Langkah perisian dan perkakasan, iaitu, langkah yang bertujuan untuk mengawal entiti komputer - peralatan, program dan/atau data, membentuk sempadan terakhir dan paling penting keselamatan maklumat. Mari kita ingat bahawa kerosakan disebabkan terutamanya oleh tindakan pengguna undang-undang, yang berkaitan dengannya pengawal selia prosedur tidak berkesan. Musuh utama adalah ketidakcekapan dan kecuaian dalam melaksanakan tugas rasmi, dan hanya langkah perisian dan perkakasan boleh mengatasinya.
Komputer telah membantu mengautomasikan banyak bidang aktiviti manusia. Nampaknya wajar jika ingin mempercayakan keselamatan sendiri kepada mereka. Malah perlindungan fizikal semakin diamanahkan bukan kepada pengawal keselamatan, tetapi kepada sistem komputer bersepadu, yang memungkinkan untuk menjejaki pergerakan pekerja secara serentak di seluruh organisasi dan merentasi ruang maklumat.
Walau bagaimanapun, ia harus diambil kira bahawa pembangunan pesat teknologi maklumat bukan sahaja memberikan pemain pertahanan peluang baru, tetapi juga secara objektif menyukarkan untuk memastikannya perlindungan yang boleh dipercayai, jika kita hanya bergantung pada langkah-langkah program peringkat teknikal. Terdapat beberapa sebab untuk ini:
meningkatkan prestasi litar mikro, membangunkan seni bina dengan darjat tinggi keselarian membolehkan, menggunakan kekerasan, untuk mengatasi halangan (terutamanya kriptografi) yang sebelum ini kelihatan tidak dapat ditembusi;
pembangunan rangkaian dan teknologi rangkaian, peningkatan dalam bilangan sambungan antara sistem maklumat, dan peningkatan dalam kapasiti saluran memperluaskan kalangan penyerang yang mempunyai kebolehlaksanaan teknikal mengatur serangan;
kemunculan yang baru perkhidmatan maklumat membawa kepada pembentukan kelemahan baharu kedua-dua perkhidmatan "dalam" dan pada antara muka mereka;
persaingan di kalangan pengeluar perisian memaksa masa pembangunan dikurangkan, yang membawa kepada penurunan dalam kualiti ujian dan pengeluaran produk dengan kecacatan keselamatan;
Paradigma kuasa perkakasan dan perisian yang semakin meningkat yang dikenakan ke atas pengguna menyukarkan untuk kekal dalam batasan konfigurasi yang boleh dipercayai dan terbukti untuk masa yang lama dan, di samping itu, bercanggah dengan kekangan belanjawan, yang mengurangkan bahagian peruntukan keselamatan.
Pertimbangan di atas sekali lagi menekankan kepentingan pendekatan bersepadu terhadap keselamatan maklumat, serta keperluan untuk kedudukan yang fleksibel apabila memilih dan menyelenggara pengawal selia perisian dan perkakasan.
Pusat kepada tahap perisian dan perkakasan ialah konsep perkhidmatan keselamatan.
Mengikuti pendekatan berorientasikan objek, apabila mempertimbangkan sistem maklumat dengan satu tahap perincian, kita akan melihat keseluruhan perkhidmatan maklumat yang disediakannya. Mari kita panggil mereka asas. Untuk membolehkan mereka berfungsi dan mempunyai sifat yang diperlukan, beberapa peringkat perkhidmatan tambahan (bantu) diperlukan - daripada DBMS dan monitor transaksi kepada kernel dan perkakasan sistem pengendalian.
Perkhidmatan sampingan termasuk perkhidmatan keselamatan (kami telah pun menemuinya apabila mempertimbangkan piawaian dan spesifikasi dalam bidang keselamatan maklumat); Antaranya, kami akan berminat terutamanya dalam perkhidmatan sejagat, peringkat tinggi yang boleh digunakan oleh pelbagai perkhidmatan utama dan tambahan. Seterusnya kita akan melihat perkhidmatan berikut:
- pengenalan dan pengesahan;
- kawalan capaian;
- pembalakan dan pengauditan;
- penyulitan;
- kawalan integriti;
- perisai;
- analisis keselamatan;
- memastikan toleransi kesalahan;
- memastikan pemulihan yang selamat;
- terowong;
- kawalan.
- perlindungan rangkaian dalaman;
- perlindungan akses kepada Internet dan antarabangsa pertukaran maklumat;
- perlindungan interaksi dengan unit jauh.
