblik i način na koji se distribuiraju, prenose i pohranjuju.

Uvod

Informacije mogu postojati u mnogo različitih oblika. Može se ispisati ili napisati na papiru, elektronički pohraniti, prenijeti poštom ili korištenjem elektroničkih uređaja, prikazati na vrpci ili prenijeti usmeno komunikacijom.

Informacijska sigurnost je zaštita informacija od raznih prijetnji, osmišljena kako bi se osigurao kontinuitet poslovanja, minimizirao poslovni rizik i maksimizirao povrat ulaganja i osigurale poslovne prilike.

Opseg

Ovo pravilo jača cjelokupnu sigurnosnu politiku organizacije.
Ova se politika odnosi na sve zaposlenike organizacije.

Ciljevi informacijske sigurnosti

1. Razumijevanje i rukovanje strateškim i operativnim rizicima informacijske sigurnosti tako da budu prihvatljivi za organizaciju.

2. Zaštita povjerljivosti podataka o kupcima, razvoju proizvoda i marketinškim planovima.

3. Očuvanje cjelovitosti knjigovodstvene građe.

4. Usklađenost zajedničkih web usluga i intraneta s relevantnim standardima pristupačnosti.

Načela informacijske sigurnosti

1. Ova organizacija promiče prihvaćanje rizika i prevladava rizike koje ne mogu nadvladati organizacije s konzervativnim upravljanjem, pod uvjetom da se rizici razumiju, prate i obrađuju za informacije kada je to potrebno. Detaljan opis pristupa korištenih za procjenu i tretiranje rizika može se pronaći u ISMS politici.

2. Svo osoblje mora biti svjesno i odgovorno za informacijsku sigurnost u odnosu na svoje radne odgovornosti.

3. Treba uložiti napore da se financiraju kontrole informacijske sigurnosti i procesi upravljanja projektima.

4. Mogućnost prijevare i zlouporabe u informacijskim sustavima treba uzeti u obzir u ukupnom upravljanju informacijskim sustavima.

5. Izvješća o stanju informacijske sigurnosti trebaju biti dostupna.

6. Pratite rizike informacijske sigurnosti i poduzmite mjere kada promjene uvedu nepredviđene rizike.

7. Kriteriji za klasifikaciju rizika i prihvatljivost rizika nalaze se u politici ISMS.

8. Ne smiju se dopustiti situacije koje mogu navesti organizaciju na kršenje zakona i utvrđenih normi.

Područja odgovornosti

1. Senior Even Leadership Group odgovorna je za osiguravanje odgovarajuće obrade informacija u cijeloj organizaciji.

2. Svaki viši rukovoditelj odgovoran je osigurati da zaposlenici koji rade pod njegovim ili njezinim nadzorom održavaju sigurnost informacija u skladu sa standardima organizacije.

3. Voditelj odjela sigurnosti savjetuje viši menadžment, pruža stručnu pomoć zaposlenicima organizacije i osigurava dostupnost izvješća o statusu informacijske sigurnosti.

4. Svatko u organizaciji odgovoran je za informacijsku sigurnost kao dio svojih radnih obaveza.

Ključni pronalasci

1. Incidenti informacijske sigurnosti ne bi trebali rezultirati velikim neočekivanim troškovima ili većim prekidom usluga i poslovnih operacija.

2. Gubici zbog prijevare moraju biti poznati i unutar prihvatljivih granica.

3. Pitanja informacijske sigurnosti ne bi trebala negativno utjecati na prihvaćanje proizvoda i usluga od strane korisnika

Povezana pravila

Sljedeća detaljna pravila sadrže načela i preporuke za specifične aspekte informacijske sigurnosti:

1. Politika sustava upravljanja informacijskom sigurnošću (ISMS);

2. Politika kontrole pristupa;

3. Politika čistog stola i čistog ekrana;

4. Politika neovlaštenog softvera;

5. Politika koja se odnosi na primanje softverskih datoteka iz ili putem vanjskih mreža;

6. Politika mobilnog koda;

7. Politika sigurnosne kopije;

8. Politika razmjene informacija između organizacija;

9. Politika prihvatljive uporabe elektroničkih sredstava komunikacije;

10. Politika čuvanja zapisa;

11. Politika korištenja mrežnih usluga;

12. Politike koje se odnose na mobilno računalstvo i komunikacije;

13. Politika rada na daljinu;

14. Politika korištenja kriptografske kontrole;

15. Politika usklađenosti;

16. Politika licenciranja softvera;

17. Pravila uklanjanja softvera;

18. Politika zaštite podataka i privatnosti.

Sve ove politike jačaju:

· prepoznavanje rizika pružanjem okvira kontrola koje se mogu koristiti za otkrivanje nedostataka u dizajnu i implementaciji sustava;

· tretman rizika pomaganjem u određivanju tretmana za specifične ranjivosti i prijetnje.

Politika informacijske sigurnosti tvrtke

· 1. Opće odredbe

o 1.1. Svrha i svrha ove Politike

o 1.2. Opseg ove Politike

o 2.1. Odgovornost za informacijsku imovinu

o 2.2. Kontrola pristupa informacijskim sustavima

§ 2.2.1. Opće odredbe

§ 2.2.2. Pristup trećih strana sustavima Društva

§ 2.2.3. Udaljeni pristup

§ 2.2.4. pristup internetu

o 2.3. Zaštita opreme

§ 2.3.1. Hardver

§ 2.3.2. Softver

o 2.5. Izvještavanje o incidentima informacijske sigurnosti, odgovor i izvješćivanje

o 2.6. Prostorije s tehničkim sredstvima informacijske sigurnosti

o 2.7. Upravljanje mrežom

o 2.7.1. Zaštita i sigurnost podataka

o 2.8. Razvoj sustava i upravljanje promjenama

Opće odredbe

Informacije su vrijedan i vitalan resurs YOUR_COPANIA (u daljnjem tekstu Tvrtka). Ova politika informacijske sigurnosti predviđa donošenje potrebnih mjera za zaštitu imovine od slučajne ili namjerne izmjene, otkrivanja ili uništenja, kao i za održavanje povjerljivosti, cjelovitosti i dostupnosti informacija, kako bi se osigurao proces automatizirane obrade podataka u Društvu .

Svaki zaposlenik Društva odgovoran je za poštivanje informacijske sigurnosti, a primarna zadaća je osigurati sigurnost cjelokupne imovine Društva. To znači da informacije moraju biti zaštićene ništa manje pouzdano od bilo koje druge velike imovine Društva. Glavni ciljevi Društva ne mogu se ostvariti bez pravodobnog i potpunog pružanja informacija zaposlenicima potrebnim za obavljanje njihovih poslova.

U ovoj Politici pojam "zaposlenik" odnosi se na sve zaposlenike Društva. Odredbe ove Politike odnose se na osobe koje rade u Društvu na temelju ugovora o građanskom pravu, uključujući i one upućene, ako je to predviđeno takvim ugovorom.

Uvod

Tempo razvoja suvremenih informacijskih tehnologija znatno je ispred tempa razvoja savjetodavnog i regulatornog okvira vladajućih dokumenata koji su na snazi ​​u Rusiji. Stoga je rješenje pitanja razvoja učinkovite politike informacijske sigurnosti u suvremenom poduzeću nužno povezano s problemom odabira kriterija i pokazatelja sigurnosti, kao i učinkovitosti korporativnog sustava informacijske sigurnosti. Kao rezultat toga, uz zahtjeve i preporuke standarda, Ustava, zakona i drugih upravnih dokumenata, potrebno je koristiti niz međunarodnih preporuka. To uključuje prilagodbu domaćim uvjetima i primjenu metoda međunarodnih standarda, kao što su ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL i drugi, kao i korištenje metoda upravljanja informacijskim rizikom u kombinaciji s procjenama ekonomske učinkovitosti ulaganja u osiguravanje zaštite podataka poduzeća. Suvremene metode upravljanja rizicima omogućuju rješavanje niza zadataka dugoročnog strateškog razvoja suvremenog poduzeća.

Prvo, kvantificirati trenutnu razinu informacijske sigurnosti poduzeća, što će zahtijevati identifikaciju rizika na pravnoj, organizacijskoj, upravljačkoj, tehnološkoj i tehničkoj razini informacijske sigurnosti.

Drugo, razviti sigurnosnu politiku i planove za poboljšanje sustava korporativne informacijske sigurnosti kako bi se postigla prihvatljiva razina sigurnosti za informacijsku imovinu tvrtke. Za ovo vam je potrebno:

opravdati i izračunati financijska ulaganja u sigurnost na temelju tehnologija analize rizika, povezati troškove sigurnosti s potencijalnom štetom i vjerojatnošću njezina nastanka;

identificirati i odrediti prioritete blokiranja najopasnijih ranjivosti prije napada na ranjive resurse;

odrediti funkcionalne odnose i područja odgovornosti u interakciji odjela i osoba kako bi se osigurala informacijska sigurnost tvrtke, izraditi potreban paket organizacijske i administrativne dokumentacije;

razviti i koordinirati sa službama organizacije, nadzornim tijelima projekt za implementaciju potrebnih zaštitnih kompleksa, uzimajući u obzir trenutnu razinu i trendove u razvoju informacijskih tehnologija;

osigurati održavanje izvedenog kompleksa zaštite u skladu s promjenjivim uvjetima rada organizacije, redovite revizije organizacijske i upravne dokumentacije, izmjene tehnoloških procesa i modernizaciju tehničkih sredstava zaštite.

Rješavanje ovih zadataka otvara nove mogućnosti dužnosnicima na različitim razinama.

To će pomoći višim menadžerima da objektivno i neovisno procijene trenutnu razinu informacijske sigurnosti tvrtke, osiguraju formiranje jedinstvene sigurnosne strategije, izračunaju, dogovore i opravdaju potrebne troškove za zaštitu tvrtke. Na temelju dobivene ocjene voditelji odjela i službi moći će izraditi i obrazložiti potrebne organizacijske mjere (sastav i strukturu službe informacijske sigurnosti, odredbe o poslovnoj tajni, paket opisa poslova i upute za postupanje u hitne situacije). Srednji menadžeri će moći razumno odabrati alate informacijske sigurnosti, te prilagoditi i koristiti u svom radu kvantitativne pokazatelje za procjenu informacijske sigurnosti, metode procjene i upravljanja sigurnošću s obzirom na ekonomsku učinkovitost poduzeća.

Praktične preporuke za neutraliziranje i lokaliziranje identificiranih ranjivosti sustava, dobivene kao rezultat analitičkih studija, pomoći će u radu na problemima informacijske sigurnosti na različitim razinama i, što je najvažnije, odrediti glavna područja odgovornosti, uključujući materijal, za nepravilno korištenje informacijska imovina tvrtke. Pri utvrđivanju opsega odgovornosti za štetu prouzročenu poslodavcu, uključujući i odavanje poslovne tajne, treba se rukovoditi odgovarajućim odredbama Zakona o radu.

1. Analitički dio

1 Pojam informacijske sigurnosti

Informacijska sigurnost je skup mjera usmjerenih na osiguranje informacijske sigurnosti.

Informacijska sigurnost složena je zadaća usmjerena na osiguranje sigurnosti koja se provodi implementacijom sigurnosnog sustava. Problem informacijske sigurnosti višestruk je i složen te obuhvaća niz važnih zadataka. Problemi informacijske sigurnosti stalno se pogoršavaju procesima prodora tehničkih sredstava za obradu i prijenos podataka, a prije svega računalnih sustava u sve sfere društva.

Pojam "informacijska sigurnost" nedavno je ušao u široku upotrebu, iako se rad suvremenog poduzeća ne može zamisliti bez osobnih računala. Za to postoji jednostavno objašnjenje: količina informacija koje se obrađuju i pohranjuju u elektroničkom obliku za prosječno poduzeće milijunima je puta veća u usporedbi s “papirom”. Na računala se instalira softver koji je teško postaviti, stvaraju se obrasci interakcije između računala i programa koje je teško obnoviti, a obični korisnici obrađuju ogromne količine podataka. Jasno je da će svaki poremećaj u radu izgrađenog tehnološkog lanca dovesti do određenih gubitaka za poduzeće. Dakle, pod informacijskom sigurnošću (IS) podrazumijevamo sigurnost informacijskog okruženja poduzeća od vanjskih i unutarnjih prijetnji njegovom formiranju, korištenju i razvoju.

U velikim poduzećima postoje posebne službe sa značajnim proračunom, čiji zadaci uključuju pružanje informacijske sigurnosti, prepoznavanje, lokaliziranje i uklanjanje prijetnji informacijskoj sigurnosti poduzeća. Koriste poseban skup softver i hardver, ponekad toliko težak za održavanje da je za rad s njim potrebna posebna obuka osoblja. Zadaci upravljanja informacijskom sigurnošću u takvim organizacijama često se svode na izdavanje uputa s ključnim riječima: “produbiti”, “proširiti”, “poboljšati”, “osigurati” itd. Sav rad na osiguravanju informacijske sigurnosti provodi se neprimjetno od strane uprave zaposlenika relevantnih službi, a opis njihovih metoda rada tema je za poseban veliki članak.

Istodobno se malo pažnje posvećuje informacijskoj sigurnosti malih poduzeća s malim brojem radnih mjesta za stručnjake (često ne više od 50). No, trenutna organizacijska i tehnička situacija u ovom trenutku je takva da većina postojećih prijetnji IS-a, zbog dobre zaštite velikih poduzeća od njih, postaje relevantna upravo za manje tvrtke. Obično takva poduzeća imaju vrlo skroman proračun za IT, što im omogućuje kupnju samo potrebne opreme, softvera i održavanje jednog administratora sustava.

Do danas su formulirana tri osnovna načela koja bi trebala osigurati informacijska sigurnost:

cjelovitost podataka - zaštita od kvarova koji dovode do gubitka informacija, kao i zaštita od neovlaštenog stvaranja ili uništenja podataka;

povjerljivost podataka;

Postoje i druge ne uvijek obvezne kategorije sigurnosnog modela:

non-repudiation or appellability - nemogućnost odbijanja autorstva;

odgovornost - osiguranje identifikacije subjekta pristupa i registracije njegovih radnji;

pouzdanost - svojstvo usklađenosti s namjeravanim ponašanjem ili rezultatom;

autentičnost ili autentičnost - svojstvo koje jamči da je predmet ili izvor identičan onome za koji se tvrdi.

2Pojam sigurnosne politike

Politika informacijske sigurnosti (ISP) skup je sigurnosnih smjernica, pravila, postupaka i praksi kojima je cilj zaštititi osjetljive informacije.

Svrha politike informacijske sigurnosti:

formuliranje ciljeva i zadataka informacijske sigurnosti organizacije s poslovne točke gledišta (omogućuje vam da to odredite za menadžment i pokažete podršku menadžmenta važnosti informacijske sigurnosti),

određivanje pravila organizacije rada u poduzeću radi minimiziranja rizika informacijske sigurnosti i poboljšanja učinkovitosti poslovanja.

Zahtjevi politike informacijske sigurnosti:

Politika mora biti odobrena od strane najvišeg upravnog tijela tvrtke (CEO, upravni odbor, itd.) kako bi se pokazala potpora uprave.

Politika informacijske sigurnosti treba biti napisana jezikom razumljivim krajnjim korisnicima i upravi tvrtke te biti što sažetija.

Politika IS-a treba definirati ciljeve IS-a, kako ih postići te odgovornosti. Tehnički detalji provedbe metoda sadržani su u uputama i pravilnicima na koje se poziva Politika.

Minimizirajte utjecaj sigurnosne politike na proizvodni proces.

Kontinuirano usavršavanje zaposlenika i menadžmenta organizacije u pitanjima informacijske sigurnosti

Kontinuirano praćenje provedbe pravila sigurnosne politike u fazi implementacije iu budućnosti.

Kontinuirano poboljšanje sigurnosnih politika.

Dosljednost u stavovima i stvaranje korporativne kulture sigurnosti.

Predlaže se sljedeća struktura PIB-a:

· Opće odredbe (pozivanje na zakone, propise i druge upravljačke dokumente kojima podliježu aktivnosti organizacije),

· Potvrda važnosti informacijske sigurnosti za organizaciju i formuliranje ciljeva zaštite informacija sa stajališta poslovanja organizacije (usklađenost sa zahtjevima zakonskih i drugih standarda, ispunjavanje očekivanja kupaca i partnera, povećanje konkurentnosti, financijska stabilnost). i imidž organizacije).

· Opis strategije organizacije za osiguranje informacijske sigurnosti (na primjer, usklađenost sa zakonskim zahtjevima, procjena i upravljanje rizikom).

· Opseg PIB-a (na primjer, PIB je obavezan za sve zaposlenike i menadžment organizacije, ili zasebne podružnice, ili zaposlenike koji koriste prijenosna računala)

· Opis predmeta zaštite (zaštićeni resursi - informacije raznih kategorija, informacijska infrastruktura i sl.)

· Ciljevi i ciljevi informacijske sigurnosti (na primjer, smanjenje prijetnji IS-a na prihvatljivu razinu, prepoznavanje potencijalnih prijetnji i ranjivosti IS-a, sprječavanje incidenata IS-a)

· Prijetnje i model prekršitelja koji se uzimaju u obzir za ovu organizaciju (po izvorima nastanka, po metodama provedbe, po smjeru)

· Kratko objašnjenje načela politike informacijske sigurnosti:

o pristup izgradnji ISMS-a,

o zahtjevi za obuku i svijest osoblja u području informacijske sigurnosti,

o posljedice i odgovornost za kršenje PIB-a,

o pristup upravljanju rizikom,

o određivanje organizacijske strukture, općih i posebnih odgovornosti za upravljanje informacijskom sigurnošću, uključujući izvješća o incidentima,

o veze na dokumentaciju koja može poduprijeti politiku, kao što su privatne sigurnosne politike i procedure za specifične informacijske sustave ili sigurnosna pravila koja korisnici moraju slijediti.

o mehanizme praćenja provedbe odredaba PIB-a,

o postupak pregleda i usvajanja promjena politike.

Nakon odobrenja politike IS potrebno je:

· Upoznati redovne zaposlenike s odredbama politike informacijske sigurnosti, potpolitika, postupaka i uputa protiv potpisa tijekom njihove početne i naknadne periodične obuke i informiranja;

· Razviti postupke, upute itd., pojašnjavajući i dopunjavajući politiku (za stručnjake odjela za informacijsku sigurnost);

· Povremeno provjeravajte politiku kako biste održali njezinu primjerenost i učinkovitost;

· Provoditi periodične revizije usklađenosti zaposlenika s odredbama politike uz izvješće Upravi organizacije.

· Osim toga, opis poslova odgovornog osoblja, propisi o pododsjecima, ugovorne obveze organizacije trebaju uključivati ​​odgovornosti za osiguranje informacijske sigurnosti.

Kao rezultat toga, ne samo da se stvara dokumentarna baza ISMS-a, već postoji i stvarna raspodjela odgovornosti za osiguranje sigurnosti informacija među osobljem organizacije.

Životni ciklus sigurnosne politike:

Planiranje

Početna sigurnosna revizija

provođenje ankete,

identifikaciju resursa kojima je potrebna zaštita

procjena rizika.

Tijekom revizije analizira se trenutno stanje informacijske sigurnosti, identificiraju se postojeće ranjivosti, najkritičnija područja poslovanja i najosjetljiviji poslovni procesi na sigurnosne prijetnje.

Razvoj sigurnosne politike:

Određeni su glavni uvjeti, zahtjevi i osnovni sustav mjera za osiguranje informacijske sigurnosti u organizaciji, čime se rizici smanjuju na prihvatljivu vrijednost.

Sastavljaju se u obliku odluka dogovorenih u okviru radne skupine i odobrenih od strane uprave organizacije.

Implementacija PIB-a

Rješavanje tehničkih, organizacijskih i disciplinskih problema.

Ispitivanje

Revizija i kontrola.

Podešavanje

Periodična revizija i prilagodba te izmjene izvornih podataka.

informacijski sustav zaštite računala

1.3Suvremena sredstva fizičke, hardverske i programske zaštite informacija

Glavni cilj svakog sustava informacijske sigurnosti je osigurati stabilno funkcioniranje objekta: spriječiti prijetnje njegovoj sigurnosti, zaštititi legitimne interese vlasnika informacija od nezakonitih zahvata, uključujući kaznena djela u sferi odnosa koji se razmatraju, predviđena Kaznenog zakona, osiguravajući normalne proizvodne aktivnosti svih odjela objekta. Drugi zadatak je poboljšati kvalitetu pruženih usluga i jamčiti sigurnost imovinskih prava i interesa klijenata. Za ovo vam je potrebno:

podatke uvrstiti u kategoriju ograničenog pristupa (službena tajna);

predvidjeti i pravodobno identificirati prijetnje sigurnosti informacijskih resursa, uzroke i uvjete koji pridonose nanošenju financijske, materijalne i moralne štete, poremećaju njegova normalnog funkcioniranja i razvoja;

stvoriti uvjete rada s najmanjom vjerojatnošću sigurnosnih prijetnji informacijskim resursima i raznim vrstama oštećenja;

stvoriti mehanizam i uvjete za promptnu reakciju na prijetnje informacijskoj sigurnosti i manifestacije negativnih trendova u funkcioniranju, učinkovito suzbijanje zadiranja u resurse na temelju zakonskih, organizacijskih i tehničkih mjera i sredstava osiguranja sigurnosti;

stvoriti uvjete za maksimalno moguće obeštećenje i lokaliziranje štete nastale protupravnim radnjama fizičkih i pravnih osoba te na taj način ublažiti mogući negativni utjecaj posljedica narušavanja informacijske sigurnosti.

Pri izradi sigurnosne politike može se koristiti sljedeći model (Slika 1), koji se temelji na prilagodbi Općih kriterija (ISO 15408) i analize rizika (ISO 17799). Ovaj model u skladu je s posebnim regulatornim dokumentima za osiguranje informacijske sigurnosti usvojenim u Ruskoj Federaciji, međunarodnim standardom ISO / IEC 15408 "Informacijska tehnologija - metode zaštite - kriteriji za procjenu informacijske sigurnosti", standardom ISO / IEC 17799 "Upravljanje informacijskom sigurnošću ".

Riža. 1 Model izgradnje korporativnog sustava informacijske sigurnosti

Prikazani model je skup objektivnih vanjskih i unutarnjih čimbenika i njihov utjecaj na stanje informacijske sigurnosti u objektu i na sigurnost materijalnih ili informacijskih resursa.

Razmatraju se sljedeći objektivni čimbenici:

prijetnje informacijskoj sigurnosti, karakterizirane vjerojatnošću pojavljivanja i vjerojatnošću provedbe;

ranjivosti informacijskog sustava ili sustava protumjera (informacijski sigurnosni sustavi) koje utječu na vjerojatnost realizacije prijetnje; - rizik - čimbenik koji odražava moguću štetu organizaciji kao rezultat implementacije prijetnje informacijskoj sigurnosti: curenje informacija i njihova zlouporaba (rizik u konačnici odražava vjerojatne financijske gubitke - izravne ili neizravne).

Za izradu učinkovite sigurnosne politike potrebno je prvotno provesti analizu rizika u području informacijske sigurnosti. Zatim odredite optimalnu razinu rizika za poduzeće na temelju zadanog kriterija. Sigurnosna politika i pripadajući korporativni sustav zaštite informacija moraju biti izgrađeni na način da se postigne zadana razina rizika.

Predložena metodologija za razvoj politike informacijske sigurnosti za moderno poduzeće omogućuje potpunu analizu i dokumentiranje zahtjeva povezanih s osiguranjem informacijske sigurnosti, izbjegavanje troškova nepotrebnih sigurnosnih mjera koje su moguće uz subjektivnu procjenu rizika, pomoć u planiranju i provedbi zaštite u svim fazama životnog ciklusa informacijskih sustava, kako bi se osiguralo da se posao izvede u kratkom vremenu, kako bi se dalo obrazloženje za izbor protumjera, kako bi se ocijenila učinkovitost protumjera, kako bi se usporedile različite opcije za protumjere.

U tijeku rada potrebno je utvrditi granice studija. Za to je potrebno alocirati resurse informacijskog sustava za koje će se u budućnosti dobiti procjene rizika. Pritom je potrebno razdvojiti razmatrane resurse i vanjske elemente s kojima se ostvaruje interakcija. Resursi mogu biti računalna oprema, programska oprema, podaci, kao i informacijski resursi - pojedinačni dokumenti i pojedinačni nizovi dokumenata, dokumenti i nizovi dokumenata u informacijskim sustavima (knjižnice, arhivi, fondovi, banke podataka, drugi informacijski sustavi). Primjeri vanjskih elemenata su komunikacijske mreže, vanjske usluge i slično.

Prilikom izrade modela vodit će se računa o odnosima između resursa. Na primjer, kvar bilo koje opreme može dovesti do gubitka podataka ili kvara drugog kritičnog elementa sustava. Takvi odnosi određuju osnovu za izgradnju organizacijskog modela sa stajališta informacijske sigurnosti.

Ovaj model, u skladu s predloženom metodologijom, izgrađen je na sljedeći način: za dodijeljene resurse utvrđuje se njihova vrijednost, kako u smislu mogućih financijskih gubitaka povezanih s njima, tako iu smislu štete ugledu organizacije, dezorganizacije svojih aktivnosti, nematerijalne štete od otkrivanja povjerljivih podataka i sl. Zatim se opisuju odnosi resursa, utvrđuju se sigurnosne prijetnje i procjenjuju vjerojatnosti njihove implementacije.

Na temelju konstruiranog modela moguće je razumno odabrati sustav protumjera koji smanjuje rizike na prihvatljive razine i ima najveću troškovnu učinkovitost. Dio sustava protumjera bit će preporuke za provođenje redovitih pregleda učinkovitosti sustava zaštite.

Osiguravanje povećanih zahtjeva za informacijskom sigurnošću uključuje odgovarajuće mjere u svim fazama životnog ciklusa informacijske tehnologije. Planiranje ovih aktivnosti provodi se nakon završetka faze analize rizika i odabira protumjera. Obavezni dio ovih planova je periodična provjera usklađenosti postojećeg režima IS sa sigurnosnom politikom, certifikacija informacijskog sustava (tehnologije) za usklađenost sa zahtjevima određenog sigurnosnog standarda.

Po završetku radova moći će se odrediti mjera osiguranja sigurnosti informacijskog okruženja, na temelju procjene kojom se informacijskom okruženju objekta može vjerovati. Ovaj pristup pretpostavlja da veća sigurnost proizlazi iz većeg truda u procjeni sigurnosti. Adekvatnost ocjene temelji se na uključivanju u proces procjene većeg broja elemenata informacijskog okruženja objekta, dubini postignutoj korištenjem većeg broja projekata i opisima izvedbenih detalja u projektiranju objekta. sigurnosni sustav, strogost, koja se sastoji u korištenju većeg broja alata i metoda za pretraživanje s ciljem otkrivanja manje očitih ranjivosti ili smanjenja vjerojatnosti njihove prisutnosti.

Važno je zapamtiti da je prije implementacije bilo kojeg rješenja informacijske sigurnosti potrebno razviti sigurnosnu politiku koja je primjerena ciljevima modernog poduzeća. Posebno, sigurnosna politika treba opisati dodjelu i korištenje korisničkih prava pristupa, kao i zahtjev da korisnici budu odgovorni za svoje postupke u sigurnosnim pitanjima. Sustav informacijske sigurnosti (ISS) bit će učinkovit ako pouzdano podržava provedbu pravila sigurnosne politike i obrnuto. Faze izgradnje sigurnosne politike su dodavanje strukture vrijednosti opisu objekta automatizacije i provođenje analize rizika, te određivanje pravila za bilo koji proces korištenja ove vrste pristupa resursima objekta automatizacije koji imaju određeni stupanj vrijednosti. Istodobno, poželjno je izraditi sigurnosnu politiku u obliku zasebnog dokumenta i odobriti je od strane uprave poduzeća.

4.Formulacija problema

Za postizanje ovog cilja potrebno je riješiti sljedeće zadatke:

· Odrediti ciljeve i zadatke informacijske sigurnosti u poduzeću.

· Odaberite model sigurnosne politike za ovu organizaciju.

Napravite pristupnu matricu

Definirajte skupinu zahtjeva za AS

Odredite sigurnosnu klasu AU i zahtjeve za nju

Odrediti glavne objekte zaštite u poduzeću

Odrediti predmet zaštite u poduzeću

Identificirati moguće prijetnje zaštićenim informacijama u poduzeću i njihovoj strukturi

Identificirati izvore, vrste i metode destabilizirajućeg utjecaja na zaštićene informacije u poduzeću

· Identificirati kanale i metode neovlaštenog pristupa zaštićenim informacijama u poduzeću

Odrediti glavne pravce, metode i sredstva zaštite informacija u poduzeću

Ciljevi informacijske sigurnosti poduzeća su:

Sprječavanje krađe, curenja, gubitka, iskrivljavanja, krivotvorenja povjerljivih informacija (poslovne tajne i osobni podaci);

sprječavanje prijetnji sigurnosti pojedinca i poduzeća;

Sprječavanje neovlaštenih radnji uništavanja, izmjene, iskrivljavanja, kopiranja, blokiranja povjerljivih informacija;

· sprječavanje drugih oblika protupravnog uplitanja u informacijske izvore i sustave, osiguranje pravnog režima dokumentiranih informacija kao predmeta vlasništva;

zaštita ustavnih prava građana na čuvanje osobne tajnosti i povjerljivosti osobnih podataka dostupnih u informacijskim sustavima;

· čuvanje, tajnost dokumentiranih podataka u skladu sa zakonom.

Zadaci informacijske sigurnosti u poduzeću uključuju:

Osiguravanje upravljanja, financijskih i marketinških aktivnosti poduzeća režimskim informacijskim uslugama, odnosno opskrba svih službi, odjela i službenika potrebnim podacima, klasificiranim i neklasificiranim.

Jamčenje sigurnosti podataka, njihovih sredstava, sprječavanje curenja zaštićenih podataka i sprječavanje bilo kakvog neovlaštenog pristupa nositeljima klasificiranih podataka.

Razvoj mehanizama za brz odgovor na prijetnje, korištenje pravnih, ekonomskih, organizacijskih, socio-psiholoških, inženjerskih i tehničkih sredstava i metoda za prepoznavanje i neutraliziranje izvora prijetnji sigurnosti poduzeća.

Dokumentiranje procesa zaštite podataka, posebice podataka koji predstavljaju poslovnu tajnu.

Organizacija posebnih uredskih poslova, isključujući neovlašteno primanje povjerljivih podataka.

· Naredbe, odluke, propisi, upute, sporazumi i obveze tajnosti, nalozi, ugovori, planovi, izvješća, izjava o upoznavanju s Uredbom o povjerljivim podacima i drugi dokumenti koji predstavljaju poslovnu tajnu, u papirnatom i elektroničkom obliku.

2. Dizajnerski dio

Učinkovitost moderne organizacije danas sve više određuje stupanj korištenja informacijske tehnologije u procesu njezina funkcioniranja. Kontinuirano raste kako količina informacija koje se elektronički obrađuju, tako i broj različitih informacijskih sustava. S tim u vezi, razvoj sigurnosne politike i zaštita informacija u poduzeću dolazi do izražaja u zadaći osiguranja sigurnosti poduzeća.

Osiguranje zaštite informacija predviđa potrebu zaštite nekoliko vrsta tajni: poslovnih i osobnih podataka. Najvažnija je zaštita osobnih podataka, budući da se povjerenje kupaca prvenstveno temelji na davanju njihovih osobnih podataka, a samim time i na očuvanju njihovih zaposlenika organizacije.

Stoga je svrha osiguranja sigurnosti u studiju razviti sigurnosnu politiku i osigurati pouzdanu zaštitu informacija u poduzeću za njegovo normalno funkcioniranje.

1 Izbor i obrazloženje modela informacijske sigurnosti

Glavni objekti zaštite u studiju su:

Osoblje (budući da je ovim osobama dopušteno raditi sa zakonom zaštićenim informacijama (poslovne tajne, osobni podaci) ili imaju pristup prostorijama u kojima se te informacije obrađuju)

objekti informatizacije - sredstva i sustavi informatizacije, tehnička sredstva za primanje, prijenos i obradu informacija, prostori u kojima su ugrađeni,

Ograničene informacije:

poslovna tajna (podaci o korištenim izvornim metodama upravljanja poduzećem, podaci o pripremi, donošenju i izvršenju pojedinačnih odluka uprave poduzeća o gospodarskim, organizacijskim i drugim pitanjima; podaci o činjenicama ponašanja, ciljevima, predmetu i rezultatima sastanci i sastanci organa upravljanja organizacije (partneri upravljanja itd.);

osobni podaci zaposlenika (prezime, ime, patronim, godina, mjesec, datum i mjesto rođenja, adresa, bračno stanje, stručna sprema, zanimanje, stručna sprema, prihodi, kazneni dosje i neki drugi podaci koje poslodavac zahtijeva u vezi s radnih odnosa i koji se odnose na konkretnog radnika).

osobni podaci klijenata (prezime, ime, patronim, datum rođenja, broj telefona, podaci o narudžbi i osobni popusti)

Zaštićeni od gubitka javno dostupni podaci:

dokumentirane informacije koje reguliraju status poduzeća, prava, dužnosti i odgovornosti njegovih zaposlenika (Povelja, registar, memorandum o osnivanju, propis o djelatnosti, propis o strukturnim odjelima, opis poslova zaposlenika)

materijalni nositelji pravno zaštićenih podataka (osobni dosjei zaposlenika, osobni dosjei klijenata, elektroničke baze podataka zaposlenika i klijenata, tiskane i elektroničke verzije naloga, odluka, planova, ugovora, izvješća koja predstavljaju poslovnu tajnu)

Alati za informacijsku sigurnost (antivirusni programi, alarmni i videonadzorni sustavi, protupožarni sustavi.)

Tehnološki otpad (smeće) nastao obradom zakonom zaštićenih podataka (osobni dosjei bivših klijenata i zaposlenika)

Predmet zaštite podataka u studiju su mediji na kojima se snimaju i prikazuju zaštićeni podaci:

· Osobni dosjei klijenata u papirnatom i elektroničkom (baza podataka klijenata i zaposlenika) obliku;

· Naredbe, odluke, propisi, upute, sporazumi i obveze tajnosti, nalozi, ugovori, planovi, izvješća, izjava o upoznavanju s Uredbom o povjerljivim podacima i drugi dokumenti koji predstavljaju poslovnu tajnu, u papirnatom i elektroničkom obliku.

Prijetnje zaštićenim informacijama.

Vanjske prijetnje:

· Konkurenti (privatni studiji koji su konkurenti studiju Vilden);

Tijela uprave (tijela javne vlasti);

· Kriminalci.

Unutarnje prijetnje:

· Osoblje;

· Administracija poduzeća.

Klasifikacija prijetnji:

Po objektima:

1. Osoblje;

2. Materijalne vrijednosti;

3. Financijske vrijednosti.

Po oštećenju:

1. Materijal;

2. Moralni.

Što se tiče oštećenja:

1. Ultimate (potpuna propast);

2. Značajan (neki bruto prihod);

3. Beznačajan (gubitak dobiti).

U odnosu na objekt:

1. Unutarnji;

2. Vanjski.

Vjerojatnost pojave:

1. Vrlo vjerojatno;

2. Vjerojatno;

3. Malo vjerojatno.

Po prirodi utjecaja:

1. Aktivan;

2. Pasivno.

Zbog manifestacije:

1. Prirodno;

2. Namjerno.

Izvori destabilizirajućeg utjecaja na informacije uključuju:

tehnička sredstva za prikazivanje (fiksiranje), pohranjivanje, obradu, reprodukciju, prijenos informacija, komunikacijska sredstva i sustavi za osiguranje njihova funkcioniranja;

prirodni fenomen.

Vrste i načini destabilizirajućeg utjecaja na zaštićene podatke razlikuju se prema izvorima utjecaja. Najveći broj vrsta i metoda destabilizirajućeg utjecaja vezan je uz ljude.

Od strane ljudi mogući su sljedeći tipovi utjecaja koji dovode do destrukcije, izobličenja i blokiranja:

Izravni utjecaj na medije zaštićenih informacija.

Neovlaštena distribucija povjerljivih informacija.

Onesposobljavanje tehničkih sredstava za prikaz, pohranu, obradu, reprodukciju, prijenos informacija i komunikacijskih sredstava.

Kršenje načina rada navedenih sredstava i tehnologije obrade informacija.

Onesposobljavanje i kršenje načina rada sustava za osiguranje funkcioniranja tih sredstava.

verbalni prijenos (poruka) informacija;

prijenos kopija (slika) nosača informacija;

prikazni mediji;

unos informacija u računalne mreže;

korištenje informacija u otvorenim javnim govorima, uklj. na radiju, televiziji;

gubitak medija.

Načini kršenja načina rada tehničkih sredstava za prikaz, pohranjivanje, obradu, reprodukciju, prijenos informacija, sredstava komunikacije i tehnologije obrade informacija, koji dovode do uništenja, izobličenja i blokiranja informacija, mogu biti:

oštećenje pojedinih elemenata sredstava;

kršenje pravila za rad fondova;

izmjene postupka obrade informacija;

infekcija programa za obradu informacija zlonamjernim softverom;

izdavanje netočnih programskih naredbi;

prekoračenje procijenjenog broja zahtjeva;

stvaranje smetnji u radijskom eteru uz pomoć dodatne pozadine zvuka ili buke, mijenjanje (preklapanje) frekvencija prijenosa informacija;

prijenos lažnih signala - povezivanje filtara za suzbijanje na informacijske krugove, krugove napajanja i uzemljenja;

kršenje (promjena) načina rada sustava za osiguranje funkcioniranja sredstava.

Vrste destabilizirajućeg djelovanja na zaštićene informacije tehničkih sredstava za prikazivanje, pohranjivanje, obradu, reprodukciju, prijenos informacija i komunikacijskih sredstava te sustava za osiguranje njihova funkcioniranja uključuju kvar sredstava; smetnje u radu sredstava i stvaranje elektromagnetskog zračenja.

Najvjerojatniji kanali za curenje informacija uključuju:

vizualno promatranje;

prisluškivanje

tehnički nadzor;

izravno ispitivanje, inkvizicija;

upoznavanje s materijalima, dokumentima, proizvodima itd.;

zbirka otvorenih dokumenata i drugih izvora informacija;

Krađa dokumenata i drugih izvora informacija;

proučavanje mnogih izvora informacija koji u dijelovima sadrže potrebne informacije.

Pravci zaštite informacija.

Pravna zaštita - posebna pravna pravila, postupci i mjere stvorene kako bi se osigurala informacijska sigurnost poduzeća.

Organizacijska zaštita – reguliranje proizvodnih djelatnosti i odnosa među izvođačima na pravnoj osnovi koja koristi štetu. Organizacijska zaštita osigurava:

Organizacija sigurnosnog režima, rad s osobljem, dokumenti;

Korištenje tehničke sigurnosne opreme;

Korištenje informacija i analitički rad za prepoznavanje prijetnji.

Inženjersko-tehnička zaštita - korištenje različitih tehničkih sredstava za osiguranje zaštite povjerljivih informacija. Inženjerska i tehnička zaštita koristi sredstva kao što su:

Fizički - uređaji, inženjerske strukture, organizacijske mjere koje isključuju ili ometaju prodor do izvora povjerljivih informacija (sustavi ograde, sustavi kontrole pristupa, uređaji za zaključavanje i skladišta);

Hardver - uređaji koji štite od curenja, otkrivanja i tehnička sredstva industrijske špijunaže

Softver.

Metode informacijske sigurnosti.

Glavne metode koje se koriste u informacijskoj sigurnosti su sljedeće:

Implementacija sustava dozvola za pristup korisnicima (osoblju održavanja) informacijskim izvorima, informacijskom sustavu i povezanim poslovima i dokumentima;

· razlikovanje pristupa korisnika i servisnog osoblja informacijskim izvorima, programska obrada (prijenos) i zaštita informacija;

redundantnost tehničkih sredstava, umnožavanje nizova i nositelja informacija;

korištenje alata za informacijsku sigurnost koji su prošli postupak ocjenjivanja sukladnosti na propisani način;

organizacija fizičke zaštite prostora i stvarnih tehničkih sredstava koja omogućuju obradu osobnih podataka;

Sprječavanje unošenja zloćudnih programa (virus programa) i softverskih knjižnih oznaka u informacijske sustave.

Načela računovodstva klasificiranih podataka:

obvezna registracija svih nositelja zaštićenih podataka;

jedinstvena registracija određenog nositelja takvih informacija;

naznaku u evidenciji adrese na kojoj se predmetni nositelj klasificiranih podataka trenutno nalazi;

isključivu odgovornost za sigurnost svakog nositelja zaštićenih informacija i odraz na računima korisnika ovih informacija u ovom trenutku, kao i svih prethodnih korisnika ovih informacija.

Alati za informacijsku sigurnost

Sredstva informacijske sigurnosti skup su inženjerskih, električnih, elektroničkih, optičkih i drugih uređaja i uređaja, uređaja i tehničkih sustava, kao i drugih stvarnih elemenata koji se koriste za rješavanje različitih problema zaštite informacija, uključujući sprječavanje curenja i osiguranje sigurnosti zaštićenih podataka. informacija.

Kao osnova za klasifikaciju alata za informacijsku sigurnost koriste se glavne skupine zadataka koji se rješavaju uz pomoć tehničkih sredstava:

stvaranje fizičkih (mehaničkih) prepreka na putu prodora uljeza do nositelja informacija (rešetke, sefovi, brave itd.);

utvrđivanje pokušaja prodora u objekt zaštite, do mjesta koncentracije nositelja zaštićenih informacija (elektronički i elektrooptički signalni uređaji);

hitno upozoravanje (požar, poplava itd.) i hitno reagiranje (oprema za gašenje požara itd.);

održavanje komunikacije s različitim odjelima, prostorijama i drugim točkama sigurnosnog objekta;

neutralizacija, apsorpcija ili refleksija zračenja od upravljanih ili ispitanih proizvoda (zasloni, zaštitni filtri, uređaji za razdvajanje u mrežama napajanja itd.);

sveobuhvatnu provjeru tehničkih sredstava za obradu informacija i dodijeljenih prostorija za usklađenost sigurnosnih zahtjeva obrađenih govornih informacija s utvrđenim standardima;

kompleksna zaštita informacija u sustavima automatizirane obrade podataka korištenjem filtara, elektroničkih brava i ključeva u svrhu sprječavanja neovlaštenog pristupa, kopiranja ili iskrivljavanja informacija.

Poznavanje mogućnosti metoda i sredstava zaštite podataka omogućuje vam njihovu aktivnu i sveobuhvatnu primjenu pri razmatranju i korištenju pravnih, organizacijskih i inženjerskih mjera zaštite povjerljivih podataka.

Model sigurnosne politike.

Trenutno se najbolje proučavaju dvije vrste sigurnosnih politika: diskrecijska i obvezna, koja se temelji na selektivnim i autoritativnim metodama kontrole pristupa.

Treba napomenuti da sigurnosni alati dizajnirani za implementaciju bilo koje od ovih metoda kontrole pristupa samo daju pouzdane mogućnosti kontrole pristupa ili protoka informacija. Utvrđivanje prava pristupa subjekata objektima i/ili informacijskim tokovima (dozvole subjekata i atributi objekta, dodjela oznaka kritičnosti i sl.) u nadležnosti je administracije sustava.

Obavezna kontrola pristupa (MAC) sustavu znači da su informacije dostupne neovisno o njihovom vlasniku. U pravilu se u takvim slučajevima kontrola pristupa provodi na temelju svojstava same informacije i svojstava osobe koja joj želi pristupiti prema pravilima neovisnim o njima obojici.

Tipično za modele namijenjene implementaciji u vojne i državne sustave zaštite.

Strogo govoreći, kriteriji za određivanje kojoj klasi pripada određena metoda kontrole pristupa ne daju uvijek siguran rezultat, ali su vrlo točni za većinu klasičnih modela sigurnosne politike.

Osnova diskrecijske (diskretne) sigurnosne politike je diskrecijska kontrola pristupa (DAC), koja je definirana s dva svojstva:

Prava pristupa subjekta objektu sustava određena su na temelju nekog pravila izvan sustava;

Svi subjekti i objekti moraju biti identificirani.

Diskrecijska kontrola pristupa je metoda ograničavanja pristupa objektima koja se temelji na činjenici da neki subjekt (obično vlasnik objekta) može dati ili oduzeti drugim subjektima prava pristupa objektu.

Ovaj model implementira diskrecijsku (arbitrarnu) kontrolu pristupa subjekata objektima i kontrolu raspodjele prava pristupa.

2 Izbor i obrazloženje fizičkih (ne-računalnih) mjera zaštite informacija

Mjere fizičke zaštite podataka uključuju:

zaštita od požara;

zaštita voda;

zaštita od korozivnih plinova;

zaštita od elektromagnetskog zračenja;

zaštita od krađe i krađe;

zaštita od eksplozije;

zaštita od pada krhotina;

zaštita od prašine;

zaštita od neovlaštenog pristupa prostorijama.

Prije svega, morate pripremiti prostoriju u kojoj će stajati računalo.

Onemogućavanje nekorištenih diskovnih pogona, paralelnih i serijskih priključaka na računalu pametan je potez. Poželjno je zapečatiti njegovo tijelo. Sve će to zakomplicirati krađu ili zamjenu informacija, čak i ako napadač nekako uđe u sobu. Nemojte zanemariti trivijalne sigurnosne mjere kao što su željezne rešetke i vrata, šifrirane brave i kamere za video nadzor koje će neprestano snimati sve što se događa u ključnim dijelovima ureda.

Još jedna tipična pogreška povezana je sa sigurnosnom kopijom. Svi znaju za njegovu nužnost, kao i za potrebu posjedovanja aparata za gašenje požara u slučaju požara. Ali iz nekog razloga zaboravljaju da se sigurnosne kopije ne mogu pohraniti u istoj prostoriji s računalom. Kao rezultat toga, obranivši se od informacijskih napada, tvrtke se nađu bespomoćne čak i pred manjim požarom, u kojem promišljeno napravljene kopije stradaju zajedno s računalom.

Često, čak i kada imaju zaštićena računala, zaboravljaju da sve vrste žica također trebaju zaštitu - kabelski sustav mreže. Štoviše, često se morate bojati ne uljeza, već najobičnijih čistača, koji se zasluženo smatraju najgorim neprijateljima lokalnih mreža. Najbolji način zaštite kabela je kutija, ali, u principu, bilo koja druga metoda koja vam omogućuje skrivanje i sigurno pričvršćivanje žica će raditi. Međutim, ne biste trebali izgubiti iz vida mogućnost povezivanja s njima izvana kako biste presreli informacije ili stvorili smetnje, na primjer, ispuštanjem struje. Iako, mora se priznati da ova opcija nije široko rasprostranjena i vidi se samo u kršenju rada velikih tvrtki.

Osim interneta, računala su uključena u još jednu mrežu – onu uobičajenu električnu. Uz njega je povezana još jedna skupina problema vezanih uz fizičku sigurnost računala. Nije tajna da je kvaliteta modernih energetskih mreža daleko od idealne. Čak i ako nema vanjskih znakova anomalija, vrlo često je napon u mreži viši ili niži od normalnog. Istodobno, većina ljudi niti ne sumnja da postoje problemi s opskrbom električnom energijom u njihovom domu ili uredu.

Podnapon je najčešća anomalija i čini oko 85% od ukupnog broja raznih problema s napajanjem. Njegov uobičajeni uzrok je nestašica električne energije, što je osobito često u zimskim mjesecima. Povećani napon je gotovo uvijek rezultat neke vrste nesreće ili oštećenja ožičenja u sobi. Često, kao rezultat odspajanja zajedničke neutralne žice, susjedne faze se napajaju na 380 V. Također se događa da se visoki napon javlja u mreži zbog neispravnog ožičenja.

Izvori impulsnih i visokofrekventnih smetnji mogu biti udari groma, paljenje ili gašenje snažnih potrošača električne energije, havarije na trafostanicama, kao i rad nekih kućanskih električnih uređaja. Najčešće se takve smetnje javljaju u velikim gradovima i industrijskim područjima. Naponski impulsi u trajanju od nanosekundi (10~9 s) do mikrosekundi (10~6 s) mogu doseći amplitudu od nekoliko tisuća volti. Najosjetljiviji na takve smetnje su mikroprocesori i druge elektroničke komponente. Često neprigušeni impulsni šum može dovesti do ponovnog pokretanja računala ili pogreške u obradi podataka. Ugrađeno napajanje računala, naravno, djelomično ublažava udare napona, štiteći elektroničke komponente računala od kvara, ali preostale smetnje i dalje smanjuju vijek trajanja opreme, a također dovode do povećanja temperature u napajanje računala.

Za zaštitu računala od visokofrekventnog impulsnog šuma koriste se prenaponski zaštitnici (na primjer, marke Pilot) koji štite opremu od većine smetnji i naponskih udara. Osim toga, računala s važnim informacijama trebaju biti opremljena neprekinutim napajanjem (UPS). Moderni modeli UPS-a ne samo da održavaju rad računala kada nestane struje, već ga i isključuju iz električne mreže ako je mrežno napajanje izvan dometa.

3 Izbor i obrazloženje hardverskih (računalnih) mjera informacijske sigurnosti

Hardver je tehničko sredstvo koje se koristi za obradu podataka. To uključuje: Osobno računalo (skup tehničkih sredstava dizajniranih za automatsku obradu informacija u procesu rješavanja računalnih i informacijskih problema).

Periferna oprema (skup vanjskih računalnih uređaja kojima ne upravlja izravno središnji procesor).

Fizički nositelji strojnih informacija.

Hardverska zaštita uključuje različite elektroničke, elektro-mehaničke, elektro-optičke uređaje. Do danas je razvijen značajan broj hardvera za razne namjene, ali se najviše koriste sljedeći:

posebni registri za pohranu sigurnosnih detalja: lozinke, identifikacijski kodovi, lešinari ili razine tajnosti;

generatori kodova dizajnirani za automatsko generiranje identifikacijskog koda uređaja;

uređaji za mjerenje individualnih karakteristika osobe (glas, otisci prstiju) radi njezine identifikacije;

posebni sigurnosni bitovi, čija vrijednost određuje razinu sigurnosti informacija pohranjenih u memoriji kojoj ti bitovi pripadaju;

sheme za prekid prijenosa informacija u komunikacijskoj liniji radi povremene provjere adrese izdavanja podataka.Posebna i najraširenija skupina hardverskih zaštitnih uređaja su uređaji za šifriranje informacija (kriptografske metode).

Hardver je osnova za izgradnju sustava za zaštitu od neovlaštenog pristupa informacijama

Tijekom 1990-ih zaposlenici OKB CAD razvili su metodologiju korištenja hardverske zaštite, koja je prepoznata kao neophodna osnova za izgradnju sustava za zaštitu od neovlaštenog pristupa informacijama. Glavne ideje ovog pristupa su sljedeće:

integrirani pristup rješavanju pitanja zaštite informacija u automatiziranim sustavima (AS) od neovlaštenog pristupa. Prepoznavanje multiplikativne paradigme zaštite, te posljedično jednaka pozornost pouzdanosti provedbe upravljačkih postupaka u svim fazama rada NEK;

"materijalističko" rješenje "osnovnog pitanja" informacijske sigurnosti: "što je prvo - tvrdo ili meko?";

dosljedno odbacivanje softverskih metoda kontrole kao očito nepouzdanih i prijenos najkritičnijih kontrolnih postupaka na hardversku razinu;

maksimalno moguće razdvajanje uvjetno stalnih i uvjetno promjenjivih elemenata regulacijskih operacija;

konstrukcija sredstava za zaštitu informacija od neovlaštenog pristupa (SZI NSD), što neovisnija o operativnim i datotečnim sustavima koji se koriste u AS-u. To je implementacija procedura identifikacije/autentikacije, praćenje integriteta hardvera i softvera AS prije učitavanja operativnog sustava, administracija itd.

Gore navedena načela hardverske zaštite implementirana su u hardversko-softverski kompleks sredstava za zaštitu informacija od neovlaštenog pristupa - hardverski modul pouzdanog pokretanja - "Akkord-AMDZ". Ovaj kompleks pruža pouzdan način pokretanja u različitim operativnim okruženjima: MS DOS, Windows 3.x, Windows 9.x, Windows NT/2000/XP, OS/2, Unix, Linux.

Hardver za informacijsku sigurnost uključuje elektroničke i elektromehaničke uređaje koji su uključeni u tehnička sredstva CS-a i obavljaju (samostalno ili u jednom kompleksu sa softverom) neke funkcije informacijske sigurnosti. Kriterij za razvrstavanje uređaja u sklopovlje, a ne u inženjersko-tehnička sredstva zaštite, je obvezno uključivanje u sastav tehničkih sredstava.

Glavni hardverski alati za sigurnost informacija uključuju:

uređaji za unos podataka za identifikaciju korisnika (magnetske i plastične kartice, otisci prstiju itd.);

uređaji za šifriranje informacija;

uređaji za sprječavanje neovlaštenog uključivanja radnih mjesta (elektroničke brave i blokade).

Primjeri informacijske sigurnosti pomoćnog hardvera:

uređaji za uništavanje informacija na magnetskim medijima;

signalni uređaji o pokušajima neovlaštenih radnji korisnika računala i sl.

Hardver dobiva sve više pozornosti ne samo zato što ga je lakše zaštititi od oštećenja i drugih slučajnih ili zlonamjernih napada, već i zato što je hardverska implementacija funkcija brža od softverske implementacije, a njihova cijena stalno pada.

Na tržištu hardverske zaštite pojavljuje se sve više novih uređaja. Opis elektroničke brave naveden je u nastavku kao primjer.

Elektronska brava "Sobol". Sobol, koji je razvio i isporučio CJSC NIP Informzashchita, pruža sljedeće zaštitne funkcije:

identifikacija i autentifikacija korisnika;

kontrola integriteta datoteka i fizičkih sektora tvrdog diska;

blokiranje pokretanja OS-a s diskete i CD-ROM-a;

blokiranje prijave registriranog korisnika kada prekorači navedeni broj neuspješnih pokušaja prijave;

registracija događaja vezanih uz sigurnost sustava.

Hardver za zaštitu operacijskog sustava tradicionalno se shvaća kao skup alata i metoda koji se koriste za rješavanje sljedećih zadataka:

upravljanje operativnom i virtualnom memorijom računala;

raspodjela procesorskog vremena između zadataka u multitasking operativnom sustavu;

sinkronizacija izvršavanja paralelnih zadataka u višezadaćnom operacijskom sustavu;

pružanje zajedničkog pristupa zadacima resursima operacijskog sustava.

Ti se zadaci u velikoj mjeri rješavaju uz pomoć hardverski implementiranih funkcija procesora i ostalih komponenti računala. No, u pravilu se za rješavanje ovih problema koriste i softverski alati, pa stoga pojmovi „zaštitni hardver” i „hardverska zaštita” nisu sasvim točni. No, budući da su ti pojmovi zapravo općeprihvaćeni, mi ćemo ih koristiti.

4 Izbor i obrazloženje programskih mjera informacijske sigurnosti

Softver za zaštitu informacija znači posebne programe uključene u računalni softver isključivo za obavljanje zaštitnih funkcija.

Glavni softver za informacijsku sigurnost uključuje:

Računalni programi za identifikaciju i provjeru autentičnosti korisnika;

Programi za ograničavanje korisničkog pristupa računalnim resursima;

programi za šifriranje informacija;

programe za zaštitu informacijskih resursa (sustavnog i aplikativnog softvera, baza podataka, alata za računalnu obuku i dr.) od neovlaštene izmjene, uporabe i kopiranja.

Treba razumjeti da se identifikacija, u odnosu na osiguranje informacijske sigurnosti računala, razumijeva kao nedvosmisleno prepoznavanje jedinstvenog imena računalnog subjekta. Autentifikacija znači potvrđivanje da prikazano ime odgovara danom subjektu (provjera autentičnosti subjekta).

Softver za informacijsku sigurnost također uključuje:

programe revizije (zapisivanje) događaja vezanih uz sigurnost računala, kako bi se osigurala mogućnost oporavka i dokaza o nastanku tih događaja;

programi za oponašanje rada s počiniteljem (odvraćanje pozornosti na primanje navodno povjerljivih informacija);

programi za kontrolu testova računalne sigurnosti itd.

Prednosti softvera za informacijsku sigurnost uključuju:

jednostavnost replikacije;

fleksibilnost (mogućnost prilagodbe različitim uvjetima korištenja, uzimajući u obzir specifičnosti prijetnji informacijskoj sigurnosti pojedinih računala);

jednostavnost korištenja - neki softverski alati, poput enkripcije, rade u "transparentnom" (korisniku nevidljivom) načinu rada, dok drugi ne zahtijevaju od korisnika nikakve nove (u usporedbi s drugim programima) vještine;

gotovo neograničene mogućnosti za njihov razvoj uvođenjem promjena koje uzimaju u obzir nove prijetnje informacijskoj sigurnosti.

Nedostaci softvera za informacijsku sigurnost uključuju:

smanjenje učinkovitosti računala zbog potrošnje njegovih resursa potrebnih za rad zaštitnih programa;

slabije performanse (u usporedbi sa sličnim hardverskim zaštitama kao što je enkripcija);

spajanje mnogih sigurnosnih softverskih alata (umjesto da su ugrađeni u računalni softver, sl. 4 i 5), što stvara temeljnu mogućnost da ih uljez zaobiđe;

mogućnost zlonamjerne izmjene zaštitnog softvera tijekom rada računala.

Specijalizirani programski alati za zaštitu informacija od neovlaštenog pristupa općenito imaju bolje mogućnosti i karakteristike od ugrađenih alata mrežnog operacijskog sustava. Osim programa za šifriranje, dostupni su i mnogi drugi vanjski alati za sigurnost informacija. Od najčešće spominjanih valja istaknuti sljedeća dva sustava koji omogućuju ograničavanje protoka informacija: - firewall (doslovno firewall - protupožarni zid). Između lokalne i globalne mreže stvaraju se posebni međuposlužitelji koji provjeravaju i filtriraju sav promet mrežnog/transportnog sloja koji prolazi kroz njih. To vam omogućuje da dramatično smanjite prijetnju neovlaštenog pristupa izvana korporativnim mrežama, ali ne eliminira tu opasnost u potpunosti. Sigurnija inačica metode je metoda maskiranja, kada se sav promet koji izlazi iz lokalne mreže šalje u ime poslužitelja vatrozida, čineći lokalnu mrežu gotovo nevidljivom poslužiteljima (proxy - punomoć, osoba od povjerenja). Sav promet mrežnog/transportnog sloja između lokalne i globalne mreže potpuno je zabranjen - jednostavno ne postoji usmjeravanje kao takvo, a pozivi s lokalne mreže na globalnu mrežu odvijaju se preko posebnih posredničkih poslužitelja. Očito, ovom metodom pristup iz globalne mreže u lokalnu mrežu postaje načelno nemoguć. Također je očito da ova metoda ne pruža dovoljnu zaštitu od napada na višim razinama – primjerice, na razini aplikacije (virusi, Java i JavaScript kod).

Pogledajmo pobliže kako funkcionira vatrozid. To je metoda zaštite mreže od sigurnosnih prijetnji iz drugih sustava i mreža centralizacijom i kontrolom pristupa mreži putem hardvera i softvera. Vatrozid je sigurnosna barijera koja se sastoji od nekoliko komponenti (na primjer, usmjerivač ili pristupnik koji pokreće softver vatrozida). Vatrozid je konfiguriran prema internoj politici kontrole pristupa mreži organizacije. Svi dolazni i odlazni paketi moraju proći kroz vatrozid koji dopušta prolaz samo ovlaštenim paketima.

Vatrozid za filtriranje paketa je usmjerivač ili računalo sa softverom konfiguriranim za odbijanje određenih vrsta dolaznih i odlaznih paketa. Filtriranje paketa temelji se na informacijama sadržanim u zaglavljima TCP i IP paketa (adrese pošiljatelja i odredišta, njihovi brojevi portova itd.).

Vatrozid na stručnoj razini – provjerava sadržaj primljenih paketa na tri razine OSI modela – mrežna, sesijska i aplikacijska. Da bi se izvršio ovaj zadatak, koriste se posebni algoritmi za filtriranje paketa za usporedbu svakog paketa s poznatim uzorkom autoriziranih paketa.

Izrada vatrozida odnosi se na rješavanje problema zaštite. Formalna izjava problema skrininga je sljedeća. Neka postoje dva skupa informacijskih sustava. Zaslon je sredstvo za ograničavanje pristupa klijenata iz jednog skupa poslužiteljima iz drugog skupa. Zaslon obavlja svoje funkcije kontrolirajući sve protoke informacija između dva skupa sustava (slika 6). Kontrola protoka sastoji se u njihovom filtriranju, po mogućnosti s nekim transformacijama.

Osim funkcija kontrole pristupa, zasloni bilježe razmjenu informacija.

Obično zaslon nije simetričan, za njega su definirani koncepti "unutra" i "izvana". U ovom slučaju, zadatak zaštite je formuliran kao zaštita unutarnjeg područja od potencijalno neprijateljskog vanjskog. Tako se vatrozidi (ME) najčešće postavljaju za zaštitu korporativne mreže organizacije koja ima pristup Internetu.

Zaštita pomaže u održavanju dostupnosti usluga u unutarnjem području smanjenjem ili uklanjanjem režijskih troškova uzrokovanih vanjskim aktivnostima. Smanjena je ranjivost internih sigurnosnih servisa, budući da napadač prvo mora proći kroz ekran, gdje su zaštitni mehanizmi posebno pažljivo konfigurirani. Osim toga, sustav oklopa, za razliku od univerzalnog, može se postaviti na jednostavniji, a time i sigurniji način.

Zaštita također omogućuje kontrolu protoka informacija usmjerenih prema vanjskom području, što pomaže u održavanju režima povjerljivosti u IS-u organizacije.

Zaštita može biti djelomična, štiteći određene informacijske usluge (npr. zaštita e-pošte).

Ograničavajuće sučelje također se može smatrati nekom vrstom bijega. Nevidljivi objekt teško je napasti, pogotovo s fiksnim skupom alata. U tom smislu, web sučelje je prirodno sigurno, posebno kada se hipertekstualni dokumenti generiraju dinamički. Svaki korisnik vidi samo ono što bi trebao vidjeti. Moguće je povući analogiju između dinamički generiranih hipertekstualnih dokumenata i prikaza u relacijskim bazama podataka, uz značajno upozorenje da su u slučaju Weba mogućnosti puno šire.

Zaštitna uloga web servisa također se jasno očituje kada ovaj servis obavlja posredničke (točnije, integrirajuće) funkcije pri pristupu drugim resursima, kao što su tablice baze podataka. Ne samo da kontrolira tijek zahtjeva, već i skriva stvarnu organizaciju podataka.

Korisnici se identificiraju individualnim ključem u obliku Touch Memory tableta memorije do 64 KB, a autentifikacija se vrši lozinkom duljine do 16 znakova.

Kontrola integriteta osmišljena je kako bi se osiguralo da korisnički programi i datoteke, a posebno datoteke OS sustava, nisu modificirani od strane napadača ili kartice softvera koju je on unio. Da biste to učinili, prije svega, parser datotečnog sustava OS-a ulazi u igru: izračun referentnih vrijednosti ​​i njihova kontrola tijekom učitavanja implementirana je u Sobolu na hardverskoj razini. Konstrukcija popisa kontrole integriteta objekta provodi se pomoću uslužnog programa OS koji, u principu, omogućuje programu presretaču modificiranje tog popisa, a dobro je poznato da je ukupna razina sigurnosti sustava određena razinom sigurnosti najslabija karika.

Šifrirani disk je datoteka spremnika koja može sadržavati bilo koje druge datoteke ili programe (mogu se instalirati i pokrenuti izravno iz ove šifrirane datoteke). Ovaj disk je dostupan samo nakon unosa lozinke za datoteku spremnika - tada se na računalu pojavljuje drugi disk, kojeg sustav prepoznaje kao logički i rad s njim se ne razlikuje od rada s bilo kojim drugim diskom. Nakon odspajanja pogona, logički pogon nestaje, samo postaje "nevidljiv".

Do danas su najčešći programi za izradu šifriranih diskova DriveCrypt, BestCrypt i PGPdisk. Svaki od njih je pouzdano zaštićen od daljinskog hakiranja.

Kriptografija je znanost o osiguravanju podataka. Ona traži rješenja za četiri važna sigurnosna problema - povjerljivost, autentifikacija, integritet i kontrola sudionika u interakciji. Enkripcija je transformacija podataka u nečitljiv oblik pomoću ključeva za šifriranje-dešifriranje. Enkripcija vam omogućuje održavanje povjerljivosti čuvanjem informacija u tajnosti od onih kojima nisu namijenjene.

Kriptografija se bavi traženjem i proučavanjem matematičkih metoda za transformaciju informacija.

Glavni smjerovi korištenja kriptografskih metoda su prijenos povjerljivih informacija komunikacijskim kanalima (na primjer, e-pošta), provjera autentičnosti prenesenih poruka, pohranjivanje informacija (dokumenata, baza podataka) na šifrirane medije.

Virusi mogu ući u stroj na različite načine (preko globalne mreže, preko zaražene diskete ili flash pogona). Posljedice njihova prodora vrlo su neugodne: od uništenja datoteke do poremećaja u radu cijelog računala. Dovoljna je samo jedna zaražena datoteka da zarazi sve informacije na računalu, a potom i cijelu poslovnu mrežu.

Za antivirusnu zaštitu odabran je Dr.Web Enterprise Suite. Ovaj paket pruža centraliziranu zaštitu za korporativnu mrežu bilo koje veličine. Moderno rješenje temeljeno na Dr.Web tehnologijama za korporativne mreže jedinstveni je tehnički kompleks s ugrađenim sustavom za centralizirano upravljanje antivirusnom zaštitom na razini poduzeća. Dr.Web Enterprise Suite omogućuje administratoru koji radi unutar mreže i na udaljenom računalu (putem Interneta) obavljanje potrebnih administrativnih zadataka za upravljanje antivirusnom zaštitom organizacije.

5 Organizacijska podrška

Podcjenjivanje čimbenika sigurnosti u svakodnevnom radu Ahilova je peta mnogih organizacija. Skupi sigurnosni alati su bezvrijedni ako su loše dokumentirani, u sukobu s drugim softverom i ako se lozinka administratora sustava nije promijenila od instalacije.

Mogu se razlikovati sljedeće dnevne aktivnosti:

korisnička podrška;

softverska podrška;

upravljanje konfiguracijom;

sigurnosna kopija;

upravljanje medijima;

dokumentacija;

regulatorni rad.

Podrška korisnicima podrazumijeva prije svega savjetovanje i pomoć pri rješavanju različitih vrsta problema. Ponekad organizacije stvaraju poseban "help desk" za tu svrhu, ali češće se administrator sustava bori protiv korisnika. Vrlo je važno u tijeku pitanja moći prepoznati probleme vezane uz informacijsku sigurnost. Dakle, mnoge poteškoće korisnika pri radu na osobnim računalima mogu biti posljedica zaraze virusom. Preporučljivo je zabilježiti pitanja korisnika kako bi se identificirale njihove tipične pogreške i izdali dopis s preporukama za uobičajene situacije.

Programska potpora jedan je od najvažnijih načina osiguravanja cjelovitosti informacija. Prije svega, morate pratiti koji je softver instaliran na računalima. Ako korisnici sami instaliraju programe, to može dovesti do infekcije virusom, kao i pojave uslužnih programa koji zaobilaze sigurnosne mjere. Također je vjerojatno da će "inicijativa" korisnika postupno dovesti do kaosa na njihovim računalima, a administrator sustava će morati ispraviti situaciju.

Drugi aspekt programske podrške je kontrola odsutnosti neovlaštenih promjena programa i prava pristupa njima. Ovo također uključuje podršku za referentne kopije softverskih sustava. Tipično, kontrola se postiže kombinacijom fizičke i logičke kontrole pristupa, kao i korištenjem uslužnih programa za provjeru i integritet.

Upravljanje konfiguracijom omogućuje vam kontrolu i bilježenje promjena napravljenih u konfiguraciji softvera. Prije svega, potrebno je osigurati se od slučajnih ili loše zamišljenih izmjena, kako bi se barem mogli vratiti na prethodnu radnu verziju. Izvršavanje promjena olakšat će vraćanje trenutne verzije nakon pada.

Najbolji način za smanjenje pogrešaka u rutinskom radu je njegova automatizacija što je više moguće. U pravu su oni "lijeni" programeri i sistemski administratori koji nakon pogleda na more monotonih zadataka kažu: "Neću ovo raditi nizašto; napisat ću program koji će sve raditi umjesto mene." Automatizacija i sigurnost ovise jedna o drugoj; onaj kome je prije svega stalo do olakšanja zadatka, zapravo optimalno oblikuje režim informacijske sigurnosti.

Sigurnosna kopija je neophodna za vraćanje programa i podataka nakon katastrofa. I ovdje je preporučljivo automatizirati rad, barem stvaranjem računalnog rasporeda za izradu potpunih i inkrementalnih kopija, a najviše korištenjem odgovarajućih programskih proizvoda (vidi npr. Jet Info, 2000., 12). Također je potrebno organizirati da kopije budu smještene na sigurno mjesto, zaštićeno od neovlaštenog pristupa, požara, curenja, odnosno od svega što bi moglo dovesti do krađe ili oštećenja medija. Preporučljivo je imati više kopija sigurnosnih kopija, a neke od njih pohraniti izvan organizacije, čime se štitite od većih nezgoda i sličnih incidenata.

S vremena na vrijeme, u svrhu testiranja, trebali biste provjeriti mogućnost oporavka podataka iz kopija.

Upravljanje medijima je neophodno kako bi se osigurala fizička zaštita i odgovornost za diskete, vrpce, ispise i slično. Upravljanje medijima mora osigurati povjerljivost, cjelovitost i dostupnost informacija pohranjenih izvan računalnih sustava. Pod fizičkom zaštitom ovdje se podrazumijeva ne samo odraz pokušaja neovlaštenog pristupa, već i zaštita od štetnih utjecaja okoline (toplina, hladnoća, vlaga, magnetizam). Upravljanje medijima treba pokriti cijeli životni ciklus, od nabave do razgradnje.

Zaključak

Najvažnija mjera zaštite informacija u ovom području je jasna organizacija i kontrola korištenja nositelja informacija.

Napredak je čovječanstvu donio mnoga postignuća, ali je isti napredak iznjedrio i mnoge probleme. Ljudski um, rješavajući neke probleme, neizbježno će se susresti s drugima, novima. Vječni problem je zaštita informacija. U različitim fazama svog razvoja čovječanstvo je rješavalo ovaj problem sa specifičnošću svojstvenom ovom dobu. Izum računala i daljnji brzi razvoj informacijske tehnologije u drugoj polovici 20. stoljeća učinili su problem informacijske sigurnosti jednako aktualnim i akutnim kao što je informatizacija aktualna za cijelo društvo danas. Glavni trend koji karakterizira razvoj suvremenih informacijskih tehnologija je porast broja računalnih zločina is njima povezanih krađa povjerljivih i drugih informacija, kao i materijalnih gubitaka.

Danas vjerojatno nitko neće moći sa sigurnošću navesti točnu brojku ukupnih gubitaka od računalnih zločina povezanih s neovlaštenim pristupom informacijama. To je prije svega zbog nespremnosti pogođenih tvrtki da otkriju informacije o svojim gubicima, kao i činjenice da nije uvijek moguće točno procijeniti gubitke od krađe informacija u novcu.

Mnogo je razloga za aktiviranje računalnog kriminala i financijskih gubitaka povezanih s njim, a najznačajniji su:

prijelaz s tradicionalne "papirnate" tehnologije pohranjivanja i prijenosa informacija na elektroničku i nedovoljna razvijenost tehnologije zaštite informacija u takvim tehnologijama;

unifikacija računalnih sustava, stvaranje globalnih mreža i širenje pristupa informacijskim resursima;

povećanje složenosti programskih alata i s time povezano smanjenje njihove pouzdanosti te povećanje broja ranjivosti.

Računalne mreže zbog svojih specifičnosti jednostavno ne mogu normalno funkcionirati i razvijati se, zanemarujući probleme zaštite informacija.

Bibliografski popis

Barmen S. Razvoj pravila informacijske sigurnosti. - M.: Izdavačka kuća Williams, 2002.

Bachilo I. L., Lopatin V. N., Fedotov M. A. Informacijsko pravo - St. Petersburg: Izdavačka kuća "Pravni centar Press", 2001.

Biyachuev T.A. Sigurnost korporativnih mreža. Udžbenik / prir. L.G.Osovetsky - St. Petersburg: St. Petersburg State University ITMO, 2004.

Black U. Internet: sigurnosni protokoli. Tečaj. - St. Petersburg: Peter, 2001.

Bozhdai A.S., Finogeev A.G. Mrežne tehnologije. 1. dio: Vodič. Penza: Izdavačka kuća PGU, 2005.

Pod, ispod sigurnosna politika organizacije razumiju skup dokumentiranih upravljačkih odluka usmjerenih na zaštitu informacija i s njima povezanih resursa. Sigurnosna politika je način na koji se provode aktivnosti u računalno informacijskom sustavu organizacije. Općenito, sigurnosne politike određene su računalnim okruženjem koje se koristi i odražavaju specifične potrebe organizacije.

Tipično, korporativni informacijski sustav je složen skup heterogenog, ponekad loše koordiniranog hardvera i softvera: računala, operativni sustavi, mrežni alati, DBMS, razne aplikacije. Sve te komponente obično imaju vlastite zaštite koje je potrebno međusobno uskladiti. Stoga je učinkovita sigurnosna politika vrlo važna kao dosljedna platforma za osiguranje korporativnog sustava. Kako računalni sustav raste i integrira se u globalnu mrežu, mora se osigurati da nema slabosti u sustavu, budući da svi napori za zaštitu informacija mogu biti obezvrijeđeni samo jednim propustom.

Možete izgraditi sigurnosnu politiku koja definira tko ima pristup određenoj imovini i aplikacijama, koje će uloge i odgovornosti imati određeni pojedinci i sigurnosne procedure koje jasno određuju kako se određeni sigurnosni zadaci trebaju izvršavati. Individualne karakteristike rada zaposlenika mogu zahtijevati pristup informacijama koje ne bi trebale biti dostupne drugim zaposlenicima. Na primjer, voditelj ljudskih resursa može imati pristup privatnim podacima bilo kojeg zaposlenika, dok računovođa može imati pristup samo financijskim podacima tih zaposlenika. A običan zaposlenik će imati pristup samo svojim osobnim podacima.

Sigurnosnom politikom definira se stajalište organizacije o racionalnom korištenju računala i mreže te postupci za prevenciju i odgovor na sigurnosne incidente. U sustavu velikog poduzeća može se primijeniti širok raspon različitih politika, od poslovnih politika do posebnih pravila za pristup skupovima podataka. Ove su politike u potpunosti određene specifičnim potrebama organizacije.

Osnovni konceptisigurnosne politike

Sigurnosna politika definira strategiju upravljanja informacijskom sigurnošću, kao i količinu pozornosti i količinu resursa koje menadžment smatra prikladnim alocirati.

Politika sigurnosti temelji se na analizi rizika koji su prepoznati kao stvarni za informacijski sustav organizacije. Nakon što se provede analiza rizika i utvrdi strategija zaštite, izrađuje se program čijom provedbom treba osigurati informacijsku sigurnost. Za ovaj program dodjeljuju se sredstva, imenuju odgovorne osobe, utvrđuje se postupak praćenja provedbe programa i sl.

Kako bismo se upoznali s osnovnim konceptima sigurnosnih politika, razmotrimo kao konkretan primjer hipotetsku lokalnu mrežu u vlasništvu organizacije i njezinu pridruženu sigurnosnu politiku.

Sigurnosna politika organizacije trebala bi biti strukturirana kao koncizan, lako razumljiv dokument politike visoke razine podržan skupom specifičnijih, specijaliziranih sigurnosnih politika i procedura.

Sigurnosnu politiku visoke razine potrebno je povremeno pregledati kako bi se osiguralo da se bavi trenutnim potrebama organizacije. Ovaj je dokument napisan na takav način da je politika relativno neovisna o određenim tehnologijama. U tom slučaju ovaj dokument o politici neće trebati prečesto mijenjati.

Sigurnosna politika obično se sastavlja u obliku dokumenta koji uključuje dijelove kao što su opis problema, opseg, položaj organizacije, raspodjela uloga i odgovornosti, sankcije itd.

Opis problema. Informacije koje kruže unutar lokalne mreže su kritične. Lokalna mreža omogućuje korisnicima dijeljenje programa i podataka, što povećava sigurnosni rizik. Stoga je svakom od računala uključenih u mrežu potrebna jača zaštita. Ove pojačane sigurnosne mjere predmet su ovog dokumenta. Dokument ima sljedeće ciljeve: pokazati zaposlenicima organizacije važnost zaštite mrežnog okruženja, opisati njihovu ulogu u osiguravanju sigurnosti i dodijeliti specifične odgovornosti za zaštitu informacija koje kruže mrežom.

Područje primjene. Opseg ove politike uključuje sav hardver, softver i informacijske resurse uključene u lokalnu mrežu poduzeća. Politika je također usmjerena na ljude koji rade s mrežom, uključujući korisnike, podizvođače i dobavljače.

Položaj organizacije. Svrha organizacije je osigurati cjelovitost, dostupnost i povjerljivost podataka, kao i njihovu cjelovitost i relevantnost. Konkretniji ciljevi su:

osiguravanje razine sigurnosti koja odgovara regulatornim dokumentima;

poštivanje ekonomske izvedivosti u odabiru zaštitnih mjera (troškovi zaštite ne smiju premašiti očekivanu štetu od kršenja informacijske sigurnosti);

osiguranje sigurnosti u svakom funkcionalnom području lokalne mreže;

osiguravanje odgovornosti za sve radnje korisnika s informacijama i resursima;

osiguravanje analize podataka o registraciji;

pružanje korisnicima dovoljno informacija za svjesno održavanje sigurnosnog režima;

izradu planova oporavka nakon nesreća i drugih kritičnih situacija za sva funkcionalna područja kako bi se osigurao kontinuitet mreže;

osiguranje usklađenosti s postojećim zakonima i korporativnom sigurnosnom politikom.

Raspodjela uloga i odgovornosti. Za provedbu gore formuliranih ciljeva odgovorni su nadležni službenici i korisnici mreže.

Voditelji odjela odgovoran za komuniciranje odredbi sigurnosne politike korisnicima i za kontakte s njima.

osiguravaju kontinuirani rad mreže i odgovorni su za provedbu tehničkih mjera potrebnih za provođenje sigurnosne politike.

Administratori usluga odgovorni su za određene usluge, a posebno za osiguranje izgradnje zaštite u skladu s cjelokupnom sigurnosnom politikom.

Korisnici dužni su raditi s lokalnom mrežom u skladu sa sigurnosnom politikom, poštivati ​​naredbe osoba odgovornih za pojedine aspekte sigurnosti, obavještavati menadžment o svim sumnjivim situacijama.

Više pojedinosti o ulogama i odgovornostima službenika i korisnika mreže navedeno je u nastavku.

Sankcije. Kršenje sigurnosne politike može izložiti lokalnu mrežu i informacije koje njome kruže neprihvatljivom riziku. Uprava mora odmah pregledati slučajeve kršenja sigurnosti od strane osoblja radi disciplinskih mjera, do i uključujući otkaz.

Dodatne informacije. Određene skupine izvođača možda će morati pregledati neke dodatne dokumente, posebno dokumente specijaliziranih sigurnosnih politika i procedura, kao i druge smjernice. Potreba za dodatnim dokumentima sigurnosne politike uvelike ovisi o veličini i složenosti organizacije. Dovoljno velika organizacija može zahtijevati posebne sigurnosne politike uz osnovnu politiku. Manje organizacije trebaju samo podskup specijaliziranih politika. Mnogi od ovih potpornih dokumenata mogu biti prilično kratki, duljine jedne ili dvije stranice.

S praktičnog gledišta, sigurnosne politike mogu se podijeliti na tri razine: gornju, srednju i donju.

Gornja razina Sigurnosna politika definira odluke koje utječu na organizaciju kao cjelinu. Te su odluke vrlo općenite prirode i u pravilu dolaze od uprave organizacije.

Takva rješenja mogu uključivati ​​sljedeće elemente:

formuliranje ciljeva kojima teži organizacija u području informacijske sigurnosti, određivanje općih smjerova u postizanju tih ciljeva;

formiranje ili revizija sveobuhvatnog programa informacijske sigurnosti, identifikacija osoba odgovornih za promicanje programa;

osiguranje materijalne osnove za poštivanje zakona i propisa;

formuliranje upravljačkih odluka o provedbi sigurnosnog programa, koje treba razmatrati na razini organizacije kao cjeline.

Sigurnosna politika najviše razine artikulira ciljeve informacijske sigurnosti organizacije u smislu cjelovitosti, dostupnosti i povjerljivosti. Ako je organizacija odgovorna za održavanje ključnih baza podataka, prvi bi prioritet trebao biti integritet podaci. Za prodajnu organizaciju važna je relevantnost informacija o pruženim uslugama i cijenama, kao i njezina dostupnost najveći broj potencijalnih kupaca. Režimska organizacija prvenstveno će voditi računa o privatnost informacija, odnosno o njihovoj zaštiti od neovlaštenog pristupa.

Na gornja razina upravljanje sigurnosnim resursima i koordinacija korištenja tih resursa, dodjela posebnog osoblja za zaštitu kritičnih sustava, održavanje kontakata s drugim organizacijama koje osiguravaju ili kontroliraju sigurnosni režim.

Politika najviše razine mora jasno definirati svoju sferu utjecaja. To bi mogli biti svi računalni sustavi organizacije ili čak i više ako politika upravlja nekim aspektima načina na koji zaposlenici koriste svoja kućna računala. Također je moguće da su samo najvažniji sustavi uključeni u sferu utjecaja.

Politika treba definirati odgovornosti službenih osoba u izradi sigurnosnog programa i njegovoj provedbi, odnosno politika može poslužiti kao osnova za odgovornost osoblja.

Politika najviše razine bavi se trima aspektima poštivanja zakona i discipline rada. Prvo, organizacija se mora pridržavati postojećih zakona. Drugo, treba nadzirati postupke odgovornih za razvoj sigurnosnog programa. Treće, sustavom nagrađivanja i kažnjavanja potrebno je osigurati radnu disciplinu osoblja.

Prosječna razina sigurnosna politika određuje rješavanje pitanja vezanih uz pojedine aspekte informacijske sigurnosti, ali važna za različite sustave kojima organizacija upravlja.

Primjeri takvih problema su stavovi prema pristupu internetu (problem spajanja slobode informacija sa zaštitom od vanjskih prijetnji), korištenje kućnih računala itd.

Sigurnosna politika srednje razine trebala bi definirati sljedeće točke za svaki aspekt informacijske sigurnosti:

opis aspekta- položaj organizacije može se formulirati na prilično općenit način kao skup ciljeva kojima organizacija teži u ovom pogledu;

područje primjene- treba navesti gdje, kada, kako, na koga i na što se ova sigurnosna politika primjenjuje;

uloge i odgovornosti– dokument mora sadržavati podatke o službenicima odgovornim za provođenje sigurnosne politike;

sankcije - politika treba sadržavati opći opis zabranjenih aktivnosti i kazne za njih;

dodirne točke- treba znati gdje se obratiti za pojašnjenje, pomoć i dodatne informacije. Obično je "točka kontakta" službena osoba.

Niži nivo sigurnosna politika primjenjuje se na određene usluge. Ova politika uključuje dva aspekta: ciljeve i pravila za njihovo postizanje, pa ju je ponekad teško odvojiti od pitanja provedbe. Za razliku od gornje dvije razine, politika o kojoj je riječ trebala bi biti detaljnija.

Evo nekoliko primjera pitanja na koja treba odgovoriti kada slijedite sigurnosnu politiku niske razine:

tko ima pravo pristupa objektima koje servis podržava;

kako je organiziran udaljeni pristup usluzi.

Sigurnosna politika niske razine može proizaći iz razmatranja integriteta, dostupnosti i povjerljivosti, ali ne bi trebalo tu stati. Općenito, ciljevi bi trebali povezivati ​​uslužne objekte i smislene radnje s njima.

Iz ciljeva se izvode sigurnosna pravila koja opisuju tko što može raditi i pod kojim uvjetima. Što su pravila detaljnija, jasnije i formalnije navedena, to je lakše poduprijeti njihovu provedbu softverskim i hardverskim mjerama. Obično je najformalniji način postaviti prava pristupa objektima.

Ovdje je detaljniji opis odgovornosti svake kategorije osoblja.

Voditelji odjela odgovoran za komuniciranje sigurnosne politike korisnicima. Dužni su:

držati pitanja sigurnosti pod stalnim pregledom. Pobrinite se da i njihovi podređeni čine isto;

provođenje analize rizika, identificiranje imovine koja zahtijeva zaštitu i ranjivosti sustava, procjena iznosa moguće štete od povrede sigurnosti i odabir učinkovitih pravnih lijekova;

Organizirajte sigurnosnu obuku za osoblje. Obratite posebnu pozornost na pitanja vezana uz antivirusnu kontrolu;

obavijestiti administratore lokalne mreže i administratore usluga o promjeni statusa svakog od podređenih (prijelaz na drugo radno mjesto, otkaz itd.);

osigurati da svako računalo u njihovim odjelima ima vlasnika ili administratora sustava koji je odgovoran za sigurnost i koji je kvalificiran za tu ulogu.

Administratori lokalne mreže osiguravaju kontinuirani rad mreže i odgovorni su za provedbu tehničkih mjera potrebnih za provođenje sigurnosne politike. Dužni su:

osigurati zaštitu lokalne mrežne opreme, uključujući sučelja s drugim mrežama;

brzo i učinkovito reagirati na događaje koji predstavljaju prijetnju. Obavijestite administratore usluga o pokušajima probijanja sigurnosti;

koristite provjerene alate za reviziju i otkrivanje sumnjivih stvari. Svakodnevno analizirati informacije o registraciji vezane uz mrežu općenito, a posebno za poslužitelje datoteka;

ne zlorabite svoje velike ovlasti. Korisnici imaju pravo na privatnost;

razviti postupke i pripremiti upute za zaštitu lokalne mreže od zlonamjernog softvera. Pomoć u otkrivanju i uklanjanju zlonamjernog koda;

redovito sigurnosno kopirajte informacije pohranjene na poslužiteljima datoteka;

izvršiti sve promjene konfiguracije mrežnog hardvera i softvera;

osigurati da je postupak identifikacije i provjere autentičnosti za pristup mrežnim resursima obavezan. Korisnicima dodijeliti imena za prijavu i početne lozinke tek nakon ispunjavanja obrazaca za registraciju;

povremeno provjeravati pouzdanost zaštite lokalne mreže. Spriječite neovlaštene korisnike u dobivanju privilegija.

Administratori usluga odgovorni su za određene usluge, a posebno za osiguranje izgradnje zaštite u skladu s cjelokupnom sigurnosnom politikom. Dužni su:

upravljanje korisničkim pravima pristupa servisiranim objektima;

brzo i učinkovito reagirati na događaje koji predstavljaju prijetnju. Pomoći u odbijanju prijetnje, identificiranju prekršitelja i pružanju informacija za njihovo kažnjavanje;

redovito stvarati sigurnosne kopije podataka koje servis obrađuje;

korisnicima dodijeliti imena za prijavu i početne lozinke tek nakon ispunjavanja obrazaca za registraciju;

svakodnevno analizirati podatke o registraciji vezane uz uslugu. Redovito nadzirite uslugu za zlonamjerni softver;

povremeno provjeravati pouzdanost zaštite usluge. Spriječite neovlaštene korisnike u dobivanju privilegija.

Korisnici dužni su raditi s lokalnom mrežom u skladu sa sigurnosnom politikom, poštivati ​​naredbe osoba odgovornih za pojedine aspekte sigurnosti, obavještavati menadžment o svim sumnjivim situacijama. Dužni su:

poznavati i pridržavati se zakona, pravila usvojenih u ovoj organizaciji, sigurnosne politike, sigurnosnih procedura. Koristite dostupne sigurnosne mehanizme kako biste osigurali povjerljivost i integritet svojih podataka;

koristiti mehanizam za zaštitu datoteka i ispravno postaviti prava pristupa;

Odaberite dobre lozinke i redovito ih mijenjajte. Ne zapisujte lozinke na papir, ne otkrivajte ih drugim osobama;

obavijestiti administratore ili upravu o sigurnosnim probojima i drugim sumnjivim situacijama;

ne koristiti slabosti u zaštiti usluga i lokalne mreže u cjelini. Nemojte neovlašteno raditi s podacima, ne ometajte druge korisnike;

uvijek pružajte točne podatke za identifikaciju i provjeru autentičnosti, ne pokušavajte raditi u ime drugih korisnika;

osigurati sigurnosnu kopiju podataka s tvrdog diska vašeg računala;

poznavati principe rada zlonamjernog softvera, načine njegovog prodora i distribucije. Poznavati i pridržavati se postupaka za sprječavanje prodora zlonamjernog koda, njegovo otkrivanje i uništavanje;

poznavati i poštovati pravila ponašanja u izvanrednim situacijama, redoslijed postupanja nakon nesreća.

Upravljačke mjere za osiguranje informacijske sigurnosti. Glavni cilj mjera koje se poduzimaju na upravljačkoj razini je formiranje programa rada informacijske sigurnosti i osiguranje njegove provedbe izdvajanjem potrebnih resursa i redovitim praćenjem stanja. Osnova ovog programa je sigurnosna politika na više razina koja odražava sveobuhvatan pristup organizacije zaštiti svojih resursa i informacijske imovine.