Forskrift om tiltak for å sikre informasjonsvern.
Generelle bestemmelser
Bruk av automatiserte systemer øker organisasjonens effektivitet betydelig og skaper samtidig forutsetninger for forvrengning og tap av informasjon på grunn av feil, feil, feilaktige eller ondsinnede handlinger fra servicepersonell, uautoriserte handlinger fra tredjeparter, og datakriminalitet.
Bruken av nettverksteknologier i informasjonsbehandling bringer sikkerhetsproblemet på banen.
Dette dokumentet definerer følgende sikkerhetsaspekter:
- begrense tilgang til maskinvare;
- overholdelse av sikkerhetsstandarder på arbeidsplasser;
- brukertilgang til nettverksressurser;
- differensiering av rettigheter på nivå med applikasjonsprogrammer;
- sikkerhet ved arbeid med e-post;
- sikkerhet når du arbeider med Internett;
- informasjonsbeskyttelse ved arbeid med elektroniske økonomiske dokumenter;
- gi beskyttelse for overføring av finansiell informasjon.
1. Maskinvarebeskyttelse
Datautstyr bør plasseres på steder som utelukker adgang for uvedkommende uten organisasjonens ansattes viten. Hovedservere bør plasseres i egne serverrom, som et begrenset antall ansatte i organisasjonens automasjonstjeneste har tilgang til. Listen over disse ansatte må godkjennes av den autoriserte lederen av organisasjonen.
Utformingen av nettverket skal minimere sannsynligheten for uautoriserte tilkoblinger til ryggradskabler og/eller bytteenheter.
For å beskytte datamaskiner installert utenfor organisasjonens kontrollerte område, må følgende tilleggskrav oppfylles:
- datamaskindekselet må være forseglet;
- BIOS-innstillingen til datamaskinen må beskyttes med et administratorpassord;
- datamaskinen må startes etter å ha skrevet inn brukerpassordet ( dette passordet kontrolleres av BIOS);
- BIOS-administrator- og brukerpassord må være på minst 6 tegn og må ikke samsvare med hverandre;
- hvis spesifikasjonene til brukerens arbeid tillater det, bør de blokkeres ( deaktivert fysisk eller med passende BIOS-innstilling) enheter som CD-stasjon, diskettstasjon ( disketter), USB-porter;
2. Overholdelse av sikkerhetsstandarder på jobb
Hver ansatt er forpliktet til å sikre beskyttelse mot uautorisert tilgang til informasjon på sin datamaskin i arbeidstiden. På arbeidsplassene til systembrukere oppnås dette ved å bruke autentisering ved oppstart av datamaskinens OS og låse tastaturet når man midlertidig forlater arbeidsplassen.
I avdelingene i organisasjonen bør det sikres konstant visuell kontroll av ansatte over datamaskinene til midlertidig fraværende kolleger.
Når du sender ut informasjon til en utskriftsenhet, er ansatte pålagt å kontrollere utskriftsprosessen, mens skriveren ikke skal stå uten tilsyn. Alle trykte dokumenter skal tas med til arbeidsplassen. Papirdokumenter, hvis behov for videre bruk er borte, skal destrueres i den rekkefølge organisasjonen fastsetter, d.v.s. bruke riktig utstyr, med unntak av muligheten for å gjenopprette innholdet.
Hvis det er nødvendig å installere et nytt program på datamaskinen, er brukeren forpliktet til å kontakte automatiseringsavdelingen for å utføre de nødvendige handlingene. Selvinstallasjon av programmer, samt selvendring av datamaskininnstillinger, operativsystem og applikasjonsprogrammer, endring av datamaskinkonfigurasjon er ikke tillatt. Hver ansatt i organisasjonen er ansvarlig for tilstedeværelsen av fremmede programmer og annen ikke-offisiell elektronisk informasjon på maskinen sin.
Når ansatte i en organisasjon jobber med kunder, er det tilrådelig å utelukke muligheten for at klienter ser innholdet på skjermen. Dette oppnås ved at den gjensidige posisjonen til den ansatte og klienten blir servert "ansikt til ansikt" og den tilsvarende rotasjonen av monitoren.
Spesiell forsiktighet må utvises når du legger inn passord: både nettverkspassord og passord som brukes i applikasjoner. Det er forbudt å skrive ned eller lagre informasjon om brukerpassord i filer.
3. Beskyttelse på nivå med lokalnettet
3.1. Registrering av brukere på nettverket
Det lokale nettverkets tilgangskontrollsystem bestemmer:
- hva brukere kan jobbe på filserveren;
- hvilke dager og på hvilket tidspunkt brukere kan jobbe;
- fra hvilke arbeidsstasjoner brukere kan jobbe.
Registrering av en brukerkonto på LAN-serveren utføres av administratoren på grunnlag av en søknad signert av lederen for avdelingen der den ansatte jobber.
For å kontrollere tilgangen til organisasjonens nettverk tildeles hver bruker én unik identifikator ( nettverksnavn), som gis til ham av LAN-administratoren under registreringen, og et midlertidig passord for den første tilkoblingen til nettverket. Ved den første tilkoblingen til nettverket vil tilgangskontrollsystemet kontrollere riktigheten av det midlertidige passordet, og hvis kontrollen er vellykket, vil det tilby å endre passordet til et permanent. Lengden på passordet som velges av brukeren må være tilstrekkelig til å gi rimelig brute force, vanligvis 6 eller flere tegn. Passordet må være gyldig i en begrenset periode, vanligvis ett år eller mindre.
Søknad om brukertilgang til LAN-ressurser signeres av avdelingsleder.
Når en ansatt blir sagt opp, fjernet fra jobb, endret arbeidsoppgaver og funksjoner, er hans nærmeste leder forpliktet til å varsle LAN-administratoren skriftlig i tide. Administratoren er forpliktet til umiddelbart å gjøre de nødvendige endringene i kontoinnstillingene og/eller i settet med krefter (rettigheter) til brukeren.
Ved registrering kan hver LAN-bruker settes en grense på antall tilkoblinger til hver av serverne – som regel én tilkobling til hver av serverne som kreves for brukerens arbeid. Binding av nettverksnavn til MAC-adresser til arbeidsstasjoner kan brukes som ekstra beskyttelse.
Hvis det er nødvendig å midlertidig overføre myndighetene til en LAN-bruker til en annen, plikter lederen av den aktuelle avdelingen å varsle LAN-administratoren skriftlig i tide. Varselet skal angi startdato og dato for tilbakekall av delegering av myndighet fra en bruker til en annen. Administrator har forbud mot å delegere brukermyndighet etter muntlig anmodning fra avdelingsledere og ansatte. Overføring av nettverksnavn og/eller passord fra en bruker til en annen er ikke tillatt.
Tilkoblingsforespørsler, delegering av myndighet og frakobling ( blokkering) brukere til nettverksressurser lagres av administratoren.
Administrator skal umiddelbart informere leder for automasjonsavdelingen om alle forsøk på uautorisert tilgang til informasjon i LAN.
Administratoren må raskt kunne få en liste over brukere, grupper og strukturen for deres tilgang til nettverksressurser.
3.2. Differensiering av tilgang til nettverksressurser
Differensiering av tilgangsrettigheter til visse databaser og programmer som ligger på filservere, utføres på nivået av nettverksenheter og kataloger. Ved bruk av DBMS på serversiden, bør deres interne mekanismer for brukerautentisering og databeskyttelse brukes.
For å organisere felles arbeid med serverressursene og utveksle data gjennom serveren opprettes brukergrupper ( for eksempel i henhold til prinsippet om administrativ inndeling, i henhold til applikasjonene som brukes, kataloger osv.). Hver gruppe har tilgangsrettigheter til bestemte ressurser. Som regel overlapper ikke gruppetilgangsrettigheter.
Hver bruker, i samsvar med sitt funksjonelle ansvar, tilhører en eller flere brukergrupper.
Serverne må ikke ha noen offentlige kontoer som gjest.
4. Differensiering av tilgangsrettigheter på applikasjonsnivå
For å jobbe med systemene til organisasjonen, må hver bruker ha sin egen unike identifikator og/eller passord. Avhengig av operasjonene som utføres, gis brukeren tilgang til visse systemkomponenter. Samtidig er tilgangen begrenset på nivået av funksjonene som brukes og operasjonene som utføres. På det laveste nivået er utøvere definert av gruppene av tilgjengelige kontoer og autorisasjonen til å jobbe med disse kontoene.
Søknaden om brukertilgang til programmene er signert av avdelingsleder og signert av regnskapssjef i organisasjonen.
Funksjonene for å tildele brukertilgangsrettigheter til applikasjonssystemer er tildelt administratorer av systemer og programmer.
5. Bruke et bedriftspostsystem
Hver bruker av postsystemet må ha sin egen unike identifikator og passord. Administrator av postsystemet er ansvarlig for å koble brukere til systemet og utføre nødvendig vedlikeholdsarbeid.
Det er forbudt å bruke postsystemet til å videresende meldinger som ikke er relatert til organisasjonens arbeid: personlig korrespondanse, spam, etc.
Det er forbudt å videresende meldinger som inneholder kommersielle og andre typer hemmeligheter i det fri ( ikke beskyttet kryptografisk informasjonsbeskyttelsessystem) form.
Ved mottak av meldinger som inneholder vedlagte filer, må den ansatte sørge for antiviruskontroll av disse filene inntil de brukes i applikasjonsprogrammer.
På en bedriftspostserver anbefales det å bruke antispam- og antivirusfiltre.
6. Sikkerhetstiltak ved arbeid med Internett
Hovedoppgaven når du samhandler med Internett er å beskytte det interne nettverket. Det er obligatorisk å bruke brannmurer, fysisk separasjon av ressursene til det eksterne nettverket fra det interne nettverket til organisasjonen.
Siden integreringen av nettverk av organisasjonen, filialer og legge til. kontorer utføres gjennom en VPN bygget på Internett, er det nødvendig å sikre pålitelig beskyttelse av omkretsen av det forente nettverket i hver av de separate divisjonene. Dette oppnås ved å bruke passende tekniske og/eller programvareverktøy: VPN-rutere, brannmurer, antivirusprogramvare.
Det er forbudt å bruke Internett-tilgang til personlige formål eller til ikke-forretningsformål.
Hvis tegn på ikke-standard oppførsel eller ustabil drift av datamaskinen vises ved tilgang til Internett, samt når et antivirussystem signaliserer et infeksjonsforsøk, må du umiddelbart varsle administratoren av organisasjonens LAN.
7. Beskyttelse ved overføring av finansiell informasjon
Ved utveksling av betalingsdokumenter bør kryptografiske beskyttelsesmidler for den overførte informasjonen brukes: kryptering og elektronisk digital signatur ( EDS ). Det er kun tillatt å bruke sertifiserte kryptografiske beskyttere.
