BEGRIP INFORMATIEBEVEILIGING Onder informatiebeveiliging (IS) wordt verstaan ​​de beveiliging van informatie en ondersteunende infrastructuur tegen onopzettelijke of opzettelijke invloeden van natuurlijke of kunstmatige aard, gericht op het beschadigen van de eigenaren of gebruikers van informatie en ondersteunende infrastructuur. Er zijn drie hoofdcategorieën van onderwerpen die informatiebeveiliging nodig hebben: overheidsorganisaties, commerciële structuren, individuele ondernemers.

Beschikbaarheid (de mogelijkheid om de vereiste informatiedienst binnen een redelijke termijn te ontvangen); integriteit (relevantie en consistentie van informatie, bescherming tegen vernietiging en ongeoorloofde wijzigingen); vertrouwelijkheid (bescherming tegen onbevoegde kennis).

Toegang tot informatie betekent vertrouwd raken met informatie, de verwerking ervan, in het bijzonder het kopiëren, wijzigen of vernietigen van informatie. Geautoriseerde toegang tot informatie is toegang tot informatie die de vastgestelde regels voor differentiërende toegang niet schendt. Ongeautoriseerde toegang tot informatie wordt gekenmerkt door een schending van de vastgestelde regels voor differentiërende toegang. Een aanval op een informatiesysteem (netwerk) is een actie van een aanvaller om een ​​bepaalde kwetsbaarheid van het systeem te vinden en te gebruiken.

Constructief, wanneer het hoofddoel van ongeautoriseerde toegang is om een ​​kopie van vertrouwelijke informatie te verkrijgen, d.w.z. we kunnen praten over het intelligentiekarakter van de destructieve impact, wanneer ongeautoriseerde toegang leidt tot het verlies (wijziging) van gegevens of de beëindiging van de service.

Afstemming van de nationale wetgeving ter bestrijding van computercriminaliteit met de eisen van het internationaal recht; hoge professionele opleiding van wetshandhavingsinstanties van de onderzoeker tot het gerechtelijk apparaat; samenwerking en juridisch mechanisme voor de interactie van wetshandhavingsinstanties van verschillende staten.

STADIA VAN DE ONTWIKKELING VAN COMPUTERMIDDELEN 1. Het gebruik van informatietechnologie bij het plegen van traditionele strafbare feiten als diefstal, schade toebrengen en fraude. 2. De opkomst van specifieke computercriminaliteit. 3. Toename van computercriminaliteit tot computerterrorisme en extremisme. 4. Transformatie van computerterrorisme en extremisme in informatieoorlogen.

MAATREGELEN EN FACILITEITEN VAN DE SOFTWARE EN TECHNISCH NIVEAU Toepassing van veilige virtual private VPN-netwerken om informatie te beschermen die via open communicatiekanalen wordt verzonden Toepassing van firewalls om het bedrijfsnetwerk te beschermen tegen externe bedreigingen bij aansluiting op openbare communicatienetwerken; toegangscontrole op gebruikersniveau en bescherming tegen ongeoorloofde toegang tot informatie; gegarandeerde gebruikersidentificatie door tokens te gebruiken; bescherming van informatie op bestandsniveau (door bestanden en mappen te versleutelen); bescherming tegen virussen met behulp van gespecialiseerde complexen van antivirale profylaxe en bescherming; technologieën voor inbraakdetectie en actief onderzoek naar de beveiliging van informatiebronnen; cryptografische transformatie van gegevens om de integriteit, authenticiteit en vertrouwelijkheid van informatie te waarborgen

ORGANISATORISCHE EN ECONOMISCHE BEVEILIGING NORMALISERING VAN METHODEN EN INFORMATIEBESCHERMING Certificering van computersystemen en -netwerken en hun beschermingsmiddelen Vergunningverlening voor activiteiten op het gebied van informatiebescherming verzekering van informatierisico's verbonden aan de werking van computersystemen en netwerken Controle over de acties van personeel in beschermde informatiesystemen informatie.

JURIDISCHE ONDERSTEUNING VAN DE VEILIGHEID Federale wet van de Russische Federatie van 27 juli 2006 N 149-FZ "Over informatie, informatietechnologie en informatiebescherming." regelt juridische relaties die ontstaan ​​in het proces van vorming en gebruik van gedocumenteerde informatie en informatiebronnen; creatie van informatietechnologieën, geautomatiseerde of automatische informatiesystemen en netwerken; bepaalt de procedure voor het beschermen van een informatiebron, evenals de rechten en plichten van proefpersonen die deelnemen aan de processen van informatisering.

In de nabije toekomst wordt een toename van het aantal bedrijfsinformatiesystemen verwacht, aangezien het leiderschap van het land een koers heeft gevolgd in de richting van de vorming van een digitale economie in het land, gericht op het vergroten van de efficiëntie van alle industrieën door het gebruik van informatietechnologieën 1, wat betekent dat de noodzaak om de daarin verwerkte informatie te beschermen toeneemt.

Konstantin Samatov
Hoofd afdeling Informatiebeveiliging, TFOMS
regio Sverdlovsk, lid van de Vereniging van CEO's
informatiebeveiligingsdiensten, leraar
informatiebeveiliging URTK hen. ALS. Popova

Basisconcepten

Het begrip "bedrijfsinformatiesysteem" (CIS) is vervat in art. 2 van de federale wet van 06.04.2011 nr. 63-FZ "Over elektronische handtekeningen". CIS wordt opgevat als een informatiesysteem, waarbij de deelnemers aan elektronische interactie een bepaalde kring van personen vormen. In dit geval kan de kring van personen die deelnemen aan informatie-uitwisseling niet alleen structurele afdelingen van de organisatie zijn - de beheerder van het bedrijfsinformatiesysteem, maar ook haar tegenpartijen. Het belangrijkste is dat de samenstelling en het aantal deelnemers strikt zijn gedefinieerd.

Informatiesysteembeheerder - een burger of rechtspersoon die het informatiesysteem beheert, inclusief de verwerking van informatie in zijn databases (Artikel 2 van de federale wet van 27.07.2006, nr. 149-FZ "Informatie, informatietechnologieën en de bescherming van informatie").

Een informatiesysteem wordt opgevat als een verzameling informatie in databases en informatietechnologieën en technische middelen die de verwerking ervan garanderen (Artikel 2 van de federale wet van 27 juli 2006, nr. 149-FZ "Over informatie, informatietechnologieën en informatiebescherming" ). Daarom is het noodzakelijk om de kwestie van informatiebescherming in het bedrijfsinformatiesysteem in overweging te nemen door te bepalen welke informatie onder bescherming valt.

Informatie die moet worden beschermd in het bedrijfsinformatiesysteem

De huidige wetgeving verdeelt informatie in twee soorten: openbare en beperkte informatie (deel 2 van artikel 5 van de federale wet van 27 juli 2006, nr. 149-FZ "Informatie, informatietechnologie en informatiebescherming"). Informatie met beperkte toegang kan worden onderverdeeld in twee grote groepen: staatsgeheimen en vertrouwelijke informatie.

Staatsgeheimen - informatie die door de staat wordt beschermd op het gebied van zijn militaire, buitenlands beleid, economische, inlichtingen-, contraspionage- en operationele zoekactiviteiten, waarvan de verspreiding de veiligheid van de Russische Federatie kan schaden (Artikel 2 van de RF-wet van 21.07. .1993, nr. 5485-1 "Over staatsgeheimen"). Op basis van de praktijk van de auteur kunnen we zeggen dat er met de gespecificeerde groep informatie in de regel de minste problemen zijn (in vergelijking met andere soorten geheimen). De lijst met de opgegeven informatie is specifiek. De verwerkingsprocedure is strikt gereguleerd. Alvorens te beginnen met de verwerking van informatie die staatsgeheim vormt, dient de organisatie een passende vergunning te verkrijgen. De sancties voor overtreding van de verwerkingsopdracht zijn zwaar. Bovendien is het aantal proefpersonen met dergelijke informatie klein.

Vertrouwelijke informatie omvat ongeveer 50 soorten geheimen, waarvan de meest voorkomende handelsgeheimen en persoonlijke (familie)geheimen zijn, waaronder persoonsgegevens.

In het bedrijfsinformatiesysteem bevinden zich vrijwel altijd persoonsgegevens. In het bijzonder zal elke organisatie die ten minste één werknemer- of paspoortgegevens van ten minste één klant heeft, de beheerder van persoonlijke gegevens zijn in de zin van federale wet nr. 152-FZ van 27 juli 2006 "Over persoonlijke gegevens". Dat wil zeggen, als het bedrijfs-CRM-systeem klantgegevens verwerkt (bijvoorbeeld volledige naam en afleveradres) of deze gegevens in een MS Excel-bestand op een werkstation staan, kan men gerust stellen dat persoonsgegevens worden verwerkt in het bedrijfsinformatiesysteem en daarom is de organisatie verplicht om te voldoen aan de eisen voor hun bescherming. In de praktijk begrijpen de leiders van de meeste organisaties dit niet en zijn ze van mening dat hun persoonlijke gegevens niet worden verwerkt, en daarom nemen ze geen maatregelen om informatie te beschermen voordat er zich een incident voordoet.

Naast persoonlijke gegevens is er in bijna elk CIS informatie die feitelijke of potentiële waarde heeft omdat deze onbekend is bij derden, waarvan de organisatie de openbaarmaking of ongecontroleerde overdracht wil vermijden (commercieel geheim). In de praktijk komt het vaak voor dat de lijst met deze informatie uitsluitend in de hoofden van het hoofd of de eigenaar van de organisatie voorkomt.

De sleutel is om personeel te trainen in informatiebeveiligingsregels, die met regelmatige tussenpozen moeten worden uitgevoerd.

Rekening houdend met het bovenstaande, wordt de kwestie van het nemen van een complex van maatregelen ter bescherming van informatie die in het bedrijfsinformatiesysteem wordt verwerkt, relevant voor de organisatie.

Maatregelen voor informatiebescherming in het bedrijfsinformatiesysteem

Er zijn drie hoofdgroepen van maatregelen:

1. Organisatorisch (organisatorisch en juridisch). Opstellen van organisatorische en administratieve documentatie over informatiebeveiligingskwesties: instructies, voorschriften, orders, richtlijnen. Het doel is om bedrijfsprocessen te stroomlijnen en te voldoen aan de eisen van interne en externe regelgeving (de zogenaamde "compliance", "papieren beveiliging"). Dit type maatregel kan de belangrijkste worden genoemd, omdat:

• het regime van handelsgeheimen wordt uitsluitend vastgesteld door de vaststelling van organisatorische maatregelen vermeld in deel 1 van art. 5 van de federale wet van 29 juli 2004, nr. 98-FZ "Over handelsgeheimen";
• in het geval van persoonlijke gegevens is het belangrijkste doel van de bescherming van persoonlijke gegevens tegenwoordig vaak het succesvol passeren van controles door de zogenaamde "regulators" (Roskomnadzor, FSTEC van Rusland, FSB van Rusland).

Vandaar de term 'papieren beveiliging' die populair is geworden onder beveiligingsprofessionals.

bijna elk bedrijfsinformatiesysteem bevat informatie die feitelijke of potentiële waarde heeft omdat deze niet bekend is bij derden en waarvan de organisatie de openbaarmaking of ongecontroleerde overdracht tracht te vermijden (commercieel geheim). In de praktijk komt het vaak voor dat de lijst met deze informatie uitsluitend in de hoofden van het hoofd of de eigenaar van de organisatie voorkomt.
Daarom draagt ​​personeel vaak onbedoeld (verzendt naar een deelnemer aan de informatie-uitwisseling voor wie het niet bedoeld is) de in het CIS opgeslagen informatie over of maakt deze openbaar (plaatst deze in het publieke domein). Tegelijkertijd is het bij het ontbreken van een goedgekeurde lijst met informatie die een commercieel geheim vormt, onmogelijk om een ​​werknemer disciplinaire verantwoordelijkheid te geven voor het plegen van deze acties.

2. Technische maatregelen. De bescherming van technische informatie omvat vier groepen maatregelen:

1. Engineering en technische bescherming. Het doel is om te beschermen tegen fysieke indringers in de faciliteiten waarop de technische middelen van het CIS zich bevinden (werkstations, servers, enz.). Bescherming tegen binnendringen wordt bereikt door het gebruik van technische constructies: hekken, deuren, sloten, tourniquets, alarmen, videobewaking, enz.
2. Bescherming tegen ongeoorloofde toegang tot informatie. Het doel van deze groep maatregelen is het voorkomen van ongeoorloofde toegang rechtstreeks tot de informatie zelf die in het informatiesysteem wordt verwerkt. Het wordt uitgevoerd door de volgende activiteiten:
   • toegangscontrole (wachtwoorden, toewijzing van bevoegdheden);
   • registratie en boekhouding (journaling);
   • firewalling;
   • antivirusbescherming;
   • toepassing van detectie (preventie) van inbraak.
3. Bescherming tegen lekkage via technische kanalen. Het doel is om informatie te beschermen tegen lekken via technische kanalen (visuele, auditieve, zijdelingse elektromagnetische straling) in het proces van informatieverwerking in het CIS. Het wordt geïmplementeerd door de volgende maatregelen toe te passen:
   • uitrusting van ramen met jaloezieën (gordijnen);
   • het gebruik van beschermingsmiddelen tegen lekkage via akoestische kanalen, de zogenaamde vibroacoustic stoorzenders;
   • het gebruik van speciale filters ter bescherming tegen onechte elektromagnetische straling en interferentie. In de praktijk zijn deze maatregelen echter alleen nodig voor staatsinformatiesystemen of informatiesystemen waarin staatsgeheimen worden verwerkt.
4. Bescherming van cryptografische informatie. Het gebruik van middelen voor cryptografische bescherming van informatie in de afgelopen jaren wint behoorlijk aan kracht, grotendeels dankzij de actieve ontwikkeling van bedrijfssystemen voor elektronisch documentbeheer en het gebruik van elektronische handtekeningen daarin als een mechanisme om de integriteit van informatie te waarborgen. In de praktijk worden de mechanismen voor cryptografische transformatie van informatie gebruikt om in de eerste plaats de vertrouwelijkheid van informatie die is opgeslagen in databases of op werkstations te waarborgen en om informatie te beschermen tijdens het proces van informatie-uitwisseling (tijdens verzending). Eigenlijk is het alleen met behulp van een cryptografische transformatie mogelijk om VPN-netwerken (Virtual Private Network) volledig te bouwen.

3. Morele en ethische maatregelen zijn bedoeld om de openbaarmaking van informatie met beperkte toegang door gebruikers van het CIS te voorkomen of op zijn minst tot een minimum te beperken.

Volgens verschillende onderzoeken varieert het aantal informatielekken van werknemers van 80 tot 95%, terwijl de overgrote meerderheid - ongeveer 90% van de lekken - niet wordt geassocieerd met opzettelijke acties.

Morele en ethische maatregelen zijn onlosmakelijk verbonden met de veiligheid van het personeel en voorzien in de aanwerving van gekwalificeerd personeel, controlemaatregelen, gedetailleerde functiebeschrijvingen, opleiding van het personeel, strikte toegangscontrole en het waarborgen van veiligheid bij ontslag van medewerkers. Volgens de auteur is de sleutel om personeel te trainen in informatiebeveiligingsregels, die met regelmatige tussenpozen moeten worden uitgevoerd. Dus in het bijzonder stelt de auteur jaarlijks een bestelling op die voorziet in driemaandelijkse training van werknemers van de organisatie waarin hij werkt.

Om informatielekken van personeel via communicatiekanalen (e-mail, instant messengers, sociale netwerken) te voorkomen, is er bovendien een hele klasse van informatiebeveiligingssystemen genaamd "DLP-systemen" (Data Loss (Leak) Protection (Prevention)), algemeen aangeduid als "lekpreventiesystemen". Deze systemen zijn momenteel een van de populaire oplossingen voor personeelscontrole die worden gebruikt door hoofden van zowel informatie- als economische veiligheidsdiensten. De meeste systemen van deze klasse die op de markt zijn, maken niet alleen bewaking en blokkering mogelijk elektronische communicatiekanalen, maar en monitoring van gebruikersactiviteit, waardoor het mogelijk is om werknemers te identificeren die hun werkuren irrationeel gebruiken: ze komen te laat op het werk en vertrekken eerder, "zitten" in sociale netwerken, spelen computerspelletjes, werken voor zichzelf.

Een andere trend op het gebied van personeelsbeveiliging, die nog maar een paar maanden geleden verscheen, zijn de systemen voor het monitoren en identificeren van afwijkend gebruikersgedrag - User and Entity Behaviour Analytics (UEBA). Deze systemen zijn ontworpen om gebruikersgedrag te analyseren en op basis daarvan actuele bedreigingen voor de personeels- en informatiebeveiliging te identificeren.

Zo worden in de overgrote meerderheid van bedrijfsinformatiesystemen persoonsgegevens en handelsgeheimen verwerkt, en dienovereenkomstig moeten ze allemaal worden beschermd. Vrijwel altijd, vooral in de commerciële sector, komen inin conflict met het gemak van medewerkers en de financiering van deze activiteiten. In het werk beschouwt de auteur de minimale reeks maatregelen die gericht zijn op het beschermen van informatie in elk bedrijfsinformatiesysteem. Deze lijst van maatregelen vereist geen unieke kennis en is beschikbaar voor praktisch gebruik door bijna elke specialist op het gebied van informatietechnologie. Bovendien vergen de meeste van de voorgestelde maatregelen geen aanzienlijke financiële kosten.

___________________________________________
1 Bericht van de president van de Russische Federatie aan de Federale Vergadering van de Russische Federatie van 1 december 2016 nr.

Expert kolom

Omtrek: valt er nog iets te verdedigen?

Alexey
Loekatsky

Bedrijfsadviseur informatiebeveiliging

We zijn vrij conservatief in onze regio. We zijn erg afhankelijk van autoriteiten, van benaderingen, van producten en van termen en definities die in de loop der jaren niet zijn veranderd. Informatiebeveiligingsperimeter is een term die helaas zo achterhaald is dat het bijna onmogelijk is om hem te gebruiken. Bovendien weten we niet eens helemaal wat de informatiebeveiligingsperimeter is. Iemand ziet de omtrek als een verbindingspunt met internet, hoe grappig het ook mag klinken in de context van geometrie, waarin de omtrek nog steeds een gesloten lijn is. Sommige mensen zien de perimeter als een lijn die een bedrijfs- of afdelingsnetwerk afbakent. Iemand ziet de perimeter als een reeks apparaten die toegang hebben tot internet.

Maar elk van deze definities heeft natuurlijk zijn voor- en nadelen, en ze zijn allemaal verschillend. Hoe de situatie te zien, zelfs met zo'n schijnbaar eenvoudige optie als een segment van een industrieel netwerk, mogelijk zelfs fysiek geïsoleerd van de buitenwereld, als een vertegenwoordiger van een aannemer daar zou komen met een laptop die via een 3G-modem met internet was verbonden? Verschijnt de omtrek hier of niet? Maar wat als we kijken naar een situatie waarin een medewerker met een mobiel apparaat verbinding maakt met een externe cloud die vertrouwelijke bedrijfsgegevens opslaat, of een applicatie draait die deze gegevens verwerkt? Is hier een perimeter of niet? Wat als een medewerker vanaf zijn persoonlijke device verbinding maakt met de infrastructuur van iemand anders van een cloudprovider, waarin de bedrijfsinformatie is opgeslagen? Waar is de perimeter in zo'n situatie?

Laten we zeggen dat onze mobiele apparaten eigendom zijn van een bedrijf en clouds van een provider. Tegelijkertijd is het maximale dat we kunnen weten ons eigen stukje cloud waarin we onze servers, onze applicaties, onze gegevens plaatsen. Maar wie heeft er toegang toe van buitenaf, van de cloudprovider, van zijn andere klanten? In een dergelijke situatie is het over het algemeen onmogelijk om de omtrek af te bakenen. Dit betekent dat hoe we ook willen, we gedwongen zijn onze benaderingen te veranderen van wat we vroeger perimeterverdediging noemden. In sommige bedrijven houdt het management zich bijvoorbeeld aan de regel dat een bedrijfsmedewerker altijd en overal ter wereld vanaf elk apparaat kan werken. In een dergelijk concept kan er natuurlijk geen perimeter zijn in de algemeen gebruikte zin, en dit maakt het noodzakelijk om op een heel andere manier te beveiligen, nee, niet de perimeter, maar de internetverbinding! Ben jij klaar voor een nieuwe realiteit?

Definities Informatiebeveiliging van een organisatie is de staat van beveiliging van de informatieomgeving van een organisatie, die zorgt voor de vorming, het gebruik en de ontwikkeling ervan. Informatiebescherming - is een activiteit om het lekken van beschermde informatie, ongeoorloofde en onbedoelde invloeden op beschermde informatie te voorkomen, dat wil zeggen een proces dat gericht is op het bereiken van deze toestand. 2

Informatiebeveiligingscomponenten. vertrouwelijkheid - de beschikbaarheid van informatie alleen voor een bepaalde kring van personen; integriteit - een garantie voor het bestaan ​​van informatie in zijn oorspronkelijke vorm; beschikbaarheid - de mogelijkheid om informatie te ontvangen van een geautoriseerde gebruiker op het moment dat hij dat nodig heeft. authenticiteit - het vermogen om de auteur van de informatie te identificeren; beroep - een kans om te bewijzen dat de auteur precies de aangegeven persoon is, en niemand anders. 3

Toegangscontrolemodellen voor vertrouwelijkheid, integriteit en beschikbaarheidsgebruik: Verplichte toegangscontrole Selectieve toegangscontrole Rolgebaseerde toegangscontrole 4

Verplichte toegangscontrole. Verplichte toegangscontrole, MAC - differentiatie van toegang van onderwerpen tot objecten, op basis van de toewijzing van een vertrouwelijkheidslabel voor de informatie in de objecten, en de afgifte van officiële toestemmingen (toelating) aan onderwerpen om toegang te krijgen tot informatie van dit vertrouwelijkheidsniveau. Het wordt soms ook vertaald als gedwongen toegangscontrole. Het is een combinatie van bescherming en beperking van rechten die worden toegepast op computerprocessen, gegevens en systeemapparaten, en ontworpen om ongewenst gebruik ervan te voorkomen 5

Discretionaire toegangscontrole (DAC) - controle van de toegang van onderwerpen tot objecten op basis van toegangscontrolelijsten of een toegangsmatrix. Voor elk paar (subject - object) moet een expliciete en ondubbelzinnige opsomming van toegestane soorten toegang (lezen, schrijven, enz.) worden gespecificeerd, dat wil zeggen die soorten toegang die zijn geautoriseerd voor een bepaald onderwerp individuen) naar deze bron (object) 7

8

Role Based Access Control (RBAC) - ontwikkeling van een selectief toegangscontrolebeleid, terwijl de toegangsrechten van systeemsubjecten tot objecten worden gegroepeerd rekening houdend met de specifieke kenmerken van hun toepassing, waarbij rollen worden gevormd, bijvoorbeeld beheerder, 1 gebruiker, enz. Vorming van rollen is bedoeld om duidelijke en begrijpelijke regels voor toegangscontrole voor gebruikers te definiëren. negen

