แนวคิดพื้นฐานของซอฟต์แวร์และระดับทางเทคนิคของการรักษาความปลอดภัยข้อมูล พื้นฐานของข้อมูลและความปลอดภัยของคอมพิวเตอร์ ความเสี่ยงเป็นฟังก์ชัน

มาตรการด้านซอฟต์แวร์และฮาร์ดแวร์ กล่าวคือ มาตรการที่มุ่งควบคุมหน่วยงานคอมพิวเตอร์ - อุปกรณ์ โปรแกรม และ/หรือข้อมูล ก่อให้เกิดขอบเขตสุดท้ายและสำคัญที่สุด ความปลอดภัยของข้อมูล- ขอให้เราจำไว้ว่าความเสียหายส่วนใหญ่เกิดจากการกระทำของผู้ใช้ที่ถูกกฎหมายซึ่งเกี่ยวข้องกับผู้ที่หน่วยงานกำกับดูแลขั้นตอนไม่มีประสิทธิภาพ ศัตรูหลักคือความไร้ความสามารถและความประมาทในการปฏิบัติหน้าที่ราชการ และมีเพียงมาตรการด้านซอฟต์แวร์และฮาร์ดแวร์เท่านั้นที่จะตอบโต้ได้

คอมพิวเตอร์ช่วยให้กิจกรรมต่างๆ ของมนุษย์เป็นไปโดยอัตโนมัติ ดูเหมือนเป็นเรื่องธรรมดาที่อยากจะฝากความปลอดภัยของตนเองไว้กับพวกเขา แม้แต่การป้องกันทางกายภาพก็ยังได้รับความไว้วางใจมากขึ้นเรื่อยๆ ไม่ใช่ให้กับเจ้าหน้าที่รักษาความปลอดภัย แต่รวมถึงระบบคอมพิวเตอร์แบบบูรณาการ ซึ่งทำให้สามารถติดตามความเคลื่อนไหวของพนักงานทั้งทั่วทั้งองค์กรและทั่วทั้งพื้นที่ข้อมูลได้พร้อมๆ กัน

แต่ควรคำนึงถึงการพัฒนาอย่างรวดเร็วด้วย เทคโนโลยีสารสนเทศไม่เพียงแต่ให้โอกาสใหม่ๆ แก่กองหลังเท่านั้น แต่ยังทำให้ยากต่อความมั่นใจอีกด้วย การป้องกันที่เชื่อถือได้หากเราพึ่งพามาตรการทางโปรแกรมเพียงอย่างเดียว ระดับเทคนิค- มีสาเหตุหลายประการสำหรับสิ่งนี้:

    เพิ่มประสิทธิภาพของวงจรไมโคร, พัฒนาสถาปัตยกรรมด้วย ระดับสูงความเท่าเทียมช่วยให้ใช้กำลังดุร้ายเพื่อเอาชนะอุปสรรค (โดยหลักคือการเข้ารหัสลับ) ซึ่งก่อนหน้านี้ดูเหมือนจะไม่สามารถเข้าถึงได้

    การพัฒนาเครือข่ายและ เทคโนโลยีเครือข่ายการเพิ่มจำนวนการเชื่อมต่อระหว่างระบบข้อมูล และความจุช่องสัญญาณที่เพิ่มขึ้นกำลังขยายวงผู้โจมตีที่มี ความเป็นไปได้ทางเทคนิคจัดการโจมตี

    การเกิดขึ้นของใหม่ บริการข้อมูลนำไปสู่การก่อตัวของช่องโหว่ใหม่ทั้งบริการ "ภายใน" และที่อินเทอร์เฟซ

    การแข่งขันระหว่างผู้ผลิตซอฟต์แวร์บังคับให้เวลาในการพัฒนาลดลงซึ่งส่งผลให้คุณภาพการทดสอบและการเปิดตัวผลิตภัณฑ์ที่มีข้อบกพร่องด้านความปลอดภัยลดลง

    กระบวนทัศน์ของพลังงานฮาร์ดแวร์และซอฟต์แวร์ที่เพิ่มขึ้นอย่างต่อเนื่องที่กำหนดให้กับผู้บริโภคไม่อนุญาตให้มีการรักษาการกำหนดค่าที่เชื่อถือได้และผ่านการพิสูจน์แล้วในระยะยาว และยิ่งไปกว่านั้น ยังขัดแย้งกับข้อจำกัดด้านงบประมาณ ซึ่งช่วยลดส่วนแบ่งของการจัดสรรความปลอดภัย

ข้อควรพิจารณาที่ระบุไว้เน้นย้ำถึงความสำคัญของแนวทางบูรณาการในการรักษาความปลอดภัยของข้อมูล ตลอดจนความต้องการตำแหน่งที่ยืดหยุ่นในการเลือกและบำรุงรักษาหน่วยงานกำกับดูแลซอฟต์แวร์และฮาร์ดแวร์

ศูนย์กลางของระดับซอฟต์แวร์และฮาร์ดแวร์คือแนวคิดของบริการรักษาความปลอดภัย

ตามแนวทางเชิงวัตถุ เมื่อพิจารณาระบบข้อมูลที่มีรายละเอียดเพียงระดับเดียว เราจะเห็นบริการข้อมูลทั้งหมดที่มีให้ มาเรียกพวกเขาว่าพื้นฐานกันดีกว่า เพื่อให้สามารถทำงานได้และมีคุณสมบัติที่ต้องการ จำเป็นต้องมีบริการ (เสริม) เพิ่มเติมหลายระดับ ตั้งแต่ DBMS และการตรวจสอบธุรกรรม ไปจนถึงเคอร์เนลและฮาร์ดแวร์ของระบบปฏิบัติการ

บริการเสริม ได้แก่ บริการรักษาความปลอดภัย (เราพบแล้วเมื่อพิจารณามาตรฐานและข้อกำหนดในด้านความปลอดภัยข้อมูล) ในหมู่พวกเขา เราจะสนใจบริการระดับสูงที่เป็นสากลเป็นหลัก ซึ่งบริการหลักและบริการเสริมต่างๆ สามารถนำไปใช้ได้ ต่อไปเราจะดูบริการต่อไปนี้:

    การระบุตัวตนและการรับรองความถูกต้อง

    การควบคุมการเข้าถึง

    การบันทึกและการตรวจสอบ

    การเข้ารหัส;

    การควบคุมความสมบูรณ์

    ป้องกัน;

    การวิเคราะห์ความปลอดภัย

    สร้างความมั่นใจในความทนทานต่อความผิดพลาด

    ความปลอดภัย การกู้คืนที่ปลอดภัย;

    การขุดอุโมงค์;

    มาตรการซอฟต์แวร์และฮาร์ดแวร์มุ่งเป้าไปที่การควบคุม อุปกรณ์คอมพิวเตอร์โปรแกรมและข้อมูลที่เก็บไว้ถือเป็นขอบเขตสุดท้ายที่สำคัญของการรักษาความปลอดภัยข้อมูล ในระดับนี้ ไม่เพียงแต่ด้านบวกเท่านั้น แต่ยังรวมถึง ผลกระทบด้านลบความก้าวหน้าอย่างรวดเร็วของเทคโนโลยีสารสนเทศ ประการแรก คุณสมบัติเพิ่มเติมไม่เพียงปรากฏในหมู่ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลเท่านั้น แต่ยังปรากฏในหมู่ผู้โจมตีด้วย ประการที่สอง ระบบข้อมูลได้รับการปรับปรุงให้ทันสมัย ​​สร้างใหม่ และมีการเพิ่มส่วนประกอบที่ได้รับการทดสอบไม่เพียงพอ (โดยหลักคือซอฟต์แวร์) ซึ่งทำให้ยากต่อการปฏิบัติตามระบบการรักษาความปลอดภัย

    ศูนย์กลางของระดับซอฟต์แวร์และฮาร์ดแวร์คือแนวคิดของบริการรักษาความปลอดภัย บริการดังกล่าวสำหรับสถาบันและบริษัทได้แก่: ภาครัฐรวมถึง:

    • การระบุตัวตนและการรับรองความถูกต้อง
    • การควบคุมการเข้าถึง
    • การบันทึกและการตรวจสอบ
    • การเข้ารหัส;
    • การควบคุมความสมบูรณ์
    • ป้องกัน;
    • การวิเคราะห์ความปลอดภัย
    • สร้างความมั่นใจในความทนทานต่อความผิดพลาด
    • รับประกันการฟื้นตัวอย่างปลอดภัย
    • การขุดอุโมงค์;
    • ควบคุม.

    ปัจจุบันการเพิ่มระดับความปลอดภัยของข้อมูลของรัฐวิสาหกิจสามารถทำได้โดยการดำเนินการ เทคโนโลยีที่ทันสมัยการป้องกันโดดเด่นด้วยการเพิ่มฟังก์ชันการทำงาน ความคล่องตัว และความสามารถในการพอร์ตไปยังแพลตฟอร์มใดๆ ในพื้นที่ การป้องกันทางเทคนิคแหล่งข้อมูลเราสามารถแยกแยะได้สามส่วนหลักที่รัฐวิสาหกิจของรัสเซียดำเนินการ:

    ในเวลาเดียวกัน เราจำได้ว่าหน่วยงานภาครัฐและองค์กรภาครัฐใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ได้รับการรับรองโดย FSTEC หรือ FSB ของสหพันธรัฐรัสเซียเท่านั้น เพื่อปกป้องทรัพยากรภายในหน่วยงานของรัฐบาลกลางและระดับภูมิภาคส่วนใหญ่ อำนาจรัฐใช้ในตัว ระบบปฏิบัติการกลไกการตรวจสอบและการอนุญาตผู้ใช้ บางแผนกมีระบบที่ได้รับการรับรองพิเศษเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและ ล็อคอิเล็กทรอนิกส์เช่น “Labyrinth-M”, “Accord”, SecretNet ตามกฎแล้วจะมีการติดตั้งวิธีการเข้ารหัส กุญแจลับการปกป้องข้อมูล “CryptoPro” หรือที่รู้จักกันมานานและยังคง ระบบยอดนิยมครอบครัว "เวอร์บา"

    เพื่อปกป้องเวิร์กสเตชันและเซิร์ฟเวอร์บนเครือข่ายภายในจาก มัลแวร์(ไวรัส เวิร์ม ม้าโทรจัน) องค์กรภาครัฐส่วนใหญ่ใช้ซอฟต์แวร์ป้องกันไวรัส ซอฟต์แวร์- ส่วนใหญ่มักเป็น Russian Kaspersky Anti-Virus หรือ Dr.Web อย่างไรก็ตาม ยังมีวิธีแก้ปัญหาอยู่ เทรนด์ไมโคร, ไซแมนเทค, McAfee, Eset


    เครือข่ายแบ่งออกเป็นกลุ่มที่มีข้อกำหนดด้านความปลอดภัยข้อมูลที่แตกต่างกันโดยใช้กลไกการกรองที่อยู่ MAC และ IP ที่ใช้งานอยู่ อุปกรณ์เครือข่ายและกลไก VLAN ระบบตรวจสอบนโยบายความปลอดภัยที่เปรียบเทียบ การตั้งค่าปัจจุบัน กลไกการป้องกันและระบบย่อยที่มีค่าอ้างอิง (Cisco, Uryadnik)

    เพื่อปกป้องขอบเขตเครือข่ายหน่วยงานของรัฐมักจะใช้ใบรับรองต่างๆ ไฟร์วอลล์- สิ่งเหล่านี้ส่วนใหญ่เป็นโซลูชันจาก Cisco, Aladdin และ จุดตรวจ- แต่ก็มีผลิตภัณฑ์จากผู้ผลิตรายอื่นด้วย โดยเฉพาะ Novell Border Manager, Microsoft ISA Server, SSPT-1 และ SSPT-1M จาก Central Research Institute of RTK, Zastava จาก Elvis-Plus

    จนถึงขณะนี้ระบบตรวจจับและป้องกันการโจมตี (ที่เรียกว่า HIPS) ได้ถูกนำไปใช้ในองค์กรภาครัฐเพียงไม่กี่แห่ง โดยทั่วไป คุณจะพบโซลูชันจาก Symantec, S.N. ที่นี่ Safe'n'Software และ Cisco หน่วยงานรัฐบาลกลางให้การป้องกันสแปมและการละเมิดบนอินเทอร์เน็ต ระบบต่างๆการตรวจสอบ อีเมลและการรับส่งข้อมูลเว็บ เช่น eSafe Gateway, MAILsweeper, WEBsweeper และ Websense

    ในช่องสื่อสารกับเครื่องระยะไกลเท่านั้น ระบบของรัสเซีย การป้องกันการเข้ารหัสข้อมูลและ VPN - "Zastava", VipNet หรือ "ทวีป"

    11. กรอบกฎหมาย การคุ้มครององค์กร- แหล่งที่มาของกฎหมายในด้านการรักษาความปลอดภัยข้อมูล ประเภท เอกสารกำกับดูแล- ตัวอย่างเอกสารทางกฎหมายในประเทศและต่างประเทศ

    ใน สหพันธรัฐรัสเซียการดำเนินการทางกฎหมายด้านกฎระเบียบในด้านความปลอดภัยของข้อมูล ได้แก่:

    · พระราชบัญญัติของรัฐบาลกลาง:

    · สนธิสัญญาระหว่างประเทศของสหพันธรัฐรัสเซีย

    · รัฐธรรมนูญแห่งสหพันธรัฐรัสเซีย

    · กฎหมายในระดับรัฐบาลกลาง (รวมถึงกฎหมายรัฐธรรมนูญของรัฐบาลกลาง ประมวลกฎหมาย)

    · คำสั่งของประธานาธิบดีแห่งสหพันธรัฐรัสเซีย

    · กฤษฎีกาของรัฐบาลสหพันธรัฐรัสเซีย

    · การดำเนินการทางกฎหมายตามกฎระเบียบของกระทรวงและหน่วยงานของรัฐบาลกลาง

    · การดำเนินการทางกฎหมายตามกฎระเบียบของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซีย รัฐบาลท้องถิ่น ฯลฯ

    เอกสารด้านกฎระเบียบและระเบียบวิธีประกอบด้วย

    1. เอกสารระเบียบวิธี หน่วยงานภาครัฐรัสเซีย:

    · หลักคำสอนด้านความปลอดภัยข้อมูลของสหพันธรัฐรัสเซีย

    ·เอกสารแนวทางของ FSTEC (คณะกรรมการเทคนิคแห่งรัฐรัสเซีย)

    · คำสั่งเอฟเอสบี

    2. มาตรฐานการรักษาความปลอดภัยของข้อมูลซึ่งมีความโดดเด่นดังต่อไปนี้:

    · มาตรฐานสากล;

    · มาตรฐานของรัฐ (ระดับชาติ) ของสหพันธรัฐรัสเซีย

    · คำแนะนำระเบียบวิธี

    ประเภทของเอกสารกำกับดูแล:

    · การดำเนินการทางกฎหมายตามกฎระเบียบ: กฎหมายของสหพันธรัฐรัสเซีย (ว่าด้วยความปลอดภัย), กฎหมายของรัฐบาลกลาง (เกี่ยวกับข้อมูลส่วนบุคคล, เกี่ยวกับเทคโนโลยีสารสนเทศและสารสนเทศ, เกี่ยวกับอิเล็กทรอนิกส์ ลายเซ็นดิจิทัล) คำสั่งของประธานาธิบดีแห่งสหพันธรัฐรัสเซีย (เมื่อได้รับอนุมัติรายการข้อมูล เป็นความลับ), พระราชกฤษฎีกาของรัฐบาล (เกี่ยวกับการรับรองเครื่องมือรักษาความปลอดภัยข้อมูล, การออกใบอนุญาต);

    · เอกสารด้านกฎระเบียบ วิธีการ และระเบียบวิธี: หลักคำสอน คำสั่งของ FSTEC ข้อบังคับเกี่ยวกับการรับรองอุปกรณ์ป้องกันตามข้อกำหนดด้านความปลอดภัย ข้อบังคับเกี่ยวกับการรับรองวัตถุ บทบัญญัติของแบบจำลอง เอกสารแนวทาง วิธีการ (การประเมินความปลอดภัย) เอกสารด้านกฎระเบียบและระเบียบวิธี

    · มาตรฐาน: GOST, RD, SanPin ( ข้อกำหนดด้านสุขอนามัยไปยังขั้วต่อการแสดงผลวิดีโอ), SNiP (การป้องกันเสียงรบกวน)

    ตัวอย่างเอกสารทางกฎหมายต่างประเทศ:

    สหรัฐอเมริกา

    ณ วันนี้สหรัฐอเมริกาเป็นเขตอำนาจศาลด้วย จำนวนที่ใหญ่ที่สุดเอกสารในระบบ (มากกว่า 12,000 เอกสาร)

    ฐานข้อมูลประกอบด้วยเอกสารจากแหล่งที่มาทางกฎหมายของรัฐบาลกลางอเมริกันหลักสองแห่ง ได้แก่ US Code (USC) และ Code of Federal Regulations (CFR) ประการแรกคือชุดกฎหมายของรัฐบาลกลางที่เป็นระบบ และประกอบด้วย 52 ส่วนที่อุทิศให้กับการควบคุมสาขาหรือสถาบันกฎหมายบางแห่ง

    ระบบประกอบด้วยสามส่วนของรหัสสหรัฐอเมริกา: มาตรา 26 - ประมวลรัษฎากรภายในของสหรัฐอเมริกา, มาตรา 12 - ธนาคารและ กิจกรรมธนาคาร(ธนาคารและการธนาคาร) และมาตรา 15 - การพาณิชย์และการค้าซึ่งรวมถึงกฎหมายควบคุมกิจกรรมในตลาดหลักทรัพย์ ประมวลกฎหมายจะออกใหม่โดยสภาคองเกรสทุกๆ 6 ปี และเผยแพร่โดย US Code Service ไม่เหมือนส่วนใหญ่ แหล่งที่มาที่เปิดเผยต่อสาธารณะระบบ WBL ไม่เพียงแต่ประกอบด้วยข้อความในเอกสารเหล่านี้เท่านั้น แต่ยังรวมถึงประวัติของการแก้ไขทั้งหมดที่ทำกับเอกสารเหล่านั้น ตลอดจนบันทึกย่อและแบบอย่างการพิจารณาคดีที่สำคัญที่สุดในพื้นที่นี้

    ระบบยังรวมถึงข้อบังคับที่ออกโดยหน่วยงานรัฐบาลกลางด้วย สาขาผู้บริหารและรวมอยู่ในประมวลกฎหมายของรัฐบาลกลางที่มีการเผยแพร่ ทะเบียนของรัฐบาลกลาง(ทะเบียนกลาง) - องค์กรหนึ่งของสำนักหอจดหมายเหตุแห่งชาติ

    12. การพัฒนานโยบายการรักษาความปลอดภัย ข้อกำหนดพื้นฐานของการรักษาความปลอดภัยของข้อมูล ขอบเขตการใช้งาน เป้าหมายและวัตถุประสงค์ของการรับรองความปลอดภัยของข้อมูล การกระจายบทบาทและความรับผิดชอบ ความรับผิดชอบทั่วไป

    การพัฒนา.

    ก่อนอื่นคุณต้องดำเนินการตรวจสอบ กระบวนการข้อมูลบริษัท ระบุอย่างมีวิจารณญาณ ข้อมูลสำคัญซึ่งจำเป็นต้องได้รับการปกป้อง การตรวจสอบกระบวนการข้อมูลควรสิ้นสุดด้วยการกำหนดรายการ ข้อมูลที่เป็นความลับองค์กร พื้นที่ที่มีการเผยแพร่ข้อมูลนี้ บุคคลที่ได้รับอนุญาตให้เข้าถึงข้อมูล รวมถึงผลที่ตามมาจากการสูญเสีย (การบิดเบือน) ของข้อมูลนี้ หลังจากดำเนินการขั้นตอนนี้ จะเห็นได้ชัดว่าควรปกป้องอะไร จะปกป้องที่ไหน และจากใคร ในเหตุการณ์ส่วนใหญ่ที่ท่วมท้น ผู้ฝ่าฝืนจะเป็นพนักงานของบริษัทเองทั้งด้วยความเต็มใจหรือไม่เต็มใจ และไม่มีอะไรสามารถทำได้เกี่ยวกับเรื่องนี้: คุณต้องยอมรับมัน ภัยคุกคามความปลอดภัยต่างๆ สามารถกำหนดค่าความน่าจะเป็นสำหรับการเกิดขึ้นได้ ด้วยการคูณความน่าจะเป็นที่ภัยคุกคามจะรับรู้ด้วยความเสียหายที่เกิดจากการดำเนินการนี้ เราจึงได้รับความเสี่ยงจากภัยคุกคาม หลังจากนี้คุณควรเริ่มพัฒนานโยบายความปลอดภัย

    นโยบายความปลอดภัยถือเป็นเอกสารระดับ "บนสุด" ซึ่งควรระบุ:

    · บุคคลที่รับผิดชอบด้านความปลอดภัยของบริษัท

    · อำนาจและความรับผิดชอบของหน่วยงานและบริการเกี่ยวกับการรักษาความปลอดภัย

    · จัดให้มีการรับพนักงานใหม่และการเลิกจ้าง

    กฎสำหรับการจำกัดการเข้าถึงของพนักงาน แหล่งข้อมูล;

    · องค์กรควบคุมการเข้าถึง การลงทะเบียนของพนักงานและผู้เยี่ยมชม

    · การใช้เครื่องมือป้องกันซอฟต์แวร์และฮาร์ดแวร์

    · ข้อกำหนดทั่วไปอื่นๆ

    ค่าใช้จ่ายในการรับรองความปลอดภัยของข้อมูลไม่ควรมากกว่าจำนวนความเสียหายที่อาจเกิดขึ้นจากการสูญเสีย การวิเคราะห์ความเสี่ยงที่ดำเนินการในขั้นตอนการตรวจสอบทำให้สามารถจัดอันดับตามขนาดและปกป้องอันดับแรก ไม่เพียงแต่ผู้ที่มีความเสี่ยงมากที่สุดเท่านั้น แต่ยังรวมถึงผู้ที่ประมวลผลมากที่สุดด้วย ข้อมูลอันมีค่าแปลง มาตรฐานไอเอสโอ 17799 ให้คุณได้ ปริมาณการรักษาความปลอดภัยที่ครอบคลุม:

    การพัฒนานโยบายความปลอดภัยเกี่ยวข้องกับขั้นตอนเบื้องต้นหลายประการ:

    ·การประเมินทัศนคติส่วนบุคคล (ส่วนตัว) ต่อความเสี่ยงขององค์กรของเจ้าของและผู้จัดการที่รับผิดชอบในการทำงานและการปฏิบัติงานขององค์กรโดยรวมหรือแต่ละด้านของกิจกรรม

    · การวิเคราะห์ความเสี่ยงที่อาจเกิดขึ้น วัตถุข้อมูล;

    · การระบุภัยคุกคามต่อวัตถุข้อมูลที่สำคัญ (ข้อมูล ระบบข้อมูล กระบวนการประมวลผลข้อมูล) และการประเมินความเสี่ยงที่เกี่ยวข้อง

    เมื่อพัฒนานโยบายความปลอดภัยในทุกระดับ คุณต้องปฏิบัติตามกฎพื้นฐานต่อไปนี้:

    · นโยบายความปลอดภัยเพิ่มเติม ระดับต่ำจะต้องปฏิบัติตามนโยบายที่เกี่ยวข้องอย่างเต็มที่ ระดับบนสุดตลอดจนกฎหมายและข้อกำหนดปัจจุบันของหน่วยงานภาครัฐ

    · ข้อความของนโยบายความปลอดภัยควรมีเฉพาะภาษาที่ชัดเจนและไม่คลุมเครือซึ่งไม่อนุญาตให้ตีความซ้ำซ้อน

    · ข้อความของนโยบายความปลอดภัยจะต้องสามารถเข้าใจได้สำหรับพนักงานเหล่านั้นที่ได้รับการกล่าวถึง

    ทั่วไป วงจรชีวิตนโยบายความปลอดภัยของข้อมูลประกอบด้วยขั้นตอนพื้นฐานหลายขั้นตอน

    · ดำเนินการศึกษาเบื้องต้นเกี่ยวกับสถานะความปลอดภัยของข้อมูล

    · การพัฒนานโยบายความปลอดภัยที่เกิดขึ้นจริง

    · การดำเนินการตามนโยบายความปลอดภัยที่พัฒนาขึ้น

    · การวิเคราะห์การปฏิบัติตามข้อกำหนดของนโยบายความปลอดภัยที่นำไปใช้และการกำหนดข้อกำหนดสำหรับการปรับปรุงเพิ่มเติม (กลับสู่ขั้นตอนแรก สู่วงจรการปรับปรุงใหม่)

    นโยบายการรักษาความปลอดภัยขององค์กร(ภาษาอังกฤษ) นโยบายความปลอดภัยขององค์กร) - ชุดแนวปฏิบัติ กฎเกณฑ์ ขั้นตอน และ เทคนิคการปฏิบัติในด้านการรักษาความปลอดภัย ซึ่งควบคุมการจัดการ การป้องกัน และการเผยแพร่ข้อมูลอันมีค่า

    ในกรณีทั่วไป ชุดของกฎดังกล่าวแสดงถึงการทำงานบางอย่าง ผลิตภัณฑ์ซอฟต์แวร์ซึ่งจำเป็นสำหรับการใช้งานในองค์กรเฉพาะ หากเราเข้าใกล้นโยบายความปลอดภัยอย่างเป็นทางการมากขึ้น ก็จะเป็นข้อกำหนดบางประการสำหรับการทำงานของระบบรักษาความปลอดภัยซึ่งประดิษฐานอยู่ในเอกสารของแผนก

    นโยบายความปลอดภัยขึ้นอยู่กับ:

    • จากเทคโนโลยีการประมวลผลข้อมูลเฉพาะ
    • จากด้านเทคนิคและ ซอฟต์แวร์;
    • จากที่ตั้งขององค์กร

    การป้องกันระบบข้อมูลขนาดใหญ่ไม่สามารถแก้ไขได้หากไม่มีเอกสารความปลอดภัยของข้อมูลที่ได้รับการพัฒนาอย่างดี - นโยบายความปลอดภัยช่วย

    · ตรวจสอบให้แน่ใจว่าไม่มีอะไรสำคัญที่ถูกมองข้าม

    · กำหนดกฎเกณฑ์ความปลอดภัยที่ชัดเจน

    เฉพาะระบบการป้องกันที่ครอบคลุมและเป็นไปได้ทางเศรษฐกิจเท่านั้นที่จะมีประสิทธิภาพและระบบข้อมูลในกรณีนี้จะปลอดภัย

    เอกสารนโยบายความปลอดภัยควรอธิบายถึงเป้าหมายและวัตถุประสงค์ของการรักษาความปลอดภัยข้อมูล ตลอดจนทรัพย์สินอันมีค่าของบริษัทที่ต้องมีการป้องกัน เป้าหมายความปลอดภัยของข้อมูลตามกฎแล้วคือการรับรองความลับ ความสมบูรณ์ และความพร้อมของสินทรัพย์ข้อมูล ตลอดจนรับประกันความต่อเนื่องของธุรกิจของบริษัท

    วัตถุประสงค์การรักษาความปลอดภัยของข้อมูลคือการกระทำทั้งหมดที่ต้องทำเพื่อให้บรรลุเป้าหมาย โดยเฉพาะอย่างยิ่งจำเป็นต้องแก้ไขปัญหาเช่นการวิเคราะห์และการจัดการ ความเสี่ยงด้านข้อมูลการสืบสวนเหตุการณ์ด้านความปลอดภัยของข้อมูล การพัฒนาและการดำเนินการตามแผนความต่อเนื่องทางธุรกิจ การฝึกอบรมขั้นสูงของพนักงานบริษัทในด้านความปลอดภัยของข้อมูล เป็นต้น

    การจำแนกประเภทของมาตรการคุ้มครองสามารถแสดงได้เป็น 3 ระดับ

    ระดับนิติบัญญัติ ประมวลกฎหมายอาญาของสหพันธรัฐรัสเซียมีบทที่ 28 อาชญากรรมในด้านข้อมูลคอมพิวเตอร์ ประกอบด้วยบทความ 3 บทความดังต่อไปนี้

    มาตรา 272 การเข้าถึงข้อมูลคอมพิวเตอร์อย่างผิดกฎหมาย

    มาตรา 273 การสร้าง การใช้ และการเผยแพร่โปรแกรมคอมพิวเตอร์ที่เป็นอันตราย

    มาตรา 274 การละเมิดกฎในการใช้งานคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือเครือข่าย

    ฝ่ายบริหารและ ระดับขั้นตอน- ในระดับบริหารและขั้นตอน จะมีการจัดทำนโยบายความปลอดภัยและชุดขั้นตอนที่กำหนดการกระทำของบุคลากรในสถานการณ์ปกติและวิกฤติ ระดับนี้บันทึกไว้ในแนวทางที่ออกโดยคณะกรรมการเทคนิคแห่งรัฐของสหพันธรัฐรัสเซียและ FAPSI

    ระดับซอฟต์แวร์และฮาร์ดแวร์ ระดับนี้รวมถึงซอฟต์แวร์และฮาร์ดแวร์ที่ประกอบขึ้นเป็นเทคโนโลยีความปลอดภัยของข้อมูล ซึ่งรวมถึงการระบุผู้ใช้ การควบคุมการเข้าถึง การเข้ารหัส การป้องกัน และอื่นๆ อีกมากมาย

    และหากระดับการคุ้มครองทางกฎหมายและการบริหารไม่ได้ขึ้นอยู่กับผู้ใช้รายใดรายหนึ่ง อุปกรณ์คอมพิวเตอร์จากนั้นผู้ใช้แต่ละคนสามารถและควรจัดระเบียบระดับซอฟต์แวร์และฮาร์ดแวร์ของการปกป้องข้อมูลบนคอมพิวเตอร์ของตน

    1.3. ระดับการป้องกันซอฟต์แวร์และฮาร์ดแวร์

    เราจะไม่พิจารณาระบบการเข้ารหัสซอฟต์แวร์และฮาร์ดแวร์ที่ซับซ้อนที่มีอยู่ซึ่งจำกัดการเข้าถึงข้อมูลผ่านการเข้ารหัส เช่นเดียวกับโปรแกรมการเขียนลับที่สามารถ "ละลาย" เนื้อหาที่เป็นความลับในไฟล์กราฟิกและเสียงขนาดใหญ่ การใช้โปรแกรมดังกล่าวสามารถทำได้เฉพาะในกรณีพิเศษเท่านั้น

    ตามกฎแล้ว ผู้ใช้ทั่วไปเช่นคุณและฉันไม่ใช่นักเข้ารหัสหรือโปรแกรมเมอร์มืออาชีพ ดังนั้นเราจึงสนใจเครื่องมือรักษาความปลอดภัยข้อมูลแบบ "ชั่วคราว" มาดูเครื่องมือรักษาความปลอดภัยข้อมูลแล้วลองประเมินความน่าเชื่อถือ ท้ายที่สุดแล้ว การรู้จุดอ่อนของการป้องกันสามารถช่วยเราให้พ้นจากปัญหาต่างๆ มากมายได้

    สิ่งแรกที่ผู้ใช้คอมพิวเตอร์ส่วนบุคคลมักจะทำคือตั้งรหัสผ่านสองรหัส: รหัสผ่านหนึ่งรหัสในการตั้งค่า BIOS และอีกรหัสผ่านหนึ่งบนโปรแกรมรักษาหน้าจอ การป้องกันในระดับ BIOS คุณจะต้องป้อนรหัสผ่านเมื่อคุณบูตคอมพิวเตอร์ และการป้องกันบนโปรแกรมรักษาหน้าจอจะบล็อกการเข้าถึงข้อมูลหลังจากผ่านช่วงระยะเวลาหนึ่งที่คุณระบุเมื่อคอมพิวเตอร์ไม่ได้ใช้งาน

    การตั้งรหัสผ่านที่ระดับ BIOS เป็นกระบวนการที่ค่อนข้างละเอียดอ่อนซึ่งต้องใช้ทักษะบางอย่างในการทำงานกับการตั้งค่าคอมพิวเตอร์ ดังนั้นจึงแนะนำให้ตั้งกับเพื่อนร่วมงานที่มีประสบการณ์เพียงพอในกิจกรรมดังกล่าว การตั้งรหัสผ่านสำหรับโปรแกรมรักษาหน้าจอนั้นไม่ใช่เรื่องยากและผู้ใช้สามารถตั้งค่าเองได้

    ในการตั้งรหัสผ่านสำหรับสกรีนเซฟเวอร์ คุณต้องทำตามขั้นตอนต่อไปนี้: คลิกปุ่มเริ่ม เลือกการตั้งค่าและแผงควบคุม ดับเบิลคลิกที่ไอคอนหน้าจอ และในหน้าต่างคุณสมบัติการแสดงผลที่เปิดขึ้น ให้เลือกแท็บสกรีนเซฟเวอร์ ตั้งค่าประเภทสกรีนเซฟเวอร์ กำหนดช่วงเวลา (สมมติว่า 1 นาที) ทำเครื่องหมายที่ช่องรหัสผ่าน และคลิกปุ่มเปลี่ยน

    ในหน้าต่างเปลี่ยนรหัสผ่านที่เปิดขึ้น ให้ป้อนรหัสผ่านของโปรแกรมรักษาหน้าจอ จากนั้นป้อนอีกครั้งเพื่อยืนยันและคลิกตกลง

    หากคุณตัดสินใจที่จะลบรหัสผ่านสำหรับสกรีนเซฟเวอร์ด้วยตัวเองให้ทำตามขั้นตอนข้างต้นทั้งหมดเฉพาะในหน้าต่างเปลี่ยนรหัสผ่านที่คุณไม่ควรพิมพ์อะไรเลย แต่เพียงคลิกที่ปุ่มตกลง รหัสผ่านจะถูกลบออก

    วิธีแรกคือใช้ช่องโหว่ที่ผู้ผลิตเมนบอร์ดมักมีให้ ซึ่งเรียกว่า "รหัสผ่านสากลสำหรับคนขี้ลืม" ผู้ใช้ทั่วไปซึ่งตามปกติแล้วเราเป็นไม่ทราบ

    คุณสามารถใช้วิธีที่สองในการแฮ็กความลับ: ถอดเคสคอมพิวเตอร์ถอดแบตเตอรี่ลิเธียมออกประมาณ 20...30 นาที บอร์ดระบบแล้วใส่กลับเข้าไป หลังจากการดำเนินการนี้ BIOS จะลืมรหัสผ่านและการตั้งค่าผู้ใช้ทั้งหมด 99% อย่างไรก็ตามหากคุณลืมรหัสผ่านซึ่งเกิดขึ้นบ่อยครั้งในทางปฏิบัติคุณสามารถใช้วิธีนี้ได้

    วิธีที่สามสำหรับบุคคลภายนอกในการค้นหาข้อมูลที่ได้รับการคุ้มครองของเราคือการถอดฮาร์ดไดรฟ์ออกจากคอมพิวเตอร์และเชื่อมต่อกับคอมพิวเตอร์เครื่องอื่นเป็นอุปกรณ์ตัวที่สอง จากนั้นคุณก็สามารถอ่านและคัดลอกความลับของผู้อื่นได้โดยไม่มีปัญหา ด้วยทักษะบางอย่าง ขั้นตอนนี้ใช้เวลา 15...20 นาที

    ดังนั้น ในระหว่างที่คุณไม่อยู่เป็นเวลานาน พยายามป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าไปในห้องซึ่งมีคอมพิวเตอร์อยู่

    การดูแลความปลอดภัยของข้อมูลเป็นอย่างมาก ไม่ใช่งานง่ายซึ่งมีหลายระดับ

    ระดับซอฟต์แวร์และฮาร์ดแวร์

    จากมุมมองสมัยใหม่ กลไกความปลอดภัยต่อไปนี้ควรมีให้ใช้กับระบบข้อมูล:

    • การควบคุมการเข้าถึง,
    • ป้องกัน,
    • การรับรองความถูกต้องและการระบุตัวตนของผู้ใช้
    • การบันทึกและการตรวจสอบ
    • ความปลอดภัย ความพร้อมใช้งานสูง,
    • การเข้ารหัส

    ระดับขั้นตอน

    รวมถึงมาตรการที่ดำเนินการโดยประชาชน ประสบการณ์ที่สะสมในองค์กรในประเทศในการดำเนินมาตรการตามขั้นตอนมาจากอดีตก่อนคอมพิวเตอร์และจำเป็นต้องได้รับการแก้ไขอย่างมีนัยสำคัญ
    มีกลุ่มมาตรการองค์กร (ขั้นตอน) ดังต่อไปนี้:

    ในแต่ละกลุ่มจะต้องมีกฎเกณฑ์ในการปฏิบัติงานของบุคลากร จะต้องจัดตั้งขึ้นในแต่ละองค์กรเฉพาะและดำเนินการในทางปฏิบัติ

    ระดับบริหาร.

    นโยบายความปลอดภัยที่ดำเนินการโดยฝ่ายบริหารขององค์กรเป็นพื้นฐานของมาตรการระดับบริหาร นี่คือชุดการตัดสินใจของฝ่ายบริหารที่จัดทำเป็นเอกสารซึ่งมีจุดมุ่งหมายเพื่อปกป้องข้อมูลตลอดจนทรัพยากรที่เกี่ยวข้อง นโยบายความปลอดภัยอยู่บนพื้นฐานของการวิเคราะห์ความเสี่ยงที่แท้จริงที่คุกคามระบบข้อมูลขององค์กรใดองค์กรหนึ่ง หลังจากการวิเคราะห์แล้ว จะมีการพัฒนากลยุทธ์การป้องกัน นี่คือโปรแกรมสำหรับการจัดสรรเงิน แต่งตั้งผู้รับผิดชอบ มีการกำหนดขั้นตอนในการติดตามการดำเนินงาน ฯลฯ
    เนื่องจากแต่ละองค์กรมีลักษณะเฉพาะของตนเอง จึงไม่สมเหตุสมผลที่จะถ่ายโอนแนวปฏิบัติขององค์กรความมั่นคงแห่งรัฐไปเป็นโครงสร้างเชิงพาณิชย์ส่วนบุคคล ระบบคอมพิวเตอร์หรือ สถาบันการศึกษา- เหมาะสมกว่าที่จะใช้หลักการพื้นฐานของการพัฒนานโยบายความปลอดภัยหรือ เทมเพลตสำเร็จรูปสำหรับองค์กรประเภทหลักๆ

    ระดับนิติบัญญัติ

    นี่คือระดับความปลอดภัยของข้อมูลที่สำคัญที่สุด รวมถึงชุดของมาตรการที่มุ่งสร้างและรักษาทัศนคติเชิงลบในสังคมต่อผู้ฝ่าฝืนและการละเมิดในพื้นที่นี้ จำเป็นต้องสร้างกลไกที่จะเอื้อให้การพัฒนากฎหมายสามารถประสานกับการปรับปรุงเทคโนโลยีสารสนเทศอย่างต่อเนื่อง รัฐจะต้องมีบทบาทในการประสานงานและชี้แนะในเรื่องนี้ มาตรฐานเทคโนโลยีสารสนเทศและความปลอดภัยของข้อมูลของรัสเซียจะต้องสอดคล้องกับระดับสากล ซึ่งจะอำนวยความสะดวกในการมีปฏิสัมพันธ์กับบริษัทต่างประเทศและสาขาต่างประเทศ บริษัทในประเทศ- ขณะนี้ปัญหานี้กำลังได้รับการแก้ไขผ่านการอนุญาตแบบครั้งเดียว ซึ่งมักจะข้ามกฎหมายปัจจุบัน

    การโต้ตอบของความปลอดภัยของข้อมูลทุกระดับเท่านั้นที่จะทำให้มีประสิทธิภาพมากที่สุด

    มาตรการซอฟต์แวร์และฮาร์ดแวร์ขั้นพื้นฐานสำหรับความปลอดภัยของข้อมูล 1

    ที่มา 1

    1. แนวคิดพื้นฐานของระดับความปลอดภัยของข้อมูลซอฟต์แวร์และฮาร์ดแวร์ 1

    2. คุณลักษณะของระบบสารสนเทศสมัยใหม่ที่มีความสำคัญจากมุมมองด้านความปลอดภัย 4

    3. ความปลอดภัยทางสถาปัตยกรรม 6

    (3.1) หลักความปลอดภัยทางสถาปัตยกรรม: 7

    (3.2) เพื่อให้มั่นใจว่ามีความพร้อมใช้งานสูง (ความต่อเนื่องของการดำเนินงาน) 8

    วรรณกรรม 9

    แหล่งที่มา

    พื้นฐานของการรักษาความปลอดภัยของข้อมูล วีเอ กาลาเตนโก. มาตรการซอฟต์แวร์และฮาร์ดแวร์พื้นฐาน [ http://www.intuit.ru/department/security/secbasics/class/free/9/]

    1. แนวคิดพื้นฐานของระดับความปลอดภัยของข้อมูลซอฟต์แวร์และฮาร์ดแวร์

    มาตรการด้านซอฟต์แวร์และฮาร์ดแวร์ ได้แก่ มาตรการที่มุ่งเป้าไปที่การควบคุมหน่วยงานคอมพิวเตอร์ - อุปกรณ์ โปรแกรม และ/หรือข้อมูล ถือเป็นมาตรการรักษาความปลอดภัยข้อมูลขั้นสุดท้ายและสำคัญที่สุด ขอให้เราจำไว้ว่าความเสียหายส่วนใหญ่เกิดจากการกระทำของผู้ใช้ที่ถูกกฎหมาย เกี่ยวข้องกับผู้ที่หน่วยงานกำกับดูแลขั้นตอนไม่ได้ผล ศัตรูหลักคือความไร้ความสามารถและความประมาทในการปฏิบัติหน้าที่ราชการ และมีเพียงมาตรการด้านซอฟต์แวร์และฮาร์ดแวร์เท่านั้นที่จะตอบโต้ได้

    คอมพิวเตอร์ช่วยให้กิจกรรมต่างๆ ของมนุษย์เป็นไปโดยอัตโนมัติ ดูเหมือนเป็นเรื่องปกติที่จะมอบความไว้วางใจในการรักษาความปลอดภัยของตนเองให้กับพวกเขา แม้แต่การป้องกันทางกายภาพก็ยังได้รับความไว้วางใจมากขึ้นเรื่อยๆ ไม่ใช่ให้กับเจ้าหน้าที่รักษาความปลอดภัย แต่เป็นการบูรณาการระบบคอมพิวเตอร์ ซึ่งทำให้สามารถติดตามความเคลื่อนไหวของพนักงานทั้งทั่วทั้งองค์กรและทั่วทั้งองค์กรได้พร้อมๆ กัน พื้นที่ข้อมูล

    นี่เป็นเหตุผลที่สองที่อธิบายความสำคัญของมาตรการด้านซอฟต์แวร์และฮาร์ดแวร์

    อย่างไรก็ตาม ควรคำนึงว่าการพัฒนาอย่างรวดเร็วของเทคโนโลยีสารสนเทศไม่เพียงแต่ให้โอกาสแก่ผู้ปกป้องเท่านั้น แต่ยังทำให้การให้ความคุ้มครองที่เชื่อถือได้มีความซับซ้อนอย่างเป็นกลาง หากใครอาศัยมาตรการในระดับซอฟต์แวร์และทางเทคนิคเพียงอย่างเดียว มีสาเหตุหลายประการ : :

      การเพิ่มความเร็วของวงจรขนาดเล็กการพัฒนาสถาปัตยกรรมที่มีความขนานในระดับสูงทำให้สามารถเอาชนะอุปสรรค (โดยหลักคือการเข้ารหัสลับ) โดยใช้กำลังดุร้ายซึ่งก่อนหน้านี้ดูเหมือนจะไม่สามารถเข้าถึงได้

      การพัฒนาเครือข่ายและเทคโนโลยีเครือข่าย การเพิ่มจำนวนการเชื่อมต่อระหว่างระบบสารสนเทศ การเติบโต แบนด์วิธช่องทางขยายขอบเขตของผู้โจมตีที่มีความสามารถทางเทคนิคในการจัดการโจมตี

      การเกิดขึ้นของบริการข้อมูลใหม่นำไปสู่การก่อตัวของช่องโหว่ใหม่ทั้ง "ภายใน" บริการและที่อินเทอร์เฟซ

      การแข่งขันระหว่างผู้ผลิตซอฟต์แวร์บังคับให้เวลาในการพัฒนาลดลงซึ่งส่งผลให้คุณภาพการทดสอบและการเปิดตัวผลิตภัณฑ์ที่มีข้อบกพร่องด้านความปลอดภัยลดลง

      กระบวนทัศน์ของการเพิ่มพลังของฮาร์ดแวร์และซอฟต์แวร์ที่บังคับใช้กับผู้บริโภคอย่างต่อเนื่องไม่อนุญาตให้มีการเก็บรักษาการกำหนดค่าที่เชื่อถือได้และผ่านการพิสูจน์แล้วในระยะยาว และยิ่งไปกว่านั้น ยังขัดแย้งกับข้อจำกัดด้านงบประมาณ ซึ่งจะช่วยลดส่วนแบ่งของการจัดสรรความปลอดภัย

    ข้อควรพิจารณาที่ระบุไว้เน้นย้ำถึงความสำคัญของแนวทางบูรณาการในการรักษาความปลอดภัยของข้อมูล ตลอดจนความต้องการตำแหน่งที่ยืดหยุ่นในการเลือกและบำรุงรักษาหน่วยงานกำกับดูแลซอฟต์แวร์และฮาร์ดแวร์

    ศูนย์กลางของระดับซอฟต์แวร์และฮาร์ดแวร์คือแนวคิดของบริการรักษาความปลอดภัย

    ตามแนวทางเชิงวัตถุ เมื่อพิจารณาระบบข้อมูลที่มีรายละเอียดเพียงระดับเดียว เราจะเห็นบริการข้อมูลทั้งหมดที่มีให้ มาเรียกพวกเขาว่าพื้นฐานกันดีกว่า เพื่อให้สามารถทำงานได้และมีคุณสมบัติที่ต้องการ จำเป็นต้องมีบริการ (เสริม) เพิ่มเติมหลายระดับ ตั้งแต่ DBMS และการตรวจสอบธุรกรรมไปจนถึงเคอร์เนลและฮาร์ดแวร์ของระบบปฏิบัติการ

    บริการเสริม ได้แก่ บริการรักษาความปลอดภัย (เราพบแล้วเมื่อพิจารณามาตรฐานและข้อกำหนดในด้านความปลอดภัยข้อมูล) ในหมู่พวกเขาจะสนใจเป็นหลักในระดับสากลและระดับสูงที่อนุญาตให้ใช้บริการหลักและบริการเสริมต่างๆ ต่อไปเราจะดูบริการต่อไปนี้:

      การระบุตัวตนและการรับรองความถูกต้อง

      การควบคุมการเข้าถึง

      การบันทึกและการตรวจสอบ

      การเข้ารหัส;

      การควบคุมความสมบูรณ์

      ป้องกัน;

      การวิเคราะห์ความปลอดภัย

      สร้างความมั่นใจในความทนทานต่อความผิดพลาด

      รับประกันการฟื้นตัวอย่างปลอดภัย

      การขุดอุโมงค์;

      ควบคุม.

    จะมีการอธิบายข้อกำหนดสำหรับบริการรักษาความปลอดภัย ฟังก์ชันการทำงาน วิธีการนำไปใช้ที่เป็นไปได้ และสถานที่ในสถาปัตยกรรมโดยรวม

    หากเราเปรียบเทียบรายการบริการที่กำหนดกับคลาสของข้อกำหนดด้านการทำงานของ "เกณฑ์ทั่วไป" แสดงว่าความแตกต่างที่สำคัญนั้นน่าทึ่ง เราจะไม่แก้ไขปัญหาความเป็นส่วนตัวด้วยเหตุผลดังต่อไปนี้ ในความเห็นของเรา บริการรักษาความปลอดภัย อย่างน้อยก็บางส่วนควรอยู่ในการดูแลของบุคคลที่ปกป้อง ในกรณีของความเป็นส่วนตัว นี่ไม่ใช่กรณี: องค์ประกอบที่สำคัญไม่ได้มุ่งเน้นไปที่ฝั่งไคลเอ็นต์ แต่อยู่ที่ฝั่งเซิร์ฟเวอร์ ดังนั้นความเป็นส่วนตัวจึงกลายเป็นทรัพย์สินของสิ่งที่เสนอ บริการข้อมูล(ในกรณีที่ง่ายที่สุด ความเป็นส่วนตัวสามารถทำได้โดยการรักษาความลับของข้อมูลการลงทะเบียนเซิร์ฟเวอร์ และป้องกันการสกัดกั้นข้อมูล ซึ่งบริการรักษาความปลอดภัยที่ระบุไว้ก็เพียงพอแล้ว)

    ในทางกลับกัน รายการของเรากว้างกว่าใน "เกณฑ์ทั่วไป" เนื่องจากมีการป้องกัน การวิเคราะห์ความปลอดภัย และการขุดอุโมงค์ สำคัญของตนเองและยังสามารถใช้ร่วมกับบริการอื่น ๆ เพื่อรับมาตรการรักษาความปลอดภัยที่จำเป็น เช่น เครือข่ายส่วนตัวเสมือน

    [มาตรฐานและข้อมูลจำเพาะของ Galatenko Lek5] “หลักเกณฑ์ทั่วไป”ในความเป็นจริงมันเป็นมาตรฐานเมตาที่กำหนดเครื่องมือประเมินความปลอดภัย IP และวิธีการใช้งาน ต่างจาก Orange Book ตรงที่ OK ไม่มี "คลาสความปลอดภัย" ที่กำหนดไว้ล่วงหน้า คลาสดังกล่าวสามารถสร้างขึ้นได้ ข้อกำหนดด้านความปลอดภัยที่มีอยู่สำหรับองค์กรเฉพาะและ/หรือระบบข้อมูลเฉพาะ

    เราจะเรียกชุดบริการรักษาความปลอดภัยที่ระบุไว้ข้างต้นว่าชุดที่สมบูรณ์ เชื่อกันว่าโดยหลักการแล้ว การสร้างการป้องกันที่เชื่อถือได้ในระดับซอฟต์แวร์และฮาร์ดแวร์ก็เพียงพอแล้ว อย่างไรก็ตาม ขึ้นอยู่กับปัจจัยหลายประการ เงื่อนไขเพิ่มเติม(ไม่มีช่องโหว่ การดูแลระบบที่ปลอดภัย ฯลฯ)

    เพื่อจำแนกบริการรักษาความปลอดภัยและกำหนดตำแหน่งในสถาปัตยกรรมโดยรวม มาตรการรักษาความปลอดภัยสามารถแบ่งออกเป็นประเภทต่อไปนี้:

      การป้องกันการป้องกันการละเมิดความปลอดภัยของข้อมูล

      มาตรการตรวจจับการละเมิด

      การแปล, จำกัดขอบเขตอิทธิพลของการละเมิดให้แคบลง;

      มาตรการในการระบุตัวผู้ฝ่าฝืน

      มาตรการฟื้นฟูระบอบความมั่นคง

    บริการรักษาความปลอดภัยส่วนใหญ่จัดอยู่ในหมวดหมู่ของการป้องกัน และนี่เป็นสิ่งที่ถูกต้องอย่างแน่นอน การตรวจสอบและการตรวจสอบความสมบูรณ์สามารถช่วยในการตรวจจับการละเมิด นอกจากนี้ ยังช่วยให้คุณสามารถตั้งโปรแกรมการตอบสนองต่อการละเมิดเพื่อวัตถุประสงค์ในการแปลและ/หรือการติดตามได้ . จุดเน้นของการยอมรับข้อผิดพลาดและบริการการกู้คืนที่ปลอดภัยนั้นชัดเจน สุดท้ายนี้ การกำกับดูแลมีบทบาทในโครงสร้างพื้นฐาน โดยให้บริการทุกด้านของ IS



บทความที่เกี่ยวข้อง