Keselamatan maklumat dan cara penyediaannya. Konsep keselamatan maklumat. Komponen utama. Kepentingan masalah

Keselamatan pelayan maya hanya boleh dianggap secara langsung sebagai "Keselamatan maklumat". Ramai yang pernah mendengar frasa ini, tetapi tidak semua orang memahami apa itu?

"Keselamatan maklumat" adalah proses menyediakan ketersediaan, integriti dan kerahsiaan maklumat.

Di bawah "kebolehcapaian" difahami, masing-masing, untuk menyediakan akses kepada maklumat. "Integriti" adalah untuk memastikan ketepatan dan kesempurnaan maklumat. "Kerahsiaan" bermakna memastikan akses kepada maklumat hanya kepada pengguna yang dibenarkan.

Berdasarkan matlamat dan tugas anda yang dilakukan pada pelayan maya, pelbagai langkah dan tahap perlindungan yang digunakan untuk setiap tiga mata ini akan diperlukan.

Sebagai contoh, jika anda menggunakan pelayan maya hanya sebagai cara melayari Internet, maka dari dana yang diperlukan untuk memastikan keselamatan, yang pertama adalah penggunaan dana perlindungan antivirus, serta pematuhan peraturan asas keselamatan semasa bekerja di Internet.

Dalam kes lain, jika anda mempunyai tapak web jualan yang dihoskan pada pelayan atau pelayan permainan, kemudian dan langkah-langkah yang perlu perlindungan akan berbeza sama sekali.

Pengetahuan ancaman yang mungkin, serta kelemahan keselamatan yang biasanya dieksploitasi oleh ancaman ini, adalah perlu untuk memilih alat keselamatan yang paling optimum, untuk ini kami akan mempertimbangkan perkara utama.

Di bawah "Ancaman" merujuk kepada potensi untuk melanggar keselamatan maklumat dalam satu cara atau yang lain. Percubaan untuk melakukan ancaman dipanggil "serang", dan orang yang melaksanakan percubaan ini dipanggil "penceroboh". Selalunya, ancaman adalah akibat daripada kehadiran kelemahan dalam perlindungan sistem maklumat.

Pertimbangkan ancaman paling biasa yang terdedah kepada sistem maklumat moden.

Ancaman keselamatan maklumat yang menyebabkan paling banyak kerosakan

Pertimbangkan di bawah klasifikasi jenis ancaman mengikut pelbagai kriteria:
  1. Ugut secara langsung keselamatan maklumat:
    • Ketersediaan
    • Integriti
    • Kerahsiaan
  2. Komponen yang mengancam sasaran:
    • Data
    • Program
    • peralatan
    • Infrastruktur sokongan
  3. Dengan cara pelaksanaan:
    • tidak sengaja atau disengajakan
    • semula jadi atau buatan manusia
  4. Mengikut lokasi sumber ancaman adalah:
    • Dalaman
    • Luaran
Seperti yang dinyatakan pada permulaan, konsep "ancaman" dalam situasi yang berbeza sering ditafsirkan dengan cara yang berbeza. Dan langkah keselamatan yang diperlukan akan berbeza. Sebagai contoh, untuk bergaris organisasi terbuka ancaman privasi mungkin tidak wujud - semua maklumat dianggap awam, tetapi dalam kebanyakan kes akses haram adalah bahaya yang serius.

Digunakan pada pelayan maya, ancaman yang anda sebagai pentadbir pelayan perlu mengambil kira adalah ancaman kepada ketersediaan data, kerahsiaan dan integriti. Untuk kemungkinan melaksanakan ancaman yang bertujuan untuk kerahsiaan dan integriti data yang tidak berkaitan dengan perkakasan atau komponen infrastruktur, anda bertanggungjawab secara langsung dan sepenuhnya. Termasuk penggunaan langkah perlindungan yang diperlukan, ini adalah tugas segera anda.

Ancaman yang bertujuan untuk kelemahan program yang anda gunakan, selalunya anda, sebagai pengguna, tidak akan dapat mempengaruhi, kecuali untuk tidak menggunakan program ini. Ia dibenarkan untuk menggunakan program ini hanya jika pelaksanaan ancaman menggunakan kelemahan program ini sama ada tidak digalakkan dari sudut pandangan penyerang, atau tidak mempunyai kerugian yang ketara untuk anda sebagai pengguna.

Menyediakan langkah keselamatan yang diperlukan terhadap ancaman yang ditujukan kepada peralatan, infrastruktur atau ancaman yang bersifat buatan manusia dan semula jadi dikendalikan secara langsung oleh syarikat pengehosan yang telah anda pilih dan dari mana anda menyewa pelayan anda. DALAM kes ini adalah perlu untuk mendekati pilihan dengan paling berhati-hati, syarikat pengehosan yang dipilih dengan betul pada tahap yang betul akan memberikan anda kebolehpercayaan komponen perkakasan dan infrastruktur.

Anda, sebagai pentadbir pelayan maya, harus mengambil kira jenis ancaman ini hanya dalam kes di mana kehilangan akses jangka pendek atau pemberhentian sebahagian atau sepenuhnya dalam prestasi pelayan disebabkan kesalahan syarikat pengehosan boleh membawa kepada tidak seimbang. masalah atau kerugian. Ini berlaku agak jarang, tetapi sebab objektif tiada syarikat hosting boleh menyediakan 100% Uptime.

Ancaman secara langsung kepada keselamatan maklumat

Ancaman utama kepada kebolehaksesan termasuk

  1. Kegagalan dalaman sistem maklumat;
  2. Kegagalan infrastruktur sokongan.
Sumber utama kegagalan dalaman ialah:
  • Pelanggaran (tidak sengaja atau disengajakan) daripada peraturan yang ditetapkan eksploitasi
  • Sistem keluar dari mod biasa eksploitasi disebabkan tindakan pengguna yang tidak sengaja atau disengajakan (melebihi anggaran bilangan permintaan, jumlah maklumat yang diproses yang berlebihan, dsb.)
  • Ralat semasa (semula) mengkonfigurasi sistem
  • Berniat jahat perisian
  • Kegagalan perisian dan perkakasan
  • Pemusnahan data
  • Kemusnahan atau kerosakan peralatan
Berhubung dengan infrastruktur sokongan, adalah disyorkan untuk mempertimbangkan ancaman berikut:
  • Gangguan operasi (tidak sengaja atau disengajakan) sistem komunikasi, bekalan kuasa, bekalan air dan/atau haba, penyaman udara;
  • Kemusnahan atau kerosakan pada premis;
  • Ketidakupayaan atau keengganan kakitangan perkhidmatan dan / atau pengguna untuk melaksanakan tugas mereka (kekacauan awam, kemalangan jalan raya, tindakan pengganas atau ancamannya, mogok, dll.).

Ancaman Integriti Utama

Boleh dibahagikan kepada ancaman integriti statik dan ancaman integriti dinamik.

Ia juga bernilai dibahagikan kepada ancaman terhadap integriti maklumat perkhidmatan dan data yang bermakna. Maklumat perkhidmatan merujuk kepada kata laluan akses, laluan pemindahan data masuk rangkaian tempatan dan maklumat yang serupa. Selalunya dan dalam hampir semua kes, penyerang, secara sedar atau tidak, ternyata menjadi pekerja organisasi yang biasa dengan cara operasi dan langkah perlindungan.

Untuk melanggar integriti statik, penyerang boleh:

  • Masukkan data yang salah
  • Untuk menukar data
Ancaman terhadap integriti dinamik ialah penyusunan semula, kecurian, pertindihan data atau pengenalan mesej tambahan.

Ancaman privasi teratas

Maklumat sulit boleh dibahagikan kepada subjek dan perkhidmatan. Maklumat perkhidmatan (contohnya, kata laluan pengguna) tidak digunakan untuk sesuatu yang khusus bidang subjek, dalam sistem maklumat yang dimainkannya peranan teknikal, tetapi pendedahannya amat berbahaya, kerana ia penuh dengan mendapatkan akses tanpa kebenaran kepada semua maklumat, termasuk maklumat subjek.

Walaupun maklumat itu disimpan pada komputer atau bertujuan untuk penggunaan komputer, ancaman terhadap privasinya mungkin bukan komputer dan secara amnya bukan teknikal.

Penyalahgunaan kuasa adalah salah satu ancaman paling jahat yang sukar untuk dipertahankan. Pada banyak jenis sistem, pengguna istimewa (seperti Pentadbir Sistem) boleh membaca mana-mana fail (tidak disulitkan), mengakses mel mana-mana pengguna, dsb. Contoh lain ialah kerosakan yang disebabkan oleh perkhidmatan selepas jualan. Biasanya, jurutera perkhidmatan mempunyai akses tanpa had kepada peralatan dan boleh memintas mekanisme perlindungan perisian.

Untuk kejelasan, jenis ancaman ini juga dibentangkan secara skematik di bawah dalam Rajah 1.


nasi. 1. Klasifikasi jenis ancaman kepada keselamatan maklumat

Untuk menggunakan langkah perlindungan yang paling optimum, adalah perlu untuk menilai bukan sahaja ancaman kepada keselamatan maklumat, tetapi juga kemungkinan kerosakan, untuk ini, ciri kebolehterimaan digunakan, oleh itu, kerosakan yang mungkin ditentukan sebagai boleh diterima atau tidak boleh diterima. Untuk melakukan ini, adalah berguna untuk meluluskan kriteria anda sendiri untuk kebolehterimaan kerosakan dalam bentuk kewangan atau lain-lain.

Setiap orang yang mula mengatur keselamatan maklumat mesti menjawab tiga soalan asas:

  1. Apa yang perlu dilindungi?
  2. Daripada siapa untuk melindungi, apakah jenis ancaman yang berlaku: luaran atau dalaman?
  3. Bagaimana untuk melindungi, dengan kaedah dan cara apa?
Dengan mengambil kira semua perkara di atas, anda boleh menilai sepenuhnya kaitan, kemungkinan dan kritikal ancaman. Selepas menilai semua maklumat yang diperlukan dan menimbang semua kebaikan dan keburukan. Anda boleh memilih yang paling berkesan dan amalan terbaik dan cara perlindungan.

Kaedah dan cara perlindungan utama, serta langkah keselamatan minimum dan perlu digunakan pada pelayan maya bergantung pada tujuan utama penggunaannya dan jenis ancaman, kami akan mempertimbangkannya dalam artikel berikut di bawah tajuk "Asas Keselamatan Maklumat".

Norbert Wiener, pencipta sibernetik, percaya bahawa maklumat mempunyai ciri unik dan tidak boleh dikaitkan dengan tenaga atau jirim. Status istimewa maklumat sebagai fenomena telah menimbulkan banyak definisi.

Glosari ISO/IEC 2382:2015 "Teknologi Maklumat" menyediakan tafsiran berikut:

Maklumat (dalam bidang pemprosesan maklumat)- sebarang data yang dibentangkan dalam bentuk elektronik, ditulis di atas kertas, dinyatakan pada mesyuarat atau dalam mana-mana medium lain yang digunakan oleh institusi kewangan untuk membuat keputusan, pergerakan Wang menetapkan kadar, memberi pinjaman, memproses transaksi, dsb., termasuk komponen perisian sistem pemprosesan.

Untuk membangunkan konsep keselamatan maklumat (IS), maklumat difahami sebagai maklumat yang tersedia untuk pengumpulan, penyimpanan, pemprosesan (penyuntingan, transformasi), penggunaan dan pemindahan. cara yang berbeza, termasuk dalam rangkaian komputer dan sistem maklumat lain.

Maklumat sedemikian bernilai tinggi dan boleh menjadi objek pelanggaran oleh pihak ketiga. Keinginan untuk melindungi maklumat daripada ancaman mendasari penciptaan sistem keselamatan maklumat.

Asas undang-undang

Pada Disember 2017, Doktrin Keselamatan Maklumat telah diterima pakai di Rusia. Dalam dokumen itu, keselamatan maklumat ditakrifkan sebagai keadaan perlindungan kepentingan negara dalam bidang maklumat. Dalam hal ini, kepentingan nasional difahamkan sebagai keseluruhan kepentingan masyarakat, individu dan negara, setiap kelompok kepentingan diperlukan untuk kestabilan fungsi masyarakat.

Doktrin adalah dokumen konseptual. Hubungan undang-undang yang berkaitan dengan memastikan keselamatan maklumat dikawal oleh undang-undang persekutuan "Mengenai Rahsia Negara", "Mengenai Maklumat", "Mengenai Perlindungan Data Peribadi" dan lain-lain. Berdasarkan akta normatif asas, dekri kerajaan dan akta normatif jabatan dibangunkan mengenai isu perlindungan maklumat tertentu.

Definisi keselamatan maklumat

Sebelum membangunkan strategi keselamatan maklumat, adalah perlu untuk menerima definisi asas konsep itu sendiri, yang akan membolehkan penggunaan set kaedah dan kaedah perlindungan tertentu.

Pengamal industri bercadang untuk memahami keselamatan maklumat sebagai keadaan perlindungan maklumat yang stabil, pembawa dan infrastrukturnya, yang memastikan integriti dan kestabilan proses berkaitan maklumat terhadap kesan yang disengajakan atau tidak yang bersifat semula jadi dan buatan. Kesan diklasifikasikan sebagai ancaman IS yang boleh menyebabkan kerosakan kepada subjek perhubungan maklumat.

Oleh itu, keselamatan maklumat akan difahami sebagai satu set langkah undang-undang, pentadbiran, organisasi dan teknikal yang bertujuan untuk mencegah ancaman keselamatan maklumat yang sebenar atau yang dilihat, serta menghapuskan akibat insiden. Kesinambungan proses perlindungan maklumat harus menjamin perjuangan menentang ancaman di semua peringkat kitaran maklumat: dalam proses mengumpul, menyimpan, memproses, menggunakan dan menghantar maklumat.

