اجرای اقدامات برای تضمین امنیت اطلاعات. مبانی امنیت اطلاعات تهدید محرمانه بودن منابع اطلاعاتی

که در زندگی روزمرهاغلب امنیت اطلاعات (IS) تنها به عنوان نیاز به مبارزه با افشای اسرار و انتشار اطلاعات نادرست و خصمانه درک می شود. با این حال، این درک بسیار محدود است. تعاریف مختلفی وجود دارد امنیت اطلاعات، که در آن ویژگی های فردی آن برجسته شده است.

در قانون فدرال "در مورد اطلاعات، اطلاعات و حفاظت از اطلاعات" که نامعتبر شده است، تحت امنیت اطلاعاتدرک کرد وضعیت امنیت محیط اطلاعاتی جامعه، تضمین شکل گیری و توسعه آن به نفع شهروندان، سازمان ها و دولت.

منابع دیگر تعاریف زیر را بیان می کنند:

امنیت اطلاعات- این

1) مجموعه ای از اقدامات سازمانی و فنی که یکپارچگی داده ها و محرمانه بودن اطلاعات را به همراه در دسترس بودن آن برای همه کاربران مجاز تضمین می کند.;

2) نشانگر وضعیت امنیتی سیستم اطلاعاتی؛

3) حالتامنیت محیط اطلاعاتی;

4) دولتی که امنیت منابع و کانال های اطلاعاتی را تضمین می کند،و دسترسی به منابع اطلاعاتی

V. I. Yarochkin معتقد است که امنیت اطلاعاتوجود دارد وضعیت امنیت منابع اطلاعاتی، فناوری شکل گیری و استفاده از آنها و همچنین حقوق افراد فعالیت اطلاعاتی.

V. Betelin و V. Galatenko که معتقدند یک تعریف نسبتاً کامل ارائه شده است

در این آموزش به تعریف فوق تکیه خواهیم کرد.

امنیت اطلاعات به حفاظت از اطلاعات و امنیت رایانه محدود نمی شود. امنیت اطلاعات باید از امنیت اطلاعات متمایز شود.

گاهی اوقات حفاظت از اطلاعات به عنوان ایجاد مجموعه ای سازمان یافته از ابزارها، روش ها و اقدامات طراحی شده برای جلوگیری از تحریف، تخریب یا استفاده غیرمجاز از اطلاعات محافظت شده در رایانه ها و سیستم های محاسباتی درک می شود.

اقدامات برای تضمین امنیت اطلاعات باید در حوزه های مختلف - سیاسی، اقتصادی، دفاعی، و همچنین در سطوح مختلف - ایالتی، منطقه ای، سازمانی و شخصی اجرا شود. بنابراین وظایف امنیت اطلاعات در سطح دولتی با وظایفی که امنیت اطلاعات در سطح سازمانی با آن روبروست متفاوت است.

موضوع روابط اطلاعاتی ممکن است نه تنها از دسترسی غیرمجاز به اطلاعات، بلکه همچنین از خرابی سیستمی که باعث وقفه در کار شده است متحمل خسارت مادی و / یا معنوی شود. امنیت اطلاعات نه تنها به رایانه‌ها، بلکه به زیرساخت‌های پشتیبانی نیز بستگی دارد که شامل سیستم‌های تأمین برق، آب و گرما، تهویه مطبوع، ارتباطات و البته پرسنل تعمیر و نگهداری است. زیرساخت پشتیبان دارای ارزش مستقلی است که نمی توان اهمیت آن را نادیده گرفت.

پس از وقایع 11 سپتامبر 2001، مفهوم "زیرساخت های حیاتی" در قوانین ایالات متحده مطابق با قانون میهن پرستان تعریف شد که به عنوان "مجموعه ای از فیزیکی یا سیستم های مجازیو دارایی هایی با چنان اهمیتی برای ایالات متحده که شکست یا نابودی آنها می تواند عواقب مخربی برای دفاع، اقتصاد، سلامت عمومی و امنیت کشور داشته باشد. مفهوم زیرساخت های حیاتیحوزه های کلیدی اقتصاد و اقتصاد ملی ایالات متحده مانند دفاع ملی، کشاورزی، تولید مواد غذایی، هوانوردی غیرنظامی، حمل و نقل دریایی، بزرگراه ها و پل ها، تونل ها، سدها، خطوط لوله، تامین آب، مراقبت های بهداشتی، خدمات اضطراری، مقامات را پوشش می دهد. تحت کنترل دولت، تولیدات نظامی، سیستم ها و شبکه های اطلاعاتی و مخابراتی، انرژی، حمل و نقل، سیستم های بانکی و مالی، صنایع شیمیایی، خدمات پستی.

از نظر اجتماعی، امنیت اطلاعات شامل مبارزه با "آلودگی" اطلاعات محیط زیست، استفاده از اطلاعات برای اهداف غیرقانونی و غیراخلاقی است.

همچنین، موضوعات تأثیر اطلاعات و در نتیجه امنیت اطلاعات می تواند آگاهی عمومی یا فردی باشد.

در سطح ایالتی، موضوعات امنیت اطلاعات، مقامات اجرایی، مقننه و قضایی هستند. در برخی از بخش ها، نهادهایی به طور خاص درگیر امنیت اطلاعات ایجاد شده اند.

علاوه بر این، موضوعات IB می توانند:

شهروندان و انجمن های عمومی؛

امکانات رسانه های جمعی;

شرکت ها و سازمان ها بدون توجه به شکل مالکیت.

منافعموضوعات IS مرتبط با استفاده سیستم های اطلاعاتیرا می توان به دسته های اصلی زیر تقسیم کرد:

دسترسی- امکان دریافت خدمات اطلاعاتی مورد نیاز در زمان معقول. سیستم های اطلاعاتی برای دریافت خدمات (خدمات) اطلاعاتی خاص ایجاد (اکتسابی) می شوند. اگر به هر دلیلی دریافت این خدمات توسط کاربران غیرممکن شود، این برای همه موضوعات روابط اطلاعاتی مضر است. نقش اصلی دسترسی به ویژه در انواع مختلف سیستم های مدیریتی آشکار می شود: تولید، حمل و نقل و غیره. بنابراین، بدون مخالفت با دسترسی به سایر جنبه ها، دسترسی مهم ترین عنصر امنیت اطلاعات است.

تمامیت- ارتباط و سازگاری اطلاعات، محافظت از آن در برابر تخریب و تغییرات غیرمجاز. یکپارچگی را می توان به استاتیک (که به عنوان تغییرناپذیری اشیاء اطلاعاتی درک می شود) و پویا (مربوط به اجرای صحیح اقدامات پیچیده (معاملات)) تقسیم کرد. تقریباً تمام اسناد نظارتی و تحولات داخلی به یکپارچگی ایستا اشاره می کنند، اگرچه جنبه پویایی آن کم اهمیت نیست. نمونه‌ای از دامنه کنترل‌های یکپارچگی پویا، تجزیه و تحلیل جریانی از پیام‌های مالی به منظور شناسایی سرقت، سفارش مجدد یا تکراری شدن پیام‌های فردی است.

محرمانه بودن- محافظت در برابر دسترسی غیرمجاز محرمانه بودن توسط قوانین، مقررات، سالها تجربه خدمات مربوطه محافظت می شود. محصولات سخت افزاری و نرم افزاری امکان بستن تقریباً تمام کانال های احتمالی نشت اطلاعات را فراهم می کنند.

هدفاقدامات در زمینه امنیت اطلاعات - حفاظت از منافع افراد IS.

وظایف IS:

1. تضمین حق فرد و جامعه در دریافت اطلاعات.

2. ارائه اطلاعات عینی.

3. مبارزه با تهدیدات جنایی در زمینه سیستم های اطلاعاتی و مخابراتی، تروریسم تلفنی، پولشویی و غیره.

4. حفاظت از فرد، سازمان، جامعه و دولت در برابر تهدیدات اطلاعاتی و روانی.

5. شکل گیری تصویر، مبارزه با تهمت، شایعات، اطلاعات نادرست.

نقش امنیت اطلاعات زمانی افزایش می یابد که وضعیت شدیدزمانی که هرگونه گزارش غیر قابل اعتماد می تواند منجر به تشدید وضعیت شود.

معیار IB- تضمین امنیت اطلاعات در برابر نشت، تحریف، از دست دادن یا سایر اشکال استهلاک. فناوری اطلاعات امن باید توانایی جلوگیری یا خنثی کردن تأثیر تهدیدات خارجی و داخلی بر اطلاعات را داشته باشد، حاوی روش‌ها و روش‌های کافی برای حفاظت از آن باشد.

حاشیه نویسی: این سخنرانی به مفاهیم اساسی امنیت اطلاعات می پردازد. آشنایی با قانون فدرال "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات".

GOST " حفاظت از داده ها. اصطلاحات و تعاریف اساسی» این مفهوم را معرفی می کند امنیت اطلاعاتبه عنوان یک وضعیت امنیت اطلاعات، که در آن ارائه می شود محرمانه بودن، در دسترس بودن و یکپارچگی.

• محرمانه بودن- وضعیت اطلاعاتی که در آن دسترسی به آن فقط توسط افراد دارای حق برخورداری از آن انجام می شود.
• تمامیت- وضعیت اطلاعاتی که هیچ تغییری در آن ایجاد نشده است یا این تغییر تنها به عمد توسط افراد دارای حق انجام شده است.
• دسترسی- وضعیت اطلاعاتی که در آن افراد دارای حق دسترسی می توانند بدون مانع از آن استفاده کنند.

تهدیدات امنیت اطلاعات- مجموعه ای از شرایط و عواملی که خطر بالقوه یا واقعی نقض امنیت اطلاعات را ایجاد می کند [ , ]. حمله کنیدتلاش برای اجرای یک تهدید نامیده می شود و کسی که چنین تلاشی می کند - مزاحم. مهاجمان بالقوه نامیده می شوند منابع تهدید.

تهدید نتیجه آن است آسیب پذیری ها یا آسیب پذیری هادر سیستم اطلاعاتی آسیب پذیری ها می توانند به دلایل مختلفی ایجاد شوند، به عنوان مثال، در نتیجه اشتباهات ناخواسته برنامه نویسان هنگام نوشتن برنامه ها.

تهدیدات را می توان بر اساس معیارهای مختلفی طبقه بندی کرد:

• توسط ویژگی های اطلاعات(در دسترس بودن، یکپارچگی، محرمانه بودن)، که در وهله اول تهدیدات علیه آنها انجام می شود.
• توسط مؤلفه های سیستم های اطلاعاتی که تهدیدها به آنها هدف می شود (داده ها، برنامه ها، سخت افزار، زیرساخت های حمایتی);
• با توجه به روش اجرا (اقدامات تصادفی / عمدی، طبیعی / مصنوعی)؛
• بر اساس مکان منبع تهدید (داخل/خارج از IS در نظر گرفته شده).

تضمین امنیت اطلاعات یک کار پیچیده است که نیازمند آن است یک رویکرد پیچیده. سطوح حفاظت اطلاعات زیر وجود دارد:

1. قانونگذاری - قوانین، مقررات و سایر اسناد فدراسیون روسیه و جامعه بین المللی؛
2. اداری - مجموعه ای از اقدامات محلی که توسط مدیریت سازمان انجام می شود.
3. سطح رویه - اقدامات امنیتی اجرا شده توسط مردم؛
4. سطح نرم افزار و سخت افزار- ابزار مستقیم حفاظت از اطلاعات.

سطح قانونگذاری مبنایی برای ایجاد یک سیستم امنیت اطلاعات است، زیرا مفاهیم اساسی را ارائه می دهد موضوعو مجازات مزاحمان احتمالی را تعیین می کند. این سطح نقش هماهنگ کننده و هدایت کننده ایفا می کند و به حفظ نگرش منفی (و تنبیهی) در جامعه نسبت به افرادی که امنیت اطلاعات را نقض می کنند کمک می کند.

1.2. قانون فدرال "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات"

در قوانین روسیه، قانون اساسی در زمینه حفاظت از اطلاعات، قانون فدرال "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات" مورخ 27 ژوئیه 2006، شماره 149-FZ است. بنابراین، مفاهیم اساسی و تصمیمات مندرج در قانون مستلزم بررسی دقیق است.

قانون روابط ناشی از موارد زیر را تنظیم می کند:

• استفاده از حق جستجو، دریافت، انتقال، تولید و انتشار اطلاعات؛
• کاربرد فناوری اطلاعات؛
• تضمین حفاظت از اطلاعات

قانون تعاریف اساسی در زمینه حفاظت از اطلاعات ارائه می کند. در اینجا به برخی از آنها اشاره می کنیم:

• اطلاعات- اطلاعات (پیام ها، داده ها) صرف نظر از شکل ارائه آنها.
• فناوری اطلاعات- فرآیندها، روش‌های جستجو، جمع‌آوری، ذخیره‌سازی، پردازش، ارائه، انتشار اطلاعات و روش‌های اجرای چنین فرآیندها و روش‌هایی.
• سیستم اطلاعات- مجموعه ای از اطلاعات موجود در پایگاه های داده و فناوری های اطلاعاتی و ابزارهای فنی که پردازش آن را تضمین می کند.
• صاحب اطلاعات- شخصی که به طور مستقل اطلاعاتی را ایجاد کرده است یا بر اساس قانون یا توافقنامه، حق اجازه یا محدود کردن دسترسی به اطلاعات تعیین شده توسط هر نشانه را دریافت کرده است.
• اپراتور سیستم اطلاعات- یک شهروند یا شخص حقوقی که درگیر عملیات یک سیستم اطلاعاتی، از جمله پردازش اطلاعات موجود در پایگاه های داده آن است.
• محرمانه بودن اطلاعات- یک الزام اجباری برای شخصی که به اطلاعات خاصی دسترسی پیدا کرده است که بدون رضایت مالک آن اطلاعات را به اشخاص ثالث منتقل نکند.

ماده 4 قانون اصول را تدوین می کند مقررات قانونیروابط در زمینه اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات:

1. آزادی جستجو، دریافت، انتقال، تولید و توزیع اطلاعات به هر طریق قانونی؛
2. ایجاد محدودیت فقط برای دسترسی به اطلاعات قوانین فدرال;
3. باز بودن اطلاعات در مورد فعالیت های ارگان ها و ارگان های دولتی دولت محلیو دسترسی آزاد به چنین اطلاعاتی، مگر در مواردی که توسط قوانین فدرال تعیین شده است.
4. برابری زبان های مردم فدراسیون روسیه در ایجاد سیستم های اطلاعاتی و عملکرد آنها.
5. تضمین امنیت فدراسیون روسیه در ایجاد سیستم های اطلاعاتی، عملکرد آنها و حفاظت از اطلاعات موجود در آنها.
6. قابلیت اطمینان اطلاعات و به موقع بودن ارائه آن؛
7. حریم خصوصی، غیرقابل قبول بودن جمع آوری، ذخیره، استفاده و انتشار اطلاعات مربوط به زندگی خصوصی یک شخص بدون رضایت او؛
8. غیرقابل قبول بودن ایجاد مزیت استفاده از برخی فناوری های اطلاعاتی نسبت به سایرین توسط قوانین قانونی نظارتی، مگر اینکه استفاده اجباری از برخی فناوری های اطلاعاتی برای ایجاد و بهره برداری از سیستم های اطلاعات ایالتی توسط قوانین فدرال ایجاد نشده باشد.

تمام اطلاعات به تقسیم می شود عمومیو محدود است دسترسی داشته باشید. اطلاعات در دسترس عموم شامل اطلاعات عمومی شناخته شده و سایر اطلاعات است که دسترسی به آنها محدود نیست. قانون اطلاعاتی را تعریف می کند که دسترسی به آنها را نمی توان محدود کرد، به عنوان مثال، اطلاعات مربوط به آن محیطیا فعالیت های دولتی همچنین مقرر شده است که محدودیت دسترسیاطلاعات توسط قوانین فدرال به منظور حفاظت از مبانی نظم قانون اساسی، اخلاق، سلامت، حقوق و منافع مشروع سایر افراد، برای تضمین دفاع از کشور و امنیت ایالت ایجاد می شود. حفظ محرمانه بودن اطلاعات، که دسترسی به آن توسط قوانین فدرال محدود شده است، الزامی است.

الزام یک شهروند (فرد) برای ارائه اطلاعات در مورد زندگی خصوصی خود، از جمله اطلاعاتی که یک راز شخصی یا خانوادگی را تشکیل می دهد، و دریافت چنین اطلاعاتی بر خلاف میل شهروند (فرد)، ممنوع است، مگر اینکه در قوانین فدرال طور دیگری مقرر شده باشد.

1. اطلاعات آزادانه توزیع می شود.
2. اطلاعات ارائه شده با توافق افراد شرکت کننده در رابطه مربوطه؛
3. اطلاعاتی که مطابق با قوانین فدرال مشمول ارائه یا انتشار است.
4. اطلاعاتی که انتشار آن در فدراسیون روسیه محدود یا ممنوع است.

قانون معادل پیام الکترونیکی امضا شده با امضای دیجیتال الکترونیکی یا آنالوگ دیگر امضای دست‌نویس و سندی که با دست خود شخص امضا شده است را تعیین می‌کند.

تعریف زیر از امنیت اطلاعات ارائه شده است - اتخاذ اقدامات قانونی، سازمانی و فنی با هدف:

1. حصول اطمینان از محافظت از اطلاعات در برابر دسترسی غیرمجاز، تخریب، اصلاح، مسدود کردن، کپی کردن، ارائه، توزیع و همچنین سایر اقدامات غیرقانونی در رابطه با چنین اطلاعاتی؛
2. رعایت محرمانه بودن اطلاعات دسترسی محدود؛
3. استفاده از حق دسترسی به اطلاعات

صاحب اطلاعات، اپراتور سیستم اطلاعات، در مواردی که توسط قانون فدراسیون روسیه تعیین شده است، موظف است اطمینان حاصل کند:

1. جلوگیری از دسترسی غیرمجاز به اطلاعات و (یا) انتقال آن به افرادی که حق دسترسی به اطلاعات را ندارند.
2. تشخیص به موقع حقایق دسترسی غیرمجاز به اطلاعات؛
3. جلوگیری از احتمال عواقب نامطلوب نقض نظم دسترسی به اطلاعات؛
4. جلوگیری از تأثیر بر وسایل فنی پردازش اطلاعات، که در نتیجه عملکرد آنها مختل می شود.
5. امکان بازیابی فوری اطلاعات تغییر یافته یا از بین رفته به دلیل دسترسی غیرمجاز به آن؛
6. کنترل مداوم بر تضمین سطح امنیت اطلاعات.

بنابراین، قانون فدرال "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات" مبنای قانونی را برای تبادل اطلاعات در فدراسیون روسیه ایجاد می کند و حقوق و تعهدات افراد آن را تعیین می کند.

سیاست امنیت اطلاعات

1. مقررات عمومی

این خط مشی امنیت اطلاعات ( به علاوه - خط مشی ) سیستمی از دیدگاه ها را در مورد مشکل تضمین امنیت اطلاعات تعریف می کند و ارائه سیستماتیک اهداف و مقاصد و همچنین جنبه های سازمانی، فناوری و رویه ای تضمین امنیت اطلاعات اشیاء زیرساخت اطلاعاتی، از جمله مجموعه ای از مراکز اطلاع رسانی، بانک های اطلاعاتی و سیستم های ارتباطی سازمان. این سیاست با در نظر گرفتن الزامات قانون فعلی فدراسیون روسیه و چشم انداز فوری توسعه امکانات زیرساخت اطلاعاتی و همچنین ویژگی ها و قابلیت های روش های سازمانی و فنی مدرن و حفاظت از اطلاعات سخت افزاری و نرم افزاری تدوین شده است.

