Bilgi güvenliği politikası - geliştirme deneyimi ve tavsiyeler. Kurumsal bilgi güvenliği politikası nedir?

Kuruluşun büyüklüğü ve bilgi sisteminin özellikleri ne olursa olsun, IS rejiminin genellikle şunlardan oluşmasını sağlamak için çalışın: sonraki adımlar(resim 1):

- bilgi güvenliği yönetim sisteminin kapsamını (sınırlarını) belirlemek ve oluşturma hedeflerini belirlemek;

- risk değerlendirmesi;

– IS modunu sağlayan karşı önlemlerin seçimi;

- Risklerin yönetimi;

– bilgi güvenliği yönetim sisteminin denetimi;

- Bir güvenlik politikasının geliştirilmesi.

DIV_ADBLOCK315">

Aşama 3. Aşağıdaki ana düzeylerde bilgileri korumak için karşı önlemlerin yapılandırılması: idari, prosedürel, yazılım ve donanım.

Aşama 4. IS standartlarına uygunluk için BDT'nin belgelendirilmesi ve akreditasyonu prosedürünün oluşturulması. Bilgi güvenliği politikası hükümlerinin periyodik olarak gözden geçirilmesi de dahil olmak üzere yönetim düzeyinde bilgi güvenliği konusunda toplantı sıklığının atanması ve ayrıca bilgi sistemi kullanıcılarının tüm kategorilerini bilgi alanında eğitme prosedürü güvenlik. Bir kuruluşun güvenlik politikasının geliştirilmesinin en az resmileştirilmiş aşama olduğu bilinmektedir. Ancak son yıllarda birçok bilgi güvenliği uzmanının çabalarının yoğunlaştığı yer burasıdır.

Aşama 5. Bilgi güvenliği yönetim sisteminin kapsamının (sınırlarının) belirlenmesi ve oluşturulmasının amaçlarının belirlenmesi. Bu aşamada IS modunun sağlanması gereken sistemin sınırları belirlenir. Buna göre bilgi güvenliği yönetim sistemi bu sınırlar içinde inşa edilir. Sistemin sınırlarının tanımının aşağıdaki plana göre yapılması tavsiye edilir:

- organizasyonun yapısı. Otomatik sistemin geliştirilmesi (modernizasyonu) ile bağlantılı olarak yapılması beklenen mevcut yapı ve değişikliklerin sunumu;

– korunacak bilgi sistemi kaynakları. Aşağıdaki sınıflardan otomatikleştirilmiş bir sistemin kaynaklarının dikkate alınması tavsiye edilir: CVT, veri, sistem ve uygulama yazılımı. Tüm kaynaklar kuruluş için değerlidir. Bunları değerlendirmek için bir kriterler sistemi ve bu kriterlere göre sonuç elde etmek için bir metodoloji seçilmelidir;

· bir şirketin bilgi varlıklarını sınıflandırmak ve güvenliklerini değerlendirmek için ilkelerin geliştirilmesi;

bilgi risklerinin değerlendirilmesi ve yönetimi;

şirket çalışanlarının bilgi güvenliğini sağlama, brifing verme ve şirket çalışanları tarafından güvenlik politikasını uygulamaya ilişkin bilgi ve pratik becerilerini izleme yöntemleri konusunda eğitilmesi;

· Şirket yöneticilerine yönetim konularında danışmanlık yapmak bilgi riskleri;

özel güvenlik politikalarının ve düzenlemelerinin şirket bölümleri arasında uyumlaştırılması;

İç raporları ve belgeleri kontrol etme ve onaylama hakkı ile şirketin kalite ve otomasyon hizmetlerinin çalışmalarının kontrolü;

işe alırken çalışanların kişisel verilerini doğrulamak için şirketin personel servisi ile etkileşim;

meydana gelmeleri durumunda bilgi güvenliği alanındaki acil durumları veya acil durumları ortadan kaldırmak için önlemlerin organizasyonu;

Bilginin bütünlüğü, bilginin bozulmamış bir biçimde (bazı sabit durumlara göre değişmeden) varlığıdır. Genellikle, konular daha geniş bir özellik sağlamakla ilgilenir - durum ekranının yeterliliğinden (eksiksizliği ve doğruluğu) oluşan bilgilerin güvenilirliği konu alanı ve doğrudan bilginin bütünlüğü, yani bozulmaması.

Statik ve dinamik bütünlük arasında bir ayrım vardır. Saldırgan, statik bütünlüğü ihlal etmek için şunları yapabilir: yanlış veri girebilir; Verileri değiştirmek için. Bazen anlamlı veriler değişir, bazen servis bilgileri. Dinamik bütünlüğe yönelik tehditler, işlemlerin atomik yapısının ihlali, yeniden sıralama, hırsızlık, verilerin çoğaltılması veya ek mesajların (ağ paketleri vb.) girilmesidir. Ağ ortamında karşılık gelen eylemlere aktif dinleme denir.

Bütünlüğe yönelik tehdit, yalnızca verilerin tahrif edilmesi veya değiştirilmesi değil, aynı zamanda harekete geçmenin reddedilmesidir. "İnkar etmemeyi" sağlamanın bir yolu yoksa, bilgisayar verileri delil olarak kabul edilemez. Bütünlük ihlalleri açısından potansiyel olarak savunmasız olan, yalnızca veriler değil, aynı zamanda programlardır. Kötü amaçlı yazılımın tanıtılması, bu tür bir ihlale örnektir.

Gerçek ve çok tehlikeli bir tehdit, rootkit'lerin (standart işlevselliğini kötü niyetli ve gizli bir şekilde değiştirmek için sisteme yüklenen bir dizi dosya), botların (belirli bir görevi otomatik olarak gerçekleştiren bir program; bir grup bilgisayar) tanıtımıdır. aynı türden botların çalıştığı botnet denir), gizli hareketler (belirli TCP veya UDP bağlantı noktalarındaki komutları dinleyen kötü amaçlı yazılımlar) ve casus yazılımlar (kullanıcının gizli verilerini tehlikeye atmayı amaçlayan kötü amaçlı yazılımlar. Örneğin, Back Orifice ve Netbus " truva atları", MS -Windows'un çeşitli türevlerine sahip kullanıcı sistemleri üzerinde kontrol sahibi olmanızı sağlar.

Gizlilik Tehdidi

Gizliliğin ihlali tehdidi, bilginin, ona erişme yetkisi olmayan biri tarafından bilinmesi gerçeğinde yatmaktadır. Bazen gizlilik tehdidi ile bağlantılı olarak "sızma" terimi kullanılır.

Bilginin gizliliği, bilginin sübjektif olarak belirlenmiş (atfedilen) bir özelliğidir (özelliği), bu bilgilere erişimi olan öznelerin çevresine kısıtlamalar getirme ihtiyacını gösterir ve sistemin (çevrenin) belirtilen bilgileri tutma yeteneği ile sağlanır. erişme yetkisi olmayan konulardan gizli. . Bazı özneler için bilgilerin mevcudiyetine ilişkin böyle bir kısıtlamanın nesnel önkoşulları, meşru menfaatlerini diğer bilgi ilişkisi öznelerinden koruma ihtiyacıdır.

Gizli bilgiler konu ve hizmet olarak ayrılabilir. Hizmet bilgileri (örneğin, kullanıcı şifreleri) belirli bir konu alanına ait değildir, bilgi sisteminde teknik bir rol oynar, ancak konu bilgileri de dahil olmak üzere tüm bilgilere yetkisiz erişimle dolu olduğu için ifşa edilmesi özellikle tehlikelidir. Gizliliğe yönelik teknik olmayan tehlikeli bir tehdit, verilere erişme yetkisine sahip bir kişi kisvesi altında eylemler gerçekleştirme gibi "maskeli balo" gibi ahlaki ve psikolojik etki yöntemleridir. Gücün kötüye kullanılması, savunulması zor olan en kötü tehditlerden biridir. Birçok sistem türünde, ayrıcalıklı bir kullanıcı (örneğin, bir sistem yöneticisi) herhangi bir (şifrelenmemiş) dosyayı okuyabilir, herhangi bir kullanıcının postasına erişebilir.

Şu anda en yaygın sözde "oltalama" saldırıları. Kimlik avı (balık tutma - balık tutma) - amacı gizli kullanıcı verilerine - oturum açma bilgilerine ve şifrelere - erişim elde etmek olan bir tür İnternet dolandırıcılığıdır. Bu gerçekleştirilerek elde edilir toplu postalar popüler markalardan gelen e-postaların yanı sıra özel mesajlar çeşitli hizmetler, örneğin bankalar adına, hizmetler (Rambler, Mail.ru) veya içinde sosyal ağlar(Facebook, Vkontakte, Odnoklassniki.ru). Bugün kimlik avcılarının hedefi, bankaların ve elektronik ödeme sistemlerinin müşterileridir. Örneğin, Amerika Birleşik Devletleri'nde, İç Gelir Servisi kılığına giren kimlik avcıları, 2009'da önemli miktarda vergi mükellefi verisi topladı.

Amaç: Bilgi güvenliğinin yönetim tarafından iş gereklilikleri ile mevcut yasal ve düzenleyici çerçeveye uygun olarak yönetilmesini ve desteklenmesini sağlamak. Yönetim, net bir stratejik yön belirlemeli ve kuruluş genelinde bir bilgi güvenliği politikası yayınlayarak ve sürdürerek bilgi güvenliğine destek ve bağlılık göstermelidir.

Bilgi güvenliği politikası, bir kuruluşun bilgi güvenliği yönetim sistemindeki (BGYS) en önemli belgedir ve kilit güvenlik mekanizmalarından biri olarak hareket eder.

ISO 17799'a göre, belgelenmiş bir bilgi güvenliği politikası, yönetimin taahhüdünü belirtmeli ve bilgi güvenliği yönetimine yönelik bir yaklaşım oluşturmalı, bilgi güvenliği kavramını, ana amaçlarını ve kapsamını tanımlamalı, hedefleri ve kontrol mekanizmalarını belirlemek için ana hükümleri içermelidir. , risk değerlendirmesi ve yönetim çerçevesi dahil olmak üzere ve çok daha fazlası.diğer.

ISO 27001'e göre, bilgi güvenliği politikası daha genel bir belgenin bir alt kümesidir - BGYS'nin amaçlarını belirlemek için ana hükümleri içeren ve bilgi güvenliği ile ilgili genel yönü ve faaliyet ilkelerini belirleyen BGYS politikası; işletmenin gerekliliklerini dikkate alarak, yasal veya düzenleyici yapı, sözleşmeden doğan yükümlülükler, risklerin değerlendirilmesi için kriterlerin oluşturulması vb.

Bilgi güvenliği politikası ve kuruluşun BGYS politikası aynı belgede açıklanabilir. Böyle bir belgenin geliştirilmesi kolay bir iş değildir ve çok sorumlu bir iştir. Bir yandan, bilgi güvenliği politikası, kuruluşun tüm çalışanları için yeterince kapsamlı ve anlaşılır olmalıdır. Öte yandan, bilgi güvenliğini sağlamaya yönelik tüm önlemler sistemi bu belge temel alınarak oluşturulmuştur, bu nedenle yeterince eksiksiz ve kapsamlı olmalıdır. Herhangi bir eksiklik ve belirsizlik, kuruluşun BGYS'sinin işleyişini ciddi şekilde etkileyebilir. Bilgi güvenliği politikası, ISO 27001/17799 uluslararası standartlarının gerekliliklerine tam olarak uymalıdır. Bu, başarılı sertifikasyonun ön koşuludur.

BS ISO/IEC 27001:2005 4.2.1 b) BGYS politikası:

Aşağıdakileri sağlayan iş özellikleri, organizasyon, konum, kaynaklar ve teknoloji açısından bir BGYS politikası tanımlayın:

hedeflerini tanımlayan bir çerçeve içerir ve bilgi güvenliği ile ilgili faaliyetin genel yönünü ve ilkelerini belirler;

iş gerekliliklerini ve yasal veya düzenleyici çerçevenin gerekliliklerini ve ayrıca güvenlik alanındaki sözleşmeden doğan yükümlülükleri dikkate alır;

BGYS'nin oluşturulması ve sürdürülmesinin yer alacağı organizasyondaki risk yönetiminin stratejik bağlamı ile bütünleşir;

riskleri değerlendirmek için kriterler oluşturur (bkz. 4.2.1c)); Ve

yönetim tarafından onaylanmıştır.

NOT: Bu Uluslararası Standartta, BGYS politikası, bilgi güvenliği politikasının bir üst kümesi olarak kabul edilir. Bu politikalar tek bir belgede açıklanabilir.

BS ISO/IEC 17799:2005 5.1.1 Belgelenmiş bilgi güvenliği politikası:

Kontrol mekanizması

Dokümante edilmiş bir bilgi güvenliği politikası yönetim tarafından onaylanmalı, yayınlanmalı ve uygulandığı kuruluşun tüm çalışanlarına ve dış taraflara iletilmelidir.

