Të dhënat IB. Siguria e informacionit dhe mbrojtja e informacionit me fjalë të thjeshta

Objektivisht, kategoria e "sigurisë së informacionit" u ngrit me shfaqjen e mjeteve të komunikimit të informacionit midis njerëzve, si dhe me vetëdijen e një personi se njerëzit dhe komunitetet e tyre kanë interesa që mund të dëmtohen duke ndikuar në mjetet e komunikimit të informacionit, prania dhe zhvillimi i të cilave siguron shkëmbimin e informacionit ndërmjet të gjithë elementëve të shoqërisë.

Siguria e informacionit është mbrojtja e informacionit dhe e infrastrukturës mbështetëse nga ndikimet aksidentale ose të qëllimshme të një natyre natyrore ose artificiale që mund të shkaktojnë dëme të papranueshme për subjektet e marrëdhënieve të informacionit. Infrastruktura mbështetëse - sistemet e furnizimit me energji elektrike, ngrohje, ujë, gaz, sisteme klimatizimi etj., si dhe personeli i shërbimit. Dëmi i papranueshëm është dëm që nuk mund të neglizhohet.

Derisa Siguria e Informacionit- atë gjendja e sigurisë së mjedisit të informacionit, mbrojtjen e të dhënaveështë një aktivitet për të parandaluar rrjedhjen e informacionit të mbrojtur, ndikimet e paautorizuara dhe të paqëllimshme në informacionin e mbrojtur, d.m.th. procesi, synon arritjen e kësaj gjendjeje .

Siguria e informacionit të organizatës- gjendja e sigurisë së mjedisit të informacionit të organizatës, duke siguruar formimin, përdorimin dhe zhvillimin e tij.

Siguria e informacionit të shtetit- gjendjen e ruajtjes së burimeve informative të shtetit dhe mbrojtjen e të drejtave ligjore të individit dhe shoqërisë në sferën e informacionit.

Në shoqërinë moderne sfera e informacionit ka dy komponentë: teknologjia e informacionit (bota e teknologjisë, teknologjisë, e krijuar artificialisht nga njeriu, etj.) dhe informative dhe psikologjike (bota natyrore e natyrës së gjallë, duke përfshirë edhe vetë njeriun).

Siguria e Informacionit- mbrojtja e konfidencialitetit, integritetit dhe disponueshmërisë së informacionit.

1. Konfidencialiteti: pronë e burimeve të informacionit, duke përfshirë informacionin që lidhet me faktin se ato nuk do të bëhen të disponueshme dhe nuk do t'u zbulohen personave të paautorizuar.

2. Integriteti: veti e burimeve të informacionit, duke përfshirë informacionin, që përcakton saktësinë dhe plotësinë e tyre.

3. Disponueshmëria: pronë e burimeve të informacionit, përfshirë informacionin, i cili përcakton mundësinë e marrjes dhe përdorimit të tyre me kërkesë të personave të autorizuar.

Një qasje sistematike për përshkrimin e sigurisë së informacionit sugjeron të theksohen sa vijon komponentët e sigurisë së informacionit:

1. Baza legjislative, rregullatore dhe shkencore.

2. Struktura dhe detyrat e organeve (divizioneve) që sigurojnë sigurinë e TI.

3. Masat dhe metodat organizative, teknike dhe të sigurisë (Information Security Policy).

4. Metodat dhe mjetet softuerike dhe harduerike për të garantuar sigurinë e informacionit.

Duke marrë parasysh ndikimin në transformimin e ideve të sigurisë së informacionit, në zhvillimin e komunikimeve të informacionit ka disa faza:

Ø Faza I - para vitit 1816 - karakterizohet nga përdorimi mjete të natyrshme të komunikimit të informacionit... Gjatë kësaj periudhe, detyra kryesore e sigurisë së informacionit ishte në mbrojtjen e informacionit për ngjarjet, faktet, pronën, vendndodhjen dhe të dhëna të tjera që janë me rëndësi jetike për një person personalisht ose komunitetin të cilit ai i përkiste .

Ø Faza II - që nga viti 1816 - lidhur me fillimin e përdorimit mjete teknike të krijuara artificialisht të komunikimeve elektrike dhe radio... Për të siguruar fshehtësinë dhe imunitetin ndaj zhurmës së komunikimeve radio, ishte e nevojshme të përdoret përvoja e periudhës së parë të sigurisë së informacionit në një nivel më të lartë teknologjik, përkatësisht aplikimi i kodimit korrigjues të gabimit të një mesazhi (sinjali) me dekodimin e mëvonshëm të mesazhit (sinjalit) të marrë.

Ø Faza III - që nga viti 1935 - lidhur me shfaqjen e radarëve dhe pajisjeve hidroakustike. Mënyra kryesore për të garantuar sigurinë e informacionit gjatë kësaj periudhe ishte një kombinim i masave organizative dhe teknike që synojnë rritjen e mbrojtjes së pajisjeve të radarit nga efekti i maskimit aktiv dhe ndërhyrjeve radio-elektronike imituese pasive në pajisjet e tyre marrëse.

Ø Faza IV - që nga viti 1946 - lidhur me shpikjen dhe zbatimin e kompjuterëve elektronikë në praktikë(kompjuterë). Kryesisht u zgjidhën detyrat e sigurisë së informacionit metodat dhe metodat e kufizimit të aksesit fizik në pajisjet e mjeteve të nxjerrjes, përpunimit dhe transmetimit të informacionit .

Ø Faza V - që nga viti 1965 - për shkak të krijimit dhe zhvillimit rrjetet lokale të informacionit dhe komunikimit... Detyrat e sigurisë së informacionit gjithashtu zgjidheshin kryesisht me metoda dhe metoda mbrojtja fizike e mjeteve të nxjerrjes, përpunimit dhe transmetimit të informacionit, të bashkuara në një rrjet lokal me anë të administrimit dhe kontrollit të aksesit në burimet e rrjetit .

Ø Faza VI - që nga viti 1973 - lidhur me përdorimin pajisje komunikimi ultra-mobile me një gamë të gjerë detyrash... Kërcënimet e sigurisë së informacionit janë bërë shumë më serioze. Për të garantuar sigurinë e informacionit në sistemet kompjuterike me rrjete të transmetimit të të dhënave pa tel, kërkohej zhvillimi i kritereve të reja të sigurisë. U formuan bashkësi njerëzish - hakerë, duke synuar dëmtimin e sigurisë së informacionit të përdoruesve individualë, organizatave dhe vendeve të tëra. Burimi i informacionit është bërë burimi më i rëndësishëm i shtetit, dhe garantimi i sigurisë së tij është bërë komponenti më i rëndësishëm dhe i detyrueshëm i sigurisë kombëtare. Ligji për informacionin po formohet - një degë e re e sistemit juridik ndërkombëtar.

Ø Faza VII - që nga viti 1985 - është i lidhur me krijimin dhe zhvillimin e rrjeteve globale të informacionit dhe komunikimit duke përdorur objekte mbështetëse hapësinore. Mund të supozohet se faza tjetër në zhvillimin e sigurisë së informacionit, padyshim, do të shoqërohet me përdorimin e gjerë të pajisjeve të komunikimit ultra-mobilë me një gamë të gjerë detyrash dhe mbulim global në hapësirë ​​dhe kohë, të siguruar nga informacioni dhe komunikimi hapësinor. sistemeve. Për të zgjidhur problemet e sigurisë së informacionit në këtë fazë, është e nevojshme të krijohet një makrosistem i sigurisë së informacionit për njerëzimin nën kujdesin e forumeve kryesore ndërkombëtare. .

Fraza në kontekste të ndryshme mund të ketë kuptime të ndryshme. Në Doktrinën e Sigurisë së Informacionit të Federatës Ruse, termi "Siguria e Informacionit" përdoret në një kuptim të gjerë. Kjo i referohet gjendjes së mbrojtjes së interesave kombëtare në sferën e informacionit, e përcaktuar nga tërësia e interesave të balancuara të individit, shoqërisë dhe shtetit.

Ligji i Federatës Ruse "Për pjesëmarrjen në shkëmbimin ndërkombëtar të informacionit" Siguria e Informacionit përkufizohet në mënyrë të ngjashme - si gjendje e mbrojtjes së mjedisit informativ të shoqërisë, duke siguruar formimin, përdorimin dhe zhvillimin e tij në interes të qytetarëve, organizatave dhe shtetit.

