GOST R ISO/IEC 17799:2005 «Τεχνολογία πληροφοριών. Πρακτικοί κανόνες για τη διαχείριση της ασφάλειας πληροφοριών»

Εξετάστε τώρα το περιεχόμενο του προτύπου ISO/IEC 17799. Η εισαγωγή αναφέρει ότι «οι πληροφορίες, οι υποστηρικτικές τους διαδικασίες, τα πληροφοριακά συστήματα και η δικτυακή υποδομή αποτελούν βασικά περιουσιακά στοιχεία ενός οργανισμού. Η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των πληροφοριών μπορούν να συμβάλουν σημαντικά στην ανταγωνιστικότητα, τη ρευστότητα, την κερδοφορία, τη νομική συμμόρφωση και την επιχειρηματική φήμη του οργανισμού». Έτσι, μπορεί να ειπωθεί ότι αυτό το πρότυποεξετάζει ζητήματα ασφάλεια πληροφοριών, μεταξύ άλλων από την άποψη του οικονομικού αποτελέσματος.

Υποδεικνύονται τρεις ομάδες παραγόντων που πρέπει να λαμβάνονται υπόψη κατά τη διαμόρφωση απαιτήσεων στον τομέα της ασφάλειας πληροφοριών™:

  • - εκτίμηση κινδύνου του οργανισμού. Μέσω της αξιολόγησης κινδύνου, εντοπίζονται οι απειλές για τα περιουσιακά στοιχεία του οργανισμού, αξιολογείται η τρωτότητα των σχετικών περιουσιακών στοιχείων και η πιθανότητα απειλών, καθώς και εκτίμηση των πιθανών συνεπειών.
  • — νομικές, νομοθετικές, κανονιστικές και συμβατικές απαιτήσεις που πρέπει να πληρούνται από τον οργανισμό, τους εμπορικούς του εταίρους, τους εργολάβους και τους παρόχους υπηρεσιών·
  • - ένα συγκεκριμένο σύνολο αρχών, στόχων και απαιτήσεων που αναπτύσσει ο οργανισμός σε σχέση με την επεξεργασία πληροφοριών. Αφού καθοριστούν οι απαιτήσεις, ξεκινά η φάση επιλογής.

εφαρμογή μέτρων διαχείρισης της ασφάλειας των πληροφοριών που θα διασφαλίζουν τη μείωση των κινδύνων σε αποδεκτό επίπεδο. Η επιλογή των μέτρων διαχείρισης της ασφάλειας πληροφοριών θα πρέπει να βασίζεται στην αναλογία του κόστους εφαρμογής τους, στην επίδραση της μείωσης του κινδύνου και στις πιθανές απώλειες σε περίπτωση παραβίασης της ασφάλειας. Θα πρέπει επίσης να ληφθούν υπόψη παράγοντες που δεν μπορούν να εκφραστούν με χρηματικούς όρους, όπως η απώλεια φήμης. Μια πιθανή λίστα δραστηριοτήτων δίνεται στο πρότυπο, αλλά σημειώνεται ότι μπορεί να συμπληρωθεί ή να διαμορφωθεί ανεξάρτητα με βάση τις ανάγκες του οργανισμού.

Ας απαριθμήσουμε εν συντομία τις ενότητες του προτύπου και τα μέτρα που προτείνονται σε αυτά για την προστασία των πληροφοριών. Η πρώτη ομάδα αφορά την πολιτική ασφάλειας. Απαιτείται να αναπτυχθεί, να εγκριθεί από τη διοίκηση του οργανισμού, να δημοσιευτεί και να τεθεί υπόψη όλων των εργαζομένων. Θα πρέπει να καθορίζει τη διαδικασία εργασίας με τους πόρους πληροφοριών του οργανισμού, τα καθήκοντα και τις ευθύνες των εργαζομένων. Η πολιτική επανεξετάζεται περιοδικά για να αντικατοπτρίζει την τρέχουσα κατάσταση του συστήματος και τους εντοπισμένους κινδύνους.

Η επόμενη ενότητα ασχολείται με οργανωτικά ζητήματα που σχετίζονται με την ασφάλεια των πληροφοριών. Το πρότυπο συνιστά τη δημιουργία διοικητικών συμβουλίων (με τη συμμετοχή της ανώτατης διοίκησης της εταιρείας) για την έγκριση της πολιτικής ασφάλειας, τον διορισμό υπευθύνων, την κατανομή των ευθυνών και τον συντονισμό της υλοποίησης των δραστηριοτήτων διαχείρισης ασφάλειας πληροφοριών στον οργανισμό. Θα πρέπει επίσης να περιγραφεί η διαδικασία για την απόκτηση άδειας για τον οργανισμό να χρησιμοποιεί εγκαταστάσεις επεξεργασίας πληροφοριών (συμπεριλαμβανομένου νέου λογισμικού και υλικού), ώστε αυτό να μην οδηγεί σε προβλήματα ασφάλειας. Απαιτείται επίσης να καθοριστεί η διαδικασία αλληλεπίδρασης με άλλους οργανισμούς σε θέματα ασφάλειας πληροφοριών, διαβουλεύσεις με «εξωτερικούς» ειδικούς και ανεξάρτητη επαλήθευση (έλεγχος) της ασφάλειας πληροφοριών.

Κατά την παροχή πρόσβασης σε συστήματα πληροφοριών σε τρίτους ειδικούς, θα πρέπει να δίνεται ιδιαίτερη προσοχή σε θέματα ασφάλειας. Αξιολόγηση των κινδύνων που συνδέονται με ΔΙΑΦΟΡΕΤΙΚΟΙ ΤΥΠΟΙπρόσβαση (φυσική ή λογική, δηλαδή απομακρυσμένη) τέτοιων ειδικών σε διάφορους πόρους του οργανισμού. Η ανάγκη παροχής πρόσβασης πρέπει να αιτιολογείται και οι συμφωνίες με τρίτα μέρη και οργανισμούς πρέπει να περιλαμβάνουν απαιτήσεις σχετικά με τη συμμόρφωση με τις πολιτικές ασφαλείας. Αντίστοιχα, προτείνεται η δράση σε περίπτωση εμπλοκής τρίτων οργανισμών στην επεξεργασία πληροφοριών (outsourcing).

Η επόμενη ενότητα του προτύπου είναι αφιερωμένη στην ταξινόμηση και διαχείριση των περιουσιακών στοιχείων. Για να διασφαλιστεί η ασφάλεια των πληροφοριών ενός οργανισμού, είναι απαραίτητο όλα τα σημαντικά περιουσιακά στοιχεία πληροφοριών να λογιστικοποιούνται και να ανατίθενται στους υπεύθυνους ιδιοκτήτες. Προτείνεται να ξεκινήσει με απογραφή. Ως παράδειγμα, δίνεται η ακόλουθη ταξινόμηση των περιουσιακών στοιχείων:

  • - ενημερωτικές (βάσεις δεδομένων και αρχεία δεδομένων, τεκμηρίωση συστήματος κ.λπ.)
  • - λογισμικό(λογισμικό εφαρμογών, λογισμικό συστήματος, εργαλεία ανάπτυξης και βοηθητικά προγράμματα).
  • - φυσικά περιουσιακά στοιχεία (εξοπλισμός ηλεκτρονικών υπολογιστών, εξοπλισμός επικοινωνίας, φορείς πληροφοριών, άλλος τεχνικός εξοπλισμός, έπιπλα, εγκαταστάσεις)·
  • - υπηρεσίες (υπολογιστικές και επικοινωνιακές υπηρεσίες, βασικές υπηρεσίες κοινής ωφέλειας).

Στη συνέχεια, προτείνεται η ταξινόμηση των πληροφοριών προκειμένου να προσδιοριστεί η προτεραιότητά τους, η αναγκαιότητα και ο βαθμός προστασίας τους. Ταυτόχρονα, οι σχετικές πληροφορίες μπορούν να αξιολογηθούν ως προς το πόσο κρίσιμες είναι για τον οργανισμό, για παράδειγμα, όσον αφορά τη διασφάλιση της ακεραιότητας και της διαθεσιμότητάς τους. Μετά από αυτό, προτείνεται η ανάπτυξη και εφαρμογή διαδικασίας επισήμανσης για την επεξεργασία πληροφοριών. Οι διαδικασίες επισήμανσης θα πρέπει να καθοριστούν για κάθε επίπεδο ταξινόμησης, ώστε να λαμβάνονται υπόψη οι ακόλουθοι τύποι επεξεργασίας πληροφοριών:

  • - αντιγραφή?
  • - αποθήκευση;
  • - μετάδοση μέσω ταχυδρομείου, φαξ και e-mail.
  • - μετάδοση φωνής, συμπεριλαμβανομένων κινητό τηλέφωνο, φωνητικό ταχυδρομείο, τηλεφωνητές.
  • - καταστροφή.

Η Ενότητα 6 ασχολείται με θέματα ασφάλειας που σχετίζονται με το προσωπικό. Το πρότυπο ορίζει ότι οι ευθύνες ασφαλείας θα πρέπει να κατανέμονται στο στάδιο της πρόσληψης, να περιλαμβάνονται στις συμβάσεις εργασίας και να παρακολουθούνται καθ' όλη τη διάρκεια της εργασίας του εργαζομένου. Ειδικότερα, κατά την υποβολή αίτησης για μόνιμο προσωπικό, συνιστάται ο έλεγχος της γνησιότητας των εγγράφων που υποβάλλει ο αιτών, της πληρότητας και της ακρίβειας του βιογραφικού, των συστάσεων που υποβάλλει. Συνιστάται στους εργαζόμενους να υπογράψουν μια συμφωνία εμπιστευτικότητας που να αναφέρει ποιες πληροφορίες είναι εμπιστευτικές ή μυστικές. Θα πρέπει να ληφθούν πειθαρχικά μέτρα κατά των εργαζομένων που παραβιάζουν τις πολιτικές και τις διαδικασίες ασφαλείας του οργανισμού. Όπου κρίνεται σκόπιμο, αυτή η ευθύνη θα πρέπει να συνεχιστεί για μια συγκεκριμένη περίοδο μετά τη λήξη της απασχόλησης.

Οι χρήστες πρέπει να εκπαιδεύονται στις διαδικασίες ασφαλείας και στη σωστή χρήση των εργαλείων επεξεργασίας πληροφοριών για την ελαχιστοποίηση πιθανών κινδύνων. Επιπλέον, θα πρέπει να καθοριστεί η διαδικασία αναφοράς παραβιάσεων ασφάλειας πληροφοριών, με την οποία είναι απαραίτητη η εξοικείωση του προσωπικού. Παρόμοια διαδικασία θα πρέπει να ακολουθείται σε περιπτώσεις αστοχίας λογισμικού. Τέτοια περιστατικά πρέπει να καταγράφονται και να αναλύονται για τον εντοπισμό επαναλαμβανόμενων προβλημάτων.

Η επόμενη ενότητα του προτύπου ασχολείται με τη φυσική προστασία και την προστασία από την έκθεση. περιβάλλον. Αναφέρεται ότι «τα μέσα επεξεργασίας κρίσιμων ή σημαντικών πληροφοριών υπηρεσίας πρέπει να τοποθετούνται σε ζώνες ασφαλείας, που ορίζονται από συγκεκριμένη περίμετρο ασφαλείας με κατάλληλη προστατευτικά εμπόδιακαι έλεγχοι εισβολής. Αυτές οι περιοχές πρέπει να προστατεύονται φυσικά από μη εξουσιοδοτημένη πρόσβαση, ζημιές και κρούσεις». Εκτός από την οργάνωση του ελέγχου πρόσβασης στις προστατευόμενες περιοχές, θα πρέπει να καθοριστεί η διαδικασία εκτέλεσης εργασιών σε αυτές και, εάν είναι απαραίτητο, οι διαδικασίες οργάνωσης της πρόσβασης επισκεπτών. Είναι επίσης απαραίτητο να διασφαλιστεί η ασφάλεια του εξοπλισμού (συμπεριλαμβανομένων αυτών που χρησιμοποιούνται εκτός του οργανισμού) για τη μείωση του κινδύνου μη εξουσιοδοτημένης πρόσβασης στα δεδομένα και την προστασία του από απώλεια ή ζημιά. Η ίδια ομάδα απαιτήσεων περιλαμβάνει προστασία από διακοπές ρεύματος και προστασία του καλωδιακού δικτύου. Επίσης, θα πρέπει να καθοριστούν διαδικασίες για τη συντήρηση του εξοπλισμού, λαμβάνοντας υπόψη τις απαιτήσεις ασφάλειας και τη διαδικασία για την ασφαλή απόρριψη ή επαναχρησιμοποίηση του εξοπλισμού. Για παράδειγμα, μέσα διαγραφής που περιέχουν σημαντικές πληροφορίες, συνιστάται η φυσική καταστροφή ή η αντικατάσταση με ασφαλή τρόπο αντί να χρησιμοποιείτε τις τυπικές λειτουργίες διαγραφής δεδομένων.

Για να ελαχιστοποιήσετε τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης ή ζημιάς έντυπα έγγραφα, μέσα και μέσα επεξεργασίας πληροφοριών, συνιστάται η εφαρμογή πολιτικής καθαρού γραφείου για έντυπα έγγραφα και αφαιρούμενα μέσα, καθώς και πολιτική καθαρής οθόνης για μέσα επεξεργασίας πληροφοριών. Ο εξοπλισμός, οι πληροφορίες ή το λογισμικό δεν επιτρέπεται να αφαιρεθούν από τις εγκαταστάσεις του οργανισμού, εκτός εάν έχει εξουσιοδοτηθεί να το πράξει.

Ο τίτλος της ενότητας 8 είναι «Διαχείριση μετάδοσης δεδομένων και λειτουργιών». Απαιτεί να καθοριστούν οι αρμοδιότητες και οι διαδικασίες που σχετίζονται με τη λειτουργία όλων των εγκαταστάσεων επεξεργασίας πληροφοριών. Για παράδειγμα, οι αλλαγές διαμόρφωσης στα εργαλεία και τα συστήματα επεξεργασίας πληροφοριών θα πρέπει να ελέγχονται. Απαιτείται η εφαρμογή της αρχής του διαχωρισμού των καθηκόντων σε σχέση με τα διοικητικά καθήκοντα, την εκτέλεση ορισμένων καθηκόντων και τομέων.

Συνιστάται ο διαχωρισμός ανάπτυξης, δοκιμής και βιομηχανική λειτουργίαλογισμικό (λογισμικό). Πρέπει να καθοριστούν και να τεκμηριωθούν οι κανόνες για τη μεταφορά λογισμικού από την κατάσταση ανάπτυξης στην κατάσταση του αποδεκτού για λειτουργία.

Πρόσθετοι κίνδυνοι προκύπτουν όταν τρίτοι εργολάβοι εμπλέκονται στη διαχείριση εγκαταστάσεων επεξεργασίας πληροφοριών. Αυτοί οι κίνδυνοι θα πρέπει να εντοπίζονται εκ των προτέρων και να συμφωνούνται κατάλληλες ρυθμίσεις διαχείρισης της ασφάλειας πληροφοριών με τον ανάδοχο και να περιλαμβάνονται στη σύμβαση.

Για την παροχή των απαραίτητων δυνατοτήτων για την επεξεργασία και την αποθήκευση πληροφοριών, είναι απαραίτητο να αναλυθούν οι τρέχουσες απαιτήσεις απόδοσης, καθώς και να προβλεφθούν οι μελλοντικές. Αυτές οι προβλέψεις θα πρέπει να λαμβάνουν υπόψη τις νέες λειτουργικές και Απαιτήσεις συστήματος, καθώς και τρέχοντα και μελλοντικά αναπτυξιακά σχέδια Τεχνολογίες πληροφορικήςΣτην οργάνωση. Οι απαιτήσεις και τα κριτήρια για την υιοθέτηση νέων συστημάτων θα πρέπει να ορίζονται σαφώς, να συμφωνούνται, να τεκμηριώνονται και να ελέγχονται.

Πρέπει να ληφθούν μέτρα για την πρόληψη και τον εντοπισμό της εισαγωγής κακόβουλου λογισμικού όπως π.χ ιούς υπολογιστών, σκουλήκια δικτύου, δούρειοι ίπποι και λογικές βόμβες. Σημειώνεται ότι η προστασία από κακόβουλο λογισμικό θα πρέπει να βασίζεται στην κατανόηση των απαιτήσεων ασφαλείας, στους κατάλληλους ελέγχους πρόσβασης στο σύστημα και στη σωστή διαχείριση αλλαγών.

Θα πρέπει να καθοριστεί η διαδικασία διενέργειας βοηθητικών εργασιών, οι οποίες περιλαμβάνουν αντιγράφων ασφαλείαςλογισμικό και δεδομένα, καταγραφή συμβάντων και σφαλμάτων και, κατά περίπτωση, παρακολούθηση κατάστασης υλικού. Οι ρυθμίσεις απολύσεων για κάθε μεμονωμένο σύστημα θα πρέπει να ελέγχονται τακτικά για να διασφαλίζεται ότι πληρούν τις απαιτήσεις των σχεδίων επιχειρηματικής συνέχειας.

Η διασφάλιση της ασφάλειας των πληροφοριών στα δίκτυα και η προστασία της υποστηρικτικής υποδομής απαιτεί την εφαρμογή ελέγχων ασφαλείας και την προστασία των συνδεδεμένων υπηρεσιών από μη εξουσιοδοτημένη πρόσβαση.

Ιδιαίτερη προσοχή δίνεται στα θέματα των μέσων αποθήκευσης safe™ διάφοροι τύποι: έγγραφα, μέσα αποθήκευσης υπολογιστή (κασέτες, δίσκοι, κασέτες), δεδομένα εισόδου/εξόδου και τεκμηρίωση συστήματος από ζημιές. Συνιστάται να ορίσετε τη σειρά χρήσης αφαιρούμενων μέσων πληροφορίες υπολογιστή(η σειρά ελέγχου περιεχομένου, αποθήκευσης, καταστροφής κ.λπ.). Όπως σημειώθηκε παραπάνω, τα μέσα στο τέλος της χρήσης πρέπει να απορρίπτονται με ασφάλεια και ασφάλεια.

Προκειμένου να διασφαλιστεί ότι οι πληροφορίες προστατεύονται από μη εξουσιοδοτημένη αποκάλυψη ή κακή χρήση, είναι απαραίτητο να καθοριστούν διαδικασίες για το χειρισμό και την αποθήκευση πληροφοριών. Αυτές οι διαδικασίες θα πρέπει να σχεδιάζονται για να κατηγοριοποιούν πληροφορίες και να εφαρμόζονται σε έγγραφα, υπολογιστικά συστήματα, δίκτυα, φορητούς υπολογιστές, κινητές επικοινωνίες, αλληλογραφία, φωνητικό ταχυδρομείο, φωνητικές επικοινωνίες γενικά, συσκευές πολυμέσων, χρήση φαξ και οποιαδήποτε άλλα σημαντικά στοιχεία, όπως φόρμες. επιταγές και λογαριασμούς. Η τεκμηρίωση του συστήματος μπορεί να περιέχει ορισμένες σημαντικές πληροφορίες, επομένως θα πρέπει επίσης να προστατεύεται.

Η διαδικασία ανταλλαγής πληροφοριών και λογισμικού μεταξύ οργανισμών θα πρέπει να ελέγχεται και να συμμορφώνεται με την ισχύουσα νομοθεσία. Ειδικότερα, θα πρέπει να διασφαλίζεται η ασφάλεια των φορέων πληροφοριών κατά τη μετάδοση, μια πολιτική για τη χρήση του ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗκαι ηλεκτρονικά συστήματα γραφείου. Θα πρέπει να λαμβάνεται μέριμνα για την προστασία της ακεραιότητας των πληροφοριών που δημοσιεύονται ηλεκτρονικά, όπως οι πληροφορίες σε μια τοποθεσία Web. Απαιτείται επίσης μια κατάλληλη τυπική διαδικασία εξουσιοδότησης προτού δημοσιοποιηθούν αυτές οι πληροφορίες.

Η επόμενη ενότητα του προτύπου ασχολείται με ζητήματα ελέγχου πρόσβασης. Απαιτεί οι κανόνες ελέγχου πρόσβασης και τα δικαιώματα κάθε χρήστη ή ομάδας χρηστών να ορίζονται μοναδικά από την πολιτική ασφαλείας. Οι χρήστες και οι πάροχοι υπηρεσιών θα πρέπει να γνωρίζουν την ανάγκη συμμόρφωσης με αυτές τις απαιτήσεις.

Όταν χρησιμοποιείτε τον έλεγχο ταυτότητας με κωδικό πρόσβασης, πρέπει να ασκείτε έλεγχο στους κωδικούς πρόσβασης των χρηστών. Συγκεκριμένα, οι χρήστες πρέπει να υπογράψουν ένα έγγραφο που να δηλώνει ότι οι κωδικοί πρόσβασης πρέπει να τηρούνται απολύτως εμπιστευτικοί. Απαιτείται η διασφάλιση της ασφάλειας της διαδικασίας απόκτησης κωδικού πρόσβασης από τον χρήστη και, εάν χρησιμοποιείται, η διαχείριση των χρηστών από τους κωδικούς πρόσβασής τους (αναγκαστική αλλαγή κωδικού πρόσβασης μετά την πρώτη είσοδο κ.λπ.).

Η πρόσβαση τόσο σε εσωτερικές όσο και σε εξωτερικές υπηρεσίες δικτύου πρέπει να ελέγχεται. Οι χρήστες θα πρέπει να έχουν άμεση πρόσβαση μόνο σε υπηρεσίες για τις οποίες έχουν εξουσιοδοτηθεί. Ιδιαίτερη προσοχή πρέπει να δοθεί στον απομακρυσμένο έλεγχο ταυτότητας χρήστη. Με βάση την αξιολόγηση κινδύνου, είναι σημαντικό να καθοριστεί το απαιτούμενο επίπεδο προστασίας προκειμένου να επιλεγεί η κατάλληλη μέθοδος επαλήθευσης ταυτότητας. Πρέπει επίσης να ελέγχεται η ασφάλεια της χρήσης των υπηρεσιών δικτύου.

Πολλές συσκευές δικτύου και υπολογιστών διαθέτουν ενσωματωμένα εργαλεία απομακρυσμένης διάγνωσης και διαχείρισης. Σε αυτές τις εγκαταστάσεις θα πρέπει επίσης να ισχύουν μέτρα ασφαλείας.

Όπου τα δίκτυα είναι κοινόχρηστα από πολλούς οργανισμούς, οι απαιτήσεις πολιτικής ελέγχου πρόσβασης θα πρέπει να καθοριστούν ώστε να λαμβάνεται υπόψη. Μπορεί επίσης να είναι απαραίτητο να εφαρμοστούν πρόσθετα μέτρα διαχείρισης ασφάλειας πληροφοριών για να περιοριστεί η δυνατότητα σύνδεσης των χρηστών.

Σε επίπεδο λειτουργικού συστήματος, θα πρέπει να χρησιμοποιούνται εργαλεία ασφάλειας πληροφοριών για τον περιορισμό της πρόσβασης πόρους υπολογιστών. Αυτό αναφέρεται στην αναγνώριση και τον έλεγχο ταυτότητας τερματικών και χρηστών. Συνιστάται όλοι οι χρήστες να έχουν μοναδικά αναγνωριστικά που δεν πρέπει να περιέχουν το επίπεδο προνομίων του χρήστη. Τα συστήματα διαχείρισης κωδικών πρόσβασης θα πρέπει να παρέχουν αποτελεσματικές διαδραστικές δυνατότητες για τη διατήρηση της απαιτούμενης ποιότητας. Η χρήση των βοηθητικών προγραμμάτων του συστήματος θα πρέπει να είναι περιορισμένη και προσεκτικά ελεγχόμενη.

Είναι επιθυμητό να παρέχεται συναγερμός σε περίπτωση που ο χρήστης μπορεί να γίνει αντικείμενο βίας (εάν ένα τέτοιο συμβάν αξιολογηθεί ως πιθανό). Ωστόσο, θα πρέπει να καθοριστούν οι ευθύνες και οι διαδικασίες για την απόκριση σε τέτοιο συναγερμό.

Τα τερματικά που εξυπηρετούν συστήματα υψηλού κινδύνου, όταν τοποθετούνται σε εύκολα προσβάσιμα μέρη, θα πρέπει να απενεργοποιούνται μετά συγκεκριμένη περίοδοςτην αδράνειά τους για την αποτροπή πρόσβασης από μη εξουσιοδοτημένα άτομα. Μπορεί επίσης να εισαχθεί περιορισμός στη χρονική περίοδο κατά την οποία επιτρέπεται στα τερματικά να συνδέονται με υπηρεσίες υπολογιστών.

Σε επίπεδο εφαρμογής, είναι επίσης απαραίτητο να εφαρμόζονται μέτρα ασφάλειας πληροφοριών. Συγκεκριμένα, αυτό μπορεί να είναι περιορισμός πρόσβασης για ορισμένες κατηγορίες χρηστών. Τα συστήματα που επεξεργάζονται σημαντικές πληροφορίες θα πρέπει να παρέχονται με ένα αποκλειστικό (απομονωμένο) υπολογιστικό περιβάλλον.

Η παρακολούθηση του συστήματος είναι απαραίτητη για τον εντοπισμό αποκλίσεων από τις απαιτήσεις της πολιτικής ελέγχου πρόσβασης και την παροχή αποδεικτικών στοιχείων σε περίπτωση εντοπισμού περιστατικών ασφάλειας πληροφοριών. Τα αποτελέσματα της παρακολούθησης θα πρέπει να επανεξετάζονται τακτικά. Η διαδρομή ελέγχου μπορεί να χρησιμοποιηθεί για τη διερεύνηση περιστατικών, επομένως είναι σημαντικό σωστή εγκατάσταση(συγχρονισμός) του ρολογιού του υπολογιστή.

Όταν χρησιμοποιείτε φορητές συσκευές, όπως φορητούς υπολογιστές, είναι απαραίτητο να λαμβάνετε ειδικά μέτρα για την εξουδετέρωση της παραβίασης των ιδιόκτητων πληροφοριών. Θα πρέπει να υιοθετηθεί μια επισημοποιημένη πολιτική που να λαμβάνει υπόψη τους κινδύνους που συνδέονται με την εργασία με φορητές συσκευές, ειδικά σε ένα ανασφαλές περιβάλλον.

Η δέκατη ενότητα του προτύπου ονομάζεται «Ανάπτυξη και συντήρηση συστημάτων». Ήδη στο στάδιο της ανάπτυξης των συστημάτων πληροφοριών, είναι απαραίτητο να διασφαλιστεί ότι λαμβάνονται υπόψη οι απαιτήσεις ασφάλειας. Και κατά τη λειτουργία του συστήματος απαιτείται η αποτροπή απώλειας, τροποποίησης ή κακής χρήσης των δεδομένων χρήστη. Για να γίνει αυτό, συνιστάται τα συστήματα εφαρμογών να παρέχουν επιβεβαίωση της ορθότητας της εισαγωγής και εξόδου δεδομένων, τον έλεγχο της επεξεργασίας δεδομένων στο σύστημα, τον έλεγχο ταυτότητας μηνυμάτων και την καταγραφή των ενεργειών του χρήστη.

Για να διασφαλιστεί η εμπιστευτικότητα, η ακεραιότητα και η πιστοποίηση των δεδομένων, μπορούν να χρησιμοποιηθούν κρυπτογραφικά μέσα προστασίας.

Σημαντικό ρόλο στη διαδικασία προστασίας των πληροφοριών διαδραματίζει η διασφάλιση της ακεραιότητας του λογισμικού. Για την ελαχιστοποίηση των ζημιών στα πληροφοριακά συστήματα, η εφαρμογή των αλλαγών θα πρέπει να ελέγχεται αυστηρά. Περιοδικά, υπάρχει ανάγκη να γίνονται αλλαγές σε Λειτουργικά συστήματα. Σε αυτές τις περιπτώσεις, είναι απαραίτητο να αναλυθούν και να δοκιμαστούν τα συστήματα εφαρμογής για να διασφαλιστεί ότι δεν υπάρχει καμία αρνητική επίδραση στη λειτουργία και την ασφάλειά τους. Στο μέτρο του δυνατού, τα έτοιμα πακέτα λογισμικού συνιστάται να χρησιμοποιούνται χωρίς τροποποίηση.

Ένα σχετικό ζήτημα είναι η αντιμετώπιση των Trojans και η χρήση κρυφών καναλιών διαρροής. Μια μέθοδος αντιμέτρων είναι η χρήση λογισμικού που λαμβάνεται από αξιόπιστους προμηθευτές και η παρακολούθηση της ακεραιότητας του συστήματος.

Σε περιπτώσεις που ένας τρίτος οργανισμός εμπλέκεται στην ανάπτυξη λογισμικού, είναι απαραίτητο να προβλέπονται μέτρα για τον έλεγχο της ποιότητας και της ορθότητας της εργασίας που εκτελείται.

Η επόμενη ενότητα του προτύπου ασχολείται με τη διαχείριση της επιχειρησιακής συνέχειας. Στο αρχικό στάδιο, υποτίθεται ότι εντοπίζονται γεγονότα που μπορεί να προκαλέσουν διακοπή των επιχειρηματικών διαδικασιών (αστοχία εξοπλισμού, πυρκαγιά κ.λπ.). Σε αυτή την περίπτωση, είναι απαραίτητο να γίνει αξιολόγηση των συνεπειών και στη συνέχεια να αναπτυχθούν σχέδια ανάκαμψης. Η επάρκεια των σχεδίων πρέπει να επιβεβαιώνεται με δοκιμές και τα ίδια πρέπει να επανεξετάζονται περιοδικά για να λαμβάνονται υπόψη οι αλλαγές στο σύστημα.

Η τελευταία ενότητα εστιάζει σε θέματα συμμόρφωσης. Καταρχάς, το εγώ αφορά τη συμμόρφωση του συστήματος και τη διαδικασία λειτουργίας του με τις απαιτήσεις της νομοθεσίας. Αυτό περιλαμβάνει θέματα συμμόρφωσης με τα πνευματικά δικαιώματα (συμπεριλαμβανομένου του λογισμικού), την προστασία προσωπικές πληροφορίες(εργαζόμενοι, πελάτες), αποτροπή κακής χρήσης εργαλείων επεξεργασίας πληροφοριών. Όταν χρησιμοποιείτε κρυπτογραφικά μέσα προστασίας πληροφοριών, πρέπει να συμμορφώνονται με την ισχύουσα νομοθεσία. Θα πρέπει επίσης να αναπτυχθεί διεξοδικά η διαδικασία συλλογής αποδεικτικών στοιχείων σε περίπτωση δικαστικής αγωγής που σχετίζεται με συμβάντα ασφαλείας. σύστημα πληροφορίων.

Τα ίδια τα συστήματα πληροφοριών πρέπει να συμμορφώνονται με την πολιτική ασφαλείας του οργανισμού και τα ισχύοντα πρότυπα. Η ασφάλεια των πληροφοριακών συστημάτων πρέπει να επανεξετάζεται και να αξιολογείται τακτικά. Ταυτόχρονα, πρέπει επίσης να τηρούνται μέτρα ασφαλείας κατά τη διενέργεια ελέγχου ασφαλείας, ώστε αυτό να μην έχει ανεπιθύμητες συνέπειες (για παράδειγμα, αποτυχία ενός κρίσιμου διακομιστή λόγω ελέγχου ασφαλείας).

Συνοψίζοντας, μπορεί να σημειωθεί ότι το πρότυπο εξετάζει ένα ευρύ φάσμα θεμάτων που σχετίζονται με τη διασφάλιση της ασφάλειας των συστημάτων πληροφοριών και δίνονται πρακτικές συστάσεις σε διάφορους τομείς.

  • Ως παράδειγμα, μπορούν να αναφερθούν κωδικοί πρόσβασης για την εισαγωγή "υπό πίεση". Εάν ο χρήστης εισαγάγει έναν τέτοιο κωδικό πρόσβασης, το σύστημα εμφανίζει την κανονική διαδικασία σύνδεσης του χρήστη, μετά την οποία προσομοιώνεται μια αποτυχία ώστε να αποτραπεί η πρόσβαση των εισβολέων στα δεδομένα.

Η έννοια της ασφάλειας πληροφοριών. Η έννοια της ασφάλειας πληροφοριών στη ρωσική νομική ορολογία δεν είναι καλά εδραιωμένη λόγω της έλλειψης ενιαίας μεθοδολογικής βάσης, βάσει της οποίας μπορεί να προσδιοριστεί μόνο η ουσία της, ο βαθμός ανάγκης χρήσης και τα όρια εφαρμογής. Δυστυχώς, αυτή η μεθοδολογική βάση δεν έχει ακόμη αναπτυχθεί, η οποία εκδηλώνεται ξεκάθαρα όχι μόνο στη συζήτηση της έννοιας της ασφάλειας πληροφοριών στις σελίδες εκπαιδευτικών και επιστημονικών δημοσιεύσεων, αλλά και στα κείμενα επίσημων εγγράφων, συμπεριλαμβανομένων των κανονισμών.

Η έννοια της ασφάλειας πληροφοριών έχει αναπτυχθεί στο Δόγμα της Ασφάλειας Πληροφοριών Ρωσική Ομοσπονδία(εφεξής - το Δόγμα), το οποίο είναι ένα σύνολο επίσημων απόψεων σχετικά με τους στόχους, τους στόχους, τις αρχές και τις κύριες κατευθύνσεις για τη διασφάλιση της ασφάλειας των πληροφοριών του κράτους. Σύμφωνα με την παράγραφο 1 του Δόγματος, η ασφάλεια πληροφοριών της Ρωσικής Ομοσπονδίας νοείται ως η κατάσταση προστασίας των εθνικών συμφερόντων της σφαίρα πληροφοριώνκαθορίζεται από το σύνολο των ισορροπημένων συμφερόντων του ατόμου, της κοινωνίας και του κράτους.

Ο δογματικός ορισμός της ασφάλειας πληροφοριών βασίζεται στη γενική έννοια της ασφάλειας ως «κατάστασης ασφάλειας», που κατοχυρώνεται στο νόμο της Ρωσικής Ομοσπονδίας «Περί Ασφάλειας». Ο δογματικός τύπος του αντικειμένου προστασίας αντιστοιχεί στο γενικό αντικείμενο που προσδιορίζεται στο νόμο της Ρωσικής Ομοσπονδίας «Περί Ασφάλειας» ως «ζωτικά συμφέροντα». Λαμβάνοντας υπόψη τον ρόλο και τη σημασία του Δόγματος, θα πρέπει να αναγνωριστεί ότι η περαιτέρω χρήση και ανάπτυξη της έννοιας της ασφάλειας πληροφοριών θα πραγματοποιηθεί προς την κατεύθυνση που ορίζει αυτό το έγγραφο, αν και είναι η πιο προβληματική, καθώς απαιτεί απάντηση σε ερώτηση που δεν έχει βρεθεί ακόμη από πολλές γενιές επιστημόνων. Αυτό το ερώτημα, από τη στιγμή που μιλάμε για το αντικείμενο προστασίας, που βασίζεται στα εθνικά συμφέροντα, που καθορίζονται από το σύνολο των ισορροπημένων συμφερόντων του ατόμου, της κοινωνίας και του κράτους, είναι να καθοριστεί η ισορροπία συμφερόντων ατόμου και κοινωνίας. ως σύνολο. Εξάλλου, αυτό που είναι προς το συμφέρον του ατόμου δεν είναι πάντα προς το συμφέρον της κοινωνίας στο σύνολό της. και αντίστροφα, αυτό που είναι προς το συμφέρον ολόκληρης της κοινωνίας μπορεί να είναι σαφώς αντίθετο με το συμφέρον ενός ατόμου.

Εν τω μεταξύ, το Δόγμα επιχειρεί να δομήσει τα εθνικά συμφέροντα της Ρωσικής Ομοσπονδίας στη σφαίρα των πληροφοριών βάσει των τεσσάρων συνιστωσών τους.

Η πρώτη συνιστώσα των εθνικών συμφερόντων περιλαμβάνει την τήρηση των συνταγματικών δικαιωμάτων και ελευθεριών ενός ατόμου και ενός πολίτη στον τομέα της απόκτησης πληροφοριών και της χρήσης τους, τη διασφάλιση της πνευματικής ανανέωσης της Ρωσίας, τη διατήρηση και ενίσχυση των ηθικών αξιών στην κοινωνία, τις παραδόσεις της τον πατριωτισμό και τον ανθρωπισμό, το πολιτιστικό και επιστημονικό δυναμικό της χώρας.

Η δεύτερη συνιστώσα των εθνικών συμφερόντων περιλαμβάνει την πληροφόρηση της κρατικής πολιτικής της Ρωσικής Ομοσπονδίας, η οποία σχετίζεται με την παροχή στο ρωσικό και διεθνές κοινό αξιόπιστων πληροφοριών σχετικά με την κρατική πολιτική της Ρωσίας, την επίσημη θέση της για κοινωνικά σημαντικά γεγονότα στη ρωσική και διεθνή ζωή , με τη διασφάλιση της πρόσβασης των πολιτών σε ανοιχτούς κρατικούς πόρους πληροφοριών.

Η τρίτη συνιστώσα των εθνικών συμφερόντων συνδυάζει την ανάπτυξη σύγχρονων τεχνολογιών πληροφοριών, την εγχώρια βιομηχανία πληροφοριών, συμπεριλαμβανομένης της βιομηχανίας εργαλείων πληροφόρησης, τηλεπικοινωνιώνκαι επικοινωνιών, κάλυψη των αναγκών εγχώρια αγοράτων προϊόντων της και την είσοδο αυτών των προϊόντων στην παγκόσμια αγορά, καθώς και τη διασφάλιση της συσσώρευσης, διατήρησης και αποτελεσματική χρήσηοικιακός πληροφοριακούς πόρους.

Και τέλος, η τέταρτη συνιστώσα των εθνικών συμφερόντων είναι η προστασία των πόρων πληροφοριών από μη εξουσιοδοτημένη πρόσβαση και η διασφάλιση της ασφάλειας των συστημάτων πληροφοριών και τηλεπικοινωνιών, που έχουν ήδη αναπτυχθεί και δημιουργούνται στο έδαφος της Ρωσίας.

Υποτίθεται ότι και οι τέσσερις συνιστώσες των εθνικών συμφερόντων στη σφαίρα της πληροφόρησης μπορούν, με τη σειρά τους, να θεωρηθούν ως ένα σύνολο ισορροπημένων συμφερόντων του ατόμου, της κοινωνίας και του κράτους. Ταυτόχρονα, τα συμφέροντα του ατόμου έγκεινται στην εφαρμογή των συνταγματικών δικαιωμάτων ενός ατόμου και ενός πολίτη για πρόσβαση σε πληροφορίες, για χρήση πληροφοριών για την άσκηση δραστηριοτήτων που δεν απαγορεύονται από το νόμο, σωματική, πνευματική και πνευματική ανάπτυξη, καθώς και στην προστασία πληροφοριών που διασφαλίζουν την προσωπική ασφάλεια. Τα συμφέροντα της κοινωνίας έγκεινται στη διασφάλιση των συμφερόντων του ατόμου στη σφαίρα της πληροφόρησης, στην ενίσχυση της δημοκρατίας, στη δημιουργία ενός νομικού κοινωνικού κράτους, στην επίτευξη και διατήρηση της δημόσιας αρμονίας και στην πνευματική ανανέωση της Ρωσίας. Τα συμφέροντα του κράτους είναι να δημιουργήσει συνθήκες για την αρμονική ανάπτυξη της ρωσικής υποδομής πληροφοριών, για την εφαρμογή των συνταγματικών δικαιωμάτων και ελευθεριών του ανθρώπου και του πολίτη στον τομέα της απόκτησης πληροφοριών και της χρήσης τους, προκειμένου να διασφαλιστεί το απαραβίαστο του συνταγματικού δικαίου. τάξη, κυριαρχία και εδαφική ακεραιότητα της Ρωσίας, πολιτική, οικονομική και κοινωνική σταθερότητα, με άνευ όρων παροχή νόμου και τάξης, ανάπτυξη ίσης και αμοιβαία επωφελούς διεθνούς συνεργασίας.

Τα κύρια καθήκοντα για τη διασφάλιση της ασφάλειας των πληροφοριών. Με βάση τα εθνικά συμφέροντα της Ρωσικής Ομοσπονδίας στη σφαίρα των πληροφοριών, διαμορφώνονται καθήκοντα για τη διασφάλιση της ασφάλειας των πληροφοριών. Η φύση αυτών των καθηκόντων καθορίζεται από την τρέχουσα κατάσταση της σφαίρας της ασφάλειας των πληροφοριών, λαμβάνοντας υπόψη την παρουσία ορισμένων εξωτερικών και εσωτερικών απειλών για τα συνταγματικά δικαιώματα και ελευθερίες του ανθρώπου και του πολίτη, τα συμφέροντα της κοινωνίας και του κράτους.

Το Δόγμα ορίζει τα ακόλουθα κύρια καθήκοντα για τη διασφάλιση της ασφάλειας των πληροφοριών:

  • ανάπτυξη των κύριων κατευθύνσεων της κρατικής πολιτικής στον τομέα της ασφάλειας πληροφοριών στη Ρωσία, καθώς και μέτρων και μηχανισμών που σχετίζονται με την εφαρμογή αυτού του προγράμματος·
  • ανάπτυξη και βελτίωση του συστήματος ασφάλειας πληροφοριών που εφαρμόζει μια ενιαία κρατική πολιτική σε αυτόν τον τομέα, συμπεριλαμβανομένης της βελτίωσης μορφών, μεθόδων και εργαλείων για τον εντοπισμό, την αξιολόγηση και την πρόβλεψη απειλών για την ασφάλεια πληροφοριών της Ρωσίας, καθώς και ένα σύστημα για την αντιμετώπιση αυτών των απειλών.
  • ανάπτυξη ομοσπονδιακών στοχευμένων προγραμμάτων για τη διασφάλιση της ασφάλειας των πληροφοριών στη Ρωσία.
  • ανάπτυξη κριτηρίων και μεθόδων για την αξιολόγηση της αποτελεσματικότητας συστημάτων και μέσων ασφάλειας πληροφοριών, καθώς και πιστοποίηση αυτών των συστημάτων και μέσων·
  • βελτίωση του ρυθμιστικού πλαισίου για τη διασφάλιση της ασφάλειας των πληροφοριών στη Ρωσία, συμπεριλαμβανομένων μηχανισμών για την άσκηση των δικαιωμάτων των πολιτών να λαμβάνουν πληροφορίες και να έχουν πρόσβαση σε αυτές, μορφές και μεθόδους για την εφαρμογή νομικών κανόνων σχετικά με την αλληλεπίδραση του κράτους με τα μέσα ενημέρωσης.
  • καθορισμός της ευθύνης των υπαλλήλων των ομοσπονδιακών κρατικών αρχών, των κρατικών αρχών των συστατικών οντοτήτων της Ρωσικής Ομοσπονδίας, των τοπικών κυβερνήσεων, νομικά πρόσωπακαι πολίτες για τη συμμόρφωση με τις απαιτήσεις ασφάλειας πληροφοριών·
  • συντονισμός των δραστηριοτήτων ομοσπονδιακών κυβερνητικών φορέων, κυβερνητικών φορέων συστατικών οντοτήτων της Ρωσικής Ομοσπονδίας, οργανισμών, ανεξάρτητα από τη μορφή ιδιοκτησίας τους, στον τομέα της διασφάλισης της ασφάλειας των πληροφοριών στη Ρωσία.
  • ανάπτυξη επιστημονικών και πρακτικών βάσεων για τη διασφάλιση της ασφάλειας των πληροφοριών της Ρωσίας, λαμβάνοντας υπόψη την τρέχουσα γεωπολιτική κατάσταση, τις συνθήκες πολιτικής και κοινωνικοοικονομικής ανάπτυξης της Ρωσίας και την πραγματικότητα των απειλών για χρήση «όπλων πληροφοριών»·
  • ανάπτυξη και δημιουργία μηχανισμών για τη διαμόρφωση και εφαρμογή της κρατικής πολιτικής πληροφόρησης της Ρωσίας.
  • ανάπτυξη μεθόδων για την αύξηση της αποτελεσματικότητας της κρατικής συμμετοχής στη διαμόρφωση της πολιτικής πληροφόρησης των κρατικών ραδιοφωνικών ραδιοτηλεοπτικών οργανισμών, άλλων κρατικών μέσων.
  • διασφάλιση της τεχνολογικής ανεξαρτησίας της Ρωσίας στους σημαντικότερους τομείς των πληροφοριών, των τηλεπικοινωνιών και των επικοινωνιών, που καθορίζουν την ασφάλειά της, και κυρίως στον τομέα της δημιουργίας εξειδικευμένης τεχνολογίας υπολογιστών για όπλα και στρατιωτικό εξοπλισμό·
  • ανάπτυξη σύγχρονων μεθόδων και μέσων για την προστασία των πληροφοριών, τη διασφάλιση της ασφάλειας των τεχνολογιών πληροφοριών και κυρίως αυτών που χρησιμοποιούνται σε συστήματα διοίκησης και ελέγχου για στρατεύματα και όπλα, περιβαλλοντικά επικίνδυνες και οικονομικά σημαντικές βιομηχανίες·
  • ανάπτυξη και βελτίωση κρατικό σύστημαπροστασία πληροφοριών και σύστημα προστασίας του κρατικού μυστικού·
  • δημιουργία και ανάπτυξη μιας σύγχρονης ασφαλούς τεχνολογικής βάσης για την κυβέρνηση σε καιρό ειρήνης, σε καταστάσεις έκτακτης ανάγκηςκαι σε καιρό πολέμου?
  • επέκταση της αλληλεπίδρασης με διεθνείς και ξένους φορείς και οργανισμούς για την επίλυση επιστημονικών, τεχνικών και νομικών θεμάτων για τη διασφάλιση της ασφάλειας των πληροφοριών που μεταδίδονται με τη χρήση διεθνών τηλεπικοινωνιακών συστημάτων και συστημάτων επικοινωνίας.
  • παροχή συνθηκών για την ενεργό ανάπτυξη της ρωσικής υποδομής πληροφοριών, τη συμμετοχή της Ρωσίας στις διαδικασίες δημιουργίας και χρήσης παγκόσμιων πληροφοριακά δίκτυακαι συστήματα·
  • δημιουργία ενιαίο σύστημαεκπαίδευση στον τομέα της ασφάλειας των πληροφοριών και της τεχνολογίας των πληροφοριών.

Φαίνεται ότι προϋπόθεση για την καρποφορία της επίλυσης αυτών των προβλημάτων, όπως και οποιωνδήποτε άλλων, είναι η μετάφρασή τους στο επίπεδο των πραγματικών εγκαταστάσεων, που καθορίζονται με κανονιστικά μέσα. Εφόσον δεν ισχύει αυτό, τα καθήκοντα υπάρχουν από μόνα τους, κλειστά στο σύστημα των επίσημων απόψεων.

Μέθοδοι για τη διασφάλιση της ασφάλειας των πληροφοριών. Οι μέθοδοι ασφάλειας πληροφοριών χωρίζονται σε γενικές και ιδιωτικές. Οι γενικές μέθοδοι, με τη σειρά τους, διαφοροποιούνται σε νομικές, οργανωτικές, τεχνικές και οικονομικές.

Σύμφωνα με το Δόγμα, οι νομικές μέθοδοι για τη διασφάλιση της ασφάλειας των πληροφοριών περιλαμβάνουν την ανάπτυξη ρυθμιστικών νομικών πράξεων που ρυθμίζουν τις σχέσεις στη σφαίρα των πληροφοριών και κανονιστικών μεθοδολογικών εγγράφων για θέματα διασφάλισης της ασφάλειας των πληροφοριών στη Ρωσία. Οι κύριες κατευθύνσεις της δραστηριότητας αυτής είναι ειδικότερα:

  • νομοθετική οριοθέτηση εξουσιών στον τομέα της διασφάλισης της ασφάλειας πληροφοριών μεταξύ ομοσπονδιακών κυβερνητικών φορέων και κυβερνητικών φορέων των συνιστωσών της Ρωσικής Ομοσπονδίας, καθορισμός στόχων, στόχων και μηχανισμών για τη συμμετοχή δημόσιων ενώσεων, οργανισμών και πολιτών σε αυτή τη δραστηριότητα.
  • ανάπτυξη και έκδοση κανονιστικών νομικών πράξεων της Ρωσικής Ομοσπονδίας που καθορίζουν την ευθύνη των νομικών και τα άτομαανά μη εξουσιοδοτημένη πρόσβασησε πληροφορίες, παράνομη αντιγραφή, παραμόρφωση και παράνομη χρήση τους, σκόπιμη διάδοση ψευδών πληροφοριών, παράνομη αποκάλυψη εμπιστευτικών πληροφοριών, χρήση επίσημων πληροφοριών ή πληροφοριών που περιέχουν εμπορικά μυστικά για εγκληματικούς και μισθοφόρους σκοπούς·
  • νομοθετική ενοποίηση της αναπτυξιακής προτεραιότητας εθνικά δίκτυαεπικοινωνίες και εγχώρια παραγωγή δορυφόρων διαστημικών επικοινωνιών·
  • καθορισμός του καθεστώτος των οργανισμών που παρέχουν υπηρεσίες παγκόσμιων δικτύων πληροφοριών και τηλεπικοινωνιών στην επικράτεια της Ρωσίας και νομική ρύθμιση των δραστηριοτήτων αυτών των οργανισμών·
  • δημιουργία νομικού πλαισίου για τη διαμόρφωση στη Ρωσία περιφερειακών δομών για τη διασφάλιση της ασφάλειας των πληροφοριών.

Οι οργανωτικές και τεχνικές μέθοδοι για τη διασφάλιση της ασφάλειας των πληροφοριών, ειδικότερα, είναι:

  • δημιουργία και βελτίωση του συστήματος ασφάλειας πληροφοριών στη Ρωσία·
  • ενίσχυση των δραστηριοτήτων επιβολής του νόμου των εκτελεστικών αρχών·
  • ανάπτυξη, χρήση και βελτίωση εργαλείων και μεθόδων ασφάλειας πληροφοριών για την παρακολούθηση της αποτελεσματικότητας αυτών των εργαλείων·
  • δημιουργία συστημάτων και μέσων για την αποτροπή μη εξουσιοδοτημένης πρόσβασης σε επεξεργασμένες πληροφορίες και ειδικά εφέ που προκαλούν καταστροφή, καταστροφή, παραμόρφωση πληροφοριών, καθώς και αλλαγές στους κανονικούς τρόπους λειτουργίας των συστημάτων και των μέσων ενημέρωσης και επικοινωνίας·
  • ανίχνευση τεχνικές συσκευέςκαι προγράμματα που θέτουν σε κίνδυνο κανονική λειτουργίασυστήματα πληροφοριών και τηλεπικοινωνιών, αποτροπή υποκλοπής πληροφοριών μέσω τεχνικών καναλιών, χρήση κρυπτογραφικών μέσων προστασίας πληροφοριών κατά την αποθήκευση, επεξεργασία και μετάδοσή τους μέσω καναλιών επικοινωνίας.
  • πιστοποίηση εργαλείων προστασίας πληροφοριών, αδειοδότηση δραστηριοτήτων στον τομέα της προστασίας του κρατικού μυστικού, τυποποίηση μεθόδων και μέσων προστασίας πληροφοριών·
  • έλεγχος των ενεργειών του προσωπικού σε ασφαλή πληροφοριακά συστήματα.

Οι οικονομικές μέθοδοι για τη διασφάλιση της ασφάλειας των πληροφοριών περιλαμβάνουν:

  • ανάπτυξη προγραμμάτων για τη διασφάλιση της ασφάλειας των πληροφοριών στη Ρωσία και τον καθορισμό της διαδικασίας χρηματοδότησής τους·
  • βελτίωση του συστήματος χρηματοδότησης εργασιών που σχετίζονται με την εφαρμογή νομικών και οργανωτικών και τεχνικών μεθόδων προστασίας πληροφοριών, δημιουργία συστήματος ασφάλισης κινδύνων πληροφοριών φυσικών και νομικών προσώπων.

Οι ιδιωτικές μέθοδοι διασφάλισης της ασφάλειας των πληροφοριών στη Ρωσία χωρίζονται σε μεθόδους, η χρήση των οποίων οφείλεται στις ιδιαιτερότητες των διαφόρων τομέων της ζωής της κοινωνίας και του κράτους. Καθένας από αυτούς τους τομείς έχει τα δικά του χαρακτηριστικά που σχετίζονται με τη μοναδικότητα των αντικειμένων ασφαλείας, τον βαθμό τρωτότητάς τους σε απειλές για την ασφάλεια των πληροφοριών. Το δόγμα δεν υποδεικνύει άμεσα συγκεκριμένες ιδιωτικές μεθόδους, αλλά λειτουργεί με αντικείμενα που είναι περισσότερο εκτεθειμένα σε απειλές για την ασφάλεια των πληροφοριών και μέτρα που πρέπει να ληφθούν στους τομείς της οικονομίας, της εσωτερικής και εξωτερικής πολιτικής, της επιστήμης και της τεχνολογίας, της πνευματικής ζωής, της άμυνας, σε εθνικά συστήματα πληροφοριών και τηλεπικοινωνιών, στον τομέα επιβολής του νόμου και στη δικαιοσύνη σε καταστάσεις έκτακτης ανάγκης.

Στοιχεία ασφάλειας πληροφοριών

Γενικά, η ασφάλεια πληροφοριών (IS) μπορεί να οριστεί ως «η προστασία των πληροφοριών, των πόρων και της υποστηρικτικής υποδομής από τυχαίες ή σκόπιμες επιπτώσεις φυσικής ή τεχνητής φύσης που μπορεί να προκαλέσει απαράδεκτη ζημία στα υποκείμενα των σχέσεων πληροφοριών - παραγωγούς, ιδιοκτήτες και χρήστες. πληροφορικής και υποστηρικτικής υποδομής».

Η ασφάλεια των πληροφοριών δεν περιορίζεται αποκλειστικά στην προστασία από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες: είναι μια θεμελιωδώς ευρύτερη έννοια που περιλαμβάνει την προστασία των πληροφοριών, των τεχνολογιών και των συστημάτων.

Οι απαιτήσεις ασφάλειας σε διάφορες πτυχές της δραστηριότητας πληροφοριών μπορεί να διαφέρουν σημαντικά, αλλά πάντα στοχεύουν στην επίτευξη των ακόλουθων τριών βασικών συνιστωσών της ασφάλειας των πληροφοριών:

  • ακεραιότητα. Πρώτα απ 'όλα, αυτή είναι η συνάφεια και η συνέπεια των πληροφοριών, η προστασία τους από καταστροφή και μη εξουσιοδοτημένες αλλαγές, συγκεκριμένα: τα δεδομένα και οι πληροφορίες βάσει των οποίων λαμβάνονται οι αποφάσεις πρέπει να είναι αξιόπιστα, ακριβή και να προστατεύονται από πιθανές ακούσιες και κακόβουλες παραμορφώσεις.
  • μυστικότητα. Οι διαβαθμισμένες πληροφορίες πρέπει να είναι διαθέσιμες μόνο στο πρόσωπο στο οποίο προορίζονται. Τέτοιες πληροφορίες δεν μπορούν να ληφθούν, να διαβαστούν, να τροποποιηθούν, να μεταδοθούν εάν δεν υπάρχουν κατάλληλα δικαιώματα πρόσβασης για αυτό.
  • προσιτότητα(ετοιμότητα). Αυτή είναι μια ευκαιρία για αποδεκτό χρόνολαμβάνουν την απαιτούμενη υπηρεσία πληροφοριών, π.χ. δεδομένα, πληροφορίες και σχετικές υπηρεσίες, αυτοματοποιημένες υπηρεσίες, τα μέσα αλληλεπίδρασης και επικοινωνίας θα πρέπει να είναι διαθέσιμα και έτοιμα να λειτουργήσουν όποτε παραστεί ανάγκη.

Οι δραστηριότητες ασφάλειας πληροφοριών στοχεύουν στην πρόληψη, πρόληψη ή εξουδετέρωση των ακόλουθων ενεργειών:

  • μη εξουσιοδοτημένη πρόσβαση σε πόρους πληροφοριών (UAA, Μη εξουσιοδοτημένη πρόσβαση).
  • παραμόρφωση, μερική ή πλήρης απώλεια εμπιστευτικών πληροφοριών·
  • σκόπιμες ενέργειες (επιθέσεις) για την καταστροφή της ακεραιότητας συστήματα λογισμικού, συστήματα δεδομένων και δομές πληροφοριών·
  • αστοχίες και αστοχίες στη λειτουργία λογισμικού, υλικού και τηλεπικοινωνιών.

Έτσι, η μεθοδολογικά σωστή προσέγγιση στα προβλήματα ασφάλειας πληροφοριών ξεκινά με τον προσδιορισμό των θεμάτων των σχέσεων πληροφοριών και των ενδιαφερόντων αυτών των θεμάτων που σχετίζονται με τη χρήση τεχνολογιών και συστημάτων πληροφοριών (IT / IS).

Βαθμός πραγματική κατάστασηστις περισσότερες περιπτώσεις καταλήγει στην απάντηση στα βασικά ερωτήματα που αποτελούν τη συστημική βάση για τη διασφάλιση της ασφάλειας των πληροφοριών, και ειδικότερα εάν είναι απαραίτητο να προστατευθεί, από ποιον και τι πρέπει να προστατευθεί, τι και πώς να προστατευθεί, ποια μέτρα θα διασφαλίσουν την αποτελεσματικότητα της προστασίας, καθώς και για την εκτίμηση του εκτιμώμενου κόστους ανάπτυξης, υλοποίησης, λειτουργίας, συντήρησης και εκσυγχρονισμού των συστημάτων ασφαλείας.

Οι τρεις πρώτες ερωτήσεις σχετίζονται άμεσα με το πρόβλημα της αξιολόγησης πραγματικών απειλών (Εικ. 7.1) 16]. Οι απαντήσεις σε αυτές τις ερωτήσεις είναι διφορούμενες - πολλά εξαρτώνται από τη δομή, το πεδίο εφαρμογής και τους στόχους της εταιρείας. Κατά την ενοποίηση μεμονωμένων και εταιρικών πληροφοριακών συστημάτων και πόρων σε μια ενιαία υποδομή πληροφοριών, ο καθοριστικός παράγοντας είναι να διασφαλιστεί το κατάλληλο επίπεδο ασφάλειας πληροφοριών για κάθε οντότητα που έχει αποφασίσει να εισαγάγει μια ενιαία υποδομή.

Ρύζι. 7.1.

Σε έναν ενιαίο χώρο πληροφοριών μιας κρατικής δομής ή μιας εμπορικής εταιρείας, μηχανισμούς και εργαλείο ελέγχου ταυτότητας για έλεγχο ταυτότητας χρήστη, μηνύματος και περιεχομένου. Έτσι, θα πρέπει να δημιουργηθεί ένα σύστημα ασφάλειας πληροφοριών που θα περιλαμβάνει το απαραίτητο σύνολο μέτρων και τεχνικές λύσειςγια προστασία:

  • από δυσλειτουργία χώρο πληροφοριών εξαλείφοντας τον αντίκτυπο σε κανάλια πληροφόρησηςκαι πόρους·
  • μη εξουσιοδοτημένη πρόσβαση στην πληροφόρηση με τον εντοπισμό και την εξάλειψη των προσπαθειών χρήσης των πόρων του χώρου πληροφοριών, που οδηγούν σε παραβίαση της ακεραιότητάς του·
  • καταστροφή του ενσωματωμένου προστατευτικού εξοπλισμού με τη δυνατότητα εντοπισμού της ανικανότητας των ενεργειών των χρηστών και του προσωπικού συντήρησης·
  • υλοποίηση λογισμικού " ιούς " και "σελιδοδείκτες " σε προϊόντα λογισμικούκαι τεχνικά μέσα.

Ιδιαίτερα αξιοσημείωτα είναι τα καθήκοντα διασφάλισης της ασφάλειας των αναπτυγμένων και τροποποιημένων συστημάτων σε ένα ολοκληρωμένο περιβάλλον πληροφοριών, καθώς κατά τη διαδικασία τροποποίησης του CIS, η εμφάνιση καταστάσεων έκτακτης ανάγκης ανασφάλειας του συστήματος (οι λεγόμενες "τρύπες στο σύστημα") είναι αναπόφευκτη.

Παράλληλα με την ανάλυση των συγκεκριμένων μέσων προστασίας που υπάρχουν στην εταιρεία, η ανάπτυξη του πολιτική ασφάλειας πληροφοριών, συμπεριλαμβανομένου ενός συνόλου οργανωτικών και διοικητικών μέτρων και εγγράφων, καθώς και μεθοδολογικών και τεχνικών λύσεων που αποτελούν τη βάση για τη δημιουργία μιας υποδομής ασφάλειας πληροφοριών (Εικ. 7.2) .

Ρύζι. 7.2.

Το επόμενο βήμα στην ανάπτυξη ολοκληρωμένο σύστημαασφάλεια πληροφοριών είναι η απόκτηση, εγκατάσταση και διαμόρφωση εργαλείων και μηχανισμών προστασίας πληροφοριών. Τέτοια μέσα περιλαμβάνουν συστήματα για την προστασία πληροφοριών από μη εξουσιοδοτημένη πρόσβαση, συστήματα κρυπτογραφική προστασία, τείχη προστασίας(firewalls, firewalls), εργαλεία ανάλυσης ασφαλείας κ.λπ. Για τη σωστή και αποτελεσματική χρήση των εγκατεστημένων εργαλείων προστασίας απαιτείται εξειδικευμένο προσωπικό.

Με την πάροδο του χρόνου, τα διαθέσιμα εργαλεία προστασίας καθίστανται απαρχαιωμένα, νέες εκδόσεις συστημάτων ασφάλειας πληροφοριών κυκλοφορούν, ο κατάλογος των ευπαθειών και των επιθέσεων που εντοπίστηκαν διευρύνεται συνεχώς, η τεχνολογία επεξεργασίας πληροφοριών, το λογισμικό και το υλικό, καθώς και το προσωπικό της εταιρείας αλλάζουν. Ως εκ τούτου, είναι απαραίτητο να επανεξετάζονται τακτικά τα αναπτυγμένα οργανωτικά και διοικητικά έγγραφα, να διεξάγεται έρευνα του IS ή των υποσυστημάτων του, να εκπαιδεύεται το προσωπικό και να ενημερώνονται τα μέσα προστασίας.

Κάθε επιχείρηση που λαμβάνει πόρους, συμπεριλαμβανομένων των πόρων πληροφοριών, τους επεξεργάζεται για να πουλήσει τελικά το δικό της εμπορικό προϊόν στην αγορά. Ταυτόχρονα, δημιουργεί ένα συγκεκριμένο εσωτερικό περιβάλλον, το οποίο διαμορφώνεται από τις προσπάθειες του προσωπικού όλων των δομικών τμημάτων, καθώς και τεχνικά μέσακαι τεχνολογικές διαδικασίες, οικονομικές και κοινωνικές σχέσεις τόσο εντός της επιχείρησης όσο και σε αλληλεπίδραση με το εξωτερικό περιβάλλον.

Οι εταιρικές πληροφορίες αντικατοπτρίζουν τη χρηματοοικονομική και οικονομική κατάσταση της επιχείρησης και τα αποτελέσματα των δραστηριοτήτων της. Παραδείγματα τέτοιων πληροφοριών είναι η εγγραφή και τα νομοθετικά έγγραφα, τα μακροπρόθεσμα και τρέχοντα σχέδια, οι παραγγελίες, οι οδηγίες, οι εκθέσεις, τα δεδομένα παραγωγής, τα δεδομένα σχετικά με την κίνηση των οικονομικών και άλλων πόρων, οι πληροφορίες για την εκπαίδευση του προσωπικού και οι τομείς εφαρμογής των προϊόντων δραστηριότητας, συμπεριλαμβανομένων μέθοδοι και κανάλια διανομής, τεχνικές πωλήσεων, παραγγελίες, logistics, πληροφορίες για προμηθευτές και συνεργάτες.

Πηγές εταιρικών πληροφοριών - η διεύθυνση και η διοίκηση της επιχείρησης, τμήματα σχεδιασμού και οικονομικών, λογιστικά, τμήματα πληροφορικής και κέντρα υπολογιστών, τμήματα αρχιμηχανικού και αρχιμηχανικού, τμήματα παραγωγής, νομικές υπηρεσίες, υπηρεσίες συντήρησης και επισκευής, τμήματα logistics, προμήθειες και πωλήσεις κλπ.

Το εταιρικό περιβάλλον περιλαμβάνει κυβερνητικούς, οικονομικούς, πολιτικούς και κοινωνικούς παράγοντες που δραστηριοποιούνται εκτός της επιχείρησης. Οι πληροφορίες έξω από το εταιρικό περιβάλλον είναι συχνά ελλιπείς, αντιφατικές, κατά προσέγγιση, ετερογενείς και δεν αντικατοπτρίζουν επαρκώς την κατάσταση του εξωτερικό περιβάλλον. Παραδείγματα εξωτερικών πληροφοριών που υπερβαίνουν το εταιρικό περιβάλλον είναι η κατάσταση της αγοράς (μακροπρόθεσμη και τρέχουσα κατάστασή της, τάσεις στο επιχειρηματικό περιβάλλον, διακυμάνσεις προσφοράς και ζήτησης, αστάθεια της κατάστασης, αστάθεια, ασυνέπεια απαιτήσεων), αλλαγές στη νομοθεσία, τις προσδοκίες των καταναλωτών, τις «ίντριγκες» των ανταγωνιστών, τις συνέπειες των πολιτικών γεγονότων κ.λπ.

Οι περισσότερες από αυτές τις πληροφορίες είναι ανοιχτές, ωστόσο, ανάλογα με τα χαρακτηριστικά των εσωτερικών δραστηριοτήτων και την αλληλεπίδραση με τον έξω κόσμο, ορισμένες από τις πληροφορίες μπορεί να προορίζονται "για επίσημη χρήση", π.χ. να είναι «αυστηρά εμπιστευτικό» ή «μυστικό». Τέτοιες πληροφορίες είναι συνήθως «ιδιωτικές» και απαιτούν κατάλληλα μέτρα ασφαλείας.

Για να διασφαλίσετε την ασφάλεια κατά την εργασία με προστατευμένες πληροφορίες, Πρώτα, παράταξη πολιτική εργασίας με εμπιστευτικές και αποκλειστικές πληροφορίες, να αναπτύξει και να εφαρμόσει κατάλληλες κατευθυντήριες γραμμές και διαδικασίες και, δεύτερον, να παρέχει τους απαραίτητους πόρους λογισμικού και υλικού.

Το λογισμικό και το υλικό για εργασία με προστατευμένες πληροφορίες είτε είναι ενσωματωμένο στις κατάλληλες ενότητες του εταιρικού συστήματος πληροφοριών (CIS) είτε χρησιμοποιούνται τοπικά σε συστήματα που καθορίζονται στην πολιτική ασφάλειας πληροφοριών. Αυτές περιλαμβάνουν συσκευές που:

  • παρακολούθηση της διακίνησης εμπιστευτικών πληροφοριών μέσω του συστήματος πληροφοριών (Data-in-Shell)·
  • διαχείριση ελέγχου διαρροής δεδομένων μέσω της κυκλοφορίας δικτύου μέσω TCP/IP, SMTP, IMAP, HTTP(ων), IM (ICQ, AOL, MSN), FTP, SQL, εγγενών πρωτοκόλλων μέσω φιλτραρίσματος περιεχομένου σε επίπεδο:
  • – μια πύλη από την οποία διέρχεται η κυκλοφορία εσωτερικό δίκτυοσε εξωτερικό δίκτυο (Data-in-Motion)·
  • – ένας διακομιστής που επεξεργάζεται έναν συγκεκριμένο τύπο κίνησης (Data-at-Rest).
  • σταθμός εργασίας(Δεδομένα σε χρήση);
  • – εσωτερικά κανάλια αλληλογραφίας του Microsoft Exchange, Lotus Notes κ.λπ.
  • – διαχείριση του ελέγχου για τη διαρροή προστατευμένων πληροφοριών από σταθμούς εργασίας, περιφερειακούς και κινητούς
  • – καθιέρωση προληπτικής προστασίας και προσωπικής τείχη προστασίας;
  • – σκιώδης αντιγραφή αντικειμένων πληροφοριών σε μια ενιαία βάση δεδομένων φιλτραρίσματος περιεχομένου για όλα τα κανάλια σύμφωνα με ενιαίους κανόνες.

Η σωστή οργάνωση της προστασίας των προστατευόμενων δεδομένων και πληροφοριών δεν είναι εύκολη και δαπανηρή. Για να γίνει αυτό, είναι απαραίτητο να ταξινομήσετε δεδομένα, να πραγματοποιήσετε μια λεπτομερή απογραφή των πόρων πληροφοριών, να επιλέξετε μια κατάλληλη λύση λογισμικού και υλικού, να αναπτύξετε και να εφαρμόσετε ένα σύνολο κανονιστικών εγγράφων για τη διασφάλιση της εσωτερικής ασφάλειας. Ο κύριος ρόλος σε αυτό το δύσκολο έργο για την ελαχιστοποίηση των κινδύνων διαρροής δεδομένων διαδραματίζεται από την ικανότητα και τη βούληση της ανώτατης διοίκησης της επιχείρησης, τις σχετικές πολιτικές και την αποτελεσματική λογισμικό, καθώς και το καθεστώς εμπορικού μυστικού κατά την εργασία με προστατευμένες πληροφορίες.

Ασφάλεια Πληροφοριών. Πορεία διαλέξεων Artemov A.V.

Θέμα 1. Κατάσταση θεμάτων ασφάλειας πληροφοριών

Επί του παρόντος, τα ζητήματα της ασφάλειας των πληροφοριών στα πανεπιστήμια έχουν γίνει όλο και πιο επίκαιρα. Θα πρέπει να θυμόμαστε ότι το πρόβλημα των παραβάσεων στους υπολογιστές ξεκίνησε από τα πανεπιστήμια (για παράδειγμα, ο ιός Morris). Σύμφωνα με το Υπουργείο Εσωτερικών, ο αριθμός των εγκλημάτων ηλεκτρονικών υπολογιστών για το προηγούμενο έτος στη Ρωσία αυξήθηκε κατά 4 φορές. Μια ανάλυση μηνυμάτων στο Διαδίκτυο σχετικά με ποινικά αδικήματα βάσει άρθρων εγκλημάτων ηλεκτρονικών υπολογιστών έδειξε ότι ουσιαστικά όλα διαπράχθηκαν από μαθητές. Επιπλέον, πολλά περιστατικά βρίσκονται στα πρόθυρα εγκλημάτων ηλεκτρονικών υπολογιστών. Εκτός από τις δικτυακές επιθέσεις, πρόσφατα υπήρξε ένα φαινόμενο όπως η ενημερωτική αντιπαράθεση μαθητών στο Διαδίκτυο, για παράδειγμα: διατήρηση ανεπίσημων ιστοσελίδων πανεπιστημίων (mgtu.ru), παρουσίαση συμβιβαστικού υλικού για καθηγητές, «αφηρημένη» υποστήριξη κ.λπ. .

Επί του παρόντος, μπορούμε να μετρήσουμε περίπου δύο δωδεκάδες πανεπιστήμια όπου πραγματοποιείται ενεργή εργασία στον τομέα της ασφάλειας πληροφοριών και έχουν δημιουργήσει εκπαίδευση στις ειδικότητες της ασφάλειας πληροφοριών. Πέντε πανεπιστήμια διαθέτουν έγκυρες άδειες από την Κρατική Τεχνική Επιτροπή της Ρωσίας για τη διδασκαλία ειδικών μαθημάτων, καθώς και για την ανάπτυξη εργαλείων ασφάλειας πληροφοριών. Ωστόσο, στα περισσότερα πανεπιστήμια δεν δίνεται επαρκής προσοχή στην ολοκληρωμένη παροχή ασφάλειας πληροφοριών. Η ανασκόπηση του Διαδικτύου των τεχνολογιών πληροφορικής στα πανεπιστήμια (http://www.cnews.ru/education) μας επιτρέπει να συμπεράνουμε ότι η εφαρμογή τους βρίσκεται σε πολύ πρώιμο στάδιο ανάπτυξης.

Από το βιβλίο Information Security of Man and Society: ένας οδηγός μελέτης συγγραφέας Πετρόφ Σεργκέι Βικτόροβιτς

2.3. Η θέση της ασφάλειας πληροφοριών στο σύστημα εθνικής ασφάλειας της Ρωσίας σύγχρονος κόσμοςΗ ασφάλεια των πληροφοριών γίνεται ζωτική προϋπόθεση για τη διασφάλιση των συμφερόντων ενός ατόμου, της κοινωνίας και του κράτους, και ο πιο σημαντικός, κομβικός, σύνδεσμος του συνόλου

Από το βιβλίο Ενέδρες, στημένα και άλλα κόλπα των ελεγκτών της τροχαίας ο συγγραφέας Kuzmin Sergey

Κεφάλαιο 3 ΚΥΡΙΕΣ ΚΑΤΕΥΘΥΝΣΕΙΣ ΔΙΑΤΗΡΗΣΗΣ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ Η σφαίρα των πληροφοριών, ως παράγοντας διαμόρφωσης συστήματος στη ζωή της κοινωνίας, επηρεάζει ενεργά την κατάσταση της πολιτικής, οικονομικής, άμυνας και άλλων συνιστωσών της ασφάλειας της Ρωσίας

Από το βιβλίο Πιστοποίηση Σύνθετων Τεχνικών Συστημάτων συγγραφέας Smirnov Vladimir

4.1. Το Σύνταγμα της Ρωσικής Ομοσπονδίας και το Δόγμα της Ασφάλειας Πληροφοριών της Ρωσικής Ομοσπονδίας σχετικά νομική υποστήριξησφαίρα πληροφοριών Το πρόβλημα της νομικής ρύθμισης των σχέσεων στον τομέα της ασφάλειας των πληροφοριών είναι ένα από τα πιο σημαντικά για τη Ρωσία. Πολλά εξαρτώνται από την απόφασή της.

Από το βιβλίο Ασφάλεια Πληροφοριών. Μάθημα διάλεξης συγγραφέας Artemov A. V.

4.5. Διεθνής συνεργασία της Ρωσίας στον τομέα της διασφάλισης της ασφάλειας των πληροφοριών Η διεθνής συνεργασία της Ρωσικής Ομοσπονδίας στον τομέα της διασφάλισης της ασφάλειας των πληροφοριών αποτελεί αναπόσπαστο μέρος των πολιτικών, στρατιωτικών, οικονομικών, πολιτιστικών και άλλων

Από το βιβλίο του συγγραφέα

ΚΑΝΟΝΙΣΜΟΙ ΕΞΕΤΑΣΕΩΣ ΑΤΟΜΟΥ ΠΟΥ ΟΔΗΓΕΙ ΟΧΗΜΑ ΓΙΑ ΤΗΝ ΚΑΤΑΣΤΑΣΗ ΑΛΚΟΟΛΙΚΗΣ ΜΕΘΗΣ ΚΑΙ ΓΙΑ ΚΑΤΑΧΩΡΗΣΗ ΤΩΝ ΑΠΟΤΕΛΕΣΜΑΤΩΝ ΤΗΣ, ΑΝΑΦΟΡΑ ΤΟΥ ΣΥΓΚΕΚΡΙΜΕΝΟΥ ΑΤΟΜΟΥ ΓΙΑ ΙΑΤΡΙΚΗ ΕΞΕΤΑΣΗ ΓΙΑ ΤΗΝ ΚΡΑΤΟΝΟΜΙΚΗ ΕΞΕΤΑΣΗ,

Από το βιβλίο του συγγραφέα

7.6. Μέθοδοι και μέσα ενημέρωσης υποστήριξης συστημάτων διασφάλισης ποιότητας

Από το βιβλίο του συγγραφέα

Ερώτηση 1. Η θέση της ασφάλειας πληροφοριών στο σύστημα εθνικής ασφάλειας της Ρωσίας: έννοια, δομή και περιεχόμενο Πληροφόρηση των κοινωνικοπολιτικών, οικονομικών και στρατιωτικών δραστηριοτήτων της χώρας και, ως εκ τούτου, η ταχεία ανάπτυξη των συστημάτων πληροφοριών

Από το βιβλίο του συγγραφέα

Ερώτηση 2. Τα κύρια καθοδηγητικά έγγραφα που διέπουν θέματα ασφάλειας πληροφοριών Λαμβάνοντας υπόψη την έννοια της εθνικής ασφάλειας της Ρωσίας, που εγκρίθηκε με Διάταγμα του Προέδρου της Ρωσικής Ομοσπονδίας της 17ης Δεκεμβρίου 1997 αρ. 1300 (όπως τροποποιήθηκε στις 10 Ιανουαρίου 2000), το οποίο αντανακλά την με το όνομα «Χάρτης της Οκινάουα

Από το βιβλίο του συγγραφέα

Ερώτηση 3. Σύγχρονες απειλές για την ασφάλεια των πληροφοριών στη Ρωσία Σύμφωνα με το νόμο περί ασφάλειας, ως απειλή ασφαλείας νοείται ένα σύνολο συνθηκών και παραγόντων που θέτουν σε κίνδυνο τα ζωτικά συμφέροντα ενός ατόμου, της κοινωνίας και του κράτους. Εννοια

Από το βιβλίο του συγγραφέα

Διάλεξη 4 Μεθοδολογία Κατασκευής εταιρικό σύστημαδιασφάλιση της ασφάλειας των πληροφοριών Εκπαιδευτικές ερωτήσεις:1. Ποικιλίες αναλυτικών εργασιών για την αξιολόγηση ασφάλειας.2. Μοντέλο και μεθοδολογία του εταιρικού συστήματος ασφάλειας πληροφοριών.3. Δημιουργία οργανωτικών

Από το βιβλίο του συγγραφέα

Διάλεξη 6 Βασικές αρχές ασφάλειας πληροφοριών στον τραπεζικό τομέα Εκπαιδευτικές ερωτήσεις:1. Χαρακτηριστικά ασφάλειας πληροφοριών τραπεζών2. Ανάλυση της κατάστασης των τραπεζικών αυτοματοποιημένων συστημάτων από άποψη ασφάλειας3. Αρχές τραπεζικής προστασίας

Από το βιβλίο του συγγραφέα

Ερώτηση 1. Χαρακτηριστικά της ασφάλειας πληροφοριών των τραπεζών Από την ίδρυσή τους, οι τράπεζες ανέκαθεν έχουν προκαλέσει εγκληματικό ενδιαφέρον. Και αυτό το ενδιαφέρον συνδέθηκε όχι μόνο με την αποθήκευση κεφαλαίων σε πιστωτικά ιδρύματα, αλλά και με το γεγονός ότι οι τράπεζες συγκέντρωσαν ένα σημαντικό

Από το βιβλίο του συγγραφέα

Ερώτηση 1. Γενικευμένο μοντέλο διαδικασιών ασφάλειας πληροφοριών Γενικά μοντέλα συστημάτων και διαδικασιών ασφάλειας πληροφοριών είναι εκείνα που σας επιτρέπουν να προσδιορίσετε (αξιολογήσετε) Γενικά χαρακτηριστικάαυτών των συστημάτων και διαδικασιών, σε αντίθεση με τα τοπικά και ιδιωτικά μοντέλα,

Από το βιβλίο του συγγραφέα

Ερώτηση 1. Ορισμός μαθηματικών μοντέλων για τη διασφάλιση της ασφάλειας πληροφοριών σε αυτοματοποιημένα συστήματα ελέγχου

Από το βιβλίο του συγγραφέα

Ερώτηση 2. Συγκριτική ανάλυση και βασικοί ορισμοί μαθηματικών μοντέλων ασφάλειας πληροφοριών

Από το βιβλίο του συγγραφέα

Διάλεξη 11 Βασικές κατευθύνσεις διασφάλισης της ασφάλειας των πληροφοριών δίκτυα υπολογιστώνεκπαιδευτικά ιδρύματα Εκπαιδευτικά ερωτήματα:1. Κατάσταση θεμάτων ασφάλειας πληροφοριών.2. Απειλές και τρωτά σημεία του KSS.3. Στάδια κατασκευής BKSUZ.4. Κατεύθυνση

καθοδήγηση και περιγράφει την προσέγγιση του οργανισμού στη διαχείριση της ασφάλειας πληροφοριών. Τουλάχιστον, η πολιτική θα πρέπει να περιλαμβάνει τα ακόλουθα:

α) ορισμός της ασφάλειας των πληροφοριών, οι γενικοί στόχοι και το πεδίο εφαρμογής της, καθώς και η αποκάλυψη της σημασίας της ασφάλειας ως εργαλείου που επιτρέπει μοιρασιάπληροφορίες;

β) δήλωση των στόχων και των αρχών της ασφάλειας των πληροφοριών όπως διατυπώθηκαν από τη διοίκηση·

σε) περίληψητις πιο σημαντικές πολιτικές ασφαλείας, αρχές, κανόνες και απαιτήσεις για τον οργανισμό, για παράδειγμα:

1) συμμόρφωση με νομικές απαιτήσεις και συμβατικές υποχρεώσεις·

2) Απαιτήσεις εκπαίδευσης σε θέματα ασφάλειας·

3) πρόληψη και ανίχνευση ιών και άλλου κακόβουλου λογισμικού·

4) διαχείριση επιχειρησιακής συνέχειας·

5) ευθύνη για παραβιάσεις της πολιτικής ασφάλειας·

δ) καθορισμός γενικών και ειδικών αρμοδιοτήτων των εργαζομένων στο πλαίσιο της διαχείρισης της ασφάλειας πληροφοριών, συμπεριλαμβανομένης της αναφοράς περιστατικών ασφάλειας πληροφοριών.

ε) αναφορές σε έγγραφα που συμπληρώνουν την πολιτική ασφάλειας πληροφοριών, όπως πιο λεπτομερείς πολιτικές και διαδικασίες ασφαλείας για συγκεκριμένα συστήματα πληροφοριών, καθώς και κανόνες ασφαλείας που πρέπει να ακολουθούν οι χρήστες,

Μια τέτοια πολιτική θα πρέπει να κοινοποιείται σε όλους τους υπαλλήλους του οργανισμού σε προσιτή και κατανοητή μορφή.

3.1.2 Επανεξέταση και αξιολόγηση

Είναι σημαντικό ο οργανισμός να ορίσει έναν υπεύθυνο πολιτικής ασφαλείας που είναι υπεύθυνος για την εφαρμογή και την αναθεώρησή του σύμφωνα με τις καθιερωμένες διαδικασίες. Αυτή η διαδικασία θα πρέπει να διασφαλίζει ότι η πολιτική ασφάλειας πληροφοριών αναθεωρείται σύμφωνα με αλλαγές που επηρεάζουν τη βάση της αρχικής αξιολόγησης κινδύνου, για παράδειγμα, με τον εντοπισμό σημαντικών περιστατικών ασφάλειας πληροφοριών, την εμφάνιση νέων τρωτών σημείων ή αλλαγές στην οργανωτική ή τεχνολογική υποδομή. Οι περιοδικοί έλεγχοι θα πρέπει να διενεργούνται σύμφωνα με ένα καθορισμένο χρονοδιάγραμμα και να περιλαμβάνουν:

- έλεγχος της αποτελεσματικότητας της πολιτικής με βάση τη φύση, τον αριθμό και τις συνέπειες των αναφερόμενων περιστατικών ασφάλειας πληροφοριών·

- τον προσδιορισμό του κόστους των δραστηριοτήτων διαχείρισης ασφάλειας πληροφοριών και των επιπτώσεών τους στην επιχειρηματική απόδοση·

- αξιολόγηση των επιπτώσεων των αλλαγών στην τεχνολογία.

4 Θέματα οργανωτικής ασφάλειας

4.1 Οργανωτική υποδομή ασφάλειας πληροφοριών

Σκοπός: διαχείριση της ασφάλειας πληροφοριών στον οργανισμό.

Η δομή διακυβέρνησης θα πρέπει να σχεδιαστεί για να διευκολύνει την έναρξη και τον έλεγχο της εφαρμογής της ασφάλειας πληροφοριών στον οργανισμό,

Θα πρέπει να συσταθούν κατάλληλα διοικητικά συμβούλια, με τη συμμετοχή των ανώτερων στελεχών, για να εγκρίνουν την πολιτική ασφάλειας πληροφοριών, να διορίζουν υπαλλήλους ασφάλειας πληροφοριών και να συντονίζουν την υλοποίηση των δραστηριοτήτων διαχείρισης ασφάλειας πληροφοριών στον οργανισμό. Εάν είναι απαραίτητο, θα πρέπει να υπάρχει ένας ειδικός ασφάλειας πληροφοριών εντός του οργανισμού με τον οποίο μπορούν να επικοινωνήσουν οι ενδιαφερόμενοι υπάλληλοι. Θα πρέπει να δημιουργηθούν επαφές με εξωτερικούς επαγγελματίες ασφάλειας προκειμένου να παρακολουθούνται οι τάσεις του κλάδου, οι τρόποι και οι μέθοδοι αξιολόγησής του, καθώς και για να ανταποκρίνονται επαρκώς σε συμβάντα ασφάλειας πληροφοριών. Θα πρέπει να ενθαρρυνθεί μια διεπιστημονική προσέγγιση στην ασφάλεια των πληροφοριών, για παράδειγμα, μέσω της συνεργασίας μεταξύ διευθυντών, χρηστών, διαχειριστών, προγραμματιστών εφαρμογών, ελεγκτών και υπαλλήλων ασφαλείας, καθώς και επαγγελματιών ασφάλισης και διαχείρισης κινδύνων.

Η διασφάλιση της ασφάλειας των πληροφοριών είναι ευθύνη της ανώτατης διοίκησης ενός οργανισμού, την οποία μοιράζονται όλα τα μέλη του.Επομένως, κατά τη συγκρότηση ενός συμβουλίου ασφάλειας πληροφοριών, θα πρέπει να υπάρχει σαφής διαχείριση και πραγματική υποστήριξη από τη διαχείριση πρωτοβουλιών ασφάλειας. Ένα τέτοιο συμβούλιο θα πρέπει να συμβάλλει στην ενίσχυση της ασφάλειας στον οργανισμό μέσω της άμεσης συμμετοχής της διοίκησης και της διάθεσης των απαραίτητων πόρων. Μπορεί να είναι μέρος ενός υπάρχοντος διοικητικού οργάνου. Κατά κανόνα, ένα τέτοιο συμβούλιο εκτελεί τις ακόλουθες λειτουργίες:

- έγκριση και αναθεώρηση της πολιτικής ασφάλειας πληροφοριών και των αντίστοιχων αρμοδιοτήτων για την εφαρμογή της·

- παρακολούθηση σημαντικών αλλαγών στις επιπτώσεις των κύριων απειλών για τις δραστηριότητες πληροφόρησης

- ανάλυση και παρακολούθηση περιστατικών παραβίασης της ασφάλειας των πληροφοριών·

- έγκριση μεγάλων έργων στον τομέα της ασφάλειας πληροφοριών.

Επιπλέον, θα πρέπει να οριστεί διευθυντής υπεύθυνος για όλα τα θέματα που σχετίζονται με την ασφάλεια των πληροφοριών.

4.1.2 Συντονισμός ασφάλειας πληροφοριών

Για τον συντονισμό της υλοποίησης των δραστηριοτήτων διαχείρισης ασφάλειας πληροφοριών σε έναν μεγάλο οργανισμό, μπορεί να είναι απαραίτητο να δημιουργηθεί μια επιτροπή, η οποία θα περιλαμβάνει εκπροσώπους της διοίκησης των ενδιαφερόμενων τμημάτων του οργανισμού.

Συνήθως, μια τέτοια επιτροπή:

- συμφωνεί για συγκεκριμένους ρόλους και ευθύνες ασφάλειας πληροφοριών σε ολόκληρο τον οργανισμό·

- συμφωνεί για συγκεκριμένες μεθόδους και διαδικασίες για την ασφάλεια των πληροφοριών, για παράδειγμα, όπως η αξιολόγηση κινδύνου, η ταξινόμηση των πληροφοριών όσον αφορά τις απαιτήσεις ασφάλειας·

- συντονίζει και παρέχει υποστήριξη για πρωτοβουλίες και έργα ασφάλειας πληροφοριών σε ολόκληρο τον οργανισμό, όπως η ανάπτυξη ενός προγράμματος ευαισθητοποίησης για την ασφάλεια των εργαζομένων·

- διασφαλίζει τη συμπερίληψη των απαιτήσεων ασφαλείας σε όλα τα έργα που σχετίζονται με την επεξεργασία και τη χρήση πληροφοριών·

- αξιολογεί την επάρκεια και συντονίζει την υλοποίηση συγκεκριμένων δραστηριοτήτων διαχείρισης ασφάλειας πληροφοριών για νέα συστήματα ή υπηρεσίες·

- αναλύει περιστατικά ασφάλειας πληροφοριών·

- συμβάλλει στην επίδειξη υποστήριξης για την ασφάλεια των πληροφοριών από την ανώτατη διοίκηση του οργανισμού.

4.1.3 Κατανομή αρμοδιοτήτων για τη διασφάλιση της ασφάλειας των πληροφοριών

Θα πρέπει να καθοριστούν αρμοδιότητες για την προστασία μεμονωμένων περιουσιακών στοιχείων και για την εφαρμογή συγκεκριμένων

διαδικασίες που σχετίζονται με την ασφάλεια των πληροφοριών.

Η πολιτική ασφάλειας πληροφοριών (Ενότητα 3) πρέπει να αναφέρει γενικές αρχέςκαι κανόνες για την κατανομή των λειτουργιών και των αρμοδιοτήτων που σχετίζονται με την ασφάλεια των πληροφοριών στον οργανισμό. Η πολιτική θα πρέπει να συμπληρωθεί, όπου χρειάζεται, με λεπτομερέστερη καθοδήγηση για συγκεκριμένους τομείς, συστήματα ή υπηρεσίες.Επιπλέον, θα πρέπει να καθοριστούν με σαφήνεια συγκεκριμένες αρμοδιότητες για μεμονωμένα υλικά και πληροφοριακά περιουσιακά στοιχεία και διαδικασίες που σχετίζονται με την ασφάλεια των πληροφοριών, όπως ο σχεδιασμός επιχειρηματικής συνέχειας.

Σε πολλούς οργανισμούς, ο CIO έχει τη συνολική ευθύνη για την ανάπτυξη και την εφαρμογή του συστήματος ασφάλειας πληροφοριών και για τη βοήθεια στον καθορισμό των δραστηριοτήτων διαχείρισης της ασφάλειας πληροφοριών.

Ταυτόχρονα, την ευθύνη για τον καθορισμό των πόρων που πρέπει να προστατευτούν και την εφαρμογή των δραστηριοτήτων διαχείρισης της ασφάλειας πληροφοριών, στις περισσότερες περιπτώσεις, βαρύνουν τα μεσαία στελέχη. Αποτελεί κοινή πρακτική να ορίζεται ένα υπεύθυνο άτομο (διαχειριστής) για κάθε στοιχείο πληροφοριών, του οποίου τα καθημερινά καθήκοντα περιλαμβάνουν τη διασφάλιση της ασφάλειας αυτού του περιουσιακού στοιχείου.

Ο διαχειριστής του στοιχείου πληροφοριών μπορεί να εκχωρήσει την εξουσιοδότηση ασφαλείας του σε οποιονδήποτε διευθυντή γραμμής ή πάροχο υπηρεσιών. Ωστόσο, ο διαχειριστής παραμένει υπεύθυνος για την ασφάλεια των στοιχείων και πρέπει να μπορεί να προσδιορίσει ότι οποιαδήποτε εξουσιοδότηση ασκείται σωστά.

Θα πρέπει να καθοριστούν τα όρια ευθύνης κάθε διευθυντή και να τηρούνται οι ακόλουθοι κανόνες:

- τα διάφορα περιουσιακά στοιχεία ασφαλείας και διαδικασίες (διαδικασίες) που σχετίζονται με κάθε μεμονωμένο σύστημα θα πρέπει να προσδιορίζονται και να ορίζονται σαφώς·

- Θα πρέπει να ορίζονται αρμόδια πρόσωπα (διαχειριστές) για κάθε περιουσιακό στοιχείο ή διαδικασία ασφαλείας και οι λεπτομέρειες αυτής της ευθύνης θα πρέπει να τεκμηριώνονται.

4.1.4 Διαδικασία απόκτησης άδειας χρήσης εγκαταστάσεων επεξεργασίας πληροφοριών

Πρέπει να καθοριστούν οι διαδικασίες για την απόκτηση άδειας χρήσης νέων εργαλείων επεξεργασίας πληροφοριών.

Σε αυτήν την περίπτωση, μπορούν να πραγματοποιηθούν οι ακόλουθες δραστηριότητες διαχείρισης ασφάλειας πληροφοριών:

- τα νέα εργαλεία πρέπει να εγκρίνονται κατάλληλα από τους διαχειριστές εργαλείων διαχείρισης και διαχείρισης χρηστών που εξουσιοδοτούν τον σκοπό χρήσης τους. Θα πρέπει επίσης να ληφθεί έγκριση από τον διαχειριστή που είναι υπεύθυνος για τη διατήρηση του περιβάλλοντος ασφαλείας του τοπικού συστήματος πληροφοριών για να διασφαλιστεί ότι πληρούνται όλες οι σχετικές πολιτικές και απαιτήσεις ασφαλείας.

- Το υλικό και το λογισμικό θα πρέπει να ελέγχονται για συμβατότητα με άλλα στοιχεία του συστήματος.

ΣΗΜΕΙΩΣΗ 1 Ενδέχεται να απαιτείται έγκριση για ορισμένους τύπους συνδέσεων.

2 Θα πρέπει να επιτρέπεται η χρήση εγκαταστάσεων επεξεργασίας προσωπικών πληροφοριών για την επεξεργασία ιδιόκτητων πληροφοριών και οποιωνδήποτε απαραίτητων δραστηριοτήτων διαχείρισης ασφάλειας πληροφοριών.

3 Η χρήση εργαλείων επεξεργασίας προσωπικών πληροφοριών στον χώρο εργασίας μπορεί να είναι η αιτία νέων τρωτών σημείων και ως εκ τούτου θα πρέπει να αξιολογηθεί και να εξουσιοδοτηθεί.

Αυτές οι δραστηριότητες διαχείρισης ασφάλειας πληροφοριών είναι ιδιαίτερα σημαντικές σε ένα δικτυακό περιβάλλον.

4.1.5 Συμβουλές ειδικών σε θέματα ασφάλειας πληροφοριών

Συμβουλές ασφαλείας απαιτούνται από πολλούς οργανισμούς. Στην ιδανική περίπτωση, θα πρέπει να παρέχονται από έναν έμπειρο σύμβουλο ασφάλειας πληροφοριών που είναι υπάλληλος του οργανισμού. Αλλά δεν μπορούν όλοι οι οργανισμοί να έχουν έναν επαγγελματία σύμβουλο στο προσωπικό τους. Σε τέτοιες περιπτώσεις, συνιστάται ο διορισμός ενός αφοσιωμένου ατόμου (διαχειριστή) για την ενοποίηση της γνώσης και της εμπειρίας εντός του οργανισμού, προκειμένου να διασφαλιστεί η συνέπεια και η υποστήριξη στη λήψη αποφάσεων ασφάλειας. Αυτό το μέλος του προσωπικού θα πρέπει επίσης να έχει πρόσβαση στους απαραίτητους εξωτερικούς συμβούλους για τη λήψη επαγγελματικών συμβουλών για θέματα πέρα ​​από τις αρμοδιότητές του.

Οι σύμβουλοι ή οι διαχειριστές ασφάλειας πληροφοριών θα πρέπει να είναι επιφορτισμένοι με την παροχή συμβουλών για όλες τις πτυχές της ασφάλειας των πληροφοριών, συμπεριλαμβανομένης της συμμετοχής εξωτερικών συμβούλων. Η ποιότητα της αξιολόγησης των απειλών ασφαλείας και η ανάπτυξη συστάσεων για δραστηριότητες διαχείρισης ασφάλειας πληροφοριών καθορίζουν σημαντικά την αποτελεσματικότητά του στον οργανισμό. Για να εξασφαλιστεί η μέγιστη αποδοτικότητα και αποτελεσματικότητα των δραστηριοτήτων των συμβούλων (διαχειριστές), θα πρέπει να τους δοθεί η ευκαιρία άμεσης πρόσβασης στην ανώτατη διοίκηση του οργανισμού.

Θα πρέπει να ζητηθεί η γνώμη ενός συμβούλου ασφάλειας πληροφοριών ή ενός διαχειριστή, το συντομότερο δυνατό, εάν υπάρχει υποψία περιστατικού ασφάλειας πληροφοριών ή ευπάθειας ασφάλειας, για να διασφαλιστεί ότι παρέχονται εξειδικευμένες συμβουλές ή πόροι. Αν και οι περισσότερες έρευνες εσωτερικής ασφάλειας διεξάγονται συνήθως υπό την επίβλεψη της διοίκησης, μπορεί να είναι σκόπιμο να επικοινωνήσετε με έναν σύμβουλο ασφάλειας πληροφοριών (διαχειριστή) με σκοπό την ανάπτυξη συστάσεων, καθώς και τη συμμετοχή του στην έρευνα ή στη διαχείρισή του.

4.1.6 Συνεργασία μεταξύ οργανισμών στον τομέα της ασφάλειας πληροφοριών

Θα πρέπει να διατηρούνται οι κατάλληλες επαφές με τις αρχές επιβολής του νόμου, τις ρυθμιστικές αρχές, τους παρόχους υπηρεσιών πληροφοριών και τους τηλεπικοινωνιακούς φορείς για να διασφαλίζεται ότι ακόμη και σε περίπτωση παραβίασης της ασφάλειας των πληροφοριών, μπορούν να ληφθούν γρήγορα τα κατάλληλα μέτρα και να ληφθούν οι σωστές συμβουλές. Για παρόμοιο σκοπό, θα πρέπει να εξεταστεί η συμμετοχή σε επαγγελματικές ενώσεις και βιομηχανικές εκδηλώσεις στον τομέα της ασφάλειας.