• بولتن علمی دانشجویی بین المللی. مشکلات اصلی تضمین و تهدید امنیت اطلاعات شرکت

    وضعیت کنونی امنیت اطلاعات روسیه وضعیت یک نهاد دولتی-عمومی جدید است که تنها با در نظر گرفتن دستورات زمان شکل می گیرد. تاکنون کارهای زیادی در مسیر شکل‌گیری آن انجام شده است، اما مشکلات بیشتری وجود دارد که نیاز به آن دارد تصمیم فوری. در سال های اخیر، فدراسیون روسیه تعدادی از اقدامات را برای بهبود امنیت اطلاعات اجرا کرده است. بیایید مهمترین آنها را نام ببریم.

    ابتدا تشکیل پایگاهی برای حمایت قانونی از امنیت اطلاعات آغاز شده است. تعدادی از قوانین تنظیم کننده روابط عمومی در این زمینه تصویب شده و کار برای ایجاد مکانیسم هایی برای اجرای آنها آغاز شده است. تصویب دکترین امنیت اطلاعات توسط رئیس جمهور فدراسیون روسیه در سپتامبر 2001 به یک نتیجه عطف و مبنای قانونی برای حل بیشتر مشکلات در این زمینه تبدیل شد. فدراسیون روسیه(از این پس - دکترین). این مجموعه ای از دیدگاه های رسمی در مورد اهداف، اهداف، اصول و جهت گیری های اصلی تضمین امنیت اطلاعات روسیه است. دکترین به موارد زیر می پردازد:

    اشیاء، تهدیدات و منابع تهدیدات امنیت اطلاعات؛

    پیامدهای احتمالی تهدیدات امنیت اطلاعات؛

    روشها و ابزارهای پیشگیری و خنثی سازی تهدیدات امنیت اطلاعات؛

    ویژگی های تضمین امنیت اطلاعات در حوزه های مختلف زندگی جامعه و دولت؛

    مفاد اصلی سیاست دولتی برای تضمین امنیت اطلاعات در فدراسیون روسیه.

    بر اساس دکترین، موارد زیر انجام می شود:

    تشکیل سیاست دولتی در زمینه تضمین امنیت اطلاعات؛

    تهیه پیشنهادات برای بهبود حمایت قانونی، روش شناختی، علمی، فنی و سازمانی امنیت اطلاعات؛

    توسعه برنامه های هدفمند برای تضمین امنیت اطلاعات.

    ثانیا، تا به امروز، اقدامات اولویت دار برای اطمینان از امنیت اطلاعات در ارگان های دولتی فدرال، ارگان های دولتی نهادهای تشکیل دهنده فدراسیون روسیه، در شرکت ها، موسسات و سازمان ها، صرف نظر از مالکیت، انجام شده است. کار برای ایجاد یک سیستم اطلاعاتی و مخابراتی امن برای اهداف خاص در راستای منافع مقامات دولتی آغاز شده است.

    ثالثاً ایجاد شده:

    سیستم دولتی حفاظت از اطلاعات؛

    سیستم صدور مجوز فعالیت در زمینه حفاظت از اسرار دولتی؛

    سیستم صدور گواهینامه امنیت اطلاعات

    در عین حال، تجزیه و تحلیل وضعیت امنیت اطلاعات نشان می دهد که سطح آن به طور کامل نیازهای زمان را برآورده نمی کند. هنوز تعدادی از مشکلات وجود دارد که به طور جدی مانع از تامین کامل امنیت اطلاعات برای یک فرد، جامعه و دولت می شود. این دکترین مشکلات اصلی زیر را در این زمینه نام می برد. 1.

    شرایط کنونی توسعه سیاسی و اجتماعی-اقتصادی کشور همچنان تضادهای شدیدی را بین نیازهای جامعه برای گسترش تبادل آزاد اطلاعات و نیاز به محدودیت های تنظیم شده جداگانه در انتشار آن حفظ کرده است. 2.

    ناهماهنگی و توسعه نیافتگی مقررات حقوقی روابط عمومی در حوزه اطلاعات، حفظ تعادل لازم بین منافع فرد، جامعه و دولت را در این حوزه دشوار می کند. مقررات قانونی نظارتی ناقص اجازه تکمیل تشکیل آژانس های خبری و رسانه های جمعی روسی رقابتی در قلمرو فدراسیون روسیه را نمی دهد. 3.

    ناامنی حقوق شهروندان در دسترسی به اطلاعات، دستکاری اطلاعات باعث می شود واکنش متقابلجمعیتی که در برخی موارد منجر به بی ثباتی اوضاع سیاسی-اجتماعی جامعه می شود. 4.

    حقوق شهروندان برای حفظ حریم خصوصی، اسرار شخصی و خانوادگی و حریم خصوصی مکاتبات مندرج در قانون اساسی فدراسیون روسیه، عملاً از نظر قانونی، سازمانی و کافی برخوردار نیستند. پشتیبانی فنی. حفاظت از داده های جمع آوری شده توسط مقامات ایالتی فدرال، مقامات نهادهای تشکیل دهنده فدراسیون روسیه، دولت های محلی داده ها در مورد اشخاص حقیقی(اطلاعات شخصی). 5.

    در اجرای سیاست دولت در زمینه تشکیل فضای اطلاعاتی روسیه و همچنین سازماندهی تبادل اطلاعات بین المللی و ادغام فضای اطلاعاتی روسیه در فضای اطلاعاتی جهان شفافیتی وجود ندارد که شرایطی را برای جابجایی خبرگزاری های روسی، رسانه ها از بازار اطلاعات داخلی، منجر به تغییر شکل ساختار تبادل بین المللی می شود. 6.

    حمایت دولت از فعالیت های خبرگزاری های روسی برای تبلیغ محصولات خود به بازار اطلاعات خارجی ناکافی است. 7.

    وضعیت حصول اطمینان از ایمنی اطلاعاتی که یک راز دولتی را تشکیل می دهد، بهبود نمی یابد. 8.

    در نتیجه خروج انبوه مجرب ترین متخصصان از این تیم ها، آسیب جدی به پتانسیل پرسنلی تیم های علمی و تولیدی فعال در زمینه ایجاد اطلاعات، مخابرات و ارتباطات وارد شده است. 9.

    تأخیر فناوری اطلاعات داخلی، ارگان های دولت فدرال، ارگان های دولتی نهادهای تشکیل دهنده فدراسیون روسیه و دولت های محلی را در هنگام ایجاد مجبور می کند. سیستم های اطلاعاتیمسیر خرید تجهیزات وارداتی و جذب شرکت های خارجی را دنبال کنید. به همین دلیل، احتمال دسترسی غیرمجاز به اطلاعات پردازش شده افزایش می یابد و وابستگی روسیه به سازندگان خارجی تجهیزات کامپیوتری و مخابراتی و همچنین نرم افزار افزایش می یابد.

    10. در ارتباط با ورود شدید فناوری اطلاعات خارجی به حوزه فعالیت فرد، جامعه و دولت، و همچنین با استفاده گسترده از اطلاعات باز و سیستم های مخابراتی، ادغام سیستم های اطلاعات داخلی و بین المللی، تهدید استفاده از سلاح های اطلاعاتی علیه زیرساخت های مربوطه روسیه افزایش یافته است. کار برای مقابله کافی با این تهدیدها در شرایط ناهماهنگی ناکافی و بودجه ضعیف در حال انجام است. توجه لازم به توسعه اکتشافات فضایی و جنگ الکترونیک نمی شود.

    تضمین امنیت اطلاعات مستلزم حل طیف وسیعی از وظایف است. این دکترین مهمترین آنها را فهرست می کند:

    توسعه جهت های اصلی سیاست دولتی در زمینه تضمین امنیت اطلاعات و همچنین فعالیت ها و مکانیسم های مربوط به اجرای این سیاست.

    توسعه و بهبود سیستم امنیت اطلاعات که سیاست واحد دولتی را در این زمینه اجرا می کند، شامل بهبود اشکال، روش ها و ابزارهای شناسایی، ارزیابی و پیش بینی تهدیدات امنیت اطلاعات و همچنین سیستمی برای مقابله با این تهدیدات.

    توسعه برنامه های هدفمند فدرال برای تضمین امنیت اطلاعات؛

    توسعه معیارها و روش‌هایی برای ارزیابی اثربخشی سیستم‌ها و ابزارهای امنیت اطلاعات و همچنین صدور گواهینامه آنها.

    بهبود چارچوب نظارتی برای تضمین امنیت اطلاعات؛

    ایجاد مسئولیت مقامات فدرال و خودگردانی محلی، اشخاص حقوقیو شهروندان برای انطباق با الزامات امنیت اطلاعات؛

    هماهنگی فعالیت های مقامات دولتی، شرکت ها، موسسات و سازمان ها، صرف نظر از مالکیت در زمینه امنیت اطلاعات.