Zorgen voor beveiliging tijdens verzending Implementatie - Versleuteling is een methode om informatie te transformeren, die wordt gebruikt om belangrijke informatie op te slaan in onbetrouwbare bronnen of om deze via onveilige communicatiekanalen te verzenden. Omvat 2 processen, - het proces van encryptie en decryptie Methodologische basis - cryptografie. tien

Bepaling van de sleutel Een sleutel is geheime informatie die door een cryptografisch algoritme wordt gebruikt voor het versleutelen/ontsleutelen van berichten, het instellen en verifiëren van digitale handtekeningen, het berekenen van authenticatiecodes (MAC). Wanneer hetzelfde algoritme wordt gebruikt, is het coderingsresultaat afhankelijk van de sleutel. Voor moderne sterke cryptografie-algoritmen leidt het verlies van de sleutel tot de praktische onmogelijkheid om de informatie te ontsleutelen. De hoeveelheid informatie in een sleutel wordt meestal uitgedrukt in bits. Voor moderne coderingsalgoritmen is het belangrijkste kenmerk van cryptografische sterkte de sleutellengte. Versleuteling met sleutels van 128 bits en hoger wordt als sterk beschouwd, aangezien krachtige supercomputers 11 jaar nodig hebben om informatie te ontsleutelen zonder sleutel

Versleutelingsmethoden symmetrische versleuteling: onbevoegden kennen misschien het versleutelingsalgoritme, maar ze kennen geen klein stukje geheime informatie - de sleutel die hetzelfde is voor de afzender en de ontvanger van het bericht; asymmetrische codering: onbevoegden kennen mogelijk het coderingsalgoritme en mogelijk de openbare sleutel, maar de privésleutel, die alleen bekend is bij de ontvanger, is onbekend. 12

Middelen om authenticiteit te waarborgen: Signature Digitale handtekening Signature is een unieke verzameling handgeschreven symbolen die gebruik maken van bepaalde ontwerptechnieken om een ​​persoon te identificeren. Eigenschappen van een goede handtekening Weerstand tegen vervalsing. Herhaalbaarheid. Identificeerbaar (de handtekening lijkt meestal op de voornaam, achternaam). Schrijfsnelheid 13

Elektronische digitale handtekening (EDS) is een elektronisch document dat is ontworpen om dit elektronische document te beschermen tegen vervalsing, verkregen als resultaat van cryptografische transformatie van informatie met behulp van de privésleutel van een elektronische digitale handtekening en waarmee de eigenaar van het handtekeningsleutelcertificaat kan worden geïdentificeerd , evenals om de afwezigheid van informatievervorming in een elektronisch document vast te stellen, en ook om de onweerlegbaarheid van de ondertekenaar te waarborgen. Aangezien de te ondertekenen documenten een variabele (en vrij lange) lengte hebben, wordt de handtekening in EDS-schema's vaak niet op het document zelf geplaatst, maar op de hash. Om de hash te berekenen, worden cryptografische hashfuncties gebruikt.Hashing is de transformatie van een invoergegevensarray van willekeurige lengte in een uitvoerbitreeks van een vaste lengte. Dergelijke transformaties worden ook wel hashfuncties genoemd. Alle wijzigingen in het document leiden tot wijzigingen in de hash 14

Het schema voor elektronische handtekeningen omvat: een algoritme voor het genereren van sleutels; handtekening berekening functie; handtekening verificatie functie. De berekeningsfunctie berekent de daadwerkelijke handtekening op basis van het document en de persoonlijke sleutel van de gebruiker. De handtekeningverificatiefunctie controleert of de gegeven handtekening overeenkomt met het gegeven document en de openbare sleutel van de gebruiker. De openbare sleutel van de gebruiker is voor iedereen beschikbaar, dus iedereen kan de handtekening op dit document verifiëren 15

De digitale handtekening geeft de identiteit van de bron van het document. Afhankelijk van de details van de documentdefinitie kunnen velden als "auteur", "verwerkte wijzigingen", "tijdstempel", enz. worden ondertekend.Bescherming tegen documentwijzigingen. Elke onbedoelde of opzettelijke wijziging in het document (of de handtekening) zal de hash veranderen, daarom wordt de handtekening ongeldig. Onmogelijkheid van weigering van auteurschap. Aangezien u alleen een correcte handtekening kunt maken als u de privésleutel kent en deze alleen bekend is bij de eigenaar, kan de eigenaar zijn handtekening op het document niet weigeren. 16

Middel van autorisatie en authenticatie: Een wachtwoord is een geheim woord of een reeks tekens die is ontworpen om een ​​identiteit of autoriteit te bevestigen. Het kraken van wachtwoorden is een arbeidsintensieve taak, die meestal wordt opgelost door de zogenaamde brute-force-methode - dat wil zeggen een eenvoudige brute-force-aanval. Sleutel - geheime informatie die bekend is bij een beperkte kring van mensen, wordt meestal in gecodeerde vorm gebruikt. Biometrie is een technologie voor persoonlijkheidsidentificatie die gebruikmaakt van de fysiologische parameters van een persoon (vingerafdrukken, iris, enz.). 17

Gegevensbescherming in computernetwerken wordt een van de meest open problemen in moderne informatieverwerkingssystemen. Tot op heden zijn er drie basisprincipes van informatiebeveiliging geformuleerd, die tot taak hebben te zorgen voor: - gegevensintegriteit - bescherming tegen storingen die leiden tot verlies of vernietiging van informatie; - vertrouwelijkheid van informatie; - beschikbaarheid van informatie voor geautoriseerde gebruikers.

Beschermingsmiddelen - middelen voor fysieke bescherming; - softwaretools (antivirusprogramma's, systemen van differentiatie van bevoegdheden, softwaretoegangscontrole); - administratieve beschermingsmaatregelen (toegang tot gebouwen, ontwikkeling van stevige beveiligingsstrategieën, enz.).

fysieke beschermingsmiddelen zijn systemen voor het archiveren en dupliceren van informatie. In lokale netwerken waar een of twee servers zijn geïnstalleerd, wordt het systeem meestal rechtstreeks in vrije serverslots geïnstalleerd. In grote bedrijfsnetwerken wordt de voorkeur gegeven aan een dedicated dedicated back-upserver, die op een door de netwerkbeheerder ingestelde tijd automatisch informatie van harde schijven van servers en werkstations archiveert en een rapport over de back-up afgeeft. De meest voorkomende gearchiveerde servermodellen zijn het Storage Express System van Intel ARCserve voor Windows.

Om computervirussen te bestrijden, worden meestal antivirusprogramma's gebruikt, minder vaak hardwarebescherming. De laatste tijd is er echter een trend naar een combinatie van software- en hardwarebeschermingsmethoden. Onder de hardwareapparaten worden speciale antiviruskaarten gebruikt, die in de standaarduitbreidingssleuven van de computer worden gestoken. Intel heeft een geavanceerde antivirustechnologie voor netwerken ontwikkeld die computersystemen scant voordat ze opstarten. Naast antivirusprogramma's wordt het probleem van het beschermen van informatie in computernetwerken opgelost door toegangscontrole in te voeren en gebruikersrechten te differentiëren. Gebruik hiervoor de ingebouwde tools van netwerkbesturingssystemen, waarvan Novell de grootste fabrikant is.

Om ongeoorloofde penetratie in een computernetwerk uit te sluiten, wordt een gecombineerde aanpak gebruikt - een wachtwoord + gebruikersidentificatie door een persoonlijke "sleutel". Een "sleutel" is een plastic kaart (magnetisch of met een ingebouwde microschakeling - een smartcard) of verschillende apparaten voor het identificeren van een persoon met behulp van biometrische informatie - door de iris van het oog, vingerafdrukken, handgroottes, enz. Servers en netwerkwerkstations, uitgerust met smartcardlezers en speciale software, verhogen de beschermingsgraad tegen onbevoegde toegang aanzienlijk. Toegangscontrole smartcards maken functies mogelijk zoals toegangscontrole, toegang tot pc-apparaten, programma's, bestanden en opdrachten.

Kerberos-systeem - een database die informatie bevat over alle netwerkbronnen, gebruikers, wachtwoorden, informatiesleutels, enz.; - een authenticatieserver met als taak het verwerken van gebruikersverzoeken voor het leveren van een of ander type netwerkdiensten. Na ontvangst van een verzoek, opent het de database en bepaalt het de bevoegdheid van de gebruiker om een ​​bepaalde bewerking uit te voeren. Gebruikerswachtwoorden worden niet via het netwerk verzonden, waardoor de mate van informatiebeveiliging wordt verhoogd; - De Ticket-verlenende server ontvangt een "pas" van de autorisatieserver met de gebruikersnaam en het netwerkadres, het tijdstip van de aanvraag en een unieke "sleutel". Het pakket met de "pas" wordt ook in gecodeerde vorm verzonden. De autorisatieserver, na ontvangst en ontsleuteling van de "pas", verifieert het verzoek, vergelijkt de "sleutels" en geeft, indien identiek, "het groene licht" om de netwerkapparatuur of programma's te gebruiken.

Naarmate de activiteiten van ondernemingen uitbreiden, het aantal abonnees groeit en nieuwe vestigingen verschijnen, wordt het noodzakelijk om de toegang van externe gebruikers (gebruikersgroepen) tot computer- of informatiebronnen tot de centra van bedrijven te organiseren. Voor de organisatie van toegang op afstand worden meestal kabellijnen en radiokanalen gebruikt. In dit opzicht vereist de bescherming van informatie die via externe toegangskanalen wordt verzonden, een speciale aanpak. In bruggen en routers voor toegang op afstand wordt pakketsegmentatie gebruikt - hun scheiding en verzending parallel over twee lijnen - waardoor het onmogelijk is om gegevens te "onderscheppen" wanneer een "hacker" illegaal verbinding maakt met een van de lijnen. De procedure voor het comprimeren van de verzonden pakketten die tijdens de gegevensoverdracht worden gebruikt, garandeert de onmogelijkheid om de "onderschepte" gegevens te decoderen. Toegangsbruggen en routers op afstand kunnen zo worden geprogrammeerd dat niet alle bronnen van het bedrijfscentrum beschikbaar zijn voor externe gebruikers.

Op dit moment zijn er speciale apparaten ontwikkeld om de toegang tot computernetwerken via inbellijnen te regelen. Een voorbeeld is de Remote Port Securiti Device (PRSD)-module van AT&T, die bestaat uit twee blokken ter grootte van een modem: het RPSD-slot, geïnstalleerd op het hoofdkantoor, en de RPSD-sleutel, die is aangesloten op het modem van de externe gebruiker. Met RPSD Key and Lock kunt u verschillende niveaus van bescherming en toegangscontrole instellen: - versleuteling van gegevens die over de lijn worden verzonden met behulp van gegenereerde digitale sleutels; - toegangscontrole rekening houdend met de dag van de week of het tijdstip van de dag

De strategie van het maken van back-ups en het herstellen van databases is direct gerelateerd aan het onderwerp beveiliging. Meestal worden deze bewerkingen buiten kantooruren in batchmodus uitgevoerd. In de meeste DBMS'en zijn back-up en herstel van gegevens alleen toegestaan ​​voor gebruikers met uitgebreide bevoegdheden (toegangsrechten op het niveau van de systeembeheerder of de database-eigenaar); het is onwenselijk om dergelijke kritieke wachtwoorden rechtstreeks in batchbestanden op te geven. Om het wachtwoord niet expliciet op te slaan, wordt aanbevolen om een ​​eenvoudig toepassingsprogramma te schrijven dat zelf de hulpprogramma's voor kopiëren / herstellen zou aanroepen. In dit geval moet het systeemwachtwoord "hardcoded" worden in de code van de gespecificeerde applicatie. Het nadeel van deze methode is dat elke keer dat het wachtwoord wordt gewijzigd, dit programma opnieuw moet worden gecompileerd.

