Proprietăți de securitate a informațiilor. Securitatea informațiilor și protecția informațiilor în cuvinte simple

Securitatea unui server virtual poate fi considerată doar direct ca „Securitatea informațiilor”. Mulți au auzit această frază, dar nu toată lumea înțelege ce este?

« Securitatea informațiilor» este procesul de asigurare disponibilitatea, integritatea și confidențialitatea informațiilor.

Sub "disponibilitate" se înțelege în consecință că oferă acces la informații. "Integritate"- asigurarea fiabilității și exhaustivității informațiilor. "Confidentialitate" presupune asigurarea accesului la informatii doar pentru utilizatorii autorizati.

Pe baza obiectivelor și sarcinilor dvs. efectuate pe serverul virtual, pentru fiecare dintre aceste trei puncte vor fi necesare diverse măsuri și grade de protecție.

De exemplu, dacă utilizați un server virtual doar ca mijloc de navigare pe Internet, atunci de la fondurile necesare pentru asigurarea securității, în primul rând, va exista utilizarea instrumentelor de protecție antivirus, precum și conformitatea reguli elementare siguranța atunci când lucrați pe internet.

În alt caz, dacă aveți un site de vânzare găzduit pe serverul dvs. sau server de joc, apoi masurile necesare apărările vor fi complet diferite.

Cunoştinţe posibile amenințări, precum și vulnerabilitățile de securitate pe care aceste amenințări le exploatează de obicei, este necesar pentru a alege cele mai optime măsuri de securitate în acest scop, vom avea în vedere punctele principale;

Sub "Amenințare" este înțeleasă posibilitatea potențială de încălcare a securității informațiilor într-un fel sau altul. Este apelată o încercare de a implementa o amenințare "atac", iar cel care implementează această încercare este numit "raucios". Cel mai adesea, amenințarea este o consecință a prezenței vulnerabilităților de securitate sisteme de informare.

Să ne uităm la cele mai comune amenințări la care sunt expuse sistemele informaționale moderne.

Amenințările la securitatea informațiilor care cauzează cele mai multe daune

Să luăm în considerare mai jos clasificarea tipurilor de amenințări în funcție de diferite criterii:
  1. Amenințare directă la adresa securității informațiilor:
    • Disponibilitate
    • Integritate
    • Confidențialitate
  2. Componente vizate de amenințări:
    • Date
    • Programe
    • Echipamente
    • Sprijinirea infrastructurii
  3. După metoda de implementare:
    • Accidental sau intenționat
    • Natural sau artificial
  4. Pe baza locației sursei amenințării, există:
    • Intern
    • Extern
După cum am menționat la început, conceptul de „amenințare” în situatii diferite interpretat adesea diferit. Iar măsurile de securitate necesare vor varia. De exemplu, pentru o organizație deschisă în mod deliberat, amenințările la adresa confidențialității pot pur și simplu să nu existe - toate informațiile sunt considerate publice, dar în majoritatea cazurilor accesul ilegal este un pericol grav.

Aplicabile serverelor virtuale, amenințările pe care dumneavoastră, în calitate de administrator de server, trebuie să le luați în considerare sunt amenințările la adresa disponibilității, confidențialității și integrității datelor. Aveți responsabilitatea directă și independentă pentru posibilitatea amenințărilor care vizează confidențialitatea și integritatea datelor care nu au legătură cu componentele hardware sau ale infrastructurii. Inclusiv aplicarea măsurilor de protecție necesare, aceasta este sarcina dumneavoastră imediată.

Adesea, ca utilizator, nu veți putea influența amenințările care vizează vulnerabilitățile programelor pe care le utilizați decât prin neutilizarea acestor programe. Utilizarea acestor programe este permisă numai dacă implementarea amenințărilor folosind vulnerabilitățile acestor programe fie nu este recomandabilă din punctul de vedere al atacatorului, fie nu are pierderi semnificative pentru dvs. ca utilizator.

Asigurarea măsurilor de securitate necesare împotriva amenințărilor care vizează echipamente, infrastructură sau amenințări de natură umană și naturală se ocupă direct de compania de hosting pe care ați ales-o și de la care vă închiriați serverele. În acest caz, este necesar să abordați alegerea cu cea mai mare atenție, o companie de găzduire aleasă corect vă va oferi fiabilitatea componentelor hardware și infrastructurii la nivelul corespunzător.

Dumneavoastră, în calitate de administrator al unui server virtual, trebuie să luați în considerare aceste tipuri de amenințări doar în cazurile în care chiar și o pierdere pe termen scurt a accesului sau o oprire parțială sau completă a performanței serverului din vina companiei de găzduire. poate duce la probleme sau pierderi incomensurabile. Acest lucru se întâmplă destul de rar, dar motive obiective nicio companie de hosting nu poate oferi 100% Uptime.

Amenințări direct la adresa securității informațiilor

Principalele amenințări la adresa accesibilității includ

  1. Defecțiunea sistemului informațional intern;
  2. Eșecul infrastructurii de sprijin.
Principalele surse de defecțiuni interne sunt:
  • Încălcare (accidentală sau intenționată) din regulile stabilite Operațiune
  • Ieșirea sistemului din modul normal de funcționare din cauza acțiunilor accidentale sau intenționate ale utilizatorilor (depășirea numărului estimat de solicitări, volumul excesiv de informații procesate etc.)
  • Erori la (re)configurarea sistemului
  • rău intenționat software
  • Eșecuri software și hardware
  • Distrugerea datelor
  • Distrugerea sau deteriorarea echipamentului
Se recomandă să luați în considerare următoarele amenințări în legătură cu infrastructura suport:
  • Întreruperea funcționării (accidentală sau intenționată) a sistemelor de comunicații, alimentării cu energie electrică, alimentării cu apă și/sau căldură, aer condiționat;
  • Distrugerea sau deteriorarea spațiilor;
  • Incapacitatea sau lipsa de voință a personalului de serviciu și/sau a utilizatorilor de a-și îndeplini atribuțiile (frăniri civile, accidente de transport, atac terorist sau amenințare cu acesta, grevă etc.).

Amenințări majore la integritate

Poate fi împărțit în amenințări la integritate statică și amenințări la integritate dinamică.

De asemenea, merită împărțit în amenințări la adresa integrității informațiilor despre servicii și a datelor de conținut. Informațiile de serviciu se referă la parolele de acces, la rutele de transfer de date către retea locala si informatii similare. Cel mai adesea și în aproape toate cazurile, atacatorul, conștient sau nu, se dovedește a fi un angajat al organizației care este familiarizat cu modul de operare și cu măsurile de securitate.

Pentru a încălca integritatea statică, un atacator poate:

  • Introduceți date incorecte
  • Pentru a schimba datele
Amenințările la adresa integrității dinamice includ reordonarea, furtul, duplicarea datelor sau introducerea de mesaje suplimentare.

Amenințări majore pentru confidențialitate

Informațiile confidențiale pot fi împărțite în informații despre subiect și despre servicii. Informațiile de serviciu (de exemplu, parolele utilizatorului) nu se aplică unui anumit domeniul subiectului, joacă un rol tehnic într-un sistem informațional, dar dezvăluirea acestuia este deosebit de periculoasă, deoarece este plină de acces neautorizat la toate informațiile, inclusiv la informațiile subiectului.

Chiar dacă informațiile sunt stocate pe un computer sau sunt destinate utilizarea calculatorului, amenințările la adresa confidențialității sale pot fi de natură non-informatică și, în general, netehnică.

Amenințările neplăcute împotriva cărora sunt greu de apărat includ abuzul de putere. Pe multe tipuri de sisteme, utilizatorul privilegiat (de exemplu Administrator de sistem) este capabil să citească orice fișier (necriptat), să acceseze e-mailul oricărui utilizator etc. Un alt exemplu este daunele cauzate în timpul întreținerii serviciului. De obicei, inginerul de service primește acces nerestricționat la echipament și are capacitatea de a ocoli mecanismele de protecție software.

Pentru claritate, aceste tipuri de amenințări sunt, de asemenea, prezentate schematic mai jos în Figura 1.


Orez. 1. Clasificarea tipurilor de amenințări la securitatea informațiilor

Pentru majoritatea aplicațiilor masuri optime pentru protecție, este necesar să se evalueze nu numai amenințările la adresa securității informațiilor, ci și posibilele daune în acest scop, se utilizează caracteristica de acceptabilitate, astfel, eventualele daune sunt determinate ca acceptabile sau inacceptabile; Pentru a face acest lucru, este util să stabiliți propriile criterii de admisibilitate a prejudiciului în bani sau în altă formă.

Oricine începe să organizeze securitatea informațiilor trebuie să răspundă la trei întrebări de bază:

  1. Ce să protejez?
  2. De cine să protejăm, ce tipuri de amenințări sunt predominante: externe sau interne?
  3. Cum să protejăm, prin ce metode și mijloace?
Luând în considerare toate cele de mai sus, puteți evalua cel mai complet relevanța, posibilitatea și criticitatea amenințărilor. După ce am evaluat toate informațiile necesare și am cântărit argumentele pro și contra. Puteți alege cel mai eficient și cele mai bune practiciși echipament de protecție.

Metode de bază și mijloace de protecție, precum și măsurile de securitate minime și necesare utilizate pe servere virtualeîn funcție de scopurile principale ale utilizării lor și de tipurile de amenințări, le vom lua în considerare în articolele următoare sub titlul „Elementele de bază ale securității informațiilor”.

O frază poate avea semnificații diferite în contexte diferite. În Doctrina Securității Informaționale a Federației Ruse, termenul „Securitatea informațiilor” folosit în sens larg. Aceasta se referă la starea de protecție a intereselor naționale în sfera informațională, determinată de totalitatea intereselor echilibrate ale individului, societății și statului.

În Legea Federației Ruse „Cu privire la participarea la activități internaționale schimb de informatii" (legea și-a pierdut vigoare; legea „Cu privire la informații, tehnologii informaționale și protecția informațiilor” este în prezent în vigoare) Securitatea informațiilor este definită în mod similar – ca stare de securitate mediul informațional societate, asigurând formarea, utilizarea și dezvoltarea acesteia în interesul cetățenilor, organizațiilor și statului.

În acest curs, atenția noastră se va concentra pe stocarea, procesarea și transmiterea informațiilor, indiferent de limba în care (rusă sau oricare alta) este codificată, cine sau care este sursa acesteia și ce impact psihologic are asupra oamenilor. Prin urmare termenul „Securitatea informațiilor” va fi folosit într-un sens restrâns, așa cum se obișnuiește, de exemplu, în literatura de limbă engleză.

Sub securitatea informatiei vom înțelege securitatea informațiilor de la impacturi accidentale sau intenționate de natură naturală sau artificială pe care le pot provoca daune inacceptabile subiecții relațiilor de informare, inclusiv proprietarii și utilizatorii de informații și infrastructura de sprijin. (Puțin mai departe vom explica ce ar trebui să se înțeleagă prin infrastructura de sprijin.)

Protejarea datelor este un ansamblu de măsuri care vizează asigurarea securității informațiilor.

Astfel, abordarea corectă metodologic a problemelor securitatea informatieiîncepe cu identificarea subiecte ale relaţiilor informaţionaleși interesele acestor entități legate de utilizarea sistemelor informaționale (SI). Amenințări securitatea informatiei- Acesta este dezavantajul utilizării tehnologiei informației.

Din această situație se pot trage două consecințe importante:

  1. Interpretarea problemelor asociate cu securitatea informatiei, Pentru diferite categorii subiectele pot varia semnificativ. Pentru ilustrare, este suficient să comparăm regimul organizatii de statși institute de învățământ. În primul caz, „este mai bine să se spargă totul decât să afle inamicul măcar un pic secret”, în al doilea, „nu avem secrete, atâta timp cât totul funcționează”.
  2. Securitatea informațiilor nu se limitează doar la protecția împotriva accesului neautorizat la informații, este un concept fundamental mai larg. Subiectul relaţiilor informaţionale poate suferi (a suferi pierderi și/sau daune morale) nu numai din cauza accesului neautorizat, ci și a unei defecțiuni a sistemului care provoacă o întrerupere a lucrului. Mai mult, pentru multe organizații deschise (de exemplu, cele educaționale), protecția efectivă împotriva accesului neautorizat la informații nu este pe primul loc ca importanță.

Revenind la problemele de terminologie, observăm că termenul „securitate informatică” (ca echivalent sau substitut al securității informațiilor) ni se pare prea îngust. Calculatoarele sunt doar una dintre componentele sistemelor informatice și, deși atenția noastră se va concentra în primul rând asupra informațiilor care sunt stocate, procesate și transmise cu ajutorul computerelor, securitatea acesteia este determinată de întregul set de componente și, în primul rând, de veriga cea mai slabă. , care este copleșitor în majoritatea cazurilor, se dovedește a fi o persoană (care, de exemplu, și-a notat parola pe o „ghips de muștar” lipită de monitor).

Conform definiției securității informațiilor, aceasta depinde nu numai de computere, ci și de infrastructura de sprijin, care include sisteme electrice, de alimentare cu apă și căldură, aparate de aer condiționat, comunicații și, bineînțeles, personal de întreținere. Această infrastructură are propria ei valoare, dar ne va interesa doar modul în care afectează îndeplinirea funcțiilor prescrise de sistemul informațional.

Vă rugăm să rețineți că în definiția securității informațiilor, substantivul „daune” este precedat de adjectivul „inacceptabil”. Evident, este imposibil să vă asigurați împotriva tuturor tipurilor de daune, cu atât mai puțin este imposibil să faceți acest lucru într-un mod fezabil din punct de vedere economic atunci când costul echipamentului și măsurilor de protecție nu depășește valoarea prejudiciului așteptat. Asta înseamnă că trebuie să suporti ceva și ar trebui să te aperi doar de ceea ce nu te poți împăca. Uneori, astfel de daune inacceptabile sunt daune aduse sănătății umane sau mediului, dar cel mai adesea pragul de inacceptabilitate are o expresie materială (monetară), iar scopul protecției informațiilor este reducerea cantității de daune la valori acceptabile.

Toată lumea a auzit măcar o dată fraze sfâșietoare despre nevoia de a sprijini nivel de calitate securitatea informatiei. Aceste povesti de groaza despre spargeri, pline de țipete și disperare. Consecințele teribile sunt discutate pe aproape fiecare site... Prin urmare, chiar acum ar trebui să umpleți computerul cu instrumente de securitate la capacitate maximă și, de asemenea, să tăiați firele... Există o mulțime de sfaturi despre securitate, dar din anumite motive sunt de nici un folos Nu prea iese. În multe privințe, motivul constă în lipsa de înțelegere a unor lucruri atât de simple, cum ar fi „ce protejăm”, „de cine protejăm” și „ce vrem să obținem ca rezultat”. Dar, pe primul loc.

Securitatea informațiilor Acest termen se referă la diverse măsuri, stare de conservare, tehnologie etc., dar totul este mult mai simplu. Și, prin urmare, mai întâi răspunde-ți la întrebarea, câți oameni din jurul tău au citit cel puțin definiția acestui concept și nu înseamnă doar compararea cuvintelor cu semnificațiile lor? Majoritatea oamenilor asociază securitatea cu antivirusuri, firewall-uri și alte programe de securitate. Desigur, aceste instrumente vă pot proteja computerul de amenințări și pot crește nivelul de securitate a sistemului, dar puțini oameni au idee ce fac de fapt aceste programe.

Când vă gândiți la securitatea informațiilor, ar trebui să începeți mai întâi cu următoarele întrebări::

  • Obiectul de protecție- trebuie să înțelegeți exact ce doriți să protejați. Acestea sunt date personale stocate pe computer (ca să nu ajungă la alte persoane), aceasta este performanța computerului (pentru ca virușii și troienii să nu aducă sistemul la nivelul primului Pentium), aceasta este activitatea de rețea(pentru ca programele înfometate de Internet să nu trimită statistici despre dvs. la fiecare jumătate de oră), aceasta este disponibilitatea computerului (astfel încât ecrane albastre moartea nu a umplut sistemul), asta...
  • Nivelul de securitate dorit. Un computer complet protejat este un computer care nu există. Indiferent cât de mult ai încerca, va exista întotdeauna posibilitatea ca computerul tău să fie spart. Vă rugăm să rețineți și să vă amintiți întotdeauna că există o astfel de direcție ca Inginerie sociala(obținerea parolelor din coșurile de gunoi, interceptarea cu urechea, spionajul etc.). Cu toate acestea, acesta nu este un motiv pentru a lăsa sistemul neprotejat. De exemplu, protejați-vă computerul de majoritatea virusuri cunoscute- aceasta este o sarcină complet fezabilă, pe care, de fapt, fiecare utilizator obișnuit o realizează instalând unul dintre antivirusurile populare pe computerul său.
  • Nivel acceptabil de consecințe. Dacă înțelegeți că computerul dvs. poate fi spart, de exemplu, de un hacker care este pur și simplu interesat de dvs. (se întâmplă că atacatorului i-a plăcut adresa dvs. IP), atunci ar trebui să vă gândiți la nivel acceptabil consecințe. Sistemul se defectează - neplăcut, dar nu înfricoșător, pentru că aveți un disc de recuperare la îndemână. Computerul dvs. accesează în mod constant site-uri obraznice - plăcute și neplăcute, dar tolerabile și reparabile. Dar, de exemplu, dacă dvs Fotografii personale despre care nimeni nu ar trebui să știe (o lovitură gravă pentru reputație), atunci acesta este deja un nivel semnificativ de consecințe și trebuie tratat măsuri preventive(ca să exagerăm, luați un computer vechi fără internet și uitați-vă la fotografii doar pe el).
  • Ce vrei să scoți din asta? Această întrebare are multe implicații - câți pași suplimentari va trebui să efectuați, ce va trebui să sacrificați, cum ar trebui să afecteze protecția performanței, dacă ar fi posibil să adăugați programe la listele de excepții, câte mesaje și alarme ar trebui să apară pe ecran (dacă există), precum și multe altele. Astăzi există destul de multe instrumente de securitate, dar fiecare dintre ele are propriile sale avantaje și dezavantaje. De exemplu, același UAC Windows în sistemul de operare sistem Vista nu a fost realizat într-un mod complet de succes, dar deja în Windows 7 a fost adus în punctul în care instrumentul de protecție a devenit relativ convenabil de utilizat.

După ce ați răspuns la toate aceste întrebări, vă va deveni mult mai ușor să înțelegeți cum veți organiza protecția informațiilor de pe computer. Desigur, aceasta nu este o listă completă de întrebări, cu toate acestea, un număr suficient de utilizatori obișnuiți nu pun nici măcar una dintre ele.

Instalarea și configurarea instrumentelor de securitate pe computer este doar o parte din măsurile luate. Deschizând link-uri suspecte și confirmând toate acțiunile aplicațiilor la fel de suspecte, puteți anula cu ușurință toate eforturile programelor de securitate. Din acest motiv, merită mereu să te gândești la acțiunile tale. De exemplu, dacă sarcina dvs. este să vă protejați browserul, dar nu puteți să nu deschideți linkuri suspecte (de exemplu, din cauza unor detalii), atunci puteți oricând să setați browser suplimentar, folosit exclusiv pentru deschiderea de linkuri suspecte sau o extensie pentru verificarea linkurilor scurte. În acest caz, dacă vreuna dintre ele se dovedește a fi phishing (furt de date, acces etc.), atunci atacatorul va realiza puțin.

Problema determinării unui set de acțiuni pentru protejarea informațiilor constă de obicei în lipsa răspunsurilor la întrebările din paragraful anterior. De exemplu, dacă nu știți sau nu înțelegeți ce anume doriți să protejați, atunci va fi întotdeauna dificil să veniți cu sau să găsiți măsuri de securitate suplimentare (cu excepția celor obișnuite, cum ar fi nedeschiderea de linkuri suspecte, nu vizitarea resurselor dubioase și altele). Să încercăm să luăm în considerare situația folosind exemplul sarcinii de protecție a datelor cu caracter personal, care este cel mai adesea plasată în fruntea obiectelor protejate.

Protecția informațiilor personale acesta este unul dintre sarcini dificile pe care oamenii le întâlnesc. Odată cu creșterea rapidă a numărului și conținutului rețelelor sociale, serviciilor de informare și specializate resurse online, ar fi o mare greșeală să presupunem că protejarea datelor dvs. personale se reduce la asigurarea unui nivel de securitate fiabil pentru computerul dvs. Nu cu mult timp în urmă, era aproape imposibil să afli ceva despre o persoană care locuiește la sute de kilometri distanță de tine, sau chiar într-o casă vecină, fără a avea legăturile corespunzătoare. Astăzi, aproape toată lumea poate afla o mulțime de informații personale despre toată lumea în literalmente câteva ore de clic pe mouse într-un browser, sau chiar mai repede. În același timp, toate acțiunile lui pot fi absolut legale, deoarece tu însuți ai postat informații despre tine în public.

Toată lumea a întâlnit un ecou al acestui efect. Ai auzit că cuvântul de test este Întrebare de securitate nu ar trebui să fie asociat cu tine și alții? Și aceasta este doar o mică parte. Oricât de mult acest lucru ar putea să nu vă surprindă, în multe privințe protecție Informații personale depinde doar de tine. Nicio măsură de securitate, chiar dacă nu permite nimănui altul decât dvs. să acceseze computerul, nu va putea proteja informațiile transmise în afara computerului (conversații, Internet, înregistrări etc.). Ți-ai lăsat e-mailurile undeva - așteaptă-te la o creștere a spam-ului. Ai lăsat fotografii cu tine însuți îmbrățișând un ursuleț de pluș pe resurse terță parte, așteaptă-te la „meșteșuguri” umoristice corespunzătoare de la autori plictisiți.

Ca să fiu puțin mai serios, deschiderea enormă a datelor de pe Internet și frivolitatea/deschiderea/frivolitatea ta, în ciuda tuturor măsurilor de securitate, le pot aduce pe acestea din urmă la nimic. Din acest motiv, este necesar să aveți grijă în alegerea metodelor de securitate a informațiilor și să includeți în acestea nu numai mijloace tehnice, ci și acțiuni care acoperă alte aspecte ale vieții.

Notă: Desigur, nu ar trebui să presupunem că un buncăr subteran este cel mai bun loc in viata. Cu toate acestea, înțelegerea faptului că protejarea datelor dvs. personale depinde de dvs. vă va oferi un mare avantaj față de atacatori.

Metode de securitate a informațiilor adesea echivalat cu solutii tehnice, lăsând fără atenție un strat atât de mare de potențiale amenințări precum acțiunile persoanei însuși. Puteți oferi utilizatorului posibilitatea de a lansa un singur program și de a face față consecințelor în literalmente cinci minute, dacă acest lucru se dovedește a fi posibil. Un mesaj din forum despre informațiile auzite poate sparge cea mai perfectă protecție (exagerat, despre prevenirea nodurilor de protecție, cu alte cuvinte, o lipsă temporară de protecție).

Pentru a decide asupra metodelor de protecție a datelor, trebuie nu numai să căutați instrumente de securitate adecvate în timp ce faceți clic alene cu mouse-ul în fereastra browserului, ci și să vă gândiți la modul în care informațiile pot fi distribuite și la ce se poate referi. Indiferent cum ar suna, pentru a face acest lucru trebuie să ridicați hârtie și creion, apoi să priviți totul moduri posibile diseminarea informațiilor și cu ce poate fi asociată. De exemplu, să luăm sarcina de a păstra o parolă cât mai secretă posibil.

Situatie. ai venit cu parolă complexă, nu are nicio legătură cu dvs., respectă pe deplin cele mai stricte cerințe de securitate, nu a lăsat nicio mențiune nicăieri (nu sunt luate în considerare aspecte precum cele rămase în memoria computerului, pe disc și alte puncte), nu utilizați manageri de parole, introduceți parola doar cu un singur computer, folosind o tastatură securizată, folosind un VPN pentru a vă conecta, pornind computerul doar de pe un LiveCD. Într-o singură frază, un adevărat paranoic și fanatic al securității. Cu toate acestea, toate acestea pot să nu fie suficiente pentru a vă proteja parola.

Iată câteva situații posibile simple care demonstrează în mod clar necesitatea unei perspective ample a practicilor de securitate a informațiilor:

  • Ce vei face dacă trebuie să introduci o parolă atunci când sunt alte persoane în cameră, chiar și cele „mai bune”? Nu puteți garanta niciodată că nu vor spune accidental informații indirecte despre parolă. De exemplu, stând într-o atmosferă plăcută într-un restaurant, este foarte posibil să spuneți „are o parolă atât de lungă, până la zece și o grămadă personaje diferite", ceea ce restrânge destul de bine zona de ghicire a parolei pentru un atacator.
  • Ce vei face dacă se întâmplă acest lucru și ai nevoie de o altă persoană care să efectueze operația în locul tău? Este posibil ca o altă persoană să vă audă accidental parola. Dacă dictați o parolă unei persoane care nu cunoaște bine computerele, atunci este posibil ca acesta să o noteze undeva să-i cereți fanatismul;
  • Ce vei face dacă se întâmplă acest lucru și cineva află despre modul în care găsești parolele? De asemenea, astfel de informații restrâng destul de bine zona de selecție.
  • Cum vă puteți proteja parola dacă unul dintre nodurile care vă transmite în siguranță parola este compromis de un atacator? De exemplu, a fost spart server VPN, prin care accesați Internetul.
  • Parola dvs. ar fi semnificativă dacă sistemul pe care îl utilizați ar fi spart?
  • Si altii

Desigur, acest lucru nu înseamnă că este nevoie de o căutare încăpățânată și persistentă a metodelor de securitate a informațiilor timp de mai multe luni. Ideea este că chiar și cel mai mult sisteme complexe poate fi spart de simple defecte umane, a căror considerare a fost neglijată. Prin urmare, atunci când organizați securitatea computerului dvs., încercați să acordați atenție nu numai latura tehnicaîntrebare, dar și lumii din jurul tău.

În viața de zi cu zi, securitatea informațiilor (SI) este adesea înțeleasă doar ca necesitatea de a combate scurgerea secretelor și răspândirea informațiilor false și ostile. Cu toate acestea, această înțelegere este foarte îngustă. Există multe definiții diferite ale securității informațiilor, care evidențiază proprietățile sale individuale.

În Legea federală „Cu privire la informații, informatizare și protecția informațiilor”, care nu mai este în vigoare, sub securitatea informatieiînțeles starea de securitate a mediului informațional al societății, asigurând formarea și dezvoltarea acestuia în interesul cetățenilor, organizațiilor și statului;.

Alte surse oferă următoarele definiții:

Securitatea informațiilor- Acest

1) complex organizatoric- masuri tehnice practici care asigură integritatea datelor și confidențialitatea informațiilor combinate cu disponibilitatea acestora pentru toți utilizatorii autorizați;

2) indicator care reflectă starea de securitate a sistemului informațional;

3) statsecuritatea mediului informaţional;

4) un stat care asigură securitatea resurselor și canalelor informaționale,precum şi accesul la sursele de informare.

V.I. Yarochkin crede că Securitatea informațiilor Există starea de securitate a resurselor informaționale, tehnologiile de formare și utilizare a acestora, precum și drepturile subiecților activităților informaționale.

O definiție destul de completă este dată de V. Betelin și V. Galatenko, care cred că

În acest tutorial ne vom baza pe definiția de mai sus.

Securitatea informațiilor nu se limitează la protejarea informațiilor și Securitatea calculatorului. Este necesar să se facă distincția între securitatea informațiilor și protecția informațiilor.

Uneori securitatea informațiilor înseamnă crearea pe un computer și sisteme de calcul un set organizat de mijloace, metode și activități menite să prevină denaturarea, distrugerea sau utilizarea neautorizată a informațiilor protejate.

Măsurile de asigurare a securității informațiilor trebuie efectuate în conformitate cu zone diferite- politică, economie, apărare, precum și la diferite niveluri - de stat, regional, organizațional și personal. Prin urmare, sarcinile de securitate a informațiilor la nivel de stat diferă de sarcinile cu care se confruntă securitatea informațiilor la nivel organizațional.

Subiectul relațiilor informaționale poate suferi (suferă pierderi materiale și/sau morale) nu numai din cauza accesului neautorizat la informații, ci și a unei defecțiuni a sistemului care provoacă o întrerupere a activității. Securitatea informației depinde nu numai de calculatoare, ci și de infrastructura suport, care include sisteme electrice, de alimentare cu apă și căldură, aparate de aer condiționat, comunicații și, bineînțeles, personal de întreținere. Sprijinirea infrastructurii are propria sa valoare, a cărei importanță nu poate fi supraestimată.

După evenimentele din 11 septembrie 2001, legislația SUA, în conformitate cu Patriot Act, a definit conceptul de „infrastructură critică”, care este înțeles ca „un set de elemente fizice sau sisteme virtualeși active care sunt atât de importante pentru Statele Unite, încât eșecul sau distrugerea lor ar putea avea consecințe dezastruoase pentru apărarea, economia, sănătatea și securitatea națiunii.” Conceptul de infrastructură critică acoperă domenii cheie ale economiei și economiei naționale a SUA, cum ar fi apărarea națională, Agricultură, producție alimentară, aviație civilă, transport maritim, drumuri autoși poduri, tuneluri, baraje, conducte, alimentare cu apă, asistență medicală, servicii asistență de urgență, organe controlat de guvern, producție militară, sisteme și rețele de informații și telecomunicații, energie, transport, sisteme bancare și financiare, industria chimică, serviciul poștal.

ÎN din punct de vedere social securitatea informației presupune lupta împotriva „poluării” informaționale a mediului, utilizarea informațiilor în scopuri ilegale și imorale.

De asemenea, obiectele informaţiei influenţează şi, în consecinţă, securitatea informaţiei pot fi conştiinţă publică sau individuală.

La nivel de stat, subiectele securității informațiilor sunt autoritățile executive, legislative și judiciare. Departamentele individuale au creat organisme care se ocupă special de securitatea informațiilor.

În plus, subiectele de securitate a informațiilor pot fi:

Cetăţeni şi asociaţii obşteşti;

Facilităţi mass media;

Întreprinderi și organizații, indiferent de forma lor de proprietate.

Interese Subiectele IS legate de utilizarea sistemelor informaționale pot fi împărțite în următoarele categorii principale:

Disponibilitate- capacitatea de a obține serviciul de informații solicitat într-un timp rezonabil. Sistemele informatice sunt create (achizitionate) pentru a obtine anumite servicii de informare(Servicii). Dacă dintr-un motiv sau altul devine imposibil ca utilizatorii să primească aceste servicii, acest lucru provoacă prejudicii tuturor subiecților relațiilor de informare. Rolul principal al accesibilității este evident mai ales în diverse tipuri de sisteme de management: producție, transport etc. Prin urmare, fără a contrasta accesibilitatea cu alte aspecte, accesibilitatea este cel mai important element al securității informațiilor.

Integritate- relevanța și consistența informațiilor, protecția acestora împotriva distrugerii și modificărilor neautorizate. Integritatea poate fi împărțită în statică (înțeleasă ca imuabilitate obiecte informaţionale) și dinamice (legate de execuția corectă actiuni complexe(tranzacții)). Aproape toate documentele de reglementare și evoluțiile interne se referă la integritatea statică, deși aspectul dinamic nu este mai puțin important. Un exemplu de aplicare a controalelor dinamice de integritate este analiza fluxului de mesaje financiare pentru a detecta furtul, reordonarea sau duplicarea mesajelor individuale.

Confidențialitate- protectie impotriva accesului neautorizat. Confidențialitatea este protejată de legi, reglementări și mulți ani de experiență a serviciilor relevante. Produsele hardware și software vă permit să închideți aproape toate canalele potențiale de scurgere de informații.

Ţintă activitati in domeniul securitatii informatiei – protejarea intereselor subiectilor securitatii informatiei.

Sarcini IS:

1. Asigurarea dreptului individului și societății de a primi informații.

2. Furnizarea de informații obiective.

3. Combaterea amenințărilor penale în domeniul sistemelor informaționale și de telecomunicații, terorismului telefonic, spălării banilor etc.

4. Protecția persoanelor, organizațiilor, societății și statului de amenințările informaționale și psihologice.

5. Formarea imaginii, lupta împotriva calomniilor, zvonurilor, dezinformarii.

Rolul securității informațiilor crește atunci când apare o situație extremă, când orice mesaj fals poate duce la agravarea situației.

criteriul IS- securitatea garantată a informațiilor împotriva scurgerilor, denaturării, pierderii sau altor forme de amortizare. Tehnologiile informaționale sigure trebuie să aibă capacitatea de a preveni sau de a neutraliza impactul amenințărilor atât externe, cât și interne la adresa informațiilor și să conțină metode și mijloace adecvate de protejare a acesteia.

Norbert Wiener, fondatorul ciberneticii, credea că informația are caracteristici uniceși nu poate fi atribuită nici energiei, nici materiei. Statut special informaţia ca fenomen a dat naştere multor definiţii.

În dicționarul standardului ISO/IEC 2382:2015 " Tehnologia de informație” se dă următoarea interpretare:

Informații (în domeniul prelucrării informațiilor)- orice date prezentate în formular electronic scris pe hârtie, vorbit la o întâlnire sau în orice alt mediu, folosit de o instituție financiară pentru a lua decizii, a muta Bani, stabilirea ratelor, emiterea de împrumuturi, procesarea tranzacțiilor etc., inclusiv componentele software ale sistemului de procesare.

Pentru a dezvolta conceptul de securitate a informațiilor (IS), informațiile sunt înțelese ca informații care sunt disponibile pentru colectare, stocare, prelucrare (editare, conversie), utilizare și transmitere. căi diferite, inclusiv în retele de calculatoare si alte sisteme informatice.

Astfel de informații sunt foarte valoroase și pot deveni ținta atacurilor terților. Dorința de a proteja informațiile de amenințări stă la baza creării sistemelor de securitate a informațiilor.

Bază legală

În decembrie 2017, Rusia a adoptat Doctrina Securității Informaționale. Documentul definește securitatea informațiilor ca fiind starea de protecție a intereselor naționale în sfera informațională. În acest caz, interesele naționale sunt înțelese ca totalitatea intereselor societății, ale individului și ale statului, fiecare grup de interese este necesar pentru funcționarea stabilă a societății;

Doctrina este un document conceptual. Relațiile juridice legate de asigurarea securității informațiilor sunt reglementate legi federale„Despre secretele de stat”, „Despre informații”, „Cu privire la protecția datelor cu caracter personal” și altele. Pe baza reglementărilor fundamentale, sunt elaborate reglementări guvernamentale și reglementări departamentale pe probleme private de protecție a informațiilor.

Definiția securității informațiilor

Înainte de a dezvolta o strategie de securitate a informațiilor, este necesar să se adopte o definiție de bază a conceptului în sine care să permită aplicarea acestuia set specific metode si metode de protectie.

Practicienii din industrie propun să înțeleagă securitatea informațiilor ca o stare stabilă de securitate a informațiilor, a media și a infrastructurii acesteia, care asigură integritatea și rezistența proceselor legate de informații la impacturi intenționate sau neintenționate de natură naturală și artificială. Impacturile sunt clasificate sub formă de amenințări la securitatea informațiilor care pot provoca daune subiecților relațiilor informaționale.

Astfel, securitatea informației va fi înțeleasă ca un ansamblu de măsuri legale, administrative, organizatorice și tehnice care vizează prevenirea amenințărilor reale sau percepute la securitatea informațiilor, precum și eliminarea consecințelor incidentelor. Continuitatea procesului de protecție a informațiilor trebuie să garanteze lupta împotriva amenințărilor în toate etapele ciclului informațional: în procesul de colectare, stocare, prelucrare, utilizare și transmitere a informațiilor.

Securitatea informațiilor în această înțelegere devine una dintre caracteristicile performanței sistemului. În fiecare moment de timp, sistemul trebuie să aibă un nivel măsurabil de securitate, iar asigurarea securității sistemului trebuie să fie proces continuu, care se efectuează la toate intervalele de timp pe durata de viață a sistemului.

În teoria securității informațiilor, subiecții securității informațiilor sunt înțeleși ca proprietari și utilizatori ai informațiilor, iar utilizatorii nu numai bază permanentă(angajați), dar și utilizatori care accesează baze de date în cazuri izolate, de exemplu, agențiile guvernamentale care solicită informații. În unele cazuri, de exemplu, în standardele de securitate a informațiilor bancare, acționarii - persoane juridice care dețin anumite date - sunt considerați proprietari ai informațiilor.

Infrastructura de sprijin, din punctul de vedere al fundamentelor securității informațiilor, include computere, rețele, echipamente de telecomunicații, spații, sisteme de susținere a vieții și personal. Atunci când se analizează securitatea, este necesar să se studieze toate elementele sistemelor, acordând o atenție deosebită personalului ca purtător al majorității amenințărilor interne.

Pentru a gestiona securitatea informațiilor și a evalua daunele, este utilizată caracteristica de acceptabilitate, determinând astfel dauna ca fiind acceptabilă sau inacceptabilă. Este util ca fiecare companie să-și stabilească propriile criterii de prejudiciu acceptabil sub formă monetară sau, de exemplu, sub formă de prejudiciu acceptabil adus reputației. ÎN institutii guvernamentale pot fi adoptate și alte caracteristici, de exemplu, impactul asupra procesului de management sau reflectarea gradului de deteriorare a vieții și sănătății cetățenilor. Criteriile de semnificație, importanța și valoarea informațiilor se pot schimba în timpul ciclu de viață matricea de informații, prin urmare, trebuie revizuită în timp util.

O amenințare informațională în sens restrâns este recunoscută ca o oportunitate obiectivă de a influența obiectul protecției, ceea ce poate duce la scurgeri, furt, dezvăluire sau diseminare de informații. Într-un sens mai larg, amenințările la securitatea informațiilor vor include influențe direcționate de natură informațională, al căror scop este de a provoca daune statului, organizației sau individului. Astfel de amenințări includ, de exemplu, defăimarea, denaturarea intenționată și publicitatea incorectă.

Trei probleme principale ale conceptului de securitate a informațiilor pentru orice organizație

    Ce să protejez?

    Ce tipuri de amenințări prevalează: externe sau interne?

    Cum să protejăm, prin ce metode și mijloace?

Sistem de securitate a informațiilor

Sistemul de securitate a informațiilor pentru o companie - entitate juridică include trei grupuri de concepte de bază: integritate, disponibilitate și confidențialitate. Sub fiecare se află concepte cu caracteristici multiple.

Sub integritate se referă la rezistența bazelor de date și a altor matrice de informații la distrugerea accidentală sau intenționată și la modificări neautorizate. Conceptul de integritate poate fi privit ca:

  • static, exprimat în imuabilitatea, autenticitatea obiectelor informaționale față de acele obiecte care au fost create pentru un anumit specificatii tehniceși conține volume de informații necesare utilizatorilor pentru activitatea principală, în configurația și succesiunea cerute;
  • dinamic, implicând executarea corectă a acțiunilor sau tranzacțiilor complexe fără a prejudicia siguranța informațiilor.

Pentru a controla integritatea dinamică, sunt utilizate mijloace tehnice speciale care analizează fluxul de informații, de exemplu, financiar, și identifică cazurile de furt, duplicare, redirecționare și modificări în ordinea mesajelor. Integritatea ca caracteristică de bază este necesară atunci când deciziile de a întreprinde acțiuni sunt luate pe baza informațiilor primite sau disponibile. Încălcarea ordinii comenzilor sau a secvenței de acțiuni poate cauza pagube mari dacă este descrisă procese tehnologice, coduri de program și în alte situații similare.

Disponibilitate este o proprietate care permite subiecților autorizați să acceseze sau să facă schimb de date care îi interesează. Cerința cheie de legitimare sau autorizare a subiecților face posibilă crearea diferite niveluri acces. Eșecul sistemului de a furniza informații devine o problemă pentru orice organizație sau grup de utilizatori. Un exemplu este inaccesibilitatea site-urilor web ale serviciilor guvernamentale în cazul unei defecțiuni a sistemului, care privează mulți utilizatori de posibilitatea de a primi servicii necesare sau informații.

Confidențialitateînseamnă proprietatea informației de a fi teme disponibile utilizatori: subiecte și procese cărora le este acordat inițial accesul. Majoritatea companiilor și organizațiilor percep confidențialitatea ca elementul cheie Securitatea informației, totuși, în practică este dificil să o implementeze pe deplin. Nu toate datele privind canalele existente de scurgere de informații sunt disponibile autorilor conceptelor de securitate a informațiilor, iar multe mijloace tehnice de protecție, inclusiv cele criptografice, nu pot fi achiziționate în mod liber, în unele cazuri, circulația este limitată.

Proprietățile egale de securitate a informațiilor au valori diferite pentru utilizatori, de unde cele două categorii extreme atunci când se dezvoltă concepte de protecție a datelor. Pentru companiile sau organizațiile asociate cu secretele de stat, confidențialitatea va fi un parametru cheie, pt servicii publice sau institutii de invatamant cel mai parametru important- disponibilitate.

Digest de securitate a informațiilor

O selecție lunară de publicații utile, știri interesante și evenimente din lumea securității informațiilor. Experiență expertă și cazuri reale din practica SearchInform.

Obiecte de protecție în conceptele de securitate a informațiilor

Diferențele de subiecte dau naștere la diferențe în ceea ce privește obiectele de protecție. Principalele grupuri de obiecte protejate:

  • resurse informaționale de toate tipurile (o resursă este înțeleasă ca obiect material: un hard disk, alte medii, un document cu date și detalii care ajută la identificarea acesteia și atribuirea unui anumit grup de subiecți);
  • drepturile cetățenilor, organizațiilor și statului de a accesa informații, posibilitatea de a le obține în cadrul legii; accesul poate fi limitat doar prin reglementări organizarea oricăror bariere care încalcă drepturile omului este inacceptabilă;
  • sistem de creare, utilizare și distribuire a datelor (sisteme și tehnologii, arhive, biblioteci, documente de reglementare);
  • sistem de formare a conștiinței publice (mass-media, resurse Internet, instituții sociale, instituții de învățământ).

Fiecare obiect presupune sistem special măsuri de protecție împotriva amenințărilor la adresa securității informațiilor și ordinii publice. Asigurarea securității informațiilor în fiecare caz ar trebui să se bazeze pe o abordare sistematică care ține cont de specificul obiectului.

Categorii și mass-media

Sistemul juridic rusesc, practica de aplicare a legii și stabilit relații publice clasifică informațiile în funcție de criterii de accesibilitate. Acest lucru vă permite să clarificați parametrii esențiali necesari pentru a asigura securitatea informațiilor:

  • informații la care accesul este restricționat pe baza cerințelor legale (secrete de stat, secrete comerciale, date personale);
  • informatii in acces deschis;
  • informații disponibile public, care sunt furnizate în anumite condiții: informații plătite sau date care necesită permisiunea de utilizare, cum ar fi un card de bibliotecă;
  • informații periculoase, dăunătoare, false și de altă natură, a căror circulație și difuzare este limitată fie de cerințele legale, fie de standardele corporative.

Informațiile din primul grup au două moduri de securitate. Secret de stat, conform legii, este vorba de informații protejate de stat, a căror difuzare gratuită ar putea dăuna securității țării. Acestea sunt date din domeniul militar, al politicii externe, al informațiilor, al contrainformațiilor și activitate economică state. Proprietarul acestui grup de date este statul însuși. Organismele autorizate să ia măsuri pentru protejarea secretelor de stat sunt Ministerul Apărării, Serviciul Federal de Securitate (FSB), Serviciul de Informații Externe, Serviciul federal pentru control tehnic și export (FSTEK).

Informații confidențiale- un obiect de reglementare mai multifațetat. Lista informațiilor care pot constitui informații confidențiale este cuprinsă în Decretul prezidențial nr. 188 „Cu privire la aprobarea listei informațiilor confidențiale”. Acestea sunt date personale; secretul anchetei și al procedurilor judiciare; secret oficial; confidențialitate profesională (medicală, notarială, avocat); secret comercial; informații despre invenții și modele de utilitate; informații cuprinse în dosarele personale ale persoanelor condamnate, precum și informații privind executarea silită a actelor judiciare.

Datele personale există în mod deschis și confidențial. Partea datelor cu caracter personal care este deschisă și accesibilă tuturor utilizatorilor include prenumele, numele și patronimul. Conform Legii federale-152 „Cu privire la datele cu caracter personal”, subiecții datelor cu caracter personal au dreptul:

  • pentru autodeterminare informațională;
  • pentru a accesa datele personale cu caracter personal și a le face modificări;
  • pentru a bloca datele personale și accesul la acestea;
  • a face apel abatere terți angajați în legătură cu datele personale;
  • pentru repararea prejudiciului cauzat.

Dreptul la este consacrat în reglementările privind organismele guvernamentale, legile federale și licențele de lucru cu date personale emise de Roskomnadzor sau FSTEC. Companiile care lucrează profesional cu date personale ale unei game largi de persoane, de exemplu, operatorii de telecomunicații, trebuie să înscrie în registru, care este ținut de Roskomnadzor.

Un obiect separat în teoria și practica securității informațiilor sunt purtătorii de informații, accesul la care poate fi deschis sau închis. La elaborarea unui concept de securitate a informațiilor, metodele de protecție sunt selectate în funcție de tipul de suport. Principalele medii de stocare:

  • tipărite și mijloace electronice mass media, social media, alte resurse de pe Internet;
  • angajații organizației care au acces la informații pe baza legăturilor lor prietenoase, familiale și profesionale;
  • mijloace de comunicare care transmit sau stochează informații: telefoane, centrale telefonice automate, alte echipamente de telecomunicații;
  • acte de toate tipurile: personale, oficiale, de stat;
  • software-ul ca autonom obiect informativ, mai ales dacă versiunea sa a fost modificată special pentru o anumită companie;
  • medii electronice de stocare care procesează datele automat.

În scopul dezvoltării conceptelor de securitate a informațiilor, mijloacele de securitate a informațiilor sunt de obicei împărțite în reglementare (informale) și tehnice (formale).

Mijloacele informale de protecție sunt documentele, regulile, măsurile mijloacele formale sunt mijloace tehnice și software speciale. Distincția ajută la repartizarea domeniilor de responsabilitate la crearea sistemelor de securitate a informațiilor: cu managementul general al protecției, personalul administrativ implementează metode de reglementare, iar specialiștii IT, în consecință, implementează pe cele tehnice.

Fundamentele securității informațiilor presupun o împărțire a autorității nu numai în ceea ce privește utilizarea informațiilor, ci și în ceea ce privește lucrul cu protecția acesteia. O astfel de separare a puterilor necesită, de asemenea, mai multe niveluri de control.


Remedii formale

O gamă largă de mijloace de protecție a securității informațiilor tehnice include:

Mijloace fizice de protecție. Acestea sunt mecanisme mecanice, electrice, electronice care funcționează independent de sistemele informaționale și creează obstacole în calea accesului la acestea. Încuietorile, inclusiv cele electronice, ecranele și jaluzelele sunt concepute pentru a crea obstacole în calea contactului factorilor destabilizatori cu sistemele. Grupul este completat de sisteme de securitate, de exemplu, camere video, video recordere, senzori care detectează mișcarea sau excesul radiatie electromagneticaîn zona în care se află mijloacele tehnice de regăsire a informațiilor și dispozitivele încorporate.

Protecție hardware. Acestea sunt dispozitive electrice, electronice, optice, laser și alte dispozitive care sunt încorporate în sistemele de informare și telecomunicații. Înainte de a implementa hardware-ul în sistemele informaționale, este necesar să se asigure compatibilitatea.

Software - acestea sunt simple și sistematice, programe cuprinzătoare, conceput pentru a rezolva probleme specifice și complexe legate de securitatea informațiilor. Exemple de soluții complexe includ: primele servesc la prevenirea scurgerilor, reformatarea informațiilor și redirecționarea fluxurilor de informații, cele din urmă asigură protecție împotriva incidentelor din domeniul securității informațiilor. Instrumentele software solicită puterea dispozitivelor hardware, iar în timpul instalării este necesar să se asigure rezerve suplimentare.

LA mijloace specifice Securitatea informațiilor include diverși algoritmi criptografici care vă permit să criptați informațiile de pe disc și să le redirecționați prin canale de comunicare externe. Conversia informațiilor poate avea loc folosind metode software și hardware care funcționează în sistemele de informații corporative.

Toate mijloacele care garantează securitatea informațiilor trebuie folosite împreună, după evaluarea preliminară valoarea informațiilor și compararea acesteia cu costul resurselor cheltuite pentru protecție. Prin urmare, propunerile de utilizare a fondurilor ar trebui formulate deja în stadiul dezvoltării sistemului, iar aprobarea ar trebui făcută la nivelul managementului care este responsabil de aprobarea bugetelor.

Pentru a asigura securitatea, este necesar să se monitorizeze toate evoluții moderne, protecție software și hardware, amenințări și efectuați modificări în timp util sisteme proprii protecție împotriva accesului neautorizat. Doar un răspuns adecvat și prompt la amenințări va ajuta la realizarea nivel inalt confidențialitatea în activitatea companiei.

Remedii informale

Mijloacele informale de protecție sunt grupate în normative, administrative și morale și etice. La primul nivel de protecție există mijloace de reglementare care reglementează securitatea informațiilor ca proces în activitățile organizației.

  • Mijloace de reglementare

În practica mondială, la dezvoltarea instrumentelor de reglementare, acestea sunt ghidate de standardele de protecție a securității informațiilor, principalul fiind ISO/IEC 27000. Standardul a fost creat de două organizații:

  • ISO - Comisia Internațională de Standardizare, care elaborează și aprobă cele mai multe metode recunoscute internațional pentru certificarea calității proceselor de producție și management;
  • IEC - Comisia Internațională pentru Energie, care a introdus în standard înțelegerea sa despre sistemele de securitate a informațiilor, mijloacele și metodele de asigurare a acesteia

Versiunea actuală a ISO/IEC 27000-2016 oferă standarde gata făcute și tehnici dovedite necesare pentru implementarea securității informațiilor. Potrivit autorilor metodelor, baza securității informațiilor stă în implementarea sistematică și consecventă a tuturor etapelor de la dezvoltare până la post-control.

Pentru a obține un certificat care confirmă conformitatea cu standardele de securitate a informațiilor, este necesar să implementați în totalitate toate practicile recomandate. Dacă nu este nevoie să obțineți un certificat, este posibil să acceptați oricare dintre versiunile anterioare ale standardului, începând cu ISO/IEC 27000-2002, sau GOST-urile rusești, care sunt de natură consultativă, ca bază pentru dezvoltarea propriei dvs. sisteme de securitate a informațiilor.

Pe baza rezultatelor studierii standardului, sunt în curs de elaborare două documente care se referă la securitatea informației. Conceptul principal, dar mai puțin formal, este conceptul de securitate a informațiilor întreprinderii, care definește măsuri și metode de implementare a unui sistem de securitate a informațiilor pentru sistemele informaționale ale organizației. Al doilea document pe care toți angajații companiei sunt obligați să-l respecte este regulamentul de securitate a informațiilor, aprobat la nivelul consiliului de administrație sau organului executiv.

Pe lângă reglementările la nivel de companie, ar trebui elaborate liste de informații care constituie secrete comerciale, anexe la contractele de muncă care stabilesc responsabilitatea pentru dezvăluirea datelor confidențiale și alte standarde și metodologii. Normele și regulile interne trebuie să conțină mecanisme de implementare și măsuri de responsabilitate. Cel mai adesea, măsurile sunt de natură disciplinară, iar contravenientul trebuie să fie pregătit pentru faptul că o încălcare a regimului secretului comercial va fi urmată de sancțiuni semnificative, inclusiv concedierea.

  • Măsuri organizatorice și administrative

Ca parte a activităților administrative de protecție a securității informațiilor, ofițerii de securitate au spațiu de creativitate. Acestea includ soluții arhitecturale și de planificare care vă permit să protejați săli de întâlnireși birourile de management de la ascultare și stabilirea diferitelor niveluri de acces la informații. Măsuri organizatorice importante vor fi certificarea activităților companiei conform standardelor ISO/IEC 27000, certificarea sistemelor hardware și software individuale, certificarea subiecților și obiectelor pentru conformitatea cu cerințele de securitate necesare, obținerea licențelor necesare pentru a lucra cu matrice de informații protejate.

Din punctul de vedere al reglementării activității personalului, va fi importantă oficializarea unui sistem de solicitări de acces la Internet, extern e-mail, alte resurse. Un element separat va fi recepția electronică semnatura digitala pentru a spori securitatea informațiilor financiare și a altor informații transmise agentii guvernamentale prin canale de e-mail.

  • Măsuri morale și etice

Măsurile morale și etice determină atitudinea personală a unei persoane față de informații confidențiale sau informații limitate în circulație. Creșterea nivelului de cunoaștere a angajaților cu privire la impactul amenințărilor asupra activităților companiei afectează gradul de conștiință și responsabilitate al angajaților. Pentru a combate încălcările informațiilor, inclusiv, de exemplu, transferul de parole, manipularea neglijent a media și diseminarea datelor confidențiale în conversații private, este necesar să se sublinieze conștiința personală a angajatului. Va fi utilă stabilirea unor indicatori de performanță a personalului care vor depinde de atitudinea față de sistem corporativ IB.

Infograficul folosește date din propria noastră cercetare„SearchInform”.



Vă recomandăm alte articole
Tableta congelată - ce să faci?
Tableta congelată - ce să faci?
Cameră wireless USB cumpărați o mini cameră wireless pentru computer Cameră digitală cu ieșire USB
Cameră wireless USB cumpărați o mini cameră wireless pentru computer Cameră digitală cu ieșire USB
Stoloto, loto rusesc – o înșelătorie?
Stoloto, loto rusesc – o înșelătorie?