- daripada teknologi pemprosesan maklumat tertentu;
- daripada teknikal dan perisian;
- dari lokasi organisasi;
- kawalan akses,
- perisai,
- pengesahan dan pengenalan pengguna,
- pembalakan dan pengauditan,
- keselamatan ketersediaan yang tinggi,
- kriptografi.
pengenalan dan pengesahan;
kawalan capaian;
pembalakan dan pengauditan;
penyulitan;
kawalan integriti;
perisai;
analisis keselamatan;
memastikan toleransi kesalahan;
keselamatan pemulihan yang selamat;
terowong;
Langkah-langkah perisian dan perkakasan bertujuan untuk mengawal kelengkapan komputer, program dan data tersimpan membentuk sempadan keselamatan maklumat yang terakhir tetapi tidak kurang pentingnya. Pada tahap ini, bukan sahaja positif, tetapi juga Akibat negatif kemajuan pesat teknologi maklumat. pertama, ciri-ciri tambahan muncul bukan sahaja dalam kalangan pakar keselamatan maklumat, tetapi juga dalam kalangan penyerang. Kedua, sistem maklumat sentiasa dimodenkan, dibina semula, dan komponen yang diuji tidak mencukupi (terutamanya perisian) ditambah kepada mereka, yang menjadikannya sukar untuk mematuhi rejim keselamatan.
Pusat kepada tahap perisian dan perkakasan ialah konsep perkhidmatan keselamatan. Perkhidmatan sedemikian untuk institusi dan syarikat termasuk: sektor awam termasuk:
Pada masa ini, meningkatkan tahap keselamatan maklumat perusahaan milik negara boleh dicapai dengan melaksanakan teknologi moden perlindungan, dicirikan dengan meningkatkan fungsi, serba boleh dan keupayaan untuk dialihkan ke mana-mana platform. Di kawasan perlindungan teknikal sumber maklumat, kita boleh membezakan tiga bidang utama di mana perusahaan milik negara Rusia beroperasi:
Pada masa yang sama, kami ingat bahawa agensi kerajaan dan organisasi kerajaan hanya menggunakan alat keselamatan maklumat yang diperakui oleh FSTEC atau FSB Persekutuan Rusia. Untuk melindungi sumber dalaman, kebanyakan pihak berkuasa persekutuan dan wilayah kuasa negeri gunakan terbina dalam OS mekanisme pengesahan dan kebenaran pengguna. Sesetengah jabatan mempunyai sistem diperakui khas untuk melindungi daripada akses tanpa kebenaran dan kunci elektronik, seperti "Labyrinth-M", "Accord", SecretNet. Sebagai peraturan, cara penyulitan dipasang kunci rahsia perlindungan maklumat "CryptoPro" atau lama dikenali dan masih sistem popular keluarga "Verba".
Untuk melindungi stesen kerja dan pelayan pada rangkaian dalaman daripada perisian hasad(virus, cacing, Kuda Trojan) sebahagian besar organisasi kerajaan menggunakan perisian antivirus perisian. Selalunya ini ialah Anti-Virus Kaspersky Rusia atau Dr.Web. Walau bagaimanapun, terdapat juga penyelesaian Trend Micro, Symantec, McAfee, Eset.
Rangkaian dibahagikan kepada segmen dengan keperluan keselamatan maklumat yang berbeza menggunakan mekanisme penapisan alamat MAC dan IP pada aktif peralatan rangkaian dan mekanisme VLAN. Sistem pemantauan dasar keselamatan yang membandingkan tetapan semasa mekanisme pertahanan dan subsistem dengan nilai rujukan (Cisco, Uryadnik).
Untuk melindungi perimeter rangkaian, agensi kerajaan biasanya menggunakan pelbagai yang diperakui tembok api. Ini terutamanya penyelesaian daripada Cisco, Aladdin dan Check Point. Tetapi terdapat juga produk dari pengeluar lain, khususnya, Pengurus Sempadan Novell, Pelayan Microsoft ISA, SSPT-1 dan SSPT-1M dari Institut Penyelidikan Pusat RTK, Zastava dari Elvis-Plus.
Sistem pengesanan dan pencegahan serangan (yang dipanggil HIPS) setakat ini telah dilaksanakan dalam sangat sedikit organisasi kerajaan. Biasanya, penyelesaian daripada Symantec, S.N. ditemui di sini. Safe'n'Software dan Cisco. Agensi kerajaan persekutuan menyediakan perlindungan terhadap spam dan penyalahgunaan di Internet pelbagai sistem pemantauan E-mel dan trafik web, seperti eSafe Gateway, MAILsweeper, WEBsweeper dan Websense.
Dalam saluran komunikasi dengan unit jauh, sahaja sistem Rusia perlindungan kriptografi maklumat dan VPN - “Zastava”, VipNet atau “Benua”.
11. Rangka kerja undang-undang perlindungan organisasi. Sumber undang-undang dalam bidang keselamatan maklumat. Jenis dokumen peraturan. Contoh dokumen perundangan dalam dan luar negara.
DALAM Persekutuan Russia Tindakan undang-undang kawal selia dalam bidang keselamatan maklumat termasuk:
· Akta perundangan persekutuan:
· Perjanjian antarabangsa Persekutuan Rusia;
· Perlembagaan Persekutuan Rusia;
· Undang-undang di peringkat persekutuan (termasuk undang-undang perlembagaan persekutuan, kod);
· Dekri Presiden Persekutuan Rusia;
· Dekri Kerajaan Persekutuan Rusia;
· Tindakan undang-undang kawal selia kementerian dan jabatan persekutuan;
· Tindakan undang-undang kawal selia entiti konstituen Persekutuan Rusia, kerajaan tempatan, dsb.
Dokumen kawal selia dan metodologi termasuk
1. Dokumen metodologi Agensi-agensi kerajaan Rusia:
· Doktrin keselamatan maklumat Persekutuan Rusia;
· Dokumen panduan FSTEC (Suruhanjaya Teknikal Negeri Rusia);
· Pesanan FSB;
2. Piawaian keselamatan maklumat, yang berikut dibezakan:
· Piawaian negeri (kebangsaan) Persekutuan Rusia;
· Arahan metodologi.
Jenis dokumen pengawalseliaan:
· Tindakan undang-undang kawal selia: Undang-undang Persekutuan Rusia (Mengenai Keselamatan), Undang-undang Persekutuan (Mengenai Data Peribadi, Mengenai Teknologi Maklumat dan Maklumat, Mengenai Elektronik tandatangan digital), Dekri Presiden Persekutuan Rusia (Pada kelulusan senarai maklumat sulit), Dekri Kerajaan (Mengenai Persijilan Alat Keselamatan Maklumat, Mengenai Pelesenan);
· Dokumen kawal selia, metodologi dan metodologi: Doktrin, Perintah FSTEC, Peraturan mengenai pensijilan peralatan perlindungan mengikut keperluan keselamatan, Peraturan mengenai pensijilan objek, Peruntukan model, Dokumen panduan, Kaedah (penilaian keselamatan), Dokumen kawal selia dan metodologi;
· Piawaian: GOST, RD, SanPin ( Keperluan kebersihan ke terminal paparan video), SNiP (perlindungan hingar).
Contoh dokumen perundangan asing:
USA
Sehingga hari ini, Amerika Syarikat adalah bidang kuasa dengan bilangan terbesar dokumen dalam Sistem (lebih daripada 12,000 dokumen).
Pangkalan data termasuk dokumen daripada dua sumber undang-undang persekutuan utama Amerika: Kod AS (USC) dan Kod Peraturan Persekutuan (CFR). Yang pertama ialah satu set perundangan berkanun persekutuan yang sistematik dan terdiri daripada 52 bahagian yang dikhaskan untuk mengawal selia cawangan atau institusi undang-undang tertentu.
Sistem ini merangkumi tiga bahagian Kod AS: Seksyen 26 - Kod Hasil Dalam Negeri AS, Seksyen 12 - Bank dan aktiviti perbankan(Bank dan Perbankan) dan Seksyen 15 - Perdagangan dan Perdagangan, yang merangkumi perundangan yang mengawal selia aktiviti dalam pasaran sekuriti. Kod Undang-undang dikeluarkan semula oleh Kongres setiap 6 tahun dan diterbitkan oleh Perkhidmatan Kod AS. Tidak seperti kebanyakan sumber yang tersedia untuk umum, sistem WBL mengandungi bukan sahaja teks dokumen ini, tetapi juga sejarah semua pindaan yang dibuat kepada mereka, serta nota dan preseden kehakiman yang paling penting dalam bidang ini.
Sistem ini juga termasuk undang-undang kecil yang dikeluarkan oleh pihak berkuasa persekutuan kuasa eksekutif dan termasuk dalam Kod Peraturan Persekutuan Mereka diterbitkan Daftar Persekutuan(Daftar Persekutuan) - organ Pentadbiran Arkib Negara.
12. Pembangunan dasar keselamatan. Peruntukan asas keselamatan maklumat. Kawasan permohonan. Matlamat dan objektif untuk memastikan keselamatan maklumat. Pengagihan peranan dan tanggungjawab. Tanggungjawab am.
Pembangunan.
Pertama anda perlu menjalankan audit proses maklumat firma, mengenal pasti secara kritis maklumat penting yang perlu dilindungi. Pengauditan proses maklumat harus diakhiri dengan menentukan senarai maklumat sulit perusahaan, kawasan di mana maklumat ini diedarkan, orang yang dibenarkan mengaksesnya, serta akibat kehilangan (herotan) maklumat ini. Selepas melaksanakan peringkat ini, ia menjadi jelas apa yang perlu dilindungi, di mana untuk melindungi dan daripada siapa: Lagipun, dalam majoriti besar insiden, pelanggar akan - secara rela atau tidak - pekerja syarikat itu sendiri. Dan tiada apa yang boleh dilakukan mengenainya: anda perlu mengambil mudah. Pelbagai ancaman keselamatan boleh diberikan nilai kebarangkalian untuk kejadiannya. Dengan mendarabkan kebarangkalian ancaman direalisasikan oleh kerosakan yang disebabkan oleh pelaksanaan ini, kami memperoleh risiko ancaman itu. Selepas ini, anda harus mula membangunkan dasar keselamatan.
Dasar keselamatan ialah dokumen peringkat "atas", yang sepatutnya menunjukkan:
· orang yang bertanggungjawab untuk keselamatan syarikat;
· kuasa dan tanggungjawab jabatan dan perkhidmatan berkenaan keselamatan;
· menganjurkan kemasukan pekerja baharu dan pemecatan mereka;
peraturan untuk mengehadkan akses pekerja kepada sumber maklumat;
· organisasi kawalan akses, pendaftaran pekerja dan pelawat;
· penggunaan alat perlindungan perisian dan perkakasan;
· keperluan am yang lain.
Kos untuk memastikan keselamatan maklumat tidak boleh lebih besar daripada jumlah potensi kerosakan akibat kehilangannya. Analisis risiko yang dijalankan pada peringkat audit membolehkan kami menilai mereka mengikut magnitud dan melindungi pertama sekali bukan sahaja yang paling terdedah, tetapi juga mereka yang paling memproses. maklumat yang berharga plot. Piawaian ISO 17799 membolehkan anda mendapatkan kuantifikasi keselamatan menyeluruh:
Membangunkan dasar keselamatan melibatkan beberapa langkah awal:
· penilaian sikap peribadi (subjektif) terhadap risiko perusahaan pemilik dan pengurusnya yang bertanggungjawab untuk fungsi dan prestasi perusahaan secara keseluruhan atau kawasan individu aktivitinya;
· analisis yang berpotensi terdedah objek maklumat;
· mengenal pasti ancaman kepada objek maklumat penting (maklumat, sistem maklumat, proses pemprosesan maklumat) dan menilai risiko yang sepadan.
Apabila membangunkan dasar keselamatan di semua peringkat, anda mesti mematuhi peraturan asas berikut:
· Dasar keselamatan untuk maklumat lanjut tahap rendah mesti mematuhi sepenuhnya dasar yang berkaitan tingkat atas, serta perundangan dan keperluan semasa agensi kerajaan.
· Teks dasar keselamatan hendaklah mengandungi hanya bahasa yang jelas dan jelas yang tidak membenarkan tafsiran berganda.
· Teks dasar keselamatan mesti difahami oleh pekerja yang dialamatkan.
Umum kitaran hidup Dasar keselamatan maklumat merangkumi beberapa langkah asas.
· Menjalankan kajian awal tentang keadaan keselamatan maklumat.
· Pembangunan sebenar dasar keselamatan.
· Pelaksanaan dasar keselamatan yang dibangunkan.
· Analisis pematuhan terhadap keperluan dasar keselamatan yang dilaksanakan dan penggubalan keperluan untuk penambahbaikan selanjutnya (kembali ke peringkat pertama, kepada kitaran peningkatan baharu).
Dasar Keselamatan Organisasi(Bahasa Inggeris) dasar keselamatan organisasi) - satu set garis panduan, peraturan, prosedur dan teknik praktikal dalam bidang keselamatan, yang mengawal selia pengurusan, perlindungan dan pengedaran maklumat berharga.
Dalam kes umum, set peraturan sedemikian mewakili fungsi tertentu produk perisian, yang diperlukan untuk kegunaannya dalam organisasi tertentu. Jika kita mendekati dasar keselamatan secara lebih formal, maka ia adalah satu set keperluan tertentu untuk kefungsian sistem keselamatan, yang termaktub dalam dokumen jabatan.
Dasar keselamatan bergantung kepada:
Perlindungan sistem maklumat yang besar tidak dapat diselesaikan tanpa dokumentasi keselamatan maklumat yang dibangunkan dengan baik - Dasar Keselamatan membantu
· pastikan tiada perkara penting yang terlepas pandang;
· mewujudkan peraturan keselamatan yang jelas.
Hanya sistem perlindungan yang komprehensif dan boleh dilaksanakan secara ekonomi akan berkesan, dan sistem maklumat itu sendiri dalam kes ini akan selamat.
Dokumen dasar keselamatan harus menerangkan matlamat dan objektif keselamatan maklumat, serta aset syarikat berharga yang memerlukan perlindungan. Matlamat keselamatan maklumat, sebagai peraturan, adalah untuk memastikan kerahsiaan, integriti dan ketersediaan aset maklumat, serta memastikan kesinambungan perniagaan syarikat.
Objektif keselamatan maklumat adalah semua tindakan yang perlu dilakukan untuk mencapai matlamat. Khususnya, adalah perlu untuk menyelesaikan masalah seperti analisis dan pengurusan risiko maklumat, penyiasatan insiden keselamatan maklumat, pembangunan dan pelaksanaan rancangan kesinambungan perniagaan, latihan lanjutan pekerja syarikat dalam bidang keselamatan maklumat, dsb.
Klasifikasi langkah perlindungan boleh dibentangkan dalam bentuk tiga Tahap.
Peringkat perundangan. Kanun Jenayah Persekutuan Rusia mempunyai Bab 28. Jenayah dalam bidang maklumat komputer. Ia mengandungi tiga artikel berikut:
Perkara 272. Capaian haram kepada maklumat komputer;
Perkara 273. Penciptaan, penggunaan dan pengedaran program komputer yang berniat jahat;
Perkara 274. Pelanggaran peraturan untuk mengendalikan komputer, sistem komputer atau rangkaiannya.
Pentadbiran dan peringkat prosedur. Di peringkat pentadbiran dan prosedur, dasar keselamatan dan satu set prosedur dibentuk yang menentukan tindakan kakitangan dalam situasi biasa dan kritikal. Tahap ini direkodkan dalam garis panduan yang dikeluarkan oleh Suruhanjaya Teknikal Negeri Persekutuan Rusia dan FAPSI.
Tahap perisian dan perkakasan. Tahap ini termasuk perisian dan perkakasan yang membentuk teknologi keselamatan maklumat. Ini termasuk pengenalan pengguna, kawalan akses, kriptografi, perisai dan banyak lagi.
Dan jika peringkat perundangan dan pentadbiran perlindungan tidak bergantung kepada pengguna tertentu kelengkapan komputer, maka setiap pengguna boleh dan harus mengatur tahap perisian dan perkakasan perlindungan maklumat pada komputer mereka.
1.3. Tahap perlindungan perisian dan perkakasan
Kami tidak akan mempertimbangkan sistem kriptografi perisian dan perkakasan kompleks sedia ada yang mengehadkan akses kepada maklumat melalui sifir, serta program penulisan rahsia yang boleh "membubarkan" bahan sulit dalam fail grafik dan bunyi yang besar. Penggunaan program sedemikian hanya boleh dibenarkan dalam kes luar biasa.
Pengguna biasa, seperti anda dan saya, sebagai peraturan, bukanlah penyulitan atau pengaturcara profesional, jadi kami berminat dengan alat keselamatan maklumat yang "improvisasi". Mari lihat alat keselamatan maklumat dan cuba menilai kebolehpercayaannya. Lagipun, mengetahui kelemahan pertahanan boleh menyelamatkan kita daripada banyak masalah.
Perkara pertama yang biasanya dilakukan oleh pengguna komputer peribadi ialah menetapkan dua kata laluan: satu kata laluan dalam tetapan BIOS dan satu lagi pada penyelamat skrin. Perlindungan pada tahap BIOS akan memerlukan anda memasukkan kata laluan apabila anda but komputer, dan perlindungan pada penyelamat skrin akan menyekat akses kepada maklumat selepas tempoh masa tertentu yang anda tentukan telah berlalu apabila komputer tidak aktif.
Menetapkan kata laluan pada tahap BIOS adalah proses yang agak rumit yang memerlukan kemahiran tertentu dalam bekerja dengan tetapan komputer, jadi adalah dinasihatkan untuk menetapkannya dengan rakan sekerja yang mempunyai pengalaman yang mencukupi dalam aktiviti sedemikian. Menetapkan kata laluan untuk penyelamat skrin tidak begitu sukar, dan pengguna boleh menetapkannya sendiri.
Untuk menetapkan kata laluan untuk penyelamat skrin, anda mesti melakukan langkah berikut: klik butang Mula, pilih Tetapan dan Panel Kawalan, klik dua kali ikon Skrin dan dalam tetingkap Display Properties yang terbuka, pilih tab Screensaver. Tetapkan jenis screensaver, tetapkan selang masa (dengan andaian 1 minit), tandakan kotak semak Kata Laluan dan klik butang Tukar.
Dalam tetingkap Tukar Kata Laluan yang terbuka, masukkan kata laluan penyelamat skrin, kemudian masukkan sekali lagi untuk mengesahkan dan klik OK.
Jika anda memutuskan untuk mengalih keluar kata laluan untuk penyelamat skrin sendiri, kemudian ikuti semua prosedur di atas, hanya dalam tetingkap Tukar Kata Laluan anda tidak boleh menaip apa-apa, tetapi hanya klik pada butang OK. Kata laluan akan dialih keluar.
Cara pertama ialah menggunakan salah satu kelemahan yang sering disediakan oleh pengeluar papan induk, yang dipanggil "kata laluan universal untuk orang yang pelupa." Pengguna biasa, yang kita, sebagai peraturan, tidak mengetahuinya.
Anda boleh menggunakan kaedah kedua untuk menggodam kerahsiaan: keluarkan selongsong komputer, keluarkan bateri litium selama kira-kira 20...30 minit papan sistem, kemudian masukkan semula. Selepas operasi ini, BIOS akan 99% melupakan semua kata laluan dan tetapan pengguna. Dengan cara ini, jika anda sendiri terlupa kata laluan anda, yang berlaku agak kerap dalam amalan, maka anda boleh menggunakan kaedah ini.
Cara ketiga untuk orang luar mengetahui maklumat yang dilindungi kami ialah dengan mengeluarkan cakera keras daripada komputer dan menyambungkannya ke komputer lain sebagai peranti kedua. Dan kemudian anda boleh membaca dan menyalin rahsia orang lain tanpa sebarang masalah. Dengan kemahiran tertentu, prosedur ini mengambil masa 15...20 minit.
Jadi, semasa ketiadaan anda yang lama, cuba halang orang yang tidak dibenarkan daripada memasuki bilik di mana komputer berada.
Memastikan keselamatan maklumat adalah sangat bukan satu tugas yang mudah, yang mempunyai beberapa peringkat.
Tahap perisian dan perkakasan.
Dari sudut pandangan moden, sistem maklumat harus mempunyai akses kepada mekanisme keselamatan berikut:
Tahap prosedur.
Ia termasuk langkah-langkah yang dilaksanakan oleh orang ramai. Pengalaman yang terkumpul dalam organisasi domestik dalam melaksanakan langkah-langkah prosedur berasal dari masa lalu pra-komputer dan perlu disemak dengan ketara.
Terdapat kumpulan langkah organisasi (prosedur) berikut:
Bagi setiap kumpulan, mesti ada peraturan yang mengawal tindakan kakitangan. Mereka mesti ditubuhkan dalam setiap organisasi tertentu dan diusahakan dalam amalan.
Peringkat pentadbiran.
Dasar keselamatan yang dijalankan oleh pengurusan organisasi adalah asas langkah-langkah peringkat pentadbiran. Ini ialah satu set keputusan pengurusan yang didokumenkan yang bertujuan untuk melindungi maklumat, serta sumber yang berkaitan dengannya. Dasar keselamatan adalah berdasarkan analisis risiko sebenar yang mengancam sistem maklumat organisasi tertentu. Selepas analisis, strategi perlindungan dibangunkan. Ini adalah program yang mana wang diperuntukkan, orang yang bertanggungjawab dilantik, prosedur untuk memantau pelaksanaannya, dll.
Oleh kerana setiap organisasi mempunyai spesifiknya sendiri, tidak masuk akal untuk memindahkan amalan perusahaan keselamatan negara kepada struktur komersial, peribadi. sistem komputer atau pertubuhan pendidikan. Adalah lebih sesuai untuk menggunakan prinsip asas membangunkan dasar keselamatan atau templat siap sedia untuk jenis organisasi utama.
Peringkat perundangan.
Ini adalah tahap keselamatan maklumat yang paling penting. Ia termasuk satu set langkah yang bertujuan untuk mewujudkan dan mengekalkan sikap negatif dalam masyarakat terhadap pelanggar dan pelanggaran dalam bidang ini. Adalah perlu untuk mewujudkan satu mekanisme yang membolehkan pembangunan undang-undang diselaraskan dengan peningkatan berterusan teknologi maklumat. Negara mesti memainkan peranan menyelaras dan membimbing dalam perkara ini.Piawaian teknologi maklumat dan keselamatan maklumat Rusia mesti mematuhi peringkat antarabangsa. Ini akan memudahkan interaksi dengan syarikat asing dan cawangan asing syarikat domestik. Sekarang masalah ini diselesaikan melalui permit sekali sahaja, sering memintas undang-undang semasa.
Hanya interaksi semua peringkat keselamatan maklumat akan menjadikannya seefektif mungkin.
Langkah perisian dan perkakasan asas untuk keselamatan maklumat 1
Sumber 1
1. Konsep asas tahap perisian dan perkakasan keselamatan maklumat 1
2. Ciri-ciri sistem maklumat moden yang penting dari sudut keselamatan 4
3. Keselamatan seni bina 6
(3.1) prinsip keselamatan seni bina: 7
(3.2) Untuk memastikan ketersediaan yang tinggi (kesinambungan operasi) 8
Sastera 9
Sumber
Asas keselamatan maklumat. V.A. Galatenko. Langkah-langkah asas perisian dan perkakasan [ http://www.intuit.ru/department/security/secbasics/class/free/9/]
1. Konsep asas tahap perisian dan perkakasan keselamatan maklumat
Langkah-langkah perisian dan perkakasan, iaitu, langkah-langkah yang bertujuan untuk mengawal entiti komputer - peralatan, program dan/atau data, membentuk barisan keselamatan maklumat yang terakhir dan paling penting. Mari kita ingat bahawa kerosakan disebabkan terutamanya oleh tindakan pengguna yang sah, dalam hubungan dengan siapa pengawal selia prosedur tidak berkesan. Musuh utama adalah ketidakcekapan dan kecuaian dalam melaksanakan tugas rasmi, dan hanya langkah perisian dan perkakasan boleh mengatasinya.
Komputer telah membantu mengautomasikan banyak bidang aktiviti manusia. Nampaknya wajar jika ingin mempercayakan keselamatan sendiri kepada mereka. Malah perlindungan fizikal semakin diamanahkan bukan kepada pengawal keselamatan, tetapi kepada sistem komputer bersepadu, yang memungkinkan untuk menjejaki pergerakan pekerja secara serentak di seluruh organisasi dan merentasi ruang maklumat.
Ini adalah sebab kedua yang menjelaskan kepentingan langkah-langkah perisian dan perkakasan.
Walau bagaimanapun, perlu diambil kira bahawa perkembangan pesat teknologi maklumat bukan sahaja memberikan pembela peluang baru, tetapi juga secara objektif merumitkan penyediaan perlindungan yang boleh dipercayai jika seseorang bergantung semata-mata pada langkah di peringkat perisian dan teknikal. Terdapat beberapa sebab :
meningkatkan kelajuan litar mikro, pembangunan seni bina dengan tahap paralelisme yang tinggi memungkinkan untuk mengatasi halangan (terutamanya kriptografi) menggunakan kekerasan, yang sebelum ini kelihatan tidak dapat ditembusi;
pembangunan rangkaian dan teknologi rangkaian, peningkatan bilangan sambungan antara sistem maklumat, pertumbuhan lebar jalur saluran mengembangkan bulatan penyerang yang mempunyai keupayaan teknikal untuk mengatur serangan;
kemunculan perkhidmatan maklumat baharu membawa kepada pembentukan kelemahan baharu “di dalam” perkhidmatan dan di antara muka mereka;
persaingan di kalangan pengeluar perisian memaksa masa pembangunan dikurangkan, yang membawa kepada penurunan dalam kualiti ujian dan pengeluaran produk dengan kecacatan keselamatan;
Paradigma sentiasa meningkatkan kuasa perkakasan dan perisian yang dikenakan ke atas pengguna tidak membenarkan pengekalan jangka panjang konfigurasi yang boleh dipercayai dan terbukti dan, di samping itu, bercanggah dengan kekangan belanjawan, yang mengurangkan bahagian peruntukan keselamatan.
Pertimbangan di atas sekali lagi menekankan kepentingan pendekatan bersepadu terhadap keselamatan maklumat, serta keperluan untuk kedudukan yang fleksibel apabila memilih dan menyelenggara pengawal selia perisian dan perkakasan.
Pusat kepada tahap perisian dan perkakasan ialah konsep perkhidmatan keselamatan.
Mengikuti pendekatan berorientasikan objek, apabila mempertimbangkan sistem maklumat dengan satu tahap perincian, kita akan melihat keseluruhan perkhidmatan maklumat yang disediakannya. Mari kita panggil mereka asas. Untuk membolehkan mereka berfungsi dan mempunyai sifat yang diperlukan, beberapa peringkat perkhidmatan tambahan (bantuan) diperlukan - daripada DBMS dan pemantau transaksi kepada kernel dan perkakasan sistem pengendalian.
Perkhidmatan sampingan termasuk perkhidmatan keselamatan (kami telah pun menemuinya apabila mempertimbangkan piawaian dan spesifikasi dalam bidang keselamatan maklumat); Antaranya, kami akan berminat terutamanya pada yang universal, peringkat tinggi yang membenarkan penggunaan pelbagai perkhidmatan utama dan tambahan. Seterusnya kita akan melihat perkhidmatan berikut:
pengenalan dan pengesahan;
kawalan capaian;
pembalakan dan pengauditan;
penyulitan;
kawalan integriti;
perisai;
analisis keselamatan;
memastikan toleransi kesalahan;
memastikan pemulihan yang selamat;
terowong;
kawalan.
Keperluan untuk perkhidmatan keselamatan, fungsinya, kaedah pelaksanaan yang mungkin dan tempat dalam seni bina keseluruhan akan diterangkan.
Jika kita membandingkan senarai perkhidmatan yang diberikan dengan kelas keperluan fungsian "Kriteria Umum", maka percanggahan ketaranya amat ketara. Kami tidak akan menangani isu privasi atas sebab berikut. Pada pendapat kami, perkhidmatan keselamatan, sekurang-kurangnya sebahagiannya, harus berada di tangan orang yang dilindunginya. Dalam kes privasi, ini tidak begitu: komponen kritikal tidak tertumpu pada bahagian pelanggan, tetapi pada bahagian pelayan, supaya privasi pada asasnya ternyata menjadi hak milik yang dicadangkan. perkhidmatan maklumat(dalam kes paling mudah, privasi dicapai dengan mengekalkan kerahsiaan maklumat pendaftaran pelayan dan melindungi daripada pemintasan data, yang mana perkhidmatan keselamatan yang disenaraikan adalah mencukupi).
Sebaliknya, senarai kami lebih luas daripada dalam "Kriteria Umum" kerana ia termasuk perisai, analisis keselamatan dan terowong. Perkhidmatan ini mempunyai penting sendiri dan, sebagai tambahan, boleh digabungkan dengan perkhidmatan lain untuk mendapatkan langkah keselamatan yang diperlukan, seperti rangkaian peribadi maya.
[Standard dan Spesifikasi Galatenko Lek5] "Kriteria umum" sebenarnya, ia adalah meta-standard yang mentakrifkan alat penilaian keselamatan IP dan cara menggunakannya. Tidak seperti Buku Jingga, OK tidak mengandungi "kelas keselamatan" yang dipratentukan. Kelas sedemikian boleh dibina berdasarkan keperluan keselamatan sedia ada untuk organisasi tertentu dan/atau sistem maklumat tertentu.
Kami akan memanggil set perkhidmatan keselamatan yang disenaraikan di atas sebagai set lengkap. Adalah dipercayai bahawa, pada dasarnya, adalah mencukupi untuk membina perlindungan yang boleh dipercayai pada peringkat perisian dan perkakasan, bagaimanapun, tertakluk kepada beberapa syarat-syarat tambahan(tiada kelemahan, pentadbiran selamat, dsb.).
Untuk mengklasifikasikan perkhidmatan keselamatan dan menentukan tempatnya dalam seni bina keseluruhan, langkah keselamatan boleh dibahagikan kepada jenis berikut:
pencegahan, mencegah pelanggaran keselamatan maklumat;
langkah-langkah untuk mengesan pelanggaran;
penyetempatan, menyempitkan zon pengaruh pelanggaran;
langkah untuk mengenal pasti pelanggar;
langkah untuk memulihkan rejim keselamatan.
Kebanyakan perkhidmatan keselamatan termasuk dalam kategori pencegahan, dan ini sudah tentu betul. Pemantauan audit dan integriti boleh membantu dalam mengesan pelanggaran; audit aktif, di samping itu, membolehkan anda memprogramkan respons kepada pelanggaran untuk tujuan penyetempatan dan/atau penjejakan . Tumpuan toleransi kesalahan dan perkhidmatan pemulihan selamat adalah jelas. Akhir sekali, tadbir urus memainkan peranan infrastruktur, melayani semua aspek IS.
