Un exemplu de politică clară de securitate a informațiilor de birou. Amenințări la securitatea informațiilor

În lumea modernă, conceptul de „politică de securitate a informațiilor” poate fi interpretat atât în ​​sens larg, cât și în sens restrâns. În ceea ce privește primul sens, mai larg, denotă un sistem complex de decizii care sunt luate de o organizație, sunt documentate oficial și au ca scop asigurarea siguranței întreprinderii. În sens restrâns, acest concept acoperă un document de importanță locală, care precizează cerințe de securitate, un sistem de măsuri care trebuie luate, responsabilitatea angajaților și un mecanism de control.

O politică cuprinzătoare de securitate a informațiilor este o garanție a funcționării stabile a oricărei companii. Exhaustivitatea sa constă în atenția și echilibrul gradului de protecție, precum și în dezvoltarea măsurilor corecte și a sistemului de control în cazul oricăror încălcări.

Toate metodele organizatorice joacă un rol important în crearea unei scheme de protecție a informațiilor fiabile, deoarece utilizarea ilegală a informațiilor este rezultatul acțiunilor rău intenționate, neglijenței personalului și nu a unor probleme tehnice. Pentru a obține un rezultat bun, este necesară o interacțiune complexă a măsurilor organizatorice, juridice și tehnice, care ar trebui să excludă orice intrare neautorizată în sistem.

Securitatea informației este o garanție a bunei funcționări a companiei și a dezvoltării stabile a acesteia. Cu toate acestea, baza pentru construirea unui sistem de protecție de înaltă calitate ar trebui să se bazeze pe răspunsurile la următoarele întrebări:

Ce este sistemul de date și ce grad de severitate va fi necesar?

Cine este capabil să dăuneze companiei prin perturbarea funcționării sistemului informațional și cine poate folosi informațiile primite?

Cum poate fi minimizat acest risc fără a perturba activitatea bine coordonată a organizației?

Prin urmare, conceptul de securitate a informațiilor ar trebui dezvoltat personal pentru o anumită întreprindere și în conformitate cu interesele acesteia. Rolul principal în caracteristicile sale calitative îl joacă măsurile organizaționale, care includ:

Organizarea unui sistem stabilit de control al accesului. Acest lucru se face pentru a exclude intrarea secretă și neautorizată a persoanelor neautorizate pe teritoriul companiei, precum și controlul asupra șederii în incintă și a timpului părăsirii acesteia.

Lucrul cu angajații. Esența sa constă în organizarea interacțiunii cu personalul, recrutarea personalului. De asemenea, este important să vă familiarizați cu acestea, să pregătiți și să predați regulile de lucru cu informații, astfel încât angajații să cunoască domeniul de aplicare al secretului acesteia.

Politica de securitate a informațiilor prevede, de asemenea, utilizarea structurată a mijloacelor tehnice care vizează acumularea, colectarea și creșterea confidențialității.

Efectuarea de lucrări care vizează monitorizarea personalului în ceea ce privește utilizarea de către acesta a informațiilor clasificate și elaborarea măsurilor care să asigure protecția acestuia.

Costul urmăririi unei astfel de politici nu trebuie să depășească daunele potențiale care ar fi suferite ca urmare a pierderii acesteia.

Politica de securitate a informațiilor și eficacitatea acesteia depind în mare măsură de numărul de cerințe impuse acesteia de către companie, care pot reduce gradul de risc la valoarea cerută.

Luați în considerare nivelul administrativ de securitate a informațiilor unei întreprinderi, adică măsurile luate de conducerea organizației. Toate activitățile la nivel administrativ se bazează pe un document denumit adesea o politică de securitate a informațiilor întreprinderii. Sub politica de securitate a informatiilor este înțeles ca un ansamblu de decizii de management documentate și de măsuri preventive dezvoltate menite să protejeze resursele informaționale.

Dezvoltarea unei politici de securitate a informațiilor nu este deloc o problemă banală. Eficacitatea tuturor celorlalte niveluri de securitate a informațiilor - procedurală și software și hardware - va depinde de minuțiozitatea elaborării acesteia. Complexitatea dezvoltării acestui document este determinată de utilizarea problematică a experienței altcuiva, deoarece politica de securitate se bazează pe resursele de producție și dependențele funcționale ale unei întreprinderi date.

În acest sens, este recomandabil să includeți următoarele puncte în documentul care caracterizează politica de securitate a informațiilor a organizației:

• - introductiv confirmarea interesului conducerii superioare pentru problemele de securitate a informațiilor;
• - organizatoric care să cuprindă o descriere a departamentelor, comisiilor, grupurilor etc., responsabile cu activitatea în domeniul securității informațiilor;
• - clasificare descrierea resurselor materiale și informaționale disponibile la întreprindere și nivelul necesar de protecție a acestora;
• - personal caracterizarea măsurilor de securitate aplicate personalului (fișele postului din punct de vedere al securității informațiilor, organizarea instruirii, procedura de răspuns la o încălcare a regimului etc.);
• - sectia de protectie fizica informație;
• - sectiunea de management Descrierea unei abordări pentru gestionarea computerelor și a rețelelor de date;
• - secțiunea care descrie regulile de control al accesului la informații de producție;
• - secțiune care descrie ordinea dezvoltării și implementării sistemelor;
• - capitol descrierea măsurilor care vizează asigurarea funcționării continue a organizației (disponibilitatea informațiilor);
• - sectiunea juridica, confirmarea conformității politicii de securitate a informațiilor cu legislația în vigoare.

Începutul dezvoltării politicii este cu o analiză de risc. Analiza riscului constă în două etape principale: inventarși clasificarea resurselor informaţionale.

Inventar resursele informaționale vor ajuta la determinarea gradului de protecție necesar, controlul securității și vor fi utile și în alte domenii, precum protecția și siguranța muncii, asigurări, finanțe. La fel de resurse, legate de tehnologia informației pot fi:

• - resurse informative: depozite de fișiere, baze de date, documentație, tutoriale, documente la nivel procedural (instrucțiuni etc.);
• - resurse software: software de aplicație și sistem, utilități etc.;
• - resurse fizice: echipamente de calcul și comunicații, suporturi de date (benzi și discuri), alte echipamente tehnice (surse de alimentare, aparate de aer condiționat), mobilier, spații;
• - Servicii: incalzire, iluminat, alimentare, aer conditionat;
• - resurse umane.

După inventariere, resursele sunt clasificate. Valoarea fiecărei resurse este de obicei prezentată în funcție de mai multe variabile discrete.

Să dăm un exemplu de clasificare a unei resurse informaționale. Gradul de confidențialitate al informațiilor este de obicei ales ca variabilă principală cu următoarele valori:

• - informatii care contin secrete de stat;
• - informatii care contin secrete comerciale;
• - informații confidențiale (informații care nu constituie secret comercial sau de stat, deși divulgarea lor este nedorită);
• - informatii gratuite.

Următoarea variabilă poate fi aleasă ca raport dintre această sau aceea resursă și încălcările principalelor trei aspecte ale securității informațiilor. De exemplu, o bază de date de telefoane de afaceri ar putea avea nota 81 pentru disponibilitate, 2 pentru confidențialitate și 4 pentru integritate.

În continuare, se efectuează o analiză de risc. Pentru fiecare dintre resursele informaționale se determină valoarea integrală a acesteia și posibilele amenințări. Fiecare dintre amenințări este evaluată în ceea ce privește aplicabilitatea sa la o anumită resursă, probabilitatea de apariție și posibila daune. Pe baza rezultatelor acestei analize se întocmește o secțiune de clasificare a politicii de securitate a informațiilor.

Secțiunea internă își propune să reducă riscul erorilor de personal, furtului, fraudei sau utilizării ilegale a resurselor. În viitor, această secțiune este utilizată pentru a întocmi fișele de post ale utilizatorilor și documentele de orientare pentru departamentele și serviciile de securitate a informațiilor. Este de dorit să includeți următoarele secțiuni în document:

• - reguli de verificare a personalului angajat (inclusiv regulile de depunere a cererilor de admitere, actele necesare, formularul de CV, recomandari etc. In plus, se stabilesc necesitatea, forma si procedura de intervievare a angajatilor din diverse categorii. Sunt diferite obligatii de nedivulgare. descris și aici.);
• - îndatoririle și drepturile utilizatorilor în legătură cu resursele informaționale (datoriile utilizatorilor de a-și menține locul de muncă, precum și atunci când lucrează cu resursele informaționale);
• - instruirea utilizatorilor și procedura de admitere la lucru cu resurse informaționale (cunoștințele necesare diverselor categorii de lucrători, frecvența și procedura de instruire privind utilizarea resurselor informaționale. pachete software etc.) În plus, procedura de conectare a este descrisă resursele informaționale utilizator (documente necesare, coordonatori și departamente);
• - drepturile și obligațiile administratorilor (pentru funcționarea normală a sistemului, administratorii de securitate a informațiilor trebuie să aibă drepturi suficiente. Deconectarea de la rețea sau resursa informațională a unei stații de lucru purtătoare de virus este o necesitate, nu o încălcare a procesului tehnologic);
• - procedura de răspuns la evenimentele care reprezintă o amenințare la adresa securității informațiilor (pentru un răspuns în timp util la amenințările la adresa securității sistemului, procedurile formale de notificare și răspuns la astfel de sisteme ar trebui să fie clar definite. Toți utilizatorii ar trebui să fie obligați să informeze persoane despre incidente și deficiențe ale sistemului de securitate, defecțiuni software și hardware (Metodele de înregistrare a simptomelor defecțiunilor hardware trebuie identificate și comunicate utilizatorilor);
• - procedura de aplicare a sancțiunilor (conține o descriere a procedurii de aplicare a sancțiunilor pentru încălcarea regulilor de securitate a informațiilor stabilite la întreprindere. Măsurile punitive și gradul de responsabilitate trebuie documentate).

Măsurile de protecție fizică pot varia foarte mult în funcție de tipul de întreprindere. Pe baza analizei de risc pentru fiecare întreprindere, este necesar să se descrie în mod rigid tipurile de spații și măsurile de securitate necesare pentru acestea. Măsurile de siguranță includ instalarea de grătare, încuietori, procedura de admitere în spații, echipamente de protecție electromagnetică etc. În plus, este necesar să se stabilească reguli de utilizare a desktopului și metode de eliminare a materialelor (diverse medii magnetice, documente pe hârtie, unități), reguli pentru mutarea software-ului și hardware-ului în afara organizației.

Secțiunile de management care descriu abordările de gestionare a computerelor și rețelelor de transmisie a datelor și procedura de dezvoltare și implementare a sistemelor, descriu procedura de realizare a procedurilor standard de operare pentru operarea cu date, regulile de punere în funcțiune a sistemelor (acceptarea sistemelor) și auditarea activității acestora. În plus, această secțiune specifică procedura pentru protejarea unei întreprinderi de software rău intenționat (reglementări pentru sistemul antivirus, în special). Sunt definite auditarea sănătății sistemului și backup-urile. Descrie software-ul standard care este aprobat pentru utilizare în întreprindere. De asemenea, descrie sistemele de securitate pentru e-mail, sistemele electronice de semnătură digitală și alte sisteme criptografice și de autentificare care funcționează în întreprindere. Acest lucru este important, deoarece legislația rusă în domeniu este dură în acest sens.

Drepturile de acces la sisteme ar trebui să fie documentate, iar procedura de acordare a acestora este determinată de documente de reglementare. Trebuie indicate funcțiile responsabile cu aprobarea cererilor de acordare a drepturilor de acces, precum și cele responsabile cu distribuirea drepturilor. În plus, în organizațiile cu cerințe serioase de securitate a informațiilor, se stabilește procedura de verificare a drepturilor de acces la sisteme și la persoanele care o efectuează. Această secțiune descrie, de asemenea, regulile (politica) parolelor utilizatorului.

Deci, politica de securitate a informațiilor a unei întreprinderi este un document pe baza căruia este construit un sistem de securitate. La rândul său, politica se bazează pe analiza riscului, iar cu cât analiza este mai completă, cu atât documentul va fi mai eficient. Sunt analizate toate resursele majore, inclusiv resursele materiale și resursele umane. Politica de securitate este construită în conformitate cu specificul întreprinderii și cu cadrul legislativ al statului.

Politica de securitate a informațiilor (exemplu)

Policy Brief

Informațiile trebuie întotdeauna protejate, indiferent de forma lor și de modul în care sunt difuzate, transmise și stocate.

Introducere

Informația poate exista în multe forme diferite. Poate fi tipărit sau scris pe hârtie, stocat electronic, transmis prin poștă sau folosind dispozitive electronice, afișat pe bandă sau transmis oral în cursul comunicării.

Securitatea informațiilor este protecția informațiilor împotriva unei varietăți de amenințări pentru a asigura continuitatea afacerii, a minimiza riscul de afaceri și a maximiza rentabilitatea investiției și oportunitatea de afaceri.

Domeniul de aplicare

Această politică sprijină politica generală de securitate a organizației.
Această politică se aplică tuturor celor din organizație.

Obiective de securitate a informațiilor

1. Înțelegerea și gestionarea riscurilor strategice și operaționale de securitate a informațiilor astfel încât acestea să fie acceptabile pentru organizație.

2. Protejarea confidențialității informațiilor despre clienți, dezvoltarea produsului și planurile de marketing.

3. Păstrarea integrității materialelor contabile.

4. Conformitatea serviciilor web și intraneturilor partajate cu standardele de accesibilitate adecvate.

Principii de securitate a informațiilor

1. Această organizație promovează acceptarea riscurilor și depășește riscurile pe care organizațiile gestionate conservator nu le pot depăși, cu condiția ca riscurile să fie înțelese, monitorizate și tratate pentru informații după cum este necesar. O descriere detaliată a abordărilor utilizate pentru evaluarea și tratarea riscurilor poate fi găsită în politica ISMS.

2. Tot personalul trebuie să aibă cunoștințe și să fie responsabil pentru securitatea informațiilor în legătură cu responsabilitățile lor de muncă.

3. Ar trebui luate aranjamente pentru a finanța controalele de securitate a informațiilor și procesele de management al proiectelor.

4. Potențialul de fraudă și abuz în sistemele de informații ar trebui să fie luat în considerare în managementul general al sistemelor de informații.

5. Rapoartele privind starea securității informațiilor ar trebui să fie disponibile.

6. Este necesar să se monitorizeze riscurile de securitate a informațiilor și să se ia măsuri atunci când schimbările duc la riscuri neprevăzute.

7. Criteriile pentru clasificarea riscurilor și acceptabilitatea riscului pot fi găsite în politica ISMS.

8. Situațiile care ar putea determina organizația să încalce legile și reglementările nu trebuie tolerate.

Domenii de responsabilitate

1. Grupul egal senior este responsabil pentru a se asigura că informațiile sunt procesate corespunzător în întreaga organizație.

2. Fiecare director executiv este responsabil să se asigure că cei sub conducerea lui protejează informațiile în conformitate cu standardele organizaționale.

3. Ofițerul șef de securitate consiliază echipa de conducere, oferă asistență de specialitate angajaților organizației și se asigură că sunt disponibile rapoartele privind starea securității informațiilor.

4. Toată lumea din organizație este responsabilă pentru securitatea informațiilor, ca parte a îndeplinirii responsabilităților lor.

Rezultate cheie

1. Incidentele de securitate a informațiilor nu ar trebui să conducă la costuri grave neprevăzute sau la întreruperi serioase ale serviciilor și activităților întreprinderii.

2. Pierderile datorate fraudei trebuie să fie cunoscute și în limite acceptabile.

3. Problemele de securitate a informațiilor nu ar trebui să afecteze negativ acceptarea produselor și serviciilor de către clienți.

Politici asociate

Următoarele politici detaliate conțin principii și linii directoare pentru aspecte specifice ale securității informațiilor:

1. Politica sistemului de management al securității informațiilor (ISMS);

2. Politica de control acces;

3. Politica unui birou clar și a unui ecran clar;

4. Politica de software neautorizat;

5. Politica privind primirea de fișiere software din sau prin rețele externe;

6. Politica privind codul mobil;

7. Politica de backup;

8. Politica privind schimbul de informații între organizații;

9. Politica privind utilizarea acceptabilă a comunicațiilor electronice;

10. Politica de păstrare a înregistrărilor;

11. Politica de utilizare a serviciilor de rețea;

12. Politica privind calcularea și comunicațiile mobile;

13. Politica de telemuncă;

14. Politica privind utilizarea controlului criptografic;

15. Politica de conformitate;

16. Politica de licențiere software;

17. Politica de eliminare a software-ului;

18. Protecția datelor și politica de confidențialitate.

Toate aceste politici consolidează:

· Identificarea riscului prin furnizarea unui cadru pentru controale care poate fi utilizat pentru a detecta defectele în proiectarea și implementarea sistemelor;

· Tratarea riscurilor, ajutând la determinarea modului de gestionare a vulnerabilităților și amenințărilor specifice.

Politica de securitate a informațiilor companiei

· 1. Prevederi generale

o 1.1. Scopul și scopul acestei Politici

o 1.2. Domeniul de aplicare al acestei politici

o 2.1. Responsabilitatea pentru activele informaționale

o 2.2. Controlul accesului la sistemele informatice

§ 2.2.1. Dispoziții generale

§ 2.2.2. Accesul terților la sistemele Companiei

§ 2.2.3. Acces de la distanță

§ 2.2.4. acces la internet

o 2.3. Protecția echipamentelor

§ 2.3.1. Hardware

§ 2.3.2. Software

o 2.5. Raportarea, răspunsul și raportarea incidentelor de securitate a informațiilor

o 2.6. Spații cu mijloace tehnice de securitate a informațiilor

o 2.7. Administrare rețea

o 2.7.1. Protecția și siguranța datelor

o 2.8. Dezvoltarea sistemelor și managementul schimbării

Dispoziții generale

Informațiile sunt o resursă valoroasă și vitală a COMPANIEI_VOASTRĂ (denumită în continuare - Compania). Această politică de securitate a informațiilor prevede adoptarea măsurilor necesare pentru a proteja activele împotriva modificării, dezvăluirii sau distrugerii accidentale sau deliberate, precum și pentru a menține confidențialitatea, integritatea și disponibilitatea informațiilor, pentru a asigura procesul de prelucrare automată a datelor. in compania.

Fiecare angajat al Companiei este responsabil de respectarea securității informațiilor, în timp ce sarcina principală este de a asigura securitatea tuturor activelor Companiei. Aceasta înseamnă că informațiile trebuie protejate nu mai puțin fiabil decât orice alt activ principal al Companiei. Principalele obiective ale Companiei nu pot fi atinse fără furnizarea în timp util și completă a angajaților cu informațiile de care au nevoie pentru a-și îndeplini atribuțiile oficiale.

În această Politică, termenul „angajat” se referă la toți angajații Companiei. Prevederile acestei Politici se vor aplica persoanelor care lucrează în Companie în baza unor contracte civile, inclusiv celor detașate, dacă este stipulat într-un astfel de acord.

Introducere

Rata de dezvoltare a tehnologiilor informaționale moderne este semnificativ înaintea ritmului de dezvoltare a cadrului de recomandare și reglementare al documentelor de orientare în vigoare pe teritoriul Rusiei. Prin urmare, soluția la problema dezvoltării unei politici eficiente de securitate a informațiilor într-o întreprindere modernă este în mod necesar asociată cu problema alegerii criteriilor și indicatorilor de securitate, precum și cu eficacitatea sistemului de securitate a informațiilor corporative. Ca urmare, pe lângă cerințele și recomandările standardelor, Constituției, legilor și altor documente de guvernare, este necesar să se utilizeze o serie de recomandări internaționale. Inclusiv adaptarea la condițiile interne și aplicarea în practică a metodelor standardelor internaționale, precum ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL și altele, precum și utilizarea tehnicilor de management al riscului informațional împreună cu evaluările eficienței economice. a investiţiilor în asigurarea protecţiei informaţiilor întreprinderii. Metodele moderne de management al riscului fac posibilă rezolvarea unui număr de probleme de dezvoltare strategică pe termen lung a unei întreprinderi moderne.

În primul rând, pentru a cuantifica nivelul actual de securitate a informațiilor al întreprinderii, ceea ce va necesita identificarea riscurilor la nivelurile juridice, organizaționale, manageriale, tehnologice și tehnice de securitate a informațiilor.

În al doilea rând, să dezvolte o politică de securitate și planuri de îmbunătățire a sistemului de protecție a informațiilor corporative pentru a atinge un nivel acceptabil de protecție a activelor informaționale ale companiei. Este nevoie de:

justifică și calculează investițiile financiare în securitate pe baza tehnologiilor de analiză a riscurilor, corelează costurile de securitate cu potențialele daune și probabilitatea apariției acesteia;

să identifice și să efectueze blocarea prioritară a celor mai periculoase vulnerabilități înaintea atacurilor asupra resurselor vulnerabile;

definirea relațiilor funcționale și a zonelor de responsabilitate în interacțiunea departamentelor și indivizilor pentru a asigura securitatea informațiilor companiei, crearea pachetului necesar de documentație organizatorică și administrativă;

să elaboreze și să convină cu serviciile organizației, autoritățile de supraveghere un proiect de implementare a complexelor de protecție necesare, ținând cont de nivelul actual și de tendințele de dezvoltare a tehnologiilor informaționale;

asigură menținerea complexului de protecție implementat în conformitate cu condițiile de funcționare în schimbare ale organizației, revizuirile periodice ale documentației organizatorice și administrative, modificarea proceselor tehnologice și modernizarea mijloacelor tehnice de protecție.

Rezolvarea acestor sarcini deschide noi oportunități largi pentru funcționarii de diferite niveluri.

Acest lucru va ajuta managerii de top să evalueze în mod obiectiv și independent nivelul actual de securitate a informațiilor companiei, să asigure formarea unei strategii de securitate unificate, să calculeze, să convină și să justifice costurile necesare pentru protejarea companiei. Pe baza evaluării primite, șefii de departamente și servicii vor putea elabora și justifica măsurile organizatorice necesare (compunerea și structura serviciului de securitate a informațiilor, reglementări privind secretele comerciale, un pachet de fișe de post și instrucțiuni de acțiune în situații de urgență). ). Managerii de mijloc vor putea alege în mod rezonabil instrumentele de securitate a informațiilor, precum și să adapteze și să utilizeze în activitatea lor indicatori cantitativi pentru evaluarea securității informațiilor, metode de evaluare și gestionare a securității cu referire la eficiența economică a companiei.

Recomandările practice de neutralizare și localizare a vulnerabilităților sistemului identificate, obținute în urma unor studii analitice, vor ajuta la lucrul problemelor de securitate a informațiilor la diferite niveluri și, cel mai important, vor determina principalele domenii de responsabilitate, inclusiv cele materiale, pentru utilizarea necorespunzătoare. a activelor informaţionale ale companiei. Atunci când se determină sfera răspunderii pentru prejudiciul cauzat angajatorului, inclusiv dezvăluirea secretelor comerciale, trebuie să ne ghidăm după prevederile relevante ale Codului Muncii.

1. Partea analitică

1 Conceptul de securitate a informațiilor

Protecția informațiilor este un set de măsuri care vizează asigurarea securității informațiilor.

Securitatea informației este o sarcină complexă care vizează asigurarea securității, implementată prin implementarea unui sistem de securitate. Problema protecției informațiilor este multifațetă și complexă și acoperă o serie de sarcini importante. Problemele de securitate a informațiilor sunt agravate constant de pătrunderea mijloacelor tehnice de prelucrare și transmitere a datelor în toate sferele societății și, mai ales, în sistemele informatice.

Termenul de „securitate a informațiilor” a intrat recent în uz pe scară largă, deși activitățile unei întreprinderi moderne nu pot fi imaginate fără computere personale. Există o explicație simplă pentru aceasta: volumul de informații procesate și stocate în formă electronică pentru o întreprindere mijlocie este de milioane de ori mai mare decât cel al uneia „de hârtie”. Pe computere sunt instalate software complexe, sunt create scheme de interacțiune între computere și programe greu de restaurat, utilizatorii obișnuiți procesează cantități uriașe de date. Este clar că orice întrerupere a activității lanțului tehnologic stabilit va duce la anumite pierderi pentru întreprindere. Astfel, prin securitatea informațiilor (IS) înțelegem securitatea mediului informațional al unei întreprinderi față de amenințările externe și interne la formarea, utilizarea și dezvoltarea acesteia.

La întreprinderile mari, există servicii speciale cu un buget considerabil, ale căror sarcini includ asigurarea securității informațiilor, identificarea, localizarea și eliminarea amenințărilor la securitatea informațiilor întreprinderii. Ei folosesc software și hardware special scump, uneori atât de greu de întreținut încât necesită pregătire specială a personalului pentru a lucra cu ele. Sarcinile managementului securității informațiilor în astfel de organizații sunt adesea reduse la emiterea de instrucțiuni cu cuvintele cheie: „aprofundare”, „extindere”, „creștere”, „oferire” etc. Toate lucrările privind securitatea informațiilor se desfășoară în mod imperceptibil pentru conducerea angajaților serviciilor relevante, iar o descriere a metodelor lor de lucru este un subiect pentru un articol mare separat.

În același timp, se acordă puțină atenție securității informaționale a întreprinderilor mici cu un număr mic de locuri de muncă pentru specialiști (de multe ori nu mai mult de 50). Cu toate acestea, situația organizatorică și tehnică existentă în acest moment este de așa natură încât majoritatea amenințărilor IS existente, datorită protecției bune a întreprinderilor mari față de acestea, devin relevante doar pentru întreprinderile mai mici. De obicei, astfel de întreprinderi au un buget IT foarte modest, care vă permite să achiziționați doar echipamentele necesare, software-ul și să mențineți un singur administrator de sistem.

Până în prezent, au fost formulate trei principii de bază care ar trebui să asigure securitatea informației:

integritatea datelor - protecție împotriva defecțiunilor care conduc la pierderea informațiilor, precum și protecție împotriva creării sau distrugerii neautorizate a datelor;

confidențialitatea informațiilor;

Există și alte categorii nu întotdeauna obligatorii ale modelului de securitate:

nerepudierea sau recursul - imposibilitatea refuzului calității de autor;

responsabilitate - asigurarea identificării subiectului de acces și înregistrarea acțiunilor acestuia;

fiabilitate - proprietatea conformării cu comportamentul sau rezultatul dorit;

autenticitate sau autenticitate - o proprietate care garantează că subiectul sau resursa este identică cu cea declarată.

2Conceptul politicii de securitate

O politică de securitate a informațiilor (ISP) este un set de linii directoare, reguli, proceduri și practici de securitate care urmăresc să protejeze informațiile valoroase.

Scopul politicii de securitate a informațiilor:

formularea scopurilor și obiectivelor securității informațiilor organizației din punct de vedere al afacerii (vă permite să definiți acest lucru pentru management și să demonstrați sprijinul managementului pentru importanța securității informațiilor),

determinarea regulilor de organizare a muncii în cadrul companiei pentru a minimiza riscurile de securitate a informațiilor și a crește eficiența afacerii.

Cerințe privind politica de securitate a informațiilor:

Politica trebuie să fie aprobată de cel mai înalt organ administrativ al companiei (CEO, consiliu de administrație etc.) pentru a demonstra sprijinul conducerii.

Politica de securitate a informațiilor ar trebui să fie scrisă într-un limbaj ușor de înțeles pentru utilizatorii finali și conducerea companiei și să fie cât mai scurtă posibil.

Politica SI ar trebui să definească obiectivele SI, modalitățile de a le atinge și responsabilitatea. Detaliile tehnice ale implementării metodelor sunt cuprinse în instrucțiuni și reglementări, la care se face referire în Politică.

Minimizarea impactului politicii de siguranță asupra procesului de producție.

Continuitatea pregătirii angajaților și managementului organizației în materie de securitate a informațiilor

Monitorizarea continuă a implementării regulilor politicii de securitate în stadiul implementării și în viitor.

Îmbunătățirea continuă a politicilor de securitate.

Consecvența punctelor de vedere și crearea unei culturi corporative de siguranță.

Se propune următoarea structură PIB:

· Prevederi generale (referiri la legi, reglementări și alte documente de orientare care guvernează activitățile organizației),

· Confirmarea importanței securității informațiilor pentru organizație și formularea obiectivelor de securitate a informațiilor din punctul de vedere al activității organizației (respectarea cerințelor legislației și a altor norme, satisfacerea așteptărilor clienților și partenerilor, creșterea competitivității, stabilitatea financiară). , imaginea organizației).

· O descriere a strategiei de securitate a informațiilor a organizației (de exemplu, conformitatea cu cerințele legale, evaluarea și managementul riscurilor).

· Domeniul de aplicare al PIB (de exemplu, PIB-ul este obligatoriu pentru toți angajații și conducerea organizației, sau o sucursală separată sau angajații care folosesc laptopuri)

· Descrierea obiectului protejat (resurse protejate - informații de diferite categorii, infrastructură informațională etc.)

· Obiectivele și obiectivele securității informațiilor (de exemplu, reducerea amenințărilor la securitatea informațiilor la un nivel acceptabil, identificarea amenințărilor potențiale și a vulnerabilităților de securitate a informațiilor, prevenirea incidentelor de securitate a informațiilor)

· Amenințările și modelul infractorului care sunt luate în considerare pentru această organizație (pe surse de apariție, prin metode de implementare, după focalizare)

· Scurtă explicație a principiilor politicii de securitate a informațiilor:

o abordare a construirii unui ISMS,

o cerințe de pregătire și conștientizare a personalului în domeniul securității informațiilor,

o consecințele și răspunderea pentru încălcarea PIB,

o abordare a managementului riscului,

o definirea structurii organizaționale, a responsabilităților generale și speciale pentru managementul securității informațiilor, inclusiv raportarea incidentelor;

o link-uri către documentația care poate sprijini politica, cum ar fi politicile și procedurile de securitate proprietare pentru anumite sisteme de informații sau regulile de securitate pe care utilizatorii trebuie să le respecte.

o mecanisme de monitorizare a implementării prevederilor din PIB,

o procedura de revizuire și adoptare a modificărilor de politică.

După aprobarea politicii IS, este necesar:

· Aduceți în atenția angajaților obișnuiți prevederile politicii, subpoliticii, procedurilor și instrucțiunilor contra semnăturii SI în timpul formării și informării periodice inițiale și ulterioare;

· Elaborează proceduri, instrucțiuni etc., clarificând și completând politica (pentru specialiștii departamentului de securitate a informațiilor);

· Revizuiți periodic politica pentru a susține caracterul adecvat și eficacitatea acesteia;

· Efectuează audituri periodice pentru a se asigura că angajații respectă politica și oferă un raport conducerii organizației.

· În plus, responsabilitățile pentru asigurarea securității informațiilor ar trebui incluse în fișele postului personalului responsabil, prevederile privind diviziile și obligațiile contractuale ale organizației.

Astfel, ca urmare, nu se creează doar baza documentară a ISMS, ci și o reală repartizare a responsabilităților pentru asigurarea securității informațiilor în rândul personalului organizației.

Ciclul de viață al politicii de securitate:

Planificare

Audit inițial de securitate

examinare,

identificarea resurselor care au nevoie de protecţie

evaluare a riscurilor.

Auditul analizează starea actuală a securității informațiilor, identifică vulnerabilitățile existente, cele mai critice zone de operare și cele mai sensibile procese de afaceri la amenințările de securitate.

Dezvoltarea politicii de securitate:

Sunt determinate condițiile de bază, cerințele și sistemul de bază de măsuri pentru asigurarea securității informațiilor în organizație, care permit reducerea riscurilor la o valoare acceptabilă.

Acestea sunt întocmite sub formă de decizii convenite în cadrul grupului de lucru și sunt aprobate de conducerea organizației.

implementarea PIB

Rezolvarea problemelor tehnice, organizatorice si disciplinare.

Examinare

Audit și control.

Ajustare

Revizuirile și ajustările periodice, precum și atunci când datele originale se modifică.

sistem informatic de protectie a calculatorului

1.3Mijloace moderne de protecție a informațiilor fizice, hardware și software

Scopul principal al oricărui sistem de securitate a informațiilor este acela de a asigura funcționarea durabilă a unui obiect: prevenirea amenințărilor la adresa securității acestuia, protejarea intereselor legitime ale proprietarului informațiilor de încălcări ilegale, inclusiv de fapte penale în sfera de relații considerată prevăzută de Cod penal, să asigure desfășurarea normală a activităților de producție a tuturor compartimentelor obiectului. O altă sarcină se rezumă la îmbunătățirea calității serviciilor oferite și a garanțiilor de securitate a drepturilor de proprietate și a intereselor clienților. Este nevoie de:

clasifica informațiile ca acces restricționat (secret oficial);

să prezică și să identifice în timp util amenințările de securitate la adresa resurselor informaționale, cauzele și condițiile care contribuie la provocarea de daune financiare, materiale și morale, la perturbarea funcționării și dezvoltării normale a acestora;

crearea condițiilor de funcționare cu cea mai mică probabilitate de implementare a amenințărilor la adresa securității resurselor informaționale și producerea diferitelor tipuri de daune;

să creeze un mecanism și condiții pentru un răspuns prompt la amenințările la adresa securității informațiilor și manifestările de tendințe negative de funcționare, suprimarea efectivă a încălcării resurselor pe baza măsurilor și mijloacelor legale, organizatorice și tehnice de asigurare a securității;

crearea condițiilor pentru despăgubirea și localizarea maximă posibilă a prejudiciului cauzat de acțiunile ilegale ale persoanelor fizice și juridice și, prin urmare, să slăbească posibilul impact negativ al consecințelor unei încălcări a securității informațiilor.

În elaborarea unei politici de securitate, se poate utiliza următorul model (Figura 1), bazat pe o adaptare a Criteriilor Comune (ISO 15408) și a unei analize de risc (ISO 17799). Acest model respectă documentele de reglementare speciale privind securitatea informațiilor, adoptate în Federația Rusă, standardul internațional ISO/IEC 15408 „Tehnologia informației – metode de securitate – criterii de evaluare a securității informațiilor”, ISO/IEC 17799 „Managementul securității informațiilor”.

Orez. 1 Model de construire a unui sistem corporativ de securitate a informațiilor

Modelul prezentat este un ansamblu de factori externi și interni obiectivi și influența acestora asupra stării securității informațiilor din unitate și asupra siguranței resurselor materiale sau informaționale.

Se iau în considerare următorii factori obiectivi:

amenințări la securitatea informațiilor caracterizate prin probabilitatea apariției și probabilitatea implementării;

vulnerabilități ale unui sistem informațional sau ale unui sistem de contramăsuri (sisteme de securitate a informațiilor) care afectează probabilitatea implementării unei amenințări; - riscul este un factor care reflectă posibilele daune aduse unei organizații ca urmare a implementării unei amenințări la adresa securității informațiilor: scurgerea de informații și utilizarea greșită a acesteia (riscul reflectă în cele din urmă pierderi financiare probabile – directe sau indirecte).

Pentru a crea o politică de securitate eficientă, se preconizează efectuarea inițială a unei analize de risc în domeniul securității informațiilor. Apoi determinați nivelul optim de risc pentru întreprindere pe baza criteriului specificat. Politica de securitate și sistemul corespunzător de protecție a informațiilor corporative vor trebui construite în așa fel încât să se atingă un anumit nivel de risc.

Metodologia propusă pentru dezvoltarea unei politici de securitate a informațiilor a unei întreprinderi moderne vă permite să analizați și să documentați complet cerințele legate de asigurarea securității informațiilor, să evitați costurile pentru măsurile de securitate inutile care sunt posibile cu o evaluare subiectivă a riscurilor, să asiste la planificarea și implementarea protecției la toate etapele ciclului de viață al sistemelor informaționale, se asigură că munca se desfășoară într-un timp scurt, oferă o justificare pentru alegerea contramăsurilor, evaluează eficacitatea contramăsurilor, compară diferite opțiuni pentru contramăsuri.

În cursul muncii, limitele studiului trebuie stabilite. Pentru a face acest lucru, este necesară alocarea resurselor sistemului informațional, pentru care se vor obține evaluări de risc în viitor. În acest caz, este necesar să se separe resursele luate în considerare și elementele externe cu care se realizează interacțiunea. Resursele pot fi hardware, software, date, precum și resurse informaționale - documente individuale și rețele individuale de documente, documente și rețele de documente din sistemele informaționale (biblioteci, arhive, fonduri, bănci de date, alte sisteme informaționale). Exemple de elemente externe sunt rețelele de comunicații, serviciile externe etc.

La construirea modelului se vor lua în considerare relațiile dintre resurse. De exemplu, defecțiunea oricărui echipament poate duce la pierderea datelor sau la defecțiunea unui alt element critic al sistemului. Astfel de relații determină baza construirii unui model de organizație din punctul de vedere al securității informațiilor.

Acest model, în conformitate cu metodologia propusă, se construiește astfel: pentru resursele alocate se determină valoarea acestora, atât din punctul de vedere al eventualelor pierderi financiare asociate acestora, cât și din punct de vedere al prejudiciului adus reputația organizației, dezorganizarea activităților sale, prejudiciul moral datorat dezvăluirii de informații confidențiale etc. Apoi este descrisă relația dintre resurse, sunt identificate amenințările de securitate și sunt estimate probabilitățile implementării acestora.

Pe baza modelului construit, este posibil să se aleagă în mod rezonabil un sistem de contramăsuri care să reducă riscurile la niveluri acceptabile și să aibă cea mai mare eficiență a costurilor. O parte a sistemului de contramăsuri vor fi recomandări pentru efectuarea de revizuiri periodice ale eficacității sistemului de protecție.

Asigurarea cerințelor sporite pentru securitatea informațiilor implică măsuri adecvate în toate etapele ciclului de viață al tehnologiei informației. Planificarea acestor activități se realizează după finalizarea etapei de analiză a riscurilor și selectarea contramăsurilor. O parte obligatorie a acestor planuri este verificarea periodică a conformității regimului SI existent cu politica de securitate, certificarea sistemului informațional (tehnologiei) pentru conformitatea cu cerințele unui anumit standard de securitate.

La finalizarea lucrărilor se va putea determina măsura asigurării securității mediului informațional, pe baza evaluării cu care se poate avea încredere în mediul informațional al obiectului. Această abordare presupune că mai multă asigurare rezultă din mai multe eforturi depuse pentru a efectua o evaluare a siguranței. Adecvarea evaluării se bazează pe implicarea în procesul de evaluare a unui număr mai mare de elemente ale mediului informațional al obiectului, profunzimea realizată prin utilizarea unui număr mai mare de proiecte și descrierile detaliilor de execuție în proiectarea sistemului de securitate. , rigoare, care constă în utilizarea unui număr mai mare de instrumente și metode de căutare menite să detecteze vulnerabilități mai puțin evidente sau să reducă probabilitatea prezenței acestora.

Este important de reținut că, înainte de implementarea oricăror soluții de securitate a informațiilor, este necesar să se elaboreze o politică de securitate care să fie adecvată scopurilor și obiectivelor unei întreprinderi moderne. În special, politica de securitate ar trebui să descrie procedura de acordare și utilizare a drepturilor de acces utilizatorilor, precum și cerințele pentru ca utilizatorii să fie răspunzători pentru acțiunile lor în probleme de securitate. Un sistem de securitate a informațiilor (ISS) va fi eficient dacă sprijină în mod fiabil implementarea regulilor politicii de securitate și invers. Etapele construirii unei politici de securitate sunt adăugarea unei structuri de valoare la descrierea obiectului de automatizare și efectuarea unei analize de risc și determinarea regulilor pentru orice proces de utilizare a acestui tip de acces la resursele obiectului de automatizare care au un anumit grad. de valoare. În același timp, este recomandabil să se oficializeze politica de securitate sub forma unui document separat și să se aprobe conducerea întreprinderii.

4.Formularea problemei

Pentru a atinge acest obiectiv, este necesar să rezolvați următoarele sarcini:

· Determinați scopurile și obiectivele securității informațiilor în întreprindere.

· Selectați un model de politică de securitate pentru această organizație.

Creați o matrice de acces

Determinați grupul de cerințe pentru UA

Determinați clasa de securitate a AU și cerințele pentru aceasta

Determinați principalele obiecte de protecție la întreprindere

Determinați subiectul protecției la întreprindere

Identificați posibilele amenințări la adresa informațiilor protejate din întreprindere și structura acestora

Identificați sursele, tipurile și metodele de efecte destabilizatoare asupra informațiilor protejate la nivelul întreprinderii

Identificați canalele și metodele de acces neautorizat la informațiile protejate la nivelul întreprinderii

Determinați principalele direcții, metode și mijloace de protejare a informațiilor la întreprindere

Obiectivele protecției informațiilor întreprinderii sunt:

· Prevenirea furtului, scurgerii, pierderii, denaturării, falsificării informațiilor confidențiale (secrete comerciale și date personale);

· Prevenirea amenințărilor la adresa securității unei persoane și a unei întreprinderi;

· Prevenirea acțiunilor neautorizate de distrugere, modificare, denaturare, copiere, blocare a informațiilor confidențiale;

· Prevenirea altor forme de interferență ilegală în resursele și sistemele informaționale, asigurarea regimului juridic al informațiilor documentate ca obiect de proprietate;

· Protecția drepturilor constituționale ale cetățenilor de a păstra secretul personal și confidențialitatea datelor cu caracter personal disponibile în sistemele informaționale;

· Păstrarea, confidențialitatea informațiilor documentate în conformitate cu legislația.

Sarcinile de protecție a informațiilor la întreprindere includ:

Furnizarea activităților de management, financiar și marketing ale întreprinderii cu servicii de informare de regim, adică furnizarea tuturor serviciilor, diviziilor și funcționarilor cu informațiile necesare, atât clasificate, cât și neclasificate.

Garanția securității informațiilor, a mijloacelor acesteia, prevenirea scurgerii de informații protejate și prevenirea oricărui acces neautorizat la purtătorii de informații clasificate.

Dezvoltarea mecanismelor de răspuns prompt la amenințări, utilizarea mijloacelor și metodelor legale, economice, organizaționale, socio-psihologice, inginerie și tehnice de identificare și neutralizare a surselor de amenințări la adresa securității companiei.

Documentarea procesului de protejare a informațiilor, în special a informațiilor care constituie secret comercial.

Organizarea lucrărilor speciale de birou, excluzând primirea neautorizată de informații confidențiale.

· Ordine, decizii, reglementări, instrucțiuni, acorduri și obligații de nedivulgare, ordine, contracte, planuri, rapoarte, o listă de familiarizare cu Regulamentul privind informațiile confidențiale și alte documente care constituie secret comercial, în format hârtie și electronic.

2. Partea de proiectare

Eficacitatea unei organizații moderne de astăzi este determinată din ce în ce mai mult de gradul de utilizare a tehnologiei informației în procesul de funcționare a acesteia. Există o creștere continuă atât a volumului de informații prelucrate în formă electronică, cât și a numărului de diverse sisteme informaționale. În acest sens, dezvoltarea unei politici de securitate și protecția informațiilor la nivelul întreprinderii vine în prim-plan în sarcina de a asigura securitatea întreprinderii.

Asigurarea protecției informațiilor presupune necesitatea protejării mai multor tipuri de secrete: comerciale și de date personale. Cea mai importantă este protecția datelor cu caracter personal, deoarece încrederea clienților se bazează în primul rând pe furnizarea datelor lor personale și, în consecință, pe păstrarea acestora de către angajații organizației.

Prin urmare, scopul asigurării securității în studio este de a dezvolta o politică de securitate și de a asigura o protecție fiabilă a informațiilor la întreprindere pentru funcționarea normală a acesteia.

1 Selectarea și justificarea modelului de securitate a informațiilor

Principalele obiecte de protecție din atelier sunt:

Personal (deoarece aceste persoane au voie să lucreze cu informații protejate legal (secrete comerciale, date cu caracter personal) sau să aibă acces la sediul în care sunt prelucrate aceste informații)

Obiecte de informatizare - mijloace și sisteme de informatizare, mijloace tehnice de primire, transmitere și prelucrare a informațiilor, spațiile în care sunt instalate,

Informații restricționate:

secret comercial (informații despre metodele originale de management al întreprinderii utilizate, informații despre pregătirea, adoptarea și executarea deciziilor individuale ale conducerii întreprinderii cu privire la aspecte comerciale, organizaționale și de altă natură; informații despre faptele deținerii, obiectivele, subiectul și rezultatele întâlnirilor și reuniuni ale organelor de conducere ale organizației (parteneri de conducere etc.);

datele personale ale angajaților (nume, prenume, patronim, anul, luna, data și locul nașterii, adresa, starea civilă, studii, profesie, nivel de calificare, venituri, convingeri și alte informații solicitate de angajator în legătură cu munca) relaţiile şi relaţiile cu un anumit angajat).

datele personale ale clienților (nume, prenume, patronim, data nașterii, număr de telefon, date comenzi și reduceri personale)

Informații publice protejate împotriva pierderii:

informații documentate care reglementează statutul întreprinderii, drepturile, îndatoririle și responsabilitățile angajaților acesteia (Carta, jurnalul de înregistrare, acordul constitutiv, reglementările privind activitățile, reglementările privind diviziunile structurale, fișele postului angajaților)

Suporturi tangibile de informații protejate legal (fișele personale ale angajaților, dosarele personale ale clienților, bazele de date electronice ale angajaților și clienților, suporturi de hârtie și versiuni electronice de comenzi, rezoluții, planuri, contracte, rapoarte care constituie secret comercial)

Mijloace de securitate a informațiilor (programe antivirus, sisteme de alarmă și supraveghere video, sisteme de protecție împotriva incendiilor.)

Deșeuri tehnologice (gunoi) rezultate din prelucrarea informațiilor protejate de lege (dosarele personale ale foștilor clienți și angajați)

Subiectul protecției informațiilor în atelier îl reprezintă suportul de stocare pe care sunt înregistrate și afișate informațiile protejate:

· Dosarele personale ale clientilor in format hartie si electronic (baza de date a clientilor si angajatilor);

· Ordine, decizii, reglementări, instrucțiuni, acorduri și obligații de nedivulgare, ordine, contracte, planuri, rapoarte, o listă de familiarizare cu Regulamentul privind informațiile confidențiale și alte documente care constituie secret comercial, în format hârtie și electronic.

Amenințări la adresa informațiilor protejate.

Amenințări externe:

· Concurenți (ateliere private care sunt concurente ale atelierului „Vilden”);

· Organisme administrative (autorităţi publice);

· Infractorii.

Amenințări interne:

· Personal;

· Administrarea întreprinderii.

Clasificarea amenințărilor:

După obiecte:

1. Personal;

2. Valori materiale;

3. Valori financiare.

Deteriora:

1. Material;

2. Morala.

După valoarea daunelor:

1. Ultimate (ruire completă);

2. Semnificativ (un anumit venit brut);

3. Minor (pierderea profitului).

În raport cu obiectul:

1. Intern;

2. Extern.

În funcție de probabilitatea de apariție:

1. Foarte probabil;

2. Probabil;

3. Puțin probabil.

După natura impactului:

1. Activ;

2. Pasiv.

Datorita manifestarii:

1. Spontan;

2. Intenţionat.

Sursele efectelor destabilizatoare asupra informațiilor includ:

mijloace tehnice de afișare (fixare), stocare, prelucrare, reproducere, transmitere a informațiilor, mijloace de comunicare și sisteme pentru asigurarea funcționării acestora;

fenomene naturale.

Tipurile și metodele de influență destabilizatoare asupra informațiilor protejate se diferențiază în funcție de sursele de influență. Cel mai mare număr de tipuri și metode de influență destabilizatoare este legat de oameni.

Din partea oamenilor, sunt posibile următoarele tipuri de impact, care duc la distrugere, denaturare și blocare:

Impact direct asupra purtătorilor de informații protejate.

Distribuirea neautorizată a informațiilor confidențiale.

Dezactivarea mijloacelor tehnice de afișare, stocare, procesare, reproducere, transmitere a informațiilor și a facilităților de comunicare.

Încălcarea modului de funcționare a mijloacelor enumerate și a tehnologiei de prelucrare a informațiilor.

Dezactivarea și întreruperea funcționării sistemelor pentru a asigura funcționarea mijloacelor denumite.

transmiterea verbală (mesajul) de informații;

transfer de copii (imagini) suporturilor de informații;

afișare de suporturi de informații;

introducerea de informații în rețele de calculatoare;

utilizarea informațiilor în discursurile publice deschise, incl. la radio, televiziune;

pierderea mass-media.

Metodele de perturbare a modului de funcționare a mijloacelor tehnice de afișare, stocare, prelucrare, reproducere, transfer a informațiilor, a facilităților de comunicare și a tehnologiei de prelucrare a informațiilor care conduc la distrugerea, denaturarea și blocarea informațiilor pot fi:

deteriorarea elementelor individuale ale fondurilor;

încălcarea regulilor de funcționare a fondurilor;

efectuarea de modificări în procedura de prelucrare a informațiilor;

infectarea programelor de procesare a informațiilor cu programe rău intenționate;

emiterea de comenzi de program incorecte;

depășirea numărului estimat de solicitări;

crearea de interferențe în emisiunea radio cu ajutorul sunetului suplimentar sau a zgomotului de fond, modificarea (suprapunerea) frecvențelor de transmitere a informațiilor;

transmiterea semnalelor false - conectarea filtrelor de suprimare la circuitele de informare, circuitele de putere și de masă;

încălcarea (modificarea) modului de funcționare al sistemelor pentru a asigura funcționarea fondurilor.

Tipurile de efecte destabilizatoare asupra informațiilor protejate de la mijloacele tehnice de afișare, stocare, prelucrare, reproducere, transmitere a informațiilor și a instalațiilor și sistemelor de asigurare a funcționării acestora includ defectarea mijloacelor; disfuncționalități ale fondurilor și crearea de radiații electromagnetice.

Cele mai probabile canale de scurgere de informații includ:

· Observarea vizuală;

· Interceptarea cu urechea;

· Supraveghere tehnică;

· Interogatoriu direct, ferrying out;

· Familiarizarea cu materiale, documente, produse etc.;

· Colectarea documentelor deschise și a altor surse de informații;

· Furtul de documente și alte surse de informații;

· Studiul multor surse de informare, care conțin părți din informațiile necesare.

Domenii de protecție a informațiilor.

Protectie juridica - reguli, proceduri si masuri legale speciale create pentru a asigura securitatea informatiei unei intreprinderi.

Protecția organizațională este reglementarea activităților de producție și a relației dintre artiștii executanți pe bază legală folosind daune. Protecția organizațională este asigurată de:

Organizarea regimului de securitate, lucrul cu personalul, documentele;

Utilizarea echipamentelor tehnice de securitate;

Utilizarea informațiilor și munca analitică pentru identificarea amenințărilor.

Inginerie și protecție tehnică - utilizarea diferitelor mijloace tehnice pentru a asigura protecția informațiilor confidențiale. Protecția tehnică și tehnică utilizează mijloace precum:

Fizice - dispozitive, structuri inginerești, măsuri organizatorice care exclud sau împiedică pătrunderea în sursele de informații confidențiale (sisteme de împrejmuire, sisteme de control acces, dispozitive de închidere și depozite);

Hardware - dispozitive care protejează împotriva scurgerilor, dezvăluirii și împotriva mijloacelor tehnice de spionaj industrial

Software.

Metode de protecție a informațiilor.

Principalele metode utilizate pentru protejarea informațiilor sunt următoarele:

· Implementarea unui sistem de autorizare pentru accesul utilizatorilor (personalul de serviciu) la resursele informaţionale, sistemul informaţional şi lucrările şi documentele aferente;

· Diferențierea accesului utilizatorilor și personalului de servicii la resursele informaționale, procesarea (transmiterea) software și protecția informațiilor;

· Rezervarea mijloacelor tehnice, duplicarea matricelor și purtătoarelor de informații;

· Utilizarea mijloacelor de protecție a informațiilor care au trecut procedura de evaluare a conformității în conformitate cu procedura stabilită;

· Organizarea protectiei fizice a spatiilor si a mijloacelor tehnice propriu-zise care permit prelucrarea datelor cu caracter personal;

· Prevenirea introducerii de programe rău intenționate (programe virus) și marcaje de programe în sistemele informaționale.

Principii de contabilitate a informațiilor clasificate:

înregistrarea obligatorie a tuturor purtătorilor de informații protejate;

înregistrarea unică a unui anumit purtător de astfel de informații;

o indicație în conturi a adresei la care se află la un moment dat transportatorul de informații clasificate dat;

responsabilitatea exclusivă pentru siguranța fiecărui mediu de informații protejate și reflectarea în conturile utilizatorului a acestor informații în prezent, precum și a tuturor utilizatorilor anteriori ai acestor informații.

Instrumente de securitate a informațiilor

Mijloacele de securitate a informațiilor sunt un ansamblu de dispozitive și dispozitive inginerești, electrice, electronice, optice și de altă natură, instrumente și sisteme tehnice, precum și alte elemente proprietare utilizate pentru rezolvarea diferitelor probleme de protecție a informațiilor, inclusiv prevenirea scurgerilor și asigurarea securității informație.

Ca bază pentru clasificarea instrumentelor de securitate a informațiilor, sunt utilizate principalele grupuri de sarcini, care sunt rezolvate cu ajutorul mijloacelor tehnice:

crearea de obstacole fizice (mecanice) pe calea pătrunderii intrusului către purtătorii de informații (grile, seifuri, încuietori etc.);

identificarea încercărilor de pătrundere în obiectul protecției, la locurile de concentrare a purtătorilor informațiilor protejate (dispozitive de semnalizare electronice și electro-optice);

avertizare în situații de urgență (incendiu, inundații etc.) și răspuns în situații de urgență (echipamente de stingere a incendiilor etc.);

menținerea comunicării cu diverse departamente, sedii și alte puncte ale obiectului de protecție;

neutralizarea, absorbția sau reflectarea radiațiilor de la produsele operate sau testate (ecrane, filtre de protecție, dispozitive de separare în rețelele de alimentare cu energie etc.);

o verificare cuprinzătoare a mijloacelor tehnice de prelucrare a informațiilor și a incintelor alocate pentru conformitatea cu cerințele de siguranță ale informațiilor de vorbire prelucrate la standardele stabilite;

protecția completă a informațiilor în sistemele automate de prelucrare a datelor folosind filtre, încuietori electronice și chei pentru a preveni accesul neautorizat, copierea sau denaturarea informațiilor.

Cunoașterea capacităților metodelor și mijloacelor de protecție a informațiilor vă permite să le aplicați în mod activ și cuprinzător atunci când luați în considerare și utilizați măsuri legale, organizatorice, inginerie și tehnice pentru a proteja informațiile confidențiale.

Modelul politicii de securitate.

În prezent, două tipuri de politici de securitate sunt cel mai bine studiate: discreționare și obligatorii, bazate, respectiv, pe metode selective și autoritare de control al accesului.

Trebuie remarcat faptul că mijloacele de protecție destinate implementării oricăreia dintre metodele de control al accesului denumite oferă doar oportunități de control fiabil al accesului sau al fluxurilor de informații. Determinarea drepturilor de acces ale subiecților la obiecte și/sau fluxuri de informații (puteri ale subiecților și atribute ale obiectelor, atribuirea etichetelor de criticitate etc.) este de competența administrației sistemului.

Controlul de acces obligatoriu (MAC) într-un sistem înseamnă independența disponibilității informațiilor față de proprietarul acestuia. De regulă, în astfel de cazuri, controlul accesului este implementat pe baza proprietăților informațiilor în sine și a proprietăților persoanei care dorește să obțină acces la acestea în conformitate cu ambele reguli independente de ele.

Tipic pentru modelele destinate implementării în sistemele militare și guvernamentale de protecție.

Strict vorbind, criteriile pentru determinarea cărei clase îi aparține o anumită metodă de control al accesului nu dau întotdeauna un rezultat cert, dar sunt foarte precise pentru majoritatea modelelor clasice de politică de securitate.

Controlul accesului discreționar (DAC) este baza unei politici de securitate discreționare (discrete), care este definită de două proprietăți:

· Drepturile de acces ale subiectului la obiectul sistem sunt determinate pe baza unei reguli externe sistemului;

· Toate subiectele și obiectele trebuie identificate.

Controlul discreționar al accesului este o metodă de restricționare a accesului la obiecte, care se bazează pe faptul că un anumit subiect (de obicei proprietarul obiectului) poate, la discreția sa, să acorde altor subiecți sau să le priveze de drepturi de acces la obiect.

Acest model implementează control discreționar (arbitrar) asupra accesului subiecților la obiecte și control asupra distribuirii drepturilor de acces.

2 Selectarea și justificarea măsurilor de protecție a informațiilor fizice (non-informatice).

Măsurile de protecție fizică a informațiilor includ:

protecție împotriva incendiilor;

protecție împotriva apei;

protectie impotriva gazelor corozive;

protectie impotriva radiatiilor electromagnetice;

protectie impotriva furtului si furtului;

protectie impotriva exploziilor;

protecție împotriva căderii resturilor;

protectie impotriva prafului;

protectie impotriva accesului neautorizat in spatiu.

În primul rând, trebuie să pregătiți camera în care va sta computerul.

Dezactivarea unităților neutilizate, a porturilor paralele și a porturilor seriale de pe computer este o mișcare inteligentă. Este de dorit să-și sigileze corpul. Toate acestea vor complica furtul sau înlocuirea informațiilor, chiar dacă un atacator intră cumva în cameră. Nu neglijați astfel de măsuri de securitate banale precum barele și ușile de fier, încuietori cu combinație și camere CCTV, care vor înregistra constant tot ce se întâmplă în zonele cheie ale biroului.

O altă eroare comună este legată de copiile de rezervă. Toată lumea știe despre necesitatea acestuia, precum și despre faptul că în caz de incendiu este necesar să existe un stingător. Dar din anumite motive ei uită că backup-urile nu pot fi stocate în aceeași cameră cu un computer. Drept urmare, protejandu-se de atacurile informaționale, firmele se trezesc fără apărare chiar și în fața unui mic incendiu, în care copiile realizate cu prudență pierd împreună cu computerul.

Adesea, chiar și după protejarea computerelor, ei uită că tot felul de fire au nevoie și de protecție - sistemul de cabluri al rețelei. Mai mult, de multe ori trebuie să ne temem nu de intruși, ci de cei mai obișnuiți curățători, care sunt considerați pe bună dreptate cei mai groaznici inamici ai rețelelor locale. Cea mai bună opțiune pentru protejarea cablului este cu canale, dar, în principiu, orice altă metodă care vă permite să ascundeți și să fixați în siguranță firele este potrivită. Cu toate acestea, nu trebuie să pierdeți din vedere posibilitatea de a vă conecta la ele din exterior pentru a intercepta informații sau a crea interferențe, de exemplu, prin intermediul unei descărcări de curent. Deși, trebuie să recunoaștem că această opțiune nu este larg răspândită și se observă doar în caz de întreruperi ale activității marilor firme.

Pe lângă internet, computerele sunt incluse într-o altă rețea - cea electrică obișnuită. Cu el este conectat un alt grup de probleme legate de securitatea fizică a computerelor. Nu este un secret pentru nimeni că calitatea rețelelor moderne de energie este departe de a fi ideală. Chiar dacă nu există semne externe de anomalii, de foarte multe ori tensiunea din rețeaua electrică este mai mare sau mai mică decât în ​​mod normal. În același timp, majoritatea oamenilor nici măcar nu bănuiesc că există un fel de probleme de alimentare în casa sau biroul lor.

Subtensiunea este cea mai frecventă anomalie și reprezintă aproximativ 85% din diferitele probleme de alimentare. Cauza sa obișnuită este penuria de energie, care sunt mai ales frecvente în lunile de iarnă. Supratensiunea este aproape întotdeauna rezultatul unui fel de accident sau deteriorări ale cablajului din cameră. Adesea, ca urmare a deconectării firului neutru comun, fazele adiacente sunt alimentate la 380 V. De asemenea, se întâmplă să apară tensiune înaltă în rețea din cauza comutării necorespunzătoare a firelor.

Sursele de impuls și interferențe de înaltă frecvență pot fi loviturile de fulgere, pornirea sau oprirea consumatorilor puternici de energie electrică, accidentele la substații, precum și funcționarea unor aparate electrocasnice. Cel mai adesea, astfel de interferențe apar în orașe mari și zone industriale. Impulsurile de tensiune cu durate de la nanosecunde (10 ~ 9 s) la microsecunde (10 ~ 6 s) pot atinge câteva mii de volți în amplitudine. Microprocesoarele și alte componente electronice sunt cele mai vulnerabile la astfel de interferențe. Adesea, un zgomot de impuls nestins poate duce la repornirea computerului sau la o eroare în procesarea datelor. Sursa de alimentare încorporată a computerului, desigur, netezește parțial supratensiunile, protejând componentele electronice ale computerului de defecțiuni, dar interferențele reziduale vor reduce în continuare durata de viață a echipamentului și, de asemenea, vor duce la o creștere a temperaturii puterii computerului. livra.

Pentru a proteja computerele de zgomotul de impuls de înaltă frecvență, se folosesc filtre de putere (de exemplu, marca Pilot), care protejează echipamentul de majoritatea zgomotului și supratensiunii. În plus, computerele cu informații importante trebuie să fie echipate cu o sursă de alimentare neîntreruptibilă (UPS). Modelele UPS moderne nu numai că mențin computerul în funcțiune în timpul unei pene de curent, dar îl deconectează și de la rețea dacă rețeaua este în afara razei de acoperire.

3 Selectarea și justificarea măsurilor de protecție a informațiilor hardware (calculatoare).

Hardware-ul este mijlocul tehnic folosit pentru prelucrarea datelor. Acestea includ: Computer personal (un set de mijloace tehnice concepute pentru prelucrarea automată a informațiilor în procesul de rezolvare a problemelor informatice și de calcul).

Echipamente periferice (un set de dispozitive computerizate externe care nu sunt controlate direct de procesorul central).

Mijloacele fizice ale informațiilor despre mașini.

Mijloacele de protecție hardware includ diverse dispozitive electronice, electro-mecanice, electro-optice. Până în prezent, a fost dezvoltat un număr semnificativ de hardware pentru diverse scopuri, dar următoarele sunt cele mai utilizate pe scară largă:

registre speciale pentru stocarea detaliilor de securitate: parole, coduri de identificare, ștampile de semnătură sau niveluri de secretizare;

generatoare de coduri concepute pentru a genera automat un cod de identificare a dispozitivului;

dispozitive de măsurare a caracteristicilor individuale ale unei persoane (voce, amprente) în vederea identificării acesteia;

biți speciali de secretizare, a căror valoare determină nivelul de secretizare al informațiilor stocate în memoria căreia îi aparțin acești biți;

circuite de întrerupere a transmiterii informaţiei în linia de comunicaţie în vederea verificării periodice a adresei de emitere a datelor.Un grup special şi cel mai răspândit de dispozitive de protecţie hardware sunt dispozitivele de criptare a informaţiilor (metode criptografice).

Hardware - baza pentru construirea sistemelor de protecție împotriva accesului neautorizat la informații

În anii 90, personalul OKB CAD a dezvoltat o metodologie de utilizare a protecției hardware, care a fost recunoscută ca o bază necesară pentru construirea sistemelor de protecție împotriva falsificării informațiilor. Ideile principale ale acestei abordări sunt următoarele:

o abordare integrată a soluționării problemelor de protecție a informațiilor în sistemele automatizate (AS) de la NSD. Recunoașterea paradigmei multiplicative a protecției și, în consecință, o atenție egală acordată fiabilității implementării procedurilor de control în toate etapele de funcționare a CNE;

Soluție „materialistă” la „întrebarea principală” a securității informațiilor: „care este primară – tare sau moale?”;

respingerea consecventă a metodelor de control software ca fiind evident nesigure și transferul celor mai critice proceduri de control la nivel hardware;

separarea maximă posibilă a elementelor condițional constante și condițional variabile ale operațiunilor de control;

construirea unor mijloace de protecție a informațiilor împotriva accesului neautorizat (SZI NSD), cât mai independente de sistemele de operare și de fișiere utilizate în sistemul automatizat. Aceasta este implementarea procedurilor de identificare/autentificare, controlul integrității hardware-ului și software-ului UA înainte de încărcarea sistemului de operare, administrare etc.

Principiile de mai sus de protecție hardware au fost implementate în complexul hardware și software de protecție a informațiilor împotriva accesului neautorizat - un modul hardware pentru încărcare de încredere - „Akkord-AMDZ”. Acest complex oferă un mod de pornire de încredere în diverse medii de operare: MS DOS, Windows 3.x, Windows 9.x, Windows NT / 2000 / XP, OS / 2, Unix, Linux.

Hardware-ul de securitate a informațiilor include dispozitive electronice și electronice-mecanice care sunt incluse în mijloacele tehnice ale CS și îndeplinesc (in mod independent sau într-un singur complex cu software) unele funcții de securitate a informațiilor. Criteriul de clasificare a unui dispozitiv ca hardware, și nu ca mijloace tehnice și tehnice de protecție, este includerea obligatorie în componența mijloacelor tehnice.

Principalele mijloace hardware de protecție a informațiilor includ:

dispozitive pentru introducerea informațiilor de identificare a utilizatorului (carduri magnetice și din plastic, amprente etc.);

Dispozitive pentru criptarea informatiilor;

dispozitive pentru prevenirea pornirii neautorizate a stațiilor de lucru (încuietori și blocare electronice).

Exemple de hardware auxiliar de securitate a informațiilor:

dispozitive pentru distrugerea informației pe medii magnetice;

dispozitive de alarmă despre încercări de acțiuni neautorizate ale utilizatorilor de computere etc.

Hardware-ul atrage din ce în ce mai multă atenția specialiștilor, nu doar pentru că este mai ușor să îi protejezi de daune și alte influențe accidentale sau rău intenționate, ci și pentru că implementarea hardware a funcțiilor este mai rapidă decât software-ul, iar costul acestora este în scădere constantă.

Pe piața de protecție hardware apar tot mai multe dispozitive noi. Următoarea este o descriere a încuietorului electronic ca exemplu.

Încuietoare electronică „Sable”. „Sobol”, dezvoltat și furnizat de CJSC NIP „Informzashita”, asigură următoarele funcții de protecție:

identificarea și autentificarea utilizatorilor;

controlul integrității fișierelor și sectoarelor fizice ale hard diskului;

blocarea încărcării sistemului de operare de pe o dischetă și CD-ROM;

blocarea autentificării unui utilizator înregistrat atunci când acesta depășește numărul specificat de încercări de conectare nereușite;

înregistrarea evenimentelor legate de securitatea sistemului.

Hardware-ul mijloacelor de protecție a sistemului de operare este înțeles în mod tradițional ca un set de instrumente și metode utilizate pentru rezolvarea următoarelor sarcini:

gestionarea memoriei operaționale și virtuale a computerului;

distribuirea timpului procesorului între sarcini într-un sistem de operare multitasking;

sincronizarea executării sarcinilor paralele într-un sistem de operare multitasking;

asigurarea accesului partajat al sarcinilor la resursele sistemului de operare.

Sarcinile enumerate sunt rezolvate în mare măsură cu ajutorul funcțiilor implementate hardware ale procesoarelor și altor unități de computer. Cu toate acestea, de regulă, instrumentele software sunt, de asemenea, folosite pentru a rezolva aceste probleme și, prin urmare, termenii „protecție hardware” și „protecție hardware” nu sunt în întregime corecti. Cu toate acestea, deoarece acești termeni sunt de fapt general acceptați, îi vom folosi.

4 Selectarea și justificarea măsurilor programului de protecție a informațiilor

Software-ul de securitate a informațiilor înseamnă programe speciale incluse în software-ul de calculator exclusiv pentru îndeplinirea funcțiilor de protecție.

Principalele instrumente software pentru protejarea informațiilor includ:

Programe de identificare şi autentificare a utilizatorilor de calculator;

Programe pentru diferenţierea accesului utilizatorilor la resursele calculatorului;

programe de criptare a informațiilor;

programe pentru protecția resurselor informaționale (software de sistem și aplicație, baze de date, suporturi informatice didactice etc.) împotriva modificării, utilizării și copierii neautorizate.

Trebuie înțeles că identificarea, în raport cu asigurarea securității informațiilor unui computer, este înțeleasă ca o recunoaștere fără ambiguitate a numelui unic al unui subiect informatic. Autentificarea înseamnă confirmarea că numele prezentat se potrivește cu subiectul dat (confirmarea identității subiectului).

De asemenea, software-ul de securitate a informațiilor include:

programe de auditare (menținere a jurnalelor) evenimentelor legate de securitatea calculatorului, pentru a asigura posibilitatea recuperării și dovada faptului producerii acestor evenimente;

programe de simulare a muncii cu infractorul (distragere a atenției acestuia pentru a primi informații presupuse confidențiale);

programe de control al testelor de securitate informatică etc.

Avantajele software-ului de securitate a informațiilor includ:

ușurința de replicare;

flexibilitate (capacitatea de personalizare pentru diverse condiții de utilizare, ținând cont de specificul amenințărilor la adresa securității informaționale a anumitor computere);

ușurință în utilizare - unele instrumente software, de exemplu criptarea, funcționează într-un mod „transparent” (invizibil pentru utilizator), în timp ce altele nu necesită abilități noi (comparativ cu alte programe) de la utilizator;

oportunități practic nelimitate de dezvoltare a acestora prin efectuarea de modificări pentru a lua în considerare noile amenințări la adresa securității informațiilor.

Dezavantajele software-ului de securitate a informațiilor includ:

scăderea eficienței unui calculator din cauza consumului de resurse ale acestuia necesare funcționării programelor de protecție;

performanță mai scăzută (comparativ cu îndeplinirea unor funcții similare de protecție hardware, cum ar fi criptarea);

andocarea multor software de securitate (și nu încorporarea lor în software-ul computerului, Fig. 4 și 5), care creează o posibilitate fundamentală pentru un intrus de a le ocoli;

posibilitatea unei modificări rău intenționate în protecția software-ului în timpul funcționării computerului.

Instrumentele software specializate pentru protejarea informațiilor împotriva accesului neautorizat au, în general, capacități și caracteristici mai bune decât instrumentele încorporate ale unui sistem de operare în rețea. Pe lângă programele de criptare, există multe alte instrumente de securitate externe disponibile. Dintre cele mai frecvent menționate, trebuie menționate următoarele două sisteme care permit restricționarea fluxurilor de informații: - firewall-uri (literalmente firewall - wall of fire). Între rețelele locale și globale sunt create servere intermediare speciale care inspectează și filtrează tot traficul de rețea/nivelul de transport care trece prin acestea. Acest lucru poate reduce dramatic amenințarea accesului neautorizat din exterior la rețelele corporative, dar nu elimină deloc acest pericol. O versiune mai sigură a metodei este masquerading, atunci când tot traficul care iese din rețeaua locală este trimis în numele serverului firewall, făcând rețeaua locală aproape invizibilă. Tot traficul de rețea / nivel de transport între rețelele locale și globale este complet interzis - pur și simplu nu există nicio rutare ca atare, iar apelurile din rețeaua locală către rețeaua globală au loc prin servere intermediare speciale. Evident, prin această metodă, apelurile din rețeaua globală către cea locală devin imposibile în principiu. De asemenea, este evident că această metodă nu oferă suficientă protecție împotriva atacurilor la niveluri superioare - de exemplu, la nivel de aplicație (virusuri, cod Java și JavaScript).

Să aruncăm o privire mai atentă la modul în care funcționează paravanul de protecție. Este o metodă de a proteja o rețea de amenințările de securitate din alte sisteme și rețele prin centralizarea și controlul accesului la rețea prin hardware și software. Un firewall este o barieră de securitate formată din mai multe componente (de exemplu, un router sau gateway care rulează software-ul firewall). Firewall-ul este configurat conform politicii interne de control al accesului la rețea a organizației. Toate pachetele de intrare și de ieșire trebuie să treacă printr-un firewall care permite trecerea numai a pachetelor autorizate.

Un firewall de filtrare a pachetelor este un router sau un computer care rulează software care este configurat să respingă anumite tipuri de pachete de intrare și de ieșire. Filtrarea pachetelor se realizează pe baza informațiilor conținute în anteturile TCP și IP ale pachetelor (adresele expeditorului și destinatarului, numerele de porturi ale acestora etc.).

Firewall la nivel de expert - verifică conținutul pachetelor primite la trei straturi ale modelului OSI - rețea, sesiune și aplicație. Pentru a îndeplini această sarcină, sunt utilizați algoritmi speciali de filtrare a pachetelor pentru a compara fiecare pachet cu un model cunoscut de pachete autorizate.

Crearea unui firewall este legată de soluționarea problemei de ecranare. Setarea formală a problemei de screening este după cum urmează. Să fie două seturi de sisteme informaționale. Un ecran este un mijloc de diferențiere a accesului clienților dintr-un set la servere dintr-un alt set. Ecranul își îndeplinește funcțiile controlând toate fluxurile de informații între două seturi de sisteme (Fig. 6). Controlul fluxurilor consta in filtrarea acestora, eventual efectuarea unor transformari.

Pe lângă funcțiile de control al accesului, ecranele înregistrează schimbul de informații.

De obicei, ecranul nu este simetric, termenii „înăuntru” și „exterior” sunt definiți pentru acesta. În acest caz, problema ecranării este formulată ca protejarea zonei interioare de cea exterioară potențial ostilă. Deci, firewall-urile (FW) sunt cel mai adesea instalate pentru a proteja rețeaua corporativă a unei organizații cu acces la Internet.

Ecranarea ajută la menținerea disponibilității serviciilor de back-end prin reducerea sau eliminarea sarcinii cauzate de activitatea exterioară. Vulnerabilitatea serviciilor de securitate internă este redusă deoarece atacatorul trebuie inițial să depășească un ecran în care mecanismele de apărare sunt configurate cu grijă. În plus, sistemul de ecranare, spre deosebire de cel universal, poate fi aranjat într-un mod mai simplu și, prin urmare, mai sigur.

Ecranarea face posibilă și controlul fluxurilor de informații direcționate către zona externă, ceea ce contribuie la menținerea regimului de confidențialitate în SI-ul organizației.

Ecranarea poate fi parțială, protejând anumite servicii de informare (de exemplu, ecranare e-mail).

O interfață de limitare poate fi considerată și ca un fel de evadare. Un obiect invizibil este greu de atacat, mai ales cu un set fix de mijloace. În acest sens, interfața Web este în mod natural sigură, mai ales atunci când documentele hipertext sunt generate dinamic. Fiecare utilizator vede doar ceea ce ar trebui să vadă. Se poate face o analogie între documentele hipertext generate dinamic și reprezentările în baze de date relaționale, cu avertismentul esențial că în cazul Web-ului posibilitățile sunt mult mai largi.

Rolul de protecție al unui serviciu Web se manifestă clar și atunci când acest serviciu mediază (mai precis, integrează) funcții la accesarea altor resurse, precum tabelele bazelor de date. Nu numai că controlează fluxul de solicitări, dar ascunde și organizarea reală a datelor.

Identificarea utilizatorului se realizează folosind o cheie individuală sub forma unei „tablete” cu memorie tactilă cu o memorie de până la 64 Kbytes și autentificare - folosind o parolă de până la 16 caractere.

Controlul integrității este conceput pentru a se asigura că programele și fișierele utilizatorului, și în special fișierele de sistem ale sistemului de operare, nu au fost modificate de un intrus sau de un marcaj software introdus de acesta. Pentru a face acest lucru, în primul rând, intră în funcțiune analizatorul sistemului de fișiere OS: calculul valorilor de referință și controlul acestora în timpul încărcării este implementat în Sobol la nivel hardware. Construirea unei liste de control al integrității obiectelor se realizează folosind utilitarul OS, care în principiu permite programului interceptor să modifice această listă și este bine cunoscut faptul că nivelul general de securitate al unui sistem este determinat de nivelul de securitate al celei mai slabe verigi. .

Un disc criptat este un fișier container care poate conține orice alte fișiere sau programe (pot fi instalate și rulate direct din acest fișier criptat). Acest disc este accesibil numai după introducerea parolei pentru fișierul container - apoi apare un alt disc pe computer, care este recunoscut de sistem ca fiind logic și lucru cu care nu diferă de lucrul cu orice alt disc. După deconectarea discului, discul logic dispare, pur și simplu devine „invizibil”.

Astăzi, cele mai comune programe pentru crearea de discuri criptate sunt DriveCrypt, BestCrypt și PGPdisk. Fiecare dintre ele este protejat în mod fiabil de hacking de la distanță.

Criptografia este știința securizării datelor. Ea caută soluții la patru probleme importante de securitate - confidențialitatea, autentificarea, integritatea și controlul participanților la interacțiune. Criptarea este transformarea datelor într-o formă ilizibilă folosind chei de criptare-decriptare. Criptarea vă permite să asigurați confidențialitatea păstrând informațiile secrete față de cei cărora nu le sunt destinate.

Criptografia se ocupă de găsirea și cercetarea metodelor matematice de transformare a informațiilor.

Principalele direcții de utilizare a metodelor criptografice sunt transferul de informații confidențiale prin canale de comunicare (de exemplu, e-mail), autentificarea mesajelor transmise, stocarea informațiilor (documente, baze de date) pe medii în formă criptată.

Virușii pot pătrunde într-o mașină în diferite moduri (prin rețeaua globală, printr-o dischetă infectată sau o unitate flash USB). Consecințele pătrunderii lor sunt foarte neplăcute: de la distrugerea unui fișier până la întreruperea întregului computer. Un singur fișier infectat este suficient pentru a infecta toate informațiile de pe computer și apoi pentru a infecta întreaga rețea corporativă.

Dr.Web Enterprise Suite a fost aleasă pentru protecție antivirus. Acest pachet oferă protecție centralizată pentru o rețea corporativă de orice dimensiune. O soluție modernă bazată pe tehnologiile Dr.Web pentru rețelele corporative, este un complex tehnic unic cu un sistem încorporat pentru gestionarea centralizată a protecției antivirus în întreaga întreprindere. Dr.Web Enterprise Suite permite unui administrator care lucrează atât în ​​interiorul rețelei, cât și pe un computer la distanță (prin Internet) să efectueze sarcinile administrative necesare pentru a gestiona protecția antivirus a unei organizații.

5 Sprijin organizațional

Subestimarea factorilor de siguranță în munca de zi cu zi este călcâiul lui Ahile al multor organizații. Instrumentele scumpe de securitate devin lipsite de sens dacă sunt prost documentate, sunt în conflict cu alt software și parola administratorului de sistem nu s-a schimbat de la instalare.

Se pot distinge următoarele domenii de activitate zilnică:

suport pentru utilizatori;

suport software;

managementul configurației;

backup;

management media;

documentație;

intretinere de rutina.

Suportul utilizatorilor înseamnă, în primul rând, consultanță și asistență în rezolvarea diferitelor tipuri de probleme. Uneori, organizațiile creează un „desk de asistență” special în acest scop, dar mai des administratorul de sistem luptă împotriva utilizatorilor. Este foarte important în fluxul de întrebări să poți identifica problemele legate de securitatea informațiilor. Astfel, multe dintre dificultățile utilizatorilor care lucrează pe computere personale pot fi rezultatul unei infecții cu virus. Este recomandabil să înregistrați întrebările utilizatorilor pentru a identifica greșelile tipice ale acestora și pentru a emite mementouri cu recomandări pentru situații comune.

Suportul software este unul dintre cele mai importante instrumente pentru asigurarea integrității informațiilor. În primul rând, trebuie să urmăriți ce software este instalat pe computerele dvs. Dacă utilizatorii instalează programe la propria discreție, acest lucru poate duce la infectarea cu viruși, precum și la apariția unor utilități care ocolesc măsurile de securitate. De asemenea, este probabil ca „inițiativa” utilizatorilor să ducă treptat la haos pe computerele lor, iar administratorul de sistem va trebui să corecteze situația.

Al doilea aspect al suportului software este controlul asupra absenței modificărilor neautorizate ale programelor și asupra drepturilor de acces la acestea. Aceasta include, de asemenea, suport pentru copiile master ale sistemelor software. Controlul se realizează, de obicei, printr-o combinație de controale de acces fizice și logice și utilizarea utilităților de validare și integritate.

Gestionarea configurației vă permite să controlați și să înregistrați modificările aduse configurației software. În primul rând, trebuie să vă asigurați împotriva modificărilor accidentale sau neconsiderate, să puteți reveni măcar la versiunea anterioară, de lucru. Realizarea modificărilor va facilita restabilirea versiunii curente după o blocare.

Cel mai bun mod de a reduce erorile în munca de rutină este să o automatizezi cât mai mult posibil. Au dreptate acei programatori și administratori de sistem „leneși” care, privind marea de sarcini monotone, spun: „Nu voi face niciodată asta; voi scrie un program care va face totul pentru mine”. Automatizarea și siguranța sunt interdependente; cel căruia îi pasă în primul rând să-și ușureze sarcina, de fapt, formează regimul de securitate a informațiilor în cel mai bun mod.

Copierea de rezervă este necesară pentru a restaura programele și datele după dezastre. Și aici este recomandabil să automatizați munca, cel puțin prin crearea unui program computerizat pentru crearea de copii complete și incrementale și, la maximum - folosind produsele software adecvate (vezi, de exemplu, Jet Info, 2000, 12). De asemenea, este necesar să se aranjeze plasarea copiilor într-un loc sigur, ferit de accesul neautorizat, incendii, scurgeri, adică de orice poate duce la furt sau deteriorarea suporturilor. Este indicat să aveți mai multe copii de rezervă și să stocați unele dintre ele în afara teritoriului organizației, protejând astfel împotriva accidentelor majore și incidentelor similare.

Din când în când, în scopuri de testare, ar trebui să verificați capacitatea de a recupera informații din copii.

Managementul media este necesar pentru a oferi protecție fizică și contabilitate pentru dischete, benzi, imprimări și altele asemenea. Managementul media ar trebui să asigure confidențialitatea, integritatea și disponibilitatea informațiilor stocate în afara sistemelor informatice. Protecția fizică înseamnă aici nu doar o reflectare a încercărilor de acces neautorizat, ci și protecție împotriva influențelor nocive ale mediului (căldură, frig, umiditate, magnetism). Managementul media ar trebui să acopere întregul ciclu de viață, de la achiziție până la pensionare.

Concluzie

Cea mai importantă măsură de protecție a informațiilor în acest domeniu este organizarea și controlul clar asupra utilizării purtătorilor de informații.

Progresul a dat omenirii o mulțime de realizări, dar același progres a dat naștere la o mulțime de probleme. Mintea umană, în timp ce rezolvă unele probleme, se ciocnește inevitabil de altele, noi. Problema eternă este protecția informațiilor. În diferite etape ale dezvoltării sale, omenirea a rezolvat această problemă cu o caracteristică caracteristică acestei epoci. Invenția computerului și dezvoltarea rapidă în continuare a tehnologiilor informaționale în a doua jumătate a secolului al XX-lea au făcut ca problema protecției informațiilor să fie la fel de urgentă și acută, pe cât tehnologia informației este relevantă pentru întreaga societate de astăzi. Principala tendință care caracterizează dezvoltarea tehnologiilor informaționale moderne este creșterea numărului de infracțiuni informatice și furtul aferent de informații confidențiale și de altă natură, precum și pierderile materiale.

Astăzi, probabil, nimeni nu poate spune cu certitudine numărul exact al pierderilor totale din infracțiunile informatice legate de accesul neautorizat la informații. Acest lucru se datorează în primul rând reticenței companiilor afectate de a dezvălui informații despre pierderile lor, precum și faptului că nu este întotdeauna posibil să se estimeze cu exactitate pierderile din furtul de informații în termeni monetari.

Există o mulțime de motive pentru intensificarea infracțiunilor informatice și a pierderilor financiare aferente, dintre care cele mai semnificative sunt:

trecerea de la tehnologia tradițională „hârtie” de stocare și transfer de informații la electronică și dezvoltarea insuficientă a tehnologiei de protecție a informațiilor în astfel de tehnologii;

unificarea sistemelor de calcul, crearea de rețele globale și extinderea accesului la resursele informaționale;

o creștere a complexității instrumentelor software și scăderea asociată a fiabilității acestora și o creștere a numărului de vulnerabilități.

Rețelele de calculatoare, în virtutea specificului lor, pur și simplu nu pot funcționa și se dezvolta normal, ignorând problemele de securitate a informațiilor.

Lista bibliografică

Barman S. Elaborarea regulilor de securitate a informațiilor. - M .: Editura „Williams”, 2002.

Bachilo I. L., Lopatin V. N., Fedotov M. A. Dreptul informației.- Sankt Petersburg: Editura „Legal Center Press”, 2001.

Biyachuev T.A. Securitatea rețelelor corporative. Manual / ed. L.G. Osovetskiy - SPb .: SPbGU ITMO, 2004.

Black W. Internet: Protocoale de securitate. Curs de pregatire. - SPb.: Peter, 2001.

Bozhday A.S., Finogeev A.G. Tehnologii de rețea. Partea 1: Tutorial. Penza: Editura PSU, 2005.

Sub politică de securitate organizațiile înțeleg setul de decizii de management documentate care vizează protejarea informațiilor și a resurselor asociate. Politica de securitate este mijlocul prin care se desfășoară activități în sistemul informatic informatic al organizației. În general, politicile de securitate sunt determinate de mediul de calcul utilizat și reflectă nevoile specifice ale organizației.

În mod obișnuit, un sistem informațional corporativ este un complex complex de hardware și software eterogene, uneori slab coordonate: calculatoare, sisteme de operare, facilități de rețea, DBMS, diverse aplicații. Toate aceste componente au, de obicei, propriile lor protecții care trebuie să fie potrivite. Prin urmare, o politică de securitate eficientă este esențială ca platformă consistentă pentru securizarea sistemului corporativ. Pe măsură ce sistemul informatic crește și se integrează în rețeaua globală, este necesar să se asigure că nu există puncte slabe în sistem, deoarece toate eforturile de a proteja informațiile pot fi devalorizate printr-o singură supraveghere.

Puteți crea o politică de securitate care specifică cine are acces la anumite active și aplicații, ce roluri și responsabilități au anumite persoane și proceduri de securitate care dictează în mod clar modul în care trebuie efectuate anumite sarcini de securitate. Caracteristicile individuale ale muncii unui angajat pot necesita acces la informații care nu ar trebui să fie disponibile altor angajați. De exemplu, un manager de resurse umane poate avea acces la informațiile private ale oricărui angajat, în timp ce un specialist în raportare poate avea acces doar la datele financiare ale acelor angajați. Și un angajat obișnuit va avea acces doar la propriile informații personale.

Politica de securitate definește poziția organizației cu privire la utilizarea rațională a calculatoarelor și a rețelei, precum și procedurile de prevenire și răspuns la incidentele de securitate. Într-un sistem corporativ mare, pot fi aplicate o gamă largă de politici diferite, de la politici de afaceri până la reguli specifice pentru accesarea seturi de date. Aceste politici sunt complet determinate de nevoile specifice ale organizației.

Noțiuni de bazăpolitici de securitate

Politica de securitate definește strategia de management al securității informațiilor, precum și nivelul de atenție și cantitatea de resurse pe care conducerea le consideră adecvate.

Politica de securitate se bazează pe o analiză a riscurilor care sunt recunoscute ca reale pentru sistemul informațional al organizației. Atunci când se efectuează analiza de risc și se determină strategia de protecție, se întocmește un program, a cărui implementare trebuie să asigure securitatea informațiilor. Pentru acest program se alocă resurse, se desemnează persoane responsabile, se stabilește ordinea de control al execuției programului etc.

Pentru a vă familiariza cu conceptele de bază ale politicilor de securitate, să luăm în considerare, ca exemplu specific, o ipotetică rețea locală aparținând unei organizații și o politică de securitate asociată acesteia.

Politica de securitate a unei organizații ar trebui să fie structurată ca un document de politică la nivel înalt concis, ușor de înțeles, susținut de un set de documente mai specifice de politici și proceduri de securitate specializate.

Politica de securitate la nivel înalt ar trebui revizuită periodic pentru a se asigura că răspunde nevoilor curente ale organizației. Acest document este redactat în așa fel încât politica să fie relativ independentă de tehnologie. Dacă da, acest document de politică nu trebuie schimbat prea des.

O politică de securitate este de obicei întocmită sub forma unui document care include secțiuni precum descrierea problemei, domeniul de aplicare, poziția organizației, repartizarea rolurilor și responsabilităților, sancțiuni etc.

Descrierea problemei. Informațiile care circulă în rețeaua locală sunt critice. O rețea locală permite utilizatorilor să partajeze programe și date, ceea ce crește riscul de securitate. Prin urmare, fiecare dintre computerele din rețea are nevoie de o protecție mai puternică. Aceste măsuri de securitate sporite fac obiectul acestui document. Documentul are următoarele obiective: să demonstreze angajaților organizației importanța protecției mediului de rețea, să descrie rolul acestora în asigurarea securității și, de asemenea, să atribuie responsabilități specifice pentru protejarea informațiilor care circulă în rețea.

Zona de aplicare. Sfera de aplicare a acestei politici acoperă toate resursele hardware, software și informaționale incluse în rețeaua locală a întreprinderii. Politica vizează și persoanele care lucrează cu rețeaua, inclusiv utilizatorii, subcontractanții și furnizorii.

Poziția organizației. Scopul organizației este de a asigura integritatea, disponibilitatea și confidențialitatea datelor, precum și integralitatea și relevanța acestora. Țintele mai specifice sunt:

asigurarea unui nivel de securitate care respectă documentele de reglementare;

aderarea la fezabilitatea economică în alegerea măsurilor de protecție (costurile de protecție nu trebuie să depășească prejudiciul estimat dintr-o încălcare a securității informațiilor);

asigurarea securității în fiecare zonă funcțională a rețelei locale;

asigurarea răspunderii tuturor acțiunilor utilizatorilor cu informații și resurse;

Furnizarea de analize a informațiilor de înregistrare;

furnizarea de informații suficiente utilizatorilor pentru a menține în mod conștient regimul de securitate;

elaborarea planurilor de recuperare după accidente și alte situații critice pentru toate zonele funcționale în vederea asigurării continuității rețelei;

asigurarea conformității cu legile aplicabile și cu politica de securitate corporativă.

Repartizarea rolurilor și responsabilităților. Oficialii respectivi și internauții sunt responsabili pentru implementarea obiectivelor de mai sus.

Șefii de departamente sunt responsabili pentru comunicarea prevederilor politicii de securitate către utilizatori și pentru contactarea acestora.

asigură funcționarea în continuare a rețelei și sunt responsabili pentru implementarea măsurilor tehnice necesare pentru aplicarea politicii de securitate.

Administratori de servicii sunt responsabili pentru anumite servicii și, în special, pentru asigurarea faptului că protecția este construită în conformitate cu politica generală de securitate.

Utilizatori sunt obligați să lucreze cu rețeaua locală în conformitate cu politica de securitate, să respecte ordinele persoanelor responsabile cu anumite aspecte ale securității, să informeze conducerea tuturor situațiilor suspecte.

Mai multe detalii despre rolurile și responsabilitățile ofițerilor și internauților sunt furnizate mai jos.

Sancțiuni.Încălcarea unei politici de securitate ar putea expune rețeaua locală și informațiile care circulă în ea la un risc inacceptabil. Incidentele de securitate ale personalului ar trebui să fie soluționate cu promptitudine de către conducere pentru măsuri disciplinare până la și inclusiv reziliere.

Informații suplimentare. Echipele specifice de implementatori pot avea nevoie de documente suplimentare de revizuit, cum ar fi politici și proceduri de securitate specializate și alte îndrumări. Nevoia de documente suplimentare privind politica de securitate depinde în mare măsură de dimensiunea și complexitatea organizației. O organizație suficient de mare poate necesita politici de securitate specializate în plus față de politica de bază. Organizațiile mai mici au nevoie doar de un subset de politici specializate. Multe dintre aceste documente de sprijin pot fi destul de scurte - o lungime de una până la două pagini.

Din punct de vedere practic, politicile de securitate pot fi împărțite pe trei niveluri: superior, mediu și inferior.

Nivelul superior politica de securitate definește deciziile care afectează organizația în ansamblu. Aceste decizii sunt de natură foarte generală și provin de obicei de la conducerea organizației.

Astfel de decizii pot include următoarele elemente:

formularea scopurilor pe care organizația le urmărește în domeniul securității informațiilor, definirea direcțiilor generale în atingerea acestor obiective;

formarea sau revizuirea unui program cuprinzător de securitate a informațiilor, identificarea persoanelor responsabile cu promovarea programului;

asigurarea bazei materiale pentru respectarea legilor și reglementărilor;

formularea deciziilor manageriale privind implementarea programului de securitate, care să fie luate în considerare la nivelul organizației în ansamblu.

Politica de securitate de nivel superior articulează obiectivele de securitate a informațiilor ale organizației în termeni de integritate, disponibilitate și confidențialitate. Dacă o organizație este responsabilă pentru menținerea bazelor de date critice pentru misiune, prima prioritate ar trebui să fie integritate date. Pentru o organizație de vânzări, relevanța informațiilor despre serviciile și prețurile oferite, precum și ale acestora disponibilitate numarul maxim de potentiali cumparatori. De organizarea regimului se va ocupa în primul rând confidențialitatea informații, adică despre protecția acesteia împotriva accesului neautorizat.

Pe nivelul superior se efectuează gestionarea resurselor de securitate și coordonarea utilizării acestor resurse, alocarea de personal special pentru protejarea sistemelor critice și menținerea contactelor cu alte organizații care asigură sau controlează regimul de securitate.

Politica de nivel superior trebuie să definească clar sfera sa de influență. Acestea pot fi toate sistemele informatice dintr-o organizație sau chiar mai mult dacă politica reglementează anumite aspecte ale utilizării de către angajați a computerelor de acasă. De asemenea, este posibil ca doar cele mai importante sisteme să fie incluse în sfera de influență.

Politica ar trebui să definească responsabilitățile funcționarilor de a dezvolta programul de siguranță și de a-l implementa, adică politica poate servi ca bază pentru responsabilitatea personalului.

Politica de nivel înalt se ocupă de trei aspecte ale respectării legii și ale disciplinei. În primul rând, organizația trebuie să respecte legile existente. În al doilea rând, acțiunile celor responsabili cu dezvoltarea programului de securitate ar trebui monitorizate. În al treilea rând, este necesar să se asigure disciplina executivă a personalului printr-un sistem de recompense și pedepse.

Nivel mediu politica de securitate determina rezolvarea unor probleme legate de anumite aspecte ale securitatii informatiilor, dar importante pentru diverse sisteme operate de organizatie.

Exemple de astfel de probleme sunt atitudinile față de accesul la Internet (problema combinării libertății de obținere a informațiilor cu protecția împotriva amenințărilor externe), utilizarea computerelor de acasă etc.

Politica de securitate de nivel mediu ar trebui să definească următoarele puncte pentru fiecare aspect al securității informațiilor:

descrierea aspectului- poziţia organizaţiei poate fi formulată într-o formă destul de generală ca un set de scopuri pe care organizaţia le urmăreşte sub acest aspect;

zona de aplicare- ar trebui să precizeze unde, când, cum, în legătură cu cine și ce se aplică această politică de securitate;

roluri si responsabilitati- documentul trebuie să conțină informații despre funcționarii responsabili cu implementarea politicii de securitate în viață;

sancțiuni - politica ar trebui să conțină o descriere generală a acțiunilor interzise și a sancțiunilor pentru acestea;

puncte de contact- trebuie să știe unde să meargă pentru clarificări, ajutor și informații suplimentare. Un oficial este de obicei punctul de contact.

Nivel inferior politica de securitate se aplică unor servicii specifice. Această politică include două aspecte: obiective și reguli pentru atingerea acestora - prin urmare, uneori este dificil să o separăm de problemele de implementare. Spre deosebire de primele două niveluri, politica în cauză ar trebui să fie mai detaliată.

Iată câteva exemple de întrebări la care trebuie să se răspundă atunci când urmează o politică de securitate de nivel scăzut:

care are dreptul de acces la obiectele suportate de serviciu;

cum este organizat accesul de la distanță la serviciu.

Politică de securitate la nivel scăzut poate proveni din considerente de integritate, disponibilitate și confidențialitate, dar nu ar trebui să se oprească asupra lor. În general, obiectivele ar trebui să conecteze obiectele de serviciu și să interacționeze semnificativ cu acestea.

Din obiective, sunt derivate reguli de siguranță care descriu cine poate face ce și în ce condiții. Cu cât regulile sunt mai detaliate, cu atât sunt stabilite mai clar și mai formal, cu atât este mai ușor să sprijiniți implementarea lor cu software și măsuri tehnice. Permisiunile obiectelor sunt de obicei specificate cel mai formal.

Iată o descriere mai detaliată a responsabilităţilor fiecărei categorii de personal.

Șefii de departamente sunt responsabili pentru comunicarea prevederilor politicii de securitate către utilizatori. Aceștia sunt obligați să:

ține cont de problemele de securitate în orice moment. Asigurați-vă că subordonații lor fac același lucru;

efectuează analize de risc, identificând activele care necesită protecție și vulnerabilitățile sistemului, evaluând valoarea posibilelor daune din cauza unei breșe de securitate și alegând mijloace eficiente de protecție;

organizarea de instruire a personalului privind măsurile de securitate. Acordați o atenție deosebită problemelor legate de controlul antivirus;

informează administratorii rețelelor locale și administratorii de servicii despre schimbările în statutul fiecăruia dintre subordonați (transfer la un alt loc de muncă, concediere etc.);

asigurați-vă că fiecare computer din diviziile lor are un administrator gazdă sau de sistem care este responsabil de securitate și care este calificat pentru a îndeplini acest rol.

Administratori de rețele locale asigură funcționarea în continuare a rețelei și sunt responsabili pentru implementarea măsurilor tehnice necesare pentru aplicarea politicii de securitate. Aceștia sunt obligați să:

să asigure protecția echipamentelor rețelei locale, inclusiv a interfețelor cu alte rețele;

răspunde prompt și eficient la evenimentele amenințătoare. Informați administratorii serviciului despre încercările de a încălca protecția;

utilizați mijloace dovedite de auditare și depistare a situațiilor suspecte. Analizează zilnic informațiile de înregistrare legate de rețea în general și de serverele de fișiere în special;

nu abuza de marile tale puteri. Utilizatorii au dreptul la intimitate;

elaborați proceduri și pregătiți instrucțiuni pentru protejarea rețelei locale de software rău intenționat. Asistență la detectarea și eliminarea codurilor rău intenționate;

faceți în mod regulat copii de siguranță ale informațiilor stocate pe serverele de fișiere;

efectuați toate modificările la configurația hardware și software a rețelei;

asigurați-vă că procedura de identificare și autentificare este obligatorie pentru accesarea resurselor rețelei. Furnizați utilizatorilor nume de conectare și parole inițiale numai după completarea formularelor de înregistrare;

verifica periodic fiabilitatea protecției rețelei locale. Preveniți utilizatorii neautorizați să obțină privilegii.

Administratori de servicii sunt responsabili pentru anumite servicii și, în special, pentru asigurarea faptului că protecția este construită în conformitate cu politica generală de securitate. Aceștia sunt obligați să:

gestionați drepturile de acces ale utilizatorilor la obiectele deservite;

răspunde prompt și eficient la evenimentele amenințătoare. Oferiți asistență pentru respingerea amenințării, identificarea infractorilor și furnizarea de informații pentru pedepsirea acestora;

efectuați periodic copii de siguranță ale informațiilor procesate de serviciu;

furnizați utilizatorilor nume de conectare și parole inițiale numai după completarea formularelor de înregistrare;

analiza zilnic informațiile de înregistrare legate de serviciu. Monitorizați în mod regulat serviciul pentru software rău intenționat;

verifica periodic fiabilitatea protectiei serviciului. Preveniți utilizatorii neautorizați să obțină privilegii.

Utilizatori sunt obligați să lucreze cu rețeaua locală în conformitate cu politica de securitate, să respecte ordinele persoanelor responsabile cu anumite aspecte ale securității, să informeze conducerea tuturor situațiilor suspecte. Aceștia sunt obligați să:

cunoaște și respectă legile, regulile adoptate în această organizație, politica de securitate, procedurile de securitate. să utilizeze mecanismele de securitate disponibile pentru a asigura confidențialitatea și integritatea informațiilor lor;

utilizați un mecanism de protecție a fișierelor și setați corect drepturile de acces;

alege parole de înaltă calitate, schimbă-le în mod regulat. Nu notați parolele pe hârtie, nu le împărtășiți altora;

să informeze administratorii sau conducerea despre breșele de securitate și alte situații suspecte;

nu utilizați punctele slabe în protecția serviciilor și a rețelei locale în ansamblu. Nu efectuați lucrări neautorizate cu date, nu interferați cu alți utilizatori;

furnizați întotdeauna informații corecte de identificare și autentificare, nu încercați să lucrați în numele altor utilizatori;

oferiți o copie de rezervă a informațiilor de pe hard disk-ul computerului dvs.;

știți cum funcționează software-ul rău intenționat, cum pătrunde și se răspândește. Cunoașteți și urmați procedurile de prevenire a pătrunderii codului rău intenționat, detectarea și distrugerea acestuia;

cunoaște și respectă regulile de conduită în situații de urgență, succesiunea acțiunilor în eliminarea consecințelor accidentelor.

Măsuri de management al securității informațiilor. Scopul principal al măsurilor luate la nivel de management este formularea unui program de lucru în domeniul securității informațiilor și asigurarea implementării acestuia prin alocarea resurselor necesare și efectuarea monitorizării periodice a stării de fapt. Fundamentul acestui program este o politică de securitate cu mai multe straturi care reflectă abordarea integrată a unei organizații de a-și proteja resursele și activele informaționale.