مفاد و الزامات اصلی خط مشی برای کلیه بخشهای ساختاری سازمان اعمال می شود.

سیاست است مبنای روش شناختیبرای تشکیل و اجرای یک سیاست واحد در زمینه تضمین امنیت اطلاعات اشیاء زیرساخت اطلاعاتی، اتخاذ تصمیمات مدیریتی توافق شده و توسعه اقدامات عملی با هدف تضمین امنیت اطلاعات، هماهنگ کردن فعالیت های بخش های ساختاری سازمان هنگام کار بر روی ایجاد، توسعه و بهره برداری از اشیاء زیرساخت اطلاعاتی با رعایت الزامات تضمین امنیت اطلاعات.

این سیاست مسائل مربوط به سازماندهی حفاظت از اماکن و تضمین ایمنی و یکپارچگی فیزیکی اجزای زیرساخت اطلاعاتی، حفاظت در برابر بلایای طبیعی و خرابی در سیستم تامین برق را تنظیم نمی کند، با این حال، شامل ایجاد یک سیستم امنیت اطلاعات بر روی همان است. مبانی مفهومی به عنوان سیستم امنیتی سازمان به عنوان یک کل.

اجرای سیاست توسط دستورالعمل ها، مقررات، رویه ها، دستورالعمل های مربوطه تضمین می شود. دستورالعمل هاو سیستم ارزیابی امنیت اطلاعات در سازمان.

اصطلاحات و تعاریف زیر در خط مشی استفاده می شود:

سیستم خودکار ( AC) — سیستمی متشکل از پرسنل و مجموعه ای از وسایل برای خودکارسازی فعالیت های خود، پیاده سازی فناوری اطلاعات برای انجام وظایف تعیین شده.

زیرساخت های اطلاعاتی- سیستمی از ساختارهای سازمانی که عملکرد و توسعه فضای اطلاعاتی و ابزارهای تعامل اطلاعاتی را تضمین می کند. زیرساخت اطلاعاتی شامل مجموعه ای از مراکز اطلاعاتی، بانک های داده و دانش، سیستم های ارتباطی است و امکان دسترسی مصرف کنندگان به منابع اطلاعاتی را فراهم می کند.

منابع اطلاعاتی ( IR) - اینها اسناد جداگانه و آرایه های جداگانه اسناد، اسناد و آرایه های اسناد در سیستم های اطلاعاتی هستند ( کتابخانه ها، آرشیوها، مجموعه ها، پایگاه های اطلاعاتی و سایر سیستم های اطلاعاتی).

سیستم اطلاعات (IP) - سیستم پردازش اطلاعات و منابع سازمانی مرتبط ( انسانی، فنی، مالی و غیره) که اطلاعات را ارائه و منتشر می کند.

ایمنی -وضعیت حمایت از منافع ( اهداف) سازمان های در معرض تهدید.

امنیت اطلاعات ( است) — امنیت مرتبط با تهدیدات در حوزه اطلاعات. امنیت با ارائه مجموعه ای از ویژگی های IS - در دسترس بودن، یکپارچگی، محرمانه بودن دارایی های اطلاعاتی به دست می آید. اولویت دارایی های IS با ارزش این دارایی ها برای منافع تعیین می شود ( اهداف) سازمان های.

در دسترس بودن دارایی های اطلاعاتی -ویژگی امنیت اطلاعات یک سازمان، که شامل این واقعیت است که دارایی های اطلاعاتی به یک کاربر مجاز، به علاوه، به شکل و مکان مورد نیاز کاربر و در زمانی که او به آنها نیاز دارد، ارائه می شود.

یکپارچگی دارایی های اطلاعاتی -ویژگی امنیت اطلاعات یک سازمان برای بدون تغییر باقی ماندن یا اصلاح تغییرات شناسایی شده در دارایی های اطلاعاتی آن.

محرمانه بودن دارایی های اطلاعاتی -دارایی IS سازمان، که شامل این واقعیت است که پردازش، ذخیره و انتقال دارایی های اطلاعاتی به گونه ای انجام می شود که دارایی های اطلاعاتی فقط در دسترس کاربران مجاز، اشیاء یا فرآیندهای سیستم باشد.

سیستم امنیت اطلاعات ( NIB) — مجموعه ای از اقدامات حفاظتی، تجهیزات حفاظتی و فرآیندهای عملکرد آنها، از جمله منابع و اداری ( سازمانی) تدارک.

دسترسی غیرمجاز- دسترسی به اطلاعات بر خلاف اختیارات رسمی کارمند، دسترسی به اطلاعات بسته شده برای دسترسی عمومی توسط افرادی که مجوز دسترسی به این اطلاعات را ندارند یا دسترسی به اطلاعات توسط شخصی که حق دسترسی به این اطلاعات را در یک مبلغی بیش از آنچه برای انجام وظایف رسمی لازم است.

2. الزامات عمومی برای تضمین امنیت اطلاعات

الزامات امنیت اطلاعات به علاوه -است ) تعیین محتوا و اهداف فعالیت های سازمان در چارچوب فرآیندهای مدیریت امنیت اطلاعات.

این الزامات برای حوزه های زیر تدوین شده است:

• تعیین و توزیع نقش ها و اعتماد به کارکنان؛
• مراحل چرخه زندگیامکانات زیرساخت اطلاعاتی؛
• محافظت در برابر دسترسی غیرمجاز ( به علاوه - NSD ) کنترل دسترسی و ثبت نام در سیستم های خودکار، در تجهیزات مخابراتی و اتوماتیک مبادلات تلفنیو غیره.؛
• محافظت در برابر ویروس؛
• استفاده از منابع اینترنتی؛
• استفاده از ابزارهای حفاظت رمزنگاری اطلاعات؛
• حفاظت از داده های شخصی

3. اشیایی که باید محافظت شوند

اجسام اصلی که باید محافظت شوند عبارتند از:

• منابع اطلاعاتیارائه شده در قالب اسناد و آرایه های اطلاعاتی، صرف نظر از شکل و نوع ارائه آنها، از جمله، اطلاعات محرمانه و باز.
• سیستم تشکیل، توزیع و استفاده از منابع اطلاعاتیکتابخانه‌ها، آرشیوها، پایگاه‌های اطلاعاتی و بانک‌های داده، فناوری اطلاعات، مقررات و رویه‌های جمع‌آوری، پردازش، ذخیره و انتقال اطلاعات، پرسنل فنی و نگهداری.
• زیرساخت اطلاعاتیاز جمله سیستم‌های پردازش و تجزیه و تحلیل اطلاعات، سخت‌افزار و نرم‌افزار پردازش، انتقال و نمایش آن، از جمله کانال‌های تبادل اطلاعات و مخابرات، سیستم‌ها و وسایل حفاظت از اطلاعات، امکانات و مکان‌هایی که اجزای زیرساخت اطلاعاتی در آن قرار دارند.

3.1. ویژگی های سیستم خودکار

AS اطلاعات دسته های مختلف را منتشر می کند. اطلاعات محافظت شده را می توان بین کاربران مختلف از زیرشبکه های مختلف یک شبکه شرکتی به اشتراک گذاشت.

تعدادی از زیرسیستم های AS برای تعامل با خارجی ( دولتی و تجاری، روسی و خارجی) سازمان ها از طریق کانال های ارتباطی تلفنی و اختصاصی با استفاده از ابزارهای ویژه انتقال اطلاعات.

مجموعه ابزارهای فنی AU شامل ابزارهای پردازش داده ها ( ایستگاه های کاری، سرورهای پایگاه داده، سرورهای پست الکترونیکیو غیرهابزار تبادل داده در شبکه های کامپیوتری محلی با قابلیت دسترسی به شبکه های جهانی ( کابل کشی، پل، دروازه، مودم و غیره، و همچنین امکانات ذخیره سازی ( شامل بایگانی کردن) داده ها.

ویژگی های اصلی عملکرد AS عبارتند از:

• نیاز به ترکیب تعداد زیادی از ابزارهای فنی مختلف پردازش و انتقال اطلاعات در یک سیستم واحد.
• طیف گسترده ای از وظایف برای حل و انواع داده های پردازش شده؛
• انجمن در پایگاه های مشترکاطلاعات داده ها برای اهداف مختلف، وابستگی و سطوح محرمانه.
• در دسترس بودن کانال ها برای اتصال به شبکه های خارجی؛
• تداوم عملیات؛
• وجود زیرسیستم هایی با الزامات مختلف برای سطوح امنیتی، به صورت فیزیکی در یک شبکه واحد.
• دسته بندی های مختلف کاربران و پرسنل خدمات.

به طور کلی، یک AS واحد مجموعه ای از محلی است شبکه های کامپیوتربخش هایی که از طریق مخابرات به هم متصل شده اند. هر شبکه محلی تعدادی از زیرسیستم های خودکار متصل و متقابل را متحد می کند. حوزه های تکنولوژیکی) که حل مشکلات را توسط بخشهای ساختاری فردی سازمان تضمین می کند.

اشیاء اطلاعاتی عبارتند از:

• تجهیزات تکنولوژیکی ( امکانات علوم کامپیوتر، تجهیزات شبکه و کابل);
• منابع اطلاعاتی؛
• نرم افزار ( سیستم های عامل، سیستم های مدیریت پایگاه داده، سیستم گسترده و کاربرد نرم افزار );
• سیستم های ارتباطی و انتقال داده های خودکار (امکانات مخابراتی)؛
• کانال های اتصال؛
• محل خدمات

3.2. انواع دارایی های اطلاعاتی سازمانی که باید محافظت شوند

در زیرسیستم های AS سازمان، اطلاعات سطوح مختلف محرمانه در گردش است که حاوی اطلاعات توزیع محدود است. اطلاعات رسمی، تجاری، شخصی) و اطلاعات عمومی.

جریان سند AS شامل:

• دستور پرداخت و اسناد مالی؛
• گزارش ها ( مالی، تحلیلی و غیره);
• اطلاعات مربوط به حساب های شخصی؛
• اطلاعات شخصی؛
• اطلاعات محدود دیگر

کلیه اطلاعاتی که در AS در گردش است و در انواع دارایی های اطلاعاتی زیر موجود است، تحت حمایت قرار می گیرند:

• اطلاعاتی که یک راز تجاری و رسمی را تشکیل می دهد، دسترسی به آن توسط سازمان به عنوان صاحب اطلاعات، مطابق با مفاد قانون فدرال محدود شده است. درباره اطلاعات، اطلاعات و حفاظت از اطلاعات «حقوق و قانون فدرال» درباره اسرار تجاری »;
• داده های شخصی، دسترسی به آنها مطابق با قانون فدرال محدود شده است. درباره داده های شخصی »;
• اطلاعات باز، از نظر اطمینان از یکپارچگی و در دسترس بودن اطلاعات.

3.3. دسته بندی کاربران سیستم خودکار

این سازمان دارای تعداد زیادی دسته از کاربران و پرسنل تعمیر و نگهداری است که برای دسترسی به منابع اطلاعاتی AU باید قدرت های متفاوتی داشته باشند:

• کاربران عادی ( کاربران نهایی، کارکنان واحدهای سازمانی);
• مدیران سرور ( سرورهای فایل، سرورهای برنامه، سرورهای پایگاه دادهشبکه های کامپیوتری محلی و سیستم های کاربردی؛
• برنامه نویسان سیستم ( مسئول نگهداری نرم افزارهای رایج) در سرورها و ایستگاه های کاری کاربر؛
• توسعه دهندگان نرم افزار کاربردی؛
• متخصصان تعمیر و نگهداری وسایل فنی فناوری رایانه؛
• مدیران امنیت اطلاعات و غیره

3.4. آسیب پذیری اجزای اصلی سیستم خودکار

آسیب پذیرترین اجزای AS ایستگاه های کاری شبکه هستند - ایستگاه های کاری ( به علاوه - ایستگاه کاری ) کارگران. تلاش برای دسترسی غیرمجاز به اطلاعات یا تلاش برای اقدامات غیرمجاز می تواند از ایستگاه کاری کارکنان انجام شود. ناخواسته و عمدی) در یک شبکه کامپیوتری. نقض پیکربندی سخت افزار و نرم افزار ایستگاه های کاری و تداخل غیرقانونی در فرآیندهای عملکرد آنها می تواند منجر به مسدود شدن اطلاعات، عدم امکان حل به موقع وظایف مهم و خرابی ایستگاه های کاری و زیرسیستم های فردی شود.

عناصر شبکه مانند سرورهای فایل اختصاصی، سرورهای پایگاه داده و سرورهای برنامه نیاز به محافظت ویژه دارند. کاستی‌های پروتکل‌های تبادل و ابزارهای کنترل دسترسی به منابع سرور می‌تواند امکان دسترسی غیرمجاز به اطلاعات محافظت شده را فراهم کند و بر عملکرد زیرسیستم‌های مختلف تأثیر بگذارد. در عین حال، می توان به عنوان یک کنترل از راه دور ( از ایستگاه های شبکه) و مستقیم ( از کنسول سرور) تأثیر بر عملکرد سرورها و حفاظت از آنها.

پل ها، دروازه ها، هاب ها، روترها، سوئیچ ها و سایر دستگاه های شبکه، کانال ها و ارتباطات نیز باید محافظت شوند. آنها می توانند توسط متجاوزان برای بازسازی و اختلال در عملکرد شبکه، رهگیری اطلاعات ارسالی، تجزیه و تحلیل ترافیک و اجرای روش های دیگر مداخله در فرآیندهای تبادل داده استفاده شوند.

4. اصول اساسی تضمین امنیت اطلاعات

4.1. اصول کلی عملیات ایمن

• به موقع بودن تشخیص مشکل سازمان باید به سرعت مشکلاتی را که به طور بالقوه می تواند بر اهداف تجاری آن تأثیر بگذارد، شناسایی کند.
• پیش بینی توسعه مشکلات سازمان باید علیت را شناسایی کند مشکلات احتمالیو بر این اساس پیش بینی دقیقی از توسعه آنها بسازید.
• ارزیابی تاثیر مشکلات بر اهداف کسب و کار. سازمان باید تأثیر مشکلات شناسایی شده را به اندازه کافی ارزیابی کند.
• کفایت اقدامات حفاظتی. سازمان باید با در نظر گرفتن هزینه‌های اجرای چنین اقداماتی و میزان خسارات احتمالی ناشی از اجرای تهدید، اقدامات حفاظتی متناسب با مدل‌های تهدید و مهاجم را انتخاب کند.
• اثربخشی اقدامات حفاظتی سازمان باید اقدامات حفاظتی اتخاذ شده را به طور مؤثر اجرا کند.
• استفاده از تجربه در تصمیم گیری و اجرای آن. سازمان باید هم تجارب خود و هم از تجارب سایر سازمان ها را در تمام سطوح تصمیم گیری و اجرای آنها انباشته، تعمیم دهد و استفاده کند.
• تداوم اصول عملیات ایمن. سازمان باید تداوم اجرای اصول عملیات ایمن را تضمین کند.
• قابلیت کنترل اقدامات حفاظتی سازمان باید فقط آن پادمانی را اعمال کند که عملکرد صحیح آنها قابل تأیید باشد و سازمان باید به طور مرتب کفایت پادمان ها و اثربخشی اجرای آنها را با در نظر گرفتن تأثیر پادمان ها بر اهداف تجاری سازمان ارزیابی کند.

4.2. اصول ویژه برای تضمین امنیت اطلاعات

• اجرای اصول ویژه برای تضمین امنیت اطلاعات با هدف افزایش سطح بلوغ فرآیندهای مدیریت امنیت اطلاعات در سازمان است.
• تعریف اهداف. اهداف عملکردی و امنیت اطلاعات سازمان باید به صراحت در یک سند داخلی تعریف شود. عدم اطمینان منجر به " ابهامساختار سازمانی، نقش های پرسنلی، سیاست های امنیت اطلاعات و ناتوانی در ارزیابی کفایت اقدامات حفاظتی انجام شده.
• شناخت مشتریان و کارمندان سازمان باید اطلاعاتی در مورد مشتریان خود داشته باشد، کارکنان را با دقت انتخاب کند ( کارگران) اخلاق شرکتی را توسعه و حفظ کند که یک محیط اعتماد مطلوب برای فعالیت های سازمان مدیریت دارایی ایجاد می کند.
• شخصیت پردازی و تقسیم مناسب نقش ها و مسئولیت ها. مسئولیت مسئولان سازمان در قبال تصمیمات مربوط به دارایی های آن باید شخصی سازی شده و عمدتاً در قالب ضمانت اجرا شود. باید متناسب با میزان تأثیرگذاری بر اهداف سازمان باشد، در خط مشی ها تثبیت شده، نظارت و بهبود یابد.
• تناسب نقش ها با عملکردها و رویه ها و مقایسه آنها با معیارها و نظام ارزیابی. نقش ها باید به اندازه کافی منعکس کننده عملکردهای انجام شده و رویه های اجرای آنها در سازمان باشند. هنگام تخصیص نقش های مرتبط، باید توالی لازم در اجرای آنها در نظر گرفته شود. نقش باید با معیارهای ارزیابی اثربخشی اجرای آن سازگار باشد. محتوای اصلی و کیفیت نقش در حال انجام در واقع توسط سیستم ارزیابی اعمال شده برای آن تعیین می شود.
• در دسترس بودن خدمات و امکانات. سازمان باید از در دسترس بودن خدمات و خدمات برای مشتریان و طرفین خود در موعد مقرر که طبق توافقات مربوطه تعیین می شود اطمینان حاصل کند. توافق نامه ها) و/یا اسناد دیگر.
• قابلیت مشاهده و ارزیابی ارائه IS. هر گونه اقدامات حفاظتی پیشنهادی باید به گونه ای طراحی شود که نتیجه کاربرد آنها به وضوح قابل مشاهده باشد ( شفاف) و توسط بخشی از سازمان که دارای اختیارات مناسب است قابل ارزیابی است.

5. اهداف و اهداف ارائه اطلاعات امنیتی

5.1. موضوعات روابط اطلاعاتی در سیستم خودکار

موضوعات روابط حقوقی هنگام استفاده از AS و تضمین امنیت اطلاعات عبارتند از:

• سازمان به عنوان صاحب منابع اطلاعاتی؛
• بخش های فرعی سازمان که عملکرد NPP را تضمین می کند.
• کارکنان بخش های ساختاری سازمان به عنوان کاربران و ارائه دهندگان اطلاعات در AS مطابق با وظایفی که به آنها محول شده است.
• قانونی و اشخاص حقیقی، اطلاعاتی که در مورد آن در AS انباشته، ذخیره و پردازش می شود.
• سایر اشخاص حقوقی و اشخاص حقیقی درگیر در فرآیند ایجاد و عملیات AS ( توسعه دهندگان اجزای سیستم، سازمان های درگیر در ارائه خدمات مختلف در زمینه فناوری اطلاعات و غیره.).

موضوعات فهرست شده روابط اطلاعاتی علاقه مند به ارائه موارد زیر هستند:

• محرمانه بودن بخش معینی از اطلاعات؛
• قابلیت اطمینان ( کامل بودن، دقت، کفایت، یکپارچگی) اطلاعات؛
• حفاظت در برابر تحمیل دروغ ( نادرست، تحریف شده) اطلاعات؛
• دسترسی به موقع به اطلاعات لازم؛
• تعیین حدود مسئولیت برای نقض حقوق قانونی ( منافع) سایر موضوعات روابط اطلاعاتی و قوانین تعیین شدهمدیریت اطلاعات؛
• امکان نظارت و کنترل مستمر پردازش و انتقال اطلاعات؛
• حفاظت از بخشی از اطلاعات در برابر بازتولید غیرقانونی آن ( حفاظت از حق چاپ، حقوق صاحب اطلاعات و غیره).

