GOST R ISO/IEC 17799:2005 „Információs technológia. Gyakorlati szabályok az információbiztonság kezeléséhez”

Tekintsük most az ISO/IEC 17799 szabvány tartalmát. A bevezető kimondja, hogy „az információ, az azt támogató folyamatok, az információs rendszerek és a hálózati infrastruktúra a szervezet alapvető eszközei. Az információk bizalmassága, integritása és elérhetősége jelentősen hozzájárulhat a szervezet versenyképességéhez, likviditásához, jövedelmezőségéhez, jogszabályi megfelelőségéhez és üzleti hírnevéhez.” Így tehát azt lehet mondani ezt a szabványt kérdéseket mérlegel információ biztonság, a gazdasági hatás szempontjából is.

Három tényezőcsoportot jelöltek meg, amelyeket figyelembe kell venni az információbiztonság™ területén a követelmények kialakításakor:

  • - a szervezet kockázatértékelése. Kockázatfelméréssel azonosítják a szervezet eszközeit fenyegető veszélyeket, felmérik az érintett eszközök sérülékenységét és a veszélyek valószínűségét, valamint felmérik a lehetséges következményeket;
  • — jogi, törvényi, szabályozási és szerződéses követelmények, amelyeket a szervezetnek, kereskedelmi partnereinek, vállalkozóinak és szolgáltatóinak teljesíteniük kell;
  • - a szervezet által az információfeldolgozással kapcsolatban kidolgozott konkrét elvek, célok és követelmények összessége. A követelmények meghatározása után kezdődik a kiválasztási szakasz.

olyan információbiztonsági menedzsment intézkedések végrehajtása, amelyek biztosítják, hogy a kockázatokat elfogadható szintre csökkentsék. Az információbiztonság-kezelési intézkedések megválasztásánál a megvalósítás költségeinek, a kockázatcsökkentés hatásának és a biztonság megsértése esetén bekövetkező esetleges veszteségeknek az arányát kell alapul venni. Figyelembe kell venni azokat a tényezőket is, amelyeket nem lehet pénzben kifejezni, mint például a hírnév elvesztését. A tevékenységek lehetséges listáját a szabvány tartalmazza, de megjegyzik, hogy a szervezet igényei alapján kiegészíthető vagy önállóan alakítható.

Soroljuk fel röviden a szabvány szakaszait és az azokban javasolt intézkedéseket az információ védelmére. Az első csoport a biztonságpolitikát érinti. Ezt ki kell dolgozni, a szervezet vezetése jóvá kell hagynia, közzé kell tenni és minden dolgozó tudomására hozni. Meg kell határoznia a szervezet információs erőforrásaival való munkavégzés menetét, a munkavállalók feladatait és felelősségét. A szabályzatot rendszeresen felülvizsgálják, hogy tükrözze a rendszer jelenlegi állapotát és az azonosított kockázatokat.

A következő rész az információbiztonsággal kapcsolatos szervezeti kérdésekkel foglalkozik. A szabvány a biztonsági politika jóváhagyására, a felelősök kijelölésére, a felelősségi körök megosztására és az információbiztonsági irányítási tevékenységek szervezeten belüli végrehajtásának koordinálására vezető testületek létrehozását javasolja (a vállalat felső vezetésének részvételével). Le kell írni az információfeldolgozó létesítmények (beleértve az új szoftvereket és hardvereket is) használatára vonatkozó engedélyek megszerzésének folyamatát a szervezet számára, hogy ez ne vezessen biztonsági problémákhoz. Meg kell határozni az információbiztonsági kérdésekben más szervezetekkel való interakció, a "külső" szakemberekkel folytatott konzultáció, valamint az információbiztonság független ellenőrzése (audit) eljárását is.

Az információs rendszerekhez való hozzáférés biztosításakor külső szakemberek számára különös figyelmet kell fordítani a biztonsági kérdésekre. A kapcsolódó kockázatok felmérése különböző típusok az ilyen szakemberek (fizikai vagy logikai, azaz távoli) hozzáférése a szervezet különféle erőforrásaihoz. A hozzáférés biztosításának szükségességét indokolni kell, és a harmadik felekkel és szervezetekkel kötött megállapodásoknak tartalmazniuk kell a biztonsági szabályzatoknak való megfelelésre vonatkozó követelményeket. Hasonlóképpen javasolt eljárni külső szervezetek információfeldolgozásba való bevonása esetén (outsourcing).

A szabvány következő szakasza az eszközök besorolásával és kezelésével foglalkozik. Egy szervezet információbiztonságának biztosításához szükséges, hogy minden fontosabb információs vagyont elszámoljanak és a felelős tulajdonosokhoz rendeljenek. Javasoljuk, hogy leltárral kezdjük. Példaként az eszközök következő besorolását adjuk meg:

  • - információs (adatbázisok és adatfájlok, rendszerdokumentáció stb.);
  • - szoftver(alkalmazási szoftverek, rendszerszoftverek, fejlesztőeszközök és segédprogramok);
  • - tárgyi eszközök (számítógépes berendezések, kommunikációs eszközök, információhordozók, egyéb műszaki berendezések, bútorok, helyiségek);
  • - szolgáltatások (számítástechnikai és kommunikációs szolgáltatások, alapvető közművek).

Ezt követően javasoljuk az információk osztályozását annak érdekében, hogy meghatározzák prioritásukat, szükségességét és védelmi fokát. Ugyanakkor a releváns információk felmérhetők abból a szempontból, hogy mennyire kritikusak a szervezet számára, például integritásának és elérhetőségének biztosítása szempontjából. Ezt követően javasolt az információfeldolgozás címkézési eljárásának kidolgozása és bevezetése. Minden osztályozási szinthez meg kell határozni a címkézési eljárásokat, hogy figyelembe vegyék az információfeldolgozás következő típusait:

  • - másolás;
  • - tárolás;
  • - továbbítás levélben, faxon és e-mailben;
  • - hangátvitel, beleértve mobiltelefon, hangposta, üzenetrögzítők;
  • - pusztítás.

A 6. szakasz a személyzettel kapcsolatos biztonsági kérdésekkel foglalkozik. A szabvány meghatározza, hogy a biztonsági feladatokat a toborzási szakaszban meg kell osztani, bele kell foglalni a munkaszerződésbe, és a munkavállaló teljes munkaideje alatt ellenőrizni kell. Különösen az állandó állományba való felvételkor javasolt ellenőrizni a jelentkező által benyújtott dokumentumok hitelességét, az önéletrajz, az általa benyújtott ajánlások teljességét és pontosságát. Javasoljuk, hogy az alkalmazottak titoktartási megállapodást írjanak alá, amelyben rögzítik, hogy mely információk bizalmasak vagy titkosak. Fegyelmi eljárást kell indítani azokkal az alkalmazottakkal szemben, akik megsértik a szervezet biztonsági szabályzatát és eljárásait. Adott esetben ennek a felelősségnek a munkaviszony megszűnését követően meghatározott ideig fenn kell tartania.

A felhasználókat ki kell képezni a biztonsági eljárásokról és az információfeldolgozó eszközök helyes használatáról a lehetséges kockázatok minimalizálása érdekében. Ezen túlmenően meg kell határozni az információbiztonsági megsértések bejelentési eljárását, amellyel a személyzetet meg kell ismerni. Hasonló eljárást kell követni szoftverhiba esetén. Az ilyen eseményeket rögzíteni és elemezni kell az ismétlődő problémák azonosítása érdekében.

A szabvány következő része a fizikai védelemmel és az expozíció elleni védelemmel foglalkozik. környezet. Kimondják, hogy „a kritikus vagy fontos szolgáltatási információk feldolgozásának eszközeit biztonsági zónákban kell elhelyezni, amelyeket egy bizonyos biztonsági övezet jelöl ki, megfelelő védőkorlátokés behatolásgátlók. Ezeket a területeket fizikailag védeni kell az illetéktelen hozzáféréstől, sérülésektől és behatásoktól.” A védett területekre történő beléptetés megszervezése mellett meg kell határozni az ott végzett munkavégzés rendjét, és szükség esetén a látogatók belépésének megszervezésének rendjét. Gondoskodni kell a berendezések biztonságáról is (beleértve a szervezeten kívül használtakat is), hogy csökkentsük az adatokhoz való jogosulatlan hozzáférés kockázatát, és megóvjuk azokat az elvesztéstől vagy sérüléstől. Ugyanebbe a követelménycsoportba tartozik az áramkimaradás elleni védelem és a kábelhálózat védelme. Ezenkívül eljárásokat kell meghatározni a berendezés karbantartására vonatkozóan, figyelembe véve a biztonsági követelményeket, valamint a berendezés biztonságos ártalmatlanításának vagy újrafelhasználásának eljárását. Például olyan leíró adathordozók, amelyek tartalmazzák fontos információ, ajánlott fizikailag megsemmisíteni vagy biztonságos módon felülírni a szabványos adattörlési funkciók használata helyett.

