Să trecem la subiectul imediat al articolului - protecția obiectelor.
Să presupunem că un client v-a contactat cu următoarea problemă: există suspiciunea că informațiile confidențiale devin disponibile concurenților.
Client - proprietarul unei mici afaceri cu un birou format din mai multe camere. Întreprinderea are un departament de contabilitate, zone de producție, un birou al directorului, o sală de recepție și o sală de recreere. Întreprinderea are propriul serviciu de securitate. Spatiul de birouri este situat in incinta unei cladiri cu mai multe etaje, spatiile invecinate sunt ocupate si de birouri.
De unde să începem măsurile de protecție? La prima vedere, este necesar să se protejeze sediul întreprinderii prin închiderea tuturor canalelor tipice de scurgere de informații. Dar aceștia sunt mulți bani.
În prima etapă, trebuie să întrebați care dintre concurenți îl suspectează clientul că fură informații. Dacă există suspiciuni fără echivoc, este indicat să aflați cât de costisitoare sunt informațiile trimise, care sunt capacitățile financiare și tehnice ale atacatorilor, de ex. cât de mult își permit să închirieze informații.
Este necesar să se afle ce grup de personal are acces la informațiile trimise. Având aceste informații, mergem mai departe.
Măsurile de protecție a informațiilor pot fi împărțite în două grupe principale: măsuri organizatorice și măsuri tehnice.
Nu ne vom opri în detaliu asupra măsurilor organizatorice, pentru aceasta există un serviciu de securitate pentru întreprinderi. Dar poți da câteva sfaturi.
Este necesar să se delimiteze accesul la sedii și la informații în rândul personalului întreprinderii, în funcție de activitățile și ierarhia acestora. Făcând acest lucru, restrângem semnificativ cercul persoanelor care au acces la informații confidențiale.
Este necesar să se controleze rutina zilnică stabilită a întreprinderii.
Este nevoie de o muncă explicativă cu personalul despre discuțiile nedorite ale unor aspecte ale muncii lor în afara zidurilor întreprinderii.
Dacă informațiile sunt disponibile pentru o gamă largă de oameni, de exemplu, există cinci angajați în departamentul de contabilitate, atunci măsurile tehnice de protecție vor ajuta puțin. În acest caz, de exemplu, în loc să instalați sisteme de protecție pentru convorbirile telefonice în departamentul de contabilitate, este mai bine să instalați un sistem de documentare a convorbirilor telefonice, de exemplu, „Sprut”. În acest caz, serviciul de securitate poate identifica cu ușurință persoana responsabilă pentru dezvăluirea informațiilor confidențiale. Utilizarea constantă a altor sisteme de protecție într-o astfel de încăpere este, de asemenea, imposibilă, deoarece fie creează un mediu de lucru inconfortabil, fie inițial certificatul medical pentru dispozitivul de protecție limitează durata de funcționare a acestuia și, în final, funcționarea dispozitivelor poate afecta negativ. afectează funcționarea echipamentelor de birou.
Astfel, este mai bine să se asigure măsuri de protecție a informațiilor în principalele domenii ale întreprinderii cu ajutorul măsurilor organizatorice și a dispozitivelor de control tehnic permise pentru utilizare - înregistratoare și tarifare a convorbirilor telefonice, sisteme de supraveghere video și audio, sisteme de control acces etc.
Ce ar trebui protejat la întreprindere cu ajutorul tehnologiei? Cel mai bine este să alocați o cameră specială pentru negociere (de obicei o cameră de odihnă), să oferiți acces limitat la aceasta, dacă este nevoie de conversații telefonice confidențiale, să alocați o linie telefonică separată pentru oraș (fără a o comuta cu un mini-PBX de birou) și conectați-l la spații protejate. Dacă este nevoie să utilizați un computer personal, este mai bine să îl eliminați din rețeaua locală a întreprinderii. Dacă este necesar să se desfășoare negocieri confidențiale în biroul directorului, atunci el este supus și protecției tehnice.
Acum că ne-am hotărât asupra unei anumite încăperi, să trecem la măsurile tehnice de protecție.
În primul rând, să definim caracteristicile de performanță ale camerei. Camera are o fereastră, o baterie de încălzire centrală, două prize electrice și iluminat conectat la două faze electrice diferite, o linie telefonică din oraș este adusă în cameră, un computer personal este amplasat constant în cameră, care nu este inclus în local. rețeaua întreprinderii.
Pereții camerei sunt din beton armat. Dimensiuni camera: 4m x 5m x 2.7m.
Planul de etaj este prezentat în figura 1.
Măsurile de protecție tehnică a informațiilor pot fi împărțite condiționat în trei domenii: pasiv, activ și combinat.
Protecția pasivă presupune detectarea și localizarea surselor și canalelor de scurgere de informații.
Activ - interferează cu regăsirea informațiilor.
Combinat - combină utilizarea celor două direcții anterioare și este cel mai de încredere.
Cu toate acestea, apărările pasive și active sunt vulnerabile într-un anumit sens. De exemplu, atunci când se utilizează protecția exclusiv pasivă, este necesar să se efectueze monitorizarea non-stop, deoarece nu se știe când sunt activate dispozitivele de preluare sau se pierde capacitatea de a utiliza echipamente de detectare în timpul unei întâlniri de afaceri.
Protecția activă poate îngreuna viața oamenilor care te urmăresc și o poți folosi inactiv, fără să știi sigur dacă există supraveghere.
Protecția combinată elimină aceste dezavantaje.
Model de protecție a informațiilor împotriva scurgerii prin canale tehnice din obiectul protejat
Tabelul 9
Locul de instalare |
Locul pozițional de instalare a dispozitivelor de regăsire a informațiilor |
Tip (index) al dispozitivului pentru citirea informațiilor |
Mod de aplicare |
Canal tehnic pentru închiderea scurgerilor de informații |
|
Generator de zgomot "Thunder ZI - 4" |
În mod constant |
Radioelectronică |
|||
PC-ul biroului nr.3 |
Generator de zgomot „GSh-K-1000M” |
În mod constant |
Radioelectronică |
||
Generator de zgomot "Kupol-W-DU" |
În mod constant |
Radioelectronică |
|||
Priză 220 V. Biroul șefului obiectului protejat |
Generator de zgomot |
Prin decizia conducerii |
Radioelectronică |
||
Continuarea tabelului |
|||||
Generator de zgomot "SI-8001" |
În mod constant |
Radioelectronică |
|||
Priză 220 V. Dulapul nr. 2 |
Generator de zgomot "SI-8001" |
Prin decizia conducerii |
Radioelectronică |
||
Generator de zgomot "Wave 4 M" |
Prin decizia conducerii |
Radioelectronică |
|||
Biroul șefului obiectului protejat |
Generator de zgomot "SELSP-21B1" |
Prin decizia conducerii |
Radioelectronică |
||
Biroul șefului obiectului protejat |
Filtru de putere "FSP-1F-7A" |
În mod constant |
Radioelectronică |
||
Fereastra biroului șefului obiectului protejat |
Sistem vibroacustic "VGSh-103" |
În mod constant |
Acustic |
||
Fereastra camerei sucursalei secrete |
Generator de zgomot vibroacustic "ANG-2000" |
Prin decizia conducerii |
Acustic |
Caracteristicile de performanță ale echipamentului de protecție
Tabelul 10
Locul de instalare |
Tipul (indexul) dispozitivelor de securitate a informațiilor |
Specificații |
|
Desktopul capului obiectului protejat |
Thunder ZI-4 |
Gama de frecvente - 20 - 1000 MHz Alimentare - retea 220 V Tensiunea semnalului - în intervalul de frecvență 100 kHz - 1 MHz - 60 dB |
|
Biroul șefului obiectului protejat |
Gama de frecvente - 100 kHz - 1000 MHz Alimentare - + 12V, de la magistrala computerului Niveluri de putere radiate zgomot - 30 - 45 dB |
||
Continuarea tabelului |
|||
Sediul departamentului secret |
Dome-W-DU |
Raza de acțiune - 5 - 10 m Gama de frecvență de operare - 100 kHz - 1800 MHz Alimentare - 220 V putere de radiație - 15 W Factor de calitate a zgomotului - nu mai rău de 0,6 |
|
Priză 220 V. Biroul șefului obiectului protejat |
Lățimea spectrului de interferență - 30 kHz - 30 MHz Alimentare - 220 V Nivelul semnalului de zgomot - 75 - 35 dB / μV |
||
Priză 220 V. Sediul departamentului secret |
Consumul de energie< 15ВА Alimentare-220 V Nivel de interferență -30 - 80 dB |
||
Priză 220 V. Dulapul nr. 2 |
Lățimea spectrului de interferență - 5 kHz - 10 MHz Alimentare-220 V Nivel de interferență -30 - 80 dB |
||
Biroul șefului obiectului protejat |
Gama de frecvente - 0,5 ... 1000 MHz Putere - 20 de wați Nutriție - 220 V Amplitudinea semnalului de zgomot - nu mai puțin de 3 V |
||
Biroul șefului obiectului protejat |
Alimentare - 12V Gama de frecvente - 5 MHz ... 1 GHz Nivelul semnalului de ieșire - 45 dB Curent de consum - 350 mA |
||
Biroul șefului obiectului protejat |
Interval de frecvență de operare -0,15-1000MHz Atenuare -60 dB Curent de sarcină permis - 7 A |
||
Fereastra biroului șefului obiectului protejat |
Interval -40 dB în intervalul de frecvență 175 - 5600 Hz Raza - 5 m |
||
Fereastra camerei sucursalei secrete |
Lățimea spectrului de interferență-250Hz - 5KHz Alimentare-220 V Consum de energie - 24W Tensiune de ieșire -1 - 12 V Rezistență > 0,5 ohmi |
Metode de protejare a informațiilor în situații de urgență
Protecția informațiilor în situații de urgență constă în crearea unor mijloace de avertizare, control și măsuri organizatorice pentru a exclude comunicarea neautorizată asupra unui complex de echipamente de automatizare în cazul unor defecțiuni ale funcționării acestuia, defecțiuni ale sistemului de protecție a informațiilor, sistemelor de susținere a vieții persoanelor de la unitatea de cazare și în caz de dezastre naturale.
Practica arată că, deși o situație de urgență este un eveniment rar (probabilitatea apariției ei depinde de multe motive, inclusiv de cele aflate în afara controlului unei persoane, iar aceste motive pot fi interconectate), protecția față de aceasta este necesară, deoarece consecințele ca rezultatul impactului său, de regulă, se poate dovedi a fi foarte greu, iar pierderile - irecuperabile. Costul protecției împotriva situațiilor de urgență poate fi relativ mic, iar efectul în cazul unui accident poate fi mare.
Eșecul funcționării ASOI poate duce la o defecțiune a sistemului de protecție a informațiilor, accesul la purtătorii acestuia poate fi deschis, ceea ce poate duce la distrugerea, furtul sau înlocuirea deliberată a transportatorului. Accesul neautorizat la instalația internă a echipamentului poate duce la conectarea unor echipamente străine, distrugerea sau modificarea schemei de circuit.
Defectarea sistemului de susţinere a vieţii poate duce la incapacitatea personalului de întreţinere şi control. Dezastrele naturale: incendiu, inundații, cutremur, fulgere etc. - pot duce și la consecințele de mai sus. Situația de urgență poate fi creată intenționat. Apoi se aplică măsuri organizatorice.
În cazul eșecului funcționării ASOI, subsistemul de control al manipularii echipamentului este alimentat cu o sursă de alimentare autonomă. Pentru a exclude pierderea irecuperabilă a informațiilor, suporturile de informații sunt duplicate și stocate într-un loc separat și sigur. Pentru a proteja împotriva scurgerilor, informațiile trebuie stocate într-un mod criptografic securizat. Pentru a lua măsuri în timp util pentru protejarea sistemului de susţinere a vieţii, sunt instalaţi senzori corespunzători, ale căror semnale sunt transmise la sistemele centralizate de control şi alarmă.
Focul este o amenințare tipică. Poate apărea din vina personalului de service, în cazul defectării echipamentului, precum și ca urmare a unui dezastru natural.
Măsurile organizatorice pentru protecția informațiilor în ASOI constau în elaborarea și implementarea măsurilor administrative și organizatorice și tehnice în timpul pregătirii și funcționării sistemului.
Măsurile organizatorice, conform experților străini, în ciuda îmbunătățirii constante a măsurilor tehnice, constituie o parte semnificativă a sistemului de protecție. Sunt utilizate atunci când sistemul de calcul nu poate controla direct utilizarea informațiilor. În plus, în unele cazuri critice, pentru a îmbunătăți eficacitatea protecției, este utilă dublarea măsurilor tehnice cu cele organizatorice.
Măsurile organizatorice pentru protejarea sistemelor în timpul pregătirii și funcționării lor cuprind decizii și proceduri luate de conducerea utilizatorului sistemului. În timp ce unele dintre acestea pot fi determinate de factori externi, cum ar fi legile sau reglementările guvernamentale, majoritatea problemelor sunt rezolvate intern într-o organizație în condiții de control.
În majoritatea studiilor consacrate problemelor protecţiei informaţiei, precum şi în publicaţiile străine existente, atenţia principală a fost acordată fie aspectului juridic şi problemelor sociale şi legislative conexe, fie metodelor tehnice de rezolvare a problemelor specifice de protecţie. În comparație cu acestea, problemelor organizaționale le lipsea acea formulare clară care este inerentă problemelor tehnice și acea colorare emoțională care este inerentă problemelor juridice.
O parte integrantă a oricărui plan de acțiune ar trebui să fie o declarație clară a obiectivelor, o repartizare a responsabilităților și o listă de garanții organizaționale. Alocarea responsabilității și a funcțiilor pentru implementarea protecției de la o organizație la alta poate varia, dar planificarea atentă și alocarea precisă a responsabilităților sunt esențiale pentru crearea unui sistem de protecție eficient și rezistent.
Măsurile organizatorice pentru protecția informațiilor în ASOI ar trebui să acopere etapele de proiectare, dezvoltare, fabricare, testare, pregătire pentru funcționare și exploatare a sistemului.
În conformitate cu cerințele sarcinii tehnice din organizație, proiectantul, împreună cu mijloacele tehnice, dezvoltă și implementează măsuri organizaționale pentru protejarea informațiilor în etapa creării unui sistem. Faza de construire se referă la proiectarea, dezvoltarea, fabricarea și testarea sistemului. În același timp, este necesar să se facă distincția între măsurile de protecție a informațiilor efectuate de organizația de proiectare, dezvoltator și producător în procesul de creare a unui sistem și concepute pentru a proteja împotriva scurgerilor de informații în această organizație și măsurile prevăzute în documentația de proiect și elaborată pentru sistem, care se referă la principiile de organizare a protecției în sistemul propriu-zis și din care decurg măsurile organizatorice recomandate în documentația operațională de către organizația dezvoltatoare pentru perioada de punere în funcțiune și exploatare a sistemului. Implementarea acestor recomandări este o anumită garanție a protecției informațiilor în ASOI.
Măsurile organizaționale pentru protejarea informațiilor în procesul de creare a unui sistem includ:
Organizarea dezvoltării, implementării și utilizării fondurilor;
Gestionarea accesului personalului în teritoriu, clădiri și spații;
Introducerea muncii în zonele necesare cu regim de secretizare;
Elaborarea fiselor posturilor pentru asigurarea regimului de secretizare in conformitate cu instructiunile si reglementarile in vigoare in tara;
Dacă este necesar, alocarea de încăperi separate cu alarme antiefracție și sisteme de acces;
Diferențierea sarcinilor în funcție de executant și eliberarea documentației;
Atribuirea ștampilei de secretizare materialelor, documentației, echipamentelor și păstrarea acestora sub pază în încăperi separate, luând în considerare și controlând accesul artiștilor interpreți;
Monitorizarea constantă a respectării regimului și a instrucțiunilor relevante de către executori;
Stabilirea și distribuirea persoanelor responsabile pentru scurgerea de informații.
Măsurile organizatorice stabilite în instrucțiunile de operare ale sistemului și recomandate de organizația de consumatori ar trebui să fie prevăzute pentru perioadele de pregătire și exploatare a sistemului.
Aceste măsuri, ca metodă de protecție a informațiilor, presupun un sistem de măsuri organizatorice care completează și combină măsurile tehnice de mai sus într-un singur sistem de securitate a informațiilor.
7. Protecția informațiilor. Tipurile și conținutul evenimentelor.
protecția informațiilor - există un set de măsuri întreprinse de proprietarul informațiilor pentru a-și proteja drepturile de a deține și de a dispune de informații, pentru a crea condiții care să restricționeze difuzarea acesteia și să excludă accesul la informații clasificate și la purtătorii acesteia.
Prin urmare, securitatea informațiilor ar trebui înțeleasă și ca asigurarea securității informațiilor și a mediilor informaționale în care informațiile protejate sunt acumulate, procesate și stocate.
Astfel, protecția informațiilor este activitatea titularului informațiilor sau a persoanelor autorizate de acesta pentru:
> asigurarea drepturilor acestora de a deține, dispune și gestiona informațiile protejate;
> prevenirea scurgerilor și pierderii de informații;
păstrarea completității, fiabilității, integrității informațiilor protejate, a matricelor și a programelor de procesare ale acestora;
> păstrarea confidențialității sau a secretului informațiilor protejate în conformitate cu regulile stabilite prin reglementări legislative și de altă natură.
Principalele măsuri organizatorice și tehnice care sunt realizate de sistemul de protecție a informațiilor de stat ar trebui să fie luate în considerare:
licențierea de stat a întreprinderilor în domeniul protecției informațiilor;
certificarea obiectelor informaționale conform cerințelor de securitate a informațiilor, destinate să evalueze gradul de pregătire a sistemelor și mijloacelor de informatizare și comunicare pentru prelucrarea informațiilor care conțin secrete de stat, oficiale sau comerciale;
certificarea sistemelor de securitate a informațiilor;
Măsurile organizatorice și tehnice efectuate de sistemul de protecție a informațiilor de stat includ și:
introducerea de restricții teritoriale, de frecvență, energetice, spațiale și temporale în modurile de funcționare a echipamentelor tehnice supuse protecției;
crearea și aplicarea de informații și sisteme de control automate într-un design sigur;
dezvoltarea și implementarea de soluții tehnice și elemente de protecție a informațiilor în realizarea de arme și echipamente militare și în proiectarea, construcția și exploatarea obiectelor de informatizare, sisteme și mijloace de automatizare și comunicație.
8. Protecția informațiilor. Tipurile și conținutul evenimentelor.
1. Mijloace tehnice de protecție a informațiilor, inclusiv mijloace de monitorizare a eficacității măsurilor luate pentru protejarea informațiilor:
1.1. Mijloace de protecție a informațiilor împotriva interceptării semnalelor optice ale imaginilor în domeniul vizibil, infraroșu și ultraviolet al undelor.
1.2. Mijloace de protecție a informațiilor împotriva interceptării semnalelor acustice care se propagă în aer, apă, medii solide.
2. Hardware și sisteme într-un design protejat, inclusiv:
2.1. Instrumente de codificare, mascare sau criptare
informații telematice transmise prin canale de comunicare.
2.2. Echipament pentru transmiterea de informații video pe un canal optic.
3. Mijloace tehnice de protecție a măsurilor operaționale speciale și tehnice ale mijloacelor tehnice speciale destinate obținerii în secret de informații.
4. Mijloace tehnice de protejare a informațiilor împotriva accesului neautorizat al persoanelor neautorizate:
4.2. Mijloace speciale de protecție împotriva falsificării documentelor bazate pe tehnologii optice și chimice, inclusiv:
Mijloace de protejare a documentelor de fotocopiere
Mijloace de protecție a documentelor împotriva contrafacerii cu ajutorul medicamentelor de identificare chimică
Mijloace de protejare a informațiilor folosind scrisul secret.
5. Instrumente software pentru protejarea informațiilor împotriva modificărilor și marcajelor software:
5.1. Programe care asigură diferențierea accesului la informații.
5.3. Programe de verificare a funcționării sistemului de protecție a informațiilor și de monitorizare a integrității mijloacelor de protecție împotriva falsificării.
5.4. Programe de protecție pentru diverse scopuri auxiliare, inclusiv programe antivirus.
6. Software protejat pentru prelucrarea informațiilor:
6.1. Pachete de aplicații pentru stații de lucru automate AWP.
6.2. Baze de date ale rețelelor de calculatoare.
7. Mijloace software și hardware de protecție a informațiilor:
7.1 Instrumente software și hardware pentru protejarea informațiilor împotriva copierii neautorizate,
7.2. Instrumente software și hardware pentru protecția criptografică și stenografică a informațiilor, inclusiv mijloace de mascare a informațiilor atunci când acestea sunt stocate pe suporturi de date și atunci când sunt transmise prin canale de comunicație.
7.3. Instrumente software și hardware pentru întreruperea funcționării programului utilizatorului în caz de încălcare a regulilor de acces, inclusiv:
Forțați oprirea programului
Blocarea computerului.
7.4. Instrumente software și hardware pentru ștergerea datelor, inclusiv:
8. Mijloace speciale de protecție împotriva identificării
9. Protecție software și hardware împotriva persoanelor neautorizate:
8.1. Mijloace de protecție împotriva examinării fonografice a semnalelor vocale.
8.2. Mijloace de protecție împotriva examinării amprentei.Acces la baie la sistemele de măsuri operaționale de căutare SORM pe liniile de comunicație:
9.1. În sistemele de comunicații cu fir.
9.2. În sistemele de comunicații celulare.
9. Prevederi de bază ale legislației privind protecția informațiilor .
Protecția juridică a informațiilor
Protecția juridică a programelor de calculator și a bazelor de date a fost introdusă pentru prima dată pe deplin în Federația Rusă prin Legea Federației Ruse privind protecția juridică a programelor pentru calculatoare și baze de date electronice, care a intrat în vigoare în 1992.
Protecția legală prevăzută de prezenta lege se aplică tuturor tipurilor de programe de calculator, inclusiv sistemelor de operare și complexelor software care pot fi exprimate în orice limbă și sub orice formă, inclusiv textul sursă într-un limbaj de programare și cod mașină. Cu toate acestea, protecția juridică nu se extinde la ideile și principiile care stau la baza programului de calculator. Inclusiv idei și principii pentru organizarea interfeței și a algoritmului.
Pentru notificarea drepturilor lor, dezvoltatorul programului poate. Începând de la prima lansare a programului, utilizați semnul dreptului de autor, care constă din trei elemente:
Literele C într-un cerc sau paranteze c
Numele deținătorului drepturilor de autor
Anul primei lansări a programului.
c Microsoft Corporation 1993-1997.
O organizație sau un utilizator care deține în mod legal o copie a programului care a cumpărat o licență de utilizare a acestuia, are dreptul de a efectua orice acțiuni legate de funcționarea programului, inclusiv înregistrarea și stocarea acestuia în memoria computerului, fără a obține permisiunea suplimentară de la dezvoltator. Înregistrarea și stocarea în memoria computerului este permisă în legătură cu un computer sau un utilizator din rețea, cu excepția cazului în care se prevede altfel printr-un acord cu dezvoltatorul.
Trebuie să cunoașteți și să respectați legile existente care interzic copierea ilegală și utilizarea software-ului licențiat. În ceea ce privește organizațiile sau utilizatorii care încalcă drepturile de autor, dezvoltatorul poate cere despăgubiri pentru daunele cauzate și plata unei despăgubiri de către contravenient într-o sumă determinată la aprecierea instanței de la 5.000 de ori la 50.000 de ori salariul minim lunar.
Legea federală din 27 iulie 2006 N 149-FZ privind informațiile, tehnologiile informației și protecția informațiilor
Articolul 16. Protecția informațiilor
1. Protecția informațiilor reprezintă adoptarea de măsuri legale, organizatorice și tehnice care vizează:
1 asigurarea protecției informațiilor împotriva accesului neautorizat, distrugerii, modificării, blocării, copierii, furnizarii, distribuirii, precum și împotriva altor acțiuni ilegale în legătură cu astfel de informații
2 menținerea confidențialității informațiilor restricționate,
3 exercitarea dreptului de acces la informații.
2. Reglementarea relațiilor de stat în domeniul protecției informațiilor se realizează prin stabilirea cerințelor pentru protecția informațiilor, precum și a răspunderii pentru încălcarea legislației Federației Ruse.
Federația pentru informații, tehnologia informației și protecția informațiilor.
3. Cerințele de protecție a informațiilor disponibile publicului pot fi stabilite numai pentru atingerea scopurilor specificate în clauzele 1 și 3 din partea 1 a prezentului articol.
4. Proprietarul informațiilor, operatorul sistemului informatic în cazurile stabilite de legislația Federației Ruse, sunt obligați să asigure:
1 prevenirea accesului neautorizat la informații și/sau a transferului acestora către persoane care nu au dreptul de acces la informații
2 detectarea în timp util a faptelor de acces neautorizat la informații
3 prevenirea posibilității de apariție a consecințelor negative ale încălcării procedurii de acces la informații
4 evitarea impactului asupra mijloacelor tehnice de prelucrare a informațiilor, în urma căruia….
Conform Legii federale nr. 149 „Cu privire la informații, tehnologia informației și protecția informațiilor”, „protecția informațiilor este adoptarea de măsuri legale, organizatorice și tehnice care vizează:
- 1) asigurarea protecției informațiilor împotriva accesului neautorizat, distrugerii, modificării, blocării, copierii, furnizării, distribuirii, precum și împotriva altor acțiuni ilegale în legătură cu astfel de informații;
- 2) respectarea confidențialității informațiilor cu acces limitat;
- 3) implementarea dreptului de acces la informații ". ФЗ № 149" Cu privire la informații, tehnologia informației și protecția informațiilor "
Pe baza acestei definiții, toate măsurile de securitate a informațiilor pot fi împărțite în trei categorii:
- 1) organizatoric
- 2) tehnic
- 3) legal
Măsurile organizatorice sunt de natură administrativă și procedurală și reglementează procesele de funcționare a sistemului informatic de date și acțiunile personalului. În consecință, măsurile organizatorice pot fi împărțite în măsuri administrative și procedurale.
Măsuri administrative
Scopul principal al măsurilor administrative este crearea unui program de lucru pe tema „securității informațiilor” și asigurarea implementării acestuia. Programul se bazează pe politica de securitate. O politică de securitate este un set de decizii documentate luate de conducerea unei organizații și care vizează atingerea celui mai înalt nivel de securitate a informațiilor. O politică de securitate poate fi considerată ca fiind strategia de securitate a informațiilor a unei organizații.
Pentru a dezvolta o strategie detaliată și a o implementa într-o întreprindere reală, este necesar să se convină mai întâi asupra diferitelor decizii politice ale managementului de vârf. Pe baza acestei politici de securitate se dezvoltă un program de securitate. Trebuie remarcat faptul că această politică oferă reguli speciale, instrucțiuni și reglementări care se referă direct la personalul întreprinderii. Este recomandabil să luați în considerare o politică de securitate la trei niveluri de detaliu:
- Nivelul superior
- Nivel mediu
- Nivel inferior
Să luăm în considerare aceste niveluri în detaliu:
Nivelul superior.
Nivelul superior include deciziile care afectează organizația în ansamblu. Ele sunt de natură generală și provin de obicei de la conducerea organizației.
Nivel mediu
Acest nivel de securitate include aspecte care se referă la aspecte importante ale asigurării securității informațiilor pentru diferite sisteme din întreprindere.
Următoarele întrebări merită răspuns aici:
- Ar trebui să li se permită angajaților să transfere date de la computerele de acasă pe cele de la serviciu?
- Ar trebui să li se permită angajaților să transfere date de la computerele de la serviciu pe cele de acasă?
Nivel inferior.
Politica de securitate de nivel inferior poate fi atribuită unor servicii informaționale specifice, diferitelor sisteme care funcționează separat sau subsistemelor de procesare a datelor.
După formularea unei politici de securitate separate, puteți începe elaborarea unui program de securitate, adică elaborarea unor măsuri specifice pentru implementarea politicii de securitate.
De obicei, un program de securitate este împărțit în două niveluri:
- nivelul superior sau central care cuprinde întreaga organizaţie.
- inferior, sau serviciu, legat de servicii individuale sau grupuri de servicii omogene.
Acest program este condus de persoana care este responsabilă de securitatea informațiilor organizației. Programul de nivel superior trebuie să ocupe un loc strict definit în activitățile organizației, trebuie să fie susținut și adoptat oficial de conducere, precum și să aibă un anumit personal și buget.
În această lucrare au fost identificate principalele scopuri și obiective ale nivelului superior:
- „Managementul riscului, inclusiv evaluarea riscului și selectarea remediilor eficiente.
- coordonarea activităților din domeniul securității informațiilor, reaprovizionare și distribuire a resurselor.
- planificare strategica. Ca parte a programului de nivel superior, sunt luate decizii strategice pentru a asigura securitatea, sunt evaluate inovațiile tehnologice pentru a asigura securitatea informațiilor. Tehnologia informației evoluează foarte rapid și este necesar să existe o politică clară de urmărire și introducere de noi instrumente.
- controlul activităților din domeniul securității informațiilor. Acest control are o direcție în două sensuri. În primul rând, este necesar să se asigure că acțiunile organizației nu sunt în conflict cu legile. În al doilea rând, trebuie să monitorizați în mod constant starea de securitate din cadrul organizației, să răspundeți la incidente de încălcare și să perfecționați măsurile de protecție, ținând cont de situația în schimbare.” Makarenko S.I. Securitatea informațiilor: un tutorial
Program de nivel inferior
Scopul unui program de nivel scăzut este de a oferi protecție fiabilă și rentabilă pentru un anumit serviciu sau grup de servicii. La acest nivel se ia o decizie privind utilizarea mecanismelor de protecție; are loc achiziționarea și instalarea echipamentelor tehnice; se efectuează administrarea de zi cu zi; se monitorizează starea punctelor slabe.
Măsuri procedurale
Măsurile procedurale de securitate se concentrează pe oameni, nu pe tehnologie. Oamenii sunt cei care formează regimul de securitate a informațiilor și, de asemenea, se dovedesc a fi principala amenințare. Prin urmare, „factorul uman” merită o atenție deosebită.
La nivel procedural se pot distinge următoarele clase de măsuri:
- 1. „Managementul personalului
- 2. Protecție fizică
- 3. Menținerea sănătății sistemului
- 4. Răspunsul la breșele de securitate
- 5. Planificarea lucrărilor de restaurare „Gatchin Yu.A., Sukhostat V.V. Teoria securității informațiilor și metodologia securității informațiilor: un ghid de studiu
Să descriem câteva dintre ele mai detaliat:
Managementul resurselor umane începe chiar înainte de angajarea unui nou angajat - cu pregătirea unei fișe a postului. Procedând astfel, ar trebui să respectați două principii generale atunci când definiți privilegiile computerului:
- 1. „Principiul separării sarcinilor prescrie repartizarea rolurilor și responsabilităților astfel încât o singură persoană să nu poată perturba un proces care este critic pentru organizație.
- 2. Principiul minimizării privilegiilor impune ca utilizatorilor să li se acorde doar acele drepturi de care au nevoie pentru a-și îndeplini atribuțiile oficiale.” În același loc
Protecție fizică. Securitatea unui sistem informatic depinde de mediul în care operează. Este necesar să se ia măsuri pentru protejarea clădirilor și a zonei înconjurătoare, susținând infrastructura, calculatoare, medii de stocare.
Pentru a menține operabilitatea sistemelor informaționale, este necesar să se efectueze o serie de activități de rutină:
- 1. Suport pentru utilizatori, adică consultanță și asistență în rezolvarea diverselor probleme; în același timp, este importantă identificarea problemelor legate de securitatea informațiilor
- 2. Asistența software se referă în primul rând la urmărirea software-ului instalat pe computere. Asistența software include, de asemenea, controlul asupra absenței modificărilor neautorizate ale programului.
- 3. Copierea de rezervă este necesară pentru a restaura programele și datele după dezastre.
- 4. Managementul media presupune protejarea mass-media, atât împotriva accesului neautorizat, cât și împotriva influențelor nocive ale mediului.
- 5. Documentația este o parte integrantă a securității informațiilor. Aproape totul este documentat - de la politica de securitate la jurnalul media. În același timp, este important ca documentația să reflecte situația actuală, astfel încât să poată fi găsită cu ușurință dacă este necesar și, de asemenea, să fie protejată de accesul neautorizat.
- 6. Munca de rutină (de exemplu, reparații) reprezintă o amenințare foarte serioasă la adresa securității, deoarece în timpul implementării lor angajații neautorizați au acces la sistem. Calificările și conștiința acestor angajați sunt foarte importante aici.
Răspunsul la breșele de securitate are următoarele obiective:
- 1. Localizarea incidentelor și reducerea daunelor
- 2. Identificarea infractorului
- 3. Prevenirea încălcărilor repetate
Dacă este detectată o breșă de securitate, trebuie luate măsuri imediate, de aceea este foarte important ca succesiunea acțiunilor să fie planificată din timp și reflectată în documente. Toți angajații trebuie să știe cum să acționeze și pe cine să contacteze în cazul detectării uneia sau acelei încălcări a protecției și, de asemenea, ar trebui să știe ce consecințe îi așteaptă în cazul încălcării regulilor de securitate a informațiilor.
Planificarea recuperării vă permite să vă pregătiți pentru accidente, să reduceți daunele cauzate de acestea și să mențineți capacitatea de funcționare cel puțin la minimum. Procesul de planificare a recuperării poate fi împărțit în următoarele etape:
- 1. Identificarea celor mai importante funcții ale organizației.
- 2. Determinarea resurselor necesare îndeplinirii funcţiilor esenţiale.
- 3. Stabilirea listei de posibile accidente. În același timp, este important să se elaboreze un „scenariu” al unui accident, să se înțeleagă la ce consecințe vor duce.
- 4. Elaborarea unei strategii pentru lucrări de restaurare. Strategia de recuperare ar trebui să se bazeze pe resursele disponibile și să nu fie excesiv de împovărătoare pentru organizație; ar trebui să includă nu numai munca pentru eliminarea accidentelor, ci și revenirea la funcționarea normală.
- 5. Pregătirea pentru implementarea strategiei alese, adică elaborarea unui plan de acțiune în caz de accident, precum și măsuri de asigurare a resurselor suplimentare necesare în caz de accident.
- 6. Verificarea strategiei, care consta in analiza planului intocmit, masurilor luate si planificate.