5.2. هدف از امنیت اطلاعات

هدف اصلی تضمین امنیت اطلاعات، محافظت از افراد روابط اطلاعاتی در برابر آسیب احتمالی مادی، معنوی یا دیگر به آنها از طریق دخالت تصادفی یا عمدی غیرمجاز در عملکرد AS یا دسترسی غیرمجاز به اطلاعات در حال گردش در آن و آن است. استفاده غیرقانونی

این هدف با اطمینان و حفظ مداوم ویژگی های زیر اطلاعات و یک سیستم خودکار برای پردازش آن به دست می آید:

• در دسترس بودن اطلاعات پردازش شده برای کاربران ثبت نام شده؛
• محرمانه بودن بخش معینی از اطلاعات ذخیره شده، پردازش و ارسال شده از طریق کانال های ارتباطی؛
• یکپارچگی و صحت اطلاعات ذخیره شده، پردازش و ارسال شده از طریق کانال های ارتباطی.

5.3. وظایف امنیت اطلاعات

برای دستیابی به هدف اصلی تضمین امنیت اطلاعات، سیستم امنیت اطلاعات نیروگاه هسته ای باید راه حل موثری برای وظایف زیر ارائه دهد:

• محافظت در برابر مداخله در روند عملکرد AU توسط افراد غیر مجاز؛
• تمایز دسترسی کاربران ثبت نام شده به سخت افزار، نرم افزار و منابع اطلاعاتی AS، یعنی محافظت در برابر دسترسی غیرمجاز.
• ثبت اقدامات کاربر هنگام استفاده از منابع AS محافظت شده در گزارش های سیستم و نظارت دوره ای بر صحت اقدامات کاربر سیستم با تجزیه و تحلیل محتویات این گزارش ها توسط متخصصان بخش های امنیتی.
• محافظت در برابر تغییرات غیرمجاز و کنترل یکپارچگی ( تغییر ناپذیری) محیط اجرای برنامه و بازیابی آن در صورت تخلف.
• محافظت در برابر تغییرات غیرمجاز و کنترل یکپارچگی نرم افزار مورد استفاده در AU، و همچنین محافظت از سیستم در برابر معرفی برنامه های غیرمجاز، از جمله ویروس های کامپیوتری؛
• محافظت از اطلاعات در برابر نشت کانال های فنیدر طول پردازش، ذخیره سازی و انتقال آن از طریق کانال های ارتباطی؛
• حفاظت از اطلاعات ذخیره شده، پردازش و ارسال شده از طریق کانال های ارتباطی در برابر افشای غیرمجاز یا تحریف؛
• اطمینان از احراز هویت کاربران شرکت کننده در تبادل اطلاعات؛
• حصول اطمینان از بقای ابزار رمزنگاری حفاظت از اطلاعات در صورت به خطر افتادن بخشی از سیستم کلید؛
• شناسایی به موقع منابع تهدید امنیت اطلاعات، علل و شرایطی که به آسیب رساندن به افراد علاقه مند در روابط اطلاعاتی کمک می کند، ایجاد مکانیزمی برای واکنش سریع به تهدیدات امنیت اطلاعات و روندهای منفی.
• ایجاد شرایط برای به حداقل رساندن و بومی سازی آسیب های ناشی از اقدامات غیرقانونی اشخاص حقیقی و حقوقی، کاهش اثرات منفی و رفع تبعات نقض امنیت اطلاعات.

5.4. راه های حل مشکلات تضمین امنیت اطلاعات

راه حل برای مشکلات تضمین امنیت اطلاعات به دست آمده است:

• در نظر گرفتن دقیق تمام منابع سیستمی که باید محافظت شوند ( اطلاعات، وظایف، کانال های ارتباطی، سرورها، ایستگاه های کاری);
• تنظیم فرآیندهای پردازش اطلاعات و اقدامات کارکنان بخش های ساختاری سازمان، و همچنین اقدامات پرسنل درگیر در تعمیر و نگهداری و اصلاح نرم افزار و سخت افزار اتحادیه اروپا، بر اساس اسناد سازمانی و اداری در مورد امنیت اطلاعات.
• کامل بودن، امکان سنجی واقعی و سازگاری الزامات اسناد سازمانی و اداری در مورد مسائل امنیت اطلاعات؛
• انتصاب و آموزش کارکنان مسئول سازماندهی و اجرای اقدامات عملی برای تضمین امنیت اطلاعات.
• توانمندسازی هر کارمند با حداقل های لازم برای انجام وظایف عملکردی خود در مقام مرجع برای دسترسی به منابع AU.
• آگاهی روشن و رعایت دقیق کلیه کارکنان با استفاده و نگهداری از سخت افزار و نرم افزار AS از الزامات اسناد سازمانی و اداری در مورد امنیت اطلاعات.
• مسئولیت شخصی اقدامات هر یک از کارکنان شرکت کننده، در چارچوب وظایف عملکردی خود، در فرآیندهای پردازش خودکار اطلاعات و دسترسی به منابع AS.
• پیاده سازی فرآیندهای تکنولوژیکیپردازش اطلاعات با استفاده از مجموعه اقدامات سازمانی و فنی برای محافظت از نرم افزار، سخت افزار و داده ها؛
• انجام اقدامات مؤثر برای اطمینان از یکپارچگی فیزیکی وسایل فنی و حفظ مستمر سطح مورد نیاز حفاظت از اجزای NPP.
• کاربرد فنی ( نرم افزار و سخت افزار)ابزار حفاظت از منابع سیستم و پشتیبانی مداوم اداری برای استفاده از آنها؛
• تحدید حدود جریان اطلاعات و ممنوعیت انتقال اطلاعات با توزیع محدود از طریق کانال های ارتباطی محافظت نشده.
• کنترل مؤثر بر رعایت الزامات امنیت اطلاعات توسط کارکنان؛
• نظارت مداوم بر منابع شبکه، شناسایی آسیب پذیری ها، شناسایی و خنثی سازی به موقع تهدیدات خارجی و داخلی برای امنیت یک شبکه کامپیوتری؛
• حفاظت قانونی از منافع سازمان از اقدامات غیرقانونی در زمینه امنیت اطلاعات.
• انجام تجزیه و تحلیل مستمر از اثربخشی و کفایت اقدامات انجام شدهو ابزارهای کاربردی امنیت اطلاعات، توسعه و اجرای پیشنهادات برای بهبود سیستم امنیت اطلاعات در AS.

6. تهدیدات برای امنیت اطلاعات

6.1. تهدیدات امنیت اطلاعات و منابع آنها

خطرناک ترین تهدیدها برای امنیت اطلاعات پردازش شده در AS عبارتند از:

• نقض حریم خصوصی ( افشای، نشت) اطلاعاتی که یک راز رسمی یا تجاری را تشکیل می دهد، از جمله اطلاعات شخصی؛
• اختلال عملکرد ( بی نظمی در کار) AS، مسدود کردن اطلاعات، نقض فرآیندهای تکنولوژیکی، عدم حل مشکلات به موقع؛
• نقض یکپارچگی ( تحریف، جایگزینی، تخریب) اطلاعات، نرم افزار و سایر منابع AS.

منابع اصلی تهدید امنیت اطلاعات AS عبارتند از:

• رویدادهای نامطلوب طبیعی و مصنوعی؛
• تروریست ها، عناصر جنایتکار؛
• مزاحمان رایانه ای که تأثیرات مخرب هدفمند، از جمله استفاده از ویروس های کامپیوتریو انواع دیگر کدها و حملات مخرب؛
• تامین کنندگان نرم افزار و سخت افزار، مواد مصرفی، خدمات و غیره؛
• پیمانکاران درگیر در نصب، راه اندازی تجهیزات و تعمیر آن؛
• عدم رعایت الزامات مراجع نظارتی و نظارتی، قوانین جاری؛
• خرابی، خرابی، تخریب / آسیب نرم افزار و سخت افزار؛
• کارمندانی که شرکت کنندگان قانونی در فرآیندهای AS هستند و خارج از محدوده اختیارات اعطا شده عمل می کنند.
• کارکنانی که در فرآیندهای AS مشارکت قانونی دارند و در چارچوب اختیارات اعطا شده عمل می کنند.

6.2. اقدامات غیرعمدی منجر به نقض امنیت اطلاعات و اقدامات برای جلوگیری از آنها

کارکنان سازمان که دسترسی مستقیم به فرآیندهای پردازش اطلاعات در AS دارند منبع بالقوه اقدامات تصادفی غیرعمدی هستند که می تواند منجر به نقض امنیت اطلاعات شود.

اقدامات غیرعمدی اصلی منجر به نقض امنیت اطلاعات (اعمالی که توسط افراد به طور تصادفی، از روی جهل، بی توجهی یا سهل انگاری، اما بدون نیت سوء انجام می شود.) و تدابیری برای جلوگیری از این گونه اقدامات و به حداقل رساندن خسارات ناشی از آن در نظر گرفته شده است میز 1.

میز 1

6.3. اقدامات عمدی برای نقض امنیت اطلاعات و اقدامات برای جلوگیری از آنها

اعمال عمده عمدی ( برای اهداف خودخواهانه، تحت فشار، از روی میل به انتقام و غیره.) منجر به نقض امنیت اطلاعات اتحادیه اروپا می شود و اقدامات لازم برای جلوگیری از آنها و کاهش آسیب های احتمالی ناشی از آن در جدول 2.

جدول 2

6.4. نشت اطلاعات از طریق کانال های فنی

در هنگام بهره برداری از ابزار فنی NPP، کانال های زیر نشت یا نقض یکپارچگی اطلاعات، نقض عملکرد ابزار فنی ممکن است:

• تشعشعات الکترومغناطیسی جعلی یک سیگنال اطلاعاتی از وسایل فنی و خطوط انتقال اطلاعات.
• دریافت سیگنال اطلاعاتی پردازش شده توسط تجهیزات محاسباتی الکترونیکی روی سیم ها و خطوطی که فراتر از منطقه کنترل شده دفاتر هستند، از جمله. روی زمین و مدارهای منبع تغذیه؛
• مختلف لوازم برقیشنود اطلاعات ( شامل "نشانک ها") متصل به کانال های ارتباطی یا ابزار فنی پردازش اطلاعات؛
• مشاهده اطلاعات از صفحه نمایش و سایر ابزارهای نمایش آن با استفاده از ابزارهای نوری.
• تاثیر بر سخت افزار یا نرم افزار به منظور نقض یکپارچگی ( تخریب، تحریفاطلاعات، قابلیت عملکرد ابزارهای فنی، ابزارهای امنیت اطلاعات و به موقع بودن تبادل اطلاعات، از جمله الکترومغناطیسی، از طریق ابزارهای الکترونیکی و نرم افزاری ویژه پیاده سازی شده ( "نشانک ها").

با در نظر گرفتن ویژگی های پردازش و تضمین امنیت اطلاعات، خطر نشت اطلاعات محرمانه ( از جمله داده های شخصی) از طریق کانال های فنی برای سازمان بی ربط هستند.

6.5. مدل غیررسمی یک مزاحم احتمالی

مجرم کسی است که اقدام به انجام عملیات ممنوعه کرده است ( عمل) از روی اشتباه، جهل یا آگاهانه با نیت سوء ( از روی علایق خودخواهانه) یا بدون آن ( به خاطر بازی یا لذت، به منظور تأیید خود و غیره.) و برای این کار از امکانات، روش ها و وسایل مختلف استفاده می کند.

سیستم حفاظتی NPP باید بر اساس فرضیات مربوط به انواع مزاحمان احتمالی زیر در سیستم ساخته شود. با در نظر گرفتن دسته افراد، انگیزه، صلاحیت ها، در دسترس بودن وسایل خاص و غیره.):

• « کاربر بی تجربه (بی توجه)."- کارمندی که ممکن است اقدام به انجام عملیات ممنوعه، دسترسی به منابع حفاظت شده AS بیش از اختیارات خود، وارد کردن داده های نادرست و غیره کند. اقدامات اشتباه، بی کفایتی یا سهل انگاری بدون نیت سوء و فقط با استفاده از معمول ( در دسترس اوست) سخت افزار و نرم افزار.
• « آماتور"- کارمندی که سعی می کند بر سیستم حفاظتی غلبه کند بدون اهداف خودخواهانه و قصد سوء، برای تایید خود یا از طرف" علاقه ورزشی". برای غلبه بر سیستم حفاظتی و انجام اقدامات ممنوعه، او می تواند از روش های مختلفی برای به دست آوردن حقوق دسترسی اضافی به منابع استفاده کند. نام، رمز عبور و غیره سایر کاربران) کاستی در ساخت سیستم حفاظتی و کارکنان موجود ( روی ایستگاه کاری نصب شده است) برنامه ها ( اقدامات غیرمجاز با تجاوز از اختیارات خود برای استفاده از وجوه مجاز). علاوه بر این، او ممکن است سعی کند از ابزارهای غیر استاندارد اضافی و نرم افزارهای تکنولوژیکی استفاده کند ( دیباگرها، ابزارهای کمکی، برنامه های توسعه یافته مستقل یا ابزارهای فنی اضافی استاندارد.
• « کلاهبردار«- کارمندی که ممکن است با اجبار یا به قصد سوء قصد انجام عملیات غیرقانونی فن‌آوری، وارد کردن داده‌های نادرست و اقدامات مشابه برای نفع شخصی باشد، اما فقط با استفاده از روش‌های معمول ( بر روی ایستگاه کاری نصب شده و در دسترس اوست) سخت افزار و نرم افزار از طرف خود یا از طرف کارمند دیگری ( دانستن نام و رمز عبور، استفاده از غیبت کوتاه مدت او در محل کار و غیره.).
• « مزاحم خارجی (مزاحم)«- یک فرد خارجی یا کارمند سابق که عمداً به دلیل منافع خودخواهانه، از روی انتقام یا از روی کنجکاوی، احتمالاً در تبانی با دیگران عمل می کند. این می تواند از طیف وسیعی از نقض امنیت اطلاعات، روش ها و ابزارهای هک سیستم های امنیتی که برای شبکه های عمومی معمول هستند استفاده کند. به ویژه شبکه های مبتنی بر IP) از جمله پیاده سازی از راه دور بوکمارک های نرم افزاری و استفاده از برنامه های ابزاری و فناوری خاص با استفاده از نقاط ضعف موجود در پروتکل های تبادل و سیستم حفاظت از گره های شبکه AS سازمان.
• « مزاحم داخلی» - کارمندی که به عنوان کاربر سامانه ثبت نام کرده و عمداً از روی منافع خودخواهانه یا انتقام جویانه و احتمالاً با تبانی با افرادی که کارمند سازمان نیستند اقدام می کند. او می‌تواند از مجموعه روش‌ها و ابزارهای هک سیستم امنیتی، از جمله روش‌های مخفی دستیابی به جزئیات دسترسی، ابزارهای غیرفعال (وسایل فنی رهگیری بدون تغییر اجزای سیستم)، روش‌ها و ابزارهای نفوذ فعال استفاده کند. اصلاح وسایل فنی، اتصال به کانال های انتقال داده، معرفی زبانه های نرم افزاری و استفاده از برنامه های ابزاری و فناوری خاص.، و همچنین ترکیبی از تأثیرات هم از داخل و هم از شبکه های عمومی.

یک خودی ممکن است فردی از دسته های زیر باشد:

• کاربران نهایی AS ثبت شده ( کارکنان ادارات و شعب);
• کارگران مجاز به کار با AU نیستند.
• پرسنل خدمات تاسیسات فنی NPP ( مهندسان، تکنسین ها);
• کارکنان بخش های توسعه و نگهداری نرم افزار ( برنامه نویسان برنامه و سیستم);
• کارکنان فنی در خدمت ساختمان ها و اماکن سازمان ( نظافتچی‌ها، برق‌کارها، لوله‌کش‌ها و سایر کارگرانی که به ساختمان‌ها و محل‌هایی دسترسی دارند که اجزای AU در آن قرار دارند.);
• رهبران در سطوح مختلف

• کارگران اخراج شده؛
• نمایندگان سازمان هایی که در مورد مسائل تضمین حیات سازمان در تعامل هستند ( انرژی، آب، تامین گرما و غیره);
• نمایندگان شرکت های تامین کننده تجهیزات، نرم افزار، خدمات و غیره؛
• اعضای سازمان های جنایی و ساختارهای تجاری رقیب یا افرادی که به دستور آنها عمل می کنند.
• افرادی که به طور تصادفی یا عمدی از شبکه های خارجی به شبکه ها نفوذ کرده اند ( "هکرها").

کاربران و پرسنل خدماتی از بین کارکنان بیشترین تعداد را دارند فرصت های گستردهدر مورد اجرای اقدامات غیرمجاز، با توجه به اینکه دارای اختیارات خاصی برای دسترسی به منابع و دانش خوب فناوری پردازش اطلاعات هستند. اقدامات این گروه از متخلفان ارتباط مستقیمی با نقض قوانین و دستورالعمل های موجود دارد. این گروه از مجرمان در تعامل با ساختارهای جنایی خطر خاصی را به همراه دارند.

کارگران آواره می توانند از دانش خود در زمینه فناوری کار، حفاظت و حقوق دسترسی برای دستیابی به اهداف استفاده کنند.

ساختارهای جنایی نشان دهنده تهاجمی ترین منبع تهدیدهای خارجی است. این ساختارها برای اجرای برنامه های خود می توانند آشکارا تخلف کرده و کارکنان سازمان را با تمام نیرو و وسایلی که در اختیار دارند وارد فعالیت های خود کنند.

هکرها دارای بالاترین صلاحیت فنی و آگاهی از نقاط ضعف نرم افزار مورد استفاده در AS هستند. آنها هنگام تعامل با کارگران شاغل یا اخراج شده و ساختارهای جنایتکار بزرگترین تهدید را ایجاد می کنند.

سازمان‌های درگیر در توسعه، تامین و تعمیر تجهیزات، سیستم‌های اطلاعاتی به دلیل اینکه گهگاه به منابع اطلاعاتی دسترسی مستقیم دارند، تهدیدی بیرونی هستند. ساختارهای جنایی می توانند از این سازمان ها برای استخدام موقت اعضای خود برای دسترسی به اطلاعات حفاظت شده استفاده کنند.

7. سیاست فنی در زمینه امنیت اطلاعات

7.1. مفاد اصلی سیاست فنی

اجرای یک خط مشی فنی در زمینه امنیت اطلاعات باید با این فرض پیش برود که تأمین سطح مورد نیاز امنیت اطلاعات نه تنها با کمک یک ابزار جداگانه غیرممکن است. مناسبت ها، بلکه با کمک مجموعه ساده آنها. آنها باید به طور سیستماتیک با یکدیگر هماهنگ شوند ( کاربرد پیچیده، و عناصر منفرد AS باید به عنوان بخشی از یک سیستم اطلاعاتی یکپارچه در طراحی ایمن با نسبت بهینه فنی در نظر گرفته شوند. سخت افزار نرم افزار) وجوه و اقدامات سازمانی.

جهت های اصلی اجرای سیاست فنی برای اطمینان از امنیت اطلاعات AU اطمینان از محافظت از منابع اطلاعاتی در برابر سرقت، از دست دادن، نشت، تخریب، تحریف یا جعل به دلیل دسترسی غیرمجاز و اثرات ویژه است.

