คำแนะนำในการปกป้องข้อมูลที่เป็นความลับเพื่อวัตถุประสงค์สาธารณะ มั่นใจในความปลอดภัยของข้อมูล

คำอธิบายบรรณานุกรม:

เนสเตรอฟ เอ.เค. การรับรองความปลอดภัยของข้อมูล [ทรัพยากรอิเล็กทรอนิกส์] // เว็บไซต์สารานุกรมการศึกษา

ในขณะเดียวกันกับการพัฒนาเทคโนโลยีสารสนเทศและความสำคัญที่เพิ่มขึ้นของทรัพยากรข้อมูลสำหรับองค์กร จำนวนภัยคุกคามต่อความปลอดภัยของข้อมูลรวมถึงความเสียหายที่อาจเกิดขึ้นจากการละเมิดก็เพิ่มขึ้น มีวัตถุประสงค์เพื่อรับรองความปลอดภัยของข้อมูลขององค์กร ในเรื่องนี้ความคืบหน้าเป็นไปได้เฉพาะในเงื่อนไขของการป้องกันภัยคุกคามต่อความปลอดภัยของข้อมูลแบบกำหนดเป้าหมายเท่านั้น

เครื่องมือรักษาความปลอดภัยข้อมูล

ความปลอดภัยของข้อมูลได้รับการรับรองโดยใช้วิธีการสองประเภท:

  • ซอฟต์แวร์และฮาร์ดแวร์
  • ช่องทางการสื่อสารที่ปลอดภัย

เครื่องมือซอฟต์แวร์และฮาร์ดแวร์เพื่อรับรองความปลอดภัยของข้อมูลในสภาวะปัจจุบันของการพัฒนาเทคโนโลยีสารสนเทศนั้นพบได้บ่อยที่สุดในงานขององค์กรในประเทศและต่างประเทศ มาดูฮาร์ดแวร์และซอฟต์แวร์หลักเพื่อความปลอดภัยของข้อมูลกันดีกว่า

การป้องกันซอฟต์แวร์และฮาร์ดแวร์จากการเข้าถึงโดยไม่ได้รับอนุญาตรวมถึงมาตรการในการระบุตัวตน การรับรองความถูกต้อง และการควบคุมการเข้าถึงระบบข้อมูล

การระบุตัวตน – การกำหนดตัวระบุเฉพาะเพื่อเข้าถึงหัวเรื่อง

ซึ่งรวมถึงแท็กความถี่วิทยุ เทคโนโลยีไบโอเมตริกซ์ การ์ดแม่เหล็ก กุญแจแม่เหล็กสากล การเข้าสู่ระบบ ฯลฯ

การรับรองความถูกต้อง - ตรวจสอบว่าหัวข้อการเข้าถึงเป็นของตัวระบุที่นำเสนอและยืนยันความถูกต้อง

ขั้นตอนการตรวจสอบความถูกต้องประกอบด้วยรหัสผ่าน รหัสพิน สมาร์ทการ์ด คีย์ USB ลายเซ็นดิจิทัล คีย์เซสชัน ฯลฯ ส่วนขั้นตอนของเครื่องมือระบุตัวตนและการตรวจสอบความถูกต้องเชื่อมโยงถึงกัน และในความเป็นจริงแล้ว แสดงถึงพื้นฐานพื้นฐานของเครื่องมือรักษาความปลอดภัยข้อมูลซอฟต์แวร์และฮาร์ดแวร์ทั้งหมด เนื่องจากบริการอื่นๆ ทั้งหมดได้รับการออกแบบมาเพื่อรองรับหัวข้อเฉพาะที่ระบบข้อมูลรับรู้อย่างถูกต้อง โดยทั่วไป การระบุตัวตนทำให้บุคคลสามารถระบุตัวเองต่อระบบข้อมูลได้ และด้วยความช่วยเหลือของการรับรองความถูกต้อง ระบบข้อมูลจะยืนยันว่าบุคคลนั้นคือบุคคลที่เขาอ้างว่าเป็นจริงๆ เมื่อเสร็จสิ้นการดำเนินการนี้ จะมีการดำเนินการเพื่อให้สามารถเข้าถึงระบบข้อมูลได้ ขั้นตอนการควบคุมการเข้าถึงอนุญาตให้ผู้ที่ได้รับมอบหมายดำเนินการตามที่ได้รับอนุญาตตามกฎระเบียบ และระบบข้อมูลจะตรวจสอบการกระทำเหล่านี้เพื่อความถูกต้องและแม่นยำของผลลัพธ์ที่ได้รับ การควบคุมการเข้าถึงทำให้ระบบสามารถบล็อกข้อมูลจากผู้ใช้ที่พวกเขาไม่ได้รับอนุญาต

วิธีถัดไปในการปกป้องซอฟต์แวร์และฮาร์ดแวร์คือการบันทึกและการตรวจสอบข้อมูล

การบันทึกรวมถึงการรวบรวม การสะสม และการจัดเก็บข้อมูลเกี่ยวกับเหตุการณ์ การดำเนินการ ผลลัพธ์ที่เกิดขึ้นระหว่างการทำงานของระบบข้อมูล ผู้ใช้แต่ละราย กระบวนการ ตลอดจนซอฟต์แวร์และฮาร์ดแวร์ทั้งหมดที่เป็นส่วนหนึ่งของระบบข้อมูลองค์กร

เนื่องจากแต่ละองค์ประกอบของระบบข้อมูลมีชุดเหตุการณ์ที่เป็นไปได้ที่กำหนดไว้ล่วงหน้าตามตัวแยกประเภทที่ตั้งโปรแกรมไว้ เหตุการณ์ การดำเนินการ และผลลัพธ์จึงถูกแบ่งออกเป็น:

  • ภายนอกที่เกิดจากการกระทำของส่วนประกอบอื่น ๆ
  • ภายในที่เกิดจากการกระทำของส่วนประกอบนั้นเอง
  • ฝั่งไคลเอ็นต์ที่เกิดจากการกระทำของผู้ใช้และผู้ดูแลระบบ
การตรวจสอบข้อมูลประกอบด้วยการดำเนินการวิเคราะห์การปฏิบัติงานแบบเรียลไทม์หรือภายในระยะเวลาที่กำหนด

จากผลการวิเคราะห์ จะมีการสร้างรายงานเกี่ยวกับเหตุการณ์ที่เกิดขึ้น หรือเริ่มการตอบสนองอัตโนมัติต่อสถานการณ์ฉุกเฉิน

การใช้การบันทึกและการตรวจสอบช่วยแก้ปัญหาต่อไปนี้:

  • การให้ผู้ใช้และผู้ดูแลระบบรับผิดชอบ
  • สร้างความมั่นใจถึงความเป็นไปได้ในการสร้างลำดับเหตุการณ์ขึ้นใหม่
  • การตรวจจับการละเมิดความปลอดภัยของข้อมูลที่พยายามทำ
  • การให้ข้อมูลเพื่อระบุและวิเคราะห์ปัญหา

บ่อยครั้งที่การปกป้องข้อมูลเป็นไปไม่ได้หากปราศจากการใช้วิธีการเข้ารหัส ใช้เพื่อให้บริการการเข้ารหัส ความสมบูรณ์ และการตรวจสอบความถูกต้อง เมื่อวิธีการตรวจสอบความถูกต้องถูกจัดเก็บในรูปแบบที่เข้ารหัสสำหรับผู้ใช้ มีวิธีการเข้ารหัสหลักสองวิธี: สมมาตรและไม่สมมาตร

การควบคุมความสมบูรณ์ช่วยให้คุณสร้างความถูกต้องและเอกลักษณ์ของออบเจ็กต์ ซึ่งได้แก่ อาร์เรย์ข้อมูล ข้อมูลแต่ละส่วน แหล่งข้อมูล และยังช่วยให้แน่ใจว่าเป็นไปไม่ได้ที่จะทำเครื่องหมายการดำเนินการที่ดำเนินการในระบบด้วยอาร์เรย์ข้อมูล พื้นฐานสำหรับการนำการควบคุมความสมบูรณ์ไปใช้คือเทคโนโลยีการแปลงข้อมูลโดยใช้การเข้ารหัสและใบรับรองดิจิทัล

สิ่งสำคัญอีกประการหนึ่งคือการใช้ระบบป้องกัน ซึ่งเป็นเทคโนโลยีที่ช่วยให้โดยจำกัดการเข้าถึงของอาสาสมัครในแหล่งข้อมูล เพื่อควบคุมการไหลของข้อมูลทั้งหมดระหว่างระบบข้อมูลขององค์กรกับวัตถุภายนอก อาร์เรย์ข้อมูล วิชา และวิชาที่โต้แย้ง การควบคุมโฟลว์ประกอบด้วยการกรองและแปลงข้อมูลที่ส่งหากจำเป็น

วัตถุประสงค์ของการป้องกันคือการปกป้องข้อมูลภายในจากปัจจัยภายนอกและเอนทิตีภายนอกที่อาจเป็นอันตราย รูปแบบหลักของการป้องกันคือไฟร์วอลล์หรือไฟร์วอลล์ประเภทและสถาปัตยกรรมต่างๆ

เนื่องจากหนึ่งในสัญญาณของความปลอดภัยของข้อมูลคือความพร้อมของทรัพยากรข้อมูล การรับรองความพร้อมใช้งานในระดับสูงจึงเป็นทิศทางสำคัญในการนำมาตรการซอฟต์แวร์และฮาร์ดแวร์ไปใช้ โดยเฉพาะอย่างยิ่ง มีการแบ่งสองทิศทาง: การรับประกันความทนทานต่อข้อผิดพลาด เช่น ต่อต้านความล้มเหลวของระบบ ความสามารถในการดำเนินการเมื่อเกิดข้อผิดพลาด และรับประกันการกู้คืนจากความล้มเหลวอย่างปลอดภัยและรวดเร็ว เช่น ความสามารถในการให้บริการของระบบ

ข้อกำหนดหลักสำหรับระบบสารสนเทศคือทำงานด้วยประสิทธิภาพที่กำหนด เวลาที่ไม่พร้อมใช้งานขั้นต่ำ และความเร็วในการตอบสนองเสมอ

ด้วยเหตุนี้ ความพร้อมใช้งานของแหล่งข้อมูลจึงรับประกันได้โดย:

  • การใช้สถาปัตยกรรมโครงสร้าง ซึ่งหมายความว่าแต่ละโมดูลสามารถปิดการใช้งานหรือเปลี่ยนได้อย่างรวดเร็วหากจำเป็น โดยไม่ทำลายองค์ประกอบอื่น ๆ ของระบบสารสนเทศ
  • มั่นใจได้ถึงความทนทานต่อข้อผิดพลาดผ่าน: การใช้องค์ประกอบอัตโนมัติของโครงสร้างพื้นฐานที่รองรับ, การแนะนำความจุส่วนเกินในการกำหนดค่าฮาร์ดแวร์และซอฟต์แวร์, ความซ้ำซ้อนของฮาร์ดแวร์, การจำลองทรัพยากรข้อมูลภายในระบบ, การสำรองข้อมูล ฯลฯ
  • รับประกันความสามารถในการให้บริการโดยการลดเวลาที่ต้องใช้ในการวินิจฉัยและกำจัดความล้มเหลวและผลที่ตามมา

ความปลอดภัยของข้อมูลอีกประเภทหนึ่งคือช่องทางการสื่อสารที่ปลอดภัย

การทำงานของระบบข้อมูลมีความเกี่ยวข้องอย่างหลีกเลี่ยงไม่ได้กับการถ่ายโอนข้อมูล ดังนั้นจึงจำเป็นสำหรับองค์กรเพื่อให้มั่นใจในการปกป้องทรัพยากรข้อมูลที่ส่งโดยใช้ช่องทางการสื่อสารที่ปลอดภัย ความเป็นไปได้ของการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตเมื่อส่งข้อมูลผ่านช่องทางการสื่อสารแบบเปิดนั้นเนื่องมาจากความพร้อมใช้งานโดยทั่วไป เนื่องจาก “เป็นไปไม่ได้ที่จะปกป้องการสื่อสารทางกายภาพตลอดความยาวทั้งหมด ดังนั้นจึงเป็นการดีกว่าที่จะดำเนินการตั้งแต่แรกจากสมมติฐานของช่องโหว่และให้การป้องกันตามนั้น” สำหรับสิ่งนี้ มีการใช้เทคโนโลยีการขุดอุโมงค์ ซึ่งสาระสำคัญคือการห่อหุ้มข้อมูล เช่น บรรจุหรือห่อแพ็กเก็ตข้อมูลที่ส่ง รวมถึงคุณลักษณะของบริการทั้งหมด ในซองของตัวเอง ดังนั้น ทันเนลจึงเป็นการเชื่อมต่อที่ปลอดภัยผ่านช่องทางการสื่อสารแบบเปิดซึ่งมีการส่งแพ็กเก็ตข้อมูลที่ป้องกันด้วยการเข้ารหัสลับ การขุดอุโมงค์ใช้เพื่อรับรองการรักษาความลับของการรับส่งข้อมูลโดยการซ่อนข้อมูลบริการ และรับรองการรักษาความลับและความสมบูรณ์ของข้อมูลที่ส่งเมื่อใช้ร่วมกับองค์ประกอบการเข้ารหัสของระบบข้อมูล การรวมทันเนลและการเข้ารหัสทำให้คุณสามารถใช้เครือข่ายส่วนตัวเสมือนได้ ในกรณีนี้ จุดสิ้นสุดของทันเนลที่ใช้เครือข่ายส่วนตัวเสมือนคือไฟร์วอลล์ที่ให้บริการการเชื่อมต่อขององค์กรกับเครือข่ายภายนอก

ไฟร์วอลล์เป็นจุดใช้งานสำหรับบริการเครือข่ายส่วนตัวเสมือน

ดังนั้นการขุดอุโมงค์และการเข้ารหัสจึงเป็นการเปลี่ยนแปลงเพิ่มเติมที่ดำเนินการในกระบวนการกรองการรับส่งข้อมูลเครือข่ายพร้อมกับการแปลที่อยู่ ปลายอุโมงค์ นอกเหนือจากไฟร์วอลล์ขององค์กรแล้ว อาจเป็นคอมพิวเตอร์ส่วนบุคคลและคอมพิวเตอร์เคลื่อนที่ของพนักงาน หรือที่เจาะจงกว่านั้นคือไฟร์วอลล์ส่วนบุคคลและไฟร์วอลล์ของพวกเขา แนวทางนี้ช่วยให้มั่นใจได้ถึงการทำงานของช่องทางการสื่อสารที่ปลอดภัย

ขั้นตอนการรักษาความปลอดภัยของข้อมูล

ขั้นตอนการรักษาความปลอดภัยข้อมูลมักแบ่งออกเป็นระดับบริหารและระดับองค์กร

  • ขั้นตอนการบริหารรวมถึงการดำเนินการทั่วไปที่ฝ่ายบริหารขององค์กรดำเนินการเพื่อควบคุมงาน การดำเนินการ การดำเนินการทั้งหมดในด้านการรับรองและรักษาความปลอดภัยของข้อมูล ดำเนินการโดยการจัดสรรทรัพยากรที่จำเป็นและติดตามประสิทธิผลของมาตรการที่ดำเนินการ
  • ระดับองค์กรแสดงถึงขั้นตอนในการรับรองความปลอดภัยของข้อมูล รวมถึงการจัดการบุคลากร การป้องกันทางกายภาพ การดูแลรักษาการทำงานของโครงสร้างพื้นฐานซอฟต์แวร์และฮาร์ดแวร์ การกำจัดการละเมิดความปลอดภัยโดยทันทีและการวางแผนงานฟื้นฟู

ในทางกลับกัน ความแตกต่างระหว่างขั้นตอนการบริหารและระดับองค์กรนั้นไม่มีความหมาย เนื่องจากขั้นตอนในระดับหนึ่งไม่สามารถแยกออกจากระดับอื่นได้ ดังนั้นจึงเป็นการละเมิดความสัมพันธ์ระหว่างการป้องกันระดับกายภาพ การป้องกันส่วนบุคคลและองค์กรในแนวคิดความปลอดภัยของข้อมูล ในทางปฏิบัติ เมื่อมั่นใจในความปลอดภัยของข้อมูลขององค์กร ขั้นตอนการบริหารหรือองค์กรจะไม่ถูกละเลย ดังนั้นจึงสมเหตุสมผลมากกว่าที่จะพิจารณาว่าเป็นแนวทางบูรณาการ เนื่องจากทั้งสองระดับส่งผลกระทบต่อระดับทางกายภาพ องค์กร และส่วนบุคคลของการปกป้องข้อมูล

พื้นฐานของขั้นตอนที่ครอบคลุมในการรับรองความปลอดภัยของข้อมูลคือนโยบายความปลอดภัย

นโยบายการรักษาความปลอดภัยของข้อมูล

นโยบายการรักษาความปลอดภัยของข้อมูลในองค์กร เป็นชุดของการตัดสินใจที่เป็นเอกสารที่ทำโดยฝ่ายบริหารขององค์กรและมุ่งเป้าไปที่การปกป้องข้อมูลและทรัพยากรที่เกี่ยวข้อง

ในแง่องค์กรและการจัดการนโยบายความปลอดภัยของข้อมูลอาจเป็นเอกสารฉบับเดียวหรือออกในรูปแบบของเอกสารหรือคำสั่งอิสระหลายฉบับ แต่ในกรณีใด ๆ ก็ควรครอบคลุมประเด็นต่อไปนี้ในการปกป้องระบบข้อมูลขององค์กร:

  • การปกป้องวัตถุระบบสารสนเทศ ทรัพยากรสารสนเทศ และการดำเนินการโดยตรงกับวัตถุเหล่านั้น
  • การป้องกันการดำเนินการทั้งหมดที่เกี่ยวข้องกับการประมวลผลข้อมูลในระบบ รวมถึงเครื่องมือประมวลผลซอฟต์แวร์
  • การป้องกันช่องทางการสื่อสาร รวมถึงสาย วิทยุ อินฟราเรด ฮาร์ดแวร์ ฯลฯ
  • การป้องกันฮาร์ดแวร์ที่ซับซ้อนจากรังสีแม่เหล็กไฟฟ้าที่ไม่พึงประสงค์
  • การจัดการระบบรักษาความปลอดภัย รวมถึงการบำรุงรักษา การอัพเกรด และกิจกรรมการบริหาร

แต่ละด้านจะต้องอธิบายโดยละเอียดและบันทึกไว้ในเอกสารภายในขององค์กร เอกสารภายในครอบคลุมกระบวนการรักษาความปลอดภัยสามระดับ: บน กลาง และล่าง

เอกสารนโยบายการรักษาความปลอดภัยของข้อมูลระดับบนสุดสะท้อนถึงแนวทางพื้นฐานขององค์กรในการปกป้องข้อมูลของตนเองและการปฏิบัติตามมาตรฐานของรัฐและ/หรือสากล ในทางปฏิบัติ องค์กรมีเอกสารระดับบนสุดเพียงเอกสารเดียวเท่านั้น ซึ่งมีชื่อว่า "แนวคิดการรักษาความปลอดภัยของข้อมูล" "กฎระเบียบด้านความปลอดภัยของข้อมูล" ฯลฯ อย่างเป็นทางการ เอกสารเหล่านี้ไม่ได้แสดงถึงคุณค่าที่เป็นความลับ การเผยแพร่นั้นไม่จำกัด แต่สามารถเผยแพร่ให้กับบรรณาธิการเพื่อใช้ภายในและเผยแพร่แบบเปิดเผยได้

เอกสารระดับกลางถือเป็นความลับอย่างเคร่งครัดและเกี่ยวข้องกับแง่มุมเฉพาะของการรักษาความปลอดภัยข้อมูลขององค์กร: เครื่องมือรักษาความปลอดภัยข้อมูลที่ใช้ การรักษาความปลอดภัยของฐานข้อมูล การสื่อสาร เครื่องมือเข้ารหัสลับ และข้อมูลอื่น ๆ และกระบวนการทางเศรษฐกิจขององค์กร เอกสารดำเนินการในรูปแบบของมาตรฐานด้านเทคนิคและองค์กรภายใน

เอกสารระดับล่างแบ่งออกเป็นสองประเภท: ระเบียบการทำงานและคำแนะนำการปฏิบัติงาน ข้อบังคับการทำงานเป็นความลับอย่างเคร่งครัดและมีไว้สำหรับบุคคลที่ดำเนินงานด้านการบริหารบริการรักษาความปลอดภัยข้อมูลส่วนบุคคลตามหน้าที่ของตนเท่านั้น คำแนะนำในการใช้งานสามารถเป็นความลับหรือเปิดเผยต่อสาธารณะก็ได้ มีไว้สำหรับบุคลากรขององค์กรและอธิบายขั้นตอนการทำงานกับแต่ละองค์ประกอบของระบบสารสนเทศขององค์กร

ประสบการณ์ทั่วโลกแสดงให้เห็นว่านโยบายการรักษาความปลอดภัยของข้อมูลได้รับการบันทึกไว้ในบริษัทขนาดใหญ่ที่มีระบบข้อมูลที่พัฒนาแล้วและมีข้อกำหนดที่เพิ่มขึ้นสำหรับความปลอดภัยของข้อมูลเท่านั้น ส่วนใหญ่มักจะมีนโยบายการรักษาความปลอดภัยของข้อมูลที่ได้รับการบันทึกไว้เพียงบางส่วนเท่านั้น ไม่สนใจเอกสารประกอบนโยบายความปลอดภัย ไม่ว่ารูปแบบเอกสารจะเป็นแบบองค์รวมหรือแบบกระจาย สิ่งสำคัญพื้นฐานก็คือระบบการรักษาความปลอดภัย

มีสองแนวทางที่แตกต่างกันซึ่งเป็นพื้นฐาน นโยบายการรักษาความปลอดภัยของข้อมูล:

  1. “ทุกสิ่งที่ไม่ต้องห้ามก็ได้รับอนุญาต”
  2. “ทุกสิ่งที่ไม่ได้รับอนุญาตเป็นสิ่งต้องห้าม”

ข้อบกพร่องพื้นฐานของแนวทางแรกคือในทางปฏิบัติเป็นไปไม่ได้ที่จะคาดการณ์กรณีที่เป็นอันตรายทั้งหมดและห้ามไม่ให้เกิดขึ้น ไม่ต้องสงสัยเลยว่าควรใช้แนวทางที่สองเท่านั้น

ความปลอดภัยของข้อมูลระดับองค์กร

จากมุมมองของการปกป้องข้อมูลขั้นตอนขององค์กรเพื่อรับรองความปลอดภัยของข้อมูลถูกนำเสนอเป็น "กฎระเบียบของกิจกรรมการผลิตและความสัมพันธ์ของนักแสดงบนพื้นฐานทางกฎหมายที่แยกหรือทำให้ซับซ้อนมากขึ้นอย่างมีนัยสำคัญในการได้มาซึ่งข้อมูลที่เป็นความลับอย่างผิดกฎหมายและการสำแดงข้อมูลภายในและ ภัยคุกคามภายนอก”

มาตรการการบริหารงานบุคคลมุ่งเป้าไปที่การจัดระเบียบงานร่วมกับบุคลากรเพื่อให้เกิดความมั่นคงปลอดภัยของข้อมูล รวมถึงการแบ่งแยกหน้าที่และลดสิทธิพิเศษให้เหลือน้อยที่สุด การแบ่งแยกหน้าที่จะกำหนดการกระจายความสามารถและขอบเขตความรับผิดชอบ โดยที่บุคคลหนึ่งคนไม่สามารถขัดขวางกระบวนการที่สำคัญต่อองค์กรได้ ซึ่งจะช่วยลดโอกาสที่จะเกิดข้อผิดพลาดและการละเมิด สิทธิ์ขั้นต่ำกำหนดให้ผู้ใช้ได้รับเฉพาะระดับการเข้าถึงที่จำเป็นในการปฏิบัติหน้าที่ของตนเท่านั้น ซึ่งจะช่วยลดความเสียหายจากการกระทำที่ไม่ถูกต้องโดยไม่ได้ตั้งใจหรือโดยเจตนา

การป้องกันทางกายภาพหมายถึงการพัฒนาและการนำมาตรการสำหรับการป้องกันโดยตรงของอาคารซึ่งเป็นที่ตั้งของทรัพยากรข้อมูลขององค์กร พื้นที่ใกล้เคียง องค์ประกอบโครงสร้างพื้นฐาน อุปกรณ์คอมพิวเตอร์ สื่อจัดเก็บข้อมูล และช่องทางการสื่อสารฮาร์ดแวร์ ซึ่งรวมถึงการควบคุมการเข้าถึงทางกายภาพ การป้องกันอัคคีภัย การป้องกันโครงสร้างพื้นฐานที่รองรับ การป้องกันการสกัดกั้นข้อมูล และการป้องกันระบบมือถือ

การรักษาฟังก์ชันการทำงานของโครงสร้างพื้นฐานฮาร์ดแวร์และซอฟต์แวร์เกี่ยวข้องกับการป้องกันข้อผิดพลาดแบบสุ่มที่คุกคามต่อความเสียหายต่อระบบฮาร์ดแวร์ การหยุดชะงักของโปรแกรม และการสูญหายของข้อมูล ทิศทางหลักในด้านนี้คือการให้การสนับสนุนผู้ใช้และซอฟต์แวร์ การจัดการการกำหนดค่า การสำรองข้อมูล การจัดการสื่อ เอกสารประกอบ และการบำรุงรักษา

การกำจัดการละเมิดความปลอดภัยโดยทันทีมีเป้าหมายหลักสามประการ:

  1. การแปลเหตุการณ์ให้เหมาะกับท้องถิ่นและการลดอันตรายที่เกิดขึ้น
  2. การระบุตัวผู้ฝ่าฝืน
  3. การป้องกันการละเมิดซ้ำ

สุดท้ายนี้ การวางแผนการฟื้นฟูช่วยให้คุณเตรียมพร้อมสำหรับอุบัติเหตุ ลดความเสียหายจากอุบัติเหตุ และรักษาความสามารถในการทำงานอย่างน้อยก็ในระดับต่ำสุด

การใช้ซอฟต์แวร์และฮาร์ดแวร์และช่องทางการสื่อสารที่ปลอดภัยจะต้องถูกนำมาใช้ในองค์กรบนพื้นฐานของแนวทางบูรณาการในการพัฒนาและการอนุมัติขั้นตอนการควบคุมดูแลและองค์กรทั้งหมดเพื่อให้มั่นใจถึงความปลอดภัยของข้อมูล มิฉะนั้น การนำมาตรการส่วนบุคคลมาใช้ไม่รับประกันการปกป้องข้อมูล และมักจะกระตุ้นให้เกิดการรั่วไหลของข้อมูลที่เป็นความลับ การสูญเสียข้อมูลสำคัญ ความเสียหายต่อโครงสร้างพื้นฐานฮาร์ดแวร์ และการหยุดชะงักของส่วนประกอบซอฟต์แวร์ของระบบข้อมูลขององค์กร

วิธีการรักษาความปลอดภัยข้อมูล

องค์กรสมัยใหม่มีลักษณะเฉพาะด้วยระบบข้อมูลแบบกระจายซึ่งช่วยให้พวกเขาสามารถคำนึงถึงสำนักงานและคลังสินค้าแบบกระจายของบริษัท การบัญชีการเงินและการควบคุมการจัดการ ข้อมูลจากฐานลูกค้า โดยคำนึงถึงการสุ่มตัวอย่างบัญชีตามตัวบ่งชี้ และอื่นๆ ดังนั้นอาร์เรย์ของข้อมูลจึงมีความสำคัญมากและส่วนใหญ่เป็นข้อมูลที่มีความสำคัญเป็นอันดับแรกสำหรับบริษัทในแง่การค้าและเศรษฐกิจ ในความเป็นจริง การรับรองความลับของข้อมูลที่มีมูลค่าทางการค้าเป็นหนึ่งในวัตถุประสงค์หลักของการรักษาความปลอดภัยของข้อมูลในบริษัท

สร้างความมั่นใจในความปลอดภัยของข้อมูลในองค์กรจะต้องได้รับการควบคุมโดยเอกสารดังต่อไปนี้:

  1. กฎระเบียบด้านความปลอดภัยของข้อมูล รวมคำแถลงเป้าหมายและวัตถุประสงค์ในการรับรองความปลอดภัยของข้อมูล รายการข้อบังคับภายในเกี่ยวกับเครื่องมือรักษาความปลอดภัยข้อมูล และข้อบังคับในการบริหารระบบข้อมูลแบบกระจายของบริษัท การเข้าถึงกฎระเบียบนั้นจำกัดอยู่ที่ฝ่ายบริหารขององค์กรและหัวหน้าแผนกระบบอัตโนมัติ
  2. กฎระเบียบเกี่ยวกับการสนับสนุนทางเทคนิคเพื่อความปลอดภัยของข้อมูล เอกสารเป็นความลับ การเข้าถึงจำกัดเฉพาะพนักงานของแผนกระบบอัตโนมัติและผู้บริหารระดับสูงเท่านั้น
  3. กฎระเบียบสำหรับการบริหารระบบรักษาความปลอดภัยข้อมูลแบบกระจาย การเข้าถึงกฎระเบียบนั้นจำกัดเฉพาะพนักงานของแผนกอัตโนมัติที่รับผิดชอบในการบริหารระบบข้อมูลและผู้บริหารระดับสูง

ในเวลาเดียวกันคุณไม่ควรจำกัดตัวเองอยู่แค่เอกสารเหล่านี้ แต่ควรทำงานในระดับล่างด้วย มิฉะนั้น หากองค์กรไม่มีเอกสารอื่นที่เกี่ยวข้องกับการรับรองความปลอดภัยของข้อมูล สิ่งนี้จะบ่งบอกถึงระดับการสนับสนุนด้านการบริหารสำหรับความปลอดภัยของข้อมูลไม่เพียงพอ เนื่องจากไม่มีเอกสารระดับล่าง โดยเฉพาะคำแนะนำสำหรับการดำเนินงานแต่ละองค์ประกอบของระบบข้อมูล

ขั้นตอนขององค์กรบังคับรวมถึง:

  • มาตรการหลักในการแบ่งแยกบุคลากรตามระดับการเข้าถึงทรัพยากรสารสนเทศ
  • การป้องกันทางกายภาพของสำนักงานของบริษัทจากการรุกโดยตรงและการคุกคามของการทำลาย การสูญหาย หรือการสกัดกั้นข้อมูล
  • การบำรุงรักษาฟังก์ชันการทำงานของโครงสร้างพื้นฐานฮาร์ดแวร์และซอฟต์แวร์ได้รับการจัดระเบียบในรูปแบบของการสำรองข้อมูลอัตโนมัติ การตรวจสอบสื่อจัดเก็บข้อมูลระยะไกล การสนับสนุนผู้ใช้และซอฟต์แวร์เมื่อมีการร้องขอ

นอกจากนี้ยังควรรวมถึงมาตรการควบคุมเพื่อตอบสนองและกำจัดกรณีการละเมิดความปลอดภัยของข้อมูล

ในทางปฏิบัติมักสังเกตได้ว่าองค์กรต่างๆ ไม่ได้ให้ความสำคัญกับปัญหานี้มากพอ การดำเนินการทั้งหมดในทิศทางนี้ดำเนินการเป็นประจำเท่านั้น ซึ่งจะเพิ่มเวลาในการกำจัดกรณีการละเมิดและไม่รับประกันการป้องกันการละเมิดความปลอดภัยของข้อมูลซ้ำ ๆ นอกจากนี้ ยังขาดแนวทางปฏิบัติโดยสิ้นเชิงในการวางแผนการดำเนินการเพื่อขจัดผลที่ตามมาภายหลังอุบัติเหตุ ข้อมูลรั่วไหล ข้อมูลสูญหาย และสถานการณ์วิกฤติ ทั้งหมดนี้ทำให้ความปลอดภัยของข้อมูลขององค์กรแย่ลงอย่างมาก

ในระดับซอฟต์แวร์และฮาร์ดแวร์ ต้องใช้ระบบรักษาความปลอดภัยข้อมูลสามระดับ

เกณฑ์ความปลอดภัยของข้อมูลขั้นต่ำ:

1. โมดูลควบคุมการเข้าถึง:

  • มีการใช้ทางเข้าแบบปิดไปยังระบบข้อมูล ไม่สามารถเข้าสู่ระบบภายนอกสถานที่ทำงานที่ได้รับการตรวจสอบแล้ว
  • การเข้าถึงด้วยฟังก์ชันการทำงานที่จำกัดจากคอมพิวเตอร์ส่วนบุคคลแบบเคลื่อนที่ได้ถูกนำมาใช้สำหรับพนักงาน
  • การอนุญาตจะดำเนินการโดยใช้การเข้าสู่ระบบและรหัสผ่านที่สร้างโดยผู้ดูแลระบบ

2. โมดูลการควบคุมการเข้ารหัสและความสมบูรณ์:

  • ใช้วิธีการเข้ารหัสข้อมูลที่ส่งแบบไม่สมมาตร
  • อาร์เรย์ของข้อมูลสำคัญจะถูกจัดเก็บไว้ในฐานข้อมูลในรูปแบบที่เข้ารหัส ซึ่งไม่อนุญาตให้เข้าถึงแม้ว่าระบบข้อมูลของบริษัทจะถูกแฮ็กก็ตาม
  • การควบคุมความสมบูรณ์นั้นรับประกันได้ด้วยลายเซ็นดิจิทัลอย่างง่ายของทรัพยากรข้อมูลทั้งหมดที่จัดเก็บ ประมวลผล หรือส่งภายในระบบข้อมูล

3. โมดูลป้องกัน:

  • มีการใช้ระบบตัวกรองในไฟร์วอลล์ที่ช่วยให้คุณควบคุมการไหลของข้อมูลทั้งหมดผ่านช่องทางการสื่อสาร
  • การเชื่อมต่อภายนอกกับแหล่งข้อมูลทั่วโลกและช่องทางการสื่อสารสาธารณะสามารถดำเนินการผ่านเวิร์กสเตชันที่ได้รับการตรวจสอบจำนวนจำกัดซึ่งมีการเชื่อมต่อกับระบบข้อมูลองค์กรอย่างจำกัด
  • การเข้าถึงที่ปลอดภัยจากเวิร์กสเตชันของพนักงานเพื่อปฏิบัติหน้าที่อย่างเป็นทางการนั้นดำเนินการผ่านระบบพร็อกซีเซิร์ฟเวอร์สองระดับ

สุดท้าย ด้วยความช่วยเหลือของเทคโนโลยีทันเนล องค์กรจะต้องติดตั้งเครือข่ายส่วนตัวเสมือนตามรูปแบบการออกแบบทั่วไป เพื่อให้ช่องทางการสื่อสารที่ปลอดภัยระหว่างแผนกต่างๆ ของบริษัท คู่ค้า และลูกค้าของบริษัท

แม้ว่าการสื่อสารจะดำเนินการโดยตรงผ่านเครือข่ายที่มีระดับความน่าเชื่อถือต่ำ แต่เทคโนโลยีทันเนลผ่านการใช้การเข้ารหัสทำให้สามารถรับประกันการป้องกันที่เชื่อถือได้ของข้อมูลที่ส่งทั้งหมด

ข้อสรุป

เป้าหมายหลักของมาตรการทั้งหมดที่ดำเนินการในด้านความปลอดภัยของข้อมูลคือการปกป้องผลประโยชน์ขององค์กรไม่ทางใดก็ทางหนึ่งที่เกี่ยวข้องกับทรัพยากรข้อมูลที่มีอยู่ แม้ว่าผลประโยชน์ขององค์กรจะไม่ได้จำกัดอยู่เพียงด้านใดด้านหนึ่ง แต่ผลประโยชน์ทั้งหมดมุ่งเน้นไปที่ความพร้อมใช้งาน ความสมบูรณ์ และการรักษาความลับของข้อมูล

ปัญหาในการรับรองความปลอดภัยของข้อมูลอธิบายได้จากสองสาเหตุหลัก

  1. ทรัพยากรข้อมูลที่องค์กรสะสมนั้นมีคุณค่า
  2. การพึ่งพาเทคโนโลยีสารสนเทศที่สำคัญเป็นตัวกำหนดการใช้งานอย่างแพร่หลาย

เมื่อพิจารณาถึงภัยคุกคามที่มีอยู่มากมายต่อความปลอดภัยของข้อมูล เช่น การทำลายข้อมูลสำคัญ การใช้ข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต การหยุดชะงักในการดำเนินงานขององค์กรเนื่องจากการหยุดชะงักในการทำงานของระบบข้อมูล เราสามารถสรุปได้ว่าทั้งหมดนี้เป็นไปตามวัตถุประสงค์ นำไปสู่การสูญเสียวัสดุจำนวนมาก

ในการรับรองความปลอดภัยของข้อมูลซอฟต์แวร์และฮาร์ดแวร์มีบทบาทสำคัญในการควบคุมหน่วยงานคอมพิวเตอร์เช่น อุปกรณ์ องค์ประกอบซอฟต์แวร์ ข้อมูล ซึ่งถือเป็นบรรทัดสุดท้ายและลำดับความสำคัญสูงสุดในการรักษาความปลอดภัยข้อมูล การส่งข้อมูลจะต้องมีความปลอดภัยในแง่ของการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน ดังนั้นในสภาวะสมัยใหม่ เทคโนโลยีทันเนลร่วมกับเครื่องมือเข้ารหัสจึงถูกใช้เพื่อสร้างช่องทางการสื่อสารที่ปลอดภัย

วรรณกรรม

  1. กาลาเตนโก วี.เอ. มาตรฐานการรักษาความปลอดภัยของข้อมูล – อ.: มหาวิทยาลัยเทคโนโลยีสารสนเทศทางอินเทอร์เน็ต, 2549.
  2. Partyka T.L., Popov I.I. ความปลอดภัยของข้อมูล – อ.: ฟอรั่ม, 2012.

วันนี้เราจะพูดถึงการรั่วไหลและวิธีการปกป้องข้อมูลที่เป็นความลับ

คำว่า ข้อมูลลับ หมายถึง ข้อมูลลับ ไม่เปิดเผยต่อสาธารณะ หรือเป็นความลับ การเปิดเผยข้อมูลอาจเข้าข่ายความผิดทางอาญา บุคคลที่สามารถเข้าถึงข้อมูลดังกล่าวไม่มีสิทธิเปิดเผยข้อมูลดังกล่าวแก่บุคคลอื่นโดยไม่ได้รับความยินยอมจากผู้ถือลิขสิทธิ์

สารบัญ

ข้อมูลที่เป็นความลับและกฎหมาย

คำสั่งของประธานาธิบดีแห่งสหพันธรัฐรัสเซียหมายเลข 188 เมื่อวันที่ 6 มีนาคม พ.ศ. 2540 กำหนดข้อมูลที่เป็นความลับ ซึ่งรวมถึง:

  1. ข้อมูลที่เกี่ยวข้องกับการค้า
  2. ข้อมูลที่เกี่ยวข้องกับกิจกรรมการทำงาน
  3. การรักษาความลับทางการแพทย์ ทนายความ ส่วนบุคคล (การโต้ตอบ การสนทนาทางโทรศัพท์ ฯลฯ)
  4. ความลับของการสอบสวน การดำเนินคดี ข้อมูลเกี่ยวกับผู้ต้องขัง
  5. ข้อมูลส่วนบุคคลของพลเมืองข้อมูลเกี่ยวกับชีวิตส่วนตัวของพวกเขา

ความลับทางการค้าคือข้อมูลที่ช่วยให้เจ้าของได้รับความได้เปรียบทางการแข่งขัน ได้รับประโยชน์จากการให้บริการ หรือการขายสินค้า ข้อมูลภายในเกี่ยวกับบริษัท (การเปลี่ยนแปลงผู้บริหาร ฯลฯ) ที่อาจส่งผลต่อราคาหุ้น

ความลับอย่างเป็นทางการ - ข้อมูลที่มีอยู่ในหน่วยงานของรัฐ เอกสารมีเครื่องหมาย "สำหรับการใช้งานอย่างเป็นทางการ" และไม่ถูกเปิดเผยต่อบุคคลที่สาม

ความลับทางวิชาชีพ ได้แก่ การสืบสวน ทนายความ ตุลาการ การรับรองเอกสาร ฯลฯ ความลับ

ข้อมูลส่วนบุคคลใด ๆ (ชื่อเต็ม สถานที่ทำงาน ที่อยู่ ฯลฯ) ข้อมูลเกี่ยวกับชีวิตส่วนตัวของพลเมือง

การรั่วไหลของข้อมูลดังกล่าวอาจเกิดขึ้นได้ในกรณีต่อไปนี้:

  1. การจัดเก็บและการเข้าถึงข้อมูลที่เป็นความลับไม่มีประสิทธิภาพ ระบบรักษาความปลอดภัยไม่ดี
  2. การเปลี่ยนแปลงบุคลากรอย่างต่อเนื่อง ข้อผิดพลาดของบุคลากร สภาพจิตใจที่ยากลำบากในทีม
  3. การฝึกอบรมพนักงานที่ไม่ดีเกี่ยวกับวิธีการรักษาความปลอดภัยข้อมูลที่มีประสิทธิภาพ
  4. ผู้บริหารองค์กรไม่สามารถควบคุมการทำงานของพนักงานด้วยข้อมูลที่เป็นความลับ
  5. ความเป็นไปได้ที่ไม่สามารถควบคุมได้ของบุคคลที่ไม่ได้รับอนุญาตเข้าไปในสถานที่ซึ่งจัดเก็บข้อมูลไว้

เส้นทางการรั่วไหลของข้อมูล

พวกเขาสามารถเป็นองค์กรและด้านเทคนิค

ช่องทางองค์กร:

  1. การสมัครเข้าทำงานให้กับองค์กรเพื่อรับข้อมูลลับ
  2. การได้รับข้อมูลที่น่าสนใจจากคู่ค้าและลูกค้าโดยใช้วิธีการหลอกลวง การบิดเบือนความจริง
  3. การเข้าถึงทางอาญาเพื่อรับข้อมูล (ขโมยเอกสาร, ขโมยฮาร์ดไดรฟ์พร้อมข้อมูล)

ช่องทางทางเทคนิค:

  1. การคัดลอกเอกสารต้นฉบับของข้อมูลลับหรือฉบับอิเล็กทรอนิกส์
  2. การบันทึกการสนทนาที่เป็นความลับบนสื่ออิเล็กทรอนิกส์ (เครื่องอัดเสียง สมาร์ทโฟน และอุปกรณ์บันทึกอื่นๆ)
  3. การส่งเนื้อหาของเอกสารที่ถูกจำกัดด้วยวาจาไปยังบุคคลที่สามที่ไม่มีสิทธิ์ในการเข้าถึง
  4. การได้มาซึ่งข้อมูลทางอาญาโดยใช้บุ๊กมาร์กวิทยุ ไมโครโฟนที่ติดตั้งอย่างลับๆ และกล้องวิดีโอ

มาตรการคุ้มครองข้อมูล

ระบบสำหรับการปกป้องข้อมูลที่เป็นความลับถือว่า:

  1. ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
  2. การปิดช่องทางการรั่วซึม
  3. กฎระเบียบในการทำงานกับข้อมูลที่เป็นความลับ

บริการรักษาความปลอดภัยระดับองค์กรจะต้องจัดระเบียบการใช้งานจริงของระบบรักษาความปลอดภัยข้อมูล การฝึกอบรมบุคลากร และการตรวจสอบการปฏิบัติตามข้อกำหนดด้านกฎระเบียบ

วิธีการจัดองค์กร

  1. การพัฒนาระบบการประมวลผลข้อมูลที่เป็นความลับ
  2. แจ้งให้บุคลากรของบริษัททราบถึงความรับผิดชอบในการเปิดเผยเอกสารที่เป็นความลับ การคัดลอก หรือปลอมแปลงเอกสาร
  3. จัดทำรายการเอกสารการเข้าถึงแบบจำกัด โดยแบ่งบุคลากรตามการเข้าถึงข้อมูลที่มีอยู่
  4. การคัดเลือกบุคลากรเพื่อประมวลผลเอกสารที่เป็นความลับ สอนพนักงาน

วิธีการทางเทคนิค

  1. การใช้วิธีการเข้ารหัสในการติดต่อทางอิเล็กทรอนิกส์ การสนทนาทางโทรศัพท์ผ่านสายการสื่อสารที่ปลอดภัย
  2. ตรวจห้องที่มีการเจรจาว่าไม่มีระเบิดวิทยุ ไมโครโฟน และกล้องวิดีโอ
  3. การเข้าถึงบุคลากรไปยังสถานที่ที่ได้รับการคุ้มครองโดยใช้วิธีการระบุ รหัส และรหัสผ่าน
  4. การใช้วิธีป้องกันซอฟต์แวร์และฮาร์ดแวร์บนคอมพิวเตอร์และอุปกรณ์อิเล็กทรอนิกส์อื่นๆ

นโยบายการรักษาความปลอดภัยของข้อมูลของบริษัทประกอบด้วย:

  1. การแต่งตั้งผู้รับผิดชอบด้านความปลอดภัยในองค์กร
  2. การตรวจสอบการใช้ซอฟต์แวร์และเครื่องมือป้องกันฮาร์ดแวร์
  3. ความรับผิดชอบของหัวหน้าแผนกและบริการในการดูแลความปลอดภัยของข้อมูล
  4. การแนะนำการควบคุมการเข้าถึงสำหรับพนักงานและผู้เยี่ยมชม
  5. จัดทำรายชื่อบุคคลที่เข้าถึงข้อมูลที่เป็นความลับ

องค์กรรักษาความปลอดภัยข้อมูล

คอมพิวเตอร์ที่ทำงานบนเครือข่ายท้องถิ่น เซิร์ฟเวอร์ และเราเตอร์จะต้องได้รับการปกป้องที่เชื่อถือได้จากการลบข้อมูลโดยไม่ได้รับอนุญาต เมื่อต้องการทำสิ่งนี้:

  1. มีการกำหนดพนักงานที่รับผิดชอบสำหรับการทำงานของคอมพิวเตอร์แต่ละเครื่อง
  2. หน่วยระบบถูกปิดผนึกโดยพนักงานบริการด้านไอที
  3. การติดตั้งโปรแกรมใด ๆ ดำเนินการโดยผู้เชี่ยวชาญด้านบริการไอที
  4. รหัสผ่านจะต้องสร้างขึ้นโดยพนักงานบริการด้านไอทีและออกให้พร้อมลายเซ็น
  5. ห้ามใช้แหล่งข้อมูลของบุคคลที่สาม
  6. ใช้คอมพิวเตอร์เพียงเครื่องเดียวในการเตรียมเอกสารสำคัญ มันเก็บบันทึกของผู้ใช้
  7. ซอฟต์แวร์และฮาร์ดแวร์ต้องได้รับการรับรอง
  8. การป้องกันสื่อข้อมูล (ไดรฟ์ภายนอก) จากการเข้าถึงโดยไม่ได้รับอนุญาต

ระบบการทำงานกับข้อมูลที่เป็นความลับรับประกันความปลอดภัยของข้อมูลขององค์กรและช่วยให้คุณสามารถรักษาข้อมูลสำคัญไม่ให้รั่วไหลได้ สิ่งนี้มีส่วนช่วยในการทำงานที่ยั่งยืนขององค์กรมาเป็นเวลานาน

ไม่มีรายการที่คล้ายกัน

การแนะนำ

บทสรุป

อ้างอิง

การแนะนำ

ในขั้นตอนปัจจุบันของการพัฒนาสังคมของเรา ทรัพยากรดั้งเดิมอันเป็นความก้าวหน้าของมนุษย์ค่อยๆ สูญเสียความสำคัญดั้งเดิมไป พวกเขากำลังถูกแทนที่ด้วยทรัพยากรใหม่ ซึ่งเป็นผลิตภัณฑ์เดียวที่ไม่ลดลง แต่เติบโตเมื่อเวลาผ่านไป เรียกว่าข้อมูล ปัจจุบันข้อมูลกลายเป็นทรัพยากรหลักสำหรับการพัฒนาทางวิทยาศาสตร์ เทคนิค และเศรษฐกิจสังคมของประชาคมโลก ยิ่งข้อมูลคุณภาพสูงถูกนำไปใช้กับเศรษฐกิจของประเทศและการใช้งานพิเศษมากขึ้นเท่านั้น มาตรฐานการครองชีพของประชาชน ศักยภาพทางเศรษฐกิจ การป้องกัน และการเมืองของประเทศก็จะยิ่งสูงขึ้น

ความสมบูรณ์ของโลกสมัยใหม่ในฐานะชุมชนนั้นได้รับการรับรองโดยการแลกเปลี่ยนข้อมูลที่เข้มข้นเป็นหลัก การหยุดชะงักของกระแสข้อมูลทั่วโลก แม้ในช่วงเวลาสั้นๆ ก็สามารถนำไปสู่วิกฤตได้ไม่น้อยไปกว่าการแตกหักของความสัมพันธ์ทางเศรษฐกิจระหว่างรัฐ ดังนั้น ในสภาวะการแข่งขันในตลาดใหม่ ปัญหามากมายเกิดขึ้นไม่เพียงแต่ในการรับรองความปลอดภัยของข้อมูลเชิงพาณิชย์ (ผู้ประกอบการ) ในฐานะทรัพย์สินทางปัญญาประเภทหนึ่ง แต่ยังรวมถึงบุคคลและนิติบุคคล ทรัพย์สินในทรัพย์สินและความปลอดภัยส่วนบุคคลด้วย

วัตถุประสงค์ของงานนี้คือเพื่อพิจารณาความปลอดภัยของข้อมูลว่าเป็นส่วนหนึ่งของความมั่นคงของชาติตลอดจนระบุระดับความปลอดภัยในขั้นตอนปัจจุบันวิเคราะห์ภัยคุกคามภายในและภายนอกพิจารณาปัญหาและแนวทางแก้ไข

ในเรื่องนี้ได้มีการกำหนดงานบางอย่าง:

.กำหนดสถานที่และความสำคัญของความปลอดภัยของข้อมูลในขั้นตอนการพัฒนาปัจจุบัน

2.พิจารณากรอบการกำกับดูแลในด้านการปกป้องข้อมูล

.ระบุปัญหาหลักและภัยคุกคามและแนวทางแก้ไข

บทที่ 1 ปัญหาและภัยคุกคามต่อความปลอดภัยของข้อมูล

1.1 สถานที่รักษาความปลอดภัยข้อมูลในระบบความมั่นคงแห่งชาติของรัสเซีย

ความมั่นคงแห่งชาติของสหพันธรัฐรัสเซียขึ้นอยู่กับการรับรองความปลอดภัยของข้อมูลเป็นอย่างมาก และด้วยความก้าวหน้าทางเทคโนโลยี การพึ่งพาอาศัยกันนี้จะเพิ่มขึ้น

ในโลกสมัยใหม่ ความปลอดภัยของข้อมูลกำลังกลายเป็นเงื่อนไขสำคัญในการรับประกันผลประโยชน์ของบุคคล สังคม และรัฐ และที่สำคัญที่สุดคือการเชื่อมโยงหลักของระบบความมั่นคงแห่งชาติทั้งหมดของประเทศ

กรอบการกำกับดูแลสำหรับการควบคุมความปลอดภัยของข้อมูลคือหลักคำสอนด้านความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซียซึ่งได้รับการอนุมัติจากประธานาธิบดีแห่งสหพันธรัฐรัสเซียในปี 2544 ซึ่งแสดงถึงชุดมุมมองอย่างเป็นทางการเกี่ยวกับเป้าหมาย วัตถุประสงค์ หลักการ และทิศทางหลักในการรับรองความปลอดภัยของข้อมูล ในรัสเซีย หลักคำสอนกล่าวถึง:

วัตถุ ภัยคุกคาม และแหล่งที่มาของภัยคุกคามความปลอดภัยของข้อมูล

ผลที่ตามมาที่เป็นไปได้ของภัยคุกคามความปลอดภัยของข้อมูล

วิธีการและวิธีการป้องกันและต่อต้านภัยคุกคามต่อความปลอดภัยของข้อมูล

คุณสมบัติของการรับรองความปลอดภัยของข้อมูลในด้านต่าง ๆ ของชีวิตสังคมและรัฐ

บทบัญญัติหลักของนโยบายของรัฐเพื่อรับรองความปลอดภัยของข้อมูลในสหพันธรัฐรัสเซีย

หลักคำสอนพิจารณางานทั้งหมดในขอบเขตข้อมูลบนพื้นฐานและเพื่อผลประโยชน์ของแนวคิดความมั่นคงแห่งชาติของสหพันธรัฐรัสเซีย

เธอระบุองค์ประกอบหลักสี่ประการของผลประโยชน์แห่งชาติของรัสเซียในขอบเขตข้อมูล

องค์ประกอบแรกรวมถึงการปฏิบัติตามสิทธิและเสรีภาพตามรัฐธรรมนูญของมนุษย์และพลเมืองในด้านการรับและการใช้ข้อมูล การรับรองการฟื้นฟูทางจิตวิญญาณของรัสเซีย การรักษาและเสริมสร้างคุณค่าทางศีลธรรมของสังคม ประเพณีของความรักชาติและมนุษยนิยม ศักยภาพทางวัฒนธรรมและวิทยาศาสตร์ของประเทศ

เพื่อนำไปใช้งานคุณต้องมี:

เพิ่มประสิทธิภาพในการใช้โครงสร้างพื้นฐานสารสนเทศเพื่อประโยชน์ในการพัฒนาสังคม การรวมตัวของสังคมรัสเซีย และการฟื้นฟูจิตวิญญาณของผู้คนข้ามชาติของประเทศ

ปรับปรุงระบบการก่อตัวการอนุรักษ์และการใช้ทรัพยากรข้อมูลอย่างมีเหตุผลซึ่งเป็นพื้นฐานของศักยภาพทางวิทยาศาสตร์เทคนิคและจิตวิญญาณของรัสเซีย

รับประกันสิทธิและเสรีภาพตามรัฐธรรมนูญของมนุษย์และพลเมืองในการแสวงหา รับ ส่ง ผลิต และแจกจ่ายข้อมูลอย่างอิสระด้วยวิธีทางกฎหมาย เพื่อรับข้อมูลที่เชื่อถือได้เกี่ยวกับสภาวะของสิ่งแวดล้อม

เพื่อรับรองสิทธิและเสรีภาพตามรัฐธรรมนูญของมนุษย์และพลเมืองในความลับส่วนบุคคลและครอบครัว ความเป็นส่วนตัวของการติดต่อทางจดหมาย การสนทนาทางโทรศัพท์ ไปรษณีย์ โทรเลข และข้อความอื่น ๆ เพื่อปกป้องเกียรติและชื่อเสียงที่ดีของบุคคล

เสริมสร้างกลไกของการควบคุมทางกฎหมายของความสัมพันธ์ในด้านการคุ้มครองทรัพย์สินทางปัญญาสร้างเงื่อนไขสำหรับการปฏิบัติตามข้อ จำกัด ในการเข้าถึงข้อมูลที่เป็นความลับที่กำหนดโดยกฎหมายของรัฐบาลกลาง

รับประกันเสรีภาพของสื่อและการห้ามเซ็นเซอร์

ไม่อนุญาตให้มีการโฆษณาชวนเชื่อและความปั่นป่วนที่ก่อให้เกิดความเกลียดชังและความเกลียดชังทางสังคม เชื้อชาติ ชาติหรือศาสนา

การปกป้องข้อมูลที่เป็นความลับของรัสเซีย

ตรวจสอบให้แน่ใจว่ามีการห้ามการรวบรวม การจัดเก็บ การใช้และการเผยแพร่ข้อมูลเกี่ยวกับชีวิตส่วนตัวของบุคคลโดยไม่ได้รับความยินยอมและข้อมูลอื่น ๆ ซึ่งเข้าถึงได้ซึ่งถูกจำกัดโดยกฎหมายของรัฐบาลกลาง

องค์ประกอบที่สองของผลประโยชน์ของชาติในด้านข้อมูล ได้แก่ การสนับสนุนข้อมูลสำหรับนโยบายของรัฐของประเทศ ที่เกี่ยวข้องกับการสื่อสารข้อมูลที่เชื่อถือได้ของประชาชนรัสเซียและนานาชาติเกี่ยวกับตำแหน่งอย่างเป็นทางการในเหตุการณ์สำคัญทางสังคมในชีวิตรัสเซียและระหว่างประเทศ และรับรองว่าประชาชนจะเข้าถึง เปิดแหล่งข้อมูลข้อมูลของรัฐบาล สิ่งนี้ต้องการ:

เสริมสร้างความเข้มแข็งของสื่อของรัฐขยายขีดความสามารถในการส่งข้อมูลที่เชื่อถือได้ให้กับพลเมืองรัสเซียและชาวต่างชาติอย่างทันท่วงที

กระชับการก่อตัวของทรัพยากรข้อมูลของรัฐเปิด เพิ่มประสิทธิภาพการใช้งานทางเศรษฐกิจ

องค์ประกอบที่สามของผลประโยชน์ของประเทศในด้านข้อมูล ได้แก่ การพัฒนาเทคโนโลยีสารสนเทศที่ทันสมัย ​​รวมถึงอุตสาหกรรมเทคโนโลยีสารสนเทศ โทรคมนาคม และการสื่อสาร ตอบสนองความต้องการของตลาดภายในประเทศด้วยผลิตภัณฑ์เหล่านี้และการเข้าสู่ตลาดโลกตลอดจน สร้างความมั่นใจในการสะสม การอนุรักษ์ และการใช้ทรัพยากรข้อมูลภายในประเทศอย่างมีประสิทธิผล

เพื่อให้บรรลุผลในทิศทางนี้ จำเป็น:

พัฒนาและปรับปรุงโครงสร้างพื้นฐานของพื้นที่ข้อมูลแบบครบวงจรของรัสเซีย

พัฒนาอุตสาหกรรมบริการข้อมูลภายในประเทศและเพิ่มประสิทธิภาพการใช้ทรัพยากรข้อมูลภาครัฐ

พัฒนาการผลิตในประเทศที่มีวิธีการแข่งขันและระบบข้อมูลโทรคมนาคมและการสื่อสารขยายการมีส่วนร่วมของรัสเซียในความร่วมมือระหว่างประเทศของผู้ผลิตวิธีการและระบบเหล่านี้

ให้การสนับสนุนของรัฐสำหรับการวิจัยและพัฒนาขั้นพื้นฐานและประยุกต์ในด้านข้อมูล โทรคมนาคม และการสื่อสาร

องค์ประกอบที่สี่ของผลประโยชน์ของชาติในด้านข้อมูล ได้แก่ การปกป้องทรัพยากรข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต และการสร้างความมั่นใจในความปลอดภัยของข้อมูลและระบบโทรคมนาคม

เพื่อวัตถุประสงค์เหล่านี้ จำเป็นต้องใช้:

ปรับปรุงความปลอดภัยของระบบข้อมูล (รวมถึงเครือข่ายการสื่อสาร) เครือข่ายการสื่อสารหลักและระบบข้อมูลของหน่วยงานภาครัฐ ภาคการเงิน สินเชื่อและการธนาคาร กิจกรรมทางเศรษฐกิจ ระบบและวิธีการให้ข้อมูลข่าวสารเกี่ยวกับอาวุธและอุปกรณ์ทางทหาร ระบบการบังคับบัญชาและการควบคุม กองกำลังและอาวุธ อุตสาหกรรมที่เป็นอันตรายต่อสิ่งแวดล้อมและมีความสำคัญทางเศรษฐกิจ

กระชับการพัฒนาการผลิตฮาร์ดแวร์และซอฟต์แวร์ในประเทศเพื่อความปลอดภัยของข้อมูลและวิธีการติดตามประสิทธิผล

รับประกันการปกป้องข้อมูลที่เป็นความลับของรัฐ

ขยายความร่วมมือระหว่างประเทศระหว่างรัสเซียในด้านการใช้ทรัพยากรข้อมูลอย่างปลอดภัยและการตอบโต้ภัยคุกคามของการเผชิญหน้าในขอบเขตข้อมูล

1.2 ปัญหาหลักของความปลอดภัยของข้อมูลและวิธีการแก้ไข

การรับรองความปลอดภัยของข้อมูลจำเป็นต้องแก้ไขปัญหาทั้งหมด

งานที่สำคัญที่สุดในการรับรองความปลอดภัยของข้อมูลของรัสเซียคือการดำเนินการโดยคำนึงถึงผลประโยชน์ของแต่ละบุคคล สังคม และรัฐในด้านนี้อย่างครอบคลุม หลักคำสอนกำหนดความสนใจเหล่านี้ดังนี้:

ผลประโยชน์ของแต่ละบุคคลในขอบเขตข้อมูลอยู่ที่การดำเนินการตามสิทธิตามรัฐธรรมนูญของมนุษย์และพลเมืองในการเข้าถึงข้อมูล การใช้ข้อมูลเพื่อประโยชน์ของการดำเนินกิจกรรมที่ไม่ได้รับอนุญาตตามกฎหมาย การพัฒนาทางกายภาพ จิตวิญญาณ และสติปัญญา ตลอดจน เพื่อปกป้องข้อมูลที่รับรองความปลอดภัยส่วนบุคคล

ผลประโยชน์ของสังคมในขอบเขตข้อมูลคือการรับประกันผลประโยชน์ของสังคมในด้านนี้ การเสริมสร้างประชาธิปไตย การสร้างสถานะทางสังคมที่ถูกกฎหมาย การบรรลุและรักษาความสามัคคีของประชาชน และการต่ออายุทางจิตวิญญาณของรัสเซีย

ผลประโยชน์ของรัฐในขอบเขตข้อมูลอยู่ที่การสร้างเงื่อนไขสำหรับการพัฒนาโครงสร้างพื้นฐานข้อมูลของรัสเซียอย่างกลมกลืนการใช้สิทธิและเสรีภาพตามรัฐธรรมนูญของบุคคล (พลเมือง) ในด้านการรับข้อมูล ในเวลาเดียวกันจำเป็นต้องใช้ขอบเขตนี้เพียงเพื่อให้แน่ใจว่าระบบรัฐธรรมนูญไม่สามารถขัดขืนได้อธิปไตยและบูรณภาพแห่งดินแดนของรัสเซียเสถียรภาพทางการเมืองเศรษฐกิจและสังคมเพื่อรับรองกฎหมายและระเบียบอย่างไม่มีเงื่อนไขและเพื่อพัฒนาความเท่าเทียมกันและเป็นประโยชน์ร่วมกัน ความร่วมมือระหว่างประเทศ

หลักคำสอนผสมผสานวิธีการทั่วไปในการแก้ปัญหาสำคัญในการรับรองความปลอดภัยของข้อมูลออกเป็นสามกลุ่ม:

ถูกกฎหมาย;

องค์กรและด้านเทคนิค ทางเศรษฐกิจ.

วิธีการทางกฎหมายรวมถึงการพัฒนาการดำเนินการทางกฎหมายเชิงบรรทัดฐานที่ควบคุมความสัมพันธ์ในขอบเขตข้อมูลและเอกสารระเบียบวิธีเชิงบรรทัดฐานในประเด็นการรับรองความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซีย (จะกล่าวถึงรายละเอียดในบทที่ 4 ของคู่มือนี้)

วิธีการขององค์กรและเทคนิคในการรับรองความปลอดภัยของข้อมูลคือ:

การสร้างและปรับปรุงระบบรักษาความปลอดภัยข้อมูล

เสริมสร้างกิจกรรมการบังคับใช้กฎหมายของหน่วยงาน รวมถึงการป้องกันและปราบปรามความผิดในขอบเขตข้อมูล

การสร้างระบบและวิธีการป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตและผลกระทบที่ก่อให้เกิดการทำลาย การทำลาย การบิดเบือนข้อมูล การเปลี่ยนแปลงรูปแบบการทำงานปกติของระบบ และวิธีการสารสนเทศและการสื่อสาร

การรับรองวิธีการรักษาความปลอดภัยข้อมูล, การออกใบอนุญาตกิจกรรมในด้านการคุ้มครองความลับของรัฐ, มาตรฐานของวิธีการและวิธีการรักษาความปลอดภัยข้อมูล;

ควบคุมการกระทำของบุคลากรในระบบสารสนเทศ การฝึกอบรมด้านความปลอดภัยข้อมูล

การจัดตั้งระบบติดตามตัวบ่งชี้และลักษณะของความปลอดภัยของข้อมูลในด้านที่สำคัญที่สุดของชีวิตและกิจกรรมของสังคมและรัฐ

วิธีการทางเศรษฐกิจในการรับรองความปลอดภัยของข้อมูล ได้แก่:

การพัฒนาโปรแกรมความปลอดภัยของข้อมูลและการกำหนดขั้นตอนการจัดหาเงินทุน

ปรับปรุงระบบงานทางการเงินที่เกี่ยวข้องกับการดำเนินการตามวิธีการทางกฎหมายองค์กรและเทคนิคในการปกป้องข้อมูลสร้างระบบสำหรับการประกันความเสี่ยงด้านข้อมูลของบุคคลและนิติบุคคล

ตามหลักคำสอน รัฐในกระบวนการดำเนินการตามหน้าที่ของตนเพื่อรับรองความปลอดภัยของข้อมูล: ดำเนินการวิเคราะห์และคาดการณ์ภัยคุกคามต่อความปลอดภัยของข้อมูลอย่างครอบคลุมและเป็นกลาง พัฒนามาตรการเพื่อให้มั่นใจ จัดระเบียบการทำงานของเจ้าหน้าที่เพื่อดำเนินชุดมาตรการที่มุ่งป้องกัน ต่อต้าน และต่อต้านภัยคุกคามต่อความปลอดภัยของข้อมูล สนับสนุนกิจกรรมของสมาคมสาธารณะที่มีวัตถุประสงค์เพื่อแจ้งให้ประชากรทราบอย่างเป็นกลางเกี่ยวกับปรากฏการณ์ที่สำคัญทางสังคมของชีวิตสาธารณะ ปกป้องสังคมจากข้อมูลที่บิดเบี้ยวและไม่น่าเชื่อถือ ควบคุมการออกแบบ การสร้าง การพัฒนา การใช้ การส่งออก และการนำเข้าเครื่องมือรักษาความปลอดภัยข้อมูล ผ่านการรับรองและการออกใบอนุญาตกิจกรรมด้านความปลอดภัยข้อมูล ดำเนินนโยบายกีดกันทางการค้าที่จำเป็นต่อผู้ผลิตเครื่องมือสารสนเทศและการปกป้องข้อมูลในอาณาเขตของสหพันธรัฐรัสเซีย และใช้มาตรการเพื่อปกป้องตลาดภายในประเทศจากการรุกล้ำของเครื่องมือสารสนเทศและผลิตภัณฑ์ข้อมูลคุณภาพต่ำ มีส่วนช่วยให้บุคคลและนิติบุคคลสามารถเข้าถึงทรัพยากรข้อมูลโลกและเครือข่ายข้อมูลระดับโลก กำหนดและดำเนินการตามนโยบายข้อมูลของรัฐของรัสเซีย จัดการพัฒนาโปรแกรมของรัฐบาลกลางเพื่อรับรองความปลอดภัยของข้อมูล ผสมผสานความพยายามของรัฐบาลและองค์กรพัฒนาเอกชนในพื้นที่นี้ ส่งเสริมความเป็นสากลของเครือข่ายและระบบข้อมูลระดับโลก รวมถึงการเข้าสู่ชุมชนข้อมูลระดับโลกของรัสเซียภายใต้เงื่อนไขของการเป็นหุ้นส่วนที่เท่าเทียมกัน

เมื่อแก้ไขงานหลักและดำเนินมาตรการจัดลำดับความสำคัญของนโยบายของรัฐเพื่อรับรองความปลอดภัยของข้อมูล ความปรารถนาในการแก้ไขปัญหาด้านกฎระเบียบและทางเทคนิคเป็นหลักในปัจจุบัน บ่อยครั้งที่เรากำลังพูดถึง "การพัฒนาและการดำเนินการตามบรรทัดฐานทางกฎหมาย" "การเพิ่มวัฒนธรรมทางกฎหมายและความรู้ด้านคอมพิวเตอร์ของพลเมือง" "การสร้างเทคโนโลยีสารสนเทศที่ปลอดภัย" "การรับรองความเป็นอิสระทางเทคโนโลยี" ฯลฯ

การพัฒนาระบบการฝึกอบรมสำหรับบุคลากรที่ใช้ในด้านการรักษาความปลอดภัยข้อมูลนั้นได้รับการวางแผนตามนั้น กล่าวคือ การฝึกอบรมในด้านการสื่อสาร การประมวลผลข้อมูล และวิธีการทางเทคนิคในการปกป้องระบบนั้นมีอิทธิพลเหนือกว่า ผู้เชี่ยวชาญจะได้รับการฝึกอบรมในด้านข้อมูลและกิจกรรมการวิเคราะห์ ข้อมูลทางสังคม และความปลอดภัยของข้อมูลส่วนบุคคล น่าเสียดายที่สถาบันของรัฐหลายแห่งถือว่าด้านเทคนิคของปัญหาเป็นสิ่งสำคัญที่สุด โดยมองข้ามแง่มุมทางสังคมและจิตวิทยาไป

1.3 แหล่งที่มาของภัยคุกคามความปลอดภัยของข้อมูล

ภัยคุกคามต่อความปลอดภัยของข้อมูลคือการใช้ข้อมูลประเภทต่างๆ กับวัตถุทางสังคมโดยเฉพาะ (เศรษฐกิจ การทหาร วิทยาศาสตร์ และเทคนิค ฯลฯ) โดยมีจุดประสงค์เพื่อเปลี่ยนแปลงฟังก์ชันการทำงานหรือทำลายวัตถุนั้นโดยสิ้นเชิง

โดยคำนึงถึงจุดเน้นทั่วไป หลักคำสอนนี้แบ่งภัยคุกคามความปลอดภัยของข้อมูลออกเป็นประเภทต่างๆ ดังต่อไปนี้:

ภัยคุกคามต่อสิทธิและเสรีภาพตามรัฐธรรมนูญของมนุษย์และพลเมืองในด้านชีวิตฝ่ายวิญญาณและกิจกรรมข้อมูล จิตสำนึกส่วนบุคคล กลุ่ม และสาธารณะ การฟื้นฟูจิตวิญญาณของรัสเซีย

ภัยคุกคามต่อการสนับสนุนข้อมูลนโยบายของรัฐของสหพันธรัฐรัสเซีย

ภัยคุกคามต่อการพัฒนาอุตสาหกรรมข้อมูลภายในประเทศ ได้แก่ อุตสาหกรรมเทคโนโลยีสารสนเทศ โทรคมนาคม และการสื่อสาร ตอบสนองความต้องการของตลาดภายในประเทศสำหรับผลิตภัณฑ์ของตน และการเข้าสู่ตลาดโลก ตลอดจนสร้างความมั่นใจในการสะสม การเก็บรักษา และ การใช้ทรัพยากรข้อมูลภายในประเทศอย่างมีประสิทธิผล

ภัยคุกคามต่อความปลอดภัยของข้อมูลและสิ่งอำนวยความสะดวกและระบบโทรคมนาคมทั้งที่ใช้งานอยู่แล้วและที่ถูกสร้างขึ้นในรัสเซีย

ภัยคุกคามต่อสิทธิและเสรีภาพตามรัฐธรรมนูญของมนุษย์และพลเมืองในด้านชีวิตฝ่ายวิญญาณและกิจกรรมข้อมูล บุคคล กลุ่ม และจิตสำนึกสาธารณะ และการฟื้นฟูจิตวิญญาณของรัสเซียอาจเป็น:

การยอมรับโดยเจ้าหน้าที่ของการดำเนินการทางกฎหมายที่ละเมิดสิทธิและเสรีภาพตามรัฐธรรมนูญของพลเมืองในด้านกิจกรรมชีวิตฝ่ายวิญญาณและข้อมูล

การสร้างการผูกขาดในการจัดทำ การรับ และการเผยแพร่ข้อมูลในสหพันธรัฐรัสเซีย รวมถึงการใช้ระบบโทรคมนาคม

การต่อต้าน รวมถึงจากโครงสร้างทางอาญา ไปจนถึงการใช้สิทธิตามรัฐธรรมนูญของพลเมืองในความลับส่วนบุคคลและครอบครัว ความเป็นส่วนตัวของการติดต่อทางจดหมาย การสนทนาทางโทรศัพท์ และการสื่อสารอื่น ๆ

การจำกัดการเข้าถึงข้อมูลที่จำเป็นมากเกินไป

การใช้วิธีพิเศษอย่างผิดกฎหมายเพื่อโน้มน้าวบุคคล กลุ่ม และจิตสำนึกสาธารณะ

ความล้มเหลวของหน่วยงานของรัฐและรัฐบาลท้องถิ่น องค์กร และประชาชนในการปฏิบัติตามข้อกำหนดของกฎหมายที่ควบคุมความสัมพันธ์ในขอบเขตข้อมูล

การจำกัดการเข้าถึงแหล่งข้อมูลของพลเมืองโดยผิดกฎหมายของหน่วยงานของรัฐและการปกครองตนเองในท้องถิ่น การเปิดเอกสารสำคัญ และข้อมูลสำคัญทางสังคมที่เปิดกว้างอื่น ๆ

ความระส่ำระสายและการทำลายระบบการสะสมและการอนุรักษ์ทรัพย์สินทางวัฒนธรรมรวมถึงหอจดหมายเหตุ

การละเมิดสิทธิและเสรีภาพตามรัฐธรรมนูญของมนุษย์และพลเมืองในด้านสื่อมวลชน

ขับไล่สำนักข่าวและสื่อมวลชนของรัสเซียออกจากตลาดข้อมูลภายในประเทศและการพึ่งพาที่เพิ่มขึ้นของขอบเขตจิตวิญญาณ เศรษฐกิจ และการเมืองของชีวิตสาธารณะในรัสเซียในโครงสร้างข้อมูลต่างประเทศ

การลดค่าคุณค่าทางจิตวิญญาณการโฆษณาชวนเชื่อของแบบจำลองวัฒนธรรมมวลชนที่มีพื้นฐานมาจากลัทธิความรุนแรงค่านิยมทางจิตวิญญาณและศีลธรรมที่ขัดแย้งกับค่านิยมที่ยอมรับในสังคมรัสเซีย

ศักยภาพทางจิตวิญญาณ คุณธรรม และความคิดสร้างสรรค์ที่ลดลงของประชากรรัสเซีย

การจัดการข้อมูล (การบิดเบือนข้อมูล การปกปิด หรือการบิดเบือนข้อมูล)

ภัยคุกคามต่อการสนับสนุนข้อมูลของนโยบายรัฐของสหพันธรัฐรัสเซียอาจเป็น:

การผูกขาดตลาดข้อมูลรัสเซีย ภาคส่วนต่างๆ โดยโครงสร้างข้อมูลในประเทศและต่างประเทศ

การปิดกั้นกิจกรรมของสื่อของรัฐเพื่อแจ้งให้ผู้ชมชาวรัสเซียและชาวต่างชาติทราบ

การสนับสนุนข้อมูลที่มีประสิทธิภาพต่ำสำหรับนโยบายของรัฐของสหพันธรัฐรัสเซียเนื่องจากการขาดแคลนบุคลากรที่มีคุณสมบัติเหมาะสมขาดระบบในการจัดทำและการดำเนินการตามนโยบายข้อมูลของรัฐ

ภัยคุกคามต่อการพัฒนาอุตสาหกรรมข้อมูลภายในประเทศอาจรวมถึง:

ต่อต้านการเข้าถึงเทคโนโลยีสารสนเทศล่าสุด การมีส่วนร่วมที่เป็นประโยชน์ร่วมกันและเท่าเทียมกันของผู้ผลิตรัสเซียในแผนกแรงงานระดับโลกในอุตสาหกรรมบริการข้อมูล วิธีการข้อมูล โทรคมนาคมและการสื่อสาร ผลิตภัณฑ์ข้อมูล สร้างเงื่อนไขในการเพิ่มการพึ่งพาเทคโนโลยีของรัสเซียในสาขา เทคโนโลยีสารสนเทศ

ซื้อโดยหน่วยงานสาธารณะของอุปกรณ์เทคโนโลยีสารสนเทศโทรคมนาคมและการสื่อสารที่นำเข้าต่อหน้าอะนาล็อกในประเทศ

ขับไล่ผู้ผลิตอุปกรณ์เทคโนโลยีสารสนเทศ โทรคมนาคม และการสื่อสารของรัสเซียออกจากตลาดภายในประเทศ

การใช้เทคโนโลยีสารสนเทศในประเทศและต่างประเทศที่ไม่ได้รับการรับรอง เครื่องมือรักษาความปลอดภัยข้อมูล เครื่องมือข้อมูล โทรคมนาคม และการสื่อสาร

ผู้เชี่ยวชาญและผู้ถือสิทธิในทรัพย์สินทางปัญญาในต่างประเทศหลั่งไหลออกมา

หลักคำสอนแบ่งแหล่งที่มาของภัยคุกคามทั้งหมดต่อความปลอดภัยของข้อมูลออกเป็นภายนอกและภายใน

หลักคำสอนนี้รวมถึงแหล่งที่มาของภัยคุกคามภายนอกดังต่อไปนี้:

กิจกรรมของโครงสร้างการเมือง เศรษฐกิจ การทหาร หน่วยข่าวกรองและข้อมูลต่างประเทศที่ขัดต่อผลประโยชน์ของสหพันธรัฐรัสเซีย

ความปรารถนาของหลายประเทศที่จะครองพื้นที่ข้อมูลระดับโลกและขับไล่รัสเซียออกจากตลาดข้อมูล

กิจกรรมขององค์กรก่อการร้ายระหว่างประเทศ

เพิ่มช่องว่างทางเทคโนโลยีระหว่างมหาอำนาจชั้นนำของโลกและเพิ่มขีดความสามารถในการตอบโต้การสร้างเทคโนโลยีสารสนเทศที่แข่งขันได้ของรัสเซีย

กิจกรรมของอวกาศ อากาศ ทะเล และพื้นดินทางเทคนิคและวิธีการอื่น ๆ (ประเภท) ของข่าวกรองของรัฐต่างประเทศ

การพัฒนาแนวคิดสงครามข้อมูลของรัฐหลายแห่งที่จัดให้มีการสร้างวิธีการที่มีอิทธิพลที่เป็นอันตรายต่อขอบเขตข้อมูลของประเทศอื่น ๆ การหยุดชะงักของการทำงานของข้อมูลและระบบโทรคมนาคม และการเข้าถึงโดยไม่ได้รับอนุญาต

แหล่งที่มาของภัยคุกคามภายในตามหลักคำสอน ได้แก่ สถานะวิกฤตของอุตสาหกรรมภายในประเทศจำนวนหนึ่ง

สถานการณ์อาชญากรรมที่ไม่เอื้ออำนวยพร้อมกับแนวโน้มในการรวมโครงสร้างของรัฐและอาชญากรรมในขอบเขตข้อมูล โครงสร้างทางอาญาที่เข้าถึงข้อมูลที่เป็นความลับ เพิ่มอิทธิพลของการก่ออาชญากรรมต่อชีวิตของสังคม ลดระดับของการคุ้มครองผลประโยชน์ที่ชอบด้วยกฎหมายของ พลเมือง สังคม และรัฐในขอบเขตข้อมูล

การประสานงานกิจกรรมของหน่วยงานของรัฐทุกระดับไม่เพียงพอในการดำเนินนโยบายรัฐแบบครบวงจรในด้านความปลอดภัยของข้อมูล

ข้อบกพร่องของกรอบการกำกับดูแลที่ควบคุมความสัมพันธ์ในขอบเขตข้อมูลและแนวปฏิบัติในการบังคับใช้กฎหมาย

ความล้าหลังของสถาบันภาคประชาสังคมและการควบคุมของรัฐบาลที่ไม่เพียงพอต่อการพัฒนาตลาดข้อมูลในรัสเซีย

เงินทุนไม่เพียงพอสำหรับกิจกรรมความปลอดภัยของข้อมูล

จำนวนบุคลากรที่มีคุณสมบัติไม่เพียงพอในด้านความปลอดภัยของข้อมูล

กิจกรรมที่ไม่เพียงพอของหน่วยงานรัฐบาลกลางในการแจ้งให้สาธารณชนทราบเกี่ยวกับกิจกรรมของพวกเขา ในการอธิบายการตัดสินใจ การสร้างทรัพยากรของรัฐบาลแบบเปิด และพัฒนาระบบสำหรับประชาชนในการเข้าถึงทรัพยากรเหล่านั้น

รัสเซียตามหลังประเทศชั้นนำของโลกในแง่ของระดับการให้ข้อมูลข่าวสารของรัฐบาลและการปกครองตนเองในท้องถิ่น สินเชื่อและการเงิน อุตสาหกรรม เกษตรกรรม การศึกษา การดูแลสุขภาพ บริการ และชีวิตประจำวันของพลเมือง

บทที่ 2 การคุ้มครองข้อมูลที่เป็นความลับ

2.1 การจำแนกประเภทของข้อมูลที่อยู่ภายใต้การคุ้มครอง

ปัจจุบัน เอกสารกำกับดูแลต่างๆ ระบุข้อมูลประเภทที่มีนัยสำคัญ (มากกว่า 40) ประเภทที่ต้องการการป้องกันเพิ่มเติม เพื่อความสะดวกในการพิจารณาระบอบกฎหมายของแหล่งข้อมูลตามการเข้าถึงสามารถรวมตามเงื่อนไขออกเป็นสี่กลุ่ม:

ความลับของรัฐ;

ความลับทางการค้า

ข้อมูลที่เป็นความลับ

ทรัพย์สินทางปัญญา

ความลับของรัฐ กฎหมายของสหพันธรัฐรัสเซีย "ว่าด้วยความลับของรัฐ" ให้คำจำกัดความของความลับของรัฐดังต่อไปนี้: นี่คือข้อมูลที่ได้รับการคุ้มครองโดยรัฐในด้านการทหาร นโยบายต่างประเทศ เศรษฐกิจ สติปัญญา การต่อต้านข่าวกรอง และกิจกรรมสืบสวนเชิงปฏิบัติ ซึ่งการเผยแพร่สามารถทำได้ เป็นอันตรายต่อความมั่นคงของรัสเซีย (ข้อ 2)

มาตรา 5 ของกฎหมายนี้กำหนดรายการข้อมูลที่จัดเป็นความลับของรัฐ:

ข้อมูลในด้านการทหาร - ในเนื้อหาของแผนยุทธศาสตร์และปฏิบัติการ, ในแผนการก่อสร้างกองทัพ, การพัฒนา, เทคโนโลยี, การผลิต, โรงงานผลิต, การเก็บรักษา, การกำจัดอาวุธนิวเคลียร์, ทางยุทธวิธีและทางเทคนิค ลักษณะและความเป็นไปได้ของการใช้อาวุธและอุปกรณ์ทางทหารในการต่อสู้ เกี่ยวกับความคลาดเคลื่อนของขีปนาวุธและวัตถุสำคัญโดยเฉพาะ ฯลฯ

ข้อมูลในสาขาเศรษฐศาสตร์วิทยาศาสตร์และเทคโนโลยี - ในเนื้อหาของแผนการเตรียมสหพันธรัฐรัสเซียและแต่ละภูมิภาคสำหรับการปฏิบัติการทางทหารที่เป็นไปได้ ปริมาณการผลิต ตามแผนคำสั่งของรัฐบาล การผลิตและการจัดหาอาวุธ อุปกรณ์ทางทหาร เกี่ยวกับความสำเร็จของวิทยาศาสตร์และเทคโนโลยีที่มีความสำคัญต่อการป้องกันประเทศหรือความสำคัญทางเศรษฐกิจ ฯลฯ

ข้อมูลในด้านนโยบายต่างประเทศและเศรษฐศาสตร์ - เกี่ยวกับนโยบายต่างประเทศและกิจกรรมทางเศรษฐกิจต่างประเทศของสหพันธรัฐรัสเซีย การเผยแพร่ก่อนเวลาอันควรซึ่งอาจเป็นอันตรายต่อความมั่นคงของรัฐ ฯลฯ

พลังและวิธีการของกิจกรรมที่ระบุชื่อ แหล่งที่มา แผนงาน และผลลัพธ์

บุคคลที่ร่วมมือหรือร่วมมือกันเป็นความลับกับหน่วยงานที่ดำเนินกิจกรรมเหล่านี้

ระบบของประธานาธิบดี รัฐบาล การเข้ารหัส รวมถึงการสื่อสารที่ใช้รหัสและเป็นความลับ

รหัสและข้อมูลวัตถุประสงค์พิเศษและระบบวิเคราะห์ วิธีการและวิธีการในการปกป้องข้อมูลที่เป็นความลับ ฯลฯ

ความลับทางการค้าอาจเป็นข้อมูลใดๆ ก็ตามที่เป็นประโยชน์ในธุรกิจและให้ความได้เปรียบเหนือคู่แข่งที่ไม่มีข้อมูลดังกล่าว ในหลายกรณี ความลับทางการค้าถือเป็นทรัพย์สินทางปัญญารูปแบบหนึ่ง

ตามมาตรา 139 ส่วนที่ 1 แห่งประมวลกฎหมายแพ่งของสหพันธรัฐรัสเซีย ข้อมูลที่ถือเป็นความลับทางการค้ารวมถึงข้อมูลที่มีมูลค่าทางการค้าจริงหรือที่เป็นไปได้ เนื่องจากบุคคลที่สามไม่ทราบ และไม่มีการเข้าถึงโดยเสรีตามกฎหมาย อาจรวมถึงแนวคิด สิ่งประดิษฐ์ และข้อมูลทางธุรกิจอื่นๆ ที่หลากหลาย

คำสั่งของรัฐบาลสหพันธรัฐรัสเซียเมื่อวันที่ 5 ธันวาคม 2534 ฉบับที่ 35 “ ในรายการข้อมูลที่ไม่สามารถเป็นความลับทางการค้าได้” ข้อมูลนี้ประกอบด้วย:

ข้อมูลองค์กร (เอกสารกฎบัตรและส่วนประกอบขององค์กร ใบรับรองการจดทะเบียน ใบอนุญาต สิทธิบัตร)

ข้อมูลทางการเงิน (เอกสารเกี่ยวกับการคำนวณและการชำระภาษีการชำระเงินอื่น ๆ ตามกฎหมายเอกสารเกี่ยวกับสถานะของความสามารถในการละลาย)

ข้อมูลเกี่ยวกับพนักงานและสภาพการปฏิบัติงาน (จำนวนและองค์ประกอบของพนักงาน, ค่าจ้าง, ความพร้อมของตำแหน่งงานว่าง, ผลกระทบของการผลิตต่อสภาพแวดล้อมทางธรรมชาติ, การจำหน่ายผลิตภัณฑ์ที่เป็นอันตรายต่อสุขภาพของประชาชน, การมีส่วนร่วมของเจ้าหน้าที่ในกิจกรรมทางธุรกิจ, การละเมิดกฎหมายต่อต้านการผูกขาด );

ข้อมูลเกี่ยวกับทรัพย์สิน (ขนาดของทรัพย์สิน เงินสด การลงทุนในหลักทรัพย์ พันธบัตร เงินกู้ กองทุนที่ได้รับอนุญาตของการร่วมค้า)

ข้อมูลที่เป็นความลับ การรักษาความลับของข้อมูลเป็นลักษณะของข้อมูลที่บ่งบอกถึงความจำเป็นในการแนะนำข้อ จำกัด ในแวดวงของอาสาสมัครที่สามารถเข้าถึงข้อมูลนี้ได้ การรักษาความลับหมายถึงการรักษาสิทธิ์ในข้อมูล การไม่เปิดเผยข้อมูล (ความลับ) และความไม่เปลี่ยนแปลงในทุกกรณี ยกเว้นการใช้งานที่ได้รับอนุญาต

คำสั่งของประธานาธิบดีแห่งสหพันธรัฐรัสเซียเมื่อวันที่ 6 มีนาคม พ.ศ. 2540 ฉบับที่ 188 ได้อนุมัติรายการข้อมูลที่เป็นความลับ รายการนี้ประกอบด้วย:

ข้อมูลเกี่ยวกับข้อเท็จจริง เหตุการณ์ และสถานการณ์ในชีวิตส่วนตัวของพลเมือง ทำให้สามารถระบุตัวตนของเขาได้ (ข้อมูลส่วนบุคคล)

ข้อมูลที่เป็นความลับของการสอบสวนและการดำเนินคดีทางกฎหมาย

ข้อมูลอย่างเป็นทางการ การเข้าถึงซึ่งถูกจำกัดโดยหน่วยงานของรัฐตามประมวลกฎหมายแพ่งของสหพันธรัฐรัสเซียและกฎหมายของรัฐบาลกลาง (ความลับอย่างเป็นทางการ)

ข้อมูลเกี่ยวกับกิจกรรมทางวิชาชีพ (ทางการแพทย์ การรับรองเอกสาร การรักษาความลับของทนายความ-ลูกค้า การรักษาความลับของการติดต่อทางจดหมาย ฯลฯ)

ข้อมูลเกี่ยวกับสาระสำคัญของการประดิษฐ์หรือการออกแบบทางอุตสาหกรรมก่อนที่จะเผยแพร่ข้อมูลเกี่ยวกับสิ่งเหล่านั้นอย่างเป็นทางการ

รายการข้อมูลที่เป็นความลับเสริมด้วยการดำเนินการทางกฎหมายอื่น ๆ: พื้นฐานของกฎหมายของสหพันธรัฐรัสเซีย "ในการคุ้มครองสุขภาพของพลเมือง" กฎหมายของสหพันธรัฐรัสเซีย "ในการดูแลทางจิตเวชและการรับประกันสิทธิของพลเมืองในบทบัญญัติ ”, “ในทนายความ”, “ในวิชาชีพทางกฎหมาย”, “ในการค้ำประกันขั้นพื้นฐาน” สิทธิการเลือกตั้งของพลเมืองของสหพันธรัฐรัสเซีย", "ในธนาคารและกิจกรรมการธนาคาร" รวมถึงรหัสภาษีของสหพันธรัฐรัสเซีย ครอบครัว รหัสของสหพันธรัฐรัสเซีย ฯลฯ

ด้วยเหตุนี้ เราจึงสามารถแยกแยะกลุ่มข้อมูลที่เป็นความลับได้หลายกลุ่มซึ่งก่อให้เกิด “ความลับ” บางอย่าง:

การรักษาความลับทางการแพทย์ (ทางการแพทย์)

ความลับของธนาคาร

ความลับทางภาษี

ความลับของเอกสาร;

ความลึกลับของการประกันภัย

สิทธิพิเศษของทนายความ-ลูกค้า

ความลึกลับของทัศนคติต่อศาสนาและความลึกลับของการสารภาพ ความลับของการลงคะแนนเสียง ความลับอย่างเป็นทางการ ฯลฯ

ข้อมูลที่กำหนดโดยแนวคิดเรื่องทรัพย์สินทางปัญญาประกอบด้วยข้อมูลที่กล่าวถึงข้างต้นส่วนใหญ่ในลักษณะทางวิทยาศาสตร์และเทคโนโลยี ตลอดจนผลงานวรรณกรรมและศิลปะ ผลิตภัณฑ์ของกิจกรรมการประดิษฐ์และการหาเหตุผลเข้าข้างตนเอง และความคิดสร้างสรรค์ประเภทอื่น ๆ ตามกฎหมายของสหพันธรัฐรัสเซีย "ในการคุ้มครองทางกฎหมายของโปรแกรมสำหรับคอมพิวเตอร์อิเล็กทรอนิกส์และฐานข้อมูล" ลงวันที่ 23 กันยายน 2535 โปรแกรมคอมพิวเตอร์และฐานข้อมูลถือเป็นวัตถุของลิขสิทธิ์เช่นกัน การละเมิดซึ่งนำมาซึ่งความรับผิดทางแพ่ง ทางอาญา และทางปกครองตาม ด้วยกฎหมาย RF

ข้อมูลบางส่วนที่จัดเป็นความลับของรัฐและเชิงพาณิชย์ยังอยู่ภายใต้คำจำกัดความของทรัพย์สินทางปัญญาด้วย

2.2 องค์กรด้านความปลอดภัยของข้อมูล

ผู้เชี่ยวชาญส่วนใหญ่ถือว่ามาตรการ "ป้องกัน" ต่อไปนี้เป็นความพยายามที่สมเหตุสมผลที่สุดในทิศทางนี้:

คำจำกัดความที่เพียงพอของรายการข้อมูลภายใต้การคุ้มครอง

การระบุระดับการเข้าถึงและการทำนายช่องโหว่ที่อาจเกิดขึ้นในการเข้าถึงข้อมูล

ใช้มาตรการเพื่อจำกัดการเข้าถึงข้อมูลหรือวัตถุ

การจัดระเบียบความปลอดภัยของสถานที่และการตรวจสอบความปลอดภัยของข้อมูลอย่างต่อเนื่อง (โดยเฉพาะอย่างยิ่งจำเป็นต้องมีตู้ที่ล็อคได้ ตู้นิรภัย สำนักงาน กล้องวงจรปิดโทรทัศน์ ฯลฯ )

มีกฎเกณฑ์ที่ชัดเจนสำหรับการจัดการเอกสารและการทำซ้ำ ดังที่คุณทราบ การประดิษฐ์เทคโนโลยีที่ซ้ำซ้อนทำให้เกิดการจารกรรมทางอุตสาหกรรมเพิ่มมากขึ้น

การปรากฏบนเอกสารจารึก "ความลับ" "สำหรับการใช้งานอย่างเป็นทางการ" และที่ประตู - "ห้ามเข้าโดยไม่ได้รับอนุญาต" ผู้ให้บริการข้อมูลแต่ละราย (เอกสาร ดิสก์ ฯลฯ) ต้องมีการกำหนดตำแหน่งและสถานที่จัดเก็บที่เหมาะสม (ห้อง ตู้นิรภัย กล่องโลหะ)

การลงนามข้อตกลงไม่เปิดเผยข้อมูลกับพนักงานขององค์กรหรือบริษัท

วิธีการหลักในการปกป้องข้อมูลในปัจจุบันยังคงเป็นมาตรการรักษาความปลอดภัยที่มุ่งป้องกันการรั่วไหลของข้อมูลเฉพาะ ประการแรกการนำมาตรการเหล่านี้ไปใช้จะขึ้นอยู่กับเจ้าของข้อมูล สถานการณ์การแข่งขันในสาขากิจกรรมของตน มูลค่าที่ข้อมูลการผลิตหรือเชิงพาณิชย์เป็นตัวแทน และปัจจัยอื่นๆ

มาตรการปกป้องข้อมูลรวมถึงภายนอกและภายใน

กิจกรรมภายนอก ได้แก่: ศึกษาคู่ค้า ลูกค้าที่คุณต้องดำเนินธุรกิจด้วย รวบรวมข้อมูลเกี่ยวกับความน่าเชื่อถือ ความสามารถในการละลาย และข้อมูลอื่น ๆ รวมถึงการทำนายการกระทำที่คาดหวังของคู่แข่งและองค์ประกอบทางอาญา หากเป็นไปได้ จะมีการระบุบุคคลที่แสดงความสนใจในกิจกรรมขององค์กร (บริษัท) และบุคลากรที่ทำงานในองค์กร

มาตรการรักษาความปลอดภัยภายในประกอบด้วยการคัดเลือกและการคัดกรองบุคคลที่สมัครงาน: ข้อมูลส่วนบุคคล พฤติกรรม ณ สถานที่พำนักและในงานก่อนหน้า คุณภาพส่วนบุคคลและธุรกิจ ความเข้ากันได้ทางจิตวิทยากับพนักงานได้รับการศึกษา มีการชี้แจงเหตุผลในการออกจากสถานที่ทำงานเดิม ประวัติอาชญากรรม ฯลฯ ในกระบวนการทำงาน การศึกษาและวิเคราะห์การกระทำของพนักงานที่ส่งผลกระทบต่อผลประโยชน์ขององค์กรยังคงดำเนินต่อไป และการวิเคราะห์ของเขา มีการดำเนินการความสัมพันธ์ภายนอก

พนักงานถือเป็นองค์ประกอบที่สำคัญที่สุดของระบบรักษาความปลอดภัย พวกเขาสามารถมีบทบาทสำคัญในการปกป้องความลับทางการค้า แต่ในขณะเดียวกันก็อาจเป็นสาเหตุหลักของการรั่วไหลได้เช่นกัน สิ่งนี้มักเกิดขึ้นเนื่องจากการไม่ตั้งใจและการไม่รู้หนังสือ ดังนั้นการฝึกอบรมบุคลากรในเรื่องความลับอย่างสม่ำเสมอและชัดเจนจึงเป็นเงื่อนไขที่สำคัญที่สุดในการรักษาความลับ อย่างไรก็ตาม ไม่สามารถตัดกรณีการโอน (ขาย) ความลับของบริษัทโดยเจตนาโดยพนักงานได้ พื้นฐานที่สร้างแรงบันดาลใจสำหรับการกระทำดังกล่าวคือผลประโยชน์ของตนเองหรือการแก้แค้น เช่น ในส่วนของพนักงานที่ถูกไล่ออก การปฏิบัติการกระทำดังกล่าวมีมาตั้งแต่สมัยโบราณ

การปกป้องข้อมูลเกี่ยวข้องกับการใช้วิธีการทางเทคนิคพิเศษและอุปกรณ์อิเล็กทรอนิกส์ ซึ่งไม่เพียงแต่ช่วยป้องกันการรั่วไหลเท่านั้น แต่ยังช่วยหยุดกิจกรรมต่างๆ เช่น การจารกรรมทางอุตสาหกรรม (เชิงพาณิชย์) อีกด้วย ส่วนใหญ่เป็นวิธีการทางเทคนิคในการตรวจจับและวิธีการตอบโต้อุปกรณ์ดักฟัง:

เครื่องทำให้เป็นกลางของโทรศัพท์ (เพื่อระงับการทำงานของเครื่องส่งสัญญาณขนาดเล็กและทำให้การลบข้อมูลเสียงเป็นกลาง)

jammer โทรศัพท์ของอุปกรณ์ฟัง

เครื่องตรวจจับมืออาชีพ (ใช้สำหรับการกำหนดตำแหน่งของระเบิดวิทยุแบบ "หยาบ");

เครื่องตรวจจับเครื่องส่งสัญญาณขนาดเล็ก (ใช้เพื่อระบุตำแหน่งของระเบิดวิทยุอย่างแม่นยำ)

เครื่องกำเนิดเสียงรบกวน

องค์กรที่มีข้อมูลอันมีค่าจะต้องเก็บไว้ในตู้หรือตู้นิรภัยกันไฟแบบพิเศษ และป้องกันไม่ให้กุญแจสูญหายหรือโอนไปจัดเก็บให้กับบุคคลอื่น แม้แต่ผู้ที่ได้รับความไว้วางใจเป็นพิเศษก็ตาม

หนึ่งในวิธีการทั่วไปในการปกป้องทรัพย์สินทางปัญญาคือสิทธิบัตร นั่นคือ ใบรับรองที่ออกให้กับผู้ประดิษฐ์หรือผู้สืบทอดสิทธิ์ในการใช้สิ่งประดิษฐ์ที่เขาสร้างขึ้นแต่เพียงผู้เดียว สิทธิบัตรมีจุดมุ่งหมายเพื่อปกป้องนักประดิษฐ์ (ผู้เขียน) จากการทำซ้ำ การขาย และการใช้สิ่งประดิษฐ์ของเขาโดยผู้อื่น

การดำเนินการตามมาตรการพิเศษทั้งภายในและภายนอกเพื่อปกป้องระบบข้อมูลที่มีคุณค่าควรได้รับความไว้วางใจให้กับบุคคลที่ได้รับการฝึกอบรมมาเป็นพิเศษ เพื่อจุดประสงค์นี้ ผู้ประกอบการสามารถขอความช่วยเหลือจากบริษัทนักสืบเอกชนที่เชี่ยวชาญด้านการตรวจจับและปกป้องทรัพย์สินได้ พวกเขายังสามารถสร้างบริการรักษาความปลอดภัยของตนเองได้ เนื่องจากมาตรการป้องกันต้องใช้ต้นทุนจำนวนมาก ผู้ประกอบการเองจึงต้องตัดสินใจว่าอะไรให้ผลกำไรมากกว่าสำหรับเขา: ทนกับการรั่วไหลของข้อมูลหรือดึงดูดบริการพิเศษเพื่อปกป้องมัน

บทสรุป

สถานะปัจจุบันของความปลอดภัยของข้อมูลในรัสเซียคือสถานะของสถาบันสาธารณะของรัฐแห่งใหม่ซึ่งกำลังเป็นรูปเป็นร่างโดยคำนึงถึงยุคสมัย ได้มีการดำเนินการไปมากแล้วสำหรับการก่อตัวของมัน แต่ยังมีปัญหาอีกมากมายที่ต้องได้รับการแก้ไขอย่างทันท่วงที ในช่วงไม่กี่ปีที่ผ่านมา มีการนำมาตรการจำนวนหนึ่งไปใช้ในสหพันธรัฐรัสเซียเพื่อปรับปรุงความปลอดภัยของข้อมูล กล่าวคือ:

การก่อตัวของกรอบกฎหมายสำหรับความปลอดภัยของข้อมูลได้เริ่มขึ้นแล้ว มีการนำกฎหมายจำนวนหนึ่งที่ควบคุมการประชาสัมพันธ์ในพื้นที่นี้มาใช้ และเริ่มงานเพื่อสร้างกลไกในการดำเนินการ ผลลัพธ์ที่สำคัญและกรอบการกำกับดูแลสำหรับการแก้ไขปัญหาเพิ่มเติมในพื้นที่นี้คือการอนุมัติโดยประธานาธิบดีแห่งสหพันธรัฐรัสเซียในเดือนกันยายน พ.ศ. 2544 ของหลักคำสอนด้านความปลอดภัยข้อมูลของสหพันธรัฐรัสเซีย

ความปลอดภัยของข้อมูลได้รับการรับรองโดยสิ่งต่อไปนี้:

ระบบป้องกันข้อมูลของรัฐ

ระบบการออกใบอนุญาตสำหรับกิจกรรมในด้านการคุ้มครองความลับของรัฐ

ระบบรับรองความปลอดภัยของข้อมูล

ในเวลาเดียวกัน การวิเคราะห์สถานะความปลอดภัยของข้อมูลแสดงให้เห็นว่ายังมีปัญหาจำนวนหนึ่งที่เป็นอุปสรรคร้ายแรงต่อการจัดหาความปลอดภัยของข้อมูลอย่างเต็มรูปแบบสำหรับบุคคล สังคม และรัฐ หลักคำสอนระบุปัญหาหลักๆ ต่อไปนี้ในเรื่องนี้

สภาพสมัยใหม่ของการพัฒนาทางการเมืองและเศรษฐกิจสังคมของประเทศยังคงรักษาความขัดแย้งอย่างรุนแรงระหว่างความต้องการของสังคมในการขยายการแลกเปลี่ยนข้อมูลอย่างเสรีกับความจำเป็นในการจำกัดการเผยแพร่ข้อมูลที่ได้รับการควบคุมบางประการ

ความไม่สอดคล้องกันและการด้อยพัฒนาของกฎระเบียบทางกฎหมายของการประชาสัมพันธ์ในขอบเขตข้อมูลทำให้การรักษาความสมดุลของผลประโยชน์ที่จำเป็นของแต่ละบุคคลสังคมและรัฐในพื้นที่นี้มีความซับซ้อนอย่างมาก กฎระเบียบทางกฎหมายที่ไม่สมบูรณ์ไม่อนุญาตให้มีการจัดตั้งสำนักข่าวและสื่อรัสเซียที่มีการแข่งขันกันในอาณาเขตของสหพันธรัฐรัสเซีย

ความไม่มั่นคงของสิทธิของประชาชนในการเข้าถึงข้อมูลและการบิดเบือนข้อมูลทำให้เกิดปฏิกิริยาเชิงลบจากประชากรซึ่งในบางกรณีนำไปสู่ความไม่มั่นคงของสถานการณ์ทางสังคมและการเมืองในสังคม

สิทธิของพลเมืองในความเป็นส่วนตัว ความลับส่วนบุคคลและครอบครัว และความลับของการติดต่อทางจดหมายที่ประดิษฐานอยู่ในรัฐธรรมนูญของสหพันธรัฐรัสเซียในทางปฏิบัติไม่ได้รับการสนับสนุนทางกฎหมาย องค์กร และทางเทคนิคที่เพียงพอ การปกป้องข้อมูลของบุคคล (ข้อมูลส่วนบุคคล) ที่รวบรวมโดยหน่วยงานของรัฐบาลกลาง หน่วยงานของรัฐของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซีย และหน่วยงานปกครองตนเองในท้องถิ่นนั้นมีการจัดระเบียบที่ไม่ดี

ไม่มีความชัดเจนในการดำเนินนโยบายของรัฐในด้านการก่อตัวของพื้นที่ข้อมูลรัสเซียตลอดจนการจัดการแลกเปลี่ยนข้อมูลระหว่างประเทศและการรวมพื้นที่ข้อมูลของรัสเซียเข้ากับพื้นที่ข้อมูลโลกซึ่งสร้างเงื่อนไขในการขับไล่ข่าวรัสเซีย หน่วยงานและสื่อจากตลาดข้อมูลภายในประเทศ นำไปสู่การเปลี่ยนแปลงโครงสร้างการแลกเปลี่ยนระหว่างประเทศ

การสนับสนุนจากรัฐบาลไม่เพียงพอสำหรับกิจกรรมของสำนักข่าวรัสเซียในการโปรโมตผลิตภัณฑ์ของตนในตลาดข้อมูลต่างประเทศ

สถานการณ์ในการรับรองความปลอดภัยของข้อมูลที่เป็นความลับของรัฐยังไม่ดีขึ้น

เกิดความเสียหายร้ายแรงต่อศักยภาพบุคลากรของทีมวิทยาศาสตร์และการผลิตที่ดำเนินงานในด้านการสร้างเทคโนโลยีสารสนเทศ โทรคมนาคม และการสื่อสาร อันเป็นผลมาจากการที่ผู้เชี่ยวชาญที่มีคุณสมบัติเหมาะสมที่สุดออกจากทีมเหล่านี้จำนวนมาก

อ้างอิง

1.หลักคำสอนด้านความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซีย (อนุมัติโดยประธานาธิบดีแห่งสหพันธรัฐรัสเซีย ลงวันที่ 09.09.2000 เลขที่ Pr-1895)

.กฎหมายของสหพันธรัฐรัสเซีย "เรื่องความมั่นคง" 2553

.กฎหมายของสหพันธรัฐรัสเซีย "ว่าด้วยความลับของรัฐ" รับรองเมื่อวันที่ 21 กรกฎาคม 2536 (แก้ไขเพิ่มเติมเมื่อวันที่ 8 พฤศจิกายน 2554)

.กฎหมายของสหพันธรัฐรัสเซีย "ว่าด้วยลิขสิทธิ์และสิทธิที่เกี่ยวข้อง" ซึ่งมีผลใช้บังคับเมื่อวันที่ 3 สิงหาคม 2536 (รวมทั้งแก้ไขเพิ่มเติม)

.กฎหมายของรัฐบาลกลาง "เกี่ยวกับพื้นฐานของการรับราชการ" ซึ่งประกาศใช้เมื่อวันที่ 31 กรกฎาคม 2538

.ประมวลกฎหมายอาญาของสหพันธรัฐรัสเซีย 2556

การปกป้องข้อมูลในระบบคอมพิวเตอร์อย่างมีประสิทธิผลทำได้โดยใช้วิธีการที่เหมาะสม ซึ่งสามารถแบ่งออกได้เป็นหลายกลุ่ม ได้แก่

1) การจำกัดการเข้าถึงข้อมูล

2) การปกป้องข้อมูลเมื่อส่งผ่านช่องทางการสื่อสาร

3) การป้องกันการรั่วไหลของข้อมูลผ่านสาขาทางกายภาพต่าง ๆ ที่เกิดขึ้นระหว่างการทำงานของวิธีการทางเทคนิคของระบบคอมพิวเตอร์

4) การป้องกันผลกระทบของโปรแกรมไวรัส

5) ความปลอดภัยของการจัดเก็บและการขนส่งข้อมูลบนสื่อและการป้องกันการคัดลอก

วัตถุประสงค์หลักของเครื่องมือดังกล่าวคือการจำกัดการเข้าถึงทรัพยากรข้อมูลท้องถิ่นและเครือข่ายของระบบคอมพิวเตอร์ ซึ่งให้: การระบุตัวตนและการรับรองความถูกต้องของผู้ใช้ การจำกัดการเข้าถึงของผู้ใช้ที่ลงทะเบียนไปยังทรัพยากรข้อมูล การลงทะเบียนการกระทำของผู้ใช้ การป้องกันการโหลดระบบปฏิบัติการ จากสื่อที่ยืดหยุ่น การตรวจสอบความสมบูรณ์ของเครื่องมือรักษาความปลอดภัยข้อมูลและทรัพยากรสารสนเทศ แม้ว่าเครื่องมือรักษาความปลอดภัยข้อมูลของกลุ่มนี้จะมีลักษณะการทำงานเหมือนกัน แต่ก็มีความแตกต่างกันในเรื่องสภาพการทำงาน ความซับซ้อนในการตั้งค่าและจัดการพารามิเตอร์ ตัวระบุที่ใช้ รายการเหตุการณ์ที่ลงทะเบียน และค่าใช้จ่าย วิธีการรักษาความปลอดภัยข้อมูลแบ่งออกเป็น เป็นทางการ ซึ่งทำหน้าที่นี้ตามขั้นตอนที่กำหนดไว้ล่วงหน้าโดยไม่มีการแทรกแซงของมนุษย์ และ ไม่เป็นทางการ (จำกัดกิจกรรมของบุคลากรหรือควบคุมพวกเขาอย่างเข้มงวด)

วิธีการป้องกันหลัก ได้แก่ เทคนิค และ ซอฟต์แวร์ - วิธีการทางเทคนิคมักจะแบ่งออกเป็น ทางกายภาพและ ฮาร์ดแวร์.

วิธีการทางกายภาพดำเนินการผ่านอุปกรณ์อัตโนมัติและระบบรักษาความปลอดภัย (สัญญาณกันขโมย, เกราะป้องกันสำหรับอุปกรณ์, การป้องกันภายในของแต่ละสถานที่, อุปกรณ์เฝ้าระวังภายนอกและภายใน, ล็อคประตู ฯลฯ )

ฮาร์ดแวร์- อุปกรณ์เหล่านี้เป็นอุปกรณ์ที่สร้างขึ้นโดยตรงในอุปกรณ์ที่เชื่อมต่อกับอุปกรณ์ที่ใช้ในการประมวลผลข้อมูลผ่านอินเทอร์เฟซมาตรฐาน (วงจรควบคุมข้อมูลพาริตี วงจรป้องกันสนามหน่วยความจำด้วยคีย์และรีจิสเตอร์พิเศษ)

ถึง ซอฟต์แวร์ ซึ่งรวมถึงโปรแกรมพิเศษและ/หรือโมดูลที่ทำหน้าที่รักษาความปลอดภัยข้อมูล

การใช้เพียงวิธีใดวิธีหนึ่งข้างต้นในการปกป้องข้อมูลไม่สามารถแก้ปัญหาได้ - จำเป็นต้องมีแนวทางบูรณาการ มีสองวิธีหลักที่ใช้กันทั่วไป: สิ่งกีดขวางและการควบคุมการเข้าถึง

ปิดกั้น– การสร้างอุปสรรคทางกายภาพ (สำหรับการเข้าถึงอาณาเขตขององค์กรโดยตรงไปยังสื่อจัดเก็บข้อมูลทางกายภาพ)

การควบคุมการเข้าถึง– การควบคุมและการควบคุมการเข้าถึงทางเทคนิค ซอฟต์แวร์ ทรัพยากรข้อมูลของระบบที่ได้รับอนุญาต

ในทางกลับกัน การควบคุมการเข้าถึงที่ได้รับอนุญาตจะมั่นใจได้ผ่านทางบางอย่าง ฟังก์ชั่นการป้องกัน:

การระบุตัวตนผู้ใช้ – การกำหนดชื่อผู้ใช้ รหัส รหัสผ่าน อะนาล็อกเริ่มต้นให้กับผู้ใช้แต่ละคน ซึ่งจะถูกจัดเก็บไว้ในระบบรักษาความปลอดภัย

การรับรองความถูกต้อง (การตรวจสอบสิทธิ์) – กระบวนการเปรียบเทียบตัวระบุที่นำเสนอกับตัวระบุที่เก็บไว้ในระบบ

การสร้างเงื่อนไขในการทำงานภายในกฎระเบียบที่กำหนด ได้แก่ การพัฒนาและการดำเนินการตามมาตรการที่ครอบคลุมซึ่งลดการเข้าถึงโดยไม่ได้รับอนุญาตให้เหลือน้อยที่สุด

การลงทะเบียนคำขอไปยังทรัพยากรที่ได้รับการคุ้มครอง

การตอบสนองที่เพียงพอต่อการกระทำที่ไม่ได้รับอนุญาต

โปรแกรมป้องกันไวรัส- วิธีการป้องกันที่พบบ่อยที่สุด - ตั้งแต่คอมพิวเตอร์แต่ละเครื่องของผู้ใช้ตามบ้านไปจนถึงเครือข่ายองค์กรขนาดใหญ่ (Kaspersky Antivirus 7.0, Dr. Web 4.44 + antispam, AVPersonal, Panda, NOD32)

ลายเซ็นดิจิทัลอิเล็กทรอนิกส์ (EDS)- ลำดับของอักขระที่ได้รับจากการแปลงข้อมูลอิเล็กทรอนิกส์ที่เข้ารหัส ลายเซ็นดิจิทัลจะถูกเพิ่มลงในบล็อกข้อมูล และช่วยให้ผู้รับบล็อกสามารถตรวจสอบแหล่งที่มาและความสมบูรณ์ของข้อมูล และป้องกันการปลอมแปลงได้ EDS ใช้เป็นอะนาล็อกของลายเซ็นที่เขียนด้วยลายมือ

เครื่องมือการเข้ารหัสที่โปร่งใสปกป้องข้อมูลจากการเปิดเผยโดยไม่ได้ตั้งใจและป้องกันไม่ให้สายลับแทรกซึมข้อมูลของผู้ใช้รายอื่น ในเวลาเดียวกัน คีย์การเข้ารหัสจะถูกจัดเก็บไว้ในบัญชี ดังนั้นสำหรับเจ้าของข้อมูลตามกฎหมาย การถอดรหัสจึงไม่มีใครสังเกตเห็น มีโซลูชั่นดังกล่าวหลายประการในตลาด โดยเฉพาะอย่างยิ่ง Microsoft นำเสนอ โซลูชันของ Microsoft ใช้ในระบบปฏิบัติการในรูปแบบของระบบไฟล์เข้ารหัส EFS อย่างไรก็ตาม หากพนักงานที่มีสิทธิ์ในการเข้าถึงข้อมูลที่เข้ารหัสส่งอีเมลหรือถ่ายโอนข้อมูลไปยังสื่อที่ไม่ได้เข้ารหัสโดยไม่ได้ตั้งใจ การป้องกันจะถูกบุกรุก เพื่อลดความเสี่ยงของการรั่วไหลโดยไม่ได้ตั้งใจดังกล่าว บริษัทสามารถควบคุมการถ่ายโอนข้อมูลผ่านอีเมลและโปรโตคอลเว็บ (เพื่อป้องกันการส่งผ่านเว็บเมล) แต่เมื่อเทียบกับการถ่ายโอนข้อมูลที่ซ่อนเร้นซึ่งสายลับสามารถเกิดขึ้นได้ ระบบดังกล่าวมักจะไม่สามารถให้ความปลอดภัยได้ โดยเฉพาะอย่างยิ่ง ไม่มีการป้องกันใดที่สามารถเปิดไฟล์ที่เข้ารหัสได้อย่างถูกต้อง ดังนั้นจึงไม่สามารถตรวจสอบเนื้อหาได้ อย่างไรก็ตาม บริการที่น่าสนใจที่สุดสำหรับบริษัทในประเทศคือการพัฒนาระบบรักษาความปลอดภัยที่ครอบคลุม ซึ่งรวมถึงการสร้างกลไกเพื่อป้องกันภัยคุกคามภายในด้วย

การควบคุมเนื้อหาความสนใจที่เพิ่มขึ้นล่าสุดในระบบควบคุมเนื้อหาได้รับแรงหนุนจากความกังวลเกี่ยวกับสแปม อย่างไรก็ตาม วัตถุประสงค์หลักของเครื่องมือควบคุมเนื้อหาคือเพื่อป้องกันการรั่วไหลของข้อมูลที่เป็นความลับและระงับการใช้อินเทอร์เน็ตในทางที่ผิด สิ่งสำคัญประการหนึ่งของผู้ผลิตเครื่องมือดังกล่าวคือต้องแน่ใจว่าผู้ใช้ไม่รู้สึกถึงการทำงานของระบบควบคุมเนื้อหา

ไฟร์วอลล์เป็นและเป็นเครื่องมือพื้นฐานที่รับรองการป้องกันการเชื่อมต่อกับเครือข่ายภายนอก การควบคุมการเข้าถึงระหว่างส่วนของเครือข่ายองค์กร และการป้องกันกระแสข้อมูลที่ส่งผ่านเครือข่ายแบบเปิด สิ่งแรก (และสำคัญที่สุด) ที่ต้องทำเพื่อความปลอดภัยของเครือข่ายคือการติดตั้งและกำหนดค่าไฟร์วอลล์อย่างถูกต้อง (หรือที่เรียกว่าไฟร์วอลล์) ไฟร์วอลล์ - ในวิทยาการคอมพิวเตอร์ - อุปสรรคของซอฟต์แวร์และ/หรือฮาร์ดแวร์ระหว่างสองเครือข่าย อนุญาตให้สร้างการเชื่อมต่ออินเทอร์เน็ตที่ได้รับอนุญาตเท่านั้น ไฟร์วอลล์ช่วยปกป้องเครือข่ายองค์กรที่เชื่อมต่อกับอินเทอร์เน็ตจากการถูกบุกรุกจากภายนอก และป้องกันการเข้าถึงข้อมูลที่เป็นความลับ การกำหนดค่าและการบำรุงรักษาไฟร์วอลล์อย่างถูกต้องถือเป็นความรับผิดชอบของผู้ดูแลระบบที่มีประสบการณ์

เพื่อปกป้องเครือข่ายขนาดเล็กซึ่งไม่จำเป็นต้องทำการตั้งค่ามากมายที่เกี่ยวข้องกับการกระจายแบนด์วิดธ์และข้อจำกัดการรับส่งข้อมูลที่ยืดหยุ่นตามโปรโตคอลสำหรับผู้ใช้ ควรใช้เกตเวย์อินเทอร์เน็ตหรือเราเตอร์อินเทอร์เน็ต

ไฟร์วอลล์ยังทำการสแกนป้องกันไวรัสสำหรับเนื้อหาเว็บหรืออีเมลที่ดาวน์โหลด ฐานข้อมูลแอนติไวรัสได้รับการอัปเดตผ่านทางอินเทอร์เน็ตเพื่อให้เครือข่ายของคุณได้รับการปกป้องเมื่อมีไวรัสใหม่ๆ เกิดขึ้น สถิติทั้งหมดเกี่ยวกับการไหลของข้อมูล การแจ้งเตือนเกี่ยวกับการโจมตีจากอินเทอร์เน็ต และข้อมูลเกี่ยวกับกิจกรรมของผู้ใช้บนการนำทางเว็บ จะถูกบันทึกแบบเรียลไทม์และสามารถจัดทำในรูปแบบของรายงานได้



บทความที่เกี่ยวข้อง