Özet: “Kurumsal bilgi sistemlerinin güvenliği. · Teknolojik kazalar. Bilgilerin korunmasını sağlamak için yasal çerçeve, uygulanması yoluyla oluşturulmuştur.
BELARUS DEVLET ÜNİVERSİTESİ
Mezuniyet çalışmasıİle
"Bilgi teknolojisinin temelleri"
Yüksek lisans öğrencisi
Sibernetik Bölümleri
Kozlovski Evgeny
Liderler:
Doçent Anischenko Vladimir Viktoroviç,
Sanat. öğretmen Kozhych Pavel Pavlovich
Minsk - 2008
ERP – Kurumsal Kaynak Planlama Sistemi
MİP II- Malzeme ihtiyaç planlaması
MİP III- Üretim Kaynak Planlaması
Yazılım - yazılım
KIS– kurumsal bilgi sistemleri
SVT - bilgisayar tesisleri
NSD - yetkisiz erişim
Kurumsal bilgi sistemleri hayatımıza sağlam bir şekilde girdi. Modern dünyada, başarılı bir şekilde gelişen bir işletmenin böyle bir sistemin katılımı olmadan yönetilmesini hayal etmek oldukça zordur.
Bilgilerin, bütünlüğünün veya gizliliğinin ihlali tüm işletmenin çökmesine yol açabilecek kurumsal bilgi sistemlerinde saklanması nedeniyle, kurumsal bilgi sistemlerinde bilgilerin korunması konusu akuttur.
Bu çalışmanın birkaç amacı var. Bunlardan biri kurumsal bilgi sistemlerinin yapısının analizidir. Bu analize dayanarak, sınıflandırmaları yapılacaktır. Ayrıca, bu çalışmanın amaçlarından biri, çeşitli kurumsal bilgi sistemleri sınıflarındaki veri koruma mekanizmalarını incelemektir. Ayrıca amaç, kurumsal bilgi sistemlerine yönelik mevcut tehditleri araştırmak ve bunların en aza indirilmesi veya tamamen ortadan kaldırılması için yöntemleri analiz etmektir. Bu bağlamda, mevcut erişim kontrolü yöntemlerinin bir çalışması ve belirli koşullarda uygulanabilirliklerinin bir analizi yapılacaktır.
Şirket terimi Latince kelimeden gelmektedir. şirket- Birlik. Bir şirket, merkezi kontrol altında faaliyet gösteren ve ortak sorunları çözen işletmelerin birliğini ifade eder. Kural olarak, şirketler farklı bölgelerde ve hatta farklı eyaletlerde bulunan işletmeleri (ulusötesi şirketler) içerir.
Kurumsal bilgi sistemleri (CIS), coğrafi olarak dağıtılmış bir şirket için derinlemesine veri analizine, karar verme bilgi destek sistemlerinin yaygın kullanımına, elektronik belge yönetimine ve ofis çalışmasına dayalı entegre yönetim sistemleridir.
Kurumsal bilgi sistemlerini uygulama nedenleri:
güvenilir ve uygun bir biçimde sunulan bilgilere hızlı erişim;
Tek bir bilgi alanının oluşturulması;
veri kaydının ve işlenmesinin basitleştirilmesi;
aynı verilerin çift kaydından kurtulmak;
bilgilerin gerçek zamanlı olarak kaydedilmesi;
· işgücü maliyetlerinin azaltılması, bunların muhasebe, planlama ve yönetim sistemindeki tüm katılımcılar arasında tek tip dağılımı;
· Dağıtılmış bir organizasyon yapısı için veri konsolidasyonunun otomasyonu.
Tüm kurumsal bilgi sistemleri iki büyük alt gruba ayrılabilir. Bunlardan biri, modüler bir prensibe göre monte edilmiş ve yüksek düzeyde entegrasyona sahip tek bir sistem içerir. Diğeri ise servisler ve arayüzler yardımıyla birbiriyle entegre olmasına rağmen heterojen uygulamalar kümesidir.
Birinci sınıf ağırlıklı olarak modern ERP sistemlerini içerir.
ERP sistemi (İng. Kurumsal Kaynak Planlama Sistemi - Kurumsal Kaynak Planlama Sistemi), muhasebe ve yönetimi otomatikleştirmek için tasarlanmış bir kurumsal bilgi sistemidir. Kural olarak, ERP sistemleri modüler bir temelde inşa edilir ve bir dereceye kadar şirketin tüm temel süreçlerini kapsar.
Tarihsel olarak, ERP kavramı, daha basit MRP (Malzeme İhtiyaç Planlaması) ve MRP II (Üretim Kaynakları Planlaması) kavramlarından gelişmiştir. ERP sistemlerinde kullanılan yazılım araçları, üretim planlamasına, sipariş akışının modellenmesine ve bunların işletmenin hizmet ve bölümlerinde uygulanma olasılıklarının değerlendirilmesine ve satışla ilişkilendirilmesine olanak tanır.
ERP sistemleri, tüm kurumsal iş bilgilerini içeren tek bir veri ambarı oluşturma ve uygun yetkiye sahip işletmenin gerekli sayıda çalışanının eşzamanlı erişimini sağlama prensibine dayanmaktadır. Veriler, sistemin işlevleri (işlevselliği) aracılığıyla değiştirilir. ERP sistemlerinin ana işlevleri şunlardır: Üretilen ürünlerin bileşimini ve bunların üretimi için gerekli malzeme kaynaklarını ve işlemleri belirleyen tasarım ve teknolojik özelliklerin sürdürülmesi; satış ve üretim planlarının oluşturulması; üretim planını yerine getirmek için malzeme ve bileşen ihtiyaçlarını, teslimat şartlarını ve hacimlerini planlamak; envanter ve satın alma yönetimi: sözleşmelerin sürdürülmesi, merkezi satın almaların uygulanması, depo ve atölye stoklarının muhasebeleştirilmesi ve optimizasyonunun sağlanması; genişletilmiş planlamadan bireysel makine ve ekipmanların kullanımına kadar üretim kapasitelerinin planlanması; operasyonel yönetim bir finansal plan hazırlamak ve uygulanmasını izlemek, finansal ve yönetim muhasebesi dahil olmak üzere finans; zamanlama kilometre taşları ve kaynakları dahil olmak üzere proje yönetimi.
Genellikle, sistemin onsuz çalışamayacağı birkaç anahtar modülden oluşan bir çekirdeğe sahiptirler. Diğerlerinin yanı sıra, bu set, bir bütün olarak tüm sistemdeki ve özellikle her eklenti modülündeki bilgilerin korunmasına ilişkin işlevlerin çoğunu üstlenen bir güvenlik sistemi içerir. Bu yaklaşım birkaç nedenden dolayı çok uygundur:
Böyle bir sistemdeki verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamaya yönelik mekanizmalar mümkün olduğunca birleştirilmiştir. Bu, yöneticilerin çeşitli sistem modüllerini yapılandırırken güvenlik ihlallerine yol açabilecek hatalardan kaçınmasına olanak tanır.
Sistem, yüksek düzeyde bir merkezileştirmeye sahiptir ve bir kurumsal bilgi sisteminin korumasını kolay ve güvenilir bir şekilde yönetmenizi sağlar.
Bu tür sistemlerin avantajları şunları içerir:
Bir ERP sistemi kullanmak, birkaç farklı program yerine tek bir entegre program kullanmanıza olanak tanır.
ERP sistemlerinde uygulanan bilgiye erişimi farklılaştırma sistemi amaçlanmıştır (diğer önlemlerle birlikte bilgi Güvenliği işletmeler) hem dış tehditlere (örneğin endüstriyel casusluk) hem de dahili tehditlere (örneğin hırsızlık) karşı koymak için.
