Umsetzung von Maßnahmen zur Gewährleistung der Informationssicherheit. Grundlagen der Informationssicherheit. Bedrohungen der Vertraulichkeit von Informationsressourcen

BEI Alltagsleben oft wird Informationssicherheit (IS) nur als die Notwendigkeit verstanden, das Durchsickern von Geheimnissen und die Verbreitung falscher und feindseliger Informationen zu bekämpfen. Dieses Verständnis ist jedoch sehr eng. Es gibt viele verschiedene Definitionen von Informationssicherheit, die ihre individuellen Eigenschaften hervorheben.

In dem ungültig gewordenen Bundesgesetz „Über Information, Informatisierung und Informationsschutz“ unter Informationssicherheit verstanden den Sicherheitszustand der Informationsumgebung der Gesellschaft, Gewährleistung ihrer Bildung und Entwicklung im Interesse der Bürger, Organisationen und des Staates.

Andere Quellen geben die folgenden Definitionen:

Informationssicherheit- Das

1) eine Reihe organisatorischer und technischer Maßnahmen, die die Integrität von Daten und die Vertraulichkeit von Informationen gewährleisten, kombiniert mit ihrer Verfügbarkeit für alle autorisierten Benutzer;

2) Indikator, der den Sicherheitsstatus des Informationssystems widerspiegelt;

3) BedingungSicherheit der Informationsumgebung;

4) ein Staat, der die Sicherheit von Informationsressourcen und -kanälen gewährleistet,und Zugang zu Informationsquellen.

V. I. Yarochkin glaubt das Informationssicherheit Es gibt der Sicherheitszustand von Informationsressourcen, die Technologie ihrer Bildung und Nutzung sowie die Rechte der Subjekte der Informationstätigkeit.

Eine ziemlich vollständige Definition geben V. Betelin und V. Galatenko, die das glauben

In diesem Tutorial stützen wir uns auf die obige Definition.

Informationssicherheit beschränkt sich nicht auf den Schutz von Informationen und Computersicherheit. Informationssicherheit sollte von Informationssicherheit unterschieden werden.

Manchmal wird Informationsschutz als die Schaffung eines organisierten Satzes von Werkzeugen, Methoden und Maßnahmen in Computern und Computersystemen verstanden, die dazu bestimmt sind, eine Verzerrung, Zerstörung oder unbefugte Nutzung geschützter Informationen zu verhindern.

Maßnahmen zur Gewährleistung der Informationssicherheit sollten in verschiedenen Bereichen umgesetzt werden - Politik, Wirtschaft, Verteidigung sowie auf verschiedenen Ebenen - staatlich, regional, organisatorisch und persönlich. Daher unterscheiden sich die Aufgaben der Informationssicherheit auf Landesebene von den Aufgaben der Informationssicherheit auf Organisationsebene.

Das Subjekt der Informationsbeziehungen kann nicht nur durch unbefugten Zugriff auf Informationen, sondern auch durch einen Systemausfall, der eine Arbeitsunterbrechung verursacht, Schaden erleiden (materielle und / oder moralische Schäden erleiden). Informationssicherheit hängt nicht nur von Computern ab, sondern auch von der unterstützenden Infrastruktur, zu der Strom-, Wasser- und Wärmeversorgungssysteme, Klimaanlagen, Kommunikation und natürlich Wartungspersonal gehören. Die unterstützende Infrastruktur hat einen eigenständigen Wert, dessen Bedeutung nicht hoch genug eingeschätzt werden kann.

Nach den Ereignissen des 11. September 2001 wurde im US-amerikanischen Recht der Begriff der „kritischen Infrastruktur“ gemäß dem Patriot Act definiert, der als „eine Reihe physischer oder virtuelle Systeme und Vermögenswerte, die für die Vereinigten Staaten von solcher Bedeutung sind, dass ihr Ausfall oder ihre Zerstörung verheerende Folgen für die Verteidigung, Wirtschaft, öffentliche Gesundheit und Sicherheit der Nation haben könnte.“ Konzept kritische Infrastruktur umfasst so wichtige Bereiche der US-Volkswirtschaft und -Wirtschaft wie Landesverteidigung, Landwirtschaft, Nahrungsmittelproduktion, Zivilluftfahrt, Seeverkehr, Autobahnen und Brücken, Tunnel, Dämme, Pipelines, Wasserversorgung, Gesundheitswesen, Rettungsdienste, Behörden Regierung kontrolliert, militärische Produktion, Informations- und Telekommunikationssysteme und -netze, Energie, Verkehr, Bank- und Finanzsysteme, chemische Industrie, Postdienste.

In sozialer Hinsicht beinhaltet die Informationssicherheit den Kampf gegen die "Verschmutzung" der Umwelt durch Informationen, die Verwendung von Informationen für illegale und unmoralische Zwecke.

Auch können die Objekte der Informationswirkung und folglich der Informationssicherheit das öffentliche oder individuelle Bewusstsein sein.

Auf staatlicher Ebene sind die Organe der Exekutive, der Legislative und der Justiz Träger der Informationssicherheit. In einigen Abteilungen wurden speziell für die Informationssicherheit zuständige Gremien geschaffen.

Darüber hinaus können IB-Fächer sein:

Bürger und öffentliche Vereine;

Mittel Massenmedien;

Unternehmen und Organisationen unabhängig von der Eigentumsform.

Interessen IS-Themen im Zusammenhang mit der Verwendung Informationssysteme lassen sich in folgende Hauptkategorien einteilen:

Verfügbarkeit- die Möglichkeit, die gewünschte Informationsdienstleistung in angemessener Zeit zu erhalten. Informationssysteme werden erstellt (erworben), um bestimmte Informationsdienste (Services) zu erhalten. Wenn aus dem einen oder anderen Grund der Empfang dieser Dienste durch die Benutzer unmöglich wird, wirkt sich dies nachteilig auf alle Themen der Informationsbeziehungen aus. Die führende Rolle der Barrierefreiheit manifestiert sich besonders deutlich in verschiedenen Arten von Managementsystemen: Produktion, Transport usw. Daher ist Barrierefreiheit das wichtigste Element der Informationssicherheit, ohne der Barrierefreiheit andere Aspekte entgegenzusetzen.

Integrität- Aktualität und Konsistenz der Informationen, deren Schutz vor Zerstörung und unbefugter Veränderung. Integrität kann in statisch (verstanden als Unveränderlichkeit von Informationsobjekten) und dynamisch (bezogen auf die korrekte Ausführung komplexer Aktionen (Transaktionen)) unterteilt werden. Fast alle regulatorischen Dokumente und nationalen Entwicklungen beziehen sich auf die statische Integrität, obwohl der dynamische Aspekt nicht weniger wichtig ist. Ein Beispiel für den Umfang dynamischer Integritätskontrollen ist die Analyse eines Stroms von Finanznachrichten, um Diebstahl, Umordnung oder Vervielfältigung einzelner Nachrichten zu erkennen.

Vertraulichkeit- Schutz vor unbefugtem Zugriff. Die Vertraulichkeit wird durch Gesetze, Vorschriften, langjährige Erfahrung der entsprechenden Dienste gewahrt. Hardware- und Softwareprodukte ermöglichen es, nahezu alle potenziellen Informationslecks zu schließen.

Ziel Maßnahmen im Bereich der Informationssicherheit - Schutz der Interessen von IS-Subjekten.

IS-Aufgaben:

1. Gewährleistung des Rechts des Einzelnen und der Gesellschaft, Informationen zu erhalten.

2. Bereitstellung objektiver Informationen.

3. Bekämpfung krimineller Bedrohungen im Bereich Informations- und Telekommunikationssysteme, Telefonterrorismus, Geldwäsche etc.

4. Schutz des Individuums, der Organisation, der Gesellschaft und des Staates vor Informationen und psychologischen Bedrohungen.

5. Imagebildung, Kampf gegen Verleumdung, Gerüchte, Desinformation.

Die Rolle der Informationssicherheit nimmt zu, wenn Extremsituation wenn jede unzuverlässige Meldung zu einer Verschärfung der Situation führen kann.

IB-Kriterium- Garantierte Sicherheit von Informationen vor Lecks, Verzerrungen, Verlust oder anderen Formen der Wertminderung. Sichere Informationstechnologien sollten in der Lage sein, die Auswirkungen externer und interner Bedrohungen auf Informationen zu verhindern oder zu neutralisieren, und angemessene Methoden und Wege zu ihrem Schutz enthalten.

Anmerkung: Die Vorlesung behandelt die grundlegenden Konzepte der Informationssicherheit. Kennenlernen des Bundesgesetzes "Über Informationen, Informationstechnologien und Informationsschutz".

GOST " Datenschutz. Grundlegende Begriffe und Definitionen“ führt in das Konzept ein Informationssicherheit als Zustand der Informationssicherheit, in dem sie bereitgestellt wird Vertraulichkeit, Verfügbarkeit und Integrität .

• Vertraulichkeit- der Zustand der Informationen, in dem der Zugriff darauf nur von Subjekten erfolgt, die ein Recht darauf haben.
• Integrität- der Informationsstand, an dem keine Änderung erfolgt oder die Änderung nur absichtlich von den berechtigten Subjekten vorgenommen wird;
• Verfügbarkeit- der Informationsstand, in dem die Auskunftsberechtigten dieses ungehindert ausüben können.

Bedrohungen der Informationssicherheit- eine Reihe von Bedingungen und Faktoren, die eine potenzielle oder reale Gefahr einer Verletzung der Informationssicherheit schaffen [ , ]. Attacke ein Versuch, eine Drohung umzusetzen, wird aufgerufen, und derjenige, der einen solchen Versuch unternimmt - Eindringling. Potentielle Angreifer werden gerufen Bedrohungsquellen.

Die Bedrohung ist das Ergebnis von Schwachstellen oder Schwachstellen im Informationssystem. Schwachstellen können aus verschiedenen Gründen entstehen, beispielsweise durch unbeabsichtigte Fehler von Programmierern beim Schreiben von Programmen.

Bedrohungen können nach mehreren Kriterien klassifiziert werden:

• an Eigenschaften von Informationen(Verfügbarkeit, Integrität, Vertraulichkeit), gegen die sich in erster Linie Drohungen richten;
• durch die Komponenten von Informationssystemen, auf die Bedrohungen abzielen (Daten, Programme, Hardware, unterstützende Infrastruktur);
• je nach Art der Umsetzung (zufällige / absichtliche, natürliche / von Menschen verursachte Handlungen);
• durch den Ort der Bedrohungsquelle (innerhalb/außerhalb des betrachteten IS).

Die Gewährleistung der Informationssicherheit ist eine komplexe Aufgabe, die es erfordert Ein komplexer Ansatz. Es gibt folgende Ebenen des Informationsschutzes:

1. Gesetzgebung - Gesetze, Verordnungen und andere Dokumente der Russischen Föderation und der internationalen Gemeinschaft;
2. administrativ - eine Reihe von Maßnahmen, die vor Ort von der Leitung der Organisation ergriffen werden;
3. Verfahrensebene - von Menschen durchgeführte Sicherheitsmaßnahmen;
4. Software- und Hardwareebene- direkte Mittel zum Schutz von Informationen.

Die Gesetzgebungsebene ist die Grundlage für den Aufbau eines Informationssicherheitssystems, da sie grundlegende Konzepte bereitstellt Fachbereich und bestimmt die Strafe für potenzielle Eindringlinge. Diese Ebene spielt eine koordinierende und führende Rolle und trägt dazu bei, eine negative (und strafende) Haltung in der Gesellschaft gegenüber Personen aufrechtzuerhalten, die gegen die Informationssicherheit verstoßen.

1.2. Bundesgesetz "Über Informationen, Informationstechnologien und Informationsschutz"

In der russischen Gesetzgebung ist das Grundgesetz auf dem Gebiet des Informationsschutzes das Föderale Gesetz „Über Informationen, Informationstechnologien und Informationsschutz“ vom 27. Juli 2006, Nr. 149-FZ. Daher bedürfen die im Gesetz verankerten Grundbegriffe und Entscheidungen einer genauen Betrachtung.

Das Gesetz regelt die Beziehungen, die sich ergeben aus:

• Ausübung des Rechts, Informationen zu suchen, zu empfangen, zu übertragen, zu produzieren und zu verbreiten;
• Anwendung von Informationstechnologien;
• Gewährleistung des Informationsschutzes.

Das Gesetz enthält grundlegende Definitionen im Bereich des Informationsschutzes. Hier sind einige davon:

• Information- Informationen (Nachrichten, Daten) unabhängig von der Form ihrer Darstellung;
• Informationstechnologie- Prozesse, Methoden zum Suchen, Sammeln, Speichern, Verarbeiten, Bereitstellen und Verbreiten von Informationen und Methoden zum Implementieren solcher Prozesse und Methoden;
• Informationssystem- eine Reihe von Informationen, die in Datenbanken und Informationstechnologien und technischen Mitteln enthalten sind, die ihre Verarbeitung gewährleisten;
• Besitzer von Informationen- eine Person, die unabhängig Informationen erstellt hat oder die aufgrund eines Gesetzes oder einer Vereinbarung das Recht erhalten hat, den Zugang zu Informationen zu gewähren oder zu beschränken, die durch Zeichen bestimmt sind;
• Betreiber von Informationssystemen- ein Bürger oder eine juristische Person, die ein Informationssystem betreibt, einschließlich der Verarbeitung von Informationen, die in seinen Datenbanken enthalten sind.
• Vertraulichkeit von Informationen- eine zwingende Verpflichtung für eine Person, die Zugang zu bestimmten Informationen erlangt hat, diese Informationen nicht ohne Zustimmung ihres Eigentümers an Dritte weiterzugeben.

Artikel 4 des Gesetzes formuliert die Grundsätze gesetzliche Regelung Beziehungen im Bereich Information, Informationstechnologie und Informationsschutz:

1. Freiheit, Informationen auf legale Weise zu suchen, zu empfangen, zu übertragen, zu produzieren und zu verteilen;
2. Beschränkungen nur für den Zugang zu Informationen festlegen Bundesgesetze;
3. Offenheit von Informationen über die Aktivitäten staatlicher Stellen und lokaler Selbstverwaltungsorgane und freier Zugang zu solchen Informationen, außer in Fällen, die durch Bundesgesetze festgelegt sind;
4. Gleichheit der Sprachen der Völker der Russischen Föderation bei der Schaffung von Informationssystemen und deren Betrieb;
5. Gewährleistung der Sicherheit der Russischen Föderation bei der Erstellung von Informationssystemen, ihrem Betrieb und dem Schutz der darin enthaltenen Informationen;
6. Zuverlässigkeit der Informationen und Aktualität ihrer Bereitstellung;
7. Privatsphäre, die Unzulässigkeit, Informationen über das Privatleben einer Person ohne ihre Zustimmung zu sammeln, zu speichern, zu verwenden und zu verbreiten;
8. die Unzulässigkeit, durch Regulierungsgesetze irgendwelche Vorteile der Verwendung einiger Informationstechnologien gegenüber anderen festzulegen, es sei denn, die obligatorische Verwendung bestimmter Informationstechnologien für die Schaffung und den Betrieb staatlicher Informationssysteme ist durch Bundesgesetze festgelegt.

Alle Informationen sind unterteilt in Öffentlichkeit und begrenzt Zugang. Öffentlich zugängliche Informationen umfassen allgemein bekannte Informationen und andere Informationen, auf die der Zugriff nicht beschränkt ist. Das Gesetz definiert Informationen, auf die der Zugriff nicht eingeschränkt werden kann, beispielsweise Informationen über Umgebung oder Regierungstätigkeiten. Das ist auch vorgeschrieben Zugriffsbeschränkung Auskunftspflichten werden durch Bundesgesetze zum Schutz der Grundfesten der verfassungsmäßigen Ordnung, der Moral, der Gesundheit, der Rechte und berechtigten Interessen anderer Personen, zur Gewährleistung der Landesverteidigung und der Staatssicherheit festgelegt. Es ist zwingend erforderlich, die Vertraulichkeit von Informationen zu wahren, deren Zugang durch Bundesgesetze beschränkt ist.

Es ist verboten, von einem Bürger (Einzelperson) zu verlangen, Informationen über sein Privatleben, einschließlich Informationen, die ein persönliches oder Familiengeheimnis darstellen, zu verlangen und solche Informationen gegen den Willen des Bürgers (Einzelperson) zu erhalten, sofern die Bundesgesetze nichts anderes vorsehen.

1. frei verteilte Informationen;
2. einvernehmlich bereitgestellte Informationen der an der betreffenden Beziehung beteiligten Personen;
3. Informationen, die nach Bundesgesetzen zur Bereitstellung oder Verbreitung verpflichtet sind;
4. Informationen, deren Verbreitung in der Russischen Föderation eingeschränkt oder verboten ist.

Das Gesetz stellt die Gleichwertigkeit einer mit einer elektronischen digitalen Signatur oder einem anderen Analogon einer handschriftlichen Signatur unterzeichneten elektronischen Nachricht und einem eigenhändig unterzeichneten Dokument fest.

Die folgende Definition von Informationssicherheit wird gegeben - es ist die Annahme von rechtlichen, organisatorischen und technischen Maßnahmen, die darauf abzielen:

1. Gewährleistung des Schutzes von Informationen vor unbefugtem Zugriff, Zerstörung, Änderung, Sperrung, Vervielfältigung, Bereitstellung, Verbreitung sowie vor anderen rechtswidrigen Handlungen in Bezug auf diese Informationen;
2. Einhaltung der Vertraulichkeit von Informationen mit beschränktem Zugang;
3. Ausübung des Rechts auf Zugang zu Informationen.

Der Eigentümer von Informationen, der Betreiber des Informationssystems ist in den durch die Gesetzgebung der Russischen Föderation festgelegten Fällen verpflichtet, Folgendes sicherzustellen:

1. Verhinderung des unbefugten Zugriffs auf Informationen und (oder) deren Weitergabe an Personen, die nicht berechtigt sind, auf Informationen zuzugreifen;
2. rechtzeitige Feststellung von Tatsachen des unbefugten Zugriffs auf Informationen;
3. Vermeidung der Möglichkeit nachteiliger Folgen einer Verletzung der Ordnung des Zugangs zu Informationen;
4. Vermeidung von Einwirkungen auf die technischen Mittel der Informationsverarbeitung, wodurch deren Funktion gestört wird;
5. die Möglichkeit der sofortigen Wiederherstellung von Informationen, die aufgrund eines unbefugten Zugriffs darauf geändert oder zerstört wurden;
6. ständige Kontrolle über die Gewährleistung des Niveaus der Informationssicherheit.

So schafft das Bundesgesetz „Über Informationen, Informationstechnologien und Informationsschutz“ die Rechtsgrundlage für den Informationsaustausch in der Russischen Föderation und bestimmt die Rechte und Pflichten seiner Untertanen.

Informationssicherheitsrichtlinie.

1. Allgemeine Bestimmungen

Diese I( Des Weiteren - Politik ) definiert ein System von Ansichten zum Problem der Gewährleistung der Informationssicherheit und ist eine systematische Darstellung der Ziele und Zielsetzungen sowie der organisatorischen, technologischen und verfahrenstechnischen Aspekte der Gewährleistung der Informationssicherheit von Objekten der Informationsinfrastruktur, einschließlich einer Reihe von Informationszentren , Datenbanken und Kommunikationssysteme der Organisation. Diese Richtlinie wurde unter Berücksichtigung der Anforderungen der aktuellen Gesetzgebung der Russischen Föderation und der unmittelbaren Aussichten für die Entwicklung von Einrichtungen der Informationsinfrastruktur sowie der Merkmale und Möglichkeiten moderner organisatorischer und technischer Methoden sowie des Hardware- und Software-Informationsschutzes entwickelt.

Die wesentlichen Bestimmungen und Anforderungen der Richtlinie gelten für alle strukturellen Bereiche der Organisation.

Die Richtlinie ist eine methodische Grundlage für die Bildung und Umsetzung einer einheitlichen Richtlinie im Bereich der Gewährleistung der Informationssicherheit von Objekten der Informationsinfrastruktur, des Treffens vereinbarter Managemententscheidungen und der Entwicklung praktischer Maßnahmen zur Gewährleistung der Informationssicherheit, der Koordinierung der Aktivitäten der Strukturabteilungen von die Organisation bei der Arbeit an der Erstellung, Entwicklung und dem Betrieb von Objekten der Informationsinfrastruktur Infrastruktur in Übereinstimmung mit den Anforderungen der Informationssicherheit.

Die Politik regelt nicht die Organisation des Schutzes von Räumlichkeiten und die Gewährleistung der Sicherheit und physischen Unversehrtheit der Komponenten der Informationsinfrastruktur, den Schutz vor Naturkatastrophen und Ausfällen im Stromversorgungssystem, sondern umfasst den Aufbau eines Informationssicherheitssystems auf den gleichen konzeptionellen Grundlagen wie das Sicherheitssystem der Organisation als Ganzes.

Die Umsetzung der Richtlinie wird durch entsprechende Richtlinien, Vorschriften, Verfahren, Anweisungen, Richtlinien und das Informain der Organisation.

Die folgenden Begriffe und Definitionen werden in der Richtlinie verwendet:

Automatisiertes System ( AU) — ein System, das aus Personal und einer Reihe von Mitteln zur Automatisierung seiner Aktivitäten besteht und Informationstechnologie zur Ausführung festgelegter Funktionen implementiert.

Informationsinfrastruktur— ein System von Organisationsstrukturen, die das Funktionieren und die Entwicklung des Informationsraums und der Mittel der Informationsinteraktion gewährleisten. Die Informationsinfrastruktur umfasst eine Reihe von Informationszentren, Daten- und Wissensbanken sowie Kommunikationssysteme und bietet Verbrauchern Zugang zu Informationsressourcen.

Informationsquellen ( IR) - dies sind separate Dokumente und separate Arrays von Dokumenten, Dokumente und Arrays von Dokumenten in Informationssystemen ( Bibliotheken, Archive, Sammlungen, Datenbanken und andere Informationssysteme).

Informationssystem (IP) - Informationsverarbeitungssystem und zugehörige organisatorische Ressourcen ( Menschlich, technisch, finanziell usw.), die Informationen bereitstellen und verbreiten.

Sicherheit - Zustand des Interessenschutzes ( Tore) bedrohte Organisationen.

Informationssicherheit ( IST) — Sicherheit im Zusammenhang mit Bedrohungen im Informationsbereich. Sicherheit wird erreicht, indem eine Reihe von IS-Eigenschaften bereitgestellt werden – Verfügbarkeit, Integrität, Vertraulichkeit von Informationswerten. Die Priorität von IS-Immobilien wird durch den Wert dieser Vermögenswerte für Zinsen bestimmt ( Tore) Organisationen.

Verfügbarkeit von Informationsressourcen − Eigenschaft der Informationssicherheit einer Organisation, die darin besteht, dass Informationswerte einem autorisierten Benutzer zur Verfügung gestellt werden, und zwar in der Form und am Ort, die der Benutzer benötigt, und zu dem Zeitpunkt, zu dem er sie benötigt.

Integrität von Informationsbeständen − die Eigenschaft der Informationssicherheit einer Organisation, unverändert zu bleiben oder erkannte Änderungen in ihren Informationsbeständen zu korrigieren.

Vertraulichkeit von Informationswerten − Eigentum des IS der Organisation, das darin besteht, dass die Verarbeitung, Speicherung und Übertragung von Informationswerten so erfolgt, dass Informationswerte nur autorisierten Benutzern, Systemobjekten oder Prozessen zur Verfügung stehen.

Informationssicherheitssystem ( FEDER) — eine Reihe von Schutzmaßnahmen, Schutzausrüstungen und Verfahren für deren Betrieb, einschließlich Ressourcen- und Verwaltungs- ( organisatorisch) Bestimmung.

Unautorisierter Zugriff- Zugang zu Informationen unter Verletzung der dienstlichen Befugnisse des Arbeitnehmers, Zugang zu Informationen, die für den öffentlichen Zugriff gesperrt sind, durch Personen, die keine Erlaubnis zum Zugang zu diesen Informationen haben, oder Zugang zu Informationen durch eine Person, die das Recht hat, auf diese Informationen zuzugreifen, in einem Betrag, der über das hinausgeht, was zur Erfüllung der dienstlichen Aufgaben erforderlich ist.

2. Allgemeine Anforderungen zur Gewährleistung der Informationssicherheit

Anforderungen an die Informationssicherheit Des Weiteren -IST ) legen die Inhalte und Ziele der Aktivitäten der Organisation im Rahmen von Informatiofest.

Diese Anforderungen werden für folgende Bereiche formuliert:

• Rollenzuweisung und -verteilung und Vertrauen in Mitarbeiter;
• Stufen Lebenszyklus Einrichtungen der Informationsinfrastruktur;
• Schutz vor unbefugtem Zugriff ( Des Weiteren - NSD ), Zugangskontrolle und Registrierung in automatisierten Systemen, in Telekommunikationsgeräten und automatisch Telefonzentralen usw.;
• Virenschutz;
• Nutzung von Internetressourcen;
• Verwendung von Mitteln zum kryptografischen Schutz von Informationen;
• Schutz personenbezogener Daten.

3. Zu schützende Objekte

Die wichtigsten zu schützenden Objekte sind:

• Informationsquellen, präsentiert in Form von Dokumenten und Informationssammlungen, unabhängig von der Form und Art ihrer Präsentation, einschließlich unter anderem vertraulicher und offener Informationen;
• System der Bildung, Verteilung und Nutzung von Informationsressourcen, Bibliotheken, Archive, Datenbanken und Datenbanken, Informationstechnologien, Vorschriften und Verfahren zum Sammeln, Verarbeiten, Speichern und Übermitteln von Informationen, technisches und Wartungspersonal;
• Informationsinfrastruktur, einschließlich Informationsverarbeitungs- und Analysesysteme, Hardware und Software für deren Verarbeitung, Übertragung und Anzeige, einschließlich Informationsaustausch- und Telekommunikationskanäle, Informationssicherheitssysteme und -mittel, Einrichtungen und Räumlichkeiten, in denen sich Komponenten der Informationsinfrastruktur befinden.

3.1. Merkmale des automatisierten Systems

Das AS zirkuliert Informationen verschiedener Kategorien. Geschützte Informationen können zwischen verschiedenen Benutzern aus verschiedenen Subnetzen eines einzelnen Unternehmensnetzwerks geteilt werden.

Eine Reihe von AS-Subsystemen ermöglicht die Interaktion mit externen ( Staat und Handel, Russisch und Ausland) Organisationen über Einwahl- und dedizierte Kommunikationskanäle unter Verwendung spezieller Mittel zur Informationsübertragung.

Der Komplex der technischen Mittel der AU umfasst Datenverarbeitungswerkzeuge ( Workstations, Datenbankserver, Mailserver usw.), Mittel zum Datenaustausch in lokalen Computernetzen mit Zugriffsmöglichkeit auf globale Netze ( Verkabelung, Brücken, Gateways, Modems usw.) sowie Lagermöglichkeiten ( einschließlich Archivierung) Daten.

Die Hauptmerkmale der Funktionsweise des AS umfassen:

• die Notwendigkeit, eine große Anzahl verschiedener technischer Mittel zur Verarbeitung und Übertragung von Informationen in einem einzigen System zu kombinieren;
• eine Vielzahl von zu lösenden Aufgaben und Arten von verarbeiteten Daten;
• Verein ein gemeinsame Grundlagen Dateninformationen für verschiedene Zwecke, Zugehörigkeit und Vertraulichkeitsstufen;
• Verfügbarkeit von Kanälen für die Verbindung mit externen Netzwerken;
• Kontinuität des Betriebs;
• das Vorhandensein von Subsystemen mit unterschiedlichen Sicherheitsanforderungen, die physisch in einem einzigen Netzwerk vereint sind;
• Vielzahl von Kategorien von Benutzern und Servicepersonal.

Im Allgemeinen ist ein einzelner AS eine Sammlung lokaler Computernetzwerke Geschäftsbereiche, die durch Telekommunikation miteinander verbunden sind. Jedes lokale Netzwerk vereint eine Reihe miteinander verbundener und interagierender automatisierter Subsysteme ( technologische Bereiche), die die Lösung von Problemen durch einzelne Strukturbereiche der Organisation sicherstellen.

Zu den Informationsobjekten gehören:

• technologische Ausstattung ( Mittel Informatik, Netzwerk- und Kabelausrüstung);
• Informationsquellen;
• Software ( Betriebssysteme, Datenbankverwaltungssysteme, systemweit und Anwendung Software );
• Automatisierte Kommunikations- und Datenübertragungssysteme (Telekommunikationsmittel);
• Verbindungskanäle;
• Diensträume.

3.2. Arten von zu schützenden Informationsressourcen der Organisation

In den AS-Subsystemen der Organisation zirkulieren Informationen verschiedener Vertraulichkeitsstufen, die Informationen mit begrenzter Verbreitung enthalten ( amtliche, geschäftliche, personenbezogene Daten) und öffentliche Informationen.

Der AS-Dokumentenfluss enthält:

• Zahlungsaufträge und Finanzdokumente;
• Berichte ( finanziell, analytisch usw.);
• Informationen über persönliche Konten;
• persönliche Daten;
• andere eingeschränkte Informationen.

Alle Informationen, die in AS zirkulieren und in den folgenden Arten von Informationsbeständen enthalten sind, unterliegen dem Schutz:

• Informationen, die ein Geschäfts- und Amtsgeheimnis darstellen, zu denen die Organisation als Eigentümer der Informationen gemäß den Bestimmungen des Bundesgesetzes " Über Information, Informatisierung und Informationsschutz » Rechte und Bundesrecht « Über Geschäftsgeheimnisse »;
• personenbezogene Daten, deren Zugriff gemäß Bundesgesetz eingeschränkt ist " Über personenbezogene Daten »;
• offene Informationen, um die Integrität und Verfügbarkeit von Informationen zu gewährleisten.

3.3. Kategorien von Benutzern des automatisierten Systems

Die Organisation hat eine große Anzahl von Kategorien von Benutzern und Wartungspersonal, die unterschiedliche Befugnisse haben müssen, um auf die Informationsressourcen des AS zugreifen zu können:

• normale Benutzer ( Endbenutzer, Mitarbeiter von Organisationseinheiten);
• Serveradministratoren ( Dateiserver, Anwendungsserver, Datenbankserver), lokale Computernetzwerke und angewandte Systeme;
• Systemprogrammierer ( verantwortlich für die Wartung gemeinsamer Software) auf Servern und Benutzerarbeitsplätzen;
• Entwickler von Anwendungssoftware;
• Spezialisten für die Wartung von technischen Mitteln der Computertechnik;
• Informusw.

3.4. Anfälligkeit der Hauptkomponenten des automatisierten Systems

Die anfälligsten AS-Komponenten sind Netzwerk-Workstations - Workstations ( Des Weiteren - Arbeitsplatz ) Arbeitskräfte. Vom Arbeitsplatz der Mitarbeiter aus können Versuche des unbefugten Zugriffs auf Informationen oder Versuche unbefugter Handlungen unternommen werden ( unbeabsichtigt und absichtlich) in einem Computernetzwerk. Verstöße gegen die Konfiguration der Hard- und Software von Arbeitsplätzen und rechtswidrige Eingriffe in die Prozesse ihrer Funktion können zur Sperrung von Informationen, zur Unmöglichkeit der rechtzeitigen Lösung wichtiger Aufgaben und zum Ausfall einzelner Arbeitsplätze und Teilsysteme führen.

Netzwerkelemente wie dedizierte Dateiserver, Datenbankserver und Anwendungsserver müssen besonders geschützt werden. Mängel von Austauschprotokollen und Mitteln zur Zugriffskontrolle auf Serverressourcen können unbefugten Zugriff auf geschützte Informationen ermöglichen und den Betrieb verschiedener Subsysteme beeinflussen. Gleichzeitig können Versuche als Remote unternommen werden ( von Netzwerkstationen) und direkt ( von der Serverkonsole) Auswirkungen auf den Betrieb von Servern und deren Schutz.

Bridges, Gateways, Hubs, Router, Switches und andere Netzwerkgeräte, Kanäle und Kommunikationen müssen ebenfalls geschützt werden. Sie können von Eindringlingen verwendet werden, um den Betrieb des Netzwerks umzustrukturieren und zu stören, übertragene Informationen abzufangen, den Datenverkehr zu analysieren und andere Methoden zur Einmischung in Datenaustauschprozesse zu implementieren.

4. Grundprinzipien zur Gewährleistung der Informationssicherheit

4.1. Allgemeine Grundsätze des sicheren Betriebs

• Aktualität der Problemerkennung. Die Organisation muss Probleme, die sich potenziell auf ihre Geschäftsziele auswirken könnten, umgehend erkennen.
• Vorhersagbarkeit der Entwicklung von Problemen. Die Organisation muss die Kausalität identifizieren mögliche Probleme und auf dieser Grundlage eine genaue Prognose ihrer Entwicklung erstellen.
• Bewertung der Auswirkungen von Problemen auf die Geschäftsziele. Die Organisation muss die Auswirkungen identifizierter Probleme angemessen bewerten.
• Angemessenheit der Schutzmaßnahmen. Die Organisation sollte Schutzmaßnahmen wählen, die den Bedrohungs- und Angreifermodellen angemessen sind, und dabei die Kosten für die Umsetzung solcher Maßnahmen und die Höhe möglicher Verluste durch die Ausführung von Bedrohungen berücksichtigen.
• Wirksamkeit von Schutzmaßnahmen. Die Organisation muss die ergriffenen Schutzmaßnahmen wirksam umsetzen.
• Erfahrung beim Treffen und Umsetzen von Entscheidungen nutzen. Die Organisation sollte sowohl ihre eigene Erfahrung als auch die Erfahrung anderer Organisationen auf allen Ebenen der Entscheidungsfindung und ihrer Umsetzung sammeln, verallgemeinern und nutzen.
• Kontinuität der Grundsätze des sicheren Betriebs. Die Organisation muss die Kontinuität der Umsetzung der Grundsätze des sicheren Betriebs sicherstellen.
• Kontrollierbarkeit von Schutzmaßnahmen. Die Organisation sollte nur solche Sicherheitsvorkehrungen anwenden, deren korrektes Funktionieren überprüft werden kann, und die Organisation muss regelmäßig die Angemessenheit der Sicherheitsvorkehrungen und die Wirksamkeit ihrer Umsetzung bewerten, wobei die Auswirkungen der Sicherheitsvorkehrungen auf die Geschäftsziele der Organisation zu berücksichtigen sind.

4.2. Besondere Grundsätze zur Gewährleistung der Informationssicherheit

• Die Umsetzung spezieller Grundsätze zur Gewährleistung der Informationssicherheit zielt darauf ab, den Reifegrad der Informatiin der Organisation zu erhöhen.
• Bestimmung von Zielen. Die funktionalen und Informationssicherheitsziele der Organisation sollten explizit in einem internen Dokument definiert werden. Unsicherheit führt zu „ Vagheit” Organisationsstruktur, Personalrollen, Inund die Unfähigkeit, die Angemessenheit der getroffenen Schutzmaßnahmen zu beurteilen.
• Ihre Kunden und Mitarbeiter kennen. Die Organisation muss Informationen über ihre Kunden haben, Personal sorgfältig auswählen ( Arbeitskräfte), eine Unternehmensethik zu entwickeln und aufrechtzuerhalten, die ein günstiges vertrauensvolles Umfeld für die Aktivitäten der Vermögensverwaltungsorganisation schafft.
• Personifizierung und angemessene Verteilung von Rollen und Verantwortlichkeiten. Die Verantwortung der Beamten der Organisation für Entscheidungen in Bezug auf ihr Vermögen sollte personifiziert und hauptsächlich in Form einer Garantie ausgeführt werden. Es sollte dem Grad des Einflusses auf die Ziele der Organisation angemessen sein, in Richtlinien festgelegt, überwacht und verbessert werden.
• Angemessenheit der Rollen an Funktionen und Verfahren und deren Vergleichbarkeit mit dem Kriterien- und Bewertungssystem. Rollen sollten die ausgeübten Funktionen und die in der Organisation angenommenen Verfahren für ihre Umsetzung angemessen widerspiegeln. Bei der Zuordnung zusammenhängender Rollen sollte die notwendige Reihenfolge ihrer Ausführung berücksichtigt werden. Die Rolle sollte mit den Kriterien für die Bewertung der Wirksamkeit ihrer Umsetzung übereinstimmen. Der Hauptinhalt und die Qualität der gespielten Rolle werden tatsächlich durch das darauf angewandte Bewertungssystem bestimmt.
• Verfügbarkeit von Dienstleistungen und Einrichtungen. Die Organisation muss die Verfügbarkeit von Diensten und Dienstleistungen für ihre Kunden und Gegenparteien rechtzeitig sicherstellen, die in den entsprechenden Vereinbarungen festgelegt sind ( Vereinbarungen) und/oder andere Dokumente.
• Beobachtbarkeit und Auswertbarkeit der IS-Bereitstellung. Alle vorgeschlagenen Schutzmaßnahmen sollten so gestaltet sein, dass das Ergebnis ihrer Anwendung deutlich beobachtbar ist ( transparent) und kann von einer Abteilung der Organisation bewertet werden, die über die entsprechende Befugnis verfügt.

5. Ziele und Zwecke der Bereitstellung von Sicherheitsinformationen

5.1. Themen der Informationsbeziehungen im automatisierten System

Gegenstand des Rechtsverkehrs bei der Nutzung von AS und der Gewährleistung der Informationssicherheit sind:

• Organisation als Eigentümer von Informationsressourcen;
• Unterabteilungen der Organisation, die den Betrieb des KKW sicherstellen;
• Mitarbeiter struktureller Abteilungen der Organisation als Nutzer und Anbieter von Informationen im AS gemäß den ihnen zugewiesenen Funktionen;
• rechtlich u Einzelpersonen, deren Informationen im AS gesammelt, gespeichert und verarbeitet werden;
• andere juristische Personen und natürliche Personen, die am Prozess der Erstellung und des Betriebs des AS beteiligt sind ( Entwickler der Systemkomponenten, Organisationen, die an der Erbringung verschiedener Dienstleistungen im Bereich der Informationstechnologie beteiligt sind, usw.).

Die aufgeführten Subjekte der Informationsbeziehungen sind daran interessiert, Folgendes bereitzustellen:

• Vertraulichkeit eines bestimmten Teils der Informationen;
• Verlässlichkeit ( Vollständigkeit, Genauigkeit, Angemessenheit, Integrität) Information;
• Schutz vor der Auferlegung falscher ( falsch, verzerrt) Information;
• rechtzeitiger Zugang zu den erforderlichen Informationen;
• Haftungsbegrenzung für Rechtsverletzungen ( Interessen) andere Themen der Informationsbeziehungen und etablierte Regeln für den Umgang mit Informationen;
• die Möglichkeit der kontinuierlichen Überwachung und Kontrolle der Verarbeitung und Übermittlung von Informationen;
• Schutz eines Teils der Informationen vor illegaler Vervielfältigung ( Schutz von Urheberrechten, Rechten des Eigentümers von Informationen usw.).

5.2. Zweck der Informationssicherheit

Das Hauptziel der Gewährleistung der Informationssicherheit besteht darin, die Subjekte der Informationsbeziehungen vor möglichen materiellen, moralischen oder sonstigen Schäden durch zufällige oder vorsätzliche unbefugte Eingriffe in den Betrieb des AS oder unbefugten Zugriff auf die darin zirkulierenden Informationen und seine zu schützen illegale Nutzung.

Dieses Ziel wird erreicht, indem die folgenden Eigenschaften von Informationen und ein automatisiertes System zu ihrer Verarbeitung sichergestellt und ständig gepflegt werden:

• Verfügbarkeit der verarbeiteten Informationen für registrierte Benutzer;
• Vertraulichkeit eines bestimmten Teils der gespeicherten, verarbeiteten und über Kommunikationskanäle übermittelten Informationen;
• Integrität und Authentizität von Informationen, die über Kommunikationskanäle gespeichert, verarbeitet und übertragen werden.

5.3. Aufgaben der Informationssicherheit

Um das Hauptziel der Gewährleistung der Informationssicherheit zu erreichen, sollte das Informationssicherheitssystem des Kernkraftwerks eine effektive Lösung für die folgenden Aufgaben bieten:

• Schutz vor Eingriffen in den Ablauf der AU durch Unbefugte;
• Unterscheidung des Zugriffs registrierter Benutzer auf die Hardware, Software und Informationsressourcen des AS, dh Schutz vor unbefugtem Zugriff;
• Registrierung von Benutzeraktionen bei Verwendung geschützter AS-Ressourcen in Systemprotokollen und regelmäßige Überwachung der Korrektheit von Systembenutzeraktionen durch Analyse des Inhalts dieser Protokolle durch Spezialisten aus Sicherheitsabteilungen;
• Schutz vor unbefugter Änderung und Integritätskontrolle ( Unveränderlichkeit) Programmausführungsumgebung und ihre Wiederherstellung im Falle einer Verletzung;
• Schutz vor unbefugter Änderung und Kontrolle der Integrität der in der AU verwendeten Software sowie Schutz des Systems vor der Einführung nicht autorisierter Programme, einschließlich Computerviren;
• Schutz von Informationen vor dem Durchsickern durch technische Kanäle während ihrer Verarbeitung, Speicherung und Übertragung über Kommunikationskanäle;
• Schutz von über Kommunikationskanäle gespeicherten, verarbeiteten und übermittelten Informationen vor unbefugter Offenlegung oder Verfälschung;
• Gewährleistung der Authentifizierung von Benutzern, die am Informationsaustausch teilnehmen;
• Gewährleistung der Überlebensfähigkeit kryptografischer Mittel zum Schutz von Informationen im Falle einer Kompromittierung eines Teils des Schlüsselsystems;
• rechtzeitige Identifizierung von Quellen von Bedrohungen der Informationssicherheit, Ursachen und Bedingungen, die dazu beitragen, interessierten Subjekten von Informationsbeziehungen Schaden zuzufügen, Schaffung eines Mechanismus zur sofortigen Reaktion auf Bedrohungen der Informationssicherheit und negative Trends;
• Schaffung von Bedingungen für die Minimierung und Lokalisierung des Schadens, der durch illegale Handlungen von natürlichen und juristischen Personen verursacht wird, die Minderung der negativen Auswirkungen und die Beseitigung der Folgen von Verletzungen der Informationssicherheit.

5.4. Möglichkeiten zur Lösung der Probleme bei der Gewährleistung der Informationssicherheit

Die Lösung der Probleme zur Gewährleistung der Informationssicherheit wird erreicht:

• strikte Berücksichtigung aller zu schützenden Systemressourcen ( Informationen, Aufgaben, Kommunikationswege, Server, Workstations);
• Regulierung von Inund Handlungen von Mitarbeitern struktureller Abteilungen der Organisation sowie Handlungen von Personal, das mit der Wartung und Änderung von Software und Hardware der AU befasst ist, auf der Grundlage von Organisations- und Verwaltungsdokumenten zur Informationssicherheit;
• Vollständigkeit, Realisierbarkeit und Konsistenz der Anforderungen an Organisations- und Verwaltungsdokumente zu Fragen der Informationssicherheit;
• Ernennung und Schulung von Mitarbeitern, die für die Organisation und Umsetzung praktischer Maßnahmen zur Gewährleistung der Informationssicherheit verantwortlich sind;
• Ermächtigung jedes Mitarbeiters mit der für die Erfüllung seiner funktionalen Pflichten erforderlichen Mindestbefugnis zum Zugriff auf die Ressourcen der AU;
• klare Kenntnis und strikte Einhaltung aller Mitarbeiter, die AS-Hardware und -Software verwenden und warten, der Anforderungen von Organisations- und Verwaltungsdokumenten zur Informationssicherheit;
• Eigenverantwortung für ihre Handlungen jedes Mitarbeiters, der im Rahmen seiner funktionalen Aufgaben an Prozessen der automatisierten Informationsverarbeitung teilnimmt und Zugang zu AS-Ressourcen hat;
• Implementierung technologische Prozesse Informationsverarbeitung durch komplexe organisatorische und technische Maßnahmen zum Schutz von Software, Hardware und Daten;
• wirksame Maßnahmen ergreifen, um die physische Unversehrtheit der technischen Mittel und die kontinuierliche Aufrechterhaltung des erforderlichen Schutzniveaus der KKW-Komponenten sicherzustellen;
• Anwendung technischer ( Software und Hardware) Mittel zum Schutz von Systemressourcen und kontinuierliche administrative Unterstützung für ihre Verwendung;
• Begrenzung des Informationsflusses und Verbot der Übertragung von Informationen mit begrenzter Verbreitung über ungeschützte Kommunikationskanäle;
• wirksame Kontrolle über die Einhaltung von Infodurch Mitarbeiter;
• ständige Überwachung von Netzwerkressourcen, Identifizierung von Schwachstellen, rechtzeitige Erkennung und Neutralisierung externer und interner Bedrohungen für die Sicherheit eines Computernetzwerks;
• rechtlicher Schutz der Interessen der Organisation vor illegalen Handlungen im Bereich der Informationssicherheit.
• Durchführung einer kontinuierlichen Analyse der Wirksamkeit und Angemessenheit Maße genommen und angewandte Informationssicherheitsinstrumente, Entwicklung und Umsetzung von Vorschlägen zur Verbesserung des Informationssicherheitssystems im AS.

6. Bedrohungen für die Informationssicherheit

6.1. Bedrohungen der Informationssicherheit und ihre Quellen

Die gefährlichsten Bedrohungen für die Sicherheit der in AS verarbeiteten Informationen sind:

• Verletzung der Privatsphäre ( Offenlegung, Leck) Informationen, die ein Amts- oder Geschäftsgeheimnis darstellen, einschließlich personenbezogener Daten;
• Funktionsstörung ( Desorganisation der Arbeit) AS, Blockierung von Informationen, Verletzung technologischer Prozesse, nicht rechtzeitige Lösung von Problemen;
• Integritätsverletzung ( Verzerrung, Substitution, Zerstörung) Informationen, Software und andere AS-Ressourcen.

Die Hauptquellen für Bedrohungen der Sicherheit von AS-Informationen sind:

• ungünstige natürliche und vom Menschen verursachte Ereignisse;
• Terroristen, kriminelle Elemente;
• Computereindringlinge, die absichtlich destruktive Einflüsse ausüben, einschließlich der Verwendung von Computer Virus und andere Arten von bösartigen Codes und Angriffen;
• Anbieter von Soft- und Hardware, Verbrauchsmaterialien, Dienstleistungen usw.;
• Auftragnehmer, die an der Installation, Inbetriebnahme von Geräten und deren Reparatur beteiligt sind;
• Nichteinhaltung der Anforderungen von Aufsichts- und Regulierungsbehörden, geltender Gesetzgebung;
• Ausfälle, Ausfälle, Zerstörung/Beschädigung von Software und Hardware;
• Mitarbeiter, die rechtmäßig an den Prozessen im AS beteiligt sind und außerhalb des Umfangs der eingeräumten Befugnisse handeln;
• Mitarbeiter, die an den Prozessen im AS rechtlich beteiligt sind und im Rahmen der eingeräumten Befugnisse handeln.

6.2. Unbeabsichtigte Handlungen, die zu einer Verletzung der Informationssicherheit führen, und Maßnahmen zu ihrer Verhinderung

Mitarbeiter der Organisation, die direkten Zugriff auf Iim AS haben, sind eine potenzielle Quelle für unbeabsichtigte willkürliche Aktionen, die zu einer Verletzung der Informationssicherheit führen können.

Wichtigste unbeabsichtigte Handlungen, die zu einer Verletzung der Informationssicherheit führen (Handlungen, die von Menschen versehentlich, aus Unwissenheit, Unaufmerksamkeit oder Fahrlässigkeit, aus Neugier, aber ohne böswillige Absicht begangen werden) und Maßnahmen zur Verhinderung solcher Handlungen und zur Minimierung des dadurch verursachten Schadens sind angegeben Tabelle 1.

Tabelle 1

6.3. Vorsätzliche Handlungen zur Verletzung der Informationssicherheit und Maßnahmen zu deren Verhinderung

Wichtige vorsätzliche Handlungen ( aus egoistischen Gründen, unter Zwang, aus Rachegelüsten etc.), die zu einer Verletzung der Informationssicherheit der AU führen, sowie Maßnahmen zu deren Verhinderung und zur Minderung des möglichen Schadens angegeben Tabelle 2.

Tabelle 2

6.4. Weitergabe von Informationen über technische Kanäle

Während des Betriebs der technischen Mittel des KKW sind die folgenden Kanäle des Durchsickerns oder der Verletzung der Integrität der Informationen, die Verletzung der Leistung der technischen Mittel möglich:

• elektromagnetische Störstrahlung eines Informationssignals von technischen Mitteln und Informationsübertragungsleitungen;
• Aufnahme eines mit Hilfe elektronischer Rechengeräte verarbeiteten informativen Signals auf Drähten und Leitungen, die über den kontrollierten Bereich von Büros hinausgehen, inkl. auf den Boden- und Stromversorgungskreisen;
• verschiedene elektronische Geräte Abfangen von Informationen ( einschließlich "Lesezeichen") verbunden mit Kommunikationskanälen oder technischen Mitteln der Informationsverarbeitung;
• Anzeigen von Informationen auf Bildschirmen und anderen Mitteln zu ihrer Anzeige mit optischen Mitteln;
• Auswirkungen auf Hardware oder Software, um die Integrität zu verletzen ( Zerstörung, Verzerrung) Informationen, Funktionsfähigkeit technischer Mittel, Mittel zum Schutz von Informationen und Aktualität des Informationsaustauschs, einschließlich elektromagnetischer, durch speziell implementierte elektronische und Software-Tools ( "Lesezeichen").

Unter Berücksichtigung der Besonderheiten der Verarbeitung und Gewährleistung der Sicherheit von Informationen, der Gefahr des Durchsickerns vertraulicher Informationen ( einschließlich personenbezogener Daten) über technische Kanäle sind für die Organisation irrelevant.

6.5. Informelles Modell eines wahrscheinlichen Eindringlings

Ein Täter ist eine Person, die versucht hat, verbotene Handlungen durchzuführen ( Aktion) aus Versehen, Unwissenheit oder wissentlich mit böswilliger Absicht ( aus egoistischen Interessen) oder ohne ( aus Spiel- oder Vergnügensgründen, zum Zweck der Selbstbestätigung usw.) und sich dabei verschiedener Möglichkeiten, Methoden und Mittel bedient.

Das KKW-Schutzsystem sollte auf der Grundlage der Annahmen über die folgenden möglichen Arten von Eindringlingen in das System aufgebaut werden ( unter Berücksichtigung von Personenkreis, Motivation, Qualifikation, Verfügbarkeit besonderer Mittel etc.):

• « Unerfahrener (unaufmerksamer) Benutzer„- ein Mitarbeiter, der versucht, verbotene Operationen durchzuführen, auf geschützte AS-Ressourcen zuzugreifen, die seine Befugnisse überschreiten, falsche Daten einzugeben usw. Handlungen aus Versehen, Unfähigkeit oder Fahrlässigkeit ohne Vorsatz und Verwendung nur regelmäßiger ( ihm zur Verfügung) Hardware und Software.
• « Amateur"- ein Mitarbeiter, der versucht, das Schutzsystem ohne egoistische Ziele und böswillige Absicht zu überwinden, aus Selbstbestätigung oder aus" sportliches Interesse". Um das Schutzsystem zu überwinden und verbotene Aktionen auszuführen, kann er verschiedene Methoden verwenden, um zusätzliche Zugriffsrechte auf Ressourcen zu erhalten ( Namen, Passwörter usw. andere Benutzer), Mängel beim Aufbau des Schutzsystems und verfügbarem Personal ( auf der Arbeitsstation installiert) Programme ( unbefugte Handlungen, indem sie ihre Befugnis zur Verwendung autorisierter Gelder überschreiten). Darüber hinaus kann er versuchen, zusätzliche nicht standardmäßige Tools und technologische Software zu verwenden ( Debugger, Dienstprogramme), eigenständig entwickelte Programme oder standardmäßige zusätzliche technische Mittel.
• « Betrüger"- ein Mitarbeiter, der möglicherweise versucht, illegale technologische Operationen durchzuführen, falsche Daten einzugeben und ähnliche Handlungen zum persönlichen Vorteil, unter Zwang oder aus böswilliger Absicht, aber nur unter Verwendung regelmäßiger ( auf der Arbeitsstation installiert und für ihn verfügbar) Hard- und Software im eigenen Namen oder im Namen eines anderen Mitarbeiters ( Kenntnis seines Namens und Passworts, Nutzung seiner kurzen Abwesenheit vom Arbeitsplatz usw.).
• « Externer Eindringling (Eindringling)„- ein Außenstehender oder ehemaliger Mitarbeiter, der zielgerichtet aus egoistischen Interessen, aus Rache oder aus Neugier handelt, möglicherweise in Absprache mit anderen. Es kann die gesamte Palette von Informationssicherheitsverletzungen, Methoden und Mitteln zum Hacken von Sicherheitssystemen verwenden, die für öffentliche Netzwerke typisch sind ( insbesondere IP-basierte Netze), einschließlich der Remote-Implementierung von Software-Lesezeichen und der Verwendung spezieller instrumenteller und technologischer Programme, wobei die bestehenden Schwachstellen in den Austauschprotokollen und dem Schutzsystem für die AS-Netzwerkknoten der Organisation ausgenutzt werden.
• « Interner Eindringling» - ein als Benutzer des Systems registrierter Mitarbeiter, der gezielt aus egoistischen Interessen oder Rache handelt, möglicherweise in Absprache mit Personen, die keine Mitarbeiter der Organisation sind. Er kann alle Methoden und Mittel zum Hacken des Sicherheitssystems verwenden, einschließlich verdeckter Methoden zum Erlangen von Zugangsdaten, passive Mittel (technische Mittel zum Abhören ohne Veränderung von Systemkomponenten), Methoden und Mittel zur aktiven Einflussnahme ( Änderung technischer Mittel, Anschluss an Datenübertragungskanäle, Einführung von Software-Registerkarten und Verwendung spezieller instrumenteller und technologischer Programme) sowie Kombinationen von Einwirkungen sowohl innerhalb als auch aus öffentlichen Netzen.

Ein Insider kann eine Person aus folgenden Personengruppen sein:

• registrierte AS-Endbenutzer ( Mitarbeiter der Abteilungen und Niederlassungen);
• Arbeiter dürfen nicht bei der AU arbeiten;
• Personal, das die technischen Einrichtungen des Kernkraftwerks bedient ( Ingenieure, Techniker);
• Mitarbeiter der Softwareentwicklungs- und Wartungsabteilungen ( Anwendungs- und Systemprogrammierer);
• technisches Personal, das die Gebäude und Räumlichkeiten der Organisation bedient ( Reinigungskräfte, Elektriker, Klempner und andere Arbeiter, die Zugang zu Gebäuden und Räumlichkeiten haben, in denen sich die AU-Komponenten befinden);
• Führungskräfte auf verschiedenen Ebenen.

• entlassene Arbeitnehmer;
• Vertreter von Organisationen, die in Fragen der Sicherung des Lebens der Organisation interagieren ( Energie, Wasser, Wärmeversorgung etc.);
• Vertreter von Firmen, die Ausrüstung, Software, Dienstleistungen usw. liefern;
• Mitglieder krimineller Vereinigungen und konkurrierender kommerzieller Strukturen oder Personen, die in deren Auftrag handeln;
• Personen, die versehentlich oder absichtlich in Netzwerke von externen Netzwerken eingedrungen sind ( "hacker").

Benutzer und Servicepersonal unter den Mitarbeitern haben die meisten breite Möglichkeiten aufgrund der Tatsache, dass sie bestimmte Befugnisse zum Zugriff auf Ressourcen und gute Kenntnisse der Infohaben, nicht autorisierte Handlungen auszuführen. Die Handlungen dieser Gruppe von Übertretern stehen in direktem Zusammenhang mit der Verletzung bestehender Regeln und Anweisungen. Von dieser Tätergruppe geht eine besondere Gefahr im Umgang mit kriminellen Strukturen aus.

Vertriebene Arbeitnehmer können ihr Wissen über Arbeitstechnologie, Schutzmaßnahmen und Zugangsrechte nutzen, um Ziele zu erreichen.

Kriminelle Strukturen stellen die aggressivste Quelle externer Bedrohungen dar. Um ihre Pläne umzusetzen, können diese Strukturen offen gegen das Gesetz verstoßen und Mitarbeiter der Organisation mit allen ihnen zur Verfügung stehenden Kräften und Mitteln in ihre Aktivitäten einbeziehen.

Hacker verfügen über die höchste technische Qualifikation und Kenntnis der Schwächen der im AS eingesetzten Software. Sie stellen die größte Bedrohung dar, wenn sie mit arbeitenden oder entlassenen Arbeitnehmern und kriminellen Strukturen interagieren.

Organisationen, die an der Entwicklung, Lieferung und Reparatur von Geräten und Informationssystemen beteiligt sind, stellen eine externe Bedrohung dar, da sie gelegentlich direkten Zugriff auf Informationsressourcen haben. Kriminelle Strukturen können diese Organisationen für die vorübergehende Beschäftigung ihrer Mitglieder nutzen, um an geschützte Informationen zu gelangen.

7. Technische Politik im Bereich Informationssicherheit

7.1. Hauptbestimmungen der Technikpolitik

Die Umsetzung einer technischen Richtlinie im Bereich Informationssicherheit sollte von der Prämisse ausgehen, dass es unmöglich ist, das erforderliche Maß an Informationssicherheit nicht nur mit Hilfe eines separaten Tools bereitzustellen ( Veranstaltungen), sondern auch mit Hilfe ihres einfachen Sets. Sie müssen systematisch aufeinander abgestimmt werden ( komplexe Anwendung), und einzelne Elemente des AS sollten als Teil eines einheitlichen Informationssystems in einem sicheren Design mit einem optimalen Verhältnis von technischen ( Hardware Software) Mittel und organisatorische Maßnahmen.

Die Hauptrichtungen der Umsetzung der technischen Politik zur Gewährleistung der Informationssicherheit der AU besteht darin, den Schutz von Informationsressourcen vor Diebstahl, Verlust, Leckage, Zerstörung, Verzerrung oder Fälschung durch unbefugten Zugriff und Spezialeffekte zu gewährleisten.

