คำอธิบายบรรณานุกรม:
เนสเตรอฟ เอ.เค. การรับรองความปลอดภัยของข้อมูล [ทรัพยากรอิเล็กทรอนิกส์] // เว็บไซต์สารานุกรมการศึกษา
ในขณะเดียวกันกับการพัฒนาเทคโนโลยีสารสนเทศและความสำคัญที่เพิ่มขึ้นของทรัพยากรข้อมูลสำหรับองค์กร จำนวนภัยคุกคามต่อความปลอดภัยของข้อมูลรวมถึงความเสียหายที่อาจเกิดขึ้นจากการละเมิดก็เพิ่มขึ้น มีวัตถุประสงค์เพื่อรับรองความปลอดภัยของข้อมูลขององค์กร ในเรื่องนี้ความคืบหน้าเป็นไปได้เฉพาะในเงื่อนไขของการป้องกันภัยคุกคามต่อความปลอดภัยของข้อมูลแบบกำหนดเป้าหมายเท่านั้น
เครื่องมือรักษาความปลอดภัยข้อมูล
ความปลอดภัยของข้อมูลได้รับการรับรองโดยใช้วิธีการสองประเภท:
- ซอฟต์แวร์และฮาร์ดแวร์
- ช่องทางการสื่อสารที่ปลอดภัย
เครื่องมือซอฟต์แวร์และฮาร์ดแวร์เพื่อรับรองความปลอดภัยของข้อมูลในสภาวะปัจจุบันของการพัฒนาเทคโนโลยีสารสนเทศนั้นพบได้บ่อยที่สุดในงานขององค์กรในประเทศและต่างประเทศ มาดูฮาร์ดแวร์และซอฟต์แวร์หลักเพื่อความปลอดภัยของข้อมูลกันดีกว่า
การป้องกันซอฟต์แวร์และฮาร์ดแวร์จากการเข้าถึงโดยไม่ได้รับอนุญาตรวมถึงมาตรการในการระบุตัวตน การรับรองความถูกต้อง และการควบคุมการเข้าถึงระบบข้อมูล
การระบุตัวตน – การกำหนดตัวระบุเฉพาะเพื่อเข้าถึงหัวเรื่อง
ซึ่งรวมถึงแท็กความถี่วิทยุ เทคโนโลยีไบโอเมตริกซ์ การ์ดแม่เหล็ก กุญแจแม่เหล็กสากล การเข้าสู่ระบบ ฯลฯ
การรับรองความถูกต้อง - ตรวจสอบว่าหัวข้อการเข้าถึงเป็นของตัวระบุที่นำเสนอและยืนยันความถูกต้อง
ขั้นตอนการตรวจสอบความถูกต้องประกอบด้วยรหัสผ่าน รหัสพิน สมาร์ทการ์ด คีย์ USB ลายเซ็นดิจิทัล คีย์เซสชัน ฯลฯ ส่วนขั้นตอนของเครื่องมือระบุตัวตนและการตรวจสอบความถูกต้องเชื่อมโยงถึงกัน และในความเป็นจริงแล้ว แสดงถึงพื้นฐานพื้นฐานของเครื่องมือรักษาความปลอดภัยข้อมูลซอฟต์แวร์และฮาร์ดแวร์ทั้งหมด เนื่องจากบริการอื่นๆ ทั้งหมดได้รับการออกแบบมาเพื่อรองรับหัวข้อเฉพาะที่ระบบข้อมูลรับรู้อย่างถูกต้อง โดยทั่วไป การระบุตัวตนทำให้บุคคลสามารถระบุตัวเองต่อระบบข้อมูลได้ และด้วยความช่วยเหลือของการรับรองความถูกต้อง ระบบข้อมูลจะยืนยันว่าบุคคลนั้นคือบุคคลที่เขาอ้างว่าเป็นจริงๆ เมื่อเสร็จสิ้นการดำเนินการนี้ จะมีการดำเนินการเพื่อให้สามารถเข้าถึงระบบข้อมูลได้ ขั้นตอนการควบคุมการเข้าถึงอนุญาตให้ผู้ที่ได้รับมอบหมายดำเนินการตามที่ได้รับอนุญาตตามกฎระเบียบ และระบบข้อมูลจะตรวจสอบการกระทำเหล่านี้เพื่อความถูกต้องและแม่นยำของผลลัพธ์ที่ได้รับ การควบคุมการเข้าถึงทำให้ระบบสามารถบล็อกข้อมูลจากผู้ใช้ที่พวกเขาไม่ได้รับอนุญาต
วิธีถัดไปในการปกป้องซอฟต์แวร์และฮาร์ดแวร์คือการบันทึกและการตรวจสอบข้อมูล
การบันทึกรวมถึงการรวบรวม การสะสม และการจัดเก็บข้อมูลเกี่ยวกับเหตุการณ์ การดำเนินการ ผลลัพธ์ที่เกิดขึ้นระหว่างการทำงานของระบบข้อมูล ผู้ใช้แต่ละราย กระบวนการ ตลอดจนซอฟต์แวร์และฮาร์ดแวร์ทั้งหมดที่เป็นส่วนหนึ่งของระบบข้อมูลองค์กร
เนื่องจากแต่ละองค์ประกอบของระบบข้อมูลมีชุดเหตุการณ์ที่เป็นไปได้ที่กำหนดไว้ล่วงหน้าตามตัวแยกประเภทที่ตั้งโปรแกรมไว้ เหตุการณ์ การดำเนินการ และผลลัพธ์จึงถูกแบ่งออกเป็น:
- ภายนอกที่เกิดจากการกระทำของส่วนประกอบอื่น ๆ
- ภายในที่เกิดจากการกระทำของส่วนประกอบนั้นเอง
- ฝั่งไคลเอ็นต์ที่เกิดจากการกระทำของผู้ใช้และผู้ดูแลระบบ
การตรวจสอบข้อมูลประกอบด้วยการดำเนินการวิเคราะห์การปฏิบัติงานแบบเรียลไทม์หรือภายในระยะเวลาที่กำหนด
จากผลการวิเคราะห์ จะมีการสร้างรายงานเกี่ยวกับเหตุการณ์ที่เกิดขึ้น หรือเริ่มการตอบสนองอัตโนมัติต่อสถานการณ์ฉุกเฉิน
การใช้การบันทึกและการตรวจสอบช่วยแก้ปัญหาต่อไปนี้:
- การให้ผู้ใช้และผู้ดูแลระบบรับผิดชอบ
- สร้างความมั่นใจถึงความเป็นไปได้ในการสร้างลำดับเหตุการณ์ขึ้นใหม่
- การตรวจจับการละเมิดความปลอดภัยของข้อมูลที่พยายามทำ
- การให้ข้อมูลเพื่อระบุและวิเคราะห์ปัญหา
บ่อยครั้งที่การปกป้องข้อมูลเป็นไปไม่ได้หากปราศจากการใช้วิธีการเข้ารหัส ใช้เพื่อให้บริการการเข้ารหัส ความสมบูรณ์ และการตรวจสอบความถูกต้อง เมื่อวิธีการตรวจสอบความถูกต้องถูกจัดเก็บในรูปแบบที่เข้ารหัสสำหรับผู้ใช้ มีวิธีการเข้ารหัสหลักสองวิธี: สมมาตรและไม่สมมาตร
การควบคุมความสมบูรณ์ช่วยให้คุณสร้างความถูกต้องและเอกลักษณ์ของออบเจ็กต์ ซึ่งได้แก่ อาร์เรย์ข้อมูล ข้อมูลแต่ละส่วน แหล่งข้อมูล และยังช่วยให้แน่ใจว่าเป็นไปไม่ได้ที่จะทำเครื่องหมายการดำเนินการที่ดำเนินการในระบบด้วยอาร์เรย์ข้อมูล พื้นฐานสำหรับการนำการควบคุมความสมบูรณ์ไปใช้คือเทคโนโลยีการแปลงข้อมูลโดยใช้การเข้ารหัสและใบรับรองดิจิทัล
สิ่งสำคัญอีกประการหนึ่งคือการใช้ระบบป้องกัน ซึ่งเป็นเทคโนโลยีที่ช่วยให้โดยจำกัดการเข้าถึงของอาสาสมัครในแหล่งข้อมูล เพื่อควบคุมการไหลของข้อมูลทั้งหมดระหว่างระบบข้อมูลขององค์กรกับวัตถุภายนอก อาร์เรย์ข้อมูล วิชา และวิชาที่โต้แย้ง การควบคุมโฟลว์ประกอบด้วยการกรองและแปลงข้อมูลที่ส่งหากจำเป็น
วัตถุประสงค์ของการป้องกันคือการปกป้องข้อมูลภายในจากปัจจัยภายนอกและเอนทิตีภายนอกที่อาจเป็นอันตราย รูปแบบหลักของการป้องกันคือไฟร์วอลล์หรือไฟร์วอลล์ประเภทและสถาปัตยกรรมต่างๆ
เนื่องจากหนึ่งในสัญญาณของความปลอดภัยของข้อมูลคือความพร้อมของทรัพยากรข้อมูล การรับรองความพร้อมใช้งานในระดับสูงจึงเป็นทิศทางสำคัญในการนำมาตรการซอฟต์แวร์และฮาร์ดแวร์ไปใช้ โดยเฉพาะอย่างยิ่ง มีการแบ่งสองทิศทาง: การรับประกันความทนทานต่อข้อผิดพลาด เช่น ต่อต้านความล้มเหลวของระบบ ความสามารถในการดำเนินการเมื่อเกิดข้อผิดพลาด และรับประกันการกู้คืนจากความล้มเหลวอย่างปลอดภัยและรวดเร็ว เช่น ความสามารถในการให้บริการของระบบ
ข้อกำหนดหลักสำหรับระบบสารสนเทศคือทำงานด้วยประสิทธิภาพที่กำหนด เวลาที่ไม่พร้อมใช้งานขั้นต่ำ และความเร็วในการตอบสนองเสมอ
ด้วยเหตุนี้ ความพร้อมใช้งานของแหล่งข้อมูลจึงรับประกันได้โดย:
- การใช้สถาปัตยกรรมโครงสร้าง ซึ่งหมายความว่าแต่ละโมดูลสามารถปิดการใช้งานหรือเปลี่ยนได้อย่างรวดเร็วหากจำเป็น โดยไม่ทำลายองค์ประกอบอื่น ๆ ของระบบสารสนเทศ
- มั่นใจได้ถึงความทนทานต่อข้อผิดพลาดผ่าน: การใช้องค์ประกอบอัตโนมัติของโครงสร้างพื้นฐานที่รองรับ, การแนะนำความจุส่วนเกินในการกำหนดค่าฮาร์ดแวร์และซอฟต์แวร์, ความซ้ำซ้อนของฮาร์ดแวร์, การจำลองทรัพยากรข้อมูลภายในระบบ, การสำรองข้อมูล ฯลฯ
- รับประกันความสามารถในการให้บริการโดยการลดเวลาที่ต้องใช้ในการวินิจฉัยและกำจัดความล้มเหลวและผลที่ตามมา
ความปลอดภัยของข้อมูลอีกประเภทหนึ่งคือช่องทางการสื่อสารที่ปลอดภัย
การทำงานของระบบข้อมูลมีความเกี่ยวข้องอย่างหลีกเลี่ยงไม่ได้กับการถ่ายโอนข้อมูล ดังนั้นจึงจำเป็นสำหรับองค์กรเพื่อให้มั่นใจในการปกป้องทรัพยากรข้อมูลที่ส่งโดยใช้ช่องทางการสื่อสารที่ปลอดภัย ความเป็นไปได้ของการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตเมื่อส่งข้อมูลผ่านช่องทางการสื่อสารแบบเปิดนั้นเนื่องมาจากความพร้อมใช้งานโดยทั่วไป เนื่องจาก “เป็นไปไม่ได้ที่จะปกป้องการสื่อสารทางกายภาพตลอดความยาวทั้งหมด ดังนั้นจึงเป็นการดีกว่าที่จะดำเนินการตั้งแต่แรกจากสมมติฐานของช่องโหว่และให้การป้องกันตามนั้น” สำหรับสิ่งนี้ มีการใช้เทคโนโลยีการขุดอุโมงค์ ซึ่งสาระสำคัญคือการห่อหุ้มข้อมูล เช่น บรรจุหรือห่อแพ็กเก็ตข้อมูลที่ส่ง รวมถึงคุณลักษณะของบริการทั้งหมด ในซองของตัวเอง ดังนั้น ทันเนลจึงเป็นการเชื่อมต่อที่ปลอดภัยผ่านช่องทางการสื่อสารแบบเปิดซึ่งมีการส่งแพ็กเก็ตข้อมูลที่ป้องกันด้วยการเข้ารหัสลับ การขุดอุโมงค์ใช้เพื่อรับรองการรักษาความลับของการรับส่งข้อมูลโดยการซ่อนข้อมูลบริการ และรับรองการรักษาความลับและความสมบูรณ์ของข้อมูลที่ส่งเมื่อใช้ร่วมกับองค์ประกอบการเข้ารหัสของระบบข้อมูล การรวมทันเนลและการเข้ารหัสทำให้คุณสามารถใช้เครือข่ายส่วนตัวเสมือนได้ ในกรณีนี้ จุดสิ้นสุดของทันเนลที่ใช้เครือข่ายส่วนตัวเสมือนคือไฟร์วอลล์ที่ให้บริการการเชื่อมต่อขององค์กรกับเครือข่ายภายนอก
ไฟร์วอลล์เป็นจุดใช้งานสำหรับบริการเครือข่ายส่วนตัวเสมือน
ดังนั้นการขุดอุโมงค์และการเข้ารหัสจึงเป็นการเปลี่ยนแปลงเพิ่มเติมที่ดำเนินการในกระบวนการกรองการรับส่งข้อมูลเครือข่ายพร้อมกับการแปลที่อยู่ ปลายอุโมงค์ นอกเหนือจากไฟร์วอลล์ขององค์กรแล้ว อาจเป็นคอมพิวเตอร์ส่วนบุคคลและคอมพิวเตอร์เคลื่อนที่ของพนักงาน หรือที่เจาะจงกว่านั้นคือไฟร์วอลล์ส่วนบุคคลและไฟร์วอลล์ของพวกเขา แนวทางนี้ช่วยให้มั่นใจได้ถึงการทำงานของช่องทางการสื่อสารที่ปลอดภัย
ขั้นตอนการรักษาความปลอดภัยของข้อมูล
ขั้นตอนการรักษาความปลอดภัยข้อมูลมักแบ่งออกเป็นระดับบริหารและระดับองค์กร
- ขั้นตอนการบริหารรวมถึงการดำเนินการทั่วไปที่ฝ่ายบริหารขององค์กรดำเนินการเพื่อควบคุมงาน การดำเนินการ การดำเนินการทั้งหมดในด้านการรับรองและรักษาความปลอดภัยของข้อมูล ดำเนินการโดยการจัดสรรทรัพยากรที่จำเป็นและติดตามประสิทธิผลของมาตรการที่ดำเนินการ
- ระดับองค์กรแสดงถึงขั้นตอนในการรับรองความปลอดภัยของข้อมูล รวมถึงการจัดการบุคลากร การป้องกันทางกายภาพ การดูแลรักษาการทำงานของโครงสร้างพื้นฐานซอฟต์แวร์และฮาร์ดแวร์ การกำจัดการละเมิดความปลอดภัยโดยทันทีและการวางแผนงานฟื้นฟู
ในทางกลับกัน ความแตกต่างระหว่างขั้นตอนการบริหารและระดับองค์กรนั้นไม่มีความหมาย เนื่องจากขั้นตอนในระดับหนึ่งไม่สามารถแยกออกจากระดับอื่นได้ ดังนั้นจึงเป็นการละเมิดความสัมพันธ์ระหว่างการป้องกันระดับกายภาพ การป้องกันส่วนบุคคลและองค์กรในแนวคิดความปลอดภัยของข้อมูล ในทางปฏิบัติ เมื่อมั่นใจในความปลอดภัยของข้อมูลขององค์กร ขั้นตอนการบริหารหรือองค์กรจะไม่ถูกละเลย ดังนั้นจึงสมเหตุสมผลมากกว่าที่จะพิจารณาว่าเป็นแนวทางบูรณาการ เนื่องจากทั้งสองระดับส่งผลกระทบต่อระดับทางกายภาพ องค์กร และส่วนบุคคลของการปกป้องข้อมูล
พื้นฐานของขั้นตอนที่ครอบคลุมในการรับรองความปลอดภัยของข้อมูลคือนโยบายความปลอดภัย
นโยบายการรักษาความปลอดภัยของข้อมูล
นโยบายการรักษาความปลอดภัยของข้อมูลในองค์กร เป็นชุดของการตัดสินใจที่เป็นเอกสารที่ทำโดยฝ่ายบริหารขององค์กรและมุ่งเป้าไปที่การปกป้องข้อมูลและทรัพยากรที่เกี่ยวข้อง
ในแง่องค์กรและการจัดการนโยบายความปลอดภัยของข้อมูลอาจเป็นเอกสารฉบับเดียวหรือออกในรูปแบบของเอกสารหรือคำสั่งอิสระหลายฉบับ แต่ในกรณีใด ๆ ก็ควรครอบคลุมประเด็นต่อไปนี้ในการปกป้องระบบข้อมูลขององค์กร:
- การปกป้องวัตถุระบบสารสนเทศ ทรัพยากรสารสนเทศ และการดำเนินการโดยตรงกับวัตถุเหล่านั้น
- การป้องกันการดำเนินการทั้งหมดที่เกี่ยวข้องกับการประมวลผลข้อมูลในระบบ รวมถึงเครื่องมือประมวลผลซอฟต์แวร์
- การป้องกันช่องทางการสื่อสาร รวมถึงสาย วิทยุ อินฟราเรด ฮาร์ดแวร์ ฯลฯ
- การป้องกันฮาร์ดแวร์ที่ซับซ้อนจากรังสีแม่เหล็กไฟฟ้าที่ไม่พึงประสงค์
- การจัดการระบบรักษาความปลอดภัย รวมถึงการบำรุงรักษา การอัพเกรด และกิจกรรมการบริหาร
แต่ละด้านจะต้องอธิบายโดยละเอียดและบันทึกไว้ในเอกสารภายในขององค์กร เอกสารภายในครอบคลุมกระบวนการรักษาความปลอดภัยสามระดับ: บน กลาง และล่าง
เอกสารนโยบายการรักษาความปลอดภัยของข้อมูลระดับบนสุดสะท้อนถึงแนวทางพื้นฐานขององค์กรในการปกป้องข้อมูลของตนเองและการปฏิบัติตามมาตรฐานของรัฐและ/หรือสากล ในทางปฏิบัติ องค์กรมีเอกสารระดับบนสุดเพียงเอกสารเดียวเท่านั้น ซึ่งมีชื่อว่า "แนวคิดการรักษาความปลอดภัยของข้อมูล" "กฎระเบียบด้านความปลอดภัยของข้อมูล" ฯลฯ อย่างเป็นทางการ เอกสารเหล่านี้ไม่ได้แสดงถึงคุณค่าที่เป็นความลับ การเผยแพร่นั้นไม่จำกัด แต่สามารถเผยแพร่ให้กับบรรณาธิการเพื่อใช้ภายในและเผยแพร่แบบเปิดเผยได้
เอกสารระดับกลางถือเป็นความลับอย่างเคร่งครัดและเกี่ยวข้องกับแง่มุมเฉพาะของการรักษาความปลอดภัยข้อมูลขององค์กร: เครื่องมือรักษาความปลอดภัยข้อมูลที่ใช้ การรักษาความปลอดภัยของฐานข้อมูล การสื่อสาร เครื่องมือเข้ารหัสลับ และข้อมูลอื่น ๆ และกระบวนการทางเศรษฐกิจขององค์กร เอกสารดำเนินการในรูปแบบของมาตรฐานด้านเทคนิคและองค์กรภายใน
เอกสารระดับล่างแบ่งออกเป็นสองประเภท: ระเบียบการทำงานและคำแนะนำการปฏิบัติงาน ข้อบังคับการทำงานเป็นความลับอย่างเคร่งครัดและมีไว้สำหรับบุคคลที่ดำเนินงานด้านการบริหารบริการรักษาความปลอดภัยข้อมูลส่วนบุคคลตามหน้าที่ของตนเท่านั้น คำแนะนำในการใช้งานสามารถเป็นความลับหรือเปิดเผยต่อสาธารณะก็ได้ มีไว้สำหรับบุคลากรขององค์กรและอธิบายขั้นตอนการทำงานกับแต่ละองค์ประกอบของระบบสารสนเทศขององค์กร
ประสบการณ์ทั่วโลกแสดงให้เห็นว่านโยบายการรักษาความปลอดภัยของข้อมูลได้รับการบันทึกไว้ในบริษัทขนาดใหญ่ที่มีระบบข้อมูลที่พัฒนาแล้วและมีข้อกำหนดที่เพิ่มขึ้นสำหรับความปลอดภัยของข้อมูลเท่านั้น ส่วนใหญ่มักจะมีนโยบายการรักษาความปลอดภัยของข้อมูลที่ได้รับการบันทึกไว้เพียงบางส่วนเท่านั้น ไม่สนใจเอกสารประกอบนโยบายความปลอดภัย ไม่ว่ารูปแบบเอกสารจะเป็นแบบองค์รวมหรือแบบกระจาย สิ่งสำคัญพื้นฐานก็คือระบบการรักษาความปลอดภัย
มีสองแนวทางที่แตกต่างกันซึ่งเป็นพื้นฐาน นโยบายการรักษาความปลอดภัยของข้อมูล:
- “ทุกสิ่งที่ไม่ต้องห้ามก็ได้รับอนุญาต”
- “ทุกสิ่งที่ไม่ได้รับอนุญาตเป็นสิ่งต้องห้าม”
ข้อบกพร่องพื้นฐานของแนวทางแรกคือในทางปฏิบัติเป็นไปไม่ได้ที่จะคาดการณ์กรณีที่เป็นอันตรายทั้งหมดและห้ามไม่ให้เกิดขึ้น ไม่ต้องสงสัยเลยว่าควรใช้แนวทางที่สองเท่านั้น
ความปลอดภัยของข้อมูลระดับองค์กร
จากมุมมองของการปกป้องข้อมูลขั้นตอนขององค์กรเพื่อรับรองความปลอดภัยของข้อมูลถูกนำเสนอเป็น "กฎระเบียบของกิจกรรมการผลิตและความสัมพันธ์ของนักแสดงบนพื้นฐานทางกฎหมายที่แยกหรือทำให้ซับซ้อนมากขึ้นอย่างมีนัยสำคัญในการได้มาซึ่งข้อมูลที่เป็นความลับอย่างผิดกฎหมายและการสำแดงข้อมูลภายในและ ภัยคุกคามภายนอก”
มาตรการการบริหารงานบุคคลมุ่งเป้าไปที่การจัดระเบียบงานร่วมกับบุคลากรเพื่อให้เกิดความมั่นคงปลอดภัยของข้อมูล รวมถึงการแบ่งแยกหน้าที่และลดสิทธิพิเศษให้เหลือน้อยที่สุด การแบ่งแยกหน้าที่จะกำหนดการกระจายความสามารถและขอบเขตความรับผิดชอบ โดยที่บุคคลหนึ่งคนไม่สามารถขัดขวางกระบวนการที่สำคัญต่อองค์กรได้ ซึ่งจะช่วยลดโอกาสที่จะเกิดข้อผิดพลาดและการละเมิด สิทธิ์ขั้นต่ำกำหนดให้ผู้ใช้ได้รับเฉพาะระดับการเข้าถึงที่จำเป็นในการปฏิบัติหน้าที่ของตนเท่านั้น ซึ่งจะช่วยลดความเสียหายจากการกระทำที่ไม่ถูกต้องโดยไม่ได้ตั้งใจหรือโดยเจตนา
การป้องกันทางกายภาพหมายถึงการพัฒนาและการนำมาตรการสำหรับการป้องกันโดยตรงของอาคารซึ่งเป็นที่ตั้งของทรัพยากรข้อมูลขององค์กร พื้นที่ใกล้เคียง องค์ประกอบโครงสร้างพื้นฐาน อุปกรณ์คอมพิวเตอร์ สื่อจัดเก็บข้อมูล และช่องทางการสื่อสารฮาร์ดแวร์ ซึ่งรวมถึงการควบคุมการเข้าถึงทางกายภาพ การป้องกันอัคคีภัย การป้องกันโครงสร้างพื้นฐานที่รองรับ การป้องกันการสกัดกั้นข้อมูล และการป้องกันระบบมือถือ
การรักษาฟังก์ชันการทำงานของโครงสร้างพื้นฐานฮาร์ดแวร์และซอฟต์แวร์เกี่ยวข้องกับการป้องกันข้อผิดพลาดแบบสุ่มที่คุกคามต่อความเสียหายต่อระบบฮาร์ดแวร์ การหยุดชะงักของโปรแกรม และการสูญหายของข้อมูล ทิศทางหลักในด้านนี้คือการให้การสนับสนุนผู้ใช้และซอฟต์แวร์ การจัดการการกำหนดค่า การสำรองข้อมูล การจัดการสื่อ เอกสารประกอบ และการบำรุงรักษา
การกำจัดการละเมิดความปลอดภัยโดยทันทีมีเป้าหมายหลักสามประการ:
- การแปลเหตุการณ์ให้เหมาะกับท้องถิ่นและการลดอันตรายที่เกิดขึ้น
- การระบุตัวผู้ฝ่าฝืน
- การป้องกันการละเมิดซ้ำ
สุดท้ายนี้ การวางแผนการฟื้นฟูช่วยให้คุณเตรียมพร้อมสำหรับอุบัติเหตุ ลดความเสียหายจากอุบัติเหตุ และรักษาความสามารถในการทำงานอย่างน้อยก็ในระดับต่ำสุด
การใช้ซอฟต์แวร์และฮาร์ดแวร์และช่องทางการสื่อสารที่ปลอดภัยจะต้องถูกนำมาใช้ในองค์กรบนพื้นฐานของแนวทางบูรณาการในการพัฒนาและการอนุมัติขั้นตอนการควบคุมดูแลและองค์กรทั้งหมดเพื่อให้มั่นใจถึงความปลอดภัยของข้อมูล มิฉะนั้น การนำมาตรการส่วนบุคคลมาใช้ไม่รับประกันการปกป้องข้อมูล และมักจะกระตุ้นให้เกิดการรั่วไหลของข้อมูลที่เป็นความลับ การสูญเสียข้อมูลสำคัญ ความเสียหายต่อโครงสร้างพื้นฐานฮาร์ดแวร์ และการหยุดชะงักของส่วนประกอบซอฟต์แวร์ของระบบข้อมูลขององค์กร
วิธีการรักษาความปลอดภัยข้อมูล
องค์กรสมัยใหม่มีลักษณะเฉพาะด้วยระบบข้อมูลแบบกระจายซึ่งช่วยให้พวกเขาสามารถคำนึงถึงสำนักงานและคลังสินค้าแบบกระจายของบริษัท การบัญชีการเงินและการควบคุมการจัดการ ข้อมูลจากฐานลูกค้า โดยคำนึงถึงการสุ่มตัวอย่างบัญชีตามตัวบ่งชี้ และอื่นๆ ดังนั้นอาร์เรย์ของข้อมูลจึงมีความสำคัญมากและส่วนใหญ่เป็นข้อมูลที่มีความสำคัญเป็นอันดับแรกสำหรับบริษัทในแง่การค้าและเศรษฐกิจ ในความเป็นจริง การรับรองความลับของข้อมูลที่มีมูลค่าทางการค้าเป็นหนึ่งในวัตถุประสงค์หลักของการรักษาความปลอดภัยของข้อมูลในบริษัท
สร้างความมั่นใจในความปลอดภัยของข้อมูลในองค์กรจะต้องได้รับการควบคุมโดยเอกสารดังต่อไปนี้:
- กฎระเบียบด้านความปลอดภัยของข้อมูล รวมคำแถลงเป้าหมายและวัตถุประสงค์ในการรับรองความปลอดภัยของข้อมูล รายการข้อบังคับภายในเกี่ยวกับเครื่องมือรักษาความปลอดภัยข้อมูล และข้อบังคับในการบริหารระบบข้อมูลแบบกระจายของบริษัท การเข้าถึงกฎระเบียบนั้นจำกัดอยู่ที่ฝ่ายบริหารขององค์กรและหัวหน้าแผนกระบบอัตโนมัติ
- กฎระเบียบเกี่ยวกับการสนับสนุนทางเทคนิคเพื่อความปลอดภัยของข้อมูล เอกสารเป็นความลับ การเข้าถึงจำกัดเฉพาะพนักงานของแผนกระบบอัตโนมัติและผู้บริหารระดับสูงเท่านั้น
- กฎระเบียบสำหรับการบริหารระบบรักษาความปลอดภัยข้อมูลแบบกระจาย การเข้าถึงกฎระเบียบนั้นจำกัดเฉพาะพนักงานของแผนกอัตโนมัติที่รับผิดชอบในการบริหารระบบข้อมูลและผู้บริหารระดับสูง
ในเวลาเดียวกันคุณไม่ควรจำกัดตัวเองอยู่แค่เอกสารเหล่านี้ แต่ควรทำงานในระดับล่างด้วย มิฉะนั้น หากองค์กรไม่มีเอกสารอื่นที่เกี่ยวข้องกับการรับรองความปลอดภัยของข้อมูล สิ่งนี้จะบ่งบอกถึงระดับการสนับสนุนด้านการบริหารสำหรับความปลอดภัยของข้อมูลไม่เพียงพอ เนื่องจากไม่มีเอกสารระดับล่าง โดยเฉพาะคำแนะนำสำหรับการดำเนินงานแต่ละองค์ประกอบของระบบข้อมูล
ขั้นตอนขององค์กรบังคับรวมถึง:
- มาตรการหลักในการแบ่งแยกบุคลากรตามระดับการเข้าถึงทรัพยากรสารสนเทศ
- การป้องกันทางกายภาพของสำนักงานของบริษัทจากการรุกโดยตรงและการคุกคามของการทำลาย การสูญหาย หรือการสกัดกั้นข้อมูล
- การบำรุงรักษาฟังก์ชันการทำงานของโครงสร้างพื้นฐานฮาร์ดแวร์และซอฟต์แวร์ได้รับการจัดระเบียบในรูปแบบของการสำรองข้อมูลอัตโนมัติ การตรวจสอบสื่อจัดเก็บข้อมูลระยะไกล การสนับสนุนผู้ใช้และซอฟต์แวร์เมื่อมีการร้องขอ
นอกจากนี้ยังควรรวมถึงมาตรการควบคุมเพื่อตอบสนองและกำจัดกรณีการละเมิดความปลอดภัยของข้อมูล
ในทางปฏิบัติมักสังเกตได้ว่าองค์กรต่างๆ ไม่ได้ให้ความสำคัญกับปัญหานี้มากพอ การดำเนินการทั้งหมดในทิศทางนี้ดำเนินการเป็นประจำเท่านั้น ซึ่งจะเพิ่มเวลาในการกำจัดกรณีการละเมิดและไม่รับประกันการป้องกันการละเมิดความปลอดภัยของข้อมูลซ้ำ ๆ นอกจากนี้ ยังขาดแนวทางปฏิบัติโดยสิ้นเชิงในการวางแผนการดำเนินการเพื่อขจัดผลที่ตามมาภายหลังอุบัติเหตุ ข้อมูลรั่วไหล ข้อมูลสูญหาย และสถานการณ์วิกฤติ ทั้งหมดนี้ทำให้ความปลอดภัยของข้อมูลขององค์กรแย่ลงอย่างมาก
ในระดับซอฟต์แวร์และฮาร์ดแวร์ ต้องใช้ระบบรักษาความปลอดภัยข้อมูลสามระดับ
เกณฑ์ความปลอดภัยของข้อมูลขั้นต่ำ:
1. โมดูลควบคุมการเข้าถึง:
- มีการใช้ทางเข้าแบบปิดไปยังระบบข้อมูล ไม่สามารถเข้าสู่ระบบภายนอกสถานที่ทำงานที่ได้รับการตรวจสอบแล้ว
- การเข้าถึงด้วยฟังก์ชันการทำงานที่จำกัดจากคอมพิวเตอร์ส่วนบุคคลแบบเคลื่อนที่ได้ถูกนำมาใช้สำหรับพนักงาน
- การอนุญาตจะดำเนินการโดยใช้การเข้าสู่ระบบและรหัสผ่านที่สร้างโดยผู้ดูแลระบบ
2. โมดูลการควบคุมการเข้ารหัสและความสมบูรณ์:
- ใช้วิธีการเข้ารหัสข้อมูลที่ส่งแบบไม่สมมาตร
- อาร์เรย์ของข้อมูลสำคัญจะถูกจัดเก็บไว้ในฐานข้อมูลในรูปแบบที่เข้ารหัส ซึ่งไม่อนุญาตให้เข้าถึงแม้ว่าระบบข้อมูลของบริษัทจะถูกแฮ็กก็ตาม
- การควบคุมความสมบูรณ์นั้นรับประกันได้ด้วยลายเซ็นดิจิทัลอย่างง่ายของทรัพยากรข้อมูลทั้งหมดที่จัดเก็บ ประมวลผล หรือส่งภายในระบบข้อมูล
3. โมดูลป้องกัน:
- มีการใช้ระบบตัวกรองในไฟร์วอลล์ที่ช่วยให้คุณควบคุมการไหลของข้อมูลทั้งหมดผ่านช่องทางการสื่อสาร
- การเชื่อมต่อภายนอกกับแหล่งข้อมูลทั่วโลกและช่องทางการสื่อสารสาธารณะสามารถดำเนินการผ่านเวิร์กสเตชันที่ได้รับการตรวจสอบจำนวนจำกัดซึ่งมีการเชื่อมต่อกับระบบข้อมูลองค์กรอย่างจำกัด
- การเข้าถึงที่ปลอดภัยจากเวิร์กสเตชันของพนักงานเพื่อปฏิบัติหน้าที่อย่างเป็นทางการนั้นดำเนินการผ่านระบบพร็อกซีเซิร์ฟเวอร์สองระดับ
สุดท้าย ด้วยความช่วยเหลือของเทคโนโลยีทันเนล องค์กรจะต้องติดตั้งเครือข่ายส่วนตัวเสมือนตามรูปแบบการออกแบบทั่วไป เพื่อให้ช่องทางการสื่อสารที่ปลอดภัยระหว่างแผนกต่างๆ ของบริษัท คู่ค้า และลูกค้าของบริษัท
แม้ว่าการสื่อสารจะดำเนินการโดยตรงผ่านเครือข่ายที่มีระดับความน่าเชื่อถือต่ำ แต่เทคโนโลยีทันเนลผ่านการใช้การเข้ารหัสทำให้สามารถรับประกันการป้องกันที่เชื่อถือได้ของข้อมูลที่ส่งทั้งหมด
ข้อสรุป
เป้าหมายหลักของมาตรการทั้งหมดที่ดำเนินการในด้านความปลอดภัยของข้อมูลคือการปกป้องผลประโยชน์ขององค์กรไม่ทางใดก็ทางหนึ่งที่เกี่ยวข้องกับทรัพยากรข้อมูลที่มีอยู่ แม้ว่าผลประโยชน์ขององค์กรจะไม่ได้จำกัดอยู่เพียงด้านใดด้านหนึ่ง แต่ผลประโยชน์ทั้งหมดมุ่งเน้นไปที่ความพร้อมใช้งาน ความสมบูรณ์ และการรักษาความลับของข้อมูล
ปัญหาในการรับรองความปลอดภัยของข้อมูลอธิบายได้จากสองสาเหตุหลัก
- ทรัพยากรข้อมูลที่องค์กรสะสมนั้นมีคุณค่า
- การพึ่งพาเทคโนโลยีสารสนเทศที่สำคัญเป็นตัวกำหนดการใช้งานอย่างแพร่หลาย
เมื่อพิจารณาถึงภัยคุกคามที่มีอยู่มากมายต่อความปลอดภัยของข้อมูล เช่น การทำลายข้อมูลสำคัญ การใช้ข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต การหยุดชะงักในการดำเนินงานขององค์กรเนื่องจากการหยุดชะงักในการทำงานของระบบข้อมูล เราสามารถสรุปได้ว่าทั้งหมดนี้เป็นไปตามวัตถุประสงค์ นำไปสู่การสูญเสียวัสดุจำนวนมาก
ในการรับรองความปลอดภัยของข้อมูลซอฟต์แวร์และฮาร์ดแวร์มีบทบาทสำคัญในการควบคุมหน่วยงานคอมพิวเตอร์เช่น อุปกรณ์ องค์ประกอบซอฟต์แวร์ ข้อมูล ซึ่งถือเป็นบรรทัดสุดท้ายและลำดับความสำคัญสูงสุดในการรักษาความปลอดภัยข้อมูล การส่งข้อมูลจะต้องมีความปลอดภัยในแง่ของการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน ดังนั้นในสภาวะสมัยใหม่ เทคโนโลยีทันเนลร่วมกับเครื่องมือเข้ารหัสจึงถูกใช้เพื่อสร้างช่องทางการสื่อสารที่ปลอดภัย
วรรณกรรม
- กาลาเตนโก วี.เอ. มาตรฐานการรักษาความปลอดภัยของข้อมูล – อ.: มหาวิทยาลัยเทคโนโลยีสารสนเทศทางอินเทอร์เน็ต, 2549.
- Partyka T.L., Popov I.I. ความปลอดภัยของข้อมูล – อ.: ฟอรั่ม, 2012.
วันนี้เราจะพูดถึงการรั่วไหลและวิธีการปกป้องข้อมูลที่เป็นความลับ
คำว่า ข้อมูลลับ หมายถึง ข้อมูลลับ ไม่เปิดเผยต่อสาธารณะ หรือเป็นความลับ การเปิดเผยข้อมูลอาจเข้าข่ายความผิดทางอาญา บุคคลที่สามารถเข้าถึงข้อมูลดังกล่าวไม่มีสิทธิเปิดเผยข้อมูลดังกล่าวแก่บุคคลอื่นโดยไม่ได้รับความยินยอมจากผู้ถือลิขสิทธิ์
สารบัญ
ข้อมูลที่เป็นความลับและกฎหมาย
คำสั่งของประธานาธิบดีแห่งสหพันธรัฐรัสเซียหมายเลข 188 เมื่อวันที่ 6 มีนาคม พ.ศ. 2540 กำหนดข้อมูลที่เป็นความลับ ซึ่งรวมถึง:
- ข้อมูลที่เกี่ยวข้องกับการค้า
- ข้อมูลที่เกี่ยวข้องกับกิจกรรมการทำงาน
- การรักษาความลับทางการแพทย์ ทนายความ ส่วนบุคคล (การโต้ตอบ การสนทนาทางโทรศัพท์ ฯลฯ)
- ความลับของการสอบสวน การดำเนินคดี ข้อมูลเกี่ยวกับผู้ต้องขัง
- ข้อมูลส่วนบุคคลของพลเมืองข้อมูลเกี่ยวกับชีวิตส่วนตัวของพวกเขา
ความลับทางการค้าคือข้อมูลที่ช่วยให้เจ้าของได้รับความได้เปรียบทางการแข่งขัน ได้รับประโยชน์จากการให้บริการ หรือการขายสินค้า ข้อมูลภายในเกี่ยวกับบริษัท (การเปลี่ยนแปลงผู้บริหาร ฯลฯ) ที่อาจส่งผลต่อราคาหุ้น
ความลับอย่างเป็นทางการ - ข้อมูลที่มีอยู่ในหน่วยงานของรัฐ เอกสารมีเครื่องหมาย "สำหรับการใช้งานอย่างเป็นทางการ" และไม่ถูกเปิดเผยต่อบุคคลที่สาม
ความลับทางวิชาชีพ ได้แก่ การสืบสวน ทนายความ ตุลาการ การรับรองเอกสาร ฯลฯ ความลับ
ข้อมูลส่วนบุคคลใด ๆ (ชื่อเต็ม สถานที่ทำงาน ที่อยู่ ฯลฯ) ข้อมูลเกี่ยวกับชีวิตส่วนตัวของพลเมือง
การรั่วไหลของข้อมูลดังกล่าวอาจเกิดขึ้นได้ในกรณีต่อไปนี้:
- การจัดเก็บและการเข้าถึงข้อมูลที่เป็นความลับไม่มีประสิทธิภาพ ระบบรักษาความปลอดภัยไม่ดี
- การเปลี่ยนแปลงบุคลากรอย่างต่อเนื่อง ข้อผิดพลาดของบุคลากร สภาพจิตใจที่ยากลำบากในทีม
- การฝึกอบรมพนักงานที่ไม่ดีเกี่ยวกับวิธีการรักษาความปลอดภัยข้อมูลที่มีประสิทธิภาพ
- ผู้บริหารองค์กรไม่สามารถควบคุมการทำงานของพนักงานด้วยข้อมูลที่เป็นความลับ
- ความเป็นไปได้ที่ไม่สามารถควบคุมได้ของบุคคลที่ไม่ได้รับอนุญาตเข้าไปในสถานที่ซึ่งจัดเก็บข้อมูลไว้
เส้นทางการรั่วไหลของข้อมูล
พวกเขาสามารถเป็นองค์กรและด้านเทคนิค
ช่องทางองค์กร:
- การสมัครเข้าทำงานให้กับองค์กรเพื่อรับข้อมูลลับ
- การได้รับข้อมูลที่น่าสนใจจากคู่ค้าและลูกค้าโดยใช้วิธีการหลอกลวง การบิดเบือนความจริง
- การเข้าถึงทางอาญาเพื่อรับข้อมูล (ขโมยเอกสาร, ขโมยฮาร์ดไดรฟ์พร้อมข้อมูล)
ช่องทางทางเทคนิค:
- การคัดลอกเอกสารต้นฉบับของข้อมูลลับหรือฉบับอิเล็กทรอนิกส์
- การบันทึกการสนทนาที่เป็นความลับบนสื่ออิเล็กทรอนิกส์ (เครื่องอัดเสียง สมาร์ทโฟน และอุปกรณ์บันทึกอื่นๆ)
- การส่งเนื้อหาของเอกสารที่ถูกจำกัดด้วยวาจาไปยังบุคคลที่สามที่ไม่มีสิทธิ์ในการเข้าถึง
- การได้มาซึ่งข้อมูลทางอาญาโดยใช้บุ๊กมาร์กวิทยุ ไมโครโฟนที่ติดตั้งอย่างลับๆ และกล้องวิดีโอ
มาตรการคุ้มครองข้อมูล
ระบบสำหรับการปกป้องข้อมูลที่เป็นความลับถือว่า:
- ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
- การปิดช่องทางการรั่วซึม
- กฎระเบียบในการทำงานกับข้อมูลที่เป็นความลับ
บริการรักษาความปลอดภัยระดับองค์กรจะต้องจัดระเบียบการใช้งานจริงของระบบรักษาความปลอดภัยข้อมูล การฝึกอบรมบุคลากร และการตรวจสอบการปฏิบัติตามข้อกำหนดด้านกฎระเบียบ
วิธีการจัดองค์กร
- การพัฒนาระบบการประมวลผลข้อมูลที่เป็นความลับ
- แจ้งให้บุคลากรของบริษัททราบถึงความรับผิดชอบในการเปิดเผยเอกสารที่เป็นความลับ การคัดลอก หรือปลอมแปลงเอกสาร
- จัดทำรายการเอกสารการเข้าถึงแบบจำกัด โดยแบ่งบุคลากรตามการเข้าถึงข้อมูลที่มีอยู่
- การคัดเลือกบุคลากรเพื่อประมวลผลเอกสารที่เป็นความลับ สอนพนักงาน
วิธีการทางเทคนิค
- การใช้วิธีการเข้ารหัสในการติดต่อทางอิเล็กทรอนิกส์ การสนทนาทางโทรศัพท์ผ่านสายการสื่อสารที่ปลอดภัย
- ตรวจห้องที่มีการเจรจาว่าไม่มีระเบิดวิทยุ ไมโครโฟน และกล้องวิดีโอ
- การเข้าถึงบุคลากรไปยังสถานที่ที่ได้รับการคุ้มครองโดยใช้วิธีการระบุ รหัส และรหัสผ่าน
- การใช้วิธีป้องกันซอฟต์แวร์และฮาร์ดแวร์บนคอมพิวเตอร์และอุปกรณ์อิเล็กทรอนิกส์อื่นๆ
นโยบายการรักษาความปลอดภัยของข้อมูลของบริษัทประกอบด้วย:
- การแต่งตั้งผู้รับผิดชอบด้านความปลอดภัยในองค์กร
- การตรวจสอบการใช้ซอฟต์แวร์และเครื่องมือป้องกันฮาร์ดแวร์
- ความรับผิดชอบของหัวหน้าแผนกและบริการในการดูแลความปลอดภัยของข้อมูล
- การแนะนำการควบคุมการเข้าถึงสำหรับพนักงานและผู้เยี่ยมชม
- จัดทำรายชื่อบุคคลที่เข้าถึงข้อมูลที่เป็นความลับ
องค์กรรักษาความปลอดภัยข้อมูล
คอมพิวเตอร์ที่ทำงานบนเครือข่ายท้องถิ่น เซิร์ฟเวอร์ และเราเตอร์จะต้องได้รับการปกป้องที่เชื่อถือได้จากการลบข้อมูลโดยไม่ได้รับอนุญาต เมื่อต้องการทำสิ่งนี้:
- มีการกำหนดพนักงานที่รับผิดชอบสำหรับการทำงานของคอมพิวเตอร์แต่ละเครื่อง
- หน่วยระบบถูกปิดผนึกโดยพนักงานบริการด้านไอที
- การติดตั้งโปรแกรมใด ๆ ดำเนินการโดยผู้เชี่ยวชาญด้านบริการไอที
- รหัสผ่านจะต้องสร้างขึ้นโดยพนักงานบริการด้านไอทีและออกให้พร้อมลายเซ็น
- ห้ามใช้แหล่งข้อมูลของบุคคลที่สาม
- ใช้คอมพิวเตอร์เพียงเครื่องเดียวในการเตรียมเอกสารสำคัญ มันเก็บบันทึกของผู้ใช้
- ซอฟต์แวร์และฮาร์ดแวร์ต้องได้รับการรับรอง
- การป้องกันสื่อข้อมูล (ไดรฟ์ภายนอก) จากการเข้าถึงโดยไม่ได้รับอนุญาต
ระบบการทำงานกับข้อมูลที่เป็นความลับรับประกันความปลอดภัยของข้อมูลขององค์กรและช่วยให้คุณสามารถรักษาข้อมูลสำคัญไม่ให้รั่วไหลได้ สิ่งนี้มีส่วนช่วยในการทำงานที่ยั่งยืนขององค์กรมาเป็นเวลานาน
ไม่มีรายการที่คล้ายกัน
การแนะนำ
บทสรุป
อ้างอิง
การแนะนำ
ในขั้นตอนปัจจุบันของการพัฒนาสังคมของเรา ทรัพยากรดั้งเดิมอันเป็นความก้าวหน้าของมนุษย์ค่อยๆ สูญเสียความสำคัญดั้งเดิมไป พวกเขากำลังถูกแทนที่ด้วยทรัพยากรใหม่ ซึ่งเป็นผลิตภัณฑ์เดียวที่ไม่ลดลง แต่เติบโตเมื่อเวลาผ่านไป เรียกว่าข้อมูล ปัจจุบันข้อมูลกลายเป็นทรัพยากรหลักสำหรับการพัฒนาทางวิทยาศาสตร์ เทคนิค และเศรษฐกิจสังคมของประชาคมโลก ยิ่งข้อมูลคุณภาพสูงถูกนำไปใช้กับเศรษฐกิจของประเทศและการใช้งานพิเศษมากขึ้นเท่านั้น มาตรฐานการครองชีพของประชาชน ศักยภาพทางเศรษฐกิจ การป้องกัน และการเมืองของประเทศก็จะยิ่งสูงขึ้น
ความสมบูรณ์ของโลกสมัยใหม่ในฐานะชุมชนนั้นได้รับการรับรองโดยการแลกเปลี่ยนข้อมูลที่เข้มข้นเป็นหลัก การหยุดชะงักของกระแสข้อมูลทั่วโลก แม้ในช่วงเวลาสั้นๆ ก็สามารถนำไปสู่วิกฤตได้ไม่น้อยไปกว่าการแตกหักของความสัมพันธ์ทางเศรษฐกิจระหว่างรัฐ ดังนั้น ในสภาวะการแข่งขันในตลาดใหม่ ปัญหามากมายเกิดขึ้นไม่เพียงแต่ในการรับรองความปลอดภัยของข้อมูลเชิงพาณิชย์ (ผู้ประกอบการ) ในฐานะทรัพย์สินทางปัญญาประเภทหนึ่ง แต่ยังรวมถึงบุคคลและนิติบุคคล ทรัพย์สินในทรัพย์สินและความปลอดภัยส่วนบุคคลด้วย
วัตถุประสงค์ของงานนี้คือเพื่อพิจารณาความปลอดภัยของข้อมูลว่าเป็นส่วนหนึ่งของความมั่นคงของชาติตลอดจนระบุระดับความปลอดภัยในขั้นตอนปัจจุบันวิเคราะห์ภัยคุกคามภายในและภายนอกพิจารณาปัญหาและแนวทางแก้ไข
ในเรื่องนี้ได้มีการกำหนดงานบางอย่าง:
.กำหนดสถานที่และความสำคัญของความปลอดภัยของข้อมูลในขั้นตอนการพัฒนาปัจจุบัน 2.พิจารณากรอบการกำกับดูแลในด้านการปกป้องข้อมูล .ระบุปัญหาหลักและภัยคุกคามและแนวทางแก้ไข บทที่ 1 ปัญหาและภัยคุกคามต่อความปลอดภัยของข้อมูล
1.1 สถานที่รักษาความปลอดภัยข้อมูลในระบบความมั่นคงแห่งชาติของรัสเซีย
ความมั่นคงแห่งชาติของสหพันธรัฐรัสเซียขึ้นอยู่กับการรับรองความปลอดภัยของข้อมูลเป็นอย่างมาก และด้วยความก้าวหน้าทางเทคโนโลยี การพึ่งพาอาศัยกันนี้จะเพิ่มขึ้น ในโลกสมัยใหม่ ความปลอดภัยของข้อมูลกำลังกลายเป็นเงื่อนไขสำคัญในการรับประกันผลประโยชน์ของบุคคล สังคม และรัฐ และที่สำคัญที่สุดคือการเชื่อมโยงหลักของระบบความมั่นคงแห่งชาติทั้งหมดของประเทศ กรอบการกำกับดูแลสำหรับการควบคุมความปลอดภัยของข้อมูลคือหลักคำสอนด้านความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซียซึ่งได้รับการอนุมัติจากประธานาธิบดีแห่งสหพันธรัฐรัสเซียในปี 2544 ซึ่งแสดงถึงชุดมุมมองอย่างเป็นทางการเกี่ยวกับเป้าหมาย วัตถุประสงค์ หลักการ และทิศทางหลักในการรับรองความปลอดภัยของข้อมูล ในรัสเซีย หลักคำสอนกล่าวถึง: วัตถุ ภัยคุกคาม และแหล่งที่มาของภัยคุกคามความปลอดภัยของข้อมูล ผลที่ตามมาที่เป็นไปได้ของภัยคุกคามความปลอดภัยของข้อมูล วิธีการและวิธีการป้องกันและต่อต้านภัยคุกคามต่อความปลอดภัยของข้อมูล คุณสมบัติของการรับรองความปลอดภัยของข้อมูลในด้านต่าง ๆ ของชีวิตสังคมและรัฐ บทบัญญัติหลักของนโยบายของรัฐเพื่อรับรองความปลอดภัยของข้อมูลในสหพันธรัฐรัสเซีย หลักคำสอนพิจารณางานทั้งหมดในขอบเขตข้อมูลบนพื้นฐานและเพื่อผลประโยชน์ของแนวคิดความมั่นคงแห่งชาติของสหพันธรัฐรัสเซีย เธอระบุองค์ประกอบหลักสี่ประการของผลประโยชน์แห่งชาติของรัสเซียในขอบเขตข้อมูล องค์ประกอบแรกรวมถึงการปฏิบัติตามสิทธิและเสรีภาพตามรัฐธรรมนูญของมนุษย์และพลเมืองในด้านการรับและการใช้ข้อมูล การรับรองการฟื้นฟูทางจิตวิญญาณของรัสเซีย การรักษาและเสริมสร้างคุณค่าทางศีลธรรมของสังคม ประเพณีของความรักชาติและมนุษยนิยม ศักยภาพทางวัฒนธรรมและวิทยาศาสตร์ของประเทศ เพื่อนำไปใช้งานคุณต้องมี: เพิ่มประสิทธิภาพในการใช้โครงสร้างพื้นฐานสารสนเทศเพื่อประโยชน์ในการพัฒนาสังคม การรวมตัวของสังคมรัสเซีย และการฟื้นฟูจิตวิญญาณของผู้คนข้ามชาติของประเทศ ปรับปรุงระบบการก่อตัวการอนุรักษ์และการใช้ทรัพยากรข้อมูลอย่างมีเหตุผลซึ่งเป็นพื้นฐานของศักยภาพทางวิทยาศาสตร์เทคนิคและจิตวิญญาณของรัสเซีย รับประกันสิทธิและเสรีภาพตามรัฐธรรมนูญของมนุษย์และพลเมืองในการแสวงหา รับ ส่ง ผลิต และแจกจ่ายข้อมูลอย่างอิสระด้วยวิธีทางกฎหมาย เพื่อรับข้อมูลที่เชื่อถือได้เกี่ยวกับสภาวะของสิ่งแวดล้อม เพื่อรับรองสิทธิและเสรีภาพตามรัฐธรรมนูญของมนุษย์และพลเมืองในความลับส่วนบุคคลและครอบครัว ความเป็นส่วนตัวของการติดต่อทางจดหมาย การสนทนาทางโทรศัพท์ ไปรษณีย์ โทรเลข และข้อความอื่น ๆ เพื่อปกป้องเกียรติและชื่อเสียงที่ดีของบุคคล เสริมสร้างกลไกของการควบคุมทางกฎหมายของความสัมพันธ์ในด้านการคุ้มครองทรัพย์สินทางปัญญาสร้างเงื่อนไขสำหรับการปฏิบัติตามข้อ จำกัด ในการเข้าถึงข้อมูลที่เป็นความลับที่กำหนดโดยกฎหมายของรัฐบาลกลาง รับประกันเสรีภาพของสื่อและการห้ามเซ็นเซอร์ ไม่อนุญาตให้มีการโฆษณาชวนเชื่อและความปั่นป่วนที่ก่อให้เกิดความเกลียดชังและความเกลียดชังทางสังคม เชื้อชาติ ชาติหรือศาสนา การปกป้องข้อมูลที่เป็นความลับของรัสเซีย ตรวจสอบให้แน่ใจว่ามีการห้ามการรวบรวม การจัดเก็บ การใช้และการเผยแพร่ข้อมูลเกี่ยวกับชีวิตส่วนตัวของบุคคลโดยไม่ได้รับความยินยอมและข้อมูลอื่น ๆ ซึ่งเข้าถึงได้ซึ่งถูกจำกัดโดยกฎหมายของรัฐบาลกลาง องค์ประกอบที่สองของผลประโยชน์ของชาติในด้านข้อมูล ได้แก่ การสนับสนุนข้อมูลสำหรับนโยบายของรัฐของประเทศ ที่เกี่ยวข้องกับการสื่อสารข้อมูลที่เชื่อถือได้ของประชาชนรัสเซียและนานาชาติเกี่ยวกับตำแหน่งอย่างเป็นทางการในเหตุการณ์สำคัญทางสังคมในชีวิตรัสเซียและระหว่างประเทศ และรับรองว่าประชาชนจะเข้าถึง เปิดแหล่งข้อมูลข้อมูลของรัฐบาล สิ่งนี้ต้องการ: เสริมสร้างความเข้มแข็งของสื่อของรัฐขยายขีดความสามารถในการส่งข้อมูลที่เชื่อถือได้ให้กับพลเมืองรัสเซียและชาวต่างชาติอย่างทันท่วงที กระชับการก่อตัวของทรัพยากรข้อมูลของรัฐเปิด เพิ่มประสิทธิภาพการใช้งานทางเศรษฐกิจ องค์ประกอบที่สามของผลประโยชน์ของประเทศในด้านข้อมูล ได้แก่ การพัฒนาเทคโนโลยีสารสนเทศที่ทันสมัย รวมถึงอุตสาหกรรมเทคโนโลยีสารสนเทศ โทรคมนาคม และการสื่อสาร ตอบสนองความต้องการของตลาดภายในประเทศด้วยผลิตภัณฑ์เหล่านี้และการเข้าสู่ตลาดโลกตลอดจน สร้างความมั่นใจในการสะสม การอนุรักษ์ และการใช้ทรัพยากรข้อมูลภายในประเทศอย่างมีประสิทธิผล เพื่อให้บรรลุผลในทิศทางนี้ จำเป็น: พัฒนาและปรับปรุงโครงสร้างพื้นฐานของพื้นที่ข้อมูลแบบครบวงจรของรัสเซีย พัฒนาอุตสาหกรรมบริการข้อมูลภายในประเทศและเพิ่มประสิทธิภาพการใช้ทรัพยากรข้อมูลภาครัฐ พัฒนาการผลิตในประเทศที่มีวิธีการแข่งขันและระบบข้อมูลโทรคมนาคมและการสื่อสารขยายการมีส่วนร่วมของรัสเซียในความร่วมมือระหว่างประเทศของผู้ผลิตวิธีการและระบบเหล่านี้ ให้การสนับสนุนของรัฐสำหรับการวิจัยและพัฒนาขั้นพื้นฐานและประยุกต์ในด้านข้อมูล โทรคมนาคม และการสื่อสาร องค์ประกอบที่สี่ของผลประโยชน์ของชาติในด้านข้อมูล ได้แก่ การปกป้องทรัพยากรข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต และการสร้างความมั่นใจในความปลอดภัยของข้อมูลและระบบโทรคมนาคม เพื่อวัตถุประสงค์เหล่านี้ จำเป็นต้องใช้: ปรับปรุงความปลอดภัยของระบบข้อมูล (รวมถึงเครือข่ายการสื่อสาร) เครือข่ายการสื่อสารหลักและระบบข้อมูลของหน่วยงานภาครัฐ ภาคการเงิน สินเชื่อและการธนาคาร กิจกรรมทางเศรษฐกิจ ระบบและวิธีการให้ข้อมูลข่าวสารเกี่ยวกับอาวุธและอุปกรณ์ทางทหาร ระบบการบังคับบัญชาและการควบคุม กองกำลังและอาวุธ อุตสาหกรรมที่เป็นอันตรายต่อสิ่งแวดล้อมและมีความสำคัญทางเศรษฐกิจ กระชับการพัฒนาการผลิตฮาร์ดแวร์และซอฟต์แวร์ในประเทศเพื่อความปลอดภัยของข้อมูลและวิธีการติดตามประสิทธิผล รับประกันการปกป้องข้อมูลที่เป็นความลับของรัฐ ขยายความร่วมมือระหว่างประเทศระหว่างรัสเซียในด้านการใช้ทรัพยากรข้อมูลอย่างปลอดภัยและการตอบโต้ภัยคุกคามของการเผชิญหน้าในขอบเขตข้อมูล 1.2 ปัญหาหลักของความปลอดภัยของข้อมูลและวิธีการแก้ไข
การรับรองความปลอดภัยของข้อมูลจำเป็นต้องแก้ไขปัญหาทั้งหมด งานที่สำคัญที่สุดในการรับรองความปลอดภัยของข้อมูลของรัสเซียคือการดำเนินการโดยคำนึงถึงผลประโยชน์ของแต่ละบุคคล สังคม และรัฐในด้านนี้อย่างครอบคลุม หลักคำสอนกำหนดความสนใจเหล่านี้ดังนี้: ผลประโยชน์ของแต่ละบุคคลในขอบเขตข้อมูลอยู่ที่การดำเนินการตามสิทธิตามรัฐธรรมนูญของมนุษย์และพลเมืองในการเข้าถึงข้อมูล การใช้ข้อมูลเพื่อประโยชน์ของการดำเนินกิจกรรมที่ไม่ได้รับอนุญาตตามกฎหมาย การพัฒนาทางกายภาพ จิตวิญญาณ และสติปัญญา ตลอดจน เพื่อปกป้องข้อมูลที่รับรองความปลอดภัยส่วนบุคคล ผลประโยชน์ของสังคมในขอบเขตข้อมูลคือการรับประกันผลประโยชน์ของสังคมในด้านนี้ การเสริมสร้างประชาธิปไตย การสร้างสถานะทางสังคมที่ถูกกฎหมาย การบรรลุและรักษาความสามัคคีของประชาชน และการต่ออายุทางจิตวิญญาณของรัสเซีย ผลประโยชน์ของรัฐในขอบเขตข้อมูลอยู่ที่การสร้างเงื่อนไขสำหรับการพัฒนาโครงสร้างพื้นฐานข้อมูลของรัสเซียอย่างกลมกลืนการใช้สิทธิและเสรีภาพตามรัฐธรรมนูญของบุคคล (พลเมือง) ในด้านการรับข้อมูล ในเวลาเดียวกันจำเป็นต้องใช้ขอบเขตนี้เพียงเพื่อให้แน่ใจว่าระบบรัฐธรรมนูญไม่สามารถขัดขืนได้อธิปไตยและบูรณภาพแห่งดินแดนของรัสเซียเสถียรภาพทางการเมืองเศรษฐกิจและสังคมเพื่อรับรองกฎหมายและระเบียบอย่างไม่มีเงื่อนไขและเพื่อพัฒนาความเท่าเทียมกันและเป็นประโยชน์ร่วมกัน ความร่วมมือระหว่างประเทศ หลักคำสอนผสมผสานวิธีการทั่วไปในการแก้ปัญหาสำคัญในการรับรองความปลอดภัยของข้อมูลออกเป็นสามกลุ่ม: ถูกกฎหมาย; องค์กรและด้านเทคนิค ทางเศรษฐกิจ. วิธีการทางกฎหมายรวมถึงการพัฒนาการดำเนินการทางกฎหมายเชิงบรรทัดฐานที่ควบคุมความสัมพันธ์ในขอบเขตข้อมูลและเอกสารระเบียบวิธีเชิงบรรทัดฐานในประเด็นการรับรองความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซีย (จะกล่าวถึงรายละเอียดในบทที่ 4 ของคู่มือนี้) วิธีการขององค์กรและเทคนิคในการรับรองความปลอดภัยของข้อมูลคือ: การสร้างและปรับปรุงระบบรักษาความปลอดภัยข้อมูล เสริมสร้างกิจกรรมการบังคับใช้กฎหมายของหน่วยงาน รวมถึงการป้องกันและปราบปรามความผิดในขอบเขตข้อมูล การสร้างระบบและวิธีการป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตและผลกระทบที่ก่อให้เกิดการทำลาย การทำลาย การบิดเบือนข้อมูล การเปลี่ยนแปลงรูปแบบการทำงานปกติของระบบ และวิธีการสารสนเทศและการสื่อสาร การรับรองวิธีการรักษาความปลอดภัยข้อมูล, การออกใบอนุญาตกิจกรรมในด้านการคุ้มครองความลับของรัฐ, มาตรฐานของวิธีการและวิธีการรักษาความปลอดภัยข้อมูล; ควบคุมการกระทำของบุคลากรในระบบสารสนเทศ การฝึกอบรมด้านความปลอดภัยข้อมูล การจัดตั้งระบบติดตามตัวบ่งชี้และลักษณะของความปลอดภัยของข้อมูลในด้านที่สำคัญที่สุดของชีวิตและกิจกรรมของสังคมและรัฐ วิธีการทางเศรษฐกิจในการรับรองความปลอดภัยของข้อมูล ได้แก่: การพัฒนาโปรแกรมความปลอดภัยของข้อมูลและการกำหนดขั้นตอนการจัดหาเงินทุน ปรับปรุงระบบงานทางการเงินที่เกี่ยวข้องกับการดำเนินการตามวิธีการทางกฎหมายองค์กรและเทคนิคในการปกป้องข้อมูลสร้างระบบสำหรับการประกันความเสี่ยงด้านข้อมูลของบุคคลและนิติบุคคล ตามหลักคำสอน รัฐในกระบวนการดำเนินการตามหน้าที่ของตนเพื่อรับรองความปลอดภัยของข้อมูล: ดำเนินการวิเคราะห์และคาดการณ์ภัยคุกคามต่อความปลอดภัยของข้อมูลอย่างครอบคลุมและเป็นกลาง พัฒนามาตรการเพื่อให้มั่นใจ จัดระเบียบการทำงานของเจ้าหน้าที่เพื่อดำเนินชุดมาตรการที่มุ่งป้องกัน ต่อต้าน และต่อต้านภัยคุกคามต่อความปลอดภัยของข้อมูล สนับสนุนกิจกรรมของสมาคมสาธารณะที่มีวัตถุประสงค์เพื่อแจ้งให้ประชากรทราบอย่างเป็นกลางเกี่ยวกับปรากฏการณ์ที่สำคัญทางสังคมของชีวิตสาธารณะ ปกป้องสังคมจากข้อมูลที่บิดเบี้ยวและไม่น่าเชื่อถือ ควบคุมการออกแบบ การสร้าง การพัฒนา การใช้ การส่งออก และการนำเข้าเครื่องมือรักษาความปลอดภัยข้อมูล ผ่านการรับรองและการออกใบอนุญาตกิจกรรมด้านความปลอดภัยข้อมูล ดำเนินนโยบายกีดกันทางการค้าที่จำเป็นต่อผู้ผลิตเครื่องมือสารสนเทศและการปกป้องข้อมูลในอาณาเขตของสหพันธรัฐรัสเซีย และใช้มาตรการเพื่อปกป้องตลาดภายในประเทศจากการรุกล้ำของเครื่องมือสารสนเทศและผลิตภัณฑ์ข้อมูลคุณภาพต่ำ มีส่วนช่วยให้บุคคลและนิติบุคคลสามารถเข้าถึงทรัพยากรข้อมูลโลกและเครือข่ายข้อมูลระดับโลก กำหนดและดำเนินการตามนโยบายข้อมูลของรัฐของรัสเซีย จัดการพัฒนาโปรแกรมของรัฐบาลกลางเพื่อรับรองความปลอดภัยของข้อมูล ผสมผสานความพยายามของรัฐบาลและองค์กรพัฒนาเอกชนในพื้นที่นี้ ส่งเสริมความเป็นสากลของเครือข่ายและระบบข้อมูลระดับโลก รวมถึงการเข้าสู่ชุมชนข้อมูลระดับโลกของรัสเซียภายใต้เงื่อนไขของการเป็นหุ้นส่วนที่เท่าเทียมกัน เมื่อแก้ไขงานหลักและดำเนินมาตรการจัดลำดับความสำคัญของนโยบายของรัฐเพื่อรับรองความปลอดภัยของข้อมูล ความปรารถนาในการแก้ไขปัญหาด้านกฎระเบียบและทางเทคนิคเป็นหลักในปัจจุบัน บ่อยครั้งที่เรากำลังพูดถึง "การพัฒนาและการดำเนินการตามบรรทัดฐานทางกฎหมาย" "การเพิ่มวัฒนธรรมทางกฎหมายและความรู้ด้านคอมพิวเตอร์ของพลเมือง" "การสร้างเทคโนโลยีสารสนเทศที่ปลอดภัย" "การรับรองความเป็นอิสระทางเทคโนโลยี" ฯลฯ การพัฒนาระบบการฝึกอบรมสำหรับบุคลากรที่ใช้ในด้านการรักษาความปลอดภัยข้อมูลนั้นได้รับการวางแผนตามนั้น กล่าวคือ การฝึกอบรมในด้านการสื่อสาร การประมวลผลข้อมูล และวิธีการทางเทคนิคในการปกป้องระบบนั้นมีอิทธิพลเหนือกว่า ผู้เชี่ยวชาญจะได้รับการฝึกอบรมในด้านข้อมูลและกิจกรรมการวิเคราะห์ ข้อมูลทางสังคม และความปลอดภัยของข้อมูลส่วนบุคคล น่าเสียดายที่สถาบันของรัฐหลายแห่งถือว่าด้านเทคนิคของปัญหาเป็นสิ่งสำคัญที่สุด โดยมองข้ามแง่มุมทางสังคมและจิตวิทยาไป 1.3 แหล่งที่มาของภัยคุกคามความปลอดภัยของข้อมูล
ภัยคุกคามต่อความปลอดภัยของข้อมูลคือการใช้ข้อมูลประเภทต่างๆ กับวัตถุทางสังคมโดยเฉพาะ (เศรษฐกิจ การทหาร วิทยาศาสตร์ และเทคนิค ฯลฯ) โดยมีจุดประสงค์เพื่อเปลี่ยนแปลงฟังก์ชันการทำงานหรือทำลายวัตถุนั้นโดยสิ้นเชิง โดยคำนึงถึงจุดเน้นทั่วไป หลักคำสอนนี้แบ่งภัยคุกคามความปลอดภัยของข้อมูลออกเป็นประเภทต่างๆ ดังต่อไปนี้: ภัยคุกคามต่อสิทธิและเสรีภาพตามรัฐธรรมนูญของมนุษย์และพลเมืองในด้านชีวิตฝ่ายวิญญาณและกิจกรรมข้อมูล จิตสำนึกส่วนบุคคล กลุ่ม และสาธารณะ การฟื้นฟูจิตวิญญาณของรัสเซีย ภัยคุกคามต่อการสนับสนุนข้อมูลนโยบายของรัฐของสหพันธรัฐรัสเซีย ภัยคุกคามต่อการพัฒนาอุตสาหกรรมข้อมูลภายในประเทศ ได้แก่ อุตสาหกรรมเทคโนโลยีสารสนเทศ โทรคมนาคม และการสื่อสาร ตอบสนองความต้องการของตลาดภายในประเทศสำหรับผลิตภัณฑ์ของตน และการเข้าสู่ตลาดโลก ตลอดจนสร้างความมั่นใจในการสะสม การเก็บรักษา และ การใช้ทรัพยากรข้อมูลภายในประเทศอย่างมีประสิทธิผล ภัยคุกคามต่อความปลอดภัยของข้อมูลและสิ่งอำนวยความสะดวกและระบบโทรคมนาคมทั้งที่ใช้งานอยู่แล้วและที่ถูกสร้างขึ้นในรัสเซีย ภัยคุกคามต่อสิทธิและเสรีภาพตามรัฐธรรมนูญของมนุษย์และพลเมืองในด้านชีวิตฝ่ายวิญญาณและกิจกรรมข้อมูล บุคคล กลุ่ม และจิตสำนึกสาธารณะ และการฟื้นฟูจิตวิญญาณของรัสเซียอาจเป็น: การยอมรับโดยเจ้าหน้าที่ของการดำเนินการทางกฎหมายที่ละเมิดสิทธิและเสรีภาพตามรัฐธรรมนูญของพลเมืองในด้านกิจกรรมชีวิตฝ่ายวิญญาณและข้อมูล การสร้างการผูกขาดในการจัดทำ การรับ และการเผยแพร่ข้อมูลในสหพันธรัฐรัสเซีย รวมถึงการใช้ระบบโทรคมนาคม การต่อต้าน รวมถึงจากโครงสร้างทางอาญา ไปจนถึงการใช้สิทธิตามรัฐธรรมนูญของพลเมืองในความลับส่วนบุคคลและครอบครัว ความเป็นส่วนตัวของการติดต่อทางจดหมาย การสนทนาทางโทรศัพท์ และการสื่อสารอื่น ๆ การจำกัดการเข้าถึงข้อมูลที่จำเป็นมากเกินไป การใช้วิธีพิเศษอย่างผิดกฎหมายเพื่อโน้มน้าวบุคคล กลุ่ม และจิตสำนึกสาธารณะ ความล้มเหลวของหน่วยงานของรัฐและรัฐบาลท้องถิ่น องค์กร และประชาชนในการปฏิบัติตามข้อกำหนดของกฎหมายที่ควบคุมความสัมพันธ์ในขอบเขตข้อมูล การจำกัดการเข้าถึงแหล่งข้อมูลของพลเมืองโดยผิดกฎหมายของหน่วยงานของรัฐและการปกครองตนเองในท้องถิ่น การเปิดเอกสารสำคัญ และข้อมูลสำคัญทางสังคมที่เปิดกว้างอื่น ๆ ความระส่ำระสายและการทำลายระบบการสะสมและการอนุรักษ์ทรัพย์สินทางวัฒนธรรมรวมถึงหอจดหมายเหตุ การละเมิดสิทธิและเสรีภาพตามรัฐธรรมนูญของมนุษย์และพลเมืองในด้านสื่อมวลชน ขับไล่สำนักข่าวและสื่อมวลชนของรัสเซียออกจากตลาดข้อมูลภายในประเทศและการพึ่งพาที่เพิ่มขึ้นของขอบเขตจิตวิญญาณ เศรษฐกิจ และการเมืองของชีวิตสาธารณะในรัสเซียในโครงสร้างข้อมูลต่างประเทศ การลดค่าคุณค่าทางจิตวิญญาณการโฆษณาชวนเชื่อของแบบจำลองวัฒนธรรมมวลชนที่มีพื้นฐานมาจากลัทธิความรุนแรงค่านิยมทางจิตวิญญาณและศีลธรรมที่ขัดแย้งกับค่านิยมที่ยอมรับในสังคมรัสเซีย ศักยภาพทางจิตวิญญาณ คุณธรรม และความคิดสร้างสรรค์ที่ลดลงของประชากรรัสเซีย การจัดการข้อมูล (การบิดเบือนข้อมูล การปกปิด หรือการบิดเบือนข้อมูล) ภัยคุกคามต่อการสนับสนุนข้อมูลของนโยบายรัฐของสหพันธรัฐรัสเซียอาจเป็น: การผูกขาดตลาดข้อมูลรัสเซีย ภาคส่วนต่างๆ โดยโครงสร้างข้อมูลในประเทศและต่างประเทศ การปิดกั้นกิจกรรมของสื่อของรัฐเพื่อแจ้งให้ผู้ชมชาวรัสเซียและชาวต่างชาติทราบ การสนับสนุนข้อมูลที่มีประสิทธิภาพต่ำสำหรับนโยบายของรัฐของสหพันธรัฐรัสเซียเนื่องจากการขาดแคลนบุคลากรที่มีคุณสมบัติเหมาะสมขาดระบบในการจัดทำและการดำเนินการตามนโยบายข้อมูลของรัฐ ภัยคุกคามต่อการพัฒนาอุตสาหกรรมข้อมูลภายในประเทศอาจรวมถึง: ต่อต้านการเข้าถึงเทคโนโลยีสารสนเทศล่าสุด การมีส่วนร่วมที่เป็นประโยชน์ร่วมกันและเท่าเทียมกันของผู้ผลิตรัสเซียในแผนกแรงงานระดับโลกในอุตสาหกรรมบริการข้อมูล วิธีการข้อมูล โทรคมนาคมและการสื่อสาร ผลิตภัณฑ์ข้อมูล สร้างเงื่อนไขในการเพิ่มการพึ่งพาเทคโนโลยีของรัสเซียในสาขา เทคโนโลยีสารสนเทศ ซื้อโดยหน่วยงานสาธารณะของอุปกรณ์เทคโนโลยีสารสนเทศโทรคมนาคมและการสื่อสารที่นำเข้าต่อหน้าอะนาล็อกในประเทศ ขับไล่ผู้ผลิตอุปกรณ์เทคโนโลยีสารสนเทศ โทรคมนาคม และการสื่อสารของรัสเซียออกจากตลาดภายในประเทศ การใช้เทคโนโลยีสารสนเทศในประเทศและต่างประเทศที่ไม่ได้รับการรับรอง เครื่องมือรักษาความปลอดภัยข้อมูล เครื่องมือข้อมูล โทรคมนาคม และการสื่อสาร ผู้เชี่ยวชาญและผู้ถือสิทธิในทรัพย์สินทางปัญญาในต่างประเทศหลั่งไหลออกมา หลักคำสอนแบ่งแหล่งที่มาของภัยคุกคามทั้งหมดต่อความปลอดภัยของข้อมูลออกเป็นภายนอกและภายใน หลักคำสอนนี้รวมถึงแหล่งที่มาของภัยคุกคามภายนอกดังต่อไปนี้: กิจกรรมของโครงสร้างการเมือง เศรษฐกิจ การทหาร หน่วยข่าวกรองและข้อมูลต่างประเทศที่ขัดต่อผลประโยชน์ของสหพันธรัฐรัสเซีย ความปรารถนาของหลายประเทศที่จะครองพื้นที่ข้อมูลระดับโลกและขับไล่รัสเซียออกจากตลาดข้อมูล กิจกรรมขององค์กรก่อการร้ายระหว่างประเทศ เพิ่มช่องว่างทางเทคโนโลยีระหว่างมหาอำนาจชั้นนำของโลกและเพิ่มขีดความสามารถในการตอบโต้การสร้างเทคโนโลยีสารสนเทศที่แข่งขันได้ของรัสเซีย กิจกรรมของอวกาศ อากาศ ทะเล และพื้นดินทางเทคนิคและวิธีการอื่น ๆ (ประเภท) ของข่าวกรองของรัฐต่างประเทศ การพัฒนาแนวคิดสงครามข้อมูลของรัฐหลายแห่งที่จัดให้มีการสร้างวิธีการที่มีอิทธิพลที่เป็นอันตรายต่อขอบเขตข้อมูลของประเทศอื่น ๆ การหยุดชะงักของการทำงานของข้อมูลและระบบโทรคมนาคม และการเข้าถึงโดยไม่ได้รับอนุญาต แหล่งที่มาของภัยคุกคามภายในตามหลักคำสอน ได้แก่ สถานะวิกฤตของอุตสาหกรรมภายในประเทศจำนวนหนึ่ง สถานการณ์อาชญากรรมที่ไม่เอื้ออำนวยพร้อมกับแนวโน้มในการรวมโครงสร้างของรัฐและอาชญากรรมในขอบเขตข้อมูล โครงสร้างทางอาญาที่เข้าถึงข้อมูลที่เป็นความลับ เพิ่มอิทธิพลของการก่ออาชญากรรมต่อชีวิตของสังคม ลดระดับของการคุ้มครองผลประโยชน์ที่ชอบด้วยกฎหมายของ พลเมือง สังคม และรัฐในขอบเขตข้อมูล การประสานงานกิจกรรมของหน่วยงานของรัฐทุกระดับไม่เพียงพอในการดำเนินนโยบายรัฐแบบครบวงจรในด้านความปลอดภัยของข้อมูล ข้อบกพร่องของกรอบการกำกับดูแลที่ควบคุมความสัมพันธ์ในขอบเขตข้อมูลและแนวปฏิบัติในการบังคับใช้กฎหมาย ความล้าหลังของสถาบันภาคประชาสังคมและการควบคุมของรัฐบาลที่ไม่เพียงพอต่อการพัฒนาตลาดข้อมูลในรัสเซีย เงินทุนไม่เพียงพอสำหรับกิจกรรมความปลอดภัยของข้อมูล จำนวนบุคลากรที่มีคุณสมบัติไม่เพียงพอในด้านความปลอดภัยของข้อมูล กิจกรรมที่ไม่เพียงพอของหน่วยงานรัฐบาลกลางในการแจ้งให้สาธารณชนทราบเกี่ยวกับกิจกรรมของพวกเขา ในการอธิบายการตัดสินใจ การสร้างทรัพยากรของรัฐบาลแบบเปิด และพัฒนาระบบสำหรับประชาชนในการเข้าถึงทรัพยากรเหล่านั้น รัสเซียตามหลังประเทศชั้นนำของโลกในแง่ของระดับการให้ข้อมูลข่าวสารของรัฐบาลและการปกครองตนเองในท้องถิ่น สินเชื่อและการเงิน อุตสาหกรรม เกษตรกรรม การศึกษา การดูแลสุขภาพ บริการ และชีวิตประจำวันของพลเมือง บทที่ 2 การคุ้มครองข้อมูลที่เป็นความลับ
2.1 การจำแนกประเภทของข้อมูลที่อยู่ภายใต้การคุ้มครอง
ปัจจุบัน เอกสารกำกับดูแลต่างๆ ระบุข้อมูลประเภทที่มีนัยสำคัญ (มากกว่า 40) ประเภทที่ต้องการการป้องกันเพิ่มเติม เพื่อความสะดวกในการพิจารณาระบอบกฎหมายของแหล่งข้อมูลตามการเข้าถึงสามารถรวมตามเงื่อนไขออกเป็นสี่กลุ่ม: ความลับของรัฐ; ความลับทางการค้า ข้อมูลที่เป็นความลับ ทรัพย์สินทางปัญญา ความลับของรัฐ กฎหมายของสหพันธรัฐรัสเซีย "ว่าด้วยความลับของรัฐ" ให้คำจำกัดความของความลับของรัฐดังต่อไปนี้: นี่คือข้อมูลที่ได้รับการคุ้มครองโดยรัฐในด้านการทหาร นโยบายต่างประเทศ เศรษฐกิจ สติปัญญา การต่อต้านข่าวกรอง และกิจกรรมสืบสวนเชิงปฏิบัติ ซึ่งการเผยแพร่สามารถทำได้ เป็นอันตรายต่อความมั่นคงของรัสเซีย (ข้อ 2) มาตรา 5 ของกฎหมายนี้กำหนดรายการข้อมูลที่จัดเป็นความลับของรัฐ: ข้อมูลในด้านการทหาร - ในเนื้อหาของแผนยุทธศาสตร์และปฏิบัติการ, ในแผนการก่อสร้างกองทัพ, การพัฒนา, เทคโนโลยี, การผลิต, โรงงานผลิต, การเก็บรักษา, การกำจัดอาวุธนิวเคลียร์, ทางยุทธวิธีและทางเทคนิค ลักษณะและความเป็นไปได้ของการใช้อาวุธและอุปกรณ์ทางทหารในการต่อสู้ เกี่ยวกับความคลาดเคลื่อนของขีปนาวุธและวัตถุสำคัญโดยเฉพาะ ฯลฯ ข้อมูลในสาขาเศรษฐศาสตร์วิทยาศาสตร์และเทคโนโลยี - ในเนื้อหาของแผนการเตรียมสหพันธรัฐรัสเซียและแต่ละภูมิภาคสำหรับการปฏิบัติการทางทหารที่เป็นไปได้ ปริมาณการผลิต ตามแผนคำสั่งของรัฐบาล การผลิตและการจัดหาอาวุธ อุปกรณ์ทางทหาร เกี่ยวกับความสำเร็จของวิทยาศาสตร์และเทคโนโลยีที่มีความสำคัญต่อการป้องกันประเทศหรือความสำคัญทางเศรษฐกิจ ฯลฯ ข้อมูลในด้านนโยบายต่างประเทศและเศรษฐศาสตร์ - เกี่ยวกับนโยบายต่างประเทศและกิจกรรมทางเศรษฐกิจต่างประเทศของสหพันธรัฐรัสเซีย การเผยแพร่ก่อนเวลาอันควรซึ่งอาจเป็นอันตรายต่อความมั่นคงของรัฐ ฯลฯ พลังและวิธีการของกิจกรรมที่ระบุชื่อ แหล่งที่มา แผนงาน และผลลัพธ์ บุคคลที่ร่วมมือหรือร่วมมือกันเป็นความลับกับหน่วยงานที่ดำเนินกิจกรรมเหล่านี้ ระบบของประธานาธิบดี รัฐบาล การเข้ารหัส รวมถึงการสื่อสารที่ใช้รหัสและเป็นความลับ รหัสและข้อมูลวัตถุประสงค์พิเศษและระบบวิเคราะห์ วิธีการและวิธีการในการปกป้องข้อมูลที่เป็นความลับ ฯลฯ ความลับทางการค้าอาจเป็นข้อมูลใดๆ ก็ตามที่เป็นประโยชน์ในธุรกิจและให้ความได้เปรียบเหนือคู่แข่งที่ไม่มีข้อมูลดังกล่าว ในหลายกรณี ความลับทางการค้าถือเป็นทรัพย์สินทางปัญญารูปแบบหนึ่ง ตามมาตรา 139 ส่วนที่ 1 แห่งประมวลกฎหมายแพ่งของสหพันธรัฐรัสเซีย ข้อมูลที่ถือเป็นความลับทางการค้ารวมถึงข้อมูลที่มีมูลค่าทางการค้าจริงหรือที่เป็นไปได้ เนื่องจากบุคคลที่สามไม่ทราบ และไม่มีการเข้าถึงโดยเสรีตามกฎหมาย อาจรวมถึงแนวคิด สิ่งประดิษฐ์ และข้อมูลทางธุรกิจอื่นๆ ที่หลากหลาย คำสั่งของรัฐบาลสหพันธรัฐรัสเซียเมื่อวันที่ 5 ธันวาคม 2534 ฉบับที่ 35 “ ในรายการข้อมูลที่ไม่สามารถเป็นความลับทางการค้าได้” ข้อมูลนี้ประกอบด้วย: ข้อมูลองค์กร (เอกสารกฎบัตรและส่วนประกอบขององค์กร ใบรับรองการจดทะเบียน ใบอนุญาต สิทธิบัตร) ข้อมูลทางการเงิน (เอกสารเกี่ยวกับการคำนวณและการชำระภาษีการชำระเงินอื่น ๆ ตามกฎหมายเอกสารเกี่ยวกับสถานะของความสามารถในการละลาย) ข้อมูลเกี่ยวกับพนักงานและสภาพการปฏิบัติงาน (จำนวนและองค์ประกอบของพนักงาน, ค่าจ้าง, ความพร้อมของตำแหน่งงานว่าง, ผลกระทบของการผลิตต่อสภาพแวดล้อมทางธรรมชาติ, การจำหน่ายผลิตภัณฑ์ที่เป็นอันตรายต่อสุขภาพของประชาชน, การมีส่วนร่วมของเจ้าหน้าที่ในกิจกรรมทางธุรกิจ, การละเมิดกฎหมายต่อต้านการผูกขาด ); ข้อมูลเกี่ยวกับทรัพย์สิน (ขนาดของทรัพย์สิน เงินสด การลงทุนในหลักทรัพย์ พันธบัตร เงินกู้ กองทุนที่ได้รับอนุญาตของการร่วมค้า) ข้อมูลที่เป็นความลับ การรักษาความลับของข้อมูลเป็นลักษณะของข้อมูลที่บ่งบอกถึงความจำเป็นในการแนะนำข้อ จำกัด ในแวดวงของอาสาสมัครที่สามารถเข้าถึงข้อมูลนี้ได้ การรักษาความลับหมายถึงการรักษาสิทธิ์ในข้อมูล การไม่เปิดเผยข้อมูล (ความลับ) และความไม่เปลี่ยนแปลงในทุกกรณี ยกเว้นการใช้งานที่ได้รับอนุญาต คำสั่งของประธานาธิบดีแห่งสหพันธรัฐรัสเซียเมื่อวันที่ 6 มีนาคม พ.ศ. 2540 ฉบับที่ 188 ได้อนุมัติรายการข้อมูลที่เป็นความลับ รายการนี้ประกอบด้วย: ข้อมูลเกี่ยวกับข้อเท็จจริง เหตุการณ์ และสถานการณ์ในชีวิตส่วนตัวของพลเมือง ทำให้สามารถระบุตัวตนของเขาได้ (ข้อมูลส่วนบุคคล) ข้อมูลที่เป็นความลับของการสอบสวนและการดำเนินคดีทางกฎหมาย ข้อมูลอย่างเป็นทางการ การเข้าถึงซึ่งถูกจำกัดโดยหน่วยงานของรัฐตามประมวลกฎหมายแพ่งของสหพันธรัฐรัสเซียและกฎหมายของรัฐบาลกลาง (ความลับอย่างเป็นทางการ) ข้อมูลเกี่ยวกับกิจกรรมทางวิชาชีพ (ทางการแพทย์ การรับรองเอกสาร การรักษาความลับของทนายความ-ลูกค้า การรักษาความลับของการติดต่อทางจดหมาย ฯลฯ) ข้อมูลเกี่ยวกับสาระสำคัญของการประดิษฐ์หรือการออกแบบทางอุตสาหกรรมก่อนที่จะเผยแพร่ข้อมูลเกี่ยวกับสิ่งเหล่านั้นอย่างเป็นทางการ รายการข้อมูลที่เป็นความลับเสริมด้วยการดำเนินการทางกฎหมายอื่น ๆ: พื้นฐานของกฎหมายของสหพันธรัฐรัสเซีย "ในการคุ้มครองสุขภาพของพลเมือง" กฎหมายของสหพันธรัฐรัสเซีย "ในการดูแลทางจิตเวชและการรับประกันสิทธิของพลเมืองในบทบัญญัติ ”, “ในทนายความ”, “ในวิชาชีพทางกฎหมาย”, “ในการค้ำประกันขั้นพื้นฐาน” สิทธิการเลือกตั้งของพลเมืองของสหพันธรัฐรัสเซีย", "ในธนาคารและกิจกรรมการธนาคาร" รวมถึงรหัสภาษีของสหพันธรัฐรัสเซีย ครอบครัว รหัสของสหพันธรัฐรัสเซีย ฯลฯ ด้วยเหตุนี้ เราจึงสามารถแยกแยะกลุ่มข้อมูลที่เป็นความลับได้หลายกลุ่มซึ่งก่อให้เกิด “ความลับ” บางอย่าง: การรักษาความลับทางการแพทย์ (ทางการแพทย์) ความลับของธนาคาร ความลับทางภาษี ความลับของเอกสาร; ความลึกลับของการประกันภัย สิทธิพิเศษของทนายความ-ลูกค้า ความลึกลับของทัศนคติต่อศาสนาและความลึกลับของการสารภาพ ความลับของการลงคะแนนเสียง ความลับอย่างเป็นทางการ ฯลฯ ข้อมูลที่กำหนดโดยแนวคิดเรื่องทรัพย์สินทางปัญญาประกอบด้วยข้อมูลที่กล่าวถึงข้างต้นส่วนใหญ่ในลักษณะทางวิทยาศาสตร์และเทคโนโลยี ตลอดจนผลงานวรรณกรรมและศิลปะ ผลิตภัณฑ์ของกิจกรรมการประดิษฐ์และการหาเหตุผลเข้าข้างตนเอง และความคิดสร้างสรรค์ประเภทอื่น ๆ ตามกฎหมายของสหพันธรัฐรัสเซีย "ในการคุ้มครองทางกฎหมายของโปรแกรมสำหรับคอมพิวเตอร์อิเล็กทรอนิกส์และฐานข้อมูล" ลงวันที่ 23 กันยายน 2535 โปรแกรมคอมพิวเตอร์และฐานข้อมูลถือเป็นวัตถุของลิขสิทธิ์เช่นกัน การละเมิดซึ่งนำมาซึ่งความรับผิดทางแพ่ง ทางอาญา และทางปกครองตาม ด้วยกฎหมาย RF ข้อมูลบางส่วนที่จัดเป็นความลับของรัฐและเชิงพาณิชย์ยังอยู่ภายใต้คำจำกัดความของทรัพย์สินทางปัญญาด้วย 2.2 องค์กรด้านความปลอดภัยของข้อมูล
ผู้เชี่ยวชาญส่วนใหญ่ถือว่ามาตรการ "ป้องกัน" ต่อไปนี้เป็นความพยายามที่สมเหตุสมผลที่สุดในทิศทางนี้: คำจำกัดความที่เพียงพอของรายการข้อมูลภายใต้การคุ้มครอง การระบุระดับการเข้าถึงและการทำนายช่องโหว่ที่อาจเกิดขึ้นในการเข้าถึงข้อมูล ใช้มาตรการเพื่อจำกัดการเข้าถึงข้อมูลหรือวัตถุ การจัดระเบียบความปลอดภัยของสถานที่และการตรวจสอบความปลอดภัยของข้อมูลอย่างต่อเนื่อง (โดยเฉพาะอย่างยิ่งจำเป็นต้องมีตู้ที่ล็อคได้ ตู้นิรภัย สำนักงาน กล้องวงจรปิดโทรทัศน์ ฯลฯ ) มีกฎเกณฑ์ที่ชัดเจนสำหรับการจัดการเอกสารและการทำซ้ำ ดังที่คุณทราบ การประดิษฐ์เทคโนโลยีที่ซ้ำซ้อนทำให้เกิดการจารกรรมทางอุตสาหกรรมเพิ่มมากขึ้น การปรากฏบนเอกสารจารึก "ความลับ" "สำหรับการใช้งานอย่างเป็นทางการ" และที่ประตู - "ห้ามเข้าโดยไม่ได้รับอนุญาต" ผู้ให้บริการข้อมูลแต่ละราย (เอกสาร ดิสก์ ฯลฯ) ต้องมีการกำหนดตำแหน่งและสถานที่จัดเก็บที่เหมาะสม (ห้อง ตู้นิรภัย กล่องโลหะ) การลงนามข้อตกลงไม่เปิดเผยข้อมูลกับพนักงานขององค์กรหรือบริษัท วิธีการหลักในการปกป้องข้อมูลในปัจจุบันยังคงเป็นมาตรการรักษาความปลอดภัยที่มุ่งป้องกันการรั่วไหลของข้อมูลเฉพาะ ประการแรกการนำมาตรการเหล่านี้ไปใช้จะขึ้นอยู่กับเจ้าของข้อมูล สถานการณ์การแข่งขันในสาขากิจกรรมของตน มูลค่าที่ข้อมูลการผลิตหรือเชิงพาณิชย์เป็นตัวแทน และปัจจัยอื่นๆ มาตรการปกป้องข้อมูลรวมถึงภายนอกและภายใน กิจกรรมภายนอก ได้แก่: ศึกษาคู่ค้า ลูกค้าที่คุณต้องดำเนินธุรกิจด้วย รวบรวมข้อมูลเกี่ยวกับความน่าเชื่อถือ ความสามารถในการละลาย และข้อมูลอื่น ๆ รวมถึงการทำนายการกระทำที่คาดหวังของคู่แข่งและองค์ประกอบทางอาญา หากเป็นไปได้ จะมีการระบุบุคคลที่แสดงความสนใจในกิจกรรมขององค์กร (บริษัท) และบุคลากรที่ทำงานในองค์กร มาตรการรักษาความปลอดภัยภายในประกอบด้วยการคัดเลือกและการคัดกรองบุคคลที่สมัครงาน: ข้อมูลส่วนบุคคล พฤติกรรม ณ สถานที่พำนักและในงานก่อนหน้า คุณภาพส่วนบุคคลและธุรกิจ ความเข้ากันได้ทางจิตวิทยากับพนักงานได้รับการศึกษา มีการชี้แจงเหตุผลในการออกจากสถานที่ทำงานเดิม ประวัติอาชญากรรม ฯลฯ ในกระบวนการทำงาน การศึกษาและวิเคราะห์การกระทำของพนักงานที่ส่งผลกระทบต่อผลประโยชน์ขององค์กรยังคงดำเนินต่อไป และการวิเคราะห์ของเขา มีการดำเนินการความสัมพันธ์ภายนอก พนักงานถือเป็นองค์ประกอบที่สำคัญที่สุดของระบบรักษาความปลอดภัย พวกเขาสามารถมีบทบาทสำคัญในการปกป้องความลับทางการค้า แต่ในขณะเดียวกันก็อาจเป็นสาเหตุหลักของการรั่วไหลได้เช่นกัน สิ่งนี้มักเกิดขึ้นเนื่องจากการไม่ตั้งใจและการไม่รู้หนังสือ ดังนั้นการฝึกอบรมบุคลากรในเรื่องความลับอย่างสม่ำเสมอและชัดเจนจึงเป็นเงื่อนไขที่สำคัญที่สุดในการรักษาความลับ อย่างไรก็ตาม ไม่สามารถตัดกรณีการโอน (ขาย) ความลับของบริษัทโดยเจตนาโดยพนักงานได้ พื้นฐานที่สร้างแรงบันดาลใจสำหรับการกระทำดังกล่าวคือผลประโยชน์ของตนเองหรือการแก้แค้น เช่น ในส่วนของพนักงานที่ถูกไล่ออก การปฏิบัติการกระทำดังกล่าวมีมาตั้งแต่สมัยโบราณ การปกป้องข้อมูลเกี่ยวข้องกับการใช้วิธีการทางเทคนิคพิเศษและอุปกรณ์อิเล็กทรอนิกส์ ซึ่งไม่เพียงแต่ช่วยป้องกันการรั่วไหลเท่านั้น แต่ยังช่วยหยุดกิจกรรมต่างๆ เช่น การจารกรรมทางอุตสาหกรรม (เชิงพาณิชย์) อีกด้วย ส่วนใหญ่เป็นวิธีการทางเทคนิคในการตรวจจับและวิธีการตอบโต้อุปกรณ์ดักฟัง: เครื่องทำให้เป็นกลางของโทรศัพท์ (เพื่อระงับการทำงานของเครื่องส่งสัญญาณขนาดเล็กและทำให้การลบข้อมูลเสียงเป็นกลาง) jammer โทรศัพท์ของอุปกรณ์ฟัง เครื่องตรวจจับมืออาชีพ (ใช้สำหรับการกำหนดตำแหน่งของระเบิดวิทยุแบบ "หยาบ"); เครื่องตรวจจับเครื่องส่งสัญญาณขนาดเล็ก (ใช้เพื่อระบุตำแหน่งของระเบิดวิทยุอย่างแม่นยำ) เครื่องกำเนิดเสียงรบกวน องค์กรที่มีข้อมูลอันมีค่าจะต้องเก็บไว้ในตู้หรือตู้นิรภัยกันไฟแบบพิเศษ และป้องกันไม่ให้กุญแจสูญหายหรือโอนไปจัดเก็บให้กับบุคคลอื่น แม้แต่ผู้ที่ได้รับความไว้วางใจเป็นพิเศษก็ตาม หนึ่งในวิธีการทั่วไปในการปกป้องทรัพย์สินทางปัญญาคือสิทธิบัตร นั่นคือ ใบรับรองที่ออกให้กับผู้ประดิษฐ์หรือผู้สืบทอดสิทธิ์ในการใช้สิ่งประดิษฐ์ที่เขาสร้างขึ้นแต่เพียงผู้เดียว สิทธิบัตรมีจุดมุ่งหมายเพื่อปกป้องนักประดิษฐ์ (ผู้เขียน) จากการทำซ้ำ การขาย และการใช้สิ่งประดิษฐ์ของเขาโดยผู้อื่น การดำเนินการตามมาตรการพิเศษทั้งภายในและภายนอกเพื่อปกป้องระบบข้อมูลที่มีคุณค่าควรได้รับความไว้วางใจให้กับบุคคลที่ได้รับการฝึกอบรมมาเป็นพิเศษ เพื่อจุดประสงค์นี้ ผู้ประกอบการสามารถขอความช่วยเหลือจากบริษัทนักสืบเอกชนที่เชี่ยวชาญด้านการตรวจจับและปกป้องทรัพย์สินได้ พวกเขายังสามารถสร้างบริการรักษาความปลอดภัยของตนเองได้ เนื่องจากมาตรการป้องกันต้องใช้ต้นทุนจำนวนมาก ผู้ประกอบการเองจึงต้องตัดสินใจว่าอะไรให้ผลกำไรมากกว่าสำหรับเขา: ทนกับการรั่วไหลของข้อมูลหรือดึงดูดบริการพิเศษเพื่อปกป้องมัน บทสรุป
สถานะปัจจุบันของความปลอดภัยของข้อมูลในรัสเซียคือสถานะของสถาบันสาธารณะของรัฐแห่งใหม่ซึ่งกำลังเป็นรูปเป็นร่างโดยคำนึงถึงยุคสมัย ได้มีการดำเนินการไปมากแล้วสำหรับการก่อตัวของมัน แต่ยังมีปัญหาอีกมากมายที่ต้องได้รับการแก้ไขอย่างทันท่วงที ในช่วงไม่กี่ปีที่ผ่านมา มีการนำมาตรการจำนวนหนึ่งไปใช้ในสหพันธรัฐรัสเซียเพื่อปรับปรุงความปลอดภัยของข้อมูล กล่าวคือ: การก่อตัวของกรอบกฎหมายสำหรับความปลอดภัยของข้อมูลได้เริ่มขึ้นแล้ว มีการนำกฎหมายจำนวนหนึ่งที่ควบคุมการประชาสัมพันธ์ในพื้นที่นี้มาใช้ และเริ่มงานเพื่อสร้างกลไกในการดำเนินการ ผลลัพธ์ที่สำคัญและกรอบการกำกับดูแลสำหรับการแก้ไขปัญหาเพิ่มเติมในพื้นที่นี้คือการอนุมัติโดยประธานาธิบดีแห่งสหพันธรัฐรัสเซียในเดือนกันยายน พ.ศ. 2544 ของหลักคำสอนด้านความปลอดภัยข้อมูลของสหพันธรัฐรัสเซีย ความปลอดภัยของข้อมูลได้รับการรับรองโดยสิ่งต่อไปนี้: ระบบป้องกันข้อมูลของรัฐ ระบบการออกใบอนุญาตสำหรับกิจกรรมในด้านการคุ้มครองความลับของรัฐ ระบบรับรองความปลอดภัยของข้อมูล ในเวลาเดียวกัน การวิเคราะห์สถานะความปลอดภัยของข้อมูลแสดงให้เห็นว่ายังมีปัญหาจำนวนหนึ่งที่เป็นอุปสรรคร้ายแรงต่อการจัดหาความปลอดภัยของข้อมูลอย่างเต็มรูปแบบสำหรับบุคคล สังคม และรัฐ หลักคำสอนระบุปัญหาหลักๆ ต่อไปนี้ในเรื่องนี้ สภาพสมัยใหม่ของการพัฒนาทางการเมืองและเศรษฐกิจสังคมของประเทศยังคงรักษาความขัดแย้งอย่างรุนแรงระหว่างความต้องการของสังคมในการขยายการแลกเปลี่ยนข้อมูลอย่างเสรีกับความจำเป็นในการจำกัดการเผยแพร่ข้อมูลที่ได้รับการควบคุมบางประการ ความไม่สอดคล้องกันและการด้อยพัฒนาของกฎระเบียบทางกฎหมายของการประชาสัมพันธ์ในขอบเขตข้อมูลทำให้การรักษาความสมดุลของผลประโยชน์ที่จำเป็นของแต่ละบุคคลสังคมและรัฐในพื้นที่นี้มีความซับซ้อนอย่างมาก กฎระเบียบทางกฎหมายที่ไม่สมบูรณ์ไม่อนุญาตให้มีการจัดตั้งสำนักข่าวและสื่อรัสเซียที่มีการแข่งขันกันในอาณาเขตของสหพันธรัฐรัสเซีย ความไม่มั่นคงของสิทธิของประชาชนในการเข้าถึงข้อมูลและการบิดเบือนข้อมูลทำให้เกิดปฏิกิริยาเชิงลบจากประชากรซึ่งในบางกรณีนำไปสู่ความไม่มั่นคงของสถานการณ์ทางสังคมและการเมืองในสังคม สิทธิของพลเมืองในความเป็นส่วนตัว ความลับส่วนบุคคลและครอบครัว และความลับของการติดต่อทางจดหมายที่ประดิษฐานอยู่ในรัฐธรรมนูญของสหพันธรัฐรัสเซียในทางปฏิบัติไม่ได้รับการสนับสนุนทางกฎหมาย องค์กร และทางเทคนิคที่เพียงพอ การปกป้องข้อมูลของบุคคล (ข้อมูลส่วนบุคคล) ที่รวบรวมโดยหน่วยงานของรัฐบาลกลาง หน่วยงานของรัฐของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซีย และหน่วยงานปกครองตนเองในท้องถิ่นนั้นมีการจัดระเบียบที่ไม่ดี ไม่มีความชัดเจนในการดำเนินนโยบายของรัฐในด้านการก่อตัวของพื้นที่ข้อมูลรัสเซียตลอดจนการจัดการแลกเปลี่ยนข้อมูลระหว่างประเทศและการรวมพื้นที่ข้อมูลของรัสเซียเข้ากับพื้นที่ข้อมูลโลกซึ่งสร้างเงื่อนไขในการขับไล่ข่าวรัสเซีย หน่วยงานและสื่อจากตลาดข้อมูลภายในประเทศ นำไปสู่การเปลี่ยนแปลงโครงสร้างการแลกเปลี่ยนระหว่างประเทศ การสนับสนุนจากรัฐบาลไม่เพียงพอสำหรับกิจกรรมของสำนักข่าวรัสเซียในการโปรโมตผลิตภัณฑ์ของตนในตลาดข้อมูลต่างประเทศ สถานการณ์ในการรับรองความปลอดภัยของข้อมูลที่เป็นความลับของรัฐยังไม่ดีขึ้น เกิดความเสียหายร้ายแรงต่อศักยภาพบุคลากรของทีมวิทยาศาสตร์และการผลิตที่ดำเนินงานในด้านการสร้างเทคโนโลยีสารสนเทศ โทรคมนาคม และการสื่อสาร อันเป็นผลมาจากการที่ผู้เชี่ยวชาญที่มีคุณสมบัติเหมาะสมที่สุดออกจากทีมเหล่านี้จำนวนมาก อ้างอิง
1.หลักคำสอนด้านความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซีย (อนุมัติโดยประธานาธิบดีแห่งสหพันธรัฐรัสเซีย ลงวันที่ 09.09.2000 เลขที่ Pr-1895) .กฎหมายของสหพันธรัฐรัสเซีย "เรื่องความมั่นคง" 2553 .กฎหมายของสหพันธรัฐรัสเซีย "ว่าด้วยความลับของรัฐ" รับรองเมื่อวันที่ 21 กรกฎาคม 2536 (แก้ไขเพิ่มเติมเมื่อวันที่ 8 พฤศจิกายน 2554) .กฎหมายของสหพันธรัฐรัสเซีย "ว่าด้วยลิขสิทธิ์และสิทธิที่เกี่ยวข้อง" ซึ่งมีผลใช้บังคับเมื่อวันที่ 3 สิงหาคม 2536 (รวมทั้งแก้ไขเพิ่มเติม) .กฎหมายของรัฐบาลกลาง "เกี่ยวกับพื้นฐานของการรับราชการ" ซึ่งประกาศใช้เมื่อวันที่ 31 กรกฎาคม 2538 .ประมวลกฎหมายอาญาของสหพันธรัฐรัสเซีย 2556
การปกป้องข้อมูลในระบบคอมพิวเตอร์อย่างมีประสิทธิผลทำได้โดยใช้วิธีการที่เหมาะสม ซึ่งสามารถแบ่งออกได้เป็นหลายกลุ่ม ได้แก่
1) การจำกัดการเข้าถึงข้อมูล
2) การปกป้องข้อมูลเมื่อส่งผ่านช่องทางการสื่อสาร
3) การป้องกันการรั่วไหลของข้อมูลผ่านสาขาทางกายภาพต่าง ๆ ที่เกิดขึ้นระหว่างการทำงานของวิธีการทางเทคนิคของระบบคอมพิวเตอร์
4) การป้องกันผลกระทบของโปรแกรมไวรัส
5) ความปลอดภัยของการจัดเก็บและการขนส่งข้อมูลบนสื่อและการป้องกันการคัดลอก
วัตถุประสงค์หลักของเครื่องมือดังกล่าวคือการจำกัดการเข้าถึงทรัพยากรข้อมูลท้องถิ่นและเครือข่ายของระบบคอมพิวเตอร์ ซึ่งให้: การระบุตัวตนและการรับรองความถูกต้องของผู้ใช้ การจำกัดการเข้าถึงของผู้ใช้ที่ลงทะเบียนไปยังทรัพยากรข้อมูล การลงทะเบียนการกระทำของผู้ใช้ การป้องกันการโหลดระบบปฏิบัติการ จากสื่อที่ยืดหยุ่น การตรวจสอบความสมบูรณ์ของเครื่องมือรักษาความปลอดภัยข้อมูลและทรัพยากรสารสนเทศ แม้ว่าเครื่องมือรักษาความปลอดภัยข้อมูลของกลุ่มนี้จะมีลักษณะการทำงานเหมือนกัน แต่ก็มีความแตกต่างกันในเรื่องสภาพการทำงาน ความซับซ้อนในการตั้งค่าและจัดการพารามิเตอร์ ตัวระบุที่ใช้ รายการเหตุการณ์ที่ลงทะเบียน และค่าใช้จ่าย วิธีการรักษาความปลอดภัยข้อมูลแบ่งออกเป็น เป็นทางการ ซึ่งทำหน้าที่นี้ตามขั้นตอนที่กำหนดไว้ล่วงหน้าโดยไม่มีการแทรกแซงของมนุษย์ และ ไม่เป็นทางการ (จำกัดกิจกรรมของบุคลากรหรือควบคุมพวกเขาอย่างเข้มงวด)
วิธีการป้องกันหลัก ได้แก่ เทคนิค และ ซอฟต์แวร์ - วิธีการทางเทคนิคมักจะแบ่งออกเป็น ทางกายภาพและ ฮาร์ดแวร์.
วิธีการทางกายภาพดำเนินการผ่านอุปกรณ์อัตโนมัติและระบบรักษาความปลอดภัย (สัญญาณกันขโมย, เกราะป้องกันสำหรับอุปกรณ์, การป้องกันภายในของแต่ละสถานที่, อุปกรณ์เฝ้าระวังภายนอกและภายใน, ล็อคประตู ฯลฯ )
ฮาร์ดแวร์- อุปกรณ์เหล่านี้เป็นอุปกรณ์ที่สร้างขึ้นโดยตรงในอุปกรณ์ที่เชื่อมต่อกับอุปกรณ์ที่ใช้ในการประมวลผลข้อมูลผ่านอินเทอร์เฟซมาตรฐาน (วงจรควบคุมข้อมูลพาริตี วงจรป้องกันสนามหน่วยความจำด้วยคีย์และรีจิสเตอร์พิเศษ)
ถึง ซอฟต์แวร์ ซึ่งรวมถึงโปรแกรมพิเศษและ/หรือโมดูลที่ทำหน้าที่รักษาความปลอดภัยข้อมูล
การใช้เพียงวิธีใดวิธีหนึ่งข้างต้นในการปกป้องข้อมูลไม่สามารถแก้ปัญหาได้ - จำเป็นต้องมีแนวทางบูรณาการ มีสองวิธีหลักที่ใช้กันทั่วไป: สิ่งกีดขวางและการควบคุมการเข้าถึง
ปิดกั้น– การสร้างอุปสรรคทางกายภาพ (สำหรับการเข้าถึงอาณาเขตขององค์กรโดยตรงไปยังสื่อจัดเก็บข้อมูลทางกายภาพ)
การควบคุมการเข้าถึง– การควบคุมและการควบคุมการเข้าถึงทางเทคนิค ซอฟต์แวร์ ทรัพยากรข้อมูลของระบบที่ได้รับอนุญาต
ในทางกลับกัน การควบคุมการเข้าถึงที่ได้รับอนุญาตจะมั่นใจได้ผ่านทางบางอย่าง ฟังก์ชั่นการป้องกัน:
การระบุตัวตนผู้ใช้ – การกำหนดชื่อผู้ใช้ รหัส รหัสผ่าน อะนาล็อกเริ่มต้นให้กับผู้ใช้แต่ละคน ซึ่งจะถูกจัดเก็บไว้ในระบบรักษาความปลอดภัย
การรับรองความถูกต้อง (การตรวจสอบสิทธิ์) – กระบวนการเปรียบเทียบตัวระบุที่นำเสนอกับตัวระบุที่เก็บไว้ในระบบ
การสร้างเงื่อนไขในการทำงานภายในกฎระเบียบที่กำหนด ได้แก่ การพัฒนาและการดำเนินการตามมาตรการที่ครอบคลุมซึ่งลดการเข้าถึงโดยไม่ได้รับอนุญาตให้เหลือน้อยที่สุด
การลงทะเบียนคำขอไปยังทรัพยากรที่ได้รับการคุ้มครอง
การตอบสนองที่เพียงพอต่อการกระทำที่ไม่ได้รับอนุญาต
โปรแกรมป้องกันไวรัส- วิธีการป้องกันที่พบบ่อยที่สุด - ตั้งแต่คอมพิวเตอร์แต่ละเครื่องของผู้ใช้ตามบ้านไปจนถึงเครือข่ายองค์กรขนาดใหญ่ (Kaspersky Antivirus 7.0, Dr. Web 4.44 + antispam, AVPersonal, Panda, NOD32)
ลายเซ็นดิจิทัลอิเล็กทรอนิกส์ (EDS)- ลำดับของอักขระที่ได้รับจากการแปลงข้อมูลอิเล็กทรอนิกส์ที่เข้ารหัส ลายเซ็นดิจิทัลจะถูกเพิ่มลงในบล็อกข้อมูล และช่วยให้ผู้รับบล็อกสามารถตรวจสอบแหล่งที่มาและความสมบูรณ์ของข้อมูล และป้องกันการปลอมแปลงได้ EDS ใช้เป็นอะนาล็อกของลายเซ็นที่เขียนด้วยลายมือ
เครื่องมือการเข้ารหัสที่โปร่งใสปกป้องข้อมูลจากการเปิดเผยโดยไม่ได้ตั้งใจและป้องกันไม่ให้สายลับแทรกซึมข้อมูลของผู้ใช้รายอื่น ในเวลาเดียวกัน คีย์การเข้ารหัสจะถูกจัดเก็บไว้ในบัญชี ดังนั้นสำหรับเจ้าของข้อมูลตามกฎหมาย การถอดรหัสจึงไม่มีใครสังเกตเห็น มีโซลูชั่นดังกล่าวหลายประการในตลาด โดยเฉพาะอย่างยิ่ง Microsoft นำเสนอ โซลูชันของ Microsoft ใช้ในระบบปฏิบัติการในรูปแบบของระบบไฟล์เข้ารหัส EFS อย่างไรก็ตาม หากพนักงานที่มีสิทธิ์ในการเข้าถึงข้อมูลที่เข้ารหัสส่งอีเมลหรือถ่ายโอนข้อมูลไปยังสื่อที่ไม่ได้เข้ารหัสโดยไม่ได้ตั้งใจ การป้องกันจะถูกบุกรุก เพื่อลดความเสี่ยงของการรั่วไหลโดยไม่ได้ตั้งใจดังกล่าว บริษัทสามารถควบคุมการถ่ายโอนข้อมูลผ่านอีเมลและโปรโตคอลเว็บ (เพื่อป้องกันการส่งผ่านเว็บเมล) แต่เมื่อเทียบกับการถ่ายโอนข้อมูลที่ซ่อนเร้นซึ่งสายลับสามารถเกิดขึ้นได้ ระบบดังกล่าวมักจะไม่สามารถให้ความปลอดภัยได้ โดยเฉพาะอย่างยิ่ง ไม่มีการป้องกันใดที่สามารถเปิดไฟล์ที่เข้ารหัสได้อย่างถูกต้อง ดังนั้นจึงไม่สามารถตรวจสอบเนื้อหาได้ อย่างไรก็ตาม บริการที่น่าสนใจที่สุดสำหรับบริษัทในประเทศคือการพัฒนาระบบรักษาความปลอดภัยที่ครอบคลุม ซึ่งรวมถึงการสร้างกลไกเพื่อป้องกันภัยคุกคามภายในด้วย
การควบคุมเนื้อหาความสนใจที่เพิ่มขึ้นล่าสุดในระบบควบคุมเนื้อหาได้รับแรงหนุนจากความกังวลเกี่ยวกับสแปม อย่างไรก็ตาม วัตถุประสงค์หลักของเครื่องมือควบคุมเนื้อหาคือเพื่อป้องกันการรั่วไหลของข้อมูลที่เป็นความลับและระงับการใช้อินเทอร์เน็ตในทางที่ผิด สิ่งสำคัญประการหนึ่งของผู้ผลิตเครื่องมือดังกล่าวคือต้องแน่ใจว่าผู้ใช้ไม่รู้สึกถึงการทำงานของระบบควบคุมเนื้อหา
ไฟร์วอลล์เป็นและเป็นเครื่องมือพื้นฐานที่รับรองการป้องกันการเชื่อมต่อกับเครือข่ายภายนอก การควบคุมการเข้าถึงระหว่างส่วนของเครือข่ายองค์กร และการป้องกันกระแสข้อมูลที่ส่งผ่านเครือข่ายแบบเปิด สิ่งแรก (และสำคัญที่สุด) ที่ต้องทำเพื่อความปลอดภัยของเครือข่ายคือการติดตั้งและกำหนดค่าไฟร์วอลล์อย่างถูกต้อง (หรือที่เรียกว่าไฟร์วอลล์) ไฟร์วอลล์ - ในวิทยาการคอมพิวเตอร์ - อุปสรรคของซอฟต์แวร์และ/หรือฮาร์ดแวร์ระหว่างสองเครือข่าย อนุญาตให้สร้างการเชื่อมต่ออินเทอร์เน็ตที่ได้รับอนุญาตเท่านั้น ไฟร์วอลล์ช่วยปกป้องเครือข่ายองค์กรที่เชื่อมต่อกับอินเทอร์เน็ตจากการถูกบุกรุกจากภายนอก และป้องกันการเข้าถึงข้อมูลที่เป็นความลับ การกำหนดค่าและการบำรุงรักษาไฟร์วอลล์อย่างถูกต้องถือเป็นความรับผิดชอบของผู้ดูแลระบบที่มีประสบการณ์
เพื่อปกป้องเครือข่ายขนาดเล็กซึ่งไม่จำเป็นต้องทำการตั้งค่ามากมายที่เกี่ยวข้องกับการกระจายแบนด์วิดธ์และข้อจำกัดการรับส่งข้อมูลที่ยืดหยุ่นตามโปรโตคอลสำหรับผู้ใช้ ควรใช้เกตเวย์อินเทอร์เน็ตหรือเราเตอร์อินเทอร์เน็ต
ไฟร์วอลล์ยังทำการสแกนป้องกันไวรัสสำหรับเนื้อหาเว็บหรืออีเมลที่ดาวน์โหลด ฐานข้อมูลแอนติไวรัสได้รับการอัปเดตผ่านทางอินเทอร์เน็ตเพื่อให้เครือข่ายของคุณได้รับการปกป้องเมื่อมีไวรัสใหม่ๆ เกิดขึ้น สถิติทั้งหมดเกี่ยวกับการไหลของข้อมูล การแจ้งเตือนเกี่ยวกับการโจมตีจากอินเทอร์เน็ต และข้อมูลเกี่ยวกับกิจกรรมของผู้ใช้บนการนำทางเว็บ จะถูกบันทึกแบบเรียลไทม์และสามารถจัดทำในรูปแบบของรายงานได้