Çoğunluğu devlete ait olan birlik devletinin üniversiteleri üzerinde yapılan bir araştırma, en otomatik alan olan finans alanında bunların %42'sinin ya yalnızca ofis uygulamalarını ya da eski moda bir yöntem olan kağıdı kullandığını gösterdi. Ancak otomasyon seviyesinin nispeten yüksek olduğu yerlerde bile modüller ilgisiz olma eğilimindedir. Ve bu tür yaklaşık on alt sistem olmalıdır: finansal planlama, gayrimenkul, proje, kalite yönetimi, raporlama, araç ortamı, vb. Her birinin geliştirilmesi sırasında, en ihtiyatlı tahminlere göre, yalnızca işçilik maliyetlerine yaklaşık 25 bin dolar harcanacak, tüm maliyetlerin% 25-40'ını oluşturmak için harcanacağı düşünüldüğünde yazılım ürünü, ortaya çıkan tahmin en az 2,5-4 kat artırılmalıdır. Uygulanan sisteme destek, yıllık 140-240 bin dolara daha mal olacak. Dolayısıyla, şirket içi geliştirmenin ucuz olduğu fikri, etkili maliyet kontrollerinin yokluğunda ortaya çıkan bir yanılsamadır.
Modern ERP sistemleri, eğitim kurumlarının çalışmalarına oldukça başarılı bir şekilde uyarlanabilir. Ancak, bu tür sistemlerin uygulanmasında, bu tür kurumların bilgi sistemlerinin doğasında bulunan bazı özelliklerin dikkate alınması gerektiği belirtilmelidir.
Oldukça bağımsız görevleri çözen birkaç özel alt sistemin varlığı. Alt sistemlerin her biri tarafından kullanılan veriler oldukça uzmanlaşmıştır; bilgi sisteminin diğer uygulamalarından bağımsızdır. Örneğin, bir üniversite çerçevesinde muhasebe, kütüphane, yazı işleri ve yayın departmanı alt sistemleri, eğitim sürecini işlemek için başvurular vb. Öte yandan, tüm alt sistemler aynı bilgi alanında bulunur ve birbirine bağlıdır (tek bir referans veri sistemi, bir uygulamanın sonucu diğerinin çalışması için temel oluşturur, vb.).
Üçüncü taraf kullanıcılar için kurumsal bilgi sistemi verilerine erişim için arayüzlerin sağlanmasıyla IP bilgilerinin önemli bir bölümünü yayınlama gerekliliği.
Bence ikinci sınıf sistemler, uygulama güvenlik yapılandırmasındaki hatalardan kaynaklanan güvenlik açıklarına çok daha yatkındır. Daha önce belirtildiği gibi, bazı entegrasyonlarına rağmen, bu tür sistemler aslında bir dizi ayrı bağımsız üründür. Buna göre, her biri verilerin bütünlüğünü, gizliliğini ve kullanılabilirliğini sağlamak için kendi yaklaşımlarını kullanır ve ayrı bir yapılandırma gerektirir. Böyle bir sistemin parçalarının her zaman birbiriyle uyumlu olmadığı gerçeğini de hesaba katarsak, ortak çalışma uygulamalar bazen güvenliği feda etmek zorunda kalır. Bu tür sistemlerin merkezden dağıtılması, genellikle yöneticilerin sistemdeki erişim haklarının farklılaşmasını izlemesine izin vermez.
Bir kurumsal bilgi sisteminin güvenlik açıklarını ele almadan önce, birkaç tanım yapalım.
Altında bilgiye ulaşmak bilgiye aşinalık, işlenmesi, özellikle bilginin kopyalanması, değiştirilmesi veya imha edilmesi anlamına gelir.
Bilgiye yetkili ve yetkisiz erişim arasında ayrım yapın.
- bu, yerleşik erişim kontrolü kurallarını ihlal etmeyen bilgilere erişimdir.
erişim öznelerinin erişim nesnelerine erişim haklarını düzenlemeye hizmet eder.
yerleşik erişim kontrolü kurallarının ihlali ile karakterize edilir. Bilgiye yetkisiz erişim sağlayan bir kişi veya işlem, erişim kontrol kurallarının ihlalidir. Yetkisiz erişim, en yaygın bilgisayar ihlali türüdür.
Veri gizliliği verilere verilen statüdür ve gereken koruma derecesini belirler. Temel olarak, bilgilerin gizliliği, yalnızca sistemin kabul edilen ve doğrulanan (yetkili) özneleri (kullanıcılar, süreçler, programlar) tarafından bilinen bilgilerin özelliğidir. Sistemin diğer konuları için bu bilgi bilinmemelidir.
Ders bir nesneden bir özneye bilgi akışına veya sistemin durumunda bir değişikliğe neden olabilen, sistemin aktif bir bileşenidir.
Bir obje- bilgi depolayan, alan veya ileten sistemin pasif bir bileşeni. Bir nesneye erişim, içerdiği bilgilere erişim anlamına gelir.
Bütünlük bilgi sistemdeki veriler kaynak belgelerde verilenlerden anlamsal olarak farklı değilse, yani yanlışlıkla veya kasıtlı olarak kurcalanmadıkça veya yok edilmedikçe.
Bütünlük bileşen veya kaynak sistem, bir bileşenin veya kaynağın, sistem kazara veya kasıtlı bozulmalar veya yıkıcı etkiler altında çalıştığında anlamsal olarak değişmeyen özelliğidir.
Kullanılabilirlik bileşen veya kaynak bir sistemin, sistemin yetkili yasal konularının kullanımına açık olacak bir bileşenin veya kaynağın mülkiyetidir.
Altında güvenlik tehdidi kurumsal bilgi sistemi, böyle bir sistemin güvenliğine doğrudan veya dolaylı olarak zarar verebilecek olası etkileri ifade eder.
Güvenlik Hasarı kurumsal bilgi sistemlerinde yer alan ve işlenen bilgilerin güvenlik durumunun ihlali anlamına gelir. Kurumsal bilgi sistemlerinin zafiyet kavramı, güvenlik tehdidi kavramı ile yakından ilişkilidir.
güvenlik açığı kurumsal bilgi sistemi, bir tehdidin ortaya çıkmasını ve uygulanmasını mümkün kılan sistemin belirli bir özelliğidir.
Saldırı bir bilgisayar sisteminde, bir saldırgan tarafından gerçekleştirilen ve belirli bir sistem güvenlik açığını bulup bunlardan yararlanmayı içeren bir eylemdir. Dolayısıyla saldırı, bir güvenlik tehdidinin gerçekleşmesidir.
Güvenlik tehditlerine karşı koymak, bilgi işleme sistemlerini korumanın amacıdır.
Güvenli veya güvenli sistem güvenlik tehditlerine başarılı ve etkili bir şekilde karşı koyan güvenlik özelliklerine sahip bir sistemdir.
Koruma araçları kompleksi bir kurumsal bilgi sisteminin bilgi güvenliğini sağlamak için oluşturulan ve sürdürülen bir dizi yazılım ve donanım aracıdır. Kompleks, kuruluş tarafından benimsenen güvenlik politikasına uygun olarak oluşturulur ve sürdürülür.
Güvenlik Politikası- bu, bir kurumsal bilgi sistemini belirli bir dizi güvenlik tehdidinden koruma araçlarının işleyişini düzenleyen bir dizi norm, kural ve pratik tavsiyedir.
