• Bilgi Güvenliği. Anlatım kursu. Ders: Bilgi güvenliği ve bileşenleri

    Bilgi güvenliği sistematik bir yaklaşıma dayanmalıdır. Sistematik yaklaşım, bilgi güvenliğini sağlamak için kullanılan tüm araçların birbiriyle ilişkili tek bir önlem seti olarak düşünülmesi gerektiğidir. Bilgi koruma ilkelerinden biri, aşağıdaki gibi "makul yeterlilik" ilkesidir: yüzde yüz koruma hiçbir koşulda mevcut değildir, bu nedenle, teorik olarak ulaşılabilir maksimum bilgi koruma düzeyi için değil, Belirli özel koşullarda ve belirli bir olası tehdit seviyesinde gerekli minimum.

    Bilgi güvenliği şartlı olarak korumaya ayrılabilir:

      kayıp ve yıkımdan;

      yetkisiz erişimden.

    2. Bilgilerin kaybolmaya ve yok edilmeye karşı korunması

    Bilgi kaybı aşağıdaki nedenlerle ortaya çıkabilir:

      bilgisayar arızası;

      bağlantı kesilmesi veya elektrik kesintisi;

      depolama ortamına zarar;

      kullanıcıların hatalı eylemleri;

      bilgisayar virüslerinin etkisi;

      başkalarının yetkisiz kasıtlı eylemleri.

    Bu nedenler önlenebilir veri yedekleme, yani yedeklerini alıyorlar. Rezervasyonlar şunları içerir:

      çoğu işletim sisteminde bulunan yedekleme yazılımı. Örneğin, MS Yedekleme, Norton Yedekleme;

      harici depolama ortamlarında arşivlerin oluşturulması.

    Kaybolma durumunda bilgiler geri yüklenebilir. Ancak bu yalnızca şu durumlarda mümkündür:

      dosya silindikten sonra boşalan alana yeni bilgiler yazılmadı;

      dosya parçalanmamışsa, yani (Bu nedenle, örneğin Windows işletim sistemine dahil olan Disk Birleştiricisi yardımcı programını kullanarak düzenli olarak birleştirme işlemi gerçekleştirmelisiniz).

    İyileşmek aşağıdaki yazılım tarafından üretilmiştir:

    Veriler kullanıcı için özel bir değere sahipse, kullanabilirsiniz. yıkımdan korunma:

      dosya özelliği atama Salt Okunur (salt okunur);

      özel kullan yazılım silindikten sonra dosyaları kaydetmek için, silme işlemini simüle eder. Örneğin, Norton Korumalı Geri Dönüşüm Kutusu (korumalı sepet). .

    Veri ihlalleri, veri güvenliği için büyük bir tehdittir. güç kaynağı sistemi- elektrik kesintileri, voltaj dalgalanmaları ve düşüşleri vb. Bu tür durumlarda bilgi kaybından kaynak kullanarak neredeyse tamamen kaçınmak mümkündür. kesintisiz güç kaynağı. sağlarlar normal işleyen pil gücüne geçiş nedeniyle güç kapatıldığında bile bilgisayar.

      Bilgilerin yetkisiz erişime karşı korunması

    Yetkisiz Erişim- bu, uygun yetkinin yokluğunda bilgilerin okunması, değiştirilmesi veya imha edilmesidir.

    Ana örnek yollar yetkisiz bilgi alımı:

      depolama ortamının çalınması;

      koruma önlemlerinin aşılmasıyla bilgi taşıyıcılarının kopyalanması;

      kayıtlı bir kullanıcı olarak gizlenmek;

      gizemlileştirme (sistem istekleri altında kılık değiştirme);

      işletim sistemlerinin ve programlama dillerinin eksikliklerinden yararlanmak;

      elektronik radyasyonun kesilmesi;

      akustik radyasyonun kesilmesi;

      uzaktan fotoğrafçılık;

      dinleme cihazlarının kullanımı;

      güvenlik mekanizmalarını kötü niyetli olarak devre dışı bırakmak.

    İçin bilgi Güvenliği yetkisiz erişime karşı geçerlidir:

      Organizasyon etkinlikleri.

      Teknik araçlar.

      Yazılım.

      Kriptografi.

    1. Organizasyon etkinlikleri katmak:

      giriş türü;

      ortam ve aygıtların bir kasada saklanması (disketler, monitör, klavye);

      kişilerin bilgisayar odalarına erişiminin kısıtlanması.

    2. teknik araçlarçeşitli bilgi koruma donanım yöntemlerini içerir:

      ekipman için filtreler, ekranlar;

      klavyeyi kilitlemek için tuş;

      kimlik doğrulama cihazları - parmak izi, el şekli, iris, yazma hızı ve teknikleri vb. okumak için.

    3. Yazılım bilgi koruması, dışarıdan birinin sistemden bilgi almasına izin vermeyecek özel bir yazılımın geliştirilmesinden oluşur. Yazılım araçları şunları içerir:

      şifre erişimi;

      bir tuş kombinasyonu kullanarak ekranı ve klavyeyi kilitleyin;

      fon kullanımı şifre koruması BIOS (temel giriş-çıkış sistemi - temel giriş-çıkış sistemi).

    4. Altında kriptografik bir şekilde bilgi güvenliği, bir bilgisayar sistemine girildiğinde şifrelenmesi anlamına gelir. Bu korumanın özü, belgeye belirli bir şifreleme yönteminin (anahtar) uygulanması ve ardından belgenin geleneksel yöntemlerle okunamaz hale gelmesi gerçeğinde yatmaktadır. Belgenin okunması, anahtarın bulunması veya uygun bir okuma yönteminin kullanılması ile mümkündür. Şifreleme ve okuma için bilgi alışverişi sürecinde aynı anahtar kullanılıyorsa, kriptografik süreç simetriktir. Dezavantajı, anahtarın belgeyle birlikte aktarılmasıdır. Bu nedenle İNTERNET, bir değil iki anahtarın kullanıldığı asimetrik kriptografik sistemler kullanır. Çalışmak için 2 anahtar kullanılır: biri genel (genel - genel) ve diğeri kapalı (kişisel - özel). Anahtarlar, bir yarısı tarafından şifrelenen bir mesajın şifresi ancak diğer yarısı tarafından çözülebilecek şekilde yapılandırılmıştır. Bir anahtar çifti oluşturarak şirket, genel anahtarı geniş bir alana dağıtırken, özel anahtar güvenli bir şekilde saklanır.

    Her iki tuş da belirli bir kod dizisidir. Genel anahtar, şirketin sunucusunda yayınlanır. Herkes, genel anahtarı kullanarak herhangi bir mesajı kodlayabilir ve yalnızca özel anahtarın sahibi, kodlamadan sonra okuyabilir.

    Korumanın yeterliliği ilkesi. Başkasının genel anahtarını alan birçok kullanıcı, bunları almak ve kullanmak ister, şifreleme mekanizmasının algoritmasını inceler ve özel anahtarı yeniden oluşturmak için bir mesaj şifre çözme yöntemi oluşturmaya çalışır. Yeterlilik ilkesi, özel anahtarın kombinasyon sayısını kontrol etmektir.

    kavramı Elektronik İmza. Müşteri, elektronik imza yardımıyla banka ile iletişim kurabilir ve fonlarını diğer kişi veya kuruluşların hesaplarına aktarma emri verebilir. Elektronik imza oluşturmanız gerekiyorsa, aynı 2 anahtarı oluşturmak için özel bir program (bankadan alınan) kullanmalısınız: özel (müşteride kalır) ve genel (bankaya aktarılır).

    Okuma Koruması gerçekleştirillen:

      Gizli öznitelik dosyası (gizli) için giriş ile DOS düzeyinde;

      şifreleme.

    Yazma koruması gerçekleştirillen:

      dosyalar için Salt Okunur özelliğinin ayarlanması (salt okunur);

      kolu hareket ettirerek veya kırarak diskete yazma yasağı;

      aracılığıyla kayıt yasağı BIOS kurulumu- "disk sürücüsü kurulu değil"

    Bilgileri korurken, genellikle aşağıdaki nedenlerden dolayı güvenilir veri imhası sorunu ortaya çıkar:

      bilgilerin silinmesi tamamen silinmediğinde;

      Bir disketi veya diski biçimlendirdikten sonra bile, artık manyetik alan için özel araçlar kullanılarak veriler kurtarılabilir.

    Güvenilir silme için, silinen verilerin yerine tekrar tekrar rastgele sıfırlar ve birler yazarak verileri silen özel yardımcı programlar kullanılır.

      Ağ Bilgileri KorumasıİNTERNET

    İnternette çalışırken, World Wide Web'in kaynakları her müşteriye açık olduğu sürece, bilgisayar sisteminin aynı kaynaklarının belirli koşullar altında gerekli araçlara sahip herkese açık olabileceği akılda tutulmalıdır. . Özel bir kullanıcı için bu gerçek özel bir rol oynamaz, ancak İnternet sunucularının bulunduğu ülkelerin yasalarını ihlal eden eylemleri önlemek için bunun farkında olmak gerekir. Bu tür eylemler arasında, bilgisayar sistemlerinin performansını bozmaya yönelik gönüllü veya istemsiz girişimler, korunan sistemlere girme girişimleri, bilgisayar sistemlerinin performansını bozan programların (özellikle bilgisayar virüsleri) kullanılması ve dağıtılması yer alır. World Wide Web üzerinde çalışırken, kesinlikle tüm eylemlerin özel bir yazılım tarafından kaydedildiği ve günlüğe kaydedildiği ve hem yasal hem de yasa dışı eylemlerle ilgili bilgilerin mutlaka bir yerde toplandığı unutulmamalıdır. Bu nedenle, İnternetteki bilgi alışverişine kartpostalların kullanıldığı normal bir yazışma olarak yaklaşılmalıdır. Bilgi her iki yönde de serbestçe dolaşır, ancak genel durumda bilgi sürecindeki tüm katılımcılar tarafından kullanılabilir. Bu, kitlelere açık olan tüm İnternet hizmetleri için geçerlidir.

    Ancak normal şartlarda bile posta servisi Kartpostalların yanı sıra posta zarfları da var. Posta zarflarının yazışmalarda kullanılması, ortakların saklayacak bir şeyleri olduğu anlamına gelmez. Kullanımları, köklü bir tarihsel geleneğe ve yerleşik ahlaki ve etik iletişim standartlarına karşılık gelir. İnternette bilgileri korumak için benzer "zarflara" ihtiyaç vardır. Bugün, İnternet yalnızca bir iletişim aracı ve evrensel bir referans sistemi değildir - içinde dolaşan sözleşmeye dayalı ve mali yükümlülükler, hem görüntülemeden hem de tahriften korunma ihtiyacı açıktır. 1999'dan beri İNTERNET, perakende ticaret cirosunu güvence altına almak için güçlü bir araç haline geldi ve bu, kredi kartı verilerinin ve diğer elektronik ödeme araçlarının korunmasını gerektiriyor.