در چارچوب دستورالعمل های مشخص شده سیاست فنی برای اطمینان از امنیت اطلاعات، موارد زیر انجام می شود:

• اجرای سیستم مجوز برای پذیرش مجریان ( کاربران، پرسنل خدمات) به آثار، اسناد و اطلاعات محرمانه؛
• محدودیت دسترسی مجریان و افراد غیرمجاز به ساختمان‌ها و اماکنی که کارهای محرمانه انجام می‌شود و وسایل ارتباطی و اطلاعاتی در آن‌ها ( ذخیره شده، منتقل شدهاطلاعات محرمانه، مستقیماً به ابزارهای اطلاع رسانی و ارتباطات؛
• محدود کردن دسترسی کاربران و پرسنل تعمیر و نگهداری به منابع اطلاعاتی، ابزارهای نرم افزاری برای پردازش و حفاظت از اطلاعات در زیرسیستم های سطوح مختلف و اهداف موجود در AS.
• حسابداری اسناد، آرایه های اطلاعات، ثبت اقدامات کاربران و پرسنل تعمیر و نگهداری، کنترل دسترسی و اقدامات غیرمجاز کاربران، پرسنل تعمیر و نگهداری و افراد غیرمجاز.
• جلوگیری از معرفی برنامه های ویروسی، نشانک های نرم افزاری به زیرسیستم های خودکار؛
• حفاظت رمزنگاری از اطلاعات پردازش و ارسال شده توسط فناوری رایانه و ارتباطات؛
• ذخیره سازی قابل اعتماد رسانه های ذخیره سازی ماشین، کلیدهای رمزنگاری ( اطلاعات کلیدی) و گردش آنها به استثنای سرقت، تعویض و تخریب.
• افزونگی ضروری ابزارهای فنی و تکرار آرایه ها و رسانه های ذخیره سازی؛
• کاهش سطح و محتوای اطلاعات تشعشعات جعلی و تداخل تولید شده توسط عناصر مختلف زیرسیستم های خودکار؛
• جداسازی الکتریکی مدارهای منبع تغذیه، زمین و سایر مدارهای اشیاء اطلاعاتی که فراتر از منطقه کنترل شده است.
• مخالفت با نوری و محصولات لیزریمشاهدات

7.2. شکل گیری حالت امنیت اطلاعات

با در نظر گرفتن تهدیدات شناسایی شده برای ایمنی نیروگاه هسته ای، رژیم امنیت اطلاعات باید به عنوان مجموعه ای از روش ها و اقدامات برای محافظت از اطلاعات در حال گردش در نیروگاه هسته ای و زیرساخت های پشتیبانی کننده آن در برابر اثرات تصادفی یا عمدی تشکیل شود. یک ماهیت طبیعی یا مصنوعی که متضمن آسیب به صاحبان یا استفاده کنندگان اطلاعات است.

مجموعه ای از اقدامات برای تشکیل یک رژیم امنیت اطلاعات شامل:

• استقرار در AS رژیم سازمانی و قانونی امنیت اطلاعات ( اسناد نظارتی، کار با پرسنل، کار اداری);
• اجرای اقدامات سازمانی و فنی برای محافظت از اطلاعات محدود از نشت از طریق کانال های فنی.
• اقدامات سازمانی و نرم افزاری و سخت افزاری برای جلوگیری از اقدامات غیرمجاز ( دسترسی داشته باشید) به منابع اطلاعاتی AU؛
• مجموعه ای از اقدامات برای کنترل عملکرد ابزارها و سیستم های حفاظت از منابع اطلاعاتی توزیع محدود پس از اثرات تصادفی یا عمدی.

8. تدابیر، روش ها و ابزارهای تضمین امنیت اطلاعات

8.1. ترتیبات سازمانی

ترتیبات سازمانی- اینها اقدامات سازمانی هستند که فرآیندهای عملکرد AS، استفاده از منابع آنها، فعالیت های پرسنل تعمیر و نگهداری، و همچنین رویه کاربران برای تعامل با سیستم را به گونه ای تنظیم می کنند که بیشترین مانع یا حذف شود. امکان اجرای تهدیدات امنیتی و کاهش میزان آسیب در صورت اجرای آنها.

8.1.1. شکل گیری سیاست امنیتی

هدف اصلی اقدامات سازمانی تشکیل یک سیاست امنیت اطلاعات است که رویکردهای حفاظت از اطلاعات را منعکس می کند و با تخصیص منابع لازم و نظارت بر وضعیت، اجرای آن را تضمین می کند.

از نقطه نظر عملی، توصیه می شود که سیاست امنیتی NPP به دو سطح تقسیم شود. سطح بالا شامل تصمیماتی است که بر فعالیت های سازمان به عنوان یک کل تأثیر می گذارد. نمونه هایی از این راه حل ها ممکن است:

• تشکیل یا بازنگری یک برنامه جامع امنیت اطلاعات، تعیین مسئولین اجرای آن؛
• تدوین اهداف، تعیین وظایف، تعیین حوزه های فعالیت در زمینه امنیت اطلاعات؛
• تصمیم گیری در مورد اجرای برنامه امنیتی که در سطح کل سازمان در نظر گرفته می شود.
• ارائه هنجاری ( مجاز) پایگاه داده مسائل امنیتی و غیره

خط مشی سطح پایین، رویه ها و قوانین را برای دستیابی به اهداف و حل مشکلات امنیت اطلاعات تعریف می کند و این قوانین را به تفصیل (تنظیم می کند):

• محدوده خط مشی امنیت اطلاعات چیست؟
• نقش و مسئولیت مقامات مسئول اجرای سیاست امنیت اطلاعات چیست؟
• چه کسی حق دسترسی به اطلاعات محدود شده را دارد.
• چه کسی و تحت چه شرایطی می تواند اطلاعات را بخواند و اصلاح کند و غیره.

خط مشی سطح پایین باید:

• تنظیم روابط اطلاعاتی را به استثنای امکان اقدامات خودسرانه، انحصاری یا غیرمجاز در رابطه با منابع اطلاعاتی محرمانه ارائه دهد.
• تعیین اصول و روشهای ائتلافی و سلسله مراتبی برای اشتراک اسرار و محدود کردن دسترسی به اطلاعات محدود.
• حفاظت رمزنگاری نرم افزار و سخت افزار، مقابله با دسترسی غیرمجاز، احراز هویت، مجوز، شناسایی و سایر مکانیسم های حفاظتی را انتخاب کنید که تضمینی برای اجرای حقوق و مسئولیت های موضوعات روابط اطلاعاتی است.

8.1.2. مقررات دسترسی به امکانات فنی

بهره برداری از ایستگاه های کاری ایمن و سرورهای بانک باید در اماکن مجهز به قفل اتوماتیک قابل اعتماد، سیستم های هشدار و حفاظت یا نظارت دائمی انجام شود که امکان ورود بی رویه افراد غیرمجاز به محل را منتفی می کند و ایمنی فیزیکی منابع حفاظت شده را تضمین می کند. واقع در محل ( AWS، اسناد، جزئیات دسترسی و غیره). قرار دادن و نصب وسایل فنی چنین ایستگاه های کاری باید امکان مشاهده بصری ورودی را حذف کند. نشات گرفته) اطلاعات افراد غیر مرتبط با آن. نظافت اماکن با تجهیزات نصب شده در آنها باید با حضور مسئولی که این وسایل فنی برای وی تعیین شده است یا افسر وظیفه واحد با رعایت اقداماتی که دسترسی افراد غیرمجاز به منابع حفاظت شده را ممنوع می کند انجام شود.

در طول پردازش اطلاعات محدود شده، تنها پرسنل مجاز به کار با این اطلاعات باید در محل حضور داشته باشند.

در پایان روز کاری، اماکن دارای ایستگاه های کاری محافظت شده نصب شده باید تحت مراقبت قرار گیرند.

برای ذخیره اسناد رسمی و رسانه های ماشینی با اطلاعات محافظت شده، کابینت های فلزی و همچنین وسایلی برای از بین بردن اسناد به کارمندان ارائه می شود.

ابزارهای فنی که برای پردازش یا ذخیره اطلاعات محرمانه استفاده می شوند باید مهر و موم شوند.

8.1.3. مقررات پذیرش کارکنان برای استفاده از منابع اطلاعاتی

در چارچوب سیستم مجوز، مشخص می شود: چه کسی، به چه کسی، چه اطلاعاتی و برای چه نوع دسترسی و تحت چه شرایطی می تواند ارائه دهد. سیستم کنترل دسترسی، که شامل تعریف همه کاربران AS از اطلاعات و منابع نرم افزاری در دسترس آنها برای عملیات خاص است. خواندن، نوشتن، اصلاح، حذف، اجرا) با استفاده از نرم افزار و ابزار دسترسی سخت افزاری مشخص شده.

پذیرش کارگران برای کار با AU و دسترسی به منابع آنها باید به شدت تنظیم شود. هرگونه تغییر در ترکیب و اختیارات کاربران زیرسیستم های اتحادیه اروپا باید به روش مقرر انجام شود.

کاربران اصلی اطلاعات در AS کارکنان بخش های ساختاری سازمان هستند. سطح اختیارات هر کاربر به صورت جداگانه و با رعایت شرایط زیر تعیین می شود:

• اطلاعات باز و محرمانه در صورت امکان در سرورهای مختلف قرار می گیرد.
• هر کارمند فقط از حقوقی برخوردار است که به او در رابطه با اطلاعاتی که نیاز دارد مطابق وظایف رسمی خود کار کند.
• رئیس حق مشاهده اطلاعات زیردستان خود را دارد.
• حیاتی ترین عملیات تکنولوژیکی باید طبق قانون انجام شود "دو دست"- صحت اطلاعات وارد شده توسط مقام دیگری که حق درج اطلاعات را ندارد تایید می شود.

کلیه کارکنانی که برای کار در پرسنل تعمیر و نگهداری NPP و NPP پذیرفته می شوند باید شخصاً در قبال نقض رویه تعیین شده برای پردازش خودکار اطلاعات، قوانین ذخیره سازی، استفاده و انتقال منابع سیستم محافظت شده در اختیار خود مسئول باشند. هر کارمند هنگام استخدام باید تعهدی را برای رعایت الزامات حفظ اطلاعات محرمانه و مسئولیت نقض آنها و همچنین اجرای قوانین کار با اطلاعات محافظت شده در AS امضا کند.

پردازش اطلاعات محافظت شده در زیرسیستم های AU باید مطابق با دستورالعمل های فن آوری تایید شده انجام شود. سفارشات) برای این زیرسیستم ها.

برای کاربرانی که توسط ایستگاه‌های کاری محافظت می‌شوند، دستورالعمل‌های فن‌آوری لازم، از جمله الزامات برای اطمینان از امنیت اطلاعات باید تدوین شود.

8.1.4. تنظیم فرآیندهای نگهداری پایگاه های داده و اصلاح منابع اطلاعاتی

کلیه عملیات نگهداری پایگاه های داده در AU و پذیرش کارمندان برای کار با این پایگاه های داده باید به شدت تنظیم شود. هر گونه تغییر در ترکیب و قدرت کاربران پایگاه داده AS باید به روش مقرر انجام شود.

توزیع اسامی، تولید رمز عبور، حفظ قوانین محدود کردن دسترسی به پایگاه‌های اطلاعاتی به کارمندان بخش فناوری اطلاعات سپرده شده است. در این صورت هم منظم و هم وجوه اضافیحفاظت از DBMS و سیستم عامل ها

8.1.5. تنظیم فرآیندهای نگهداری و اصلاح منابع سخت افزاری و نرم افزاری

منابع سیستمی که باید محافظت شوند ( وظایف، برنامه ها، ایستگاه کاری) مشمول حسابداری دقیق هستند ( بر اساس استفاده از فرم های مناسب یا پایگاه های اطلاعاتی تخصصی).

پیکربندی سخت‌افزار و نرم‌افزار ایستگاه‌های کاری که در آن اطلاعات محافظت‌شده پردازش می‌شود یا دسترسی به منابع محافظت‌شده از آن‌ها امکان‌پذیر است، باید با محدوده وظایف عملکردی که به کاربران این ایستگاه کاری اختصاص داده شده است، مطابقت داشته باشد. تمام دستگاه های ورودی-خروجی اطلاعات استفاده نشده (اضافی) COM، USB، پورت های LPT، درایوهای فلاپی، سی دی ها و سایر رسانه های ذخیره سازی) در چنین ایستگاه های کاری باید غیرفعال شود (حذف شود)، نرم افزارهای غیر ضروری و داده های دیسک های ایستگاه کاری نیز باید حذف شوند.

برای ساده سازی نگهداری، نگهداری و سازماندهی حفاظت، ایستگاه های کاری باید به نرم افزار مجهز شده و به صورت یکپارچه پیکربندی شوند. مطابق با قوانین تعیین شده).

راه اندازی ایستگاه های کاری جدید و کلیه تغییرات در پیکربندی سخت افزار و نرم افزار، ایستگاه های کاری موجود در AS سازمان باید فقط طبق روال تعیین شده انجام شود.

تمامی نرم افزارها ( توسط متخصصان سازمان تهیه شده یا از تولید کنندگان خریداری شده است) باید به روش مقرر تست شده و به سپرده گذاری برنامه سازمان منتقل شود. در زیرسیستم های AS فقط باید ابزارهای نرم افزاری دریافت شده به ترتیب تعیین شده از سپرده گذاری نصب و استفاده شود. استفاده از نرم افزار در AS که در انبار برنامه گنجانده نشده است باید ممنوع باشد.

توسعه نرم افزار، تست نرم افزار توسعه یافته و به دست آمده، انتقال نرم افزار به بهره برداری باید طبق روال تعیین شده انجام شود.

8.1.6. آموزش و آموزش کاربران

قبل از ارائه دسترسی به AS، کاربران آن و همچنین پرسنل مدیریت و تعمیر و نگهداری باید با فهرست اطلاعات محرمانه و سطح اختیارات خود و همچنین اسناد سازمانی، اداری، نظارتی، فنی و عملیاتی که تعریف می‌کند، آشنا باشند. الزامات و روش برای پردازش چنین اطلاعاتی.

حفاظت از اطلاعات در تمام زمینه های فوق تنها پس از ایجاد نظم و انضباط خاصی در بین کاربران امکان پذیر است. هنجارهایی که برای همه کسانی که در AS کار می کنند اجباری است. چنین قوانینی شامل ممنوعیت هر گونه اعمال عمدی یا غیرعمدی است که نقض می کند کار معمولی AS باعث هزینه های اضافی منابع، نقض یکپارچگی اطلاعات ذخیره شده و پردازش شده، نقض منافع کاربران قانونی می شود.

کلیه کارکنانی که از زیرسیستم های خاص اتحادیه اروپا در کار خود استفاده می کنند باید با اسناد سازمانی و اداری برای حفاظت از اتحادیه اروپا در بخشی که مربوط به آنها است آشنا باشند، دستورالعمل های فناورانه و تعهدات عمومی را برای تضمین امنیت بدانند و کاملاً رعایت کنند. از اطلاعات ارائه الزامات این اسناد برای افراد پذیرفته شده برای پردازش اطلاعات محافظت شده باید توسط روسای ادارات در مقابل امضا انجام شود.

8.1.7. مسئولیت نقض الزامات امنیت اطلاعات

برای هر تخلف جدی از الزامات امنیت اطلاعات توسط کارکنان سازمان، باید یک بررسی داخلی انجام شود. اقدامات نفوذ مناسب باید در مورد عاملان اعمال شود. میزان مسئولیت پرسنل در قبال اقداماتی که در نقض قوانین تعیین شده برای اطمینان از پردازش خودکار ایمن اطلاعات انجام شده است باید با توجه به آسیب ایجاد شده، وجود نیت مخرب و سایر عوامل تعیین شود.

برای اجرای اصل مسئولیت شخصی کاربران در قبال اقدامات خود، لازم است:

• شناسایی فردی کاربران و فرآیندهای آغاز شده توسط آنها، به عنوان مثال. ایجاد یک شناسه برای آنها که بر اساس آن تمایز دسترسی مطابق با اصل منطقی بودن دسترسی انجام می شود.
• احراز هویت کاربر ( احراز هویت) بر اساس رمزهای عبور، کلیدها بر اساس فیزیکی متفاوت و غیره؛
• ثبت ( چوب بری) بهره برداری از مکانیسم های کنترل دسترسی به منابع سیستم اطلاعاتی با ذکر تاریخ و زمان، شناسه های منابع درخواست کننده و درخواستی، نوع تعامل و نتیجه آن.
• واکنش به تلاش برای دسترسی غیرمجاز ( زنگ هشدار، مسدود کردن و غیره).

8.2. ابزار فنی حفاظت

فنی ( سخت افزار و نرم افزار) وسایل حفاظت - دستگاه های الکترونیکی مختلف و برنامه های ویژه ای که بخشی از AU هستند و عملکردهای حفاظتی (مستقل یا در ترکیب با وسایل دیگر) را انجام می دهند. شناسایی و احراز هویت کاربران، کنترل دسترسی به منابع، ثبت رویداد، حفاظت رمزنگاری اطلاعات و غیره.).

با در نظر گرفتن کلیه الزامات و اصول برای اطمینان از امنیت اطلاعات در AS در کلیه زمینه های حفاظتی، وسایل زیر باید در سیستم حفاظت گنجانده شود:

• ابزار احراز هویت کاربران و عناصر AS ( پایانه ها، وظایف، عناصر پایگاه داده و غیره) مطابق با میزان محرمانه بودن اطلاعات و داده های پردازش شده؛
• ابزارهای متمایز کردن دسترسی به داده ها؛
• ابزار حفاظت رمزنگاری اطلاعات در خطوط انتقال داده و در پایگاه های داده؛
• ابزارهای ثبت درخواست تجدیدنظر و نظارت بر استفاده از اطلاعات محافظت شده؛
• ابزار پاسخ به UA شناسایی شده یا تلاش برای UA؛
• ابزاری برای کاهش سطح و محتوای اطلاعات تشعشعات جعلی و پیکاپ ها؛
• ابزار محافظت در برابر ابزارهای مشاهده نوری؛
• ابزار محافظت در برابر ویروس ها و برنامه های مخرب؛
• وسیله ای برای جداسازی الکتریکی عناصر NPP و عناصر ساختاری محلی که تجهیزات در آن قرار دارد.

وظایف اصلی زیر به ابزار فنی حفاظت در برابر دسترسی غیرمجاز اختصاص داده شده است:

• شناسایی و احراز هویت کاربران با استفاده از نام و/یا سخت افزار خاص ( حافظه، کارت هوشمند و غیره را لمس کنید.);
• تنظیم دسترسی کاربر به دستگاه های فیزیکی ایستگاه های کاری ( درایوها، پورت های ورودی/خروجی);
• کنترل انتخابی (اختیاری) دسترسی به درایوهای منطقی، دایرکتوری ها و فایل ها؛
• تمایز معتبر (اجباری) دسترسی به داده های محافظت شده در ایستگاه کاری و سرور فایل؛
• ایجاد یک بسته محیط نرم افزاراجازه اجرای برنامه های مستقر در درایوهای محلی و شبکه را دارد.
• محافظت در برابر نفوذ ویروس های رایانه ای و برنامه های مخرب؛
• کنترل یکپارچگی ماژول های سیستم حفاظتی، مناطق سیستم دیسک و لیست فایل های دلخواه در حالت خودکار و توسط دستورات مدیر.
• ثبت اقدامات کاربر در یک گزارش محافظت شده، وجود چندین سطح ثبت نام؛
• حفاظت از داده های سیستم حفاظتی در سرور فایل از دسترسی همه کاربران، از جمله مدیر شبکه؛
• مدیریت متمرکز تنظیمات کنترل دسترسی در ایستگاه های کاری شبکه؛
• ثبت تمام رویدادهای UA که در ایستگاه های کاری اتفاق می افتد.
• کنترل عملیاتی بر کار کاربران شبکه، تغییر حالت های عملکرد ایستگاه های کاری و امکان مسدودسازی ( در صورت لزوم) هر ایستگاه شبکه.