    توسعه مبانی علمی و عملی برای تضمین امنیت اطلاعات با در نظر گرفتن وضعیت ژئوپلیتیک فعلی، شرایط توسعه سیاسی و اجتماعی-اقتصادی روسیه و واقعیت تهدیدات برای استفاده از سلاح های اطلاعاتی.

    ایجاد مکانیسم هایی برای تشکیل و اجرای سیاست اطلاعات دولتی روسیه.

    افزایش اثربخشی مشارکت دولت در شکل‌گیری سیاست اطلاعاتی سازمان‌های رادیویی و تلویزیونی دولتی و غیره بودجه عمومیرسانه های جمعی؛

    تضمین استقلال فن آوری فدراسیون روسیه در مهمترین زمینه های اطلاعات، مخابرات و ارتباطات، که امنیت آن را تعیین می کند، در درجه اول در زمینه ایجاد فناوری کامپیوتری تخصصی برای سلاح ها و تجهیزات نظامی.

    توسعه روش ها و ابزارهای مدرن حفاظت از اطلاعات، تضمین امنیت فناوری اطلاعات، در درجه اول در سیستم های فرماندهی و کنترل برای نیروها و سلاح ها، صنایع خطرناک برای محیط زیست و از نظر اقتصادی مهم؛

    توسعه و بهبود سیستم های حفاظت از اطلاعات و اسرار دولتی؛ ایجاد یک پایه فناوری امن برای دولت در زمان صلح، در شرایط اضطراری و در زمان جنگ؛

    گسترش تعامل با نهادها و سازمان های بین المللی و خارجی برای تضمین امنیت اطلاعات ارسال شده با استفاده از سیستم های مخابراتی و سیستم های ارتباطی بین المللی.

    فراهم کردن شرایط برای توسعه فعال روسیه زیرساخت اطلاعاتیمشارکت روسیه در ایجاد و استفاده از شبکه ها و سیستم های اطلاعاتی جهانی؛

    ایجاد سیستمی برای آموزش پرسنل در زمینه امنیت اطلاعات و فناوری اطلاعات.

    مهمترین وظیفه در تضمین امنیت اطلاعات روسیه، اجرای یک بررسی جامع از منافع فرد، جامعه و دولت در این زمینه است.

    دکترین این منافع را چنین تعریف می کند:

    منافع فرد در حوزه اطلاعات شامل اجرای حقوق اساسی یک فرد و یک شهروند برای دسترسی به اطلاعات، استفاده از اطلاعات به منظور انجام فعالیت هایی است که توسط قانون ممنوع نشده است، رشد فیزیکی، معنوی و فکری. و همچنین در حفاظت از اطلاعاتی که امنیت شخصی را تضمین می کند.

    منافع جامعه در حوزه اطلاعات تضمین منافع جامعه در این زمینه، تقویت دموکراسی، ایجاد یک دولت اجتماعی قانونی، دستیابی و حفظ هماهنگی عمومی و تجدید معنوی روسیه است.

    منافع دولت در حوزه اطلاعات ایجاد شرایط برای توسعه هماهنگ زیرساخت اطلاعات روسیه، اجرای حقوق و آزادی های قانون اساسی یک شخص (شهروند) در زمینه کسب اطلاعات است. در عین حال، لازم است از این حوزه فقط برای اطمینان از نقض ناپذیری نظم قانون اساسی، حاکمیت و تمامیت ارضی روسیه، ثبات سیاسی، اقتصادی و اجتماعی، در ارائه بی قید و شرط قانون و نظم، توسعه استفاده شود. همکاری های بین المللی برابر و متقابلا سودمند.

    رعایت اصل توازن منافع شهروندان، جامعه و دولت در حوزه اطلاعات مستلزم تثبیت قانونی اولویت این منافع در زمینه های مختلف زندگی جامعه و همچنین استفاده از اشکال مختلف کنترل عمومی بر فعالیت های مقامات ایالتی فدرال و مقامات ایالتی نهادهای تشکیل دهنده فدراسیون روسیه. اجرای تضمین حقوق و آزادی های قانون اساسی یک فرد و یک شهروند مرتبط با فعالیت در حوزه اطلاعات مهمترین وظیفه دولت در زمینه امنیت اطلاعات است.

    روش های کلی برای حل مشکلات کلیدی در تضمین امنیت اطلاعات این دکترین به سه گروه ترکیب می شود: حقوقی.

    سازمانی و فنی؛ اقتصادی

    روش های حقوقی شامل توسعه قوانین قانونی نظارتی تنظیم کننده روابط در حوزه اطلاعات و اسناد روش شناختی نظارتی در مورد مسائل تضمین امنیت اطلاعات فدراسیون روسیه است (آنها به طور مفصل در فصل 4 این کتابچه راهنمای کاربر مورد بحث قرار گرفته اند).

    روش های سازمانی و فنی برای تضمین امنیت اطلاعات عبارتند از:

    ایجاد و بهبود سیستم های امنیت اطلاعات؛ تقویت فعالیت های اجرای قانون مقامات، از جمله پیشگیری و سرکوب تخلفات در حوزه اطلاعات؛

    بهبود ابزارها و روش های امنیت اطلاعات برای نظارت بر اثربخشی این ابزارها، توسعه سیستم های مخابراتی امن، افزایش قابلیت اطمینان نرم افزار.

    ایجاد سیستم‌ها و وسایلی برای جلوگیری از دسترسی غیرمجاز به اطلاعات و اثراتی که باعث تخریب، تخریب، تحریف اطلاعات، تغییر در حالت‌های منظم عملکرد سیستم‌ها و وسایل اطلاع‌رسانی و ارتباطات می‌شود.

    شناسایی دستگاه ها و برنامه های فنی که عملکرد سیستم های اطلاعاتی و مخابراتی را به خطر می اندازد، جلوگیری از شنود اطلاعات توسط کانال های فنی، کاربرد ابزار رمزنگاریحفاظت از اطلاعات، کنترل بر اجرای الزامات ویژه برای حفاظت از اطلاعات؛

    صدور گواهینامه ابزارهای حفاظت از اطلاعات، صدور مجوز فعالیت در زمینه حفاظت از اسرار دولتی، استانداردسازی روش ها و ابزارهای حفاظت از اطلاعات؛

    بهبود سیستم صدور گواهینامه تجهیزات و نرم افزارهای مخابراتی سیستم های خودکارپردازش اطلاعات بر اساس الزامات امنیت اطلاعات؛

    کنترل بر اقدامات پرسنل در سیستم های اطلاعاتی، آموزش در زمینه امنیت اطلاعات؛

    تشکیل نظام پایش شاخص ها و ویژگی های امنیت اطلاعات در مهمترین حوزه های زندگی و فعالیت جامعه و دولت.

    روش های اقتصادی برای تضمین امنیت اطلاعات عبارتند از: توسعه برنامه های امنیت اطلاعات و تعیین روش تامین مالی آنها.

    بهبود سیستم تامین مالی کارهای مربوط به اجرای روشهای قانونی و سازمانی و فنی حفاظت اطلاعات، ایجاد سیستم بیمه خطرات اطلاعاتیاشخاص حقیقی و حقوقی.

    طبق دکترین، دولت در فرآیند اجرای وظایف خود برای تضمین امنیت اطلاعات:

    تجزیه و تحلیل و پیش بینی عینی و جامع تهدیدات امنیت اطلاعات را انجام می دهد، اقداماتی را برای اطمینان از آن ایجاد می کند.

    کار مقامات را برای اجرای مجموعه ای از اقدامات با هدف جلوگیری، دفع و خنثی کردن تهدیدات امنیت اطلاعات سازماندهی می کند.

    از فعالیت های انجمن های عمومی با هدف اطلاع رسانی عینی مردم در مورد پدیده های مهم اجتماعی حمایت می کند زندگی عمومیمحافظت از جامعه در برابر اطلاعات تحریف شده و غیر قابل اعتماد؛

    کنترل توسعه، ایجاد، توسعه، استفاده، صادرات و واردات ابزارهای امنیت اطلاعات را از طریق صدور گواهینامه و صدور مجوز فعالیت در زمینه امنیت اطلاعات اعمال می کند.

    سیاست حمایتی لازم را در رابطه با تولید کنندگان ابزارهای اطلاعات و حفاظت اطلاعات در قلمرو فدراسیون روسیه دنبال می کند و اقداماتی را برای محافظت از بازار داخلی از نفوذ ابزارهای اطلاعاتی با کیفیت پایین و محصولات اطلاعاتی به آن انجام می دهد.