Keselamatan maklumat dalam pengertian ini menjadi salah satu ciri prestasi sistem. Pada setiap masa, sistem mesti mempunyai tahap keselamatan yang boleh diukur, dan memastikan keselamatan sistem mestilah proses berterusan yang dijalankan pada setiap selang masa sepanjang hayat sistem.

Dalam teori keselamatan maklumat, subjek IS difahami sebagai pemilik dan pengguna maklumat, dan pengguna bukan sahaja pada asas kekal(pekerja), tetapi juga pengguna yang mengakses pangkalan data dalam kes terpencil, contohnya, agensi kerajaan yang meminta maklumat. Dalam beberapa kes, sebagai contoh, dalam piawaian keselamatan maklumat perbankan, pemilik maklumat termasuk pemegang saham - entiti undang-undang yang memiliki data tertentu.

Infrastruktur sokongan, dari sudut asas keselamatan maklumat, termasuk komputer, rangkaian, peralatan telekomunikasi, premis, sistem sokongan hayat, dan kakitangan. Dalam analisis keselamatan, adalah perlu untuk memeriksa semua elemen sistem, Perhatian istimewa memberikan kakitangan sebagai pembawa majoriti ancaman dalaman.

Untuk mengurus keselamatan maklumat dan menilai kerosakan, ciri kebolehterimaan digunakan, oleh itu, kerosakan ditentukan sebagai boleh diterima atau tidak boleh diterima. Adalah berguna bagi setiap syarikat untuk meluluskan kriterianya sendiri untuk menerima kerosakan dari segi kewangan atau, sebagai contoh, dalam bentuk kemudaratan yang boleh diterima terhadap reputasi. DALAM institusi awam ciri-ciri lain boleh diambil, sebagai contoh, kesan ke atas proses pengurusan atau gambaran tahap kerosakan kepada kehidupan dan kesihatan rakyat. Kriteria kebendaan, kepentingan dan nilai maklumat mungkin berubah dalam perjalanan kitaran hidup susunan maklumat, oleh itu, harus disemak tepat pada masanya.

ancaman maklumat dalam rasa sempit kemungkinan objektif untuk mempengaruhi objek perlindungan diiktiraf, yang boleh menyebabkan kebocoran, kecurian, pendedahan atau penyebaran maklumat. Dalam lebih pengertian yang luas Ancaman IS akan merangkumi kesan yang disasarkan watak maklumat, tujuannya adalah untuk menyebabkan kerosakan kepada negara, organisasi, individu. Ancaman sedemikian termasuk, sebagai contoh, fitnah, salah nyata yang disengajakan, pengiklanan yang tidak betul.

Tiga soalan utama konsep keselamatan maklumat untuk mana-mana organisasi

    Apa yang perlu dilindungi?

    Apakah jenis ancaman yang berlaku: luaran atau dalaman?

    Bagaimana untuk melindungi, dengan kaedah dan cara apa?

Sistem keselamatan maklumat

Sistem keselamatan maklumat untuk syarikat - entiti undang-undang merangkumi tiga kumpulan konsep asas: integriti, ketersediaan dan kerahsiaan. Di bawah setiap satu adalah konsep dengan banyak ciri.

Di bawah integriti merujuk kepada rintangan pangkalan data, tatasusunan maklumat lain kepada pemusnahan secara tidak sengaja atau sengaja, perubahan yang tidak dibenarkan. Konsep integriti boleh dilihat sebagai:

  • statik, dinyatakan dalam kebolehubah, keaslian objek maklumat objek yang dicipta untuk tertentu terma rujukan dan mengandungi maklumat, diperlukan oleh pengguna untuk aktiviti utama, dalam konfigurasi dan urutan yang diperlukan;
  • dinamik, membayangkan pelaksanaan yang betul bagi tindakan atau transaksi kompleks yang tidak membahayakan keselamatan maklumat.

Untuk mengawal integriti dinamik, istimewa cara teknikal, yang menganalisis aliran maklumat, contohnya, kewangan, dan mengenal pasti kes kecurian, pertindihan, pengalihan semula, penyusunan semula mesej. Integriti sebagai ciri utama diperlukan apabila keputusan untuk mengambil tindakan dibuat berdasarkan maklumat yang masuk atau tersedia. Pelanggaran perintah atau urutan tindakan boleh menyebabkan kerosakan besar dalam kes perihalan proses teknologi, kod program dan dalam situasi lain yang serupa.

Ketersediaan ialah harta yang membenarkan subjek yang diberi kuasa untuk mengakses atau bertukar data yang diminati kepada mereka. Keperluan utama legitimasi atau kebenaran subjek memungkinkan untuk mencipta tahap yang berbeza akses. Kegagalan sistem menyediakan maklumat menjadi masalah kepada mana-mana organisasi atau kumpulan pengguna. Contohnya ialah ketiadaan tapak web perkhidmatan awam sekiranya berlaku kegagalan sistem, yang menghalang ramai pengguna peluang untuk menerima perkhidmatan atau maklumat yang diperlukan.

Kerahsiaan bermaksud harta maklumat untuk tersedia kepada pengguna tersebut: subjek dan proses yang akses pada mulanya dibenarkan. Kebanyakan syarikat dan organisasi menganggap privasi sebagai elemen utama IS, bagaimanapun, dalam praktiknya adalah sukar untuk melaksanakannya sepenuhnya. Bukan semua maklumat tentang saluran sedia ada kebocoran maklumat tersedia kepada pengarang konsep keselamatan maklumat, dan banyak cara perlindungan teknikal, termasuk kaedah kriptografi, tidak boleh dibeli secara bebas, dalam beberapa kes perolehan adalah terhad.

Ciri-ciri keselamatan maklumat yang sama mempunyai nilai yang berbeza untuk pengguna, oleh itu dua kategori ekstrem dalam pembangunan konsep perlindungan data. Bagi syarikat atau organisasi yang berkaitan dengan rahsia negara, parameter utama menjadi sulit, untuk perkhidmatan awam atau institusi pendidikan paling parameter penting- ketersediaan.

Ringkasan Keselamatan Maklumat

pemilihan bulanan penerbitan yang berguna, berita dan peristiwa menarik dari dunia keselamatan maklumat. Pengalaman pakar dan kes sebenar daripada amalan SearchInform.

Objek perlindungan dalam konsep IS

Perbezaan dalam subjek menjana perbezaan dalam objek perlindungan. Kumpulan utama objek yang dilindungi:

  • sumber maklumat semua jenis (sumber cara objek material: cakera keras, media lain, dokumen dengan data dan butiran yang membantu mengenal pasti dan mengaitkannya kumpulan tertentu mata pelajaran);
  • hak rakyat, organisasi dan negara untuk mengakses maklumat, peluang untuk mendapatkannya dalam rangka kerja undang-undang; akses hanya boleh dihadkan oleh tindakan undang-undang kawal selia, organisasi sebarang halangan yang melanggar hak asasi manusia tidak boleh diterima;
  • sistem untuk mencipta, menggunakan dan mengedarkan data (sistem dan teknologi, arkib, perpustakaan, peraturan);
  • sistem untuk pembentukan kesedaran awam (media, sumber Internet, institusi sosial, institusi pendidikan).

Setiap objek mempunyai sistem khas langkah-langkah untuk melindungi daripada ancaman kepada keselamatan maklumat dan ketenteraman awam. Memastikan keselamatan maklumat dalam setiap kes hendaklah berdasarkan pendekatan sistem, dengan mengambil kira kekhususan objek.

Kategori dan media

Sistem perundangan Rusia, amalan penguatkuasaan undang-undang dan hubungan sosial yang mantap mengklasifikasikan maklumat mengikut kriteria kebolehcapaian. Ini membolehkan anda menjelaskan parameter penting yang diperlukan untuk memastikan keselamatan maklumat:

  • maklumat, akses yang terhad berdasarkan keperluan undang-undang (rahsia negara, rahsia komersial, data peribadi);
  • maklumat dalam akses terbuka;
  • maklumat terbuka yang disediakan di bawah syarat-syarat tertentu: maklumat berbayar atau data yang memerlukan kebenaran untuk digunakan, seperti kad perpustakaan;
  • jenis maklumat berbahaya, berbahaya, palsu dan lain-lain, pengedaran dan penyebarannya dihadkan sama ada oleh keperluan undang-undang atau piawaian korporat.

Maklumat daripada kumpulan pertama mempunyai dua mod perlindungan. rahsia negara, mengikut undang-undang, ini adalah maklumat yang dilindungi oleh negara, peredaran bebas yang boleh membahayakan keselamatan negara. Ini adalah data dalam bidang ketenteraan, dasar luar, perisikan, perisikan balas dan aktiviti ekonomi negara. Pemilik kumpulan data ini secara langsung adalah negeri. Badan yang diberi kuasa untuk mengambil langkah melindungi rahsia negara ialah Kementerian Pertahanan, Perkhidmatan Keselamatan Persekutuan (FSB), Perkhidmatan Perisikan Asing, Perkhidmatan Kawalan Teknikal dan Eksport Persekutuan (FSTEC).

Maklumat sulit- objek peraturan yang lebih pelbagai rupa. Senarai maklumat yang mungkin merupakan maklumat sulit terkandung dalam Keputusan Presiden No. 188 "Mengenai Persetujuan Senarai Maklumat Sulit". Ini adalah data peribadi; kerahsiaan penyiasatan dan prosiding undang-undang; rahsia rasmi; kerahsiaan profesional (perubatan, notari, peguam); rahsia perdagangan; maklumat tentang ciptaan dan model utiliti; maklumat yang terkandung dalam urusan peribadi banduan, serta maklumat mengenai penguatkuasaan akta kehakiman.

Data peribadi wujud secara terbuka dan dalam mod sulit. Bahagian data peribadi yang terbuka dan boleh diakses oleh semua pengguna termasuk nama pertama, nama keluarga, patronimik. Menurut Undang-undang Persekutuan-152 "Mengenai Data Peribadi", subjek data peribadi mempunyai hak untuk:

  • mengenai penentuan kendiri maklumat;
  • untuk mengakses data peribadi peribadi dan membuat perubahan kepada mereka;
  • untuk menyekat data peribadi dan akses kepada mereka;
  • untuk merayu terhadap tindakan menyalahi undang-undang pihak ketiga yang dilakukan berhubung dengan data peribadi;
  • untuk pampasan bagi kerosakan.

Hak untuk termaktub dalam peraturan mengenai badan negeri, undang-undang persekutuan, lesen untuk bekerja dengan data peribadi yang dikeluarkan oleh Roskomnadzor atau FSTEC. Syarikat yang bekerja secara profesional dengan data peribadi pelbagai orang, contohnya, pengendali telekomunikasi, mesti memasukkan daftar yang diselenggara oleh Roskomnadzor.

Objek berasingan dalam teori dan amalan keselamatan maklumat ialah pembawa maklumat, akses kepada yang terbuka dan tertutup. Apabila membangunkan konsep IS, kaedah perlindungan dipilih bergantung pada jenis media. Pembawa maklumat utama:

  • dicetak dan cara elektronik media massa, rangkaian sosial, sumber lain di Internet;
  • pekerja organisasi yang mempunyai akses kepada maklumat berdasarkan persahabatan, keluarga, hubungan profesional mereka;
  • cara komunikasi yang menghantar atau menyimpan maklumat: telefon, pertukaran telefon automatik, peralatan telekomunikasi lain;
  • dokumen semua jenis: peribadi, rasmi, negeri;
  • perisian sebagai kendiri objek maklumat, terutamanya jika versinya telah dimuktamadkan khusus untuk syarikat tertentu;
  • media elektronik maklumat yang memproses data secara automatik.

Untuk tujuan membangunkan konsep keselamatan maklumat, alat keselamatan maklumat biasanya dibahagikan kepada peraturan (tidak formal) dan teknikal (formal).

Cara perlindungan tidak formal ialah dokumen, peraturan, acara, yang formal adalah cara teknikal dan perisian khas. Perbezaan ini membantu untuk mengagihkan bidang tanggungjawab apabila mencipta sistem keselamatan maklumat: dengan pengurusan perlindungan am, kakitangan pentadbiran melaksanakan kaedah kawal selia, dan pakar IT, masing-masing, yang teknikal.

Asas keselamatan maklumat membayangkan pembahagian kuasa bukan sahaja dari segi penggunaan maklumat, tetapi juga dari segi bekerja dengan perlindungannya. Pengasingan kuasa ini memerlukan beberapa tahap kawalan.


Pemulihan formal

Pelbagai cara teknikal perlindungan keselamatan maklumat termasuk:

Cara perlindungan fizikal. Ini adalah mekanisme mekanikal, elektrikal, elektronik yang beroperasi secara bebas daripada sistem maklumat dan mewujudkan halangan untuk mengaksesnya. Kunci, termasuk yang elektronik, skrin, bidai direka bentuk untuk mewujudkan halangan untuk sentuhan faktor ketidakstabilan dengan sistem. Kumpulan ini ditambah dengan cara sistem keselamatan, contohnya, kamera video, perakam video, sensor yang mengesan pergerakan atau melebihi tahap radiasi elektromagnetik di kawasan lokasi cara teknikal untuk mengeluarkan maklumat, peranti terbenam.

Perlindungan perkakasan. Ini adalah peranti elektrik, elektronik, optik, laser dan lain-lain yang dibina ke dalam sistem maklumat dan telekomunikasi. Sebelum memperkenalkan perkakasan ke dalam sistem maklumat, keserasian mesti disahkan.

Perisian adalah mudah dan sistemik, program yang menyeluruh direka untuk menyelesaikan tugas peribadi dan kompleks yang berkaitan dengan penyediaan keselamatan maklumat. Contoh penyelesaian yang kompleks adalah dan: yang pertama berfungsi untuk mencegah kebocoran, memformat semula maklumat dan mengalihkan aliran maklumat, yang kedua - memberikan perlindungan terhadap insiden dalam bidang keselamatan maklumat. Alat perisian menuntut kuasa peranti perkakasan, dan rizab tambahan mesti disediakan semasa pemasangan.

KEPADA cara khusus keselamatan maklumat termasuk pelbagai algoritma kriptografi yang membolehkan anda menyulitkan maklumat pada cakera dan diubah hala melalui saluran luaran sambungan. Transformasi maklumat boleh berlaku dengan bantuan kaedah perisian dan perkakasan yang berfungsi dalam sistem maklumat korporat.

Semua bermakna yang menjamin keselamatan maklumat harus digunakan bersama, selepas penilaian awal nilai maklumat dan membandingkannya dengan kos sumber yang dibelanjakan untuk perlindungan. Oleh itu, cadangan penggunaan dana harus dirumuskan sudah di peringkat pembangunan sistem, dan kelulusan perlu dibuat di peringkat pengurusan yang bertanggungjawab untuk meluluskan belanjawan.

Untuk memastikan keselamatan, adalah perlu untuk memantau semua perkembangan moden, perlindungan perisian dan perkakasan, ancaman dan membuat perubahan tepat pada masanya kepada sistem sendiri perlindungan terhadap akses yang tidak dibenarkan. Hanya kecukupan dan tindak balas segera terhadap ancaman akan membantu mencapainya tahap tinggi kerahsiaan dalam syarikat.

Pemulihan tidak formal

Remedi tidak formal dikelompokkan kepada normatif, pentadbiran, dan moral dan etika. Pada peringkat pertama perlindungan, terdapat alat kawal selia yang mengawal selia keselamatan maklumat sebagai proses dalam aktiviti organisasi.

  • Bermaksud peraturan

Dalam amalan dunia, apabila membangunkan alat kawal selia, ia dipandu oleh piawaian keselamatan maklumat, yang utama ialah ISO / IEC 27000. Piawaian itu dicipta oleh dua organisasi:

  • ISO - Suruhanjaya Antarabangsa untuk Standardisasi, yang membangunkan dan meluluskan kebanyakan kaedah yang diiktiraf di peringkat antarabangsa untuk pensijilan kualiti proses pengeluaran dan pengurusan;
  • IEC - Suruhanjaya Tenaga Antarabangsa, yang memperkenalkan pemahamannya tentang sistem keselamatan maklumat, cara dan kaedah penyediaannya ke dalam standard

Versi semasa ISO / IEC 27000-2016 menawarkan piawaian sedia dibuat dan metodologi terbukti yang diperlukan untuk pelaksanaan keselamatan maklumat. Menurut pengarang kaedah, asas keselamatan maklumat terletak pada pelaksanaan yang sistematik dan konsisten semua peringkat dari pembangunan hingga pasca kawalan.

Untuk mendapatkan sijil yang mengesahkan pematuhan piawaian keselamatan maklumat, adalah perlu untuk melaksanakan semua amalan yang disyorkan sepenuhnya. Jika tidak ada keperluan untuk mendapatkan sijil, ia dibenarkan untuk mengambil mana-mana yang lebih versi awal standard, bermula dengan ISO / IEC 27000-2002, atau GOST Rusia, yang bersifat nasihat.

Berdasarkan hasil kajian standard, dua dokumen sedang dibangunkan yang berkaitan dengan keselamatan maklumat. Yang utama, tetapi kurang formal, ialah konsep keselamatan maklumat perusahaan, yang menentukan langkah dan kaedah untuk melaksanakan sistem keselamatan maklumat untuk sistem maklumat organisasi. Dokumen kedua yang perlu dipatuhi oleh semua pekerja syarikat ialah peraturan mengenai keselamatan maklumat, yang diluluskan di peringkat lembaga pengarah atau badan eksekutif.

Sebagai tambahan kepada kedudukan di peringkat syarikat, senarai maklumat yang membentuk rahsia perdagangan, lampiran kepada kontrak pekerjaan, menetapkan tanggungjawab untuk pendedahan data sulit, piawaian dan kaedah lain harus dibangunkan. Peraturan dan peraturan dalaman harus mengandungi mekanisme dan tanggungjawab pelaksanaan. Selalunya, langkah-langkah itu bersifat disiplin, dan pelanggar mesti bersedia untuk fakta bahawa di sebalik pelanggaran rejim rahsia perdagangan Sekatan yang ketara sehingga dan termasuk pemecatan akan menyusul.

  • Langkah-langkah organisasi dan pentadbiran

Sebagai sebahagian daripada aktiviti pentadbiran untuk melindungi keselamatan maklumat, terdapat ruang untuk kreativiti untuk pegawai keselamatan. Ini termasuk penyelesaian seni bina dan perancangan yang membolehkan perlindungan bilik mesyuarat dan bilik pengurusan daripada mencuri dengar, dan mewujudkan tahap akses yang berbeza kepada maklumat. penting langkah-langkah organisasi pensijilan aktiviti syarikat mengikut piawaian ISO / IEC 27000, pensijilan sistem perkakasan dan perisian individu, pensijilan subjek dan objek untuk pematuhan keperluan yang diperlukan keselamatan, mendapatkan lesen yang diperlukan untuk bekerja dengan susunan maklumat yang dilindungi.

Dari sudut pandangan mengawal selia aktiviti kakitangan, adalah penting untuk mereka bentuk sistem permintaan untuk akses kepada Internet, luaran. e-mel, sumber lain. elemen berasingan akan menjadi penerimaan tandatangan digital elektronik untuk meningkatkan keselamatan maklumat kewangan dan maklumat lain yang dihantar kepada agensi kerajaan melalui saluran e-mel.

  • Langkah-langkah moral dan etika

Langkah-langkah moral dan etika menentukan sikap peribadi seseorang terhadap maklumat sulit atau maklumat yang terhad dalam edaran. Meningkatkan tahap pengetahuan pekerja mengenai kesan ancaman terhadap aktiviti syarikat mempengaruhi tahap kesedaran dan tanggungjawab pekerja. Untuk memerangi pelanggaran rejim maklumat, termasuk, sebagai contoh, penghantaran kata laluan, pengendalian media yang cuai, penyebaran data sulit dalam perbualan peribadi, adalah perlu untuk menekankan hati nurani peribadi pekerja. Ia akan berguna untuk mewujudkan penunjuk prestasi untuk kakitangan, yang akan bergantung pada sikap terhadap sistem korporat IB.

Infografik menggunakan data daripada penyelidikan kami sendiriSearchInform.

Setiap orang sekurang-kurangnya sekali mendengar frasa yang menyayat hati tentang keperluan untuk mengekalkan tahap keselamatan maklumat yang berkualiti tinggi. Ini cerita seram tentang pecah masuk yang dipenuhi dengan jeritan dan keputusasaan. Akibat mimpi buruk dibincangkan di hampir setiap tapak ... Oleh itu, sekarang anda perlu mengisi komputer dengan alat keselamatan mengikut kapasiti, serta memotong wayar ... Terdapat banyak petua keselamatan, tetapi atas sebab tertentu ia adalah tak guna tak berkesan sangat. Dalam banyak cara, sebabnya terletak pada kurangnya pemahaman tentang perkara mudah seperti "apa yang kita lindungi", "daripada siapa kita melindungi" dan "apa yang kita mahu dapatkan sebagai hasilnya". Tetapi, perkara pertama dahulu.

Keselamatan maklumat istilah ini bermaksud pelbagai langkah, keadaan pemeliharaan, teknologi, dll., tetapi semuanya lebih mudah. Oleh itu, mula-mula jawab sendiri soalan, berapa ramai orang dari persekitaran anda sekurang-kurangnya telah membaca definisi konsep ini, dan bukan hanya bermaksud membandingkan perkataan dengan maknanya? Kebanyakan orang mengaitkan keselamatan dengan antivirus, tembok api dan perisian keselamatan lain. Sudah tentu, alat ini membantu melindungi komputer anda daripada ancaman dan meningkatkan tahap perlindungan sistem, tetapi hanya sedikit orang yang menyedari apa yang sebenarnya dilakukan oleh program ini.

Apabila memikirkan tentang keselamatan maklumat, anda harus mula-mula mulakan dengan soalan berikut.:

  • Objek perlindungan- anda perlu memahami apa sebenarnya yang anda ingin lindungi. Ini adalah data peribadi yang disimpan pada komputer (supaya orang lain tidak mendapatnya), ini adalah prestasi komputer (supaya virus dan trojan tidak membawa sistem ke tahap pentium pertama), ini adalah aktiviti rangkaian (supaya program yang tamak untuk Internet tidak menghantar statistik tentang anda setiap setengah jam), ini adalah ketersediaan komputer (supaya skrin biru kematian tidak membanjiri sistem), ini ...
  • Tahap keselamatan yang diingini. Komputer yang dilindungi sepenuhnya ialah komputer yang tidak wujud. Tidak kira seberapa keras anda mencuba, akan sentiasa ada kemungkinan komputer anda akan digodam. Perlu diingat dan sentiasa ingat bahawa ada hala tuju seperti Kejuruteraan sosial(dapatkan kata laluan daripada tong sampah, mencuri dengar, mengintip, dsb.). Walau bagaimanapun, ini bukan sebab untuk membiarkan sistem tidak dilindungi. Sebagai contoh, untuk melindungi komputer anda daripada kebanyakan virus yang diketahui- ini adalah tugas yang boleh dilaksanakan sepenuhnya, yang, sebenarnya, setiap pengguna biasa lakukan dengan memasang salah satu antivirus popular pada komputernya.
  • Tahap akibat yang dibenarkan. Jika anda faham bahawa komputer anda boleh digodam, contohnya, oleh penggodam yang hanya berminat dengan anda (kebetulan penyerang menyukai alamat IP anda), maka anda harus memikirkan tentang tahap yang boleh diterima akibat. Sistem rosak - tidak menyenangkan, tetapi tidak menakutkan, kerana anda mempunyai cakera pemulihan di tangan. Komputer anda sentiasa melawat tapak pedas - menyenangkan dan tidak menyenangkan, tetapi boleh diterima dan boleh diperbaiki. Tetapi, sebagai contoh, jika anda Foto Peribadi, yang tidak sepatutnya diketahui oleh sesiapa (tamparan serius terhadap reputasi), maka ini sudah menjadi tahap akibat yang ketara dan perlu mengambil langkah pencegahan (memperbesar-besarkan, ambil komputer lama tanpa Internet dan lihat gambar sahaja di atasnya) .
  • Apa yang anda ingin dapatkan sebagai output? Soalan ini melibatkan banyak perkara - berapa banyak tindakan tidak perlu yang perlu anda lakukan, perkara yang perlu anda korbankan, cara perlindungan harus mempengaruhi prestasi, sama ada program boleh ditambahkan pada senarai pengecualian, bilangan mesej dan penggera yang harus dipaparkan pada skrin (dan sama ada ia sepatutnya muncul sama sekali) , serta banyak lagi. Hari ini terdapat banyak alat keselamatan, tetapi setiap daripada mereka mempunyai kebaikan dan keburukan. Sebagai contoh, Windows UAC yang sama dalam operasi sistem Vista tidak dilakukan dengan cara yang sangat berjaya, tetapi sudah dalam Windows 7 ia dibawa ke titik di mana alat perlindungan menjadi agak mudah untuk digunakan.

Setelah menjawab semua soalan ini, anda akan menjadi lebih mudah untuk memahami bagaimana anda akan mengatur perlindungan maklumat pada komputer anda. Sudah tentu, ini bukan senarai keseluruhan soalan, bagaimanapun, sebahagian yang mencukupi daripada pengguna biasa tidak ditanya walaupun oleh salah seorang daripada mereka.

Memasang dan mengkonfigurasi alat keselamatan pada komputer hanyalah sebahagian daripada langkah yang diambil. Dengan membuka pautan yang mencurigakan dan mengesahkan semua tindakan aplikasi yang tidak kurang mencurigakan, anda boleh dengan mudah menafikan semua usaha program perlindungan. Atas sebab ini, ia juga sentiasa bernilai memikirkan tindakan anda. Sebagai contoh, jika tugas anda adalah untuk melindungi penyemak imbas, tetapi anda tidak boleh mengelak daripada membuka pautan yang mencurigakan dalam apa jua cara (contohnya, disebabkan oleh perkara khusus), maka anda sentiasa boleh memasang pelayar tambahan, digunakan semata-mata untuk membuka pautan yang mencurigakan atau sambungan penyemak pautan pendek . Dalam kes ini, jika mana-mana daripada mereka ternyata pancingan data (kecurian data, akses, dll.), maka penyerang akan mencapai sedikit.

Masalah menentukan satu set tindakan untuk melindungi maklumat biasanya terletak pada kekurangan jawapan kepada soalan dari perenggan sebelumnya. Sebagai contoh, jika anda tidak tahu atau tidak faham apa sebenarnya yang anda ingin lindungi, maka ia akan sentiasa sukar untuk membuat atau mencari beberapa langkah keselamatan tambahan (kecuali langkah-langkah biasa seperti tidak membuka pautan yang mencurigakan, tidak melawat sumber yang meragukan, dsb.). Mari cuba pertimbangkan situasi pada contoh tugas melindungi data peribadi, yang paling kerap diletakkan di kepala objek yang dilindungi.

Perlindungan maklumat peribadi ini adalah salah satu tugas yang sukar yang orang hadapi. Dengan pertumbuhan pesat dalam bilangan dan kandungan rangkaian sosial, perkhidmatan maklumat dan khusus sumber dalam talian, adalah satu kesilapan besar untuk berfikir bahawa melindungi data peribadi anda adalah tentang menyediakan tahap keselamatan yang boleh dipercayai untuk komputer anda. Tidak lama dahulu, hampir mustahil untuk mengetahui apa-apa tentang seseorang yang tinggal beratus-ratus kilometer dari anda, atau bahkan di rumah jiran, tanpa mempunyai sambungan yang sesuai. Hari ini, hampir semua orang boleh belajar banyak perkara maklumat peribadi kira-kira setiap satu dalam hanya beberapa jam selepas mengklik tetikus dalam penyemak imbas, atau lebih pantas. Pada masa yang sama, semua tindakannya boleh benar-benar sah, tetapi anda sendiri telah meletakkan maklumat tentang diri anda dalam akses awam.

Semua orang telah bertemu dengan gema kesan ini. Pernahkah anda mendengar bahawa perkataan ujian pada Soalan keselamatan tidak sepatutnya dikaitkan dengan anda dan orang lain? Dan ini hanya sebahagian kecil. Walaupun ia mungkin mengejutkan anda, tetapi dalam banyak cara perlindungan maklumat peribadi hanya bergantung pada anda. Tiada alat keselamatan, walaupun ia tidak membenarkan sesiapa selain anda mengakses komputer, boleh melindungi maklumat yang dihantar di luar komputer (perbualan, Internet, rakaman, dll.). Anda meninggalkan mel anda di suatu tempat - jangkakan peningkatan dalam spam. Anda meninggalkan gambar memeluk teddy bear sumber pihak ketiga, tunggu "kraf" lucu yang sesuai dari pengarang bosan.

Jika sedikit lebih serius, maka keterbukaan besar data Internet dan kesembronoan / keterbukaan / keterbukaan anda, dengan semua langkah keselamatan, boleh membatalkan yang terakhir. Atas sebab ini, adalah perlu untuk menjaga pilihan kaedah untuk melindungi maklumat dan memasukkan di dalamnya bukan sahaja cara teknikal, tetapi juga tindakan yang meliputi aspek kehidupan yang lain.

Catatan: Sudah tentu, anda tidak sepatutnya menganggap bahawa kubu bawah tanah adalah tempat terbaik dalam kehidupan. Walau bagaimanapun, memahami bahawa perlindungan data peribadi bergantung kepada anda akan memberi anda kelebihan besar berbanding penceroboh.

Kaedah keselamatan maklumat sering disamakan dengan penyelesaian teknikal, mengabaikan takungan yang begitu besar untuk potensi ancaman seperti tindakan orang itu sendiri. Anda boleh memberi pengguna keupayaan untuk menjalankan hanya satu program dan melakukan pembersihan dalam masa lima minit sahaja, jika boleh. Satu mesej dalam forum tentang maklumat yang didengar boleh memecahkan perlindungan yang paling sempurna (melebih-lebihkan, mengenai pencegahan nod perlindungan, dengan kata lain, kekurangan perlindungan sementara).

Untuk memutuskan kaedah perlindungan data, anda perlu bukan sahaja mencari alat keselamatan yang sesuai, dengan malas mengklik tetikus dalam tetingkap penyemak imbas, tetapi juga memikirkan bagaimana maklumat boleh tersebar dan perkara yang boleh menjadi kebimbangan. Tidak kira bagaimana bunyinya, tetapi untuk ini anda perlu mengambil kertas dan pensil, dan kemudian mempertimbangkan segala-galanya cara yang mungkin penyebaran maklumat dan apa yang boleh dikaitkan dengannya. Sebagai contoh, mari kita ambil tugas untuk merahsiakan kata laluan yang mungkin.

Situasi. Anda menghasilkan kata laluan kompleks yang tiada kaitan dengan anda, memenuhi sepenuhnya keperluan keselamatan yang paling ketat, tidak meninggalkan satu sebutan pun di mana-mana (aspek seperti sisa dalam memori komputer, pada cakera dan mata lain tidak diambil kira ), jangan gunakan pengurus kata laluan, masukkan kata laluan dari satu komputer sahaja, menggunakan papan kekunci selamat, gunakan VPN untuk menyambung, but komputer hanya dari LiveCD. Dalam satu frasa, paranoid sebenar dan fanatik keselamatan. Walau bagaimanapun, ini mungkin tidak mencukupi untuk melindungi kata laluan.

Berikut adalah beberapa kemungkinan situasi mudah yang jelas menunjukkan keperluan untuk pandangan yang luas tentang kaedah keselamatan maklumat:

  • Apakah yang akan anda lakukan jika anda perlu memasukkan kata laluan apabila terdapat orang lain di dalam bilik, malah "yang terbaik"? Anda tidak boleh menjamin bahawa mereka tidak akan menyebut secara rawak maklumat tidak langsung tentang kata laluan. Sebagai contoh, duduk dalam persekitaran yang menyenangkan di kedai makan, frasa "dia mempunyai seperti itu kata laluan yang panjang, sebanyak sedozen dan sekumpulan aksara yang berbeza", yang agak menyempitkan kawasan untuk memecahkan kata laluan kepada penyerang.
  • Apakah yang akan anda lakukan jika ini berlaku dan anda memerlukan orang lain untuk melakukan pembedahan untuk anda? Kata laluan boleh didengari oleh orang lain secara tidak sengaja. Jika anda menentukan kata laluan kepada orang yang kurang mahir dalam komputer, maka kemungkinan besar dia akan menulisnya di suatu tempat, tidaklah wajar untuk menuntut fanatik anda daripadanya.
  • Apakah yang akan anda lakukan jika ini berlaku dan seseorang mengetahui tentang cara anda membuat kata laluan? Maklumat sedemikian juga mengecilkan kawasan pemilihan dengan baik.
  • Bagaimana anda boleh melindungi kata laluan jika salah satu hos menyediakan penghantaran selamat kata laluan telah digodam oleh penyerang? Contohnya, pelayan VPN yang anda gunakan untuk mengakses Internet telah digodam.
  • Adakah kata laluan anda masuk akal jika sistem yang anda gunakan telah digodam?
  • Dan lain lain

Sudah tentu, ini tidak bermakna keperluan untuk carian yang degil dan berterusan untuk beberapa bulan kaedah perlindungan maklumat. Intinya ialah walaupun yang paling sistem yang kompleks boleh dipecahkan oleh kelemahan manusia semata-mata, pertimbangan yang telah diabaikan. Oleh itu, semasa mengatur keselamatan komputer anda, cuba perhatikan bukan sahaja sisi teknikal soalan, tetapi juga kepada dunia di sekeliling anda.

DALAM Kehidupan seharian selalunya keselamatan maklumat (IS) hanya difahami sebagai keperluan untuk memerangi kebocoran rahsia dan penyebaran maklumat palsu dan bermusuhan. Namun, pemahaman ini sangat sempit. Terdapat banyak definisi keselamatan maklumat yang berbeza, yang menyerlahkan sifat individunya.

Dalam Undang-undang Persekutuan "Mengenai Maklumat, Pemformatan dan Perlindungan Maklumat", yang telah menjadi tidak sah, di bawah keselamatan maklumat faham keadaan keselamatan persekitaran maklumat masyarakat yang memastikan pembentukan dan pembangunannya demi kepentingan rakyat, organisasi dan negara.

Sumber lain memberikan definisi berikut:

Keselamatan maklumat- Ini

1) satu set langkah organisasi dan teknikal yang memastikan integriti data dan kerahsiaan maklumat, digabungkan dengan ketersediaannya kepada semua pengguna yang dibenarkan;

2) penunjuk yang mencerminkan status keselamatan sistem maklumat;

3) negerikeselamatan persekitaran maklumat;

4) keadaan keselamatan sumber maklumat dan salurandan akses kepada sumber maklumat.

V. I. Yarochkin percaya bahawa Keselamatan maklumat Terdapat keadaan keselamatan sumber maklumat, teknologi pembentukan dan penggunaannya, serta hak subjek aktiviti maklumat.

Takrifan yang cukup lengkap diberikan oleh V. Betelin dan V. Galatenko, yang mempercayainya

Dalam tutorial ini, kita akan bergantung pada definisi di atas.

Keselamatan maklumat tidak terhad kepada perlindungan maklumat dan keselamatan komputer. Keselamatan maklumat harus dibezakan daripada keselamatan maklumat.

Kadangkala perlindungan maklumat difahami sebagai penciptaan dalam komputer dan sistem pengkomputeran satu set cara, kaedah dan langkah yang teratur yang direka bentuk untuk menghalang herotan, pemusnahan atau penggunaan tanpa kebenaran maklumat yang dilindungi.

Langkah-langkah untuk memastikan keselamatan maklumat harus dilaksanakan dalam bidang yang berbeza - politik, ekonomi, pertahanan, serta di pelbagai peringkat - negeri, wilayah, organisasi dan peribadi. Oleh itu, tugas keselamatan maklumat di peringkat negeri adalah berbeza dengan tugas yang dihadapi keselamatan maklumat di peringkat organisasi.

Subjek perhubungan maklumat mungkin mengalami (mengalami kerosakan material dan/atau moral) bukan sahaja daripada akses tanpa kebenaran kepada maklumat, tetapi juga daripada kerosakan sistem yang menyebabkan kerja terhenti. Keselamatan maklumat bergantung bukan sahaja pada komputer, tetapi juga pada infrastruktur sokongan, yang termasuk sistem bekalan kuasa, air dan haba, penghawa dingin, komunikasi dan, sudah tentu, kakitangan penyelenggaraan. Infrastruktur sokongan mempunyai nilai bebas, kepentingannya tidak boleh dipandang tinggi.

Selepas peristiwa 11 September 2001, konsep "infrastruktur kritikal" ditakrifkan dalam undang-undang AS mengikut Akta Patriot, yang difahami sebagai "satu set fizikal atau sistem maya dan aset yang begitu penting kepada Amerika Syarikat sehingga kegagalan atau kemusnahan mereka boleh membawa akibat yang dahsyat kepada pertahanan, ekonomi, kesihatan awam dan keselamatan negara.” Konsep infrastruktur kritikal merangkumi bidang utama ekonomi dan ekonomi negara AS seperti pertahanan negara, pertanian, pengeluaran makanan, penerbangan awam, pengangkutan maritim, jalan raya kereta dan jambatan, terowong, empangan, saluran paip, bekalan air, penjagaan kesihatan, perkhidmatan bantuan kecemasan, organ dikawal kerajaan, pengeluaran ketenteraan, sistem dan rangkaian maklumat dan telekomunikasi, tenaga, pengangkutan, perbankan dan sistem kewangan, industri kimia, perkhidmatan pos.

DALAM secara sosial keselamatan maklumat melibatkan perjuangan menentang "pencemaran" maklumat persekitaran menggunakan maklumat untuk tujuan haram dan tidak bermoral.

Juga, objek kesan maklumat dan, akibatnya, keselamatan maklumat boleh menjadi kesedaran awam atau individu.

Di peringkat negeri, subjek keselamatan maklumat ialah pihak berkuasa eksekutif, perundangan dan kehakiman. Di sesetengah jabatan, badan yang terlibat secara khusus dalam keselamatan maklumat telah diwujudkan.

Di samping itu, subjek IB boleh:

Rakyat dan persatuan awam;

Media massa;

Perusahaan dan organisasi tanpa mengira bentuk pemilikan.

minat Entiti IS yang dikaitkan dengan penggunaan sistem maklumat boleh dibahagikan kepada kategori utama berikut:

Ketersediaan- peluang untuk menerima perkhidmatan maklumat yang diperlukan dalam masa yang munasabah. Sistem maklumat dicipta (diperolehi) untuk menerima perkhidmatan maklumat tertentu (perkhidmatan). Jika, atas satu sebab atau yang lain, penerimaan perkhidmatan ini oleh pengguna menjadi mustahil, ini memudaratkan semua subjek perhubungan maklumat. Peranan utama kebolehcapaian ditunjukkan dengan jelas dalam pelbagai jenis sistem pengurusan: pengeluaran, pengangkutan, dsb. Oleh itu, tanpa menentang kebolehcapaian kepada aspek lain, kebolehcapaian adalah elemen penting IB.

Integriti- perkaitan dan ketekalan maklumat, perlindungannya daripada kemusnahan dan perubahan yang tidak dibenarkan. Integriti boleh dibahagikan kepada statik (difahami sebagai kebolehubahan objek maklumat) dan dinamik (berkaitan dengan pelaksanaan yang betul bagi tindakan kompleks (urus niaga)). Hampir semua dokumen kawal selia dan perkembangan domestik merujuk kepada integriti statik, walaupun aspek dinamik tidak kurang pentingnya. Contoh skop kawalan integriti dinamik ialah analisis aliran mesej kewangan untuk mengesan kecurian, penyusunan semula atau pertindihan mesej individu.

Kerahsiaan- Perlindungan terhadap akses yang tidak dibenarkan. Kerahsiaan dilindungi oleh undang-undang, peraturan, pengalaman bertahun-tahun dalam perkhidmatan yang berkaitan. Produk perkakasan dan perisian memungkinkan untuk menutup hampir semua saluran potensi kebocoran maklumat.

Sasaran langkah dalam bidang keselamatan maklumat - melindungi kepentingan subjek IS.

tugas IS:

1. Memastikan hak individu dan masyarakat untuk menerima maklumat.

2. Menyediakan maklumat objektif.

3. Membanteras ancaman jenayah dalam bidang sistem maklumat dan telekomunikasi, keganasan telefon, pengubahan wang haram, dsb.

4. Perlindungan individu, organisasi, masyarakat dan negara daripada ancaman maklumat dan psikologi.

5. Pembentukan imej, memerangi fitnah, khabar angin, maklumat yang salah.

Peranan keselamatan maklumat meningkat apabila situasi yang melampau timbul, apabila sebarang mesej yang tidak boleh dipercayai boleh membawa kepada kemerosotan keadaan.

kriteria IB- Keselamatan maklumat terjamin daripada kebocoran, herotan, kehilangan atau bentuk susut nilai yang lain. selamat Teknologi maklumat harus mempunyai keupayaan untuk mencegah atau meneutralkan kesan ancaman luaran dan dalaman terhadap maklumat, mengandungi kaedah dan cara yang mencukupi untuk melindunginya.



ARTIKEL BERKAITAN