استفاده موفقیت آمیز از ابزار فنی حفاظت فرض می کند که تحقق الزامات ذکر شده در زیر با اقدامات سازمانی و ابزار فیزیکی حفاظت مورد استفاده تضمین می شود:

• یکپارچگی فیزیکی تمام اجزای AU تضمین می شود.
• هر کارگر کاربر سیستم) دارای یک نام سیستم منحصر به فرد و حداقل اختیار لازم برای انجام وظایف عملکردی خود برای دسترسی به منابع سیستم است.
• استفاده از برنامه های ابزاری و فناوری در ایستگاه های کاری ( ابزارهای آزمایشی، دیباگرها و غیره) که اجازه می دهد تلاش برای هک یا دور زدن اقدامات امنیتی محدود و به شدت تنظیم شود.
• هیچ کاربر برنامه نویسی در سیستم امن وجود ندارد و توسعه و اشکال زدایی برنامه ها خارج از سیستم امن انجام می شود.
• تمام تغییرات در پیکربندی سخت افزار و نرم افزار به روشی کاملاً مشخص انجام می شود.
• سخت افزار شبکه ( هاب ها، سوئیچ ها، روترها و غیره) در مکان های غیرقابل دسترس برای غریبه ها قرار دارد ( اتاق های مخصوص، کابینت ها و غیره);
• سرویس امنیت اطلاعات پشتیبانی مستمر مدیریتی و اداری را برای عملیات ابزارهای حفاظت از اطلاعات ارائه می دهد.

8.2.1. ابزارهای شناسایی و احراز هویت کاربران

به منظور جلوگیری از دسترسی افراد غیرمجاز به AS، لازم است اطمینان حاصل شود که سیستم هر کاربر قانونی (یا گروه های محدودی از کاربران) را می شناسد. برای این کار در سیستم ( در یک مکان حفاظت شده) باید تعدادی از ویژگی های هر کاربر را ذخیره کند که توسط آنها بتوان این کاربر را شناسایی کرد. در آینده، هنگام ورود به سیستم، و در صورت لزوم، هنگام انجام برخی اقدامات در سیستم، کاربر باید خود را شناسایی کند، یعنی. شناسه اختصاص داده شده به آن در سیستم را مشخص کنید. علاوه بر این، انواع مختلفی از دستگاه ها را می توان برای شناسایی استفاده کرد: کارت های مغناطیسی، درج کلید، فلاپی دیسک و غیره.

احراز هویت ( احراز هویت) کاربران باید بر اساس استفاده از رمزهای عبور (کلمات مخفی) یا ابزارهای خاص احراز هویت برای بررسی خصوصیات (پارامترهای) منحصر به فرد کاربران انجام شود.

8.2.2. ابزاری برای محدود کردن دسترسی به منابع سیستم خودکار

پس از شناسایی کاربر، سیستم باید به کاربر اجازه دهد، یعنی تعیین کند که چه حقوقی به کاربر اعطا می شود، یعنی. چه داده‌هایی و چگونه می‌تواند از آن استفاده کند، چه برنامه‌هایی را می‌تواند اجرا کند، چه زمانی، چه مدت و از چه پایانه‌هایی می‌تواند کار کند، از چه منابع سیستمی می‌تواند استفاده کند و غیره. مجوز کاربر باید با استفاده از مکانیسم های زیر برای اجرای کنترل دسترسی انجام شود:

• مکانیسم‌هایی برای کنترل دسترسی انتخابی بر اساس استفاده از طرح‌های ویژگی، لیست‌های مجوز و غیره؛
• مکانیسم‌هایی برای کنترل دسترسی معتبر بر اساس استفاده از برچسب‌های حساسیت منابع و سطوح دسترسی کاربر.
• مکانیسم هایی برای اطمینان از محیط بسته نرم افزار قابل اعتماد ( برای هر کاربر لیست برنامه هایی که مجاز به اجرا هستند) توسط مکانیسم هایی برای شناسایی و احراز هویت کاربران هنگام ورود به سیستم پشتیبانی می شود.

حوزه های مسئولیت و وظایف ابزارهای فنی خاص حفاظت بر اساس توانمندی و ویژگی های عملکرددر مستندات این ابزارها شرح داده شده است.

ابزار فنی کنترل دسترسی باید باشد بخشی جدایی ناپذیر سیستم یکپارچهکنترل دسترسی:

• به قلمرو تحت کنترل؛
• در اتاق های جداگانه؛
• به عناصر AS و عناصر سیستم امنیت اطلاعات ( دسترسی فیزیکی);
• به منابع AS ( دسترسی نرم افزاری-ریاضی);
• به مخازن اطلاعات ( رسانه های ذخیره سازی، حجم ها، فایل ها، مجموعه داده ها، بایگانی ها، مراجع، سوابق و غیره.);
• به منابع فعال ( برنامه های کاربردی، وظایف، فرم های درخواست و غیره);
• به سیستم عامل، برنامه های سیستم و برنامه های امنیتی و غیره.

8.2.3. ابزاری برای تضمین و نظارت بر یکپارچگی نرم افزار و منابع اطلاعاتی

کنترل یکپارچگی برنامه ها، اطلاعات پردازش شده و وسایل حفاظتی، به منظور اطمینان از تغییر ناپذیری محیط نرم افزار تعیین شده توسط فناوری پردازش ارائه شده، و محافظت در برابر تصحیح غیرمجاز اطلاعات، باید ارائه شود:

• ابزار محاسبه چک جمع ها؛
• ابزار امضای الکترونیکی؛
• ابزاری برای مقایسه منابع حیاتی با نسخه های مرجع آنها ( و بازیابی در صورت نقض یکپارچگی);
• ابزار کنترل دسترسی ( با تغییر یا حذف حقوق دسترسی را رد کنید).

به منظور محافظت از اطلاعات و برنامه ها در برابر تخریب یا تحریف غیرمجاز، لازم است اطمینان حاصل شود:

• تکرار جداول و داده های سیستم؛
• دوبلکس کردن و انعکاس داده ها روی دیسک.
• ردیابی تراکنش؛
• نظارت دوره ای بر یکپارچگی سیستم عامل و برنامه های کاربر و همچنین فایل های کاربر.
• حفاظت و کنترل ضد ویروس؛
• پشتیبان گیری از داده ها طبق یک طرح از پیش تعیین شده

8.2.4. کنترل رویدادهای امنیتی

کنترل ها باید اطمینان حاصل کنند که همه رویدادها شناسایی و ثبت می شوند ( اقدامات کاربر، تلاش های UA و غیره) که ممکن است منجر به نقض سیاست امنیتی شود و منجر به شرایط بحرانی شود. کنترل ها باید این توانایی را فراهم کنند:

• نظارت مداوم بر گره های شبکه کلیدی و تجهیزات ارتباطی تشکیل دهنده شبکه و همچنین فعالیت شبکهدر بخش های کلیدی شبکه؛
• کنترل استفاده از خدمات شبکه عمومی و شرکتی توسط کاربران؛
• نگهداری و تجزیه و تحلیل گزارش رویدادهای امنیتی؛
• شناسایی به موقع تهدیدهای خارجی و داخلی برای امنیت اطلاعات.

هنگام ثبت رویدادهای امنیتی، اطلاعات زیر باید در گزارش سیستم ثبت شود:

• تاریخ و زمان رویداد؛
• شناسه موضوع ( کاربر، برنامه) انجام عمل ثبت شده؛
• عمل ( اگر درخواست دسترسی ثبت شده باشد، شیء و نوع دسترسی ذکر می شود).

کنترل ها باید تشخیص و ثبت رویدادهای زیر را فراهم کنند:

• ورود کاربر؛
• ورود کاربر به شبکه؛
• ورود ناموفق یا تلاش شبکه ( ورود اشتباه رمز عبور);
• اتصال به سرور فایل؛
• راه اندازی برنامه؛
• تکمیل برنامه؛
• تلاش برای راه اندازی برنامه ای که برای راه اندازی در دسترس نیست.
• تلاش برای دسترسی به دایرکتوری غیرقابل دسترسی؛
• تلاش برای خواندن / نوشتن اطلاعات از دیسکی که برای کاربر غیرقابل دسترسی است.
• تلاش برای راه اندازی برنامه از دیسکی که برای کاربر غیرقابل دسترسی است.
• نقض یکپارچگی برنامه ها و داده های سیستم حفاظتی و غیره.

راه های اصلی زیر برای پاسخ به حقایق کشف شده UA باید پشتیبانی شود ( احتمالاً با مشارکت یک مدیر امنیتی):

• اطلاع صاحب اطلاعات در مورد UA به داده های خود؛
• حذف برنامه ( وظایف) از اجرای بعدی؛
• اطلاع دادن به مدیر پایگاه داده و مدیر امنیت؛
• خاموش شدن ترمینال ( ایستگاه کاری) که از آن تلاش UA برای دسترسی به اطلاعات یا اقدامات غیرقانونی در شبکه انجام شد.
• حذف متخلف از لیست کاربران ثبت نام شده؛
• دادن زنگ هشدار و غیره

8.2.5. ابزار رمزنگاری حفاظت از اطلاعات

یکی از مهمترین عناصر سیستم امنیت اطلاعات AS باید استفاده از روش ها و ابزارهای رمزنگاری برای محافظت از اطلاعات در برابر دسترسی غیرمجاز هنگام انتقال آنها از طریق کانال های ارتباطی و ذخیره در رسانه های رایانه ای باشد.

تمام ابزارهای حفاظت از اطلاعات رمزنگاری در AS باید بر اساس هسته رمزنگاری اولیه باشد. برای حق استفاده از رسانه های رمزنگاری، یک سازمان باید دارای مجوزهایی باشد که توسط قانون ایجاد شده است.

سیستم کلیدی ابزارهای حفاظت رمزنگاری مورد استفاده در AS باید قابلیت بقای رمزنگاری و محافظت چند سطحی در برابر به خطر افتادن اطلاعات کلیدی، جداسازی کاربران بر اساس سطوح حفاظت و مناطق تعامل آنها بین خود و کاربران سایر سطوح را فراهم کند.

محرمانه بودن و حفاظت تقلیدی اطلاعات در حین انتقال آن از طریق کانال های ارتباطی باید از طریق استفاده از رمزگذاری مشترک و کانال در سیستم تضمین شود. ترکیبی از رمزگذاری مشترک و کانال اطلاعات باید حفاظت سرتاسر آن را در کل مسیر عبور تضمین کند، از اطلاعات در صورت تغییر مسیر اشتباه به دلیل خرابی و نقص سخت افزار و نرم افزار مراکز سوئیچینگ محافظت کند.

AS که سیستمی با منابع اطلاعاتی توزیع شده است، باید از ابزار تولید و تأیید امضای الکترونیکی نیز استفاده کند که از یکپارچگی و شواهد قانونی صحت پیام ها و همچنین احراز هویت کاربران، ایستگاه های مشترک و تأیید اعتبار اطمینان حاصل کند. زمان ارسال پیام در این مورد باید از الگوریتم های استاندارد امضای الکترونیکی استفاده کرد.

8.3. مدیریت امنیت اطلاعات

مدیریت سیستم امنیت اطلاعات در AS یک تأثیر هدفمند بر اجزای سیستم امنیتی است ( سازمانی، فنی، نرم افزاری و رمزنگاری) به منظور دستیابی به شاخص ها و استانداردهای مورد نیاز امنیت اطلاعات در حال گردش در NPP در چارچوب اجرای تهدیدات امنیتی اصلی.

هدف اصلی سازماندهی مدیریت سیستم امنیت اطلاعات افزایش قابلیت اطمینان حفاظت اطلاعات در فرآیند پردازش، ذخیره و انتقال آن است.

مدیریت سیستم امنیت اطلاعات توسط یک زیر سیستم کنترل تخصصی که مجموعه ای از ابزارهای کنترلی، فنی، نرم افزاری و رمزنگاری و همچنین اقدامات سازمانی و تعامل با یکدیگر نقاط کنترلی سطوح مختلف است، پیاده سازی می شود.

وظایف زیرسیستم کنترل عبارتند از: اطلاعاتی، کنترلی و کمکی.

عملکرد اطلاعات شامل نظارت مداوم بر وضعیت سیستم حفاظتی، بررسی انطباق شاخص های امنیتی با مقادیر قابل قبول و اطلاع رسانی فوری اپراتورهای امنیتی در مورد موقعیت هایی است که در نیروگاه هسته ای ایجاد می شود که می تواند منجر به نقض امنیت اطلاعات شود. دو الزام برای نظارت بر وضعیت سیستم حفاظتی وجود دارد: کامل بودن و قابلیت اطمینان. کامل بودن میزان پوشش کلیه وسایل حفاظتی و پارامترهای عملکرد آنها را مشخص می کند. قابلیت اطمینان کنترل میزان کفایت مقادیر پارامترهای کنترل شده را با مقدار واقعی آنها مشخص می کند. در نتیجه پردازش داده های کنترلی، اطلاعات مربوط به وضعیت سیستم حفاظتی تولید می شود که تعمیم یافته و به نقاط کنترل بالاتر منتقل می شود.

عملکرد کنترلی تشکیل برنامه هایی برای اجرای عملیات فن آوری نیروگاه هسته ای با در نظر گرفتن الزامات امنیت اطلاعات در شرایط حاکم است. این لحظهزمان، و همچنین در تعیین محل وضعیت آسیب‌پذیری اطلاعات و جلوگیری از نشت آن به دلیل مسدود شدن سریع بخش‌های NPP که در آن تهدیدات امنیت اطلاعات ایجاد می‌شود. وظایف مدیریت شامل حسابداری، ذخیره سازی و صدور اسناد و رسانه های اطلاعاتی، رمز عبور و کلید می باشد. در عین حال، تولید رمز عبور، کلید، نگهداری ابزارهای کنترل دسترسی، پذیرش نرم افزارهای جدید موجود در محیط نرم افزار AS، کنترل انطباق محیط نرم افزار با استاندارد و همچنین کنترل بر روند فناوری فرآیند پردازش اطلاعات محرمانه به کارکنان بخش فناوری اطلاعات و اداره امنیت اقتصادی واگذار می شود.

عملکردهای کمکی زیرسیستم کنترل شامل حسابداری کلیه عملیات انجام شده در AS با اطلاعات محافظت شده، تشکیل اسناد گزارشگری و جمع آوری داده های آماری به منظور تجزیه و تحلیل و شناسایی کانال های نشت اطلاعات بالقوه است.

8.4. نظارت بر اثربخشی سیستم حفاظتی

نظارت بر اثربخشی سیستم امنیت اطلاعات به منظور شناسایی به موقع و جلوگیری از نشت اطلاعات به دلیل دسترسی غیرمجاز به آن و همچنین جلوگیری از اثرات ویژه احتمالی با هدف از بین بردن اطلاعات، از بین بردن ابزارهای اطلاع رسانی انجام می شود.

ارزیابی اثربخشی اقدامات حفاظت از اطلاعات با استفاده از کنترل های سازمانی، فنی و نرم افزاری برای انطباق با الزامات تعیین شده انجام می شود.

کنترل را می توان هم با کمک وسایل استاندارد سیستم امنیت اطلاعات و هم با کمک ابزارهای ویژه کنترل و نظارت فناوری انجام داد.

8.5. ویژگی های تضمین امنیت اطلاعات داده های شخصی

طبقه بندی داده های شخصی مطابق با شدت عواقب از دست دادن ویژگی های امنیتی داده های شخصی برای موضوع داده های شخصی انجام می شود.

• درباره داده های شخصی ” به دسته های خاص داده های شخصی؛
• اطلاعات شخصی طبقه بندی شده مطابق با قانون فدرال " درباره داده های شخصی ” به داده های شخصی بیومتریک؛
• داده‌های شخصی که نمی‌توان آنها را به دسته‌های خاصی از داده‌های شخصی، به داده‌های شخصی بیومتریک، به داده‌های شخصی در دسترس عموم یا غیرشخصی نسبت داد.
• اطلاعات شخصی طبقه بندی شده مطابق با قانون فدرال " درباره داده های شخصی ” به داده های شخصی در دسترس عموم یا شناسایی نشده است.

انتقال داده های شخصی به شخص ثالث باید بر اساس قانون فدرال یا رضایت موضوع داده های شخصی انجام شود. در صورتی که سازمانی پردازش داده‌های شخصی را بر اساس توافقی به شخص ثالث واگذار کند، شرط اساسی چنین توافقی، تعهد شخص ثالث به اطمینان از محرمانه بودن داده‌های شخصی و امنیت داده‌های شخصی است. در طول پردازش آنها

سازمان باید پردازش داده‌های شخصی را متوقف کند و داده‌های شخصی جمع‌آوری‌شده را از بین ببرد، مگر اینکه در قوانین فدراسیون روسیه به نحو دیگری پیش‌بینی شده باشد، در محدوده زمانی تعیین شده توسط قانون فدراسیون روسیه در موارد زیر:

• پس از رسیدن به اهداف پردازش یا زمانی که دستیابی به آنها دیگر ضروری نیست.
• به درخواست موضوع داده های شخصی یا سازمان مجاز برای حمایت از حقوق افراد داده های شخصی - اگر داده های شخصی ناقص، قدیمی، غیرقابل اعتماد، به طور غیرقانونی به دست آمده یا برای هدف ذکر شده پردازش ضروری نباشد.
• هنگامی که موضوع داده های شخصی رضایت خود را از پردازش داده های شخصی خود پس می گیرد، در صورتی که چنین رضایتی مطابق با قوانین فدراسیون روسیه لازم باشد.
• اگر اپراتور نتواند تخلفات انجام شده در پردازش داده های شخصی را از بین ببرد.

سازمان باید تعریف و مستندسازی کند:

• روش تخریب داده های شخصی ( از جمله حامل های مادی داده های شخصی);
• روال پردازش درخواست های افراد سوژه داده های شخصی ( یا نمایندگان قانونی آنها) در مورد پردازش داده های شخصی آنها؛
• رویه اقدامات در صورت درخواست از طرف مرجع مجاز برای حمایت از حقوق افراد داده های شخصی یا سایر مقامات نظارتی که کنترل و نظارت را در زمینه داده های شخصی اعمال می کنند.
• رویکرد نسبت دادن AS به سیستم های اطلاعاتی داده های شخصی ( به علاوه - ISPD );
• لیست ISPD ها فهرست ISPD باید شامل AS باشد که هدف آن پردازش داده های شخصی است.

برای هر ISPD، موارد زیر باید تعیین و مستند شوند:

• هدف از پردازش داده های شخصی؛
• حجم و محتوای داده های شخصی پردازش شده؛
• لیستی از اقدامات با داده های شخصی و روش های پردازش آنها.

حجم و محتوای داده های شخصی و همچنین فهرست اقدامات و روش های پردازش داده های شخصی باید با اهداف پردازش مطابقت داشته باشد. در صورتی که برای انجام فرآیند فناوری اطلاعات که اجرای آن توسط ISPD پشتیبانی می شود، نیازی به پردازش داده های شخصی خاص نباشد، این داده های شخصی باید حذف شوند.