    کمک به دسترسی اشخاص حقیقی و حقوقی به منابع اطلاعاتی جهان، شبکه های اطلاعاتی جهانی؛

    ارسال کار خوب خود در پایگاه دانش ساده است. از فرم زیر استفاده کنید

    دانشجویان، دانشجویان تحصیلات تکمیلی، دانشمندان جوانی که از دانش پایه در تحصیل و کار خود استفاده می کنند از شما بسیار سپاسگزار خواهند بود.

    میزبانی شده در http://www.allbest.ru/

    معرفی

    از دیدگاه فناوری اطلاعات محصول سیستم های اطلاعاتی است. مانند هر محصول دیگری، کیفیت اطلاعات از اهمیت بالایی برخوردار است، یعنی توانایی برآوردن نیازهای اطلاعاتی خاص.

    ارتباط این کار کنترلی به نظر می رسد تضمین امنیت اطلاعات در روسیه مدرن یک فرآیند پیچیده و خاص است که در معرض نفوذ بسیاری از خارجی ها قرار دارد عوامل داخلی. ماهیت خاص این فرآیند با شرایط سیاسی که در آن اتفاق می افتد تعیین می شود.

    وظایف این کنترل:

    1. امنیت اطلاعات و اجزای آن را در نظر بگیرید.

    2. مشکلات امنیت اطلاعات را در نظر بگیرید.

    3. بررسی حمایت حقوقی امنیت اطلاعات.

    کیفیت اطلاعات است مفهوم پیچیده، بر اساس سیستم اصلی شاخص ها است که شامل شاخص های سه طبقه است:

    * کلاس موضوع (به موقع بودن، مرتبط بودن، کامل بودن، دسترسی و غیره)؛

    * کلاس پردازش (قابلیت اطمینان، کفایت و موارد دیگر)؛

    * کلاس امنیتی (یکپارچگی فیزیکی، یکپارچگی منطقی، امنیت).

    به موقع بودن اطلاعات با زمان صدور (دریافت) ارزیابی می شود که طی آن اطلاعات ارتباط خود را از دست نداده است.

    ارتباط اطلاعات به میزانی است که با لحظه کنونی زمان مطابقت دارد. ارتباط اغلب با ارزش تجاری اطلاعات مرتبط است. اطلاعاتی که منسوخ شده و ارتباط خود را از دست داده اند می توانند منجر به تصمیم گیری های اشتباه شوند و در نتیجه ارزش عملی خود را از دست بدهند. کامل بودن اطلاعات تعیین کننده کافی بودن داده ها برای تصمیم گیری یا ایجاد داده های جدید بر اساس داده های موجود است. هرچه داده ها کامل تر باشند، انتخاب روشی که حداقل خطاها را در جریان فرآیند اطلاعات معرفی می کند آسان تر است.

    قابلیت اطمینان اطلاعات، میزان تطابق بین اطلاعات دریافتی و خروجی است.

    کفایت اطلاعات میزان انطباق با وضعیت عینی واقعی امور است. هنگامی که اطلاعات جدید از داده های ناقص یا ناکافی ایجاد می شود، می توان اطلاعات ناکافی تولید کرد. با این حال، هر دو داده کامل و قابل اعتماد می توانند منجر به ایجاد اطلاعات ناکافی در صورت اعمال روش های ناکافی برای آنها شود.

    در دسترس بودن اطلاعات - اندازه گیری توانایی به دست آوردن این یا آن اطلاعات. عدم دسترسی به داده ها یا عدم وجود روش های مناسب پردازش داده ها منجر به همین نتیجه می شود: اطلاعات در دسترس نیست. یکی از شاخص ترین شاخص های کیفیت اطلاعات، امنیت آن است.

    ساختار این آزمون کار کنترلی شامل: مقدمه، سه فصل، نتیجه گیری، فهرست منابع است.

    I. امنیت اطلاعات و اجزای آن

    مشکل تضمین امنیت اطلاعات از زمانی که مردم شروع به تبادل اطلاعات، جمع آوری و ذخیره آن کردند، مطرح بوده است. در هر زمان، نیاز به حفظ امن مهمترین دستاوردهای بشر برای انتقال آنها به فرزندان آنها وجود داشت. به همین ترتیب، نیاز به تبادل اطلاعات محرمانه و حفاظت قابل اعتماد آن وجود داشت.

    با شروع استفاده انبوه از رایانه، مشکل امنیت اطلاعات به ویژه حاد شده است. از یک سو رایانه ها به حامل اطلاعات و در نتیجه یکی از مجاری کسب آن اعم از مجاز و غیرمجاز تبدیل شده اند. از سوی دیگر، کامپیوترها مانند هر وسیله فنی، مستعد خرابی و خطا هستند که می تواند منجر به از دست رفتن اطلاعات شود. امنیت اطلاعات به عنوان محافظت از اطلاعات در برابر تداخل تصادفی یا عمدی که برای صاحبان یا کاربران آن مضر است، درک می شود. با افزایش اهمیت و ارزش اطلاعات، اهمیت حفاظت از آن نیز افزایش می یابد. از یک سو، اطلاعات به یک کالا تبدیل شده و از بین رفتن یا افشای نابهنگام آن باعث می شود آسیب مادی. از سوی دیگر، اطلاعات سیگنالی برای مدیریت فرآیندهای جامعه و فناوری است و مداخله غیرمجاز در فرآیندهای مدیریتی می‌تواند منجر به پیامدهای فاجعه‌باری شود.

    حفاظت حقوقی امنیت اطلاعات

    II. مشکل امنیت اطلاعات

    مشکل امنیت اطلاعات مدت ها پیش مطرح شد و ریشه های تاریخی عمیقی دارد. تا همین اواخر، روش های حفاظت از اطلاعات در صلاحیت انحصاری سرویس های ویژه ای بود که امنیت کشور را تضمین می کرد. با این حال، فناوری‌های جدید برای اندازه‌گیری، انتقال، پردازش و ذخیره‌سازی اطلاعات، دامنه فعالیت‌های افرادی را که نیاز به حفاظت از اطلاعات دارند، به طور قابل توجهی گسترش داده، منجر به توسعه و انتشار روش‌های جدید دسترسی غیرمجاز به اطلاعات و در نتیجه، توسعه فشرده یک جدید جهت علمی- "امنیت اطلاعات". همه اینها، اول از همه، با ظهور سیستم های پردازش داده مبتنی بر رایانه و همچنین با توسعه سریع سیستم های انتقال داده مرتبط است. دلایلی وجود دارد که منجر به نیاز به توسعه روش های جدید حفاظت از اطلاعات و توسعه بیشتر روش های سنتی شده است. اولین سیستم های استفاده جمعی از رایانه ها و سپس ادغام آنها در شبکه های جهانی و محلی، فناوری ها سیستم های بازقبلاً در مرحله اول ، آنها نیاز به محافظت از اطلاعات در برابر خطاهای تصادفی اپراتورها ، خرابی تجهیزات ، منبع تغذیه و غیره را شناسایی کردند. رشد سریع ظرفیت دستگاه های ذخیره سازی خارجی و راندمان بالای استفاده از آنها در سیستم های کنترل خودکار منجر به ایجاد پایگاه های اطلاعاتی (پایگاه های اطلاعاتی) با ظرفیت بسیار زیاد و هزینه های بالا شده و در عین حال مشکلاتی را در حفاظت از آنها چه در برابر حوادث مختلف و چه در برابر حوادث مختلف ایجاد کرده است. از دسترسی غیرمجاز سیستم های اطلاعاتی مدرن اساس فنی مقامات دولتی، شرکت های صنعتی و سازمان های تحقیقاتی، موسسات بخش اعتباری و مالی، بانک ها و غیره را تشکیل می دهند. امروزه که کامپیوتر به طور محکم وارد زندگی روزمره ما شده است، ما به طور فزاینده ای مجبور می شویم اسرار خود را (مالی، صنعتی، پزشکی و غیره) به آن اعتماد کنیم و در این راستا مسائل امنیت اطلاعات در حال فراگیر شدن است.

    جز صرفا وظایف فنیتوسعه ابزار امنیت اطلاعات، جنبه های نظارتی، فنی، سازمانی، قانونی، حقوقی و غیره دارد. وظایف اصلی در نظر گرفته شده توسط متخصصان امنیت اطلاعات (و همچنین انتشارات مربوط به این موضوع) مربوط به اطمینان از امنیت استفاده از شبکه های جهانی و محلی، مشکلات شبکه جهانی کامپیوتر اینترنت، "هکرها"، "ویروس ها" و غیره است. با جمع بندی آنچه گفته شد، می توان اقدامات فنی، سازمانی و قانونی را برای تضمین امنیت اطلاعات و جلوگیری از جرایم رایانه ای مشخص کرد.

    اقدامات فنی شامل:

    1. حفاظت در برابر دسترسی غیرمجاز.

