คุณสมบัติข้อมูล การรักษาความลับ ความพร้อมใช้งาน ความสมบูรณ์ การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล อธิบายว่าเหตุใดความสมบูรณ์ ความพร้อมใช้งาน และการรักษาความลับจึงเป็นองค์ประกอบหลักของ "ความปลอดภัยของข้อมูล"

ส่วนประกอบหลัก ความปลอดภัยของข้อมูล

ความปลอดภัยของข้อมูลมีหลายแง่มุม อาจกล่าวได้ว่าเป็นกิจกรรมหลายมิติซึ่งมีเพียงแนวทางที่เป็นระบบและบูรณาการเท่านั้นที่สามารถนำความสำเร็จมาให้ได้

ช่วงความสนใจของวิชาที่เกี่ยวข้องกับการใช้งาน ระบบสารสนเทศสามารถแบ่งออกเป็นประเภทต่างๆ ดังต่อไปนี้: การรับรองความพร้อมใช้งาน ความสมบูรณ์ และการรักษาความลับ แหล่งข้อมูลและโครงสร้างพื้นฐานที่รองรับ

บางครั้งองค์ประกอบหลักของความปลอดภัยของข้อมูล ได้แก่ การป้องกันการคัดลอกข้อมูลโดยไม่ได้รับอนุญาต แต่ในความเห็นของเรา นี่เป็นมากเกินไป ลักษณะเฉพาะด้วยโอกาสสำเร็จที่น่าสงสัย ดังนั้นเราจะไม่แยกมันออกไป

ความพร้อมใช้งาน– นี่เป็นโอกาสที่จะได้รับบริการข้อมูลที่จำเป็นในเวลาอันสมควร ความสมบูรณ์หมายถึงความเกี่ยวข้องและความสม่ำเสมอของข้อมูล การป้องกันข้อมูลจากการถูกทำลายและการเปลี่ยนแปลงโดยไม่ได้รับอนุญาต

สุดท้าย การรักษาความลับคือการปกป้องจากการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต

ระบบสารสนเทศถูกสร้างขึ้น (ได้มา) เพื่อรับบริการข้อมูลบางอย่าง หากไม่สามารถให้บริการเหล่านี้แก่ผู้ใช้ได้ไม่ว่าด้วยเหตุผลใดก็ตาม สิ่งนี้จะก่อให้เกิดอันตรายต่อทุกหน่วยงานอย่างเห็นได้ชัด ความสัมพันธ์ข้อมูล- ดังนั้นหากไม่เปรียบเทียบการเข้าถึงกับด้านอื่น ๆ เราจึงเน้นเป็น องค์ประกอบสำคัญความปลอดภัยของข้อมูล

บทบาทนำของการเข้าถึงเห็นได้ชัดเจนโดยเฉพาะอย่างยิ่งในระบบการจัดการประเภทต่างๆ เช่น การผลิต การขนส่ง ฯลฯ ภายนอกน่าทึ่งน้อยกว่า แต่ยังส่งผลที่ไม่พึงประสงค์อย่างมาก - ทั้งทางวัตถุและทางศีลธรรม - อาจเกิดจากการไม่สามารถใช้งานได้ในระยะยาวของบริการข้อมูลที่เราใช้ จำนวนมากประชาชน (การขายรถไฟและตั๋วเครื่องบิน บริการธนาคารฯลฯ)

ความซื่อสัตย์สามารถแบ่งออกเป็นแบบคงที่ (เข้าใจว่าไม่เปลี่ยนรูป) วัตถุข้อมูล) และไดนามิก (เกี่ยวข้องกับการดำเนินการที่ถูกต้องของการกระทำที่ซับซ้อน (ธุรกรรม)) โดยเฉพาะอย่างยิ่งมีการใช้การควบคุมความสมบูรณ์แบบไดนามิกเมื่อวิเคราะห์การไหลของข้อความทางการเงินเพื่อตรวจจับการโจรกรรม การจัดลำดับใหม่ หรือการทำสำเนา แต่ละข้อความ.

ความซื่อสัตย์กลายเป็น ด้านที่สำคัญที่สุดความปลอดภัยของข้อมูลในกรณีที่ข้อมูลทำหน้าที่เป็น "แนวทางในการดำเนินการ" สูตรยา ขั้นตอนทางการแพทย์ที่กำหนด ชุดและลักษณะของส่วนประกอบ หลักสูตร กระบวนการทางเทคโนโลยี- ทั้งหมดนี้คือตัวอย่างของข้อมูลการละเมิดความสมบูรณ์ซึ่งอาจถึงแก่ชีวิตได้อย่างแท้จริง ไม่พึงประสงค์และการบิดเบือน ข้อมูลอย่างเป็นทางการไม่ว่าจะเป็นข้อความของกฎหมายหรือหน้าเว็บเซิร์ฟเวอร์ขององค์กรภาครัฐ การรักษาความลับเป็นแง่มุมที่ได้รับการพัฒนามากที่สุดของการรักษาความปลอดภัยข้อมูลในประเทศของเรา น่าเสียดาย, การปฏิบัติจริงมาตรการรับรองการรักษาความลับของระบบข้อมูลสมัยใหม่ประสบปัญหาร้ายแรงในรัสเซีย ประการแรกข้อมูลเกี่ยวกับ ช่องทางทางเทคนิคการรั่วไหลของข้อมูลถูกปิด ดังนั้นผู้ใช้ส่วนใหญ่จึงไม่สามารถทราบถึงความเสี่ยงที่อาจเกิดขึ้นได้ ประการที่สอง มีอุปสรรคทางกฎหมายมากมายและ ปัญหาทางเทคนิค.

ถ้าเรากลับมาวิเคราะห์ความสนใจ หมวดหมู่ต่างๆเรื่องของความสัมพันธ์ทางข้อมูล ดังนั้นเกือบทุกคนที่ใช้ระบบสารสนเทศจริงๆ การเข้าถึงต้องมาเป็นอันดับแรก เกือบจะสำคัญพอๆ กับความซื่อสัตย์ก็คือความซื่อสัตย์ - ประเด็นคืออะไร บริการข้อมูลถ้ามีข้อมูลที่บิดเบือน?

สุดท้ายนี้ หลายองค์กรก็มีปัญหาที่เป็นความลับ (แม้แต่สถาบันการศึกษาที่กล่าวมาข้างต้นก็พยายามที่จะไม่เปิดเผยข้อมูลเกี่ยวกับเงินเดือนของพนักงาน) และ ผู้ใช้แต่ละราย(เช่น รหัสผ่าน)

ผู้เชี่ยวชาญด้านความปลอดภัยทุกคนรู้จักสามกลุ่มคลาสสิกของ “การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน” (KDC) หรือ “การรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน” (CIA) นำไปใช้กับสถานที่และไม่ดีมาก แต่มีเพียงไม่กี่คนที่รู้ว่ามันมาจากไหน? พวกเขาไม่ได้สอนสิ่งนี้ในมหาวิทยาลัย แต่ควรทำ แล้วจะเห็นได้ชัดว่าแนวคิดนี้ล้าสมัยไปแล้วเล็กน้อยและไม่ใช่ความเชื่อ

ฉันขอเตือนคุณว่าหลักการนี้ถูกกำหนดไว้ครั้งแรกในบทความเรื่อง "การคุ้มครองข้อมูลใน" ระบบคอมพิวเตอร์" เขียนโดย Salzer และ Schroeder ในปี 1974 และตีพิมพ์ใน Communications of the ACM ในบทความนี้ ความปลอดภัยถูกกำหนดเป็น " เทคนิคที่ควบคุมว่าใครสามารถใช้หรือดัดแปลงคอมพิวเตอร์หรือข้อมูลที่มีอยู่ได้" ในเวลาเดียวกันผู้เขียนอ้างถึงผู้เขียนคนอื่น ๆ ที่เชื่อว่าการละเมิดความปลอดภัยทั้งหมดสามารถแบ่งออกเป็น 3 กลุ่มเท่านั้น - การใช้งานโดยไม่ได้รับอนุญาต (การเปิดเผยข้อมูลที่ไม่ได้รับอนุญาต) การดัดแปลงโดยไม่ได้รับอนุญาต และการบล็อกการใช้งานโดยไม่ได้รับอนุญาต (การปฏิเสธการใช้งานโดยไม่ได้รับอนุญาต) เนื่องจาก จากนั้น การเดินขบวนแห่งชัยชนะของกลุ่มสามกลุ่มนี้ทั่วโลกก็เริ่มต้นขึ้น ในประเทศของเรา เกิดความล่าช้าและติดอยู่ในเอกสารกำกับดูแลหลายฉบับ

อย่างไรก็ตามเพื่อให้เข้าใจถึงข้อจำกัดของแนวคิดนี้ค่ะ โลกสมัยใหม่เราต้องจดจำสภาพแวดล้อมที่กลุ่มสามกลุ่มนี้ปรากฏตัว เมนเฟรม, ภาษาโคบอล, ระบบปฏิบัติการ MVS, Multics, UNIX ฯลฯ มีอะไรเปลี่ยนแปลงไปตั้งแต่นั้นมา? ทั้งหมด. อินเทอร์เน็ตปรากฏขึ้น เวิร์มเช่น Stuxnet, Java และ C++ การประมวลผลแบบคลาวด์และหลายๆ อย่าง... ทั้งหมดนี้เป็นเรื่องยากมากที่จะเข้ากับกลุ่มสามแบบดั้งเดิม ส่วนขยายของทั้งสามเริ่มปรากฏให้เห็น ตัวอย่างเช่น FSB ในคู่มือข้อมูลส่วนบุคคลระบุว่ากลุ่มที่สามเป็นคุณลักษณะด้านความปลอดภัยหลัก กล่าวเพิ่มเติมว่า: " นอกเหนือจากคุณลักษณะด้านความปลอดภัยหลักที่ระบุไว้ข้างต้นแล้ว ยังอาจพิจารณาคุณลักษณะด้านความปลอดภัยอื่นๆ ด้วย โดยเฉพาะอย่างยิ่ง คุณลักษณะดังกล่าว ได้แก่ การไม่ปฏิเสธ ความรับผิดชอบ (บางครั้งคำว่า “ความสามารถในการควบคุม” ถูกใช้เป็นคำพ้องความหมาย) ความถูกต้อง (บางครั้งคำว่า “ความน่าเชื่อถือ” ถูกใช้เป็นคำพ้องความหมาย) และความเพียงพอ"และในปี 1991 John McCumber ได้เสนอแบบจำลองของเขาโดยอิงจาก Triad ซึ่งเขาเรียกว่าโมเดลความปลอดภัยของข้อมูล McCumber (ฉันพูดถึงมันเมื่อ 3 ปีที่แล้ว)

ในปี 1992 OECD ได้เสนอหลักการรักษาความปลอดภัย 9 ประการ ได้แก่ การตระหนักรู้ ความรับผิดชอบ การตอบสนอง จริยธรรม ประชาธิปไตย การประเมินความเสี่ยง การออกแบบและการดำเนินการด้านความปลอดภัย การจัดการความปลอดภัย และการประเมินใหม่ OSER คำนึงถึงความปลอดภัยจากตำแหน่งทางปรัชญาและวัฒนธรรมมาโดยตลอด ;-)

ในปี 2002 Don Parker เสนอ "Parker Hexagon" ของเขา ซึ่งเพิ่มคุณลักษณะอีก 3 ประการให้กับกลุ่มสามกลุ่ม ได้แก่ การครอบครองหรือการควบคุม (การครอบครองหรือการควบคุม) ความถูกต้อง (ความน่าเชื่อถือ) และอรรถประโยชน์ (อรรถประโยชน์)

ในส่วนของความเป็นเจ้าของ/การควบคุม Parker ให้ตัวอย่างต่อไปนี้ ลองนึกภาพว่ามีโจรขโมยซองจดหมายที่ปิดสนิทไปจากคุณ บัตรธนาคารและรหัส PIN สำหรับพวกเขา แม้ว่าขโมยจะไม่ได้เปิดซองจดหมายและละเมิดการรักษาความลับ แต่ก็ควรเป็นข้อกังวลสำหรับเจ้าของซองจดหมายที่สูญเสียการควบคุมซองจดหมาย สถานการณ์จะคล้ายคลึงกับการทดสอบการเจาะ เช่น ในระบบควบคุมกระบวนการอัตโนมัติ ในระหว่างการทดสอบดังกล่าว ไม่มีองค์ประกอบใดของ Triad แบบคลาสสิกได้รับผลกระทบ แต่การเจาะที่ประสบความสำเร็จบ่งชี้ว่าสูญเสียการควบคุม

ในเรื่องความมีประโยชน์ Parker ยังกล่าวถึงสถานการณ์ในชีวิตด้วย สมมติว่าคุณเข้ารหัสของคุณ ฮาร์ดไดรฟ์และลืมรหัสผ่าน (รหัส) ข้อมูลบนดิสก์จะรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน ความถูกต้อง และการควบคุม แต่... คุณไม่สามารถใช้งานได้ นี่เป็นการละเมิดยูทิลิตี้

NIST ในปี 2547 ก้าวไปไกลกว่านั้นและเสนอแบบจำลององค์ประกอบ 33 (!) ของตัวเองหรือตามที่เขียนไว้ใน SP800-27 "หลักการทางวิศวกรรม" สำหรับข้อมูลความปลอดภัยของเทคโนโลยี (พื้นฐานสำหรับการบรรลุความปลอดภัย)" หลักการ แต่นี่ไม่ใช่จุดสิ้นสุดเช่นกัน หลายองค์กรพยายามที่จะคิดอะไรบางอย่างขึ้นมาเองโดยแทนที่แนวคิดของ "ความปลอดภัยของข้อมูล" ด้วยแนวคิดอื่น ๆ - "การบริหารความเสี่ยง" " การกำกับดูแลความปลอดภัย" ฯลฯ และแต่ละคนก็มีลักษณะหรือหลักการของตัวเอง ซึ่งการดำเนินการดังกล่าวทำให้มีความหวังในการสร้างระบบหรือกระบวนการที่ปลอดภัยอย่างแท้จริง

อีกวิธีหนึ่งในการรับรหัสผ่านคือการแนะนำ “ม้าโทรจัน” เข้าสู่คอมพิวเตอร์ของผู้อื่น นั่นคือสิ่งที่พวกเขาเรียกมันว่า โปรแกรมการอยู่อาศัยทำงานโดยที่เจ้าของไม่รู้ตัว ของคอมพิวเตอร์เครื่องนี้และดำเนินการตามที่ผู้โจมตีระบุ โดยเฉพาะอย่างยิ่งโปรแกรมประเภทนี้สามารถอ่านรหัสผ่านที่ผู้ใช้ป้อนระหว่างการเข้าสู่ระบบแบบลอจิคัล

โปรแกรมม้าโทรจันมักปลอมตัวเป็นยูทิลิตี้หรือเกมที่มีประโยชน์ แต่จะดำเนินการที่ทำลายระบบ พวกเขาดำเนินการบนหลักการนี้ โปรแกรมไวรัส,คุณสมบัติที่โดดเด่นคือความสามารถในการ "แพร่เชื้อ" ไฟล์อื่น ๆ โดยการแนะนำสำเนาของตัวเองลงในไฟล์เหล่านั้น ส่วนใหญ่แล้วไวรัสจะติดไฟล์ปฏิบัติการ เมื่อโค้ดปฏิบัติการดังกล่าวถูกโหลดลงใน RAM เพื่อดำเนินการ ไวรัสจะสามารถดำเนินการที่เป็นอันตรายพร้อมกับโค้ดนั้นได้ ไวรัสสามารถสร้างความเสียหายหรือสูญเสียข้อมูลโดยสิ้นเชิงได้

การกระทำที่ผิดกฎหมายของผู้ใช้ที่ถูกกฎหมาย -ภัยคุกคามประเภทนี้มาจากผู้ใช้เครือข่ายที่ถูกกฎหมายซึ่งพยายามดำเนินการนอกเหนือขอบเขตหน้าที่ราชการของตนโดยใช้อำนาจของตน ตัวอย่างเช่น ผู้ดูแลระบบเครือข่ายมีสิทธิ์การเข้าถึงเกือบไม่จำกัด ร่วมทุกคน ทรัพยากรเครือข่าย- อย่างไรก็ตาม องค์กรอาจมีข้อมูลที่ผู้ดูแลระบบเครือข่ายถูกห้ามไม่ให้เข้าถึง หากต้องการใช้ข้อจำกัดเหล่านี้ ให้ใช้มาตรการพิเศษ เช่น การเข้ารหัสข้อมูล แต่ในกรณีนี้ ผู้ดูแลระบบก็สามารถพยายามเข้าถึงคีย์ได้ การกระทำที่ผิดกฎหมายอาจกระทำได้โดย ผู้ใช้ปกติเครือข่าย สถิติที่มีอยู่แสดงให้เห็นว่าเกือบครึ่งหนึ่งของความพยายามในการละเมิดความปลอดภัยของระบบมาจากพนักงานระดับองค์กรซึ่งเป็นผู้ใช้เครือข่ายอย่างถูกกฎหมาย

"โดยการดักฟังการรับส่งข้อมูลอินทราเน็ต -นี่คือการตรวจสอบเครือข่ายที่ผิดกฎหมาย การจับ และการวิเคราะห์ข้อความเครือข่าย มีตัววิเคราะห์ทราฟฟิกซอฟต์แวร์และฮาร์ดแวร์มากมายที่ทำให้งานนี้ค่อนข้างไม่สำคัญ การป้องกันภัยคุกคามประเภทนี้จะยากยิ่งขึ้นในเครือข่ายที่เชื่อมต่อทั่วโลก การเชื่อมต่อทั่วโลกซึ่งทอดยาวไปหลายหมื่นกิโลเมตรโดยธรรมชาติแล้วจะมีความปลอดภัยน้อยกว่าการสื่อสารในท้องถิ่น ( ความเป็นไปได้มากขึ้นเพื่อฟังการรับส่งข้อมูลซึ่งเป็นตำแหน่งที่สะดวกกว่าสำหรับผู้โจมตีเมื่อดำเนินการตามขั้นตอนการรับรองความถูกต้อง) อันตรายนี้มีอยู่ในช่องทางการสื่อสารในอาณาเขตทุกประเภทเท่าเทียมกัน และไม่ขึ้นอยู่กับว่ามีการใช้ช่องทางเช่าหรือบริการสาธารณะของคุณเองหรือไม่ เครือข่ายอาณาเขตคล้ายกับอินเทอร์เน็ต

อย่างไรก็ตามการใช้งาน เครือข่ายสาธารณะ(เรากำลังพูดถึงอินเทอร์เน็ตเป็นหลัก) ทำให้สถานการณ์รุนแรงขึ้นอีก แท้จริงแล้ว การใช้อินเทอร์เน็ตเพิ่มอันตรายจากการสกัดกั้นข้อมูลที่ส่งผ่านสายการสื่อสาร อันตรายจากการเข้าสู่โหนดเครือข่ายโดยไม่ได้รับอนุญาต เนื่องจากการมีอยู่ของแฮกเกอร์จำนวนมากบนอินเทอร์เน็ตเพิ่มโอกาสที่จะพยายามเจาะข้อมูลอย่างผิดกฎหมาย คอมพิวเตอร์. สิ่งนี้ก่อให้เกิดภัยคุกคามอย่างต่อเนื่องต่อเครือข่ายที่เชื่อมต่อกับอินเทอร์เน็ต

อินเทอร์เน็ตเองก็ตกเป็นเป้าหมายของผู้โจมตีทุกประเภท เนื่องจากอินเทอร์เน็ตถูกสร้างขึ้นเป็นระบบเปิดที่ออกแบบมาเพื่อการแลกเปลี่ยนข้อมูลอย่างเสรี จึงไม่น่าแปลกใจเลยที่โปรโตคอลเกือบทั้งหมดในกลุ่ม TCP/IP จะมีข้อบกพร่องด้านความปลอดภัย "โดยธรรมชาติ" การใช้ข้อบกพร่องเหล่านี้-| อย่างไรก็ตาม ผู้โจมตีพยายามที่จะเข้าถึงข้อมูลที่จัดเก็บไว้บนเว็บไซต์อินเทอร์เน็ตโดยไม่ได้รับอนุญาตมากขึ้นเรื่อยๆ

แนวทางการรักษาความปลอดภัยอย่างเป็นระบบ

การสร้างและบำรุงรักษาระบบที่ปลอดภัยจำเป็นต้องมี แนวทางที่เป็นระบบ- ตามแนวทางนี้ ประการแรก จำเป็นต้องเข้าใจขอบเขตของภัยคุกคามที่เป็นไปได้ทั้งหมดต่อเครือข่ายเฉพาะ และคิดผ่านกลยุทธ์สำหรับภัยคุกคามแต่ละรายการ ภาพสะท้อนของเธอ ในการต่อสู้ครั้งนี้ เราสามารถและควรใช้วิธีการและเทคนิคที่หลากหลายที่สุด ได้แก่ คุณธรรม จริยธรรมและกฎหมาย การบริหารและจิตวิทยา และความสามารถในการป้องกันของซอฟต์แวร์และฮาร์ดแวร์เครือข่าย

ถึง คุณธรรมและจริยธรรมการป้องกันหมายถึงบรรทัดฐานทุกประเภทที่พัฒนาขึ้นเนื่องจากเครื่องมือคอมพิวเตอร์ได้แพร่กระจายในประเทศใดประเทศหนึ่ง ตัวอย่างเช่น เช่นเดียวกับในการต่อสู้กับการคัดลอกโปรแกรมละเมิดลิขสิทธิ์ มาตรการทางการศึกษาที่ใช้เป็นหลักในปัจจุบัน มีความจำเป็นต้องปลูกฝังจิตสำนึกของผู้คนถึงการผิดศีลธรรมของความพยายามทั้งหมดที่จะละเมิดการรักษาความลับ ความสมบูรณ์ และความพร้อมของแหล่งข้อมูลข้อมูลของผู้อื่น

ฝ่ายนิติบัญญัติการเยียวยา ได้แก่ กฎหมาย ข้อบังคับของรัฐบาล และกฤษฎีกาของประธานาธิบดี ข้อบังคับและมาตรฐานที่ควบคุมกฎสำหรับการใช้และการประมวลผลข้อมูลที่จำกัดการเข้าถึง และยังแนะนำบทลงโทษสำหรับการละเมิดกฎเหล่านี้ กฎระเบียบทางกฎหมายของกิจกรรมในด้านการปกป้องข้อมูลมีวัตถุประสงค์เพื่อปกป้องข้อมูลที่เป็นความลับของรัฐ สร้างความมั่นใจในสิทธิของผู้บริโภคในการได้รับผลิตภัณฑ์ที่มีคุณภาพ ปกป้องสิทธิตามรัฐธรรมนูญของพลเมืองในการรักษาความลับส่วนบุคคล และต่อสู้กับกลุ่มอาชญากรรม

มาตรการบริหาร -สิ่งเหล่านี้คือการดำเนินการโดยฝ่ายบริหารขององค์กรหรือองค์กรเพื่อรับรองความปลอดภัยของข้อมูล มาตรการดังกล่าวรวมถึงกฎเกณฑ์การทำงานเฉพาะสำหรับพนักงานในองค์กร เช่น เวลาทำงานของพนักงาน ลักษณะงาน ซึ่งกำหนดขั้นตอนการทำงานกับพนักงานอย่างเคร่งครัด ข้อมูลที่เป็นความลับบนคอมพิวเตอร์ มาตรการบริหารยังรวมถึงกฎเกณฑ์ในการได้มาซึ่งอุปกรณ์รักษาความปลอดภัยโดยองค์กร เจ้าหน้าที่ธุรการที่รับผิดชอบในการปกป้องข้อมูลจะต้องพิจารณาว่าการใช้ผลิตภัณฑ์ที่ซื้อจากซัพพลายเออร์ต่างประเทศมีความปลอดภัยเพียงใด โดยเฉพาะอย่างยิ่งสำหรับผลิตภัณฑ์ที่เกี่ยวข้องกับการเข้ารหัส ในกรณีเช่นนี้ ขอแนะนำให้ตรวจสอบว่าผลิตภัณฑ์มีใบรับรองที่ออกโดยองค์กรทดสอบของรัสเซียหรือไม่

มาตรการทางจิตวิทยาระบบรักษาความปลอดภัยมีบทบาทสำคัญในการเสริมสร้างความมั่นคงปลอดภัยของระบบ การละเลยที่จะคำนึงถึงแง่มุมทางจิตวิทยาในกระบวนการที่ไม่เป็นทางการที่เกี่ยวข้องกับความปลอดภัยสามารถนำไปสู่การละเมิดการคุ้มครองได้ ตัวอย่างเช่น ลองพิจารณาเครือข่ายองค์กรที่มีคนจำนวนมากทำงานอยู่ ผู้ใช้ระยะไกล- ผู้ใช้ควรเปลี่ยนรหัสผ่านเป็นครั้งคราว (แนวทางปฏิบัติทั่วไปเพื่อป้องกันการเดารหัสผ่าน) ในระบบนี้ ผู้ดูแลระบบจะเลือกรหัสผ่าน ในสถานการณ์เช่นนี้ ผู้โจมตีสามารถโทรหาผู้ดูแลระบบทางโทรศัพท์และพยายามรับรหัสผ่านในนามของผู้ใช้ที่ถูกต้องตามกฎหมาย ด้วยผู้ใช้ระยะไกลจำนวนมาก จึงเป็นไปได้ที่เทคนิคทางจิตวิทยาง่ายๆ ดังกล่าวจะได้ผล

ถึง ทางกายภาพวิธีการป้องกัน ได้แก่ การป้องกันสถานที่เพื่อป้องกันรังสี การตรวจสอบอุปกรณ์ที่ให้มาว่าสอดคล้องกับข้อกำหนดและไม่มี "ข้อบกพร่อง" ของฮาร์ดแวร์ อุปกรณ์เฝ้าระวังภายนอก อุปกรณ์ที่ปิดกั้นการเข้าถึงทางกายภาพไปยังหน่วยคอมพิวเตอร์แต่ละเครื่อง ล็อคต่างๆ และอุปกรณ์อื่น ๆ ที่ปกป้องสถานที่ , ที่ตั้งของสื่อจัดเก็บข้อมูล, จากการเข้าผิดกฎหมาย ฯลฯ เป็นต้น

เทคนิควิธีการรักษาความปลอดภัยข้อมูลดำเนินการโดยซอฟต์แวร์และฮาร์ดแวร์ของเครือข่ายคอมพิวเตอร์ เครื่องมือดังกล่าวหรือที่เรียกว่าบริการรักษาความปลอดภัยเครือข่าย จะช่วยแก้ปัญหางานการป้องกันระบบที่หลากหลาย เช่น การควบคุมการเข้าถึง รวมถึงขั้นตอนการรับรองความถูกต้องและการอนุญาต การตรวจสอบ การเข้ารหัสข้อมูล การป้องกันไวรัส การควบคุม กราฟิกเครือข่ายและงานอื่น ๆ อีกมากมาย วิธีการทางเทคนิคความปลอดภัยสามารถสร้างไว้ในซอฟต์แวร์ได้ ( ระบบปฏิบัติการและแอปพลิเคชัน) และการสนับสนุนเครือข่ายฮาร์ดแวร์ (คอมพิวเตอร์และอุปกรณ์สื่อสาร) หรือดำเนินการในรูปแบบของผลิตภัณฑ์แยกต่างหากที่สร้างขึ้นเพื่อแก้ไขปัญหาด้านความปลอดภัยโดยเฉพาะ

นโยบายความปลอดภัย

ความสำคัญและความซับซ้อนของปัญหาด้านความปลอดภัยจำเป็นต้องมีการพัฒนา นโยบายความปลอดภัยของข้อมูลซึ่งหมายถึงคำตอบสำหรับคำถามต่อไปนี้:

  • ข้อมูลใดบ้างที่ควรได้รับการคุ้มครอง?
  • บริษัทจะได้รับความเสียหายอะไรบ้างหากข้อมูลบางอย่างสูญหายหรือถูกเปิดเผย?
  • ใครหรืออะไรคือแหล่งที่มาของภัยคุกคามที่เป็นไปได้ อะไรการโจมตีความปลอดภัยของระบบประเภทใดที่สามารถทำได้?
  • ควรใช้วิธีใดในการปกป้องข้อมูลแต่ละประเภท?

เมื่อสร้างนโยบายความปลอดภัย ผู้เชี่ยวชาญที่รับผิดชอบด้านความปลอดภัยของระบบจะต้องคำนึงถึงหลายประการ หลักการพื้นฐาน- หนึ่งในหลักการเหล่านี้คือการจัดให้มีพนักงานแต่ละคนในองค์กรด้วย สิทธิ์ขั้นต่ำการเข้าถึงข้อมูลที่จำเป็นสำหรับการปฏิบัติหน้าที่ราชการ เมื่อพิจารณาว่าการละเมิดความปลอดภัยขององค์กรส่วนใหญ่มาจากพนักงานของตนเอง จึงเป็นเรื่องสำคัญที่จะต้องนำเสนอข้อจำกัดที่ชัดเจนสำหรับผู้ใช้เครือข่ายทั้งหมด โดยไม่ต้องให้ความสามารถที่ไม่จำเป็นแก่พวกเขา

หลักการต่อไปคือการใช้ แนวทางบูรณาการเพื่อความปลอดภัย เพื่อให้ผู้โจมตีเข้าถึงข้อมูลได้ยาก จำเป็นต้องมีมาตรการรักษาความปลอดภัยที่หลากหลาย โดยเริ่มจากข้อห้ามขององค์กรและผู้ดูแลระบบ และลงท้ายด้วยอุปกรณ์เครือข่ายในตัว การห้ามทำงานของผู้ดูแลระบบในวันอาทิตย์ทำให้ผู้ที่อาจฝ่าฝืนอยู่ภายใต้การควบคุมของผู้ดูแลระบบและผู้ใช้รายอื่น วิธีการทางกายภาพการป้องกัน (สถานที่ปิด กุญแจล็อค) จำกัดการติดต่อโดยตรงของผู้ใช้เฉพาะกับคอมพิวเตอร์ที่ได้รับมอบหมาย เครื่องมือระบบปฏิบัติการเครือข่ายในตัว (ระบบการตรวจสอบสิทธิ์และการอนุญาต) ป้องกันไม่ให้ผู้ใช้ที่ผิดกฎหมายเข้าสู่เครือข่าย และสำหรับผู้ใช้ที่ถูกกฎหมาย พวกเขาจำกัดความเป็นไปได้ เฉพาะการดำเนินการที่ได้รับอนุญาตสำหรับเขาเท่านั้น (ระบบย่อยการตรวจสอบบันทึกการกระทำของเขา) ระบบการป้องกันที่มีการรักษาความปลอดภัยซ้ำซ้อนหลายครั้งช่วยเพิ่มโอกาสความปลอดภัยของข้อมูล

โดยใช้ ระบบหลายระดับการป้องกันเป็นสิ่งสำคัญที่จะต้องมั่นใจ สมดุลความน่าเชื่อถือของการป้องกันในทุกระดับหากข้อความทั้งหมดบนเครือข่ายได้รับการเข้ารหัส แต่เนื่องจากคีย์สามารถเข้าถึงได้ง่าย ผลของการเข้ารหัสจึงเป็นศูนย์ หรือถ้าคอมพิวเตอร์มี ระบบไฟล์รองรับการเข้าถึงแบบเลือกสรรในระดับ แยกไฟล์แต่เป็นไปได้ที่จะได้รับฮาร์ดไดรฟ์และติดตั้งลงในเครื่องอื่น ดังนั้นข้อดีทั้งหมดของการป้องกันระบบไฟล์จึงลดลงจนเหลือเลย หากการรับส่งข้อมูลภายนอกของเครือข่ายที่เชื่อมต่อกับอินเทอร์เน็ตผ่านไฟร์วอลล์ที่มีประสิทธิภาพ แต่ผู้ใช้สามารถสื่อสารกับโฮสต์อินเทอร์เน็ตผ่านสายโทรศัพท์โดยใช้โมเด็มที่ติดตั้งในเครื่อง เงิน (โดยปกติจะค่อนข้างมาก) ที่ใช้ไปกับไฟร์วอลล์สามารถทำได้ ถือว่าถูกโยนไปตามลม

หลักการสากลถัดไปคือการใช้วิธีการที่เมื่อล้มเหลวจะเข้าสู่สถานะ การป้องกันสูงสุดสิ่งนี้ใช้ได้กับส่วนใหญ่ วิธีการต่างๆความปลอดภัย. ตัวอย่างเช่น หากจุดตรวจอัตโนมัติไปยังสถานที่ใดๆ พัง จะต้องแก้ไขให้อยู่ในตำแหน่งที่ไม่มีใครสามารถเข้าไปในพื้นที่คุ้มครองได้ และหากมีอุปกรณ์บนเครือข่ายที่วิเคราะห์การรับส่งข้อมูลขาเข้าทั้งหมดและละทิ้งเฟรมด้วยที่อยู่ผู้ส่งที่กำหนดไว้ล่วงหน้า หากล้มเหลวก็ควรบล็อกการเข้าสู่เครือข่ายโดยสมบูรณ์ อุปกรณ์ที่จะอนุญาตให้มีการรับส่งข้อมูลภายนอกทั้งหมดเข้าสู่เครือข่ายในกรณีที่เกิดความล้มเหลวควรถือว่าไม่สามารถยอมรับได้

หลักการของด่านเดียว -การรับส่งข้อมูลทั้งหมดที่เข้าสู่เครือข่ายภายในและออกไปยังเครือข่ายภายนอกจะต้องผ่านโหนดเครือข่ายเดียว เช่น ผ่านไฟร์วอลล์ เพียงเท่านี้คุณก็จะสามารถควบคุมการรับส่งข้อมูลได้อย่างเพียงพอ มิฉะนั้นเมื่อมีสถานีผู้ใช้จำนวนมากในเครือข่ายที่สามารถเข้าถึงเครือข่ายภายนอกได้อย่างอิสระ การประสานงานกฎที่จำกัดสิทธิ์ของผู้ใช้เป็นเรื่องยากมาก เครือข่ายภายในโดยการเข้าถึงเซิร์ฟเวอร์ เครือข่ายภายนอกและในทางกลับกัน - สิทธิ์ของไคลเอ็นต์ภายนอกในการเข้าถึงทรัพยากรเครือข่ายภายใน

หลักการของการสร้างสมดุลระหว่างความเสียหายที่อาจเกิดขึ้นจากการดำเนินการตามภัยคุกคามและค่าใช้จ่ายในการป้องกันไม่มีระบบรักษาความปลอดภัยใดรับประกันการปกป้องข้อมูลได้ 100% เนื่องจากเป็นผลมาจากการประนีประนอมระหว่างความเสี่ยงและต้นทุนที่เป็นไปได้ เมื่อกำหนดนโยบายความปลอดภัย ผู้ดูแลระบบจะต้องชั่งน้ำหนักจำนวนความเสียหายที่องค์กรอาจได้รับอันเป็นผลมาจากการละเมิดความปลอดภัยของข้อมูล และเชื่อมโยงกับจำนวนต้นทุนที่จำเป็นในการรับรองความปลอดภัยของข้อมูลนี้ ดังนั้นในบางกรณี คุณสามารถละทิ้งไฟร์วอลล์ราคาแพงและหันไปใช้เครื่องมือกรองมาตรฐานแทนได้ เราเตอร์ปกติในส่วนอื่นๆ คุณสามารถไปสู่ต้นทุนที่ไม่เคยมีมาก่อนได้ สิ่งสำคัญก็คือว่า ตัดสินใจแล้วเป็นธรรมทางเศรษฐกิจ

เมื่อกำหนดนโยบายความปลอดภัยสำหรับเครือข่ายที่สามารถเข้าถึงอินเทอร์เน็ต ผู้เชี่ยวชาญแนะนำให้แบ่งงานออกเป็นสองส่วน: การพัฒนานโยบายการเข้าถึง บริการเครือข่ายอินเทอร์เน็ตและพัฒนานโยบายการเข้าถึงทรัพยากรบนเครือข่ายภายในของบริษัท

นโยบายการเข้าถึงบริการเครือข่ายอินเทอร์เน็ตประกอบด้วยรายการต่อไปนี้:

  • กำหนดรายการบริการอินเทอร์เน็ตที่ผู้ใช้เครือข่ายภายในควรมีการเข้าถึงแบบจำกัด
  • การกำหนดข้อจำกัดเกี่ยวกับวิธีการเข้าถึง เช่น การใช้ SLIP (Serial Line Internet Protocol) และ PPP (Point-to-Point Proto-col)
  • จำเป็นต้องมีข้อจำกัดวิธีการเข้าถึงเพื่อป้องกันไม่ให้ผู้ใช้เข้าถึงบริการอินเทอร์เน็ตที่ "ต้องห้าม" ผ่านเส้นทางลับๆ ตัวอย่างเช่น หากมีการติดตั้งเกตเวย์พิเศษเพื่อจำกัดการเข้าถึงอินเทอร์เน็ตบนเครือข่าย ซึ่งไม่อนุญาตให้ผู้ใช้ทำงานในระบบ WWW พวกเขาสามารถสร้างการเชื่อมต่อ PPP กับเว็บเซิร์ฟเวอร์ผ่านสายโทรศัพท์ได้ เพื่อหลีกเลี่ยงปัญหานี้ คุณเพียงแค่ต้องห้ามการใช้โปรโตคอล PPP ตัดสินใจว่าจะอนุญาตให้เข้าถึงหรือไม่ผู้ใช้ภายนอก

จากอินเทอร์เน็ตไปยังเครือข่ายภายใน ถ้าใช่แล้วเพื่อใคร? บ่อยครั้งที่อนุญาตให้เข้าถึงได้เฉพาะบริการบางอย่างที่จำเป็นอย่างยิ่งสำหรับการดำเนินงานขององค์กรเท่านั้น เช่น อีเมล

นโยบายการเข้าถึงทรัพยากรบนเครือข่ายภายในของบริษัทสามารถแสดงได้ในหลักการใดหลักการหนึ่งต่อไปนี้:

· ห้ามทุกสิ่งที่ไม่ได้รับอนุญาตอย่างชัดแจ้ง

· อนุญาตทุกสิ่งที่ไม่ได้ห้ามอย่างชัดแจ้ง ตามหลักการที่เลือก จะมีการกำหนดกฎสำหรับการประมวลผลกำหนดการภายนอกไฟร์วอลล์

หรือเราเตอร์ การใช้การป้องกันตามหลักการแรกจะให้ระดับความปลอดภัยที่สูงกว่า อย่างไรก็ตาม สิ่งนี้อาจทำให้ผู้ใช้ไม่สะดวกมากขึ้น และนอกจากนี้ วิธีการป้องกันนี้จะมีราคาแพงกว่ามาก เมื่อนำหลักการที่ 2 ไปใช้ เครือข่ายจะมีความปลอดภัยน้อยลง แต่จะใช้งานได้สะดวกกว่าและต้องใช้ต้นทุนน้อยลง

ในอดีต ปัญหาด้านความปลอดภัยมีสามด้าน ได้แก่ การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน ซึ่งแต่ละด้านสามารถดำเนินการได้ด้วยบริการที่มีชื่อเดียวกัน

3.2.1 การรักษาความลับการรักษาความลับของข้อมูล

เป็นทรัพย์สินของข้อมูลที่จะทราบเฉพาะกับอาสาสมัครที่ถูกต้องตามกฎหมายของระบบเท่านั้น

มีหลายวิธีในการรับรองความลับของเอกสาร ขึ้นอยู่กับประเภทของเอกสาร เอกสารกระดาษจำเป็นต้องมีการป้องกันทางกายภาพ กล่าวคือ เก็บไว้ในที่แยกต่างหาก ซึ่งเข้าถึงได้ซึ่งควบคุมโดยบริการความเป็นส่วนตัว เราไม่ควรลืมสิ่งต่าง ๆ เช่น การล็อคตู้เก็บเอกสารและลิ้นชักโต๊ะ การจำกัดการเข้าถึงสำนักงานภายในสำนักงานหรือในสำนักงานเอง

การทำงานกับเอกสารอิเล็กทรอนิกส์นั้นมีรายละเอียดปลีกย่อยของตัวเอง ประการแรก ไฟล์สามารถจัดเก็บพร้อมกันได้ในหลายแห่ง: บนอุปกรณ์จัดเก็บข้อมูลภายนอก ความจุขนาดใหญ่(ฮาร์ดไดรฟ์หรือ เทปแม่เหล็กอ่า) บนฟล็อปปี้ดิสก์ ซิปดิสก์ หรือซีดี ประการที่สอง ไม่จำเป็นต้องเข้าถึงตำแหน่งจัดเก็บไฟล์ทางกายภาพ การรักษาความลับของเทปแม่เหล็กและดิสก์นั้นคล้ายคลึงกับการปกป้องเอกสารกระดาษและเกี่ยวข้องกับการจำกัดการเข้าถึงทางกายภาพ การควบคุมไฟล์ในระบบคอมพิวเตอร์ดำเนินการโดยระบบควบคุมการเข้าออก การทำงานของระบบเหล่านี้ขึ้นอยู่กับการระบุตัวตนผู้ใช้ที่เชื่อถือได้และการรับรองความถูกต้อง และการกำหนดค่าที่ถูกต้องเพื่อป้องกันการหลีกเลี่ยงกลไกการรักษาความปลอดภัยผ่านช่องโหว่ของระบบ ตาราง 3.1 แสดงตัวอย่างกลไกความเป็นส่วนตัวของไฟล์และข้อกำหนดที่ใช้กับกลไกเหล่านั้น

ตารางที่ 3.1 – ยื่นกลไกการรักษาความลับและข้อกำหนดสำหรับกลไกเหล่านั้น

การปกป้องเฉพาะข้อมูลที่จัดเก็บไว้ในรูปแบบไฟล์นั้นไม่เพียงพอ เนื่องจากผู้โจมตีสามารถดักจับข้อมูลระหว่างการส่งข้อมูลผ่าน การเชื่อมต่อเครือข่าย- ดังนั้นจึงจำเป็นต้องรักษาความลับของข้อมูลที่ส่งผ่านช่องทางการสื่อสาร (รูปที่ 3.1) ทำได้โดยใช้เทคโนโลยีการเข้ารหัส

รูปที่ 3.1 – การเข้ารหัสช่วยปกป้องข้อมูลเมื่อส่งผ่านเครือข่าย

กลไกการป้องกันสามารถใช้ได้ทั้งกับข้อความแต่ละข้อความและสำหรับการรับส่งข้อมูลการเชื่อมต่อทั้งหมด การเข้ารหัสช่วยป้องกันการดักฟังการโจมตี แต่จะไม่ป้องกันการดักฟัง ในกรณีหลังนี้ จำเป็นต้องมีระบบการระบุตัวตนและการรับรองความถูกต้องที่เชื่อถือได้เพื่อระบุตัวตนของผู้รับระยะไกล (รูปที่ 3.2)

รูปที่ 3.2 – การเข้ารหัสรวมกับการระบุตัวตนที่รัดกุมช่วยป้องกันการสกัดกั้นการรับส่งข้อมูล

บริการการรักษาความลับของโฟลว์มีความซับซ้อนเนื่องจากการส่งข้อมูลระหว่างจุดปลายสองจุด (รูปที่ 3.3) การรักษาความลับของกระแสข้อมูลไม่เกี่ยวข้องกับความปลอดภัยของข้อมูลที่ส่ง การมีอยู่ของสตรีมข้อมูลช่วยให้เครื่องวิเคราะห์การรับส่งข้อมูลสามารถระบุองค์กรที่มีการสร้างการเชื่อมต่อระหว่างกันได้ ปริมาณการรับส่งข้อมูลที่ย้ายจากโหนดหนึ่งไปอีกโหนดหนึ่งยังให้ข้อมูลที่เป็นประโยชน์อีกด้วย ตัวอย่างเช่น องค์กรข่าวหลายแห่งติดตามการจัดส่งพิซซ่าไปยังทำเนียบขาวและเพนตากอน แนวคิดหลักคือการเพิ่มจำนวนพิซซ่าบ่งบอกถึงการเกิดขึ้นของสถานการณ์ที่ไม่ธรรมดา เพื่ออธิบายกิจกรรมประเภทนี้ก็มี เงื่อนไขพิเศษ– การวิเคราะห์ปริมาณการใช้ข้อมูลและรูปแบบ

รูปที่ 3.3 – การวิเคราะห์กระแสข้อมูลช่วยให้เราระบุองค์กรที่ทำงานร่วมกันได้

การรักษาความลับของกระแสข้อมูลทำได้โดยการซ่อนข้อมูลที่ส่งระหว่างจุดปลายสองจุดภายในการรับส่งข้อมูลที่มีขนาดใหญ่กว่ามาก กองทัพใช้เทคนิคนี้: หน่วยทหารสองหน่วยสร้างการสื่อสารก่อน จากนั้นจึงส่งข้อมูลจำนวนคงที่ โดยไม่คำนึงถึงจำนวนข้อความที่ส่งจริง (พื้นที่ว่างเต็มไปด้วยข้อมูล "ขยะ") ดังนั้นปริมาณการรับส่งข้อมูลจึงคงที่ และไม่สามารถตรวจพบการเปลี่ยนแปลงความเข้มข้นของการส่งข้อความได้

องค์กรธุรกิจส่วนใหญ่ไม่ได้คำนึงถึงการรักษาความลับของกระแสข้อมูล อย่างไรก็ตาม ในบางกรณี ข้อเท็จจริงของการสร้างการเชื่อมต่อถือเป็นข้อมูลที่เป็นความลับ สมมติว่ามีการควบรวมกิจการระหว่างสองบริษัท ในกรณีนี้การเกิดขึ้นของข้อมูลใหม่ ๆ ไหลระหว่างกันถือเป็นข้อมูลลับจนกว่าจะมีการประกาศเหตุการณ์นี้

ความปลอดภัยของข้อมูลมีหลายแง่มุม อาจกล่าวได้ว่าเป็นกิจกรรมหลายมิติซึ่งมีเพียงแนวทางที่เป็นระบบและบูรณาการเท่านั้นที่สามารถนำความสำเร็จมาให้ได้

ช่วงความสนใจของวิชาที่เกี่ยวข้องกับการใช้ระบบสารสนเทศสามารถแบ่งออกเป็นประเภทต่อไปนี้: การเข้าถึง, ความซื่อสัตย์และ ความเป็นส่วนตัวทรัพยากรสารสนเทศและโครงสร้างพื้นฐานสนับสนุน

บางครั้งองค์ประกอบหลักของความปลอดภัยของข้อมูล ได้แก่ การป้องกันการคัดลอกข้อมูลโดยไม่ได้รับอนุญาต แต่ในความเห็นของเรา นี่เป็นแง่มุมที่เฉพาะเจาะจงเกินไปและมีโอกาสประสบความสำเร็จที่น่าสงสัย ดังนั้นเราจะไม่เน้นย้ำ

เรามาอธิบายแนวคิดเรื่องความพร้อม ความสมบูรณ์ และการรักษาความลับกันดีกว่า

ความพร้อมใช้งานคือความสามารถในการรับบริการข้อมูลที่จำเป็นในเวลาที่เหมาะสม ความสมบูรณ์หมายถึงความเกี่ยวข้องและความสม่ำเสมอของข้อมูล การป้องกันข้อมูลจากการถูกทำลายและการเปลี่ยนแปลงโดยไม่ได้รับอนุญาต

สุดท้าย การรักษาความลับคือการปกป้องจากการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต

ระบบสารสนเทศถูกสร้างขึ้น (ได้มา) เพื่อรับบริการข้อมูลบางอย่าง หากไม่สามารถให้บริการเหล่านี้แก่ผู้ใช้ได้ไม่ว่าด้วยเหตุผลใดก็ตาม สิ่งนี้จะทำให้เกิดความเสียหายต่อทุกเรื่องของความสัมพันธ์ทางข้อมูลอย่างเห็นได้ชัด ดังนั้น การเข้าถึงจึงถือเป็นองค์ประกอบที่สำคัญที่สุดของการรักษาความปลอดภัยข้อมูลโดยไม่ขัดแย้งกับด้านอื่นๆ

บทบาทนำของการเข้าถึงเห็นได้ชัดเจนโดยเฉพาะอย่างยิ่งในระบบการจัดการประเภทต่างๆ เช่น การผลิต การขนส่ง ฯลฯ ภายนอกที่น่าทึ่งน้อยกว่า แต่ยังส่งผลที่ไม่พึงประสงค์อย่างมาก - ทั้งทางวัตถุและทางศีลธรรม - อาจเกิดจากการไม่มีบริการข้อมูลในระยะยาวที่ผู้คนจำนวนมากใช้ (การขายรถไฟและตั๋วเครื่องบินบริการธนาคาร ฯลฯ ) .

ความสมบูรณ์สามารถแบ่งออกเป็นแบบคงที่ (เข้าใจว่าเป็นความไม่เปลี่ยนรูปของวัตถุข้อมูล) และไดนามิก (เกี่ยวข้องกับการดำเนินการที่ถูกต้องของการกระทำที่ซับซ้อน (ธุรกรรม)) โดยเฉพาะอย่างยิ่งการควบคุมความสมบูรณ์แบบไดนามิกจะใช้เมื่อวิเคราะห์การไหลของข้อความทางการเงินเพื่อตรวจจับการโจรกรรม การจัดลำดับใหม่ หรือทำซ้ำข้อความแต่ละข้อความ

ความซื่อสัตย์กลายเป็นส่วนที่สำคัญที่สุดของการรักษาความปลอดภัยข้อมูลในกรณีที่ข้อมูลทำหน้าที่เป็น "แนวทางในการดำเนินการ" สูตรยา, ขั้นตอนทางการแพทย์ที่กำหนด, ชุดและลักษณะของส่วนประกอบ, ความก้าวหน้าของกระบวนการทางเทคโนโลยี - ทั้งหมดนี้คือตัวอย่างของข้อมูล, การละเมิดความสมบูรณ์ซึ่งอาจถึงแก่ชีวิตได้อย่างแท้จริง การบิดเบือนข้อมูลของราชการ ไม่ว่าจะเป็นข้อความของกฎหมายหรือหน้าเว็บเซิร์ฟเวอร์ขององค์กรของรัฐก็เป็นเรื่องที่ไม่พึงประสงค์เช่นกัน การรักษาความลับเป็นแง่มุมที่ได้รับการพัฒนามากที่สุดของการรักษาความปลอดภัยข้อมูลในประเทศของเรา น่าเสียดายที่การนำมาตรการไปปฏิบัติจริงเพื่อให้แน่ใจว่าระบบข้อมูลสมัยใหม่ในรัสเซียเป็นความลับต้องเผชิญกับปัญหาร้ายแรง ประการแรก ข้อมูลเกี่ยวกับช่องทางทางเทคนิคของการรั่วไหลของข้อมูลจะถูกปิด ดังนั้นผู้ใช้ส่วนใหญ่จึงขาดโอกาสในการรับทราบถึงความเสี่ยงที่อาจเกิดขึ้น ประการที่สอง มีความท้าทายทางกฎหมายและทางเทคนิคมากมายที่ขวางทางการเข้ารหัสแบบกำหนดเองซึ่งเป็นวิธีการหลักในการรับรองความเป็นส่วนตัว



หากเรากลับมาที่การวิเคราะห์ความสนใจของหัวข้อความสัมพันธ์ทางข้อมูลประเภทต่าง ๆ การเข้าถึงจะมาเป็นอันดับแรกสำหรับเกือบทุกคนที่ใช้เทคโนโลยีสารสนเทศจริง ๆ ความซื่อสัตย์เกือบจะมีความสำคัญพอๆ กัน - อะไรคือจุดประสงค์ของการบริการข้อมูลหากมีข้อมูลที่บิดเบือน?

สุดท้ายนี้ หลายองค์กรก็มีปัญหาที่เป็นความลับ (แม้แต่สถาบันการศึกษาที่กล่าวมาข้างต้นก็พยายามที่จะไม่เปิดเผยข้อมูลเกี่ยวกับเงินเดือนของพนักงาน) และผู้ใช้รายบุคคล (เช่น รหัสผ่าน)

4. ความจำเป็นและความสำคัญของนโยบาย

นโยบายกำหนดกฎเกณฑ์ที่กำหนดการกำหนดค่าระบบการดำเนินการของพนักงานในองค์กร สภาวะปกติและในกรณีเกิดเหตุไม่คาดฝัน ดังนั้น การเมืองจึงทำหน้าที่หลัก 2 ประการ คือ

· กำหนดความปลอดภัยภายในองค์กร

· กำหนดสถานที่ของพนักงานแต่ละคนในระบบรักษาความปลอดภัย



บทความที่เกี่ยวข้อง