Az illetéktelen hozzáférés vagy sérülés kockázatának minimalizálása érdekében papír dokumentumokat, adathordozók és információfeldolgozó adathordozók esetében javasolt a tiszta asztali szabályzat bevezetése a papíralapú dokumentumok és a cserélhető adathordozók esetében, valamint az információfeldolgozási adathordozók esetében az egyértelmű képernyőszabályzat. Berendezéseket, információkat vagy szoftvereket nem lehet eltávolítani a szervezet területéről, kivéve, ha erre felhatalmazást kaptak.

A 8. pont címe "Adattovábbítás és műveletek irányítása". Megköveteli az összes információfeldolgozó létesítmény működésével kapcsolatos felelősségi körök és eljárások megállapítását. Például ellenőrizni kell az információfeldolgozó eszközök és rendszerek konfigurációs változásait. A vezetési funkciókkal, egyes feladatok és területek ellátásával kapcsolatban meg kell valósítani a feladatmegosztás elvét.

Javasolt különválasztani a fejlesztést, tesztelést és ipari működés szoftver (szoftver). Meg kell határozni és dokumentálni kell a szoftver fejlesztési állapotból az üzembe helyezés állapotába történő átvitelének szabályait.

További kockázatok merülnek fel, ha harmadik fél vállalkozók vesznek részt az információfeldolgozó létesítmények kezelésében. Az ilyen kockázatokat előre azonosítani kell, és megfelelő információbiztonság-kezelési megállapodásokat kell kötni a vállalkozóval, és bele kell foglalni a szerződésbe.

Az információk feldolgozásához és tárolásához szükséges kapacitások biztosításához szükséges a jelenlegi teljesítménykövetelmények elemzése, valamint a jövőbeni követelmények előrejelzése. Ezeknek az előrejelzéseknek figyelembe kell venniük az új funkcionális és rendszerkövetelmények, valamint jelenlegi és jövőbeli fejlesztési terveket információs technológiák A szervezetben. Az új rendszerek bevezetésére vonatkozó követelményeket és kritériumokat egyértelműen meg kell határozni, meg kell állapodni, dokumentálni és tesztelni kell.

Intézkedéseket kell tenni a rosszindulatú szoftverek bevezetésének megakadályozására és észlelésére, mint pl számítógépes vírusok, hálózati férgek, trójai falók és logikai bombák. Meg kell jegyezni, hogy a rosszindulatú szoftverek elleni védelemnek a biztonsági követelmények, a megfelelő rendszer-hozzáférés-szabályozás és a megfelelő változáskezelés ismeretén kell alapulnia.

Meg kell határozni a kiegészítő műveletek elvégzésének eljárását, amelyek magukban foglalják biztonsági mentés szoftver és adatok, esemény- és hibanaplózás, és adott esetben a hardver állapotának figyelése. Az egyes rendszerek redundanciáját rendszeresen tesztelni kell annak biztosítása érdekében, hogy megfeleljenek az üzletmenet-folytonossági tervek követelményeinek.

A hálózatok információbiztonságának biztosítása és a támogató infrastruktúra védelme megköveteli a biztonsági ellenőrzések végrehajtását és a kapcsolódó szolgáltatások illetéktelen hozzáféréstől való védelmét.

Különös figyelmet fordítanak a biztonságos™ adathordozókkal kapcsolatos kérdésekre különféle típusok: dokumentumok, számítógépes adathordozók (szalagok, lemezek, kazetták), I/O adatok és rendszerdokumentáció sérülésektől. Javasoljuk, hogy állítsa be a cserélhető adathordozó használatának sorrendjét számítógépes információk(a tartalom ellenőrzésének, tárolásának, megsemmisítésének sorrendje stb.). Ahogy fentebb megjegyeztük, a használat végén a médiát biztonságosan és biztonságosan ártalmatlanítani kell.

Annak érdekében, hogy az információk védve legyenek a jogosulatlan nyilvánosságra hozataltól vagy visszaéléstől, meg kell határozni az információk kezelésére és tárolására vonatkozó eljárásokat. Ezeket az eljárásokat úgy kell megtervezni, hogy az információkat kategorizálják, és vonatkozzanak dokumentumokra, számítástechnikai rendszerekre, hálózatokra, laptopokra, mobilkommunikációra, postára, hangpostára, általában a hangkommunikációra, multimédiás eszközökre, faxhasználatra és minden más fontos elemre, például űrlapokra. csekkeket és számlákat. A rendszerdokumentáció tartalmazhat bizonyos fontos információkat, ezért azt is védeni kell.

A szervezetek közötti információ- és szoftvercsere folyamatát ellenőrizni kell, és meg kell felelnie a hatályos jogszabályoknak. Különösen az információhordozók biztonságát kell biztosítani az átvitel során, felhasználási szabályzatot Emailés elektronikus irodai rendszerek. Gondoskodni kell az elektronikusan közzétett információk, például a webhelyeken található információk integritásának védelméről. Megfelelő hivatalos engedélyezési eljárásra is szükség van az ilyen információk nyilvánossá tétele előtt.

A szabvány következő része a hozzáférés-szabályozás kérdéseivel foglalkozik. Ez megköveteli, hogy a hozzáférés-szabályozási szabályokat és az egyes felhasználók vagy felhasználói csoportok jogait a biztonsági szabályzat egyedileg határozza meg. A felhasználókat és a szolgáltatókat fel kell hívni arra, hogy meg kell felelniük ezeknek a követelményeknek.

Jelszavas hitelesítés használatakor ellenőriznie kell a felhasználói jelszavakat. A felhasználóknak különösen alá kell írniuk egy dokumentumot, amelyben kijelentik, hogy a jelszavakat teljesen bizalmasan kell kezelni. Gondoskodnia kell a felhasználó általi jelszószerzés folyamatának, és ha használják, a felhasználók jelszavakkal történő kezelésének biztonságáról (első bejelentkezés utáni kényszerű jelszómódosítás stb.).

A belső és külső hálózati szolgáltatásokhoz való hozzáférést egyaránt ellenőrizni kell. A felhasználóknak csak azokhoz a szolgáltatásokhoz szabad közvetlen hozzáférést biztosítani, amelyekre felhatalmazták őket. Különös figyelmet kell fordítani a távoli felhasználói hitelesítésre. A kockázatértékelés alapján fontos a szükséges védelmi szint meghatározása a megfelelő hitelesítési mód kiválasztásához. A hálózati szolgáltatások használatának biztonságát is ellenőrizni kell.

Számos hálózati és számítástechnikai eszköz rendelkezik beépített távoli diagnosztikai és felügyeleti eszközökkel. A biztonsági intézkedéseket ezekre a létesítményekre is alkalmazni kell.

Ha a hálózatokat több szervezet osztja meg, ennek figyelembevétele érdekében meg kell határozni a hozzáférés-szabályozási szabályokat. Szükség lehet további információbiztonság-kezelési intézkedések bevezetésére is, hogy korlátozzák a felhasználók csatlakozási lehetőségét.

Az operációs rendszer szintjén információbiztonsági eszközöket kell használni a hozzáférés korlátozására számítógépes erőforrások. Ez a terminálok és a felhasználók azonosítására és hitelesítésére vonatkozik. Javasoljuk, hogy minden felhasználó rendelkezzen egyedi azonosítókkal, amelyek nem tartalmazhatják a felhasználó jogosultsági szintjét. A jelszókezelő rendszereknek hatékony interaktív képességeket kell biztosítaniuk a szükséges minőség fenntartása érdekében. A rendszer segédprogramjainak használatát korlátozni és gondosan ellenőrizni kell.