الزامات تضمین امنیت داده‌های شخصی در ISPD عموماً توسط مجموعه‌ای از اقدامات سازمانی، فناوری، فنی و نرم‌افزاری، ابزارها و مکانیسم‌های حفاظت از اطلاعات اجرا می‌شود.

سازمان اجرا و ( یا) اجرای الزامات برای اطمینان از امنیت داده های شخصی باید توسط یک واحد ساختاری یا یک مقام (کارمند) سازمان مسئول تضمین امنیت داده های شخصی یا به صورت قراردادی توسط یک سازمان - طرف مقابل انجام شود. سازمانی که مجوز دارد حفاظت فنیاطلاعات محرمانه.

ایجاد ISPD یک سازمان باید شامل توسعه و تایید ( بیانیه) اسناد سازمانی و اداری، طراحی و عملیاتی پیش بینی شده توسط شرایط مرجع سیستم در حال ایجاد. اسناد باید مسائل مربوط به تضمین امنیت داده های شخصی پردازش شده را منعکس کند.

توسعه مفاهیم، ​​مشخصات فنی، طراحی، ایجاد و آزمایش، پذیرش و راه اندازی ISPD باید با توافق و تحت کنترل یک واحد ساختاری یا یک مقام (کارمند) مسئول تضمین امنیت داده های شخصی انجام شود.

تمام دارایی های اطلاعاتی متعلق به ISPD سازمان باید در برابر تأثیر محافظت شود کد مخرب. سازمان باید الزامات تضمین امنیت داده های شخصی با استفاده از حفاظت ضد ویروس و روش نظارت بر اجرای این الزامات را تعریف و مستند کند.

سازمان باید یک سیستم کنترل دسترسی تعریف کند که امکان کنترل دسترسی به پورت های ارتباطی، دستگاه های ورودی/خروجی، رسانه های ذخیره سازی قابل جابجایی و دستگاه های ذخیره سازی خارجی ISPD را فراهم کند.

رؤسای بخش های عملیاتی و خدماتی ISPD سازمان از امنیت داده های شخصی در حین پردازش آنها در ISPD اطمینان می دهند.

کارکنانی که داده های شخصی را در ISPD پردازش می کنند باید مطابق دستورالعمل ها عمل کنند ( مدیریت، مقررات و غیره) که بخشی از اسناد عملیاتی برای ISPD است و با الزامات اسناد برای اطمینان از IS مطابقت دارد.

مسئولیت‌های مدیریت ابزارهای حفاظتی و مکانیسم‌های حفاظتی که الزامات تضمین امنیت اطلاعات ISPD سازمان را پیاده‌سازی می‌کنند، توسط دستورات تعیین می‌شوند. سفارشات) برای متخصصان بخش فناوری اطلاعات.

روش اقدامات متخصصان بخش فناوری اطلاعات و پرسنل درگیر در پردازش داده های شخصی باید توسط دستورالعمل تعیین شود ( دستورالعمل ها) که توسط توسعه دهنده ISPD به عنوان بخشی از اسناد عملیاتی برای ISPD تهیه شده است.

دستورالعمل های مشخص شده ( راهنماها):

• الزامات مربوط به صلاحیت پرسنل در زمینه امنیت اطلاعات و همچنین لیستی به روز از اشیاء محافظت شده و قوانین به روز رسانی آن را ایجاد کنید.
• حاوی کامل و به روز باشد توسط زمان) داده های مجوز کاربر؛
• حاوی داده هایی در مورد فناوری پردازش اطلاعات تا حدی که برای یک متخصص امنیت اطلاعات لازم است.
• ترتیب و فراوانی تجزیه و تحلیل گزارش های رویداد را تنظیم کنید ( آرشیو مجلات);
• سایر فعالیت ها را تنظیم کند.

پارامترهای پیکربندی ابزار حفاظت و مکانیسم های محافظت از اطلاعات در برابر دسترسی غیرمجاز، مورد استفاده در حوزه مسئولیت متخصصان بخش فناوری اطلاعات، در اسناد عملیاتی ISPD تعیین می شود. ترتیب و دفعات بررسی پارامترهای پیکربندی تنظیم شده در اسناد عملیاتی تعیین می شود یا توسط یک سند داخلی تنظیم می شود، در حالی که بررسی ها باید حداقل یک بار در سال انجام شود.

سازمان باید روش دسترسی به اماکنی را که ابزار فنی ISPD در آن قرار دارد و حامل های اطلاعات شخصی ذخیره می شود، تعریف و مستند کند، که کنترل دسترسی افراد غیرمجاز به محل و وجود موانع برای ورود غیرمجاز به محل را فراهم می کند. . رویه مشخص شده باید توسط یک واحد ساختاری یا یک مقام رسمی ( کارگر) مسئول تضمین رژیم امنیت فیزیکی و تایید شده توسط واحد سازه یا مقام ( کارگر) مسئول تضمین امنیت داده های شخصی و وزارت امنیت اقتصادی است.

کاربران ISPD و پرسنل تعمیر و نگهداری نباید غیرمجاز و ( یا) ثبت نشده ( کنترل نشده) کپی کردن اطلاعات شخصی بدین منظور اقدامات سازمانی و فنی باید از موارد غیرمجاز و ( یا) ثبت نشده ( کنترل نشده) کپی کردن داده های شخصی، از جمله استفاده از غیرقانونی ( قابل تعویض) رسانه های ذخیره سازی، دستگاه های تلفن همراه برای کپی و انتقال اطلاعات، پورت های ارتباطی و دستگاه های ورودی/خروجی که رابط های مختلف را پیاده سازی می کنند ( از جمله بی سیم، دستگاه های ذخیره سازی دستگاه های تلفن همراه ( به عنوان مثال لپ تاپ، PDA، گوشی های هوشمند، تلفن های همراه ) و همچنین دستگاه های عکس و فیلم.

کنترل امنیت شخصی توسط یک متخصص امنیت اطلاعات، هم با کمک وسایل استاندارد سیستم امنیت اطلاعات و هم با کمک ابزارهای ویژه کنترل و نظارت تکنولوژیکی انجام می شود.

دانلود فایل ZIP (65475)

اسناد به کار آمد - "مانند" یا:

ابزارهای نرم افزاری و سخت افزاری محافظت در برابر دسترسی غیرمجاز شامل اقدامات شناسایی، احراز هویت و کنترل دسترسی به سیستم اطلاعاتی است.

شناسایی تخصیص شناسه های منحصر به فرد برای دسترسی به موضوعات است.

این شامل برچسب‌های فرکانس رادیویی، فناوری‌های بیومتریک، کارت‌های مغناطیسی، کلیدهای مغناطیسی جهانی، ورود به سیستم و غیره است.

احراز هویت - تأیید مالکیت دسترسی موضوع شناسه ارائه شده و تأیید صحت آن.

روش های احراز هویت شامل رمزهای عبور، کدهای پین، کارت های هوشمند، کلیدهای USB، امضای دیجیتال، کلیدهای جلسه و غیره است. بخش رویه‌ای ابزار شناسایی و احراز هویت به هم پیوسته است و در واقع پایه اصلی همه ابزارهای نرم‌افزاری و سخت‌افزاری برای تضمین امنیت اطلاعات را نشان می‌دهد، زیرا همه خدمات دیگر برای خدمت به موضوعات خاصی طراحی شده‌اند که به درستی توسط سیستم اطلاعاتی شناسایی شده‌اند. به طور کلی، شناسایی به آزمودنی اجازه می دهد تا خود را در سیستم اطلاعاتی شناسایی کند و با کمک احراز هویت، سیستم اطلاعاتی تأیید می کند که سوژه واقعاً همان چیزی است که ادعا می کند. بر اساس گذر از این عملیات، عملیاتی برای دسترسی به سیستم اطلاعاتی انجام می شود. رویه های کنترل دسترسی به نهادهای مجاز اجازه می دهد تا اقدامات مجاز توسط مقررات را انجام دهند و سیستم اطلاعاتی نیز این اقدامات را برای صحت و صحت نتیجه به دست آمده کنترل کند. کنترل دسترسی به سیستم اجازه می دهد تا داده هایی را که کاربران به آنها دسترسی ندارند پنهان کند.

ابزار بعدی حفاظت از نرم افزار و سخت افزار، ثبت و ممیزی اطلاعات است.

Logging شامل جمع آوری، انباشت و ذخیره سازی اطلاعات در مورد رویدادها، اقدامات، نتایجی است که در طول عملیات سیستم اطلاعاتی، کاربران فردی، فرآیندها و کلیه نرم افزارها و سخت افزارهایی که بخشی از سیستم اطلاعات سازمانی هستند رخ داده است.

از آنجایی که هر جزء از سیستم اطلاعاتی دارای مجموعه ای از رویدادهای احتمالی از پیش تعیین شده مطابق با طبقه بندی کننده های برنامه ریزی شده است، رویدادها، اقدامات و نتایج به دو دسته تقسیم می شوند:

• خارجی، ناشی از اعمال سایر اجزاء،
• داخلی، ناشی از اعمال خود جزء،
• مشتری، ناشی از اقدامات کاربران و مدیران است.

حسابرسی اطلاعات شامل انجام تجزیه و تحلیل عملیاتی در زمان واقعی یا در یک دوره معین است.

بر اساس نتایج تجزیه و تحلیل، یا گزارشی از وقایع رخ داده ایجاد می شود، یا پاسخ خودکار به یک وضعیت اضطراری آغاز می شود.

اجرای ثبت و حسابرسی وظایف زیر را حل می کند:

• تضمین مسئولیت پذیری کاربران و مدیران؛
• امکان بازسازی توالی وقایع؛
• شناسایی تلاش برای نقض امنیت اطلاعات؛
• ارائه اطلاعات برای شناسایی و تجزیه و تحلیل مشکلات.

اغلب، حفاظت از اطلاعات بدون استفاده از ابزار رمزنگاری غیرممکن است. هنگامی که ابزار احراز هویت به شکل رمزگذاری شده توسط کاربر ذخیره می شود، برای ارائه خدمات رمزگذاری، یکپارچگی و احراز هویت استفاده می شود. دو روش اصلی رمزگذاری وجود دارد: متقارن و نامتقارن.

کنترل یکپارچگی به شما امکان می دهد اعتبار و هویت یک شی را تعیین کنید، که یک آرایه داده، بخش های جداگانه داده، یک منبع داده است، و همچنین از عدم امکان علامت گذاری عمل انجام شده در سیستم با مجموعه ای از اطلاعات اطمینان حاصل کنید. اجرای کنترل یکپارچگی مبتنی بر فناوری‌های تبدیل داده‌ها با استفاده از رمزگذاری و گواهی‌های دیجیتال است.

جنبه مهم دیگر استفاده از محافظ است، فناوری که با محدود کردن دسترسی افراد به منابع اطلاعاتی، امکان کنترل تمام جریان‌های اطلاعاتی بین سیستم اطلاعات سازمانی و اشیاء خارجی، آرایه‌های داده، موضوعات و ضد سوژه‌ها را فراهم می‌کند. کنترل جریان شامل فیلتر کردن آنها و در صورت لزوم تبدیل اطلاعات ارسال شده است.

وظیفه محافظ محافظت از اطلاعات داخلی در برابر عوامل و بازیگران خارجی بالقوه متخاصم است. شکل اصلی اجرای شیلدینگ، فایروال ها یا فایروال ها هستند. انواع مختلفو معماری

از آنجایی که یکی از نشانه های امنیت اطلاعات، در دسترس بودن منابع اطلاعاتی است، اطمینان از سطح بالای در دسترس بودن، جهت مهمی در اجرای اقدامات نرم افزاری و سخت افزاری است. به طور خاص، دو حوزه تقسیم می شود: اطمینان از تحمل خطا، به عنوان مثال. خرابی سیستم، توانایی کار در هنگام بروز خطا و ارائه ایمن و بهبودی سریعپس از شکست، یعنی قابلیت سرویس دهی سیستم

نیاز اصلی برای سیستم های اطلاعاتی این است که آنها همیشه با کارایی معین، حداقل زمان خرابی و سرعت پاسخگویی کار کنند.

مطابق با این، در دسترس بودن منابع اطلاعاتی توسط:

• استفاده از معماری ساختاری، به این معنی که ماژول‌های جداگانه را می‌توان غیرفعال کرد یا در صورت لزوم به سرعت جایگزین کرد بدون اینکه بر سایر عناصر سیستم اطلاعاتی تأثیر بگذارد.
• اطمینان از تحمل خطا به دلیل: استفاده از عناصر مستقل زیرساخت پشتیبانی، معرفی ظرفیت مازاد در پیکربندی نرم‌افزار و سخت‌افزار، افزونگی سخت‌افزار، تکرار منابع اطلاعاتی در سیستم، پشتیبان‌گیری از داده‌ها و غیره.
• تضمین قابلیت نگهداری با کاهش زمان تشخیص و حذف خرابی ها و پیامدهای آنها.

یکی دیگر از ابزارهای امنیت اطلاعات، کانال های ارتباطی امن است.

عملکرد سیستم های اطلاعاتی به طور اجتناب ناپذیری با انتقال داده ها همراه است، بنابراین، برای شرکت ها نیز ضروری است که از حفاظت از منابع اطلاعاتی منتقل شده با استفاده از کانال های ارتباطی ایمن اطمینان حاصل کنند. امکان دسترسی غیرمجاز به داده ها در حین انتقال ترافیک از طریق کانال های ارتباطی باز به دلیل در دسترس بودن عمومی آنهاست. از آنجایی که "ارتباطات در تمام طول آنها نمی توانند از نظر فیزیکی محافظت شوند، بنابراین بهتر است ابتدا از فرض آسیب پذیری آنها بکوشیم و بر این اساس حفاظت ارائه کنیم". برای این کار از فناوری های تونل زنی استفاده می شود که ماهیت آن کپسوله کردن داده ها است. بسته‌های داده ارسالی، از جمله تمام ویژگی‌های سرویس، را در پاکت‌های خود بسته‌بندی یا بپیچید. بر این اساس، تونل یک اتصال امن از طریق کانال‌های ارتباطی باز است که از طریق آن بسته‌های اطلاعاتی محافظت شده از طریق رمزنگاری مخابره می‌شوند. تونل سازی برای اطمینان از محرمانه بودن ترافیک با پنهان کردن اطلاعات سرویس و اطمینان از محرمانه بودن و یکپارچگی داده های ارسال شده در صورت استفاده همراه با عناصر رمزنگاری یک سیستم اطلاعاتی استفاده می شود. ترکیب تونل زنی و رمزگذاری امکان پیاده سازی یک شبکه خصوصی مجازی را فراهم می کند. در عین حال، نقاط انتهایی تونل‌هایی که شبکه‌های خصوصی مجازی را پیاده‌سازی می‌کنند، فایروال‌هایی هستند که در خدمت اتصال سازمان‌ها به شبکه‌های خارجی هستند.

فایروال ها به عنوان نقاط پیاده سازی سرویس شبکه های خصوصی مجازی

بنابراین، تونل زنی و رمزگذاری تغییرات اضافی هستند که در فرآیند فیلتر کردن ترافیک شبکه همراه با ترجمه آدرس انجام می شوند. انتهای تونل، علاوه بر فایروال های شرکتی، می تواند شخصی و کامپیوترهای موبایلکارمندان، به طور دقیق تر، فایروال ها و فایروال های شخصی آنها. به لطف این رویکرد، عملکرد کانال های ارتباطی امن تضمین می شود.

رویه های امنیت اطلاعات

رویه های امنیت اطلاعات معمولاً به سطوح اداری و سازمانی تقسیم می شوند.

• رویه های اداری شامل اقدامات کلی مدیریت سازمان برای تنظیم کلیه کارها، اقدامات، عملیات در زمینه تضمین و حفظ امنیت اطلاعات است که با تخصیص منابع لازم و نظارت بر اثربخشی اقدامات انجام شده اجرا می شود.
• سطح سازمانی نشان دهنده رویه هایی برای تضمین امنیت اطلاعات، از جمله مدیریت پرسنل، حفاظت فیزیکی، حفظ عملکرد زیرساخت نرم افزاری و سخت افزاری، حذف سریع نقض های امنیتی و برنامه ریزی کار بازیابی است.

از سوی دیگر، تمایز بین رویه‌های اداری و سازمانی بی‌معنی است، زیرا رویه‌های یک سطح نمی‌توانند جدا از سطح دیگر وجود داشته باشند، در نتیجه رابطه بین حفاظت لایه فیزیکی، حفاظت شخصی و سازمانی در مفهوم امنیت اطلاعات نقض می‌شود. در عمل، سازمان‌ها ضمن تضمین امنیت اطلاعات، از رویه‌های اداری یا سازمانی غفلت نمی‌کنند، بنابراین منطقی‌تر است که آنها را به عنوان یک رویکرد یکپارچه در نظر بگیریم، زیرا هر دو سطح بر سطوح فیزیکی، سازمانی و شخصی حفاظت از اطلاعات تأثیر می‌گذارند.

اساس رویه های پیچیده برای تضمین امنیت اطلاعات، سیاست امنیتی است.

سیاست امنیت اطلاعات

سیاست امنیت اطلاعاتدر یک سازمان، مجموعه ای از تصمیمات مستند است که توسط مدیریت سازمان گرفته می شود و با هدف حفاظت از اطلاعات و منابع مرتبط با آن انجام می شود.

از نظر سازمانی و مدیریتی، خط مشی امنیت اطلاعات می تواند یک سند واحد باشد یا در قالب چندین سند یا دستور مستقل تنظیم شود، اما در هر صورت باید جنبه های زیر را برای حفاظت از سیستم اطلاعاتی سازمان پوشش دهد:

• حفاظت از اشیاء سیستم اطلاعات، منابع اطلاعاتی و عملیات مستقیم با آنها؛
• حفاظت از کلیه عملیات مربوط به پردازش اطلاعات در سیستم، از جمله نرم افزار پردازش؛
• حفاظت از کانال های ارتباطی، از جمله کانال های سیمی، رادیویی، مادون قرمز، سخت افزار و غیره؛
• حفاظت مجتمع سخت افزاریاز تابش الکترومغناطیسی جانبی؛
• مدیریت سیستم امنیتی، از جمله نگهداری، ارتقاء و اقدامات اداری.

هر یک از جنبه ها باید به تفصیل شرح داده شود و در اسناد داخلی سازمان مستند شود. اسناد داخلی سه سطح از فرآیند حفاظت را پوشش می دهند: بالا، میانی و پایین.

مستندات سطح بالاسیاست های امنیت اطلاعات منعکس کننده رویکرد اساسی سازمان برای حفاظت از اطلاعات خود و انطباق با استانداردهای ملی و/یا بین المللی است. در عمل، تنها یک سند سطح بالا در یک سازمان با عنوان «مفهوم امنیت اطلاعات»، «مقررات امنیت اطلاعات» و غیره وجود دارد. به طور رسمی، این اسناد ارزش محرمانه ندارند، توزیع آنها محدود نیست، اما می توانند در یک نسخه برای استفاده داخلی و انتشار آزاد منتشر شوند.

اسناد سطح میانی کاملاً محرمانه هستند و به جنبه‌های خاصی از امنیت اطلاعات سازمان مربوط می‌شوند: ابزارهای حفاظت از اطلاعات مورد استفاده، امنیت پایگاه‌های اطلاعاتی، ارتباطات، ابزارهای رمزنگاری و سایر اطلاعات و فرآیندهای اقتصادی سازمان. مستندات در قالب استانداردهای فنی و سازمانی داخلی اجرا می شود.