    2. رزرو ویژه اجزای مهمزیر سیستم ها؛

    3. سازماندهی شبکه های کامپیوتری با توزیع مجدد منابع در صورت اختلال موقت در عملکرد هر بخشی از شبکه.

    4. ایجاد وسایل تشخیص و اطفاء حریق.

    5. ایجاد دستگاه های تشخیص نشت آب.

    6. حفاظت فنی در برابر سرقت، خرابکاری، خرابکاری، انفجار.

    7. تکرار منبع تغذیه;

    8. دستگاه های قفل قابل اعتماد.

    9. دستگاه های سیگنال دهی برای خطرات مختلف.

    اقدامات سازمانی عبارتند از:

    1. حفاظت قابل اعتماد.

    2. انتخاب پرسنل قابل اعتماد.

    3. سازماندهی مناسب کار کارکنان.

    4. یک طرح برنامه ریزی شده برای بازگرداندن عملکرد مرکز داده پس از شکست.

    5. سازماندهی نگهداری و کنترل کار مرکز کامپیوتر توسط اشخاصی که علاقه ای به کتمان جرایم ندارند.

    6. ایجاد وسایل حفاظت از اطلاعات از هر شخص، از جمله پرسنل مدیریت.

    7. اقدامات مقرر در مسئولیت اداری و کیفری برای نقض قوانین کار.

    8. انتخاب درستمحل یک مرکز اطلاعات با سخت افزار و نرم افزار گران قیمت.

    اقدامات قانونی عبارتند از:

    1. توسعه هنجارهای کیفری مسئولیت جرایم رایانه ای.

    3. بهبود قوانین جزایی و مدنی.

    4. بهبود روند قضایی جرایم رایانه ای.

    5. کنترل عمومی بر توسعه دهندگان سیستم های کامپیوتری;

    6. تصویب تعدادی از موافقت نامه های بین المللی مربوط به امنیت اطلاعات.

    این یک مشکل علمی و فنی بسیار بزرگ است و طبیعتاً نمی‌توانیم آن را به طور کامل پوشش دهیم و فقط به مفاهیم اساسی، تعاریف و ابزارهای حفاظتی در دسترس کاربر می‌پردازیم و از نزدیک‌ترین مشکل یک کاربر معمولی شروع می‌کنیم. - با ذخیره اطلاعاتی که مربوط به آن نیست دسترسی غیرمجاز.

    III. پشتیبانی قانونیامنیت اطلاعات

    اقدامات قانونی برای تضمین امنیت اطلاعات عبارتند از: توسعه قوانینی که مسئولیت جرایم رایانه ای را ایجاد می کند. حفاظت از حق چاپ برنامه نویسان؛ بهبود قوانین کیفری و مدنی و نیز رسیدگی های حقوقی. اقدامات قانونی همچنین باید شامل کنترل عمومی بر توسعه دهندگان سیستم های رایانه ای و تصویب موافقت نامه های بین المللی مربوطه باشد. تا همین اواخر، فدراسیون روسیه توانایی مبارزه موثر با جرایم رایانه ای را نداشت، زیرا این جرایم را نمی توان غیرقانونی تلقی کرد، زیرا قانون کیفری واجد شرایط نبود. تا تاریخ 1 ژانویه 1997، در سطح قوانین فعلی روسیه، تنها حفاظت از حقوق مؤلف توسعه دهندگان نرم افزار و تا حدی حفاظت از اطلاعات در چارچوب اسرار دولتی می تواند به طور رضایت بخشی تنظیم شود، اما حقوق دسترسی شهروندان به اطلاعات و حفاظت از اطلاعات مرتبط با جرایم رایانه ای.

    تا حدی، این مشکلات پس از لازم الاجرا شدن در 1 ژانویه 1997 قانون جزایی جدید (CC) که توسط دومای ایالتی در 24 مه 1996 تصویب شد، حل شد. در قانون جزایی جدید، مسئولیت جرایم رایانه ای توسط هنر تعیین شده است. . هنر 272، 273 و 274. هنر. 272 قانون جزایی جدید مسئولیت دسترسی غیرقانونی به اطلاعات کامپیوتری(در یک حامل ماشین در یک کامپیوتر یا شبکه ای از رایانه ها)، اگر این امر منجر به تخریب، مسدود کردن، تغییر یا کپی کردن اطلاعات یا اختلال در سیستم رایانه شده باشد. (مسدود کردن به عنوان تأثیری بر روی رایانه یا سیستم رایانه ای تلقی می شود که منجر به ناتوانی موقت یا دائمی در انجام هرگونه عملیات روی اطلاعات می شود.)

    این مقاله از حق مالک برای حفظ حریم خصوصی اطلاعات در سیستم محافظت می کند. مالک یک سیستم اطلاعاتی می تواند هر شخصی باشد که به طور قانونی از خدمات پردازش اطلاعات به عنوان مالک یک سیستم کامپیوتری یا به عنوان شخصی که حق استفاده از آن را کسب کرده است استفاده می کند. عمل مجرمانه ای که مسئولیت آن در هنر پیش بینی شده است. 272، شامل دسترسی غیرقانونی به اطلاعات رایانه ای است که توسط قانون محافظت می شود، که همیشه دارای خاصیت انجام اقدامات خاصی است و می تواند به صورت نفوذ به یک سیستم رایانه ای از طریق استفاده از ابزارهای فنی یا خاص بیان شود. ابزارهای نرم افزاریفائق آمدن توسط سیستم نصب شده استحفاظت؛ استفاده غیرقانونی از رمزهای عبور معتبر یا تغییر چهره به عنوان یک کاربر قانونی برای نفوذ به رایانه، سرقت رسانه های ذخیره سازی (به شرطی که اقدامات لازم برای محافظت از آنها انجام شود)، در صورتی که منجر به تخریب یا مسدود شدن اطلاعات شود. (دسترسی در صورتی مشروع تلقی می شود که توسط دارنده حق چاپ، مالک اطلاعات یا سیستم مجاز باشد.

    دسترسی غیرقانونی است اگر شخصی حق دسترسی نداشته باشد یا حق دسترسی داشته باشد اما با نقض آن از آن استفاده کند. نظم برقرار کرد.) برای شروع مسؤولیت کیفری، لزوماً باید بین دسترسی غیرمجاز به اطلاعات و شروع مفاد این ماده رابطه سببیت وجود داشته باشد. 272 عواقب، در حالی که تصادف زمانی تصادفی دسترسی غیرقانونی و نقص در سیستم رایانه ای که باعث این عواقب شده است، مسئولیت کیفری را به دنبال ندارد.

    دسترسی غیرقانونی به اطلاعات رایانه باید عمداً انجام شود، یعنی. با ارتکاب این جرم، شخص آگاه است که به طور غیرقانونی به سیستم رایانه ای نفوذ می کند، احتمال یا اجتناب ناپذیر بودن عواقب مندرج در قانون را پیش بینی می کند، آرزو می کند و آگاهانه اجازه وقوع آنها را می دهد یا با آنها بی تفاوت رفتار می کند. بنابراین، از جنبه ذهنی، جرم تحت هنر. 272 با وجود قصد مستقیم یا غیر مستقیم مشخص می شود. انگیزه ها و اهداف این جنایت می تواند بسیار متفاوت باشد: مزدوری، با هدف ایجاد آسیب (از انگیزه های قلدری، رقابتی یا سایر انگیزه ها) یا آزمایش توانایی های حرفه ای و غیره. از آنجایی که انگیزه و هدف جرم در هنر. 272 در نظر گرفته نمی شود، می توان آن را برای انواع حملات رایانه ای اعمال کرد. هنر ماده 272 قانون جزا شامل دو بخش است. در قسمت اول، شدیدترین مجازات برای مجرم، حبس تا دو سال است. قسمت دوم به عنوان نشانه های تقویت کننده نشان می دهد مسئولیت کیفریارتکاب جرم توسط گروهی از افراد یا با استفاده مجرم از موقعیت رسمی خود و همچنین افرادی که به سامانه اطلاعاتی دسترسی دارند و مجازات تا پنج سال را می دهد. در عین حال، محل موضوع جرم (مثلاً بانکی که اطلاعات آن به طور غیرقانونی برای مقاصد مجرمانه دسترسی پیدا کرده است) که ممکن است خارجی باشد، اهمیتی ندارد.

    طبق قانون کیفری تنها افرادی که به سن 16 سالگی رسیده باشند می توانند مشمول جرایم رایانه ای شوند. هنر 272 قانون جزا شرایطی را تنظیم نمی کند که دسترسی غیرقانونی به اطلاعات از طریق سهل انگاری اتفاق می افتد، زیرا اغلب اثبات قصد مجرمانه در هنگام بررسی شرایط دسترسی بسیار دشوار است. بنابراین، هنگام دنبال کردن پیوندها از یک رایانه به رایانه دیگر در اینترنت، که میلیون‌ها رایانه را به هم متصل می‌کند، می‌توانید به راحتی بدون اینکه متوجه شوید وارد منطقه اطلاعات محافظت شده یک رایانه شوید (اگرچه هدف ممکن است تجاوز جنایی نیز باشد). هنر 273 قانون جزا مسئولیت کیفری را برای ایجاد، استفاده و توزیع برنامه های مخرب برای رایانه ها یا اصلاح نرم افزارهایی که آگاهانه منجر به تخریب، مسدود کردن، تغییر، کپی کردن اطلاعات یا اختلال در سیستم های اطلاعاتی غیرمجاز می شود، تعیین می کند. این مقاله از حقوق صاحب یک سیستم رایانه ای در مورد مصون ماندن اطلاعات ذخیره شده در آن محافظت می کند. بدافزار به هر برنامه ای گفته می شود که به طور خاص برای ایجاد اختلال در عملکرد عادی سایر برنامه های رایانه ای طراحی شده است.

    عملکرد عادی به عنوان عملکرد عملیاتی است که این برنامه ها برای آنها در نظر گرفته شده است و در مستندات برنامه تعریف شده است. رایج‌ترین برنامه‌های مخرب ویروس‌های رایانه‌ای، بمب‌های منطقی و برنامه‌هایی هستند که به اسب‌های تروجان معروف هستند. مسئول بودن طبق ماده. لزوماً شروع هیچ عواقب نامطلوبی برای صاحب اطلاعات نیست، صرفاً ایجاد برنامه های مخرب یا ایجاد تغییرات در قبلاً برنامه های موجود، آگاهانه منجر به عواقب مشخص شده در مقاله می شود. استفاده از برنامه ها انتشار، بازتولید، توزیع و سایر اقدامات آنها برای در گردش است. استفاده از برنامه ها را می توان با ضبط در حافظه کامپیوتر یا بر روی یک رسانه فیزیکی، توزیع بر روی شبکه ها یا با انتقال دیگر به سایر کاربران انجام داد.

    مسئولیت کیفری طبق ماده. 273 در حال حاضر در نتیجه ایجاد برنامه های مخرب، صرف نظر از استفاده واقعی آنها، ایجاد می شود. حتی در دسترس بودن کد منبع برنامه ها مبنای پیگرد قانونی است. استثنا فعالیت سازمان هایی است که ابزارهای ضد بدافزار را توسعه می دهند و دارای مجوزهای مناسب هستند. این مقاله از دو بخش تشکیل شده است که در نشانه نگرش مجرم به اقدامات انجام شده متفاوت است. بخش 1 جرایمی را که عمداً مرتکب شده اند، با آگاهی از اینکه ایجاد، استفاده یا توزیع برنامه های مخرب باید آگاهانه منجر به نقض یکپارچگی اطلاعات شود، ارائه می دهد. در عین حال، مسئولیت بدون توجه به اهداف و انگیزه‌های تجاوز به وجود می‌آید که می‌تواند کاملاً مثبت باشد (به عنوان مثال، حفاظت از حقوق شخصی شهروندان، مبارزه با خطرات انسان‌ساز، حفاظت از محیط زیست و غیره). حداکثر مجازات قسمت اول حبس تا سه سال است. طبق قسمت 2، یک ویژگی واجد شرایط اضافی، شروع عواقب شدید ناشی از سهل انگاری است. در این صورت فرد آگاه است که خلق می کند، استفاده می کند یا توزیع می کند بد افزاریا حاملان آن و احتمال عواقب جدی را پیش بینی می کند، اما بدون دلیل کافی انتظار دارد از آنها جلوگیری کند، یا این پیامدها را پیش بینی نمی کند، اگرچه به عنوان یک برنامه نویس بسیار ماهر می توانست و موظف بود آنها را پیش بینی کند. از آنجایی که عواقب آن می تواند بسیار جدی باشد (مرگ یا آسیب به سلامتی انسان، خطر یک فاجعه نظامی یا سایر حوادث، حوادث ترافیکی)، حداکثر مجازات طبق قسمت 2 هفت سال زندان است. لازم به ذکر است که در قانون به میزان ضرر وارده اشاره نشده است، بر خلاف سرقت که بین سرقت ساده، سرقت در مقیاس بزرگ و سرقت در مقیاس بزرگ تفاوت قائل می شود. در اینجا فقط واقعیت جرم ثابت می شود و میزان خسارت فقط بر ارزیابی شدت آن و میزان مسئولیت تأثیر می گذارد. در نهایت، هنر. 274 قانون جزا مسئولیت نقض قوانین عملکرد رایانه ها، سیستم های رایانه ای یا شبکه ها توسط شخصی که به آنها دسترسی دارد، که منجر به تخریب، مسدود کردن یا تغییر اطلاعات محافظت شده توسط قانون می شود، در صورتی که این عمل باعث قابل توجهی شود، ایجاد می کند. صدمه. این مقاله از منافع صاحب یک سیستم رایانه ای در رابطه با عملکرد صحیح آن محافظت می کند و فقط برای شبکه های محلی سازمان ها اعمال می شود. به جهانی شبکه های کامپیوتر، مانند اینترنت، این مقاله اعمال نمی شود.

    اطلاعات حفاظت شده قانونی به اطلاعاتی اطلاق می شود که قوانین خاص رژیمی را برای حمایت قانونی آن تعیین می کند. باید بین واقعیت نقض قوانین عملیاتی و ضرر قابل توجه ناشی از آن رابطه علی برقرار شود و کاملاً ثابت شود که پیامدهای زیانباری که رخ داده است نتیجه نقض قوانین است. تشخیص ضرر و زیان ناشی از آن با توجه به اوضاع و احوال پرونده توسط دادگاه تعیین می شود و ضرر قابل توجه کمتر از عواقب سنگین آن است.

    موضوع این ماده شخصی است که به موجب وظایف رسمی خود به سیستم رایانه ای دسترسی داشته و موظف به رعایت ضوابط مقرر برای آنها می باشد. قوانین فنی. طبق قسمت 1 ماده، او باید اعمال خود را عمداً انجام دهد. آگاه باشید که قوانین عملکرد را نقض می کند. پیش بینی احتمال یا اجتناب ناپذیری نفوذ غیرقانونی بر اطلاعات و ایجاد آسیب قابل توجه، آرزو یا آگاهانه اجازه ایجاد چنین آسیبی یا بی تفاوتی نسبت به وقوع آن. اشد مجازات در این مورد محرومیت از تصرف برخی مناصب یا انجام برخی فعالیت ها تا پنج سال و یا محدودیت آزادی تا دو سال است. بخش 2 هنر. 274 مسئولیت همان اعمالی را که عمدی نبوده اند، اما به دلیل سهل انگاری منجر به عواقب جدی شده است، به عنوان مثال، برای نصب یک برنامه آلوده بدون اسکن آنتی ویروس، که منجر به عواقب جدی (خسارات مالی بزرگ، حوادث ترافیکی، از دست دادن آرشیوهای مهم، اختلال در پشتیبانی از زندگی سیستم در بیمارستان و غیره). مجازات این جرم با توجه به عواقب ناشی از آن توسط دادگاه تعیین می شود و حداکثر مجازات آن حبس تا چهار سال می باشد. همانطور که ملاحظه می شود مواد مد نظر قانون جزا شامل انواع جرایم رایانه ای نمی شود که تنوع آنها همراه با پیشرفت در زمینه جرایم رایانه ای افزایش می یابد. فناوری رایانهو استفاده از آن

    علاوه بر این، برخی از عبارات مقالات قابل تفسیر مبهم است، به عنوان مثال، در تعریف قصد سوء. بنابراین، تکمیل و بهبود بیشتر این مقالات امکان پذیر است.

    نتیجه

    امنیت اطلاعات در زمینه جهانی شدن و باز بودن روزافزون کشورها بازی می کند نقش اساسیدر تحقق منافع حیاتی فرد، جامعه و دولت. این به دلیل ایجاد گسترده یک محیط اطلاعاتی توسعه یافته است. از طریق محیط اطلاعاتی، اغلب در شرایط مدرنتهدیدات علیه امنیت ملی فدراسیون روسیه در حال تحقق است.

    امنیت اطلاعات افراد جامعه و دولت تنها با سیستمی از اقدامات هدفمند و جامع تضمین می شود. از اهمیت ویژه ای برای شکل گیری و اجرای سیاست امنیت اطلاعات، استفاده شایسته از ابزارهای سیاسی است. با این حال، در حال حاضر، مطالعات علمی کافی در مورد مسائل مربوط به تعیین نقش عامل سیاسی در سیستم امنیت اطلاعات وجود ندارد، که بیشتر به دلیل وضعیت گذرا جامعه روسیه و نیاز به بازنگری تعدادی از مشکلات نظری و روش‌شناختی است. .

    عوامل اطلاعاتی به طور فزاینده ای در حوزه های سیاسی، اقتصادی، اجتماعی، نظامی، معنوی زندگی جامعه روسیه اهمیت پیدا می کنند. محیط اطلاعاتیبه عنوان یک عامل ستون فقرات امنیت ملی عمل می کند، به طور فعال بر وضعیت سیاسی، اقتصادی، نظامی، معنوی و غیره تأثیر می گذارد. سیستم مشترکامنیت ملی فدراسیون روسیه. در عین حال، حوزه اطلاعات یک حوزه مستقل از امنیت ملی است که در آن لازم است از حفاظت از منابع اطلاعاتی، سیستم های تشکیل، توزیع و استفاده از آنها، زیرساخت های اطلاعاتی، اجرای حقوق اطلاعات قانونی اطمینان حاصل شود. نهادها و شهروندان

    امنیت اطلاعات به عنوان یک حوزه مستقل از دانش علمی مبتنی بر نظریه امنیت، سایبرنتیک و انفورماتیک است. روش های اصلی مطالعه امنیت اطلاعات در حال حاضر اغلب مشاهده (شامل شامل)، بررسی همتایان، نظرسنجی جامعه شناختی از افکار عمومی (از جمله مصاحبه)، منطقی و مدل سازی ریاضی. شناسایی وضعیت حفاظت از منافع شرکت ها و سازمان هایی که دارای شرکت های بزرگ هستند شبکه های اطلاعاتی، روش ارزیابی های کارشناسی قابل قبول ترین است.

    دستگاه مفهومی امنیت اطلاعات شامل مقوله‌هایی مانند: «امنیت»، «امنیت ملی»، «منافع»، «منافع حیاتی»، «حوزه زندگی»، «اطلاعات»، «جامعه اطلاعاتی»، منابع اطلاعاتی"، "حفاظت"، "سیاست امنیت اطلاعات"، و غیره.

    وظیفه تضمین امنیت ملی روسیه با انتقال ناملموس فناوری همچنان موضوعی است. حوزه هوش به طور فزاینده ای درگیر مسائل می شود آخرین فناوری ها، امور مالی، تجارت، منابع و سایر جنبه های اقتصادی دولت، که دسترسی به آنها در ارتباط با توسعه فرآیندهای ادغام بین المللی باز می شود، معرفی گسترده کامپیوتری در این زمینه های فعالیت.

    جایگاه ویژه ای در قانون باید به روابط حقوقی ناشی از فرآیند استفاده از سیستم ها و شبکه های رایانه ای اختصاص یابد. نیاز به سازوکار دولتی برای رسیدگی به جرایم رایانه ای و سیستمی برای آموزش پرسنل برای تحقیق و رسیدگی قانونی در پرونده های مربوط به جرایم رایانه ای، استفاده غیرقانونی از اینترنت وجود دارد.

    منابع جامعه مدنی باید به طور کامل در تضمین امنیت اطلاعات مشارکت داشته باشند. بدیهی است که دولت به تنهایی قادر به انجام کامل وظیفه تضمین امنیت اطلاعات همه موضوعات روابط اطلاعاتی نیست. اگر امروز طبق قانون فقط مسئولیت حفاظت از اسرار دولتی را بر عهده دارد، در اکثر موارد دیگر با نامشخص بودن سهم مشارکت دولت، بار تامین امنیت اطلاعات بر دوش شهروندان می افتد و جامعه. این مطابق با اصل قانون اساسی دفاع از منافع خود به هر وسیله ای است که توسط قانون منع نشده است. مقامات دولتی باید به وضوح اختیارات خود را بر اساس فرصت های واقعی و اولویت های اعلام شده در تضمین امنیت اطلاعات تعریف کنند.

    فهرست ادبیات استفاده شده

    1. یو.آی. کودینوف، F. F. Pashchenko. مبانی انفورماتیک مدرن: آموزش. ویرایش دوم، برگردان - سن پترزبورگ: انتشارات "لان"، 2011. - 256 ص: ill. -- (کتابهای درسی دانشگاهها. ادبیات خاص).

    2. Averyanov G.P.، ​​Dmitrieva V.V. علوم کامپیوتر مدرن: کتاب درسی. M.: NRNU MEPhI، 2011. - 436 p.

    3. تاگانوف، L. S. انفورماتیک: کتاب درسی. کمک هزینه / L. S. Taganov, A. G. Pimonov; کوزباس حالت فن آوری un-t. - کمروو، 2010. - 330 ص.

    4. وربنکو، بوریس ولادیمیرویچ. پایان نامه برای درجه کاندیدای علوم سیاسی

    شرح مشکل

    سایت، پورتال و مرکز داده مجازی نیاز به یک سیستم امنیتی قابل اعتماد دارند. همانطور که شرکت به سمت پردازش داده های توزیع شده و دسترسی آسان تر به اطلاعات حرکت می کند، تهدیدات امنیتی گسترده تر می شوند. ترکیب این عوامل به افزایش خطر کمک می کند. یک سیستم مدیریت ایمنی یکپارچه (ISM) مورد نیاز است. باید تصمیم گرفت که چه نقشی به سرویس‌های امنیتی مدیریت‌شده اختصاص داده می‌شود و چگونه می‌توان با جریان فزاینده داده‌های حاصل از ابزارهای حفاظتی کنار آمد. به روز رسانی های نرم افزاری و مشکلات سیستم های بی سیم را به طور مداوم انجام دهید.

    تنها سه درصد از برنامه های وب به اندازه کافی امن هستند تا در برابر هکرها مقاومت کنند و 97 درصد از وب سایت ها دارای "نقص امنیتی جدی" هستند که می تواند به داده ها و سیستم ها برای استفاده مخرب در معرض خطر قرار گیرد. از 97 درصد «حفره‌های» جدی یافت شده، تقریباً 40 درصد از برنامه‌ها به هکرها اجازه می‌دهند تا کنترل کامل و دسترسی به اطلاعات را به دست آورند. حدود 23 درصد از نقص ها می تواند منجر به نقض حریم خصوصی شود و 21 درصد از خطاهای شناسایی شده امکان "سرقت" کالا از فروشگاه های الکترونیکی را فراهم می کند. 5٪ از نقص ها به کرکرها اجازه می داد اطلاعات را تغییر دهند و 5٪ دیگر - رهگیری تراکنش ها. 2 درصد از اشکالات نرم افزاری آنقدر بد هستند که مهاجمان می توانند با خیال راحت وب سایت ها را از بین ببرند.

    در کشورهای توسعه‌یافته، شرکت‌ها بین ۵ تا ۷ درصد بودجه اختصاص داده شده به فناوری اطلاعات را صرف امنیت اطلاعات می‌کنند. در روسیه، شرکت ها برای این اهداف بسیار کمتر هزینه می کنند - فقط 1-2٪

    در روسیه، تقریباً 48٪ از شرکت ها از نرم افزار ضد ویروس استفاده می کنند. دومین محبوب ترین (حدود 29٪) فایروال ها و ابزارهای ساخت شبکه های خصوصی مجازی (VPN) هستند. تقریباً همان مقدار پول برای راه حل های تشخیص نفوذ (10٪) و محصولات برای شناسایی، مجوز و مدیریت (11٪) هزینه می شود. در اروپا بیشترین توجه فقط به ابزار شناسایی، مجوز و اداره می شود. توصیه می شود که خود را نه در برابر تهدیدات "به طور کلی"، بلکه از خطر خرابی محافظت کنیدسیستم اطلاعات.

    بهبود نه تنها دفاع، بلکه حمله. حملات ویروسی پیچیده می شوند - آنها به روش های مختلفی گسترش می یابند و آسیب های مختلفی را ایجاد می کنند: آنها آدرس های ایمیل را می دزدند، عملکرد برخی از برنامه ها را مسدود می کنند، حفره هایی را برای حملات بعدی باقی می گذارند.

    در 80 درصد موارد، خرابی در عملکرد سیستم های فناوری اطلاعات در سطح نرم افزار رخ می دهد، یعنی به دلیل خطاهای نرم افزاری، ویروس های وارد شده به سیستم، خرابی داده ها، حذف تصادفی و ... در 12 درصد موارد خرابی به دلیل خرابی قطعات سخت افزاری سیستم اتفاق می افتد. 8 درصد دیگر از خرابی ها ناشی از بلایای طبیعی مختلف، حملات تروریستی و مشکلات تامین برق است.

    خطری برای دوام کسب و کار، حتی بیشتر از تروریسم، خطا یا اقدام بدخواهانه کارکنان است. این وضعیت با نگرش اغلب بیش از حد بیهوده شرکت ها نسبت به طرح های بازیابی فاجعه تشدید می شود. بله 17 درصد مدیران IT اصلا برنامه ای ندارند بازیابی فاجعه 57 درصد چنین طرحی را سالی یک بار یا کمتر بررسی می کنند، 6 درصد هرگز آنها را بررسی نمی کنند و 25 درصد هرگز چنین طرح هایی را آزمایش نکرده اند.

    84 درصد از تمام شرکت ها با خرابی رایانه مواجه بودند. در 26 درصد از آنها، شکست یک بار در یک چهارم یا بیشتر اتفاق می افتد. در 14٪ از شرکت ها، مدت زمان توقف سیستم از 24 تا 48 ساعت بود. در 16% - از دست دادن داده های مهم مشاهده شد.

    تأثیر نقض های امنیتی بر فعالیت های خدمات فناوری اطلاعات در جدول ارائه شده است. 1

    میز 1

    تأثیر نقض امنیت بر عملیات فناوری اطلاعات

    داده های ذخیره شده خراب، گم شده و غیرقابل دسترس 29%
    غیر قابل دسترسی پست الکترونیکو برنامه های کاربردی 26%
    شکست شبکه 24%
    زیان های مالی 5%
    تاثیر منفی بر شهرت برند 4%
    سرقت مالکیت معنوی 4%
    نقض قانون 3%
    تقلب 3%
    سرقت اطلاعات شخصی (در مورد مشتریان یا کارمندان) 3%
    کاهش قیمت سهم 1%
    اخاذی 1%

    نیاز به اطمینان از امنیت داده ها به دلایل زیر مرتبط است:

    • اچ هزینه های بازیابی فوری و خرابیاین هزینه ها مهم ترین هستند و می توانند بسیار قابل توجه باشند. این همچنین باید شامل هزینه کاهش عملکرد (به عنوان مثال، سیستم زنده ماند، اما کانال ارتباطی با درخواست‌های مهاجم مسدود شده بود) و هزینه منحرف کردن پرسنل از کار اصلی آنها (شکست‌های عمده می‌تواند اکثر کارکنان شرکت را به سمت خود جذب کند. مبارزه و بازیابی).
    • کاهش اعتماد مشتری. شکست های بزرگ را نمی توان از دید عموم پنهان کرد و این خطر رفتن مشتریان به سمت رقیب و در نتیجه از دست دادن سود را ایجاد می کند.
    • خطر پیگرد قانونی. از دست دادن پول مشتریان یا افشای اطلاعات خصوصی می تواند منجر به دعوی قضایی شود که به معنای زیان در هزینه های قانونی و احتمالاً غرامت بزرگ است.
    • از دست دادن واقعی و / یا افشای داده های مخفی. نمی توان تخمین زد، خسارت به سادگی می تواند بسیار زیاد باشد، تا ورشکستگی شرکت.

    سرمایه گذاری سازمان ها در امنیت اطلاعات در قالب ابزارهای امنیتی به دست آمده، هزینه پرداخت متخصصان، انجام ممیزی امنیتی خارجی و غیره که سال به سال به طور پیوسته در حال افزایش است، اغلب جواب نمی دهد. این عمدتاً به این دلیل است که بیشتر سازمان‌ها به اتخاذ رویکردی جزئی ادامه می‌دهند که تنها زمانی نتیجه می‌دهد که سازمان کمی به فناوری اطلاعات وابسته باشد و سطح خطرات امنیت اطلاعات پایین باشد. سطح کافی از امنیت اطلاعات را تنها می توان با یک رویکرد یکپارچه تضمین کرد که شامل استفاده سیستماتیک از نرم افزار و سخت افزار و اقدامات حفاظتی سازمانی بر یک مبنای مفهومی واحد باشد. در عین حال، اقدامات سازمانی نقش مهمی ایفا می کنند. اثربخشی پیچیده ترین و پرهزینه ترین مکانیسم های حفاظتی در صورت نادیده گرفتن کاربران به صفر می رسد قوانین ابتداییسیاست رمز عبور و مدیران شبکهنقض رویه های تعیین شده برای اعطای دسترسی به منابع شبکه شرکتی.

    نقض احتمالی امنیتی - تهدیدات واقعی

    استراق سمع. برای هکرها راحت‌تر است که نام انجمن‌ها را با مجوز خواندن دریافت کنند: یک برنامه تجزیه‌کننده واحد (مانند Ethereal) برای خواندن درخواست‌های مدیران مدیریت شبکه کافی است. سیستم هایی که از لیست های کنترل دسترسی برای محافظت از دسترسی استفاده نمی کنند به راحتی توسط هکرها هدف قرار می گیرند. اما محافظت با استفاده از لیست های دسترسی اغلب به دلیل خطاهای پیاده سازی بی اثر است. کارمندان نادرست می توانند لیست ها را دور بزنند.

    روش نامگذاری جامعه/بروت فورس. یک عامل خطر مهم، نام‌های پیش‌فرض جامعه حذف نشده است. شما می توانید تعداد زیادی را در اینترنت پیدا کنید لیست های کامل، بر اساس آن انتخاب نام های پیش فرض برای سیستم های تقریباً هر سازنده ای آسان است. اغلب مدیران پس از نصب، این نام ها را ترک می کنند، که کنترل سیستم ها را برای هکرها بسیار آسان می کند. سیستم‌های اسکن امنیتی یک حمله آسان برای پیاده‌سازی به سیستم‌های SNMP را ارائه می‌کنند که در آن فرآیند حدس زدن نام یک جامعه، همراه با فهرست‌های کلمات، تمام توالی‌های کاراکتر موجود را برمی‌شمارد. اگر یک هکر زمان داشته باشد (چند هفته)، پس می تواند چنین حمله ای را با استفاده از روش "برت فورس" و بدون افزایش محسوس در بار روی شبکه انجام دهد. با این حال، چنین اقداماتی باید توسط هر سیستم تشخیص نفوذ به خوبی پیکربندی شده شناسایی شود.

    رهگیری از طریق یک سیستم نظارت از راه دور. نظارت از راه دوربرای تجزیه و تحلیل شبکه از راه دور و عیب یابی طراحی شده است و در صورت استفاده هوشمندانه، تعمیر و نگهداری را بسیار تسهیل می کند شبکه کامپیوتری. در همان زمان، اطلاعاتی در مورد رایانه های موجود در شبکه (میزبان)، فرستنده ها و گیرندگان بیشترین حجم داده ها (به عنوان یک قاعده، سرورها) و غیره ارائه می شود. اغلب سوئیچ ها یا مسیریاب ها "دوباره استخدام می شوند" به عنوان یک پایگاه شروع برای هکرها برای چندین ماه استفاده می شود. اگر سوئیچ بدون خرابی کار می کند، چند بار سرپرست پیکربندی سوئیچ را بررسی می کند؟

    حملات دیگر همیشه می توانید نقاط ضعفی را در ابزارهای مدیریتی یک سازنده خاص به دلیل خطاهای پیاده سازی پیدا کنید. این موضوع تعدادی از مسائل امنیتی را ایجاد می کند که امکان دسترسی به داده های پیکربندی حاوی نام های کاربری، گذرواژه ها و نام های انجمن را فراهم می کند. تکنیک مورد علاقه یک هکر، پیکربندی مجدد روترها است. او می تواند تبادل داده ها را به منظور تغییر یا فقط خواندن آنها کنترل کند و در نتیجه شرایطی را برای حملات فنی پیچیده با یک پیوند میانی (Man in the Middle) ایجاد کند که در آن مسیریاب خود را به عنوان نقطه دیگری از بسته ها در مسیر بین سرور و قربانی .

    سوئیچ ها امکان تجزیه و تحلیل را از طریق پورت های آینه ای فراهم می کنند. در این حالت، هکر موفق می شود تقریباً به تمام داده های منتقل شده توسط سوئیچ دسترسی پیدا کند. تنها شرط، پهنای باند کافی درگاه آینه است.

    همچنین باید به آسیب‌پذیری‌های سرریز بافر در تقریباً هر نرم‌افزاری اشاره کنیم. هکرها از خطاهای برنامه‌نویسی با وارد کردن توالی‌های طولانی از کاراکترها سوء استفاده می‌کنند که یا فرآیند/سیستم مربوطه را خراب می‌کنند یا مراحل برنامه نامعتبر را روی سیستم مورد حمله اجرا می‌کنند. به خصوص بسیاری از این آسیب پذیری ها در روترهایی که از طریق وب سرور پیکربندی شده اند وجود دارد.

    منابع "فاجعه اطلاعاتی" عبارتند از: اطلاعات نادرست، ناقص، بی فایده، اضافه بار اطلاعات.

    فناوری‌ها در حال تکامل هستند و ابزارهایی که می‌توانند برای حمله به سیستم‌ها استفاده شوند، همیشه از محصولاتی که برای محافظت از آنها طراحی شده‌اند، از نظر قابلیت‌هایشان جلوتر خواهند بود. و به یاد داشته باشید، تنها کاربران آموزش دیده و ماهر که اهمیت این موضوع را درک می کنند قادر خواهند بود یکپارچگی و حفاظت از اطلاعات و منابع را در مواجهه با یک تهدید رو به رشد حفظ کنند.

    دو نوع تجزیه و تحلیل آسیب پذیری وجود دارد: غیرفعال و فعال. با رویکرد غیرفعال، سیستم اسکن می شود و فرضی در مورد امکان نفوذ ایجاد می کند. و رویکرد فعال شامل تلاش برای انجام یک ضد حمله است.

    نقض امنیت

    در توسعه هر استراتژی دفاعی، اولین قدم این است که دقیقاً آنچه را که باید محافظت شود، تعریف کنید. با پیدا کردن محدودیت‌های واقعی سیستم‌هایی که می‌خواهید ایمن کنید، شروع کنید. سیستم‌های فناوری اطلاعات مجموعه‌ای از اجزای فیزیکی، نرم‌افزار، داده‌ها، خدمات ارتباطی و فرآیندهای تجاری هستند. توجه به این نکته ضروری است که یک سیستم لزوماً شامل رایانه های متصل به یکدیگر یا به هر چیز دیگری نیست. به عنوان مثال، هر یک از آژانس های مسافرتی دارای رایانه همراه خود هستند، همه این رایانه ها برای انجام یک کار مشابه هستند و توسط یک متخصص مجاز کنترل می شوند. همه کامپیوترهای موبایلنیز باید محافظت شود.

    هنگامی که متوجه شدید سیستمی که باید از آن محافظت کنید چیست، بهتر می توانید درک کنید که چه کسی و چه چیزی آن را تهدید می کند. اکنون باید تعیین کنید که هر یک از اجزا چقدر برای حل طیف وظایف پیش روی این واحد اهمیت دارد. اطلاعات ذخیره شده در سیستم، زیرساخت فیزیکی، نرم افزار و افرادی که با سیستم کار می کنند باید در برابر سه نوع اصلی تهدید بالقوه ارزیابی شوند - آنهایی که منجر به کاهش دسترسی، قابلیت اطمینان و افشای اطلاعات طبقه بندی شده یا محرمانه می شوند.

    با توجه به این سوال که امنیت اطلاعات چقدر برای یک شرکت مهم است و تعیین بودجه برای تامین آن، لازم است به وضوح در این مفهوم حرکت کرد. این تنها راه شناسایی حوزه های اولویت دار و تهیه برنامه اقدامات مناسب است.

    امنیت اطلاعاتدر شبکه ها شامل طیف وسیعی از مشکلات است. برای رفاه یک کسب و کار، امنیت اطلاعات اساسی است، بنابراین ما تمام وظایفی را که حل می کند با جزئیات در نظر خواهیم گرفت.

    پس جهت اول این است تضمین یکپارچگی داده ها. امروزه تمامی اطلاعات تجاری، داده های حسابداری، صورت های مالی، پایگاه های مشتریان، قراردادها، ایده های نوآورانه کارکنان شرکت، برنامه ها و استراتژی توسعه آن در یک شبکه اطلاعاتی و کامپیوتری محلی ذخیره می شود. نه همیشه و نه همه اسناد روی کاغذ تکرار می شوند، زیرا حجم اطلاعات بسیار زیاد است. در چنین شرایطی، امنیت اطلاعات سیستمی از اقداماتی را فراهم می کند که برای تضمین طراحی شده اند حفاظت قابل اعتمادسرورها و ایستگاه های کاری از خرابی ها و خرابی هایی که منجر به از بین رفتن اطلاعات یا از دست دادن جزئی آن می شود. رویکرد جدی به این مسالهبه این معنی که امنیت اطلاعات باید بر اساس یک ممیزی حرفه ای از کل زیرساخت فناوری اطلاعات شرکت باشد. به شما امکان می دهد وضعیت شبکه و تجهیزات را ارزیابی کنید، تهدیدات بالقوه را تجزیه و تحلیل کنید، نقاط "ضعیف" را در زمان شناسایی و حذف کنید سیستم کابلی، سرور و ایستگاه های کاری، سیستم های دیسک و نقض در پیکربندی سخت افزار. بنابراین، خطرات فنی از دست دادن احتمالی اطلاعات کاهش می یابد.

    منجر به فساد داده ها می شود کار نادرستسیستم های آرشیو، شبکه و نرم افزارهای کاربردی. کارکنان ما با اطمینان از امنیت اطلاعات شرکت شما، نرم افزار را آزمایش کرده و مطابقت آن با الزامات مدرن را بررسی می کنند.

    مهمترین وظیفه بعدی این است اطمینان از محرمانه بودن اطلاعات. حفاظت از اسرار تجاری به طور مستقیم بر رقابت پذیری شرکت و ثبات آن در بازار تأثیر می گذارد. در اینجا با تهدیدهای عمدی خارجی و داخلی با هدف سرقت داده ها روبرو می شود. هکرها، جاسوسی صنعتی و نشت اطلاعات به تقصیر کارمندان خود بزرگترین تهدید هستند. وسوسه فروش اطلاعات تجاری ارزشمند نه تنها در میان کارمندانی که اخراج می شوند، بلکه در میان کسانی که جاه طلبی هایشان در محل کار ارضا نمی شود، قوی است. که در این مورد، امنیت اطلاعات اقدامات پیشگیرانه ای را با هدف کنترل خودی ها و محافظت چند مرحله ای از سرورها در برابر حملات هکرها انجام می دهد.

    بنابراین، اقدامات برای مقابله با دسترسی غیرمجاز باید در جهت دستیابی به دو هدف باشد:

    • شرایطی را ایجاد کنید که اقدامات تصادفی یا عمدی منجر به از دست دادن داده ها غیرممکن شود. امنیت اطلاعاتاین مشکل را با ایجاد یک سیستم احراز هویت و مجوز کاربر، جداسازی حقوق دسترسی به اطلاعات و کنترل دسترسی حل می کند.
    • ایجاد سیستمی که در آن کارمندان یا متجاوزان نتوانند اقدامات مرتکب شده را پنهان کنند نیز مهم است. در اینجا، یک سیستم کنترل رویداد امنیتی، ممیزی دسترسی به فایل ها و پوشه ها به کمک یک متخصص امنیت اطلاعات می آید.
      ابزارهای موثر محافظت، هم در برابر تهدیدات خارجی و هم از تهدیدات داخلی، عبارتند از: معرفی سیستمی از رمزهای عبور کاربر، استفاده برای اطلاعات به خصوص مهم. روش های رمزنگاریحفاظت (رمزگذاری)، محدودیت دسترسی به اماکن، استفاده از کلیدهای دیجیتال فردی و کارت های هوشمند، استفاده از فایروال هانصب سیستم های حفاظت از نشت اطلاعات از طریق پست الکترونیکی، FTP - سرورها و پیام رسان های اینترنتی، حفاظت از اطلاعات در برابر کپی. هنگام در نظر گرفتن تهدیدهای بالقوه، توصیه می کنیم که مشتریان ما بر جریان اطلاعات خروجی کنترل داشته باشند.

    که در اخیراروش های هک شبکه ها مانند توزیع برنامه های رایانه ای مخرب که وظایف جمع آوری و انتقال اطلاعات را انجام می دهند ( تروجان ها)، نرم افزارهای جاسوسی. به منظور از بین بردن چنین خطرات خارجی، امنیت اطلاعات نصب نرم افزار ضد ویروس قدرتمند و محافظت از سرور را فراهم می کند.

    امنیت اطلاعات شبکه همچنین شامل محافظت در برابر حملات خارجی است که هدف آن متوقف کردن عملکرد سرورها، رایانه ها یا اجزای شبکه است. ما در مورد حملات DDos، تلاش برای حدس زدن رمز عبور (حملات bruteforce) صحبت می کنیم. برای محافظت در برابر چنین تهدیداتی، امنیت اطلاعات نیاز به استفاده از نرم افزار ویژه - فایروال ها و سیستم های حفاظت فعال دارد.

    و از همه مهمتر، چرایی امنیت اطلاعات مورد نیاز است در دسترس بودن اطلاعات برای کاربران قانونی. تمام اقدامات امنیت اطلاعات اگر مانع کار کاربران قانونی شود یا آن را مسدود کند بی فایده است. در اینجا، احراز هویت قابل اعتماد کار و تفکیک به خوبی اجرا شده از حقوق کاربر به منصه ظهور می رسد.

    شرکت ما تمام تلاش خود را خواهد کرد تا اطمینان حاصل شود که امنیت اطلاعات شرکت شما در سطحی سازماندهی شده است که عملاً آن را غیرقابل نفوذ کند.

    بیشتر بخوانید: