GOST R ISO/IEC 17799:2005 "فناوری اطلاعات. قوانین عملی برای مدیریت امنیت اطلاعات

اکنون محتوای استاندارد ISO/IEC 17799 را در نظر بگیرید. مقدمه بیان می کند که «اطلاعات، فرآیندهای پشتیبانی کننده آن، سیستم های اطلاعاتی و زیرساخت شبکه از دارایی های ضروری یک سازمان هستند. محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات می تواند به میزان قابل توجهی به رقابت پذیری، نقدینگی، سودآوری، انطباق قانونی و شهرت تجاری سازمان کمک کند. بنابراین می توان گفت که این استانداردمسائل را در نظر می گیرد امنیت اطلاعات، از جمله از نقطه نظر اثر اقتصادی.

سه گروه از عوامل نشان داده شده است که باید در هنگام تشکیل الزامات در زمینه امنیت اطلاعات در نظر گرفته شود:

• - ارزیابی ریسک سازمان. از طریق ارزیابی ریسک، تهدیدات برای دارایی‌های سازمان شناسایی می‌شود، آسیب‌پذیری دارایی‌های مربوطه و احتمال تهدیدات و همچنین ارزیابی پیامدهای احتمالی ارزیابی می‌شود.
• - الزامات قانونی، قانونی، مقرراتی و قراردادی که باید توسط سازمان، شرکای تجاری، پیمانکاران و ارائه دهندگان خدمات رعایت شود.
• - مجموعه خاصی از اصول، اهداف و الزامات توسعه یافته توسط سازمان در رابطه با پردازش اطلاعات. پس از تعیین شرایط، مرحله انتخاب آغاز می شود.

اجرای اقدامات مدیریت امنیت اطلاعات که تضمین می کند که خطرات به سطح قابل قبولی کاهش می یابد. انتخاب اقدامات مدیریت امنیت اطلاعات باید بر اساس نسبت هزینه اجرای آنها، تأثیر کاهش ریسک و ضررهای احتمالی در صورت نقض امنیت باشد. عواملی که نمی توان آنها را به صورت پولی بیان کرد، مانند از دست دادن شهرت، نیز باید در نظر گرفته شود. فهرست احتمالی فعالیت ها در استاندارد آمده است، اما به این نکته اشاره شده است که می توان آن را به طور مستقل بر اساس نیازهای سازمان تکمیل یا تشکیل داد.

اجازه دهید به طور خلاصه بخش های استاندارد و اقدامات پیشنهادی در آنها را برای محافظت از اطلاعات فهرست کنیم. گروه اول به سیاست امنیتی مربوط می شود. لازم است که آن را تدوین، تایید مدیریت سازمان، منتشر و به اطلاع کلیه کارکنان برساند. باید رویه کار با منابع اطلاعاتی سازمان، وظایف و مسئولیت های کارکنان را مشخص کند. این خط مشی به صورت دوره ای بازبینی می شود تا وضعیت فعلی سیستم و خطرات شناسایی شده را منعکس کند.

بخش بعدی به مسائل سازمانی مرتبط با امنیت اطلاعات می پردازد. این استاندارد ایجاد هیئت های مدیریتی (با مشارکت مدیریت عالی شرکت) را برای تصویب خط مشی امنیتی، انتصاب افراد مسئول، توزیع مسئولیت ها و هماهنگی اجرای فعالیت های مدیریت امنیت اطلاعات در سازمان توصیه می کند. فرآیند اخذ مجوز برای سازمان برای استفاده از امکانات پردازش اطلاعات (شامل نرم افزار و سخت افزار جدید) نیز باید شرح داده شود تا منجر به مشکلات امنیتی نشود. همچنین تعیین روش تعامل با سایر سازمان ها در مورد مسائل امنیت اطلاعات، مشاوره با متخصصان "خارجی" و تأیید مستقل (ممیزی) امنیت اطلاعات ضروری است.

هنگام ارائه دسترسی به سیستم های اطلاعاتی برای متخصصان شخص ثالث، باید به مسائل امنیتی توجه ویژه ای شود. ارزیابی خطرات مرتبط با انواع متفاوتدسترسی (فیزیکی یا منطقی، یعنی از راه دور) چنین متخصصانی به منابع مختلف سازمان. نیاز به ارائه دسترسی باید توجیه شود و توافقات با اشخاص ثالث و سازمان ها باید شامل الزامات مربوط به انطباق با سیاست های امنیتی باشد. به همین ترتیب، پیشنهاد می شود در مورد دخالت سازمان های شخص ثالث در پردازش اطلاعات (برون سپاری) اقدام شود.

بخش بعدی استاندارد به طبقه بندی و مدیریت دارایی ها اختصاص دارد. برای اطمینان از امنیت اطلاعات یک سازمان، لازم است که تمام دارایی های اطلاعاتی عمده حسابداری شده و به صاحبان مسئول واگذار شود. پیشنهاد می شود با یک موجودی شروع شود. به عنوان مثال، طبقه بندی دارایی های زیر آورده شده است:

• - اطلاعاتی (پایگاه های داده و فایل های داده، اسناد سیستم و غیره)؛
• - نرم افزار(نرم افزار کاربردی، نرم افزار سیستم، ابزارها و ابزارهای توسعه)؛
• - دارایی های فیزیکی (تجهیزات کامپیوتری، تجهیزات ارتباطی، حامل های اطلاعات، سایر تجهیزات فنی، مبلمان، محل)؛
• - خدمات (خدمات محاسباتی و ارتباطی، خدمات عمومی).

در مرحله بعد، پیشنهاد می شود اطلاعات به منظور تعیین اولویت، ضرورت و درجه حفاظت از آن طبقه بندی شود. در عین حال، اطلاعات مربوطه را می توان بر حسب اینکه چقدر برای سازمان حیاتی است ارزیابی کرد، به عنوان مثال، از نظر اطمینان از یکپارچگی و در دسترس بودن آن. پس از آن، پیشنهاد می‌شود یک روش برچسب‌گذاری برای پردازش اطلاعات ایجاد و اجرا شود. رویه‌های برچسب‌گذاری باید برای هر سطح از طبقه‌بندی تعریف شود تا انواع پردازش اطلاعات زیر را در نظر بگیرد:

• - کپی برداری؛
• - ذخیره سازی؛
• - ارسال از طریق پست، فکس و ایمیل؛
• - انتقال صدا، از جمله تلفن همراه، پست صوتی، منشی تلفنی;
• - تخریب.

بخش 6 به مسائل امنیتی مربوط به پرسنل می پردازد. این استاندارد تعریف می کند که مسئولیت های امنیتی باید در مرحله استخدام توزیع شود، در قراردادهای کاری گنجانده شود و در کل دوره کار کارمند نظارت شود. به ویژه، پس از پذیرش در یک پرسنل ثابت، توصیه می شود صحت مدارک ارائه شده توسط متقاضی، کامل بودن و صحت رزومه، توصیه های ارائه شده توسط وی بررسی شود. توصیه می شود که کارمندان یک قرارداد محرمانه امضا کنند که در آن مشخص شود چه اطلاعاتی محرمانه یا سری هستند. برخورد انضباطی با کارکنانی که خط‌مشی‌ها و رویه‌های امنیتی سازمان را نقض می‌کنند باید اتخاذ شود. در صورت لزوم، این مسئولیت باید برای یک دوره مشخص پس از پایان کار ادامه یابد.

کاربران باید در روش های امنیتی و استفاده صحیح از ابزارهای پردازش اطلاعات آموزش ببینند تا خطرات احتمالی را به حداقل برسانند. علاوه بر این، روشی برای گزارش تخلفات امنیت اطلاعات باید تعریف شود که لازم است پرسنل با آن آشنا شوند. رویه مشابهی باید در موارد خرابی نرم افزار دنبال شود. چنین حوادثی باید ثبت و تجزیه و تحلیل شوند تا مشکلات تکرار شونده شناسایی شوند.

بخش بعدی استاندارد به حفاظت فیزیکی و محافظت در برابر قرار گرفتن در معرض می پردازد. محیط. بیان شده است که «وسایل پردازش اطلاعات حیاتی یا مهم خدماتی باید در مناطق امنیتی، تعیین شده توسط یک محیط امنیتی خاص با مناسب قرار گیرد. موانع حفاظتیو کنترل های نفوذ این مناطق باید از نظر فیزیکی از دسترسی، آسیب و ضربه غیرمجاز محافظت شوند.» علاوه بر سازماندهی کنترل دسترسی به مناطق حفاظت شده، روش انجام کار در آنها و در صورت لزوم رویه های سازماندهی دسترسی بازدیدکنندگان باید تعیین شود. همچنین لازم است از امنیت تجهیزات (از جمله تجهیزاتی که در خارج از سازمان استفاده می شوند) اطمینان حاصل شود تا خطر دسترسی غیرمجاز به داده ها کاهش یابد و از آن ها در برابر از بین رفتن یا آسیب محافظت شود. همین گروه از الزامات شامل محافظت در برابر قطع برق و حفاظت از شبکه کابلی است. همچنین، رویه هایی برای نگهداری تجهیزات باید با در نظر گرفتن الزامات ایمنی، و روش دفع ایمن یا استفاده مجدد از تجهیزات تعریف شود. به عنوان مثال، رسانه های حذف شده حاوی اطلاعات مهمتوصیه می‌شود به‌جای استفاده از توابع حذف استاندارد داده‌ها، به صورت فیزیکی تخریب یا بازنویسی شود.

برای به حداقل رساندن خطر دسترسی غیرمجاز یا آسیب اسناد کاغذی، رسانه ها و رسانه های پردازش اطلاعات، توصیه می شود سیاست میز تمیز برای اسناد کاغذی و رسانه های قابل جابجایی و همچنین سیاست صفحه نمایش شفاف برای رسانه های پردازش اطلاعات اعمال شود. تجهیزات، اطلاعات یا نرم افزارها را نمی توان از محل سازمان حذف کرد مگر اینکه مجاز به انجام این کار باشد.

عنوان بخش 8 "مدیریت انتقال داده ها و عملیات" است. این مستلزم آن است که مسئولیت ها و رویه های مرتبط با عملکرد کلیه امکانات پردازش اطلاعات ایجاد شود. به عنوان مثال، تغییرات پیکربندی در ابزارها و سیستم های پردازش اطلاعات باید کنترل شود. اجرای اصل تفکیک وظایف در رابطه با وظایف مدیریتی، انجام وظایف و حوزه های معین الزامی است.

توصیه می شود توسعه، آزمایش و عملیات صنعتینرم افزار (نرم افزار). قوانین انتقال نرم افزار از وضعیت توسعه به وضعیت پذیرفته شده برای بهره برداری باید تعریف و مستند شود.

زمانی که پیمانکاران شخص ثالث در مدیریت امکانات پردازش اطلاعات درگیر باشند، خطرات اضافی به وجود می آید. چنین خطراتی باید از قبل شناسایی شده و ترتیبات مدیریت امنیت اطلاعات مناسب با پیمانکار توافق شده و در قرارداد گنجانده شود.

برای فراهم کردن ظرفیت های لازم برای پردازش و ذخیره سازی اطلاعات، لازم است الزامات عملکرد فعلی و همچنین پیش بینی های آینده مورد تجزیه و تحلیل قرار گیرد. این پیش بینی ها باید عملکردی جدید و سیستم مورد نیازو همچنین برنامه های توسعه فعلی و آتی فناوری اطلاعاتدر سازمان. الزامات و معیارهای اتخاذ سیستم های جدید باید به وضوح تعریف، توافق، مستندسازی و آزمایش شوند.

باید تدابیری اتخاذ شود تا از ورود نرم افزارهای مخربی مانند ویروس های کامپیوتری، کرم های شبکه، اسب های تروجان و بمب های منطقی. خاطرنشان می شود که حفاظت در برابر نرم افزارهای مخرب باید بر اساس درک الزامات امنیتی، کنترل های دسترسی مناسب سیستم و مدیریت صحیح تغییرات باشد.

روش انجام عملیات جانبی باید تعیین شود که شامل پشتیبان گیرینرم افزار و داده ها، ثبت رویدادها و خطاها و در صورت لزوم، نظارت بر وضعیت سخت افزار. ترتیبات افزونگی برای هر سیستم جداگانه باید به طور منظم آزمایش شود تا اطمینان حاصل شود که الزامات طرح‌های تداوم کسب و کار را برآورده می‌کنند.

تضمین امنیت اطلاعات در شبکه ها و حفاظت از زیرساخت های پشتیبانی، مستلزم اجرای کنترل های امنیتی و حفاظت از سرویس های متصل از دسترسی غیرمجاز است.

توجه ویژه به مسائل مربوط به رسانه های ذخیره سازی امن ™ معطوف شده است انواع مختلف: اسناد، رسانه های ذخیره سازی رایانه (نوارها، دیسک ها، نوارها)، داده های ورودی/خروجی و مستندات سیستم در اثر آسیب. توصیه می شود ترتیب استفاده از رسانه های متحرک را تنظیم کنید اطلاعات کامپیوتری(ترتیب کنترل محتوا، ذخیره سازی، تخریب و ...). همانطور که در بالا ذکر شد، رسانه ها در پایان استفاده باید به طور ایمن و ایمن دور ریخته شوند.

برای اطمینان از اینکه اطلاعات در برابر افشای غیرمجاز یا سوء استفاده محافظت می شود، لازم است رویه هایی برای مدیریت و ذخیره اطلاعات تعریف شود. این رویه‌ها باید به گونه‌ای طراحی شوند که اطلاعات را دسته‌بندی کنند و در اسناد، سیستم‌های محاسباتی، شبکه‌ها، رایانه‌های لپ‌تاپ، ارتباطات سیار، پست، پست صوتی، ارتباطات صوتی به طور کلی، دستگاه‌های چندرسانه‌ای، استفاده از فکس و هر مورد مهم دیگری مانند فرم‌ها اعمال شوند. چک و صورت حساب اسناد سیستم ممکن است حاوی اطلاعات مهم خاصی باشد، بنابراین باید از آن نیز محافظت شود.

فرآیند تبادل اطلاعات و نرم افزار بین سازمان ها باید کنترل شده و مطابق با قوانین جاری باشد. به ویژه، امنیت حامل های اطلاعات در طول انتقال باید تضمین شود، سیاستی برای استفاده از پست الکترونیکو سیستم های اداری الکترونیکی باید مراقب یکپارچگی اطلاعات منتشر شده به صورت الکترونیکی، مانند اطلاعات موجود در یک وب سایت، بود. قبل از اینکه چنین اطلاعاتی در دسترس عموم قرار گیرد، یک فرآیند مجوز رسمی مناسب نیز مورد نیاز است.

بخش بعدی استاندارد به مسائل کنترل دسترسی می پردازد. این مستلزم آن است که قوانین کنترل دسترسی و حقوق هر کاربر یا گروهی از کاربران به طور منحصر به فرد توسط خط مشی امنیتی تعریف شده باشد. کاربران و ارائه دهندگان خدمات باید از لزوم رعایت این الزامات آگاه شوند.

هنگام استفاده از احراز هویت رمز عبور، باید روی رمزهای عبور کاربر کنترل داشته باشید. به ویژه، کاربران باید سندی مبنی بر اینکه رمزهای عبور باید کاملاً محرمانه نگه داشته شوند را امضا کنند. اطمینان از امنیت فرآیند دریافت رمز توسط کاربر و در صورت استفاده، مدیریت کاربران توسط رمز عبور آنها (تغییر اجباری رمز عبور پس از اولین ورود و ...) الزامی است.

دسترسی به خدمات شبکه داخلی و خارجی باید کنترل شود. کاربران فقط باید اجازه دسترسی مستقیم به خدماتی را داشته باشند که برای آنها مجوز داده شده است. توجه ویژه باید به احراز هویت از راه دور کاربر شود. بر اساس ارزیابی ریسک، تعیین سطح حفاظتی مورد نیاز به منظور انتخاب روش احراز هویت مناسب مهم است. امنیت استفاده از خدمات شبکه نیز باید کنترل شود.

بسیاری از دستگاه های شبکه و محاسبات دارای ابزارهای تشخیصی و مدیریت از راه دور داخلی هستند. تدابیر امنیتی نیز باید در مورد این تاسیسات اعمال شود.

در جایی که شبکه ها توسط چندین سازمان به اشتراک گذاشته می شوند، الزامات خط مشی کنترل دسترسی باید تعریف شود تا این مورد در نظر گرفته شود. همچنین ممکن است لازم باشد که اقدامات مدیریت امنیت اطلاعات اضافی را برای محدود کردن توانایی کاربران برای اتصال اجرا کنید.

در سطح سیستم عامل، ابزارهای امنیت اطلاعات باید برای محدود کردن دسترسی استفاده شود منابع کامپیوتری. این به شناسایی و احراز هویت پایانه ها و کاربران اشاره دارد. توصیه می‌شود که همه کاربران دارای شناسه‌های منحصربه‌فرد باشند که حاوی سطح امتیاز کاربر نباشد. سیستم های مدیریت رمز عبور باید قابلیت های تعاملی موثری را برای حفظ کیفیت مورد نیاز ارائه دهند. استفاده از ابزارهای کمکی سیستم باید محدود و به دقت کنترل شود.

در صورتی که کاربر ممکن است مورد خشونت قرار گیرد (اگر چنین رویدادی محتمل ارزیابی شود) مطلوب است. با این حال، مسئولیت ها و روش های واکنش به چنین هشداری باید تعریف شود.

پایانه‌هایی که به سیستم‌های پرخطر خدمت می‌کنند، زمانی که در مکان‌هایی با دسترسی آسان قرار می‌گیرند، باید پس از آن خاموش شوند دورهی معینعدم اقدام آنها برای جلوگیری از دسترسی افراد غیرمجاز. همچنین می‌توان محدودیتی در مدت زمانی که پایانه‌ها مجاز به اتصال به خدمات رایانه‌ای هستند، معرفی کرد.

در سطح برنامه نیز لازم است اقدامات امنیت اطلاعات اعمال شود. به طور خاص، این ممکن است محدودیت دسترسی برای دسته خاصی از کاربران باشد. سیستم هایی که اطلاعات مهم را پردازش می کنند باید با یک محیط محاسباتی اختصاصی (ایزوله) ارائه شوند.

نظارت بر سیستم برای تشخیص انحراف از الزامات سیاست کنترل دسترسی و ارائه شواهد در صورت شناسایی حوادث امنیت اطلاعات ضروری است. نتایج پایش باید به طور منظم بررسی شود. دنباله حسابرسی می تواند برای بررسی حوادث استفاده شود، بنابراین مهم است نصب صحیح(همگام سازی) ساعت کامپیوتر.

هنگام استفاده از دستگاه های قابل حمل، مانند لپ تاپ، لازم است اقدامات ویژه ای برای مقابله با به خطر افتادن اطلاعات اختصاصی انجام شود. باید یک خط مشی رسمی اتخاذ شود که خطرات مرتبط با کار با دستگاه های قابل حمل، به ویژه در یک محیط ناامن را در نظر بگیرد.

بخش دهم استاندارد «توسعه و نگهداری سیستم ها» نام دارد. در حال حاضر در مرحله توسعه سیستم های اطلاعاتی، لازم است اطمینان حاصل شود که الزامات امنیتی در نظر گرفته شده است. و در حین کارکرد سیستم لازم است از گم شدن، تغییر یا سوء استفاده از داده های کاربران جلوگیری شود. برای انجام این کار، توصیه می شود که سیستم های کاربردی تأیید صحت ورودی و خروجی داده ها، کنترل پردازش داده ها در سیستم، احراز هویت پیام و ثبت اقدامات کاربر را ارائه دهند.

برای اطمینان از محرمانه بودن، یکپارچگی و احراز هویت داده ها، می توان از ابزارهای رمزنگاری حفاظت استفاده کرد.

نقش مهمی در فرآیند حفاظت از اطلاعات با اطمینان از یکپارچگی نرم افزار ایفا می شود. برای به حداقل رساندن آسیب به سیستم های اطلاعاتی، اجرای تغییرات باید به شدت کنترل شود. به صورت دوره ای، نیاز به ایجاد تغییرات در آن وجود دارد سیستم های عامل. در این موارد لازم است سیستم های کاربردی مورد تجزیه و تحلیل و آزمایش قرار گیرند تا اطمینان حاصل شود که هیچ اثر نامطلوبی بر عملکرد و ایمنی آنها وجود ندارد. تا جایی که امکان دارد، بسته های نرم افزاری آماده پیشنهاد می شود که بدون تغییر استفاده شوند.

یک مسئله مرتبط، مقابله با تروجان ها و استفاده از کانال های نشت مخفی است. یکی از روش های اقدامات متقابل استفاده از نرم افزار به دست آمده از فروشندگان قابل اعتماد و نظارت بر یکپارچگی سیستم است.

در مواردی که یک سازمان شخص ثالث درگیر توسعه نرم افزار است، لازم است اقداماتی برای کنترل کیفیت و صحت کار انجام شده ارائه شود.

بخش بعدی استاندارد به مدیریت تداوم کسب و کار می پردازد. در مرحله اولیه، قرار است رویدادهایی که ممکن است باعث وقفه در فرآیندهای تجاری شوند (خرابی تجهیزات، آتش سوزی و غیره) شناسایی شوند. در این مورد، لازم است ارزیابی عواقب انجام شود و سپس برنامه های بهبودی تدوین شود. کفایت طرح ها باید با آزمایش تایید شود و خود آنها باید به صورت دوره ای بررسی شوند تا تغییرات سیستم در نظر گرفته شود.

بخش آخر بر مسائل مربوط به انطباق تمرکز دارد. اول از همه، ایگو مربوط به انطباق سیستم و روش عملکرد آن با الزامات قانون است. این شامل مسائل مربوط به رعایت حق چاپ (از جمله نرم افزار)، حفاظت است اطلاعات شخصی(کارکنان، مشتریان)، جلوگیری از سوء استفاده از ابزارهای پردازش اطلاعات. هنگام استفاده از ابزارهای رمزنگاری برای محافظت از اطلاعات، آنها باید با قوانین قابل اجرا مطابقت داشته باشند. روش جمع آوری شواهد در صورت دعوای قضایی مربوط به حوادث امنیتی نیز باید به طور کامل توسعه یابد. سیستم اطلاعات.

خود سیستم های اطلاعاتی باید با خط مشی امنیتی سازمان و استانداردهای قابل اجرا مطابقت داشته باشند. امنیت سیستم های اطلاعاتی نیاز به بررسی و ارزیابی منظم دارد. در عین حال، هنگام انجام ممیزی امنیتی نیز باید اقدامات امنیتی رعایت شود تا این امر منجر به عواقب نامطلوب نشود (مثلاً خرابی یک سرور مهم به دلیل ممیزی امنیتی).

به طور خلاصه می توان اشاره کرد که استاندارد طیف گسترده ای از مسائل مربوط به تضمین امنیت سیستم های اطلاعاتی را در نظر می گیرد و توصیه های عملی در تعدادی از زمینه ها ارائه شده است.

• به عنوان مثال می توان به رمزهای عبور برای وارد کردن «تحت فشار» اشاره کرد. اگر کاربر چنین رمز عبوری را وارد کند، سیستم فرآیند ورود عادی کاربر را نمایش می‌دهد و پس از آن یک شکست برای جلوگیری از دسترسی مهاجمان به داده‌ها شبیه‌سازی می‌شود.

مفهوم امنیت اطلاعات مفهوم امنیت اطلاعات در اصطلاحات حقوقی روسیه به دلیل فقدان یک مبنای روش شناختی واحد که بر اساس آن فقط ماهیت آن، میزان نیاز به استفاده و محدودیت های کاربرد را می توان تعیین کرد، به خوبی تثبیت نشده است. متأسفانه این مبنای روش شناختی هنوز ایجاد نشده است که نه تنها در بحث مفهوم امنیت اطلاعات در صفحات نشریات آموزشی و علمی، بلکه در متون اسناد رسمی از جمله مقررات به وضوح نمایان است.

مفهوم امنیت اطلاعات در دکترین امنیت اطلاعات توسعه یافته است فدراسیون روسیه(از این پس - دکترین)، که مجموعه ای از دیدگاه های رسمی در مورد اهداف، اهداف، اصول و جهت گیری های اصلی تضمین امنیت اطلاعات دولت است. مطابق بند 1 دکترین، امنیت اطلاعات فدراسیون روسیه به عنوان وضعیت حفاظت از منافع ملی آن در حوزه اطلاعاتتوسط مجموع منافع متوازن فرد، جامعه و دولت تعیین می شود.

تعریف اعتقادی امنیت اطلاعات مبتنی بر مفهوم عمومی امنیت به عنوان "وضعیت امنیت" است که در قانون فدراسیون روسیه "در مورد امنیت" ذکر شده است. فرمول اعتقادی هدف حفاظت مطابق با هدف عمومی است که در قانون فدراسیون روسیه "در مورد امنیت" به عنوان "منافع حیاتی" شناسایی شده است. با توجه به نقش و اهمیت دکترین، باید اذعان داشت که استفاده و توسعه بیشتر مفهوم امنیت اطلاعات در جهت تعیین شده توسط این سند صورت خواهد گرفت، اگرچه مشکل سازترین آن است، زیرا نیازمند پاسخ به یک سوالی که هنوز توسط چندین نسل از دانشمندان پیدا نشده است. این سؤال از آنجایی که ما در مورد هدف حمایتی صحبت می کنیم که مبتنی بر منافع ملی است که توسط مجموع منافع متوازن فرد، جامعه و دولت تعیین می شود، تعیین تعادل منافع فرد و جامعه به عنوان یک موضوع است. کل بالاخره آنچه به نفع فرد است، همیشه به نفع کل جامعه نیست; و بالعکس، آنچه به نفع کل جامعه است ممکن است به وضوح با مصلحت یک فرد مخالف باشد.

در همین حال، دکترین تلاش می کند تا منافع ملی فدراسیون روسیه را در حوزه اطلاعاتی بر اساس چهار مؤلفه آنها ساختار دهد.

اولین مؤلفه منافع ملی شامل رعایت حقوق اساسی و آزادی های یک فرد و یک شهروند در زمینه کسب اطلاعات و استفاده از آن، اطمینان از تجدید معنوی روسیه، حفظ و تقویت ارزش های اخلاقی در جامعه، سنت های جامعه است. میهن پرستی و انسان دوستی، ظرفیت های فرهنگی و علمی کشور.

مؤلفه دوم منافع ملی شامل حمایت اطلاعاتی از سیاست دولتی فدراسیون روسیه است که با ارائه اطلاعات قابل اعتماد در مورد سیاست دولتی روسیه و موضع رسمی آن در مورد رویدادهای مهم اجتماعی در زندگی روسیه و بین المللی به افکار عمومی روسیه و بین المللی مرتبط است. با اطمینان از دسترسی شهروندان به منابع اطلاعاتی دولتی باز.

مولفه سوم منافع ملی ترکیبی از توسعه فناوری های نوین اطلاعات، صنعت اطلاعات داخلی، از جمله صنعت ابزارهای اطلاع رسانی، مخابراتو ارتباطات، رفع نیازها بازار داخلیمحصولات خود و ورود این محصولات به بازارهای جهانی و همچنین اطمینان از تجمع، نگهداری و استفاده موثرداخلی منابع اطلاعات.

و در نهایت، چهارمین مؤلفه منافع ملی، حفاظت از منابع اطلاعاتی در برابر دسترسی غیرمجاز و تضمین امنیت اطلاعات و سیستم های مخابراتی است که قبلاً مستقر شده و در خاک روسیه ایجاد شده اند.

فرض بر این است که هر چهار مؤلفه منافع ملی در حوزه اطلاعات را می توان به نوبه خود به عنوان مجموعه ای از منافع متوازن فرد، جامعه و دولت در نظر گرفت. در عین حال، منافع فرد در اجرای حقوق اساسی یک فرد و یک شهروند برای دسترسی به اطلاعات، استفاده از اطلاعات در جهت انجام فعالیت هایی که توسط قانون منع نشده است، رشد جسمی، معنوی و فکری است. و همچنین در حفاظت از اطلاعاتی که امنیت شخصی را تضمین می کند. منافع جامعه تضمین منافع فرد در حوزه اطلاعات، تقویت دموکراسی، ایجاد یک دولت اجتماعی قانونی، دستیابی و حفظ هماهنگی عمومی و تجدید معنوی روسیه است. منافع دولت ایجاد شرایط برای توسعه هماهنگ زیرساخت اطلاعات روسیه، برای اجرای حقوق اساسی و آزادی های انسان و شهروند در زمینه کسب اطلاعات و استفاده از آن به منظور اطمینان از مصونیت قانون اساسی است. نظم، حاکمیت و تمامیت ارضی روسیه، ثبات سیاسی، اقتصادی و اجتماعی، در تامین بی قید و شرط قانون و نظم، توسعه همکاری های بین المللی برابر و متقابلا سودمند.

وظایف اصلی برای اطمینان از امنیت اطلاعات. بر اساس منافع ملی فدراسیون روسیه در حوزه اطلاعات، وظایفی برای تضمین امنیت اطلاعات تشکیل می شود. ماهیت این وظایف با توجه به وضعیت فعلی حوزه امنیت اطلاعات، با در نظر گرفتن وجود برخی تهدیدات خارجی و داخلی برای حقوق و آزادی های قانون اساسی انسان و شهروند، منافع جامعه و دولت تعیین می شود.

دکترین وظایف اصلی زیر را برای تضمین امنیت اطلاعات تعریف می کند:

• توسعه جهت های اصلی سیاست دولتی در زمینه امنیت اطلاعات در روسیه و همچنین اقدامات و مکانیسم های مربوط به اجرای این برنامه.
• توسعه و بهبود سیستم امنیت اطلاعات که یک سیاست دولتی واحد را در این زمینه اجرا می کند، از جمله بهبود اشکال، روش ها و ابزارهای شناسایی، ارزیابی و پیش بینی تهدیدات برای امنیت اطلاعات روسیه و همچنین سیستمی برای مقابله با این تهدیدات.
• توسعه برنامه های هدفمند فدرال برای تضمین امنیت اطلاعات در روسیه؛
• توسعه معیارها و روش‌هایی برای ارزیابی اثربخشی سیستم‌ها و ابزارهای امنیت اطلاعات و همچنین صدور گواهینامه این سیستم‌ها و ابزارها.
• بهبود چارچوب نظارتی برای تضمین امنیت اطلاعات در روسیه، از جمله مکانیسم های اعمال حقوق شهروندان برای دریافت اطلاعات و دسترسی به آن، فرم ها و روش های اجرای هنجارهای قانونی مربوط به تعامل دولت با رسانه ها.
• تعیین مسئولیت مقامات مقامات ایالتی فدرال، مقامات ایالتی نهادهای تشکیل دهنده فدراسیون روسیه، دولت های محلی، اشخاص حقوقیو شهروندان برای انطباق با الزامات امنیت اطلاعات؛
• هماهنگی فعالیت های نهادهای دولت فدرال، نهادهای دولتی نهادهای تشکیل دهنده فدراسیون روسیه، سازمان ها، صرف نظر از شکل مالکیت آنها، در زمینه تضمین امنیت اطلاعات در روسیه.
• توسعه مبانی علمی و عملی برای تضمین امنیت اطلاعات روسیه با در نظر گرفتن وضعیت ژئوپلیتیک فعلی، شرایط توسعه سیاسی و اجتماعی-اقتصادی روسیه و واقعیت تهدید به استفاده از "سلاح های اطلاعاتی"؛
• توسعه و ایجاد مکانیسم هایی برای تشکیل و اجرای سیاست اطلاعات دولتی روسیه.
• توسعه روش هایی برای افزایش اثربخشی مشارکت دولتی در شکل گیری سیاست اطلاعاتی سازمان های پخش تلویزیونی و رادیویی دولتی، سایر رسانه های دولتی.
• تضمین استقلال فن آوری روسیه در مهمترین زمینه های اطلاعات، مخابرات و ارتباطات، که امنیت آن را تعیین می کند، و در درجه اول در زمینه ایجاد فناوری کامپیوتری تخصصی برای سلاح ها و تجهیزات نظامی.
• توسعه روش‌ها و ابزارهای مدرن حفاظت از اطلاعات، تضمین امنیت فناوری‌های اطلاعاتی، و بالاتر از همه آن‌هایی که در سیستم‌های فرماندهی و کنترل نیروها و سلاح‌ها، صنایع خطرناک برای محیط‌زیست و از نظر اقتصادی مهم استفاده می‌شوند.
• توسعه و بهبود سیستم دولتیسیستم حفاظت اطلاعات و حفاظت از اسرار دولتی؛
• ایجاد و توسعه یک پایه تکنولوژیکی امن مدرن برای دولت در زمان صلح، در موقعیت های اضطراریو در زمان جنگ؛
• گسترش تعامل با ارگان ها و سازمان های بین المللی و خارجی در حل مسائل علمی، فنی و حقوقی تضمین امنیت اطلاعات ارسال شده با استفاده از سیستم های مخابراتی و سیستم های ارتباطی بین المللی.
• فراهم کردن شرایط برای توسعه فعال زیرساخت اطلاعات روسیه، مشارکت روسیه در فرآیندهای ایجاد و استفاده جهانی شبکه های اطلاعاتیو سیستم ها؛
• ایجاد سیستم یکپارچهآموزش در زمینه امنیت اطلاعات و فناوری اطلاعات.

به نظر می رسد که شرط ثمربخشی حل این مشکلات و همچنین سایر مشکلات، تبدیل آنها به سطح تأسیسات واقعی است که با ابزارهای هنجاری ثابت شده است. تا زمانی که اینطور نیست، وظایف به خودی خود وجود دارد و در سیستم دیدگاه های رسمی بسته می شود.

روش های تضمین امنیت اطلاعات روش های امنیت اطلاعات به دو دسته عمومی و خصوصی تقسیم می شوند. روش های عمومی به نوبه خود به حقوقی، سازمانی، فنی و اقتصادی متمایز می شوند.

طبق دکترین، روش های قانونی برای تضمین امنیت اطلاعات شامل توسعه قوانین قانونی نظارتی تنظیم کننده روابط در حوزه اطلاعات و اسناد روش شناختی نظارتی در مورد مسائل تضمین امنیت اطلاعات در روسیه است. محورهای اصلی این فعالیت به ویژه عبارتند از:

• تعیین حدود قانونی اختیارات در زمینه امنیت اطلاعات بین ارگانهای دولتی فدرال و نهادهای دولتی نهادهای تشکیل دهنده فدراسیون روسیه، تعیین اهداف، اهداف و مکانیسم های مشارکت انجمن های عمومی، سازمان ها و شهروندان در این فعالیت.
• توسعه و تصویب قوانین قانونی هنجاری فدراسیون روسیه که مسئولیت قانونی و اشخاص حقیقیمطابق دسترسی غیرمجازبه اطلاعات، کپی غیرقانونی، تحریف و استفاده غیرقانونی، انتشار عمدی اطلاعات نادرست، افشای غیرقانونی اطلاعات محرمانه، استفاده از اطلاعات رسمی یا اطلاعات حاوی اسرار تجاری برای اهداف جنایی و مزدوری؛
• تحکیم قانونی اولویت توسعه شبکه های ملیارتباطات و تولید داخلی ماهواره های ارتباطات فضایی؛
• تعیین وضعیت سازمان های ارائه دهنده خدمات شبکه های اطلاعاتی و مخابراتی جهانی در قلمرو روسیه و تنظیم قانونی فعالیت های این سازمان ها.
• ایجاد یک چارچوب قانونی برای تشکیل ساختارهای منطقه ای در روسیه برای تضمین امنیت اطلاعات.

روشهای سازمانی و فنی برای تضمین امنیت اطلاعات به ویژه عبارتند از:

• ایجاد و بهبود سیستم امنیت اطلاعات در روسیه؛
• تقویت فعالیت های اجرای قانون مقامات اجرایی؛
• توسعه، استفاده و بهبود ابزارها و روش‌های امنیت اطلاعات برای نظارت بر اثربخشی این ابزارها؛
• ایجاد سیستم ها و وسایلی برای جلوگیری از دسترسی غیرمجاز به اطلاعات پردازش شده و اثرات ویژه ای که باعث تخریب، تخریب، تحریف اطلاعات و همچنین تغییر در حالت های عادی عملکرد سیستم ها و وسایل اطلاع رسانی و ارتباطات می شود.
• تشخیص دستگاه های فنیو برنامه هایی که برای آنها خطر ایجاد می کنند عملکرد طبیعیسیستم های اطلاعاتی و مخابراتی، جلوگیری از رهگیری اطلاعات از طریق کانال های فنی، استفاده از ابزار رمزنگاری برای محافظت از اطلاعات در حین ذخیره سازی، پردازش و انتقال آن از طریق کانال های ارتباطی.
• صدور گواهینامه ابزارهای حفاظت از اطلاعات، صدور مجوز فعالیت در زمینه حفاظت از اسرار دولتی، استانداردسازی روش ها و ابزارهای حفاظت از اطلاعات؛
• کنترل بر اقدامات پرسنل در سیستم های اطلاعاتی امن.

روش های اقتصادی برای تضمین امنیت اطلاعات عبارتند از:

• توسعه برنامه هایی برای تضمین امنیت اطلاعات در روسیه و تعیین روش تامین مالی آنها.
• بهبود سیستم تامین مالی کارهای مربوط به اجرای روشهای قانونی و سازمانی و فنی حفاظت از اطلاعات، ایجاد سیستم بیمه ریسک اطلاعات اشخاص حقیقی و حقوقی.

روش های خصوصی تضمین امنیت اطلاعات در روسیه به روش هایی تقسیم می شوند که استفاده از آنها به دلیل ویژگی های حوزه های مختلف زندگی جامعه و دولت است. هر یک از این مناطق دارای ویژگی های خاص خود است که با منحصر به فرد بودن اشیاء امنیتی، میزان آسیب پذیری آنها در برابر تهدیدات امنیت اطلاعات مرتبط است. این دکترین مستقیماً به روش‌های خصوصی خاص اشاره نمی‌کند، بلکه با اشیایی عمل می‌کند که بیشتر در معرض تهدیدات امنیت اطلاعات هستند و اقداماتی که باید در حوزه‌های اقتصاد، سیاست داخلی و خارجی، علم و فناوری، حیات معنوی، دفاع انجام شود. ، در سیستم های اطلاعاتی و مخابراتی ملی، در حوزه های انتظامی و قضایی در شرایط اضطراری.

مولفه های امنیت اطلاعات

در حالت کلی، امنیت اطلاعات (IS) را می توان به عنوان «حفاظت از اطلاعات، منابع و زیرساخت های پشتیبانی از اثرات تصادفی یا عمدی ماهیت طبیعی یا مصنوعی که می تواند آسیب های غیرقابل قبولی را به موضوعات روابط اطلاعاتی - تولیدکنندگان، مالکان - وارد کند، تعریف کرد. و استفاده کنندگان اطلاعات و زیرساخت های پشتیبانی».

امنیت اطلاعات صرفاً به محافظت در برابر دسترسی غیرمجاز به اطلاعات محدود نمی شود: این یک مفهوم اساساً گسترده تر است که شامل حفاظت از اطلاعات، فناوری ها و سیستم ها می شود.

الزامات امنیتی در جنبه های مختلف فعالیت اطلاعاتی می تواند به طور قابل توجهی متفاوت باشد، اما آنها همیشه در جهت دستیابی به سه مولفه اصلی امنیت اطلاعات زیر هستند:

• تمامیت. اول از همه، این مربوط بودن و سازگاری اطلاعات، امنیت آن در برابر تخریب و تغییرات غیرمجاز است، یعنی: داده ها و اطلاعاتی که بر اساس آنها تصمیم گیری می شود باید قابل اعتماد، دقیق و محافظت شده از تحریفات غیرعمدی و مخرب احتمالی باشد.
• حریم خصوصی. اطلاعات طبقه بندی شده فقط باید در دسترس شخصی باشد که برای او در نظر گرفته شده است. اگر حقوق دسترسی مناسبی برای آن وجود نداشته باشد، چنین اطلاعاتی را نمی توان به دست آورد، خواند، اصلاح کرد، منتقل کرد.
• دسترسی(آمادگی). این فرصتی است برای زمان قابل قبولدریافت خدمات اطلاعاتی مورد نیاز، یعنی داده ها، اطلاعات و خدمات مرتبط، خدمات خودکارابزارهای تعامل و ارتباط باید در دسترس بوده و هر زمان که نیاز باشد آماده کار باشد.

فعالیت های امنیت اطلاعات با هدف جلوگیری، جلوگیری یا خنثی کردن اقدامات زیر انجام می شود:

• دسترسی غیرمجاز به منابع اطلاعاتی (UAA، دسترسی غیرمجاز)؛
• تحریف، از دست دادن جزئی یا کامل اطلاعات محرمانه؛
• اقدامات هدفمند (حمله) برای از بین بردن یکپارچگی سیستم های نرم افزاریسیستم های داده و ساختارهای اطلاعاتی؛
• خرابی و نقص در عملکرد نرم افزار، سخت افزار و مخابرات.

بنابراین، رویکرد صحیح روش شناختی به مشکلات امنیت اطلاعات با شناسایی موضوعات روابط اطلاعاتی و علایق این موضوعات مرتبط با استفاده از فناوری ها و سیستم های اطلاعاتی (IT / IS) آغاز می شود.

مقطع تحصیلی موقعیت واقعیدر بیشتر موارد به پاسخگویی به سؤالات کلیدی که مبنای سیستمی تضمین امنیت اطلاعات را تشکیل می دهند، ختم می شود، و به ویژه، اینکه آیا لازم است محافظت شود، از چه کسی و چه چیزی باید محافظت شود، چه چیزی و چگونه محافظت شود، چه اقداماتی تضمین می کند. اثربخشی حفاظت و همچنین برآورد هزینه تخمینی توسعه، اجرا، بهره برداری، نگهداری و نوسازی سیستم های امنیتی.

سه سؤال اول مستقیماً با مشکل ارزیابی تهدیدهای واقعی مرتبط است (شکل 7.1) 16]. پاسخ به این سؤالات مبهم است - تا حد زیادی به ساختار، دامنه و اهداف شرکت بستگی دارد. هنگام ادغام سیستم ها و منابع اطلاعاتی فردی و شرکتی در یک زیرساخت اطلاعاتی واحد، عامل تعیین کننده تضمین سطح مناسب امنیت اطلاعات برای هر نهادی است که تصمیم به وارد کردن زیرساخت واحدی دارد.

برنج. 7.1.

در یک فضای اطلاعاتی واحد یک ساختار دولتی یا یک شرکت تجاری، مکانیزم ها و ابزار احراز هویت برای احراز هویت کاربر، پیام و محتوا. بنابراین، باید یک سیستم امنیت اطلاعات ایجاد شود که مجموعه ای از اقدامات لازم را در بر گیرد راه حل های فنیبرای حفاظت:

• از اختلال عملکرد فضای اطلاعاتی با حذف تاثیر بر کانال های اطلاع رسانیو منابع؛
• دسترسی غیرمجاز به اطلاعات از طریق شناسایی و حذف تلاش برای استفاده از منابع فضای اطلاعاتی که منجر به نقض یکپارچگی آن می شود.
• تخریب تجهیزات حفاظتی داخلی با امکان شناسایی بی کفایتی اقدامات کاربران و پرسنل تعمیر و نگهداری؛
• پیاده سازی نرم افزار " ویروس ها " و "نشانک ها " که در محصولات نرم افزاریو وسایل فنی

نکته قابل توجه ویژه وظایف تضمین امنیت سیستم های توسعه یافته و اصلاح شده در یک محیط اطلاعاتی یکپارچه است، زیرا در فرآیند اصلاح CIS، وقوع شرایط اضطراری ناامنی سیستم (به اصطلاح "حفره در سیستم") اجتناب ناپذیر است

همراه با تجزیه و تحلیل ابزارهای حفاظتی خاص موجود در شرکت، توسعه سیاست امنیت اطلاعات، شامل مجموعه ای از اقدامات و اسناد سازمانی و اداری و همچنین راه حل های روش شناختی و فنی است که مبنای ایجاد زیرساخت امنیت اطلاعات است (شکل 7.2).

برنج. 7.2.

گام بعدی در توسعه سیستم یکپارچهامنیت اطلاعات به دست آوردن، نصب و پیکربندی ابزارها و مکانیسم های حفاظت از اطلاعات است. چنین وسایلی شامل سیستم هایی برای محافظت از اطلاعات در برابر دسترسی های غیرمجاز، سیستم ها می شود حفاظت رمزنگاری, فایروال ها(فایروال، فایروال)، ابزارهای آنالیز امنیتی و ... برای استفاده صحیح و موثر از ابزارهای حفاظتی نصب شده به پرسنل واجد شرایط نیاز است.

با گذشت زمان، ابزارهای حفاظتی موجود منسوخ می‌شوند، نسخه‌های جدید سیستم‌های امنیت اطلاعات منتشر می‌شوند، فهرست آسیب‌پذیری‌ها و حملات یافت شده به طور مداوم در حال گسترش است، فناوری پردازش اطلاعات، نرم‌افزار و سخت‌افزار و همچنین پرسنل شرکت در حال تغییر هستند. بنابراین لازم است به طور مرتب اسناد سازمانی و اداری توسعه یافته بررسی شود، بررسی IS یا زیرسیستم های آن، آموزش پرسنل و به روز رسانی وسایل حفاظتی انجام شود.

هر شرکتی که منابعی از جمله منابع اطلاعاتی را دریافت می کند، آنها را پردازش می کند تا در نهایت محصول تجاری خود را در بازار بفروشد. در عین حال، یک محیط داخلی خاص را ایجاد می کند که با تلاش پرسنل کلیه بخش های ساختاری و همچنین تشکیل می شود. وسایل فنیو فرآیندهای تکنولوژیکی، روابط اقتصادی و اجتماعی هم در داخل شرکت و هم در تعامل با محیط خارجی.

