KONSEPTET INFORMASJONSSIKKERHET Informasjonssikkerhet (IS) er forstått som sikkerheten til informasjon og støttende infrastruktur fra utilsiktet eller bevisst påvirkning av naturlig eller kunstig karakter rettet mot å skade eiere eller brukere av informasjon og støttende infrastruktur. Det er tre hovedkategorier av fag som trenger informasjonssikkerhet: offentlige organisasjoner, kommersielle strukturer, individuelle gründere.

Tilgjengelighet (evnen til å motta den nødvendige informasjonstjenesten innen rimelig tid); integritet (relevans og konsistens av informasjon, dens beskyttelse mot ødeleggelse og uautoriserte endringer); konfidensialitet (beskyttelse mot uautorisert bekjentskap).

Tilgang til informasjon betyr kjennskap til informasjon, behandlingen av den, særlig kopiering, modifikasjon eller ødeleggelse av informasjon. Autorisert tilgang til informasjon er tilgang til informasjon som ikke bryter med fastsatte regler for differensiert tilgang. Uautorisert tilgang til informasjon kjennetegnes ved brudd på etablerte regler for differensiert tilgang. Et angrep på et informasjonssystem (nettverk) er en handling utført av en angriper for å finne og bruke en bestemt systemsårbarhet.

Konstruktivt, når hovedformålet med uautorisert tilgang er å få en kopi av konfidensiell informasjon, d.v.s. vi kan snakke om etterretningskarakteren til den destruktive virkningen, når uautorisert tilgang fører til tap (endring) av data eller avslutning av tjenesten.

Harmonisering av nasjonal lovgivning om bekjempelse av datakriminalitet med kravene i internasjonal lov; høy faglig opplæring av rettshåndhevelsesbyråer fra etterforskeren til rettssystemet; samarbeid og juridisk mekanisme for samhandling mellom rettshåndhevelsesbyråer i forskjellige stater.

STATER I UTVIKLING AV DATAKRIMINALITET 1. Bruk av informasjonsteknologi i utførelse av slike tradisjonelle straffbare handlinger som tyveri, skade og bedrageri. 2. Fremveksten av spesifikke datakriminalitet. 3. Vekst av datakriminalitet til dataterrorisme og ekstremisme. 4. Transformasjon av dataterrorisme og ekstremisme til informasjonskrig.

TILTAK OG FASILITETER PÅ PROGRAMVAREN OG TEKNISK NIVÅ Anvendelse av sikre virtuelle private VPN-nettverk for å beskytte informasjon som overføres over åpne kommunikasjonskanaler Anvendelse av brannmurer for å beskytte bedriftsnettverket mot eksterne trusler når det er koblet til offentlige kommunikasjonsnettverk; tilgangskontroll på brukernivå og beskyttelse mot uautorisert tilgang til informasjon; garantert brukeridentifikasjon ved å bruke tokens; beskyttelse av informasjon på filnivå (ved å kryptere filer og kataloger); beskyttelse mot virus ved hjelp av spesialiserte komplekser av antiviral profylakse og beskyttelse; inog aktiv forskning av informasjonsressurssikkerhet; kryptografisk transformasjon av data for å sikre integriteten, autentisiteten og konfidensialiteten til informasjon

ORGANISASJONELL OG ØKONOMISK SIKKERHET STANDARDISERING AV METODER OG MIDLER FOR INFORMASJONSBESKYTTELSE Sertifisering av datasystemer og nettverk og deres beskyttelsesmidler Lisensering av aktiviteter innen informasjonsbeskyttelse Forsikring av informasjonsrisiko forbundet med driften av datasystemer og nettverk Kontroll over handlingene til personell i beskyttet informasjonssysteminformasjon.

JURIDISK STØTTE AV SIKKERHET Den russiske føderasjonens føderale lov av 27. juli 2006 N 149-FZ "Om informasjon, informasjonsteknologi og informasjonsbeskyttelse". regulerer juridiske forhold som oppstår i prosessen med dannelse og bruk av dokumentert informasjon og informasjonsressurser; opprettelse av informasjonsteknologi, automatiserte eller automatiske informasjonssystemer og nettverk; bestemmer prosedyren for å beskytte en informasjonsressurs, samt rettighetene og pliktene til emner som deltar i informatiseringsprosessene.

I nær fremtid forventes en økning i antall bedriftsinformasjonssystemer, siden landets ledelse har tatt et kurs mot dannelsen av en digital økonomi i landet, fokusert på å øke effektiviteten til alle bransjer gjennom bruk av informasjonsteknologi 1, som betyr at behovet for å beskytte opplysningene som behandles i dem øker.

Konstantin Samatov
Leder for, TFOMS
Sverdlovsk-regionen, medlem av Association of Managers
informasjonssikkerhetstjenester, lærer
informasjonssikkerhet URTK dem. SOM. Popova

Enkle konsepter

Konseptet "bedriftsinformasjonssystem" (CIS) er inneholdt i art. 2 i den føderale loven av 06.04.2011 nr. 63-FZ "Om elektroniske signaturer". CIS er forstått som et informasjonssystem, deltakerne i elektronisk interaksjon som utgjør en viss krets av personer. Samtidig kan kretsen av personer som deltar i informasjonsutvekslingen bestå ikke bare av de strukturelle divisjonene i organisasjonen - operatøren av bedriftsinformasjonssystemet, men også dets motparter. Hovedsaken er at sammensetningen og antall deltakere er strengt definert.

Informasjonssystemoperatør - en innbygger eller juridisk enhet som driver informasjonssystemet, inkludert behandling av informasjon som finnes i databasene (artikkel 2 i den føderale loven av 27.07.2006, nr. 149-FZ "Om informasjon, informasjonsteknologi og om beskyttelse av informasjon ").

Et informasjonssystem forstås som et sett med informasjon inneholdt i databaser og informasjonsteknologier og tekniske midler som sikrer behandlingen (artikkel 2 i den føderale loven av 27. juli 2006, nr. 149-FZ "On Information, Information Technologies and Information Protection" ). Derfor er det nødvendig å vurdere spørsmålet om informasjonsbeskyttelse i bedriftsinformasjonssystemet ved å bestemme hvilken informasjon som er underlagt beskyttelse.

Informasjon som skal beskyttes i bedriftens informasjonssystem

Gjeldende lovgivning deler informasjon inn i to typer: offentlig og begrenset informasjon (del 2 av artikkel 5 i føderal lov av 27. juli 2006, nr. 149-FZ "Om informasjon, informasjonsteknologi og informasjonsbeskyttelse"). Begrenset tilgangsinformasjon kan deles inn i to store grupper – statshemmeligheter og konfidensiell informasjon.

Statshemmeligheter - informasjon beskyttet av staten innen dens militære, utenrikspolitiske, økonomiske, etterretningsmessige, kontraintelligens og operasjonelle søk, hvis spredning kan skade sikkerheten til Den russiske føderasjonen (artikkel 2 i RF-loven av 21.07. .1993, nr. 5485-1 "Om statshemmeligheter"). Basert på forfatterens praksis kan vi si at med denne informasjonsgruppen er det som regel minst problemer (sammenlignet med andre typer hemmeligheter). Listen over spesifisert informasjon er spesifikk. Behandlingsprosedyren er strengt regulert. Før man starter behandlingen av opplysninger som utgjør en statshemmelighet, må organisasjonen innhente en passende lisens. Sanksjonene for brudd på behandlingspålegget er tøffe. I tillegg er antallet fag med slik informasjon lite.

Konfidensiell informasjon omfatter rundt 50 typer hemmeligheter, hvorav de vanligste er kommersielle hemmeligheter og personlige (familie)hemmeligheter, en type av disse er personopplysninger.

Det er nesten alltid personopplysninger i bedriftens informasjonssystem. Spesielt vil enhver organisasjon som har minst én ansatt- eller passdata fra minst én klient være operatør for personopplysninger i betydningen av føderal lov nr. 152-FZ av 27. juli 2006 "Om personopplysninger". Det vil si at dersom bedriftens CRM-system behandler kundedata (for eksempel fullt navn og leveringsadresse) eller disse dataene er i en MS Excel-fil på en arbeidsstasjon, er det trygt å si at personopplysninger behandles i bedriftens informasjonssystem og organisasjonen er derfor forpliktet til å overholde kravene for beskyttelse. I praksis forstår ikke lederne i de fleste organisasjoner dette og mener at deres personopplysninger ikke blir behandlet, og derfor iverksetter de ikke tiltak for å beskytte informasjon før en eventuell hendelse inntreffer.

I tillegg til personopplysninger inneholder nesten alle bedriftsinformasjonssystemer informasjon som har faktisk eller potensiell verdi på grunn av ukjent for tredjeparter, avsløringen eller ukontrollert overføring som organisasjonen søker å unngå (kommersiell hemmelighet). I praksis er en vanlig situasjon når listen over denne informasjonen utelukkende finnes i hodet til lederen eller eieren av organisasjonen.

Nøkkelen er å lære opp personell i informasjonssikkerhetsregler, som bør gjennomføres med jevne mellomrom.

Tatt i betraktning det ovennevnte, blir spørsmålet om å vedta et kompleks av tiltak for å beskytte informasjon som behandles i bedriftsinformasjonssystemet relevant i organisasjonen.

Informasjonsbeskyttelsestiltak i bedriftsinformasjonssystemet

Det er tre hovedgrupper av tiltak:

1. Organisatorisk (organisatorisk og juridisk). Utarbeidelse av organisatorisk og administrativ dokumentasjon om informasjonssikkerhet: instrukser, forskrifter, pålegg, retningslinjer. Målet er å effektivisere forretningsprosesser og overholde kravene til intern og ekstern regulering (den såkalte «compliance», «papirsikkerhet»). Denne typen tiltak kan kalles den viktigste, siden:

• regimet for kommersielle hemmeligheter etableres utelukkende ved å ta organisatoriske tiltak oppført i del 1 av art. 5 i den føderale loven av 29. juli 2004, nr. 98-FZ "On Commercial Secrets";
• når det gjelder personopplysninger, er hovedmålet med å beskytte personopplysninger i dag ofte vellykket gjennomføring av kontroller fra de såkalte "regulatorene" (Roskomnadzor, FSTEC i Russland, FSB i Russland).

Derav begrepet "papirsikkerhet" som har blitt populært blant sikkerhetseksperter.

nesten alle bedriftsinformasjonssystem inneholder informasjon som har faktisk eller potensiell verdi på grunn av ukjent for tredjeparter, avsløringen eller ukontrollert overføring som organisasjonen søker å unngå (kommersiell hemmelighet). I praksis er en vanlig situasjon når listen over denne informasjonen utelukkende finnes i hodet til lederen eller eieren av organisasjonen.
Derfor overfører personell ofte utilsiktet (sender til en deltaker i informasjonsutvekslingen som den ikke er ment for) informasjonen som er lagret i CIS eller avslører den (plasserer den i det offentlige domene). Samtidig, i fravær av en godkjent liste over informasjon som utgjør en kommersiell hemmelighet, er det umulig å bringe en ansatt til disiplinæransvar for å begå disse handlingene.

2. Tekniske tiltak. Teknisk informasjonsbeskyttelse inkluderer fire grupper av tiltak:

1. Teknisk og teknisk beskyttelse. Formålet er å beskytte mot fysisk inntrenging av en inntrenger i fasilitetene der de tekniske midlene til CIS er plassert (arbeidsstasjoner, servere, etc.). Inntrengningsbeskyttelse oppnås ved bruk av tekniske konstruksjoner: gjerder, dører, låser, svingkors, alarmer, videoovervåking, etc.
2. Beskyttelse mot uautorisert tilgang til informasjon. Formålet med denne tiltaksgruppen er å hindre uautorisert tilgang direkte til selve informasjonen som behandles i informasjonssystemet. Det implementeres gjennom følgende aktiviteter:
   • tilgangskontroll (passord, tildeling av fullmakter);
   • registrering og regnskap (journalføring);
   • brannmur;
   • anti-virus beskyttelse;
   • bruk av inntrengningsdeteksjon (forebyggende) verktøy.
3. Beskyttelse mot lekkasjer gjennom tekniske kanaler. Målet er å beskytte informasjon mot lekkasjer gjennom tekniske kanaler (visuell, auditiv, elektromagnetisk sidestråling) i prosessen med informasjonsbehandling i CIS. Det implementeres ved å bruke følgende tiltak:
   • utstyr av vinduer med persienner (gardiner);
   • bruk av midler for beskyttelse mot lekkasje gjennom akustiske kanaler, såkalte vibroakustiske jammere;
   • bruk av spesielle filtre for å beskytte mot falsk elektromagnetisk stråling og interferens. Men i praksis er disse tiltakene kun nødvendige for statlige informasjonssystemer eller informasjonssystemer der statshemmeligheter behandles.
4. Kryptografisk informasjonsbeskyttelse. Bruken av midler for kryptografisk beskyttelse av informasjon de siste årene har fått ganske stor fart, hovedsakelig på grunn av den aktive utviklingen av bedriftssystemer for elektronisk dokumenthåndtering og bruken av elektroniske signaturer i dem som en mekanisme for å sikre integriteten til informasjon. I praksis brukes mekanismene for kryptografisk transformasjon av informasjon for å sikre, først og fremst, konfidensialiteten til informasjon som er lagret i databaser eller på arbeidsstasjoner, samt for å beskytte informasjon i prosessen med informasjonsutveksling (under overføring). Faktisk, bare ved å bruke en kryptografisk transformasjon er det mulig å fullt ut bygge VPN-nettverk (Virtual Private Network).

3. Moralske og etiske tiltak er ment å forhindre eller i det minste minimere avsløring av informasjon med begrenset tilgang fra brukere av CIS.

I følge ulike studier varierer antallet informasjonslekkasjer fra ansatte fra 80 til 95 %, mens det overveldende flertallet – om lag 90 % av lekkasjer – ikke er forbundet med forsettlige handlinger.

Moralske og etiske tiltak er uløselig knyttet til personellsikkerhet og sørger for rekruttering av kvalifisert personell, kontrolltiltak, detaljerte stillingsbeskrivelser, personellopplæring, streng adgangskontroll og sikring av sikkerhet når ansatte får sparken. Nøkkelen er ifølge forfatteren å lære opp personell i informasjonssikkerhetsregler, som bør gjennomføres med jevne mellomrom. Så spesielt utarbeider forfatteren årlig en ordre som sørger for kvartalsvis opplæring av ansatte i organisasjonen han jobber i.

I tillegg, for å forhindre informasjonslekkasjer fra personell via kommunikasjonskanaler (e-post, instant messengers, sosiale nettverk), er det en hel klasse med kalt "DLP-systemer" (Data Loss (Leak) Protection (Prevention)), generelt referert til som "lekkasjeforebyggende systemer. "Disse systemene er for tiden en av de populære løsningene for personellkontroll som brukes av ledere for både informasjons- og økonomiske sikkerhetstjenester. De fleste systemene i denne klassen på markedet tillater ikke bare overvåking og blokkering av elektronisk kommunikasjonskanaler, men og overvåking av brukeraktivitet, som gjør det mulig å identifisere ansatte som irrasjonelt bruker arbeidstiden sin: de kommer for sent på jobb og drar tidligere, «sitter» i sosiale nettverk, spiller dataspill, jobber for seg selv.

En annen trend i spørsmålet om personellsikkerhet, som dukket opp for bare noen måneder siden, er systemene for overvåking og identifisering av avvikende brukeratferd – User and Entity Behavior Analytics (UEBA). Disse systemene er designet for å analysere brukeratferd og identifisere, på grunnlag av det, faktiske trusler mot personell og informasjonssikkerhet.

I det overveldende flertallet av bedriftsinformasjonssystemer behandles således personopplysninger og forretningshemmeligheter, og følgelig krever de alle beskyttelse. Nesten alltid, spesielt i den kommersielle sektoren, kommer informasjonssikkerhetsspørsmål i konflikt med de ansattes bekvemmelighet og finansieringen av disse aktivitetene. I arbeidet vurderer forfatteren minimumssettet med tiltak rettet mot å beskytte informasjon i ethvert bedriftsinformasjonssystem. Denne listen over tiltak krever ikke unik kunnskap og er tilgjengelig for praktisk bruk av nesten enhver spesialist innen informasjonsteknologi. I tillegg krever de fleste foreslåtte tiltak ikke vesentlige økonomiske kostnader.

___________________________________________
1 Melding fra presidenten for den russiske føderasjonen til den russiske føderasjonens føderale forsamling datert 1. desember 2016 nr.

Ekspertspalte

Perimeter: er det noe annet å forsvare?

Alexey
Lukatsky

Bedriftskonsulent for informasjonssikkerhet

Vi er ganske konservative i vårt område. Vi er veldig avhengige av myndigheter, av tilnærminger, av produkter og av begreper og definisjoner som ikke har endret seg gjennom årene. Informasjonssikkerhetsomkretsen er selve begrepet som dessverre er så utdatert at det nesten er umulig å bruke det. Dessuten vet vi ikke engang helt hva informasjonssikkerhetsomkretsen er. Noen oppfatter omkretsen som et koblingspunkt til Internett, uansett hvor morsomt det kan høres ut i sammenheng med geometri, der omkretsen fortsatt er en lukket linje. Noen mennesker oppfatter omkretsen som en linje som avgrenser et bedrifts- eller avdelingsnettverk. Noen oppfatter omkretsen som et sett med enheter som har tilgang til Internett.

Men hver av disse definisjonene har åpenbart sine fordeler og ulemper, og de er alle forskjellige. Hvordan oppfatte situasjonen selv med et så tilsynelatende enkelt alternativ som et segment av et industrielt nettverk, muligens til og med fysisk isolert fra omverdenen, hvis en representant for en entreprenør kom dit med en bærbar datamaskin koblet til Internett via et 3G-modem? Vises omkretsen her eller ikke? Hva om vi ser på en situasjon når en ansatt med en mobilenhet kobler seg til en ekstern sky som lagrer konfidensielle bedriftsdata, eller en applikasjon kjører som behandler disse dataene? Er det en omkrets her eller ikke? Hva om en ansatt kobler fra sin personlige enhet til en annens infrastruktur hos en skyleverandør, der bedriftens informasjon er lagret? Hvor er omkretsen i en slik situasjon?

Vel, la oss si at våre mobile enheter tilhører et selskap, og skyer tilhører en leverandør. Samtidig er det maksimale vi kan vite vår egen del av skyen der vi plasserer serverne våre, applikasjonene våre, dataene våre. Men hvem har tilgang til dem fra utsiden, fra siden av skyleverandøren, fra siden av dens andre klienter? I en slik situasjon er det generelt umulig å skissere omkretsen. Dette betyr at uansett hvordan vi vil, er vi tvunget til å endre våre tilnærminger til det vi pleide å kalle perimeterforsvar. For eksempel, i noen selskaper, følger ledelsen regelen om at en bedriftsansatt kan jobbe når som helst fra hvor som helst i verden fra hvilken som helst enhet. I et slikt konsept kan det selvfølgelig ikke være noen omkrets i vanlig forstand, og dette gjør det nødvendig å beskytte på en helt annen måte, nei, ikke omkretsen, men internettforbindelsen! Er du klar for en ny virkelighet?

Definisjoner Informasjonssikkerhet for en organisasjon er sikkerhetstilstanden til en organisasjons informasjonsmiljø, som sikrer dannelse, bruk og utvikling. Informasjonsbeskyttelse - er en aktivitet for å forhindre lekkasje av beskyttet informasjon, uautorisert og utilsiktet påvirkning på beskyttet informasjon, det vil si en prosess som tar sikte på å oppnå denne tilstanden. 2

Informasjonssikkerhetskomponenter. konfidensialitet - tilgjengeligheten av informasjon bare for en viss krets av personer; integritet - en garanti for eksistensen av informasjon i sin opprinnelige form; tilgjengelighet - muligheten til å motta informasjon av en autorisert bruker på det tidspunktet han trenger. autentisitet - evnen til å identifisere forfatteren av informasjonen; appell - en mulighet til å bevise at forfatteren er nøyaktig den erklærte personen, og ingen andre. 3

Adgangskontrollmodeller for å sikre konfidensialitet, integritet og tilgjengelighetsbruk: Obligatorisk tilgangskontroll Selektiv tilgangskontroll Rollebasert tilgangskontroll 4

Obligatorisk tilgangskontroll. Obligatorisk tilgangskontroll, MAC - differensiering av tilgang for emner til objekter, basert på tildeling av en konfidensialitetsetikett for informasjonen i objektene, og utstedelse av offisielle tillatelser (opptak) til emner for å få tilgang til informasjon på dette konfidensialitetsnivået. Det er også noen ganger oversatt som håndhevet tilgangskontroll. Det er en kombinasjon av beskyttelse og begrensning av rettigheter brukt på dataprosesser, data og systemenheter og designet for å forhindre uønsket bruk 5

Diskresjonær tilgangskontroll (DAC) - kontroll av tilgang for subjekter til objekter basert på ACLer eller en tilgangsmatrise. For hvert par (emne - objekt) må det spesifiseres en eksplisitt og entydig oppregning av de tillatte tilgangstypene (lese, skrive, osv.), det vil si de typene tilgang som er autorisert for et gitt emne (individ eller gruppe). av enkeltpersoner) til denne ressursen (objektet) 7

8

Rollebasert tilgangskontroll (RBAC) - utvikling av en selektiv tilgangskontrollpolicy, mens tilgangsrettighetene til systemsubjekter til objekter er gruppert under hensyntagen til spesifikke applikasjoner, danner roller, for eksempel Administrator, 1 bruker, etc. Formasjon av roller er ment å definere klare og forståelige regler for tilgangskontroll for brukere. ni