Uygulama Kılavuzu

Belgelenmiş bir bilgi güvenliği politikası, yönetimin taahhüdünü belirtmeli ve kuruluşta bilgi güvenliğini yönetme yaklaşımını oluşturmalıdır. Belgelenmiş politika aşağıdaki ifadeleri içermelidir:

bilgi güvenliği kavramının tanımı, temel amaçları, bilgi paylaşımını mümkün kılan bir mekanizma olarak güvenliğin kapsamı ve önemi (bkz. Giriş);

işletmenin amaçlarına ve stratejisine uygun olarak bilgi güvenliği ilkelerine uyumu ve hedeflere ulaşılmasını desteklemek için yönetimin niyetinin beyanı;

risk değerlendirmesi ve yönetiminin yapısı da dahil olmak üzere kontrol amaçlarını ve mekanizmalarını belirlemek için temel hükümler;

kuruluşla özel olarak ilgili güvenlik politikaları, standartları, ilkeleri ve gerekliliklerinin kısa bir açıklaması, aşağıdakiler dahil:

mevzuat gerekliliklerine, düzenleyici çerçeveye ve sözleşmelere uygunluk;

güvenlik bilinci, eğitim ve öğretim gereksinimleri;

iş sürekliliği yönetimi;

bilgi güvenliği politikası ihlallerinin sonuçları;

güvenlik olaylarının bildirilmesi de dahil olmak üzere bilgi güvenliği yönetimi için genel ve bireysel sorumluluğun tanımı;

bireysel bilgi sistemleri için daha ayrıntılı güvenlik politikaları ve prosedürleri veya kullanıcıların uyması gereken güvenlik kuralları gibi, politikayı destekleyebilecek belgelere bağlantılar.

Bu bilgi güvenliği politikası, hedeflenen okuyucular için ilgili, erişilebilir ve anlaşılabilir bir biçimde kuruluşun tüm kullanıcılarına iletilmelidir.

Diğer bilgiler

Bilgi güvenliği politikası, daha genel bir belgelenmiş politikanın parçası olmalıdır. Bilgi güvenliği politikası kuruluş sınırlarını aşıyorsa ifşayı önleyecek önlemler alınmalıdır. kesin bilgi. Daha fazla bilgi için ISO/IEC 13335-1:2004'e bakın.

Bilgi Güvenliği Politikası (Örnek)

Politika Özeti

Bilgi, biçimi ve nasıl dağıtıldığı, iletildiği ve saklandığı ne olursa olsun her zaman korunmalıdır.

giriiş

Bilgi birçok farklı biçimde var olabilir. Basılabilir veya kağıda yazılabilir, elektronik olarak saklanabilir, posta veya elektronik cihazlarla iletilebilir, teyplerde gösterilebilir veya iletişim yoluyla sözlü olarak iletilebilir.

Bilgi güvenliği, iş sürekliliğini sağlamak, iş riskini en aza indirmek ve yatırım getirisini en üst düzeye çıkarmak ve iş fırsatlarını sağlamak için tasarlanmış bilgilerin çeşitli tehditlerden korunmasıdır.

Kapsam

Bu politika, kuruluşun genel güvenlik politikasını güçlendirir.
Bu politika kuruluşun tüm çalışanları için geçerlidir.

Bilgi Güvenliği Hedefleri

1. Stratejik ve operasyonel bilgi güvenliği risklerini kuruluş tarafından kabul edilebilir olacak şekilde anlamak ve ele almak.

2. Müşteri bilgilerinin, ürün geliştirmelerinin ve pazarlama planlarının gizliliğini korumak.

3. Muhasebe malzemelerinin bütünlüğünün korunması.

4. Paylaşılan web servislerinin ve intranetlerin ilgili erişilebilirlik standartlarına uygunluğu.

Bilgi güvenliği ilkeleri

1. Bu kuruluş, risklerin anlaşılması, izlenmesi ve gerektiğinde bilgi amaçlı işlenmesi koşuluyla, risk kabulünü teşvik eder ve muhafazakar yönetime sahip kuruluşların aşamadığı risklerin üstesinden gelir. Riskleri değerlendirmek ve tedavi etmek için kullanılan yaklaşımların ayrıntılı bir açıklaması BGYS politikasında bulunabilir.

2. Tüm personel, iş sorumlulukları ile ilgili olarak bilgi güvenliği konusunda bilinçli ve sorumlu olmalıdır.

3. Bilgi güvenliği kontrolleri ve proje yönetimi süreçlerini finanse etmek için çaba gösterilmelidir.

4. Bilgi sistemlerinin genel yönetiminde, bilgi sistemlerinde dolandırıcılık ve suistimal potansiyeli dikkate alınmalıdır.

5. Bilgi güvenliğinin durumuna ilişkin raporlar mevcut olmalıdır.

6. Bilgi güvenliği risklerini izleyin ve değişiklikler öngörülemeyen riskler getirdiğinde harekete geçin.

7. Risk sınıflandırması ve risk kabul edilebilirliği kriterleri BGYS politikasında bulunabilir.

8. Kurumun kanunları ve yerleşik normları ihlal etmesine yol açabilecek durumlara izin verilmemelidir.

Sorumluluk bölgeleri

1. Kıdemli Çift Liderlik Grubu, bilgilerin kuruluş genelinde uygun şekilde işlenmesini sağlamaktan sorumludur.

2. Her üst düzey yönetici, gözetiminde çalışan çalışanların bilgi güvenliğini kuruluş standartlarına uygun olarak sağlamalarından sorumludur.

3. Güvenlik departmanı başkanı, üst yönetim ekibine tavsiyelerde bulunur, kuruluş çalışanlarına uzman yardımı sağlar ve bilgi güvenliği durum raporlarının mevcut olmasını sağlar.

4. Organizasyondaki herkes, iş sorumluluklarının bir parçası olarak bilgi güvenliğinden sorumludur.

Önemli bulgular

1. Bilgi güvenliği olayları, beklenmedik büyük maliyetlere veya hizmetlerde ve iş operasyonlarında büyük aksamalara neden olmamalıdır.

2. Dolandırıcılıktan kaynaklanan kayıplar bilinmeli ve kabul edilebilir sınırlar içinde olmalıdır.

3. Bilgi güvenliği sorunları, müşterilerin ürün ve hizmetleri kabul etmesini olumsuz etkilememelidir.

İlgili Politikalar

Aşağıdaki ayrıntılı politikalar, bilgi güvenliğinin belirli yönleri için ilke ve tavsiyeler içerir:

1. Bilgi güvenliği yönetim sistemi (BGYS) politikası;

2. Erişim kontrol politikası;

3. Temiz masa ve temiz ekran politikası;

4. Yetkisiz yazılım politikası;

5. Harici ağlardan veya harici ağlar aracılığıyla yazılım dosyalarının alınmasına ilişkin politika;

6. İlgili politika mobil kod;

7. Yedekleme politikası;

8. Kuruluşlar arasında bilgi alışverişine ilişkin politika;

9. Kabul Edilebilir Kullanım Politikası Elektronik araçlar iletişim;

10. Kayıt tutma politikası;

11. Kullanım politikası ağ Servisleri;

12. Mobil bilgi işlem ve iletişim ile ilgili politikalar;

13. Uzaktan çalışma politikası;

14. Kriptografik kontrolün kullanımına ilişkin politika;

15. Uyum politikası;

16. Yazılım Lisanslama Politikası;

17. Yazılım Kaldırma Politikası;

18. Veri koruma ve gizlilik politikası.

Tüm bu politikalar şunları pekiştiriyor:

· sistem tasarımı ve uygulamasındaki eksiklikleri tespit etmek için kullanılabilecek bir kontrol çerçevesi sağlayarak riskin tanımlanması;

· belirli güvenlik açıkları ve tehditler için tedavilerin belirlenmesine yardımcı olarak riskin işlenmesi.

Şirket bilgi güvenliği politikası

· 1. Genel Hükümler

1.1. Bu Politikanın amacı ve amacı

o 1.2. Bu Politikanın Kapsamı

2.1. Bilgi Varlıklarının Sorumluluğu

2.2. Bilgi sistemlerine erişim kontrolü

§ 2.2.1. Genel Hükümler

§ 2.2.2. Şirketin sistemlerine üçüncü taraf erişimi

§ 2.2.3. Uzaktan erişim

§ 2.2.4. internet girişi

2.3. Ekipman koruması

§ 2.3.1. Donanım

§ 2.3.2. Yazılım

o 2.5. Bilgi güvenliği olayı raporlama, müdahale ve raporlama

2.6. Teknik bilgi güvenliği araçlarına sahip tesisler

2.7. Ağ yönetimi

2.7.1. Veri koruma ve güvenlik

2.8. Sistem Geliştirme ve Değişim Yönetimi

Genel Hükümler

Bilgi değerli ve hayatidir önemli kaynak YOUR_COPANIA (bundan sonra Şirket olarak anılacaktır). Bu bilgi güvenliği politikası, Şirkette otomatikleştirilmiş veri işleme sürecini sağlamak için bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumanın yanı sıra, varlıkları kazara veya kasıtlı olarak değiştirilmeye, ifşa edilmeye veya imha edilmeye karşı korumak için gerekli önlemlerin alınmasını sağlar. .

Şirket'in her çalışanı bilgi güvenliğine uyumdan sorumludur ve birincil görevi Şirket'in tüm varlıklarının güvenliğini sağlamaktır. Bu, bilgilerin Şirketin diğer önemli varlıklarından daha az güvenilir bir şekilde korunmaması gerektiği anlamına gelir. Çalışanlara görevlerini yerine getirmeleri için ihtiyaç duydukları bilgiler zamanında ve eksiksiz olarak sağlanmadan Şirketin ana hedeflerine ulaşılamaz.

Bu Politika'da "çalışan" terimi Şirket'in tüm çalışanlarını ifade eder. İşbu Politika hükümleri, geçici olarak görevlendirilenler de dahil olmak üzere, Şirket'te medeni hukuk sözleşmeleri kapsamında çalışan kişilere, böyle bir sözleşmede öngörüldüğü takdirde uygulanır.

Bilgi güvenliği politikası - bilgi işleme prosedürünü düzenleyen ve bilgileri belirli tehdit türlerinden korumayı amaçlayan bir dizi yasa, önlem, kural, gereklilik, kısıtlama, talimat, düzenleme, tavsiye vb.

Bilgi güvenliği politikası, bir şirketteki tüm bilgi güvenliği döngüsünü sağlamak için temel bir belgedir. Bu nedenle, şirketin üst yönetimi, ana noktaların tüm şirket personeli tarafından bilinmesi ve sıkı bir şekilde gözetilmesi ile ilgilenmelidir. Şirketin bilgi güvenliği rejiminden sorumlu departmanların tüm çalışanları, imza karşılığında bilgi güvenliği politikasına aşina olmalıdır. Ne de olsa, kendilerini ilgilendiren kısımdaki şirket personelinin bilgi güvenliği politikasının gerekliliklerine uygunluğunu ve ana noktalarının bilgisini doğrulamaktan sorumlu olacaklar. Bu tür teftişleri gerçekleştirme süreci, bu tür teftişleri yürüten görevlilerin sorumlulukları ve teftiş takvimi de tanımlanmalıdır.

Bir bilgi güvenliği politikası, hem bir bilgi sisteminin ayrı bir bileşeni için hem de bir bütün olarak bir bilgi sistemi için geliştirilebilir. Bilgi güvenliği politikası, bilgi sisteminin aşağıdaki özelliklerini dikkate almalıdır: bilgi işleme teknolojisi, bilgi işlem ortamı, fiziksel ortam, kullanıcı ortamı, erişim kontrol kuralları vb.

Bilgi güvenliği politikası, yasal, ahlaki ve etik standartların, organizasyonel ve teknik önlemlerin, yazılım, donanım ve bilgi güvenliğini sağlamaya yönelik yazılım ve donanımların bütünleşik kullanımını sağlamalı ve bunların kullanımına ilişkin kural ve prosedürleri belirlemelidir. Bilgi güvenliği politikası, korumanın sürekliliği, koruma önlemlerinin ve araçlarının yeterliliği, tehdit olasılığına uygunluğu, maliyet etkinliği, yapı esnekliği, yönetim ve kullanım kolaylığı vb. ilkelere dayanmalıdır.

Bir güvenlik politikası, gizli verileri korumak için bir dizi önleyici tedbirdir ve bilgi süreçleri işletmede. Güvenlik politikası, personel, yöneticiler ve teknik hizmetler. Güvenlik politikası geliştirmenin ana yönleri:

• hangi verilerin ve ne kadar ciddiyetle korunması gerektiğinin belirlenmesi,
• bilgilendirme yönünden şirkete kimlerin ve ne gibi zararlar verebileceğinin belirlenmesi,
• risklerin hesaplanması ve kabul edilebilir bir değere indirilmesi için bir planın belirlenmesi.

İşletmede bilgi güvenliği alanındaki mevcut durumu değerlendirmek için iki sistem vardır. "Aşağıdan yukarıya araştırma" ve "yukarıdan aşağıya araştırma" mecazi adlarını aldılar. İlk yöntem oldukça basittir, çok daha az sermaye yatırımı gerektirir, ancak aynı zamanda daha az yeteneğe sahiptir. İyi bilinen şemaya dayanmaktadır: "Sen bir davetsiz misafirsin. Ne yapıyorsun?". Yani, bilinen tüm saldırı türlerine ilişkin verilere dayanan bilgi güvenliği hizmeti, gerçek bir saldırgandan böyle bir saldırının mümkün olup olmadığını kontrol etmek için bunları uygulamaya çalışır.

"Yukarıdan aşağıya" yöntem, aksine, bilgileri depolamak ve işlemek için mevcut tüm şemanın ayrıntılı bir analizidir. Bu yöntemdeki ilk adım, her zaman olduğu gibi, hangi bilgi nesnelerinin ve akışlarının korunması gerektiğini belirlemektir. Bunu, klasik bilgi koruma yöntemlerinden hangisinin, ne ölçüde ve hangi düzeyde uygulandığını belirlemek için bilgi güvenliği sisteminin mevcut durumunun incelenmesi izler. Üçüncü adım, hepsini sınıflandırmaktır. bilgi nesneleri gizlilik, erişilebilirlik ve bütünlük (değişmezlik) gereksinimlerine uygun olarak sınıflara ayrılır.

Aşağıda, her bir belirli bilgi nesnesine yönelik bir açıklamanın veya başka bir saldırının bir şirkete ne kadar ciddi zarar verebileceğinin bir açıklaması yer almaktadır. Bu adıma "risk hesaplaması" denir. İlk yaklaşımda risk, "bir saldırıdan kaynaklanan olası hasar" ile "böyle bir saldırı olasılığı"nın çarpımıdır.

Bilgi güvenliği politikası, aşağıdaki bölümlerden bilgiler içeren maddeler içermelidir:

• 
  bilgi güvenliği kavramı;
• bilgi güvenliği ihlallerinin kaynağı olabilecek bilgi sisteminin bileşenlerinin ve kaynaklarının ve bunların kritiklik düzeylerinin belirlenmesi;
• tehditlerin korunan nesnelerle karşılaştırılması;
• risk değerlendirmesi;
• tehditlerin uygulanmasıyla ilişkili olası kayıpların miktarının değerlendirilmesi;
• bir bilgi güvenliği sistemi kurmanın maliyetini tahmin edin;
• bilgi güvenliğini sağlama yöntemleri ve araçları için gereksinimlerin belirlenmesi;
• temel bilgi güvenliği çözümlerinin seçimi;
• restorasyon çalışmalarını organize etmek ve bilgi sisteminin sürekli çalışmasını sağlamak;
• erişim kontrol kuralları.

Bir işletmenin bilgi güvenliği politikası, bir işletmenin kapsamlı güvenliğini sağlamak için çok önemlidir. DLP çözümleri kullanılarak donanım ve yazılımda uygulanabilir.

İlgili yayınlar

giriiş

Modernleşmenin hızı Bilişim Teknolojileri Rusya topraklarında yürürlükte olan yönetim belgelerinin danışma ve düzenleyici çerçevesinin gelişme hızının önemli ölçüde ilerisindedir. Bu nedenle, modern bir işletmede etkili bir bilgi güvenliği politikası geliştirme sorununun çözümü, zorunlu olarak güvenlik kriterlerini ve göstergelerini seçme sorunu ve ayrıca kurumsal bilgi güvenliği sisteminin etkinliği ile ilişkilidir. Sonuç olarak, standartların, Anayasanın, kanunların ve diğer düzenleyici belgelerin gerekliliklerine ve tavsiyelerine ek olarak, bir dizi uluslararası tavsiyenin kullanılması gerekmektedir. Bu, ulusal koşullara uyum sağlamayı ve ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL ve diğerleri gibi uluslararası standartların yöntemlerini uygulamaya koymayı ve ekonomik tahminlerle birlikte bilgi riski yönetimi yöntemlerini kullanmayı içerir. kurumsal bilgilerin korunmasını sağlamaya yönelik yatırımların verimliliği. Modern risk yönetimi yöntemleri, modern bir işletmenin uzun vadeli stratejik gelişiminin bir dizi görevini çözmeyi mümkün kılar.

İlk olarak, bilgi güvenliğinin yasal, organizasyonel, yönetimsel, teknolojik ve teknik düzeylerindeki risklerin tanımlanmasını gerektirecek olan, kuruluşun mevcut bilgi güvenliği düzeyini ölçmek.

İkinci olarak, bir güvenlik politikası geliştirin ve şirketin bilgi varlıkları için kabul edilebilir bir güvenlik düzeyine ulaşmak için kurumsal bilgi güvenliği sistemini iyileştirmeyi planlayın. Bunun için ihtiyacınız var:

risk analizi teknolojilerine dayalı olarak güvenliğe yapılan finansal yatırımları gerekçelendirmek ve hesaplamak, güvenlik maliyetlerini potansiyel hasar ve meydana gelme olasılığı ile ilişkilendirmek;

savunmasız kaynaklara saldırmadan önce en tehlikeli güvenlik açıklarını tanımlayın ve engellemeye öncelik verin;

şirketin bilgi güvenliğini sağlamak için departmanların ve kişilerin etkileşimindeki işlevsel ilişkileri ve sorumluluk alanlarını belirlemek, gerekli organizasyonel ve idari dokümantasyon paketini oluşturmak;

bilgi teknolojilerinin geliştirilmesindeki mevcut seviyeyi ve eğilimleri dikkate alarak, gerekli koruma komplekslerinin uygulanmasına yönelik bir projeyi kuruluşun hizmetleri, denetim makamları ile geliştirmek ve koordine etmek;

uygulanan koruma kompleksinin kuruluşun değişen çalışma koşullarına uygun olarak sürdürülmesini, organizasyonel ve idari belgelerin düzenli olarak gözden geçirilmesini, teknolojik süreçlerin değiştirilmesini ve modernizasyonu sağlamak teknik araçlar koruma.

Bu görevlerin çözümü, çeşitli seviyelerdeki yetkililer için yeni fırsatlar sunuyor.

Bu, üst düzey yöneticilerin şirketin mevcut bilgi güvenliği seviyesini objektif ve bağımsız bir şekilde değerlendirmesine, birleşik bir güvenlik stratejisinin oluşturulmasını sağlamasına, şirketi korumak için gerekli maliyetleri hesaplamasına, kabul etmesine ve gerekçelendirmesine yardımcı olacaktır. Elde edilen değerlendirmeye dayanarak, daire ve hizmet başkanları gerekli kurumsal önlemleri (bilgi güvenliği hizmetinin bileşimi ve yapısı, ticari sırlara ilişkin hüküm, bir iş tanımları paketi ve eylem talimatları) geliştirebilecek ve gerekçelendirebilecektir. acil durumlar). Orta düzey yöneticiler, bilgi güvenliği araçlarını makul bir şekilde seçebilecek ve ayrıca bilgi güvenliğini değerlendirmek için nicel göstergeleri, şirketin ekonomik verimliliğine atıfta bulunarak güvenliği değerlendirme ve yönetme yöntemlerini işlerinde uyarlayabilecek ve kullanabilecektir.

Analitik çalışmalar sonucunda elde edilen, tespit edilen sistem açıklarının etkisiz hale getirilmesi ve yerelleştirilmesi için pratik öneriler, farklı düzeylerde bilgi güvenliği sorunları üzerinde çalışmaya yardımcı olacak ve en önemlisi, uygunsuz kullanım için materyal dahil olmak üzere ana sorumluluk alanlarını belirlemeye yardımcı olacaktır. şirketin bilgi varlıkları. Ticari sırların ifşası da dahil olmak üzere işverene verilen zararın sorumluluğunun kapsamı belirlenirken, İş Kanunu'nun ilgili hükümleri yönlendirilmelidir.

1. Analitik kısım

1 Bilgi güvenliği kavramı

Bilgi güvenliği, bilgi güvenliğini sağlamayı amaçlayan bir dizi önlemdir.

Bilgi güvenliği, bir güvenlik sisteminin uygulanmasıyla uygulanan, güvenliği sağlamayı amaçlayan karmaşık bir görevdir. Bilgi güvenliği sorunu çok yönlü ve karmaşıktır ve bir dizi önemli görevi kapsar. Bilgi güvenliği sorunları, verilerin işlenmesi ve iletilmesi için teknik araçların ve her şeyden önce bilgisayar sistemlerinin toplumun tüm alanlarına girme süreçleriyle sürekli olarak ağırlaşmaktadır.

Modern bir işletmenin faaliyetleri kişisel bilgisayarlar olmadan hayal edilemese de, "bilgi güvenliği" terimi son zamanlarda yaygın bir şekilde kullanılmaya başlandı. Bunun basit bir açıklaması var: Ortalama bir işletme için elektronik biçimde işlenen ve saklanan bilgi hacmi, "kağıt" ile karşılaştırıldığında milyonlarca kat daha fazladır. Bilgisayarlara kurulumu zor yazılımlar kurulur, bilgisayarlar ve geri yüklenmesi zor programlar arasında etkileşim kalıpları oluşturulur ve sıradan kullanıcılar çok büyük miktarda veri işler. İnşa edilen teknolojik zincirin çalışmasındaki herhangi bir aksamanın işletme için belirli kayıplara yol açacağı açıktır. Bu nedenle, bilgi güvenliği (IS) altında güvenliği kastediyoruz bilgi ortamı işletmelerin dış ve iç tehditlerden oluşumuna, kullanımına ve geliştirilmesine kadar.

Büyük işletmelerde, görevleri bilgi güvenliğini sağlamak, kurumsal bilgi güvenliğine yönelik tehditleri belirlemek, yerelleştirmek ve ortadan kaldırmak olan önemli bir bütçeye sahip özel hizmetler vardır. Özel pahalı yazılım ve donanım kullanıyorlar, bazen bakımı o kadar zor ki, onunla çalışmak için özel personel eğitimi gerekiyor. Bu tür kuruluşlarda bilgi güvenliği yönetiminin görevleri genellikle şu anahtar kelimelerle talimatlar vermeye indirgenir: "derinleştirmek", "genişletmek", "geliştirmek", "sağlamak" vb. Bilgi güvenliğini sağlamaya yönelik tüm çalışmalar, ilgili hizmetlerin çalışanlarının yönetimi tarafından fark edilmeden gerçekleştirilir ve çalışma yöntemlerinin açıklaması ayrı bir büyük makalenin konusudur.

Aynı zamanda, uzmanlar için az sayıda işi olan (genellikle 50'den fazla olmayan) küçük işletmelerin bilgi güvenliğine çok az önem verilmektedir. Bununla birlikte, şu andaki mevcut organizasyonel ve teknik durum öyledir ki, büyük işletmeler tarafından bunlara karşı iyi koruma sağlanmış olması nedeniyle mevcut IS tehditlerinin çoğu, yalnızca küçük işletmeler için geçerli hale gelmektedir. Tipik olarak, bu tür işletmelerin, yalnızca gerekli ekipmanı, yazılımı satın almalarına ve bir sistem yöneticisini sürdürmelerine izin veren çok mütevazı bir BT bütçesi vardır.

Bugüne kadar, bilgi güvenliğini sağlaması gereken üç temel ilke formüle edilmiştir:

veri bütünlüğü - bilgi kaybına yol açan arızalara karşı korumanın yanı sıra verilerin izinsiz oluşturulmasına veya imha edilmesine karşı koruma;

bilgilerin gizliliği;

Güvenlik modelinin her zaman zorunlu olmayan diğer kategorileri vardır:

reddedilmeme veya temyiz edilebilirlik - yazarlığı reddetmenin imkansızlığı;

hesap verebilirlik - erişim konusunun tanımlanmasını ve eylemlerinin kaydedilmesini sağlamak;

güvenilirlik - amaçlanan davranışa veya sonuca uyma özelliği;

orijinallik veya orijinallik - konu veya kaynağın iddia edilenle aynı olduğunu garanti eden bir özellik.

2Güvenlik politikası kavramı

Bir Bilgi Güvenliği Politikası (ISP), hassas bilgileri korumayı amaçlayan bir dizi güvenlik yönergesi, kuralı, prosedürü ve uygulamasıdır.

Bilgi güvenliği politikasının amacı:

kuruluşun bilgi güvenliğinin amaç ve hedeflerini iş açısından formüle etmek (bunu yönetim için belirlemenize ve yönetimin bilgi güvenliğinin önemine desteğini göstermenize olanak tanır),

bilgi güvenliği risklerini en aza indirmek ve iş verimliliğini artırmak için şirkette iş düzenleme kurallarının belirlenmesi.

Bilgi güvenliği politikası gereksinimleri:

Politikanın yönetim desteğini göstermesi için şirketin en yüksek idari organı (CEO, yönetim kurulu vb.) tarafından onaylanması gerekir.

Bilgi güvenliği politikası, son kullanıcılar ve şirket yönetimi için anlaşılır bir dille yazılmalı ve mümkün olduğunca öz olmalıdır.

IS politikası, IS hedeflerini, bunlara nasıl ulaşılacağını ve sorumlulukları tanımlamalıdır. Yöntemlerin uygulanmasına ilişkin teknik detaylar, Politika'da atıfta bulunulan talimat ve yönetmeliklerde yer almaktadır.

Güvenlik politikasının üretim süreci üzerindeki etkisini en aza indirin.

Bilgi güvenliği konularında çalışanların ve kurum yönetiminin sürekli eğitimi

Uygulama aşamasında ve gelecekte güvenlik politikası kurallarının uygulanmasının sürekli izlenmesi.

Güvenlik politikalarının sürekli iyileştirilmesi.

Görüşlerde tutarlılık ve kurumsal bir güvenlik kültürü oluşturulması.

PIB'nin aşağıdaki yapısı önerilmiştir:

· Genel hükümler (kuruluşun faaliyetlerinin tabi olduğu kanun, yönetmelik ve diğer düzenleyici belgelere yapılan atıflar),

· Kuruluş için bilgi güvenliğinin öneminin teyidi ve kuruluşun işi açısından bilgi koruma hedeflerinin formüle edilmesi (mevzuatın gerekliliklerine ve diğer standartlara uygunluk, müşterilerin ve ortakların beklentilerini karşılama, rekabet gücünü artırma, finansal istikrar) ve kuruluşun imajı).

· Kuruluşun bilgi güvenliğini sağlamaya yönelik stratejisinin açıklaması (örneğin, yasal gerekliliklere uygunluk, risk değerlendirmesi ve yönetimi).

· PIB'nin kapsamı (Örneğin PIB, kuruluşun tüm çalışanları ve yönetimi veya ayrı bir şube veya dizüstü bilgisayar kullanan çalışanlar için zorunludur)

· Koruma nesnesinin açıklaması (korunan kaynaklar - çeşitli kategorilerdeki bilgiler, bilgi altyapısı vb.)

· Bilgi güvenliğinin amaç ve hedefleri (örneğin, BS tehditlerini kabul edilebilir bir düzeye indirmek, potansiyel BS tehditlerini ve güvenlik açıklarını belirlemek, BS olaylarını önlemek)

· Bu kuruluş için dikkate alınan tehditler ve ihlal eden modeli (oluşma kaynaklarına göre, uygulama yöntemlerine göre, yöne göre)

· Bilgi güvenliği politikasının ilkelerinin kısa bir açıklaması:

Ö BGYS oluşturma yaklaşımı,

Ö bilgi güvenliği alanında personelin eğitimi ve farkındalığı için gereklilikler,

Ö PIB ihlalinin sonuçları ve sorumluluğu,

Ö yaklaşım risk yönetimi,

Ö olay raporları da dahil olmak üzere bilgi güvenliği yönetimine yönelik organizasyon yapısının, genel ve özel sorumlulukların belirlenmesi,

Ö özel güvenlik politikaları ve belirli bilgi sistemleri için prosedürler veya kullanıcıların izlemesi gereken güvenlik kuralları gibi politikayı destekleyebilecek belgelere bağlantılar.

Ö PIB hükümlerinin uygulanmasını izlemek için mekanizmalar,

Ö politika değişikliklerini gözden geçirme ve benimseme prosedürü.

IS politikası onaylandıktan sonra yapılması gerekenler:

· Bilgi güvenliği politikası hükümlerini, alt politikalarını, prosedürlerini ve imzaya karşı talimatlarını sıradan çalışanların ilk ve sonraki periyodik eğitim ve bilgilendirmelerinde dikkatine sunmak;

· Politikayı açıklığa kavuşturan ve tamamlayan prosedürler, talimatlar vb. geliştirin (bilgi güvenliği departmanı uzmanları için);

· Yeterliliğini ve etkililiğini sürdürmek için politikayı periyodik olarak gözden geçirin;

· Kuruluşun Yönetimine bir rapor vererek, çalışanlar tarafından politika hükümlerine uygunluğun periyodik denetimlerini gerçekleştirin.

· Ayrıca sorumlu personelin görev tanımları, alt bölümlere ilişkin düzenlemeler, kuruluşun sözleşmeden doğan yükümlülükleri bilgi güvenliğinin sağlanmasına yönelik sorumlulukları içermelidir.

Böylece, sonuç olarak, sadece BGYS'nin belgesel tabanı oluşturulmaz, aynı zamanda kuruluş personeli arasında bilgi güvenliğini sağlamaya yönelik gerçek bir sorumluluk dağılımı da olur.

Güvenlik Politikası Yaşam Döngüsü:

Planlama

İlk güvenlik denetimi

anket yapmak,

korunmaya muhtaç kaynakların belirlenmesi

risk değerlendirmesi.

Denetim sırasında bilgi güvenliğinin mevcut durumu analiz edilir, mevcut güvenlik açıkları, en kritik çalışma alanları ve güvenlik tehditlerine karşı en hassas iş süreçleri belirlenir.

Güvenlik politikası geliştirme:

Ana koşullar, gereksinimler ve temel sistem riskleri kabul edilebilir bir düzeye indirmeye olanak tanıyan kuruluşta bilgi güvenliğini sağlamaya yönelik önlemler

Çalışma grubu çerçevesinde kararlaştırılan ve kuruluş yönetimi tarafından onaylanan kararlar şeklinde düzenlenirler.

PIB'nin uygulanması

Teknik, organizasyonel ve disiplin problemlerini çözmek.

muayene

Denetim ve kontrol.

ayar

Kaynak verilerdeki değişikliklerin yanı sıra periyodik revizyon ve ayarlama.

bilgisayar koruma bilgi sistemi

1.3Modern fiziksel araçlar, donanım ve yazılım koruması bilgi

Herhangi bir bilgi güvenliği sisteminin temel amacı, nesnenin istikrarlı bir şekilde çalışmasını sağlamaktır: güvenliğine yönelik tehditleri önlemek, bilgi sahibinin meşru çıkarlarını, söz konusu ilişkiler alanındaki suç eylemleri de dahil olmak üzere yasa dışı tecavüzlerden korumak; Ceza Kanunu'na göre, nesnenin tüm bölümlerinin normal üretim faaliyetlerini sağlamak. Diğer bir görev ise sunulan hizmetlerin kalitesini artırmak ve müşterilerin mülkiyet haklarının ve çıkarlarının güvenliğini garanti etmektir. Bunun için ihtiyacınız var:

bilgileri kısıtlı erişim kategorisine (resmi sır) atfedin;

bilgi kaynaklarının güvenliğine yönelik tehditleri, mali, maddi ve manevi zarara, normal işleyişinin ve gelişiminin aksamasına katkıda bulunan neden ve koşulları tahmin etmek ve zamanında belirlemek;

bilgi kaynaklarına güvenlik tehditleri uygulama ve neden olma olasılığı en düşük olan çalışma koşulları oluşturmak Çeşitli türler zarar;

bilgi güvenliğine yönelik tehditlere ve işleyişteki olumsuz eğilimlerin tezahürlerine anında yanıt vermek için bir mekanizma ve koşullar oluşturmak, yasal, organizasyonel ve teknik önlemlere ve güvenliği sağlama araçlarına dayalı olarak kaynaklara yapılan tecavüzlerin etkili bir şekilde bastırılması;

bireylerin ve tüzel kişilerin yasa dışı eylemlerinden kaynaklanan zararın mümkün olan en yüksek düzeyde tazmin edilmesi ve yerelleştirilmesi için koşullar yaratmak ve böylece olası zararları zayıflatmak Negatif etki bilgi güvenliği ihlalinin sonuçları.

Bir güvenlik politikası geliştirirken, Genel Kriterler (ISO 15408) ve risk analizi (ISO 17799) uyarlamasına dayalı olarak aşağıdaki model (Şekil 1) kullanılabilir. Bu model, Avrupa'da benimsenen bilgi güvenliğini sağlamak için özel normatif belgelere uygundur. Rusya Federasyonu, uluslararası standart ISO/IEC 15408 "Bilgi teknolojisi - koruma yöntemleri - bilgi güvenliğini değerlendirme kriterleri", standart ISO/IEC 17799 "Bilgi güvenliği yönetimi".

Pirinç. 1 Kurumsal bilgi güvenliği sistemi oluşturmak için model

Sunulan model, bir dizi objektif dış ve iç faktörler ve tesisteki bilgi güvenliği durumu ve malzeme veya bilgi kaynaklarının güvenliği üzerindeki etkileri.

Aşağıdaki nesnel faktörler dikkate alınır:

oluşma olasılığı ve uygulama olasılığı ile karakterize edilen bilgi güvenliğine yönelik tehditler;

bir tehdidin gerçekleşme olasılığını etkileyen bir bilgi sisteminin veya bir karşı önlem sisteminin (bilgi güvenliği sistemleri) güvenlik açıkları; - risk - bilgi güvenliği tehdidinin uygulanmasının bir sonucu olarak kuruluşa olası zararı yansıtan bir faktör: bilgi sızıntısı ve kötüye kullanımı (risk nihai olarak olası mali kayıpları yansıtır - doğrudan veya dolaylı).

Etkili bir güvenlik politikası oluşturmak için, öncelikle bilgi güvenliği alanındaki risklerin bir analizini yapması gerekiyor. Ardından, belirli bir kritere dayalı olarak işletme için en uygun risk seviyesini belirleyin. Güvenlik politikası ve ilgili kurumsal bilgi koruma sistemi, belirli bir risk düzeyine ulaşacak şekilde oluşturulmalıdır.

Modern bir işletme için bir bilgi güvenliği politikası geliştirmek için önerilen metodoloji, bilgi güvenliğini sağlamakla ilgili gereksinimleri tam olarak analiz etmenize ve belgelemenize, öznel bir risk değerlendirmesiyle mümkün olan gereksiz güvenlik önlemlerinin maliyetinden kaçınmanıza, korumanın planlanmasına ve uygulanmasına yardımcı olmanıza olanak tanır. bilgi sistemlerinin yaşam döngüsünün tüm aşamalarında, işin kısa sürede yapılmasını sağlamak, karşı önlemlerin seçimi için bir gerekçe sağlamak, karşı önlemlerin etkinliğini değerlendirmek, karşı önlemler için farklı seçenekleri karşılaştırmak.

Çalışma sürecinde çalışmanın sınırları belirlenmelidir. Bunu yapmak için, gelecekte risk değerlendirmelerinin yapılacağı bilgi sistemi kaynaklarının tahsis edilmesi gerekmektedir. Aynı zamanda, dikkate alınan kaynakları ve etkileşimin gerçekleştirildiği dış unsurları ayırmak gerekir. Kaynaklar bilgisayar ekipmanı, yazılım, veri ve ayrıca bilgi kaynakları olabilir - bireysel belgeler ve bireysel belge dizileri, belgeler ve bilgi sistemlerindeki (kütüphaneler, arşivler, fonlar, veri bankaları, diğer bilgi sistemleri) belge dizileri. Dış öğelere örnek olarak iletişim ağları, dış hizmetler ve benzerleri verilebilir.

Bir model oluştururken, kaynaklar arasındaki ilişkiler dikkate alınacaktır. Örneğin, herhangi bir ekipmanın arızalanması, veri kaybına veya sistemin başka bir kritik unsurunun arızalanmasına yol açabilir. Bu tür ilişkiler, bilgi güvenliği açısından bir organizasyon modeli oluşturmanın temelini belirler.

Bu model, önerilen metodolojiye uygun olarak şu şekilde inşa edilmiştir: tahsis edilen kaynaklar için, hem bunlarla ilişkili olası mali kayıplar açısından hem de kuruluşun itibarına verilen zarar, düzensizlik açısından değerleri belirlenir. faaliyetleri, gizli bilgilerin ifşasından kaynaklanan maddi olmayan zararlar vb. Daha sonra kaynak ilişkileri tanımlanır, güvenlik tehditleri belirlenir ve uygulanma olasılıkları tahmin edilir.

İnşa edilen model temelinde, riskleri kabul edilebilir seviyelere indiren ve en yüksek maliyet etkinliğine sahip olan bir karşı önlem sistemini makul bir şekilde seçmek mümkündür. Karşı önlemler sisteminin bir parçası, koruma sisteminin etkinliğinin düzenli olarak gözden geçirilmesi için öneriler olacaktır.

Bilgi güvenliği için artan gereksinimlerin sağlanması, bilgi teknolojisinin yaşam döngüsünün tüm aşamalarında uygun önlemleri içerir. Bu faaliyetlerin planlaması, risk analizi ve karşı önlemlerin seçimi aşaması tamamlandıktan sonra gerçekleştirilir. Zorunlu ayrılmaz parça Bu planlardan biri, periyodik bir uygunluk kontrolüdür. mevcut rejim Bilgi güvenliği politikası, belirli bir güvenlik standardının gerekliliklerine uygunluk için bir bilgi sisteminin (teknoloji) sertifikasyonu.

İşin tamamlanmasının ardından, nesnenin bilgi ortamına güvenilebileceği bir değerlendirmeye dayalı olarak bilgi ortamının güvenliğinin güvence ölçüsünü belirlemek mümkün olacaktır. Bu yaklaşım, daha fazla güvencenin, emniyet değerlendirmesindeki daha fazla çabadan kaynaklandığını varsayar. Değerlendirmenin yeterliliği, değerlendirme sürecine katılıma bağlıdır. Daha nesnenin bilgi ortamının unsurları, güvenlik sisteminin tasarımında uygulama detaylarının daha fazla sayıda tasarımı ve açıklaması kullanılarak elde edilen derinlik, daha fazla sayıda arama aracının ve amaçlanan yöntemlerin kullanılmasından oluşan titizlik daha az belirgin güvenlik açıklarını tespit etmek veya bunların bulunma olasılığını azaltmak.

Herhangi bir bilgi güvenliği çözümünü uygulamadan önce, modern bir işletmenin amaç ve hedeflerine uygun bir güvenlik politikası geliştirmenin gerekli olduğunu unutmamak önemlidir. Özellikle, güvenlik politikası, kullanıcı erişim haklarının verilmesini ve kullanılmasını ve ayrıca kullanıcıların güvenlik konularındaki eylemlerinden sorumlu olma gerekliliğini tanımlamalıdır. Bir bilgi güvenlik sistemi (ISS), güvenlik politikası kurallarının uygulanmasını güvenilir bir şekilde destekliyorsa etkili olacaktır ve bunun tersi de geçerlidir. Bir güvenlik politikası oluşturmanın aşamaları, otomasyon nesnesinin açıklamasına bir değer yapısı eklemek ve bir risk analizi yapmak ve otomasyon nesnesinin belirli bir dereceye sahip kaynaklarına bu tür erişimin kullanılmasına yönelik herhangi bir işlem için kuralları belirlemektir. değerli. Aynı zamanda, ayrı bir belge şeklinde bir güvenlik politikası hazırlanması ve işletme yönetimi tarafından onaylanması arzu edilir.

4.Sorunun formülasyonu

Bu hedefe ulaşmak için aşağıdaki görevleri çözmek gerekir:

· İşletmede bilgi güvenliğinin amaç ve hedeflerini belirleyin.

· Bu kuruluş için bir güvenlik ilkesi modeli seçin.

Bir erişim matrisi oluşturun

AS için bir gereksinim grubu tanımlayın

AU'nun güvenlik sınıfını ve bunun için gereklilikleri belirleyin

İşletmedeki ana koruma nesnelerini belirleyin

İşletmede koruma konusunun belirlenmesi

Ortaya çıkarmak olası tehditler kuruluşta korunan bilgiler ve yapıları

Kuruluştaki korunan bilgiler üzerindeki istikrarsızlaştırıcı etkinin kaynaklarını, türlerini ve yöntemlerini belirleyin

· Kuruluşta korunan bilgilere yetkisiz erişim kanallarını ve yöntemlerini belirleyin

İşletmedeki bilgileri korumanın ana yönlerini, yöntemlerini ve araçlarını belirleyin

Kurumsal bilgi güvenliğinin amaçları şunlardır:

Gizli bilgilerin (ticari sırlar ve kişisel veriler) çalınmasını, sızmasını, kaybolmasını, bozulmasını, sahteciliğini önleme;

bireyin ve işletmenin güvenliğine yönelik tehditlerin önlenmesi;

Gizli bilgileri yok etmek, değiştirmek, bozmak, kopyalamak, bloke etmek için yetkisiz eylemlerin önlenmesi;

· bilgi kaynaklarına ve sistemlerine diğer yasa dışı müdahale biçimlerinin önlenmesi, belgelenmiş bilgilerin bir mülkiyet nesnesi olarak yasal rejiminin sağlanması;

vatandaşların kişisel gizliliğini ve bilgi sistemlerinde bulunan kişisel verilerin gizliliğini korumaya yönelik anayasal haklarının korunması;

· yasaya uygun olarak belgelenmiş bilgilerin korunması, gizliliği.

İşletmedeki bilgi güvenliği görevleri şunları içerir:

İşletmenin yönetim, finans ve pazarlama faaliyetlerinin sağlanması bilgi Servisi, yani tüm hizmetlerin, bölümlerin ve yetkililerin tedariki gerekli bilgi Hem sınıflandırılmış hem de sınıflandırılmamış.

Bilgilerin ve araçlarının güvenliğini garanti etmek, korunan bilgilerin sızmasını önlemek ve sınıflandırılmış bilgi taşıyıcılarına yetkisiz erişimi önlemek.

Tehditlere anında müdahale için mekanizmaların geliştirilmesi, yasal, ekonomik, örgütsel, sosyo-psikolojik, mühendislik ve teknik araçların ve şirketin güvenliğine yönelik tehdit kaynaklarının belirlenmesi ve etkisiz hale getirilmesi için yöntemlerin kullanılması.

Bilgilerin, özellikle ticari sır teşkil eden bilgilerin korunma sürecinin belgelenmesi.

Gizli bilgilerin yetkisiz olarak alınması hariç, özel ofis çalışmalarının organizasyonu.

· Emirler, kararlar, yönetmelikler, talimatlar, anlaşmalar ve ifşa etmeme yükümlülükleri, emirler, sözleşmeler, planlar, raporlar, gizli bilgiler ve ticari sır teşkil eden diğer belgeler hakkında Yönetmeliğe aşinalık beyanı, kağıt ve elektronik ortamda.

2. Tasarım bölümü

Günümüzde modern bir organizasyonun etkinliği, işleyiş sürecinde bilgi teknolojisinin kullanım derecesi ile giderek daha fazla belirlenmektedir. Hem elektronik ortamda işlenen bilgi miktarında hem de farklı bilgi sistemlerinin sayısında sürekli bir artış söz konusudur. Bu bağlamda bir işletmenin güvenliğini sağlama görevinde bir güvenlik politikasının geliştirilmesi ve işletmedeki bilgilerin korunması ön plana çıkmaktadır.

Bilgilerin korunmasını sağlamak, birkaç tür sırrın korunması ihtiyacını sağlar: ticari ve kişisel veriler. Müşterilerin güveni öncelikle kişisel verilerinin sağlanmasına ve buna bağlı olarak kuruluş çalışanlarının korunmasına dayandığından, en önemlisi kişisel verilerin korunmasıdır.

Bu nedenle stüdyoda güvenliği sağlamanın amacı, bir güvenlik politikası geliştirmek ve kuruluştaki bilgilerin normal işleyişi için güvenilir şekilde korunmasını sağlamaktır.

1 Bilgi güvenliği modelinin seçimi ve gerekçesi

Stüdyodaki ana koruma nesneleri şunlardır:

personel (çünkü bu kişilerin yasal olarak korunan bilgilerle (ticari sırlar, kişisel veriler) çalışmasına veya bu bilgilerin işlendiği tesislere erişimine izin verilir)

bilgilendirme nesneleri - bilgilendirme araçları ve sistemleri, bilgi alma, iletme ve işleme teknik araçları, kuruldukları tesisler,

Kısıtlanmış bilgi:

ticari sır (kullanılan orijinal işletme yönetimi yöntemleri hakkında bilgi, ticari, organizasyonel ve diğer konularda işletme yönetiminin bireysel kararlarının hazırlanması, benimsenmesi ve uygulanması hakkında bilgi; davranış gerçekleri, amaçları, konusu ve sonuçları hakkında bilgi kuruluşun yönetim organlarının (yönetici ortaklar vb.) toplantıları ve toplantıları;

çalışanların kişisel verileri (soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi, Aile durumu, eğitim, meslek, beceri düzeyi, gelir, sabıka kaydı ve iş ilişkisi ile bağlantılı olarak işveren tarafından istenen ve belirli bir çalışana ilişkin diğer bazı bilgiler).

müşterilerin kişisel verileri (soyadı, adı, soyadı, doğum tarihi, telefon numarası, sipariş verileri ve kişisel indirimler)

Kamuya açık bilgilerin kaybolmasına karşı korumalı:

işletmenin statüsünü, çalışanlarının hak, görev ve sorumluluklarını düzenleyen belgeli bilgiler (Tüzük, sicil, kuruluş sözleşmesi, faaliyet yönetmeliği, yapısal bölümlere ilişkin yönetmelik, çalışanların görev tanımları)

yasal olarak korunan bilgilerin maddi taşıyıcıları (çalışanların kişisel dosyaları, müşterilerin kişisel dosyaları, çalışanların ve müşterilerin elektronik veritabanları, siparişlerin basılı kopyaları ve elektronik versiyonları, kararlar, planlar, sözleşmeler, ticari sır oluşturan raporlar)

bilgi koruma araçları ( antivirüs programları, alarm ve video izleme sistemi, yangından korunma sistemi.)

Yasal olarak korunan bilgilerin (kişisel dosyalar) işlenmesi sonucu oluşan teknolojik atık (çöp) eski müşteriler ve çalışanlar)

Stüdyoda bilgi korumasının konusu, korunan bilgilerin kaydedildiği ve görüntülendiği ortamdır:

· Müvekkillerin kağıt ve elektronik (müşteri ve çalışanların veritabanı) biçimindeki kişisel dosyaları;

· Emirler, kararlar, yönetmelikler, talimatlar, anlaşmalar ve ifşa etmeme yükümlülükleri, emirler, sözleşmeler, planlar, raporlar, gizli bilgiler ve ticari sır teşkil eden diğer belgeler hakkında Yönetmeliğe aşinalık beyanı, kağıt ve elektronik ortamda.

Korunan bilgilere yönelik tehditler.

Dış tehditler:

· Rakipler (Vilden stüdyosunun rakibi olan özel stüdyolar);

İdari organlar (kamu makamları);

· Suçlular.

Dahili Tehditler:

· Personel;

· İşletmenin yönetimi.

Tehdit sınıflandırması:

nesnelere göre:

1. Personel;

2. Maddi değerler;

3. Mali değerler.

hasar göre:

1. Malzeme;

2. Ahlaki.

Hasar açısından:

1. Nihai (tam yıkım);

2. Önemli (bir miktar brüt gelir);

3. Önemsiz (kar kaybı).

Nesne ile ilgili olarak:

1. Dahili;

2. Dış.

Oluşma olasılığı:

1. Büyük olasılıkla;

2. Muhtemel;

3. Olası değil.

Etkinin doğası gereği:

1. Aktif;

2. Pasif.

Tezahür nedeniyle:

1. Doğal;

2. kasıtlı.

Bilgi üzerindeki istikrarsızlaştırıcı etkinin kaynakları şunları içerir:

bilgi görüntüleme (sabitleme), depolama, işleme, çoğaltma, iletme teknik araçları, iletişim araçları ve bunların işleyişini sağlamak için sistemler;

doğal olaylar.

Korunan bilgiler üzerindeki istikrarsızlaştırma etkisinin türleri ve yöntemleri, etki kaynaklarına göre farklılaştırılır. İstikrar bozucu etkinin en fazla sayıda türü ve yöntemi insanlarla ilgilidir.

İnsanlar açısından, yıkıma, bozulmaya ve engellemeye yol açan aşağıdaki etki türleri mümkündür:

Korunan bilgilerin ortamı üzerinde doğrudan etkisi.

Gizli bilgilerin izinsiz dağıtımı.

Bilgi ve iletişim olanaklarını görüntüleme, depolama, işleme, çoğaltma, iletme teknik araçlarının devre dışı bırakılması.

Listelenen araçların ve bilgi işleme teknolojisinin çalışma modunun ihlali.

Bu tesislerin işleyişini sağlamak için sistemlerin çalışma modunun yetersizliği ve ihlali.

bilginin sözlü aktarımı (mesaj);

bilgi taşıyıcılarının kopyalarının (resimlerinin) aktarılması;

medya görüntüleme;

bilgisayar ağlarına bilgi girmek;

kamuya açık konuşmalarda bilgilerin kullanımı, dahil. radyoda, televizyonda;

medya kaybı.

Teknik görüntüleme, depolama, işleme, çoğaltma, bilgi aktarımı, iletişim araçları ve bilgi işleme teknolojisi araçlarının çalışma modunun ihlali, bilgilerin imhasına, bozulmasına ve engellenmesine yol açabilir:

bireysel fon unsurlarına zarar;

fonların işleyişine ilişkin kuralların ihlali;

bilgi işleme prosedüründe değişiklik yapmak;

bilgi işleme programlarına kötü amaçlı yazılım bulaşması;

yanlış program komutları vermek;

tahmini talep sayısını aşmak;

ek bir ses veya gürültü arka planının yardımıyla radyo havasında parazit yaratmak, bilgi aktarım frekanslarını değiştirmek (üst üste binmek);

yanlış sinyallerin iletilmesi - bastırma filtrelerinin bilgi devrelerine, güç ve toprak devrelerine bağlanması;

fonların işleyişini sağlamak için sistemlerin çalışma şeklinin ihlali (değişimi).

Bilgilerin ve iletişim araçlarının ve bunların işleyişini sağlamaya yönelik sistemlerin görüntülenmesi, saklanması, işlenmesi, çoğaltılması, iletilmesi gibi teknik araçlardan korunan bilgiler üzerindeki istikrarsızlaştırıcı etki türleri, araçların arızalanmasını içerir; araçların arızaları ve elektromanyetik radyasyonun yaratılması.

Bilgi sızıntısı için en olası kanallar şunları içerir:

Görsel gözlem;

kulak misafiri olmak

teknik denetim;

doğrudan sorgulama, sorgulama;

malzemeler, belgeler, ürünler vb. ile tanışma;

açık belgelerin ve diğer bilgi kaynaklarının toplanması;

Belgelerin ve diğer bilgi kaynaklarının çalınması;

gerekli bilgileri parçalar halinde içeren birçok bilgi kaynağının incelenmesi.

Bilgi koruma yönergeleri.

Yasal koruma - işletmenin bilgi güvenliğini sağlamak için oluşturulan özel yasal kurallar, prosedürler ve önlemler.

Örgütsel koruma - üretim faaliyetlerinin ve sanatçılar arasındaki ilişkilerin, zarar kullanan yasal bir temelde düzenlenmesi. Kurumsal koruma şunları sağlar:

Güvenlik rejiminin organizasyonu, personel ile çalışma, belgeler;

Teknik güvenlik ekipmanlarının kullanımı;

Tehditleri belirlemek için bilgi ve analitik çalışmanın kullanılması.

Mühendislik ve teknik koruma - gizli bilgilerin korunmasını sağlamak için çeşitli teknik araçların kullanılması. Mühendislik ve teknik koruma aşağıdaki gibi araçları kullanır:

Fiziksel - gizli bilgi kaynaklarına sızmayı engelleyen veya engelleyen cihazlar, mühendislik yapıları, organizasyonel önlemler (eskrim sistemleri, erişim kontrol sistemleri, kilitleme cihazları ve depolama tesisleri);

Donanım - sızıntıya, ifşaya ve endüstriyel casusluğun teknik araçlarına karşı koruma sağlayan cihazlar

Yazılım.

Bilgi güvenliği yöntemleri.

Bilgi güvenliğinde kullanılan başlıca yöntemler şunlardır:

Kullanıcıların (bakım personeli) bilgi kaynaklarına, bilgi sistemine ve ilgili iş ve belgelere erişimi için izin sisteminin uygulanması;

· kullanıcıların ve hizmet personelinin bilgi kaynaklarına, yazılım işlemeye (aktarım) ve bilgilerin korunmasına erişiminin farklılaştırılması;

teknik araçların fazlalığı, dizilerin ve bilgi taşıyıcıların çoğaltılması;

uygunluk değerlendirme prosedürünü belirtilen şekilde geçen bilgi güvenliği araçlarının kullanımı;

tesislerin fiziksel korunmasının organizasyonu ve kişisel verilerin işlenmesine izin veren gerçek teknik araçlar;

bilgi sistemlerine izinsiz girişlerin önlenmesi kötü amaçlı yazılım(virüs programları) ve yazılım yer imleri.

Gizli bilgiler için muhasebe ilkeleri:

korunan bilgilerin tüm taşıyıcılarının zorunlu kaydı;

bu tür bilgilerin belirli bir taşıyıcısının tek kaydı;

söz konusu gizli bilgi taşıyıcısının şu anda bulunduğu adresin kayıtlarındaki bir gösterge;

Korunan bilgilerin her taşıyıcısının güvenliğinden ve bu bilgilerin şu anda kullanıcının hesaplarına yansıtılmasından ve ayrıca tüm önceki kullanıcılar bu bilgi.

Bilgi güvenliği araçları

Bilgi güvenliği araçları, bir dizi mühendislik, teknik, elektrik, elektronik, optik ve diğer cihaz ve cihazlar, enstrümanlar ve teknik sistemler, yanı sıra, sızıntıyı önleme ve korunan bilgilerin güvenliğini sağlama da dahil olmak üzere çeşitli bilgi koruma sorunlarını çözmek için kullanılan diğer gerçek unsurlar.

Teknik araçların yardımıyla çözülen ana görev grupları, bilgi güvenliği araçlarının sınıflandırılmasında temel olarak kullanılır:

bir davetsiz misafirin bilgi taşıyıcılarına (kafesler, kasalar, kilitler vb.) girme yolunda fiziksel (mekanik) engellerin oluşturulması;

koruma nesnesine, korunan bilgi taşıyıcılarının (elektronik ve elektro-optik sinyal cihazları) yoğunlaştığı yerlere girme girişimlerinin tanımlanması;

oluşum uyarısı acil durumlar(yangın, sel vb.) ve acil müdahale (yangın söndürme ekipmanı vb.);

güvenlik nesnesinin çeşitli bölümleri, binaları ve diğer noktaları ile iletişimin sürdürülmesi;

Çalışan veya test edilen ürünlerden (ekranlar, koruyucu filtreler, güç kaynağı ağlarındaki ayırıcı cihazlar, vb.) radyasyonun nötralizasyonu, soğurulması veya yansıması;

bilgi işlemenin teknik araçlarının ve işlenen konuşma bilgilerinin güvenlik gerekliliklerine belirlenen standartlara uygunluğu için tahsis edilen tesislerin kapsamlı bir kontrolü;

bilgilerin yetkisiz erişimini, kopyalanmasını veya bozulmasını önlemek için filtreler, elektronik kilitler ve anahtarlar kullanan otomatik veri işleme sistemlerinde karmaşık bilgi koruması.

Bilgi koruma yöntem ve araçlarının olanakları hakkındaki bilgi, gizli bilgileri korumak için yasal, organizasyonel ve mühendislik önlemlerini değerlendirirken ve kullanırken bunları aktif ve kapsamlı bir şekilde uygulamanıza olanak tanır.

Güvenlik politikası modeli.

Şu anda, en iyi iki tür güvenlik politikası incelenmektedir: isteğe bağlı ve zorunlu, sırasıyla seçici ve yetkili erişim kontrolü yöntemlerine dayalıdır.

Bu erişim kontrol yöntemlerinden herhangi birini uygulamak için tasarlanmış güvenlik araçlarının yalnızca güvenilir erişim veya bilgi akışı kontrol yetenekleri sağladığına dikkat edilmelidir. Öznelerin nesnelere ve/veya bilgi akışlarına erişim haklarının belirlenmesi (öznelerin ve nesne özniteliklerinin izinleri, kritiklik etiketlerinin atanması vb.) sistem yönetiminin yetkisi dahilindedir.

Sisteme Zorunlu Erişim Kontrolü (MAC), bilgilerin sahibinden bağımsız olarak mevcut olduğu anlamına gelir. Kural olarak, bu gibi durumlarda erişim kontrolü, bilginin kendisinin özelliklerine ve ona erişmek isteyen kişinin özelliklerine göre her ikisinden bağımsız kurallara göre uygulanır.

Orduda uygulanması amaçlanan modeller için tipiktir ve hükümet sistemleri koruma.

Kesin olarak, belirli bir erişim kontrol yönteminin hangi sınıfa ait olduğunu belirleme kriterleri her zaman kesin bir sonuç vermez, ancak çoğu için çok doğrudur. klasik modeller Güvenlik politikaları.

İsteğe bağlı (ayrık) bir güvenlik politikasının temeli, iki özellik tarafından tanımlanan İsteğe Bağlı Erişim Denetimi'dir (DAC):

Öznenin sistem nesnesine erişim hakları, sistemin dışındaki bazı kurallara göre belirlenir;

Tüm özneler ve nesneler tanımlanmalıdır.

İsteğe bağlı erişim kontrolü, bazı öznelerin (genellikle nesnenin sahibi) diğer öznelere nesneye erişim hakları verebileceği veya onlardan alabileceği gerçeğine dayanan, nesnelere erişimi kısıtlama yöntemidir.

Bu model, öznelerin nesnelere erişimi üzerinde isteğe bağlı (keyfi) kontrol ve erişim haklarının dağıtımı üzerinde kontrol uygular.

2 Fiziksel (bilgisayar dışı) bilgi güvenliği önlemlerinin seçimi ve gerekçesi

Bilgilerin fiziksel olarak korunmasına yönelik önlemler şunları içerir:

yangın koruması;

su koruması;

aşındırıcı gazlara karşı koruma;

elektromanyetik radyasyona karşı koruma;

hırsızlığa ve hırsızlığa karşı koruma;

patlama koruması;

düşen döküntülere karşı koruma;

toz koruması;

tesislere yetkisiz erişime karşı koruma.

Öncelikle bilgisayarın duracağı odayı hazırlamanız gerekiyor.

Bilgisayardaki kullanılmayan disk sürücülerini, paralel ve seri bağlantı noktalarını devre dışı bırakmak akıllıca bir harekettir. Vücudunu mühürlemek arzu edilir. Tüm bunlar, saldırgan bir şekilde odaya girse bile bilgilerin çalınmasını veya değiştirilmesini zorlaştıracaktır. Demir parmaklıklar ve kapılar gibi önemsiz güvenlik önlemlerini ihmal etmeyin, şifreli kilitler ve ofisin kilit alanlarında olan her şeyi sürekli olarak kaydedecek CCTV kameraları.

Diğer bir tipik hata, yedekleme ile ilgilidir. Herkes bunun gerekliliğini ve yangın durumunda bir yangın söndürücüye sahip olma ihtiyacını bilir. Ancak nedense yedek kopyaların bilgisayarla aynı odada saklanamayacağını unutuyorlar. Sonuç olarak, bilgi saldırılarına karşı kendilerini savunan firmalar, ihtiyatlı bir şekilde yapılan kopyaların bilgisayarla birlikte yok olduğu küçük bir yangın karşısında bile kendilerini savunmasız bulurlar.

Çoğu zaman, korumalı bilgisayarlara sahip olsalar bile, her türlü kablonun da korumaya ihtiyacı olduğunu unuturlar - ağın kablo sistemi. Dahası, genellikle davetsiz misafirlerden değil, haklı olarak yerel ağların en kötü düşmanları olarak kabul edilen en sıradan temizlikçilerden korkmanız gerekir. Kabloyu korumanın en iyi yolu bir kutudur, ancak prensipte kabloları gizlemenize ve güvenli bir şekilde bağlamanıza izin veren diğer tüm yöntemler çalışacaktır. Bununla birlikte, örneğin akımı boşaltarak bilgileri engellemek veya parazit oluşturmak için bunlara dışarıdan bağlanma olasılığını gözden kaçırmamalısınız. Bununla birlikte, bu seçeneğin yaygın olmadığı ve yalnızca büyük firmaların iş ihlallerinde görüldüğü kabul edilmelidir.

İnternete ek olarak, bilgisayarlar başka bir ağa dahil edilmiştir - normal elektrik ağı. Bilgisayarların fiziksel güvenliği ile ilgili başka bir sorun grubu da bununla bağlantılıdır. Modern güç ağlarının kalitesinin ideal olmaktan uzak olduğu bir sır değil. Herhangi bir dış anormallik belirtisi olmasa bile, çoğu zaman şebekedeki voltaj normalden yüksek veya düşüktür. Aynı zamanda çoğu insan, evlerinde veya ofislerinde güç kaynağıyla ilgili bazı sorunlar olduğundan şüphelenmez bile.

Düşük voltaj en yaygın anormalliktir ve çeşitli güç problemlerinin toplam sayısının yaklaşık %85'ini oluşturur. Her zamanki nedeni, özellikle kış aylarında yaygın olan elektrik kesintisidir. Artan voltaj neredeyse her zaman bir tür kaza veya odadaki kabloların hasar görmesinin sonucudur. Çoğu zaman, ortak nötr telin bağlantısının kesilmesinin bir sonucu olarak, bitişik fazlara 380 V'ta enerji verilir. yüksek voltaj kabloların yanlış anahtarlanması nedeniyle ağda oluşur.

Darbe ve yüksek frekanslı parazit kaynakları, yıldırım çarpması, güçlü elektrik tüketicilerini açıp kapatma, trafo merkezlerindeki kazalar ve bazı elektrikli ev aletlerinin çalışması olabilir. Çoğu zaman, bu tür müdahaleler büyük şehirlerde ve endüstriyel alanlarda meydana gelir. Nanosaniyeden (10~9 s) mikrosaniyeye (10~6 s) kadar bir süreye sahip voltaj darbeleri genlikte birkaç bin volta ulaşabilir. Bu tür müdahalelere karşı en savunmasız olanlar mikroişlemciler ve diğer elektronik parçalar. Çoğu zaman, bastırılmamış dürtü gürültüsü, bilgisayarın yeniden başlatılmasına veya veri işlemede bir hataya yol açabilir. Bilgisayarın yerleşik güç kaynağı, elbette, voltaj dalgalanmalarını kısmen düzelterek bilgisayarın elektronik bileşenlerini arızaya karşı korur, ancak kalan parazit yine de ekipmanın ömrünü azaltır ve ayrıca sıcaklığın artmasına neden olur. bilgisayarın güç kaynağı.

Bilgisayarları yüksek frekanslı dürtü gürültüsünden korumak için, ağ filtreleri(örneğin, Pilot markaları), ekipmanı çoğu parazitten ve voltaj dalgalanmalarından korur. Ayrıca önemli bilgilerin bulunduğu bilgisayarlarda kesintisiz güç kaynağı (UPS) bulunmalıdır. Modern UPS modelleri, yalnızca elektrik kesildiğinde bilgisayarı çalışır durumda tutmakla kalmaz, aynı zamanda ana güç menzil dışındaysa bilgisayarın elektrik bağlantısını keser.

3 Donanım (bilgisayar) bilgi güvenliği önlemlerinin seçimi ve gerekçesi

Donanım, verileri işlemek için kullanılan teknik araçlardır. Bunlar şunları içerir: Kişisel bilgisayar (hesaplama ve bilgi problemlerini çözme sürecinde bilgilerin otomatik olarak işlenmesi için tasarlanmış bir dizi teknik araç).

Çevresel ekipman (karmaşık harici cihazlar merkezi işlemcinin doğrudan kontrolü altında olmayan bilgisayarlar).

Makine bilgilerinin fiziksel taşıyıcıları.

Donanım koruması, çeşitli elektronik, elektro-mekanik, elektro-optik cihazları içerir. Bugüne kadar, çeşitli amaçlar için önemli sayıda donanım geliştirilmiştir, ancak aşağıdakiler en yaygın şekilde kullanılmaktadır:

güvenlik detaylarını saklamak için özel kayıtlar: şifreler, tanımlama kodları, akbabalar veya gizlilik seviyeleri;

otomatik olarak bir cihaz tanımlama kodu oluşturmak üzere tasarlanmış kod üreteçleri;

bir kişiyi tanımlamak için bireysel özelliklerini (ses, parmak izi) ölçen cihazlar;

değeri, bu bitlerin ait olduğu bellekte saklanan bilgilerin güvenlik seviyesini belirleyen özel güvenlik bitleri;

veri verme adresini periyodik olarak kontrol etmek için bir iletişim hattında bilgi iletimini kesintiye uğratma şemaları Özel ve en yaygın kullanılan donanım koruma cihazları grubu, bilgileri şifrelemek için cihazlardır (kriptografik yöntemler).

Donanım, bilgiye yetkisiz erişime karşı koruma sağlayan sistemler oluşturmanın temelidir.

1990'larda, OKB CAD çalışanları, bilgiye yetkisiz erişime karşı koruma sağlamak için sistemler oluşturmak için gerekli bir temel olarak kabul edilen donanım korumasını kullanmak için bir metodoloji geliştirdi. Bu yaklaşımın ana fikirleri şunlardır:

otomatik sistemlerde (AS) yetkisiz erişime karşı bilgi koruma sorunlarını çözmek için entegre bir yaklaşım. Çoğaltıcı koruma paradigmasının tanınması ve sonuç olarak NGS operasyonunun tüm aşamalarında kontrol prosedürlerinin uygulanmasının güvenilirliğine eşit dikkat;

bilgi güvenliğinin "temel sorunu"nun "materyalist" çözümü: "önce ne gelir - sert mi yoksa yumuşak mı?";

Açıkça güvenilmez olduğu için yazılım kontrol yöntemlerinin tutarlı bir şekilde reddedilmesi ve en kritik kontrol prosedürlerinin donanım düzeyine aktarılması;

kontrol işlemlerinin koşullu olarak kalıcı ve koşullu olarak değişken öğelerinin mümkün olan maksimum ayrımı;

AS'de kullanılan işletim ve dosya sistemlerinden mümkün olduğunca bağımsız olarak bilgileri yetkisiz erişime karşı koruma araçlarının (SZI NSD) oluşturulması. Bu, tanımlama / kimlik doğrulama prosedürlerinin uygulanması, donanımın bütünlüğünün kontrolü ve yazılım araçlarıİşletim sistemi yükleme, yönetim vb. öncesi AS.

Yukarıdaki donanım koruma ilkeleri, bilgileri yetkisiz erişime karşı koruma araçlarının donanım-yazılım kompleksinde - güvenilir önyükleme donanımı modülü - "Akkord-AMDZ" uygulandı. Bu kompleks, çeşitli işletim ortamlarında güvenilir bir önyükleme modu sağlar: MS DOS, Windows 3.x, Windows 9.x, Windows NT/2000/XP, OS/2, Unix, Linux.

Bilgi güvenliği donanımı, CS'nin teknik araçlarına dahil olan ve (bağımsız olarak veya yazılımla tek bir kompleks içinde) bazı bilgi güvenliği işlevlerini yerine getiren elektronik ve elektro-mekanik cihazları içerir. Bir cihazı mühendislik ve teknik koruma aracı olarak değil, donanım olarak sınıflandırma kriteri, teknik araçların bileşimine zorunlu olarak dahil edilmesidir.

Ana donanım bilgi güvenliği araçları şunları içerir:

kullanıcıyı tanımlayan bilgileri (manyetik ve plastik kartlar, parmak izleri, vb.) girmek için cihazlar;

bilgileri şifrelemek için cihazlar;

iş istasyonlarının izinsiz açılmasını önleyen cihazlar ( elektronik kilitler ve engelleyiciler).

Yardımcı donanım bilgi güvenliği örnekleri:

manyetik ortamdaki bilgileri yok etmek için cihazlar;

bilgisayar kullanıcılarının yetkisiz eylem girişimleri vb. hakkında sinyal cihazları.

Donanım, yalnızca hasara ve diğer kazara veya kötü niyetli saldırılara karşı korumanın daha kolay olması nedeniyle değil, aynı zamanda işlevlerin donanım tarafından uygulanması yazılım uygulamasından daha hızlı olduğu ve maliyetleri sürekli olarak düştüğü için giderek daha fazla ilgi görüyor.

Donanım koruma pazarında giderek daha fazla yeni cihaz ortaya çıkıyor. Elektronik kilidin tanımı aşağıda örnek olarak verilmiştir.

Elektronik kilit "Sobol". CJSC NIP Informzashchita tarafından geliştirilen ve sağlanan Sobol, aşağıdaki koruma işlevlerini sağlar:

kullanıcıların tanımlanması ve kimlik doğrulaması;

dosyaların bütünlük kontrolü ve fiziksel zor disk;

disketten ve CD-ROM'dan işletim sistemi önyüklemesini engelleme;

kayıtlı bir kullanıcının belirtilen başarısız oturum açma girişimi sayısını aştığında oturum açmasını engelleme;

sistemin güvenliği ile ilgili olayların kaydı.

İşletim sistemi koruma donanımı, geleneksel olarak aşağıdaki görevleri çözmek için kullanılan bir dizi araç ve yöntem olarak anlaşılır:

bilgisayarın operasyonel ve sanal belleğinin yönetimi;

çok görevli bir işletim sisteminde işlemci süresinin görevler arasında dağılımı;

çok görevli bir işletim sisteminde paralel görevlerin yürütülmesinin senkronizasyonu;

görevlerin işletim sistemi kaynaklarına paylaşımlı erişimini sağlamak.

Bu görevler, işlemcilerin ve diğer bilgisayar bileşenlerinin donanım tarafından uygulanan işlevlerinin yardımıyla büyük ölçüde çözülür. Ancak, kural olarak, bu sorunları çözmek için yazılım araçları da benimsenir ve bu nedenle "donanım koruması" ve "donanım koruması" terimleri tam olarak doğru değildir. Ancak, bu terimler aslında genel olarak kabul edildiğinden bunları kullanacağız.

4 Bilgi güvenliği yazılım önlemlerinin seçimi ve gerekçesi

Bilgi koruma yazılımı şu anlama gelir: özel programlar yalnızca koruyucu işlevleri yerine getirmek için bilgisayar yazılımına dahil edilmiştir.

Ana bilgi güvenliği yazılımı şunları içerir:

bilgisayar kullanıcı tanımlama ve kimlik doğrulama programları;

bilgisayar kaynaklarına kullanıcı erişimini kısıtlamak için programlar;

bilgi şifreleme programları;

bilgi kaynaklarını korumaya yönelik programlar (sistem ve uygulama yazılımı, veritabanları, bilgisayar tesisleri eğitim vb.) yetkisiz değişiklik, kullanım ve kopyalamadan.

Bir bilgisayarın bilgi güvenliğini sağlamakla ilgili olarak tanımlamanın, bilgisayar öznesinin benzersiz adının kesin olarak tanınması olarak anlaşıldığı anlaşılmalıdır. Kimlik doğrulama, sunulan adın verilen konuyla eşleştiğinin onaylanması anlamına gelir (konu kimlik doğrulaması).

Bilgi güvenliği yazılımı ayrıca şunları içerir:

kurtarma olasılığını sağlamak ve bu olayların meydana geldiğini kanıtlamak için bilgisayarın güvenliği ile ilgili olayların denetim programları (günlüğe kaydedilmesi);

suçluyla çalışmayı taklit etmeye yönelik programlar (sözde gizli bilgileri almak için dikkatini dağıtmak);

bilgisayar güvenlik testi kontrol programları vb.

Bilgi güvenliği yazılımının faydaları şunları içerir:

çoğaltma kolaylığı;

esneklik (özelleştirilebilir çeşitli koşullar belirli bilgisayarların bilgi güvenliğine yönelik tehditlerin özelliklerini dikkate alan uygulamalar);

kullanım kolaylığı - şifreleme gibi bazı yazılım araçları "şeffaf" (kullanıcı tarafından görülmez) modda çalışırken, diğerleri kullanıcının herhangi bir yeni (diğer programlara kıyasla) becerilere sahip olmasını gerektirmez;

bilgi güvenliğine yönelik yeni tehditleri hesaba katmak için değişiklikler yaparak geliştirmeleri için neredeyse sınırsız olanaklar.

Bilgi güvenliği yazılımının dezavantajları şunları içerir:

koruma programlarının çalışması için gerekli olan kaynaklarının tüketilmesi nedeniyle bilgisayar verimliliğinde azalma;

Daha zayıf performans(şifreleme gibi benzer işlevleri gerçekleştiren donanım tabanlı korumalarla karşılaştırıldığında);

davetsiz misafirin bunları baypas etmesi için temel bir olasılık oluşturan birçok güvenlik yazılımı aracının (bilgisayar yazılımında yerleşik olarak bulunanlar yerine, Şekil 4 ve 5) kenetlenmesi;

bilgisayarın çalışması sırasında koruma yazılımının kötü niyetli olarak değiştirilmesi olasılığı.

Bilgileri yetkisiz erişime karşı korumaya yönelik özel yazılım araçları, genel olarak, en iyi fırsatlar ve yerleşik ağ işletim sistemi araçlarından daha özellikler. Şifreleme programlarına ek olarak, başka birçok harici bilgi güvenliği aracı mevcuttur. En sık bahsedilenlerden, bilgi akışlarının sınırlandırılmasına izin veren aşağıdaki iki sisteme dikkat edilmelidir: - güvenlik duvarları (kelimenin tam anlamıyla güvenlik duvarı - bir güvenlik duvarı). Yerel ve küresel ağlar arasında, içlerinden geçen tüm ağ / taşıma katmanı trafiğini inceleyen ve filtreleyen özel ara sunucular oluşturulur. Bu, dışarıdan kurumsal ağlara yetkisiz erişim tehdidini önemli ölçüde azaltmanıza olanak tanır, ancak bu tehlikeyi tamamen ortadan kaldırmaz. Yöntemin daha güvenli bir varyasyonu, tüm gidenlerin olduğu maskeleme yöntemidir. yerel ağ güvenlik duvarı sunucusu adına trafik gönderilir, bu da yerel ağı neredeyse görünmez hale getirir sunucular (proxy - vekaletname, güvenilir kişi). Yerel ve küresel ağlar arasındaki tüm ağ/aktarım katmanı trafiği tamamen yasaklanmıştır - böyle bir yönlendirme yoktur ve yerel ağdan küresel ağa çağrılar, özel aracı sunucular aracılığıyla gerçekleşir. Açıkçası, bu yöntemle, küresel ağdan yerel ağa erişim prensip olarak imkansız hale gelir. Ayrıca, bu yöntemin daha yüksek düzeylerde - örneğin uygulama düzeyinde (virüsler, Java ve JavaScript kodu) saldırılara karşı yeterli koruma sağlamadığı da açıktır.

Güvenlik duvarının nasıl çalıştığına daha yakından bakalım. Donanım ve yazılım aracılığıyla ağa erişimi merkezileştirerek ve kontrol ederek bir ağı diğer sistemlerden ve ağlardan gelen güvenlik tehditlerinden koruma yöntemidir. Güvenlik duvarı, birkaç bileşenden (örneğin, güvenlik duvarı yazılımını çalıştıran bir yönlendirici veya ağ geçidi) oluşan bir güvenlik bariyeridir. Güvenlik duvarı, kuruluşun dahili ağ erişim kontrolü politikasına göre yapılandırılır. Tüm gelen ve giden paketler, yalnızca yetkili paketlerin geçmesine izin veren bir güvenlik duvarından geçmelidir.

Paket filtreleme güvenlik duvarı, belirli gelen ve giden paket türlerini reddetmek üzere yapılandırılmış bir yazılım çalıştıran bir yönlendirici veya bilgisayardır. Paket filtreleme, TCP ve IP paket başlıklarında bulunan bilgilere (gönderen ve hedef adresleri, port numaraları vb.) dayalıdır.

Uzman düzeyinde güvenlik duvarı - alınan paketlerin içeriğini OSI modelinin üç düzeyinde kontrol eder - ağ, oturum ve uygulama. Bu görevi gerçekleştirmek için, her paketi bilinen yetkili paket modelleriyle karşılaştırmak için özel paket filtreleme algoritmaları kullanılır.

Güvenlik duvarı oluşturmak, koruma sorununu çözmek anlamına gelir. Tarama probleminin resmi ifadesi aşağıdaki gibidir. İki bilgi sistemi seti olsun. Ekran, bir kümedeki istemcilerin başka bir kümedeki sunuculara erişimini sınırlandırmanın bir yoludur. Ekran, iki sistem grubu arasındaki tüm bilgi akışını kontrol ederek işlevlerini yerine getirir (Şekil 6). Akış kontrolü, muhtemelen bazı dönüşümlerle onları filtrelemekten oluşur.

Erişim kontrolü işlevlerine ek olarak, ekranlar bilgi alışverişini günlüğe kaydeder.

Genellikle ekran simetrik değildir, bunun için "iç" ve "dış" kavramları tanımlanır. Bu durumda, koruma görevi, iç alanı potansiyel olarak düşmanca bir dış alandan korumak olarak formüle edilir. Bu nedenle, güvenlik duvarları (ME) genellikle İnternet erişimi olan bir kuruluşun kurumsal ağını korumak için kurulur.

Koruma, dış faaliyetlerin neden olduğu ek yükü azaltarak veya ortadan kaldırarak iç alandaki hizmetlerin kullanılabilirliğini korumaya yardımcı olur. Saldırganın önce koruma mekanizmalarının özellikle dikkatli bir şekilde yapılandırıldığı ekrandan geçmesi gerektiğinden, iç güvenlik hizmetlerinin güvenlik açığı azaltılır. Ek olarak, ekranlama sistemi, evrensel olanın aksine, daha basit ve dolayısıyla daha güvenli bir şekilde düzenlenebilir.

Ekranlama aynı zamanda dış alana yönlendirilen bilgi akışlarını kontrol etmeyi mümkün kılar, bu da kuruluşun bilgi sistemlerindeki gizlilik rejiminin korunmasına yardımcı olur.

Koruma, belirli bilgi hizmetlerini koruyan kısmi olabilir (örn. e-posta koruması).

Sınırlayıcı bir arayüz aynı zamanda bir tür kaçış olarak da düşünülebilir. Görünmez bir nesneye, özellikle sabit bir araç seti ile saldırmak zordur. Bu anlamda, özellikle köprü metni belgeleri dinamik olarak oluşturulduğunda, Web arayüzü doğal olarak güvenlidir. Her kullanıcı yalnızca görmesi gerekeni görür. Web söz konusu olduğunda olasılıkların çok daha geniş olduğu şeklindeki önemli uyarıyla birlikte, dinamik olarak oluşturulmuş köprü metni belgeleri ile ilişkisel veritabanlarındaki temsiller arasında bir analoji çizmek mümkündür.

Bir Web hizmetinin tarama rolü, bu hizmet veritabanı tabloları gibi diğer kaynaklara erişirken aracı (daha kesin olarak bütünleştirme) işlevleri gerçekleştirdiğinde de açıkça ortaya çıkar. Yalnızca istek akışını kontrol etmekle kalmaz, aynı zamanda verilerin gerçek organizasyonunu da gizler.

Kullanıcılar, 64 KB'ye kadar belleğe sahip bir Dokunmatik Bellek tableti biçimindeki bireysel bir anahtarla tanımlanır ve kimlik doğrulama, 16 karaktere kadar bir parola ile yapılır.

Bütünlük kontrolü, kullanıcı programlarının ve dosyalarının ve özellikle sistem dosyalarıİşletim sistemleri, saldırgan tarafından veya onun tarafından sunulan bir yazılım sekmesi tarafından değiştirilmemiştir. Bunu yapmak için, her şeyden önce, işletim sistemi dosya sisteminin ayrıştırıcısı devreye girer: referans değerlerinin hesaplanması ve yükleme sırasında bunların kontrolü, donanım düzeyinde Sobol'da gerçekleştirilir. Nesne bütünlüğü kontrol listesinin oluşturulması, prensip olarak önleme programının bu listeyi değiştirmesine izin veren işletim sistemi yardımcı programı kullanılarak gerçekleştirilir ve genel sistem güvenliği seviyesinin güvenlik seviyesi tarafından belirlendiği iyi bilinir. en zayıf halka

Şifrelenmiş bir disk, başka herhangi bir dosya veya program içerebilen bir kapsayıcı dosyasıdır (bunlar doğrudan bu şifrelenmiş dosyadan yüklenebilir ve çalıştırılabilir). Bu disk, yalnızca kapsayıcı dosyası için parola girildikten sonra kullanılabilir - daha sonra bilgisayarda sistem tarafından mantıksal olarak tanınan ve onunla çalışmak başka herhangi bir diskle çalışmaktan farklı olmayan başka bir disk görünür. Disk bağlantısını kestikten sonra mantıksal sürücü kaybolur, sadece "görünmez" olur.

Bugüne kadar, şifrelenmiş diskler oluşturmak için en yaygın programlar DriveCrypt, BestCrypt ve PGPdisk'tir. Her biri, uzaktan bilgisayar korsanlığına karşı güvenilir bir şekilde korunur.

Kriptografi, veri güvenliğini sağlama bilimidir. Gizlilik, kimlik doğrulama, bütünlük ve etkileşimdeki katılımcıların kontrolü olmak üzere dört önemli güvenlik sorununa çözüm aramaktadır. Şifreleme, şifreleme-şifre çözme anahtarları kullanılarak verilerin okunamaz bir forma dönüştürülmesidir. Şifreleme, bilgileri amaçlanmayan kişilerden gizli tutarak gizliliği korumanıza olanak tanır.

Kriptografi, bilgiyi dönüştürmek için matematiksel yöntemlerin araştırılması ve incelenmesi ile uğraşmaktadır.

Kriptografik yöntemleri kullanmanın ana yönleri, gizli bilgilerin iletişim kanalları (örneğin e-posta) yoluyla iletilmesi, iletilen mesajların doğrulanması, bilgilerin (belgeler, veritabanları) şifrelenmiş ortamda depolanmasıdır.

Virüsler bir makineye çeşitli şekillerde girebilir (küresel ağ yoluyla, virüslü bir disket veya flash sürücü aracılığıyla). Penetrasyonlarının sonuçları çok tatsız: dosyanın yok edilmesinden tüm bilgisayarın bozulmasına kadar. Yalnızca bir virüslü dosya, bilgisayardaki tüm bilgileri etkilemek ve ardından tüm şirket ağını etkilemek için yeterlidir.

Anti-virüs koruması için Dr.Web Enterprise Suite seçildi. Bu paket, her büyüklükteki bir kurumsal ağ için merkezi koruma sağlar. modern çözüm için Dr.Web teknolojilerine dayalı kurumsal ağlar, kurumsal ölçekte anti-virüs korumasının merkezi yönetimi için yerleşik bir sisteme sahip benzersiz bir teknik komplekstir. Dr.Web Enterprise Suite, hem ağ içinde hem de uzak bir bilgisayarda (İnternet üzerinden) çalışan bir yöneticinin, kuruluşun anti-virüs korumasını yönetmek için gerekli idari görevleri gerçekleştirmesine olanak tanır.

5 Kurumsal destek

Günlük işlerde güvenlik faktörlerinin hafife alınması, birçok kuruluşun Aşil topuğudur. Pahalı güvenlik araçları, kötü bir şekilde belgelendiyse, diğer yazılımlarla çakıştıysa ve sistem yöneticisi parolası kurulumdan bu yana değişmediyse değersizdir.

Aşağıdaki günlük aktiviteler ayırt edilebilir:

Kullanıcı desteği;

Yazılım desteği;

konfigürasyon yönetimi;

destek olmak;

medya yöneticisi;

belgeler;

düzenleyici çalışma.

Kullanıcı desteği, her şeyden önce, çeşitli sorunların çözümünde danışmanlık ve yardım anlamına gelir. Bazen kuruluşlar bu amaçla özel bir "yardım masası" oluşturur, ancak daha sıklıkla sistem yöneticisi kullanıcılarla savaşır. Soru akışında bilgi güvenliği ile ilgili sorunları tespit edebilmek çok önemlidir. Bu nedenle, kişisel bilgisayarlarda çalışan kullanıcıların yaşadığı zorlukların çoğu virüs bulaşmasından kaynaklanabilir. Tipik hatalarını belirlemek ve sık karşılaşılan durumlar için öneriler içeren notlar yayınlamak için kullanıcı sorularının kaydedilmesi tavsiye edilir.

Yazılım desteği, bilgi bütünlüğünü sağlamanın en önemli yollarından biridir. Öncelikle bilgisayarlarda hangi yazılımların yüklü olduğunu takip etmeniz gerekiyor. Kullanıcılar programları kendi başlarına yüklerse, bu virüs bulaşmasına ve ayrıca güvenlik önlemlerini atlayan yardımcı programların ortaya çıkmasına neden olabilir. Kullanıcıların "inisiyatifinin" bilgisayarlarında kademeli olarak kaosa yol açması ve sistem yöneticisinin durumu düzeltmesi de muhtemeldir.

Yazılım desteğinin ikinci yönü, programlarda yetkisiz değişiklik yapılmaması ve bunlara erişim hakları üzerindeki kontroldür. Buna yazılım sistemlerinin referans kopyaları için destek de dahildir. Tipik olarak kontrol, fiziksel ve mantıksal erişim kontrolünün bir kombinasyonunun yanı sıra doğrulama ve bütünlük yardımcı programlarının kullanılmasıyla sağlanır.

Konfigürasyon yönetimi, yazılım konfigürasyonunda yapılan değişiklikleri kontrol etmenizi ve yakalamanızı sağlar. Her şeyden önce, en azından önceki çalışan sürüme geri dönebilmek için kazara veya kötü düşünülmüş değişikliklere karşı sigorta yapılması gerekir. Değişikliklerin yapılması, bir çökmeden sonra mevcut sürümün geri yüklenmesini kolaylaştıracaktır.

Rutin işlerdeki hataları azaltmanın en iyi yolu, onu mümkün olduğunca otomatik hale getirmektir. Doğru, monoton görevler denizine baktıktan sonra "Bunu hiçbir şey için yapmayacağım; benim için her şeyi yapacak bir program yazacağım" diyen "tembel" programcılar ve sistem yöneticileri haklı. Otomasyon ve güvenlik birbirine bağlıdır; her şeyden önce işini kolaylaştırmayı önemseyen, aslında bilgi güvenliği rejimini en uygun şekilde oluşturur.

Felaketlerden sonra programları ve verileri geri yüklemek için yedekleme gereklidir. Ve burada, en azından tam ve artımlı kopyalar oluşturmak için bir bilgisayar programı oluşturarak ve maksimum olarak uygun yazılım ürünlerini kullanarak işi otomatikleştirmeniz önerilir (örneğin, Jet Info, 2000, 12'ye bakın). Kopyaların, yetkisiz erişimden, yangınlardan, sızıntılardan, yani hırsızlığa veya ortamın zarar görmesine yol açabilecek herhangi bir şeyden korunan güvenli bir yere yerleştirilmesini sağlamak da gereklidir. Birden fazla kopyaya sahip olmak iyidir. yedekler bir kısmını da kuruluş binası dışında muhafaza ederek büyük kaza ve benzeri olaylara karşı korur.

Zaman zaman test amacıyla kopyalardan bilgi kurtarma olasılığını kontrol etmelisiniz.

Disketler, teypler, çıktılar ve benzerleri için fiziksel koruma ve sorumluluk sağlamak için medya yönetimi gereklidir. Medya yönetimi, dışarıda saklanan bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamalıdır. bilgisayar sistemleri. Burada fiziksel koruma, yalnızca yetkisiz erişim girişimlerinin bir yansıması olarak değil, aynı zamanda zararlı etkilerçevre (sıcak, soğuk, nem, manyetizma). Medya yönetimi, tedarikten hizmetten çıkarmaya kadar tüm yaşam döngüsünü kapsamalıdır.

Çözüm

Bu alandaki en önemli bilgi koruma önlemi, bilgi taşıyıcılarının kullanımının açık bir şekilde düzenlenmesi ve kontrolüdür.

İlerleme insanoğluna pek çok başarılar kazandırdı, ancak aynı ilerleme birçok sorunu da beraberinde getirdi. İnsan zihni, bazı sorunları çözerken, kaçınılmaz olarak başkalarıyla, yenileriyle karşılaşacaktır. Ebedi sorun bilginin korunmasıdır. Açık çeşitli aşamalarİnsanlık, gelişiminin bu sorunu bu çağın doğasında var olan özgüllükle çözdü. 20. yüzyılın ikinci yarısında bilgisayarın icadı ve bilgi teknolojisinin daha da hızlı gelişmesi, bilgi güvenliği sorununu, bilişimin bugün tüm toplum için geçerli olduğu kadar önemli ve akut hale getirdi. Modern bilgi teknolojilerinin gelişimini karakterize eden ana eğilim, bilgisayar suçlarının sayısındaki artış ve buna bağlı olarak gizli ve diğer bilgilerin çalınması ve maddi kayıplardır.

Bugün, muhtemelen hiç kimse bilgisayar suçlarından kaynaklanan toplam kayıpların kesin rakamını kesin olarak adlandıramayacak. Yetkisiz Erişim bilgiye. Bunun başlıca nedeni, etkilenen şirketlerin kayıpları hakkında bilgi verme konusundaki isteksizlikleri ve ayrıca bilgi hırsızlığından kaynaklanan kayıpları parasal olarak doğru bir şekilde değerlendirmenin her zaman mümkün olmamasıdır.

Bilgisayar suçlarının ve bunlarla bağlantılı mali kayıpların harekete geçmesinin pek çok nedeni vardır ve bunlardan en önemlileri şunlardır:

bilgi depolama ve iletme geleneksel "kağıt" teknolojisinden elektronik ve bu tür teknolojilerde bilgi koruma teknolojisinin yetersiz gelişimine geçiş;

bilgi işlem sistemlerinin birleştirilmesi, küresel ağların oluşturulması ve bilgi kaynaklarına erişimin genişletilmesi;

yazılım araçlarının karmaşıklığında bir artış ve buna bağlı olarak güvenilirliklerinde azalma ve güvenlik açıklarının sayısında bir artış.

Bilgisayar ağları, özellikleri nedeniyle, bilgi koruma sorunlarını göz ardı ederek normal şekilde çalışamaz ve gelişemez.

bibliyografik liste

Barmen S. Bilgi güvenliği kurallarının geliştirilmesi. - M.: Williams Yayınevi, 2002.

Bachilo I. L., Lopatin V. N., Fedotov M. A. Bilgi yasası - St. Petersburg: Yayınevi "Hukuk Merkezi Basın", 2001.

Biyachuev T.A. Kurumsal ağların güvenliği. Öğretici/ ed. L.G.Osovetsky - St. Petersburg: St. Petersburg Eyalet Üniversitesi ITMO, 2004.

Siyah U. İnternet: güvenlik protokolleri. Eğitim Kursu. - St.Petersburg: Peter, 2001.

Bozhdai A.S., Finogeev A.G. Ağ teknolojileri. Bölüm 1: Öğretici. Penza: PGU Yayınevi, 2005.