Im Rahmen der angegebenen Anweisungen der technischen Richtlinie zur Gewährleistung der Informationssicherheit wird Folgendes durchgeführt:

• Einführung eines Zulassungssystems für die Zulassung von ausübenden Künstlern ( Benutzer, Servicepersonal) auf Werke, Dokumente und Informationen vertraulicher Art;
• Beschränkung des Zugangs von ausübenden Künstlern und unbefugten Personen zu Gebäuden und Räumlichkeiten, in denen vertraulich gearbeitet wird und sich Informations- und Kommunikationsmittel befinden, auf denen ( gespeichert, übertragen) vertrauliche Informationen direkt an die Informations- und Kommunikationsmittel;
• Begrenzung des Zugangs für Benutzer und Wartungspersonal zu Informationsressourcen, Softwaretools zur Verarbeitung und zum Schutz von Informationen in Subsystemen verschiedener Ebenen und Zwecke, die im AS enthalten sind;
• Abrechnung von Dokumenten, Informationsfeldern, Registrierung von Aktionen von Benutzern und Wartungspersonal, Kontrolle über unbefugten Zugriff und Aktionen von Benutzern, Wartungspersonal und unbefugten Personen;
• Verhinderung der Einführung von Virenprogrammen, Software-Lesezeichen in automatisierte Subsysteme;
• kryptografischer Schutz von Informationen, die mittels Computertechnologie und Kommunikation verarbeitet und übertragen werden;
• zuverlässige Aufbewahrung von Maschinenspeichermedien, kryptografischen Schlüsseln ( Schlüsselinformation) und deren Verbreitung, ausgenommen Diebstahl, Ersatz und Zerstörung;
• notwendige Redundanz technischer Mittel und Duplizierung von Arrays und Speichermedien;
• Verringerung des Pegels und des Informationsgehalts von Störstrahlung und Interferenz, die von verschiedenen Elementen automatisierter Subsysteme erzeugt werden;
• elektrische Trennung von Stromversorgungskreisen, Erdung und anderen Kreisen von Informationsobjekten, die über den kontrollierten Bereich hinausgehen;
• Gegensatz zu optischen und Laserprodukte Beobachtungen.

7.2. Bildung des Informationssicherheitsmodus

Unter Berücksichtigung der identifizierten Bedrohungen für die Sicherheit des Kernkraftwerks sollte das Informationssicherheitsregime als eine Reihe von Methoden und Maßnahmen zum Schutz der im Kernkraftwerk zirkulierenden Informationen und der es unterstützenden Infrastruktur vor zufälligen oder vorsätzlichen Auswirkungen gebildet werden natürlicher oder künstlicher Natur, die den Eigentümern oder Benutzern von Informationen Schaden zufügt.

Eine Reihe von Maßnahmen zur Bildung eines Informationssicherheitsregimes umfasst:

• Einrichtung im AS des organisatorischen und rechtlichen Regimes der Informationssicherheit ( behördliche Dokumente, Arbeit mit Personal, Büroarbeit);
• Umsetzung organisatorischer und technischer Maßnahmen zum Schutz von vertraulichen Informationen vor dem Durchsickern über technische Kanäle;
• organisatorische und software- und hardwaremäßige Maßnahmen zur Verhinderung unbefugter Handlungen ( Zugang) zu den Informationsquellen der AU;
• eine Reihe von Maßnahmen zur Kontrolle des Funktionierens von Mitteln und Systemen zum Schutz von Informationsressourcen mit begrenzter Verbreitung nach zufälligen oder vorsätzlichen Einwirkungen.

8. Maßnahmen, Methoden und Mittel zur Gewährleistung der Informationssicherheit

8.1. Organisatorische Regelungen

Organisatorische Regelungen- Dies sind organisatorische Maßnahmen, die die Funktionsweise der AS, die Nutzung ihrer Ressourcen, die Aktivitäten des Wartungspersonals sowie das Verfahren für Benutzer zur Interaktion mit dem System so regeln, dass sie am stärksten behindert oder ausgeschlossen werden Möglichkeit der Implementierung von Sicherheitsbedrohungen und Verringerung des Schadens, wenn sie implementiert werden.

8.1.1. Bildung der Sicherheitspolitik

Das Hauptziel der organisatorischen Maßnahmen besteht darin, eine Informationssicherheitspolitik zu bilden, die Ansätze zum Informationsschutz widerspiegelt, und ihre Umsetzung sicherzustellen, indem die erforderlichen Ressourcen zugewiesen und der Stand der Dinge überwacht werden.

Aus praktischer Sicht ist es ratsam, die KKW-Sicherheitspolitik in zwei Ebenen zu unterteilen. Die oberste Ebene umfasst Entscheidungen, die sich auf die Aktivitäten der Organisation als Ganzes auswirken. Beispiele für solche Lösungen könnten sein:

• Bildung oder Überarbeitung eines umfassenden Informationssicherheitsprogramms, Bestimmung der Verantwortlichen für seine Umsetzung;
• Ziele formulieren, Aufgaben stellen, Tätigkeitsfelder im Bereich Informationssicherheit festlegen;
• Entscheidungen über die Umsetzung des Sicherheitsprogramms treffen, die auf der Ebene der gesamten Organisation betrachtet werden;
• Bereitstellung von normativen ( legal) Datenbanken zu Sicherheitsproblemen usw.

Die untergeordnete Richtlinie definiert die Verfahren und Regeln zur Erreichung von Zielen und zur Lösung von Informationssicherheitsproblemen und detailliert (regelt) diese Regeln:

• Was ist der Geltungsbereich der Informationssicherheitsrichtlinie?
• Welche Rollen und Verantwortlichkeiten haben die für die Umsetzung der Iverantwortlichen Beamten?
• wer Zugriffsrechte auf eingeschränkte Informationen hat;
• wer und unter welchen Bedingungen Informationen lesen und verändern darf etc.

Die Richtlinie auf niedrigerer Ebene sollte:

• die Regulierung von Informationsbeziehungen vorsehen, unter Ausschluss der Möglichkeit willkürlicher, monopolistischer oder nicht autorisierter Handlungen in Bezug auf vertrauliche Informationsressourcen;
• Koalitions- und hierarchische Prinzipien und Methoden zum Teilen von Geheimnissen und zum Einschränken des Zugangs zu eingeschränkten Informationen festzulegen;
• Wählen Sie kryptografischen Software- und Hardwareschutz, der unbefugtem Zugriff entgegenwirkt, Authentifizierung, Autorisierung, Identifizierung und andere Schutzmechanismen, die Garantien für die Umsetzung der Rechte und Pflichten von Subjekten von Informationsbeziehungen bieten.

8.1.2. Regelung des Zugangs zu technischen Einrichtungen

Der Betrieb von sicheren Arbeitsplätzen und Servern der Bank sollte in Räumen erfolgen, die mit zuverlässigen automatischen Schlössern, Alarmsystemen ausgestattet und ständig bewacht oder überwacht sind, was die Möglichkeit des unkontrollierten Betretens der Räumlichkeiten durch unbefugte Personen ausschließt und die physische Sicherheit der geschützten Personen gewährleistet Ressourcen in den Räumlichkeiten ( AWS, Dokumente, Zugangsdaten etc.). Die Platzierung und Installation technischer Mittel solcher Arbeitsplätze sollte die Möglichkeit einer visuellen Betrachtung der Eingabe ausschließen ( abgeleitet) Informationen von Personen, die damit nicht in Verbindung stehen. Die Reinigung von Räumlichkeiten mit darin installierten Geräten sollte in Anwesenheit einer verantwortlichen Person, der diese technischen Mittel zugewiesen sind, oder eines diensthabenden Beamten der Einheit unter Einhaltung von Maßnahmen durchgeführt werden, die unbefugte Personen vom Zugang zu geschützten Ressourcen ausschließen.

Während der Verarbeitung von eingeschränkten Informationen sollte nur Personal in den Räumlichkeiten anwesend sein, das berechtigt ist, mit diesen Informationen zu arbeiten.

Am Ende des Arbeitstages müssen Räumlichkeiten mit installierten geschützten Arbeitsplätzen bewacht werden.

Für die Aufbewahrung von amtlichen Dokumenten und Maschinenmedien mit geschützten Informationen werden den Mitarbeitern Metallschränke sowie Mittel zur Vernichtung von Dokumenten zur Verfügung gestellt.

Technische Mittel, die der Verarbeitung oder Speicherung vertraulicher Informationen dienen, müssen versiegelt werden.

8.1.3. Regelung der Zulassung von Mitarbeitern zur Nutzung von Informationsressourcen

Im Rahmen des Genehmigungssystems wird festgelegt: wer, wem, welche Informationen und für welche Art von Zugriff gewähren kann und unter welchen Bedingungen; Zugangskontrollsystem, das die Definition von Informationen und Softwareressourcen für alle AS-Benutzer beinhaltet, die ihnen für bestimmte Operationen zur Verfügung stehen ( lesen, schreiben, ändern, löschen, ausführen) mit den angegebenen Software- und Hardware-Zugriffstools.

Die Zulassung von Arbeitnehmern zur Arbeit bei der AU und der Zugang zu ihren Ressourcen müssen streng geregelt werden. Alle Änderungen in der Zusammensetzung und den Befugnissen der Benutzer von Teilsystemen der AU sollten in der vorgeschriebenen Weise vorgenommen werden.

Die Hauptnutzer von Informationen im AS sind Mitarbeiter der Strukturabteilungen der Organisation. Die Berechtigungsstufe jedes Benutzers wird individuell festgelegt, wobei die folgenden Anforderungen zu beachten sind:

• Offene und vertrauliche Informationen werden nach Möglichkeit auf verschiedenen Servern abgelegt;
• Jeder Mitarbeiter hat nur die ihm zugewiesenen Rechte in Bezug auf die Informationen, mit denen er gemäß seinen dienstlichen Aufgaben arbeiten muss;
• der Chef hat das Recht, die Informationen seiner Untergebenen einzusehen;
• Die kritischsten technologischen Operationen sollten gemäß der Regel durchgeführt werden "zwei Hände"- Die Richtigkeit der eingegebenen Informationen wird von einem anderen Beamten bestätigt, der nicht zur Eingabe von Informationen berechtigt ist.

Alle zur Arbeit im KKW zugelassenen Mitarbeiter und das Wartungspersonal des KKW müssen persönlich für Verstöße gegen das festgelegte Verfahren zur automatisierten Verarbeitung von Informationen, Regeln für die Speicherung, Verwendung und Weitergabe von geschützten Systemressourcen, die ihnen zur Verfügung stehen, haftbar gemacht werden. Jeder Mitarbeiter muss bei der Einstellung die Verpflichtung unterzeichnen, die Anforderungen für die Aufbewahrung vertraulicher Informationen und die Verantwortung für deren Verletzung sowie die Umsetzung der Regeln für die Arbeit mit geschützten Informationen im AS einzuhalten.

Die Verarbeitung geschützter Informationen in Teilsystemen der AU sollte gemäß genehmigten technologischen Anweisungen erfolgen ( Aufträge) für diese Subsysteme.

Für Benutzer, die durch Arbeitsplätze geschützt sind, sollten die erforderlichen technologischen Anweisungen entwickelt werden, einschließlich Anforderungen zur Gewährleistung der Informationssicherheit.

8.1.4. Regulierung der Prozesse zur Pflege von Datenbanken und Änderung von Informationsressourcen

Alle Vorgänge zur Pflege von Datenbanken in der AU und die Zulassung von Beschäftigten zur Arbeit mit diesen Datenbanken sind streng zu regeln. Alle Änderungen in der Zusammensetzung und den Befugnissen der Benutzer der AS-Datenbank müssen gemäß dem festgelegten Verfahren vorgenommen werden.

Die Verteilung von Namen, die Generierung von Passwörtern und die Pflege der Regeln zur Begrenzung des Zugriffs auf Datenbanken sind Mitarbeitern des Instituts für Informationstechnologien übertragen. In diesem Fall sowohl reguläre als auch Zusätzliche Mittel Schutz von DBMS und Betriebssystemen.

8.1.5. Regulierung von Wartungsprozessen und Modifikation von Hard- und Softwareressourcen

Zu schützende Systemressourcen ( Aufgaben, Programme, Workstation) unterliegen einer strengen Rechnungslegung ( auf der Grundlage der Verwendung geeigneter Formulare oder spezialisierter Datenbanken).

Die Hardware- und Softwarekonfiguration von automatisierten Arbeitsplätzen, an denen geschützte Informationen verarbeitet werden oder von denen aus Zugriff auf geschützte Ressourcen möglich ist, muss dem Umfang der funktionalen Aufgaben entsprechen, die den Benutzern dieses Arbeitsplatzes zugewiesen sind. Alle ungenutzten (zusätzlichen) Informations-Eingabe-Ausgabe-Geräte ( COM-, USB-, LPT-Anschlüsse, Diskettenlaufwerke, CD und andere Speichermedien) auf solchen Arbeitsstationen müssen deaktiviert (gelöscht) werden, unnötige Software und Daten von den Festplatten der Arbeitsstationen müssen ebenfalls gelöscht werden.

Um Wartung, Instandhaltung und Organisation des Schutzes zu vereinfachen, sollten Arbeitsplätze mit Software ausgestattet und einheitlich konfiguriert werden ( nach festgelegten Regeln).

Die Inbetriebnahme neuer Arbeitsstationen und alle Änderungen in der Konfiguration von Hard- und Software bestehender Arbeitsstationen im AS der Organisation sollten nur gemäß dem festgelegten Verfahren durchgeführt werden.

Alle Software ( von den Spezialisten der Organisation entwickelt, von Herstellern bezogen oder gekauft) sollten in der vorgeschriebenen Weise getestet und an den Programmverwahrer der Organisation übertragen werden. In AS-Subsystemen sollten nur Softwaretools installiert und verwendet werden, die in der festgelegten Reihenfolge vom Verwahrer erhalten wurden. Die Nutzung von Software im AS, die nicht im Programmdepot enthalten ist, sollte untersagt werden.

Die Entwicklung von Software, das Testen von entwickelter und erworbener Software, die Überführung der Software in den Betrieb müssen gemäß dem festgelegten Verfahren durchgeführt werden.

8.1.6. Benutzerschulung und -ausbildung

Vor der Gewährung des Zugriffs auf das AS müssen seine Benutzer sowie das Management- und Wartungspersonal mit der Liste der vertraulichen Informationen und ihrer Befugnisse sowie mit der organisatorischen, administrativen, behördlichen, technischen und betrieblichen Dokumentation vertraut sein, die das definiert Anforderungen und Verfahren für die Verarbeitung solcher Informationen.

Der Schutz von Informationen in allen oben genannten Bereichen ist nur nach der Entwicklung einer bestimmten Disziplin unter den Benutzern möglich, d.h. Normen, die für alle, die in der AS arbeiten, verbindlich sind. Zu diesen Regeln gehört das Verbot aller absichtlichen oder unbeabsichtigten Handlungen, die gegen die Regeln verstoßen normale Arbeit AS verursachen zusätzliche Ressourcenkosten, verletzen die Integrität gespeicherter und verarbeiteter Informationen, verletzen die Interessen legitimer Benutzer.

Alle Mitarbeiter, die bei ihrer Tätigkeit bestimmte Teilsysteme der AU verwenden, müssen die organisatorischen und administrativen Unterlagen zum Schutz der AU in dem sie betreffenden Teil kennen, sie müssen die technischen Weisungen und allgemeinen Pflichten zur Gewährleistung der Sicherheit kennen und strikt befolgen von Informationen. Die Übermittlung der Anforderungen dieser Dokumente an die Personen, die zur Verarbeitung geschützter Informationen zugelassen sind, sollte von den Abteilungsleitern gegen Unterschrift durchgeführt werden.

8.1.7. Verantwortung für die Verletzung von Informationssicherheitsanforderungen

Für jeden schwerwiegenden Verstoß gegen die Anforderungen an die Informationssicherheit durch Mitarbeiter der Organisation sollte eine interne Untersuchung durchgeführt werden. Bei den Tätern sollten geeignete Maßnahmen zur Beeinflussung ergriffen werden. Der Grad der Verantwortung des Personals für Handlungen, die unter Verstoß gegen die festgelegten Regeln zur Gewährleistung einer sicheren automatisierten Verarbeitung von Informationen begangen werden, sollte durch den verursachten Schaden, das Vorhandensein von böswilliger Absicht und andere Faktoren bestimmt werden.

Um das Prinzip der persönlichen Verantwortung der Benutzer für ihre Handlungen umzusetzen, ist es notwendig:

• individuelle Identifizierung von Benutzern und von ihnen initiierten Prozessen, d.h. Festlegung einer Kennung für sie, anhand derer die Zugriffsunterscheidung nach dem Grundsatz der Zumutbarkeit des Zugriffs erfolgt;
• Benutzerauthentifizierung ( Authentifizierung) auf der Grundlage von Passwörtern, Schlüsseln auf anderer physikalischer Basis usw.;
• Anmeldung ( Protokollierung) Betrieb von Mechanismen zur Kontrolle des Zugriffs auf Informationssystemressourcen unter Angabe von Datum und Uhrzeit, Identifikatoren der anfordernden und angeforderten Ressourcen, Art der Interaktion und ihres Ergebnisses;
• Reaktion auf unberechtigte Zugriffsversuche ( Alarm, Blockierung usw.).

8.2. Technische Schutzmittel

Technisch ( Hardware und Software) Schutzmittel - verschiedene elektronische Geräte und spezielle Programme, die Teil der AU sind und (unabhängig oder in Kombination mit anderen Mitteln) Schutzfunktionen ausführen ( Identifizierung und Authentifizierung von Benutzern, Zugriffskontrolle auf Ressourcen, Ereignisregistrierung, kryptografischer Schutz von Informationen usw.).

Unter Berücksichtigung aller Anforderungen und Grundsätze zur Gewährleistung der Informationssicherheit im AS in allen Schutzbereichen sollten die folgenden Mittel in das Schutzsystem aufgenommen werden:

• Mittel zur Authentifizierung von Benutzern und AS-Elementen ( Terminals, Tasks, Datenbankelemente usw.), entsprechend dem Grad der Vertraulichkeit von Informationen und verarbeiteten Daten;
• Mittel zur Differenzierung des Zugriffs auf Daten;
• Mittel zum kryptografischen Schutz von Informationen in Datenübertragungsleitungen und in Datenbanken;
• Mittel zur Registrierung von Einsprüchen und zur Überwachung der Verwendung geschützter Informationen;
• Mittel zum Reagieren auf detektierten UA oder UA-Versuche;
• Mittel zum Reduzieren des Pegels und des Informationsgehalts von Störstrahlung und -aufnahmen;
• Schutzmittel gegen optische Beobachtungsmittel;
• Mittel zum Schutz vor Viren und Schadprogrammen;
• Mittel zur elektrischen Entkopplung sowohl der KKW-Elemente als auch der Strukturelemente der Räumlichkeiten, in denen sich die Ausrüstung befindet.

Den technischen Mitteln zum Schutz vor unbefugtem Zugriff sind folgende Hauptaufgaben zuzuordnen:

• Identifizierung und Authentifizierung von Benutzern anhand von Namen und/oder spezieller Hardware ( Berühren Sie Speicher, Smart Card usw.);
• Regulierung des Benutzerzugriffs auf physische Geräte von Arbeitsstationen ( Laufwerke, I/O-Ports);
• selektive (diskretionäre) Kontrolle des Zugangs zu logische Laufwerke, Verzeichnisse und Dateien;
• maßgebliche (obligatorische) Unterscheidung des Zugriffs auf geschützte Daten auf der Arbeitsstation und auf dem Dateiserver;
• Erstellung einer geschlossenen Softwareumgebung von Programmen, die ausgeführt werden dürfen und sich sowohl auf lokalen als auch auf Netzlaufwerken befinden;
• Schutz vor dem Eindringen von Computerviren und Schadprogrammen;
• Integritätskontrolle von Schutzsystemmodulen, Plattensystembereichen und beliebigen Dateilisten im automatischen Modus und durch Administratorbefehle;
• Registrierung von Benutzeraktionen in einem geschützten Protokoll, Vorhandensein mehrerer Registrierungsebenen;
• Schutz der Daten des Schutzsystems auf dem Dateiserver vor dem Zugriff aller Benutzer, einschließlich des Netzwerkadministrators;
• zentralisierte Verwaltung von Zugangskontrolleinstellungen auf Netzwerk-Workstations;
• Registrierung aller UA-Ereignisse, die an Arbeitsplätzen auftreten;
• Betriebskontrolle über die Arbeit von Netzwerkbenutzern, Änderung der Betriebsmodi von Arbeitsstationen und die Möglichkeit der Sperrung ( Bei Bedarf) einer beliebigen Netzwerkstation.

Der erfolgreiche Einsatz von technischen Schutzmitteln setzt voraus, dass die Erfüllung der nachfolgend aufgeführten Anforderungen durch organisatorische Maßnahmen und die eingesetzten physikalischen Schutzmittel sichergestellt ist:

• die physische Unversehrtheit aller Komponenten der AE sichergestellt ist;
• jeder Arbeiter Systembenutzer) hat einen eindeutigen Systemnamen und die Mindestautorität, die erforderlich ist, um seine funktionalen Pflichten zum Zugriff auf Systemressourcen zu erfüllen;
• Nutzung von instrumentellen und technologischen Programmen auf Workstations ( Testprogramme, Debugger usw.), die Versuche ermöglichen, Sicherheitsmaßnahmen zu hacken oder zu umgehen, ist begrenzt und streng reguliert;
• es gibt keine programmierenden Benutzer im sicheren System, und die Entwicklung und das Debugging von Programmen werden außerhalb des sicheren Systems durchgeführt;
• alle Änderungen in der Konfiguration von Hardware und Software werden auf streng festgelegte Weise vorgenommen;
• Netzwerkhardware ( Hubs, Switches, Router usw.) befindet sich an Orten, die für Fremde unzugänglich sind ( Sonderräume, Schränke etc.);
• Der Informationssicherheitsdienst bietet kontinuierliches Management und administrative Unterstützung für den Betrieb von Informationsschutzwerkzeugen.

8.2.1. Mittel zur Identifizierung und Authentifizierung von Benutzern

Um zu verhindern, dass unbefugte Personen auf das AS zugreifen, muss sichergestellt werden, dass das System jeden legitimen Benutzer (oder begrenzte Benutzergruppen) erkennt. Dazu im System ( an einem geschützten Ort) sollte eine Reihe von Attributen jedes Benutzers speichern, anhand derer dieser Benutzer identifiziert werden kann. Zukünftig muss sich der Benutzer beim Betreten des Systems und ggf. bei der Durchführung bestimmter Aktionen im System identifizieren, d.h. geben Sie die ihm im System zugeordnete Kennung an. Darüber hinaus können verschiedene Arten von Geräten zur Identifizierung verwendet werden: Magnetkarten, Schlüsseleinsätze, Disketten usw.

Authentifizierung ( Authentifizierung) von Benutzern sollte auf der Grundlage von Passwörtern (geheimen Wörtern) oder speziellen Authentifizierungsmitteln erfolgen, um die eindeutigen Merkmale (Parameter) von Benutzern zu überprüfen.

8.2.2. Mittel zum Einschränken des Zugriffs auf Ressourcen des automatisierten Systems

Nach dem Erkennen des Benutzers muss das System den Benutzer autorisieren, d. h. bestimmen, welche Rechte dem Benutzer gewährt werden, d. h. welche Daten und wie er sie verwenden kann, welche Programme er ausführen kann, wann, wie lange und von welchen Endgeräten er arbeiten kann, welche Systemressourcen er verwenden kann usw. Die Benutzerautorisierung muss über die folgenden Mechanismen zur Implementierung der Zugriffskontrolle erfolgen:

• Mechanismen zur selektiven Zugangskontrolle basierend auf der Verwendung von Attributschemata, Berechtigungslisten usw.;
• Mechanismen für autoritative Zugriffskontrolle basierend auf der Verwendung von Ressourcen-Sensitivitätslabels und Benutzerzugriffsebenen;
• Mechanismen zur Gewährleistung einer geschlossenen Umgebung vertrauenswürdiger Software ( individuell für jeden Benutzer Listen von Programmen, die ausgeführt werden dürfen) unterstützt durch Mechanismen zur Identifizierung und Authentifizierung von Benutzern, wenn sie sich beim System anmelden.

Die Verantwortungsbereiche und Aufgaben bestimmter technischer Schutzmittel werden anhand ihrer Fähigkeiten festgelegt und festgelegt Leistungsmerkmale in der Dokumentation zu diesen Tools beschrieben.

Technische Mittel zur Zugangskontrolle sollten sein Bestandteil einheitliches System Zugangskontrolle:

• in das kontrollierte Gebiet;
• in getrennten Räumen;
• zu AS-Elementen und Elementen des Informationssicherheitssystems ( Physischer Zugang);
• zu AS-Ressourcen ( Programmmathematischer Zugang);
• zu Informationsspeichern ( Speichermedien, Volumes, Dateien, Datensätze, Archive, Referenzen, Aufzeichnungen usw.);
• zu aktiven Ressourcen ( Anwendungsprogramme, Aufgaben, Antragsformulare etc.);
• zum Betriebssystem, Systemprogrammen und Sicherheitsprogrammen etc.

8.2.3. Mittel zum Sicherstellen und Überwachen der Integrität von Software und Informationsressourcen

Eine Integritätskontrolle von Programmen, verarbeiteten Informationen und Schutzmitteln, um die durch die bereitgestellte Verarbeitungstechnologie bestimmte Unveränderlichkeit der Softwareumgebung und den Schutz vor unbefugter Korrektur von Informationen sicherzustellen, sollte bereitgestellt werden:

• Mittel zur Berechnung von Prüfsummen;
• Mittel der elektronischen Signatur;
• Mittel zum Vergleich kritischer Ressourcen mit ihren Referenzkopien ( und Wiederherstellung im Falle einer Integritätsverletzung);
• Zugangskontrolle ( Zugriff mit Änderungs- oder Löschrechten verweigern).

Um Informationen und Programme vor unbefugter Zerstörung oder Verfälschung zu schützen, ist Folgendes sicherzustellen:

• Duplizieren von Systemtabellen und Daten;
• Duplex und Spiegelung von Daten auf Platten;
• Transaktionsverfolgung;
• regelmäßige Überwachung der Integrität des Betriebssystems und der Benutzerprogramme sowie der Benutzerdateien;
• Virenschutz und -kontrolle;
• Sichern von Daten nach einem vorgegebenen Schema.

8.2.4. Kontrollen von Sicherheitsereignissen

Kontrollen sollten sicherstellen, dass alle Ereignisse erkannt und aufgezeichnet werden ( Benutzeraktionen, UA-Versuche usw.), was zu einer Verletzung der Sicherheitspolitik und zu Krisensituationen führen kann. Kontrollen sollten folgende Möglichkeiten bieten:

• ständige Überwachung wichtiger Netzwerkknoten und netzwerkbildender Kommunikationseinrichtungen sowie Netzwerkaktivität in wichtigen Netzwerksegmenten;
• Kontrolle über die Nutzung von Unternehmens- und öffentlichen Netzwerkdiensten durch Benutzer;
• Pflege und Analyse von Sicherheitsereignisprotokollen;
• rechtzeitige Erkennung externer und interner Bedrohungen der Informationssicherheit.

Beim Protokollieren von Sicherheitsereignissen sollten die folgenden Informationen im Systemprotokoll aufgezeichnet werden:

• Datum und Uhrzeit des Ereignisses;
• Subjektkennung ( Benutzer, Programm) Ausführen der registrierten Aktion;
• Aktion ( wird ein Zugriffswunsch registriert, so werden Gegenstand und Art des Zugriffs vermerkt).

Kontrollen sollten die Erkennung und Aufzeichnung der folgenden Ereignisse ermöglichen:

• Benutzer-Anmeldung;
• Benutzeranmeldung im Netzwerk;
• erfolgloser Anmelde- oder Netzwerkversuch ( falsche Passworteingabe);
• Verbindung zu einem Dateiserver;
• Starten des Programms;
• Abschluss des Programms;
• ein Versuch, ein Programm zu starten, das nicht gestartet werden kann;
• ein Versuch, Zugriff auf ein nicht zugängliches Verzeichnis zu erlangen;
• ein Versuch, Informationen von einem Datenträger zu lesen / zu schreiben, auf den der Benutzer nicht zugreifen kann;
• ein Versuch, das Programm von einem Datenträger auszuführen, auf den der Benutzer keinen Zugriff hat;
• Verletzung der Integrität von Programmen und Daten des Schutzsystems usw.

Die folgenden Hauptwege, auf entdeckte Tatsachen von UA ​​zu reagieren, sollten unterstützt werden ( möglicherweise unter Beteiligung eines Sicherheitsadministrators):

• Benachrichtigung des Eigentümers von Informationen über UA zu seinen Daten;
• Entfernen des Programms ( Aufgaben) vor der weiteren Ausführung;
• Benachrichtigen des Datenbankadministrators und des Sicherheitsadministrators;
• Terminal herunterfahren ( Arbeitsplatz), von dem aus UA versucht hat, auf Informationen zuzugreifen oder illegale Aktionen im Netzwerk durchgeführt wurden;
• Ausschluss des Verletzers aus der Liste der registrierten Benutzer;
• Alarm geben usw.

8.2.5. Kryptografische Mittel zum Schutz von Informationen

Eines der wichtigsten Elemente des AS-Informationssicherheitssystems sollte die Verwendung kryptografischer Methoden und Mittel zum Schutz von Informationen vor unbefugtem Zugriff sein, wenn sie über Kommunikationskanäle übertragen und auf Computermedien gespeichert werden.

Alle Mittel zum Schutz kryptografischer Informationen im AS sollten auf dem grundlegenden kryptografischen Kern basieren. Für das Recht zur Nutzung kryptografischer Medien muss eine Organisation über gesetzlich festgelegte Lizenzen verfügen.

Das Schlüsselsystem der kryptografischen Schutzmittel, die im AS verwendet werden, sollte kryptografische Überlebensfähigkeit und mehrstufigen Schutz gegen Kompromittierung von Schlüsselinformationen, Trennung von Benutzern nach Schutzebenen und Zonen ihrer Interaktion zwischen ihnen selbst und Benutzern anderer Ebenen bieten.

Die Vertraulichkeit und der Nachahmungsschutz von Informationen während ihrer Übertragung über Kommunikationskanäle sollten durch die Verwendung von Teilnehmer- und Kanalverschlüsselung im System gewährleistet werden. Die Kombination aus Teilnehmer- und Kanalverschlüsselung von Informationen soll deren Ende-zu-Ende-Schutz entlang des gesamten Durchgangswegs sicherstellen, Informationen im Falle ihrer fehlerhaften Umleitung aufgrund von Ausfällen und Fehlfunktionen der Hardware und Software von Vermittlungsstellen schützen.

Das AS, bei dem es sich um ein System mit verteilten Informationsressourcen handelt, sollte auch Mittel zur Generierung und Überprüfung einer elektronischen Signatur verwenden, die die Integrität und den rechtlichen Nachweis der Authentizität von Nachrichten sowie die Authentifizierung von Benutzern, Teilnehmerstationen und deren Bestätigung gewährleisten die Zeit des Sendens von Nachrichten. In diesem Fall sollten standardisierte elektronische Signaturalgorithmen verwendet werden.

8.3. Informationssicherheitsmanagement

Management des Informationssicherheitssystems im AS ist eine gezielte Beeinflussung der Komponenten des Sicherheitssystems ( organisatorisch, technisch, softwaremäßig und kryptografisch), um die erforderlichen Indikatoren und Standards für die Sicherheit der im KKW zirkulierenden Informationen im Zusammenhang mit der Umsetzung der wichtigsten Sicherheitsbedrohungen zu erreichen.

Das Hauptziel der Organisation des Managements des Informationssicherheitssystems besteht darin, die Zuverlässigkeit des Informationsschutzes bei seiner Verarbeitung, Speicherung und Übertragung zu erhöhen.

Die Verwaltung des Informationssicherheitssystems wird durch ein spezialisiertes Kontrollsubsystem implementiert, das aus einer Reihe von Kontrollen, technischen, Software- und kryptografischen Werkzeugen sowie organisatorischen Maßnahmen und miteinander interagierenden Kontrollpunkten auf verschiedenen Ebenen besteht.

Die Funktionen des Steuersubsystems sind: Informations-, Steuer- und Hilfsfunktionen.

Die Informationsfunktion besteht darin, den Zustand des Schutzsystems kontinuierlich zu überwachen, die Übereinstimmung der Sicherheitsindikatoren mit akzeptablen Werten zu überprüfen und die Sicherheitsbetreiber unverzüglich über Situationen zu informieren, die im Kernkraftwerk auftreten und zu einer Verletzung der Informationssicherheit führen können. Für die Überwachung des Zustands des Schutzsystems gibt es zwei Anforderungen: Vollständigkeit und Zuverlässigkeit. Vollständigkeit kennzeichnet den Abdeckungsgrad aller Schutzmittel und Parameter ihrer Funktionsweise. Die Zuverlässigkeit der Kontrolle charakterisiert den Grad der Angemessenheit der Werte der kontrollierten Parameter an ihren wahren Wert. Als Ergebnis der Verarbeitung von Kontrolldaten werden Informationen über den Zustand des Schutzsystems generiert, die verallgemeinert und an übergeordnete Kontrollstellen übermittelt werden.

Die Kontrollfunktion besteht darin, Pläne für die Durchführung des technologischen Betriebs des Kernkraftwerks unter Berücksichtigung der Anforderungen an die Informationssicherheit unter den vorherrschenden Bedingungen zu erstellen dieser Moment sowie bei der Bestimmung des Ortes der Situation der Informationsanfälligkeit und der Verhinderung ihres Durchsickerns aufgrund der sofortigen Sperrung von KKW-Abschnitten, in denen Bedrohungen der Informationssicherheit auftreten. Verwaltungsfunktionen umfassen Abrechnung, Speicherung und Ausgabe von Dokumenten und Informationsträgern, Passwörtern und Schlüsseln. Gleichzeitig die Generierung von Passwörtern, Schlüsseln, Wartung von Zugangskontrollwerkzeugen, Annahme neuer Software, die in die AS-Softwareumgebung aufgenommen wird, Kontrolle der Übereinstimmung der Softwareumgebung mit dem Standard sowie Kontrolle über den technologischen Fortschritt Der Prozess der Verarbeitung vertraulicher Informationen ist den Mitarbeitern der Abteilung für Informationstechnologie und der Abteilung für wirtschaftliche Sicherheit übertragen.

Zu den Hilfsfunktionen des Kontrollsubsystems gehören die Abrechnung aller im AS durchgeführten Operationen mit geschützten Informationen, die Erstellung von Berichtsdokumenten und die Sammlung statistischer Daten, um potenzielle Informationsleckkanäle zu analysieren und zu identifizieren.

8.4. Überwachung der Wirksamkeit des Schutzsystems

Die Überwachung der Wirksamkeit des Informationsschutzsystems wird durchgeführt, um Informationslecks aufgrund eines unbefugten Zugriffs rechtzeitig zu erkennen und zu verhindern sowie mögliche Sondereffekte zu verhindern, die auf die Zerstörung von Informationen und die Zerstörung von Informationswerkzeugen abzielen.

Die Bewertung der Wirksamkeit von Informationsschutzmaßnahmen erfolgt durch organisatorische, technische und softwaremäßige Kontrollen zur Einhaltung der festgelegten Anforderungen.

Die Kontrolle kann sowohl mit Hilfe von Standardmitteln des Informationssicherheitssystems als auch mit Hilfe von speziellen Kontrollmitteln und technologischer Überwachung durchgeführt werden.

8.5. Funktionen zur Gewährleistung der Informationssicherheit personenbezogener Daten

Die Einstufung personenbezogener Daten erfolgt entsprechend der Schwere der Folgen des Verlusts der Sicherheitseigenschaften personenbezogener Daten für die betroffene Person.

• Über personenbezogene Daten ” auf besondere Kategorien personenbezogener Daten;
• gemäß Bundesgesetz klassifizierte personenbezogene Daten " Über personenbezogene Daten ” zu biometrischen personenbezogenen Daten;
• personenbezogene Daten, die nicht besonderen Kategorien personenbezogener Daten, biometrischen personenbezogenen Daten, öffentlich zugänglichen oder anonymisierten personenbezogenen Daten zugeordnet werden können;
• gemäß Bundesgesetz klassifizierte personenbezogene Daten " Über personenbezogene Daten “ auf öffentlich zugängliche oder anonymisierte personenbezogene Daten.

Die Übermittlung personenbezogener Daten an Dritte muss auf der Grundlage des Bundesgesetzes oder der Einwilligung des Betroffenen personenbezogener Daten erfolgen. Für den Fall, dass eine Organisation die Verarbeitung personenbezogener Daten auf der Grundlage einer Vereinbarung einem Dritten anvertraut, ist eine wesentliche Bedingung einer solchen Vereinbarung die Verpflichtung des Dritten, die Vertraulichkeit personenbezogener Daten und die Sicherheit personenbezogener Daten zu gewährleisten während ihrer Verarbeitung.

Die Organisation muss die Verarbeitung personenbezogener Daten einstellen und die gesammelten personenbezogenen Daten, sofern die Gesetzgebung der Russischen Föderation nichts anderes vorsieht, innerhalb der durch die Gesetzgebung der Russischen Föderation festgelegten Fristen in den folgenden Fällen vernichten:

• bei Erreichen der Verarbeitungszwecke oder wenn es zu deren Erreichung nicht mehr erforderlich ist;
• auf Anfrage des Subjekts personenbezogener Daten oder der befugten Stelle zum Schutz der Rechte des Subjekts personenbezogener Daten – wenn die personenbezogenen Daten unvollständig, veraltet, ungenau, illegal erlangt oder für den angegebenen Verarbeitungszweck nicht erforderlich sind;
• wenn die Person personenbezogener Daten die Einwilligung zur Verarbeitung ihrer personenbezogenen Daten widerruft, wenn eine solche Einwilligung gemäß den Rechtsvorschriften der Russischen Föderation erforderlich ist;
• wenn es dem Betreiber unmöglich ist, die bei der Verarbeitung personenbezogener Daten begangenen Verstöße zu beseitigen.

Die Organisation sollte Folgendes definieren und dokumentieren:

• das Verfahren zur Vernichtung personenbezogener Daten ( einschließlich materieller Träger personenbezogener Daten);
• das Verfahren zur Bearbeitung von Anfragen von Personen mit personenbezogenen Daten ( oder deren gesetzliche Vertreter) bezüglich der Verarbeitung ihrer personenbezogenen Daten;
• das Verfahren für Maßnahmen im Falle von Anfragen der autorisierten Stelle zum Schutz der Rechte von Personen personenbezogener Daten oder anderer Aufsichtsbehörden, die Kontrolle und Aufsicht im Bereich personenbezogener Daten ausüben;
• Ansatz zur Zuordnung von AS zu Informationssystemen mit personenbezogenen Daten ( Des Weiteren - ISPD );
• Liste der ISPDs. Die Liste der ISPDs sollte AS enthalten, deren Zweck die Verarbeitung personenbezogener Daten ist.