Kívánatos riasztást biztosítani arra az esetre, ha a felhasználó erőszak tárgyává válhat (ha az ilyen eseményt valószínűnek ítélik). Meg kell azonban határozni az ilyen riasztásra való reagálás felelősségét és eljárásait.

A nagy kockázatú rendszereket kiszolgáló terminálokat, ha könnyen hozzáférhető helyen helyezik el, utána le kell kapcsolni bizonyos időszak tétlenségük, hogy megakadályozzák az illetéktelen személyek hozzáférését. Korlátozást is be lehet vezetni arra az időtartamra, amely alatt a terminálok csatlakozhatnak számítógépes szolgáltatásokhoz.

Alkalmazási szinten is szükséges az információbiztonsági intézkedések alkalmazása. Ez különösen a felhasználók bizonyos kategóriái számára korlátozhatja a hozzáférést. A fontos információkat feldolgozó rendszereket dedikált (izolált) számítási környezettel kell ellátni.

A rendszer monitorozása szükséges a hozzáférés-ellenőrzési szabályzat követelményeitől való eltérések észleléséhez, és bizonyítékkal szolgálni információbiztonsági incidensek észlelése esetén. A monitorozás eredményeit rendszeresen felül kell vizsgálni. Az ellenőrzési nyomvonal felhasználható az incidensek kivizsgálására, ezért fontos helyes telepítés(szinkronizálása) a számítógép órájának.

Hordozható eszközök, például laptopok használatakor különleges intézkedéseket kell hozni a védett információk kompromittálásának megakadályozása érdekében. Olyan formalizált szabályzatot kell elfogadni, amely figyelembe veszi a hordozható eszközökkel való munkavégzéssel járó kockázatokat, különösen nem biztonságos környezetben.

A szabvány tizedik szakasza a "Rendszerek fejlesztése és karbantartása" nevet viseli. Már az információs rendszerek fejlesztésének szakaszában gondoskodni kell a biztonsági követelmények figyelembevételéről. A rendszer működése során pedig meg kell akadályozni a felhasználói adatok elvesztését, módosítását vagy visszaélést. Ehhez javasolt, hogy az alkalmazásrendszerek biztosítsák az adatbevitel és -kiadás helyességének megerősítését, a rendszerben az adatfeldolgozás vezérlését, az üzenet hitelesítést és a felhasználói műveletek naplózását.

Az adatok titkosságának, sértetlenségének és hitelesítésének biztosítására kriptográfiai védelmi eszközök alkalmazhatók.

Az információvédelem folyamatában fontos szerepet játszik a szoftver integritásának biztosítása. Az információs rendszerek károsodásának minimalizálása érdekében a változtatások végrehajtását szigorúan ellenőrizni kell. Időnként változtatásokra van szükség Operációs rendszer. Ezekben az esetekben szükséges az alkalmazási rendszerek elemzése és tesztelése annak érdekében, hogy azok működésére és biztonságára ne legyen káros hatás. Amennyire lehetséges, a kész szoftvercsomagokat javasolt módosítás nélkül használni.

Ehhez kapcsolódó probléma a trójaiak elleni küzdelem és a titkos szivárgási csatornák használata. Az ellenintézkedések egyik módja a megbízható szállítóktól beszerzett szoftverek használata és a rendszer integritásának figyelése.

Azokban az esetekben, amikor egy harmadik fél szervezet vesz részt a szoftverfejlesztésben, intézkedéseket kell tenni az elvégzett munka minőségének és helyességének ellenőrzésére.

A szabvány következő része az üzletmenet-folytonosság kezelésével foglalkozik. A kezdeti szakaszban azonosítani kell azokat az eseményeket, amelyek az üzleti folyamatok megszakítását okozhatják (berendezéshiba, tűz stb.). Ebben az esetben szükség van a következmények felmérésére, majd helyreállítási tervek kidolgozására. A tervek megfelelőségét teszteléssel kell igazolni, és maguk is időszakosan felül kell vizsgálni a rendszer változásait.

Az utolsó rész a megfelelési problémákra összpontosít. Az ego mindenekelőtt arra vonatkozik, hogy a rendszer és a működési eljárás megfelel-e a jogszabályi követelményeknek. Ez magában foglalja a szerzői jogok (beleértve a szoftvereket) betartását, a védelmet Személyes adat(munkavállalók, ügyfelek), az információfeldolgozó eszközökkel való visszaélés megelőzése. Amikor titkosítási eszközöket használnak az információk védelmére, meg kell felelniük a vonatkozó jogszabályoknak. Alaposan ki kell dolgozni a biztonsági incidensekkel kapcsolatos peres eljárások esetén a bizonyítékgyűjtési eljárást is. tájékoztatási rendszer.

Maguknak az információs rendszereknek meg kell felelniük a szervezet biztonsági politikájának és a vonatkozó szabványoknak. Az információs rendszerek biztonságát rendszeresen felül kell vizsgálni és értékelni kell. Ugyanakkor a biztonsági audit lefolytatása során is be kell tartani a biztonsági intézkedéseket, hogy ez ne járjon nemkívánatos következményekkel (például egy kritikus szerver meghibásodása biztonsági audit miatt).

Összegezve megállapítható, hogy a szabvány az információs rendszerek biztonságának biztosításával kapcsolatos kérdések széles skáláját veszi figyelembe, és számos területen gyakorlati ajánlásokat fogalmaz meg.

  • Példaként megemlíthetők a „kényszer alatt” beviteli jelszavak. Ha a felhasználó megad egy ilyen jelszót, akkor a rendszer megjeleníti a felhasználó normál bejelentkezési folyamatát, amely után a hibát szimulálva megakadályozza, hogy a támadók hozzáférjenek az adatokhoz.

Az információbiztonság fogalma. Az információbiztonság fogalma az orosz jogi terminológiában az egységes módszertani alap hiánya miatt nem bejáratott, amely alapján csak a lényege, a felhasználási igény mértéke és az alkalmazási korlátok határozhatók meg. Sajnos ez a módszertani alap még nem alakult ki, ami nemcsak az információbiztonság fogalmának tárgyalása során az oktatási és tudományos publikációk oldalain, hanem a hivatalos dokumentumok szövegeiben, ezen belül a rendeletekben is egyértelműen megnyilvánul.

Az információbiztonság fogalmát az információbiztonság doktrínája fejlesztette ki Orosz Föderáció törvény (a továbbiakban - Doktrína), amely az állam információbiztonságának biztosításának céljairól, célkitűzéseiről, elveiről és főbb irányairól alkotott hivatalos nézetek összessége. A doktrína (1) bekezdésével összhangban az Orosz Föderáció információbiztonsága a nemzeti érdekek védelmének állapota. információs szféra az egyén, a társadalom és az állam kiegyensúlyozott érdekeinek összessége határozza meg.

Az információbiztonság doktrinális meghatározása a biztonság mint "biztonsági állapot" általános fogalmán alapul, amelyet az Orosz Föderáció biztonságról szóló törvénye rögzít. A védelem tárgyának doktrinális képlete megfelel az Orosz Föderáció biztonságról szóló törvényében „létfontosságú érdekként” meghatározott általános tárgynak. Tekintettel a Doktrína szerepére és jelentőségére, tudomásul kell venni, hogy az információbiztonság fogalmának további alkalmazása és fejlesztése a jelen dokumentum által meghatározott irányban fog megtörténni, bár ez a legproblémásabb, hiszen választ igényel egy kérdés, amelyet a tudósok több generációja még nem talált meg. Ez a kérdés, mivel az egyén, a társadalom és az állam kiegyensúlyozott érdekeinek összessége által meghatározott nemzeti érdekeken alapuló védelem tárgyáról beszélünk, az egyén és a társadalom, mint a társadalom érdekei egyensúlyának meghatározása. egész. Hiszen ami az egyén érdeke, az nem mindig a társadalom egészének érdeke; és fordítva, ami az egész társadalom érdekét szolgálja, az egyértelműen ellentétes lehet az egyén érdekeivel.

Eközben a Doktrína megkísérli az Orosz Föderáció nemzeti érdekeit az információs szférában négy összetevő alapján strukturálni.

A nemzeti érdekek első összetevője magában foglalja az egyén és az állampolgár alkotmányos jogainak és szabadságainak tiszteletben tartását az információszerzés és azok felhasználása terén, Oroszország szellemi megújulásának biztosítása, az erkölcsi értékek megőrzése és megerősítése a társadalomban, a hagyományok. hazaszeretet és humanizmus, az ország kulturális és tudományos potenciálja.