اسناد سطح پایین به دو نوع تقسیم می شوند: مقررات کار و دستورالعمل های عملیاتی. مقررات کار کاملاً محرمانه است و فقط برای افرادی در نظر گرفته شده است که در حین انجام وظیفه، کارهای مربوط به اداره خدمات امنیت اطلاعات فردی را انجام می دهند. دستورالعمل های عملیاتی می تواند محرمانه یا عمومی باشد. آنها برای پرسنل سازمان در نظر گرفته شده اند و روش کار با عناصر فردی سیستم اطلاعاتی سازمان را شرح می دهند.

تجربه جهانی نشان می‌دهد که سیاست امنیت اطلاعات همیشه تنها در شرکت‌های بزرگی مستند می‌شود که دارای سیستم اطلاعاتی توسعه‌یافته‌ای هستند که الزامات بیشتری را برای امنیت اطلاعات تحمیل می‌کند، شرکت‌های متوسط ​​اغلب فقط یک خط‌مشی امنیت اطلاعات تا حدی مستند دارند، و سازمان‌های کوچک در سطح وسیع. اکثریت به هیچ وجه به مستندسازی سیاست امنیتی اهمیت نمی دهند. صرف نظر از اینکه قالب مستندات جامع است یا توزیع شده، جنبه اساسی حالت امنیتی است.

دو رویکرد متفاوت وجود دارد که اساس را تشکیل می دهند سیاست امنیت اطلاعات:

1. «هر چیزی که حرام نباشد حلال است».
2. «هر چیزی که جایز نیست، حرام است».

عیب اساسی رویکرد اول این است که در عمل نمی توان همه موارد خطرناک را پیش بینی و منع کرد. بدون شک فقط باید از روش دوم استفاده کرد.

سطح سازمانی امنیت اطلاعات

از نقطه نظر امنیت اطلاعات، رویه های سازمانی برای تضمین امنیت اطلاعات به عنوان "تنظیم فعالیت های تولیدی و روابط بین مجریان بر اساس مبنای قانونی که سوء استفاده از اطلاعات محرمانه و بروز تهدیدات داخلی و خارجی را مستثنی یا به طور قابل توجهی مانع می شود" ارائه می شود. .

اقدامات مدیریت پرسنل با هدف سازماندهی کار با پرسنل به منظور اطمینان از امنیت اطلاعات شامل تفکیک وظایف و به حداقل رساندن امتیازات است. تقسیم وظایف، توزیعی از شایستگی ها و حوزه های مسئولیت را تجویز می کند که در آن یک فرد قادر به ایجاد اختلال در فرآیندی نیست که برای سازمان حیاتی است. این امر احتمال خطا و سوء استفاده را کاهش می دهد. به حداقل رساندن امتیاز حکم می کند که به کاربران فقط سطح دسترسی مناسب برای عملکرد شغلی آنها داده شود. این امر آسیب ناشی از اقدامات نادرست سهوی یا عمدی را کاهش می دهد.

حفاظت فیزیکی به معنای توسعه و اتخاذ تدابیری برای حفاظت مستقیم از ساختمان هایی است که منابع اطلاعاتی سازمان، مناطق مجاور، عناصر زیرساختی، تجهیزات محاسباتی، حامل های داده و کانال های ارتباطی سخت افزاری را در خود جای داده است. اینها شامل کنترل دسترسی فیزیکی، حفاظت در برابر آتش، حفاظت از زیرساخت پشتیبانی، حفاظت از استراق سمع و حفاظت از سیستم تلفن همراه است.

حفظ سلامت زیرساخت نرم افزاری و سخت افزاری برای جلوگیری از خطاهای تصادفی است که تهدید به آسیب رساندن به مجموعه سخت افزاری، اختلال در برنامه ها و از دست دادن داده ها می کند. جهات اصلی در این زمینه عبارتند از ارائه پشتیبانی کاربر و نرم افزار، مدیریت پیکربندی، پشتیبان گیری، مدیریت رسانه، اسناد و نگهداری پیشگیرانه.

حل سریع نقض امنیت سه هدف اصلی دارد:

1. محلی سازی حادثه و کاهش آسیب؛
2. شناسایی مجرم؛
3. جلوگیری از تخلفات مکرر

در نهایت، برنامه ریزی بازیابی به شما این امکان را می دهد که برای حوادث آماده شوید، آسیب های ناشی از آنها را کاهش دهید و حداقل توانایی عملکرد را حفظ کنید.

استفاده از نرم‌افزار و سخت‌افزار و کانال‌های ارتباطی امن باید در سازمان پیاده‌سازی شود رویکرد یکپارچهتوسعه و تصویب کلیه رویه های نظارتی اداری و سازمانی برای تضمین امنیت اطلاعات. در غیر این صورت اتخاذ تدابیر جداگانه تضمین کننده حفاظت از اطلاعات نیست و اغلب برعکس باعث درز اطلاعات محرمانه، از بین رفتن داده های حیاتی، آسیب به زیرساخت های سخت افزاری و اختلال در اجزای نرم افزاری سیستم اطلاعاتی سازمان می شود.

روش های امنیت اطلاعات

شرکت های مدرن با یک سیستم اطلاعاتی توزیع شده مشخص می شوند که به شما امکان می دهد دفاتر و انبارهای توزیع شده شرکت، حسابداری مالی و کنترل مدیریت، اطلاعات از پایگاه مشتری، با در نظر گرفتن انتخاب شاخص ها و غیره را در نظر بگیرید. بنابراین، مجموعه داده ها بسیار قابل توجه است و اکثریت قریب به اتفاق آن اطلاعاتی است که از نظر تجاری و اقتصادی برای شرکت دارای اهمیت است. در واقع، اطمینان از محرمانه بودن داده هایی که ارزش تجاری دارند، یکی از وظایف اصلی تضمین امنیت اطلاعات در شرکت است.

تضمین امنیت اطلاعات در شرکتباید توسط اسناد زیر تنظیم شود:

1. مقررات امنیت اطلاعات این شامل تدوین اهداف و مقاصد برای تضمین امنیت اطلاعات، فهرستی از مقررات داخلی در مورد ابزارهای امنیت اطلاعات و مقررات مربوط به مدیریت سیستم اطلاعات توزیع شده یک شرکت است. دسترسی به مقررات محدود به مدیریت سازمان و رئیس بخش اتوماسیون است.
2. آئین نامه پشتیبانی فنیحفاظت از اطلاعات اسناد محرمانه هستند، دسترسی به کارمندان بخش اتوماسیون و مدیریت بالاتر محدود است.
3. مقررات مربوط به اداره سیستم حفاظت اطلاعات توزیع شده. دسترسی به مقررات محدود به کارمندان بخش اتوماسیون مسئول مدیریت سیستم اطلاعات و مدیریت ارشد است.

در عین حال نباید این اسناد محدود شود، بلکه سطوح پایین تر نیز باید کار شود. در غیر این صورت، اگر شرکت اسناد دیگری مرتبط با امنیت اطلاعات نداشته باشد، این نشان دهنده درجه ناکافی امنیت اطلاعات اداری است، زیرا هیچ سند سطح پایین تر، به ویژه دستورالعمل هایی برای عملکرد عناصر فردی سیستم اطلاعات وجود ندارد.

رویه های سازمانی اجباری عبارتند از:

• اقدامات اصلی برای تمایز پرسنل بر اساس سطح دسترسی به منابع اطلاعاتی،
• حفاظت فیزیکی دفاتر شرکت در برابر نفوذ مستقیم و تهدیدات تخریب، از دست دادن یا رهگیری داده ها،
• حفظ عملکرد زیرساخت سخت افزاری و نرم افزاری در قالب پشتیبان گیری خودکار سازماندهی شده است، تأیید از راه دور رسانه ذخیره سازی، پشتیبانی کاربر و نرم افزار در صورت درخواست ارائه می شود.

این همچنین باید شامل اقدامات تنظیم شده برای پاسخگویی و حذف موارد نقض امنیت اطلاعات باشد.

در عمل، اغلب مشاهده می شود که شرکت ها به اندازه کافی به این موضوع توجه ندارند. تمام اقدامات در این راستا منحصراً در حالت کار انجام می شود که زمان حذف موارد نقض را افزایش می دهد و جلوگیری از نقض مکرر امنیت اطلاعات را تضمین نمی کند. علاوه بر این، برنامه ریزی اقدامات برای از بین بردن عواقب پس از حوادث، نشت اطلاعات، از دست دادن داده ها و شرایط بحرانی به طور کامل وجود ندارد. همه اینها به طور قابل توجهی امنیت اطلاعات شرکت را بدتر می کند.

در سطح نرم افزاری و سخت افزاری باید سیستم امنیت اطلاعات سه سطحی پیاده سازی شود.

حداقل معیارهای تضمین امنیت اطلاعات:

1. ماژول کنترل دسترسی:

• یک ورودی بسته به سیستم اطلاعاتی اجرا شده است، ورود به سیستم در خارج از محل کار تأیید شده غیرممکن است.
• دسترسی با عملکرد محدود از رایانه های شخصی همراه برای کارمندان اجرا شد.
• مجوز با توجه به ورود و رمز عبور ایجاد شده توسط مدیران انجام می شود.

2. ماژول کنترل رمزگذاری و یکپارچگی:

• یک روش رمزگذاری نامتقارن برای داده های ارسالی استفاده می شود.
• آرایه هایی از داده های حیاتی در پایگاه های داده به شکل رمزگذاری شده ذخیره می شوند که امکان دسترسی به آنها را حتی در صورت هک شدن سیستم اطلاعاتی شرکت نمی دهد.
• کنترل یکپارچگی با یک امضای دیجیتالی ساده از تمام منابع اطلاعاتی ذخیره شده، پردازش یا منتقل شده در سیستم اطلاعاتی ارائه می شود.

3. ماژول محافظ:

• سیستمی از فیلترها را در فایروال ها پیاده سازی کرد که به شما امکان می دهد تمام جریان های اطلاعات را از طریق کانال های ارتباطی کنترل کنید.
• اتصالات خارجی به منابع اطلاعاتی جهانی و کانال های ارتباطی عمومی تنها از طریق مجموعه محدودی از ایستگاه های کاری تایید شده که ارتباط محدودی با سیستم اطلاعات شرکت دارند، می توانند ایجاد شوند.
• دسترسی امن از محل کار کارکنان برای انجام وظایف رسمی آنها از طریق یک سیستم دو سطحی از سرورهای پروکسی اجرا می شود.

در نهایت، با کمک فن آوری های تونل زنی، شرکت باید یک مجازی را پیاده سازی کند شبکه خصوصیمطابق با مدل ساخت و ساز معمولی برای ارائه کانال های ارتباطی امن بین بخش های مختلف شرکت، شرکا و مشتریان شرکت.

علیرغم این واقعیت که ارتباطات مستقیماً از طریق شبکه هایی با بالقوه انجام می شود سطح پاییناعتماد، فناوری های تونل زنی، به لطف استفاده از ابزارهای رمزنگاری، حفاظت قابل اعتماد از تمام داده های ارسال شده را تضمین می کند.

نتیجه گیری

هدف اصلی تمام اقدامات انجام شده در زمینه امنیت اطلاعات، حفاظت از منافع بنگاه اقتصادی است، به هر نحوی که مربوط به منابع اطلاعاتی است. اگرچه منافع شرکت ها به یک حوزه خاص محدود نمی شود، اما همه آنها حول محور در دسترس بودن، یکپارچگی و محرمانه بودن اطلاعات هستند.

مشکل تضمین امنیت اطلاعات با دو دلیل اصلی توضیح داده می شود.

1. منابع اطلاعاتی انباشته شده توسط شرکت ارزشمند هستند.
2. وابستگی بحرانی به فناوری اطلاعات باعث کاربرد گسترده آنها می شود.

با توجه به طیف گسترده ای از تهدیدات موجود برای امنیت اطلاعات، مانند تخریب اطلاعات مهم، استفاده غیرمجاز از داده های محرمانه ، وقفه در عملکرد شرکت به دلیل نقض سیستم اطلاعاتی ، می توان نتیجه گرفت که همه اینها به طور عینی منجر به خسارات مادی زیادی می شود.

در حصول اطمینان از امنیت اطلاعات، ابزارهای نرم افزاری و سخت افزاری با هدف کنترل نهادهای رایانه ای، نقش مهمی ایفا می کنند. سخت افزار، عناصر نرم افزاری، داده ها، آخرین و بالاترین اولویت امنیت اطلاعات را تشکیل می دهند. انتقال داده ها همچنین باید در زمینه حفظ محرمانه بودن، یکپارچگی و در دسترس بودن آن ایمن باشد. بنابراین، در شرایط مدرنفن آوری های تونل زنی در ترکیب با ابزارهای رمزنگاری برای ارائه کانال های ارتباطی امن استفاده می شود.

ادبیات

1. گالاتنکو V.A. استانداردهای امنیت اطلاعات - م.: دانشگاه فناوری اطلاعات اینترنت، 1385.
2. Partyka T.L.، Popov I.I. امنیت اطلاعات. - M.: انجمن، 2012.

نوربرت وینر، خالق سایبرنتیک، معتقد بود که اطلاعات دارای ویژگی های منحصر به فردی است و نمی توان آن را نه به انرژی و نه به ماده نسبت داد. جایگاه ویژه اطلاعات به عنوان یک پدیده تعاریف بسیاری را به وجود آورده است.

واژه نامه ISO/IEC 2382:2015 "فناوری اطلاعات" تفسیر زیر را ارائه می دهد:

اطلاعات (در زمینه پردازش اطلاعات)- هر گونه داده ارائه شده به صورت الکترونیکی، نوشته شده بر روی کاغذ، بیان شده در جلسه یا در هر رسانه دیگری که توسط یک موسسه مالی برای تصمیم گیری، جابجایی وجوه، تعیین نرخ ها، اعطای وام، پردازش معاملات و غیره استفاده می شود، از جمله سیستم پردازش اجزا. نرم افزار.

برای توسعه مفهوم امنیت اطلاعات (IS)، اطلاعات به عنوان اطلاعاتی شناخته می شود که برای جمع آوری، ذخیره سازی، پردازش (ویرایش، تبدیل)، استفاده و انتقال در دسترس است. راه های مختلف، از جمله در شبکه های کامپیوترو سایر سیستم های اطلاعاتی

چنین اطلاعاتی از ارزش بالایی برخوردار است و می تواند توسط اشخاص ثالث مورد نقض قرار گیرد. میل به محافظت از اطلاعات در برابر تهدیدها زمینه ساز ایجاد سیستم های امنیت اطلاعات است.

مبنای حقوقی

در دسامبر 2017، دکترین امنیت اطلاعات در روسیه به تصویب رسید. در این سند، امنیت اطلاعات به عنوان وضعیت حفاظت از منافع ملی در حوزه اطلاعات تعریف شده است. در این حالت، منافع ملی به عنوان مجموع منافع جامعه، فرد و دولت درک می شود، هر گروه از منافع برای عملکرد پایدار جامعه ضروری است.

دکترین یک سند مفهومی است. روابط حقوقی مربوط به تضمین امنیت اطلاعات توسط قوانین فدرال "در مورد اسرار دولتی"، "در مورد اطلاعات"، "در مورد حفاظت از داده های شخصی" و دیگران تنظیم می شود. بر اساس قوانین اساسی هنجاری، احکام دولتی و قوانین هنجاری ادارات در مورد مسائل خاص حفاظت از اطلاعات تدوین می شود.

تعریف امنیت اطلاعات

قبل از توسعه یک استراتژی امنیت اطلاعات، لازم است یک تعریف اساسی از خود مفهوم پذیرفته شود، که امکان استفاده از مجموعه خاصی از روش ها و روش های حفاظت را فراهم می کند.

متخصصان صنعت پیشنهاد می‌کنند که امنیت اطلاعات را به عنوان یک وضعیت پایدار حفاظت از اطلاعات، حامل‌ها و زیرساخت‌ها درک کنند که یکپارچگی و ثبات فرآیندهای مرتبط با اطلاعات را در برابر تأثیرات عمدی یا غیرعمدی طبیعت و مصنوعی تضمین می‌کند. تأثیرات به عنوان تهدیدات IS طبقه بندی می شوند که می توانند به موضوعات روابط اطلاعاتی آسیب وارد کنند.

بنابراین، امنیت اطلاعات به عنوان مجموعه ای از اقدامات قانونی، اداری، سازمانی و فنی با هدف جلوگیری از تهدیدات امنیت اطلاعات واقعی یا درک شده و همچنین حذف پیامدهای حوادث درک خواهد شد. تداوم فرآیند حفاظت از اطلاعات باید تضمین کننده مبارزه با تهدیدات در تمام مراحل چرخه اطلاعات باشد: در فرآیند جمع آوری، ذخیره سازی، پردازش، استفاده و انتقال اطلاعات.

امنیت اطلاعات در این معنا به یکی از ویژگی های عملکرد سیستم تبدیل می شود. در هر برهه از زمان، سیستم باید دارای سطح امنیتی قابل اندازه گیری باشد و تضمین امنیت سیستم باید فرآیندی مستمر باشد که در تمام فواصل زمانی در طول عمر سیستم انجام شود.

اینفوگرافیک از داده های خودمان استفاده می کندSearchInform.

در تئوری امنیت اطلاعات، افراد IS به عنوان صاحبان و استفاده کنندگان اطلاعات، و کاربران نه تنها به صورت مستمر (کارکنان)، بلکه کاربرانی که در موارد جداگانه به پایگاه های داده دسترسی دارند، برای مثال، سازمان های دولتی که درخواست اطلاعات می کنند، نیز درک می شوند. در تعدادی از موارد، به عنوان مثال، در استانداردهای امنیت اطلاعات بانکی، صاحبان اطلاعات شامل سهامداران - اشخاص حقوقی هستند که داده های خاصی را در اختیار دارند.

زیرساخت پشتیبانی از دیدگاه مبانی امنیت اطلاعات شامل رایانه ها، شبکه ها، تجهیزات مخابراتی، اماکن، سیستم های پشتیبانی حیات و پرسنل می باشد. هنگام تجزیه و تحلیل امنیت، مطالعه تمام عناصر سیستم ها با توجه ویژه به پرسنل به عنوان حامل اکثر تهدیدات داخلی ضروری است.

برای مدیریت امنیت اطلاعات و ارزیابی آسیب، از مشخصه مقبولیت استفاده می شود، بنابراین آسیب به عنوان قابل قبول یا غیرقابل قبول تعیین می شود. برای هر شرکتی مفید است که معیارهای خود را برای پذیرش خسارت به صورت پولی یا مثلاً در قالب آسیب قابل قبول به شهرت تأیید کند. در مؤسسات عمومی، ویژگی های دیگری ممکن است اتخاذ شود، به عنوان مثال، تأثیر بر فرآیند مدیریت یا انعکاس میزان آسیب به زندگی و سلامت شهروندان. معیارهای اهمیت، اهمیت و ارزش اطلاعات ممکن است در طول چرخه عمر آرایه اطلاعات تغییر کند، بنابراین، باید به موقع بررسی شوند.

تهدید اطلاعاتی در معنای محدود، امکانی عینی برای تأثیرگذاری بر هدف حفاظتی است که می‌تواند منجر به نشت، سرقت، افشا یا انتشار اطلاعات شود. در یک مفهوم گسترده تر، تهدیدات امنیت اطلاعات شامل تأثیرات اطلاعاتی هدفمند می شود که هدف آنها ایجاد آسیب به دولت، سازمان یا فرد است. چنین تهدیدهایی شامل افترا، ارائه عمدی نادرست، تبلیغات نادرست است.

سه سوال اصلی مفهوم امنیت اطلاعات برای هر سازمان

از چه چیزی محافظت کنیم؟

چه نوع تهدیدهایی غالب هستند: خارجی یا داخلی؟

چگونه محافظت کنیم، با چه روش ها و وسایلی؟

سیستم امنیت اطلاعات

سیستم امنیت اطلاعات برای یک شرکت - نهاد قانونیشامل سه گروه از مفاهیم اساسی است: یکپارچگی، در دسترس بودن و محرمانگی. در زیر هرکدام مفاهیمی با ویژگی های بسیار دیده می شود.

زیر تمامیتبه مقاومت پایگاه های داده، سایر آرایه های اطلاعاتی در برابر تخریب تصادفی یا عمدی، تغییرات غیرمجاز اشاره دارد. مفهوم یکپارچگی را می توان به صورت زیر مشاهده کرد:

• ایستابیان شده در تغییرناپذیری، صحت اشیاء اطلاعاتی به آن اشیایی که طبق یک تکلیف فنی خاص ایجاد شده اند و حاوی مقدار اطلاعات لازم برای کاربران برای فعالیت های اصلی خود هستند، در پیکربندی و توالی لازم؛
• پویا، به معنای اجرای صحیح اقدامات یا تراکنش های پیچیده ای است که به ایمنی اطلاعات آسیب نمی رساند.

برای کنترل یکپارچگی پویا، از ابزارهای فنی ویژه ای استفاده می شود که جریان اطلاعات را تجزیه و تحلیل می کند، به عنوان مثال، مالی، و موارد سرقت، تکرار، تغییر مسیر و ترتیب مجدد پیام ها را شناسایی می کند. صداقت به عنوان ویژگی اصلی زمانی مورد نیاز است که تصمیمات بر اساس اطلاعات دریافتی یا موجود برای انجام اقدامات اتخاذ شود. نقض ترتیب دستورات یا توالی اقدامات می تواند در مورد توصیف فرآیندهای تکنولوژیکی، کدهای برنامه و سایر موقعیت های مشابه آسیب زیادی ایجاد کند.

دسترسیدارایی است که به افراد مجاز اجازه دسترسی یا تبادل داده های مورد علاقه خود را می دهد. شرط کلیدی مشروعیت یا مجوز سوژه ها، ایجاد سطوح مختلف دسترسی را ممکن می سازد. عدم ارائه اطلاعات توسط سیستم به مشکلی برای هر سازمان یا گروه کاربری تبدیل می شود. به عنوان مثال، در دسترس نبودن وب سایت های خدمات عمومی در صورت خرابی سیستم است که بسیاری از کاربران را از دریافت خدمات یا اطلاعات لازم محروم می کند.

محرمانه بودنبه معنای ویژگی اطلاعاتی است که در دسترس آن کاربران قرار می گیرد: موضوعات و فرآیندهایی که در ابتدا دسترسی به آنها مجاز است. اکثر شرکت ها و سازمان ها محرمانگی را به عنوان یک عنصر کلیدی امنیت اطلاعات می دانند، اما در عمل اجرای کامل آن دشوار است. تمام داده های موجود در کانال های نشت اطلاعات در دسترس نویسندگان مفاهیم امنیت اطلاعات نیست و بسیاری از ابزارهای فنی حفاظت از جمله موارد رمزنگاری را نمی توان آزادانه خریداری کرد، در برخی موارد گردش مالی محدود است.

ویژگی‌های یکسان امنیت اطلاعات دارای ارزش‌های متفاوتی برای کاربران است، از این رو دو دسته افراطی در توسعه مفاهیم حفاظت از داده‌ها وجود دارد. برای شرکت ها یا سازمان هایی که درگیر اسرار دولتی هستند، محرمانه بودن یک پارامتر کلیدی خواهد بود، برای خدمات عمومی یا موسسات آموزشی، مهم ترین پارامتر دسترسی خواهد بود.

خلاصه امنیت اطلاعات

اشیاء حفاظت در مفاهیم IS

تفاوت در موضوعات باعث ایجاد تفاوت در اهداف محافظت می شود. گروه های اصلی اشیاء محافظت شده:

• منابع اطلاعاتی از همه نوع (منبع یک شی مادی است: HDD، رسانه دیگر، سندی با داده ها و جزئیاتی که به شناسایی آن و نسبت دادن آن به گروه خاصی از موضوعات کمک می کند.
• حقوق شهروندان، سازمان ها و دولت برای دسترسی به اطلاعات، فرصت به دست آوردن آن در چارچوب قانون؛ دسترسی را می توان تنها با اقدامات قانونی نظارتی محدود کرد، سازماندهی هرگونه مانعی که حقوق بشر را نقض می کند غیرقابل قبول است.
• سیستمی برای ایجاد، استفاده و توزیع داده ها (سیستم ها و فناوری ها، آرشیوها، کتابخانه ها، اسناد نظارتی).
• سیستمی برای شکل گیری آگاهی عمومی (رسانه ها، منابع اینترنتی، مؤسسات اجتماعی، مؤسسات آموزشی).

هر شی شامل یک سیستم ویژه از اقدامات برای محافظت در برابر تهدیدات امنیت اطلاعات و نظم عمومی است. تضمین امنیت اطلاعات در هر مورد باید مبتنی بر یک رویکرد سیستماتیک باشد که ویژگی های شی را در نظر می گیرد.

دسته ها و رسانه ها

سیستم حقوقی روسیه، عملکرد اجرای قانون و روابط اجتماعی ایجاد شده، اطلاعات را بر اساس معیارهای دسترسی طبقه بندی می کند. این به شما امکان می دهد تا پارامترهای ضروری لازم برای اطمینان از امنیت اطلاعات را روشن کنید:

• اطلاعاتی که دسترسی به آنها بر اساس الزامات قانونی محدود شده است (راز دولتی، اسرار تجاری، داده های شخصی).
• اطلاعات در حوزه عمومی؛
• اطلاعات در دسترس عموم که تحت شرایط خاصی ارائه می شود: اطلاعات پولی یا داده هایی که دسترسی به آنها لازم است، برای مثال، بلیط کتابخانه.
• اطلاعات خطرناک، مضر، نادرست و سایر انواع اطلاعات که گردش و انتشار آنها با الزامات قوانین یا استانداردهای شرکت محدود شده است.

اطلاعات گروه اول دارای دو حالت حفاظتی است. راز دولتیطبق قانون، این اطلاعاتی است که توسط دولت محافظت می شود که گردش آزاد آن می تواند به امنیت کشور آسیب برساند. این داده ها در زمینه نظامی، سیاست خارجی، اطلاعات، ضد جاسوسی و فعالیت های اقتصادی دولت است. مالک این گروه داده مستقیماً ایالت است. نهادهایی که مجاز به انجام اقدامات لازم برای محافظت از اسرار دولتی هستند، وزارت دفاع، سرویس امنیت فدرال (FSB)، سرویس اطلاعات خارجی، سرویس فدرالبرای کنترل فنی و صادرات (FSTEC).

اطلاعات محرمانه- موضوع مقررات چند وجهی تر. فهرست اطلاعاتی که ممکن است به منزله اطلاعات محرمانه باشد در فرمان شماره 188 ریاست جمهوری «در مورد تأیید فهرست اطلاعات محرمانه» آمده است. این اطلاعات شخصی است. محرمانه بودن تحقیقات و مراحل قانونی؛ راز رسمی؛ رازداری حرفه ای (پزشکی، اسناد رسمی، وکیل)؛ راز تجارت؛ اطلاعات در مورد اختراعات و مدل های کاربردی؛ اطلاعات موجود در پرونده های شخصی محکومان و همچنین اطلاعات مربوط به اجرای اعمال قضایی.

داده های شخصی در حالت باز و محرمانه وجود دارد. بخشی از اطلاعات شخصی که برای همه کاربران باز و قابل دسترسی است شامل نام، نام خانوادگی، نام خانوادگی است. طبق قانون فدرال-152 "درباره داده های شخصی"، افراد اطلاعات شخصی حق دارند:

• در مورد خودمختاری اطلاعاتی؛
• برای دسترسی به اطلاعات شخصی شخصی و ایجاد تغییرات در آنها؛
• برای مسدود کردن اطلاعات شخصی و دسترسی به آنها؛
• اعتراض علیه اقدامات غیرقانونی اشخاص ثالث که در رابطه با داده های شخصی انجام شده است.
• برای جبران خسارت

این حق در مقررات مربوط به نهادهای ایالتی، قوانین فدرال، مجوزهای کار با داده های شخصی صادر شده توسط Roskomnadzor یا FSTEC ذکر شده است. شرکت هایی که به طور حرفه ای با داده های شخصی طیف گسترده ای از افراد، به عنوان مثال، اپراتورهای مخابراتی کار می کنند، باید ثبت نامی را که توسط Roskomnadzor نگهداری می شود وارد کنند.

یک موضوع جداگانه در تئوری و عمل امنیت اطلاعات حامل های اطلاعاتی است که دسترسی به آنها باز و بسته است. هنگام توسعه مفهوم IS، روش های حفاظت بسته به نوع رسانه انتخاب می شوند. حامل های اصلی اطلاعات:

• رسانه های چاپی و الکترونیکی، رسانه های اجتماعی، سایر منابع موجود در اینترنت؛
• کارکنان سازمان که بر اساس روابط دوستانه، خانوادگی، حرفه ای خود به اطلاعات دسترسی دارند.
• وسایل ارتباطی که اطلاعات را مخابره یا ذخیره می کند: تلفن، مبادلات تلفنی خودکار، سایر تجهیزات مخابراتی.
• اسناد از همه نوع: شخصی، رسمی، دولتی.
• نرم افزار به صورت مستقل شی اطلاعاتی، به خصوص اگر نسخه آن به طور خاص برای یک شرکت خاص نهایی شده باشد.
• رسانه های ذخیره سازی الکترونیکی که داده ها را به طور خودکار پردازش می کنند.

برای اهداف توسعه مفاهیم امنیت اطلاعات، ابزارهای امنیت اطلاعات معمولاً به نظارتی (غیررسمی) و فنی (رسمی) تقسیم می شوند.

وسایل غیررسمی حفاظت اسناد، قوانین، رویدادها، رسمی ابزارها و نرم افزارهای فنی خاص هستند. این تمایز به توزیع زمینه های مسئولیت در هنگام ایجاد سیستم های امنیت اطلاعات کمک می کند: با مدیریت کلی حفاظت، پرسنل اداری روش های نظارتی را اجرا می کنند و متخصصان فناوری اطلاعات به ترتیب روش های فنی را اجرا می کنند.

مبانی امنیت اطلاعات مستلزم تقسیم اختیارات نه تنها از نظر استفاده از اطلاعات، بلکه از نظر کار با حفاظت از آن است. این تفکیک قوا مستلزم چندین سطح کنترل است.

راه حل های رسمی

طیف گسترده ای از ابزارهای فنی حفاظت از امنیت اطلاعات شامل:

وسایل حفاظت فیزیکیاینها مکانیزم های مکانیکی، الکتریکی، الکترونیکی هستند که مستقل از سیستم های اطلاعاتی عمل می کنند و موانعی را برای دسترسی به آنها ایجاد می کنند. قفل ها از جمله قفل های الکترونیکی، صفحه نمایش، پرده ها برای ایجاد موانع برای تماس عوامل بی ثبات کننده با سیستم ها طراحی شده اند. این گروه با استفاده از سیستم های امنیتی تکمیل می شود، به عنوان مثال، دوربین های ویدئویی، ضبط کننده های ویدئویی، حسگرهایی که حرکت یا بیش از حد تابش الکترومغناطیسی را در منطقه ای که ابزارهای فنی حذف اطلاعات، دستگاه های تعبیه شده در آن قرار دارند، تشخیص می دهند.

حفاظت سخت افزاریاینها وسایل الکتریکی، الکترونیکی، نوری، لیزری و سایر وسایلی هستند که در سیستم های اطلاعاتی و مخابراتی تعبیه شده اند. قبل از معرفی سخت افزار به سیستم های اطلاعاتی، سازگاری باید تایید شود.

نرم افزار ساده و سیستمی هستند، برنامه های جامعطراحی شده برای حل وظایف خصوصی و پیچیده مربوط به تامین امنیت اطلاعات. یک مثال راه حل های یکپارچهخدمت و: اولی برای جلوگیری از نشت، فرمت مجدد اطلاعات و تغییر جهت جریان اطلاعات خدمت می کند، دومی محافظت در برابر حوادث در زمینه امنیت اطلاعات را فراهم می کند. ابزارهای نرم‌افزاری به قدرت دستگاه‌های سخت‌افزاری نیاز دارند و باید در حین نصب، ذخایر اضافی فراهم شود.

می تواند به مدت 30 روز به صورت رایگان آزمایش شود. قبل از نصب سیستم، مهندسان SearchInform یک ممیزی فنی در شرکت مشتری انجام می دهند.

به وسیله ای خاصامنیت اطلاعات شامل الگوریتم های رمزنگاری مختلفی است که به شما امکان می دهد اطلاعات را روی دیسک رمزگذاری کنید و از طریق کانال های ارتباطی خارجی هدایت کنید. تبدیل اطلاعات می تواند با کمک روش های نرم افزاری و سخت افزاری که در سیستم های اطلاعاتی شرکت ها کار می کنند رخ دهد.

پس از ارزیابی اولیه ارزش اطلاعات و مقایسه آن با هزینه منابع صرف شده برای حفاظت، باید از تمام ابزارهایی که امنیت اطلاعات را تضمین می کنند، به همراه استفاده شود. بنابراین، پیشنهادات برای استفاده از وجوه باید از قبل در مرحله توسعه سیستم ها تدوین شود و در سطح مدیریتی که مسئول تصویب بودجه است، تصویب شود.

به منظور اطمینان از امنیت، لازم است تمام پیشرفت‌های مدرن، ابزارهای حفاظتی نرم‌افزاری و سخت‌افزاری، تهدیدات و تغییرات به موقع در سیستم‌های حفاظتی خود در برابر دسترسی‌های غیرمجاز اعمال شود. تنها کفایت و پاسخ سریع به تهدیدات به دستیابی به سطح بالایی از محرمانگی در کار شرکت کمک می کند.

اولین نسخه در سال 2018 منتشر شد. این برنامه منحصربه‌فرد پرتره‌های روان‌شناختی کارکنان را جمع‌آوری کرده و آنها را در گروه‌های خطر توزیع می‌کند. این رویکرد برای تضمین امنیت اطلاعات به شما امکان می دهد حوادث احتمالی را پیش بینی کرده و از قبل اقدام کنید.

درمان های غیررسمی

درمان های غیررسمی به دو دسته هنجاری، اداری و اخلاقی و اخلاقی دسته بندی می شوند. در سطح اول حفاظت، ابزارهای نظارتی وجود دارد که امنیت اطلاعات را به عنوان فرآیندی در فعالیت های سازمان تنظیم می کند.

• وسیله تنظیمی

در عمل جهانی، هنگام توسعه ابزارهای نظارتی، آنها توسط استانداردهای امنیت اطلاعات هدایت می شوند، که اصلی ترین آنها ISO / IEC 27000 است. این استاندارد توسط دو سازمان ایجاد شده است:

• ISO - کمیسیون بین المللی استاندارد، که اکثر روش های شناخته شده بین المللی را برای صدور گواهینامه کیفیت تولید و فرآیندهای مدیریتی توسعه و تأیید می کند.
• IEC - کمیسیون بین المللی انرژی، که درک خود از سیستم های امنیت اطلاعات، ابزارها و روش های ارائه آن را در استاندارد معرفی کرد.

نسخه فعلی ISO / IEC 27000-2016 استانداردهای آماده و روش های اثبات شده لازم برای اجرای امنیت اطلاعات را ارائه می دهد. به گفته نویسندگان روش ها، اساس امنیت اطلاعات در اجرای سیستماتیک و منسجم تمام مراحل از توسعه تا پس از کنترل نهفته است.

برای دریافت گواهی تایید کننده انطباق با استانداردهای امنیت اطلاعات، لازم است تمامی اقدامات توصیه شده به طور کامل اجرا شود. در صورت عدم نیاز به اخذ گواهی، مجاز به گرفتن هر کدام از موارد بیشتر می باشد نسخه های اولیهاستاندارد، شروع با ISO / IEC 27000-2002، یا GOST های روسی، که ماهیت مشاوره ای دارند.

بر اساس نتایج مطالعه استاندارد، دو سند در حال تدوین است که مربوط به امنیت اطلاعات است. مفهوم اصلی، اما کمتر رسمی، مفهوم امنیت اطلاعات سازمانی است که اقدامات و روش های پیاده سازی یک سیستم امنیت اطلاعات برای سیستم های اطلاعاتی یک سازمان را تعیین می کند. دومین سندی که کلیه کارکنان شرکت ملزم به رعایت آن هستند، آیین نامه امنیت اطلاعات مصوب در سطح هیات مدیره یا دستگاه اجرایی است.

علاوه بر موقعیت در سطح شرکت، فهرست‌های اطلاعاتی که یک اسرار تجاری را تشکیل می‌دهند، پیوست به قراردادهای کار، تعیین مسئولیت افشای داده های محرمانه، سایر استانداردها و روش ها. قوانین و مقررات داخلی باید دارای مکانیسم ها و مسئولیت های اجرایی باشد. در اغلب موارد، این اقدامات ماهیت انضباطی دارند و متخلف باید برای این واقعیت آماده باشد که نقض رژیم اسرار تجاری تحریم های قابل توجهی تا و از جمله اخراج را به دنبال خواهد داشت.

• اقدامات سازمانی و اداری

به عنوان بخشی از فعالیت های اداری برای حفاظت از امنیت اطلاعات، فضایی برای خلاقیت برای افسران امنیتی وجود دارد. اینها راه حل های معماری و برنامه ریزی هستند که به شما امکان می دهند از اتاق های جلسات و دفاتر اجرایی در برابر استراق سمع و ایجاد سطوح مختلف دسترسی به اطلاعات محافظت کنید. از اقدامات مهم سازمانی می‌توان به صدور گواهینامه فعالیت‌های شرکت بر اساس استانداردهای ISO/IEC 27000، صدور گواهینامه سیستم‌های سخت‌افزاری و نرم‌افزاری فردی، تأیید صلاحیت موضوعات و اشیاء برای انطباق با الزامات امنیتی لازم و اخذ مجوزهای لازم برای کار با آرایه‌های اطلاعات حفاظت‌شده اشاره کرد.

از نقطه نظر تنظیم فعالیت های پرسنل، طراحی یک سیستم درخواست برای دسترسی به اینترنت، خارجی مهم خواهد بود. پست الکترونیک، منابع دیگر یک عنصر جداگانه دریافت الکترونیک خواهد بود امضای دیجیتالیبرای افزایش امنیت اطلاعات مالی و سایر اطلاعاتی که از طریق کانال های ایمیل به سازمان های دولتی منتقل می شود.

• اقدامات اخلاقی و اخلاقی

معیارهای اخلاقی و اخلاقی نگرش شخصی فرد را نسبت به اطلاعات محرمانه یا اطلاعات محدود در گردش تعیین می کند. افزایش سطح دانش کارکنان در خصوص تأثیر تهدیدات بر فعالیت های شرکت بر میزان هوشیاری و مسئولیت پذیری کارکنان تأثیر می گذارد. برای مبارزه با نقض رژیم اطلاعات، از جمله، به عنوان مثال، انتقال رمزهای عبور، برخورد بی دقت با رسانه ها، انتشار داده های محرمانه در مکالمات خصوصی، لازم است بر وجدان شخصی کارمند تأکید شود. ایجاد شاخص های عملکرد پرسنل، که به نگرش نسبت به سیستم امنیت اطلاعات شرکت بستگی دارد، مفید خواهد بود.