Në këtë kurs, vëmendja jonë do të përqendrohet në ruajtjen, përpunimin dhe transmetimin e informacionit, pavarësisht se në cilën gjuhë (rusisht apo ndonjë tjetër) është i koduar, kush ose cili është burimi i tij dhe çfarë efekti psikologjik ka tek njerëzit. Prandaj termi "Siguria e Informacionit" do të përdoret në një kuptim të ngushtë, siç është zakon, për shembull, në literaturën në gjuhën angleze.

Nën siguria e informacionit ne do të kuptojmë sigurinë e informacionit dhe nga ndikimet aksidentale ose të qëllimshme të një natyre natyrore ose artificiale, të cilat mund të shkaktojnë dëme të papranueshme subjektet e marrëdhënieve të informacionit, duke përfshirë pronarët dhe përdoruesit e informacionit dhe infrastrukturës mbështetëse... (Pak më tej do të shpjegojmë se çfarë duhet kuptuar me infrastrukturës mbështetëse.)

Mbrojtja e të dhënaveËshtë një grup masash që synojnë të garantojnë sigurinë e informacionit.

Kështu, nga pikëpamja metodologjike, qasja korrekte ndaj problemeve siguria e informacionit fillon me identifikimin subjektet e marrëdhënieve të informacionit dhe interesat e këtyre aktorëve që lidhen me përdorimin e sistemeve të informacionit (IS). Kërcënimet siguria e informacionit- kjo është ana tjetër e përdorimit të teknologjisë së informacionit.

Dy pasoja të rëndësishme mund të nxirren nga ky pozicion:

1. Interpretimi i problemeve që lidhen me siguria e informacionit, për kategori të ndryshme lëndësh mund të ndryshojnë ndjeshëm. Për ta ilustruar, mjafton të krahasohen organizatat qeveritare të regjimit dhe institucionet arsimore. Në rastin e parë, "le të prishet gjithçka sesa armiku të mësojë të paktën një sekret", në të dytën - "po, ne nuk kemi asnjë sekret, për sa kohë që gjithçka funksionon".
2. Siguria e Informacionit nuk kufizohet vetëm në mbrojtjen kundër aksesit të paautorizuar në informacion, ky është një koncept thelbësisht më i gjerë. Lënda e marrëdhënieve të informacionit mund të pësojë (të pësojë humbje dhe/ose të marrë dëm moral) jo vetëm nga aksesi i paautorizuar, por edhe nga një prishje e sistemit që shkaktoi një ndërprerje në punë. Për më tepër, për shumë organizata të hapura (për shembull, ato arsimore), mbrojtja aktuale nga aksesi i paautorizuar në informacion nuk është në radhë të parë për nga rëndësia.

Duke iu rikthyer çështjeve të terminologjisë, vërejmë se termi "siguri kompjuterike" (si ekuivalent ose zëvendësues i sigurisë së informacionit) na duket shumë i ngushtë. Kompjuterët janë vetëm një nga komponentët e sistemeve të informacionit, dhe megjithëse vëmendja jonë do të përqendrohet kryesisht në informacionin që ruhet, përpunohet dhe transmetohet duke përdorur kompjuterë, siguria e tij përcaktohet nga tërësia e përbërësve të tij dhe, para së gjithash, nga më të dobëtit. lidhje, e cila në shumicën dërrmuese në shumicën e rasteve rezulton të jetë një person (i cili ka shkruar, për shembull, fjalëkalimin e tij në "suva mustardë" të mbërthyer në monitor).

Sipas përkufizimit të sigurisë së informacionit, ajo varet jo vetëm nga kompjuterët, por edhe nga infrastrukturës mbështetëse, i cili përfshin sistemet e furnizimit me energji, ujë dhe ngrohje, kondicionerët, komunikimet dhe, natyrisht, personelin e shërbimit. Kjo infrastrukturë ka një vlerë të pavarur, por ne do të na interesojë vetëm se si ndikon në zbatimin e funksioneve që i ngarkon sistemi i informacionit.

Vini re se në përkufizimin e IB, para emrit "dëm" është mbiemri "i papranueshëm". Natyrisht, është e pamundur të sigurohet nga të gjitha llojet e dëmeve, aq më tepër është e pamundur të bëhet në një mënyrë ekonomike të përshtatshme, kur kostoja e pajisjeve dhe masave mbrojtëse nuk e kalon shumën e dëmit të pritshëm. Kjo do të thotë që ju duhet të duroni diçka dhe duhet të mbroni veten vetëm kundër asaj që nuk mund ta duroni në asnjë mënyrë. Ndonjëherë një dëm i tillë i papranueshëm është dëm për shëndetin e njeriut ose mjedisin, por më shpesh pragu i papranueshmërisë ka një shprehje materiale (monetare) dhe qëllimi i mbrojtjes së informacionit është zvogëlimi i sasisë së dëmit në vlera të pranueshme.

Komponentët kryesorë. Rëndësia e problemit.

Siguria e informacionit (IS) duhet të kuptohet si mbrojtja e interesave të subjekteve të marrëdhënieve të informacionit. Komponentët e tij kryesorë përshkruhen më poshtë - konfidencialiteti, integriteti, disponueshmëria. Janë dhënë statistikat e shkeljeve të sigurisë së informacionit, janë përshkruar rastet më tipike.

Koncepti i sigurisë së informacionit

Shprehja "siguria e informacionit" në kontekste të ndryshme mund të ketë kuptime të ndryshme. Në Doktrinën e Sigurisë së Informacionit të Federatës Ruse, termi "siguri informacioni" përdoret në një kuptim të gjerë. Kjo i referohet gjendjes së mbrojtjes së interesave kombëtare në sferën e informacionit, e përcaktuar nga tërësia e interesave të balancuara të individit, shoqërisë dhe shtetit.

Në Ligjin e Federatës Ruse "Për pjesëmarrjen në shkëmbimin ndërkombëtar të informacionit", siguria e informacionit përcaktohet në mënyrë të ngjashme - si gjendja e mbrojtjes së mjedisit të informacionit të shoqërisë, duke siguruar formimin, përdorimin dhe zhvillimin e tij në interes të qytetarëve, organizatave. , dhe shteti.

Në këtë kurs, vëmendja jonë do të përqendrohet në ruajtjen, përpunimin dhe transmetimin e informacionit, pavarësisht se në cilën gjuhë (rusisht apo ndonjë tjetër) është i koduar, kush ose cili është burimi i tij dhe çfarë efekti psikologjik ka tek njerëzit. Prandaj, termi "siguri informacioni" do të përdoret në një kuptim të ngushtë, siç është pranuar, për shembull, në literaturën në gjuhën angleze.

Nën siguria e informacionit ne do të kuptojmë sigurinë e informacionit dhe infrastrukturën mbështetëse nga ndikimet aksidentale ose të qëllimshme të një natyre natyrore ose artificiale që mund të shkaktojnë dëme të papranueshme për subjektet e marrëdhënieve të informacionit, duke përfshirë pronarët dhe përdoruesit e informacionit dhe infrastrukturës mbështetëse. (Ne do të shpjegojmë pak më vonë se çfarë nënkuptoni me mbështetjen e infrastrukturës.)

Mbrojtja e të dhënaveËshtë një grup masash që synojnë të garantojnë sigurinë e informacionit.

Kështu, një qasje metodologjikisht e saktë ndaj problemeve të sigurisë së informacionit fillon me identifikimin e subjekteve të marrëdhënieve të informacionit dhe interesave të këtyre subjekteve që lidhen me përdorimin e sistemeve të informacionit (IS). Kërcënimet e sigurisë së informacionit janë ana tjetër e përdorimit të teknologjisë së informacionit.

Dy pasoja të rëndësishme mund të nxirren nga ky pozicion:

Interpretimi i problemeve të sigurisë së informacionit për kategori të ndryshme subjektesh mund të ndryshojë ndjeshëm. Për ta ilustruar, mjafton të krahasohen organizatat qeveritare të regjimit dhe institucionet arsimore. Në rastin e parë, "le të prishet gjithçka sesa armiku të mësojë të paktën një sekret", në të dytën - "po, ne nuk kemi asnjë sekret, për sa kohë që gjithçka funksionon".

Siguria e informacionit nuk kufizohet vetëm në mbrojtjen kundër aksesit të paautorizuar në informacion, është një koncept thelbësisht më i gjerë. Subjekti i marrëdhënieve të informacionit mund të vuajë (të pësojë humbje dhe / ose të marrë dëm moral) jo vetëm nga aksesi i paautorizuar, por edhe nga një prishje e sistemit që shkaktoi një ndërprerje në punë. Për më tepër, për shumë organizata të hapura (për shembull, ato arsimore), mbrojtja aktuale nga aksesi i paautorizuar në informacion nuk është në radhë të parë për nga rëndësia.

Duke iu rikthyer çështjeve të terminologjisë, vërejmë se termi "siguri kompjuterike" (si ekuivalent ose zëvendësues i sigurisë së informacionit) na duket shumë i ngushtë. Kompjuterët janë vetëm një nga komponentët e sistemeve të informacionit, dhe megjithëse vëmendja jonë do të përqendrohet kryesisht në informacionin që ruhet, përpunohet dhe transmetohet duke përdorur kompjuterë, siguria e tij përcaktohet nga i gjithë grupi i komponentëve dhe, para së gjithash, nga më të dobëtit. lidhje, e cila në shumicën dërrmuese në shumicën e rasteve rezulton të jetë një person (i cili ka shkruar, për shembull, fjalëkalimin e tij në "suva mustardë" të mbërthyer në monitor).

Sipas përkufizimit të sigurisë së informacionit, ajo varet jo vetëm nga kompjuterët, por edhe nga infrastruktura mbështetëse, e cila përfshin energjinë, ujin dhe sistemet e ngrohjes, kondicionerët, komunikimet dhe, natyrisht, personelin e shërbimit. Kjo infrastrukturë ka një vlerë të pavarur, por ne do të na interesojë vetëm se si ndikon në zbatimin e funksioneve që i ngarkon sistemi i informacionit.

Vini re se në përkufizimin e IB, para emrit "dëm" është mbiemri "i papranueshëm". Natyrisht, është e pamundur të sigurohet nga të gjitha llojet e dëmeve, aq më tepër është e pamundur të bëhet në një mënyrë ekonomike të përshtatshme, kur kostoja e pajisjeve dhe masave mbrojtëse nuk e kalon shumën e dëmit të pritshëm. Kjo do të thotë që ju duhet të duroni diçka dhe duhet të mbroni veten vetëm kundër asaj që nuk mund ta duroni në asnjë mënyrë. Ndonjëherë një dëm i tillë i papranueshëm është dëm për shëndetin e njeriut ose mjedisin, por më shpesh pragu i papranueshmërisë ka një shprehje materiale (monetare) dhe qëllimi i mbrojtjes së informacionit është zvogëlimi i sasisë së dëmit në vlera të pranueshme.

Komponentët kryesorë të sigurisë së informacionit

Siguria e informacionit është një fushë e shumëanshme, madje mund të thuhet, një fushë veprimtarie shumëdimensionale në të cilën vetëm një qasje sistematike dhe e integruar mund të sjellë sukses.

Gama e interesave të subjekteve që lidhen me përdorimin e sistemeve të informacionit mund të ndahet në kategoritë e mëposhtme: aksesueshmërinë, integriteti dhe konfidencialiteti burimet e informacionit dhe infrastruktura mbështetëse.

Ndonjëherë komponentët kryesorë të sigurisë së informacionit përfshijnë mbrojtjen nga kopjimi i paautorizuar i informacionit, por, për mendimin tonë, ky është një aspekt shumë specifik me shanse të dyshimta suksesi, kështu që ne nuk do ta veçojmë atë.

Le të sqarojmë konceptet e aksesueshmërisë, integritetit dhe konfidencialitetit.

Disponueshmëria është aftësia për të marrë shërbimin e kërkuar të informacionit në një kohë të arsyeshme. Integriteti nënkupton rëndësinë dhe konsistencën e informacionit, mbrojtjen e tij nga shkatërrimi dhe ndryshimet e paautorizuara.

Së fundi, konfidencialiteti është mbrojtje kundër aksesit të paautorizuar në informacion.

Sistemet e informacionit krijohen (blihen) për të marrë shërbime të caktuara informacioni. Nëse, për një arsye ose një tjetër, bëhet e pamundur ofrimi i këtyre shërbimeve për përdoruesit, kjo padyshim dëmton të gjitha subjektet e marrëdhënieve të informacionit. Prandaj, pa e kundërshtuar aksesueshmërinë në aspekte të tjera, ne e veçojmë atë si elementin më të rëndësishëm të sigurisë së informacionit.

Roli kryesor i aksesit manifestohet veçanërisht qartë në lloje të ndryshme të sistemeve të menaxhimit - prodhim, transport, etj. Pasojat e jashtme më pak dramatike, por edhe shumë të pakëndshme - materiale dhe morale - mund të kenë një mungesë afatgjatë të shërbimeve të informacionit që përdoren nga një numër i madh njerëzish (shitje biletash hekurudhore dhe ajrore, shërbime bankare, etj.).

Integriteti mund të ndahet në statik (kuptohet si pandryshueshmëria e objekteve të informacionit) dhe dinamik (në lidhje me ekzekutimin e saktë të veprimeve komplekse (transaksionet)). Kontrollet dinamike të integritetit përdoren, në veçanti, kur analizohet rrjedha e mesazheve financiare për të zbuluar vjedhjen, rirenditjen ose dyfishimin e mesazheve individuale.

Integriteti rezulton të jetë aspekti më i rëndësishëm i sigurisë së informacionit në rastet kur informacioni shërben si "udhërrëfyes për veprim". Formulimi i barnave, procedurat mjekësore të përshkruara, grupi dhe karakteristikat e përbërësve, rrjedha e procesit teknologjik janë të gjitha shembuj informacioni, cenimi i integritetit të të cilit mund të jetë fjalë për fjalë fatale. Është gjithashtu e pakëndshme të shtrembërosh informacionin zyrtar, qoftë teksti i një ligji apo një faqe në serverin e internetit të një organizate qeveritare. Konfidencialiteti është aspekti më i zhvilluar i sigurisë së informacionit në vendin tonë. Fatkeqësisht, zbatimi praktik i masave për të siguruar konfidencialitetin e sistemeve moderne të informacionit has në vështirësi serioze në Rusi. Së pari, informacioni për kanalet teknike të rrjedhjes së informacionit është i mbyllur, në mënyrë që shumica e përdoruesve të mos kenë mundësinë të kuptojnë rreziqet e mundshme. Së dyti, ka shumë sfida ligjore dhe teknike që i pengojnë kriptografisë me porosi si mjeti kryesor i privatësisë.

Nëse i kthehemi analizës së interesave të kategorive të ndryshme të subjekteve të marrëdhënieve të informacionit, atëherë pothuajse për të gjithë ata që përdorin në të vërtetë IP, aksesueshmëria është në radhë të parë. Integriteti praktikisht nuk është inferior ndaj tij për nga rëndësia - çfarë kuptimi ka një shërbim informacioni nëse përmban informacion të shtrembëruar?

Së fundi, shumë organizata kanë gjithashtu çështje konfidenciale (madje edhe institucionet arsimore të përmendura më sipër përpiqen të mos zbulojnë informacione rreth pagave të punonjësve) dhe përdoruesve individualë (për shembull, fjalëkalimet).

Kërcënimet më të zakonshme:

Njohja e kërcënimeve të mundshme, si dhe dobësive të sigurisë që këto kërcënime zakonisht shfrytëzojnë, është thelbësore për të zgjedhur masat e sigurisë me kosto më efektive.

Përkufizimet dhe kriteret bazë për klasifikimin e kërcënimeve

Kërcënimi- kjo është një mundësi e mundshme për të shkelur sigurinë e informacionit në një mënyrë të caktuar.

Një përpjekje për të zbatuar një kërcënim quhet sulm dhe ai që bën një përpjekje të tillë - ndërhyrës... Ndërhyrës të mundshëm quhen burimet e kërcënimit.

Më shpesh, një kërcënim është pasojë e pranisë së dobësive në mbrojtjen e sistemeve të informacionit (siç është aftësia e personave të paautorizuar për të hyrë në pajisjet kritike ose gabime në softuer).

Intervali kohor nga momenti kur bëhet i mundur përdorimi i një pike të dobët dhe deri në momentin kur hendeku eliminohet quhet dritare rreziku lidhur me këtë cenueshmëri. Për sa kohë që ekziston një dritare rreziku, sulmet e suksesshme ndaj IP janë të mundshme.

Nëse po flasim për gabime të softuerit, dritarja e rrezikut "hapet" me shfaqjen e mjeteve të përdorimit të gabimit dhe eliminohet kur aplikohen arna që e rregullojnë atë.

Për shumicën e dobësive, dritarja e rrezikut ekziston për një kohë relativisht të gjatë (disa ditë, ndonjëherë javë), pasi gjatë kësaj kohe duhet të ndodhin ngjarjet e mëposhtme:

mjetet e shfrytëzimit të hendekut të sigurisë duhet të ndërgjegjësohen;

duhet të lëshohen arna të përshtatshme;

arna duhet të instalohen në IC të mbrojtur.

Ne kemi theksuar tashmë se dobësitë e reja dhe mjetet për t'i shfrytëzuar ato po shfaqen gjatë gjithë kohës; kjo do të thotë, së pari, se ka pothuajse gjithmonë dritare rreziku dhe, së dyti, që dritaret e tilla duhet të monitorohen vazhdimisht dhe se lëshimi dhe aplikimi i arnimeve duhet të kryhet sa më shpejt që të jetë e mundur.

Vini re se disa kërcënime nuk mund të konsiderohen si pasojë e disa gabimeve ose llogaritjeve të gabuara; ato ekzistojnë nga vetë natyra e IP moderne. Për shembull, kërcënimi i një ndërprerjeje të energjisë ose parametrat e tij që shkojnë përtej kufijve të lejuar ekziston për shkak të varësisë së harduerit IC nga furnizimi me energji me cilësi të lartë.

Le të shqyrtojmë kërcënimet më të zakonshme ndaj të cilave ekspozohen sistemet moderne të informacionit. Kuptimi i kërcënimeve të mundshme, si dhe dobësive që këto kërcënime zakonisht shfrytëzojnë, janë thelbësore për të zgjedhur masat e sigurisë me kosto më efektive. Ekzistojnë shumë mite në fushën e teknologjisë së informacionit (kujtoni të njëjtin "Problem 2000"), kështu që injoranca në këtë rast çon në tejkalime të kostove dhe, akoma më keq, në përqendrimin e burimeve atje ku ato nuk janë veçanërisht të nevojshme, duke dobësuar realisht drejtime të cenueshme.

Le të theksojmë se vetë koncepti i "kërcënimit" shpesh interpretohet ndryshe në situata të ndryshme. Për shembull, për një organizatë thelbësisht të hapur, kërcënimet e konfidencialitetit thjesht mund të mos ekzistojnë - i gjithë informacioni konsiderohet i disponueshëm publikisht; megjithatë, në shumicën e rasteve, aksesi i paligjshëm duket të jetë një kërcënim serioz. Me fjalë të tjera, kërcënimet, si çdo gjë tjetër në sigurinë e informacionit, varen nga interesat e subjekteve të marrëdhënieve të informacionit (dhe nga çfarë lloj dëmi është i papranueshëm për ta).

Ne do të përpiqemi ta shikojmë temën nga këndvështrimi i një organizate tipike (sipas mendimit tonë). Megjithatë, shumë kërcënime (për shembull, zjarri) janë të rrezikshme për të gjithë.

Kërcënimet mund të klasifikohen sipas disa kritereve:

në aspektin e sigurisë së informacionit (disponueshmëria, integriteti, konfidencialiteti), ndaj të cilit drejtohen në radhë të parë kërcënimet;

nga komponentët e sistemeve të informacionit, të cilët janë në shënjestër të kërcënimeve (të dhënat, programet, hardueri, infrastruktura mbështetëse);

me metodën e zbatimit (veprime aksidentale / të qëllimshme të një natyre natyrore / të krijuar nga njeriu);

nga vendndodhja e burimit të kërcënimeve (brenda / jashtë IS-it të konsideruar).

Si kriter kryesor, ne do të përdorim të parën (përsa i përket sigurisë së informacionit), duke përfshirë pjesën tjetër, nëse është e nevojshme.

Kërcënimet kryesore të privatësisë

Informacioni konfidencial mund të ndahet në informacion mbi subjektin dhe shërbimin. Informacioni i shërbimit (për shembull, fjalëkalimet e përdoruesit) nuk i përket një fushe specifike lëndore, ai luan një rol teknik në sistemin e informacionit, por zbulimi i tij është veçanërisht i rrezikshëm, pasi është i mbushur me akses të paautorizuar në të gjitha informacionet, përfshirë informacionin e subjektit.

Edhe nëse informacioni ruhet në një kompjuter ose synohet për përdorim kompjuterik, kërcënimet ndaj konfidencialitetit të tij mund të jenë jokompjuterike dhe përgjithësisht joteknike në natyrë.

Shumë njerëz duhet të veprojnë si përdorues jo të një, por të një numri sistemesh (shërbimesh informacioni). Nëse fjalëkalimet e ripërdorshme ose informacione të tjera konfidenciale përdoren për të hyrë në sisteme të tilla, atëherë ka shumë të ngjarë që këto të dhëna të ruhen jo vetëm në kokë, por edhe në një fletore ose në fletë letre që përdoruesi shpesh i lë në desktop, apo edhe thjesht humbet. Dhe çështja këtu nuk është në çorganizimin e njerëzve, por në papërshtatshmërinë fillestare të skemës së fjalëkalimit. Është e pamundur të mbani mend shumë fjalëkalime të ndryshme; Rekomandimet për ndryshimin e tyre të rregullt (nëse është e mundur - i shpeshtë) vetëm sa e përkeqësojnë situatën, duke detyruar përdorimin e skemave të thjeshta të alternimit ose madje përpiqen ta reduktojnë çështjen në dy ose tre fjalëkalime të lehta për t'u mbajtur mend (dhe po aq lehtësisht të mendueshme).

Klasa e përshkruar e dobësive mund të quhet vendosja e të dhënave konfidenciale në një mjedis ku ato nuk ofrohen (dhe shpesh nuk mund të sigurohen) me mbrojtjen e nevojshme. Kërcënimi është se dikush nuk do të refuzojë të mësojë sekretet që ata vetë po kërkojnë. Përveç fjalëkalimeve të ruajtura në fletoret e përdoruesve, kjo klasë përfshin transmetimin e të dhënave konfidenciale në tekst të qartë (në një bisedë, në një letër, në rrjet), gjë që bën të mundur përgjimin e të dhënave. Mjete të ndryshme teknike mund të përdoren për një sulm (përgjim ose përgjim bisedash, përgjime pasive etj.), por ideja është e njëjtë - të aksesohen të dhënat në momentin kur ato janë më pak të mbrojtura.

Kërcënimi i përgjimit të të dhënave duhet të merret parasysh jo vetëm gjatë konfigurimit fillestar të IS, por gjithashtu, gjë që është shumë e rëndësishme, me të gjitha ndryshimet. Një kërcënim shumë i rrezikshëm janë ... ekspozitat, të cilave shumë organizata, pa hezitim, dërgojnë pajisje nga rrjeti i prodhimit, me të gjitha të dhënat e ruajtura në to. Fjalëkalimet mbeten të njëjta, me akses në distancë ato vazhdojnë të transmetohen në tekst të qartë. Kjo është e keqe edhe brenda rrjetit të sigurt të një organizate; në rrjetin e bashkuar të ekspozitës - kjo është një provë shumë e ashpër e ndershmërisë së të gjithë pjesëmarrësve.

Një shembull tjetër i një ndryshimi që shpesh anashkalohet është ruajtja e të dhënave në media rezervë. Sistemet e avancuara të kontrollit të aksesit përdoren për të mbrojtur të dhënat në mediat kryesore të ruajtjes; Kopjet shpesh mbahen vetëm në dollapë dhe shumë mund t'i qasen.

Përgjimi i të dhënave është një kërcënim shumë serioz dhe nëse konfidencialiteti është vërtet kritik dhe të dhënat transmetohen në shumë kanale, mund të jetë shumë e vështirë dhe e kushtueshme për ta mbrojtur atë. Mjetet teknike të përgjimit janë të zhvilluara mirë, të arritshme, të lehta për t'u përdorur dhe kushdo mund t'i instalojë ato, për shembull, në një rrjet kabllor, kështu që ky kërcënim duhet të merret parasysh jo vetëm në lidhje me komunikimet e jashtme, por edhe të brendshme.

Vjedhja e harduerit është një kërcënim jo vetëm për mediat rezervë, por edhe për kompjuterët, veçanërisht laptopët. Laptopët shpesh lihen pa mbikëqyrje në punë ose në makinë, ndonjëherë thjesht humbasin.

Kërcënimet e rrezikshme jo-teknike ndaj konfidencialitetit janë metoda të ndikimit moral dhe psikologjik, si p.sh maskaradë - kryerja e veprimeve nën maskën e autorizimit për të hyrë në të dhëna (shih, për shembull, artikullin e Ayre Winkler "Mission: Spying" në Jet Info, 1996, 19).

Kërcënimet e pakëndshme nga të cilat është e vështirë të mbrohen përfshijnë shpërdorimi i autoritetit. Në shumë lloje sistemesh, një përdorues i privilegjuar (për shembull, një administrator i sistemit) është në gjendje të lexojë çdo skedar (të pakriptuar), të hyjë në postën e çdo përdoruesi, etj. Një shembull tjetër është dëmtimi i shërbimit. Në mënyrë tipike, një inxhinier shërbimi ka akses të pakufizuar në pajisje dhe është në gjendje të anashkalojë mekanizmat e mbrojtjes së softuerit.

Këto janë kërcënimet kryesore që shkaktojnë dëmin më të madh për subjektet e marrëdhënieve të informacionit.

Themeluesi i kibernetikës, Norbert Wiener, besonte se informacioni ka karakteristika unike dhe nuk mund t'i atribuohet as energjisë as materies. Statusi i veçantë i informacionit si fenomen ka krijuar shumë përkufizime.

Në fjalorin e standardit ISO / IEC 2382: 2015 "Teknologjia e informacionit" jepet interpretimi i mëposhtëm:

Informacioni (në fushën e përpunimit të informacionit)- çdo e dhënë e paraqitur në formë elektronike, e shkruar në letër, e shprehur në një mbledhje ose në çdo mjet tjetër, e përdorur nga një institucion financiar për marrjen e vendimeve, lëvizjen e fondeve, vendosjen e tarifave, dhënien e kredive, përpunimin e transaksioneve etj., përfshirë sistemin e përpunimit të komponentëve software.

Për të zhvilluar konceptin e sigurisë së informacionit (IS), informacioni kuptohet si informacion që është i disponueshëm për mbledhje, ruajtje, përpunim (redaktim, transformim), përdorim dhe transmetim në mënyra të ndryshme, duke përfshirë në rrjetet kompjuterike dhe sisteme të tjera informacioni.

Një informacion i tillë është me vlerë të lartë dhe mund të bëhet objekt cenimi nga palët e treta. Dëshira për të mbrojtur informacionin nga kërcënimet qëndron në themel të krijimit të sistemeve të sigurisë së informacionit.

Baza ligjore

Në dhjetor 2017, Rusia miratoi Doktrinën e Sigurisë së Informacionit. Në dokument, IS përkufizohet si gjendja e mbrojtjes së interesave kombëtare në sferën e informacionit. Në këtë rast, interesat kombëtare kuptohen si tërësia e interesave të shoqërisë, individit dhe shtetit, çdo grup interesash është i nevojshëm për funksionimin e qëndrueshëm të shoqërisë.

Doktrina është një dokument koncepti. Marrëdhëniet juridike në lidhje me sigurimin e sigurisë së informacionit rregullohen nga ligjet federale "Për sekretet shtetërore", "Për informacionin", "Për mbrojtjen e të dhënave personale" dhe të tjera. Mbi bazën e akteve normative themelore, hartohen dekrete qeveritare dhe akte normative të departamenteve për çështje private të mbrojtjes së informacionit.

Përkufizimi i sigurisë së informacionit

Para zhvillimit të një strategjie të sigurisë së informacionit, është e nevojshme të miratohet një përkufizim bazë i vetë konceptit, i cili do të lejojë përdorimin e një grupi të caktuar metodash dhe metodash mbrojtjeje.

Praktikuesit e industrisë sugjerojnë që siguria e informacionit të kuptohet si një gjendje e qëndrueshme e sigurisë së informacionit, bartësve dhe infrastrukturës së tij, e cila siguron integritetin dhe stabilitetin e proceseve të lidhura me informacionin kundër ndikimeve të qëllimshme ose të paqëllimshme të natyrës natyrore dhe artificiale. Ndikimet klasifikohen si kërcënime të IS që mund të dëmtojnë subjektet e marrëdhënieve të informacionit.

Kështu, mbrojtja e informacionit do të nënkuptojë një kompleks masash ligjore, administrative, organizative dhe teknike që synojnë parandalimin e kërcënimeve reale ose të perceptuara të sigurisë së informacionit, si dhe eliminimin e pasojave të incidenteve. Vazhdimësia e procesit të mbrojtjes së informacionit duhet të garantojë luftën kundër kërcënimeve në të gjitha fazat e ciklit të informacionit: në procesin e mbledhjes, ruajtjes, përpunimit, përdorimit dhe transmetimit të informacionit.

Siguria e informacionit në këtë kuptim bëhet një nga karakteristikat e performancës së sistemit. Në çdo moment në kohë, sistemi duhet të ketë një nivel të matshëm sigurie, dhe garantimi i sigurisë së sistemit duhet të jetë një proces i vazhdueshëm që kryhet në të gjitha intervalet kohore gjatë jetës së sistemit.

Në teorinë e sigurisë së informacionit, subjektet e sigurisë së informacionit kuptohen si pronarë dhe përdorues të informacionit, dhe jo vetëm përdorues në mënyrë të vazhdueshme (punonjës), por edhe përdorues që aksesojnë bazat e të dhënave në raste të izoluara, për shembull, agjencitë qeveritare që kërkojnë informacion. Në një numër rastesh, për shembull, në standardet e sigurisë së informacionit bankar, pronarët e informacionit përfshijnë aksionarët - persona juridikë që zotërojnë të dhëna të caktuara.

Infrastruktura mbështetëse, nga pikëpamja e bazave të sigurisë së informacionit, përfshin kompjuterët, rrjetet, pajisjet e telekomunikacionit, ambientet, sistemet e mbështetjes së jetës dhe personelin. Gjatë analizimit të sigurisë, është e nevojshme të studiohen të gjithë elementët e sistemeve, duke i kushtuar vëmendje të veçantë personelit si bartës i shumicës së kërcënimeve të brendshme.

Për menaxhimin e sigurisë së informacionit dhe vlerësimin e dëmit, përdoret karakteristika e pranueshmërisë, kështu që dëmi përcaktohet si i pranueshëm ose i papranueshëm. Është e dobishme që çdo kompani të vendosë kriteret e veta për pranueshmërinë e dëmit në formë monetare ose, për shembull, në formën e dëmtimit të pranueshëm të reputacionit. Në institucionet publike mund të përvetësohen edhe karakteristika të tjera, për shembull, ndikimi në procesin e menaxhimit ose pasqyrimi i shkallës së dëmtimit të jetës dhe shëndetit të qytetarëve. Kriteret e materialitetit, rëndësisë dhe vlerës së informacionit mund të ndryshojnë gjatë ciklit jetësor të grupit të informacionit, prandaj ato duhet të rishikohen në kohën e duhur.

Një kërcënim informacioni në kuptimin e ngushtë është një mundësi objektive për të ndikuar në objektin e mbrojtjes, e cila mund të çojë në rrjedhje, vjedhje, zbulim ose shpërndarje informacioni. Në një kuptim më të gjerë, kërcënimet e sigurisë së informacionit do të përfshijnë ndikime të drejtuara informative, qëllimi i të cilave është dëmtimi i shtetit, organizatës dhe individit. Kërcënime të tilla përfshijnë, për shembull, shpifje, keqinterpretim të qëllimshëm dhe reklama të papërshtatshme.

Tre pyetjet kryesore të konceptit të sigurisë së informacionit për çdo organizatë

Çfarë duhet mbrojtur?

Cilat lloje të kërcënimeve mbizotërojnë: të jashtëm apo të brendshëm?

Si të mbroheni, me çfarë metodash dhe mjetesh?

Sistemi IS

Sistemi i sigurisë së informacionit për një kompani - një person juridik përfshin tre grupe të koncepteve themelore: integritetin, disponueshmërinë dhe konfidencialitetin. Nën secilin janë koncepte me shumë karakteristika.

Nën integriteti nënkupton rezistencën e bazave të të dhënave, grupeve të tjera të informacionit ndaj shkatërrimit aksidental ose të qëllimshëm, ndryshimeve të paautorizuara. Integriteti mund të shihet si:

• statike, e shprehur në pandryshueshmërinë, autenticitetin e objekteve të informacionit ndaj atyre objekteve që janë krijuar sipas një detyre teknike specifike dhe përmbajnë sasinë e informacionit të kërkuar nga përdoruesit për veprimtarinë e tyre kryesore, në konfigurimin dhe sekuencën e kërkuar;
• dinamike, që nënkupton ekzekutimin e saktë të veprimeve ose transaksioneve komplekse, të cilat nuk dëmtojnë sigurinë e informacionit.

Për të kontrolluar integritetin dinamik, përdoren mjete të posaçme teknike që analizojnë rrjedhën e informacionit, për shembull, ato financiare, dhe identifikojnë rastet e vjedhjes, dyfishimit, ridrejtimit dhe rirenditjes së mesazheve. Integriteti si një karakteristikë kryesore kërkohet kur vendimet merren në bazë të informacionit të ardhur ose të disponueshëm për të ndërmarrë veprime. Shkelja e rendit të komandave ose e sekuencës së veprimeve mund të shkaktojë dëme të mëdha në rastin e përshkrimit të proceseve teknologjike, kodeve të programit dhe në situata të tjera të ngjashme.

Disponueshmëriaështë një pronë që lejon subjektet e autorizuara të aksesojnë ose të shkëmbejnë të dhëna me interes për ta. Kërkesa kryesore e legjitimimit ose autorizimit të subjekteve bën të mundur krijimin e niveleve të ndryshme të aksesit. Refuzimi i sistemit për të dhënë informacion bëhet problem për çdo organizatë apo grup përdoruesish. Një shembull është paarritshmëria e vendeve të shërbimit publik në rast të një dështimi të sistemit, gjë që privon shumë përdorues nga mundësia për të marrë shërbimet ose informacionin e nevojshëm.

Konfidencialiteti nënkupton pronësinë e informacionit për t'u vënë në dispozicion të atyre përdoruesve: subjekteve dhe proceseve që fillimisht u lejohet aksesi. Shumica e kompanive dhe organizatave e perceptojnë konfidencialitetin si një element kyç të sigurisë së informacionit, por në praktikë është e vështirë të zbatohet plotësisht. Jo të gjitha të dhënat për kanalet ekzistuese të rrjedhjes së informacionit janë të disponueshme për autorët e koncepteve të sigurisë së informacionit, dhe shumë mjete teknike të mbrojtjes, përfshirë ato kriptografike, nuk mund të blihen lirisht, në disa raste qarkullimi është i kufizuar.

Vetitë e barabarta të sigurisë së informacionit kanë vlera të ndryshme për përdoruesit, pra dy kategoritë ekstreme në zhvillimin e koncepteve të mbrojtjes së të dhënave. Për kompanitë apo organizatat që lidhen me sekretet shtetërore, konfidencialiteti do të bëhet një parametër kyç, për shërbimet publike apo institucionet arsimore parametri më i rëndësishëm është aksesueshmëria.

Përmbledhje e Sigurisë së Informacionit

Një koleksion mujor i botimeve të dobishme, lajmeve dhe ngjarjeve interesante nga bota e sigurisë së informacionit. Përvoja e ekspertit dhe rastet reale nga praktika SearchInform.

Objektet e mbrojtura në konceptet e sigurisë së informacionit

Dallimi në subjekte shkakton dallime në objektet e mbrojtjes. Grupet kryesore të objekteve të mbrojtura:

• burime informacioni të të gjitha llojeve (një burim kuptohet si një objekt material: një hard disk, një medium tjetër, një dokument me të dhëna dhe detaje që ndihmojnë në identifikimin e tij dhe referimin e tij tek një grup i caktuar subjektesh);
• të drejtat e qytetarëve, organizatave dhe shtetit për të aksesuar informacionin, aftësia për ta marrë atë brenda kornizës së ligjit; aksesi mund të kufizohet vetëm me akte ligjore rregullatore; organizimi i çdo pengese që cenon të drejtat e njeriut është i papranueshëm;
• një sistem për krijimin, përdorimin dhe shpërndarjen e të dhënave (sisteme dhe teknologji, arkiva, biblioteka, dokumente rregullatore);
• sistemi për formimin e vetëdijes publike (media, burimet e internetit, institucionet sociale, institucionet arsimore).

Çdo objekt merr një sistem të veçantë masash për të mbrojtur kundër kërcënimeve ndaj sigurisë së informacionit dhe rendit publik. Sigurimi i sigurisë së informacionit në çdo rast duhet të bazohet në një qasje sistematike që merr parasysh specifikat e objektit.

Kategoritë dhe mjetet e ruajtjes

Sistemi ligjor rus, praktika e zbatimit të ligjit dhe marrëdhëniet shoqërore të vendosura klasifikojnë informacionin sipas kritereve të aksesueshmërisë. Kjo ju lejon të sqaroni parametrat thelbësorë të nevojshëm për të siguruar sigurinë e informacionit:

• informacion, aksesi në të cilin është i kufizuar në bazë të kërkesave ligjore (sekret shtetëror, sekrete tregtare, të dhëna personale);
• informacion në domenin publik;
• informacion i disponueshëm publikisht që ofrohet në kushte të caktuara: informacione me pagesë ose të dhëna për të cilat duhet të lëshoni një pranim, për shembull, një kartë bibliotekë;
• informacione të rrezikshme, të dëmshme, të rreme dhe lloje të tjera, qarkullimi dhe shpërndarja e të cilave është e kufizuar ose nga kërkesat e ligjeve ose nga standardet e korporatës.

Informacioni nga grupi i parë ka dy mënyra mbrojtjeje. Sekret shtetëror Sipas ligjit, ky është informacion i mbrojtur nga shteti, shpërndarja falas e të cilave mund të dëmtojë sigurinë e vendit. Bëhet fjalë për të dhëna në fushën e ushtrisë, politikës së jashtme, inteligjencës, kundërzbulimit dhe veprimtarive ekonomike të shtetit. Pronari i këtij grupi të dhënash është vetë shteti. Organet e autorizuara për të marrë masa për mbrojtjen e sekreteve shtetërore janë Ministria e Mbrojtjes, Shërbimi Federal i Sigurisë (FSB), Shërbimi i Inteligjencës së Jashtme dhe Shërbimi Federal për Kontrollin Teknik dhe Eksport (FSTEC).

Informacion konfidencial- një objekt rregullimi më i shumëanshëm. Lista e informacioneve që mund të përbëjnë informacion konfidencial gjendet në dekretin presidencial nr. 188 "Për miratimin e listës së informacionit konfidencial". Këto janë të dhëna personale; fshehtësia e hetimeve dhe procedurave ligjore; sekret zyrtar; sekret profesional (mjekësor, noterial, avokat); sekret tregtar; informacion në lidhje me shpikjet dhe modelet e përdorimit; informacione që gjenden në dosjet personale të të dënuarve, si dhe informacione për ekzekutimin e detyrueshëm të akteve gjyqësore.

Të dhënat personale ekzistojnë në mënyrë të hapur dhe konfidenciale. Një pjesë e të dhënave personale të hapura dhe të aksesueshme për të gjithë përdoruesit përfshin emrin, mbiemrin, patronimin. Sipas FZ-152 "Për të dhënat personale", subjektet e të dhënave personale kanë të drejtë të:

• vetëvendosje informative;
• për të hyrë në të dhënat personale personale dhe për të bërë ndryshime në to;
• për të bllokuar të dhënat personale dhe qasjen në to;
• të apelojë kundër veprimeve të paligjshme të palëve të treta të kryera në lidhje me të dhënat personale;
• për të kompensuar dëmin e shkaktuar.

E drejta për këtë parashikohet në rregulloret për organet shtetërore, ligjet federale, licencat për të punuar me të dhënat personale të lëshuara nga Roskomnadzor ose FSTEC. Kompanitë që punojnë në mënyrë profesionale me të dhënat personale të një game të gjerë njerëzish, për shembull, operatorët e telekomit, duhet të hyjnë në regjistrin, i cili mbahet nga Roskomnadzor.

Një objekt i veçantë në teorinë dhe praktikën e sigurisë së informacionit janë transportuesit e informacionit, qasja në të cilat është e hapur dhe e mbyllur. Kur zhvilloni një koncept të sigurisë së informacionit, metodat e mbrojtjes zgjidhen në varësi të llojit të medias. Media kryesore e ruajtjes:

• media e shkruar dhe elektronike, rrjetet sociale, burime të tjera në internet;
• punonjësit e organizatës që kanë akses në informacion në bazë të miqësisë, familjes, lidhjeve profesionale;
• mjete komunikimi që transmetojnë ose ruajnë informacione: telefonat, centralet automatike telefonike, pajisjet e tjera të telekomunikacionit;
• dokumente të të gjitha llojeve: personale, zyrtare, qeveritare;
• softueri si një objekt i pavarur informacioni, veçanërisht nëse versioni i tij është modifikuar posaçërisht për një kompani specifike;
• media elektronike të ruajtjes që përpunojnë të dhënat në mënyrë automatike.

Me qëllim të zhvillimit të koncepteve të sigurisë së informacionit, mjetet e sigurisë së informacionit zakonisht ndahen në normative (joformale) dhe teknike (formale).

Mjetet joformale të mbrojtjes janë dokumentet, rregullat, ngjarjet, mjetet formale janë mjete teknike dhe softuer të veçantë. Përcaktimi ndihmon në shpërndarjen e fushave të përgjegjësisë gjatë krijimit të sistemeve të sigurisë së informacionit: me menaxhimin e përgjithshëm të mbrojtjes, personeli administrativ zbaton metodat normative dhe specialistët e TI-së, përkatësisht, ato teknike.

Bazat e sigurisë së informacionit nënkuptojnë përcaktimin e kompetencave jo vetëm në drejtim të përdorimit të informacionit, por edhe në drejtim të punës me mbrojtjen e tij. Ky përcaktim i pushteteve kërkon gjithashtu disa nivele kontrolli.

Mjetet juridike formale

Një gamë e gjerë mjetesh teknike të sigurisë së informacionit përfshin:

Pajisjet mbrojtëse fizike. Këta janë mekanizma mekanikë, elektrikë, elektronikë që funksionojnë në mënyrë të pavarur nga sistemet e informacionit dhe krijojnë pengesa për aksesin në to. Bravat, duke përfshirë ato elektronike, ekranet, blindat janë krijuar për të krijuar pengesa për kontaktin e faktorëve destabilizues me sistemet. Grupi plotësohet nga sisteme sigurie, për shembull, kamera video, regjistrues video, sensorë që zbulojnë lëvizjen ose tejkalimin e shkallës së rrezatimit elektromagnetik në zonën e vendndodhjes së mjeteve teknike të marrjes së informacionit, pajisjeve të ngulitura.

Mbrojtja e harduerit. Këto janë pajisje elektrike, elektronike, optike, lazer dhe pajisje të tjera që janë të ngulitura në sistemet e informacionit dhe telekomunikacionit. Para futjes së harduerit në sistemet e informacionit, është e nevojshme të sigurohet përputhshmëria.

Software janë programe të thjeshta dhe sistematike, komplekse të krijuara për të zgjidhur probleme specifike dhe komplekse që lidhen me sigurinë e informacionit. Një shembull i zgjidhjeve komplekse janë gjithashtu: të parat shërbejnë për të parandaluar rrjedhjet, riformatimin e informacionit dhe ridrejtimin e rrjedhave të informacionit, të dytat ofrojnë mbrojtje kundër incidenteve në fushën e sigurisë së informacionit. Softueri kërkon fuqinë e pajisjeve harduerike dhe duhet të sigurohen rezerva shtesë gjatë instalimit.

TE mjete specifike siguria e informacionit përfshin algoritme të ndryshme kriptografike që kodojnë informacionin në disk dhe ridrejtohen përmes kanaleve të jashtme të komunikimit. Transformimi i informacionit mund të ndodhë duke përdorur metodat e softuerit dhe harduerit që funksionojnë në sistemet e informacionit të korporatës.

Të gjitha mjetet që garantojnë sigurinë e informacionit duhet të përdoren të kombinuara, pas një vlerësimi paraprak të vlerës së informacionit dhe krahasimit të tij me koston e burimeve të shpenzuara për sigurinë. Prandaj, propozimet për përdorimin e fondeve duhet të formulohen tashmë në fazën e zhvillimit të sistemeve, dhe miratimi duhet të bëhet në nivelin e menaxhmentit që është përgjegjës për miratimin e buxheteve.

Për të garantuar sigurinë, është e nevojshme të monitorohen të gjitha zhvillimet moderne, mjetet e mbrojtjes së softuerit dhe harduerit, kërcënimet dhe të bëhen menjëherë ndryshime në sistemet tona të mbrojtjes kundër aksesit të paautorizuar. Vetëm përshtatshmëria dhe shpejtësia e reagimit ndaj kërcënimeve do të ndihmojë në arritjen e një niveli të lartë të konfidencialitetit në punën e kompanisë.

Mjetet juridike joformale

Mjetet juridike joformale grupohen në normative, administrative dhe morale-etike. Në nivelin e parë të mbrojtjes janë mjetet rregullatore që rregullojnë sigurinë e informacionit si një proces në aktivitetet e organizatës.

• Mjetet rregullatore

Në praktikën botërore, kur zhvillojnë mjete rregullatore, ato udhëhiqen nga standardet e mbrojtjes së IS, kryesore është ISO / IEC 27000. Standardi u krijua nga dy organizata:

• ISO - Komisioni Ndërkombëtar për Standardizim, i cili zhvillon dhe miraton shumicën e metodologjive të njohura ndërkombëtarisht për certifikimin e cilësisë së prodhimit dhe proceseve të menaxhimit;
• IEC - Komisioni Ndërkombëtar i Energjisë, i cili futi në standard të kuptuarit e tij për sistemet e sigurisë së informacionit, mjetet dhe metodat për ta siguruar atë

Versioni aktual i ISO / IEC 27000-2016 ofron standarde të gatshme dhe metoda të provuara të nevojshme për zbatimin e sigurisë së informacionit. Sipas autorëve të metodave, baza e sigurisë së informacionit qëndron në konsistencën dhe zbatimin konsistent të të gjitha fazave nga zhvillimi në pas-kontroll.

Për të marrë një certifikatë që konfirmon pajtueshmërinë me standardet e sigurisë së informacionit, është e nevojshme të zbatohen plotësisht të gjitha teknikat e rekomanduara. Nëse nuk ka nevojë për të marrë një certifikatë, lejohet të pranohet ndonjë nga versionet e mëparshme të standardit, duke filluar me ISO / IEC 27000-2002, ose GOST ruse, të cilat janë të natyrës këshilluese, si bazë për zhvillimin e sistemet e tyre të sigurisë së informacionit.

Bazuar në rezultatet e studimit të standardit, janë duke u zhvilluar dy dokumente që kanë të bëjnë me sigurinë e informacionit. Kryesor, por më pak formal, është koncepti i sigurisë së informacionit të një ndërmarrje, i cili përcakton masat dhe metodat e zbatimit të një sistemi të sigurisë së informacionit për sistemet e informacionit të një organizate. Dokumenti i dytë që duhet të respektojnë të gjithë punonjësit e kompanisë është rregullorja e sigurisë së informacionit e miratuar në nivel bordi drejtues apo organi ekzekutiv.

Përveç pozicionit në nivel kompanie, duhet të zhvillohen lista të informacionit që përbëjnë sekret tregtar, anekset e kontratave të punës, sigurimin e përgjegjësisë për zbulimin e të dhënave konfidenciale, standarde dhe metoda të tjera. Rregullat dhe rregulloret e brendshme duhet të përmbajnë mekanizma zbatues dhe masa të përgjegjësisë. Më shpesh, masat kanë karakter disiplinor dhe shkelësi duhet të jetë i përgatitur për faktin se shkelja e regjimit të sekretit tregtar do të pasohet me sanksione të konsiderueshme, deri në largim nga puna.

• Masat organizative dhe administrative

Si pjesë e aktiviteteve administrative për mbrojtjen e sigurisë së informacionit për personelin e sigurisë, ka hapësirë ​​për kreativitet. Këto janë zgjidhje arkitekturore dhe planifikuese që ndihmojnë në mbrojtjen e dhomave të mbledhjeve dhe zyrave të menaxhimit nga përgjimet dhe vendosjen e niveleve të ndryshme të aksesit në informacion. Masa të rëndësishme organizative do të jenë certifikimi i aktiviteteve të kompanisë në përputhje me standardet ISO/IEC 27000, certifikimi i sistemeve individuale harduerike dhe softuerike, certifikimi i subjekteve dhe objekteve për përputhjen me kërkesat e nevojshme të sigurisë dhe marrja e licencave të nevojshme për të punuar me grupe të mbrojtura të informacion.

Nga pikëpamja e rregullimit të aktiviteteve të personelit, do të jetë e rëndësishme të formulohet një sistem kërkesash për akses në internet, postë elektronike të jashtme dhe burime të tjera. Një element më vete do të jetë marrja e një nënshkrimi elektronik dixhital për të rritur sigurinë e informacionit financiar dhe informacioneve të tjera që u transmetohen agjencive qeveritare nëpërmjet postës elektronike.

• Masat morale dhe etike

Masat morale dhe etike përcaktojnë qëndrimin personal të një personi ndaj informacionit konfidencial ose informacionit të kufizuar në qarkullim. Rritja e nivelit të njohurive të punonjësve në lidhje me ndikimin e kërcënimeve në aktivitetet e kompanisë ndikon në shkallën e ndërgjegjes dhe përgjegjësisë së punonjësve. Për të luftuar shkeljet e regjimit të informacionit, duke përfshirë, për shembull, transferimin e fjalëkalimeve, trajtimin e pakujdesshëm të mediave, shpërndarjen e të dhënave konfidenciale në biseda private, kërkohet të fokusohet në ndërgjegjen personale të punonjësit. Do të jetë e dobishme të krijohen tregues të efektivitetit të personelit, të cilat do të varen nga qëndrimi ndaj sistemit të sigurisë së informacionit të korporatës.

Infografika përdor të dhëna nga hulumtimi ynë.SearchInform.

Metodat e reja të përpunimit dhe transmetimit të të dhënave kontribuojnë në shfaqjen e kërcënimeve të reja që përmirësojnë gjasat e shtrembërimit, përgjimit, etj. të informacionit. Prandaj, sot zbatimi i sigurisë së informacionit të kompjuterëve në rrjet është drejtimi kryesor në IT. Një dokument që mbështet ligjshmërinë e veprimeve dhe përcaktimin e një kuptimi të unifikuar të të gjitha aspekteve - GOST R 50922-96.

Më poshtë do të shqyrtojmë konceptin bazë në këtë drejtim:

• Mbrojtja e informacionit është drejtimi i parandalimit të kërcënimeve ndaj informacionit.
• Një objekt i mbrojtur është informacion ose një medium me informacion që duhet të mbrohet.
• Qëllimi i mbrojtjes është një rezultat i caktuar pas një periudhe të caktuar të mbrojtjes së këtij informacioni.
• Efikasiteti i mbrojtjes së informacionit - treguesi tregon se sa afër është rezultati real me rezultatin e caktuar.
• Mbrojtja e informacionit nga rrjedhja - puna për të parandaluar transmetimin e pakontrolluar të të dhënave të mbrojtura nga zbulimi ose
• Sistemi i sigurisë së informacionit - një grup komponentësh që zbatohen në formën e teknologjisë, softuerit, njerëzve, ligjeve, etj., të cilat janë të organizuara dhe funksionojnë në një sistem të vetëm dhe kanë për qëllim mbrojtjen e informacionit.
• Subjekti i aksesit në informacion është një pjesëmarrës në marrëdhëniet juridike në proceset e informacionit
• Pronari i informacionit - një autor i cili ka të drejta të plota për këtë informacion brenda kornizës së ligjeve
• Pronari i informacionit - subjekti i cili me urdhër të pronarit përdor informacionin dhe e zbaton atë në kompetenca të caktuara
• E drejta për të hyrë në informacion është një grup rregullash për aksesimin e të dhënave të përcaktuara nga dokumentet ose nga pronari / pronari
• Qasje e autorizuar - akses që nuk shkel disa rregulla të kontrollit të aksesit
• Qasje e paautorizuar - shkelje e rregullave të kontrollit të aksesit. Procesi ose subjekti që zbaton SKZH-në është shkelës
• Identifikimi i subjektit është një algoritëm për njohjen e një subjekti sipas identifikuesit
• Autorizimi i subjektit është një algoritëm për dhënien e të drejtave subjektit pas vërtetimit dhe identifikimit të suksesshëm në sistem
• Dobësia e sistemit kompjuterik është një aspekt i komponentëve të sistemit që çojnë në
• Një sulm në një sistem kompjuterik (CS) është një kërkim dhe zbatim i dobësive të sistemit nga një sulmues
• Një sistem i mbrojtur është një sistem ku dobësitë e sistemit mbyllen me sukses dhe rreziqet e kërcënimit reduktohen
• Metodat dhe metodat e mbrojtjes së informacionit - rregullat dhe procedura për zbatimin e mjeteve për mbrojtje
• Një politikë sigurie është një grup rregullash, normash dhe dokumentesh për zbatimin e mbrojtjes së një sistemi informacioni në një ndërmarrje.

Nën Siguria e informacionit të përcaktojë sigurinë e të dhënave nga veprimet e paligjshme me të, si dhe funksionimin e sistemit të informacionit dhe përbërësve të tij. Sot, AS (sistemi i automatizuar) i përpunimit të të dhënave është një sistem i tërë, i cili përbëhet nga përbërës të një autonomie të caktuar. Çdo komponent mund të ndikohet keq. Elementet e folësit mund të kategorizohen në grupe:

• Komponentët e harduerit - kompjuterët dhe pjesët e tyre (monitorë, printera, kabllo komunikimi, etj.)
• Software - programe, OS, etj.
• Personeli - njerëzit që janë të lidhur drejtpërdrejt me sistemin e informacionit (punonjës, etj.)
• Të dhëna - informacione që janë në një sistem të mbyllur. Ky është informacion i shtypur, dhe revista, media, etj.

Siguria e informacionit zbatohet përmes aspekteve të mëposhtme: integriteti, konfidencialiteti dhe disponueshmëria. Konfidencialiteti i të dhënaveËshtë një aspekt informacioni që përcakton shkallën e fshehtësisë së tij nga palët e treta. Informacioni konfidencial duhet të jetë i njohur vetëm për subjektet e autorizuara të sistemit. Integriteti i informacionit përcakton aspektin e informacionit në ruajtjen e strukturës/përmbajtjes së tij gjatë transmetimit apo ruajtjes. Arritja e sigurisë së këtij aspekti është e rëndësishme në një mjedis ku ka një probabilitet të lartë të shtrembërimit ose efekteve të tjera në shkatërrimin e integritetit. Besueshmëria e informacionit konsiston në anëtarësimin e rreptë të vlerës fillestare, gjatë transmetimit dhe ruajtjes.

Rëndësia juridike e të dhënave përcaktohet nga dokumenti që është bartës, si dhe ka fuqi juridike. Disponueshmëria e të dhënave përcakton marrjen nga subjekti i informacionit duke përdorur mjete teknike.