A nemzeti érdekek második összetevője az Orosz Föderáció állami politikájának információs támogatását tartalmazza, amely az orosz és a nemzetközi közvélemény számára megbízható információkat hoz Oroszország állampolitikájáról, hivatalos álláspontjáról az orosz és a nemzetközi élet társadalmilag jelentős eseményeiről. , biztosítva a polgárok hozzáférését a nyílt állami információs forrásokhoz.

A nemzeti érdekek harmadik összetevője a modern információs technológiák fejlesztését, a hazai információs ipart, ezen belül az informatizálási eszközök ipart, távközlésés kommunikáció, az igények kielégítése Háztartási bolt termékei és e termékek világpiacra kerülése, valamint a felhalmozódás, megőrzés, ill. hatékony felhasználása belföldi információs források.

És végül, a nemzeti érdekek negyedik összetevője az információs erőforrások védelme a jogosulatlan hozzáféréstől, valamint az információs és távközlési rendszerek biztonságának biztosítása, mind a már telepített, mind az Oroszország területén létrehozandó.

Feltételezhető, hogy a nemzeti érdekek mind a négy összetevője az információs szférában az egyén, a társadalom és az állam kiegyensúlyozott érdekeinek halmazának tekinthető. Az egyén érdeke ugyanakkor az egyén és az állampolgár alkotmányos jogának érvényesülése az információhoz való hozzáféréshez, az információ felhasználásához a törvény által nem tiltott tevékenységek végzése, a testi, lelki és értelmi fejlődés érdekében, valamint a személyes biztonságot biztosító információk védelmében. A társadalom érdeke az egyén érdekeinek biztosítása az információs szférában, a demokrácia erősítése, a jogi társadalmi állam megteremtése, a közharmonia elérése és fenntartása, valamint Oroszország szellemi megújulása. Az állam érdeke, hogy megteremtse a feltételeket az orosz információs infrastruktúra harmonikus fejlődéséhez, az ember és az állampolgár alkotmányos jogainak és szabadságainak érvényesítéséhez az információszerzés és -felhasználás terén, az alkotmány sérthetetlenségének biztosítása érdekében. rend, Oroszország szuverenitása és területi integritása, politikai, gazdasági és társadalmi stabilitás, a törvényesség és rend feltétel nélküli biztosítása, az egyenlő és kölcsönösen előnyös nemzetközi együttműködés kialakítása.

Az információbiztonság biztosításának fő feladatai. Az Orosz Föderáció információs szférában fennálló nemzeti érdekei alapján az információbiztonságot biztosító feladatok alakulnak ki. E feladatok jellegét az információbiztonsági szféra jelenlegi állapota határozza meg, figyelembe véve az ember és az állampolgár alkotmányos jogait és szabadságait, a társadalom és az állam érdekeit fenyegető bizonyos külső és belső fenyegetések jelenlétét.

A Doktrína a következő főbb feladatokat határozza meg az információbiztonság biztosítására:

  • az oroszországi információbiztonság területén az állami politika fő irányainak kidolgozása, valamint a program végrehajtásához kapcsolódó intézkedések és mechanizmusok;
  • az ezen a területen egységes állami politikát megvalósító információbiztonsági rendszer fejlesztése és javítása, beleértve az Oroszország információbiztonságát fenyegető veszélyek azonosítására, értékelésére és előrejelzésére szolgáló formák, módszerek és eszközök, valamint e fenyegetések elleni küzdelem rendszerének fejlesztését;
  • szövetségi célzott programok kidolgozása az információbiztonság biztosítására Oroszországban;
  • az információbiztonsági rendszerek és eszközök hatékonyságának értékelésére szolgáló kritériumok és módszerek kidolgozása, valamint e rendszerek és eszközök tanúsítása;
  • az oroszországi információbiztonságot biztosító szabályozási keret javítása, beleértve a polgárok információhoz való hozzáférési és hozzáférési jogainak gyakorlására szolgáló mechanizmusokat, az állam és a médiával való interakciójával kapcsolatos jogi normák végrehajtásának formáit és módszereit;
  • a szövetségi állami hatóságok, az Orosz Föderációt alkotó egységek állami hatóságai, a helyi önkormányzatok tisztviselői felelősségének megállapítása, jogalanyokés a polgárok számára az információbiztonsági követelmények betartása érdekében;
  • a szövetségi kormányzati szervek, az Orosz Föderációt alkotó jogalanyok kormányzati szervei, a tulajdonosi formájuktól függetlenül működő szervezetek tevékenységének koordinálása az információbiztonság biztosítása terén Oroszországban;
  • tudományos és gyakorlati alapok kialakítása Oroszország információbiztonságának biztosításához, figyelembe véve a jelenlegi geopolitikai helyzetet, Oroszország politikai és társadalmi-gazdasági fejlődésének feltételeit, valamint az „információs fegyverek” használatával kapcsolatos fenyegetések valóságát;
  • az orosz állami információs politika kialakítására és végrehajtására szolgáló mechanizmusok kidolgozása és létrehozása;
  • módszerek kidolgozása az állami részvétel hatékonyságának növelésére az állami televíziós és rádiós műsorszolgáltató szervezetek, egyéb állami médiumok információs politikájának kialakításában;
  • Oroszország technológiai függetlenségének biztosítása a biztonságát meghatározó információs, távközlési és kommunikációs legfontosabb területeken, és elsősorban a fegyverek és katonai felszerelések speciális számítástechnika létrehozásának területén;
  • az információvédelem korszerű módszereinek és eszközeinek fejlesztése, az információs technológiák biztonságának biztosítása, és mindenekelőtt a csapatok és a fegyverek, a környezetre veszélyes és gazdaságilag fontos iparágak parancsnoki és irányítási rendszereiben alkalmazottak;
  • fejlesztése és javítása államrendszer információvédelmi és államtitokvédelmi rendszer;
  • modern biztonságos technológiai alap megteremtése és fejlesztése a kormányzás számára békeidőben, in vészhelyzetekés háború idején;
  • a nemzetközi és külföldi szervezetekkel és szervezetekkel való interakció bővítése a nemzetközi távközlési rendszerek és kommunikációs rendszerek segítségével továbbított információk biztonságának biztosításával kapcsolatos tudományos, műszaki és jogi kérdések megoldásában;
  • feltételek megteremtése az orosz információs infrastruktúra aktív fejlesztéséhez, Oroszország részvétele a globális létrehozási és felhasználási folyamatokban információs hálózatokés rendszerek;
  • Teremtés egységes rendszer képzés az információbiztonság és az információtechnológia területén.

Úgy tűnik, hogy ezeknek a problémáknak, mint minden másnak, megoldásának gyümölcsöző feltétele a normatív eszközökkel rögzített valóságos installációk síkjára való lefordítása. Amíg ez nem így van, addig a feladatok önmagukban, a hivatalos nézetek rendszerében zárva léteznek.

Az információbiztonság biztosításának módszerei. Az információbiztonsági módszerek általánosra és privátra oszthatók. Az általános módszereket pedig jogi, szervezési, műszaki és gazdasági módszerekre különböztetik meg.

A doktrína szerint az információbiztonság biztosításának jogi módszerei közé tartozik az információs szférában fennálló kapcsolatokat szabályozó szabályozási jogi aktusok és az oroszországi információbiztonság biztosításának kérdéseivel kapcsolatos szabályozási módszertani dokumentumok kidolgozása. Ennek a tevékenységnek a fő irányai különösen a következők:

  • az információbiztonság területén a hatáskörök törvényi elhatárolása az Orosz Föderációt alkotó szövetségi kormányzati szervek és kormányzati szervek között, az állami egyesületek, szervezetek és állampolgárok ebben a tevékenységben való részvételére vonatkozó célok, célkitűzések és mechanizmusok meghatározása;
  • az Orosz Föderáció normatív jogi aktusainak kidolgozása és elfogadása, amelyek megállapítják a jogi és magánszemélyek per illetéktelen hozzáférés információkhoz, azok jogosulatlan másolásához, elferdítéséhez és jogosulatlan felhasználásához, hamis információ szándékos terjesztéséhez, bizalmas információ jogosulatlan nyilvánosságra hozatalához, hivatalos információnak vagy üzleti titkot tartalmazó információnak bűnügyi és zsoldos célú felhasználására;
  • fejlesztési prioritás jogalkotási megszilárdítása nemzeti hálózatok kommunikáció és űrkommunikációs műholdak hazai gyártása;
  • az Oroszország területén globális információs és távközlési hálózatokat nyújtó szervezetek státuszának meghatározása és e szervezetek tevékenységének jogi szabályozása;
  • jogi keretek létrehozása Oroszországban az információbiztonságot biztosító regionális struktúrák kialakításához.