Für jede ISPD muss Folgendes bestimmt und dokumentiert werden:

• Zweck der Verarbeitung personenbezogener Daten;
• Umfang und Inhalt der verarbeiteten personenbezogenen Daten;
• Liste der Aktionen mit personenbezogenen Daten und Methoden ihrer Verarbeitung.

Umfang und Inhalt der personenbezogenen Daten sowie die Liste der Maßnahmen und Methoden zur Verarbeitung personenbezogener Daten müssen den Verarbeitungszwecken entsprechen. Für den Fall, dass für die Durchführung des informationstechnischen Verfahrens, dessen Durchführung die ISPD unterstützt, die Verarbeitung bestimmter personenbezogener Daten nicht erforderlich ist, müssen diese personenbezogenen Daten gelöscht werden.

Die Anforderungen zur Gewährleistung der Sicherheit personenbezogener Daten in ISPD werden im Allgemeinen durch eine Reihe von organisatorischen, technologischen, technischen und softwaretechnischen Maßnahmen, Mitteln und Mechanismen zum Schutz von Informationen umgesetzt.

Organisation der Ausführung und ( oder) sollte die Umsetzung der Anforderungen zur Gewährleistung der Sicherheit personenbezogener Daten von einer Struktureinheit oder einem Beamten (Mitarbeiter) der Organisation, die für die Gewährleistung der Sicherheit personenbezogener Daten verantwortlich ist, oder auf vertraglicher Basis von einer Organisation – einer Gegenpartei – durchgeführt werden einer Organisation, die eine Lizenz dazu hat technischer Schutz vertrauliche Informationen.

Die Erstellung des ISPD einer Organisation sollte die Entwicklung und Genehmigung ( Aussage) die organisatorische, administrative, konzeptionelle und operative Dokumentation, die in der Aufgabenbeschreibung für vorgesehen ist System erstellt. Die Dokumentation sollte die Fragen der Gewährleistung der Sicherheit der verarbeiteten personenbezogenen Daten widerspiegeln.

Die Entwicklung von Konzepten, technischen Spezifikationen, Design, Erstellung und Prüfung, Abnahme und Inbetriebnahme von ISPD sollte nach Vereinbarung und unter der Kontrolle einer Struktureinheit oder eines Beamten (Mitarbeiters) erfolgen, der für die Gewährleistung der Sicherheit personenbezogener Daten verantwortlich ist.

Alle Informationsbestände, die zum ISPD der Organisation gehören, müssen vor den Auswirkungen geschützt werden Schadcode. Die Organisation muss die Anforderungen zur Gewährleistung der Sicherheit personenbezogener Daten durch Virenschutz und das Verfahren zur Überwachung der Umsetzung dieser Anforderungen definieren und dokumentieren.

Die Organisation muss ein Zugriffskontrollsystem definieren, das es ermöglicht, den Zugriff auf Kommunikationsports, Eingabe-/Ausgabegeräte, Wechselspeichermedien und externe Datenspeichergeräte ISPD zu kontrollieren.

Die Leiter der operativen und wartenden ISPD-Abteilungen der Organisation gewährleisten die Sicherheit personenbezogener Daten während ihrer Verarbeitung in ISPD.

Mitarbeiter, die personenbezogene Daten in ISPD verarbeiten, müssen gemäß den Anweisungen handeln ( Verwaltung, Vorschriften usw.), die Teil der Betriebsdokumentation für ISPD ist, und den Anforderungen an Dokumente zur Sicherstellung der Informationssicherheit entsprechen.

Verantwortlichkeiten für die Verwaltung von Schutzwerkzeugen und Schutzmechanismen, die die Anforderungen zur Gewährleistung der ISPD-Informationssicherheit der Organisation umsetzen, werden durch Anordnungen zugewiesen ( Aufträge) für Fachkräfte des Fachbereichs Informationstechnik.

Das Verfahren für die Maßnahmen von Spezialisten der Abteilung Informationstechnologie und Personal, die an der Verarbeitung personenbezogener Daten beteiligt sind, muss durch Anweisungen festgelegt werden ( Richtlinien), die vom ISPD-Entwickler als Teil der Betriebsdokumentation für ISPD erstellt werden.

Die angegebenen Anweisungen ( Führer):

• Anforderungen an die Qualifikation des Personals im Bereich der Informationssicherheit sowie eine aktuelle Liste der geschützten Objekte und Regeln für deren Aktualisierung festlegen;
• vollständig und aktuell enthalten zum Zeitpunkt) Benutzerberechtigungsdaten;
• Daten zur Informationsverarbeitungstechnik enthalten, soweit dies für einen Inferforderlich ist;
• Legen Sie die Reihenfolge und Häufigkeit der Analyse von Ereignisprotokollen fest ( Zeitschriftenarchive);
• andere Aktivitäten regeln.

Die Konfigurationsparameter der Schutzmittel und Mechanismen zum Schutz von Informationen vor unbefugtem Zugriff, die im Verantwortungsbereich von Spezialisten der Abteilung Informationstechnologien verwendet werden, sind in der Betriebsdokumentation für ISPD festgelegt. Die Reihenfolge und Häufigkeit der Überprüfungen der eingestellten Konfigurationsparameter sind in der Betriebsdokumentation festgelegt oder durch ein internes Dokument geregelt, wobei die Überprüfungen mindestens einmal jährlich durchgeführt werden sollten.

Die Organisation muss das Verfahren für den Zugang zu den Räumlichkeiten, in denen sich die technischen ISPD-Mittel befinden und personenbezogene Datenträger aufbewahrt werden, definieren und dokumentieren, das die Kontrolle des Zugangs zu den Räumlichkeiten durch unbefugte Personen und das Vorhandensein von Hindernissen für den unbefugten Zutritt zu den Räumlichkeiten vorsieht . Das festgelegte Verfahren muss von einer Struktureinheit oder einem Beamten entwickelt werden ( Arbeiter) verantwortlich für die Gewährleistung des physischen Sicherheitsregimes und von der Struktureinheit oder dem Beamten genehmigt ( Arbeiter), verantwortlich für die Gewährleistung der Sicherheit personenbezogener Daten, und die Abteilung für wirtschaftliche Sicherheit.

ISPD-Benutzer und Wartungspersonal sollten keine unbefugten und ( oder) nicht registriert ( unkontrolliert) Kopieren personenbezogener Daten. Zu diesem Zweck sollten organisatorische und technische Maßnahmen verhindern, dass unbefugte und ( oder) nicht registriert ( unkontrolliert) Kopieren personenbezogener Daten, einschließlich der Verwendung von veräußerlichen ( austauschbar) Speichermedien, mobile Geräte zum Kopieren und Übertragen von Informationen, Kommunikationsports und Ein-/Ausgabegeräte, die verschiedene Schnittstellen implementieren ( einschließlich WLAN), Speichermedien mobiler Geräte ( z.B. Laptops, PDAs, Smartphones, Mobiltelefone ) sowie Foto- und Videogeräte.

Die Kontrolle der Personensicherheit wird von einem Spezialisten für Informationssicherheit sowohl mit Hilfe von Standardmitteln des Informationssicherheitssystems als auch mit Hilfe von speziellen Kontrollmitteln und technologischer Überwachung durchgeführt.

ZIP-Datei herunterladen (65475)

Dokumente waren praktisch - setzen Sie "Gefällt mir" oder:

Software- und Hardware-Schutzmaßnahmen gegen unbefugten Zugriff umfassen Maßnahmen zur Identifizierung, Authentifizierung und Zugriffskontrolle auf das Informationssystem.

Identifikation ist die Zuordnung eindeutiger Kennungen zu Zugriffssubjekten.

Dazu gehören RFID-Tags, biometrische Technologien, Magnetkarten, universelle Magnetschlüssel, Logins zum Betreten des Systems usw.

Authentifizierung - Überprüfung der Inhaberschaft des Zugangs abhängig von der präsentierten Kennung und Bestätigung seiner Authentizität.

Zu den Authentifizierungsverfahren gehören Passwörter, PIN-Codes, Smartcards, USB-Schlüssel, digitale Signaturen, Sitzungsschlüssel usw. Der prozedurale Teil der Identifizierungs- und Authentifizierungsmittel ist miteinander verbunden und stellt tatsächlich die grundlegende Basis aller Software- und Hardware-Tools zur Gewährleistung der Informationssicherheit dar, da alle anderen Dienste darauf ausgerichtet sind, bestimmten Themen zu dienen, die vom Informationssystem korrekt erkannt werden. Im Allgemeinen ermöglicht die Identifizierung dem Subjekt, sich gegenüber dem Informationssystem zu identifizieren, und mit Hilfe der Authentifizierung bestätigt das Informationssystem, dass das Subjekt wirklich derjenige ist, für den es sich ausgibt. Basierend auf dem Durchgang dieser Operation wird eine Operation durchgeführt, um Zugriff auf das Informationssystem bereitzustellen. Zugriffskontrollverfahren ermöglichen es autorisierten Stellen, durch die Vorschriften erlaubte Aktionen durchzuführen, und das Informationssystem, um diese Aktionen auf die Richtigkeit und Richtigkeit des erhaltenen Ergebnisses zu kontrollieren. Die Zugriffskontrolle ermöglicht es dem System, Daten vor Benutzern zu verbergen, auf die sie keinen Zugriff haben.

Das nächste Mittel zum Schutz von Software und Hardware ist die Protokollierung und Prüfung von Informationen.

Die Protokollierung umfasst das Sammeln, Sammeln und Speichern von Informationen über Ereignisse, Aktionen, Ergebnisse, die während des Betriebs des Informationssystems stattgefunden haben, einzelne Benutzer, Prozesse und alle Software und Hardware, die Teil des Unternehmensinformationssystems sind.

Da jede Komponente des Informationssystems einen vorgegebenen Satz möglicher Ereignisse gemäß den programmierten Klassifikatoren hat, werden die Ereignisse, Aktionen und Ergebnisse unterteilt in:

• extern, verursacht durch die Aktionen anderer Komponenten,
• intern, verursacht durch die Aktionen der Komponente selbst,
• Client, verursacht durch die Aktionen von Benutzern und Administratoren.

Das Informationsaudit besteht in der Durchführung einer Betriebsanalyse in Echtzeit oder in einem bestimmten Zeitraum.

Basierend auf den Ergebnissen der Analyse wird entweder ein Bericht über die stattgefundenen Ereignisse erstellt oder eine automatische Reaktion auf eine Notfallsituation eingeleitet.

Die Implementierung von Logging und Auditing löst folgende Aufgaben:

• Gewährleistung der Rechenschaftspflicht von Benutzern und Administratoren;
• Ermöglichung der Rekonstruktion der Abfolge von Ereignissen;
• Erkennung von Versuchen, die Informationssicherheit zu verletzen;
• Bereitstellung von Informationen zur Identifizierung und Analyse von Problemen.

Ohne den Einsatz kryptografischer Tools ist der Informationsschutz oft nicht möglich. Sie werden verwendet, um Verschlüsselungs-, Integritäts- und Authentifizierungsdienste bereitzustellen, wenn die Authentifizierungsmittel in verschlüsselter Form vom Benutzer gespeichert werden. Es gibt zwei Hauptverschlüsselungsmethoden: symmetrisch und asymmetrisch.

Mit der Integritätskontrolle können Sie die Authentizität und Identität eines Objekts feststellen, bei dem es sich um ein Datenarray, einzelne Datenteile oder eine Datenquelle handelt, und auch sicherstellen, dass die im System durchgeführte Aktion nicht mit einem Array von Informationen markiert werden kann. Die Implementierung der Integritätskontrolle basiert auf Datenkonvertierungstechnologien unter Verwendung von Verschlüsselung und digitalen Zertifikaten.

Ein weiterer wichtiger Aspekt ist die Verwendung von Abschirmung, einer Technologie, die es ermöglicht, durch Begrenzung des Zugriffs von Subjekten auf Informationsressourcen alle Informationsflüsse zwischen dem Unternehmensinformationssystem und externen Objekten, Datenarrays, Subjekten und Gegensubjekten zu kontrollieren. Die Flusskontrolle besteht darin, sie zu filtern und gegebenenfalls die übertragenen Informationen umzuwandeln.

Die Aufgabe der Abschirmung besteht darin, interne Informationen vor möglicherweise feindlichen externen Faktoren und Akteuren zu schützen. Die Hauptform der Abschirmungsimplementierung sind Firewalls oder Firewalls, verschiedene Arten und Architektur.

Da eines der Kennzeichen der Informationssicherheit die Verfügbarkeit von Informationsressourcen ist, ist die Sicherstellung einer hohen Verfügbarkeit eine wichtige Richtung bei der Umsetzung von Soft- und Hardwaremaßnahmen. Dabei werden insbesondere zwei Bereiche geteilt: Sicherstellen der Fehlertoleranz, d.h. Failover des Systems, die Fähigkeit zu arbeiten, wenn Fehler auftreten, und die Bereitstellung einer sicheren und schnellen Wiederherstellung nach Ausfällen, d.h. Bedienbarkeit des Systems.

Die Hauptanforderung an Informationssysteme besteht darin, dass sie immer mit einer bestimmten Effizienz, minimalen Ausfallzeiten und Reaktionsgeschwindigkeit arbeiten.

Dementsprechend wird die Verfügbarkeit von Informationsressourcen sichergestellt durch:

• die Verwendung einer strukturellen Architektur, was bedeutet, dass einzelne Module bei Bedarf deaktiviert oder schnell ersetzt werden können, ohne andere Elemente des Informationssystems zu beeinträchtigen;
• Gewährleistung der Fehlertoleranz durch: Nutzung autonomer Elemente der unterstützenden Infrastruktur, Einführung von Überkapazitäten bei der Konfiguration von Soft- und Hardware, Hardware-Redundanz, Replikation von Informationsressourcen innerhalb des Systems, Datensicherung usw.
• Gewährleistung der Wartbarkeit durch Verringerung der Zeit für die Diagnose und Beseitigung von Fehlern und deren Folgen.

Eine andere Art von Informationssicherheitsmittel sind sichere Kommunikationskanäle.

Das Funktionieren von Informationssystemen ist unweigerlich mit der Übertragung von Daten verbunden, daher ist es auch für Unternehmen erforderlich, den Schutz der übertragenen Informationsressourcen über sichere Kommunikationskanäle sicherzustellen. Die Möglichkeit eines unbefugten Zugriffs auf Daten während der Übertragung von Verkehr über offene Kommunikationskanäle ist auf ihre allgemeine Verfügbarkeit zurückzuführen. Da „Kommunikationen nicht über ihre gesamte Länge physikalisch geschützt werden können, ist es daher besser, zunächst von ihrer Verwundbarkeit auszugehen und entsprechend zu schützen“ . Dazu werden Tunneling-Technologien verwendet, deren Kern darin besteht, Daten zu kapseln, d.h. die übertragenen Datenpakete inklusive aller Dienstattribute in eigene Umschläge packen oder einpacken. Der Tunnel ist demnach eine sichere Verbindung über offene Kommunikationskanäle, über die kryptografisch geschützte Datenpakete übertragen werden. Tunneling wird verwendet, um die Vertraulichkeit des Verkehrs zu gewährleisten, indem Dienstinformationen verborgen und die Vertraulichkeit und Integrität der übertragenen Daten sichergestellt werden, wenn sie zusammen mit kryptografischen Elementen eines Informationssystems verwendet werden. Durch die Kombination von Tunneling und Verschlüsselung lässt sich ein virtuelles privates Netzwerk realisieren. Die Endpunkte von Tunneln, die virtuelle private Netze implementieren, sind gleichzeitig Firewalls, die der Anbindung von Organisationen an externe Netze dienen.

Firewalls als Implementierungspunkte des Dienstes für virtuelle private Netzwerke

Somit sind Tunneling und Verschlüsselung zusätzliche Transformationen, die beim Filtern des Netzwerkverkehrs zusammen mit der Adressübersetzung durchgeführt werden. Tunnelenden können zusätzlich zu Unternehmens-Firewalls persönlich sein und mobile Computer Mitarbeiter, genauer gesagt, ihre persönlichen Firewalls und Firewalls. Dank dieser Vorgehensweise wird das Funktionieren sicherer Kommunikationskanäle gewährleistet.

Informationssicherheitsverfahren

Informationssicherheitsverfahren werden normalerweise in administrative und organisatorische Ebenen unterteilt.

• Verwaltungsverfahren umfassen allgemeine Maßnahmen, die von der Leitung der Organisation ergriffen werden, um alle Arbeiten, Maßnahmen und Vorgänge im Bereich der Gewährleistung und Aufrechterhaltung der Informationssicherheit zu regeln, die durch die Zuweisung der erforderlichen Ressourcen und die Überwachung der Wirksamkeit der ergriffenen Maßnahmen umgesetzt werden.
• Die Organisationsebene stellt die Verfahren zur Gewährleistung der Informationssicherheit dar, einschließlich Personalmanagement, physischer Schutz, Aufrechterhaltung der Funktionsfähigkeit der Software- und Hardwareinfrastruktur, zeitnahe Beseitigung von Sicherheitsverletzungen und Planung von Wiederherstellungsarbeiten.

Andererseits ist die Unterscheidung zwischen administrativen und organisatorischen Verfahren bedeutungslos, da die Verfahren einer Ebene nicht getrennt von einer anderen Ebene existieren können, wodurch das Verhältnis zwischen physischem Ebenenschutz, persönlichem und organisatorischem Schutz im Konzept der Informationssicherheit verletzt wird. In der Praxis vernachlässigen Organisationen bei der Gewährleistung der Informationssicherheit keine administrativen oder organisatorischen Verfahren, daher ist es logischer, sie als integrierten Ansatz zu betrachten, da beide Ebenen die physische, organisatorische und persönliche Ebene des Informationsschutzes betreffen.

Grundlage komplexer Verfahren zur Gewährleistung der Informationssicherheit ist die Security Policy.

Informationssicherheitsrichtlinie

Informationssicherheitsrichtlinie In einer Organisation handelt es sich um eine Reihe dokumentierter Entscheidungen, die vom Management der Organisation getroffen wurden und darauf abzielen, Informationen und die damit verbundenen Ressourcen zu schützen.

In organisatorischer und verwaltungstechnischer Hinsicht kann die Iein einzelnes Dokument sein oder in Form mehrerer unabhängiger Dokumente oder Anordnungen erstellt werden, sie sollte jedoch in jedem Fall die folgenden Aspekte des Schutzes des Informationssystems der Organisation abdecken:

• Schutz von Informationssystemobjekten, Informationsressourcen und direkten Operationen mit ihnen;
• Schutz aller Vorgänge im Zusammenhang mit der Verarbeitung von Informationen im System, einschließlich der Verarbeitungssoftware;
• Schutz von Kommunikationskanälen, einschließlich drahtgebunden, Funkkanäle, Infrarot, Hardware usw.;
• Schutz des Hardwarekomplexes vor seitlicher elektromagnetischer Strahlung;
• Verwaltung des Sicherheitssystems, einschließlich Wartung, Upgrades und Verwaltungsaktionen.

Jeder der Aspekte sollte detailliert beschrieben und in den internen Dokumenten der Organisation dokumentiert werden. Interne Dokumente decken drei Ebenen des Schutzprozesses ab: obere, mittlere und untere.

Die Dokumente Höchststufe Inspiegeln den grundlegenden Ansatz der Organisation zum Schutz ihrer eigenen Informationen und zur Einhaltung der behördlichen und/oder internationale Standards. In der Praxis gibt es in einer Organisation nur ein Dokument der obersten Ebene mit den Titeln „Informationssicherheitskonzept“, „Informationssicherheitsverordnung“ usw. Formal haben diese Dokumente keinen Geheimhaltungswert, ihre Verbreitung ist nicht beschränkt, sie können aber in einer Edition für den internen Gebrauch und eine offene Veröffentlichung herausgegeben werden.

Dokumente mittlerer Ebene sind streng vertraulich und beziehen sich auf bestimmte Aspekte der Informationssicherheit der Organisation: die verwendeten Informationssicherheitstools, die Sicherheit von Datenbanken, Kommunikation, kryptografischen Tools und anderen Informationen und wirtschaftlichen Prozessen der Organisation. Die Dokumentation erfolgt in Form interner technischer und organisatorischer Standards.

Dokumente der unteren Ebene werden in zwei Arten unterteilt: Arbeitsvorschriften und Betriebsanweisungen. Die Arbeitsordnung ist streng vertraulich und richtet sich nur an Personen, die im Dienst Arbeiten zur Verwaltung einzelner Informationssicherheitsdienste ausführen. Betriebsanweisungen können entweder vertraulich oder öffentlich sein; sie sind für das Personal der Organisation bestimmt und beschreiben das Verfahren für die Arbeit mit einzelnen Elementen des Informationssystems der Organisation.

Die weltweite Erfahrung zeigt, dass die Informationssicherheitspolitik immer nur in großen Unternehmen dokumentiert ist, die über ein entwickeltes Informationssystem verfügen, das erhöhte Anforderungen an die Informationssicherheit stellt, mittelständische Unternehmen haben meist nur eine teilweise dokumentierte Informationssicherheitspolitik, kleine Organisationen in der überwiegenden Mehrheit kümmern sich überhaupt nicht um die Dokumentation der Sicherheitsrichtlinie. Unabhängig davon, ob das Dokumentationsformat ganzheitlich oder verteilt ist, ist der grundlegende Aspekt der Sicherheitsmodus.

Es gibt zwei unterschiedliche Ansätze, die die Grundlage bilden Informationssicherheitspolitik:

1. "Alles was nicht verboten ist, ist erlaubt."
2. "Alles was nicht erlaubt ist, ist verboten."

Der grundlegende Mangel des ersten Ansatzes besteht darin, dass es in der Praxis unmöglich ist, alle gefährlichen Fälle vorherzusehen und zu verbieten. Ohne Zweifel sollte nur der zweite Ansatz verwendet werden.

Organisationsebene der Informationssicherheit

Aus Sicht der Informationssicherheit werden organisatorische Verfahren zur Gewährleistung der Informationssicherheit als „Regulierung der Produktionstätigkeiten und der Beziehungen zwischen ausübenden Künstlern auf einer Rechtsgrundlage, die die missbräuchliche Aneignung vertraulicher Informationen und die Manifestation interner und externer Bedrohungen ausschließt oder erheblich erschwert“ dargestellt. .

Zu den Maßnahmen des Personalmanagements, die darauf abzielen, die Arbeit mit dem Personal zu organisieren, um die Informationssicherheit zu gewährleisten, gehören die Aufgabentrennung und die Minimierung von Privilegien. Die Aufgabenteilung schreibt eine solche Verteilung von Kompetenzen und Verantwortungsbereichen vor, bei der eine Person nicht in der Lage ist, einen organisationskritischen Prozess zu stören. Dies verringert die Wahrscheinlichkeit von Fehlern und Missbrauch. Die Minimierung von Berechtigungen schreibt vor, dass Benutzern nur die Zugriffsebene gewährt wird, die für ihre beruflichen Verantwortlichkeiten angemessen ist. Dies reduziert den Schaden durch versehentliche oder vorsätzliche Fehlhandlungen.

Physischer Schutz bedeutet die Entwicklung und Annahme von Maßnahmen zum direkten Schutz von Gebäuden, in denen sich die Informationsressourcen der Organisation, angrenzende Gebiete, Infrastrukturelemente, Computerausrüstung, Datenträger und Hardware-Kommunikationskanäle befinden. Dazu gehören die physische Zugangskontrolle, der Brandschutz, der unterstützende Infrastrukturschutz, das Abhören von Daten und der Schutz mobiler Systeme.

Die Aufrechterhaltung der Funktionsfähigkeit der Software- und Hardwareinfrastruktur soll stochastischen Fehlern vorbeugen, die drohen, den Hardwarekomplex zu beschädigen, Programme zu stören und Daten zu verlieren. Die Hauptrichtungen in diesem Aspekt sind die Bereitstellung von Benutzer- und Software-Support, Konfigurationsmanagement, Backup, Medienmanagement, Dokumentation und vorbeugender Wartung.

Die schnelle Behebung von Sicherheitsverletzungen hat drei Hauptziele:

1. Vorfalllokalisierung und Schadensminderung;
2. Identifizierung des Täters;
3. Verhinderung wiederholter Verstöße.

Schließlich ermöglicht Ihnen die Wiederherstellungsplanung, sich auf Unfälle vorzubereiten, Schäden zu reduzieren und zumindest eine minimale Funktionsfähigkeit aufrechtzuerhalten.

Der Einsatz von Soft- und Hardware und sicheren Kommunikationskanälen sollte in der Organisation auf der Grundlage eines integrierten Ansatzes zur Entwicklung und Genehmigung aller administrativen und organisatorischen Regulierungsverfahren zur Gewährleistung der Informationssicherheit implementiert werden. Andernfalls garantiert die Annahme separater Maßnahmen nicht den Schutz von Informationen und provoziert im Gegenteil häufig das Durchsickern vertraulicher Informationen, den Verlust kritischer Daten, Schäden an der Hardwareinfrastruktur und Störungen der Softwarekomponenten des Informationssystems der Organisation.

Methoden der Informationssicherheit

Moderne Unternehmen zeichnen sich durch ein verteiltes Informationssystem aus, mit dem Sie die verteilten Büros und Lager des Unternehmens, die Finanzbuchhaltung und die Managementkontrolle, Informationen aus dem Kundenstamm unter Berücksichtigung der Auswahl von Indikatoren usw. berücksichtigen können. Die Fülle an Daten ist also sehr groß, und der überwiegende Teil davon sind Informationen, die für das Unternehmen in kaufmännischer und wirtschaftlicher Hinsicht von vorrangiger Bedeutung sind. Tatsächlich ist die Gewährleistung der Vertraulichkeit von Daten mit kommerziellem Wert eine der Hauptaufgaben bei der Gewährleistung der Informationssicherheit im Unternehmen.

Gewährleistung der Informationssicherheit im Unternehmen sollte durch folgende Dokumente geregelt werden:

1. Informationssicherheitsverordnung. Es umfasst die Formulierung von Zielen und Vorgaben zur Gewährleistung der Informationssicherheit, eine Liste interner Regelungen zu Infund eine Regelung zur Verwaltung des verteilten Informationssystems eines Unternehmens. Der Zugang zu den Vorschriften ist auf die Leitung der Organisation und den Leiter der Automatisierungsabteilung beschränkt.
2. Vorschriften technischer Support Informationsschutz. Dokumente sind vertraulich, der Zugriff ist auf Mitarbeiter der Automatisierungsabteilung und des höheren Managements beschränkt.
3. Vorschriften für die Verwaltung eines verteilten Informationsschutzsystems. Der Zugriff auf die Vorschriften ist auf die Mitarbeiter der Automatisierungsabteilung, die für die Verwaltung des Informationssystems verantwortlich ist, und die Geschäftsleitung beschränkt.

Gleichzeitig sollten diese Dokumente nicht eingeschränkt, sondern auch die unteren Ebenen ausgearbeitet werden. Andernfalls, wenn das Unternehmen nicht über andere Dokumente zur Informationssicherheit verfügt, deutet dies auf ein unzureichendes Maß an administrativer Informationssicherheit hin, da es keine untergeordneten Dokumente, insbesondere Anweisungen zum Betrieb einzelner Elemente des Informationssystems, gibt.

Zu den obligatorischen organisatorischen Abläufen gehören:

• die wichtigsten Maßnahmen zur Differenzierung des Personals nach Zugangsebene zu Informationsressourcen,
• physischer Schutz der Büros des Unternehmens vor direktem Eindringen und drohender Zerstörung, Verlust oder Abfangen von Daten,
• die Aufrechterhaltung der Funktionsfähigkeit der Hard- und Softwareinfrastruktur wird in Form von automatisierten Backups organisiert, die Remote-Überprüfung von Speichermedien, Benutzer- und Softwaresupport wird auf Anfrage bereitgestellt.

Dies sollte auch geregelte Maßnahmen umfassen, um auf Fälle von Infzu reagieren und diese zu beseitigen.

In der Praxis ist häufig zu beobachten, dass Unternehmen diesem Thema nicht genügend Aufmerksamkeit schenken. Alle Aktionen in diese Richtung werden ausschließlich funktionstüchtig durchgeführt, was die Zeit zur Beseitigung von Verstößen erhöht und die Verhinderung wiederholter Verstöße gegen die Informationssicherheit nicht garantiert. Darüber hinaus fehlt die Praxis der Planung von Maßnahmen zur Beseitigung der Folgen nach Unfällen, Informationslecks, Datenverlusten und kritischen Situationen vollständig. All dies verschlechtert die Informationssicherheit des Unternehmens erheblich.

Auf der Ebene der Soft- und Hardware sollte ein dreistufiges Informationssicherheitssystem implementiert werden.

Mindestkriterien zur Gewährleistung der Informationssicherheit:

1. Zutrittskontrollmodul:

• ein geschlossener Zugang zum Informationssystem wurde implementiert, es ist unmöglich, das System außerhalb von verifizierten Arbeitsplätzen zu betreten;
• Zugriff mit eingeschränkter Funktionalität von mobilen PCs wurde für Mitarbeiter implementiert;
• die Autorisierung erfolgt nach Logins und Passwörtern, die von Administratoren gebildet werden.

2. Verschlüsselungs- und Integritätskontrollmodul:

• ein asymmetrisches Verschlüsselungsverfahren für übertragene Daten verwendet wird;
• Arrays kritischer Daten werden in verschlüsselter Form in Datenbanken gespeichert, die keinen Zugriff darauf ermöglichen, selbst wenn das Informationssystem des Unternehmens gehackt wird;
• Die Integritätskontrolle erfolgt durch eine einfache digitale Signatur aller Informationsressourcen, die innerhalb des Informationssystems gespeichert, verarbeitet oder übertragen werden.

3. Abschirmmodul:

• ein Filtersystem in Firewalls implementiert, mit dem Sie alle Informationsflüsse über Kommunikationskanäle kontrollieren können;
• externe Verbindungen zu globalen Informationsressourcen und öffentlichen Kommunikationskanälen können nur über eine begrenzte Anzahl verifizierter Arbeitsstationen hergestellt werden, die eine begrenzte Verbindung zum Unternehmensinformationssystem haben;
• Der sichere Zugriff von den Arbeitsplätzen der Mitarbeiter zur Erfüllung ihrer Dienstpflichten wird durch ein zweistufiges System von Proxy-Servern implementiert.

Schließlich muss in einem Unternehmen mit Hilfe von Tunneling-Technologien ein virtuelles privates Netzwerk nach einem typischen Aufbaumodell implementiert werden, um sichere Kommunikationswege zwischen verschiedenen Unternehmensabteilungen, Partnern und Firmenkunden bereitzustellen.

Trotz der Tatsache, dass die Kommunikation direkt über Netzwerke mit potenziell durchgeführt wird niedriges Niveau Vertrauen, Tunneling-Technologien sorgen dank der Verwendung kryptografischer Tools für einen zuverlässigen Schutz aller übertragenen Daten.

Schlussfolgerungen

Das Hauptziel aller im Bereich der Informationssicherheit ergriffenen Maßnahmen besteht darin, die Interessen des Unternehmens auf die eine oder andere Weise in Bezug auf die Informationsressourcen, über die es verfügt, zu schützen. Obwohl die Interessen von Unternehmen nicht auf einen bestimmten Bereich beschränkt sind, konzentrieren sie sich alle auf die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen.

Das Problem der Gewährleistung der Informationssicherheit wird durch zwei Hauptgründe erklärt.

1. Die vom Unternehmen angesammelten Informationsressourcen sind wertvoll.
2. Kritische Abhängigkeit von Informationstechnologien verursacht ihre breite Anwendung.

Angesichts der Vielzahl bestehender Bedrohungen für die Informationssicherheit, wie z wichtige Informationen, unbefugte Nutzung vertraulicher Daten, Unterbrechungen des Betriebs des Unternehmens aufgrund von Verstößen gegen das Informationssystem, können wir den Schluss ziehen, dass all dies objektiv zu großen materiellen Verlusten führt.

Bei der Gewährleistung der Informationssicherheit spielen Software- und Hardware-Tools eine wichtige Rolle, die darauf abzielen, Computereinheiten zu kontrollieren, d.h. Hardware, Softwareelemente, Daten, die die letzte und höchste Prioritätsgrenze der Informationssicherheit bilden. Die Übertragung von Daten muss auch im Rahmen der Wahrung ihrer Vertraulichkeit, Integrität und Verfügbarkeit sicher sein. Daher ein modernen Bedingungen Tunneling-Technologien werden in Kombination mit kryptografischen Mitteln verwendet, um sichere Kommunikationskanäle bereitzustellen.

Literatur

1. Galatenko V.A. Informationssicherheitsstandards. - M.: Internetuniversität für Informationstechnologien, 2006.
2. Partyka T.L., Popov I.I. Informationssicherheit. – M.: Forum, 2012.

Norbert Wiener, der Begründer der Kybernetik, glaubte, dass Informationen einzigartige Eigenschaften haben und weder Energie noch Materie zugeschrieben werden können. Der besondere Stellenwert von Information als Phänomen hat zu vielen Definitionen geführt.

Das Glossar der ISO/IEC 2382:2015 „Information Technology“ gibt folgende Interpretation:

Informationen (im Bereich der Informationsverarbeitung)- alle Daten, die in elektronischer Form, auf Papier, bei einer Besprechung oder in einem anderen Medium vorgelegt werden, das von einem Finanzinstitut zur Entscheidungsfindung, Überweisung von Geldern, Festsetzung von Zinssätzen, Gewährung von Krediten, Abwicklung von Transaktionen usw. verwendet wird, einschließlich der Verarbeitung von Komponenten Systemsoftware.

Um das Konzept der Informationssicherheit (IS) zu entwickeln, werden Informationen als Informationen verstanden, die zur Sammlung, Speicherung, Verarbeitung (Bearbeitung, Transformation), Nutzung und Übertragung verfügbar sind verschiedene Wege, einschließlich im Computernetzwerke und andere Informationssysteme.

Solche Informationen sind von hohem Wert und können Gegenstand von Rechtsverletzungen durch Dritte werden. Der Wunsch, Informationen vor Bedrohungen zu schützen, liegt der Schaffung von Informationssicherheitssystemen zugrunde.

Rechtliche Grundlage

Im Dezember 2017 wurde die Information Security Doctrine in Russland verabschiedet. In dem Dokument wird Informationssicherheit als Zustand des Schutzes nationaler Interessen im Informationsbereich definiert. Unter nationalen Interessen wird dabei die Gesamtheit der Interessen der Gesellschaft, des Individuums und des Staates verstanden, jede Interessengruppe ist für das stabile Funktionieren der Gesellschaft notwendig.

Doctrine ist ein konzeptionelles Dokument. Rechtsbeziehungen im Zusammenhang mit der Gewährleistung der Informationssicherheit werden durch Bundesgesetze „Über Staatsgeheimnisse“, „Über Informationen“, „Über den Schutz personenbezogener Daten“ und andere geregelt. Auf der Grundlage grundlegender Vorschriften werden zu besonderen Fragen des Informationsschutzes behördliche und behördliche Vorschriften entwickelt.

Definition von Informationssicherheit

Vor der Entwicklung einer Informationssicherheitsstrategie muss eine grundlegende Definition des Konzepts selbst akzeptiert werden, die die Verwendung einer bestimmten Reihe von Methoden und Schutzmethoden ermöglicht.

Industriepraktiker schlagen vor, Informationssicherheit als einen stabilen Schutzzustand von Informationen, ihren Trägern und Infrastrukturen zu verstehen, der die Integrität und Stabilität informationsbezogener Prozesse gegen beabsichtigte oder unbeabsichtigte Einwirkungen natürlicher und künstlicher Art sicherstellt. Auswirkungen werden als IS-Bedrohungen klassifiziert, die den Subjekten der Informationsbeziehungen Schaden zufügen können.

Informationssicherheit wird daher als eine Reihe von rechtlichen, administrativen, organisatorischen und technischen Maßnahmen verstanden, die darauf abzielen, tatsächliche oder wahrgenommene Bedrohungen der Informationssicherheit zu verhindern sowie die Folgen von Vorfällen zu beseitigen. Die Kontinuität des Informationsschutzprozesses sollte die Bekämpfung von Bedrohungen in allen Phasen des Informationszyklus gewährleisten: beim Sammeln, Speichern, Verarbeiten, Verwenden und Übermitteln von Informationen.

Informationssicherheit in diesem Sinne wird zu einem Merkmal der Systemleistung. Das System muss zu jedem Zeitpunkt ein messbares Sicherheitsniveau aufweisen, und die Gewährleistung der Sicherheit des Systems muss ein kontinuierlicher Prozess sein, der in allen Zeitintervallen während der Lebensdauer des Systems durchgeführt wird.

Die Infografik verwendet Daten von unsSuchenInform.

In der Theorie der Informationssicherheit werden unter IS-Subjekten Eigentümer und Nutzer von Informationen verstanden, und zwar Nutzer nicht nur auf Dauer (Beschäftigte), sondern auch Nutzer, die vereinzelt auf Datenbanken zugreifen, beispielsweise Behörden, die Informationen anfordern. In einer Reihe von Fällen, beispielsweise in Sicherheitsstandards für Bankinformationen, gehören zu den Eigentümern von Informationen Aktionäre - juristische Personen, die Eigentümer bestimmter Daten sind.

Die unterstützende Infrastruktur umfasst aus Sicht der Grundlagen der Informationssicherheit Computer, Netzwerke, Telekommunikationsgeräte, Räumlichkeiten, Lebenserhaltungssysteme und Personal. Bei der Analyse der Sicherheit müssen alle Elemente der Systeme untersucht werden, wobei dem Personal als Träger der meisten internen Bedrohungen besondere Aufmerksamkeit zu widmen ist.

Um die Informationssicherheit zu verwalten und den Schaden zu bewerten, wird ein Akzeptabilitätsmerkmal verwendet, wodurch der Schaden als akzeptabel oder nicht akzeptabel bestimmt wird. Es ist sinnvoll, dass jedes Unternehmen eigene Kriterien für die Akzeptanz von Schäden in monetärer Hinsicht oder beispielsweise in Form von akzeptablen Reputationsschäden genehmigt. BEI öffentliche Einrichtungen andere Merkmale können genommen werden, zum Beispiel die Auswirkungen auf den Bewirtschaftungsprozess oder eine Widerspiegelung des Ausmaßes der Schädigung von Leben und Gesundheit der Bürger. Kriterien der Wesentlichkeit, Wichtigkeit und des Wertes von Informationen können sich während des Lebenszyklus des Informationsarrays ändern, daher sollten sie rechtzeitig überprüft werden.