Bij elke onderneming, ongeacht de grootte, het type eigendom en de richting van de activiteit, worden hetzelfde type methoden en methoden van bescherming gebruikt, die het model van het beveiligingssysteem implementeren. Het blok van beveiligingsmethoden is obstakels, regulering, toegangscontrole, maskering, aansporing en dwang.

Obstakels (fysieke methode), bijvoorbeeld het plaatsen van hekken rond bedrijven, het beperken van toegang tot gebouwen en terreinen, het installeren van alarmen, beveiliging.Toegangscontrole wordt uitgevoerd door een fysieke methode en software en technisch Maskeren omvat het gebruik van cryptografische software. Motivatie - naleving door gebruikers van ethische normen bij de verwerking en het gebruik van informatie. Regulering impliceert de aanwezigheid van instructies en voorschriften voor de verwerking van informatie, een verbod veronderstelt het bestaan ​​van wettelijke normen die zijn vastgelegd in regelgevingsdocumenten en het definiëren van wettelijke aansprakelijkheid in geval van overtreding.

Bovenstaande methoden en methoden van beveiliging zijn gecombineerd in vier subsystemen die in informatiesystemen zijn geïnstalleerd: Subsysteem Toegangscontrole Subsysteem Registratie en boekhouding Cryptografisch subsysteem Subsysteem Integriteitsborging

Het subsysteem toegangscontrole beveiligt de toegang tot het informatiesysteem met behulp van software (wachtwoorden) en software en hardware (elektronische sleutels, sleuteldiskettes, biometrische gebruikersherkenningsapparatuur, enz.).

Het subsysteem registratie en boekhouding registreert in een speciaal elektronisch logboek van gebruikers en programma's die toegang hebben gekregen tot het systeem, bestanden, programma's of databases, het tijdstip van binnenkomst en vertrek uit het systeem en andere bewerkingen die door gebruikers worden uitgevoerd.

Het cryptografische subsysteem is een reeks speciale programma's die informatie coderen en decoderen. De aanwezigheid van een cryptografisch subsysteem is vooral noodzakelijk in informatiesystemen die worden gebruikt voor elektronisch zakendoen.

Het subsysteem voor het waarborgen van de integriteit van informatie omvat de aanwezigheid van fysieke bescherming van computerapparatuur en media, de beschikbaarheid van testtools voor programma's en gegevens, het gebruik van gecertificeerde beschermingsmiddelen

Stuur uw goede werk in de kennisbank is eenvoudig. Gebruik het onderstaande formulier

Studenten, afstudeerders, jonge wetenschappers die de kennisbasis gebruiken in hun studie en werk zullen je zeer dankbaar zijn.

geplaatst op http://www.allbest.ru/

• Invoering
• 1.3 De belangrijkste bepalingen van het informatiebeveiligingssysteem
• 2.1 Objecten en onderwerpen van bescherming
• 2.3 Moderneeën
• 2.4 Redelijkheid van informatiebescherming
• De lijst met normatieve documenten die activiteiten op het gebied van informatiebeveiliging regelen:
• 3. Verbetering van maatregelen gericht op het verhogen van de efficiëntie van maatregelen ter bescherming van het bedrijfsinformatiesysteem van de Stroomvoorziening
• 3.1 Nadelen van het organiseren van de bescherming van het bedrijfsnetwerk
• 3.2 Organisatorische activiteiten
• 3.3 Engineering en technische activiteiten
• Conclusie
• Bibliografische lijst

Invoering

De moderne ontwikkeling van de wereldeconomie wordt gekenmerkt door de toenemende afhankelijkheid van de markt van een aanzienlijke hoeveelheid informatie die daarin circuleert.

In onze tijd is de samenleving volledig afhankelijk van de ontvangen, verwerkte en verzonden gegevens. Om deze reden zijn de gegevens zelf van grote waarde. En hoe hoger de prijs van nuttige informatie, hoe hoger de veiligheid.

De relevantie van het onderwerp is te danken aan de werking van een aantal factoren die gericht zijn op het verbeteren van de bescherming van het bedrijfsinformatiesysteem, om het economische mechanisme van moderne ondernemingen die in een markteconomie opereren en het gebruik van moderne technologische ontwikkelingen te verbeteren .

Gezien het bovenstaande voorzien wetgevingshandelingen, zowel in Rusland als in het buitenland, in een aanzienlijk aantal normen die gericht zijn op het reguleren van de creatie, het gebruik, de overdracht en de bescherming van informatie in al zijn vormen.

Van bijzondere waarde is informatie die persoonlijke gegevens, officiële geheimen, handelsgeheimen, vertrouwelijke informatie, bankgeheimen, staatsgeheimen, voorkennis, vertrouwelijke informatie en andere informatie bevat.

Het probleem van informatiebescherming is veelzijdig en complex en vereist de noodzakelijke combinatie van toepasselijke wetgevende, organisatorische, softwarematige en technische maatregelen.

Het lekken van informatie kan de activiteiten van de onderneming beïnvloeden. Die informatie speelt een bijzondere rol, het verlies van de korst kan leiden tot grote veranderingen in de onderneming zelf en materiële verliezen.

In het dagelijks leven van een persoon hangt de veiligheid van informatie over zijn leven van hem af. Maar een heel andere situatie is wanneer wij volgens de wet verplicht zijn om gegevens over onszelf te verstrekken aan een derde partij, en specifiek aan de werkgever. De werknemer brengt in deze situatie vertrouwelijke informatie over zichzelf in bewaring. Verder is de werkgever verantwoordelijk voor de veiligheid van de gegevens. Hij is verplicht om informatie over de werknemer te beschermen tegen inbreuken van derden en verantwoordelijk te zijn voor de verspreiding van deze gegevens.

Het doel van dit werk is het bepalen van de vereisten voor het beveiligingssysteem van het bedrijfsinformatiesysteem.

Werk taken:

1. Om problematische problemen van het beveiligingssysteem van het bedrijfsinformatiesysteem van de stroomvoorzieningsafstand te identificeren.

2. Opstellen van een lijst met dreigingen en eisen voor het beveiligingssysteem van het bedrijfsinformatiesysteem van de stroomvoorziening op afstand.

3. Rechtvaardig de structuur van informatierisico's voor het bedrijfsinformatiesysteem van de afstand van stroomvoorziening.

4. Methoden en technische middelen selecteren en onderbouwen die gericht zijn op het vergroten van de efficiëntie van de beveiliging van het bedrijfsinformatiesysteem van de stroomvoorziening op afstand.

Het object van de studie is een typisch beveiligingssysteem voor het bedrijfsinformatiesysteem "intranet" van de Moskou - Smolensk Power Supply Distance van een tak van de Russische Spoorwegen, die zijn eigen gebouwen en grondgebied heeft.

Het onderwerp van het onderzoek is methoden en technische middelen om het bedrijfsinformatiesysteem van de stroomvoorziening op afstand te beschermen.

De praktische betekenis en implementatie van de verkregen resultaten maakten het mogelijk maatregelen te nemen voor het organiseren van de bescherming van een bedrijfsnetwerk, aangepast aan specifieke omstandigheden, rekening houdend met de specifieke kenmerken van het object en verschillende categorieën van informatie en gebruikers.

Auteurs die de problemen van A.V. Sokolov (hoogleraar, hoofd van de afdeling Informatica en Software aan het Moskouse Instituut voor Elektronische Technologie) en V.F. Shangin (professor, doctor in de technische wetenschappen) heeft van 1978 tot heden actuele kwesties van informatiebeveiliging behandeld bij het gebruik van gedistribueerde bedrijfssystemen en bedrijfsbrede netwerken, internetbeveiliging.

beschermingsinformatie bedrijfsnetwerk

1. Theoretische basis voor het bouwen van een bedrijfsnetwerk

1.1 Concept, componenten, werking van een bedrijfsnetwerk

Een bedrijfsnetwerk is een complex systeem met veel verschillende componenten: computers van verschillende typen, van desktop tot mainframe, systeem- en applicatiesoftware, netwerkadapters, hubs, switches en routers, bekabeling. Dit artikel gaat in op het intranet van de Moskou-Smolensk Afstanden stroomvoorziening van de tak van JSC "Russische Spoorwegen". Dit is een aparte bouwkundige eenheid van het spoor, dat onderdeel is van de elektrificatie- en stroomvoorziening. Biedt een ononderbroken en betrouwbare stroomvoorziening voor alle verbruikers en zorgt voor de betrouwbare werking van alle objecten en apparaten, het contactnetwerk binnen het servicegebied.

De intranetfunctionaliteit varieert van statische webpagina's die gedrukte bedrijfsdocumenten vervangen of een nieuwe manier bieden om informatie te delen, tot geavanceerde clientinterfaces voor kantoorservertoepassingen.

De technologieën die nodig zijn voor een intranet en de tools die ze implementeren zijn wijdverbreid. Deze omvatten: TCP / IP, Network File System (NFS), webbrowser (systeem zoeken en viewer), webserver, HTML-editor, e-mail en dergelijke. Informatie wordt ontsloten op basis van IP-verbindingen.

Een intranet bestaat uit meerdere componenten:

1) netwerkinfrastructuur,

2) servers,

3) documenten,

4) browsers,

5) toepassingen.

Het intranet is de ruggengraat en zorgt voor de nodige verbindingen om de mensen in de organisatie toegang te geven tot informatie. Het intranet maakt gebruik van het TCP/IP netwerkprotocol om verbinding te maken en gegevens uit te wisselen. TCP/IP biedt de mogelijkheid om computers op een netwerk een unieke naam te geven (deze namen worden IP-adressen genoemd). Dit protocol biedt ook een mechanisme waarmee computers elkaar kunnen vinden en verbinding kunnen maken. Het intranet gebruikt een ander protocol, HTTP (Hypertext Transfer Protocol). Het wordt gebruikt om tekst, afbeeldingen en hyperlinks (dat wil zeggen links naar andere elektronische documenten) over te brengen die naar webpagina's verwijzen. We kunnen zeggen dat TCP / IP de belangrijkste manier is waarop computers op een netwerk communiceren, en HTTP is een soort bovenste laag waarmee ze informatie kunnen uitwisselen.

Servers. Informatie wordt meestal gevonden op computers, ook wel webservers genoemd. De server slaat documenten op en vervult gebruikersverzoeken voor het zoeken en bekijken van gegevens.

De documenten. Intranetinhoud, dat wil zeggen de informatie die u bekijkt, wordt opgeslagen in documenten. Standaard zijn ze in HTML (Hypertext Makeup Language), een tekstindeling die bestaat uit de tekst zelf, tags die de opmaak regelen en hyperlinks die naar andere documenten verwijzen.

Browsers. Toepassingen die browsers worden genoemd, worden gebruikt om op het intranet te werken en documenten te bekijken die op servers zijn opgeslagen. Ze hebben verschillende functies:

zoeken naar informatie en verbinding maken met een webserver;

laden, formatteren en weergeven van HTML-documenten;

herkenning en overgang naar de bijbehorende documenten;

Toepassingen. Applicaties zijn geschreven door ontwikkelaars om specifieke problemen van het bedrijf op te lossen.

Een intranet bestaat naast diverse netwerkapparatuur uit de volgende softwarecomponenten:

1) software van de interne webserver van de organisatie, die informatie bevat over de activiteiten van het bedrijf (prijzen, managementorders, documenten ter goedkeuring en bespreking, enz., en verbonden met de bestaande databases ("Warehouse", "Accounting") enzovoort);

2) softwaretools voor het houden van conferenties binnen de organisatie om voorstellen voor verbetering van het werk te bespreken, rapportages over diverse evenementen en dergelijke;

3) Software die het werk van e-mail implementeert.