Az információbiztonság biztosításának szervezési és technikai módszerei különösen a következők:

  • az információbiztonsági rendszer létrehozása és fejlesztése Oroszországban;
  • a végrehajtó hatóságok bűnüldözési tevékenységének megerősítése;
  • információbiztonsági eszközök és módszerek fejlesztése, használata és fejlesztése ezen eszközök hatékonyságának nyomon követésére;
  • olyan rendszerek és eszközök létrehozása, amelyek megakadályozzák a feldolgozott információkhoz és speciális effektusokhoz való jogosulatlan hozzáférést, amelyek az információ megsemmisítését, megsemmisülését, torzulását, valamint a rendszerek normál működési módjának, valamint az informatizálási és kommunikációs eszközök megváltoztatását okozzák;
  • érzékelés technikai eszközökés a veszélyt jelentő programok normál működés információs és telekommunikációs rendszerek, információk műszaki csatornákon keresztüli lehallgatásának megakadályozása, titkosítási eszközök alkalmazása az információ védelmére azok tárolása, feldolgozása és kommunikációs csatornákon keresztül történő továbbítása során;
  • információvédelmi eszközök hitelesítése, államtitok-védelem területén végzett tevékenységek engedélyezése, információvédelmi módszerek és eszközök egységesítése;
  • a személyzet tevékenységeinek ellenőrzése a biztonságos információs rendszerekben.

Az információbiztonság biztosításának gazdasági módszerei a következők:

  • az oroszországi információbiztonságot biztosító programok kidolgozása és finanszírozási eljárásuk meghatározása;
  • az információvédelem jogi és szervezési és technikai módszereinek megvalósításához kapcsolódó munkák finanszírozási rendszerének fejlesztése, a magán- és jogi személyek információs kockázatok biztosítási rendszerének kialakítása.

Az információbiztonság biztosításának privát módszerei Oroszországban olyan módszerekre oszlanak, amelyek használata a társadalom és az állam különböző életterületeinek sajátosságaiból adódik. Ezen területek mindegyikének megvannak a maga sajátosságai, amelyek a biztonsági objektumok egyediségéhez, az információbiztonsági fenyegetésekkel szembeni sebezhetőségükhöz kapcsolódnak. A doktrína nem közvetlenül mutat rá konkrét magán módszerekre, hanem olyan objektumokkal operál, amelyek leginkább ki vannak téve az információbiztonsági fenyegetéseknek, és olyan intézkedésekkel, amelyeket a gazdaság, a bel- és külpolitika, a tudomány és technológia, a szellemi élet, a védelem területén meg kell tenni. , a nemzeti információs és távközlési rendszerekben, a bűnüldözési és igazságszolgáltatási szférában vészhelyzetekben.

Az információbiztonság összetevői

Általánosságban az információbiztonság (IS) úgy definiálható, mint "az információ, az erőforrások és a támogató infrastruktúra védelme olyan természetes vagy mesterséges természetű véletlen vagy szándékos hatásoktól, amelyek elfogadhatatlan károkat okozhatnak az információs kapcsolatok alanyaiban - előállítókban, tulajdonosokban". valamint az információ és a támogató infrastruktúra felhasználói."

Az információbiztonság nem korlátozódik csupán az információkhoz való jogosulatlan hozzáférés elleni védelemre: ez egy alapvetően tágabb fogalom, amely magában foglalja az információk, technológiák és rendszerek védelmét is.

A biztonsági követelmények az információs tevékenység különböző aspektusaiban jelentősen eltérhetnek, de mindig az információbiztonság következő három fő összetevőjének elérését célozzák:

  • sértetlenség. Mindenekelőtt ez az információ relevanciája és következetessége, megsemmisüléssel és jogosulatlan változtatásokkal szembeni biztonsága, nevezetesen: a döntések alapjául szolgáló adatoknak, információknak megbízhatónak, pontosnak és az esetleges nem szándékos és rosszindulatú torzulásoktól védettnek kell lenniük;
  • magánélet. A minősített információ csak annak a személynek legyen elérhető, akinek szánják. Az ilyen információk nem szerezhetők be, olvashatók, nem módosíthatók, nem továbbíthatók, ha ehhez nem állnak rendelkezésre megfelelő hozzáférési jogok;
  • megközelíthetőség(készenlét). Ez egy lehetőség arra elfogadható idő megkapja a szükséges információs szolgáltatást, pl. adatok, információk és kapcsolódó szolgáltatások, automatizált szolgáltatások, az interakciós és kommunikációs eszközöknek rendelkezésre kell állniuk és készen kell állniuk a munkára, amikor csak szükség van rá.

Az információbiztonsági tevékenységek célja a következő tevékenységek megakadályozása, megakadályozása vagy semlegesítése:

  • jogosulatlan hozzáférés az információs forrásokhoz (UAA, Unauthorized Access);
  • bizalmas információk torzítása, részleges vagy teljes elvesztése;
  • céltudatos cselekvések (támadások) az integritás lerombolására szoftverrendszerek, adatrendszerek és információs struktúrák;
  • a szoftverek, hardverek és távközlés működésének meghibásodásai és meghibásodásai.

Így az információbiztonsági problémák módszertanilag helyes megközelítése az információs kapcsolatok alanyainak és ezen alanyok információs technológiák és rendszerek (IT / IS) használatához kapcsolódó érdeklődésének azonosításával kezdődik.

Fokozat valós helyzet a legtöbb esetben az információbiztonság biztosításának rendszerszintű alapját képező kulcskérdések megválaszolásán múlik, különös tekintettel arra, hogy kell-e védeni, kitől és mit kell védeni, mit és hogyan kell védeni, milyen intézkedések biztosítják a védelem hatékonyságát, valamint a biztonsági rendszerek fejlesztésének, megvalósításának, üzemeltetésének, karbantartásának és korszerűsítésének becsült költségét.

Az első három kérdés közvetlenül kapcsolódik a valós veszélyek felmérésének problémájához (7.1. ábra) 16]. Ezekre a kérdésekre a válaszok kétértelműek – sok múlik a vállalat felépítésén, hatókörén és céljain. Az egyéni és vállalati információs rendszerek és erőforrások egyetlen információs infrastruktúrába való integrálásakor a meghatározó tényező az információbiztonság megfelelő szintjének biztosítása minden olyan entitás számára, amely úgy döntött, hogy egyetlen infrastruktúrába lép.

Rizs. 7.1.

Egy állami struktúra vagy egy kereskedelmi cég egyetlen információs terében, mechanizmusok és hitelesítési eszköz a felhasználók, üzenetek és tartalom hitelesítéséhez. Így létre kell hozni egy olyan információbiztonsági rendszert, amely tartalmazza a szükséges intézkedéscsomagot és műszaki megoldások védelem érdekében:

  • diszfunkciótól információs térre gyakorolt ​​hatás kiküszöbölésével információs csatornákés erőforrások;
  • illetéktelen hozzáférés információhoz azáltal, hogy észleli és kiküszöböli az információs tér erőforrásainak felhasználási kísérleteit, amelyek az információs tér integritásának megsértéséhez vezetnek;
  • a beépített védőfelszerelések megsemmisítése -val a felhasználók és a karbantartó személyzet intézkedéseinek alkalmatlanságának azonosításának lehetősége;
  • szoftver megvalósítása " vírusok " és "könyvjelzők " ban ben szoftver termékekés technikai eszközökkel.

Külön kiemelendőek a kifejlesztett és módosított rendszerek biztonságának integrált információs környezetben történő biztosításának feladatai, mivel a VIR módosítása során a rendszerbiztonsági vészhelyzetek (ún. "lyukak a rendszerben") előfordulnak. elkerülhetetlen.

A vállalatnál meglévő sajátos védelmi eszközök elemzése mellett a fejlesztés információbiztonsági politika, beleértve az információbiztonsági infrastruktúra létrehozásának alapját képező szervezeti és adminisztratív intézkedések és dokumentumok halmazát, valamint módszertani és technikai megoldásait (7.2. ábra) .

Rizs. 7.2.

A fejlesztés következő lépése integrált rendszer Az információbiztonság információvédelmi eszközök és mechanizmusok beszerzése, telepítése és konfigurálása. Ilyen eszközök közé tartoznak az információk jogosulatlan hozzáféréssel szembeni védelmét szolgáló rendszerek, rendszerek kriptográfiai védelem, tűzfalak(tűzfalak, tűzfalak), biztonsági elemző eszközök, stb. A telepített védelmi eszközök helyes és hatékony használatához szakképzett személyzet szükséges.

Idővel a rendelkezésre álló védelmi eszközök elavulnak, az információbiztonsági rendszerek új verziói jelennek meg, folyamatosan bővül a talált sebezhetőségek és támadások listája, változik az információfeldolgozási technológia, szoftver és hardver, valamint a vállalati személyzet. Ezért szükséges a kidolgozott szervezeti és adminisztratív dokumentumok rendszeres felülvizsgálata, az IS vagy alrendszereinek felmérése, a személyzet képzése és a védelmi eszközök frissítése.

Minden olyan vállalkozás, amely erőforrásokat kap, beleértve az információforrásokat is, feldolgozza azokat annak érdekében, hogy végül eladhassa saját kereskedelmi termékét a piacon. Ugyanakkor sajátos belső környezetet generál, amely valamennyi strukturális részleg személyzetének, valamint a technikai eszközökkelés technológiai folyamatok, gazdasági és társadalmi kapcsolatok mind a vállalkozáson belül, mind a külső környezettel való kölcsönhatásban.

A vállalati információk tükrözik a vállalkozás pénzügyi és gazdasági helyzetét és tevékenységének eredményeit. Ilyen információk például a regisztrációs és jogszabályi dokumentumok, hosszú távú és aktuális tervek, megrendelések, utasítások, jelentések, termelési adatok, a pénzügyek és egyéb erőforrások mozgására vonatkozó adatok, a személyzet képzésére és a tevékenységi termékek alkalmazási területeire vonatkozó információk, beleértve a elosztási módszerek és csatornák, értékesítési technikák, megrendelések, logisztika, beszállítókkal és partnerekkel kapcsolatos információk.

Vállalati információforrások - a vállalkozás igazgatósága és adminisztrációja, tervezési és pénzügyi osztályok, számviteli, informatikai osztályok és számítástechnikai központok, főmérnöki és főszerelői osztályok, gyártási osztályok, jogi, karbantartási és javítási szolgáltatások, logisztikai osztályok, beszerzési ill. értékesítés, stb.

A vállalati környezet magában foglalja a vállalaton kívül működő kormányzati, gazdasági, politikai és társadalmi szereplőket. A vállalati környezeten kívüli információk gyakran hiányosak, ellentmondásosak, hozzávetőlegesek, heterogének, és nem tükrözik megfelelően a vállalat állapotát. külső környezet. A vállalati környezeten túlmutató külső információk például a piac állapota (hosszú távú és jelenlegi állapota, az üzleti környezet trendjei, a kereslet és kínálat ingadozása, a helyzet instabilitása, volatilitás, a követelmények inkonzisztenciája), változások a jogszabályokban, a fogyasztói elvárásokban, a versenytársak "intrikáiban", a politikai események következményeiben stb.

Ezen információk nagy része nyílt, azonban a belső tevékenységek és a külvilággal való interakció jellemzőitől függően az információk egy része „hivatalos használatra” szánható, pl. legyen „szigorúan bizalmas” vagy „titkos”. Az ilyen információk általában "magánjellegűek", és megfelelő biztonsági intézkedéseket igényelnek.

A védett adatokkal végzett munka során a biztonság garantálása érdekében először, Felsorakozni a bizalmas és védett információkkal való munka politikája, megfelelő iránymutatások és eljárások kidolgozása és végrehajtása, valamint másodszor a szükséges szoftver és hardver erőforrások biztosítása.

A védett információkkal való munkavégzéshez szükséges szoftverek és hardverek vagy a vállalati információs rendszer (CIS) megfelelő moduljaiba vannak beépítve, vagy az információbiztonsági szabályzatban meghatározott rendszerekben helyileg használatosak. Ide tartoznak az olyan eszközök, amelyek:

  • a bizalmas információk mozgásának nyomon követése az információs rendszeren keresztül (Data-in-Shell);
  • adatszivárgás-ellenőrzés kezelése hálózati forgalomon keresztül TCP/IP, SMTP, IMAP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, natív protokollokon keresztül tartalomszűréssel a következő szinten:
  • – átjáró, amelyen keresztül a forgalom folyik belső hálózat külső hálózatra (Data-in-Motion);
  • – egy bizonyos típusú forgalmat feldolgozó szerver (Data-at-Rest);
  • munkaállomás(Használt adatok);
  • – Microsoft Exchange, Lotus Notes stb. belső levelezőcsatornái.
  • – a védett információk munkaállomásokról, perifériás és mobil eszközökről való kiszivárgásának ellenőrzése
  • – proaktív védelem és személyi tűzfalak;
  • – információs objektumok árnyékmásolása egyetlen tartalomszűrő adatbázisba minden csatornára egységes szabályok szerint.

A védett adatok és információk védelmének megfelelő megszervezése nem egyszerű és költséges. Ehhez az adatok osztályozása, az információs források alapos leltározása, a megfelelő szoftver- és hardvermegoldás kiválasztása, a belső biztonságot garantáló szabályozói dokumentumok készletének kidolgozása és bevezetése szükséges. Az adatszivárgás kockázatának minimalizálását célzó nehéz munkában a fő szerepet a vállalat felső vezetésének hozzáértése és akarata, a vonatkozó irányelvek és a hatékony szoftver, valamint az üzleti titok rendszere, amikor védett információkkal dolgozik.

Információ biztonság. Előadások tanfolyam Artemov A.V.

1. probléma. Információbiztonsági problémák állapota

Jelenleg az információbiztonság kérdései az egyetemeken egyre aktuálisabbak. Nem szabad elfelejteni, hogy a számítógépes bűncselekmények problémája az egyetemekről származik (például a Morris vírus). A Belügyminisztérium szerint négyszeresére nőtt a számítógépes bűncselekmények száma az előző évben Oroszországban. A számítógépes bűncselekmények cikkelye szerinti bűncselekményekkel kapcsolatos internetes üzenetek elemzése azt mutatta, hogy gyakorlatilag mindegyiket diákok követték el. Emellett számos incidens a számítógépes bűncselekmények küszöbén áll. A hálózati támadások mellett a közelmúltban megjelent egy olyan jelenség, mint a hallgatók információs konfrontációja az interneten, például: egyetemek nem hivatalos weboldalainak fenntartása (mgtu.ru), kompromittáló anyagok elhelyezése a tanárokról, „absztrakt” támogatás stb. .

Jelenleg mintegy két tucat egyetemmel számolhatunk, ahol aktívan folyik információbiztonsági munka, és képzést hoztak létre az információbiztonsági szakterületeken. Öt egyetem rendelkezik érvényes engedéllyel az Orosz Állami Műszaki Bizottságtól speciális kurzusok oktatására, valamint információbiztonsági eszközök fejlesztésére. A legtöbb egyetemen azonban nem fordítanak kellő figyelmet az információbiztonság átfogó biztosítására. Az egyetemek informatikai technológiáinak internetes áttekintése (http://www.cnews.ru/education) arra enged következtetni, hogy megvalósításuk a fejlesztés nagyon korai szakaszában van.

Az ember és társadalom információbiztonsága: tanulmányi útmutató című könyvből szerző Petrov Szergej Viktorovics

2.3. Az információbiztonság helye Oroszország nemzetbiztonsági rendszerében modern világ Az információbiztonság az ember, a társadalom és az állam érdekeinek biztosításának létfontosságú feltételévé, az egész világ legfontosabb, sarkalatos láncszemévé válik.