Ansatte som er ansvarlige for dannelsen av nøkkeldisketter for kryptografiske beskyttelsesmidler ( sikkerhetsadministratorer), utnevnes etter ordre fra organisasjonen. Alle handlinger for generering og overføring av nøkler skal dokumenteres av sikkerhetsadministratorer i spesielle logger.
8. Ytterligere krav for overholdelse av sikkerhetsstandarder under driften av "Client-Bank"-systemet
Overholdelse av sikkerhetstiltakene foreskrevet av de relevante dokumentene fra de autoriserte organene er nødvendig for å sikre sikkerheten i organisasjonen som er engasjert i teknisk støtte, distribusjon og drift av i klassen " MED ».
Overholdelse av sikkerhetstiltak er påkrevd med arbeidet i systemet " Kunde-Bank».
Tilgang til rommet der datamaskinen er installert, som sender og mottar dokumenter gjennom systemet " Kunde-Bank»Bør kun gis til et begrenset antall personer, listen over disse gjenspeiles i de tilsvarende bestillingene for organisasjonen.
På grunn av det faktum at en datamaskin med programvare for overføring og mottak av filer fra deltakere i systemet " Kunde-Bank»Direkte koblet til eksterne datanettverk, må du:
1. Ta tiltak for å sikre at det er umulig for en ekstern bruker å logge seg på fra denne datamaskinen til det interne nettverket til organisasjonen.
2. All konfidensiell informasjon som er lagret på denne datamaskinen må krypteres eller på annen måte transformeres for å forhindre uautorisert bruk.
Alle operasjoner og handlinger som finner sted i systemet " Kunde-Bank"Må skrives til filer ( magasiner) protokoller.
For raskt å gjenopprette systemet, er det nødvendig å lage dets daglige sikkerhetskopier, som skal lagres på en annen datamaskin, fysisk plassert i andre lokaler i organisasjonen.
9. Sikre integriteten og påliteligheten til informasjon
Med jevne mellomrom bør profylaktiske skanninger av datamaskinens harddisker ved hjelp av antivirusprogrammer utføres. Når du bruker flyttbare medier med elektronisk informasjon, er det obligatorisk å sjekke dem med et antivirusprogram under den første installasjonen ( og for overskrivbare medier - med hver installasjon) til datamaskinen.
Grunnleggende informasjon lagret elektronisk på organisasjonens servere bør sikkerhetskopieres på daglig basis. Du bør ha en kopi av driftsaktivitetsdatabasene ved starten av dagen.
Arkivinformasjon må kopieres i duplikat på langtidslagringsmedier ( CD-ROM, DVD-ROM, magneto-optiske plater, etc.). Kopier av arkivinformasjon bør oppbevares i separate lagringsanlegg som sikrer forsvarlige forhold for vedlikehold og umulighet for uautorisert tilgang til dem.
Last ned ZIP-fil (20862)
Dokumentene kom godt med - legg "liker":
Informasjonsbeskyttelse i systemer og nettverk er sikret på følgende områder:
1. Organisatoriske tiltak (for eksempel begrense tilgangen til lokalene der informasjon behandles; tilgang til opplysninger om verifiserte personer; lagring av informasjonsbærere i spesielle safer).
2. Organisatorisk og teknisk (installasjon av kombinasjonslåser; strømforsyning fra uavhengige kilder; bruk av flytende krystallmonitorer; installasjon av tastaturet på en myk base, etc.).
3. Programvare (blokkering av data og inntasting av nøkkelord; identifikasjon; programmer for å oppdage uautorisert tilgang; antivirusverktøy, verktøy for overvåking og diagnostisering av PC-programvare og maskinvare).
4. Lovlig. Oppretting av et passende regulatorisk rammeverk for å sikre informasjonssikkerhet og informasjonsbeskyttelse.
Sikkerhetstrusler: konsept og klassifisering... En kompleks løsning på sikkerhetsproblemer kalles en sikkerhetsarkitektur, som inkluderer: sikkerhetstrusler, sikkerhetstjenester og sikkerhetsmekanismer (metoder).
Sikkerhetstrussel - en handling eller hendelse som kan føre til ødeleggelse, forvrengning eller uautorisert bruk av informasjonsressurser i datasystemer og nettverk.
Etter hendelsens natur er trusler delt inn i:
Naturlig - trusler forårsaket av innvirkningen på datasystemet og dets elementer av objektive fysiske prosesser eller naturfenomener som er uavhengige av mennesket;
Kunstig - trusler forårsaket av menneskelig aktivitet. Blant dem, basert på motivasjonen for handlinger, er det: utilsiktede (tilfeldige) trusler forårsaket av feil i utformingen av systemet og dets elementer, feil i programvare, feil i handlingene til personell; bevisste (tilsiktede) trusler knyttet til menneskers egoistiske ambisjoner.
I forhold til datasystemer er trusler delt inn i eksterne og interne.
Basert på objektene til datasystemet, er trusler klassifisert i:
Trusler mot datamaskiner eller servere (fysisk interferens, virusinfeksjon, uautorisert introduksjon i systemet);
Brukere (erstatning av personligheter, brudd på personvernet);
Dokumenter (brudd på integriteten til dokumentet, forvrengning av autentisiteten til avsenderen av dokumentet, ikke-anerkjennelse av deltakelse).
Informasjonssikkerhetsmetoder. Informasjonssikkerhetsmetoder inkluderer:
Bruker / meldingsidentifikasjon;
Datakryptering;
Elektronisk digital signatur;
Sjekksum tillegg;
Ruting ledelse.
Identifikasjon lar deg angi at en spesifikk bruker skal jobbe ved terminalen og motta eller sende informasjon. Identifikasjon utføres ved hjelp av passord (et sett med tegn kjent for abonnenten som er koblet til systemet); fysiske metoder som magnetisk belagte kort; analyse av individuelle parametere (fingeravtrykk, håndlinjer, iris, stemmeidentifikasjon).
Kryptering utført ved kryptografiske metoder, dvs. ved metoden for å konvertere fra den generelt aksepterte formen til den kodede (omvendt prosess er dekryptering). Den hemmelige krypteringsnøkkelen er kun kjent for avsender og mottaker.
Elektronisk digital signatur(EDS) refererer også til kryptografiske metoder for informasjonsbeskyttelse. De brukes i utviklingen av sikre elektroniske dokumenthåndteringssystemer. EDS er et middel for juridisk beskyttelse og autentisering av et elektronisk dokument. EDS er delt inn i: EDS for teksten til dokumentet og EDS for operasjonen, som sertifiserer handlingene der dokumentet er signert.
Legger til en kontrollsum til meldingen beregnes ved hjelp av en spesiell algoritme. I dette tilfellet beregner mottakeren sjekksummen ved å bruke samme algoritme og sammenligner resultatet med det mottatte beløpet. Sjekksummen omtales ofte som meldingsgodkjenningskode eller imitasjonsinnlegg.
Elektroniske nøkler blir ofte bare sett på som et kopibeskyttelsesverktøy. Elektroniske nøkler er bygget på basis av en mikrokrets og har et elektrisk programmerbart ikke-flyktig minne. Beskyttelse av programmer ved hjelp av elektroniske nøkler lar deg forlate bindingen av programmer til en ukopierbar nøkkeldiskett eller en bestemt datamaskin. Brukeren kan fritt lage sikkerhetskopier, omskrive beskyttede programmer fra en datamaskin til en annen, etc., men disse programmene vil starte og fungere kun når den elektroniske nøkkelen er koblet til parallellporten på datamaskinen.
KUNSTIG INTELLIGENS
For å sikre informasjonssikkerheten i kontornettverk utføres ulike aktiviteter, forent av konseptet "informasjonssikkerhetssystem". Et informasjonsbeskyttelsessystem er et sett med tiltak, programvare og maskinvare, juridiske og moralske og etiske standarder rettet mot å motvirke trusler fra overtredere for å minimere mulig skade på brukere og eiere av systemet.
Tradisjonelle tiltak for å motvirke informasjonslekkasje er delt inn i tekniske og organisatoriske.
Tekniske tiltak inkluderer beskyttelse mot uautorisert tilgang til systemet, redundans av spesielt viktige dataundersystemer, organisering av datanettverk med mulighet for omfordeling av ressurser ved feil på individuelle lenker, installasjon av branndeteksjons- og slokkeutstyr, vanndeteksjonsutstyr, strukturelle tiltak for å beskytte mot tyveri, sabotasje, sabotasje, eksplosjoner, installasjon av reservestrømforsyningssystemer, utrusting av lokaler med låser, installasjon av alarmer og mye mer.
Organisatoriske tiltak inkluderer serversikkerhet, nøye utvalg av personell, utelukkelse av tilfeller av kritisk arbeid av bare én person, en plan for å gjenopprette serverens ytelse etter en feil, allsidig beskyttelse fra alle brukere (inkludert toppledelsen).
Uautorisert tilgang til informasjon kan oppstå under vedlikehold eller reparasjon av datamaskiner ved å lese gjenværende informasjon på mediet, til tross for at den er fjernet av brukeren ved bruk av konvensjonelle metoder. En annen måte er å lese informasjon fra en transportør under transporten uten sikkerhet inne i et objekt eller en region.
Moderne datafasiliteter er basert på integrerte kretser. Under driften av slike kretser oppstår høyfrekvente endringer i spenningsnivåer og strømmer, noe som fører til forekomst i strømkretser, i luften, i nærliggende utstyr, etc. elektromagnetiske felt og pickuper, som kan transformeres til bearbeidet informasjon ved hjelp av spesielle midler (la oss betinget kalle dem "spyware"). Ettersom avstanden mellom inntrengerens mottaker og maskinvaren minker, øker sannsynligheten for denne typen henting og dekryptering av informasjon.
Uautorisert bekjentskap med informasjon er også mulig gjennom direkte tilkobling av "spyware" av overtrederen til kommunikasjonskanaler og nettverksmaskinvare.
De tradisjonelle metodene for å beskytte informasjon mot uautorisert tilgang er identifikasjon og autentisering, passordbeskyttelse. Identifikasjon og autentisering. I datasystemer er informasjon konsentrert, rett til bruk som tilhører bestemte individer eller grupper av individer som handler på eget initiativ eller i samsvar med offisielle plikter. For å sikre sikkerheten til informasjonsressurser, eliminere muligheten for uautorisert tilgang, styrke kontrollen av autorisert tilgang til konfidensiell eller klassifisert informasjon, introduseres ulike systemer for identifikasjon, objekt(emne)autentisering og tilgangskontroll. Konstruksjonen av slike systemer er basert på prinsippet om å innrømme og utføre bare slike referanser til informasjon der de tilsvarende tegnene på tillatte krefter er tilstede.