Eine Informationsbedrohung im engeren Sinne ist eine objektive Möglichkeit der Beeinflussung des Schutzgegenstandes, die zu einem Durchsickern, Diebstahl, Offenlegen oder Verbreiten von Informationen führen kann. Im weiteren Sinne umfassen Bedrohungen der Informationssicherheit gezielte Auswirkungen auf Informationen, deren Zweck darin besteht, dem Staat, der Organisation oder dem Einzelnen Schaden zuzufügen. Zu solchen Drohungen zählen beispielsweise Verleumdung, vorsätzliche Falschdarstellung, falsche Werbung.

Drei Hauptfragen des Informationssicherheitskonzepts für jede Organisation

Was schützen?

Welche Arten von Bedrohungen herrschen vor: extern oder intern?

Wie schützen, mit welchen Methoden und Mitteln?

Informationssicherheitssystem

Informationssicherheitssystem für ein Unternehmen - juristische Person umfasst drei Gruppen von Grundkonzepten: Integrität, Verfügbarkeit und Vertraulichkeit. Darunter befinden sich Konzepte mit vielen Merkmalen.

Unter Integrität bezieht sich auf den Widerstand von Datenbanken, anderen Informationsträgern gegen zufällige oder vorsätzliche Zerstörung, unbefugte Änderungen. Das Konzept der Integrität kann wie folgt angesehen werden:

• statisch, ausgedrückt in der Unveränderlichkeit, Authentizität von Informationsobjekten gegenüber solchen Objekten, die gemäß einer bestimmten fachlichen Aufgabe erstellt wurden und die Menge an Informationen enthalten, die Benutzer für ihre Haupttätigkeiten in der erforderlichen Konfiguration und Reihenfolge benötigen;
• dynamisch, was die korrekte Ausführung komplexer Aktionen oder Transaktionen impliziert, die die Sicherheit von Informationen nicht beeinträchtigen.

Um die dynamische Integrität zu kontrollieren, werden spezielle technische Tools verwendet, die den Informationsfluss analysieren, beispielsweise Finanzinformationen, und Fälle von Diebstahl, Vervielfältigung, Umleitung und Umordnung von Nachrichten erkennen. Integrität als Hauptmerkmal ist erforderlich, wenn Entscheidungen auf der Grundlage eingehender oder verfügbarer Informationen getroffen werden, um Maßnahmen zu ergreifen. Bei der Beschreibung von technologischen Prozessen, Programmcodes und in ähnlichen Situationen kann die Verletzung der Befehlsreihenfolge oder der Handlungsabfolge großen Schaden anrichten.

Verfügbarkeit ist eine Eigenschaft, die es autorisierten Personen ermöglicht, auf für sie interessante Daten zuzugreifen oder diese auszutauschen. Das zentrale Erfordernis der Legitimation bzw. Autorisierung von Subjekten ermöglicht es, unterschiedliche Zugriffsebenen zu schaffen. Das Versagen des Systems, Informationen bereitzustellen, wird zu einem Problem für jede Organisation oder Benutzergruppe. Ein Beispiel ist die Nichtverfügbarkeit von Websites öffentlicher Dienste im Falle eines Systemausfalls, der vielen Benutzern die Möglichkeit nimmt, die erforderlichen Dienste oder Informationen zu erhalten.

Vertraulichkeit bedeutet die Eigenschaft von Informationen, diesen Benutzern zur Verfügung zu stehen: Subjekte und Prozesse, für die der Zugriff zunächst erlaubt ist. Die meisten Unternehmen und Organisationen betrachten die Vertraulichkeit als ein Schlüsselelement der Informationssicherheit, aber in der Praxis ist es schwierig, sie vollständig umzusetzen. Nicht alle Daten zu bestehenden Informationsabflusskanälen stehen den Autoren von Informationssicherheitskonzepten zur Verfügung, und viele technische Schutzmittel, darunter auch kryptografische, sind nicht frei käuflich, teilweise ist der Umsatz begrenzt.

Gleiche Eigenschaften der Informationssicherheit haben für Nutzer unterschiedliche Werte, daher die beiden Extremkategorien bei der Entwicklung von Datenschutzkonzepten. Für Unternehmen oder Organisationen, die mit Staatsgeheimnissen zu tun haben, wird die Vertraulichkeit ein Schlüsselparameter sein, für öffentliche Dienste oder Bildungseinrichtungen wird der wichtigste Parameter die Zugänglichkeit sein.

Informationssicherheits-Digest

Schutzgüter in IS-Konzepten

Die Subjektdifferenz erzeugt Differenzen in den Schutzgütern. Hauptgruppen von Schutzobjekten:

• Informationsressourcen aller Art (eine Ressource ist ein materieller Gegenstand: Festplatte, ein anderes Medium, ein Dokument mit Daten und Details, die helfen, es zu identifizieren und einem bestimmten Themenkreis zuzuordnen);
• die Rechte der Bürger, Organisationen und des Staates auf Zugang zu Informationen, die Möglichkeit, diese im Rahmen des Gesetzes zu erhalten; der Zugang kann nur durch regulatorische Rechtsakte beschränkt werden, die Organisation von Barrieren, die die Menschenrechte verletzen, ist inakzeptabel;
• ein System zur Erstellung, Nutzung und Verteilung von Daten (Systeme und Technologien, Archive, Bibliotheken, regulatorische Dokumente);
• ein System zur Bildung des öffentlichen Bewusstseins (Medien, Internetressourcen, soziale Einrichtungen, Bildungseinrichtungen).

Jedes Objekt beinhaltet ein spezielles Maßnahmensystem zum Schutz vor Bedrohungen der Informationssicherheit und der öffentlichen Ordnung. Die Gewährleistung der Informationssicherheit sollte in jedem Fall auf einem systematischen Ansatz beruhen, der die Besonderheiten des Objekts berücksichtigt.

Kategorien und Medien

Das russische Rechtssystem, die Strafverfolgungspraxis und etablierte soziale Beziehungen klassifizieren Informationen nach Zugänglichkeitskriterien. Damit können Sie die wesentlichen Parameter klären, die zur Gewährleistung der Informationssicherheit notwendig sind:

• Informationen, deren Zugang aufgrund gesetzlicher Vorschriften beschränkt ist (Staatsgeheimnis, Geschäftsgeheimnis, personenbezogene Daten);
• öffentlich zugängliche Informationen;
• öffentlich verfügbare Informationen, die unter bestimmten Bedingungen bereitgestellt werden: kostenpflichtige Informationen oder Daten, für die der Zugriff erforderlich ist, z. B. eine Bibliothekskarte;
• gefährliche, schädliche, falsche und andere Arten von Informationen, deren Umlauf und Verbreitung entweder durch gesetzliche Anforderungen oder Unternehmensstandards eingeschränkt ist.

Informationen aus der ersten Gruppe haben zwei Schutzmodi. Staatsgeheimnis, handelt es sich laut Gesetz um staatlich geschützte Informationen, deren freier Umlauf die Sicherheit des Landes beeinträchtigen kann. Dies sind Daten im Bereich des Militärs, der Außenpolitik, des Geheimdienstes, der Spionageabwehr und der wirtschaftlichen Aktivitäten des Staates. Eigentümer dieser Datengruppe ist direkt der Staat. Zu Maßnahmen zum Schutz von Staatsgeheimnissen befugte Stellen sind das Bundesministerium der Verteidigung, der Bundessicherheitsdienst (FSB), der Auslandsnachrichtendienst, Bundesdienst für die technische und Exportkontrolle (FSTEC).

Vertrauliche Informationen- ein vielschichtigerer Regulierungsgegenstand. Die Liste der Informationen, die vertrauliche Informationen darstellen können, ist im Präsidialdekret Nr. 188 „Über die Genehmigung der Liste vertraulicher Informationen“ enthalten. Dies sind personenbezogene Daten; Geheimhaltung der Ermittlungen und Gerichtsverfahren; Dienstgeheimnis; Berufsgeheimnis (Arzt, Notar, Rechtsanwalt); Geschäftsgeheimnis; Informationen über Erfindungen und Gebrauchsmuster; Informationen, die in den Personalakten von Verurteilten enthalten sind, sowie Informationen über die Vollstreckung gerichtlicher Handlungen.

Personenbezogene Daten existieren im offenen und vertraulichen Modus. Der Teil der personenbezogenen Daten, der für alle Benutzer offen und zugänglich ist, umfasst Vorname, Nachname, Vatersname. Gemäß dem Bundesgesetz 152 „Über personenbezogene Daten“ haben personenbezogene Datensubjekte das Recht:

• zur informationellen Selbstbestimmung;
• auf personenbezogene Daten zuzugreifen und Änderungen daran vorzunehmen;
• personenbezogene Daten und den Zugriff darauf zu sperren;
• Rechtsmittel gegen rechtswidrige Handlungen Dritter einzulegen, die in Bezug auf personenbezogene Daten begangen wurden;
• auf Schadensersatz.

Das Recht auf ist in den Vorschriften über staatliche Stellen, Bundesgesetze, Lizenzen für die Arbeit mit personenbezogenen Daten, die von Roskomnadzor oder FSTEC ausgestellt wurden, verankert. Unternehmen, die beruflich mit personenbezogenen Daten einer Vielzahl von Personen arbeiten, beispielsweise Telekommunikationsbetreiber, müssen sich in das von Roskomnadzor geführte Register eintragen.

Ein eigener Gegenstand in Theorie und Praxis der Informationssicherheit sind Informationsträger, auf die offen und verschlossen zugegriffen werden kann. Bei der Entwicklung des Konzepts der Informationssicherheit werden Schutzmethoden je nach Art der Medien ausgewählt. Hauptinformationsträger:

• Print- und elektronische Medien, soziale Netzwerke, andere Ressourcen im Internet;
• Mitarbeiter der Organisation, die aufgrund ihrer Freundschaften, Familie und beruflichen Beziehungen Zugang zu Informationen haben;
• Kommunikationsmittel, die Informationen übertragen oder speichern: Telefone, automatische Telefonzentralen, andere Telekommunikationsgeräte;
• Dokumente aller Art: persönliche, offizielle, staatliche;
• Software als Einzelplatz Informationsobjekt, insbesondere wenn seine Version speziell für ein bestimmtes Unternehmen fertiggestellt wurde;
• elektronische Speichermedien, die Daten automatisch verarbeiten.

Zur Entwicklung von Informationssicherheitskonzepten werden Inüblicherweise in regulatorische (informelle) und technische (formelle) Tools unterteilt.

Informelle Schutzmittel sind Dokumente, Regeln, Ereignisse, formelle sind spezielle technische Mittel und Software. Die Abgrenzung hilft, die Verantwortungsbereiche beim Aufbau von Informationssicherheitssystemen zu verteilen: Beim allgemeinen Schutzmanagement setzen administrative Mitarbeiter regulatorische Verfahren um, IT-Spezialisten bzw. technische.

Die Grundlagen der Informationssicherheit implizieren die Gewaltenteilung nicht nur in Bezug auf die Nutzung von Informationen, sondern auch in Bezug auf die Arbeit mit ihrem Schutz. Diese Gewaltenteilung erfordert mehrere Kontrollebenen.

Formelle Abhilfe

Eine breite Palette technischer Mittel zum Schutz der Informationssicherheit umfasst:

Physische Schutzmittel. Dies sind mechanische, elektrische und elektronische Mechanismen, die unabhängig von Informationssystemen arbeiten und Zugangsbarrieren zu ihnen schaffen. Schlösser, einschließlich elektronischer, Bildschirme und Jalousien, sollen Hindernisse für den Kontakt destabilisierender Faktoren mit Systemen schaffen. Die Gruppe wird ergänzt durch Sicherheitssysteme, zum Beispiel Videokameras, Videorecorder, Sensoren, die Bewegungen oder einen Überschuss an elektromagnetischer Strahlung in dem Bereich erkennen, in dem sich technische Mittel zum Entfernen von Informationen, eingebettete Geräte befinden.

Hardware-Schutz. Dies sind elektrische, elektronische, optische, Laser- und andere Geräte, die in Informations- und Telekommunikationssysteme eingebaut sind. Vor der Einführung von Hardware in Informationssysteme muss die Kompatibilität überprüft werden.

Software - Dies sind einfache und systemische, komplexe Programme, die zur Lösung bestimmter und komplexer Aufgaben im Zusammenhang mit der Bereitstellung von Informationssicherheit entwickelt wurden. Ein Beispiel Integrierte Lösungen dienen und: Erstere dienen dazu, Lecks zu verhindern, Informationen neu zu formatieren und Informationsflüsse umzuleiten, Letztere - bieten Schutz vor Vorfällen im Bereich der Informationssicherheit. Softwaretools beanspruchen die Leistung von Hardwaregeräten, und bei der Installation müssen zusätzliche Reserven bereitgestellt werden.

kann 30 Tage kostenlos getestet werden. Vor der Installation des Systems führen die Techniker von SearchInform ein technisches Audit im Unternehmen des Kunden durch.

Zu bestimmte Mittel Die Informationssicherheit umfasst verschiedene kryptografische Algorithmen, mit denen Sie Informationen auf der Festplatte verschlüsseln und über externe Kommunikationskanäle umleiten können. Die Transformation von Informationen kann mit Hilfe von Software- und Hardwaremethoden erfolgen, die in Unternehmensinformationssystemen arbeiten.

Alle Mittel, die die Sicherheit von Informationen gewährleisten, sollten nach einer vorläufigen Bewertung des Informationswerts und einem Vergleich mit den Kosten der für den Schutz aufgewendeten Ressourcen gemeinsam eingesetzt werden. Daher sollten bereits in der Phase der Systementwicklung Vorschläge für die Mittelverwendung formuliert und auf der für die Budgetgenehmigung zuständigen Leitungsebene genehmigt werden.

Um die Sicherheit zu gewährleisten, ist es notwendig, alle modernen Entwicklungen, Software- und Hardware-Schutztools, Bedrohungen zu überwachen und rechtzeitig Änderungen an Ihren eigenen Schutzsystemen gegen unbefugten Zugriff vorzunehmen. Nur die Angemessenheit und zeitnahe Reaktion auf Bedrohungen trägt dazu bei, ein hohes Maß an Vertraulichkeit in der Unternehmensarbeit zu erreichen.

Die erste Version wurde 2018 veröffentlicht. Dieses einzigartige Programm erstellt psychologische Porträts von Mitarbeitern und verteilt sie auf Risikogruppen. Dieser Ansatz zur Gewährleistung der Informationssicherheit ermöglicht es Ihnen, mögliche Vorfälle vorherzusehen und im Voraus Maßnahmen zu ergreifen.

Informelle Abhilfen

Informelle Rechtsbehelfe werden in normative, administrative und moralische und ethische Rechtsbehelfe eingeteilt. Auf der ersten Schutzebene gibt es Regulierungsinstrumente, die die Informationssicherheit als Prozess in den Aktivitäten der Organisation regulieren.

• Regulatorische Mittel

In der weltweiten Praxis orientieren sie sich bei der Entwicklung von Regulierungsinstrumenten an Informationssicherheitsstandards, der wichtigste ist ISO / IEC 27000. Der Standard wurde von zwei Organisationen erstellt:

• ISO - Internationale Kommission für Normung, die die meisten international anerkannten Methoden zur Zertifizierung der Qualität von Produktions- und Managementprozessen entwickelt und genehmigt;
• IEC - die Internationale Energiekommission, die ihr Verständnis von Informationssicherheitssystemen, Mitteln und Methoden zu ihrer Bereitstellung in den Standard eingebracht hat

Die aktuelle Version der ISO/IEC 27000-2016 bietet fertige Standards und erprobte Methodiken, die für die Umsetzung der Informationssicherheit notwendig sind. Die Grundlage der Informationssicherheit liegt laut den Methodenautoren in der systematischen und konsequenten Umsetzung aller Schritte von der Entwicklung bis zur Nachkontrolle.

Um ein Zertifikat zu erhalten, das die Einhaltung von Informationssicherheitsstandards bestätigt, ist es notwendig, alle empfohlenen Praktiken vollständig umzusetzen. Wenn es nicht notwendig ist, ein Zertifikat zu erhalten, ist es erlaubt, eines davon zu nehmen frühe Versionen Standard, beginnend mit ISO / IEC 27000-2002, oder russischen GOSTs, die beratender Natur sind.

Basierend auf den Ergebnissen der Normstudie werden zwei Dokumente entwickelt, die sich auf die Informationssicherheit beziehen. Das wichtigste, aber weniger formell, ist das Konzept der Unternehmensinformationssicherheit, das die Maßnahmen und Methoden zur Implementierung eines Informationssicherheitssystems für Informationssysteme einer Organisation bestimmt. Das zweite Dokument, das alle Mitarbeiter des Unternehmens einhalten müssen, ist die Verordnung zur Informationssicherheit, die auf Ebene des Verwaltungsrats oder des Exekutivorgans genehmigt wird.

Neben der Position auf Unternehmensebene, Listen mit Informationen, die ein Geschäftsgeheimnis darstellen, Anlagen zu Arbeitsverträge, Festlegung der Verantwortung für die Offenlegung vertraulicher Daten, andere Standards und Methoden. Interne Regeln und Vorschriften sollten Umsetzungsmechanismen und Verantwortlichkeiten enthalten. In den meisten Fällen sind die Maßnahmen disziplinarischer Natur, und der Übertreter muss darauf vorbereitet sein, dass die Verletzung des Geschäftsgeheimnisregimes mit erheblichen Sanktionen bis hin zur Entlassung einhergeht.

• Organisatorische und administrative Maßnahmen

Im Rahmen der administrativen Tätigkeiten zum Schutz der Informationssicherheit gibt es Raum für Kreativität für Sicherheitsbeauftragte. Dies sind Architektur- und Planungslösungen, mit denen Sie Besprechungsräume und Chefbüros vor Abhören schützen und verschiedene Zugriffsebenen auf Informationen einrichten können. Wichtige organisatorische Maßnahmen werden die Zertifizierung der Aktivitäten des Unternehmens gemäß den ISO/IEC 27000-Standards, die Zertifizierung einzelner Hardware- und Softwaresysteme, die Zertifizierung von Subjekten und Objekten zur Einhaltung der erforderlichen Sicherheitsanforderungen und die Erlangung von Lizenzen sein, die für die Arbeit mit geschützten Informationsbereichen erforderlich sind .

Im Hinblick auf die Regulierung der Aktivitäten des Personals wird es wichtig sein, ein externes Antragssystem für den Zugang zum Internet zu entwerfen Email, andere Ressourcen. Ein separates Element wird der elektronische Empfang sein Digitale Unterschrift um die Sicherheit von übermittelten Finanz- und anderen Informationen zu erhöhen Regierungsstellenüber E-Mail-Kanäle.

• Moralische und ethische Maßnahmen

Moralische und ethische Maßstäbe bestimmen die persönliche Einstellung einer Person zu vertraulichen oder nur begrenzt im Umlauf befindlichen Informationen. Die Erhöhung des Wissensstandes der Mitarbeiter über die Auswirkungen von Bedrohungen auf die Aktivitäten des Unternehmens wirkt sich auf den Grad des Bewusstseins und der Verantwortung der Mitarbeiter aus. Zur Bekämpfung von Verstößen gegen das Informationsregime, darunter beispielsweise die Weitergabe von Passwörtern, der fahrlässige Umgang mit Medien, die Verbreitung vertraulicher Daten in privaten Gesprächen, ist es erforderlich, das persönliche Gewissen des Mitarbeiters zu betonen. Es wäre sinnvoll, Personalkennzahlen festzulegen, die von der Einstellung zum Informationssicherheitssystem des Unternehmens abhängen.