A Lesek, beállítások és a közlekedési rendőrfelügyelők egyéb trükkjei című könyvből a szerző Kuzmin Sergey

3. fejezet AZ INFORMÁCIÓBIZTONSÁG FENNTARTÁSÁNAK FŐ IRÁNYAI Az információs szféra, mint rendszerformáló tényező a társadalom életében, aktívan befolyásolja Oroszország politikai, gazdasági, védelmi és egyéb biztonsági elemeinek állapotát.

A komplex műszaki rendszerek tanúsítása című könyvből szerző Szmirnov Vlagyimir

4.1. Az Orosz Föderáció alkotmánya és az Orosz Föderáció információbiztonsági doktrínája a jogi támogatást információs szféra A kapcsolatok jogi szabályozásának problémája az információbiztonság területén Oroszország számára az egyik legfontosabb. Sok múlik a döntésén.

Az Információbiztonság című könyvből. Előadás tanfolyam szerző Artemov A. V.

4.5. Oroszország nemzetközi együttműködése az információbiztonság biztosításában Az Orosz Föderáció nemzetközi együttműködése az információbiztonság biztosítása terén a politikai, katonai, gazdasági, kulturális és egyéb tevékenységek szerves részét képezi.

A szerző könyvéből

A GÉPJÁRMŰ VEZETÉSÉNEK ALKOHOLIS ÁLLAPOTÚ VIZSGÁLATÁNAK SZABÁLYAI, AZ EREDMÉNYEK KIALAKÍTÁSÁNAK SZABÁLYAI, A MEGHATÁROZOTT SZEMÉLY ORVOSI VIZSGÁLATRA VONATKOZÓ HIVATKOZÁSA AZ ITTSÉG ÁLLAPOT, VIZSGÁLAT SZABÁLYAI

A szerző könyvéből

7.6. Minőségbiztosítási rendszerek információs támogatásának módszerei, eszközei

A szerző könyvéből

1. kérdés: Az információbiztonság helye Oroszország nemzetbiztonsági rendszerében: koncepció, szerkezet és tartalom Az ország társadalmi-politikai, gazdasági és katonai tevékenységének informatizálása és ennek eredményeként az információs rendszerek rohamos fejlődése

A szerző könyvéből

2. kérdés: Az információbiztonsági kérdéseket szabályozó főbb irányadó dokumentumok Figyelembe véve Oroszország nemzetbiztonsági koncepcióját, amelyet az Orosz Föderáció elnökének 1997. december 17-i 1300. számú rendelete hagyott jóvá (a 2000. január 10-i módosítással), amely tükrözi a „Okinawa Charta

A szerző könyvéből

3. kérdés: Az oroszországi információbiztonság modern fenyegetései A Biztonsági Törvény értelmében biztonsági fenyegetés alatt olyan feltételek és tényezők összességét értjük, amelyek veszélyeztetik az egyén, a társadalom és az állam létfontosságú érdekeit. Koncepció

A szerző könyvéből

4. előadás Építésmódszertan vállalati rendszer információbiztonság biztosítása Képzési kérdések:1. A biztonságértékeléssel kapcsolatos elemző munka változatai.2. A vállalati információbiztonsági rendszer modellje és módszertana.3. A szervezet kialakítása

A szerző könyvéből

6. előadás Az információbiztonság alapjai a bankszektorban Képzési kérdések:1. A bankok információbiztonságának jellemzői2. A banki automatizált rendszerek állapotának elemzése biztonsági szempontból3. Bankvédelmi alapelvek

A szerző könyvéből

1. kérdés A bankok információbiztonságának jellemzői A bankok megalakulása óta folyamatosan felkeltették a bűnözői érdeklődést. És ez az érdeklődés nemcsak a pénzeszközök hitelintézetekben való tárolásával függött össze, hanem azzal is, hogy a bankok fontos

A szerző könyvéből

1. kérdés Az információbiztonsági folyamatok általánosított modellje Általános tulajdonságok ezeknek a rendszereknek és folyamatoknak, ellentétben a helyi és magánmodellekkel,

A szerző könyvéből

1. kérdés: Matematikai modellek kijelölése automatizált vezérlőrendszerek információbiztonságának biztosítására

A szerző könyvéből

2. kérdés: Az információbiztonság matematikai modelljeinek összehasonlító elemzése és alapvető definíciói

A szerző könyvéből

11. előadás Az információbiztonság biztosításának főbb irányai számítógépes hálózatok oktatási intézmények Nevelési kérdések:1. Az információbiztonsági kérdések állapota.2. A KSS veszélyei és sebezhetőségei.3. A BKSUZ építésének szakaszai.4. Irány

útmutatást, és felvázolja a szervezet információbiztonság-kezelési megközelítését. A szabályzatnak legalább a következőket kell tartalmaznia:

a) az információbiztonság meghatározása, általános céljai és terjedelme, valamint a biztonság, mint eszköz fontosságának feltárása, amely lehetővé teszi megosztás információ;

b) a vezetés által megfogalmazott információbiztonsági célok és elvek ismertetése;

ban ben) összefoglaló a szervezetre vonatkozó legfontosabb biztonsági irányelvek, elvek, szabályok és követelmények, például:

1) a jogszabályi előírások és a szerződéses kötelezettségek betartása;

2) biztonsági képzési követelmények;

3) Vírusok és egyéb rosszindulatú szoftverek megelőzése és észlelése;

4) üzletmenet-folytonosság menedzsment;

5) felelősség a biztonságpolitika megsértéséért;

d) a munkavállalók általános és konkrét felelősségének meghatározása az információbiztonsági menedzsment keretében, beleértve az információbiztonsági események jelentését is;

e) hivatkozások az információbiztonsági szabályzatot kiegészítő dokumentumokra, például az egyes információs rendszerek részletesebb biztonsági szabályzataira és eljárásaira, valamint azokra a biztonsági szabályokra, amelyeket a felhasználóknak követniük kell,

Az ilyen szabályzatot a szervezet minden alkalmazottjával hozzáférhető és érthető formában közölni kell.

3.1.2 Felülvizsgálat és értékelés

Lényeges, hogy a szervezet kijelöljön egy biztonságpolitikai felelőst, aki felelős annak végrehajtásáért és a megállapított eljárásoknak megfelelő felülvizsgálatáért. Ennek az eljárásnak biztosítania kell, hogy az információbiztonsági szabályzatot a kezdeti kockázatértékelés alapját érintő változásokkal összhangban felülvizsgálják, például jelentős információbiztonsági incidensek azonosításával, új sebezhetőségek megjelenésével vagy a szervezeti vagy technológiai infrastruktúra változásaival. Az időszakos felülvizsgálatokat meghatározott ütemterv szerint kell elvégezni, és a következőket kell tartalmazni:

- a szabályzat hatékonyságának ellenőrzése a bejelentett információbiztonsági incidensek jellege, száma és következményei alapján;

- az információbiztonság-menedzsment tevékenységek költségének és az üzleti teljesítményre gyakorolt ​​hatásának meghatározása;

- a technológiai változások hatásának felmérése.

4 Szervezetbiztonsági kérdések

4.1 Szervezeti információbiztonsági infrastruktúra

Cél: információbiztonság menedzselése a szervezetben.

Az irányítási struktúrát úgy kell megtervezni, hogy megkönnyítse az információbiztonság megvalósításának kezdeményezését és ellenőrzését a szervezetben,

Megfelelő irányító testületeket kell létrehozni a felső vezetés részvételével az információbiztonsági politika jóváhagyására, az információbiztonsági felelősök kinevezésére, valamint az információbiztonsági irányítási tevékenységek szervezeten belüli végrehajtásának koordinálására. Szükség esetén legyen a szervezeten belül információbiztonsági szakember, akivel az érdeklődő munkatársak megkereshetik. Kapcsolatot kell kialakítani külső biztonsági szakemberekkel annak érdekében, hogy lépést tartsunk az iparági trendekkel, értékelésének módjaival és módszereivel, valamint az információbiztonsági incidensekre való megfelelő reagálás érdekében. Ösztönözni kell az információbiztonság multidiszciplináris megközelítését, például a menedzserek, a felhasználók, a rendszergazdák, az alkalmazásfejlesztők, az auditorok és a biztonsági tisztviselők, valamint a biztosítási és kockázatkezelési szakemberek közötti együttműködés révén.