Identifikasjon og autentisering er nøkkelbegreper i dette systemet. Identifikasjon er tildelingen av et unikt navn eller bilde til et objekt eller motiv. Autentisering er etablering av autentisitet, dvs. sjekke om objektet (subjektet) virkelig er den han utgir seg for å være.
Det endelige målet med identifiserings- og autentiseringsprosedyrene for et objekt (subjekt) er dets adgang til begrenset informasjon ved en positiv sjekk, eller avslag på opptak ved et negativt resultat av kontrollen. Objektene for identifikasjon og autentisering kan være: mennesker (brukere, operatører, etc.); tekniske midler (monitorer, arbeidsstasjoner, abonnentpunkter); dokumenter (manual, utskrifter, etc.); magnetiske lagringsmedier; informasjon på monitorskjermen osv. Identifikasjonen av et objekt kan gjøres av en maskinvareenhet, et program, en person osv.
Passordbeskyttelse. Et passord er en samling av tegn som definerer et objekt (emne). Når du velger et passord, dukker det opp spørsmål om dets størrelse, motstand mot uautorisert valg og hvordan det brukes. Naturligvis, jo lengre passordet er, desto mer sikkerhet vil systemet gi, siden det vil kreve mye arbeid å gjette det. Samtidig bestemmes valget av passordlengden i stor grad av utviklingen av tekniske midler, deres elementbase og hastighet.
Hvis et passord brukes, er det nødvendig å periodisk erstatte det med et nytt for å redusere sannsynligheten for avskjæring ved direkte tyveri av mediet, lage en kopi av det, og til og med fysisk tvang av en person. Passordet legges inn av brukeren i begynnelsen av interaksjonen med datasystemet, noen ganger på slutten av økten (i spesielt kritiske tilfeller kan det normale utgangspassordet avvike fra inndatapassordet). For legitimiteten til brukeren kan det tenkes å legge inn et passord med jevne mellomrom.
Passordet kan brukes til å identifisere og autentisere terminalen som brukeren logger på fra, og til å reversere autentisering av datamaskinen til brukeren. For å identifisere brukere kan det brukes systemer som er komplekse med tanke på teknisk implementering som sikrer autentisering av en bruker basert på en analyse av hans individuelle parametere: fingeravtrykk, håndlinjer, iris, stemmeklang, etc. Fysiske identifikasjonsmetoder ved bruk av bærere av passordkoder er utbredt ... Slike medier er pass i adgangskontrollsystemer; plastkort med eierens navn, hans kode, signatur; plastkort med magnetstripe; plastkort med innebygd mikrokrets (smartkort); optiske minnekort osv.
Informasjonssikkerhetsverktøy etter implementeringsmetoder kan deles inn i tre grupper:
- · Programvare;
- · Programvare og maskinvare;
- · Maskinvare.
Ibetyr spesialutviklede programmer som implementerer sikkerhetsfunksjonene til et datasystem, utfører funksjonen med å begrense brukertilgang med passord, nøkler, flernivåtilgang, etc. Disse programmene kan implementeres på praktisk talt alle brukervennlige operativsystemer. Vanligvis gir disse programvareverktøyene en ganske høy grad av systembeskyttelse og er rimelige. Når et slikt system kobles til det globale nettverket, øker sannsynligheten for å bryte beskyttelsen. Derfor er denne beskyttelsesmetoden akseptabel for lokale lukkede nettverk som ikke har en ekstern utgang.
Maskinvare og programvare betyr enheter implementert på universelle eller spesialiserte mikroprosessorer som ikke krever modifikasjoner i kretsen når driftsalgoritmen endres. Disse enhetene kan også tilpasses ethvert operativsystem og har en høy grad av beskyttelse. De vil koste litt mer (prisen deres avhenger av typen operativsystem). Dessuten er denne typen enhet det mest fleksible verktøyet som lar deg gjøre endringer i konfigurasjonen på forespørsel fra kunden. Firmware gir en høy grad av beskyttelse for det lokale nettverket koblet til det globale.
Maskinvare betyr enheter der funksjonelle enheter er implementert på svært store integrerte systemer (VLSI) med en uforanderlig operasjonsalgoritme. Denne typen enhet tilpasser seg ethvert operativsystem, er den dyreste å utvikle, og har høye teknologiske krav i produksjonen. Samtidig har disse enhetene den høyeste grad av beskyttelse; det er umulig å trenge inn i dem og gjøre konstruktive endringer eller programvareendringer. Bruken av maskinvare er vanskelig på grunn av deres høye kostnader og den statiske karakteren til algoritmen.
Programvare og maskinvare, som er dårligere enn maskinvare i hastighet, tillater samtidig å enkelt endre den fungerende algoritmen og har ikke ulempene med programvaremetoder. En egen gruppe tiltak for å sikre informasjonssikkerhet og identifisere uautoriserte henvendelser inkluderer programmer for å oppdage brudd i sanntid.
For å sikre informasjonssikkerheten i kontornettverk utføres ulike aktiviteter, forent av konseptet "informasjonssikkerhetssystem". Et informasjonsbeskyttelsessystem er et sett med tiltak, programvare og maskinvare, juridiske og moralske og etiske standarder rettet mot å motvirke trusler fra overtredere for å minimere mulig skade på brukere og eiere av systemet.
Tradisjonelle tiltak for å motvirke informasjonslekkasje er delt inn i tekniske og organisatoriske G. Konakhovich Informasjonsbeskyttelse i telekommunikasjonssystemer. - M .: MK-Press, 2005. S. 123 ..
Tekniske tiltak inkluderer beskyttelse mot uautorisert tilgang til systemet, redundans av spesielt viktige dataundersystemer, organisering av datanettverk med mulighet for omfordeling av ressurser ved feil på individuelle lenker, installasjon av branndeteksjons- og slokkeutstyr, vanndeteksjonsutstyr, strukturelle tiltak for å beskytte mot tyveri, sabotasje, sabotasje, eksplosjoner, installasjon av reservestrømforsyningssystemer, utrusting av lokaler med låser, installasjon av alarmer og mye mer.
Organisatoriske tiltak inkluderer serversikkerhet, nøye utvalg av personell, utelukkelse av tilfeller av kritisk arbeid av bare én person, en plan for å gjenopprette serverens ytelse etter en feil, allsidig beskyttelse fra alle brukere (inkludert toppledelsen).
Uautorisert tilgang til informasjon kan oppstå under vedlikehold eller reparasjon av datamaskiner ved å lese gjenværende informasjon på mediet, til tross for at den er fjernet av brukeren ved bruk av konvensjonelle metoder. En annen måte er å lese informasjon fra en transportør under transporten uten sikkerhet inne i et objekt eller en region.
Moderne datafasiliteter er basert på integrerte kretser. Under driften av slike kretser oppstår høyfrekvente endringer i spenningsnivåer og strømmer, noe som fører til forekomst i strømkretser, i luften, i nærliggende utstyr, etc. elektromagnetiske felt og interferens, som ved hjelp av spesielle midler kan omdannes til bearbeidet informasjon. Ettersom avstanden mellom inntrengerens mottaker og maskinvaren minker, øker sannsynligheten for denne typen henting og dekryptering av informasjon.
Uautorisert bekjentskap med informasjon er også mulig gjennom direkte tilkobling av "spyware" av overtrederen til kommunikasjonskanaler og nettverksmaskinvare.
De tradisjonelle metodene for å beskytte informasjon mot uautorisert tilgang er identifikasjon og autentisering, passordbeskyttelse. Korzhov V. Strategi og taktikk for beskyttelse. // Computerworld Russland. - 2004. - №14.
Identifikasjon og autentisering. I datasystemer er informasjon konsentrert, rett til bruk som tilhører bestemte individer eller grupper av individer som handler på eget initiativ eller i samsvar med offisielle plikter. For å sikre sikkerheten til informasjonsressurser, eliminere muligheten for uautorisert tilgang, styrke kontrollen av autorisert tilgang til konfidensiell eller klassifisert informasjon, introduseres ulike systemer for identifikasjon, objekt(emne)autentisering og tilgangskontroll. Konstruksjonen av slike systemer er basert på prinsippet om å innrømme og utføre bare slike referanser til informasjon der de tilsvarende tegnene på tillatte krefter er tilstede.
Identifikasjon og autentisering er nøkkelbegreper i dette systemet. Identifikasjon er tildelingen av et unikt navn eller bilde til et objekt eller motiv. Autentisering er etablering av autentisitet, dvs. sjekke om objektet (subjektet) virkelig er den han utgir seg for å være.
Send det gode arbeidet ditt i kunnskapsbasen er enkelt. Bruk skjemaet nedenfor
Studenter, hovedfagsstudenter, unge forskere som bruker kunnskapsbasen i studiene og arbeidet vil være veldig takknemlige for deg.
postet på http://www.allbest.ru/
Introduksjon
"Hvem eier informasjonen, eier verden" er sannsynligvis et av de mest sannferdige uttrykkene i dag, som uttrykker essensen av det mest akutte problemet i verden. Gjennom menneskehetens historie kan tusenvis av eksempler på informasjonstyveri siteres, noe som førte til de mest ubehagelige og komplekse konsekvensene. Derfor må all informasjon av i det minste en viss verdi beskyttes, fordi etterretningsaktivitet ikke sover og bare forbedres.
Til tross for gjeldende forbud i samsvar med russisk lovgivning, er sannsynligheten for lekkasje av konfidensiell informasjon realisert ved hjelp av moderne tekniske midler ganske høy. Intelligensteknikker og -teknologier blir bedre, og dette har ført til at noen metoder for å skaffe informasjon allerede er ganske vanlige, ganske rimelige og ganske produktive. Følgelig er det behov for en omfattende undertrykkelse av alle mulige kanaler for informasjonslekkasje, og ikke bare de mest enkle og tilgjengelige.
Det er flere kommunikasjonskanaler som informasjon overføres gjennom, og alle må være forsvarlig beskyttet. For å unngå situasjoner med informasjonslekkasje benyttes ulike tekniske virkemidler som ikke lar informasjon spres utover en gitt sone. Hvis informasjon har spredt seg utenfor det kontrollerte området, kalles slike kanaler for informasjonslekkasjekanaler. Det er også et konsept som uautorisert tilgang, det kan inkludere tilfeller av bevisst forvrengning, tyveri, fjerning av informasjon av angriperen.
Denne artikkelen vil vurdere spørsmålene om å sikre informasjonssikkerheten til foretaket, samt mulige trusler mot sikkerheten til lokalene beregnet på å holde lukkede arrangementer der informasjon som utgjør statshemmeligheter eller konfidensiell informasjon diskuteres (for eksempel kontoret til lederen av bedriften).