اطلاعات شرکت منعکس کننده وضعیت مالی و اقتصادی شرکت و نتایج فعالیت های آن است. نمونه هایی از این اطلاعات عبارتند از: ثبت نام و اسناد قانونی، برنامه های بلندمدت و جاری، دستورات، دستورالعمل ها، گزارش ها، داده های تولید، داده های مربوط به جابجایی منابع مالی و سایر منابع، اطلاعات مربوط به آموزش پرسنل و زمینه های کاربرد محصولات فعالیت، از جمله روش ها و کانال های توزیع، تکنیک های فروش، سفارشات، تدارکات، اطلاعات در مورد تامین کنندگان و شرکا.

منابع اطلاعات شرکت - مدیریت و اداره شرکت، بخش های برنامه ریزی و مالی، حسابداری، بخش های فناوری اطلاعات و مراکز کامپیوتر، بخش های مهندس ارشد و مکانیک ارشد، بخش های تولید، خدمات حقوقی، نگهداری و تعمیرات، بخش های لجستیک، تدارکات و فروش و غیره

محیط شرکت شامل بازیگران دولتی، اقتصادی، سیاسی و اجتماعی است که خارج از شرکت فعال هستند. اطلاعات خارج از محیط شرکت اغلب ناقص، متناقض، تقریبی، ناهمگن است و به اندازه کافی وضعیت شرکت را منعکس نمی کند. محیط خارجی. نمونه هایی از اطلاعات خارجی که فراتر از محیط شرکت است، وضعیت بازار (وضعیت بلندمدت و فعلی آن، روندهای محیط کسب و کار، نوسانات عرضه و تقاضا، بی ثباتی وضعیت، نوسانات، ناهماهنگی الزامات)، تغییرات است. در قوانین، انتظارات مصرف کننده، "دسیسه های" رقبا، پیامدهای رویدادهای سیاسی و غیره.

بیشتر این اطلاعات باز هستند، با این حال، بسته به ویژگی های فعالیت های داخلی و تعامل با دنیای خارج، ممکن است برخی از اطلاعات "برای استفاده رسمی" در نظر گرفته شوند، یعنی. "کاملاً محرمانه" یا "محرمانه" باشد. چنین اطلاعاتی معمولاً "خصوصی" هستند و به اقدامات امنیتی مناسب نیاز دارند.

برای اطمینان از امنیت هنگام کار با اطلاعات محافظت شده، اولا به صف شدن سیاست کار با اطلاعات محرمانه و اختصاصی، رهنمودها و رویه های مناسب را تدوین و اجرا می کند و ثانیاً منابع نرم افزاری و سخت افزاری لازم را فراهم کند.

نرم افزار و سخت افزار برای کار با اطلاعات محافظت شده یا در ماژول های مناسب سیستم اطلاعات شرکت (CIS) تعبیه شده است، یا به صورت محلی در سیستم های مشخص شده در خط مشی امنیت اطلاعات استفاده می شود. اینها شامل دستگاه هایی هستند که:

• نظارت بر حرکت اطلاعات محرمانه از طریق سیستم اطلاعاتی (Data-in-Shell)؛
• مدیریت کنترل نشت داده ها از طریق ترافیک شبکه از طریق TCP/IP، SMTP، IMAP، HTTP(ها)، IM (ICQ، AOL، MSN)، FTP، SQL، پروتکل های بومی با استفاده از فیلتر محتوا در سطح:
• - دروازه ای که از طریق آن ترافیک جریان دارد شبکه داخلیبه یک شبکه خارجی (داده در حرکت)؛
• – سروری که نوع خاصی از ترافیک را پردازش می کند (Data-at-Rest)؛
• – ایستگاه کاری(داده های در حال استفاده)؛
• – کانال های ایمیل داخلی Microsoft Exchange، Lotus Notes و غیره
• - مدیریت کنترل نشت اطلاعات محافظت شده از ایستگاه های کاری، محیطی و موبایل

• - ایجاد حفاظت فعال و شخصی فایروال ها;
• - کپی سایه اشیاء اطلاعاتی در یک پایگاه داده فیلتر محتوا برای همه کانال ها طبق قوانین یکسان.

سازماندهی صحیح حفاظت از داده ها و اطلاعات محافظت شده آسان و پرهزینه نیست. برای انجام این کار، طبقه بندی داده ها، انجام یک فهرست کامل از منابع اطلاعاتی، انتخاب یک راه حل نرم افزاری و سخت افزاری مناسب، توسعه و پیاده سازی مجموعه ای از اسناد نظارتی برای تضمین امنیت داخلی ضروری است. نقش اصلی در این کار دشوار برای به حداقل رساندن خطرات نشت داده ها، صلاحیت و اراده مدیریت ارشد شرکت، سیاست های مربوطه و موثر است. نرم افزارو همچنین رژیم اسرار تجاری هنگام کار با اطلاعات محافظت شده.

امنیت اطلاعات. دوره سخنرانی Artemov A.V.

موضوع 1. وضعیت مسائل امنیت اطلاعات

در حال حاضر مسائل مربوط به امنیت اطلاعات در دانشگاه ها به طور فزاینده ای مطرح شده است. لازم به یادآوری است که مشکل تخلفات رایانه ای از دانشگاه ها سرچشمه گرفته است (مثلاً ویروس موریس). به گفته وزارت امور داخله، تعداد جرایم رایانه ای در سال گذشته در روسیه 4 برابر افزایش یافته است. تجزیه و تحلیل پیام های موجود در اینترنت در مورد جرایم جنایی تحت مواد جرایم رایانه ای نشان داد که تقریباً همه آنها توسط دانش آموزان انجام شده است. علاوه بر این، بسیاری از حوادث در آستانه جرایم رایانه ای قرار دارند. علاوه بر حملات شبکه، اخیراً پدیده ای مانند رویارویی اطلاعاتی دانش آموزان در اینترنت وجود داشته است، به عنوان مثال: نگهداری وب سایت های غیر رسمی دانشگاه ها (mgtu.ru)، قرار دادن مطالب در معرض خطر برای معلمان، پشتیبانی "انتزاعی" و غیره. .

در حال حاضر حدود 22 دانشگاه را می‌توان برشمرد که در آن‌ها در زمینه امنیت اطلاعات به طور فعال فعالیت می‌کنند و در تخصص‌های امنیت اطلاعات آموزش ایجاد کرده‌اند. پنج دانشگاه دارای مجوزهای معتبر از کمیسیون فنی دولتی روسیه برای تدریس دوره های ویژه و همچنین توسعه ابزارهای امنیت اطلاعات هستند. این در حالی است که در اکثر دانشگاه ها به تامین جامع امنیت اطلاعات توجه کافی نمی شود. بررسی اینترنتی فناوری‌های فناوری اطلاعات در دانشگاه‌ها (http://www.cnews.ru/education) به ما این امکان را می‌دهد که به این نتیجه برسیم که اجرای آنها در مراحل اولیه توسعه است.