Az információbiztonság biztosítása a szervezet felső vezetésének, minden tagjának közös feladata, ezért az információbiztonsági tanács megalakításakor egyértelmű irányítást és valódi támogatást kell biztosítani a biztonsági kezdeményezések irányításának oldaláról. Egy ilyen tanácsnak hozzá kell járulnia a szervezet biztonságának erősítéséhez a vezetőség közvetlen részvételével és a szükséges erőforrások allokálásával. Lehet, hogy egy meglévő irányító testület része. Általában egy ilyen tanács a következő funkciókat látja el:

- az információbiztonsági politika, valamint az annak végrehajtására vonatkozó felelősségi körök jóváhagyása és felülvizsgálata;

- az információs tevékenységeket fenyegető főbb veszélyek hatásaiban bekövetkezett jelentős változások nyomon követése

- az információbiztonság megsértésével kapcsolatos események elemzése és nyomon követése;

- nagy projektek jóváhagyása az információbiztonság területén.

Emellett ki kell jelölni egy vezetőt, aki az információbiztonsággal kapcsolatos valamennyi kérdésért felelős.

4.1.2 Információbiztonsági koordináció

Az információbiztonság-irányítási tevékenységek végrehajtásának koordinálásához egy nagy szervezetben szükség lehet egy bizottság létrehozására, amely magában foglalja a szervezet érdekelt részlegeinek vezetőinek képviselőit.

Általában egy ilyen bizottság:

- megállapodik konkrét információbiztonsági szerepekben és felelősségekben az egész szervezeten belül;

- megállapodik az információbiztonság konkrét módszereiről és eljárásairól, mint például a kockázatértékelés, az információk biztonsági követelmények szerinti minősítése;

- koordinálja és támogatást nyújt az információbiztonsági kezdeményezésekhez és projektekhez az egész szervezeten belül, mint például az alkalmazottak biztonságtudatossági programjának kidolgozása;

- biztosítja a biztonsági követelmények beépítését minden, az információ feldolgozásával és felhasználásával kapcsolatos projektbe;

- értékeli az új rendszerek vagy szolgáltatások konkrét információbiztonsági menedzsment tevékenységeinek megfelelőségét és koordinálja azok végrehajtását;

- elemzi az információbiztonsági eseményeket;

- hozzájárul ahhoz, hogy a szervezet felső vezetése demonstrálja az információbiztonság támogatását.

4.1.3 Az információbiztonság biztosításáért felelős felelősség megosztása

Meg kell határozni a felelősséget az egyes vagyontárgyak védelmében és a konkrét végrehajtásában

információbiztonsággal kapcsolatos eljárások.

Az információbiztonsági szabályzatnak (3. szakasz) tartalmaznia kell Általános elvek valamint az információbiztonsággal kapcsolatos funkciók és felelősségek szervezeten belüli megosztására vonatkozó szabályok. A szabályzatot szükség esetén ki kell egészíteni konkrét területekre, rendszerekre vagy szolgáltatásokra vonatkozó részletesebb útmutatásokkal, valamint egyértelműen meg kell határozni a konkrét felelősségi köröket az információbiztonsággal kapcsolatos egyedi tárgyi és információs eszközök és folyamatok, például az üzletmenet-folytonosság tervezése tekintetében.

Számos szervezetben a CIO általános felelőssége az információbiztonsági rendszer fejlesztése és bevezetése, valamint az információbiztonsági menedzsment tevékenységek meghatározásában való közreműködés.

Ugyanakkor a védendő erőforrások meghatározása és az információbiztonsági menedzsment tevékenységek végrehajtása a legtöbb esetben a középvezetőket terheli. Bevett gyakorlat, hogy minden információs eszközhöz felelős személyt (adminisztrátort) jelölnek ki, akinek napi feladatai közé tartozik ezen vagyon biztonságának biztosítása.

Az információvagyon adminisztrátora átruházhatja biztonsági jogosítványait bármely közvetlen vezetőre vagy szolgáltatóra, azonban az adminisztrátor továbbra is felelős az eszközök biztonságáért, és meg kell tudnia állapítani, hogy az átruházott jogosítványokat megfelelően gyakorolják-e.

Meg kell határozni az egyes vezetők felelősségi határait, és be kell tartani a következő szabályokat:

- azonosítani és egyértelműen meg kell határozni az egyes rendszerekhez kapcsolódó különféle biztonsági eszközöket és folyamatokat (eljárásokat);

- Minden egyes biztonsági eszközhöz vagy eljáráshoz felelős személyeket (adminisztrátorokat) kell kijelölni, és ennek a felelősségnek a részleteit dokumentálni kell;

4.1.4 Az információfeldolgozó létesítmények használatára vonatkozó engedély megszerzésének folyamata

Meg kell határozni az új információfeldolgozó eszközök használatára vonatkozó engedélyek megszerzésének eljárásait.

Ebben az esetben a következő információbiztonsági menedzsment tevékenységek végezhetők:

- az új eszközöket a felhasználókezeléssel és a kezelőeszközök adminisztrátorával megfelelően jóvá kell hagyatni, engedélyezve a felhasználási célt. A helyi információs rendszer biztonsági környezetének fenntartásáért felelős menedzser jóváhagyását is be kell szerezni annak biztosítása érdekében, hogy minden vonatkozó biztonsági szabályzat és követelmény teljesüljön;

- a hardver és a szoftver kompatibilitását tesztelni kell más rendszerkomponensekkel.

MEGJEGYZÉS 1 Bizonyos típusú csatlakozásokhoz jóváhagyásra lehet szükség.

2. A személyes adatok feldolgozására szolgáló eszközöknek a védett információk feldolgozására és minden szükséges információbiztonság-kezelési tevékenységre engedélyt kell adni.

3 A személyes információ-feldolgozó eszközök munkahelyi használata új sérülékenységet okozhat, ezért azt fel kell mérni és engedélyezni kell.

Ezek az információbiztonság-kezelési tevékenységek különösen fontosak hálózati környezetben.

4.1.5 Szakértői tanácsadás információbiztonsági kérdésekben

Számos szervezetnek szüksége van biztonsági tanácsadásra. Ideális esetben egy tapasztalt információbiztonsági tanácsadónak kell gondoskodnia, aki a szervezet alkalmazottja. De nem minden szervezetnek lehet professzionális tanácsadója. Ilyen esetekben ajánlott egy dedikált személy (adminisztrátor) kijelölése a szervezeten belüli ismeretek és tapasztalatok megszilárdítására, a biztonsági döntések következetességének és támogatásának biztosítása érdekében. Ennek az alkalmazottnak hozzá kell férnie a szükséges külső tanácsadókhoz is, hogy szakmai tanácsot kaphasson a saját hatáskörén kívül eső kérdésekben.

Az információbiztonsági tanácsadókat vagy adminisztrátorokat meg kell bízni azzal, hogy tanácsot adjanak az információbiztonság minden vonatkozásában, beleértve a külső tanácsadók bevonását is. A biztonsági fenyegetések értékelésének minősége és az információbiztonsági menedzsment tevékenységekre vonatkozó ajánlások kidolgozása jelentősen meghatározza annak hatékonyságát a szervezetben. A tanácsadók (adminisztrátorok) tevékenységének maximális hatékonysága és eredményessége érdekében biztosítani kell számukra a közvetlen hozzáférést a szervezet felső vezetéséhez.

Információbiztonsági incidens vagy biztonsági rés gyanúja esetén a lehető leghamarabb konzultálni kell egy információbiztonsági tanácsadóval vagy rendszergazdával, hogy biztosítsák a minősített tanácsadást vagy erőforrásokat. Bár a legtöbb belső biztonsági vizsgálat általában a vezetés felügyelete alatt zajlik, célszerű lehet egy információbiztonsági tanácsadó (adminisztrátor) felkeresése ajánlások kidolgozása, illetve a vizsgálatban vagy irányításában való részvétele céljából.

4.1.6 Szervezetek közötti együttműködés az információbiztonság területén

Megfelelő kapcsolatot kell fenntartani a bűnüldöző hatóságokkal, a szabályozókkal, az információs szolgáltatókkal és a távközlési szolgáltatókkal annak érdekében, hogy információbiztonsági incidens esetén is gyorsan meg lehessen tenni a megfelelő intézkedéseket és a megfelelő tanácsokat megkapni. Hasonló célból megfontolandó a biztonsággal kapcsolatos szakmai társaságokban és iparági rendezvényeken való részvétel.