Relevansen av dette arbeidet er behovet for å beskytte konfidensiell data, informasjon og informasjon, hvis tap, avsløring eller forvrengning kan medføre negative konsekvenser for organisasjonen, virksomheten og staten, samt behovet for at informasjonssystemet er i samsvar med kravene til forskriftsdokumenter fra den russiske føderasjonen.
Hensikten med dette arbeidet er å utvikle et sett med anbefalinger for å sikre informasjonssikkerhet i en virksomhet, å studere metoder for å beskytte informasjon mot teknisk etterretning og mot lekkasje gjennom tekniske kanaler, samt å studere og bygge et system for ingeniør- og teknisk beskyttelse av et dedikert rom beregnet for å holde lukkede arrangementer der informasjon som utgjør en statshemmelighet eller konfidensiell informasjon.
Arbeidsoppgaver
Undersøk trusler og kanaler for informasjonslekkasje. Vurder implementering av tekniske tiltak for å beskytte informasjon.
Utforsk de viktigste tiltakene for å beskytte informasjon i bedriften.
Undersøke lokalets sikkerhetssystem for å holde lukkede arrangementer der opplysninger som utgjør statshemmeligheter eller taushetsbelagte opplysninger omtales (heretter kalt lokalene). Analyser det eksisterende systemet for ingeniør- og teknisk beskyttelse av lokalene og foreslå mulige alternativer for å modernisere systemet for ingeniør- og teknisk beskyttelse av lokalene;
Arbeidet ble utført i interessen til en elektronisk industribedrift.
På grunnlag av de generelle bestemmelsene i virksomhetens arbeid anbefales en sikkerhetspolicy og midler for å sikre den. I dette arbeidet, basert på analysen av informasjonslekkasjekanaler, foreslås et rombeskyttelsessystem som tar hensyn til flerkanalsavlytting.
Den praktiske betydningen av dette arbeidet er å redusere risikoen for lekkasje av konfidensiell informasjon og statshemmeligheter gjennom ulike kanaler i det vurderte kontoret til lederen av en elektronisk industribedrift.
1. GENERELLE KONSEPT FOR INFORMASJONSSIKKERHET
informasjonssikkerhet tilgang databehandling
1.1 Definisjon av begrepet "informasjonsbeskyttelse" og dets formål
Informasjonsbeskyttelse er vedtakelse av juridiske, organisatoriske og tekniske tiltak rettet mot:
Sikre beskyttelse av informasjon fra uautorisert tilgang, ødeleggelse, modifikasjon, blokkering, kopiering, tilveiebringelse, distribusjon, samt fra andre ulovlige handlinger i forhold til slik informasjon;
Overholdelse av konfidensialiteten til begrenset informasjon;
Implementering av rett til innsyn i informasjon.
I dag kan det skilles mellom flere typer beskyttet informasjon, og hver av dem har sine egne egenskaper innen regulering, organisering og implementering av selve beskyttelsen. Det er verdt å fremheve flere vanlige funksjoner for å beskytte informasjon av noe slag.
For eksempel,
eieren av informasjonen selv organiserer og tar tiltak for å beskytte den;
beskytter sin informasjon, eieren begrenser den fra tilgang fra tredjeparter, ulovlig erverv eller bruk til skade for hans interesser, og beholder også sine rettigheter til å eie og disponere denne informasjonen;
for å beskytte informasjon, er det nødvendig å implementere et sett med tiltak for å begrense tilgangen til den og skape forhold som helt vil utelukke eller hindre uautorisert tilgang til klassifisert (konfidensiell) informasjon og dens operatører.
Informasjonsbeskyttelse er delt inn i to hovedgrupper av oppgaver:
a) Tilfredsstillelse av informasjonsbehov som oppstår i løpet av enhver aktivitet, det vil si å gi spesialister fra organisasjoner, firmaer, bedrifter hemmelig eller konfidensiell informasjon.
Hver spesialist, i prosessen med arbeidet, kan bruke informasjon av både åpne og lukkede typer. Åpen kildekode-informasjon har sjelden noe som er verdt, så det er ingen begrensninger. Når du forsyner en spesialist med klassifisert informasjon, er det noen begrensninger: denne personen har passende godkjenning (graden av hemmelighold av informasjonen han er innrømmet til) og tillatelse til å få tilgang til spesifikk informasjon. For å løse problemet med en spesialists tilgang til informasjon av en lukket type, er det alltid motsetninger, på den ene siden er det nødvendig å begrense tilgangen til klassifisert informasjon så mye som mulig og dermed redusere sannsynligheten for lekkasje av denne informasjonen, på den annen side for å tilfredsstille hans behov for informasjon mest mulig, inkludert antall og klassifisert for en begrunnet løsning av hans offisielle oppgaver. I dette tilfellet er det nødvendig å bli styrt av to faktorer: hans offisielle stilling og problemet som for tiden løses av spesialisten.
b) Beskytte gradert informasjon mot uautorisert tilgang til den for ondsinnede formål.
Denne gruppen inkluderer forhold som:
Skape betingelser for effektiv bruk av informasjonsressurser;
Sikre sikkerheten til beskyttet informasjon;
Opprettholde hemmelighold eller konfidensialitet av klassifisert informasjon i samsvar med de etablerte reglene for beskyttelse;
Sikre innbyggernes konstitusjonelle rettigheter til å opprettholde personlige hemmeligheter og konfidensiell personlig informasjon;
Forebygging av ustraffet avledning og ulovlig bruk av åndsverk;
Beskyttelse av landets informasjonssuverenitet og utvidelse av statens evne til å styrke sin makt gjennom dannelse og styring av utviklingen av informasjonspotensialet;
Typene beskyttet informasjon er vist i figur 1.
Figur 1. Typer beskyttet informasjon
1.2 Personvern eller konfidensialitetsmodus
Begrepet informasjonsbeskyttelse er tett sammenvevd med spørsmålet om hemmelighold eller konfidensialitet. Et hemmeligholdsregime er implementeringen av et informasjonsbeskyttelsessystem for en spesifikk, spesifisert bedrift, firma, anlegg, laboratorium eller et spesifikt program, for eksempel utvikling av nye produkter.
Konklusjonen er at regimet med taushetsplikt eller konfidensialitet er et komplett spekter av tiltak som gjennomfører implementeringen av, avhengig av alle faktorer som har innvirkning på konstruksjonen av. Hovedoppgaven til dette regimet er å sikre et tilstrekkelig nivå av informasjonsbeskyttelse. Alt avhenger av graden av hemmelighold, jo høyere det er, det tilsvarende høyere beskyttelsesnivået, og det tilsvarende hemmeligholdsregimet.
Hemmelighetsmodus - implementeringen på et spesifikt anlegg av gjeldende regler og forskrifter for beskyttelse av data og informasjon, inkludert hemmeligheter beskyttet av lov (stat, kommersiell, etc.), bestemt og bestilt av relevante lovbestemmelser. Grupper av tiltak som inkluderer hemmeligholdsregimet:
Et autorisasjonssystem, nemlig den nøyaktige definisjonen av arbeidstakere som har tilgang til en eller annen beskyttet informasjon og til bestemte lokaler hvor det utføres arbeid.
Implementering av tilgangskontrollen som kreves for et spesifikt sikkerhetsregime som kreves av anlegget.
Nøyaktig etablerte regler og prosedyrer for arbeid med graderte dokumenter eller andre medier med beskyttet informasjon.
Konstant kontroll og forebyggende arbeid med personell som har tilgang til gradert informasjon, noe som bidrar til å forhindre lekkasje.
1.3 Informasjonssikkerhet og dens mål
Den russiske føderasjonens informasjonssikkerhet forstås som staten for beskyttelse av sine nasjonale interesser i informasjonssfæren, som bestemmes av helheten av balanserte interesser til individet, samfunnet og staten.
Informasjonssikkerhet er med andre ord et sett med tiltak rettet mot å sikre sikkerheten til en virksomhets informasjonsmidler. Det bør understrekes at informasjonssikkerhet kun kan sikres ved en integrert tilnærming. Betraktning og løsning av individuelle problemer (for eksempel tekniske eller organisatoriske) vil ikke løse problemet med informasjonssikkerhet i en virksomhet helt.
En virksomheer en kombinasjon av gjennomtenkte, planlagte handlinger og raske beslutninger for å tilpasse virksomheten til nye muligheter for å oppnå konkurransefortrinn og nye trusler mot å svekke sin konkurranseposisjon.
Hovedmålene for informasjonssikkerhet:
konfidensialitet
Integritet
Egnethet
1.4 Informasjonssikkerhetspolicy
I mange russiske virksomheter og selskaper er informasjonssikkerheten på et lavt nivå. Dette bekreftes av resultatene fra statistiske studier og direkte kommunikasjon med spesialister på dette feltet. I dag har bedrifter praktisk talt ikke en fullverdig risikostyringsprosedyre for informasjonssikkerhet. De fleste utøvere påtar seg ikke engang denne oppgaven, de foretrekker å bare bli veiledet av sin egen erfaring og intuisjon når de løser informasjonssikkerhetsproblemer. Tap fra brudd på informasjonssikkerhet kan komme til uttrykk både i lekkasje av konfidensiell informasjon, tap av arbeidstid for datagjenoppretting, eliminering av konsekvensene av virusangrep og materielle verdier, for eksempel økonomisk svindel ved bruk av datasystemer.
Informasjonssikkerhetspolicy er et sett med dokumenterte ledelsesbeslutninger rettet mot å beskytte informasjon og tilhørende ressurser.
Informasjonssikkerhetspolitikk kan deles inn i tre nivåer.
Det høyeste nivået bør inkludere beslutninger som er knyttet til organisasjonen som helhet og kommer fra ledelsen i organisasjonen eller virksomheten. En slik liste kan inneholde følgende elementer:
Dannelse eller revisjon av;
Sette mål som organisasjonen bør forfølge innen informasjonssikkerhet;
å gi et juridisk rammeverk;
Utforming av ledelsesbeslutninger om implementering av.
Toppnivåpolitikk omhandler tre aspekter ved lovlydig og utøvende disiplin:
overholdelse av eksisterende lover.
kontroll over handlingene til de ansvarlige for utviklingen av sikkerhetsprogrammet.
å sikre underordning av personell, henholdsvis, innføre et system med belønning og straff.
Mellomnivået inkluderer spørsmål knyttet til visse aspekter ved informasjonssikkerhet, men viktige for de ulike systemene som driftes av organisasjonen. For eksempel holdninger til utilstrekkelig utprøvd teknologi, bruk av hjemme- eller andres datamaskiner, bruk av uoffisiell programvare av brukere, etc.
Informasjonssikkerhetspolitikken på mellomnivå bør dekke følgende emner:
Bruksområde;
Bedriftens stilling;
Roller og ansvar;
Overholdelse av loven;
Kontaktpunkter;
Sikkerhetspolitikken på lavere nivå kan tilskrives spesifikke tjenester. Den inkluderer mål og regler for å nå dem. Hvis vi sammenligner det nedre nivået med de to øverste, bør det være mye mer detaljert. Dette nivået er svært viktig for å sikre informasjonssikkerhetsregimet. Beslutninger på dette nivået bør tas på ledelsesnivå, ikke på teknisk nivå.
Politikk på lavt nivå kan baseres på tre hensyn når man formulerer mål: integritet, tilgjengelighet og konfidensialitet.
Fra disse målene bør det utledes sikkerhetsregler som beskriver hvem som kan gjøre hva og under hvilke forhold. Jo mer detaljerte reglene er, jo mer formelt de er satt opp, jo lettere er det å støtte implementeringen med programvare og tekniske tiltak. Men regler som er for strenge vil forstyrre arbeidet, og du må bruke tid på å revidere dem. I en slik situasjon må en leder finne en rasjonell løsning, et kompromiss, når et anstendig sikkerhetsnivå vil bli gitt til en overkommelig pris, og arbeiderne ikke vil bli overveldet eller begrenset.
2. TRUSLER OG KANALER OM INFORMASJONSLEKKASJE, BESKYTTELSESTILTAK
2.1 Klassifisering av informasjonstrusler
Alle data av en hvilken som helst verdi er alltid under trussel om uautorisert tilgang til dem, utilsiktet eller bevisst ødeleggelse eller modifikasjon av dem.
Det er to typer trusler mot data – de er naturlige trusler og kunstige trusler.
Naturlige trusler inkluderer trusler forårsaket av påvirkninger på informasjonssystemet og dets elementer av objektive fysiske prosesser eller naturfenomener som ikke er avhengig av den menneskelige faktoren.
Menneskeskapte trusler inkluderer trusler mot informasjonssystemet og dets elementer forårsaket av menneskelig aktivitet. Basert på motivasjonen for handlinger, blant de kunstige truslene er det verdt å fremheve:
forsettlig (med hensikt) har som mål å forårsake skade på det administrerte systemet eller brukerne. Dette gjøres ofte av nettkriminelle for personlig vinning.
utilsiktet (utilsiktet, tilfeldig). Kilden til slike trusler kan være maskinvarefeil, upassende handlinger fra ansatte eller brukere, feil i programvare osv. Slike trusler bør også huskes, da skaden fra dem kan være betydelig;
I forhold til informasjonssystemet er det verdt å fremheve to alternativer for kilden til trusler: ekstern og intern. Klassifiseringen av trusler mot informasjonssikkerheten er vist i figur 2.
postet på http://www.allbest.ru/
Figur 2. Klassifisering av trusler mot informasjonssikkerhet
2.2 Modell av trusler mot sikkerheten til informasjon som behandles ved et dataanlegg
Informasjonssikkerhetstrussel - et sett med forhold og faktorer som skaper en trussel om informasjonssikkerhetsbrudd. Med andre ord, dette er potensialet for innvirkning på det beskyttede objektet (tilsiktet eller utilsiktet), på grunn av hvilket tap eller lekkasje av informasjon kan oppstå, derfor vil eieren av informasjonen bli skadet.
Trusselmodellen for informasjonssikkerhet er vist i figur 3.
Figur 3. Trusselmodell for informasjonssikkerhet
2.3 Klassifisering av informasjonslekkasjekanaler
Informasjonslekkasjekanaler - måter og metoder for informasjonslekkasje fra informasjonssystemet.
a) Elektromagnetisk kanal. Årsaken til dens forekomst er det elektromagnetiske feltet. Elektrisk strøm, som flyter i tekniske midler for informasjonsbehandling, skaper et elektromagnetisk felt. Det elektromagnetiske feltet kan indusere strømmer i tettliggende ledninger (pickups).
Den elektromagnetiske kanalen er på sin side delt inn i:
Radiokanal (høyfrekvent stråling).
Lavfrekvent kanal.
Nettverkskanal (pickup på jordledninger).
Jordingskanal (pickup på jordledninger).
Lineær kanal (pickup på kommunikasjonslinjen mellom datamaskiner).
b) Akustisk kanal. Det er assosiert med forplantning av lydbølger i luft eller elastiske vibrasjoner i andre medier som oppstår under drift av informasjonsdisplayenheter.
c) Kanal for uautorisert kopiering.
d) Kanal for uautorisert tilgang.
De viktigste lekkasjekanalene er vist i figur 4.
Figur 4. Hovedkanaler for informasjonslekkasje
2.4 Kanaler for informasjonslekkasje ved et dataanlegg
2.4.1 Trussel mot informasjonssikkerhet gjennom akustisk lekkasjekanal
Uautorisert tilgang til konfidensiell informasjon gjennom den akustiske lekkasjekanalen (Figur 5) kan utføres:
ved å lytte direkte;
ved hjelp av tekniske midler.
Direkte avlytting av samtaler (samtaler) av en angriper kan utføres:
gjennom døren;
gjennom et åpent vindu (vindu);
gjennom vegger, skillevegger;
gjennom ventilasjonskanaler.
Avlytting av forhandlinger gjennom dør er mulig forutsatt at inngangen til møterommet er gjort i strid med kravene til lydisolering. Du bør heller ikke forhandle med åpne vinduer eller ventiler. Under disse forholdene kan det være direkte tilgang til innholdet i forhandlingene.
Vegger, skillevegger, tak og til og med gulvet i møterom er ikke garantert beskyttelse mot avlytting dersom de ikke er testet for lydisolering og det er ingen sikkerhet for at de oppfyller kravene til lydisolering.
Ventilasjonskanaler er svært farlige med tanke på uautorisert tilgang til innholdet i forhandlinger. De lar deg lytte til en samtale i et rom på betydelig avstand. Derfor stilles det høye krav til utstyret til ventilasjonskanaler.
Bruken av retningsmikrofoner for å lytte til samtaler er nå utbredt. Samtidig kan lytteavstanden, avhengig av det virkelige interferensmiljøet, nå hundrevis av meter.
Angripere kan bruke som retningsmikrofoner:
parabolske reflektor mikrofoner;
resonansmikrofoner;
spalte mikrofoner;
lasermikrofoner.
Angripere bruker også såkalte kablede mikrofoner for å lytte. Oftest brukes mikrofoner med spesiallagte ledninger for overføring av informasjon, samt mikrofoner med informasjonsoverføring over en 220 V nettverkslinje.
Det er ikke utelukket å bruke for overføring av avlyttingsinformasjon og andre typer kommunikasjon (signalledninger, radiokringkasting, klokke, etc.).
Derfor, når du utfører alle slags reparasjoner og rekonstruksjoner, er det nødvendig å være spesielt oppmerksom på dette, ellers er muligheten for å innføre slike avlyttingsanordninger ikke utelukket. Radiomikrofoner er mye brukt av inntrengere for å lytte til samtaler (samtaler). For tiden er det mer enn 200 forskjellige typer av dem. De generaliserte egenskapene til radiomikrofoner er som følger:
Frekvensområde: 27 - 1500 MHz;
Vekt: enheter av gram - hundrevis av gram;
Driftsrekkevidde: 10 - 1600m;
Tid for kontinuerlig arbeid: fra flere timer til flere år (avhengig av strømforsyningsmetoden).
Disse enhetene utgjør en stor trussel mot sikkerheten til forhandlinger (samtaler). Derfor er det nødvendig å gjøre alt for å utelukke deres tilstedeværelse i møterom.
I det siste tiåret har nettkriminelle begynt å bruke enheter som lar dem avlytte samtaler i rom i betydelig avstand fra dem (fra andre distrikter, byer osv.) ved hjelp av telefonlinjer.
postet på http://www.allbest.ru/
Figur 5. Modell av informasjonstrusler gjennom den akustiske lekkasjekanalen
2.4.2 Trusler om informasjonssikkerhet på grunn av høyfrekvent påvirkning
Essensen av avlytting ved hjelp av høyfrekvent inntrenging er å koble en frekvensgenerator til telefonlinjen og deretter motta signalet "reflektert" fra telefonapparatet, modulert av samtalen i rommet.
Dermed viser analysen av trusler mot konfidensiell informasjon som finnes under forhandlinger (samtaler) at hvis du ikke tar beskyttelsestiltak, så er det mulig for angripere å få tilgang til innholdet.
postet på http://www.allbest.ru/
Figur 6. Modell av informasjonstrusler på grunn av høyfrekvent pålegg
2.4.3 Risiko for informasjonssikkerhet gjennom den optiske lekkasjekanalen
Hvis forhandlinger gjennomføres i et rom der vinduene ikke er utstyrt med gardiner, persienner, har angriperen muligheten til å se rommet ved hjelp av optiske enheter med høy forsterkning (kikkerter, teleskoper). Se hvem som er med og hva som gjør.
Laser
Figur 7. Modell av trusler mot informasjon over en optisk kanal
2.4.4 Informasjonssikkerhetstrussel gjennom vibroakustisk lekkasjekanal
Uautorisert tilgang til innholdet i forhandlinger (samtaler) av inntrengere kan også gjennomføres (Figur 8) ved bruk av stetoskoper og hydroakustiske sensorer.
postet på http://www.allbest.ru/
Figur 8. Modell av informasjonstrusler gjennom den vibroakustiske lekkasjekanalen
Ved hjelp av stetoskop er det mulig å lytte til samtaler (samtaler) gjennom vegger opp til 1 m 20 cm tykke (avhengig av materialet).
Avhengig av typen informasjonsoverføringskanal fra selve vibrasjonssensoren, er stetoskoper delt inn i:
Kablet (kablet overføringskanal);
Radio (radiooverføringskanal);
Infrarød (infrarød overføringskanal).
Det er ikke utelukket at inntrengere kan bruke hydroakustiske sensorer, som gjør det mulig å lytte til samtaler i rom ved hjelp av vannforsyning og varmerør.
2.4.5 Informasjonssikkerhetstrusler forårsaket av tilsiktede faktorer
Trusler forårsaket av tilsiktede faktorer kan komme fra både skruppelløse ansatte i organisasjonen (personer som har tilgang til et dataanlegg (VT), brukere), og fra uautoriserte personer (inntrengere). Noen typer forsettlige trusler kan tilskrives begge tegnene, men det er tilrådelig å vurdere dem separat.
Trusler fra brukere.