Het intranet kan bevatten: segmenten met verschillende mate van beveiliging:

vrij beschikbaar (diverse servers);

met beperkte toegang;

gesloten voor toegang.

Het is aan te raden om een ​​bedrijfsnetwerk op afstand te beschouwen als een systeem dat bestaat uit meerdere op elkaar inwerkende lagen. Aan de basis van de piramide, die het bedrijfsnetwerk vertegenwoordigt, ligt een laag computers - informatieopslag- en verwerkingscentra, en een transportsubsysteem dat zorgt voor een betrouwbare overdracht van informatiepakketten tussen computers.

Afbeelding 1. Hiërarchie van bedrijfsnetwerklagen

Boven het transportsysteem bevindt zich een laag netwerkbesturingssystemen die de werking van applicaties in computers organiseert en de bronnen van de computer voor algemeen gebruik via het transportsysteem levert.

Verschillende toepassingen werken op het besturingssysteem, maar vanwege de speciale rol van databasebeheersystemen, die de basisbedrijfsinformatie op een ordelijke manier opslaan en er basiszoekbewerkingen op uitvoeren, wordt deze klasse van systeemtoepassingen gewoonlijk gescheiden in een aparte laag van het besturingssysteem. bedrijfsnetwerk.

Op het volgende niveau werken systeemservices, die, met behulp van het DBMS als een hulpmiddel voor het vinden van de benodigde informatie tussen miljoenen bytes die op schijven zijn opgeslagen, eindgebruikers deze informatie verstrekken in een vorm die handig is om een ​​beslissing te nemen, en ook wat informatie uitvoeren verwerkingsprocedures die alle soorten ondernemingen gemeen hebben ... Deze services omvatten e-mailsystemen, samenwerkingssystemen en vele andere.

Het bovenste niveau van het bedrijfsnetwerk vertegenwoordigt speciale softwaresystemen die taken uitvoeren die specifiek zijn voor een bepaalde onderneming of ondernemingen van een bepaald type.

Het uiteindelijke doel van het bedrijfsnetwerk is belichaamd in toepassingen op hoog niveau, maar om succesvol te kunnen werken, is het absoluut noodzakelijk dat de subsystemen van de andere lagen hun functies duidelijk uitvoeren.

De belangrijkste taak van systeembeheerders is ervoor te zorgen dat dit omslachtige systeem zo goed mogelijk omgaat met de verwerking van informatiestromen die circuleren tussen de werknemers van de onderneming en hen in staat stelt tijdige en rationele beslissingen te nemen die de werking van de onderneming waarborgen.

Intranet Moskou-Smolensk Afstanden stroomvoorziening JSC "Russian Railways" is geïsoleerd van externe internetgebruikers en functioneert als een autonoom netwerk dat geen toegang van buitenaf heeft.

Afbeelding 2. Lokale netwerkstructuur

1.2 Analyse van bronnen van bedreigingen en informatierisico's

Alle informatiebronnen van het bedrijf worden voortdurend blootgesteld aan objectieve en subjectieve dreigingen van verlies van het medium of de waarde van informatie. De dreiging of het gevaar van informatieverlies wordt opgevat als een enkele of complexe, reële of potentiële, actieve of passieve manifestatie van de ongunstige mogelijkheden van externe of interne bedreigingsbronnen om kritieke situaties, gebeurtenissen te creëren, om een ​​destabiliserend effect op de beschermde informatie uit te oefenen , documenten en databases. Voor informatiebronnen met beperkte toegang is het scala aan bedreigingen met betrekking tot het verlies van informatie (openbaarmaking, lekkage) of verlies van media veel groter als gevolg van de toegenomen belangstelling voor deze documenten door verschillende soorten aanvallers. De belangrijkste bedreiging voor de veiligheid van informatiebronnen met een beperkte verspreiding is de ongeoorloofde (illegale, ongeoorloofde) toegang van een aanvaller of een onbevoegde persoon tot gedocumenteerde informatie en, als gevolg daarvan, de beheersing van informatie en het illegale gebruik ervan of het plegen van andere destabiliserende acties. De doelen en resultaten van ongeautoriseerde toegang kunnen niet alleen de beheersing van waardevolle informatie en het gebruik ervan zijn, maar ook de wijziging, wijziging, vernietiging, vervalsing, vervanging en dergelijke. Een voorwaarde voor de succesvolle implementatie van een poging tot ongeoorloofde toegang tot informatiebronnen met beperkte toegang is de interesse daarin van concurrenten, bepaalde individuen, diensten en organisaties. De belangrijkste boosdoener van onbevoegde toegang tot informatiebronnen is in de regel het personeel dat met documenten, informatie en databases werkt. Het verlies van informatie treedt in de meeste gevallen niet op als gevolg van opzettelijke acties van een indringer, maar vanwege onvoorzichtigheid en onverantwoordelijkheid van personeel.

Bijgevolg kan het verlies van informatiebronnen met beperkte toegang optreden wanneer:

§ de aanwezigheid van een belang van een concurrent, instellingen, bedrijven of individuen in specifieke informatie,

§ het ontstaan ​​van een risico op een door een aanvaller georganiseerde dreiging, of in geval van accidentele omstandigheden;

§ de aanwezigheid van omstandigheden waardoor een aanvaller de nodige acties kan ondernemen en informatie in beslag kan nemen.

Deze voorwaarden kunnen zijn:

© gebrek aan systematische analytische en controlewerkzaamheden om bedreigingen, kanalen en de mate van risico op schendingen van de beveiliging van informatiebronnen te identificeren en te bestuderen;

© ineffectief informatiebeveiligingssysteem of de afwezigheid van dit systeem, waardoor een hoge mate van informatiekwetsbaarheid ontstaat;

© onprofessioneel georganiseerde technologie voor het verwerken en opslaan van vertrouwelijke documenten;

© ongeordende personeelsselectie en personeelsverloop, moeilijk psychologisch klimaat in het team;

© gebrek aan een systeem voor het opleiden van werknemers in de regels voor het beschermen van informatie met beperkte toegang;

© gebrek aan controle van de kant van het management van het bedrijf over de naleving door personeel van de vereisten van regelgevende documenten voor het werken met informatiebronnen met beperkte toegang;

© ongecontroleerde bezoeken aan de bedrijfsruimten door onbevoegden.

Er moet altijd aan worden herinnerd dat het feit van documentatie het risico op een bedreiging voor informatie dramatisch verhoogt. De grote meesters uit het verleden schreven nooit de geheimen van hun kunst op, maar gaven ze mondeling door aan hun zoon, leerling. Daarom is het geheim van het maken van veel unieke items uit die tijd tot op de dag van vandaag niet onthuld.

Bestaande acties uitgevoerd met informatie die een bedreiging kan bevatten: verzamelen, wijzigen, lekken en vernietigen. Deze acties zijn essentieel voor verdere overweging. We houden ons aan de geaccepteerde classificatie en verdelen alle bronnen van bedreigingen in externe en interne.

Interne en externe bedreigingen

Een interne overtreder kan een persoon zijn uit de volgende categorieën medewerkers van service-eenheden: servicepersoneel (systeembeheerders die verantwoordelijk zijn voor de werking en het onderhoud van hardware en software); systeem- en applicatiesoftware-onderhoudsprogrammeurs; technisch personeel (arbeiders van bijgebouwen, schoonmakers, enz.); medewerkers van de bedrijfsonderdelen die toegang hebben gekregen tot de ruimten waar de computer- of telecommunicatieapparatuur zich bevindt.

De bronnen van interne dreigingen zijn:

· Medewerkers van de organisatie;

· software;

· Hardware.

Interne dreigingen kunnen zich in de volgende vormen manifesteren:

fouten van gebruikers en systeembeheerders;

overtreding door de werknemers van het bedrijf van de vastgestelde voorschriften voor de verwerking, overdracht en vernietiging van informatie;

softwarefouten;

het infecteren van computers met virussen of malware;

storingen en storingen van computerapparatuur.

Externe daders zijn onder meer personen van wie het verblijf in kamers met apparatuur onmogelijk is zonder toezicht van de medewerkers van het bedrijf.

Een externe indringer onderschept en analyseert elektromagnetische straling van informatiesysteemapparatuur.

Externe bronnen van bedreigingen zijn onder meer:

· Organisaties en individuen;

· Natuurrampen;

· Technogene ongevallen;

· Het plegen van terroristische daden.

De vormen van manifestatie van externe dreigingen zijn: onderschepping; analyse en wijziging van informatie; ongeoorloofde toegang tot bedrijfsinformatie; informatiemonitoring door concurrerende structuren, inlichtingendiensten en speciale diensten; ongevallen, branden, door de mens veroorzaakte rampen.

Alle door ons genoemde soorten dreigingen (vormen van manifestatie) zijn onder te verdelen in opzettelijk en onopzettelijk, geïnteresseerd en ongeïnteresseerd in het ontstaan ​​van een dreiging.

Opzettelijke acties zijn opzettelijke acties van een indringer veroorzaakt door nieuwsgierigheid; hacker aanval; gewond door de trots van de werknemer, een poging tot terroristische daden. Een werknemer, een bezoeker, een concurrent, een huurling, technisch personeel (arbeiders in nevenruimten, schoonmakers, enz.) kunnen als aanvaller optreden.

De redenen voor onbedoelde onbedoelde effecten tijdens bedrijf kunnen zijn: noodsituaties als gevolg van natuurrampen en stroomuitval (natuurlijke en door de mens veroorzaakte effecten); hardwarestoringen en storingen; fouten in software; fouten in het werk van personeel; storing in communicatielijnen als gevolg van omgevingsinvloeden.

Volgens de methoden om informatiebeveiligingsobjecten te beïnvloeden, worden bedreigingen onderworpen aan de volgende classificatie: informatie, software, fysiek, radio-elektronisch en organisatorisch en juridisch.

Informatiebedreigingen zijn onder meer:

- ongeoorloofde toegang tot informatiebronnen;

- illegaal kopiëren van gegevens in informatiesystemen;

- diefstal van informatie uit bibliotheken, archieven, banken en databanken;

- schending van;

- illegale verzameling en gebruik van informatie.

Softwarebedreigingen zijn onder meer:

- het gebruik van bugs en "gaten" in de software;

- computervirussen en malware;

- installatie van "embedded" apparaten.

Fysieke bedreigingen zijn onder meer:

- vernietiging of vernietiging van informatieverwerkings- en communicatiefaciliteiten;

- diefstal van informatiedragers;

- diefstal van software- of hardwaresleutels en middelen voor cryptografische gegevensbescherming;

- impact op het personeel.

Elektronische bedreigingen zijn onder meer:

- invoering van elektronische apparaten voor het onderscheppen van informatie in technische middelen en gebouwen;

- onderschepping, decodering, vervanging en vernietiging van informatie in communicatiekanalen.

Organisatorische en juridische bedreigingen zijn onder meer:

- aanschaf van onvolmaakte of verouderde informatietechnologieën en informatiseringsmiddelen;

- schending van wettelijke vereisten en vertraging bij het nemen van de nodige regelgevende beslissingen op het gebied van informatie.

Na het identificeren van informatie die een commercieel geheim vormt en het bepalen van de bronnen die deze informatie bezitten, bezitten of bevatten, worden de methoden voor ongeoorloofde toegang tot deze informatie geïdentificeerd door een keuze te maken uit de gegeven reeks van de belangrijkste methoden voor ongeoorloofde toegang tot bronnen van vertrouwelijke informatie.