Sikre sikkerhet under overføring Implementering - Kryptering er en metode for å transformere informasjon som brukes til å lagre viktig informasjon i upålitelige kilder eller overføre den gjennom ubeskyttede kommunikasjonskanaler. Inkluderer 2 prosesser, - prosessen med kryptering og dekryptering Metodologisk base - kryptografi. ti

Bestemmelse av nøkkel En nøkkel er hemmelig informasjon som brukes av den kryptografiske algoritmen for kryptering/dekryptering av meldinger, innstilling og verifisering av digitale signaturer, beregning av autentiseringskoder (MAC). Når du bruker samme algoritme, avhenger krypteringsresultatet av nøkkelen. For moderne sterke kryptografialgoritmer fører tapet av nøkkelen til praktisk umulig å dekryptere informasjonen. Mengden informasjon i en nøkkel måles vanligvis i biter. For moderne krypteringsalgoritmer er den viktigste egenskapen til kryptografisk styrke nøkkellengden. Kryptering med nøkler på 128 biter og over anses som sterk fordi det tar 11 år med kraftige superdatamaskiner å dekryptere informasjon uten nøkkel

Krypteringsmetoder symmetrisk kryptering: uautoriserte personer kjenner kanskje krypteringsalgoritmen, men de kjenner ikke en liten bit hemmelig informasjon - nøkkelen som er den samme for avsender og mottaker av meldingen; asymmetrisk kryptering: uautoriserte personer kan kjenne krypteringsalgoritmen, og muligens den offentlige nøkkelen, men den private nøkkelen, kun kjent for mottakeren, er ukjent. 12

Midler for å sikre autentisitet: Signatur Digital signatur Signatur er en unik samling av håndskrevne symboler med bruk av visse designteknikker, som tjener til å identifisere en person. Egenskaper til en god signatur Motstand mot forfalskning. Repeterbarhet. Identifiserbar (signaturen ligner vanligvis et fornavn, etternavn). Skrivehastighet 13

Elektronisk digital signatur (EDS) - et element i et elektronisk dokument designet for å beskytte dette elektroniske dokumentet mot forfalskning, oppnådd som et resultat av kryptografisk transformasjon av informasjon ved bruk av den private nøkkelen til en elektronisk digital signatur og som gjør det mulig å identifisere eieren av signaturnøkkelen sertifikat, samt å fastslå fravær av informasjonsforvrengning i et elektronisk dokument, og sikrer også at underskriveren ikke avvises. Siden dokumentene som skal signeres er av variabel (og ganske lang) lengde, plasseres signaturen i EDS-opplegg ofte ikke på selve dokumentet, men på hashen. For å beregne hashen brukes kryptografiske hash-funksjoner Hashing er transformasjonen av en inngangsdatamatrise av vilkårlig lengde til en utgangsbitstreng med fast lengde. Slike transformasjoner kalles også hashfunksjoner. Eventuelle endringer i dokumentet fører til endringer i hashen 14

Den elektroniske signaturordningen inkluderer: en nøkkelgenereringsalgoritme; funksjonen til å beregne signaturen; signaturverifiseringsfunksjon. Beregningsfunksjonen beregner selve signaturen basert på dokumentet og brukerens private nøkkel. Signaturverifiseringsfunksjonen sjekker om den gitte signaturen samsvarer med det gitte dokumentet og brukerens offentlige nøkkel. Brukerens offentlige nøkkel er tilgjengelig for alle, så alle kan bekrefte signaturen på dette dokumentet 15

Den digitale signaturen gir identiteten til kilden til dokumentet. Avhengig av detaljene i dokumentdefinisjonen kan felter som "forfatter", "endringer gjort", "tidsstempel" etc. signeres Beskyttelse mot dokumentendringer. Enhver tilfeldig eller bevisst endring i dokumentet (eller signaturen) vil endre hashen, derfor blir signaturen ugyldig. Umulig å nekte forfatterskap. Siden du kan lage en korrekt signatur kun hvis du kjenner den private nøkkelen, og den er kjent kun for eieren, kan ikke eieren nekte sin signatur på dokumentet. 16

Midler for autorisasjon og autentisering: Et passord er et hemmelig ord eller sett med tegn designet for å bekrefte en identitet eller autoritet. Å knekke passord er en ressurskrevende oppgave, vanligvis løst ved den såkalte brute-force-metoden – det vil si et enkelt brute-force-angrep.Nøkkel – hemmelig informasjon kjent for et begrenset antall personer, brukes vanligvis i kryptert form. Biometri er en persosom bruker subjektets fysiologiske parametere (fingeravtrykk, iris, etc.). 17

Databeskyttelse i datanettverk er i ferd med å bli et av de mest åpne problemene i moderne informasjonsdatasystemer. Til dags dato er det formulert tre grunnleggende prinsipper for informasjonssikkerhet, hvis oppgave er å sikre: - dataintegritet - beskyttelse mot feil som fører til tap av informasjon eller ødeleggelse; - konfidensialitet av informasjon; - tilgjengelighet av informasjon for autoriserte brukere.

Beskyttelsesmidler - midler for fysisk beskyttelse; - programvareverktøy (antivirusprogrammer, systemer for differensiering av makt, programvaretilgangskontroll); - administrative beskyttelsestiltak (tilgang til lokaler, utvikling av faste sikkerhetsstrategier osv.).

fysiske beskyttelsesmidler er systemer for arkivering og duplisering av informasjon. I lokale nettverk hvor en eller to servere er installert, installeres som oftest systemet direkte i ledige serverplasser. I store bedriftsnettverk foretrekkes en dedikert dedikert backupserver, som automatisk arkiverer informasjon fra harddisker til servere og arbeidsstasjoner på et spesifikt tidspunkt angitt av nettverksadministratoren, og utgir en rapport om sikkerhetskopieringen. De vanligste arkiverte servermodellene er Storage Express System fra Intel ARCserve for Windows.

For å bekjempe datavirus brukes antivirusprogrammer oftest, sjeldnere betyr maskinvarebeskyttelse. Imidlertid har det nylig vært en trend mot en kombinasjon av programvare- og maskinvarebeskyttelsesmetoder. Blant maskinvareenhetene brukes spesielle antiviruskort, satt inn i standardutvidelsessporene på datamaskinen. Intel har kommet opp med en avansert nettverks-antivirusteknologi som skanner datasystemer før de starter opp. I tillegg til antivirusprogrammer løses problemet med å beskytte informasjon i datanettverk ved å innføre tilgangskontroll og differensiere brukerrettigheter. For å gjøre dette, bruk de innebygde verktøyene til nettverksoperativsystemer, den største produsenten av disse er Novell-selskapet.

For å utelukke uautorisert penetrasjon i et datanettverk, brukes en kombinert tilnærming - et passord + brukeridentifikasjon med en personlig "nøkkel". En "nøkkel" er et plastkort (magnetisk eller med en innebygd mikrokrets - et smartkort) eller ulike enheter for å identifisere en person ved hjelp av biometrisk informasjon - ved iris i øyet, fingeravtrykk, håndstørrelser osv. Servere og nettverksarbeidsstasjoner, utstyrt med smartkortlesere og spesiell programvare, øker graden av beskyttelse mot uautorisert tilgang betydelig. Smartkort for tilgangskontroll muliggjør funksjoner som påloggingskontroll, tilgang til PC-enheter, programmer, filer og kommandoer.

Kerberos-system - en database som inneholder informasjon om alle nettverksressurser, brukere, passord, informasjonsnøkler, etc.; - en autentiseringsserver, hvis oppgave er å behandle brukerforespørsler om levering av en eller annen type nettverkstjeneste. Når den mottar en forespørsel, får den tilgang til databasen og bestemmer brukerens autoritet til å utføre en bestemt operasjon. Brukerpassord overføres ikke over nettverket, og øker dermed graden av informasjonssikkerhet; - Den billettbevilgende serveren mottar et "pass" fra autorisasjonsserveren med brukerens navn og nettverksadresse, forespørselstidspunkt og en unik "nøkkel". Pakken som inneholder "passet" sendes også i kryptert form. Autorisasjonsserveren, etter å ha mottatt og dekryptert "passet", verifiserer forespørselen, sammenligner "nøklene" og, hvis identiske, gir klarsignal for bruk av nettverksutstyr eller programmer.

Med utvidelsen av virksomheten til foretak, veksten av antall abonnenter og fremveksten av nye filialer, blir det nødvendig å organisere tilgang for eksterne brukere (grupper av brukere) til data- eller informasjonsressurser til sentre for selskaper. For organisering av fjerntilgang brukes oftest kabellinjer og radiokanaler. I denne forbindelse krever beskyttelsen av informasjon som overføres via fjerntilgangskanaler en spesiell tilnærming. I broer og rutere for fjerntilgang brukes pakkesegmentering - deres separasjon og overføring parallelt over to linjer - som gjør det umulig å "avskjære" data når en "hacker" kobler seg ulovlig til en av linjene. Prosedyren for å komprimere de overførte pakkene som brukes under dataoverføring garanterer umuligheten av å dekryptere de "avlyttede" dataene. Fjerntilgangsbroer og rutere kan programmeres på en slik måte at ikke alle ressursene til bedriftssenteret er tilgjengelige for eksterne brukere.

For tiden er det utviklet spesielle enheter for å kontrollere tilgang til datanettverk via oppringte linjer. Et eksempel er AT&Ts Remote Port Security Device (PRSD)-modul, som består av to blokker på størrelse med et konvensjonelt modem: RPSD-låsen, installert ved hovedkvarteret, og RPSD-nøkkelen, som er koblet til den eksterne brukerens modem. RPSD nøkkel og lås lar deg angi flere nivåer av beskyttelse og tilgangskontroll: - kryptering av data som overføres over linjen ved hjelp av genererte digitale nøkler; - tilgangskontroll som tar hensyn til ukedag eller tid på dagen

Strategien med å lage sikkerhetskopier og gjenopprette databaser er direkte relatert til temaet sikkerhet. Vanligvis utføres disse operasjonene utenom arbeidstiden i batch-modus. I de fleste DBMS-er er sikkerhetskopiering og gjenoppretting av data kun tillatt for brukere med brede fullmakter (tilgangsrettigheter på systemadministrator- eller databaseeiernivå); det er uønsket å spesifisere slike kritiske passord direkte i batchfiler. For ikke å lagre passordet eksplisitt, anbefales det å skrive et enkelt applikasjonsprogram som selv kaller kopierings-/gjenopprettingsverktøyene. I dette tilfellet må systempassordet "hardkodes" inn i koden til den angitte applikasjonen. Ulempen med denne metoden er at hver gang passordet endres, må dette programmet kompileres på nytt.