    İnternette bilgi koruma ilkeleri, bu kılavuzun ilk bölümünde formüle ettiğimiz bilgi tanımına dayanmaktadır. Bilgi, veri ve bunlara uygun yöntemlerin etkileşiminin bir ürünüdür.. İletişim süreci sırasında veriler açık sistemler aracılığıyla iletilirse (ve İnternet bunlardan biridir), yetkisiz kişilerin bunlara erişimini teorik olarak bile dışlamak imkansızdır. Buna göre koruma sistemleri, bilginin ikinci bileşeni olan yöntemlere odaklanır. Çalışma prensibi, seçmeyi ortadan kaldırmak veya en azından zorlaştırmak üzerine kuruludur. yeterli yöntem verileri bilgiye dönüştürmek için.


    Ülkenin sosyo-politik, ekonomik ve askeri faaliyetlerinin bilgilendirilmesi ve bunun sonucunda hızlı gelişme bilgi sistemi hem yabancı devletlerden hem de suç unsurlarından ve bu bilgilere erişimi olmayan vatandaşlardan gelen bilgilere yönelik tecavüzlerde önemli bir artış eşlik ediyor. Kuşkusuz mevcut durumda hukukun üstünlüğünün karşı karşıya olduğu önceliklerden biri, bireyin, toplumun ve devletin bilgi ihtiyaçlarının fiili ve gerekli koruma düzeyi arasındaki derin çelişkinin çözümlenmesi ve bilgi güvenliğinin sağlanmasıdır. "Bilgi Güvenliği" uzmanlığında üniversitelerin öğretmenleri ve öğrencileri, güvenlik uzmanları, yöneticiler ve şirket yöneticileri için.


    Artemov, AV - Bilgi güvenliği. Çevrimiçi okumak için derslerin kursu

    İnceleyen:

    İktisadi Bilimler Adayı, Girişimcilik ve Pazarlama Bölümü Doçenti, Federal Devlet Bütçe Yüksek Mesleki Eğitim Eğitim Kurumu "Eyalet Üniversitesi - UNPK" N.A. Lebedev

    A. V. Artemov, Ph.D.

    Rusya'nın Ulusal Güvenliğinin Tanımlayıcı Bir Bileşeni Olarak Bilgi Güvenliği

    Çalışma soruları:

    1. Bilgi güvenliğinin Rusya'nın ulusal güvenlik sistemindeki yeri: kavram, yapı ve içerik.

    2. Bilgi güvenliği konularını düzenleyen ana kılavuz belgeler.

    3. Rusya'da bilgi güvenliğine yönelik modern tehditler

    Soru 1. Bilgi güvenliğinin Rusya'nın ulusal güvenlik sistemindeki yeri: kavram, yapı ve içerik

    Ülkenin sosyo-politik, ekonomik ve askeri faaliyetlerinin bilgilendirilmesi ve sonuç olarak bilgi sistemlerinin hızlı gelişimi, hem yabancı devletlerden hem de suç unsurlarından ve sahip olmayan vatandaşlardan gelen bilgilere yönelik önemli bir artışa eşlik ediyor. erişim. Kuşkusuz mevcut durumda hukukun üstünlüğünün önündeki öncelikli görevlerden biri, bireyin, toplumun ve devletin kendisinin bilgi ihtiyaçlarının fiili ve gerekli koruma düzeyi arasındaki derin çelişkiyi çözmek ve bilgi güvenliğini sağlamaktır. nerede bireyin, toplumun, devletin ve modern otomatikleştirilmiş ve telekomünikasyon sistemlerinin bilgi güvenliği (IS) kapsamında anlaşıldı güvenlik durumu bilgi ortamı bireyin, toplumun ve devletin çıkarlarına (ihtiyaçlarına) karşılık gelen bilgi küresi iç ve dış tehditlerin varlığına bakılmaksızın bunların oluşturulmasını, kullanılmasını ve geliştirilmesini sağlayan.

    Bilgi güvenliği tanımlanır devletin yeteneği (toplum, birey):

    - yaşamlarını ve canlılıklarını, sürdürülebilir işleyişlerini ve gelişmelerini sürdürmek için yeterli ve korunan bilgi kaynakları ve bilgi akışlarını belirli bir olasılıkla sağlamak;

    - direnmek bilgi tehlikeleri ve tehditler, olumsuz bilgi etkileri, bilgisayar ağları ve diğer teknik bilgi kaynaklarının yanı sıra, insanların bireysel ve toplumsal bilinci ve ruhları üzerindeki etkileri;

    – kişisel ve grup becerilerini ve güvenli davranış becerilerini geliştirmek;

    - kime empoze edilirse edilsin, bilgi çatışmasında yeterli önlemler için sürekli hazır olun.

    yaşam alanı yok modern toplum gelişmiş bir bilgi yapısı olmadan çalışamaz. Ulusal bilgi kaynağı, günümüzde devletin ekonomik ve askeri gücünün ana kaynaklarından biridir. Devlet faaliyetinin tüm alanlarına nüfuz eden bilgi, belirli bir siyasi, maddi ve maliyet ifadesi kazanır. Bu çerçevede giderek önem kazanmaktadır. bilgi güvenliği sorunları Rusya Federasyonu ulusal güvenliğin ayrılmaz bir unsuru olarak görülmekte ve bilginin korunması devletin öncelikli görevlerinden biri haline gelmektedir.

    Herhangi bir ülkede bilgi güvenliğine özel önem verilmektedir. Gelişiminde bu görev, devletin ihtiyaçlarına, bilgi (özellikle istihbarat) elde etme olanaklarına, yöntemlerine ve araçlarına, devletin yasal rejimine ve bilginin korunmasını sağlamaya yönelik gerçek çabalarına bağlı olarak birçok aşamadan geçer. .

    Ülkemizde böyle bir sistemin oluşmasında ve gelişmesinde önemli bir aşama 70-80'ler dönemiydi. 70'lerin başından beri. Dünyanın önde gelen ülkelerinin istihbarat faaliyetlerinde teknik keşif teçhizatının geniş çaplı kullanımı başladı. Özellikle askeri alanda hızlı bilimsel ve teknolojik ilerlemenin damgasını vurduğu 1980'ler, yabancı istihbaratın teknik araçlarının yeteneklerinin daha da geliştirilmesine yeni bir ivme kazandırdı: o zamanlar istihbarat bilgilerinin% 70'e kadarı teknik araçlar.

    Mevcut durum, yabancı istihbarat servislerine karşı önlemler sisteminin iyileştirilmesini gerektiriyordu. Ulusal öneme sahip bir görev ve oluşturan parçalar devlet ve resmi sırları korumaya yönelik genel önlemler sisteminde teknik istihbarata muhalefet vardı.

    90'ların başında. askeri-politik ve bilimsel-teknik alanlarda niteliksel değişiklikler oldu ve bu da birçok açıdan bilgi koruma alanındaki devlet politikasını bir bütün olarak gözden geçirmeye zorladı.

    İlk olarak, bilgi teknolojisi, iletimi ve işlenmesi için teknik araçlarda dolaşan bilginin hacmini ve önemini temelden değiştirmiştir. İkincisi, Rusya'da bilgi kaynakları üzerindeki fiili devlet tekeli geçmişte kaldı, özellikle bir vatandaşın bilgi arama, alma ve yayma hakkı anayasal olarak tanındı. Üçüncüsü, bilgi güvenliğini yönetmeye yönelik eski idari mekanizma etkisiz hale gelirken, aynı zamanda bu alanda departmanlar arası koordinasyon ihtiyacı nesnel olarak artmıştır. Dördüncüsü, Rusya'nın uluslararası işbölümüne artan katılımı, diğer devletlerle ekonomik, kültürel, insani ilişkilerin güçlendirilmesi, bilgilerin korunmasını kolaylaştıran birçok kısıtlayıcı rejim önlemi, örneğin kapalı bölgeler sistemi ile bağlantılı olarak. yabancı uyruklular kabul edilemez hale geldi.

    Mevcut koşullarda, bireyin, toplumun ve devletin bilgi güvenliğine yönelik tehditler dikkate alındığında, herhangi bir ülkenin ulusal güvenliğini sağlamanın ayrılmaz bir parçası olan bilgi güvenliğini sağlama sorunlarının ve görevlerinin dikkate alınması önemlidir. Dünya topluluğunun gelişiminin yeni bir aşamasındaki durumu - bilgi toplumunun oluşum aşaması. Böyle bir toplumun iyi bilinen karakteristik özellikleri, toplumun etkin bir şekilde bilgilendirilmesini sağlayan yeni bilgi teknolojilerinin yaygın bir şekilde tanıtılmasıyla ülkenin ekonomik, sosyal, bilimsel ve tüm gelişiminin bariz koşulluluğudur. toplumun bilgi güvenliği, bugün ülkenin en önemli stratejik kaynağı olan yüksek kaliteli bilgi, bilgi ürünleri, hizmetler ve bilginin sağlanması dahil. Bireyin, toplumun bilgilendirilmesi, dünya toplumundaki bilgi ve faaliyetler de dahil olmak üzere tüm alanlarda istikrarlı ve güvenli sosyo-ekonomik ve politik gelişme ve öncelikleri belirleyen devlet faaliyetinin en önemli, stratejik yönüdür. Bu, dünyanın önde gelen ülkelerinin ve Rusya'nın bir dizi düzenleyici yasal düzenleme ve diğer belgelerin kabul edilmesiyle doğrulanan pratik adımlarıyla doğrulanır:

    - 2000 - "Küresel Bilgi Toplumunun Okinawa Şartı" (Rusya adına Başkan tarafından imzalanmıştır);

    – 2000 Rusya Federasyonu Ulusal Güvenlik Kavramı (01/10/2000 tarihinde değiştirildiği şekliyle Cumhurbaşkanlığı Kararnamesi ile onaylanmıştır);

    - 2000 - Federal hedef programları "Birleşik bir eğitim bilgi ortamının geliştirilmesi (2001-2005)", " Elektronik Rusya»;

    - 25 Temmuz 2007 - "Rusya'da Bilgi Toplumunu Geliştirme Stratejisi" programı (Rusya Federasyonu Güvenlik Konseyi tarafından kabul edilmiştir);

    - 2002 - Federal hedef programı "2002-2010 için Elektronik Rusya" (28 Ocak 2002 tarih ve 65 sayılı Rusya Hükümeti Kararı ile onaylanmıştır);

    - 2007 "Rusya'da Bilgi Toplumunu Geliştirme Stratejisi" (25 Temmuz 2007'de Rusya Federasyonu Güvenlik Konseyi tarafından onaylanmıştır) ve diğerleri.