De volgende mogelijke kanalen voor het lekken van vertrouwelijke informatie kunnen worden geïdentificeerd (Figuur 3):

ongeoorloofd kopiëren van vertrouwelijke informatie naar externe media en deze buiten het gecontroleerde gebied van de onderneming brengen. Voorbeelden van dergelijke media zijn diskettes, cd-roms, flashdisks, enz.;

vertrouwelijke informatie afdrukken en afgedrukte documenten buiten het gecontroleerde gebied verwijderen.

Opgemerkt moet worden dat in dit geval zowel lokale printers, die rechtstreeks zijn aangesloten op de computer van de aanvaller, als externe printers, waarmee interactie via het netwerk wordt uitgevoerd, kunnen worden gebruikt;

ongeoorloofde overdracht van vertrouwelijke informatie via het netwerk naar externe servers die zich buiten het gecontroleerde gebied van de onderneming bevinden. Een aanvaller zou bijvoorbeeld vertrouwelijke informatie kunnen verzenden naar externe e-mail- of bestandsservers op het intranet. Tegelijkertijd kan de overtreder, om zijn acties te maskeren, de verzonden informatie vooraf versleutelen of verzenden onder het mom van standaard grafische bestanden.

Informatierisico's zijn de engste definitie - dit zijn de risico's van verlies, ongeoorloofde wijziging van informatie als gevolg van storingen in het functioneren van informatiesystemen of het falen daarvan, wat leidt tot verliezen. Informatiebeveiliging is de staat van beveiliging van de informatieomgeving. Informatiebescherming is een activiteit om het lekken van beschermde informatie, ongeoorloofde en onbedoelde invloeden op beschermde informatie te voorkomen, dat wil zeggen een proces dat erop gericht is deze toestand te bereiken.

Informatiebeveiliging van de onderneming van de stroomvoorzieningsafstand zal worden gewaarborgd als minimale informatierisico's worden geboden. Informatie voor gebruik in de dagelijkse activiteiten, het ontbreken van objectieve informatie (inclusief vertrouwelijke) door het management van de onderneming, noodzakelijk voor het nemen van de juiste beslissing, evenals de verspreiding van informatie door iemand in de externe omgeving die ongunstig of gevaarlijk is voor de activiteiten van de onderneming.

Om dit probleem vanuit het oogpunt van een systematische aanpak op te lossen, is het raadzaam om in de onderneming een systeem te ontwikkelen en te implementeren voor het minimaliseren van informatierisico's, dat een onderling verbonden set van instanties, middelen, methoden en maatregelen is die de risico's van lekkage minimaliseren en vernietiging van informatie die nodig is voor de werking van de onderneming. De belangrijkste informatierisico's van een onderneming zijn:

het risico van lekkage en vernietiging van informatie die nodig is voor de bedrijfsvoering;

het risico van het gebruik van vooringenomen informatie in de activiteiten van het bedrijf;

het risico van het ontbreken van de noodzakelijke (inclusief vertrouwelijke) informatie voor het management van de onderneming om de juiste beslissing te nemen;

het risico van het verspreiden van informatie door iemand in de externe omgeving die ongunstig of gevaarlijk is voor de onderneming.

De belangrijkste taken die door het infoworden opgelost, zijn:

identificatie van te beschermen informatie;

identificatie van bronnen die deze informatie bezitten, bezitten of bevatten;

het identificeren van manieren van ongeautoriseerde toegang tot deze informatie;

ontwikkeling en implementatie van organisatorische en technische maatregelen om vertrouwelijke informatie te beschermen.

De informatie van de onderneming op het gebied van stroomvoorziening kan op de volgende vier niveaus van belang zijn:

onbeduidend, dat wil zeggen informatie waarvan de lekkage of vernietiging de onderneming niet schaadt en het werkingsproces niet beïnvloedt.

Het risico van lekkage en vernietiging van informatie die nodig is voor de werking van de onderneming brengt de volgende gevolgen met zich mee:

· Vertrouwelijke informatie waarvan de overdracht of het lekken aan onbevoegden schade aan de onderneming en haar personeel met zich meebrengt;

· Kritische informatie waarvan de afwezigheid of beschadiging het dagelijkse werk van het personeel en de hele onderneming als geheel onmogelijk maakt.

Het is duidelijk dat de informatie van de eerste drie niveaus van belang moet worden beschermd, terwijl het beschermingsniveau in het algemeen moet worden bepaald door het niveau van belangrijkheid van de informatie. Dit is voornamelijk te wijten aan het feit dat de mate van bescherming rechtstreeks verband houdt met de kosten van de implementatie ervan; daarom is het in het algemeen economisch ondoelmatig om informatie te beschermen met dure beschermingsmiddelen als de lekkage of vernietiging ervan leidt tot onbeduidende schade.

De informatie van de eerste drie niveaus verwijst in de regel naar een commercieel geheim en wordt bepaald door het hoofd van de onderneming in overeenstemming met het besluit van de regering van de Russische Federatie van 05.12.1991 nr. 35 "Op de lijst van informatie die geen commercieel geheim kan vormen".

De procedure voor het identificeren van informatie die een commercieel geheim vormt, en het bepalen van de bronnen die deze informatie bezitten, bezitten of bevatten, moet als volgt zijn.

In opdracht van de onderneming zijn de afdelingshoofden belast met de verplichting werkzaamheden uit te voeren ter vaststelling van specifieke informatie die een commercieel geheim vormt in hun werkgebied, personen die tot deze informatie zijn toegelaten, evenals dragers van deze informatie.

Het resultaat van dit werk moet de "Lijst van informatie zijn die een handelsgeheim van de onderneming vormt", goedgekeurd door het hoofd van de onderneming, met vermelding van dergelijke informatie voor elk van de structurele afdelingen; personen die drager zijn van deze informatie; documenten die deze informatie bevatten, evenals eventuele andere (technische) dragers van deze informatie.

1.3 Basisvoorzieningen van het informatiebeveiligingssysteem

Een analyse van de stand van zaken op het gebied van informatie laat zien dat er al een goed gevormd concept en structuur van bescherming vorm heeft gekregen, waarvan de basis is:

een hoog ontwikkeld arsenaal aan technische middelen voor informatiebescherming, geproduceerd op industriële basis;

een aanzienlijk aantal bedrijven die gespecialiseerd zijn in informatiebeveiligingskwesties;

een redelijk goed gedefinieerd systeem van opvattingen over dit probleem;

aanzienlijke praktijkervaring.

En niettemin, zoals blijkt uit de binnen- en buitenlandse pers, nemen kwaadwillende acties op informatie niet alleen niet af, maar vertonen ze ook een vrij gestage opwaartse trend. De ervaring leert dat om deze neiging te bestrijden het noodzakelijk is:

1. Slanke en doelgerichte organisatie van het proces van bescherming van informatiebronnen. Bovendien dienen vakspecialisten, administratie, medewerkers en gebruikers hier actief aan mee te werken, wat het toegenomen belang van de organisatorische kant van het vraagstuk bepaalt. Bovendien mag het waarborgen van de beveiliging van informatie geen eenmalige handeling zijn. Dit is een continu proces dat bestaat uit het rechtvaardigen en toepassen van de meest rationele methoden, methoden en manieren om het beveiligingssysteem te verbeteren en te ontwikkelen, het voortdurend controleren van de toestand ervan, het identificeren van de knelpunten en zwakke punten en illegale acties;

2. De veiligheid van informatie kan alleen worden gegarandeerd door het geïntegreerde gebruik van het hele arsenaal aan beschikbare beschermingsmiddelen in alle structurele elementen van het productiesysteem en in alle stadia van de technologische cyclus van informatieverwerking. Het grootste effect wordt bereikt wanneer alle gebruikte tools, methoden en maatregelen worden gecombineerd in één integraal mechanisme, een informatiebeveiligingssysteem (ISS). Tegelijkertijd moet de werking van het systeem worden gecontroleerd, bijgewerkt en aangevuld, afhankelijk van veranderingen in externe en interne omstandigheden.

Daarom is het mogelijk om het informatiebeveiligingssysteem voor te stellen als een organisatorisch geheel van speciale organen, middelen, methoden en maatregelen die de bescherming van informatie tegen interne en externe bedreigingen waarborgen.

Afbeelding 4. Model voor het bouwen van eensteem

Vanuit het oogpunt van een systematische aanpak van informatiebescherming worden bepaalde eisen gesteld. Informatiebescherming moet zijn:

1. Continu. Deze vereiste komt voort uit het feit dat aanvallers alleen op zoek zijn naar een mogelijkheid om de bescherming van de informatie waarin ze geïnteresseerd zijn te omzeilen.

2. Gepland. Planning wordt uitgevoerd door elke dienst gedetailleerde plannen te ontwikkelen voor de bescherming van informatie op zijn competentiegebied, rekening houdend met het algemene doel van de onderneming (organisatie).

3. Gefocust. Beschermd is wat beschermd moet worden in het belang van een specifiek doel, niet alles.

4. Specifiek. Specifieke gegevens zijn onderworpen aan bescherming, objectief onderworpen aan bescherming, waarvan het verlies bepaalde schade aan de organisatie kan veroorzaken.

5. Actief. Het is noodzakelijk om informatie met een voldoende mate van persistentie te beschermen.

6. Betrouwbaar. Methoden en vormen van bescherming moeten mogelijke manieren van voortdurende toegang tot beschermde geheimen op betrouwbare wijze blokkeren, ongeacht de vorm van hun presentatie, de uitingstaal en het type fysieke drager waarop ze zijn bevestigd.

7. Universeel. Er wordt aangenomen dat, afhankelijk van het type lekkagekanaal of de methode van ongeoorloofde toegang, het moet worden geblokkeerd, waar het zich ook manifesteert, met redelijke en voldoende middelen, ongeacht de aard, vorm en soort informatie.

8. Geïntegreerd. Om informatie in alle verschillende structurele elementen te beschermen, moeten alle soorten en vormen van bescherming volledig worden toegepast. Het is niet toegestaan ​​om alleen bepaalde formulieren of technische middelen te gebruiken.

De complexe aard van bescherming vloeit voort uit het feit dat bescherming een specifiek fenomeen is, dat een complex systeem is van onlosmakelijk met elkaar verbonden processen, die elk op hun beurt vele verschillende, wederzijds conditionerende kanten, eigenschappen en tendensen hebben.

Om ervoor te zorgen dat aan dergelijke veelzijdige beveiligingsvereisten wordt voldaan, moet het informatiebeschermingssysteem aan bepaalde voorwaarden voldoen:

het gehele technologische complex van informatieactiviteiten bestrijken; worden gevarieerd in de gebruikte middelen,

multilevel met een hiërarchische volgorde van toegang; openstaan ​​voor wijzigingen en aanvullingen opn;

wees niet-standaard, divers, bij het kiezen van beschermingsmiddelen kan men niet rekenen op de onwetendheid van aanvallers over de mogelijkheden ervan;

gemakkelijk te onderhouden en gemakkelijk te bedienen zijn door gebruikers;

om betrouwbaar te zijn, is het uitvallen van technische middelen de reden voor het ontstaan ​​van ongecontroleerde kanalen voor informatielekkage;

complex zijn, integriteit hebben, wat betekent dat geen enkel onderdeel ervan kan worden verwijderd zonder schade aan het hele systeem.

Aan het informatiebeveiligingssysteem worden bepaalde eisen gesteld:

de duidelijkheid van de definitie van de bevoegdheden en rechten van de gebruiker om toegang te krijgen tot bepaalde informatie;

de gebruiker de minimale bevoegdheden geven die nodig zijn om de hem opgedragen werkzaamheden uit te voeren;

het aantal gemeenschappelijke beschermingsmiddelen voor meerdere gebruikers minimaliseren;

registratie van gevallen en pogingen tot ongeoorloofde toegang tot vertrouwelijke informatie;

zorgen voor een beoordeling van de mate van vertrouwelijkheid van informatie;

zorgen voor controle over de integriteit van beschermingsmiddelen en onmiddellijke reactie op het falen ervan.