Ved hvert foretak, uavhengig av størrelse, type eierskap og aktivitetsretning, brukes samme type beskyttelsesmetoder og -metoder som implementerer modellen for beskyttelsessystemet. Blokken av beskyttelsesmetoder er hindringer, regulering, adgangskontroll, maskering, oppfordring og tvang.

Hindringer (fysisk metode), for eksempel montering av gjerder rundt virksomheter, begrense tilgang til bygninger og lokaler, montering av alarmer, vakthold Adgangsavgrensning utføres med fysisk metode og programvareteknisk Maskering innebærer bruk av kryptografisk programvare. Motivasjon - brukernes overholdelse av etiske standarder ved behandling og bruk av informasjon. Regulering innebærer tilstedeværelsen av instrukser og forskrifter for behandling av informasjon, forbud forutsetter eksistensen av juridiske normer nedfelt i forskriftsdokumenter og bestemmer juridisk ansvar i tilfelle brudd på dem.

De ovennevnte metodene og metodene for beskyttelse er kombinert i fire delsystemer som er installert i informasjonssystemer: Delsystem for tilgangskontroll Registrering og regnskapsdelsystem Kryptografisk delsystem Integritetssikring delsystem

Delsystemet for tilgangskontroll beskytter inngangen til informasjonssystemet ved hjelp av programvare (passord) og programvare og maskinvare (elektroniske nøkler, nøkkeldisketter, biometriske brukergjenkjenningsenheter, etc.).

Registrerings- og regnskapsdelsystemet registrerer i en spesiell elektronisk logg over brukere og programmer som har fått tilgang til systemet, filer, programmer eller databaser, tidspunkt for inn- og utreise fra systemet og andre operasjoner utført av brukere.

Det kryptografiske undersystemet er et sett med spesielle programmer som krypterer og dekrypterer informasjon. Tilstedeværelsen av et kryptografisk delsystem er spesielt nødvendig i informasjonssystemer som brukes for elektronisk virksomhet.

Delsystemet for å sikre integriteten til informasjon inkluderer tilstedeværelsen av fysisk beskyttelse av datautstyr og media, tilgjengeligheten av verktøy for å teste programmer og data, bruk av sertifiserte beskyttelsesmidler

Send det gode arbeidet ditt i kunnskapsbasen er enkelt. Bruk skjemaet nedenfor

Studenter, hovedfagsstudenter, unge forskere som bruker kunnskapsbasen i studiene og arbeidet vil være veldig takknemlige for deg.

postet på http://www.allbest.ru/

• Introduksjon
• 1.3 Hovedbestemmelsene i informasjonssikkerhetssystemet
• 2.1 Gjenstander og beskyttelsesobjekter
• 2.3 Moderner
• 2.4 Rimelighet av informasjonsbeskyttelse
• Listen over normative dokumenter som regulerer aktiviteter innen informasjonssikkerhet:
• 3. Forbedring av tiltak rettet mot å øke effektiviteten av tiltak for å beskytte bedriftens informasjonssystem til strømforsyningen
• 3.1 Ulemper med beskyttelse av bedriftens nettverk
• 3.2 Organisatoriske aktiviteter
• 3.3 Ingeniørvirksomhet og teknisk virksomhet
• Konklusjon
• Bibliografisk liste

Introduksjon

Den moderne utviklingen av verdensøkonomien er preget av den økende avhengigheten av markedet av en betydelig mengde sirkulerende informasjon i det.

I vår tid er samfunnet helt avhengig av mottatte, bearbeidede og overførte data. Av denne grunn er selve dataene av høy verdi. Og jo høyere pris på nyttig informasjon, jo høyere er sikkerheten.

Relevansen av emnet skyldes handlingen av en rekke faktorer som er rettet mot å forbedre beskyttelsen av bedriftsinformasjonssystemet, for å forbedre den økonomiske mekanismen til moderne bedrifter som opererer i en markedsøkonomi og bruken av moderne teknologisk utvikling .

I lys av det ovennevnte, gir lovverk, både i Russland og utenlandske land, et betydelig antall normer som tar sikte på å regulere opprettelse, bruk, overføring og beskyttelse av informasjon i alle dens former.

Av spesiell verdi er informasjon som inneholder personopplysninger, offisielle hemmeligheter, forretningshemmeligheter, begrenset informasjon, bankhemmeligheter, statshemmeligheter, innsideinformasjon, konfidensiell informasjon og annen informasjon.

Problemet med informasjonsbeskyttelse er mangefasettert og komplekst, og krever den nødvendige kombinasjonen av gjeldende lovgivning, organisatoriske, programvare og tekniske tiltak.

Lekkasje av informasjon kan påvirke virksomheten til virksomheten. En spesiell rolle spilles av den informasjonen, tapet av skorpen kan føre til store endringer i selve bedriften og materielle tap.

I en persons daglige liv avhenger sikkerheten til informasjon om livet hans av ham selv. Men en helt annen situasjon er når vi er forpliktet til å gi data om oss selv i henhold til loven til en tredjepart, og spesifikt til arbeidsgiver. En ansatt i denne situasjonen overfører konfidensiell informasjon om seg selv til oppbevaring. Videre er arbeidsgiver ansvarlig for sikkerheten til dataene. Han er forpliktet til å beskytte informasjon om den ansatte mot inngrep fra tredjeparter og være ansvarlig for spredning av disse dataene.

Formålet med dette arbeidet er å fastsette kravene til sikkerhetssystemet til bedriftsinformasjonssystemet.

Arbeidsoppgaver:

1. For å identifisere problematiske problemer med beskyttelsessystemet til bedriftens informasjonssystem for avstanden til strømforsyningen.

2. Formuler en liste over trusler og krav til beskyttelsessystemet til bedriftens informasjonssystem for strømforsyningsavstanden.

3. Begrunn strukturen av informasjonsrisikoer for bedriftens informasjonssystem for avstanden til strømforsyningen.

4. Velg og begrunn metoder og tekniske midler rettet mot å øke effektiviteten av beskyttelsen av bedriftens informasjonssystem for strømforsyningsavstanden.

Formålet med studien er et typisk sikkerhetssystem for bedriftens informasjonssystem "intranett" av kraftforsyningsavstanden Moskva - Smolensk til en gren av russiske jernbaner, som har sine egne bygninger og territorium.

Emnet for forskningen er metoder og tekniske midler for å beskytte bedriftens informasjonssystem for strømforsyningsavstanden.

Den praktiske betydningen og implementeringen av de oppnådde resultatene gjorde det mulig å lage tiltak for å organisere beskyttelsen av bedriftsnettverket, tilpasset spesifikke forhold, under hensyntagen til objektets spesifikasjoner og ulike kategorier av informasjon og brukere.

Forfattere som undersøker A.V. Sokolov (professor, leder av Institutt for informatikk og programvare ved Moskva-instituttet for elektronisk teknologi) og V.F. Shangin (professor, doktor i tekniske vitenskaper) fra 1978 til i dag har dekket aktuelle spørsmål om informasjonssikkerhet ved bruk av distribuerte bedriftssystemer og bedriftsomfattende nettverk, internettsikkerhet.

beskyttelsesinformasjon bedriftsnettverk

1. Teoretisk grunnlag for å bygge et bedriftsnettverk

1.1 Konsept, komponenter, funksjon av et bedriftsnettverk

Et bedriftsnettverk er et komplekst system som inkluderer mange forskjellige komponenter: datamaskiner av forskjellige typer, fra desktop til stormaskin, system- og applikasjonsprogramvare, nettverksadaptere, huber, svitsjer og rutere, kabling. Denne artikkelen vil vurdere intranettet til Moskva-Smolensk Avstander strømforsyning til grenen til JSC "Russian Railways". Dette er en egen strukturell enhet av jernbanen, som er en del av elektrifiserings- og kraftforsyningstjenesten. Gir uavbrutt og pålitelig strømforsyning til alle forbrukere med strøm, samt sikrer pålitelig drift av alle objekter og enheter, kontaktnettet innenfor det betjente området.

Intranettfunksjonalitet spenner fra statiske websider som erstatter bedriftens trykte dokumenter eller gir en ny måte å dele informasjon på, til sofistikerte klientgrensesnitt for kontorserverapplikasjoner.

Teknologien som trengs for et intranett og verktøyene som implementerer dem er utbredt. Disse inkluderer: TCP/IP, Network File System (NFS), nettleser (systemsøk og visningsprogram), webserver, HTML-editor, e-post og lignende. Informasjon er tilgjengelig basert på IP-tilkoblinger.

Et intranett består av flere komponenter:

1) nettverksinfrastruktur,

2) servere,

3) dokumenter,

4) nettlesere,

5) søknader.

Intranettet er ryggraden, og gir de nødvendige forbindelsene for å gi tilgang til informasjon for menneskene i organisasjonen. Intranettet bruker TCP/IP-nettverksprotokollen for å koble til og utveksle data. TCP / IP gir muligheten til å navngi datamaskiner på et nettverk unikt (disse navnene kalles IP-adresser). Denne protokollen gir også en mekanisme som datamaskiner kan finne hverandre og koble til. Intranettet bruker en annen protokoll, HTTP (Hypertext Transfer Protocol). Den brukes til å formidle tekst, bilder og hyperkoblinger (det vil si lenker til andre elektroniske dokumenter) som peker til websider. Vi kan si at TCP/IP er hovedmåten datamaskiner kommuniserer på et nettverk, og HTTP er et slags øvre lag som lar dem utveksle informasjon.

Servere. Informasjon finnes oftest på datamaskiner, ofte referert til som webservere. Serveren lagrer dokumenter og oppfyller brukerforespørsler om søk og visning av data.

Dokumentene. Intranettinnhold – det vil si informasjonen du viser – lagres i dokumenter. Som standard er de i HTML (Hypertext Makeup Language), et tekstformat som består av selve teksten, tagger som styrer formatering og hyperkoblinger som peker til andre dokumenter.

Nettlesere. Applikasjoner kalt nettlesere brukes til å jobbe på intranettet og vise dokumenter som er lagret på servere. De tjener flere funksjoner:

søke etter informasjon og koble til en webserver;

laste, formatere og vise HTML-dokumenter;

anerkjennelse og overgang til relevante dokumenter;

Applikasjoner. Søknader er skrevet av utviklere for å løse spesifikke problemer i selskapet.

I tillegg til en rekke nettverksutstyr, består et intranett av følgende programvarekomponenter:

1) programvare for den interne webserveren til organisasjonen, som inneholder informasjon om virksomheten til selskapet (priser, administrasjonsordrer, dokumenter for godkjenning og diskusjon, etc., og koblet til eksisterende databaser ("Lager", "Regnskap" og så videre);

2) programvareverktøy for å holde konferanser i organisasjonen for å diskutere forslag til forbedring av arbeidet, rapporter om ulike arrangementer og lignende;

3) Programvare som implementerer arbeidet med e-post.

Intranettet kan inneholde segmenter med ulik grad av sikkerhet:

fritt tilgjengelig (ulike servere);

med begrenset tilgang;

stengt for tilgang.

Det er tilrådelig å vurdere et avstandsnettverk for bedriftens strømforsyning som et system som består av flere samvirkende lag. I bunnen av pyramiden, som representerer bedriftsnettverket, ligger et lag med datamaskiner - informasjonslagrings- og prosesseringssentre, og et transportundersystem som sikrer pålitelig overføring av informasjonspakker mellom datamaskiner.

Figur 1. Hierarki av bedriftsnettverkslag

Over transportsystemet er det et lag med nettverksoperativsystemer som organiserer driften av applikasjoner i datamaskiner og gir ressursene til datamaskinen til generell bruk gjennom transportsystemet.

Ulike applikasjoner fungerer på operativsystemet, men på grunn av den spesielle rollen til databasestyringssystemer, som lagrer grunnleggende bedriftsinformasjon på en organisert måte og utfører grunnleggende søkeoperasjoner på den, er denne klassen av systemapplikasjoner vanligvis separert i et eget lag av bedriftsnettverk.

På neste nivå opererer systemtjenester, som ved å bruke DBMS som et verktøy for å finne nødvendig informasjon blant de millioner av byte som er lagret på disker, gir sluttbrukere denne informasjonen i en form som er praktisk for å ta en beslutning, og også utfører noen isom er felles for bedrifter av alle typer ... Disse tjenestene inkluderer e-postsystemer, samarbeidssystemer og mange andre.

Det øvre nivået i bedriftsnettverket representerer spesielle programvaresystemer som utfører oppgaver som er spesifikke for en gitt bedrift eller bedrifter av en gitt type.

Det endelige målet for bedriftsnettverket er nedfelt i applikasjoner på toppnivå, men for at de skal fungere vellykket, er det helt avgjørende at undersystemene til andre lag utfører funksjonene sine nøyaktig.

Hovedoppgaven til systemadministratorer er å sikre at dette tungvinte systemet best mulig takler behandlingen av informasjonsstrømmene som sirkulerer mellom de ansatte i virksomheten og lar dem ta rettidige og rasjonelle beslutninger som sikrer driften av virksomheten.

Intranett Moskva-Smolensk Avstander strømforsyning JSC "Russian Railways" er isolert fra eksterne Internett-brukere og fungerer som et autonomt nettverk som ikke har tilgang utenfra.

Figur 2. Lokal nettverksstruktur

1.2 Analyse av kilder til trusler og informasjonsrisiko

Alle informasjonsressurser i selskapet er konstant utsatt for objektive og subjektive trusler om tap av medium eller verdi av informasjon. Trusselen eller faren for tap av informasjon er forstått som en enkelt eller kompleks, reell eller potensiell, aktiv eller passiv manifestasjon av de ugunstige evnene til eksterne eller interne trusselkilder til å skape kritiske situasjoner, hendelser, for å utøve en destabiliserende effekt på den beskyttede informasjonen , dokumenter og databaser. For informasjonsressurser med begrenset tilgang er spekteret av trusler som involverer tap av informasjon (avsløring, lekkasje) eller tap av media mye bredere som følge av den økte interessen for disse dokumentene fra ulike typer angripere. Hovedtrusselen mot sikkerheten til informasjonsressurser med begrenset distribusjon er den uautoriserte (ulovlige, uautoriserte) tilgangen til en angriper eller en uautorisert person til dokumentert informasjon og, som et resultat, beherskelse av informasjon og ulovlig bruk av den eller begåelse av andre destabiliserende handlinger. Målene og resultatene av uautorisert tilgang kan ikke bare være mestring av verdifull informasjon og bruken av dem, men også deres modifikasjon, modifikasjon, ødeleggelse, forfalskning, substitusjon og lignende. En forutsetning for vellykket implementering av et forsøk på uautorisert tilgang til informasjonsressurser med begrenset tilgang er interessen for dem fra konkurrenter, visse enkeltpersoner, tjenester og organisasjoner. Hovedsynderen for uautorisert tilgang til informasjonsressurser er som regel personellet som jobber med dokumenter, informasjon og databaser. Tapet av informasjon skjer i de fleste tilfeller ikke som et resultat av bevisste handlinger fra en inntrenger, men på grunn av uforsiktighet og uansvarlig personell.

Følgelig kan tap av informasjonsressurser med begrenset tilgang oppstå når:

§ interessen til en konkurrent, institusjoner, firmaer eller enkeltpersoner i spesifikk informasjon,

§ fremveksten av en risiko for en trussel organisert av en angriper, eller i tilfelle utilsiktede omstendigheter;

§ tilstedeværelsen av forhold som tillater en angriper å iverksette nødvendige handlinger og beslaglegge informasjon.

Disse forholdene kan omfatte:

© mangel på systematisk analyse- og kontrollarbeid for å identifisere og studere trusler, kanaler og graden av risiko for brudd på sikkerheten til informasjonsressurser;

© ineffektivt informasjonsbeskyttelsessystem eller fravær av dette systemet, noe som skaper en høy grad av informasjonssårbarhet;

© uprofesjonelt organisert teknologi for behandling og lagring av konfidensielle dokumenter;

© uordnet utvalg av personell og personalomsetning, vanskelig psykologisk klima i teamet;

© mangel på et system for opplæring av ansatte i reglene for beskyttelse av informasjon med begrenset tilgang;

© mangel på kontroll fra selskapets ledelse over etterlevelse av personell med kravene i regulatoriske dokumenter for arbeid med informasjonsressurser med begrenset tilgang;

© ukontrollerte besøk til bedriftens lokaler av uvedkommende.

Det bør alltid huskes at dokumentasjon øker risikoen for en trussel mot informasjon dramatisk. Fortidens store mestere skrev aldri ned hemmelighetene til kunsten sin, men ga dem videre muntlig til sin sønn, student. Derfor har hemmeligheten med å lage mange unike gjenstander fra den tiden ikke blitt avslørt til i dag.

Eksisterende handlinger utført med informasjon som kan inneholde en trussel: innsamling, modifikasjon, lekkasje og destruksjon. Disse handlingene er grunnleggende for videre vurdering. Ved å følge den aksepterte klassifiseringen vil vi dele alle kilder til trusler i eksterne og interne.

Interne og eksterne trusler

En intern lovbryter kan være en person fra følgende kategorier av ansatte i serviceenheter: servicepersonell (systemadministratorer som er ansvarlige for drift og vedlikehold av maskinvare og programvare); programmerere for vedlikehold av system og applikasjonsprogramvare; teknisk personell (arbeidere i tilleggslokaler, rengjøringsmidler, etc.); ansatte i virksomhetens avdelinger som gis adgang til lokalene hvor datamaskinen eller teleutstyret befinner seg.

Kildene til interne trusler er:

· Ansatte i organisasjonen;

· programvare;

· Maskinvare.

Interne trusler kan manifestere seg i følgende former:

feil fra brukere og systemadministratorer;

brudd fra selskapets ansatte på etablerte regler for behandling, overføring og ødeleggelse av informasjon;

programvarefeil;

infisere datamaskiner med virus eller skadelig programvare;

feil og funksjonsfeil på datautstyr.

Eksterne lovbrytere omfatter personer hvis tilstedeværelse i rom med utstyr er umulig uten tilsyn av selskapets ansatte.

En ekstern inntrenger fanger opp og analyserer elektromagnetiske utslipp fra informasjonssystemutstyr.

Eksterne kilder til trusler inkluderer:

· Organisasjoner og enkeltpersoner;

· Naturkatastrofer;

· Teknogene ulykker;

· Begå terrorhandlinger.

Formene for manifestasjon av ytre trusler er: avlytting; analyse og modifikasjon av informasjon; uautorisert tilgang til bedriftsinformasjon; informasjonsovervåking av konkurrerende strukturer, etterretning og spesialtjenester; ulykker, branner, menneskeskapte katastrofer.

Alle typer trusler (manifestasjonsformer) oppført av oss kan deles inn i forsettlige og utilsiktede, interesserte og uinteresserte i forekomsten av en trussel.

Bevisste handlinger er bevisste handlinger av en inntrenger forårsaket av nysgjerrighet; hackerangrep; såret av en ansatts stolthet, et forsøk på å begå terrorhandlinger. En ansatt, en besøkende, en konkurrent, en leiesoldat, teknisk personell (arbeidere i hjelpelokaler, renholdere, etc.) kan opptre som en angriper.

Årsakene til utilsiktede utilsiktede påvirkninger under drift kan være: nødsituasjoner på grunn av naturkatastrofer og strømbrudd (naturlige og menneskeskapte påvirkninger); maskinvarefeil og feil; feil i programvare; feil i arbeidet til ansatte; forstyrrelser i kommunikasjonslinjer på grunn av miljøpåvirkninger.

I henhold til metodene for å påvirke informasjonssikkerhetsobjekter er trusler underlagt følgende klassifisering: informasjon, programvare, fysisk, radio-elektronisk og organisatorisk og juridisk.

Informasjonstrusler inkluderer:

- uautorisert tilgang til informasjonsressurser;

- ulovlig kopiering av data i informasjonssystemer;

- tyveri av informasjon fra biblioteker, arkiver, banker og databaser;

- brudd på;

- ulovlig innsamling og bruk av informasjon.

Programvaretrusler inkluderer:

- bruk av feil og "hull" i programvaren;

- datavirus og skadelig programvare;

- installasjon av "innebygde" enheter.

Fysiske trusler inkluderer:

- ødeleggelse eller ødeleggelse av informasjonsbehandlings- og kommunikasjonsfasiliteter;

- tyveri av informasjonsbærere;

- tyveri av programvare- eller maskinvarenøkler og midler for kryptografisk databeskyttelse;

- innvirkning på personell.

Elektroniske trusler inkluderer:

- innføring av elektroniske enheter for å avskjære informasjon i tekniske midler og lokaler;

- avlytting, dekryptering, substitusjon og ødeleggelse av informasjon i kommunikasjonskanaler.

Organisatoriske og juridiske trusler inkluderer:

- anskaffelse av ufullkomne eller utdaterte informasjonsteknologier og informasjonsmidler;

- brudd på lovkrav og forsinkelser i å fatte nødvendige reguleringsvedtak på informasjonsområdet.

Etter å ha identifisert informasjon som utgjør en kommersiell hemmelighet og bestemt kildene som besitter, eier eller inneholder denne informasjonen, identifiseres metodene for uautorisert tilgang til denne informasjonen ved å velge fra det gitte settet av hovedmetodene for uautorisert tilgang til kilder med konfidensiell informasjon.

Følgende mulige kanaler for lekkasje av konfidensiell informasjon kan identifiseres (figur 3):

uautorisert kopiering av konfidensiell informasjon til eksterne medier og ta den ut av virksomhetens kontrollerte territorium. Eksempler på slike medier er disketter, CD-ROM-er, Flash-disker osv.;

skrive ut konfidensiell informasjon og ta ut trykte dokumenter utenfor det kontrollerte området.

Det skal bemerkes at i dette tilfellet kan både lokale skrivere, som er direkte koblet til angriperens datamaskin, og eksterne skrivere, som samhandling utføres med over nettverket, brukes;

uautorisert overføring av konfidensiell informasjon over nettverket til eksterne servere som befinner seg utenfor virksomhetens kontrollerte territorium. En angriper kan for eksempel overføre konfidensiell informasjon til eksterne e-post- eller filservere på intranettet. Samtidig, for å maskere handlingene sine, kan lovbryteren forhåndskryptere den sendte informasjonen eller overføre den under dekke av standard grafiske filer.

Informasjonsrisiko er den snevreste definisjonen - dette er risikoen for tap, uautorisert endring av informasjon på grunn av svikt i funksjonen til informasjonssystemene eller deres feil, som fører til tap. Informasjonssikkerhet er sikkerheten til informasjonsmiljøet. Informasjonsbeskyttelse er en aktivitet for å forhindre lekkasje av beskyttet informasjon, uautorisert og utilsiktet påvirkning på beskyttet informasjon, det vil si en prosess som tar sikte på å oppnå denne tilstanden.

Informasjonssikkerheten til virksomheten i strømforsyningsavstanden vil bli sikret dersom minimal informasjonsrisiko er sikret. Informasjon til bruk i daglige aktiviteter, mangel på objektiv informasjon (inkludert konfidensiell) fra ledelsen i virksomheten, nødvendig for å ta riktig beslutning, samt spredning av informasjon fra noen i det ytre miljø som er ugunstig eller farlig for virksomheten til virksomheten.

For å løse dette problemet fra et synspunkt av en systematisk tilnærming, er det tilrådelig å utvikle og implementere et system for å minimere informasjonsrisiko i bedriften, som er et sammenkoblet sett med organer, midler, metoder og tiltak som minimerer risikoen for lekkasje. og ødeleggelse av informasjon som er nødvendig for driften av virksomheten. De viktigste informasjonsrisikoene til enhver bedrift er:

risikoen for lekkasje og ødeleggelse av informasjon som er nødvendig for driften av virksomheten;

risikoen ved å bruke partisk informasjon i selskapets aktiviteter;

risikoen for at ledelsen i foretaket ikke har nødvendig (inkludert konfidensiell) informasjon for å ta den riktige avgjørelsen;

risikoen for å spre informasjon fra noen i det ytre miljø som er ugunstig eller farlig for virksomheten.

Hovedoppgavene som løses av inforer:

identifikasjon av informasjon som skal beskyttes;

identifikasjon av kilder som besitter, eier eller inneholder denne informasjonen;

identifisere måter for uautorisert tilgang til denne informasjonen;

utvikling og implementering av organisatoriske og tekniske tiltak for å beskytte konfidensiell informasjon.

Informasjonen til strømforsyningsavstandsbedriften kan være av følgende fire viktige nivåer:

ubetydelig, det vil si informasjon hvis lekkasje eller ødeleggelse ikke skader foretaket og ikke påvirker prosessen med dets funksjon.

Risikoen for lekkasje og ødeleggelse av informasjon som er nødvendig for driften av virksomheten medfører følgende konsekvenser:

· Konfidensiell informasjon, hvis overføring eller lekkasje til uautoriserte personer vil medføre skade på selskapet, dets personell;

· Kritisk informasjon, hvis fravær eller skade vil gjøre det umulig for det daglige arbeidet til personell og hele virksomheten som helhet.

Det er klart at informasjonen til de tre første viktige nivåene bør beskyttes, mens graden av beskyttelse generelt sett bør bestemmes av informasjonens viktighetsnivå. Dette skyldes hovedsakelig det faktum at beskyttelsesgraden er direkte relatert til kostnadene ved implementeringen; derfor er det økonomisk upraktisk, i det generelle tilfellet, å beskytte informasjon med dyre beskyttelsesmidler hvis dens lekkasje eller ødeleggelse fører til ubetydelig skader.

Informasjonen på de tre første nivåene refererer som regel til en kommersiell hemmelighet og bestemmes av lederen av foretaket i samsvar med dekretet fra regjeringen i Den russiske føderasjonen datert 05.12.1991 nr. 35 "På listen over informasjon som ikke kan utgjøre en kommersiell hemmelighet".

Prosedyren for å identifisere informasjon som utgjør en kommersiell hemmelighet, og bestemme kildene som besitter, besitter eller inneholder denne informasjonen, bør være som følger.

Etter ordre fra foretaket er avdelingslederne pålagt plikten til å utføre arbeid for å fastslå spesifikk informasjon som utgjør en kommersiell hemmelighet i deres arbeidsområder, personene som har adgang til denne informasjonen, samt bærerne av denne informasjonen.

Resultatet av dette arbeidet bør være "Liste over informasjon som utgjør en kommersiell hemmelighet for foretaket" godkjent av lederen av foretaket, som indikerer slik informasjon for hver av de strukturelle divisjonene; personer som er bærere av denne informasjonen; dokumenter som inneholder denne informasjonen, samt andre (tekniske) bærere av denne informasjonen, hvis noen.

1.3 Grunnleggende bestemmelser i informasjonssikkerhetssystemet

Analyse av tingenes tilstand innen informasjonsfeltet viser at det allerede er utviklet et godt utformet konsept og beskyttelsesstruktur, hvis grunnlag er:

et høyt utviklet arsenal av tekniske midler for informasjonsbeskyttelse produsert på industriell basis;

et betydelig antall firmaer som spesialiserer seg på informasjonssikkerhetsspørsmål;

et ganske veldefinert system av synspunkter på dette problemet;

betydelig praktisk erfaring.

Og likevel, som det fremgår av innenlandsk og utenlandsk presse, reduseres ikke ondsinnede handlinger på informasjon bare, men har også en ganske jevn oppadgående trend. Erfaring viser at for å bekjempe denne tendensen er det nødvendig:

1. Slank og målrettet organisering av prosessen med å beskytte informasjonsressurser. Dessuten bør fagspesialister, administrasjon, ansatte og brukere delta aktivt i dette, noe som avgjør den økte betydningen av den organisatoriske siden av saken. I tillegg kan det ikke være en engangshandling å sikre informasjonssikkerhet. Dette er en kontinuerlig prosess, som består i å underbygge og implementere de mest rasjonelle metodene, metodene og måtene for å forbedre og utvikle beskyttelsessystemet, kontinuerlig overvåking av dets tilstand, identifisere dets flaskehalser og svakheter og ulovlige handlinger;

2. Informasjonssikkerhet kan kun sikres med integrert bruk av hele arsenalet av tilgjengelige beskyttelsesmidler i alle strukturelle elementer i produksjonssystemet og i alle stadier av den teknologiske syklusen av informasjonsbehandling. Størst effekt oppnås når alle verktøyene, metodene og tiltakene som brukes, kombineres til en enkelt integrert mekanisme, et informasjonssikkerhetssystem (ISS). Samtidig bør funksjonen til systemet overvåkes, oppdateres og suppleres avhengig av endringer i eksterne og interne forhold.

Derfor er det mulig å forestille seg som et organisatorisk sett av spesielle organer, midler, metoder og tiltak som sikrer beskyttelse av informasjon mot interne og eksterne trusler.

Figur 4. Modell for å bygge etstem

Ut fra synspunktet om en systematisk tilnærming til informasjonsbeskyttelse, stilles det visse krav. Informasjonsbeskyttelse bør være:

1. Kontinuerlig. Dette kravet stammer fra det faktum at angripere kun leter etter en mulighet til å omgå beskyttelsen av informasjonen de er interessert i.

2. Planlagt. Planlegging utføres ved å utvikle hver tjeneste med detaljerte planer for beskyttelse av informasjon i sitt kompetanseområde, under hensyntagen til bedriftens (organisasjonens) overordnede mål.

3. Fokusert. Beskyttet er det som skal beskyttes av hensyn til et bestemt mål, ikke alt.

4. Spesifikt. Spesifikke data er underlagt beskyttelse, objektivt sett underlagt beskyttelse, hvis tap kan forårsake viss skade på organisasjonen.

5. Aktiv. Det er nødvendig å beskytte informasjon med tilstrekkelig grad av persistens.

6. Pålitelig. Metoder og former for beskyttelse bør på en pålitelig måte blokkere mulige veier for kontinuerlig tilgang til beskyttede hemmeligheter, uavhengig av presentasjonsform, uttrykksspråk og type fysisk medium de er knyttet til.

7. Universell. Det antas at den, avhengig av typen lekkasjekanal eller metoden for uautorisert tilgang, må blokkeres, uansett hvor den viser seg, med rimelige og tilstrekkelige midler, uavhengig av informasjonens art, form og type.

8. Integrert. For å beskytte informasjon i alle de ulike strukturelle elementene, må alle typer og former for beskyttelse brukes fullt ut. Det er ikke tillatt å bruke bare visse former eller tekniske midler.

Beskyttelsens komplekse natur stammer fra det faktum at beskyttelse er et spesifikt fenomen, som er et komplekst system av uløselig sammenkoblede prosesser, som hver på sin side har mange forskjellige gjensidig betingende sider, egenskaper, tendenser.

For å sikre oppfyllelsen av slike mangefasetterte sikkerhetskrav, må oppfylle visse betingelser:

dekke hele det teknologiske komplekset av informasjonsaktiviteter; være variert i virkemidlene som brukes,

multilevel med en hierarkisk tilgangssekvens; være åpen for endringer og tillegg til informasjonssikkerhetstiltak;

være ikke-standard, mangfoldig, når du velger beskyttelsesmidler, kan man ikke stole på uvitenhet fra angripere om dens evner;

være enkel å vedlikeholde og enkel å betjene av brukere;

for å være pålitelig, er eventuelle sammenbrudd av tekniske midler årsaken til fremveksten av ukontrollerte kanaler for informasjonslekkasje;

være kompleks, ha integritet, noe som betyr at ingen del av den kan fjernes uten skade på hele systemet.

Det stilles visse krav til informasjonssikkerhetssystemet:

klarheten i definisjonen av brukerens fullmakter og rettigheter til å få tilgang til viss informasjon;

gi brukeren den minste autoriteten som er nødvendig for at han skal kunne utføre det tildelte arbeidet;

minimere antallet felles beskyttelsesmidler for flere brukere;

registrering av saker og forsøk på uautorisert tilgang til konfidensiell informasjon;

sikre en vurdering av graden av konfidensialitet av informasjon;

sikre kontroll over integriteten til verneutstyr og umiddelbar respons på feil.

Et informasjonsbeskyttelsessystem, som ethvert system, må ha visse typer egen støtte, avhengig av hvilken det vil utføre sin målfunksjon. Med dette i tankene kan ha:

1. Juridisk støtte. Dette inkluderer normative dokumenter, forskrifter, instruksjoner, retningslinjer, hvis krav er obligatoriske i normene for deres omfang.

2. Organisasjonsstøtte. Det betyr at implementeringen av informasjonsbeskyttelse utføres av visse strukturelle enheter – for eksempel en dokumentbeskyttelsestjeneste; tjeneste for regimet, opptak og beskyttelse; informasjonssikkerhetstjeneste med tekniske midler; service av informasjon og analytiske aktiviteter og andre.

3. Maskinvare. Det forutsettes at tekniske virkemidler vil bli mye brukt, både for å beskytte informasjon og for å sikre driften av.

4. Informasjonsstøtte. Det inkluderer informasjon, data, indikatorer, parametere som ligger til grunn for løsningen av problemer som sikrer at systemet fungerer. Dette kan omfatte både indikatorer for tilgang, regnskap, lagring og informasjonsstøttesystemer for beregningsoppgaver av ulik karakter knyttet til informasjonsstøttetjenestens virksomhet.

5. Programvare. Den inkluderer ulike informasjons-, regnskaps-, statistikk- og beregningsprogrammer som gir en vurdering av tilstedeværelsen og faren for ulike lekkasjekanaler og måter for uautorisert adgang til kilder til konfidensiell informasjon;

6. Matematisk programvare. Det innebærer bruk av matematiske metoder for ulike beregninger knyttet til vurdering av faren for tekniske midler til angripere, soner og standarder for nødvendig beskyttelse.

7. Språklig støtte. Et sett med spesielle språklige kommunikasjonsmidler mellom spesialister og brukere innen informasjonssikkerhet.

8. Regulatorisk og metodisk støtte. Dette inkluderer normer og forskrifter for virksomheten til organer, tjenester, midler som implementerer funksjonene til informasjonsbeskyttelse, ulike typer teknikker som sikrer brukernes aktiviteter når de utfører sitt arbeid under forhold med strenge krav til beskyttelse av informasjon.

Bare et sikkerhetssystem kan tilfredsstille moderne krav for å sikre driften av en virksomhet og beskytte dens konfidensielle informasjon. Under sikkerhetssystemet mener vi den organisatoriske helheten av spesielle organer, tjenester, midler, metoder og tiltak som sikrer beskyttelse av individets, virksomhetens og statens vitale interesser mot interne og eksterne trusler.

Som ethvert system har informasjonssikkerhetssystemet sine egne mål, mål, metoder og virkemidler, som koordineres på plass og tid avhengig av forhold.

Ved å forstå informasjonssikkerhet som "tilstanden for beskyttelse av samfunnets informasjonsmiljø, som sikrer dannelse, bruk og utvikling i interessene til borgere, organisasjoner", er det legitimt å fastslå trusler mot informasjonssikkerhet, kilder til disse truslene, måter å implementering og mål, samt andre forhold og handlinger som bryter sikkerheten ... Samtidig er det naturlig nok nødvendig å vurdere tiltak for å beskytte informasjon mot ulovlige handlinger som fører til skade.

Praksis viser at for analysen av et så betydelig sett med kilder, objekter og handlinger, er det tilrådelig å bruke modelleringsmetoder der en slags "erstatning" av virkelige situasjoner dannes. Det bør huskes at modellen ikke kopierer originalen, det er enklere. Modellen bør være generell nok til å beskrive handlinger i den virkelige verden i forhold til deres kompleksitet.

konklusjoner: Som det fremgår av utenlandsk og innenlandsk erfaring, til tross for den stadig mer utbredte introduksjonen av ny informasjonsteknologi i virksomhetens praksis, er hovedkilden til informasjonslekkasje de ansatte i disse foretakene.

Derfor, i forhold til en slik situasjon, er det nødvendig å forstå at det er praktisk talt umulig å skape forhold ved virksomheten som fullstendig utelukker uautorisert tilgang til denne kilden med begrenset tilgangsinformasjon, det er bare mulig å redusere sin rolle betydelig blant andre kilder av konfidensiell informasjon lekkasje.

Følgelig er trusler mot informasjon med begrenset tilgang alltid reelle, svært mangfoldige og skaper forutsetninger for tap av informasjon.

Ifølge Computer Defense Institute (CSI) og FBI er over 50 % av inntrengningene arbeidet til bedriftenes egne ansatte. Når det gjelder hyppigheten av inntrenging, anga 21 % av de spurte at de hadde opplevd gjentakelser av «angrep». Uautorisert endring av data var den vanligste formen for angrep og ble hovedsakelig brukt mot medisinske og finansielle institusjoner. Over 50 % av respondentene ser på konkurrenter som en sannsynlig kilde til "angrep". Respondentene legger størst vekt på fakta om avlytting, penetrering i informasjonssystemer og «angrep» der «angripere» forfalsker returadressen for å omdirigere søk til uinvolverte personer. Disse angriperne er oftest harme ansatte og konkurrenter.

Analyse av informasjonsrisiko viser at de er knyttet til konfidensiell informasjon.

Noen av de dårlig vurderte årsakene, for eksempel personlig fiendskap mot foretakets leder, forverring av kommersielle bånd mellom foretak, kan føre til opptreden i media av ulønnsom og i noen tilfeller farlig informasjon for foretaket. Derfor, for å eliminere eller i det minste redusere risikoen for å spre denne informasjonen fra konkurrerende virksomheters side, er det nødvendig å proaktivt spre noe sann informasjon, og i noen tilfeller desinformasjon.

Til tross for utdypingen av emnet, er det alltid mange spørsmål i prosessen med å forbedreet. Formålet med å bygge en risikoanalyseprosess er ikke bare å identifisere dem, vurdere konsekvensene av deres mulige implementering, sikre behandlingen av dem og deretter systematisk gjennomføre ytterligere effektiv overvåking. Men også for å sikre standardisering av tilnærmingen til risiko i alle aspekter av selskapet, praktisk og rask oppnåelse av et helhetlig bilde av situasjonen med informasjonsrisikoer i selskapet i enhver periode av virksomheten. Og også i å øke konkurranseattraksjonen til selskapet gjennom en rask og adekvat respons på alle nye trusler, for å øke tilliten i selskapet selv mellom virksomhet og sikkerhet.

2. Organisering av beskyttelse av bedriftsinformasjonssystemet Strømforsyningsavstander basert på standardløsninger

2.1 Gjenstander og beskyttelsesobjekter

For strømforsyningsavstanden er ressursene som er viktige for livet og derfor beskyttet:

1) personer (personell i bedriften);

2) eiendom: dokumentasjon, materielle og økonomiske verdier, prøver av ferdige produkter, åndsverk (kunnskap), datateknologi og andre;

3) Informasjon: på materielle medier, samt sirkulering i interne kommunikasjonskanaler for kommunikasjon og informasjon, på kontorene til selskapets ledelse, på møter og møter;

4) Finansielle og økonomiske ressurser som sikrer effektiv og bærekraftig utvikling av virksomheten (kommersielle interesser, forretningsplaner, kontraktsdokumenter og forpliktelser, etc.).

Verdisaker som skal beskyttes, for eksempel begrenset informasjon, bankhemmeligheter, personopplysninger, offisielle hemmeligheter, forretningshemmeligheter, statshemmeligheter, innsideinformasjon og annen informasjon, for hvilke det er etablert et regime med obligatorisk konfidensialitet og ansvar for avsløring.

Av verdi er også data som skapes eller brukes i bedriftens informasjonsnettverk, for eksempel vitenskapelig, teknisk og teknologisk informasjon knyttet til virksomheten til virksomheten.

En fullstendig liste over informasjon som utgjør en kommersiell hemmelighet opprettes av lederne for ini tillegg til de relevante reguleringslovene.

De "konfidensielle" kategoriene inkluderer informasjon som oppfyller følgende kriterier:

de er ikke generelt kjent eller lovlig offentlig tilgjengelig;

monopolbesittelse av denne informasjonen gir organisasjonen kommersielle fordeler, økonomiske og andre fordeler og avsløring eller åpen bruk av disse kan føre til skade (materiell, moralsk, fysisk) på organisasjonen, dens klienter eller korrespondenter (kommersiell hemmelighet).

Bankvirksomhethemmelig betyr informasjon om drift, kontoer og innskudd, bankopplysninger, samt opplysninger om kunder og korrespondenter til banken, som er underlagt obligatorisk beskyttelse.

Servicehemmelig betyr informasjon, tilgang til som er begrenset av statlige myndigheter og føderale lover og betyr informasjon som ikke er en bankhemmelighet og er underlagt obligatorisk beskyttelse i henhold til listen over informasjon med begrenset distribusjon.

Kommersiellhemmelig organisasjon betyr informasjon knyttet til vitenskapelig og teknisk, teknologisk, produksjonsmessig, finansiell og økonomisk eller annen informasjon som har faktisk eller potensiell kommersiell verdi på grunn av at den er ukjent for tredjeparter, som det ikke er fri tilgang til på lovlig grunnlag, og i forhold til hvilke eieren av slik informasjon har gått inn i et forretningshemmelighetsregime. Avsløring (overføring, lekkasje, åpen bruk) som kan føre til skade på organisasjonen, staten, dens kunder eller korrespondenter, motparter til russiske jernbaner.

Personligdata betyr informasjon om fakta, hendelser og omstendigheter i privatlivet til borgere, som gjør det mulig å identifisere deres identitet.

Stathemmelig- i henhold til definisjonen vedtatt i russisk lovgivning, informasjon beskyttet av staten innen dens militære, utenrikspolitikk, økonomiske, etterretningsmessige, kontraintelligens, operasjonelle søk og andre aktiviteter, hvis spredning kan skade statens sikkerhet.

Insiderinformasjon- (engelsk innsideinformasjon) - betydelig offentlig ikke avslørt intern informasjon om selskapet, som, hvis det avsløres, kan påvirke markedsverdien av selskapets verdipapirer. Disse inkluderer: informasjon om den forestående endringen av ledelsen og en ny strategi, om forberedelser til utgivelsen av et nytt produkt og introduksjonen av ny teknologi, om vellykkede forhandlinger om en fusjon eller et pågående kjøp av en kontrollerende eierandel; materiale fra regnskap, prognoser som indikerer vanskelighetene til selskapet; informasjon om anbudsforslaget (på auksjonen) før det offentliggjøres mv.

Informasjonbegrensetadgang er informasjon av verdi for eieren, og tilgangen til denne er juridisk begrenset. På sin side er informasjon med begrenset tilgang delt inn i informasjon som utgjør en statshemmelighet og informasjon, hvis overholdelse av konfidensialiteten er fastsatt av føderal lov (konfidensiell informasjon).

Lovligoghenvisninginformasjon, forretningskorrespondanse, overføring av regnskapsinformasjon mellom brukerarbeidsstasjoner og databaseserveren innenfor de automatiserte SAP R/3-systemene for finansiell, økonomisk og teknisk avdeling.

Bedriftsinformasjon kan være av følgende fire viktige nivåer:

livsviktig, det vil si informasjon, hvis lekkasje eller ødeleggelse setter selve eksistensen av foretaket i fare;

viktig, det vil si informasjon, hvis lekkasje eller ødeleggelse fører til høye kostnader;

nyttig, det vil si informasjon hvis lekkasje eller ødeleggelse forårsaker noen skade, men bedriften kan fungere ganske effektivt selv etter det;

ubetydelig, det vil si informasjon hvis lekkasje eller ødeleggelse ikke skader foretaket og ikke påvirker prosessen med dets funksjon.

2.2 Organisatoriske tiltak i informasjonssikkerhetssystemet

Organisatoriske og juridiske dokumenter og metoder regulerer hele den teknologiske arbeidssyklusen til russiske jernbaner, fra metodikken for å velge personell og ansette dem, for eksempel på kontraktsbasis, til bestemmelser om det funksjonelle ansvaret til enhver ansatt. Hver bedriftsinstruks eller forskrift bør direkte eller indirekte adressere sikkerhetsspørsmål og påvirke ytelsen og effektiviteten til beskyttelsessystemet.

Ulike typer dokumenter er en viktig kilde til lekkasje av konfidensiell informasjon. Her er det nødvendig å ta hensyn til at den ganske raske utviklingen av informasjonsteknologi har ført til fremveksten av nye typer medier for dokumentarinformasjon: datamaskinutskrifter, medier og lignende. Samtidig reduseres viktigheten av tradisjonelle typer papirdokumenter: kontrakter, brev, analytiske vurderinger praktisk talt ikke.

Fremveksten av nye bærere av dokumentarinformasjon har ikke bare ført til fremveksten av nye vanskeligheter med å løse problemet med å sikre beskyttelse av informasjon mot uautorisert tilgang til innholdet, men også nye muligheter for å sikre garantert beskyttelse av denne informasjonen. Vi snakker her for det første om å lagre spesielt viktig dokumentarinformasjon på media i en form transformert ved hjelp av kryptografiske transformasjoner.

Innenfor rammen av disse tiltakene er det utviklet og implementert organisatoriske og administrative dokumenter ved Strømforsyningsdistribusjonen som definerer en liste over konfidensielle informasjonsressurser, samt en liste over hvilke tiltak som må iverksettes for å motvirke.

Organisasjonsdokumenter er informasjonssikkerhetspolicy, stillingsbeskrivelser av bedriftens ansatte, forskrifter for arbeid på en personlig datamaskin.

For dette formål er følgende organisatoriske oppgaver løst ved Russian Railways:

Det er opprettet et rettslig grunnlag for å sikre beskyttelse av informasjon ved å implementere:

- å gjøre endringer i foretakets charter, som gir rett til ledelsen av foretaket: å utstede normative og administrative dokumenter som styrer prosedyren for å fastslå informasjon som utgjør en kommersiell hemmelighet og mekanismer for beskyttelse av den;

- tillegg til "tariffavtalen" med bestemmelser som fastsetter ansvaret til administrasjonen og ansatte i bedriften knyttet til utvikling og implementering av tiltak for å identifisere og beskytte kommersielle hemmeligheter;

- å supplere "Arbeidskontrakten" med krav til beskyttelse av kommersielle hemmeligheter og interne forskrifter, inkludert krav til beskyttelse av kommersielle hemmeligheter;

- instruere innleide om reglene for bevaring av forretningshemmeligheter med gjennomføring av en skriftlig taushetsplikt.

- bringe overtredere av kravene til beskyttelse av kommersielle hemmeligheter til administrativt eller strafferettslig ansvar i samsvar med gjeldende lovgivning.

- inkludere krav til beskyttelse av forretningshemmeligheter i kontrakter for alle typer økonomisk virksomhet;

- å kreve beskyttelse av foretakets interesser overfor staten og rettsmyndighetene;

- å disponere informasjon som er virksomhetens eiendom for å oppnå fordeler og forhindre økonomisk skade på virksomheten;

- opplæring av ansatte i reglene for beskyttelse av informasjon med begrenset tilgang;

- nøye utvalg av ansatte til å jobbe i kontorarbeidssystemet;

- opprettelse av gunstige interne forhold ved bedriften for bevaring av kommersielle hemmeligheter;

- å identifisere og stabilisere personalomsetning, vanskelig psykologisk klima i teamet;

- sikre vurderingen av graden av konfidensialitet av informasjon;

- suspensjon fra arbeid relatert til kommersielle hemmeligheter til personer som bryter de etablerte kravene for beskyttelse;

- kommunisere til hver ansatt i bedriften "listen over informasjon som utgjør en kommersiell hemmelighet for bedriften";

- å sikre pålitelig lagring av dokumenter og deres rettidig destruksjon, samt kontrollere tilgjengeligheten av dokumenter og overvåke aktualiteten og korrektheten av deres utførelse;

- utkast og versjoner av dokumenter destrueres personlig av entreprenøren, som bærer personlig ansvar for deres ødeleggelse. Destruksjon utføres på standard papirskjæremaskiner, eller på andre måter som utelukker muligheten for lesing.

- lagring av konfidensiell informasjon på media og i minnet til en personlig elektronisk datamaskin i konvertert form ved bruk av kryptografiske transformasjoner.

Derfor, for å utelukke uautorisert tilgang til denne informasjonskilden, brukes både tradisjonelle og ikke-tradisjonelle metoder, nemlig:

· Implementering av beskyttelse av territoriet, lokaler og kontorer, samt effektiv innkommende kontroll over tilgang til dem;

· Innføring av en oversiktlig organisering av kontorarbeidssystemet.

Informasjon som utgjør en kommersiell hemmelighet inkluderer:

- informasjon om finansielle og økonomiske aktiviteter;

- informasjon om drifts- og produksjonsaktiviteter;

- informasjon om ledelsesaktiviteter;

- informasjon om personalaktiviteter;

- informasjon om kontroll- og revisjonsaktiviteter;

- informasjon om signalering og kommunikasjon, elektrifisering, energi;

- informasjon om kontraktsarbeid;

- informasjon om resultatene av deres egen forskning;

- informasjon om medisinske aktiviteter;

- Informasjon om beskyttelse av informasjon og fasiliteter til russiske jernbaner.

Sørge for at organisasjonens datamaskiner og telekommunikasjonsressurser brukes etter hensikten av dens ansatte, uavhengige kontraktører. Alle databrukere har et ansvar for å bruke dataressurser på en profesjonell, effektiv, etisk og lovlig måte. Brudd på bedriftens sikkerhetspolicy innebærer disiplinære handlinger, opp til og inkludert oppsigelse og/eller straffesak.

Sikkerhetspolitikk er ikke bare en regel som alle forstår uansett. Det presenteres i form av et seriøst trykt dokument. Og for å stadig minne brukerne om viktigheten av sikkerhet, oppbevares kopier av dette dokumentet av hver ansatt slik at disse reglene alltid er foran øynene deres på skrivebordet.

Bedriftens sikkerhetspolicy

· Fri tilgang til informasjon som utgjør bankens bank-, kommersielle og offisielle hemmeligheter er stengt for å beskytte konfidensiell informasjon og fysisk beskyttelse av dens operatører.

Organisasjonen, som eier (eier) av informasjon, iverksetter tiltak for å beskytte bankhemmeligheter, personopplysninger, offisielle hemmeligheter, dens forretningshemmeligheter og annen informasjon i samsvar med rettighetene og forpliktelsene gitt til den av gjeldende lovgivning.

Lignende dokumenter

Analyse av selskapets handels- og personalstyringssystem, regnskap, sikkerhetsnivået til bedriftens informasjonssystem for personopplysninger. Utvikling av et delsystem av tekniske tiltak for beskyttelse av ruting, svitsjing og brannmur ISPDn.

semesteroppgave, lagt til 07.08.2014


Analyse av objektet for informatisering. Informasjonssikkerhetspolicy. Undersystemer for teknisk beskyttelse av informasjon: tilgangskontroll, videoovervåking, sikkerhet og brannalarm, beskyttelse mot lekkasje gjennom tekniske kanaler, beskyttelse av bedriftsnettverket.

presentasjon lagt til 30.01.2012


Analyse av modellen for informasjons- og telekommunikasjonssystemet til bedriften. Typer informasjonssikkerhetstrusler. Mål og mål for informasjonsbeskyttelse ved virksomheten. Utvikling av kontrollprosedyrer for styringssystemet for informasjonssikkerhet i bedriftsnettverket.

avhandling, lagt til 30.06.2011


Analyse av sikkerheten til bedriftsnettverk basert på ATM, arkitekturen til beskyttelsesobjekter i teknologi. En modell for å bygge etstem. Metodikk for vurdering av økonomisk effektivitet ved bruk av systemet. Metoder for å redusere risikoen for tap av data.

avhandling, lagt til 29.06.2012


Analytisk oversikt over bedriftsnettverket. Analyse av eksisterende nettverk, informasjonsflyt. Krav til administrasjonssystem og merking av LAN-elementer. Utvikling av systembeskyttelse mot uautorisert tilgang. Instruksjoner for systemadministrator.

avhandling, lagt til 19.01.2017


Konseptet med antivirusbeskyttelse av informasjonsinfrastruktur, typer mulige trusler. Kjennetegn på programvaren som brukes i PJSC "ROSBANK". Midler for å beskytte bankens informasjonsressurser mot trusler om brudd på integritet eller konfidensialitet.

semesteroppgave lagt til 24.04.2017


Utvikling av et høyhastighets bedriftsinformasjonsnettverk basert på Ethernet-linjer med et mobilt handelssegment for Monarch LLC. Tiltak for installasjon og drift av utstyr. Beregning av tekniske og økonomiske indikatorer for prosjektet.

semesteroppgave, lagt til 10.11.2011


Strukturen til bedriftens informasjonssystem i organisasjonen. Utvikling av adresserom og DNS-system. CIS-domenestruktur. Valg av maskinvare- og programvarekonfigurasjon av arbeidsstasjoner og serverutstyr. Konfigurere typiske tjenester.

semesteroppgave, lagt til 29.07.2013


Fysisk medium for dataoverføring i lokale nettverk. Bedriftsinformasjonsnettverk. Telekommunikasjonsutstyr og bedriftsdatamaskiner. Utvikling av et bedriftsinformasjonsnettverk basert på analyse av moderne informasjonsteknologi.

avhandling, lagt til 06.07.2015


Relevans av informasjonssikkerhetsspørsmål. Programvare og maskinvare til Mineral LLC-nettverket. Bygge en modell for bedriftssikkerhet og beskyttelse mot uautorisert tilgang. Tekniske løsninger for beskyttelse av informasjonssystemet.