Denne typen trussel inkluderer:
bruke standardmåten for tilgang til systemet for å pålegge forbudte handlinger (unormal endring i tilgangsattributter);
bruk av en offisiell stilling for å få privilegert tilgang til informasjon (til et IT-anlegg) eller for å oppheve restriksjoner pålagt av kravene for beskyttelse av informasjon;
fysisk ødeleggelse av systemet eller svikt i dets komponenter;
deaktivering eller deaktivering av undersystemer for informasjonssikkerhet;
tyveri av informasjonsbærere og uautorisert kopiering av dem;
lese gjenværende informasjon fra RAM og fra eksterne lagringsenheter (se "søppel");
introduksjon av maskinvare- og programvare-"bokmerker", "virus" og "trojanere"-programmer som tillater hemmelig og ulovlig å motta informasjon fra VT-anlegget eller få tilgang til modifikasjon (destruksjon) av informasjon behandlet ved VT-anlegget.
Trusler fra uvedkommende (inntrengere).
forkledning som en ekte bruker ved å pålegge egenskapene til autorisasjonen hans (bruk av matchede eller spionpassord, krypteringsnøkler, stjålne identifikasjonskort, pass, etc.);
forkledning som en ekte bruker etter å ha fått tilgang til dem;
bestikkelse eller utpressing av autorisert personell;
tyveri av informasjonsbærere;
introduksjon av maskinvare- og programvare-"bokmerker", "virus" og "trojanere"-programmer som tillater hemmelig og ulovlig å motta informasjon fra VT-anlegget eller få tilgang til modifikasjon (ødeleggelse) av informasjon behandlet ved VT-anlegget;
ulovlig tilkobling til kommunikasjonslinjer;
avlytting av data overført over kommunikasjonskanaler;
avlytting av informasjon på grunn av innebygde enheter;
2.5 Gjennomføring av tekniske tiltak for å beskytte informasjon ved VT-anlegget
For å implementere de primære tekniske beskyttelsestiltakene, er det nødvendig å sørge for:
* blokkere kanaler for informasjonslekkasje og uautorisert tilgang til sine operatører;
* kontrollere brukbarheten og funksjonaliteten til de tekniske midlene til VT-anlegget;
* installer verktøy for å oppdage og indikere trusler, sjekk ytelsen deres;
* installer sikre informasjonsbehandlingsverktøy, informasjonssikkerhetsverktøy og kontroller ytelsen deres;
* anvende programvarebeskyttelse i datateknologi, automatiserte systemer, utføre funksjonell testing og testing for samsvar med sikkerhetskrav;
* bruke spesielle tekniske strukturer og fasiliteter (systemer).
Valget av midler for å sikre beskyttelse av informasjon skyldes en fragmentert eller kompleks metode for å beskytte informasjon.
Fragmentert beskyttelse gir mottiltak mot en spesifikk trussel.
Omfattende beskyttelse gir samtidig beskyttelse mot flere trusler.
Blokkering av kanaler for informasjonslekkasje kan utføres:
* demontering av tekniske midler, kommunikasjonslinjer, signalering og kontroll, energinettverk, hvis bruk ikke er forbundet med livsstøtten til bedriften og informasjonsbehandling;
* fjerning av individuelle elementer av teknisk utstyr, som er et miljø for forplantning av felt og signaler, fra lokalene der informasjonen sirkulerer;
* midlertidig frakobling av tekniske midler som ikke er involvert i informasjonsbehandling fra kommunikasjonslinjer, signal-, kontroll- og energinettverk;
* bruk av metoder og kretsløsninger for beskyttelse av informasjon som ikke krenker de grunnleggende tekniske egenskapene til midlene for å gi informasjonsdata.
Blokkering av uautorisert tilgang til informasjon eller dens operatører kan utføres:
* opprettelse av arbeidsforhold innenfor det etablerte regelverket;
* ekskluderer muligheten for å bruke ubekreftet (testet) programvare, programvare og maskinvare.
Midlene for å oppdage og indikere trusler brukes til å signalisere og varsle eieren (brukeren, lederen) om informasjon om informasjonslekkasje eller brudd på dens integritet. Informasjonssikkerhetsverktøy brukes til å passivt eller aktivt skjule informasjon.
For passiv skjul brukes begrenserfiltre, linjefiltre, spesielle abonnentbeskyttelsesenheter og elektromagnetiske skjold.
For aktiv tilsløring brukes smalbånds- og bredbåndsgeneratorer for lineær og romlig støy.
Programvaren brukes til å gi:
* identifikasjon og autentisering av brukere, personell og ressurser til informasjonsbehandlingssystemet;
* differensiering av brukernes tilgang til informasjon, datateknologi og tekniske midler til automatiserte systemer;
* integritet av informasjon og konfigurasjon av automatiserte systemer;
* registrering og regnskapsføring av brukerhandlinger;
* maskering av behandlet informasjon;
* svar (alarm, nedleggelse, stans av arbeid, avslag på forespørsel) på forsøk på uautoriserte handlinger.
Basert på resultatene av implementeringen av anbefalingene i inspeksjonsrapporten og implementeringen av informasjonsbeskyttelsestiltak, bør det utarbeides en lov om aksept av arbeid med informasjonsbeskyttelse i enhver form, som må undertegnes av entreprenøren, den ansvarlige personen for informasjonsbeskyttelse, og godkjent av foretakets leder.
For å fastslå fullstendigheten og kvaliteten på, bør sertifisering utføres. Sertifisering utføres av organisasjoner med lisens til å operere innen informasjonsbeskyttelse. Sertifiseringsobjektene er komponentene i informasjonssystemet og deres individuelle elementer, der informasjonen som er underlagt teknisk beskyttelse sirkulerer. Under sertifisering kreves det:
Etablere at det sertifiserte objektet er i samsvar med kravene til informasjonssikkerhet;
Vurdere kvaliteten og påliteligheten til informasjonsbeskyttelsestiltak;
Vurdere fullstendigheten og tilstrekkeligheten til teknisk dokumentasjon for sertifiseringsobjektet;
Fastslå behovet for endringer og tillegg til organisatoriske og administrative dokumenter.
Tekniske tiltak for å beskytte informasjon ved VT-anlegget bør sørge for:
Begrense tilgangen til innsiden av datamaskindekselet ved å installere mekaniske låseenheter.
Ødeleggelse av all informasjon på harddisken til datamaskinen når den sendes til reparasjon ved hjelp av lavnivåformateringsverktøy.
Organisering av datakraft fra en separat strømkilde eller fra et felles (by) strømnett gjennom en spenningsstabilisator (overspenningsvern) eller en motorgenerator.
Brukes til å vise informasjon om flytende krystall- eller plasmaskjermer, og for utskrift - blekk- eller laserskrivere.
Plassering av display, systemenhet, tastatur og skriver i en avstand på minst 2,5-3,0 meter fra lysenheter, klimaanlegg, kommunikasjon (telefon), metallrør, TV- og radioutstyr, samt andre datamaskiner som ikke brukes for behandling av konfidensiell informasjon.
Koble en datamaskin fra et lokalt nettverk eller et eksternt tilgangsnettverk ved behandling av konfidensiell informasjon på den, bortsett fra når det gjelder overføring av denne informasjonen over nettverket.
Installere skriveren og tastaturet på myke pads for å redusere informasjonslekkasje gjennom den akustiske kanalen.
Når du behandler verdifull informasjon på en datamaskin, anbefales det å slå på enheter som skaper ekstra bakgrunnsstøy (klimaanlegg, vifter), samt behandle annen informasjon på datamaskiner i nærheten. Disse enhetene må være plassert i en avstand på minst 2,5-3,0 meter.
Ødeleggelse av informasjon umiddelbart etter bruk.
3. GRUNNLEGGENDE TILTAK FOR Å BESKYTTE INFORMASJON I VIRKSOMHETEN
3.1 Mål og prinsipper for organisering av informasjonssikkerhetstjenesten
Mange virksomheter organiserer sikkerhetsavdelinger. Pliktene til en slik tjeneste inkluderer å organisere beskyttelsen av informasjon som er direkte knyttet til stats- og kommersielle hemmeligheter, opplæring av ansatte til å holde på hemmelighetene til selskapet deres, forklare reglene for å overholde beskyttelsen av informasjon og selskapets personvernpolicy, og lage metodologiske dokumenter. Sikkerhetstjenesten samler inn alt som er nødvendig om tilgjengeligheten av klassifisert informasjon, vilkårene for lagringen, de kommersielle hemmelighetene til den gitte virksomheten, bestemmer kretsen av personer som har tilgang til den og kontrollerer den slik at tilgang bare gis til de ansatte som trenger det direkte i tjenesten. Sikkerhetstjenesten er også vanligvis betrodd slike oppgaver som å spore informasjon om markedstilstanden, konkurrenter, analysere og kontrollere forsøk fra konkurrerende firmaer på å få tilgang til beskyttet informasjon, og også å kunne klart og raskt eliminere mangler i feltet. å beskytte forretningshemmeligheter.
Et spesielt system for tilgang til konfidensiell informasjon blir organisert - et helt kompleks av administrative og juridiske normer som organiserer tilgang til informasjon av eksekutører eller lederen for hemmelig arbeid. Formålet med dette systemet er å sikre arbeidet mot uautorisert mottak av gradert informasjon. Dette systemet er delt inn i:
tillatelsessystem for tilgang til klassifiserte dokumenter;
et system av chiffer og pass for tilgang til lokalene der hemmelig arbeid utføres.
Sikkerhetssystemet sikrer den fysiske sikkerheten til bærere av klassifisert informasjon og forhindrer uautorisert tilgang til territoriet til hemmelige verk. Sikkerhetssystem - et sett med tiltak, midler, krefter og tiltak som blokkerer utenforståendes tilgang til den beskyttede informasjonen.
Et sett med tiltak rettet mot å beskytte konfidensiell informasjon, utført av ledelsen, administrasjonen og sikkerhetssystemet, er:
daglig overvåking av ansattes overholdelse av informasjonsbeskyttelsesregler;
alle ansattes overholdelse av interne forskrifter, brannsikkerhet,joner, etc.;
kontroll over passasje av uautoriserte personer inn i territoriet og spore deres bevegelser;
identifisering av informasjonslekkasjekanaler og tiltak for å blokkere dem;
forebygging av avsløring av beskyttet informasjon i åpne publikasjoner;
arbeider med klienter, forhandler med partnere osv., er det viktig å inngå gjensidig fordelaktige avtaler, og ikke å innhente informasjon om den beskyttede informasjonen.
Rettslig beskyttelse av informasjon.
Juridiske tiltak som regulerer beskyttelsen av klassifisert og konfidensiell informasjon er delt inn i to grupper:
forskrifter som styrer regler og prosedyrer for beskyttelse av informasjon;
normative handlinger som etablerer ansvar for forsøk på informasjon.
Strafferettslige normer i innholdet forbyr på den ene siden, det vil si at de forbyr borgere å krenke sine forpliktelser og begå forbrytelser under straff av straff, og på den andre siden forplikter de relevante statlige myndigheter (FSB, departementet). of Internal Affairs, påtalemyndigheten) for å bringe personer som er skyldige i å ha begått en forbrytelse til straffeansvar.
I tillegg kan brudd på taushetsregimet, reglene for opprettholdelse av stats- og forretningshemmeligheter, som ikke er en forbrytelse, medføre materielle, disiplinære eller administrative straffer i henhold til gjeldende regelverk: suspendering fra arbeid knyttet til hemmeligheter eller overgang til annen jobb , mindre betalt, og heller ikke relatert til gradert informasjon.
Organisatorisk beskyttelse av informasjon.
Denne tiltaksgruppen tar sikte på å organisere arbeidet med implementering av reglene, prosedyrene og kravene til beskyttelse av stats- og forretningshemmeligheter på grunnlag av de regler som er fastsatt i lover og vedtekter (instrukser, forskrifter mv.).
Organisatoriske tiltak for å beskytte informasjon innebærer først og fremst arbeid med personell som skal utføre tiltak for å beskytte informasjon, opplæring av ansatte i reglene for beskyttelse av gradert informasjon. Regulatoriske og juridiske organisatoriske regimetiltak er grunnlaget for å løse spørsmålet om beskyttelse av informasjon om overholdelse av prinsippet om maksimal begrensning av antall personer som har hemmelig arbeid og dokumenter. Organisatoriske tiltak for å beskytte informasjon krever detaljert overholdelse av reglene for hemmelig arkivhåndtering for å utelukke eller minimere tap av klassifiserte dokumenter. Hovedformålet med organisatoriske tiltak for å beskytte informasjon er å hindre uautorisert tilgang til stats- eller kommersielle hemmeligheter og lekkasje av beskyttet informasjon.
Teknisk og teknisk informasjonsbeskyttelse.
Dette er et eget område for informasjonsbeskyttelse. Utviklingen av tekniske rekognoseringsmidler (TSR) krevde at staten opprettet et helt system med tiltak for å motvirke innsamling av etterretningsinformasjon ved hjelp av TSR.
Tekniske og tekniske tiltak for å beskytte informasjon er et kompleks av organisatoriske og tekniske tiltak som tar sikte på å eliminere eller i betydelig grad hindre utvinning av beskyttet informasjon ved hjelp av TCP. Hovedsaken her er at hver handling krever reaksjon. Det er tydeligvis ikke nok å motstå TSW ved hjelp av bare organisatoriske regimetiltak, siden TSW ikke kjenner grenser og deres aktiviteter ikke påvirkes av værforhold.
Tekniske og tekniske tiltak for å beskytte informasjon er delt inn i tre grupper:
Generelle forebyggende tiltak, inkludert juridisk regulering av bruk av tekniske midler i prosessen med internasjonale relasjoner; etablering og vedlikehold av regimer som tar sikte på å forhindre lekkasje av beskyttet informasjon gjennom kanaler tilgjengelig for TCP, etc.;
organisatoriske tiltak inkluderer slike aktiviteter som analyse og syntese av informasjon om TCP og utvikling av måter å beskytte disse parameterne på;
tekniske tiltak inkluderer et sett med tekniske og tekniske midler og tiltak som brukes til å skjule beskyttet informasjon om beskyttelsesobjektene og teknisk feilinformasjon til motstanderen fra TCP.
3.2 Beskyttet informasjon og gjenstander for beskyttelse av informasjon om virksomheten
Formålet med informasjonsbeskyttelsestiltak utført ved virksomhetens anlegg er å redusere risikoen for skade ved tilsiktet og utilsiktet trussel mot informasjonssikkerheten. Oppnåelse av det nødvendige nivået av informasjonssikkerhet bør sikres ved systematisk anvendelse av organisatoriske, organisatoriske, tekniske, tekniske og programvare- og maskinvaretiltak på alle stadier av driften av bedriftsanleggene.
Dette målet oppnås ved en rasjonell og sammenkoblet løsning ved bedriftens fasiliteter med følgende oppgaver, knyttet sammen av et enkelt konsept:
en. definisjon av informasjon, informasjonsressurser og prosesser som må beskyttes;
b. analyse av demaskering av skilt som avslører beskyttet informasjon om beskyttede objekter, lekkasjekanaler, tyveri, uautorisert tilgang og innvirkning på beskyttet informasjon;
c. vurdere evnen til tekniske etterretningstjenester og kriminelle strukturer for å skaffe beskyttet informasjon, uautorisert tilgang til og innvirkning på informasjonsressurser og prosesser, vurdere den reelle faren for informasjonslekkasje, forvrengning, modifikasjon, ødeleggelse eller blokkering av informasjonsressurser og -prosesser;
d. utvikling og implementering av teknisk og økonomisk begrunnede tiltak for å beskytte informasjon, tatt i betraktning de identifiserte mulige kanalene for lekkasje, påvirkning og tilgang;
e. organisere og overvåke effektiviteten av informasjonsbeskyttelse ved informasjonsobjektene til virksomheten.
Beskyttet informasjon, beskyttede informasjonsressurser og prosesser i alle stadier av livssyklusen til bedriftsobjekter inkluderer:
a) Stemmeinformasjon som inneholder informasjon klassifisert som statshemmelighet.
b) Informasjonsressurser som inneholder informasjon klassifisert som statshemmelighet, presentert i form av bærere på magnetisk og optisk basis, informative elektriske signaler, elektromagnetiske felt, informasjonsmatriser og databaser.
Når man analyserer sikkerheten til beskyttet informasjon og informasjonsressurser, bør alle mulige typer trusler vurderes.
I henhold til informasjonssikkerhetskravene tilhører informasjonsobjektene til virksomheten som skal beskyttes en av tre grupper:
en. Den første gruppen - de viktigste tekniske midlene og systemene, så vel som deres komponenter med lokalene de er plassert i.
b. Den andre gruppen er dedikerte lokaler spesialdesignet for å holde lukkede arrangementer der informasjon som utgjør en statshemmelighet diskuteres, samt utstyrt med myndighetskommunikasjon og annen type spesialkommunikasjon.
c. Den tredje gruppen - hjelpetekniske midler og systemer installert i de tildelte lokalene.
De viktigste tekniske midlene inkluderer:
a) Separate automatiserte arbeidsstasjoner av strukturelle divisjoner av bedriften, designet for å behandle informasjon som inneholder informasjon som utgjør en statshemmelighet.
b) Midler for behandling av tale-, grafikk-, videoinformasjon som brukes til å behandle klassifisert informasjon.
c) Midler for produksjon og reproduksjon av graderte dokumenter.
d) Kommunikasjonsfasiliteter og -systemer der gradert informasjon sirkulerer.
De utpekte rommene i kategori III inkluderer kontorrom og arbeidsrom i bedriftsdivisjonene, der det holdes diskusjoner og forhandlinger om spørsmål med en grad av hemmelighold som ikke er høyere enn "hemmelig", samt forsamlingslokaler beregnet på private arrangementer.
De tildelte lokalene i kategori II inkluderer lokaler spesielt tildelt for å holde møter om topphemmelige spørsmål, samt kontorkontorer for ledelsen av foretaket og dets hovedavdelinger der diskusjoner og forhandlinger om topphemmelige spørsmål kan gjennomføres.
Hjelpemidler og systemer som ikke er beregnet for behandling, overføring og lagring av gradert informasjon, plassert i dedikerte lokaler, samt sammen med de viktigste tekniske midlene og systemene.
3.3 Organisatoriske og tekniske tiltak for å beskytte informasjon
Beskyttelse av informasjon ved bedriftens fasiliteter bør utføres gjennom et sett med tiltak som tar sikte på å: skjule eller betydelige vanskeligheter med å skaffe, ved hjelp av tekniske rekognoseringsmidler, beskyttet informasjon om beskyttelsesobjektene; forebygging av informasjonslekkasje eller innvirkning på informasjonsressurser og prosesser gjennom tekniske kanaler og gjennom uautorisert tilgang til dem; forebygging av tilsiktet programvare- og maskinvarepåvirkning med sikte på å krenke integriteten (ødeleggelse, forvrengning) av informasjon (informasjonsteknologi) i prosessen med dens behandling, overføring og lagring eller forstyrrelse av ytelsen til tekniske midler.
Basert på listen over de viktigste truslene mot informasjonssikkerhet, i komplekset av tiltak for å beskytte informasjon ved bedriftens fasiliteter, kan flere retninger skilles:
Beskyttelse mot lekkasje gjennom tekniske kanaler for hemmelig tale (akustisk) informasjon diskutert i bedriftens lokaler.
Beskyttelse av de viktigste tekniske midlene og systemene mot informasjonslekkasje, som utgjør en statshemmelighet, gjennom kanalene for falsk elektromagnetisk stråling og interferens
Beskyttelse av informasjon mot uautorisert tilgang, inkludert datavirus og annen programvare- og maskinvarepåvirkning, mot tyveri av tekniske midler med informasjon i dem eller individuelle informasjonsbærere.
Beskyttelse av informasjon fra påvirkning fra kilder til destabiliserende (destruktiv) elektromagnetisk stråling, samt fra ødeleggelse og forvrengning av informasjon gjennom spesielt implementerte elektroniske og programvareverktøy (bokmerker).
Organiseringen av beskyttelse mot lekkasje gjennom tekniske kanaler for hemmelig tale (akustisk) informasjon innebærer et sett med organisatoriske og tekniske tiltak som tar sikte på å eliminere akustiske og vibroakustiske kanaler for informasjonslekkasje, samt tekniske kanaler som oppstår fra driften av tekniske hjelpemidler og gjennom innføringen av elektroniske enheter for å avskjære informasjon ...
Utføre en spesiell sjekk av de tildelte lokalene, samt de tekniske midlene for utenlandsk produksjon som ligger i dem for å identifisere mulige elektroniske enheter for å avskjære informasjon (bokmerker) som kan ha blitt installert i dem.
Gjennomføring av organisatoriske og regimemessige tiltak for opptak og vern av tildelte lokaler.
Installasjon i dedikerte lokaler av tekniske midler (terminalenheter for telefonkommunikasjon, radiokringkasting, signalering, elektrisk klokke, etc.), sertifisert i henhold til informasjonssikkerhetskrav eller beskyttet i henhold til resultatene av spesielle studier med sertifiserte beskyttelsesmidler.
Eliminering av bruk av radiotelefoner, terminalenheter for mobilkommunikasjon i dedikerte lokaler.
Overholdelse av kravene til lydisolasjon og vibroakustisk beskyttelse av de omsluttende strukturene til de tildelte lokalene, deres ventilasjons- og klimaanlegg. En økning i lydisolasjonen til bygningskonvolutten eller installasjon av aktivt verneutstyr utføres basert på resultatene av målinger av det informative signal-til-støyforholdet på steder med mulig avskjæring av informasjon.
Registrering av tekniske pass på informasjonssikkerhet for tildelte lokaler utføres av sjefen for i foretaket med involvering av avdelinger som driver bygninger, strømforsyningssystemer, kommunikasjon og tekniske midler, samt avdelinger lokalisert i de tildelte lokalene.
Organisering og gjennomføring av sertifisering av tildelte lokaler i samsvar med informasjonssikkerhetskrav med utstedelse av et "Sertifikat om samsvar". Sertifisering utføres av en organisasjon lisensiert av FSTEC i Russland.
For å beskytte informasjon som behandles av alle typer grunnleggende tekniske midler og systemer, organiseres og utføres et sett med organisatoriske og tekniske tiltak, rettet mot å eliminere eller betydelig redusere nivået av falsk elektromagnetisk stråling og interferens i kommunikasjonslinjer og kommunikasjoner som går utenfor det kontrollerte området til bedriftens anlegg.
Disse aktivitetene inkluderer:
Utføre en spesiell sjekk av de viktigste tekniske midlene for utenlandsk produksjon for å identifisere mulige elektroniske enheter for å avskjære informasjon (bokmerker) som kan ha blitt introdusert i dem.
Gjennomføre spesielle studier av de viktigste tekniske midlene og systemene og utstede en resept for drift.
Oppfyllelse av kravene i bruksanvisningen for plassering av de viktigste tekniske midlene og systemene i forhold til grensene til det kontrollerte området.
Oppfyllelse av kravene i bruksanvisningen for plassering av de tekniske hovedmidlene og systemene i forhold til de tekniske hjelpemidlene og systemene som går utover det kontrollerte området.
Oppfyllelse av kravene i bruksanvisningen for beskyttelse av strømforsyningssystemet til de viktigste tekniske midlene og systemene.
Oppfyllelse av kravene i bruksanvisningen for beskyttelse av jordingssystemet til de viktigste tekniske midlene og systemene.
Registrering av tekniske pass for informasjonssikkerhet for de viktigste tekniske midlene og systemene utføres av sjefen for i foretaket sammen med avdelingen som driver disse midlene.
For å beskytte informasjon og informasjonsprosesser (teknologier) i informatiseringssystemer (automatiserte systemer), iverksettes tiltak for å beskytte dem mot uautorisert tilgang og programvare- og maskinvarepåvirkning, inkludert datavirus. Beskyttet er automatiserte systemer designet for å behandle informasjon som utgjør en statshemmelighet.
Tiltak for å beskytte automatiserte systemer designet for å behandle informasjon som utgjør en statshemmelighet mot uautorisert tilgang til informasjon er rettet mot å oppnå tre hovedegenskaper ved beskyttet informasjon: konfidensialitet, integritet, tilgjengelighet.
Tiltak for å beskytte informasjon når utenlandske representanter er på bedriftens fasiliteter, prosedyren for gjennomføringen av dem og tjenestemenns ansvar for gjennomføringen bestemmes av en egen instruks om opptak av utenlandske statsborgere.
Tiltak for å sikre informasjonssikkerhet utføres i alle stadier av livssyklusen til bedriftsanlegg og er en integrert del av arbeidet med opprettelse og drift.
På driftsstadiet for et bedriftsobjekt, informasjonssystemer og informasjonsbeskyttelsesmidler inkluderer det:
Administrasjon av informatiserings- og kommunikasjonssystemer for å sikre informasjonssikkerhet under driften, inkludert:
kontroll over tilgang til systemet og dets elementer;
dannelse og distribusjon av detaljene om brukermyndighet i samsvar med de etablerte reglene for tilgangskontroll;
dannelse og distribusjon av nøkkel- og passordinformasjon;
registrering og regnskapsføring av handlinger i systemet;
registrering av informasjonsbærere;
gi signalisering om forsøk på å krenke beskyttelsen;
opprettholde funksjonen til det kryptografiskemet;
opprettholde funksjonen til maskinvare og programvare og informasjonssikkerhetssystemer i modusene som er etablert av driftsdokumentasjonen;
kontroll av integriteten til programvaren som drives på datautstyr for å oppdage uautoriserte endringer i den, samt å utføre tiltak for antivirusbeskyttelse av informasjonsbærere og meldinger mottatt via kommunikasjonskanaler;
instruere personell og brukere av tekniske midler for overføring, behandling og lagring av informasjon om reglene for arbeid med informasjonssikkerhetsmidler;
deltakelse i gjennomføringen av offisielle undersøkelser av fakta om brudd eller trussel om brudd på sikkerheten til den beskyttede informasjonen.
Organisering og kontroll av driften av fysiske beskyttelsesmidler, unntatt uautorisert tilgang til beskyttelsesobjekter og tekniske midler, deres tyveri og forstyrrelse av ytelsen.
Periodisk sjekk av lokalene for fravær av eventuelt implementerte elektroniske midler for å avskjære informasjon.
Periodisk undersøkelse av tildelte lokaler, midler og systemer for informatisering.
Periodisk sjekk av arbeidsstasjoner for samsvar med krav til antivirusbeskyttelse.
Periodisk attestering av verneobjekter.
Kontroll over reparasjons- og vedlikeholdsarbeidet i de tildelte lokalene, samt på tekniske midler og deres kommunikasjon
3.4 Programvare og maskinvare metoder og midler for å beskytte informasjon mot uautorisert tilgang på VT-anlegget
Det tekniske grunnlaget for systemet for å beskytte informasjon mot uautorisert tilgang er programvare og maskinvare metoder og verktøy.
For å danne et optimalt kompleks av programvare- og maskinvaremetoder og informasjonsbeskyttelsesmidler, er det nødvendig å gå gjennom følgende stadier:
Bestemmelse av informasjon og tekniske ressurser som skal beskyttes;
Identifikasjon av hele settet med potensielle trusler og lekkasjekanaler;
Vurdere informasjonens sårbarhet for identifiserte trusler og lekkasjekanaler;
Fastsettelse av krav til informasjonssikkerhetssystemet;
Implementering av valg av informasjonssikkerhetsverktøy og deres egenskaper;
Implementering og organisering av bruken av de valgte tiltakene, metodene og beskyttelsesmidlene;
Integritetskontroll og sikkerhetsstyring.
Settet med beskyttelsesmetoder og midler inkluderer:
Programvareverktøy og metoder;
Maskinvare;
Beskyttende (kryptografiske) transformasjoner;
Organisatoriske aktiviteter.
Programvarebeskyttelsesmetoder er et sett med algoritmer og programmer som gir tilgangskontroll og utelukkelse av uautorisert bruk av informasjon.
Essensen av maskinvare- eller kretsbeskyttelse ligger i det faktum at enheter og tekniske midler for informasjonsbehandling sørger for tilstedeværelsen av spesielle tekniske løsninger som sikrer beskyttelse og kontroll av informasjon, for eksempel skjermingsenheter som lokaliserer elektromagnetisk stråling eller skjemaer for kontroll av informasjon for paritet, som kontrollerer riktigheten av informasjonsoverføring mellom ulike enheter i informasjonssystemet.
Lignende dokumenter
Behovet og behovet for informasjonsbeskyttelse. Typer trusler mot sikkerheten til informasjonsteknologi og informasjon. Lekkasjekanaler og uautorisert tilgang til informasjon. Designprinsipper for beskyttelsessystem. Interne og eksterne overtredere av AITU.
test, lagt til 04.09.2011
De vanligste måtene for uautorisert tilgang til informasjon, kanaler for lekkasje. Metoder for å beskytte informasjon mot naturlige (nød)trusler, fra tilfeldige trusler. Kryptografi som et middel til å beskytte informasjon. Industriell spionasje.
sammendrag, lagt til 06.04.2013
De viktigste kanalene for informasjonslekkasje. De viktigste kildene til konfidensiell informasjon. Hovedobjektene for informasjonsbeskyttelse. Hovedarbeidet med utvikling og forbedring av informasjonssikkerhetssystemet. Informasav JSC "Russian Railways".
semesteroppgave lagt til 09.05.2013
Datakontrollalternativer i frakoblet modus. Klassifisering av sikkerhetstrusler, informasjonslekkasjekanaler. Maskinvare- og programvaresystemer og kryptografiske metoder for å beskytte informasjon på en PC. Cobra programvaresystem, overvåkingsverktøy.
test, lagt til 20.11.2011
Uautoriserte tilgangsveier, klassifisering av trusler og beskyttelsesobjekter. Metoder for informasjonsbeskyttelse i produksjonskontrollsystemer. De viktigste kanalene for informasjonslekkasje når den behandles på en datamaskin. Informasjonsflyter fra organisasjonen "TD Iskra" LLC.
semesteroppgave lagt til 15.03.2016
Måter for uautorisert tilgang, klassifisering av metoder og midler for å beskytte informasjon. Informasjonslekkasjekanaler. Hovedretningene for informasjonsbeskyttelse i EMS. Tiltak for direkte beskyttelse av en personlig datamaskin. Sikkerhetsanalyse av nodene til det lokale nettverket "Stroyproekt".
avhandling, lagt til 06.05.2011
Konseptet og typene av et mobilkommunikasjonssystem. Funksjoner ved konstruksjon og funksjon. Informasjonssikkerhetssystem. Konseptet og klassifiseringen av trusler. Typer informasjonspresentasjon og mulige kanaler for lekkasje. Scenarier for uautorisert tilgang.
semesteroppgave lagt til 23.11.2013
Modellering av informasjonssikkerhetsobjekter. Strukturering av beskyttet informasjon. Modellering av sikkerhetstrusler: metoder for fysisk penetrering, tekniske kanaler for informasjonslekkasje, trusler fra naturlige kilder. Ingeniørvirksomhet og teknisk virksomhet.
semesteroppgave, lagt til 13.07.2012
Analyse av informasjon behandlet ved anlegget, og informasjonsbehandling av programvare og maskinvare. Organisatoriske tilgangskontrollmetoder. Maskinvare og programvare og tekniske beskyttelsesenheter, sensorkontroll, videoovervåking og alarmsystemer.
sammendrag lagt til 22.11.2014
Eksterne trusler mot informasjonssikkerhet, former for deres manifestasjon. Metoder og midler for beskyttelse mot industrispionasje, dens mål: skaffe informasjon om en konkurrent, ødelegge informasjon. Metoder for uautorisert tilgang til konfidensiell informasjon.