Een informatiebeveiligingssysteem moet, zoals elk systeem, bepaalde soorten eigen ondersteuning hebben, op basis waarvan het zijn doelfunctie zal vervullen. Met dit in gedachten kan het informatiebeveiligingssysteem het volgende hebben:

1. Juridische ondersteuning. Dit omvat normatieve documenten, voorschriften, instructies, richtlijnen waarvan de vereisten verplicht zijn in de normen van hun toepassingsgebied.

2. Organisatorische ondersteuning. Het betekent dat de implementatie van informatiebeveiliging wordt uitgevoerd door bepaalde structurele eenheden - zoals een documentbeveiligingsdienst; dienst van het regime, toelating en bescherming; informatiebeveiligingsdienst met technische middelen; dienst van informatie en analytische activiteiten en anderen.

3. Hardware. Aangenomen wordt dat technische middelen op grote schaal zullen worden gebruikt, zowel om informatie te beschermen als om de werking van het informatiebeschermingssysteem te waarborgen.

4. Informatieondersteuning. Het bevat informatie, gegevens, indicatoren, parameters die ten grondslag liggen aan de oplossing van problemen die de werking van het systeem garanderen. Dit kunnen zowel indicatoren van toegang, boekhouding, opslag als informatie-ondersteunende systemen zijn voor rekentaken van verschillende aard die verband houden met de activiteiten van de informatie-ondersteunende dienst.

5. Software. Het omvat verschillende informatie-, boekhoud-, statistische en berekeningsprogramma's die een beoordeling geven van de aanwezigheid en het gevaar van verschillende lekkagekanalen en manieren van ongeoorloofde toegang tot bronnen van vertrouwelijke informatie;

6. Wiskundige software. Het omvat het gebruik van wiskundige methoden voor verschillende berekeningen met betrekking tot de beoordeling van het gevaar van technische middelen van indringers, zones en normen voor noodzakelijke bescherming.

7. Taalkundige ondersteuning. Een set van bijzondere taalkundige communicatiemiddelen tussen specialisten en gebruikers op het gebied van informatiebeveiliging.

8. Regelgevende en methodologische ondersteuning. Dit omvat de normen en voorschriften van de activiteiten van instanties, diensten, middelen die de functies van informatiebescherming implementeren, verschillende soorten technieken die de activiteiten van gebruikers waarborgen terwijl ze hun werk uitvoeren onder strikte vereisten voor het beschermen van informatie.

Alleen een beveiligingssysteem kan voldoen aan moderne eisen om de werking van een onderneming te waarborgen en haar vertrouwelijke informatie te beschermen. Onder het beveiligingssysteem zullen we de organisatorische totaliteit van speciale instanties, diensten, middelen, methoden en maatregelen begrijpen die de bescherming van de vitale belangen van het individu, de onderneming en de staat tegen interne en externe bedreigingen waarborgen.

Zoals elk systeem heeft het informatiebeveiligingssysteem zijn eigen doelen, doelstellingen, methoden en middelen van activiteit, die in plaats en tijd worden gecoördineerd, afhankelijk van de omstandigheden.

Als informatiebeveiliging wordt begrepen als "de staat van beveiliging van de informatieomgeving van de samenleving, waarbij de vorming, het gebruik en de ontwikkeling ervan in het belang van burgers, organisaties" wordt gewaarborgd, is het legitiem om de bedreigingen voor de informatiebeveiliging, de bronnen van deze bedreigingen, de methoden van hun implementatie en doelen, evenals andere voorwaarden en acties die de beveiliging schenden ... Tegelijkertijd ligt het voor de hand om maatregelen te overwegen om informatie te beschermen tegen onrechtmatige handelingen die tot schade leiden.

De praktijk leert dat het voor de analyse van een dergelijke significante set van bronnen, objecten en acties raadzaam is om modelleringsmethoden te gebruiken, waarbij een soort "substituut" van reële situaties wordt gevormd. Houd er rekening mee dat het model het origineel niet kopieert, het is eenvoudiger. Het model moet algemeen genoeg zijn om acties in de echte wereld te beschrijven in termen van hun complexiteit.

conclusies: Zoals blijkt uit buitenlandse en binnenlandse ervaringen, zijn de werknemers van deze ondernemingen, ondanks de steeds wijdverbreide introductie van nieuwe informatietechnologieën in de praktijk van ondernemingen, de belangrijkste bron van informatielekkage.

Daarom is het met betrekking tot een dergelijke situatie noodzakelijk om te begrijpen dat het praktisch onmogelijk is om in de onderneming omstandigheden te creëren die ongeautoriseerde toegang tot deze bron van beperkte toegangsinformatie volledig uitsluiten, het is alleen mogelijk om de rol ervan onder andere bronnen aanzienlijk te verminderen van het lekken van vertrouwelijke informatie.

Bedreigingen voor informatie met beperkte toegang zijn daardoor altijd reëel, zeer divers en scheppen randvoorwaarden voor het verlies van informatie.

Volgens het Computer Defense Institute (CSI) en de FBI is meer dan 50% van de inbraken het werk van eigen werknemers van bedrijven. Wat betreft de frequentie van inbraken, gaf 21% van de ondervraagden aan dat ze herhalingen van "aanvallen" hadden ervaren. Het ongeoorloofd wijzigen van gegevens was de meest voorkomende vorm van aanval en werd vooral gebruikt tegen medische en financiële instellingen. Meer dan 50% van de respondenten beschouwt concurrenten als een waarschijnlijke bron van "aanvallen". De respondenten hechten het grootste belang aan de feiten van afluisteren, penetratie in informatiesystemen en "aanvallen" waarbij "aanvallers" het retouradres vervalsen om zoekopdrachten om te leiden naar niet-betrokken personen. Deze aanvallers zijn meestal wrokkige werknemers en concurrenten.

Analyse van informatierisico's laat zien dat deze samenhangen met vertrouwelijke informatie.

Enkele van de redenen die slecht worden overwogen, bijvoorbeeld persoonlijke vijandigheid jegens het hoofd van de onderneming, verslechtering van de commerciële banden tussen ondernemingen, kunnen ertoe leiden dat in de media onrendabele en in sommige gevallen gevaarlijke informatie voor de onderneming verschijnt. Om het risico van verspreiding van deze informatie door concurrerende ondernemingen uit te sluiten of op zijn minst te verminderen, is het daarom noodzakelijk om proactief enige echte informatie en in sommige gevallen desinformatie te verspreiden.

Ondanks de uitwerking van het onderwerp, zijn er altijd veel vragen bij het verbeteren van het informatierisicobeheersysteem. Het doel van het bouwen van een risicoanalyseproces is niet alleen om ze te identificeren, de gevolgen van hun mogelijke implementatie te beoordelen, de verwerking ervan te verzekeren en vervolgens systematisch een verdere effectieve monitoring uit te voeren. Maar ook door te zorgen voor de standaardisatie van de benadering van risico's in alle aspecten van de activiteiten van het bedrijf, gemakkelijk en snel een holistisch beeld te krijgen van de situatie met informatierisico's in het bedrijf tijdens elke periode van zijn activiteit. En ook in het vergroten van de competitieve aantrekkelijkheid van het bedrijf door een snelle en adequate reactie op alle nieuwe opkomende dreigingen, in het vergroten van het vertrouwen binnen het bedrijf zelf tussen business en security.

2. Organisatie van de beveiliging van het bedrijfsinformatiesysteem Voedingsafstanden op basis van standaardoplossingen

2.1 Objecten en onderwerpen van bescherming

Voor de Power Supply Distance zijn de bronnen die belangrijk zijn voor het leven en dus beschermd zijn:

1) mensen (personeel van de onderneming);

2) eigendom: documentatie, materiële en financiële waarden, monsters van afgewerkte producten, intellectueel eigendom (knowhow), computertechnologie en andere;

3) Informatie: op tastbare media, evenals circulerend in interne communicatiekanalen voor communicatie en informatie, in de kantoren van het management van het bedrijf, op vergaderingen en vergaderingen;

4) Financiële en economische middelen die zorgen voor een effectieve en duurzame ontwikkeling van de onderneming (commerciële belangen, bedrijfsplannen, contractuele documenten en verplichtingen, enz.).

Te beschermen waardevolle zaken, zoals afgeschermde informatie, bankgeheimen, persoonsgegevens, ambtsgeheimen, handelsgeheimen, staatsgeheimen, voorwetenschap en andere informatie, waarvoor een regime van verplichte vertrouwelijkheid en verantwoordelijkheid voor de openbaarmaking is ingesteld.

Ook van waarde zijn de gegevens die worden gecreëerd of gebruikt in het bedrijfsinformatienetwerk, zoals wetenschappelijke, technische en technologische informatie met betrekking tot de activiteiten van de onderneming.

De hoofden van de informatiebeschermingsdiensten stellen naast de relevante regelgevingshandelingen een volledige lijst op van informatie die een handelsgeheim vormt.

De categorieën "vertrouwelijk" omvatten informatie die aan de volgende criteria voldoet:

ze zijn niet algemeen bekend of legaal publiekelijk beschikbaar;

het monopoliebezit van deze informatie geeft de organisatie commerciële voordelen, economische en andere voordelen en de openbaarmaking of openlijk gebruik ervan kan leiden tot schade (materiële, morele, fysieke) aan de organisatie, haar klanten of correspondenten (commercieel geheim).

bankierengeheim betekent informatie over transacties, rekeningen en deposito's, bankgegevens, evenals informatie over klanten en correspondenten van de Bank, die onderworpen zijn aan verplichte bescherming.

Onderhoudgeheim betekent informatie waartoe de toegang beperkt is door staatsautoriteiten en federale wetten en betekent informatie die geen bankgeheim is en onderworpen is aan verplichte bescherming volgens de lijst met informatie die beperkt wordt verspreid.

Reclamegeheim organisatie: informatie met betrekking tot wetenschappelijke en technische, technologische, productie-, financiële en economische of andere informatie die feitelijke of potentiële commerciële waarde heeft omdat deze niet bekend is bij derden, waartoe op wettelijke basis geen vrije toegang is en waarvoor de eigenaar van dergelijke informatie is in het handelsgeheimregime terechtgekomen. Openbaarmaking (overdracht, lekkage, open gebruik) waarvan kan leiden tot schade aan de organisatie, de staat, haar klanten of correspondenten, tegenpartijen van de Russische Spoorwegen.

persoonlijkgegevens betekent informatie over de feiten, gebeurtenissen en omstandigheden van het privéleven van burgers, waardoor hun identiteit kan worden vastgesteld.

Staatgeheim- volgens de definitie die is aangenomen in de Russische wetgeving, informatie die door de staat wordt beschermd op het gebied van zijn militaire, buitenlands beleid, economische, inlichtingen-, contraspionage-, operationele opsporings- en andere activiteiten, waarvan de verspreiding de veiligheid van de staat kan schaden.

Insiderinformatie- (Engelse Insider-informatie) - belangrijke niet-openbaar gemaakte interne informatie van het bedrijf, die, indien openbaar gemaakt, de marktwaarde van de effecten van het bedrijf zou kunnen beïnvloeden. Deze omvatten: informatie over de op handen zijnde verandering van leiderschap en een nieuwe strategie, over voorbereidingen voor de release van een nieuw product en de introductie van nieuwe technologie, over succesvolle onderhandelingen over een fusie of een lopende aankoop van een meerderheidsbelang; materialen van financiële overzichten, prognoses, die getuigen van de moeilijkheden van het bedrijf; informatie over het aanbestedingsvoorstel (op de veiling) voordat het openbaar wordt gemaakt, enz.

Informatiebeperkttoegang is informatie die waardevol is voor de eigenaar en waarvan de toegang wettelijk is beperkt. Op zijn beurt wordt informatie met beperkte toegang onderverdeeld in informatie die een staatsgeheim vormt en informatie waarvan de naleving van de vertrouwelijkheid is vastgelegd door de federale wet (vertrouwelijke informatie).

legaalenverwijzinginformatie, zakelijke correspondentie, de overdracht van boekhoudgegevens tussen gebruikerswerkstations en de databaseserver binnen de geautomatiseerde SAP R/3-systemen voor de financiële, economische en technische afdeling.

Bedrijfsinformatie kan de volgende vier ernstniveaus hebben:

vitaal, dat wil zeggen informatie waarvan het lekken of de vernietiging het voortbestaan ​​van de onderneming in gevaar brengt;

belangrijk, dat wil zeggen informatie waarvan het lekken of vernietigen tot hoge kosten leidt;

nuttig, dat wil zeggen informatie waarvan de lekkage of vernietiging enige schade veroorzaakt, maar de onderneming kan zelfs daarna behoorlijk effectief functioneren;

onbeduidend, dat wil zeggen informatie waarvan de lekkage of vernietiging de onderneming niet schaadt en het werkingsproces niet beïnvloedt.

2.2 Organisatorische maatregelen in het informatiebeveiligingssysteem

Organisatorische en juridische documenten en methoden regelen de gehele technologische cyclus van het werk van de Russische Spoorwegen, van de methode voor het selecteren van personeel en het inhuren ervan, bijvoorbeeld op contractbasis, tot bepalingen over de functionele verantwoordelijkheden van elke werknemer. Elke bedrijfsinstructie of -regelgeving moet direct of indirect veiligheidskwesties aanpakken en de prestaties en effectiviteit van het beveiligingssysteem beïnvloeden.

Verschillende soorten documenten zijn een belangrijke bron van vertrouwelijke informatielekken. Hierbij moet er rekening mee worden gehouden dat de vrij snelle ontwikkeling van informatietechnologieën heeft geleid tot de opkomst van nieuwe soorten media voor documentaire informatie: computeruitdraaiingen, media en dergelijke. Tegelijkertijd neemt het belang van traditionele soorten papieren documenten: contracten, brieven, analytische beoordelingen praktisch niet af.

De opkomst van nieuwe dragers van documentaire informatie heeft niet alleen geleid tot nieuwe problemen bij het oplossen van het probleem van de bescherming van informatie tegen ongeoorloofde toegang tot de inhoud ervan, maar ook tot nieuwe mogelijkheden om een ​​gegarandeerde bescherming van deze informatie te waarborgen. We hebben het hier in de eerste plaats over het opslaan van bijzonder belangrijke documentaire informatie op media in een vorm die is getransformeerd met behulp van cryptografische transformaties.

In het kader van deze maatregelen zijn organisatorische en administratieve documenten ontwikkeld en geïmplementeerd bij de Power Supply Distribution, waarin een lijst van vertrouwelijke informatiebronnen is vastgelegd, evenals een lijst van de maatregelen die moeten worden genomen om dit tegen te gaan.

Organisatorische documenten zijn informatiebeveiligingsbeleid, functiebeschrijvingen van bedrijfsmedewerkers, voorschriften voor het werken op een personal computer.

Hiertoe zijn bij JSC "Russische Spoorwegen" de volgende organisatorische taken opgelost:

Er is een rechtsgrondslag gecreëerd om de bescherming van informatie te waarborgen door de implementatie van:

- het aanbrengen van wijzigingen in het Handvest van de onderneming, waardoor het recht wordt verleend aan het bestuur van de onderneming: normatieve en administratieve documenten uit te geven die de procedure regelen voor het bepalen van informatie die een handelsgeheim vormt, en mechanismen voor de bescherming ervan;

- de "CAO" aan te vullen met bepalingen die de verantwoordelijkheden van de administratie en de werknemers van de onderneming vastleggen met betrekking tot de ontwikkeling en uitvoering van maatregelen om handelsgeheimen te identificeren en te beschermen;

- aanvullingen op de "Arbeidsovereenkomst" met eisen voor de bescherming van handelsgeheimen en interne regelgeving, waaronder eisen voor de bescherming van handelsgeheimen;

- het instrueren van ingehuurde personen over de regels voor het bewaren van bedrijfsgeheimen bij het uitvoeren van een schriftelijke geheimhoudingsplicht.

- overtreders van de vereisten voor de bescherming van handelsgeheimen administratief of strafrechtelijk aansprakelijk stellen in overeenstemming met de huidige wetgeving.

- vereisten voor de bescherming van handelsgeheimen opnemen in contracten voor alle soorten economische activiteiten;

- de bescherming van de belangen van de onderneming te eisen bij de staat en de gerechtelijke autoriteiten;

- beschikken over informatie die eigendom is van de onderneming om voordelen te behalen en economische schade voor de onderneming te voorkomen;

- werknemers trainen in de regels voor het beschermen van informatie met beperkte toegang;

- zorgvuldige selectie van werknemers om in het kantoorwerksysteem te werken;

- scheppen van gunstige interne voorwaarden bij de onderneming voor het bewaren van handelsgeheimen;

- personeelsverloop, moeilijk psychologisch klimaat in het team identificeren en stabiliseren;

- het waarborgen van de beoordeling van de mate van vertrouwelijkheid van informatie;

- schorsing van werkzaamheden in verband met handelsgeheimen van personen die de vastgestelde vereisten voor de bescherming ervan schenden;

- aan elke werknemer van de onderneming meedelen "de Lijst van de informatie die het handelsgeheim van de onderneming vormt";

- het zorgen voor een betrouwbare opslag van documenten en voor de tijdige vernietiging ervan, evenals het controleren van de beschikbaarheid van documenten en het bewaken van de tijdigheid en correctheid van de uitvoering ervan;

- concepten en versies van documenten worden persoonlijk vernietigd door de contractant, die persoonlijk verantwoordelijk is voor de vernietiging ervan. Vernietiging wordt uitgevoerd op standaard papiersnijmachines, of op andere manieren die de mogelijkheid van lezen uitsluiten.

- opslag van vertrouwelijke informatie op media en in het geheugen van een persoonlijke elektronische computer in een geconverteerde vorm met behulp van cryptografische transformaties.

Om ongeautoriseerde toegang tot deze informatiebron uit te sluiten, worden daarom zowel traditionele als niet-traditionele methoden gebruikt, namelijk:

· Implementatie van bescherming van het grondgebied, gebouwen en kantoren, evenals effectieve toegangscontrole over de toegang ertoe;

· Invoering van een heldere organisatie van het kantoorwerksysteem.

Informatie die een commercieel geheim vormt, omvat:

- informatie over financiële en economische activiteiten;

- informatie over operationele en productieactiviteiten;

- informatie over beheeractiviteiten;

- informatie over personeelsactiviteiten;

- informatie over controle- en auditactiviteiten;

- informatie over signalering en communicatie, elektrificatie, energie;

- informatie over contractueel werk;

- informatie over de resultaten van het eigen onderzoek;

- informatie over medische activiteiten;

- Informatie over de bescherming van informatie en faciliteiten van de Russische Spoorwegen.

Zorg ervoor dat de computers en telecommunicatiebronnen van de organisatie worden gebruikt zoals bedoeld door haar werknemers, onafhankelijke contractanten. Alle computergebruikers hebben de verantwoordelijkheid om computerbronnen op een professionele, efficiënte, ethische en legale manier te gebruiken. Overtredingen van het bedrijfsbeveiligingsbeleid leiden tot disciplinaire maatregelen, tot en met ontslag en/of strafrechtelijke vervolging.

Veiligheidsbeleid is niet zomaar een regel die iedereen toch begrijpt. Het wordt gepresenteerd in de vorm van een serieus gedrukt document. En om gebruikers voortdurend te herinneren aan het belang van beveiliging, bewaart elke medewerker kopieën van dit document, zodat deze regels altijd voor hun ogen op het bureaublad staan.

Bedrijfsbeveiligingsbeleid

· De vrije toegang tot informatie die bank-, handels- en officiële geheimen van de Bank vormt, is gesloten om vertrouwelijke informatie en fysieke bescherming van haar dragers te beschermen.

De organisatie neemt als eigenaar (eigenaar) van informatie maatregelen om bankgeheimen, persoonsgegevens, ambtsgeheimen, haar handelsgeheimen en andere informatie te beschermen in overeenstemming met de rechten en plichten die haar door de huidige wetgeving worden toegekend.

Vergelijkbare documenten

Analyse van het handels- en personeelsbeheersysteem van het bedrijf, boekhouding, het beveiligingsniveau van het bedrijfsinformatiesysteem van persoonlijke gegevens. Ontwikkeling van een subsysteem van technische maatregelen ter bescherming van routing, switching en firewalling ISPDN.

scriptie, toegevoegd 07/08/2014


Analyse van het object van informatisering. Informatiebeveiligingsbeleid. Subsystemen van technische bescherming van informatie: toegangscontrole, videobewaking, beveiliging en brandalarm, bescherming tegen lekkage via technische kanalen, bescherming van het bedrijfsnetwerk.

presentatie toegevoegd op 30/01/2012


Analyse van het model van het informatie- en telecommunicatiesysteem van de onderneming. Soortenen. De doelen en doelstellingen van informatiebescherming bij de onderneming. Ontwikkeling van controleprocedures voor het infin het bedrijfsnetwerk.

proefschrift, toegevoegd 30-06-2011


Analyse van de beveiliging van bedrijfsnetwerken op basis van ATM, de architectuur van beveiligingsobjecten in technologie. Een model voor het bouwen van eensteem. Methodologie voor het beoordelen van de economische efficiëntie van het gebruik van het systeem. Methoden om het risico op gegevensverlies te verminderen.

proefschrift, toegevoegd 29/06/2012


Analytisch overzicht van het bedrijfsnetwerk. Analyse van het bestaande netwerk, informatiestromen. Vereisten voor het administratiesysteem en etikettering van LAN-elementen. Ontwikkeling van systeembescherming tegen onbevoegde toegang. Instructies voor de systeembeheerder.

proefschrift, toegevoegd 19/01/2017


Het concept van antivirusbescherming van informatie-infrastructuur, soorten mogelijke bedreigingen. Kenmerken van de software die wordt gebruikt in PJSC "ROSBANK". Middelen om de informatiebronnen van de bank te beschermen tegen dreigingen met schending van integriteit of vertrouwelijkheid.

scriptie, toegevoegd 24/04/2017


Ontwikkeling van een high-speed bedrijfsinformatienetwerk op basis van Ethernet-lijnen met een mobiel handelssegment voor Monarch LLC. Maatregelen voor de installatie en bediening van apparatuur. Berekening van technische en economische indicatoren van het project.

scriptie, toegevoegd 10/11/2011


De structuur van het bedrijfsinformatiesysteem van de organisatie. Ontwikkeling van adresruimte en DNS-systeem. CIS-domeinstructuur. Keuze van hardware- en softwareconfiguratie van werkstations en serverapparatuur. Typische services configureren.

scriptie, toegevoegd 07/29/2013


Fysiek medium voor gegevensoverdracht in lokale netwerken. Bedrijfsinformatienetwerk. Telecommunicatieapparatuur en bedrijfscomputers. Ontwikkeling van een bedrijfsinformatienetwerk gebaseerd op de analyse van moderne informatietechnologieën.

proefschrift, toegevoegd 06/07/2015


Relevantie van informatiebeveiligingskwesties. Software en hardware van het Mineral LLC netwerk. Het bouwen van een model van bedrijfsbeveiliging en bescherming tegen ongeoorloofde toegang. Technische oplossingen voor de beveiliging van het informatiesysteem.