    Soru 2. Bilgi güvenliği konularını düzenleyen temel kılavuz belgeler

    Rusya Federasyonu Devlet Başkanı'nın 17 Aralık 1997 tarihli ve 1300 sayılı Kararnamesi ile onaylanan (10 Ocak 2000'de değiştirildiği şekliyle) Rusya'nın Ulusal Güvenlik Konsepti göz önüne alındığında, sözde "Küresel Bilgi Toplumunun Okinawa Şartı" nı yansıtıyor. ", içinde Rusya'nın ulusal çıkarları sisteminin aşağıdaki ana çıkarların birleşimi ile belirlendiği iddia edilebilir:

    kişilikler - anayasal hak ve özgürlüklerin, kişisel güvenliğin, yaşam kalitesinin ve standardının iyileştirilmesinde, fiziksel, ruhsal ve entelektüel gelişimde gerçek anlamda sağlanmasından oluşur;

    - toplumlar - demokrasinin güçlendirilmesini, sosyal uyumun sağlanmasını ve sürdürülmesini, nüfusun yaratıcı faaliyetindeki artışı ve Rusya'nın manevi canlanmasını içerir;

    - devletler - Rusya'nın anayasal düzeninin, egemenliğinin ve toprak bütünlüğünün korunmasından, siyasi, ekonomik ve sosyal istikrarın sağlanmasından, yasaların koşulsuz uygulanmasından ve kanun ve düzenin korunmasından, ortaklık temelinde uluslararası işbirliğinin geliştirilmesinden oluşur.

    Kavram, bilgi alanındaki Rusya'nın ulusal çıkarlarını tanımlar.

    Rusya'nın ulusal çıkarları toplumun ve devletin çabalarını belirli sorunları çözmeye odaklama ihtiyacını belirlemek. Bunlar:

    - bilgi edinme ve bilgi alışverişi alanında vatandaşların anayasal hak ve özgürlüklerinin gözetilmesi;

    – ulusal manevi değerlerin korunması; - ulusal, kültürel mirasın, ahlakın ve genel ahlakın teşviki;

    - Vatandaşların güvenilir bilgi alma hakkının sağlanması;

    – modern telekomünikasyon teknolojilerinin geliştirilmesi. Devletin bu görevlerin yerine getirilmesindeki sistematik faaliyeti, Rusya Federasyonu'nun 21. yüzyılda dünya kalkınma merkezlerinden biri olmasını sağlayacaktır. Aynı zamanda, kitle bilincini manipüle etmek için bilgiyi kullanmak kabul edilemez. Devlet bilgi kaynağını önemli siyasi, ekonomik, bilimsel, teknik ve askeri bilgilerin sızmasından korumak gerekir.

    Bu Konsepte uygun olarak en önemli IS bakım görevleri bunlar:

    - ücretsiz bilgi alışverişi ihtiyacı ile yayılmasına ilişkin kabul edilebilir kısıtlamalar arasında gerekli dengenin kurulması;

    - Rusya'nın küresel bilgi altyapısına girişini dikkate alarak bilgi yapısının iyileştirilmesi, yeni bilgi teknolojilerinin gelişiminin ve bunların geniş dağılımının hızlandırılması, bilgi arama, toplama, depolama, işleme ve analiz etme araçlarını birleştirme;

    - Rusya Federasyonu Başkanı'na bağlı Federal Hükümet Haberleşme ve Bilgi Ajansı'nın öncü rolü, federal hükümet organlarının ve diğer organların faaliyetleri ile uygun bir düzenleyici yasal çerçeve ve koordinasyonun geliştirilmesi; problem çözme bilgi güvenliği sağlamak;

    - yerli telekomünikasyon endüstrisinin geliştirilmesi ve bilgi ortamı, onların önceliği yabancı analoglar iç pazarda dağıtım;

    - başta federal hükümet organları olmak üzere, devlet bilgi kaynaklarının korunması ve savunma kompleksinin işletmelerinde.

    Rusya Federasyonu'nun 09.09.2001 No. Pr-1895 tarihli bilgi güvenliği doktrini Rusya Federasyonu'nun bilgi güvenliğini sağlamanın amaçları, hedefleri, ilkeleri ve ana yönleri hakkında bir dizi resmi görüş. Aşağıdakiler için temel görevi görür:

    - Rusya Federasyonu'nun bilgi güvenliği alanında devlet politikasının oluşturulması için;

    - bilgi güvenliği için yasal, metodolojik, bilimsel, teknik ve organizasyonel desteğin iyileştirilmesine yönelik tekliflerin hazırlanması;

    - Rusya Federasyonu'nun bilgi güvenliğini sağlamak için hedeflenen programların geliştirilmesi.

    Yapısına göre, Doktrin 4 bölüm ve 11 bölümden oluşmaktadır. İlk bölümde" Rusya Federasyonu Bilgi Güvenliği" verilen bilgi güvenliği kavramı, bilgi alanındaki bireyin, toplumun ve devletin ulusal çıkarları ön plana çıkarılmaktadır.. Doktrinde Milli Güvenlik Kavramından daha ayrıntılı olarak belirtilmiştir.

    Devletin iç ve dış politikasının bilgi güvenliğini sağlamaya yönelik stratejik ve güncel görevleri, aşağıdaki bilgi çıkarları temelinde oluşturulmuştur:

    - kişilikler - bir kişinin ve bir vatandaşın bilgiye erişim konusundaki anayasal haklarının uygulanmasından, bilgilerin yasalarca yasaklanmayan faaliyetlerin yürütülmesi, fiziksel, ruhsal ve entelektüel gelişim ve ayrıca kişisel güvenliği sağlayan bilgilerin korunması;

    - toplumlar - bu alandaki bireyin çıkarlarını sağlamak, demokrasiyi güçlendirmek, yasal bir sosyal devlet oluşturmak, sosyal uyumu sağlamak ve sürdürmek, Rusya'nın manevi yenilenmesinde;

    - devletler - Rusların ahenkli gelişimi için koşullar yaratacaklar bilgi altyapısı Anayasal düzenin dokunulmazlığını, Rusya'nın egemenliğini ve toprak bütünlüğünü, siyasi, ekonomik ve sosyal istikrarı koşulsuz olarak sağlamak için bilgi edinme ve kullanma alanında insan ve vatandaşların anayasal hak ve özgürlüklerinin uygulanması hukuk ve düzen, eşit ve karşılıklı yarar sağlayan uluslararası işbirliğinin geliştirilmesi.

    İD tehditlerinin türleri ve kaynakları belirlenir. Ayrıca Milli Güvenlik Konsepti'nin aksine ayrıntılı olarak belirtilmiştir.

    ikinci bölümde "Bilgi güvenliğini sağlamaya yönelik yöntemler":

    - Rusya Federasyonu IS'sini sağlamak için genel yöntemler belirlenir;

    - kamu yaşamının çeşitli alanlarında Rusya Federasyonu'nun bilgi güvenliğini sağlama özellikleri ortaya çıkar;

    – bilgi güvenliği alanında uluslararası işbirliği belirlenir.

    üçüncü bölümde "Rusya Federasyonu Bilgi Güvenliğinin Sağlanmasına Yönelik Devlet Politikasının Ana Hükümleri" içerir:

    – devlet politikasını sağlama ilkeleri;

    - Rusya Federasyonu'nun bilgi güvenliğini sağlamaya yönelik devlet politikasının uygulanması için en öncelikli önlemler.

    dördüncü bölüm Rusya Federasyonu bilgi güvenliği sisteminin örgütsel temeli” bilgi güvenliği sisteminin temel işlevlerini ve organizasyonel temelini belirler.

    Modern toplumun bilişim süreci, belirli bilgilerin değerinde keskin bir artışa ve bunların sızması, değiştirilmesi veya imha edilmesi durumunda meydana gelebilecek kayıplara yol açar. Bu bağlamda, bilgi güvenliğini sağlama sorunu özellikle önem kazanmaktadır.

    Bilgi alanındaki güvenlik kavramı çok geniştir. Genel anlamda altında bilgi Güvenliği yetkisiz elde etme girişimlerinden, değişiklikten, imhadan ve erişim gecikmelerinden kaynaklanan bilgilerin güvenliğini anlayın. Bilgi güvenliği aşağıdaki hedeflere ulaşılmasını sağlamalıdır:

    Veri bütünlüğü - bilgi kaybına ve verilerin izinsiz oluşturulmasına veya imha edilmesine yol açan arızalara karşı koruma;

    Bilgi gizliliği;

    Bilgilerin kaybolmasına veya istenmeyen şekilde değiştirilmesine yol açan nedenler arasında aşağıdakiler yer alır:

    1) Verilere yetkisiz erişim (kazara veya kasıtlı):

    Bilgilerin kopyalanması, tahrif edilmesi, imha edilmesi veya tahrif edilmesi;

    alışma yabancılar gizli bilgilerle.

    2) yanlış iş veri kaybına veya bozulmasına neden olan yazılımlar:

    Uygulama veya ağ yazılımındaki hatalar;

    Sistemlerin bilgisayar virüsleri ile bulaşması.

    3) Aşağıdakilerden kaynaklanan ekipman teknik arızaları:

    Elektrik kesintisi;

    arıza disk sistemleri ve veri arşivleme sistemleri;

    Sunucuların, iş istasyonlarının çalışmasının ihlali, ağ kartları, modemler;

    Kablolama hataları.

    4) Servis personeli veya kullanıcıların hataları.

    5) Bilgilerin yanlış depolanması.

    Hesaplamada, kavram güvenlikçok geniştir. Hem bilgisayarın güvenilirliğini hem de değerli verilerin güvenliğini ve bilgilerin yetkisiz kişiler tarafından değiştirilmesine karşı korunmasını ve elektronik iletişimde yazışmaların gizliliğinin korunmasını ifade eder. Tabii ki, tüm medeni ülkelerde yasalar vatandaşların güvenliğini koruyor, ancak bu alanda bilgisayar Bilimi kolluk uygulamaları hala az gelişmiştir ve yasama süreci teknolojinin gelişimine ayak uyduramamaktadır. Bu nedenle, bilgisayar sistemlerinin güvenilirliği büyük ölçüde kendini koruma önlemlerine dayanmaktadır.

    Bilgi sistemi güvenliği- bu, tehditleri, yani bir bilgisayar sisteminin normal işleyişini veya vatandaşların, işletmelerin ve devletin bilgi edinme haklarını ihlal eden olayları veya eylemleri önlemeyi amaçlayan bir organizasyonel ve teknik önlemler sistemidir.

    Bir bilgisayar sisteminin güvenliğini sağlamaya yönelik önlemler olası tüm tehditleri kapsamalı ve genellikle sunucunun fiziksel olarak korunmasını, arızalardan sonra sistemleri ve verileri geri yükleme araçlarını ve yetkisiz erişime karşı koruma araçlarını içermelidir.

    Kesinlikle, tek elden çözüm bilgi güvenliği sorunları, yukarıdaki nedenlerin tümü hariç: verilerin ve sistem programlarının fiziksel olarak korunması, iletişim hatları üzerinden iletilen ve sürücülerde bulunan verilere yetkisiz erişime karşı koruma - hayır.

    Şu anda, verilerin kaybolması veya istenmeyen şekilde değiştirilmesi riskini en aza indirmek için çeşitli yöntemler ve araçlar geliştirilmiş ve başarıyla uygulanmıştır. Ancak, sınıflandırmalarına yönelik tek bir yaklaşım yoktur.

    Yani, örneğin, yasal, teknik ve organizasyonel bilgi güvenliğinin yönleri.

    yasal işlemşunları içerir: bilgi hırsızlığı, programcıların telif hakkı ihlali ve daha önce tartışılan tüm bu tür bilgisayar suçları için idari ve cezai sorumluluk içeren düzenlemelerin geliştirilmesi.

    Teknik önlemlereşunları içerir: sisteme yetkisiz erişime karşı koruma; antivirüs yazılımı; destek olmak ve özellikle önemli belgelerin arşivlenmesi; bireysel bağlantıların başarısız olması durumunda kaynakları yeniden dağıtma olasılığı ile yerel bilgisayar ağlarının organizasyonu; güç kaynağı ağındaki arızalara karşı koruma sistemlerinin kurulması; yanı sıra binaları bir güvenlik alarm sistemi ile donatmak.

    Altında örgütsel önlemleröncelikle şirket çalışanlarının seçiminin yanı sıra doğrulanmamış kişilerin korunan bilgilere erişmesine izin verilmemesini sağlamak anlamına gelir. Bu, örneğin odaların bir sistemle donatılmasını içerir. şifreli kilitler sadece kapıyı açan şifreyi bilen birisi bu odaya girebilsin diye.

    Bilgi güvenliği araçlarının sınıflandırılmasına yönelik başka yaklaşımlar da vardır:

    - fiziksel koruma şu anlama gelir: kablo sistemi koruması, güç kaynağı sistemleri, arşivleme araçları, disk dizileri vb.

    Fiziksel koruma özellikle şunları içerir:

    a) binaların güvenilirliği, sıcaklık ve nem, yangın söndürme ekipmanının mevcudiyeti ile ilgili gereklilikleri dikkate alarak sunucuların kurulu olduğu binaların güvenliğini sağlamak;

    b) fiziksel erişimi sınırlamak için önlemler bilgisayar sistemleri sunucuyu durdurabilen, yeniden başlatabilen ve hatta yeniden kurabilen, çalabilen üçüncü şahısların ağ altyapısı ve ağ altyapısı sabit diskler, keşif ekipmanı ve yazılımı kurun.

    c) kesintisiz güç kaynaklarından etkili topraklama önlemlerine ve yıldırım çarpmalarına karşı korumaya kadar elektrik kesintilerine karşı koruma araçları.

    - koruma yazılımı: anti-virüs programları, yetki farklılaştırma sistemleri, erişim kontrol yazılımı;

    Yazılım araçları ve koruma yöntemleri, bilgisayar ortamındaki bilgileri korumak için daha aktif ve yaygın olarak kullanılmaktadır. kişisel bilgisayarlar Ve bilgisayar ağları kaynaklara erişimin farklılaştırılması ve kontrolü gibi koruma işlevlerinin uygulanması; devam eden süreçlerin, olayların, kullanıcıların kaydı ve analizi; kaynaklar üzerindeki olası yıkıcı etkilerin önlenmesi; kriptografik koruma bilgi; kullanıcıların ve süreçlerin vb. tanımlanması ve doğrulanması.

    Şu anda, ekonomik bilgi işlem sistemlerinde bu önlemler grubundaki en büyük pay özel yazılım paketleri veya bireysel programlar bilgi koruma görevlerini yerine getirmek için yazılıma dahil edilmiştir.

    - bilgi korumanın teknolojik araçları veri dönüştürmenin teknolojik süreçlerine organik olarak entegre edilmiş bir dizi faaliyettir. Aralarında:

    Medyanın arşiv kopyalarının oluşturulması;

    Manuel veya otomatik kaydetme sırasında işlenmiş dosyalar harici bellek bilgisayar;

    Bilgisayar olanaklarını kullananların dergilere kaydedilmesi;

    Belirli kaynaklara kullanıcı erişiminin otomatik kaydı;

    Tüm teknolojik prosedürlerin vb. uygulanması için özel talimatların geliştirilmesi.

    - yasal ve ahlaki ve etik önlemlere ve çözüm yollarına bilgilerin işlenmesine ilişkin kuralları ve bunların ihlaline ilişkin sorumluluğu düzenleyen, ülkede yürürlükte olan yasa ve yönetmelikleri dahil edin; uyulması bilginin korunmasına katkıda bulunan davranış normları.

    - idari koruma önlemleri: tesislere erişimin kontrolü, şirketin güvenlik stratejisinin geliştirilmesi, acil durum planları vb.

    Kurumsal ve idari koruma araçları, bilgiye ve bilgi işlem kaynaklarına erişimin düzenlenmesine, veri işleme sistemlerinin işlevsel süreçlerine, personel faaliyetlerinin düzenlenmesine vb. indirgenir. Amaçları, güvenlik tehditlerinin uygulanması olasılığını engellemek veya ortadan kaldırmaktır. en büyük ölçüde. En tipik örgütsel ve idari araçlar:

    Bilgi işleme tesislerinin bulunduğu bölgede bir kontrol noktası rejiminin oluşturulması;

    Özel geçişlerin üretimi ve verilmesi;

    Veri işleme ile ilgili işe alım faaliyetleri;

    Yalnızca güvenilir yetkililerin gizli bilgileri işlemesine ve aktarmasına izin verin;

    Belirli bir sırrı temsil eden manyetik ve diğer depolama ortamlarının yanı sıra kayıt defterlerinin yetkisiz kişilerin erişemeyeceği kasalarda saklanması;

    Bilgilerin işlenmesiyle ilgili tesislerde dinleme ekipmanı kurulumuna karşı koruma organizasyonu;

    gizli bilgiler içeren belgelerin (taşıyıcıların) kullanımı ve imhası için muhasebe organizasyonu;

    Gelişim iş tanımları ve çalışma kuralları bilgisayar yoluyla ve bilgi dizileri;

    Yetkililerin işlevsel görevlerine göre bilgiye erişim ve bilgi işlem kaynaklarının farklılaştırılması.

    Dikkate alınan sınıflandırmalardan herhangi biri oldukça koşulludur. Modern teknolojiler, çeşitli koruma araçlarının sentezine doğru gelişmektedir ve gerekli güvenlik seviyesine ulaşılması, yalnızca organizasyonel, yazılım, donanım, fiziksel ve diğer koruma yöntemlerinin optimal bir kombinasyonu ile mümkündür, yani sistematik bir durumda. Bilgi güvenliği problemini çözmek için yaklaşım.


    IS (Bilgi Güvenliği)

    Ders #1

    Bilgi Güvenliği - işleme sisteminin, kendileri için bir değeri olan verilerin kayıp veya yasa dışı bir değişikliğinin sızmasıyla ifade edilen, olayların meydana gelme olasılığı açısından belirli işleme gerekliliklerinin yerine getirilmesi için belirli bir süre sağlama yeteneği. sahipleri. Aynı zamanda, bu eylemlerin kaynağının hem tesadüfi etkiler hem de bir insan yok edicinin etkisi olabileceği düşünülmektedir.

    Otomatik bilgi işleme sistemi (AS) - birbiriyle ilişkili bileşenlerden oluşan organizasyonel ve teknik sistem:


    1. Bilgisayar teknolojisi ve iletişim araçları.

    2. Veri işleme yöntemleri ve algoritmaları (yazılım (yazılım)).

    3. Herhangi bir ortamda sunulan diziler ve veritabanları.

    4. Personel ve bilgisayar teknolojisi kullanıcıları.
    Tüm bu bileşenler, bilgilerin ortak işlenmesi amacıyla birleştirilir.

    1. Bilgi ilişkilerinin konuları:

    2. Devlet ve devlet kurumları.

    3. Devlet ticari kuruluşları tüzel kişiler).

    4. Vatandaşlar (bireyler).
    Hepsi, bilgilerin ortak işlenmesi amacıyla etkileşime girer. AS'de işlenen bilgilerle ilgili olarak, bu varlıkların her biri aşağıdaki rollerden birini veya daha fazlasını gerçekleştirebilir:

    1. Bilgi kaynakları.

    2. Bilgi kullanıcıları (tüketicileri).

    3. Bilgi sahipleri (sahipleri).

    4. Bilgilerin toplandığı gerçek veya tüzel kişiler.

    5. Bilgi işleme sürecinde AS sahipleri ve katılımcıları.
    Korunan bilgilerin üç temel özelliği:

    1. Gizlilik. Yalnızca yetkili kullanıcıların ve bilgi işlem sistemi tarafından sağlananların bilgilere erişebileceğini gösteren bir özellik.

    2. Bütünlük. Bilginin özelliği, öncelikle bilgilerin yalnızca yetkili kullanıcılar tarafından değiştirilebilmesi ve ikinci olarak bilgilerin tutarlı olması ve yansıtmasıdır. gerçek durumşeylerin.

    3. Kullanılabilirlik. Erişmek için uygun yetkiye sahip kullanıcılar için bilgiye zamanında, engelsiz erişim sağlama yeteneği ile karakterize edilen, içinde bilgi dolaşan bir sistemin özelliği.
    Bilgi Güvenlik Açığı - bilgilerin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin ihlaline yol açabilecek çeşitli istikrarsızlaştırıcı faktörlerin etkisine maruz kalması.

    Bilgiye erişim:


    1. Kopyalama da dahil olmak üzere bilgilere aşinalık.

    2. Bilgi değişikliği.

    3. Bilginin imhası.
    Erişim denetimi kuralları – öznelerin belirli bir sistemdeki nesnelere erişimini sınırlayan kurallar.

    Sistem Konusu – nesnelerle ilgili eylemleri erişim kontrol kuralları tarafından düzenlenen sistemin aktif bir bileşeni (kullanıcı veya süreç).

    Sistem Nesnesi - erişimi erişim kontrol kuralları ile düzenlenen pasif bir sistem bileşeni (cihaz, disk, dizin, dosya).

    Yetkisiz erişim (UAS) – sistemde oluşturulan erişim kontrol kurallarını atlayarak öznenin nesneye erişimi.

    davetsiz misafir - yanlışlıkla, bilgisizlikle veya kötü niyetle sistem nesnelerine yetkisiz erişim girişiminde bulunan veya girişimde bulunan bir varlık.

    kimlik doğrulama – öznenin veya nesnenin kimlik doğrulaması.

    Tanılama – sistemin konusuna veya nesnesine bir ad atama.

    Doğrulama – bazı bilgilerin bütünlüğünün kontrol edilmesi.

    Koruma Dayanıklılığı - belirli bir süre boyunca bir saldırganın korumasını aşamama olasılığı.

    Ders #2

    Bilgi güvenliğini sağlamanın temel yöntemleri

    "Ağ güvenlik hizmeti", dağıtılmış bilgi işlem sistemleri ve ağlarında işlenen bilgileri korumaya yönelik bir mekanizmadır.

    "Mühendislik ve teknik" yöntemler, bilgilerin korunmasını sağlamayı amaçlamaktadır. teknik kanallarörneğin müdahaleye karşı koruma Elektromanyetik radyasyon veya konuşma bilgisi.

    "Yasal" ve "kurumsal" bilgi güvenliği yöntemleri, bilgi güvenliği ile ilgili çeşitli faaliyetlerin organizasyonu için düzenleyici bir çerçeve oluşturur.

    Bilgi güvenliğini sağlamak için “teorik yöntemler” kendilerine 2 görev belirledi:


    1. Bilgi güvenliği ile ilgili çeşitli süreçlerin resmileştirilmesi, örneğin AS'deki resmi bir erişim kontrolü modeli, öznelerden nesnelere ve tersi yönde geçen tüm bilgi akışlarını tanımlamayı ve böylece bu bilgileri etkin bir şekilde korumayı mümkün kılar.

    2. Bilgi güvenliği sistemlerinin doğruluğunun ve yeterliliğinin titizlikle gerekçelendirilmesi. Böyle bir görev, örneğin bir sistemi bilgi güvenliği düzeyine göre onaylarken ortaya çıkar.
    Bilgi güvenliği tehditleri

    Altında tehdit Bir şeyin çıkarlarına zarar verebilecek potansiyel olayları veya eylemleri anlamak gelenekseldir.

    IŞİD tehdidi – potansiyel olarak olası eylemler AU'nun bileşenlerini etkileme olasılığının yanı sıra, bilgilerin gizliliğini, bütünlüğünü veya kullanılabilirliğini ihlal edebilecek, bunların bozulmasına, kaybolmasına veya işlevlerinin başarısız olmasına yol açabilecek.

    IS tehditlerinin sınıflandırılması aşağıdaki özelliklere göre yapılabilir:


    1. niyet derecesi :

      1. Rastgele. Personel ihmali veya kazara yapılan işlemler.

      2. Kasten, kasıtlı, planlı. Saldırganın eylemleri.

    2. Tehdidin kaynağına bağlı olarak:

      1. Doğal çevreye yönelik tehditler.

      2. İnsan tehditleri.

      3. Yetkili yazılım veya donanımdan kaynaklanan tehditler. Yanlış kullanım.

      4. Yetkisiz yazılım veya donanımdan kaynaklanan tehditler. Virüsler, dinleme cihazları, gizli kameralar vb.

    3. Tehdit kaynağının konumuna göre :

      1. Kaynağı kontrol edilen bölgenin dışında bulunan tehditler. Uzaktan ses veya video çekimi.

      2. Kaynağı kontrol edilen bölge içinde bulunan tehditler.

    4. AC üzerindeki etki derecesine göre :

      1. Pasif.

      2. Aktif.
    Pasif tehditler, aktif tehditlerin aksine, uygulanmaları sırasında AS'nin yapısını ve bileşimini değiştirmezler, dolayısıyla tespit edilmeleri daha zordur.

    1. Korunan bilgilerin üç temel özelliğini ihlal ederek :

      1. Gizlilik.

      2. Bütünlük.

      3. Kullanılabilirlik.
    Bilgi gizliliğinin ihlali tehditlerine karşı koruma sistemleri oluşturmak

    Koruma sistemi modeli:


    1. Organizasyonel önlemler ve fiziksel güvenlik önlemleri.

    2. .

    3. Giriş kontrolu.

    4. 4.1. kriptografik yöntemler.

      1. Çevre koruma yöntemleri.

      2. Günlüğe kaydetme ve denetleme.
    Birincil koruma, organizasyonel yöntemlerle ve sonraki seviyeler ağ güvenliği yöntemleriyle sağlanır. Buna paralel olarak, bilgileri teknik kanallardan sızmaya karşı korumak için bir mühendislik ve teknik araçlar kompleksi konuşlandırılmalıdır.

    İşletmede kullanılan bu yöntemler genel olarak şunları içermektedir:


    1. Bir kontrol sisteminin konuşlandırılması ve AS öğelerine fiziksel erişimin sınırlandırılması.

    2. Güvenlik ve fiziki güvenlik hizmetinin kurulması.

    3. Çalışanların ve ziyaretçilerin hareketini kontrol etmek için, örneğin video izleme veya erişim kartları kullanarak mekanizmaların oluşturulması.

    4. Yönetmeliklerin, görev tanımlarının ve diğer düzenleyici belgelerin geliştirilmesi ve uygulanması.

    5. Gizli bilgiler içeren ortamlarla çalışmanın düzenlenmesi.
    Tanımlama ve doğrulama

    Kimlik doğrulama yöntemlerinin sınıflandırılması:


    1. Deneğin bazı gizli bilgilere ilişkin bilgisine dayalı yöntemler. Klasik örnek: Şifre doğrulama. Bu yöntemler en yaygın olanlarıdır.

    2. Öznenin benzersiz bir nesneye sahip olmasına dayalı yöntemler. Örneğin: elektronik anahtar, erişim kartı vb.

    3. İnsan biyometrik özelliklerinin taranmasına dayalı yöntemler. Örneğin: parmak izi taraması, iris taraması, insan yüzü taraması, basit ve klavye altını çizme.
    Birleştirilmiş (çok faktörlü) kimlik doğrulama yöntemleri de vardır. 2 veya daha fazla basit kimlik doğrulama türünü birleştirir (örneğin: SMS veya e-postadan sonra onay).

    Şifre doğrulama

    Genel parola doğrulama şeması:


    1. Bir kullanıcı kimliği girme.

    2. Sistemde böyle bir tanımlayıcı olup olmadığı kontrol ediliyor.

      1. Varsa, kimlik doğrulama prosedürü gerçekleştirilir.

      2. Prosedür başarılı olursa, yetkilendirme gerçekleşir.

      3. Kimlik doğrulama prosedürünün başarısız olması durumunda, yeniden girmek için birkaç deneme yapılır.
    Çoğu zaman, tanımlama ve kimlik doğrulama prosedürleri birleştirilir, böylece potansiyel bir saldırgan nerede hata yaptığını bilmez.

    Parola sisteminin avantajları ve dezavantajları


    1. Göreceli uygulama kolaylığı. Kural olarak, şifre sistemleri ek donanım gerektirmez.

    2. Geleneksel. Parola koruma mekanizmaları çoğu kullanıcı için tanıdıktır.

    3. Çatlamaya dayanıklı parolalar kullanılamaz olma eğilimindedir.
    Parola Sistemi Güvenlik Tehditleri

    3 tür tehdit vardır:

    Parola sistemlerinin pratik uygulaması için öneriler


    1. Minimum parola uzunluğunu ayarlama. Bu tavsiyeşifrenin tam olarak aranmasını zorlaştırır.

    2. Şifre alfabesinin gücünü artırmak. Bu öneri kapsamlı aramayı zorlaştırır.

    3. Çeşitli koşullar için şifreleri kontrol etme ve tarama. Bu öneri, sözlük kullanarak parola tahmin etmeyi zorlaştırır.

    4. Maksimum parola geçerlilik süresinin ayarlanması (örneğin, parolayı 2 haftada bir değiştirin). Parola süre sonu, bir saldırganın bir parolayı tahmin etmek için harcayabileceği süreyi sınırlar.

    5. Parola geçmişlerinin günlüğünü filtreleme. Bu mekanizma, daha önce güvenliği ihlal edilmiş olabilecek parolaların yeniden kullanılmasını engeller.

    6. Parola deneme sayısını sınırlama. Bu öneri etkileşimli parola tahminini zorlaştırır.

    7. Yanlış şifre girildiğinde zaman aşımı. Bu mekanizma aynı zamanda etkileşimli seçimi zorlaştırır.

    8. Kullanıcının bir şifre seçmesini önleyin ve otomatik olarak bir şifre oluşturun. Bu öneri, oluşturulan parolaların sağlamlığını garanti eder, ancak kullanıcılar bunları hatırlamakta sorun yaşayabilir.
    Ders #3

    Parola sistemlerinin gücünü değerlendirme

    A, parametre alfabesinin kardinalitesidir. Parola oluşturmak için kullanılabilecek harf sayısı.

    L, parolanın uzunluğudur.

    S=A^L, A alfabesinden oluşturulabilen L uzunluğundaki şifrelerin sayısıdır.

    V, ortalama şifre tahmin etme hızıdır.

    T maksimum şifre geçerlilik süresidir.

    P - belirli bir süre için bir şifreyi tahmin etme olasılığı.

    P = (V*T)/S = (V*T)/(A^L)

    Genellikle ortalama şifre tahmin etme hızı V ve sistemdeki geçerlilik süresi T bilinen değerler olarak kabul edilir. Bu durumda, geçerlilik süresi boyunca maksimum kaba kuvvet olasılığını V ayarlayarak, parola alanının gerekli önem derecesini hesaplayabiliriz.

    S = A^L = (V*T)/P

    Parola tahmin etme hızının V düşürülmesi, parola tahmin etme şansını azaltır. Bundan, özellikle, şifre seçimi HASH fonksiyonları hesaplanarak gerçekleştirilirse, HASH fonksiyonunu hesaplamak için yavaş bir fonksiyonun kullanılması şifre sisteminin daha fazla güvenliğini sağlayacaktır.

    Parolaları saklama ve iletme yöntemleri


    1. Girişte. Diğer koruma mekanizmaları yerinde olsa bile depolama ve iletim için önerilmez.

    2. Karşılık gelen HASH değerleri biçiminde. Bu mekanizma, şifreleri kontrol etmek için uygundur, çünkü HASH değerleri neredeyse benzersiz bir şekilde şifreyle ilişkilendirilir, ancak bir saldırganın pek ilgisini çekmez.

    3. Şifreli biçimde. Parolalar, bazı şifreleme algoritmaları kullanılarak şifrelenebilirken, şifreleme anahtarı sistemin kalıcı öğelerinden birinde veya çıkarılabilir medyada saklanabilir.
    En uygun ve yaygın olarak kullanılan, şifrelerin HASH değerleri biçiminde saklanmasıdır. Şifre doğrulama algoritması aşağıdaki gibidir:

    1. Sisteme yeni bir kullanıcı kaydederken veya mevcut bir kullanıcının şifresini değiştirirken, bu şifreden tek yönlü bir HASH fonksiyonunun değeri hesaplanır ve daha sonra veri tabanına girilir (H = h(M)-> veri tabanı).

    2. Bir kullanıcı sisteme giriş yapmaya çalıştığında girdiği şifreden HASH değeri hesaplanır (H' = h(M')), sonra elde edilen değer veri tabanındaki değer ile karşılaştırılır. Bu iki değer eşit ise şifre doğru girilmiş ve kullanıcı sistemde yetkilendirilmiş olur (H = H' - şifre doğrudur).
    Giriş kontrolu

    Erişim kontrolü altında, sistemde mevcut kaynakların (nesnelerin) yetkili kullanımının müteakip kontrolü için öznelerin yetkilerinin oluşturulmasını anlamak gelenekseldir. İki ana erişim denetimi türü vardır:


    1. ihtiyari. D - sistemdeki adlandırılmış nesneler ve adlandırılmış konular arasındaki erişim kontrolü. Uygulamada, bu ayrım çoğunlukla bir erişim hakları matrisi kullanılarak uygulanır.

    2. yetki. M - genellikle gizlilik seviyelerine göre erişim kontrolü olarak uygulanır. Her kullanıcının yetkileri, kabul edildiği maksimum gizlilik düzeyine göre belirlenirken, tüm AS kaynakları aynı gizlilik düzeylerine göre sınıflandırılmalıdır.
    Bu model aşağıdaki kuralları takip eder:

    1. Basit Güvenlik Kuralı. X(s) güvenlik düzeyine sahip bir özne, yalnızca X(0) X(s)'yi aşmıyorsa, güvenlik düzeyi X(0) olan bir nesneden bilgi okuyabilir. Adı: Okuma Yok.

    2. Ek özellik(*-özellik). X(s) güvenlik düzeyine sahip bir özne, güvenlik düzeyi X(0) olan bir nesneye yalnızca X(s) X(0) değerini geçmediği takdirde veri yazabilir.Buna: No Write Down denir.
    İsteğe bağlı ve zorunlu erişim kontrolü arasındaki temel fark aşağıdaki gibidir:

    İsteğe bağlı erişim kontrolü durumunda, kullanıcılar için bir kaynağa erişim hakları bu kaynağın sahibi tarafından belirlenirse, zorunlu erişim kontrolü durumunda, güvenlik seviyesi sistemin dışından belirlenir. Zorunlu farklılaşma zorunlu olarak anlaşılır, daha katıdır.

    Ders #4

    Bilginin kriptografik dönüşümü

    Temel tanımlar:

    kriptoloji- bilgiyi dönüştürerek korumak için matematiksel yöntemleri inceleyen bir bilim. Kriptoloji 2 alana ayrılır:


    1. kriptografi. Gizliliğini ve gerçekliğini sağlamak için bilgileri dönüştürme yöntemlerini araştırır. Özgünlük bilgi, yazarlığının ve bütünlüğünün gerçekliğinden oluşur.

    2. Kriptanaliz. Gizli anahtarlar hakkında bilgi sahibi olmadan gizlilik ve özgünlüğü ihlal etmek için matematiksel yöntemleri birleştirir.
    Kriptografik yöntemleri kullanmanın ana yönleri:

    1. Gizli bilgilerin güvenli olmayan iletişim kanalları aracılığıyla aktarılması.

    2. İletilen mesajların doğruluğunun belirlenmesi.

    3. Ortamdaki bilgilerin şifrelenmiş biçimde saklanması.
    Şifrelenecek ve şifresi çözülecek bilgiler olarak, ayrıca elektronik imzalar bazı alfabe üzerine inşa edilmiş metinler (mesajlar) dikkate alınacaktır.

    Alfabe bilgileri kodlamak için kullanılan sonlu bir semboller kümesidir.

    Metin alfabetik kümeden sıralı bir karakter kümesidir.

    Kriptografik sistem (şifre) bir ailedir T düz metnin şifreli metne geri çevrilebilir dönüşümleri. Bu ailenin bir elemanı, belirli bir sayı ile birebir ilişkili olabilir. k, şifreleme anahtarı olarak adlandırılır. Dönüşümler Tk tamamen karşılık gelen algoritma tarafından belirlenir ( T) ve anahtar k.

    Anahtar- kriptografik veri dönüştürme algoritmasının parametrelerinin bazı özel gizli durumları, olası durumlar kümesinden bir seçeneğin seçilmesini sağlar bu algoritma. Anahtarın gizliliği, algoritmanın kendisi yayınlanabilir ve yaygın olarak bilinirken, şifreli metni düz metne dönüştürmenin imkansızlığını sağlamalıdır.

    Anahtar alanK– olası anahtar değerleri kümesi (K = A^L).

    Anahtar Ve şifre- bazı gizli bilgiler, fark bu terimlerin kullanımında yatmaktadır. Parola kimlik doğrulama için, anahtar ise bilgileri şifrelemek için kullanılır.

    Konsept farkı kodlama Ve şifreleme:

    Terim kodlama daha genel olarak, bilginin bir formdan diğerine, örneğin analogdan dijitale dönüştürülmesini içerir. şifrelemeözel durumşifreleme, öncelikle bilgilerin gizliliğini sağlamak için kullanılır.

    Veri şifreleme açık verilerin kapalı (şifreli) hale dönüştürülmesi işlemidir ve şifre çözme ters işlemdir.

    şifre çözme– kapalı verinin bilgi sahibi olmadan açık veriye dönüştürülmesi gizli anahtar.

    kripto direnci- şifre çözmeye karşı direncini belirleyen şifrenin bir özelliği. Genellikle bu özellik, şifreleme için gereken süreye göre belirlenir.

    Verilerin kriptografik olarak kapatılması işlemi hem donanımda hem de yazılımda gerçekleştirilebilir. Donanım uygulaması daha yüksek bir hesaplama hızına sahiptir, ancak kural olarak daha yüksek bir maliyete sahiptir. Avantajlar yazılım uygulaması algoritma ayarlarının esnekliğinde yatmaktadır. Uygulama yönteminden bağımsız olarak, modern kriptografik bilgi güvenliği sistemleri için aşağıdaki gereksinimler vardır:

    Ders #6

    Vernam şifresinin (not defteri şifresi) üç kritik özelliği:


    1. Anahtar gerçekten rastgele olmalıdır.

    2. Belirtilen düz metinle aynı boyutta olun.

    3. Sadece 1 kez kullanın ve kullandıktan sonra imha edin.
    1949'da Claude Chenon, gama (şifreleme anahtarı) için uygulanan 3 koşulun tamamına katı bir şekilde uyulmasıyla, bu şifrenin mutlak kriptografik güce sahip tek şifre olduğunu gösterdi, çünkü. şifreli metin, düz metin hakkında kesinlikle hiçbir bilgi vermez.

    Uygulamada, bir bilgi taşıyıcısını uzun, gerçekten rastgele bir anahtarla bir kez fiziksel olarak aktarmak ve ardından gerektiğinde mesajlar göndermek mümkündür, not defterlerinin şifresi fikri buna dayanmaktadır. Kişisel bir toplantı sırasında, kriptografa, her sayfası bir anahtar içeren bir defter verilir, alıcı taraf tamamen aynı not defterine sahiptir. Bilginin ele geçirilme olasılığının düşük, ancak sıfır olmayan iki bağımsız kanal varsa, kullanılmış sayfalar imha edilir, böyle bir şifre de yararlıdır. Şifreli bir cümle bir kanalda iletilebilir ve başka bir şekilde anahtar, mesajın şifresini çözmek için her iki kanalı da aynı anda dinlemek gerekir.

    Vernam şifresi mümkün olan en güvenli şifreleme sistemidir ve anahtarın karşılaması gereken kısıtlamalar o kadar güçlüdür ki, pratik kullanım bu şifrenin uygulanması zorlaşır, bu nedenle yalnızca en yüksek gizlilikteki mesajların iletilmesi için kullanılır.

    DES ( Veri şifreleme standart )

    1972'de ABD Ulusal Standartlar Bürosu bir iletişim ve bilgisayar veri koruma programı başlattı. Programın amaçlarından biri, tek bir kriptografik standart geliştirmekti. 1973'te Büro, bir kriptografik algoritma için gereklilikleri yayınladı:


    1. Algoritma yüksek düzeyde güvenlik sağlamalıdır.

    2. Algoritma tam olarak tanımlanmalı ve kolayca anlaşılmalıdır.

    3. Algoritmanın güvenliği sadece anahtarın gizliliğine dayanmalı ve algoritmanın kendisinin detaylarının gizli tutulmasına bağlı olmamalıdır.

    4. Algoritma tüm kullanıcılar tarafından kullanılabilir olmalıdır.

    5. Algoritma, farklı uygulamalara adaptasyona izin vermelidir.

    6. Algoritma, elektronik cihazlar şeklinde ekonomik uygulamaya izin vermelidir.

    7. Algoritma, doğrulama olasılığını sağlamalıdır.

    8. Algoritma dışa aktarma için etkinleştirilmelidir.
    Bu standart, 2001 yılında Gelişmiş Şifreleme Standardı (AES) ile değiştirildi.

    DES, birleşik bir blok şifresidir ve verileri 64 bitlik bloklarda (her biri 8 bayt) şifreler. Algoritmanın bir tarafında 64 bit düz metin girilir, diğer tarafında 64 bit şifreli metin çıkar, DES simetrik bir algoritmadır. Anahtar uzunluğu 56 bittir. En basit düzeyde, algoritma sadece 2 temel şifreleme yönteminin bir kombinasyonudur:


    1. Permütasyonlar.

    2. oyuncu değişikliği
    DES'in temel bloğu, gizli anahtara bağlı olarak bu yöntemlerin tek bir kombinasyonunun metne uygulanmasıdır, böyle bir bloğa Yuvarlak (Yuvarlak) denir, DES 16 aşamadan oluşur, yani. bu kombinasyon metne 16 kez uygulanır.

    Bir aşamanın birden fazla uygulanması, belirli bir çığ etkisinin elde edilmesiyle belirlenir (yaklaşık %50).

    Örnekler: Üçlü DES, bağımsız alt anahtarlı DES, DES X, GDES (genelleştirilmiş DES).

    Ders #7

    ile algoritmalar ortak anahtarlar

    Açık anahtarlı kriptografi kavramı, Diffe ve Halman tarafından ve bağımsız olarak 1976'da Merkle tarafından tanıtıldı. Kriptografiye katkıları, anahtarların çiftler halinde kullanılabileceği (şifreleme anahtarı ve şifre çözme anahtarı) ve bir anahtarın diğerinden türetilmesinin mümkün olmayabileceği inancıydı.

    1976'dan beri birçok açık anahtarlı kriptografik algoritma önerilmiştir, bunların çoğu güvenli değildir ve birçoğu pratik uygulama için uygun değildir, ya çok uzun bir anahtar kullanırlar ya da şifreli metnin uzunluğu, uzunluğundan çok daha büyüktür. düz metin.

    MESLEKİ FAALİYETLERİN BİLGİ GÜVENLİĞİ

    Pozhitkova Tatyana Aleksandrovna

    5. sınıf öğrencisi, Emtia Bilimi Bölümü ve Ticari İşletmelerin Yönetim Organizasyonu, TSU, Togliatti

    E-posta: Kykiha [e-posta korumalı] yandex . tr

    Kharlamova Valentina Vladimirovna

    Sanat. "Emtia bilimi ve ticari işletmelerin yönetim organizasyonu" bölümünün öğretim görevlisiTSU, Togliatti

    Bilgi (Latin bilgisinden - açıklama, sunum) - yirminci yüzyılın ortalarından beri, insanlar, bir kişi ve bir otomat, bir otomat ve bir otomat arasındaki bilgi alışverişi, bir otomat ve bir otomat, sinyal alışverişi dahil olmak üzere genel bir bilimsel kavram hayvan ve bitki dünyası, hücreden hücreye, organizmadan bedene işaretlerin aktarımı; sibernetiğin temel kavramlarından biridir.

    Bilgi güvenliği, bilgi güvenliğini sağlamayı amaçlayan bir dizi önlemdir.

    Bilgi güvenliği standartlarına göre, herhangi bir şirketteki ana şey:

    Bilgisayar sistemleri bilgilerinin korunmasını sağlama amacını belirlemek;

    · En etkili bilgi güvenliği yönetim sistemini elde edin;

    · Belirlenen hedeflere uydukları sürece hem nicel hem de nitel göstergelerin toplamını hesaplayın;

    · Bilgi güvenliğini sağlamak için tüm önlemlerin uygulanması, sistemin mevcut durumunun sürekli izlenmesi;

    · Mevcut bilgi güvenliğinin adil bir şekilde değerlendirilmesine izin veren güvenlik yönetimi yönergelerini uygulayın.

    Bilgi sistemlerini kullanan özneler için bilgi kaynaklarının aşağıdaki özellikleri önemlidir: gizlilik, kullanılabilirlik ve bütünlük.

    Gizlilik, bilgilerin yetkisiz erişime karşı korunmasıdır. Başka bir deyişle, erişim hakları vardır - bilgi vardır. Bir kuruluşun işçi ücretlerini açıklamaması buna bir örnek olabilir.

    Kullanılabilirlik, gerekli bilgilerin hızlı bir şekilde bulunmasıyla karakterize edilen bir kriterdir.

    Bütünlük, bilgilerin doğruluğu ve uygunluğu, yetkisiz erişime ve imhaya (değişikliklere) karşı korunmasıdır. Örneğin ilaçların formülasyonu, öngörülen tıbbi prosedürler, teknolojik bir sürecin seyri söz konusu olduğunda bilgi güvenliğinin en önemli yönüdür - tüm bu örneklerin bilgilerinin bütünlüğü ihlal edilirse, bu durum aşağıdakilere yol açabilir: onarılamaz sonuçlar.

    Bilgi kaynaklarının ana özelliklerini analiz ettikten sonra, BS kullanıcıları için en önemli şey erişilebilirliktir.

    Önemde yarım adım geride bütünlük vardır - çünkü doğru değilse veya çarpıtılmışsa bilginin hiçbir anlamı yoktur.

    Güvenlik modellerinin üç ana özelliğine ek olarak, her zaman zorunlu olmayan başka özellikler de vardır:

    itiraz edilebilirlik - yazarlığın reddedilmesinin imkansızlığı;

    hesap verebilirlik - erişim konusunun tanınması ve eylemlerinin kaydedilmesi;

    Orijinallik veya orijinallik - konu veya kaynağın beyan edilenle aynı olduğunu garanti eden bir özellik. Bilgilerin beyan edilenle aynı olduğunu garanti eden bir işaret.

    Bilgi güvenliği, tehdit adı verilen eylemlerle çeşitli derecelerde zarar görebilir. Aşağıdaki kategorilere ayrılırlar:

    2. Bilgisayar korsanları tarafından gerçekleştirilen eylemler. Yani, profesyonel olarak bilgisayar suçlarına karışan insanlar. Bilgisayar korsanları DOS saldırı yöntemini kullanır. Bu yetkisiz giriş tehdidi, verileri yok etmek, gizli bilgileri yasa dışı amaçlarla kullanmak ve ayrıca hesaplardan para çalmak vb. için bir araç olabilir. kuruluşun verimli çalışmasından sorumlu ağ düğümlerine (posta sunucuları) dışarıdan saldırı. Bilgisayar korsanları, bu düğümlere toplu olarak veri paketleri gönderir, bu da aşırı yüklenmelerini gerektirir ve böylece onları bir süre çalışma koşullarından çıkarır. Sonuç olarak, iş süreçlerinde ihlallere, müşteri kaybına, itibar vb.

    3.Bilgisayar virüsleri, malware. E-postaya, ana bilgisayarlara sızmak için yaygın olarak kullanılır Şirket ağı, medyanın kendisi ve bilgi sorumlusu hakkında, bu da veri kaybına, bilgi hırsızlığına yol açabilir. Virüsler nedeniyle iş akışı askıya alınır, kaybolur çalışma zamanı. Bir virüsün, saldırganlara bir kuruluşun faaliyetleri üzerinde kısmi veya tam kontrol sağlayabileceğine dikkat çekmek önemlidir.

    4. Spam. Yakın zamana kadar, istenmeyen e-postalar küçük can sıkıcı faktörlere atfedilebilirdi, ancak artık bilgiye yönelik ana tehditlerden biri haline geldi: istenmeyen e-postalar, çalışanlara psikolojik bir rahatsızlık hissi veriyor, e-posta gelen kutularından silinmesi çok zaman alıyor, bu da önemli bilgilerin silinmesi yazışmalar. Bu da bilgi kaybı, müşteri kaybıdır.

    5. "Doğal tehditler." İç etkenlere ek olarak, dış etkenler de bilgi güvenliğini etkileyebilir: bilgilerin uygunsuz şekilde saklanması, medyanın çalınması, mücbir sebepler vb.

    Bir sonuç çıkarılabilir: modern dünya iyi gelişmiş bir bilgi güvenliği sisteminin varlığı, herhangi bir şirketin rekabet edebilirliği ve hatta yaşayabilirliği için ana koşullardan biridir.

    En eksiksiz bilgi güvenliğini sağlamak için sistemde çeşitli koruma araçları çalışmalı, yani aynı anda ve merkezi kontrol altında uygulanmalıdır.

    Şu anda, bilgi güvenliğini sağlamak için birçok yöntem vardır:

    bilgisayarlarda depolanan ve ağlar üzerinden iletilen bilgileri şifreleme araçları;

    şifreleme araçları önemli bilgi bir PC'de saklanır;

    · güvenlik duvarları;

    içerik filtreleme araçları;

    · tesisler antivirüs koruması;

    · ağların güvenlik açıklarını tespit eden sistemler ve ağ saldırılarının analiz edicileri.

    Yukarıdaki araçlardan herhangi biri, hem ayrı ayrı hem de diğerleriyle kombinasyon halinde kullanılabilir. Bu, şüphesiz olumlu bir faktör olan bilgi koruma yelpazesini daha kapsamlı hale getirir.

    Kompleks 3A. Kimlik belirleme ve yetkilendirme, bilgi güvenliğinin önde gelen unsurlarıdır. Korunan herhangi bir bilgiye erişmeye çalıştığınızda, tanımlama, ağın yetkili bir kullanıcısı olup olmadığınızı belirler. Yetkilendirmenin amacı, hangi bilgi kaynaklarının belirlendiğini belirlemektir. verilen kullanıcı erişimi vardır. Yönetim işlevi, kullanıcıya bu ağ çerçevesinde olası eylemlerin kapsamını belirlemek için ayrı gelişmiş yetenekler sağlamaktır.

    Bilgi şifreleme sistemleri, verilere yetkisiz erişim durumunda kayıpları en aza indirmenin yanı sıra, iletim veya aktarım sırasında bilgilerin kesilmesine izin verir. ağ protokolleri. ana hedef Bu method koruma, gizliliğin korunmasını sağlamaktır. Yüksek düzeyde kilit gizliliği (yani kriptografik güç) ve kullanımın yasallığı gibi gereksinimler şifreleme sistemleri için geçerlidir.

    Güvenlik duvarı, ağlar arasında koruyucu bir bariyer görevi görür, ağa yetkisiz girişi veya tersine veri paketlerinin ağdan çıkarılmasını kontrol eder ve korur. Güvenlik duvarları, her bir veri paketini gelen ve giden IP adresine göre izin verilen bir adres tabanına göre kontrol eder.

    Gizli bilgilerin saklanması ve korunması için gelen ve giden e-postaların kontrol edilmesi ve filtrelenmesi önemlidir. Ekleri ve e-posta mesajlarını kuruluşun belirlediği kurallara göre taramak, çalışanları spam'den ve kuruluşu davalardan korumaya yardımcı olur.

    İçerik bütünlüğü kontrol teknolojisi sayesinde yönetici, başka bir yetkili kullanıcı gibi sunucudaki bilgilerdeki tüm değişiklikleri izleme hakkına sahip olabilir. sabit disk(bütünlük kontrolü). Bu, yetkisiz erişimi tespit etmeyi, bilgiler üzerindeki herhangi bir eylemi (değiştirme, silme vb.) Kontrol etmeyi ve ayrıca virüslerin etkinliğini tanımlamayı mümkün kılar. Kontrol analiz bazında gerçekleştirilir sağlama toplamları dosyalar (CRC_sums).

    Şu anda, anti-virüs teknolojileri, anti-virüs veritabanındaki örnek kodu şüpheli bir dosyanın koduyla karşılaştırma yöntemini kullanarak neredeyse tüm virüsleri ve kötü amaçlı programları tespit etmeyi mümkün kılmaktadır. Şüpheli dosyalar karantinaya alınabilir, tedavi edilebilir veya çıkarılabilir. Anti-virüs programları dosya ve posta sunucularına, güvenlik duvarlarına, yaygın işletim sistemleri (Windows, Unix ve Linux_systems, Novell) altında çeşitli işlemci türleri üzerinde çalışan iş istasyonlarına kurulabilir.

    İstenmeyen e-posta filtreleri, istenmeyen e-posta dosyalarının temizlenmesiyle ilgili verimsiz işçilik maliyetlerini önemli ölçüde azaltır, sunucu yükünü azaltır ve ekipteki psikolojik geçmişi iyileştirir. Ayrıca istenmeyen e-posta filtreleri, genellikle istenmeyen postaya benzedikleri ve kaldırıldıkları için yeni virüslerin bulaşma riskini azaltır.

    Doğal tehditlere karşı korunmak için bir kuruluş, önleme ve ortadan kaldırmaya yönelik bir plan oluşturmalı ve uygulamalıdır. acil durumlar(yangın, sel). Veri korumanın ana yöntemi yedeklemedir.

    birçok araç var teknik koruma yetkisiz erişimden (UAS) gelen bilgiler: tek kullanımlık kilitler, plastik kimlik kartları, mühürler, optik ve kızılötesi sistemler, lazer sistemleri, kilitler (mekanik, elektromekanik, elektronik), video güvenlik ve kontrol sistemleri.

    Bilgi güvenliği politikası, bilgi güvenliği alanında yönetim ve tasarım kararlarını belirleyen bir dizi kural, yasa, tavsiye ve pratik deneyimdir. PIB, sistemdeki bilgilerin yönetimi, korunması ve dağıtımının gerçekleştiği bir araçtır. Politika, sistemin farklı durumlardaki davranışını tanımlamalıdır.

    Güvenlik politikası programı şunları içerir: sonraki adımlar bilgi güvenliği araçlarının oluşturulması:

    1. Korunması gereken bilgi ve teknik kaynakların bulunması;

    2. Tüm potansiyelleri genişletmek olası tehditler ve bilgi sızıntısı kanalları;

    3. Birçok tehdidin ve sızıntı kanalının varlığında bilginin savunmasızlığını ve risklerini değerlendirmek;

    4. Koruma sistemi gereksinimlerinin teşhisi;

    5. Çeşitli bilgi güvenliği araçları ve özellikleri;

    6. Seçilen önlemlerin, yöntemlerin ve koruma araçlarının kullanımının uygulanması ve organizasyonu;

    7. Bütünlük kontrolü ve koruma sistemi yönetiminin uygulanması.

    Mevcut durum değerlendirmesi “aşağıdan yukarıya araştırma” ve “yukarıdan aşağıya araştırma” olmak üzere ikiye ayrılır. İlki, bilinen tüm saldırı türlerini temel alan bilgi güvenliği hizmetinin, bu saldırının gerçek bir suçludan mümkün olup olmadığını kontrol etmek için bunları pratikte uygulamasına dayanmaktadır.

    Yukarıdan aşağıya yöntem, bilgileri depolamak ve işlemek için mevcut tüm şemaların ayrıntılı bir çalışmasıdır. Yöntemin ilk adımı hangi bilgi akışlarının korunması gerektiğini belirlemektir. Daha sonra bilgi güvenliği sisteminin mevcut durumu analiz edilerek uygulanan koruma yöntemlerinin ne ölçüde ve hangi düzeyde uygulandığı tespit edilir. Üçüncü aşamada, tüm bilgi nesnelerinin gizliliğine uygun olarak gruplar halinde sınıflandırılması gerçekleştirilir.

    Bundan sonra, bilgi nesnesine saldırılması durumunda ne kadar ciddi hasara yol açabileceğini bulmak gerekir. Bu adıma "risk hesaplaması" denir. Saldırının olası hasarı, böyle bir saldırının olasılığı ve bunların ürünü hesaplanır. Alınan cevap olası bir risktir.

    En önemli ve can alıcı aşamada, olası risklere karşı en eksiksiz korumayı sağlayacak bir kurumsal güvenlik politikasının geliştirilmesi gerçekleşir. Ancak bir güvenlik politikası başlatılırken ortaya çıkabilecek sorunları da dikkate almak gerekir. Bu tür sorunlar, ülkenin ve uluslararası toplumun yasalarını, etik standartlarını, kuruluşun iç gerekliliklerini içerir.

    Böyle bir bilgi güvenliği politikası oluşturulduktan sonra ekonomik değeri hesaplanır.

    Geliştirme sonunda program şirket yönetimi tarafından onaylanır ve detaylı bir şekilde dokümante edilir. Bunu, planda belirtilen tüm bileşenlerin aktif olarak uygulanması takip etmelidir. Risklerin yeniden hesaplanması ve ardından şirketin güvenlik politikasının değiştirilmesi çoğunlukla iki yılda bir yapılır.

    PIB'nin kendisi, bilgi sistemi için belgelenmiş gereksinimler şeklinde resmileştirilmiştir. Bu tür belgelerin üç düzeyi vardır (detaylandırma olarak da adlandırılır):

    Belgeler Üst düzey bilgi güvenliği politikaları, kuruluşun bilgi güvenliği alanındaki faaliyetlerdeki konumunu, bu alandaki devlet ve uluslararası gerekliliklere uymaya hazır olduğunu gösterir. Örneğin, “IS Concept”, “IS Policy”, “IS Concept”, “IS Policy” olarak adlandırılabilirler. teknik standart IB”, vb. Üst düzey belgeler, harici ve dahili kullanım için iki biçimde düzenlenebilir.

    Orta düzey belgeler, bilgi güvenliğinin belirli yönleriyle ilgilenir. Bilgi güvenliğinin belirli bir tarafında bilgi güvenliği araçlarının oluşturulması ve işletilmesi için gereksinimleri açıklar.

    Alt düzey belgeler, çalışma kurallarını ve düzenlemelerini, yönetim kılavuzlarını, özel bilgi güvenliği hizmetleri için çalıştırma talimatlarını içerir.

    Aşamalar yaşam döngüsü bilgi sistemleri şu bölümlere ayrılır: stratejik planlama, analiz, tasarım, uygulama, uygulama (başlangıç) ve işletme. Her aşamayı ayrıntılı olarak ele alalım:

    1. Başlangıç ​​aşaması (stratejik planlama).

    İlk aşamada sistemin kapsamı belirlenir ve sınır koşulları belirlenir. Bunu yapmak için, geliştirilen sistemin etkileşime gireceği tüm dış nesneleri tanımlamak, bu etkileşimin doğasını belirlemek gerekir. Stratejik planlama aşamasında, tüm işlevler tanımlanır ve en önemlilerinin açıklamaları verilir.

    2. Açıklama aşaması.

    İyileştirme aşamasında, uygulama alanı analiz edilir ve bilgi sisteminin mimari temeli geliştirilir. Sistemin işlevselliğinin çoğunu açıklamak ve bireysel bileşenler arasındaki ilişkiyi hesaba katmak gerekir. İyileştirme aşamasının sonunda, mimari çözümler ve programdaki önde gelen riskleri ortadan kaldırmanın yolları analiz edilir.

    3. Tasarım aşaması.

    Bu aşamada, kullanıcıya transfer edilmeye hazır bitmiş bir ürün oluşturulur. Tasarım tamamlandıktan sonra ortaya çıkan yazılımın performansı belirlenir.

    4. Operasyona geçiş aşaması (başlangıç).

    Bir aşama, yazılımın kullanıcıya doğrudan aktarılmasıdır. Geliştirilen sistemi kullanırken, genellikle üründe ek çalışma ve ayarlamalar gerektiren çeşitli sorunlar belirlenir. Bu aşamanın sonunda geliştiriciler için belirlenen hedeflere ulaşılıp ulaşılmadığını öğrenirler.

    5. Hizmetten çıkarma ve imha etme. Bu aşama sonucunda veriler yeni IS'ye aktarılır.

    Herhangi bir bilgi sistemi 3-7 yıl boyunca mümkün olduğu kadar yararlı kalabilir. Ayrıca, yükseltilmesi gerekiyor. Bu nedenle, hemen hemen her içerik oluşturucunun eski bilgi sistemlerini modernize etme sorunuyla karşı karşıya olduğu sonucuna varabiliriz.

    Bilgi güvenliğini sağlama sorununu çözmek için yasal, organizasyonel ve yazılım ve donanım önlemlerinin kullanılması önemlidir. Bu sorunun yönlerinden en az birine dikkat edilmemesi, maliyeti ve modern toplum yaşamındaki rolü giderek daha önemli hale gelen bilgi kaybına veya sızıntısına yol açabilir.

    Kaynakça:

    1.V.A. Ignatiev, Modern bir ticari işletmenin bilgi güvenliği / V.A. Ignatiev - M: Stary Oskol: TNT, 2005. - 448 s.

    2.Domarev VV, Bilgi teknolojilerinin güvenliği. Koruma sistemleri oluşturma metodolojisi (bölüm 8) / TID Dia Soft / - 2002. [Elektronik kaynak]. - Giriş türü. - URL: http://www.kpnemo.ws/ebook/2010/08/10/domarev_vv_bezopasnost_informatsionnyih_tehnologiy_metodologiya_sozdaniya_sistem_zaschityi (11/15/2012 tarihinde erişildi)

    3. Zhuk E.I., Bilgi güvenliğinin kavramsal temelleri [Elektronik kaynak] // Elektronik bilimsel ve teknik yayın "Bilim ve Eğitim", 2010. - No. 4. - Erişim modu. - URL: http://techno-new.developer.stack.net/doc/143237.html (20.11.2012 tarihinde erişildi)

    4.Medvedev N.V., Bilgi güvenliği standartları ve politikası otomatik sistemler// MSTU im. N.E. Bauman. Sör. Enstrümantasyon. - 2010. - 1 numara. - S. 103-111.

    5. Bilgi güvenliğinin temelleri: Ders Kitabı / A.A. Akulov, D.N. Badanin, E.I. Zhuk ve diğerleri - M .: MSTU im yayınevi. N.E. Bauman, 2008. - 161 s.

    6.Filin S.A., Bilgi güvenliği / S.A. Baykuş. - Alfa-Press, 2006. - 412 s.

    7.Yarochkin V.I. Bilgi güvenliği: Üniversite öğrencileri için bir ders kitabı. - 3. baskı - M.: Akademik Proje: Triksta, 2005 - 544 s.

    Devamını oku: