Un esempio di una chiara politica di sicurezza delle informazioni sulla scrivania. Minacce alla sicurezza delle informazioni

Nel mondo moderno, il concetto di "politica di sicurezza delle informazioni" può essere interpretato sia in senso ampio che in senso stretto. Quanto alla prima, più ampia accezione, denota un complesso sistema di decisioni che vengono prese da un'organizzazione, sono ufficialmente documentate e finalizzate a garantire la sicurezza dell'impresa. In senso stretto, questo concetto copre un documento di importanza locale, che specifica i requisiti di sicurezza, un sistema di misure da adottare, la responsabilità dei dipendenti e un meccanismo di controllo.

Una politica di sicurezza delle informazioni completa è una garanzia del funzionamento stabile di qualsiasi azienda. La sua completezza risiede nella ponderatezza e nell'equilibrio del grado di protezione, nonché nello sviluppo delle misure e del sistema di controllo corretti in caso di eventuali violazioni.

Tutti i metodi organizzativi svolgono un ruolo importante nella creazione di uno schema di protezione delle informazioni affidabile, poiché l'uso illegale delle informazioni è il risultato di azioni dannose, negligenza del personale e non problemi tecnici. Per ottenere un buon risultato è necessaria una complessa interazione di misure organizzative, legali e tecniche, che dovrebbero escludere qualsiasi ingresso non autorizzato nel sistema.

La sicurezza delle informazioni è una garanzia del buon funzionamento dell'azienda e del suo sviluppo stabile. Tuttavia, la base per costruire un sistema di protezione di alta qualità dovrebbe essere basata sulle risposte alle seguenti domande:

Che cos'è il sistema di dati e quale grado di severità della protezione sarà richiesto?

Chi può nuocere all'azienda perturbando il funzionamento del sistema informativo e chi può utilizzare le informazioni ricevute?

Come si può ridurre al minimo questo rischio senza interrompere il lavoro ben coordinato dell'organizzazione?

Il concetto di sicurezza delle informazioni, quindi, dovrebbe essere sviluppato personalmente per una particolare impresa e in accordo con i suoi interessi. Il ruolo principale nelle sue caratteristiche qualitative è svolto dalle misure organizzative, che includono:

Organizzazione di un sistema di controllo degli accessi consolidato. Ciò viene fatto al fine di escludere l'ingresso segreto e non autorizzato di persone non autorizzate nel territorio dell'azienda, nonché il controllo sulla permanenza nei locali e l'ora della sua partenza.

Lavorare con i dipendenti. La sua essenza consiste nell'organizzare l'interazione con il personale, reclutare personale. È anche importante familiarizzare con loro, preparare e insegnare le regole per lavorare con le informazioni, in modo che i dipendenti conoscano la portata della sua segretezza.

La politica di sicurezza delle informazioni prevede anche l'utilizzo strutturato di mezzi tecnici finalizzati all'accumulazione, alla raccolta e all'aumento della riservatezza.

Svolgimento di lavori volti a monitorare il personale in termini di utilizzo di informazioni classificate e sviluppo di misure che dovrebbero garantirne la protezione.

Il costo del perseguimento di tale politica non dovrebbe superare il potenziale danno che sarebbe sostenuto a causa della sua perdita.

La politica di sicurezza delle informazioni e la sua efficacia dipendono in gran parte dal numero di requisiti imposti dall'azienda, che possono ridurre il grado di rischio al valore richiesto.

Considera il livello amministrativo di sicurezza delle informazioni di un'impresa, ovvero le misure adottate dalla direzione dell'organizzazione. Tutte le attività a livello amministrativo si basano su un documento spesso definito policy di sicurezza delle informazioni aziendali. Sotto politica di sicurezza delle informazioni è inteso come un insieme di decisioni gestionali documentate e misure preventive sviluppate volte a proteggere le risorse informative.

Lo sviluppo di una politica di sicurezza delle informazioni non è affatto un problema banale. L'efficacia di tutti gli altri livelli di sicurezza delle informazioni - procedurali e software e hardware - dipenderà dalla completezza della sua elaborazione. La complessità dello sviluppo di questo documento è determinata dall'uso problematico dell'esperienza di qualcun altro, poiché la politica di sicurezza si basa sulle risorse di produzione e sulle dipendenze funzionali di una determinata impresa.

A tal proposito, si consiglia di inserire nel documento, che caratterizza la politica di sicurezza delle informazioni dell'organizzazione, i seguenti punti:

• - introduttivo confermare l'interesse dell'alta direzione per le questioni di sicurezza delle informazioni;
• - organizzativo contenente una descrizione di dipartimenti, commissioni, gruppi, ecc., responsabili del lavoro nel campo della sicurezza delle informazioni;
• - classificazione descrivere le risorse materiali e informative disponibili presso l'impresa e il livello richiesto della loro protezione;
• - personale caratterizzare le misure di sicurezza applicate al personale (descrizione delle mansioni dal punto di vista della sicurezza delle informazioni, organizzazione della formazione, modalità di risposta ad una violazione del regime, ecc.);
• - sezione protezione fisica informazione;
• - sezione di gestione descrivere un approccio alla gestione di computer e reti di dati;
• - sezione che descrive le regole di controllo degli accessi alle informazioni sulla produzione;
• - sezione che descrive l'ordine di sviluppo e implementazione dei sistemi;
• - capitolo descrivere le misure volte a garantire il funzionamento continuo dell'organizzazione (disponibilità di informazioni);
• - sezione legale, confermando la conformità della politica di sicurezza delle informazioni alla normativa vigente.

L'inizio dello sviluppo delle politiche avviene con un'analisi dei rischi. L'analisi dei rischi si compone di due fasi principali: inventario e classificazione delle risorse informative.

Inventario le risorse informative aiuteranno a determinare il grado di protezione necessaria, il controllo della sicurezza e saranno utili anche in altri settori, come la protezione e la sicurezza del lavoro, le assicurazioni, la finanza. Come risorse, legati alla tecnologia dell'informazione possono essere:

• - risorse informative: archivi di file, banche dati, documentazione, tutorial, documenti a livello procedurale (istruzioni, ecc.);
• - risorse software: software applicativi e di sistema, utilità, ecc .;
• - risorse fisiche: apparecchiature informatiche e di comunicazione, supporti dati (nastri e dischi), altre apparecchiature tecniche (alimentatori, condizionatori d'aria), mobili, locali;
• - Servizi: riscaldamento, illuminazione, elettricità, aria condizionata;
• - risorse umane.

Dopo l'inventario, le risorse vengono classificate. Il valore di ciascuna risorsa è solitamente rappresentato come funzione di più variabili discrete.

Facciamo un esempio della classificazione di una risorsa informativa. Il grado di riservatezza delle informazioni viene solitamente scelto come variabile principale con i seguenti valori:

• - informazioni contenenti segreti di Stato;
• - informazioni contenenti segreti commerciali;
• - informazioni riservate (informazioni che non costituiscono segreto commerciale o di stato, sebbene la loro divulgazione non sia auspicabile);
• - informazioni gratuite.

La variabile successiva può essere scelta come rapporto tra questa o quella risorsa rispetto alle violazioni dei tre principali aspetti della sicurezza delle informazioni. Ad esempio, un database di telefoni aziendali potrebbe essere valutato 81 per la disponibilità, 2 per la riservatezza e 4 per l'integrità.

Successivamente, viene eseguita un'analisi dei rischi. Per ciascuna delle risorse informative viene determinato il suo valore integrale e le possibili minacce. Ciascuna delle minacce viene valutata in termini di applicabilità a una determinata risorsa, probabilità di accadimento e possibile danno. Sulla base dei risultati di tale analisi, viene elaborata una sezione di classificazione della politica di sicurezza delle informazioni.

La sezione interna mira a ridurre il rischio di errori del personale, furto, frode o uso illegale delle risorse. In futuro, questa sezione verrà utilizzata per redigere descrizioni di lavoro degli utenti e documenti di orientamento per dipartimenti e servizi di sicurezza delle informazioni. È auspicabile includere le seguenti sezioni nel documento:

• - regole per il controllo del personale assunto (comprese le regole per la presentazione delle domande di ammissione, i documenti necessari, il modulo di curriculum, le raccomandazioni, ecc. Inoltre, vengono determinate la necessità, la forma e la procedura per intervistare i dipendenti di varie categorie. Sono previsti vari obblighi di non divulgazione descritto anche qui. );
• - doveri e diritti degli utenti in relazione alle risorse informative (doveri degli utenti di mantenere il proprio posto di lavoro, nonché quando si lavora con le risorse informative);
• - la formazione degli utenti e la procedura per l'ammissione al lavoro con le risorse informative (le conoscenze necessarie per le diverse categorie di lavoratori, la frequenza e la procedura per l'istruzione all'uso delle risorse informative. pacchetti software, ecc.) Inoltre, la procedura per il collegamento dei viene descritto l'utente alle risorse informative (documenti necessari, coordinatori e dipartimenti);
• - i diritti e gli obblighi degli amministratori (per il normale funzionamento del sistema, gli amministratori della sicurezza delle informazioni devono disporre di diritti sufficienti. La disconnessione dalla rete o dalla risorsa informativa di una workstation portatrice di virus è una necessità, non una violazione del processo tecnologico);
• - la procedura per rispondere agli eventi che costituiscono una minaccia per la sicurezza delle informazioni (per una risposta tempestiva alle minacce alla sicurezza del sistema, dovrebbero essere chiaramente definite procedure formali di notifica e risposta a tali sistemi. Tutti gli utenti dovrebbero essere tenuti ad informare persone su incidenti e punti deboli nel sistema di sicurezza, malfunzionamenti software e hardware (i metodi per la registrazione dei sintomi di guasti hardware dovrebbero essere identificati e comunicati agli utenti);
• - la procedura per l'irrogazione delle sanzioni (contiene una descrizione della procedura per l'irrogazione delle sanzioni in caso di violazione delle regole di sicurezza delle informazioni stabilite in azienda. Le misure punitive e il grado di responsabilità devono essere documentati).

Le misure di protezione fisica possono variare notevolmente a seconda del tipo di impresa. Sulla base dell'analisi dei rischi per ciascuna impresa, è necessario descrivere rigidamente i tipi di locali e le misure di sicurezza necessarie per loro. Le misure di sicurezza includono l'installazione di inferriate, serrature, la procedura per l'ammissione ai locali, dispositivi di protezione elettromagnetica, ecc. Inoltre, è necessario stabilire regole per l'utilizzo del desktop e modalità di smaltimento dei materiali (supporti magnetici vari, documenti cartacei, unità), regole per lo spostamento di software e hardware all'esterno dell'organizzazione.

Sezioni di gestione che descrivono gli approcci alla gestione dei computer e delle reti di trasmissione dati e la procedura per lo sviluppo e l'implementazione dei sistemi, descrivono la procedura per l'esecuzione delle procedure operative standard per operare con i dati, le regole per mettere in funzione i sistemi (accettazione dei sistemi) e la verifica del loro lavoro . Inoltre, questa sezione specifica la procedura per proteggere un'azienda da software dannoso (norme per il sistema antivirus, in particolare). Sono definiti il ​​controllo dell'integrità del sistema e i backup. Descrive il software standard approvato per l'uso nell'azienda. Descrive inoltre i sistemi di sicurezza della posta elettronica, i sistemi di firma digitale elettronica e altri sistemi di crittografia e autenticazione operanti nell'azienda. Questo è importante, dal momento che la legislazione russa in materia è severa al riguardo.

I diritti di accesso ai sistemi dovrebbero essere documentati e la procedura per la loro concessione è determinata dai documenti normativi. Devono essere indicate le posizioni responsabili dell'approvazione delle domande di concessione dei diritti di accesso, nonché i responsabili della distribuzione dei diritti. Inoltre, nelle organizzazioni con seri requisiti per la sicurezza delle informazioni, viene determinata la procedura per la verifica dei diritti di accesso ai sistemi e alle persone che la eseguono. Questa sezione descrive anche le regole (policy) delle password utente.

Quindi, la politica di sicurezza delle informazioni di un'impresa è un documento sulla base del quale è costruito un sistema di sicurezza. A sua volta, la politica si basa sull'analisi dei rischi e più completa è l'analisi, più efficace sarà il documento. Vengono analizzate tutte le principali risorse, comprese le risorse materiali e le risorse umane. La politica di sicurezza è costruita in conformità con le specificità dell'impresa e il quadro legislativo dello stato.

Politica sulla sicurezza delle informazioni (esempio)

Breve politica

Le informazioni devono essere sempre protette, indipendentemente dalla loro forma e dalle modalità di diffusione, trasmissione e conservazione.

introduzione

Le informazioni possono esistere in molte forme diverse. Può essere stampato o scritto su carta, archiviato elettronicamente, trasmesso per posta o mediante dispositivi elettronici, mostrato su nastro o trasmesso oralmente nel corso della comunicazione.

La sicurezza delle informazioni è la protezione delle informazioni da una varietà di minacce per garantire la continuità aziendale, ridurre al minimo i rischi aziendali e massimizzare il ritorno sull'investimento e le opportunità di business.

Scopo

Questa politica supporta la politica di sicurezza generale dell'organizzazione.
Questa politica si applica a tutti i membri dell'organizzazione.

Obiettivi di sicurezza delle informazioni

1. Comprendere e gestire i rischi per la sicurezza delle informazioni strategiche e operative in modo che siano accettabili per l'organizzazione.

2. Proteggere la riservatezza delle informazioni sui clienti, sullo sviluppo del prodotto e sui piani di marketing.

3. Conservazione dell'integrità dei materiali contabili.

4. Conformità dei servizi web condivisi e delle intranet agli standard di accessibilità appropriati.

Principi di sicurezza delle informazioni

1. Questa organizzazione promuove l'accettazione del rischio e supera i rischi che le organizzazioni gestite in modo conservativo non possono superare, a condizione che i rischi siano compresi, monitorati e trattati per le informazioni necessarie. Una descrizione dettagliata degli approcci utilizzati per valutare e trattare i rischi può essere trovata nella politica ISMS.

2. Tutto il personale dovrebbe essere informato e responsabile della sicurezza delle informazioni in relazione alle proprie responsabilità lavorative.

3. Dovrebbero essere presi accordi per finanziare i controlli sulla sicurezza delle informazioni ei processi di gestione dei progetti.

4. Il potenziale di frode e abuso nei sistemi di informazione dovrebbe essere preso in considerazione nella gestione complessiva dei sistemi di informazione.

5. Dovrebbero essere disponibili rapporti sullo stato della sicurezza delle informazioni.

6. È necessario monitorare i rischi per la sicurezza delle informazioni e agire quando le modifiche portano a rischi imprevisti.

7. I criteri per la classificazione e l'accettabilità del rischio possono essere trovati nella politica ISMS.

8. Non dovrebbero essere tollerate situazioni che potrebbero portare l'organizzazione a violare leggi e regolamenti.

Aree di responsabilità

1. Il gruppo senior pari è responsabile di garantire che le informazioni vengano elaborate correttamente in tutta l'organizzazione.

2. Ogni dirigente ha la responsabilità di assicurare che coloro che sono sotto la sua direzione proteggano le informazioni secondo gli standard organizzativi.

3. Il Chief Security Officer fornisce consulenza al team dirigenziale senior, fornisce assistenza esperta ai dipendenti dell'organizzazione e garantisce che i rapporti sullo stato della sicurezza delle informazioni siano disponibili.

4. Tutti i membri dell'organizzazione sono responsabili della sicurezza delle informazioni nell'ambito dell'adempimento delle proprie responsabilità lavorative.

Risultati chiave

1. Gli incidenti relativi alla sicurezza delle informazioni non devono comportare gravi costi imprevisti o gravi interruzioni dei servizi e delle attività dell'impresa.

2. Le perdite dovute a frode devono essere note ed entro limiti accettabili.

3. I problemi di sicurezza delle informazioni non dovrebbero influire negativamente sull'accettazione di prodotti e servizi da parte dei clienti.

Politiche associate

Le seguenti politiche dettagliate contengono principi e linee guida per aspetti specifici della sicurezza delle informazioni:

1. Politica del sistema di gestione della sicurezza delle informazioni (ISMS);

2. Politica di controllo degli accessi;

3. La politica di una scrivania chiara e uno schermo chiaro;

4. Politica relativa al software non autorizzato;

5. Politica relativa alla ricezione di file software da o tramite reti esterne;

6. Politica relativa al codice mobile;

7. Politica di backup;

8. Politica in materia di scambio di informazioni tra organizzazioni;

9. Politica sull'uso accettabile delle comunicazioni elettroniche;

10. Politica di conservazione dei registri;

11. Policy per l'utilizzo dei servizi di rete;

12. Politica in materia di mobile computing e comunicazioni;

13. Politica del telelavoro;

14. Politica sull'uso del controllo crittografico;

15. Politica di conformità;

16. Politica di licenza del software;

17. Politica di rimozione del software;

18. Tutela dei dati e informativa sulla privacy.

Tutte queste politiche rafforzano:

· Identificazione del rischio fornendo un quadro per i controlli che possono essere utilizzati per rilevare difetti nella progettazione e implementazione dei sistemi;

· Trattamento del rischio aiutando a determinare come gestire vulnerabilità e minacce specifiche.

Politica di sicurezza delle informazioni aziendali

· 1. Disposizioni generali

o 1.1. Scopo e scopo di questa politica

o 1.2. Ambito di questa politica

o 2.1. Responsabilità per il patrimonio informativo

o 2.2. Controllo degli accessi ai sistemi informativi

§ 2.2.1. Disposizioni generali

§ 2.2.2. Accesso di terzi ai sistemi della Società

§ 2.2.3. Accesso remoto

§ 2.2.4. accesso ad Internet

o 2.3. Protezione dell'attrezzatura

§ 2.3.1. Hardware

§2.3.2. Software

o 2.5. Segnalazione, risposta e segnalazione di incidenti sulla sicurezza delle informazioni

o 2.6. Locali con mezzi tecnici di sicurezza delle informazioni

o 2.7. Gestione della rete

o 2.7.1. Protezione e sicurezza dei dati

o 2.8. Sviluppo di sistemi e gestione del cambiamento

Disposizioni generali

Le informazioni sono una risorsa preziosa e vitale della TUA_AZIENDA (di seguito - la Società). La presente politica di sicurezza delle informazioni prevede l'adozione delle misure necessarie al fine di proteggere i beni da alterazione, divulgazione o distruzione accidentali o intenzionali, nonché al fine di mantenere la riservatezza, l'integrità e la disponibilità delle informazioni, per garantire il processo di trattamento automatizzato dei dati nell'azienda.

Ogni dipendente della Società è responsabile del rispetto della sicurezza delle informazioni, mentre il compito principale è garantire la sicurezza di tutti i beni della Società. Ciò significa che le informazioni devono essere protette in modo non meno affidabile di qualsiasi altro bene principale della Società. Gli obiettivi principali della Società non possono essere raggiunti senza una tempestiva e completa fornitura ai dipendenti delle informazioni di cui hanno bisogno per svolgere le loro funzioni ufficiali.

In questa Politica, il termine "dipendente" si riferisce a tutti i dipendenti della Società. Le disposizioni della presente Politica si applicano alle persone che lavorano nella Società con contratto civile, anche distaccato, se previsto in tale accordo.

introduzione

Il tasso di sviluppo delle moderne tecnologie dell'informazione è notevolmente superiore al tasso di sviluppo del quadro di raccomandazione e regolamentazione dei documenti di orientamento in vigore sul territorio della Russia. Pertanto, la soluzione al problema dello sviluppo di un'efficace politica di sicurezza delle informazioni in un'impresa moderna è necessariamente associata al problema della scelta di criteri e indicatori di sicurezza, nonché all'efficacia del sistema di sicurezza delle informazioni aziendali. Di conseguenza, oltre ai requisiti e alle raccomandazioni degli standard, della Costituzione, delle leggi e degli altri documenti governativi, è necessario utilizzare una serie di raccomandazioni internazionali. Compreso l'adattamento alle condizioni nazionali e l'applicazione pratica dei metodi degli standard internazionali, come ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL e altri, nonché l'utilizzo di tecniche di gestione del rischio delle informazioni in combinazione con valutazioni dell'efficienza economica di investimenti per garantire la protezione delle informazioni aziendali. I moderni metodi di gestione del rischio consentono di risolvere una serie di problemi di sviluppo strategico a lungo termine di un'impresa moderna.

Primo, quantificare l'attuale livello di sicurezza delle informazioni dell'impresa, che richiederà l'identificazione dei rischi a livello legale, organizzativo, gestionale, tecnologico e tecnico della sicurezza delle informazioni.

In secondo luogo, sviluppare una politica di sicurezza e piani per migliorare il sistema di protezione delle informazioni aziendali per raggiungere un livello accettabile di protezione delle risorse informative dell'azienda. Questo richiede:

giustificare e calcolare gli investimenti finanziari in sicurezza sulla base di tecnologie di analisi del rischio, correlare i costi della sicurezza con il potenziale danno e la probabilità del suo verificarsi;

identificare e condurre il blocco prioritario delle vulnerabilità più pericolose prima degli attacchi alle risorse vulnerabili;

definire rapporti funzionali e aree di responsabilità nell'interazione di funzioni e individui per garantire la sicurezza delle informazioni dell'azienda, creare il necessario pacchetto di documentazione organizzativa e amministrativa;

sviluppare e concordare con i servizi dell'organizzazione, le autorità di vigilanza un progetto per l'implementazione dei complessi di protezione necessari, tenendo conto del livello attuale e delle tendenze nello sviluppo delle tecnologie dell'informazione;

garantire il mantenimento del complesso di protezione implementato in conformità con le mutevoli condizioni operative dell'organizzazione, revisioni regolari della documentazione organizzativa e amministrativa, modifica dei processi tecnologici e modernizzazione dei mezzi tecnici di protezione.

La soluzione di questi compiti apre nuove ampie opportunità per i funzionari di diversi livelli.

Ciò aiuterà i top manager a valutare obiettivamente e in modo indipendente l'attuale livello di sicurezza delle informazioni dell'azienda, garantire la formazione di una strategia di sicurezza unificata, calcolare, concordare e giustificare i costi necessari per proteggere l'azienda. Sulla base della valutazione ricevuta, i responsabili delle funzioni e dei servizi saranno in grado di elaborare e giustificare le necessarie misure organizzative (composizione e struttura del servizio di sicurezza delle informazioni, norme sui segreti commerciali, un pacchetto di descrizioni delle mansioni e istruzioni per l'intervento in situazioni di emergenza ). I quadri saranno in grado di scegliere ragionevolmente gli strumenti di sicurezza delle informazioni, nonché di adattare e utilizzare nel loro lavoro indicatori quantitativi per la valutazione della sicurezza delle informazioni, metodi di valutazione e gestione della sicurezza con riferimento all'efficienza economica dell'azienda.

Raccomandazioni pratiche per neutralizzare e localizzare le vulnerabilità del sistema identificate, ottenute a seguito di studi analitici, aiuteranno a lavorare sui problemi di sicurezza delle informazioni a diversi livelli e, soprattutto, a determinare le principali aree di responsabilità, comprese quelle materiali, per l'uso improprio del patrimonio informativo aziendale. Nel determinare l'ambito della responsabilità per danni causati al datore di lavoro, compresa la divulgazione di segreti commerciali, si dovrebbe essere guidati dalle disposizioni pertinenti del Codice del lavoro.

1. Parte analitica

1 Il concetto di sicurezza delle informazioni

La protezione delle informazioni è un insieme di misure volte a garantire la sicurezza delle informazioni.

La sicurezza delle informazioni è un compito complesso volto a garantire la sicurezza, implementato dall'implementazione di un sistema di sicurezza. Il problema della protezione delle informazioni è multiforme e complesso e copre una serie di compiti importanti. I problemi di sicurezza delle informazioni sono costantemente aggravati dalla penetrazione dei mezzi tecnici di elaborazione e trasmissione dei dati in tutte le sfere della società e, soprattutto, dei sistemi informatici.

Il termine "sicurezza delle informazioni" è diventato di recente molto diffuso, sebbene le attività di un'impresa moderna non possano essere immaginate senza personal computer. La spiegazione è semplice: il volume di informazioni elaborate e archiviate in forma elettronica per una media impresa è milioni di volte superiore a quello di una “cartacea”. Sui computer vengono installati software complessi, vengono creati schemi di interazione tra computer e programmi difficili da ripristinare, gli utenti ordinari elaborano enormi quantità di dati. È chiaro che qualsiasi interruzione del lavoro della catena tecnologica stabilita porterà a determinate perdite per l'impresa. Pertanto, per sicurezza delle informazioni (IS) intendiamo la sicurezza dell'ambiente informativo di un'impresa dalle minacce esterne e interne alla sua formazione, utilizzo e sviluppo.

Nelle grandi aziende esistono servizi speciali con un budget considerevole, i cui compiti includono garantire la sicurezza delle informazioni, identificare, localizzare ed eliminare le minacce alla sicurezza delle informazioni aziendali. Usano software e hardware speciali e costosi, a volte così difficili da mantenere da richiedere una formazione speciale del personale per lavorarci. I compiti della gestione della sicurezza delle informazioni in tali organizzazioni sono spesso ridotti all'emissione di istruzioni con le parole chiave: "approfondire", "espandere", "aumentare", "fornire", ecc. Tutto il lavoro sulla sicurezza delle informazioni viene svolto in modo impercettibile per la gestione dei dipendenti dei servizi pertinenti e una descrizione dei loro metodi di lavoro è un argomento per un ampio articolo separato.

Allo stesso tempo, viene prestata poca attenzione alla sicurezza delle informazioni delle piccole imprese con un numero limitato di posti di lavoro per specialisti (spesso non più di 50). Tuttavia, la situazione organizzativa e tecnica esistente al momento è tale che la maggior parte delle minacce IS esistenti, grazie alla buona protezione delle grandi imprese da esse, diventa rilevante solo per le imprese più piccole. In genere, tali aziende hanno un budget IT molto modesto, che consente di acquistare solo le apparecchiature e il software necessari e mantenere un amministratore di sistema.

Ad oggi sono stati formulati tre principi di base che dovrebbero garantire la sicurezza delle informazioni:

integrità dei dati - protezione contro guasti che portano alla perdita di informazioni, nonché protezione contro la creazione o distruzione non autorizzata di dati;

riservatezza delle informazioni;

Esistono altre categorie non sempre obbligatorie del modello di sicurezza:

non ripudio o ricorso - l'impossibilità di rifiuto della paternità;

responsabilità - garantire l'identificazione del soggetto di accesso e la registrazione delle sue azioni;

affidabilità - la proprietà del rispetto del comportamento o risultato previsto;

autenticità o autenticità - una proprietà che garantisce che il soggetto o la risorsa sia identico a quello dichiarato.

2Concetto di politica di sicurezza

Una politica di sicurezza delle informazioni (ISP) è un insieme di linee guida, regole, procedure e pratiche di sicurezza che mirano a proteggere informazioni preziose.

Scopo della politica di sicurezza delle informazioni:

formulazione degli obiettivi e degli obiettivi della sicurezza delle informazioni dell'organizzazione da un punto di vista aziendale (consente di definirlo per la gestione e dimostrare il supporto della direzione per l'importanza della sicurezza delle informazioni),

determinazione delle regole per l'organizzazione del lavoro in azienda per ridurre al minimo i rischi per la sicurezza delle informazioni e aumentare l'efficienza aziendale.

Requisiti della politica di sicurezza delle informazioni:

La politica deve essere approvata dal più alto organo amministrativo della società (CEO, consiglio di amministrazione, ecc.) per dimostrare il supporto della direzione.

La politica di sicurezza delle informazioni dovrebbe essere scritta in un linguaggio comprensibile per gli utenti finali e la direzione aziendale ed essere la più breve possibile.

La politica IS dovrebbe definire gli obiettivi IS, i modi per raggiungerli e la responsabilità. I dettagli tecnici dell'attuazione dei metodi sono contenuti nelle istruzioni e nei regolamenti, cui si fa rinvio nella Politica.

Minimizzare l'impatto della politica di sicurezza sul processo produttivo.

Continuità della formazione dei dipendenti e della gestione dell'organizzazione in materia di sicurezza delle informazioni

Monitoraggio continuo dell'attuazione delle regole della politica di sicurezza nella fase di attuazione e in futuro.

Miglioramento continuo delle politiche di sicurezza.

Coerenza di vedute e creazione di una cultura aziendale della sicurezza.

Si propone la seguente struttura PIB:

· Disposizioni generali (riferimenti a leggi, regolamenti e altri documenti di indirizzo che disciplinano le attività dell'organizzazione),

· Conferma dell'importanza della sicurezza delle informazioni per l'organizzazione e formulazione degli obiettivi di protezione delle informazioni dal punto di vista dell'attività dell'organizzazione (rispetto dei requisiti della legislazione e di altre norme, soddisfazione delle aspettative di clienti e partner, aumento della competitività, stabilità finanziaria , e l'immagine dell'organizzazione).

· Una descrizione della strategia di sicurezza delle informazioni dell'organizzazione (ad esempio, conformità ai requisiti legali, valutazione e gestione dei rischi).

· Ambito del PIB (ad esempio, il PIB è obbligatorio per tutti i dipendenti e la direzione dell'organizzazione, o una filiale separata, o dipendenti che utilizzano laptop)

· Descrizione dell'oggetto protetto (risorse protette - informazioni di varie categorie, infrastruttura informativa, ecc.)

· Obiettivi e obiettivi della sicurezza delle informazioni (ad esempio, ridurre le minacce alla sicurezza delle informazioni a un livello accettabile, identificare potenziali minacce e vulnerabilità della sicurezza delle informazioni, prevenire incidenti alla sicurezza delle informazioni)

· Minacce e modello dell'autore del reato che sono presi in considerazione per questa organizzazione (per fonti di accadimento, per metodi di attuazione, per focus)

· Breve spiegazione dei principi della politica di sicurezza delle informazioni:

o approccio alla costruzione di un ISMS,

o requisiti per la formazione e la sensibilizzazione del personale nel campo della sicurezza delle informazioni,

o conseguenze e responsabilità per la violazione del PIB,

o approccio alla gestione del rischio,

o definizione della struttura organizzativa, responsabilità generali e speciali per la gestione della sicurezza delle informazioni, inclusa la segnalazione degli incidenti,

o collegamenti a documentazione in grado di supportare la politica, come politiche di sicurezza proprietarie e procedure per sistemi di informazione specifici o regole di sicurezza che gli utenti devono seguire.

o meccanismi di monitoraggio dell'attuazione delle disposizioni del PIB,

o la procedura per la revisione e l'adozione di modifiche alle politiche.

Dopo l'approvazione della politica IS, è necessario:

· Portare all'attenzione dei dipendenti ordinari le disposizioni della politica IS, della sottopolitica, delle procedure e delle istruzioni contro la firma durante la loro formazione e informazione periodica iniziale e successiva;

· Sviluppare procedure, istruzioni, ecc., chiarendo e integrando la politica (per gli specialisti del dipartimento di sicurezza delle informazioni);

· Rivedere periodicamente la politica per supportarne l'adeguatezza e l'efficacia;

· Condurre audit periodici per garantire che i dipendenti rispettino la politica e fornire un rapporto alla direzione dell'organizzazione.

· Inoltre, le responsabilità per garantire la sicurezza delle informazioni dovrebbero essere incluse nelle descrizioni delle mansioni del personale responsabile, nelle disposizioni sulle divisioni e negli obblighi contrattuali dell'organizzazione.

Pertanto, di conseguenza, non viene creata solo la base documentale dell'ISMS, ma esiste anche una reale distribuzione delle responsabilità per garantire la sicurezza delle informazioni tra il personale dell'organizzazione.

Ciclo di vita della politica di sicurezza:

Pianificazione

Audit di sicurezza iniziale

visita medica,

identificazione delle risorse che necessitano di protezione

valutazione del rischio.

L'audit analizza lo stato attuale della sicurezza delle informazioni, identifica le vulnerabilità esistenti, le aree operative più critiche ei processi aziendali più sensibili alle minacce alla sicurezza.

Sviluppo della politica di sicurezza:

Vengono determinate le condizioni di base, i requisiti e il sistema di misure di base per garantire la sicurezza delle informazioni nell'organizzazione, che consentono di ridurre i rischi a un valore accettabile.

Sono redatti sotto forma di decisioni concordate nell'ambito del gruppo di lavoro e sono approvate dalla direzione dell'organizzazione.

implementazione PIB

Risoluzione di problemi tecnici, organizzativi e disciplinari.

Visita medica

Audit e controllo.

Regolazione

Revisioni e adeguamenti periodici, nonché quando i dati originali cambiano.

sistema informatico di protezione del computer

1.3Mezzi moderni di protezione delle informazioni fisiche, hardware e software

L'obiettivo principale di qualsiasi sistema di sicurezza delle informazioni è garantire il funzionamento sostenibile di un oggetto: prevenire minacce alla sua sicurezza, proteggere i legittimi interessi del proprietario delle informazioni da usurpazioni illecite, compresi atti criminali nell'ambito considerato delle relazioni previste dall'art. cp, per assicurare la normale attività produttiva di tutte le divisioni dell'oggetto. Un altro compito si riduce al miglioramento della qualità dei servizi forniti e delle garanzie di sicurezza dei diritti di proprietà e degli interessi dei clienti. Questo richiede:

classificare le informazioni come ad accesso riservato (segreto ufficiale);

prevedere e identificare tempestivamente le minacce alla sicurezza delle risorse informative, le cause e le condizioni che contribuiscono all'inflizione di danni finanziari, materiali e morali, all'interruzione del suo normale funzionamento e sviluppo;

creare le condizioni per il funzionamento con la minor probabilità di attuazione di minacce alla sicurezza delle risorse informative e di causare vari tipi di danni;

creare un meccanismo e le condizioni per una pronta risposta alle minacce alla sicurezza delle informazioni e alle manifestazioni di tendenze negative nel funzionamento, un'efficace soppressione delle violazioni delle risorse sulla base di misure e mezzi legali, organizzativi e tecnici per garantire la sicurezza;

creare le condizioni per la massima compensazione e localizzazione possibile dei danni causati da azioni illecite di persone fisiche e giuridiche, e quindi indebolire il possibile impatto negativo delle conseguenze di una violazione della sicurezza delle informazioni.

Nello sviluppo di una politica di sicurezza, può essere utilizzato il seguente modello (Figura 1), basato su un adattamento dei Common Criteria (ISO 15408) e un'analisi dei rischi (ISO 17799). Questo modello è conforme a speciali documenti normativi sulla sicurezza delle informazioni, adottati nella Federazione Russa, standard internazionale ISO / IEC 15408 "Tecnologia dell'informazione - metodi di sicurezza - criteri per la valutazione della sicurezza delle informazioni", ISO / IEC 17799 "Gestione della sicurezza delle informazioni".

Riso. 1 Modello di costruzione di un sistema di sicurezza delle informazioni aziendali

Il modello presentato è un insieme di fattori oggettivi esterni e interni e la loro influenza sullo stato della sicurezza delle informazioni presso la struttura e sulla sicurezza delle risorse materiali o informative.

Si considerano i seguenti fattori oggettivi:

minacce alla sicurezza delle informazioni caratterizzate dalla probabilità di accadimento e dalla probabilità di attuazione;

vulnerabilità di un sistema informativo o di un sistema di contromisure (sistemi di sicurezza delle informazioni) che incidono sulla probabilità di attuazione di una minaccia; - il rischio è un fattore che riflette il possibile danno a un'organizzazione a seguito dell'implementazione di una minaccia alla sicurezza delle informazioni: perdita di informazioni e loro uso improprio (il rischio riflette in ultima analisi probabili perdite finanziarie - dirette o indirette).

Per creare una politica di sicurezza efficace, si prevede di condurre inizialmente un'analisi dei rischi nel campo della sicurezza delle informazioni. Quindi determinare il livello ottimale di rischio per l'impresa in base al criterio specificato. La politica di sicurezza e il relativo sistema di protezione delle informazioni aziendali dovranno essere costruiti in modo da raggiungere un determinato livello di rischio.

La metodologia proposta per lo sviluppo di una politica di sicurezza delle informazioni di un'impresa moderna consente di analizzare e documentare completamente i requisiti relativi alla garanzia della sicurezza delle informazioni, evitare il costo di misure di sicurezza non necessarie che sono possibili con una valutazione soggettiva del rischio, assistere nella pianificazione e nell'implementazione della protezione in tutte le fasi del ciclo di vita dei sistemi informativi, garantire che il lavoro venga svolto in breve tempo, fornire una giustificazione per la scelta delle contromisure, valutare l'efficacia delle contromisure, confrontare diverse opzioni per le contromisure.

Nel corso del lavoro, dovrebbero essere stabiliti i confini dello studio. Per fare ciò è necessario allocare le risorse del sistema informativo, per le quali in futuro si otterranno valutazioni di rischio. In questo caso è necessario separare le risorse in esame e gli elementi esterni con cui si interagisce. Le risorse possono essere hardware, software, dati e risorse informative: singoli documenti e singoli array di documenti, documenti e array di documenti nei sistemi informativi (biblioteche, archivi, fondi, banche dati, altri sistemi informativi). Esempi di elementi esterni sono reti di comunicazione, servizi esterni, ecc.

Quando si costruisce un modello, verranno prese in considerazione le relazioni tra le risorse. Ad esempio, il guasto di qualsiasi apparecchiatura può portare alla perdita di dati o al guasto di un altro elemento critico del sistema. Tali relazioni determinano le basi per la costruzione di un modello di organizzazione dal punto di vista della sicurezza delle informazioni.

Tale modello, in coerenza con la metodologia proposta, è costruito come segue: per le risorse allocate si determina il loro valore, sia dal punto di vista delle possibili perdite finanziarie ad esse associate, sia dal punto di vista del danno al reputazione dell'organizzazione, disorganizzazione delle sue attività, danni non materiali derivanti dalla divulgazione di informazioni riservate, ecc. Quindi viene descritta la relazione tra le risorse, identificate le minacce alla sicurezza e stimate le probabilità della loro implementazione.

Sulla base del modello costruito, è possibile scegliere ragionevolmente un sistema di contromisure che riducano i rischi a livelli accettabili e abbiano la massima efficienza in termini di costi. Parte del sistema di contromisure saranno le raccomandazioni per condurre revisioni periodiche dell'efficacia del sistema di protezione.

Garantire maggiori requisiti per la sicurezza delle informazioni implica misure appropriate in tutte le fasi del ciclo di vita della tecnologia dell'informazione. La pianificazione di tali attività viene effettuata dopo il completamento della fase di analisi dei rischi e selezione delle contromisure. Una parte obbligatoria di questi piani è la verifica periodica della conformità del regime SI esistente alla politica di sicurezza, la certificazione del sistema informativo (tecnologia) per la conformità ai requisiti di un determinato standard di sicurezza.

Al termine del lavoro, sarà possibile determinare la misura della garanzia di sicurezza dell'ambiente informativo, sulla base della valutazione con la quale l'ambiente informativo dell'oggetto può essere considerato attendibile. Questo approccio presuppone che una maggiore garanzia derivi da maggiori sforzi compiuti per condurre una valutazione della sicurezza. L'adeguatezza della valutazione si basa sul coinvolgimento nel processo di valutazione di un numero maggiore di elementi dell'ambiente informativo dell'oggetto, sulla profondità raggiunta attraverso l'utilizzo di un numero maggiore di progetti e descrizioni di dettagli di esecuzione nella progettazione del sistema di sicurezza , rigore, che consiste nell'utilizzo di un maggior numero di strumenti e metodi di ricerca volti a rilevare vulnerabilità meno evidenti oa ridurre la probabilità della loro presenza.

È importante ricordare che prima di implementare qualsiasi soluzione di sicurezza delle informazioni, è necessario sviluppare una politica di sicurezza adeguata agli scopi e agli obiettivi di un'impresa moderna. In particolare, la politica di sicurezza dovrebbe descrivere la procedura per concedere e utilizzare i diritti di accesso degli utenti, nonché i requisiti per gli utenti di essere responsabili delle loro azioni in materia di sicurezza. Un sistema di sicurezza delle informazioni (ISS) sarà efficace se supporta in modo affidabile l'attuazione delle regole della politica di sicurezza e viceversa. Le fasi della creazione di una politica di sicurezza consistono nell'aggiungere una struttura di valore alla descrizione dell'oggetto di automazione e nel condurre un'analisi dei rischi e determinare le regole per qualsiasi processo di utilizzo di questo tipo di accesso alle risorse dell'oggetto di automazione che hanno un determinato grado di valore. Allo stesso tempo, è consigliabile formalizzare la politica di sicurezza sotto forma di un documento separato e approvare la gestione dell'impresa.

4.Formulazione del problema

Per raggiungere questo obiettivo, è necessario risolvere i seguenti compiti:

· Determinare gli obiettivi e gli obiettivi della sicurezza delle informazioni nell'azienda.

· Selezionare un modello di politica di sicurezza per questa organizzazione.

Crea una matrice di accesso

Determinare il gruppo di requisiti per l'AU

Determinare la classe di sicurezza dell'AU e i requisiti per essa

Determinare i principali oggetti di protezione in azienda

Determinare l'oggetto della protezione in azienda

Identificare possibili minacce alle informazioni protette nell'azienda e nella loro struttura

Identificare le fonti, i tipi e i metodi degli effetti destabilizzanti sulle informazioni protette in azienda

Identificare canali e metodi di accesso non autorizzato alle informazioni protette in azienda

Determinare le principali direzioni, metodi e mezzi per proteggere le informazioni nell'impresa

Gli obiettivi della protezione delle informazioni aziendali sono:

· Prevenzione di furto, dispersione, smarrimento, distorsione, contraffazione di informazioni riservate (segreti commerciali e dati personali);

· Prevenzione delle minacce alla sicurezza di un individuo e di un'impresa;

· Prevenzione di azioni non autorizzate per distruggere, modificare, distorcere, copiare, bloccare informazioni riservate;

· Prevenzione di altre forme di interferenza illecita nelle risorse e nei sistemi informativi, garantendo il regime giuridico delle informazioni documentate come oggetto di proprietà;

· Tutela dei diritti costituzionali dei cittadini a mantenere il segreto personale e la riservatezza dei dati personali disponibili nei sistemi informativi;

· Conservazione, riservatezza delle informazioni documentate in conformità con la legislazione.

I compiti di protezione delle informazioni in azienda includono:

Fornire alle attività gestionali, finanziarie e di marketing dell'impresa i servizi di informazione di regime, ovvero la fornitura di tutti i servizi, dipartimenti e funzionari con le informazioni necessarie, sia classificate che non.

Garanzia della sicurezza delle informazioni, dei suoi mezzi, prevenzione della fuga di informazioni protette e prevenzione di qualsiasi accesso non autorizzato a supporti di informazioni classificate.

Sviluppo di meccanismi di pronta risposta alle minacce, utilizzo di mezzi e metodi legali, economici, organizzativi, socio-psicologici, ingegneristici e tecnici per identificare e neutralizzare le fonti di minaccia alla sicurezza dell'azienda.

Documentare il processo di protezione delle informazioni, in particolare delle informazioni che costituiscono un segreto commerciale.

Organizzazione del lavoro d'ufficio speciale, esclusa la ricezione non autorizzata di informazioni riservate.

· Ordini, decisioni, regolamenti, istruzioni, accordi e obblighi di riservatezza, ordini, contratti, piani, relazioni, un elenco di familiarità con il Regolamento sulle informazioni riservate e altri documenti che costituiscono un segreto commerciale, in forma cartacea ed elettronica.

2. Parte di progettazione

L'efficacia di un'organizzazione moderna oggi è sempre più determinata dal grado di utilizzo della tecnologia dell'informazione nel processo del suo funzionamento. Vi è un continuo aumento sia del volume delle informazioni trattate in forma elettronica sia del numero dei vari sistemi informativi. A questo proposito, lo sviluppo di una politica di sicurezza e protezione delle informazioni in azienda viene in primo piano nel compito di garantire la sicurezza aziendale.

Garantire la protezione delle informazioni comporta la necessità di proteggere diversi tipi di segreti: dati commerciali e personali. Il più importante è la protezione dei dati personali, poiché la fiducia dei clienti si basa principalmente sulla fornitura dei loro dati personali e, di conseguenza, sulla loro conservazione da parte dei dipendenti dell'organizzazione.

Pertanto, lo scopo di garantire la sicurezza in studio è sviluppare una politica di sicurezza e garantire una protezione affidabile delle informazioni presso l'impresa per il suo normale funzionamento.

1 Selezione e giustificazione del modello di sicurezza delle informazioni

I principali oggetti di tutela in atelier sono:

Personale (poiché queste persone sono autorizzate a lavorare con informazioni legalmente protette (segreti commerciali, dati personali) o hanno accesso ai locali in cui queste informazioni vengono elaborate)

Oggetti di informatizzazione - mezzi e sistemi di informatizzazione, mezzi tecnici per ricevere, trasmettere ed elaborare informazioni, i locali in cui sono installati,

Informazioni limitate:

segreto commerciale (informazioni sui metodi originali di gestione dell'impresa utilizzati, informazioni sulla preparazione, adozione ed esecuzione delle decisioni individuali della direzione dell'impresa su questioni commerciali, organizzative e di altro tipo; informazioni sui fatti di partecipazione, obiettivi, oggetto e risultati delle riunioni e riunioni degli organi di gestione dell'organizzazione (partner direttivi ecc.);

dati personali dei dipendenti (cognome, nome, patronimico, anno, mese, data e luogo di nascita, indirizzo, stato civile, istruzione, professione, livello di qualifica, reddito, condanne e alcune altre informazioni richieste dal datore di lavoro in relazione al lavoro rapporti e riguardanti un determinato dipendente).

dati anagrafici dei clienti (cognome, nome, patronimico, data di nascita, numero di telefono, dati dell'ordine e sconti personali)

Informazioni pubbliche protette dalla perdita:

informazioni documentate che regolano lo stato dell'impresa, i diritti, i doveri e le responsabilità dei suoi dipendenti (statuto, giornale di registrazione, accordo costitutivo, regolamenti sulle attività, regolamenti sulle divisioni strutturali, descrizioni delle mansioni dei dipendenti)

Supporti tangibili di informazioni legalmente protette (file personali dei dipendenti, file personali dei clienti, database elettronici di dipendenti e clienti, supporti cartacei e versioni elettroniche di ordini, risoluzioni, piani, contratti, relazioni che costituiscono un segreto commerciale)

Mezzi di sicurezza delle informazioni (programmi antivirus, sistemi di allarme e videosorveglianza, sistemi antincendio.)

Rifiuti tecnologici (rifiuti) derivanti dal trattamento di informazioni protette dalla legge (schede personali di ex clienti e dipendenti)

Oggetto della protezione delle informazioni in atelier è il supporto di memorizzazione su cui vengono registrate e visualizzate le informazioni protette:

· Fascicoli anagrafici dei clienti in formato cartaceo ed elettronico (database clienti e dipendenti);

· Ordini, decisioni, regolamenti, istruzioni, accordi e obblighi di riservatezza, ordini, contratti, piani, relazioni, un elenco di familiarità con il Regolamento sulle informazioni riservate e altri documenti che costituiscono un segreto commerciale, in forma cartacea ed elettronica.

Minacce alle informazioni protette.

Minacce esterne:

· Concorrenti (atelier privati ​​concorrenti dell'atelier “Vilden”);

· Organi amministrativi (autorità pubbliche);

· Criminali.

Minacce interne:

· Personale;

· Amministrazione dell'impresa.

Classificazione delle minacce:

Per oggetti:

1. Personale;

2. Valori materiali;

3. Valori finanziari.

Danno:

1. Materiale;

2. Morale.

Per l'ammontare del danno:

1. Ultimate (rovina completa);

2. Significativo (qualche reddito lordo);

3. Minore (perdita di profitto).

In relazione all'oggetto:

1. Interno;

2. Esterno.

In base alla probabilità di accadimento:

1. Altamente probabile;

2. probabile;

3. Improbabile.

Per la natura dell'impatto:

1. Attivo;

2. Passivo.

A causa della manifestazione:

1. Spontaneo;

2. Intenzionale.

Le fonti di influenza destabilizzante sulle informazioni includono:

mezzi tecnici per visualizzare (fissare), archiviare, elaborare, riprodurre, trasmettere informazioni, strutture di comunicazione e sistemi per garantirne il funzionamento;

fenomeni naturali.

I tipi e le modalità di influenza destabilizzante sulle informazioni protette sono differenziate a seconda delle fonti di influenza. Il maggior numero di tipi e metodi di influenza destabilizzante è legato alle persone.

Da parte delle persone, sono possibili i seguenti tipi di impatto, che portano a distruzione, distorsione e blocco:

Impatto diretto sui portatori delle informazioni protette.

Distribuzione non autorizzata di informazioni riservate.

Disabilitazione dei mezzi tecnici di visualizzazione, archiviazione, elaborazione, riproduzione, trasmissione di informazioni e servizi di comunicazione.

Violazione delle modalità di funzionamento dei mezzi elencati e della tecnologia di elaborazione delle informazioni.

Disabilitazione e interruzione del funzionamento dei sistemi atti a garantire il funzionamento dei mezzi nominati.

trasmissione verbale (messaggio) di informazioni;

trasferimento di copie (immagini) di supporti per informazioni;

esposizione di supporti per informazioni;

immissione di informazioni in reti informatiche;

uso delle informazioni in discorsi pubblici aperti, incl. alla radio, alla televisione;

perdita di mezzi.

I metodi per interrompere il modo operativo dei mezzi tecnici per visualizzare, archiviare, elaborare, riprodurre, trasferire informazioni, strutture di comunicazione e tecnologia di elaborazione delle informazioni che portano alla distruzione, alla distorsione e al blocco delle informazioni possono essere:

danni a singoli elementi di fondi;

violazione delle regole per il funzionamento dei fondi;

apportare modifiche alla procedura di trattamento delle informazioni;

infezione di programmi di elaborazione delle informazioni con programmi dannosi;

impartire comandi di programma errati;

superamento del numero stimato di richieste;

creare interferenze nella trasmissione radio con l'aiuto di suoni o rumori di sottofondo aggiuntivi, modificando (sovrapponendo) le frequenze di trasmissione delle informazioni;

trasmissione di falsi segnali - collegamento di filtri di soppressione a circuiti di informazione, circuiti di potenza e di massa;

violazione (modifica) delle modalità operative dei sistemi per garantire il funzionamento dei fondi.

I tipi di effetti destabilizzanti sulle informazioni protette dai mezzi tecnici di visualizzazione, memorizzazione, elaborazione, riproduzione, trasmissione di informazioni e comunicazioni e sistemi per garantire il loro funzionamento includono il guasto dei mezzi; malfunzionamenti dei fondi e creazione di radiazioni elettromagnetiche.

I canali più probabili di fuga di informazioni includono:

· Osservazione visiva;

· Intercettazione;

· Supervisione tecnica;

· Interrogazione diretta, traghettamento;

· Familiarizzazione con materiali, documenti, prodotti, ecc.;

· Raccolta di documenti aperti e altre fonti di informazione;

· Furto di documenti e altre fonti di informazione;

· Studio di molte fonti di informazione, contenenti parti delle informazioni necessarie.

Aree di protezione delle informazioni.

Protezione giuridica: norme, procedure e misure legali speciali create per garantire la sicurezza delle informazioni di un'impresa.

La tutela organizzativa è la regolamentazione delle attività produttive e del rapporto degli esecutori su base giuridica mediante danno. La protezione organizzativa è fornita da:

Organizzazione del regime di sicurezza, lavoro con personale, documenti;

Utilizzo di attrezzature tecniche di sicurezza;

Utilizzo delle informazioni e del lavoro analitico per identificare le minacce.

Ingegneria e protezione tecnica: l'uso di vari mezzi tecnici per garantire la protezione delle informazioni riservate. L'ingegneria e la protezione tecnica utilizzano mezzi quali:

Fisico: dispositivi, strutture ingegneristiche, misure organizzative che escludono o impediscono la penetrazione a fonti di informazioni riservate (sistemi di recinzione, sistemi di controllo degli accessi, dispositivi di chiusura e archivi);

Hardware - dispositivi che proteggono da perdite, divulgazione e da mezzi tecnici di spionaggio industriale

Software.

Modalità di protezione delle informazioni.

I principali metodi utilizzati per proteggere le informazioni sono i seguenti:

· Realizzazione di un sistema di autorizzazioni per l'accesso degli utenti (personale di servizio) alle risorse informative, al sistema informativo e alle opere e documenti connessi;

· Differenziazione dell'accesso degli utenti e del personale di servizio alle risorse informative, elaborazione software (trasmissione) e protezione delle informazioni;

· Prenotazione di mezzi tecnici, duplicazione di array e supporti di informazioni;

· Utilizzo di mezzi di protezione delle informazioni che hanno superato la procedura di valutazione della conformità secondo la procedura stabilita;

· Organizzazione della protezione fisica dei locali e degli effettivi mezzi tecnici che consentono il trattamento dei dati personali;

· Prevenzione dell'introduzione di programmi dannosi (programmi antivirus) e segnalibri di programmi nei sistemi informativi.

Principi di contabilizzazione delle informazioni classificate:

registrazione obbligatoria di tutti i portatori di informazioni protette;

registrazione una tantum di un vettore specifico di tali informazioni;

un'indicazione nei conti dell'indirizzo in cui si trova il vettore di informazioni classificate in un dato momento;

responsabilità esclusiva per la sicurezza di ogni supporto di informazioni protette e la riflessione negli account dell'utente di queste informazioni in questo momento, così come tutti i precedenti utenti di queste informazioni.

Strumenti per la sicurezza delle informazioni

I mezzi per la sicurezza delle informazioni sono una combinazione di dispositivi e dispositivi ingegneristici, elettrici, elettronici, ottici e di altro tipo, dispositivi e sistemi tecnici, nonché altri elementi di proprietà utilizzati per risolvere vari problemi di protezione delle informazioni, compresa la prevenzione delle perdite e la garanzia della sicurezza dei dati protetti informazione.

Come base per la classificazione degli strumenti di sicurezza delle informazioni, vengono utilizzati i principali gruppi di attività, che vengono risolti con l'aiuto di mezzi tecnici:

creazione di ostacoli fisici (meccanici) sulla via di penetrazione dell'intruso ai supporti di informazioni (griglie, casseforti, serrature, ecc.);

individuazione di tentativi di penetrazione nell'oggetto della protezione, nei luoghi di concentrazione dei portatori delle informazioni protette (dispositivi di segnalazione elettronica ed elettro-ottici);

segnalazione di emergenze (incendio, alluvione, ecc.) e intervento in caso di emergenza (mezzi antincendio, ecc.);

mantenere la comunicazione con i vari reparti, locali e altri punti dell'oggetto della protezione;

neutralizzazione, assorbimento o riflessione di radiazioni da prodotti azionati o testati (schermi, filtri protettivi, dispositivi di separazione nelle reti di alimentazione, ecc.);

un controllo completo dei mezzi tecnici di elaborazione delle informazioni e dei locali assegnati per la conformità ai requisiti di sicurezza delle informazioni vocali elaborate agli standard stabiliti;

protezione completa delle informazioni nei sistemi automatizzati di elaborazione dei dati mediante filtri, serrature elettroniche e chiavi al fine di impedire l'accesso non autorizzato, la copia o la distorsione delle informazioni.

La conoscenza delle capacità dei metodi e dei mezzi per proteggere le informazioni consente di applicarli attivamente e in modo completo quando si considerano e si utilizzano misure legali, organizzative, ingegneristiche e tecniche per proteggere le informazioni riservate.

Modello di politica di sicurezza.

Attualmente, sono meglio studiati due tipi di politiche di sicurezza: discrezionali e obbligatorie, basate, rispettivamente, su metodi selettivi e autoritativi di controllo degli accessi.

Va notato che i mezzi di protezione destinati all'attuazione di uno qualsiasi dei metodi di controllo degli accessi citati forniscono solo opportunità per un controllo affidabile dell'accesso o dei flussi di informazioni. La determinazione dei diritti di accesso dei soggetti agli oggetti e/o ai flussi informativi (poteri dei soggetti e attributi degli oggetti, assegnazione di etichette di criticità, ecc.) è di competenza dell'amministrazione di sistema.

Il controllo obbligatorio dell'accesso (MAC) in un sistema significa l'indipendenza della disponibilità delle informazioni dal suo proprietario. Di norma, in tali casi, il controllo degli accessi viene implementato in base alle proprietà delle informazioni stesse e alle proprietà della persona che vuole accedervi secondo entrambe le regole indipendenti da esse.

Tipico per i modelli destinati all'implementazione in sistemi di protezione militari e governativi.

A rigor di termini, i criteri per determinare a quale classe appartiene un particolare metodo di controllo degli accessi non sempre danno un risultato definito, ma sono molto accurati per la maggior parte dei modelli classici di policy di sicurezza.

Discretionary Access Control (DAC) è la base di una policy di sicurezza discrezionale (discreta), definita da due proprietà:

· I diritti di accesso del soggetto all'oggetto di sistema sono determinati sulla base di una regola esterna al sistema;

· Tutti i soggetti e gli oggetti devono essere identificati.

Il controllo discrezionale dell'accesso è un metodo per limitare l'accesso agli oggetti, che si basa sul fatto che un soggetto (solitamente il proprietario dell'oggetto) può, a sua discrezione, concedere ad altri soggetti o privarli dei diritti di accesso all'oggetto.

Questo modello implementa il controllo discrezionale (arbitrario) sull'accesso dei soggetti agli oggetti e il controllo sulla distribuzione dei diritti di accesso.

2 Selezione e giustificazione delle misure di protezione delle informazioni fisiche (non informatiche)

Le misure di protezione fisica delle informazioni includono:

Protezione antincendio;

protezione dall'acqua;

protezione contro i gas corrosivi;

protezione contro le radiazioni elettromagnetiche;

protezione contro furto e furto;

protezione contro le esplosioni;

protezione dalla caduta di detriti;

protezione dalla polvere;

protezione contro l'accesso non autorizzato ai locali.

Prima di tutto, devi preparare la stanza in cui si troverà il computer.

Disabilitare le unità inutilizzate, le porte parallele e le porte seriali sul tuo computer è una mossa intelligente. È desiderabile sigillare il suo corpo. Tutto ciò complicherà il furto o la sostituzione delle informazioni, anche se un aggressore entra in qualche modo nella stanza. Non trascurare misure di sicurezza così banali come sbarre e porte di ferro, serrature a combinazione e telecamere a circuito chiuso, che registreranno costantemente tutto ciò che accade nelle aree chiave dell'ufficio.

Un altro errore comune è relativo ai backup. Tutti conoscono la sua necessità, nonché il fatto che in caso di incendio è necessario disporre di un estintore. Ma per qualche ragione dimenticano che i backup non possono essere archiviati nella stessa stanza di un computer. Di conseguenza, dopo essersi protette dagli attacchi informatici, le aziende si trovano indifese anche di fronte a un piccolo incendio, in cui le copie prudentemente realizzate periscono insieme al computer.

Spesso, anche dopo aver protetto i computer, dimenticano che anche tutti i tipi di cavi necessitano di protezione: il sistema di cavi della rete. Inoltre, spesso dobbiamo temere non gli intrusi, ma i più comuni addetti alle pulizie, che sono giustamente considerati i più terribili nemici delle reti locali. L'opzione migliore per proteggere il cavo è con i condotti, ma, in linea di principio, è adatto qualsiasi altro metodo che consenta di nascondere e fissare in modo sicuro i fili. Non bisogna però perdere di vista la possibilità di collegarsi ad essi dall'esterno per intercettare informazioni o creare interferenze, ad esempio tramite una scarica di corrente. Tuttavia, bisogna ammettere che questa opzione non è molto diffusa e si nota solo in caso di interruzioni del lavoro delle grandi imprese.

Oltre a Internet, i computer sono inclusi in un'altra rete, la solita rete elettrica. È con esso che è collegato un altro gruppo di problemi relativi alla sicurezza fisica dei computer. Non è un segreto che la qualità delle moderne reti elettriche sia tutt'altro che ideale. Anche se non ci sono segni esterni di anomalie, molto spesso la tensione nella rete elettrica è superiore o inferiore al normale. Allo stesso tempo, la maggior parte delle persone non sospetta nemmeno che ci siano problemi di alimentazione a casa o in ufficio.

La sottotensione è l'anomalia più comune e rappresenta circa l'85% dei vari problemi di alimentazione. La sua causa comune è la mancanza di corrente, particolarmente comune nei mesi invernali. La sovratensione è quasi sempre il risultato di qualche tipo di incidente o danneggiamento del cablaggio nella stanza. Spesso, a seguito della disconnessione del filo neutro comune, le fasi adiacenti vengono eccitate a 380 V. Accade anche che si verifichi alta tensione nella rete a causa di una commutazione impropria dei fili.

Fonti di impulsi e interferenze ad alta frequenza possono essere fulmini, accensione o spegnimento di potenti consumatori di elettricità, incidenti nelle sottostazioni, nonché il funzionamento di alcuni elettrodomestici. Molto spesso, tale interferenza si verifica nelle grandi città e nelle aree industriali. Gli impulsi di tensione con durate da nanosecondi (10 ~ 9 s) a microsecondi (10 ~ 6 s) possono raggiungere diverse migliaia di volt in ampiezza. I microprocessori e altri componenti elettronici sono i più vulnerabili a tali interferenze. Spesso, un rumore di impulso non spento può portare a un riavvio del computer o a un errore nell'elaborazione dei dati. L'alimentatore integrato del computer, ovviamente, attenua parzialmente i picchi di tensione, proteggendo i componenti elettronici del computer da guasti, ma l'interferenza residua ridurrà comunque la durata dell'apparecchiatura e porterà anche ad un aumento della temperatura nella potenza del computer fornitura.

Per proteggere i computer dal rumore impulsivo ad alta frequenza, vengono utilizzati filtri di alimentazione (ad esempio, il marchio Pilot), che proteggono l'apparecchiatura dalla maggior parte del rumore e delle sovratensioni. Inoltre, i computer con informazioni importanti devono essere dotati di un gruppo di continuità (UPS). I moderni modelli di UPS non solo mantengono il computer in funzione durante un'interruzione di corrente, ma lo scollegano anche dalla rete se la rete è fuori portata.

3 Selezione e giustificazione delle misure di protezione delle informazioni hardware (computer)

L'hardware è il mezzo tecnico utilizzato per elaborare i dati. Questi includono: Personal computer (un insieme di mezzi tecnici progettati per l'elaborazione automatica delle informazioni nel processo di risoluzione di problemi informatici e informatici).

Apparecchiature periferiche (un insieme di dispositivi informatici esterni che non sono controllati direttamente dal processore centrale).

Supporti fisici di informazioni sulla macchina.

I mezzi di protezione dell'hardware includono vari dispositivi elettronici, elettromeccanici ed elettro-ottici. Ad oggi, è stato sviluppato un numero significativo di hardware per vari scopi, ma i seguenti sono i più utilizzati:

registri speciali per la memorizzazione dei dettagli di sicurezza: password, codici identificativi, timbri di firma o livelli di segretezza;

generatori di codici progettati per generare automaticamente un codice di identificazione del dispositivo;

dispositivi per misurare le caratteristiche individuali di una persona (voce, impronte digitali) al fine di identificarla;

bit di segretezza speciali, il cui valore determina il livello di segretezza delle informazioni memorizzate nella memoria a cui appartengono tali bit;

circuiti per interrompere la trasmissione di informazioni nella linea di comunicazione al fine di controllare periodicamente l'indirizzo di emissione dei dati Un gruppo speciale e più diffuso di dispositivi di protezione hardware sono i dispositivi per la crittografia delle informazioni (metodi crittografici).

Hardware: la base per costruire sistemi di protezione contro l'accesso non autorizzato alle informazioni

Negli anni '90, il personale di OKB CAD ha sviluppato una metodologia per l'utilizzo della protezione hardware, riconosciuta come base necessaria per la costruzione di sistemi di protezione dalla manomissione delle informazioni. Le idee principali di questo approccio sono le seguenti:

un approccio integrato alla risoluzione dei problemi di protezione delle informazioni nei sistemi automatizzati (AS) da NSD. Riconoscimento del paradigma moltiplicativo della tutela e, di conseguenza, pari attenzione all'affidabilità dell'attuazione delle procedure di controllo in tutte le fasi dell'esercizio della centrale;

Soluzione "materialistica" alla "questione principale" della sicurezza delle informazioni: "quale è primaria - hard o soft?";

rifiuto consistente di metodi di controllo software in quanto evidentemente inaffidabili e trasferimento delle procedure di controllo più critiche a livello hardware;

la massima separazione possibile degli elementi condizionalmente costanti e condizionatamente variabili delle operazioni di controllo;

costruzione di mezzi di protezione delle informazioni da accessi non autorizzati (SZI NSD), il più possibile indipendenti dai sistemi operativi e di file utilizzati nel sistema automatizzato. Si tratta dell'implementazione di procedure di identificazione/autenticazione, controllo dell'integrità dell'hardware e del software dell'AU prima del caricamento del sistema operativo, amministrazione, ecc.

I suddetti principi di protezione hardware sono stati implementati nel complesso hardware e software di protezione delle informazioni contro l'accesso non autorizzato - un modulo hardware per il caricamento affidabile - "Akkord-AMDZ". Questo complesso fornisce una modalità di avvio affidabile in vari ambienti operativi: MS DOS, Windows 3.x, Windows 9.x, Windows NT/2000/XP, OS/2, Unix, Linux.

L'hardware di sicurezza delle informazioni comprende dispositivi elettronici ed elettronico-meccanici che sono inclusi nei mezzi tecnici del CS e svolgono (in modo autonomo o in un unico complesso con software) alcune funzioni di sicurezza delle informazioni. Il criterio per classificare un dispositivo come hardware, e non come mezzi tecnici e ingegneristici di protezione, è l'inclusione obbligatoria nella composizione dei mezzi tecnici.

I principali mezzi hardware di protezione delle informazioni includono:

dispositivi per l'immissione di informazioni identificative dell'utente (schede magnetiche e plastificate, impronte digitali, ecc.);

dispositivi per la crittografia delle informazioni;

dispositivi per impedire l'accensione non autorizzata delle postazioni di lavoro (serrature e bloccaggi elettronici).

Esempi di hardware per la sicurezza delle informazioni ausiliario:

dispositivi per la distruzione di informazioni su supporti magnetici;

dispositivi di allarme sui tentativi di azioni non autorizzate degli utenti di computer, ecc.

L'hardware sta attirando sempre più l'attenzione degli specialisti, non solo perché è più facile proteggerli da danni e altre influenze accidentali o dannose, ma anche perché l'implementazione hardware delle funzioni è più veloce del software e il loro costo è in costante diminuzione.

Sempre più nuovi dispositivi stanno comparendo sul mercato della protezione hardware. Di seguito è riportata una descrizione della serratura elettronica come esempio.

Serratura elettronica "Sable". "Sobol", sviluppato e fornito da CJSC NIP "Informzashita", fornisce le seguenti funzioni di protezione:

identificazione e autenticazione degli utenti;

controllo dell'integrità dei file e dei settori fisici dell'hard disk;

blocco del caricamento del sistema operativo da un dischetto e da un CD-ROM;

bloccare l'accesso di un utente registrato quando supera il numero specificato di tentativi di accesso non riusciti;

registrazione di eventi relativi alla sicurezza del sistema.

L'hardware dei mezzi di protezione del sistema operativo è tradizionalmente inteso come un insieme di strumenti e metodi utilizzati per risolvere i seguenti compiti:

gestione della memoria operativa e virtuale del computer;

distribuzione del tempo del processore tra le attività in un sistema operativo multitasking;

sincronizzazione dell'esecuzione di task paralleli in un sistema operativo multitasking;

fornire l'accesso condiviso dei compiti alle risorse del sistema operativo.

Le attività elencate sono in gran parte risolte con l'aiuto di funzioni implementate dall'hardware di processori e altre unità di computer. Tuttavia, di norma, vengono utilizzati anche strumenti software per risolvere questi problemi e pertanto i termini "protezione hardware" e "protezione hardware" non sono del tutto corretti. Tuttavia, poiché questi termini sono generalmente accettati, li utilizzeremo.

4 Selezione e giustificazione delle misure del programma per proteggere le informazioni

Per software di sicurezza delle informazioni si intendono programmi speciali inclusi nel software per computer esclusivamente per l'esecuzione di funzioni di protezione.

I principali strumenti software per la protezione delle informazioni includono:

programmi per l'identificazione e l'autenticazione di utenti di computer;

programmi per differenziare l'accesso degli utenti a risorse informatiche;

programmi di crittografia delle informazioni;

programmi per la protezione delle risorse informative (software di sistema e applicativi, banche dati, supporti didattici informatici, ecc.) da modifica, uso e copia non autorizzati.

Resta inteso che l'identificazione, in relazione alla garanzia della sicurezza informatica di un elaboratore, è intesa come riconoscimento univoco del nome univoco di un soggetto informatico. Autenticazione significa conferma che il nome presentato corrisponde al soggetto dato (conferma dell'identità del soggetto).

Inoltre, il software per la sicurezza delle informazioni include:

programmi per la verifica (mantenimento dei log) di eventi relativi alla sicurezza del computer, per garantire la possibilità di ripristino e la prova del fatto che si verificano tali eventi;

programmi per simulare il lavoro con l'autore del reato (distraendolo per ricevere informazioni presumibilmente riservate);

programmi di controllo dei test di sicurezza del computer, ecc.

I vantaggi del software per la sicurezza delle informazioni includono:

facilità di replica;

flessibilità (la possibilità di personalizzare per varie condizioni d'uso, tenendo conto delle specificità delle minacce alla sicurezza delle informazioni di computer specifici);

facilità d'uso - alcuni strumenti software, ad esempio la crittografia, funzionano in modalità "trasparente" (invisibile all'utente), mentre altri non richiedono alcuna nuova competenza (rispetto ad altri programmi) da parte dell'utente;

opportunità praticamente illimitate per il loro sviluppo apportando modifiche per tenere conto delle nuove minacce alla sicurezza delle informazioni.

Gli svantaggi del software per la sicurezza delle informazioni includono:

diminuzione dell'efficienza di un computer a causa del consumo delle sue risorse necessarie per il funzionamento dei programmi di protezione;

prestazioni inferiori (rispetto all'esecuzione di funzioni simili di protezione hardware, come la crittografia);

l'attracco di molti software di sicurezza (e non il loro integrato nel software del computer, figg. 4 e 5), che crea una possibilità fondamentale per un intruso di aggirarli;

la possibilità di modifiche dannose alla protezione del software durante il funzionamento del computer.

Gli strumenti software specializzati per la protezione delle informazioni dall'accesso non autorizzato hanno, nel complesso, capacità e caratteristiche migliori rispetto agli strumenti integrati di un sistema operativo di rete. Oltre ai programmi di crittografia, sono disponibili molti altri strumenti di sicurezza esterni. Tra i più citati, vanno segnalati i seguenti due sistemi che consentono di limitare i flussi informativi: - firewall (letteralmente firewall - wall of fire). Tra le reti locale e globale, vengono creati speciali server intermedi che ispezionano e filtrano tutto il traffico di livello di rete/trasporto che li attraversa. Ciò può ridurre drasticamente la minaccia di accesso non autorizzato dall'esterno alle reti aziendali, ma non elimina affatto questo pericolo. Una versione più sicura del metodo è il masquerading, quando tutto il traffico in uscita dalla rete locale viene inviato per conto del server firewall, rendendo la rete locale quasi invisibile. Tutto il traffico a livello di rete / trasporto tra le reti locale e globale è completamente proibito: semplicemente non esiste un instradamento in quanto tale e le chiamate dalla rete locale alla rete globale avvengono tramite speciali server intermedi. Ovviamente con questo metodo le chiamate dalla rete globale a quella locale diventano in linea di principio impossibili. È anche ovvio che questo metodo non fornisce una protezione sufficiente contro gli attacchi a livelli superiori, ad esempio a livello di applicazione (virus, codice Java e JavaScript).

Diamo un'occhiata più da vicino a come funziona il firewall. È un metodo per proteggere una rete dalle minacce alla sicurezza di altri sistemi e reti centralizzando e controllando l'accesso alla rete tramite hardware e software. Un firewall è una barriera di sicurezza composta da più componenti (ad esempio, un router o un gateway che esegue il software firewall). Il firewall è configurato in base ai criteri di controllo dell'accesso alla rete interna dell'organizzazione. Tutti i pacchetti in entrata e in uscita devono passare attraverso un firewall che consente il passaggio solo dei pacchetti autorizzati.

Un firewall per il filtraggio dei pacchetti è un router o un computer che esegue un software configurato per rifiutare determinati tipi di pacchetti in entrata e in uscita. Il filtraggio dei pacchetti viene effettuato sulla base delle informazioni contenute nelle intestazioni TCP e IP dei pacchetti (indirizzi del mittente e del destinatario, relativi numeri di porta, ecc.).

Firewall di livello esperto: controlla il contenuto dei pacchetti ricevuti a tre livelli del modello OSI: rete, sessione e applicazione. Per eseguire questa operazione, vengono utilizzati speciali algoritmi di filtraggio dei pacchetti per confrontare ciascun pacchetto con un modello noto di pacchetti autorizzati.

La creazione di un firewall è correlata alla soluzione del problema della schermatura. L'impostazione formale del problema di screening è la seguente. Lascia che ci siano due insiemi di sistemi informativi. Uno schermo è un mezzo per differenziare l'accesso dei client da un set ai server da un altro set. Lo schermo svolge le sue funzioni controllando tutti i flussi di informazioni tra due insiemi di sistemi (Fig. 6). Il controllo dei flussi consiste nel filtrarli, eventualmente effettuando delle trasformazioni.

Oltre alle funzioni di controllo accessi, gli schermi registrano lo scambio di informazioni.

Di solito lo schermo non è simmetrico, i termini "dentro" e "fuori" sono definiti per questo. In questo caso, il problema della schermatura è formulato come proteggere l'area interna da quella esterna potenzialmente ostile. Pertanto, i firewall (FW) vengono installati più spesso per proteggere la rete aziendale di un'organizzazione con accesso a Internet.

La schermatura aiuta a mantenere la disponibilità dei servizi di back-end riducendo o eliminando il carico causato dall'attività esterna. La vulnerabilità dei servizi di sicurezza interna è ridotta perché l'attaccante deve inizialmente superare una schermata in cui i meccanismi di difesa sono configurati con particolare attenzione. Inoltre il sistema di schermatura, a differenza di quello universale, può essere disposto in modo più semplice e, quindi, più sicuro.

La schermatura consente inoltre di controllare i flussi informativi diretti all'esterno, il che contribuisce al mantenimento del regime di riservatezza nel SI dell'organizzazione.

La schermatura può essere parziale, proteggendo alcuni servizi informativi (ad esempio schermatura della posta elettronica).

Un'interfaccia di delimitazione può anche essere pensata come una sorta di fuga. Un oggetto invisibile è difficile da attaccare, specialmente con un insieme fisso di mezzi. In questo senso, l'interfaccia Web è naturalmente sicura, soprattutto quando i documenti ipertestuali vengono generati dinamicamente. Ogni utente vede solo ciò che dovrebbe vedere. Un'analogia può essere tracciata tra documenti ipertestuali generati dinamicamente e rappresentazioni in database relazionali, con l'avvertenza essenziale che nel caso del Web le possibilità sono molto più ampie.

Il ruolo di schermatura di un servizio Web si manifesta anche chiaramente quando questo servizio media (più precisamente, integra) funzioni nell'accesso ad altre risorse, come le tabelle di database. Non solo controlla il flusso delle richieste, ma nasconde anche la reale organizzazione dei dati.

L'identificazione dell'utente viene eseguita utilizzando una chiave individuale sotto forma di un "tablet" Touch Memory con una memoria fino a 64 Kbyte e l'autenticazione - utilizzando una password fino a 16 caratteri.

Il controllo di integrità è progettato per assicurarsi che i programmi ei file dell'utente, e in particolare i file di sistema del sistema operativo, non siano stati modificati da un intruso o da un segnalibro software introdotto da lui. Per fare ciò, innanzitutto, entra in funzione il parser del file system del sistema operativo: il calcolo dei valori di riferimento e il loro controllo durante il caricamento è implementato in Sobol a livello hardware. La costruzione di un elenco di controllo dell'integrità degli oggetti viene eseguita utilizzando l'utilità del sistema operativo, che in linea di principio consente al programma interceptor di modificare tale elenco, ed è noto che il livello di sicurezza complessivo di un sistema è determinato dal livello di sicurezza dell'anello più debole .

Un disco crittografato è un file contenitore che può contenere qualsiasi altro file o programma (possono essere installati ed eseguiti direttamente da questo file crittografato). Questo disco è accessibile solo dopo aver inserito la password per il file contenitore, quindi sul computer viene visualizzato un altro disco, che viene riconosciuto dal sistema come logico e funziona con il quale non differisce dal lavoro con qualsiasi altro disco. Dopo aver disconnesso il disco, il disco logico scompare, diventa semplicemente "invisibile".

Oggi i programmi più comuni per la creazione di dischi crittografati sono DriveCrypt, BestCrypt e PGPdisk. Ognuno di essi è protetto in modo affidabile dall'hacking remoto.

La crittografia è la scienza della protezione dei dati. Sta cercando soluzioni a quattro importanti problemi di sicurezza: riservatezza, autenticazione, integrità e controllo dei partecipanti all'interazione. La crittografia è la trasformazione dei dati in una forma illeggibile utilizzando chiavi di crittografia-decrittografia. La crittografia consente di garantire la riservatezza mantenendo segrete le informazioni a coloro a cui non sono destinate.

La crittografia si occupa di trovare e ricercare metodi matematici per trasformare le informazioni.

Le principali direzioni di utilizzo dei metodi crittografici sono il trasferimento di informazioni riservate attraverso canali di comunicazione (ad esempio e-mail), l'autenticazione dei messaggi trasmessi, l'archiviazione di informazioni (documenti, banche dati) su supporti in forma crittografata.

I virus possono entrare in una macchina in vari modi (attraverso la rete globale, attraverso un floppy disk infetto o un'unità flash USB). Le conseguenze della loro penetrazione sono molto spiacevoli: dalla distruzione di un file all'interruzione dell'intero computer. Basta un solo file infetto per infettare tutte le informazioni sul computer e quindi infettare l'intera rete aziendale.

Dr.Web Enterprise Suite è stato scelto per la protezione antivirus. Questo pacchetto fornisce una protezione centralizzata per una rete aziendale di qualsiasi dimensione. Una moderna soluzione basata sulle tecnologie Dr.Web per le reti aziendali, è un complesso tecnico unico con un sistema integrato per la gestione centralizzata della protezione antivirus in tutta l'azienda. Dr.Web Enterprise Suite consente a un amministratore che lavora sia all'interno della rete che su un computer remoto (via Internet) di svolgere le attività amministrative necessarie per gestire la protezione antivirus di un'organizzazione.

5 Supporto organizzativo

Sottovalutare i fattori di sicurezza nel lavoro quotidiano è il tallone d'Achille di molte organizzazioni. Strumenti di sicurezza costosi diventano inutili se sono scarsamente documentati, sono in conflitto con altri software e la password dell'amministratore di sistema non è cambiata dall'installazione.

Si possono distinguere le seguenti aree di attività quotidiana:

supporto all'utente;

supporto software;

gestione della configurazione;

backup;

gestione dei mezzi di comunicazione;

documentazione;

manutenzione ordinaria.

Supporto all'utente significa, prima di tutto, consulenza e assistenza nella risoluzione di problematiche di varia natura. A volte le organizzazioni creano uno speciale "help desk" per questo scopo, ma più spesso l'amministratore di sistema combatte gli utenti. È molto importante nel flusso delle domande essere in grado di identificare i problemi relativi alla sicurezza delle informazioni. Pertanto, molte delle difficoltà degli utenti che lavorano sui personal computer possono essere il risultato di un'infezione da virus. Si consiglia di registrare le domande degli utenti per identificare i loro errori tipici e inviare promemoria con raccomandazioni per situazioni comuni.

Il supporto software è uno degli strumenti più importanti per garantire l'integrità delle informazioni. Prima di tutto, devi tenere traccia di quale software è installato sui tuoi computer. Se gli utenti installano programmi a loro discrezione, ciò può portare a infezioni da virus, nonché all'emergere di utilità che aggirano le misure di sicurezza. È anche probabile che "l'iniziativa" degli utenti porterà gradualmente al caos sui loro computer e l'amministratore di sistema dovrà correggere la situazione.

Il secondo aspetto del supporto software è il controllo dell'assenza di modifiche non autorizzate ai programmi e dei diritti di accesso agli stessi. Ciò include anche il supporto per le copie master dei sistemi software. Il controllo viene solitamente ottenuto mediante una combinazione di controlli di accesso fisici e logici e l'uso di utilità di convalida e integrità.

La gestione della configurazione consente di controllare e registrare le modifiche apportate alla configurazione del software. Prima di tutto, devi assicurarti contro modifiche accidentali o sconsiderate, essere in grado di tornare almeno alla versione precedente, funzionante. Il commit delle modifiche semplificherà il ripristino della versione corrente dopo un arresto anomalo.

Il modo migliore per ridurre gli errori nel lavoro di routine è automatizzarlo il più possibile. Hanno ragione quei programmatori e amministratori di sistema "pigri" che, guardando il mare di compiti monotoni, dicono: "Non lo farò mai; scriverò un programma che farà tutto per me". Automazione e sicurezza sono interdipendenti; colui che si preoccupa prima di tutto di facilitare il suo compito, infatti, forma nel migliore dei modi il regime di sicurezza delle informazioni.

Il backup è necessario per ripristinare programmi e dati dopo i disastri. E qui è consigliabile automatizzare il lavoro, almeno creando una pianificazione del computer per la creazione di copie complete e incrementali e, al massimo, utilizzando i prodotti software appropriati (vedi, ad esempio, Jet Info, 2000, 12). È inoltre necessario provvedere alla collocazione delle copie in un luogo sicuro, protetto da accessi non autorizzati, incendi, perdite, cioè da tutto ciò che può comportare furto o danneggiamento dei supporti. È consigliabile disporre di più copie di backup e conservarne alcune al di fuori del territorio dell'organizzazione, proteggendo così da incidenti rilevanti e incidenti simili.

Di tanto in tanto, a scopo di test, dovresti verificare la capacità di recuperare le informazioni dalle copie.

La gestione dei supporti è necessaria per fornire protezione fisica e contabilità per dischi floppy, nastri, stampe e simili. La gestione dei media dovrebbe garantire la riservatezza, l'integrità e la disponibilità delle informazioni archiviate al di fuori dei sistemi informatici. Protezione fisica qui significa non solo un riflesso di tentativi di accesso non autorizzati, ma anche protezione da influenze ambientali dannose (caldo, freddo, umidità, magnetismo). La gestione dei media dovrebbe coprire l'intero ciclo di vita, dall'approvvigionamento al pensionamento.

Conclusione

La misura più importante di protezione delle informazioni in questo settore è un'organizzazione chiara e un controllo sull'uso dei supporti di informazioni.

Il progresso ha dato all'umanità moltissime conquiste, ma lo stesso progresso ha dato origine a molti problemi. La mente umana, mentre risolve alcuni problemi, inevitabilmente si scontra con altri, nuovi. L'eterno problema è la protezione delle informazioni. In varie fasi del suo sviluppo, l'umanità ha risolto questo problema con una caratteristica caratteristica di questa era. L'invenzione del computer e l'ulteriore rapido sviluppo delle tecnologie dell'informazione nella seconda metà del XX secolo hanno reso il problema della protezione dell'informazione tanto urgente e acuto quanto la tecnologia dell'informazione è rilevante per l'intera società odierna. La principale tendenza che caratterizza lo sviluppo delle moderne tecnologie dell'informazione è un aumento del numero di reati informatici e del relativo furto di informazioni riservate e di altro tipo, nonché di perdite materiali.

Oggi, probabilmente, nessuno può dire con certezza il numero esatto delle perdite totali per reati informatici legati all'accesso non autorizzato alle informazioni. Ciò è dovuto principalmente alla riluttanza delle società interessate a divulgare informazioni sulle loro perdite, nonché al fatto che non è sempre possibile stimare con precisione le perdite derivanti dal furto di informazioni in termini monetari.

Ci sono molte ragioni per l'intensificarsi dei crimini informatici e delle relative perdite finanziarie, le più significative delle quali sono:

il passaggio dalla tradizionale tecnologia "cartacea" di archiviazione e trasferimento delle informazioni all'elettronica e l'insufficiente sviluppo della tecnologia di protezione delle informazioni in tali tecnologie;

unificazione dei sistemi informatici, creazione di reti globali ed espansione dell'accesso alle risorse informative;

un aumento della complessità degli strumenti software e la conseguente diminuzione della loro affidabilità e un aumento del numero di vulnerabilità.

Le reti di computer, in virtù della loro specificità, semplicemente non possono funzionare e svilupparsi normalmente, ignorando i problemi della sicurezza delle informazioni.

Elenco bibliografico

Barman S. Sviluppo di regole di sicurezza delle informazioni. - M.: Casa editrice "Williams", 2002.

Bachilo I. L., Lopatin V. N., Fedotov M. A. Diritto dell'informazione - San Pietroburgo: Casa editrice "Legal Center Press", 2001.

Biyachuev T.A. Sicurezza delle reti aziendali. Libro di testo / ed. LG Osovetskiy - SPb .: SPbGU ITMO, 2004.

Nero W. Internet: Protocolli di sicurezza. Corso di formazione. - SPb.: Pietro, 2001.

Bozhday A.S., Finogeev A.G. Tecnologie di rete. Parte 1: Tutorial. Penza: Casa Editrice PSU, 2005.

Sotto politica di sicurezza le organizzazioni comprendono l'insieme delle decisioni gestionali documentate volte a proteggere le informazioni e le risorse associate. La politica di sicurezza è il mezzo con cui vengono svolte le attività nel sistema informatico dell'organizzazione. In generale, le politiche di sicurezza sono determinate dall'ambiente informatico utilizzato e riflettono le esigenze specifiche dell'organizzazione.

Tipicamente, un sistema informativo aziendale è un complesso complesso di hardware e software eterogenei, a volte poco coordinati: computer, sistemi operativi, strutture di rete, DBMS, varie applicazioni. Tutti questi componenti di solito hanno le proprie protezioni che devono essere abbinate. Pertanto, un'efficace politica di sicurezza è essenziale come piattaforma coerente per proteggere il sistema aziendale. Man mano che il sistema informatico cresce e si integra nella rete globale, è necessario garantire che non vi siano punti deboli nel sistema, poiché tutti gli sforzi per proteggere le informazioni possono essere svalutati da una sola svista.

È possibile creare una policy di sicurezza che specifichi chi ha accesso a risorse e applicazioni specifiche, quali ruoli e responsabilità hanno individui specifici e procedure di sicurezza che stabiliscono chiaramente come devono essere eseguite specifiche attività di sicurezza. Le caratteristiche individuali del lavoro di un dipendente possono richiedere l'accesso a informazioni che non dovrebbero essere disponibili ad altri dipendenti. Ad esempio, un responsabile delle risorse umane può avere accesso alle informazioni private di qualsiasi dipendente, mentre uno specialista di reporting può avere accesso solo ai dati finanziari di tali dipendenti. E un normale dipendente avrà accesso solo alle proprie informazioni personali.

La politica di sicurezza definisce la posizione dell'organizzazione sull'uso razionale dei computer e della rete, nonché le procedure per prevenire e rispondere agli incidenti di sicurezza. In un grande sistema aziendale è possibile applicare un'ampia gamma di policy differenti, dalle policy aziendali alle regole specifiche per l'accesso ai set di dati. Queste politiche sono completamente determinate dalle esigenze specifiche dell'organizzazione.

Concetti basilaripolitiche di sicurezza

La politica di sicurezza definisce la strategia di gestione della sicurezza delle informazioni, nonché il livello di attenzione e la quantità di risorse che la direzione ritiene appropriata.

La politica di sicurezza si basa su un'analisi dei rischi riconosciuti come reali per il sistema informativo dell'organizzazione. Quando viene eseguita l'analisi dei rischi e viene determinata la strategia di protezione, viene elaborato un programma la cui attuazione dovrebbe garantire la sicurezza delle informazioni. Per questo programma vengono allocate le risorse, nominati i responsabili, determinato l'ordine di controllo dell'esecuzione del programma, ecc.

Per familiarizzare con i concetti base delle policy di sicurezza, si consideri, come esempio specifico, un'ipotetica rete locale appartenente ad un'organizzazione e una policy di sicurezza ad essa associata.

La politica di sicurezza di un'organizzazione dovrebbe essere strutturata come un documento di politica di alto livello conciso e facilmente comprensibile supportato da una serie di documenti più specifici di politiche e procedure di sicurezza specializzate.

La politica di sicurezza di alto livello dovrebbe essere rivista periodicamente per garantire che soddisfi le attuali esigenze dell'organizzazione. Questo documento è redatto in modo tale che la politica sia relativamente indipendente dalla tecnologia. In tal caso, non è necessario modificare questo documento politico troppo spesso.

Una politica di sicurezza viene solitamente redatta sotto forma di documento che include sezioni come la descrizione del problema, l'ambito, la posizione dell'organizzazione, la distribuzione dei ruoli e delle responsabilità, le sanzioni, ecc.

Descrizione del problema. Le informazioni che circolano all'interno della rete locale sono fondamentali. Una rete locale consente agli utenti di condividere programmi e dati, il che aumenta il rischio per la sicurezza. Pertanto, ciascuno dei computer della rete necessita di una protezione più forte. Queste misure di sicurezza rafforzate sono l'oggetto di questo documento. Il documento ha i seguenti obiettivi: dimostrare ai dipendenti dell'organizzazione l'importanza della protezione dell'ambiente di rete, descrivere il loro ruolo nel garantire la sicurezza e assegnare anche responsabilità specifiche per la protezione delle informazioni che circolano in rete.

Area di applicazione. L'ambito di questa politica copre tutto l'hardware, il software e le risorse informative incluse nella rete locale dell'impresa. La politica si rivolge anche alle persone che lavorano con la rete, inclusi utenti, subappaltatori e fornitori.

La posizione dell'organizzazione. Lo scopo dell'organizzazione è garantire l'integrità, la disponibilità e la riservatezza dei dati, nonché la loro completezza e pertinenza. Obiettivi più specifici sono:

garantire un livello di sicurezza conforme ai documenti normativi;

rispetto della fattibilità economica nella scelta delle misure di protezione (i costi di protezione non devono superare il danno stimato da violazione della sicurezza delle informazioni);

garantire la sicurezza in ogni area funzionale della rete locale;

garantire la responsabilità di tutte le azioni dell'utente con informazioni e risorse;

fornitura di analisi di informazioni di registrazione;

fornire agli utenti informazioni sufficienti per mantenere consapevolmente il regime di sicurezza;

sviluppo di piani di ripristino dopo incidenti e altre situazioni critiche per tutte le aree funzionali al fine di garantire la continuità della rete;

garantire il rispetto delle leggi applicabili e della politica di sicurezza aziendale.

Distribuzione dei ruoli e delle responsabilità. I rispettivi funzionari e utenti della rete sono responsabili dell'attuazione degli obiettivi di cui sopra.

Capi di dipartimento sono responsabili della comunicazione agli utenti delle disposizioni della politica di sicurezza e del contatto con loro.

garantiscono il funzionamento continuo della rete e sono responsabili dell'attuazione delle misure tecniche necessarie per far rispettare la politica di sicurezza.

Amministratori del servizio sono responsabili di specifici servizi e, in particolare, di assicurare che la protezione sia costruita in conformità con la politica generale di sicurezza.

Utenti sono obbligati a lavorare con la rete locale in conformità con la politica di sicurezza, obbedire agli ordini delle persone responsabili di alcuni aspetti della sicurezza, informare la direzione di tutte le situazioni sospette.

Di seguito sono forniti maggiori dettagli sui ruoli e le responsabilità di funzionari e utenti della rete.

sanzioni. La violazione di una policy di sicurezza potrebbe esporre la rete locale e le informazioni in essa circolanti a rischi inaccettabili. Gli incidenti di sicurezza da parte del personale dovrebbero essere prontamente affrontati dalla direzione per azioni disciplinari fino al licenziamento.

Informazioni aggiuntive. Team specifici di implementatori potrebbero aver bisogno di documenti aggiuntivi da rivedere, come politiche e procedure di sicurezza specializzate e altre linee guida. La necessità di ulteriori documenti sulla politica di sicurezza dipende in gran parte dalle dimensioni e dalla complessità dell'organizzazione. Un'organizzazione sufficientemente grande può richiedere policy di sicurezza specializzate oltre alla policy di base. Le organizzazioni più piccole necessitano solo di un sottoinsieme di politiche specializzate. Molti di questi documenti di supporto possono essere piuttosto brevi, da una a due pagine.

Da un punto di vista pratico, le politiche di sicurezza possono essere suddivise in tre livelli: superiore, medio e inferiore.

Livello superiore la politica di sicurezza definisce le decisioni che interessano l'intera organizzazione. Queste decisioni sono di natura molto generale e di solito provengono dalla direzione dell'organizzazione.

Tali decisioni possono includere i seguenti elementi:

la formulazione degli obiettivi che l'organizzazione persegue nel campo della sicurezza delle informazioni, la definizione di indirizzi generali nel raggiungimento di tali obiettivi;

formazione o revisione di un programma completo di sicurezza delle informazioni, identificazione delle persone responsabili della promozione del programma;

fornire la base materiale per conformarsi a leggi e regolamenti;

formulazione di decisioni gestionali sull'attuazione del programma di sicurezza, che dovrebbero essere considerate a livello dell'organizzazione nel suo insieme.

Politica di sicurezza di alto livello articola gli obiettivi di sicurezza delle informazioni dell'organizzazione in termini di integrità, disponibilità e riservatezza. Se un'organizzazione è responsabile della manutenzione di database mission-critical, la prima priorità dovrebbe essere integrità dati. Per un'organizzazione di vendita, la pertinenza delle informazioni sui servizi e sui prezzi forniti, nonché la sua disponibilità il numero massimo di potenziali acquirenti. L'organizzazione di regime si occuperà prima di tutto di riservatezza informazioni, ovvero sulla sua protezione da accessi non autorizzati.

Sul livello superiore viene effettuata la gestione delle risorse di sicurezza e il coordinamento dell'uso di queste risorse, l'assegnazione di personale speciale per proteggere i sistemi critici, il mantenimento dei contatti con altre organizzazioni che garantiscono o controllano il regime di sicurezza.

Politica di alto livello deve definire chiaramente la sfera della sua influenza. Può trattarsi di tutti i sistemi informatici di un'organizzazione, o anche di più se la politica regola alcuni aspetti dell'uso dei computer di casa da parte dei dipendenti. È anche possibile che solo i sistemi più importanti siano inclusi nella sfera di influenza.

La politica dovrebbe definire le responsabilità dei funzionari per sviluppare il programma di sicurezza e per attuarlo, cioè la politica può servire come base per la responsabilità del personale.

La politica di alto livello si occupa di tre aspetti del rispetto della legge e della disciplina dell'esecuzione. In primo luogo, l'organizzazione deve rispettare le leggi esistenti. In secondo luogo, dovrebbero essere monitorate le azioni dei responsabili dello sviluppo del programma di sicurezza. In terzo luogo, è necessario assicurare la disciplina esecutiva del personale attraverso un sistema di premi e punizioni.

Livello medio la politica di sicurezza determina la soluzione di problemi relativi a determinati aspetti della sicurezza delle informazioni, ma importanti per i vari sistemi gestiti dall'organizzazione.

Esempi di tali problemi sono gli atteggiamenti nei confronti dell'accesso a Internet (il problema di combinare la libertà di ottenere informazioni con la protezione dalle minacce esterne), l'uso dei computer di casa, ecc.

La politica di sicurezza di medio livello dovrebbe definire i seguenti punti per ogni aspetto della sicurezza delle informazioni:

descrizione dell'aspetto- la posizione dell'organizzazione può essere formulata in una forma piuttosto generale come un insieme di obiettivi che l'organizzazione persegue in questo aspetto;

area di applicazione- dovrebbe specificare dove, quando, come, in relazione a chi e cosa si applica tale politica di sicurezza;

ruoli e responsabilità- il documento deve contenere informazioni sui funzionari responsabili dell'attuazione della politica di sicurezza nella vita;

sanzioni - la politica dovrebbe contenere una descrizione generale delle azioni vietate e delle relative sanzioni;

punti di contatto- deve sapere dove rivolgersi per chiarimenti, aiuto e ulteriori informazioni. Un funzionario è di solito il punto di contatto.

Livello inferiore la politica di sicurezza si applica a servizi specifici. Questa politica include due aspetti: obiettivi e regole per raggiungerli, quindi a volte è difficile separarla dai problemi di attuazione. A differenza dei primi due livelli, la politica in questione dovrebbe essere più dettagliata.

Ecco alcuni esempi di domande a cui è necessario rispondere quando si segue una politica di sicurezza di basso livello:

chi ha il diritto di accedere agli oggetti supportati dal servizio;

come è organizzato l'accesso remoto al servizio.

Politica di sicurezza di basso livello può derivare da considerazioni di integrità, disponibilità e riservatezza, ma non dovrebbe soffermarsi su di esse. In generale, gli obiettivi dovrebbero collegare gli oggetti del servizio e interagire in modo significativo con essi.

Dagli obiettivi derivano regole di sicurezza che descrivono chi può fare cosa e in quali condizioni. Quanto più dettagliate sono le regole, tanto più chiare e formali sono stabilite, tanto più facile è supportarne l'attuazione con software e misure tecniche. Le autorizzazioni per gli oggetti sono generalmente specificate in modo più formale.

Di seguito una descrizione più dettagliata delle responsabilità di ciascuna categoria di personale.

Capi di dipartimento sono responsabili della comunicazione agli utenti delle disposizioni della politica di sicurezza. Sono obbligati a:

tenere sempre sott'occhio i problemi di sicurezza. Assicurati che i loro subordinati facciano lo stesso;

condurre analisi dei rischi, identificando gli asset che richiedono protezione e le vulnerabilità del sistema, valutando l'entità del possibile danno da una violazione della sicurezza e scegliendo mezzi di protezione efficaci;

organizzare la formazione del personale sulle misure di sicurezza. Prestare particolare attenzione alle problematiche relative al controllo antivirus;

informare gli amministratori di rete locale e gli amministratori del servizio sui cambiamenti nello stato di ciascuno dei subordinati (trasferimento ad altro lavoro, licenziamento, ecc.);

assicurarsi che ogni computer nelle proprie divisioni disponga di un host o di un amministratore di sistema responsabile della sicurezza e qualificato per svolgere questo ruolo.

Amministratori di rete locale garantiscono il funzionamento continuo della rete e sono responsabili dell'attuazione delle misure tecniche necessarie per far rispettare la politica di sicurezza. Sono obbligati a:

garantire la protezione delle apparecchiature di rete locale, comprese le interfacce con altre reti;

rispondere prontamente ed efficacemente agli eventi minacciosi. Informare gli amministratori del servizio sui tentativi di violazione della protezione;

utilizzare mezzi collaudati per verificare e rilevare situazioni sospette. Analizzare quotidianamente le informazioni di registrazione relative alla rete in generale e ai file server in particolare;

non abusare dei tuoi grandi poteri. Gli utenti hanno diritto alla privacy;

sviluppare procedure e preparare istruzioni per proteggere la rete locale da software dannoso. Assistere nel rilevamento e nell'eliminazione di codice dannoso;

eseguire regolarmente il backup delle informazioni archiviate su file server;

apportare tutte le modifiche alla configurazione hardware e software di rete;

garantire che la procedura di identificazione e autenticazione sia obbligatoria per l'accesso alle risorse di rete. Fornire agli utenti nomi di accesso e password iniziali solo dopo aver completato i moduli di registrazione;

verificare periodicamente l'affidabilità della protezione della rete locale. Impedisci agli utenti non autorizzati di ottenere privilegi.

Amministratori del servizio sono responsabili di specifici servizi e, in particolare, di assicurare che la protezione sia costruita in conformità con la politica generale di sicurezza. Sono obbligati a:

gestire i diritti di accesso degli utenti agli oggetti serviti;

rispondere prontamente ed efficacemente agli eventi minacciosi. Fornire assistenza nel respingere la minaccia, identificare i trasgressori e fornire informazioni per la loro punizione;

eseguire regolarmente il backup delle informazioni elaborate dal servizio;

fornire agli utenti i nomi di accesso e le password iniziali solo dopo aver compilato i moduli di registrazione;

analizzare quotidianamente le informazioni di registrazione relative al servizio. Monitorare regolarmente il servizio per software dannoso;

verificare periodicamente l'affidabilità del servizio di protezione. Impedisci agli utenti non autorizzati di ottenere privilegi.

Utenti sono obbligati a lavorare con la rete locale in conformità con la politica di sicurezza, obbedire agli ordini delle persone responsabili di alcuni aspetti della sicurezza, informare la direzione di tutte le situazioni sospette. Sono obbligati a:

conoscere e rispettare le leggi, le regole adottate in questa organizzazione, la politica di sicurezza, le procedure di sicurezza. Utilizzare i meccanismi di sicurezza disponibili per garantire la riservatezza e l'integrità delle proprie informazioni;

utilizzare un meccanismo di protezione dei file e impostare correttamente i diritti di accesso;

scegli password di alta qualità, cambiale regolarmente. Non scrivere password su carta, non condividerle con altri;

informare gli amministratori o la direzione in merito a violazioni della sicurezza e altre situazioni sospette;

non utilizzare punti deboli nella protezione dei servizi e della rete locale nel suo insieme. Non eseguire lavori non autorizzati con i dati, non interferire con altri utenti;

fornire sempre informazioni di identificazione e autenticazione corrette, non cercare di lavorare per conto di altri utenti;

fornire backup delle informazioni dal disco rigido del tuo computer;

sapere come funziona il software dannoso, come penetra e si diffonde. Conoscere e seguire le procedure per prevenire la penetrazione di codice dannoso, la sua rilevazione e distruzione;

conoscere e seguire le regole di comportamento nelle situazioni di emergenza, la sequenza delle azioni nell'eliminazione delle conseguenze degli incidenti.

Misure di gestione della sicurezza delle informazioni. L'obiettivo principale delle misure adottate a livello di gestione è formulare un programma di lavoro nel campo della sicurezza delle informazioni e garantirne l'attuazione stanziando le risorse necessarie e monitorando regolarmente lo stato delle cose. La base di questo programma è una politica di sicurezza multilivello che riflette l'approccio integrato di un'organizzazione alla protezione delle proprie risorse e risorse informative.