Herhangi bir bilgi sistemi gibi bir kurumsal bilgi sistemi de güvenlik tehditlerine tabidir. Bu tehditleri sınıflandırıyoruz.
1. kurumsal bilgi sistemlerindeki bilgilerin gizliliğinin ihlali
2. kurumsal bilgi sistemlerinde bilgi bütünlüğünün ihlali.
3. kurumsal bilgi sistemleri için hizmet reddi
Şimdi bu tehditlere daha yakından bakalım.
Gizlilik tehditleri, gizli veya sınıflandırılmış bilgileri ifşa etmeyi amaçlar. Bu tehditler uygulandığında, bilgi, ona erişmemesi gereken kişiler tarafından bilinir hale gelir. Bilgisayar güvenliği açısından, bir bilgisayar sisteminde depolanan veya bir sistemden diğerine aktarılan bazı özel bilgilere yetkisiz erişim sağlandığında bir gizlilik tehdidi oluşur.
Bir bilgisayar sisteminde saklanan veya bir iletişim kanalı üzerinden iletilen bilgilerin bütünlüğünü ihlal etmeye yönelik tehditler, onu değiştirmeye veya bozmaya, kalitesinin ihlaline veya tamamen yok olmasına yol açmayı amaçlar. Bilgilerin bütünlüğü, bir saldırgan tarafından kasıtlı olarak ihlal edilebileceği gibi, sistemi çevreleyen ortamdan gelen nesnel etkilerin bir sonucu olarak da ihlal edilebilir. Bu tehdit özellikle bilgi aktarım sistemleri, bilgisayar ağları ve telekomünikasyon sistemleri ile ilgilidir. Bilgi bütünlüğünün kasıtlı olarak ihlal edilmesi, yetkili kişiler tarafından meşru bir amaç için gerçekleştirilen yetkili değişiklikle karıştırılmamalıdır (örneğin, böyle bir değişiklik, belirli bir veri tabanının periyodik olarak düzeltilmesidir).
Çalışabilirliği bozma tehditleri (hizmet reddi), belirli kasıtlı eylemlerin ya CIS'in çalışabilirliğini azalttığı ya da bazı kaynaklarına erişimi engellediği durumları yaratmayı amaçlar. Örneğin, sistemin bir kullanıcısı belirli bir hizmete erişim talep ederse ve diğeri bu erişimi engellemek için harekete geçerse, ilk kullanıcı bir hizmet reddi alır. Bir kaynağa erişimin engellenmesi kalıcı veya geçici olabilir.
Tehditler birkaç parametreye göre sınıflandırılabilir
Neden olunan hasar miktarına göre:
o sınır, bundan sonra şirket iflas edebilir;
o önemli, ancak iflas etmemiş;
o şirketin bir süre için telafi edebileceği önemsiz.
Oluşma olasılığına göre:
o oldukça muhtemel tehdit;
o olası tehdit;
o beklenmedik bir tehdit.
Oluşum nedenlerinden dolayı:
o doğal afetler;
o kasıtlı eylemler.
Hasarın doğası gereği:
o malzeme;
o ahlaki;
Etkinin doğası gereği:
o aktif;
o pasif
nesne ile ilgili olarak:
o dahili;
veya harici.
Dış tehdit kaynakları şunlardır:
o vicdansız rakipler;
o suç grupları ve oluşumları;
o idari ve idari aygıtın bireyleri ve kuruluşları.
İç tehdit kaynakları şunlar olabilir:
o işletme yönetimi;
personel;
o üretim ve emek faaliyetlerini sağlamanın teknik araçları.
Ortalama düzeyde dış ve iç tehditlerin oranı aşağıdaki gibi karakterize edilebilir:
Tehditlerin %82'si şirketin kendi çalışanları tarafından doğrudan veya dolaylı olarak katılımları ile gerçekleştiriliyor;
Tehditlerin %17'si dışarıdan geliyor - dış tehditler;
Tehditlerin %1'i rastgele kişiler tarafından yapılır.
Çoğu durumda verilen zarar miktarı açısından en tehlikeli olanı, tam olarak bilgilerin gizliliğinin ihlalidir. Bu tür ihlallerin olası yollarını ele alalım.
İfşa, gizli bilgilere erişmesine izin verilmeyen kişilerin bu bilgilere aşina olmasına yol açan kasıtlı veya dikkatsiz eylemlerdir. İfşa, ticari ve bilimsel bilgilerle iletişim, iletim, hüküm, iletme, yayın, kayıp ve diğer değiş tokuş biçimleri ve eylemlerde ifade edilir. Açıklama, resmi ve gayri resmi bilgi yayma kanalları aracılığıyla gerçekleştirilir. Resmi iletişim, iş toplantılarını, toplantıları, müzakereleri ve benzeri iletişim biçimlerini içerir: resmi bilgilerin (posta, telefon, telgraf vb.) iletilmesi yoluyla resmi ticari ve bilimsel belgelerin değiş tokuşu. Gayri resmi iletişim, kişisel iletişimi (toplantılar, yazışmalar), sergileri, seminerleri, konferansları ve diğer halka açık etkinlikleri ve ayrıca medyayı (basın, gazeteler, röportajlar, radyo, televizyon) içerir. Kural olarak, gizli bilgilerin ifşa edilmesinin nedeni, ticari sırların korunmasına ilişkin kuralların yetersiz bilgisi ve çalışanlar tarafından bunlara dikkatle uyulması gereğinin yanlış anlaşılmasıdır (veya yanlış anlaşılmasıdır). Burada dikkat edilmesi gereken husus, bu süreçte öznenin korunan sırların kaynağı (sahibi) olmasıdır. Belirtilmelidir bilgi özellikleri bu hareket. Bilgi anlamlı, anlamlı, düzenli, gerekçeli, hacimlidir ve genellikle gerçek zamanlı olarak iletilir. Genellikle diyalog için bir fırsat vardır. Bilgiler belirli bir konu alanına odaklanır ve belgelenir. Bir saldırganın ilgisini çeken bilgileri elde etmek için, saldırgan neredeyse minimum çaba harcar ve basit yasal teknik araçlar (diktafonlar, video izleme) kullanır.
Sızıntı, gizli bilgilerin kuruluş veya emanet edildiği kişiler çevresi dışında kontrolsüz bir şekilde yayılmasıdır.
Bilgi sızıntısı çeşitli teknik kanallar aracılığıyla gerçekleştirilir. Bilginin genellikle enerji veya madde ile aktarıldığı veya iletildiği bilinmektedir. Bu, bir akustik dalga (ses) veya elektromanyetik radyasyon veya bir kağıt parçasıdır (yazılı metin), vb. Bunu akılda tutarak, fiziksel doğası gereği, aşağıdaki bilgi aktarım yollarının mümkün olduğu söylenebilir: ışık ışınları, ses dalgaları, elektromanyetik dalgalar, malzemeler ve maddeler. Buna göre, bilgi sızıntısı kanalları görsel-optik, akustik, elektromanyetik ve somut olarak sınıflandırılır. Bir bilgi sızıntısı kanalı, genellikle bir gizli bilgi kaynağından bir saldırgana giden ve saldırganın korunan bilgilere erişim sağlayabileceği fiziksel bir yol olarak anlaşılır. Bir bilgi sızıntısı kanalının oluşturulması için, belirli mekansal, enerjisel ve zamansal koşulların yanı sıra saldırgan tarafında bilgi almak, işlemek ve sabitlemek için uygun ekipmanın bulunması gerekir.
Yetkisiz erişim, korunan sırlara erişme hakkına sahip olmayan bir kişi tarafından gizli bilgilere yasa dışı kasıtlı olarak sahip olunmasıdır. Gizli bilgi kaynaklarına yetkisiz erişim uygulanmaktadır Farklı yollar: sırları "satmak" için aktif bir istekle ifade edilen proaktif işbirliğinden, ticari sırlara sızmanın çeşitli yollarının kullanımına kadar. Bu eylemleri uygulamak için, saldırganın genellikle nesneye nüfuz etmesi veya yakınında en modern teknik araçlarla donatılmış sabit veya hareketli özel kontrol ve gözlem noktaları oluşturması gerekir. Bilgi güvenliğini sağlamaya yönelik entegre bir yaklaşımdan hareket edersek, böyle bir bölümleme, bilgilerin hem ifşadan hem de teknik kanallar yoluyla sızıntıdan ve rakipler ve davetsiz misafirler tarafından yetkisiz erişimden korunmasına odaklanır. Gizli bilgilerin kötüye kullanılmasına katkıda bulunan eylemlerin sınıflandırılmasına yönelik bu yaklaşım, kapsamlı bilgi güvenliğini sağlamak için gerekli olan tehditlerin ve koruyucu önlemlerin çok yönlülüğünü göstermektedir.
Yukarıda belirtilenler ışığında, hangi koşulların gizli bilgilerin kötüye kullanılmasına katkıda bulunduğunu düşünmek kalır.
İstatistiksel olarak, bu:
Açıklama (çalışanların aşırı konuşkanlığı) - %32;
Rakipler ve suç çeteleri tarafından rüşvet ve işbirliğine teşvik yoluyla yetkisiz erişim - %24;
Şirkette bilgi güvenliğini sağlamak için uygun kontrol ve katı koşulların olmaması - %14;
Geleneksel endüstriyel deneyim alışverişi - %12;
Bilgi sistemlerinin kontrolsüz kullanımı - %10;
Çalışanlar arasında çatışma durumlarının ortaya çıkması için ön koşulların varlığı -% 8;
Yukarıdaki istatistikler, kurumsal bilgi sisteminin güvenlik sistemindeki en savunmasız yerin, gönüllü veya istemsiz olarak bilgi sisteminin güvenliğini ihlal eden çalışanların kendileri olduğunu göstermektedir.
Etki yöntemlerine göre, tehditleri en aza indirmeye yönelik tüm önlemler aşağıdakilere ayrılır:
Yasal (yasama);
Ahlaki ve etik;
Yönetim;
fiziksel;
Donanım ve yazılım.
Listelenen CIS güvenlik önlemleri, bilgi korumanın bir dizi engeli veya sınırı olarak düşünülebilir. Korunan bilgilere ulaşmak için, birkaç koruma hattını art arda aşmak gerekir. Onları daha ayrıntılı olarak ele alalım.
Bilgiye NSD uygulamaya çalışan bir kişinin önündeki ilk savunma hattı tamamen yasaldır. Bilgi korumanın bu yönü, bilgilerin aktarılması ve işlenmesinde yasal düzenlemelere uyma ihtiyacı ile ilişkilidir. Bilgileri korumaya yönelik yasal önlemler arasında, ülkede yürürlükte olan ve kısıtlanmış bilgilerin ele alınmasına ilişkin kuralları ve bunların ihlali durumunda sorumluluğu düzenleyen kanunlar, kararnameler ve diğer düzenlemeler yer alır. Bunu yaparak, bilgilerin yetkisiz kullanımını önlerler ve potansiyel davetsiz misafirlere karşı caydırıcı olurlar.
İkinci savunma hattını ahlaki ve etik önlemler oluşturmaktadır. . Koruma gerekliliklerine uyumdaki etik an, çok büyük önem. Bilgisayara erişimi olan kişilerin sağlıklı bir ahlaki ve etik iklim içinde çalışmaları çok önemlidir.
Ahlaki ve etik önlemler, bilgisayarların ülkede yaygınlaşmasıyla toplumda geleneksel olarak gelişen veya gelişmekte olan her türlü davranış normlarını içerir. Çoğunlukla, bu normlar kanunla onaylandıklarından zorunlu değildir, ancak bunlara uyulmaması genellikle bir kişinin, bir grup insanın veya kuruluşun prestijinin düşmesine neden olur. Ahlaki ve etik normlar yazılı olmayabilir (örneğin, evrensel olarak tanınan dürüstlük, vatanseverlik vb. normları) veya belirli bir dizi kural veya düzenlemeye göre resmileştirilebilir. Örneğin, ABD Bilgisayar Kullanıcıları Derneği Üyeleri için Mesleki Davranış Kuralları, kasıtlı veya kasıtsız olarak aşağıdakileri etik olmayan eylemler olarak kabul eder:
ihlal normal iş bilgisayar sistemleri;
Gereksiz kaynak maliyetlerine neden olmak (bilgisayar zamanı, bellek, iletişim kanalları vb.);
Bilgilerin bütünlüğünü ihlal etmek (saklanan ve işlenen);
Diğer yasal kullanıcıların çıkarlarını ihlal etmek vb.
Bilgilerin yetkisiz kullanımını engelleyen üçüncü sınır idari tedbirlerdir. Her kademeden yönetici, yasal normları ve sosyal yönleri dikkate alarak, bilgileri korumak için idari önlemleri belirler.
İdari koruma tedbirleri organizasyonel tedbirlerdir. Yönetirler:
BDT işleyen süreçler;
BDT kaynaklarının kullanımı;
personelinin faaliyetleri;
Güvenlik tehditlerini uygulama olasılığını en fazla engellemek veya ortadan kaldırmak için kullanıcıların sistemle etkileşime girme sırası.
İdari tedbirler şunları içerir:
BDT'de bilgi işlemek için kuralların geliştirilmesi;
Bilgisayar merkezlerinin ve diğer BDT tesislerinin tasarımında ve ekipmanında bir dizi eylem (unsurların, yangınların, bina güvenliğinin vb. etkisi dikkate alınarak);
Personel seçiminde ve eğitiminde bir dizi eylem (yeni çalışanları kontrol etmek, gizli bilgilerle çalışma prosedürünü tanımak, işlenmesi için kuralları ihlal etme sorumluluk önlemleri; personelin kötüye kullanılmasına izin vermesinin kârsız olacağı koşullar yaratmak vb.);
Güvenilir erişim kontrolünün organizasyonu;
Gizli bilgiler içeren belge ve ortamların muhasebeleştirilmesi, saklanması, kullanılması ve imha edilmesinin organizasyonu;
Erişim kontrol detaylarının dağıtımı (şifreler, yetkiler vb.);
Kullanıcıların ve BDT personelinin çalışmaları üzerinde gizli kontrol organizasyonu;
Ekipman ve yazılımın tasarımı, geliştirilmesi, onarımı ve değiştirilmesinde bir dizi eylem (kullanılan donanım ve yazılımın sertifikasyonu, katı yetkilendirme, tüm değişikliklerin gözden geçirilmesi ve onaylanması, güvenlik gereksinimlerine uygunluğun doğrulanması, değişikliklerin belgelenmesi, vb.).
Bilgisayarların idari olarak korunmasına yönelik etkili önlemler uygulanmadıkça, diğer önlemlerin şüphesiz etkisiz kalacağına dikkat etmek önemlidir. İdari ve kurumsal koruma önlemleri, ahlaki ve etik olanlarla karşılaştırıldığında sıkıcı ve rutin görünebilir ve donanım ve yazılımla karşılaştırıldığında özgüllükten yoksun olabilir. Ancak, bilgilerin kötüye kullanılmasına karşı güçlü bir engel ve diğer koruma düzeyleri için güçlü bir temel oluştururlar.
Dördüncü sınır, fiziksel koruma önlemleridir. . Fiziksel koruma önlemleri, potansiyel davetsiz misafirlerin sistem bileşenlerine ve korunan bilgilere olası sızma ve erişim yollarında fiziksel engeller oluşturmak için özel olarak tasarlanmış çeşitli türde mekanik, elektro- ve elektronik-mekanik cihazları veya yapıları içerir.
Beşinci sınır, donanım ve yazılım korumasıdır . Bunlar, aşağıdaki koruma yöntemlerini bağımsız olarak veya diğer araçlarla birlikte uygulayan çeşitli elektronik cihazları ve özel programları içerir:
CIS konularının (kullanıcılar, süreçler) tanımlanması (tanıma) ve kimlik doğrulaması (doğrulama);
CIS kaynaklarına erişimin farklılaştırılması;
Veri bütünlüğü kontrolü;
Veri gizliliğinin sağlanması;
BDT'de meydana gelen olayların kaydı ve analizi;
Kaynakların ve CIS bileşenlerinin ayrılması.
Uygulama yöntemine göre, kurumsal bilgi sistemine yönelik tehditleri önlemeye yönelik tüm önlemler aşağıdaki gibi ayrılabilir.
Sekme 1. BDT tehditleriyle mücadele için çeşitli önlemlerin avantajları ve dezavantajları
Ne yazık ki saf haliyle kontrol, ne kadar az uygulanabilirse, bilgi sistemi o kadar büyük. Ek olarak, o zamandan beri bu verilerin toplanmasının tavsiye edilebilirliği sorusu hemen ortaya çıkıyor. bunları zamanında işlemek pratik olarak imkansızdır veya bu, bu belirli işle ilgilenen ayrı bir departmanın oluşturulmasını gerektirir. Verilerin çoğunun çok kısa bir süre için geçerli olduğunu unutmamalıyız.
Yasaklama çok katı bir araçtır. Devredilebilir depolama ortamlarının kullanımına ilişkin yasak, departmanların yarısının bunları dış dünyayla iletişim kurmak için kullanması gerçeğiyle ilgili yeni sorunlar yaratabilir: e-posta, gönderilen dosyaların boyutuna kısıtlamalar getirir, vergi makamları muhasebe raporlarını yalnızca disketlerde kabul eder, vb. Ayrıca işin temel rahatlığı gibi bir soruyu da unutmamalıyız. Kendileri üzerinde sürekli kontrol hisseden, bilgisayar, internet, posta veya örneğin telefon görüşmeleri ile çalışırken ciddi kısıtlamalar yaşayan çalışanlar gergin, sinirli hale gelir ve kendi içlerinde memnuniyetsizlik biriktirir. Doğal olarak er ya da geç bu, değerli bir çalışanın kaybına ya da çalışanın bu kısıtlama ve yasakları aşma arzusuna yol açacaktır.
Yukarıdakilerden, akla gelebilecek ve düşünülemez tüm yasakları koyarak kontrol etmenin ve sınırlamanın hiçbir anlamı olmadığı sonucuna varabiliriz. İşlerinin doğası gereği gizli bilgilere erişimi olan kişilerin çevresini belirlemek ve ardından böyle bir sistemin bakımı özenli yapılandırma ve dikkatli bakım gerektirecek olmasına rağmen, erişim hakları farklılaştırma sistemini doğru şekilde yapılandırmak daha iyidir.
Bu nedenle, bilgilerin gizliliğini sağlamaya yönelik ana adımlardan birinin, belirli bir çalışana sunulan bilgi yelpazesini görevlerini yerine getirmek için gerekli sınırlarla sınırlamak için çalışanların kurumsal bilgi sisteminin kaynaklarına erişiminin farklılaştırılması olduğu açıktır.
En alakalı erişim kontrol mekanizmalarını göz önünde bulundurun.
İsteğe bağlı erişim denetimi modeli iki özellikle tanımlanır:
Tüm özneler ve nesneler tanımlanır;
Öznelerin sistem nesnelerine erişim hakları, sistemin dışındaki bazı kurallara göre belirlenir.
İsteğe bağlı geçiş kontrol sistemlerinin ana unsuru erişim matrisidir. Erişim matrisi - matris boyutu \S\ X \0\, satırları konulara ve sütunları nesnelere karşılık gelir. Ayrıca, erişim matrisinin her elemanı Mİle Röznenin erişim haklarını tanımlar S nesne başına Ö, Nerede R- birçok erişim hakkı.
İsteğe bağlı bir erişim kontrol mekanizması kullanırken, aşağıdaki gereksinimler bunun için geçerlidir:
Koruma sistemi, adlandırılmış öznelerin (kullanıcılar) adlandırılmış nesnelere (dosyalar, programlar, birimler vb.) erişimini kontrol etmelidir.
Bilgisayar ekipmanındaki (SVT) her bir çift (özne - nesne) için, geçerli erişim türlerinin (okuma, yazma vb.) açık ve net bir listesi belirtilmelidir, örn. belirli bir özne (birey veya birey grubu) için belirli bir CBT kaynağına (nesne) yetki verilen erişim türleri.
Güvenlik sistemi, isteğe bağlı erişim denetimi kurallarını uygulayan bir mekanizma içermelidir.
Erişim kontrolü, her nesneye ve her özneye (bir birey veya eşit bireylerden oluşan bir grup) uygulanabilir olmalıdır.
Erişim kontrolünün isteğe bağlı ilkesini uygulayan mekanizma, CVT kullanıcıları listesinde ve korunan nesneler listesinde yetkili değişiklik olasılığı da dahil olmak üzere, erişim denetiminin (AR) kurallarında veya haklarında yetkili değişiklik olasılığını sağlamalıdır.
İİP'yi değiştirme hakkı seçilen kişilere (yönetim, güvenlik hizmeti vb.) verilmelidir.
Erişim haklarının dağıtımını kısıtlamak için kontroller sağlanmalıdır.
İsteğe bağlı bir güvenlik politikasının avantajları, erişim kontrol sisteminin nispeten basit bir şekilde uygulanmasını içerir. Bunun nedeni, şu anda yaygın olan bilgisayar sistemlerinin çoğunun, bu özel güvenlik politikasının gerekliliklerinin uygulanmasını sağlamasıdır.
İsteğe bağlı bir güvenlik politikasının dezavantajları, içinde tanımlanan erişim kontrol kurallarının statik doğasını içerir. Bu güvenlik politikası, bir bilgisayar sisteminin durumundaki değişikliklerin dinamiklerini hesaba katmaz. Ek olarak, isteğe bağlı bir güvenlik politikası kullanırken, erişim haklarını dağıtma kurallarını belirleme ve bunların bir bilgisayar sisteminin güvenliği üzerindeki etkilerini analiz etme sorusu ortaya çıkar. Genel durumda, bu güvenlik politikasını kullanırken, bir öznenin bir nesneye erişimine izin verirken belirli bir kurallar dizisi tarafından yönlendirilen koruma sistemi, eylemlerinin bir güvenlik ihlaline yol açıp açmayacağını kontrol etmek için algoritmik olarak çözülemez bir görevle karşı karşıya kalır.
Aynı zamanda, güvenlik kontrolü algoritmaları sağlayan isteğe bağlı bir güvenlik politikası uygulayan bilgisayar sistemi modelleri vardır.
Ancak, genel durumda, isteğe bağlı bir erişim kontrol politikası, bir bilgisayar sisteminde açık ve kesin bir bilgi güvenliği sisteminin uygulanmasına izin vermez. Bu, diğer, daha gelişmiş güvenlik politikalarının aranmasına yol açar.
Zorunlu (yetkili) erişim kontrolü modeli, zorunlu erişim kontrolüne dayalıdır (Zorunlu Erişim Kontrolü), dört koşul tarafından belirlenir:
Sistemin tüm özneleri ve nesneleri benzersiz bir şekilde tanımlanır;
Bir bilgi gizliliği seviyeleri kafesi verilir;
Sistemin her nesnesine, içerdiği bilgilerin değerini belirleyen bir gizlilik düzeyi atanır;
Sistemin her konusuna, bilgisayar sisteminde kendisine olan güven düzeyini belirleyen bir erişim düzeyi atanır.
Zorunlu bir güvenlik politikasının temel amacı, yüksek düzeyde erişime sahip nesnelerden bilgi sızıntısını önlemektir. düşük seviye erişim, yani Bir bilgisayar sisteminde yukarıdan aşağıya doğru olumsuz bilgi akışlarının ortaya çıkmasına karşı koymak.
Geliştirilmesinin amacı birçok yönden matris modellerin eksikliklerini ortadan kaldırmaktı. Katmanlı koruma denilen modeller geliştirilmiştir. Sözde gizlilik etiketleri veya erişim konularına ve nesnelerine atanan kimlik bilgilerinin kullanımı yoluyla erişim hakları atama prosedürünün resmileştirilmesini içerirler. Bu nedenle, erişim konusu için, örneğin etiketler, kişinin bilgiye erişim düzeyine ve erişim nesnesi (verinin kendisi) - bilgi gizliliği belirtilerine göre belirlenebilir. Gizlilik nitelikleri, nesnenin etiketinde sabitlenmiştir. Her öznenin erişim hakları ve her nesnenin gizlilik özellikleri, bir gizlilik düzeyi ve bir dizi gizlilik kategorisinin toplamı olarak görüntülenir. Gizlilik düzeyi, kesin olarak sıralanmış bir dizi sabit değerden birini alabilir, örneğin: gizli, gizli, gizli, sınıflandırılmamış, vb.
Erişim kontrolünü uygulamanın temeli:
Erişim talep eden öznenin etiketi ile erişim talep edilen nesnenin etiketi arasında resmi bir karşılaştırma.
Temeli korunan bilgilerin gizlilik seviyesindeki azalmaya karşı koymak olan bazı kurallara dayalı olarak erişim verme konusunda karar vermek.
Böylece, katmanlı model, korunan bilgilerin gizlilik seviyesinin kasıtlı veya kazara azaltılmasını önler. Diğer bir deyişle, bu model, bilgilerin yüksek düzeyde gizliliğe ve dar bir erişim kategorileri kümesine sahip nesnelerden daha düşük bir gizlilik düzeyine ve daha geniş bir erişim kategorileri kümesine sahip nesnelere taşınmasını engeller.
Yetki mekanizması için gereksinimler aşağıdaki gibidir:
Erişimin her öznesine ve nesnesine, karşılık gelen hiyerarşideki yerlerini yansıtan sınıflandırma etiketleri (gizlilik etiketleri) atanmalıdır. Bu etiketler aracılığıyla, hiyerarşik ve hiyerarşik olmayan kategorilerin kombinasyonları olan nesnelere, özneler tarafından sınıflandırma seviyeleri (güvenlik açığı seviyeleri, güvenlik kategorileri vb.) atanmalıdır. Bu etiketler, zorunlu erişim denetimi ilkesinin temeli olarak hizmet etmelidir.
Güvenlik sistemi, sisteme yeni veriler girildiğinde, bu verilerin sınıflandırma etiketlerini yetkili bir kullanıcıdan talep etmeli ve almalıdır. Kullanıcılar listesine yeni bir konu eklenmesine izin verildiğinde, ona sınıflandırma işaretleri atanmalıdır. Harici sınıflandırma etiketleri (nesneler, nesneler) dahili etiketlerle (koruma sistemi içinde) tam olarak eşleşmelidir.
Güvenlik sistemi, herhangi bir özneden açık ve gizli erişime sahip tüm nesneler için zorunlu erişim kontrolü ilkesini uygulamalıdır:
Özne, nesneyi ancak öznenin sınıflandırma düzeyindeki hiyerarşik sınıflandırma, nesnenin sınıflandırma düzeyindeki hiyerarşik sınıflandırmadan daha az değilse okuyabilir. Bu durumda, öznenin sınıflandırma düzeyindeki hiyerarşik kategorilerin, nesnenin sınıflandırma düzeyindeki tüm hiyerarşik kategorileri içermesi gerekir;
Özne, yalnızca öznenin hiyerarşik sınıflandırmadaki sınıflandırma düzeyi, nesnenin hiyerarşik sınıflandırmadaki sınıflandırma düzeyinden büyük değilse nesneye yazar. Bu durumda, öznenin sınıflandırma düzeyindeki tüm hiyerarşik kategorilerin, nesnenin sınıflandırma düzeyindeki hiyerarşik kategorilere dahil edilmesi gerekir.
Zorunlu DRP'lerin uygulanması, özel olarak seçilmiş konular tarafından öznelerin ve nesnelerin sınıflandırma düzeylerinde bakım, değişiklik olasılığını sağlamalıdır.
Erişim yöneticisi CVT'de uygulanmalıdır, örn. bir araç, ilk olarak, öznelerin nesnelere yönelik tüm çağrılarını engellemek ve ikinci olarak, belirli bir erişim sınırlandırma ilkesine uygun olarak erişimi sınırlandırmak. Aynı zamanda, bir erişim talebinin yetkilendirilmesine ilişkin karar, yalnızca hem isteğe bağlı hem de zorunlu İİS'ler tarafından aynı anda çözümlenmesi durumunda verilmelidir. Bu nedenle, yalnızca tek bir erişim eylemi değil, aynı zamanda bilgi akışları da kontrol edilmelidir.
Uygulama, çok seviyeli koruma modellerinin gerçek hayatın ihtiyaçlarına matris modellerden çok daha yakın olduğunu ve bina için iyi bir temel oluşturduğunu göstermektedir. otomatik sistemler giriş kontrolu. Ayrıca, aynı düzeyde ayrı ayrı alınan kategoriler eşdeğer olduğundan, çok düzeyli (zorunlu) bir modelle birlikte ayırt edilebilmeleri için bir matris modelin kullanılması gerekmektedir. Çok seviyeli modellerin yardımıyla, yönetim görevini önemli ölçüde basitleştirmek mümkündür. Ayrıca, bu hem kısıtlayıcı erişim politikasının ilk ayarı (özne-nesne ilişkisinin ayarlanmasında bu kadar yüksek düzeyde ayrıntıya gerek yoktur) hem de yeni nesnelerin ve erişim öznelerinin yönetim şemasına müteakip dahil edilmesiyle ilgilidir.
Sınır Modeli bilgi akışı sistem nesneleri arasındaki tüm olası bilgi akışlarının kesişmeyen iki kümeye bölünmesine dayanır: bir dizi olumlu bilgi akışı ve bir dizi elverişsiz bilgi akışı. Bilgi akışı sınırlama modelini uygulamanın amacı, bir bilgisayar sisteminde olumsuz bilgi akışlarının oluşmamasını sağlamaktır.
Bilgi akışı kontrol modeli çoğu durumda isteğe bağlı veya zorunlu erişim kontrol modelleri gibi diğer mekanizma türleri ile birlikte kullanılır. Bilgi akışı sınırlandırma modelinin uygulanması, kural olarak, özellikle bilgisayar sistemini zaman içinde olumsuz bilgi akışlarının oluşmasından korumak gerekiyorsa, pratikte çözülmesi zor bir iştir.
Rol tabanlı erişim denetimi, isteğe bağlı erişim denetimi ilkesinin gelişmiş halidir; aynı zamanda, sistem öznelerinin nesnelere erişim hakları, uygulamalarının özellikleri dikkate alınarak gruplandırılır ve roller oluşturulur.
Rolleri ayarlamak, bir bilgisayar sisteminin kullanıcıları için erişim kontrolü için daha net ve daha anlaşılır kurallar tanımlamanıza olanak tanır. Rol tabanlı erişim kontrolü, bir bilgisayar sisteminin çalışması sırasında dinamik olarak değişen esnek erişim kontrolü kurallarının uygulanmasını mümkün kılar. Rol tabanlı erişim kontrolü temelinde, özellikle zorunlu erişim kontrolü uygulanabilir.
Yalıtılmış yazılım ortamı modelinin uygulanmasının amacı, koruma sisteminin etkilenememesini ve parametrelerinin veya konfigürasyonunun değiştirilmemesini sağlayan sistem özneleri arasındaki güvenli etkileşim sırasını belirlemektir; bu, koruma sistemi tarafından uygulanan erişim kontrol politikasında bir değişikliğe neden olabilir.
Korumalı alan modeli, sistem varlıklarını birbirinden izole ederek ve sistemde yalnızca önceden tanımlanmış bir listedeki varlıkların aktif olabilmesi için yeni varlıkların oluşturulmasını kontrol ederek uygulanır. Aynı zamanda etkinleştirilen öznelerin işlevselliğini etkileyen sistem nesnelerinin bütünlüğü de kontrol edilmelidir.
Belarus Devlet Üniversitesi'nin kurumsal bilgi ortamı, farklı zamanlarda yazılan birkaç düzine uygulama ve hizmetten oluşur. Çoğu ActiveX nesneleri, geri kalanı web uygulamalarıdır. Çoğu durumda hepsi bağımsızdır ve etkileşimi organize etmek için yerleşik araçlara sahip değildir. Bu durumda bariz seçim, isteğe bağlı erişim denetimi modelinin geliştirilmesi olan erişim rol modelidir. Belarus Devlet Üniversitesi'nin kurumsal bilgi sistemi koşullarında başka herhangi bir modelin uygulanması neredeyse imkansızdır.
Bu tür heterojen ve zayıf entegre edilmiş sistemlere erişimin farklılaştırılması, belirli uygulamalara, etki alanı denetleyicisindeki uygun gruplara üyeliklerine dayalı olarak belirli uygulamalara erişim haklarının yanı sıra, bilgi sisteminin tüm bileşenlerinin kullanıldığı veritabanı sunucularında saklı yordamları yürütme hakları tahsis edilerek oluşturulabilir.
Sunulan sistemleri karşılaştırdığımızda, ERP'de sistemin kullanıcı kimlik doğrulaması ve yetkilendirmesi için tüm sorumluluğu üstlendiğini söyleyebiliriz. Geleneksel parola kimlik doğrulamasına ek olarak, çeşitli kurumsal bilgi sistemi modelleri tarafından sağlanan çok çeşitli başka mekanizmalar sunar.
Zayıf bir şekilde entegre edilmiş bir bilgi sisteminin güvenlik sistemi, Microsoft Windows etki alanı denetleyicisinin yerleşik araçlarına, işletim maliyetini önemli ölçüde azaltan ve yeterince güvenilir çalışmayı sağlayan kimlik doğrulama ve yetkilendirme prosedürleri uygular. Bununla birlikte, Microsoft Windows kullanıcı yönetimi araçları bu tür bir kullanıma odaklanmamıştır, bu nedenle kurumsal bilgi sisteminin güvenliğini olumsuz yönde etkileyen erişim dağıtımını kontrol ederken pek uygun değildirler.
Yukarıda belirtilenlerden, belirli uygulamalara erişim için kullanıcı haklarını merkezi olarak yönetebilen bir uygulamanın, BSU kurumsal bilgi sistemi yöneticilerinin işini büyük ölçüde kolaylaştıracağı ve ayrıca çeşitli uygulamalardan verilere erişim kullanıcı haklarının daha kapsamlı bir şekilde izlenmesine izin vereceği sonucu çıkar. Bu da, açıkçası, güvenlik sisteminde önemli bir iyileşmeye yol açacaktır.
Böylece böyle bir sistem oluşturma görevi ile karşı karşıya kaldım. Böyle bir sorunu çözmenin özelliklerini daha ayrıntılı olarak ele alalım.
Böyle bir sistem tasarlanırken, gerekli olan bazı özelliklerin dikkate alınması gerekir. normal işleyen hem özellikle uygulamanın kendisi hem de bir bütün olarak tüm kurumsal bilgi sistemi.
Windows Active Directory'deki kullanıcı yönetim sistemi yalnızca BSU kurumsal bilgi sisteminin kaynaklarına erişim sağlamak için kullanılamayacağından, kullanıcıların gerçekten ihtiyaç duydukları hakları kaybetmemeleri ve ekstra yetkiler almamaları için uygulama bunu dikkate almalıdır. Bunu yapmak için sistem, kendisine bu erişim kontrol sistemi tarafından değil, Windows Active Directory araçları kullanılarak atanan a priori kullanıcı haklarını depolamak için bir mekanizma düzenler.
SQL sunucularında kullanıcı yönetimi bölümünde de benzer bir durum gelişiyor. Bununla birlikte, yukarıda bahsedildiği gibi, SQL sunucu kaynaklarına erişirken BSU'nun erişim haklarını sınırlandırma mekanizması rol tabanlı olarak oluşturulmuştur; bu, belirli bir SQL sunucusunun nesnelerinin her biri için kullanıcı erişim hakları hakkında veri depolamaya gerek olmadığı anlamına gelir. Tüm bu veriler, sunucudaki grup izinlerinde saklanır. Bu nedenle, geçiş kontrol sisteminin yalnızca sunucunun adı, veritabanının kendisinin adı ve kullanıcı rolünün adı gibi alanları saklaması yeterlidir.
Erişim dağıtım sistemine daha yakından bakalım.
Bu sistem, ASP.NET 1.1 kullanılarak ve bir veritabanı sunucusu kullanılarak gerçekleştirilmiş bir web uygulamasıdır. Microsoft verileri SQL Server 2000 SP3.
Veritabanı aşağıdaki tablolardan oluşur:
・Temel tablolar
o Kullanıcılar - kullanıcı nesnesinin tanımlayıcısını, kullanıcının adını, oturum açma bilgilerini ve gerekirse ek metin bilgilerini saklar.
o Uygulamalar - uygulama tanımlayıcısını, adını ve gerekirse ek metin bilgilerini saklar.
o WinADGroups - grup nesne tanımlayıcısını, adını ve gerekirse ek metin bilgilerini saklar.
o SQLGroups - grup tanımlayıcısını, adını, sunucu adını, veritabanlarını ve bu grupla ilişkili rolü ve gerekirse ek metin bilgilerini depolar.
Yardımcı tablolar
SQLGroups2Apps
WinGroups2Apps
o KullanıcılarPriorSQLGroups
o KullanıcılarPriorWinGroups
Ana tablolar, etki alanı denetleyicisindeki kullanıcılar, uygulamalar ve gruplar ile çeşitli SQL sunucularındaki roller hakkındaki verileri depolar. Yardımcı tablolar, sistemde var olan çoktan çoğa ilişkileri sağlar.
Tablolara birkaç düzine saklı yordam kullanılarak erişilir. Saklı yordamların yanı sıra SQL parametrelerinin kullanılması, uygulamayı, son zamanlarda veritabanlarını kullanarak web uygulamalarını hacklemenin ana yollarından biri olan SQL enjeksiyonundan etkili bir şekilde koruyabilir. Veri tabanının şeması şekilde gösterilmiştir.
Uygulama, erişim kontrolü için 8 .aspx sayfasından oluşmaktadır. Uygulamanın nasıl çalıştığına daha yakından bakalım.
WinGroupsAdd.aspx sayfası, bir etki alanı denetleyicisindeki sisteme grup kimlikleri eklemek için kullanılır. Kullanıcı bir grup adı girer. Sistem, etki alanı denetleyicisindeki grupları arar ve ada benzer grupların bir listesini sağlar. kullanıcı seçer istenen grup, gerekirse bu grubun metin açıklamasını girer ve kaydet düğmesine basar. Grup verileri, uygulama veritabanında saklanır.
Kullanıcı, WinGroupsEdit.aspx sayfasını kullanarak, grup hakkında daha önce girilen bilgileri, yani grubun metinsel açıklamasını düzenleyebilir. Sil düğmesi sistemdeki grupla ilgili tüm bilgileri siler ve ayrıca bu sistem tarafından oraya eklenmiş olmaları koşuluyla kullanıcıları buradan çıkarmak için bir mekanizma üretir. Doğrulama için UserPriorWinGroups tablosu kullanılır.
SQLGroupsAdd.aspx sayfası, SQL Server'da grupları kullanmak için sisteme veri eklemek için kullanılır. Kullanıcı ilgili veritabanına sunucu adını, veritabanı adını ve rolünü girer. Gerekirse, kullanıcı bu grubun metin açıklamasını girer ve kaydet düğmesine basar. Grup verileri, uygulama veritabanında saklanır.
Kullanıcı, SQLGroupsEdit.aspx sayfasını kullanarak, grup hakkında daha önce girilen bilgileri, yani grubun metinsel açıklamasını düzenleyebilir. Bu tür değişiklikler yeni bir kullanıcı grubunun oluşturulmasını gerektirdiğinden, alanların geri kalanı düzenlenemez. Sil düğmesi sistemdeki grupla ilgili tüm bilgileri siler ve ayrıca bu sistem tarafından oraya eklenmiş olmaları koşuluyla kullanıcıları buradan çıkarmak için bir mekanizma üretir. Doğrulama için UserPriorSQLGroups tablosu kullanılır.
ApplicationAdd.aspx sayfası sisteme uygulama eklemek için kullanılır. Bu sayfada, kullanıcı uygulamanın adını, metin açıklamasını girebilir ve ayrıca bu uygulamayla hem SQL sunucularında hem de etki alanı denetleyicisinde çalışmak için gerekli grupları seçebilir. Seçim, sistem veri tabanında bulunan ilgili grup listelerinden yapılır. Kaydet butonu sistemdeki ilgili verileri hatırlayacak, iptal butonu ise herhangi bir işlem yapmadan sizi aynı sayfaya döndürecektir. Yalnızca girilen tüm verileri silecektir.
ApplicationEdit.aspx'i kullanarak, uygulamanın açıklamasını ve onu kullanmak için gereken grup kümesini değiştirebilirsiniz. Kaydet düğmesine tıkladığınızda. Sistem kendi veritabanındaki verileri güncelleyecek ve buna göre bu uygulamaya erişimi olan kullanıcıların haklarını da değiştirecektir.
UserAdd.aspx sayfası sisteme kullanıcı eklemek içindir. Bu süreç şu şekilde gerçekleşir. Kullanıcı, sisteme eklenecek kullanıcı adının tamamını veya bir kısmını girer. Etki alanı denetleyicisinde bir arama yapılır. Bundan sonra, kullanıcıya uygun kullanıcı adı seçeneklerinin bir listesi verilir. İstenilen domain kullanıcısı seçilir ve bunun için gerekli uygulamalar seçilir. Kaydet butonu sistemdeki ilgili verileri hatırlayacak, iptal butonu ise herhangi bir işlem yapmadan sizi aynı sayfaya döndürecektir. Yalnızca girilen tüm verileri silecektir.
Kullanıcı, UserEdit.aspx'i kullanarak belirli uygulamalara erişim hakları ekleyebilir veya kaldırabilir ve kullanıcıyı uygulamanın veritabanından kaldırabilir.
Bu makale, kurumsal bilgi sistemlerini analiz etmektedir: yapıları ve güvenlik mekanizmaları. Tüm kurumsal bilgi sistemleri 2 sınıfa ayrıldı: önde gelen temsilcileri ERP sistemleri olan yüksek derecede entegre sistemler ve ayrıca birkaç düzine ayrı, bazen tamamen oluşturulmuş zayıf entegre sistemler. ilgili uygulamalar. Bunların büyük çoğunluğundaki erişim kontrolü, merkezi erişim kontrolü ile kullanıcı hakları farklılaştırmasının rol tabanlı isteğe bağlı modeline dayalı olarak inşa edilmiştir.
Kurumsal bilgi sistemlerine yönelik mevcut tehditler ve bunları önleme yolları analiz edildi. İstatistikler, bugün bizim için asıl sorunun, şirket çalışanlarının ihmalkar veya cezai eylemlerinden korunma sorunu olduğunu gösteriyor. Bu tür eylemlere karşı koruma yöntemleri analiz edilir, bunların başlıcası, kullanıcıların kurumsal bilgi sistemine erişimini sınırlandırma yöntemidir.
Mevcut erişim kontrolü yöntemlerinin bir çalışması ve belirli koşullarda uygulanabilirliklerinin bir analizi yapılmıştır. Kurumsal erişim kontrolünü düzenlemek için en uygun yöntem bilgi kaynakları Belarus Devlet Üniversitesi. Buna dayanarak, bu kurumsal bilgi sisteminin kaynaklarına kullanıcı erişimini yönetmenizi sağlayan bir uygulama oluşturuldu. Uygulamalar, veritabanı yönetim sistemleri ve Active Directory nesneleri arasındaki iletişimi sağlar. Geliştirilen sistem, heterojen uygulamalara erişimi küresel olarak yönetmenizi sağlar. Esnek erişim kontrol sistemi, yeni uygulamaların geliştirilmesine odaklanmanızı sağlar ve kodlarında herhangi bir değişiklik yapmadan önceden yazılmış uygulamaların yönetimini destekler.
1. Malyuk A. A. Bilgi güvenliği: bilgi korumanın kavramsal ve metodolojik temelleri. Moskova: Hot Line-Telecom, 2004.
2. Sevgili E.B. Los V.P. Bilgi güvenliğinin temelleri. Moskova: Hot Line-Telecom, 2006.
3. Romanets Yu.V. Timofeev P.A. Bilgisayar sistemleri ve ağlarındaki bilgilerin korunması. Moskova: Radyo ve İletişim 2001.
4. Yarochkin V.I. - Üniversite öğrencileri için Bilgi Güvenliği Ders Kitabı. - M.: Akademik Proje; Gaudeamus.
5 Noel Simpson ASP ile Active Directory'ye Erişme ve Yönetme. AÇIK.
6. Joe Kaplan, Ryan Dunn. Dizin Hizmetleri Programlama için .NET Geliştirici Kılavuzu (Microsoft .NET Geliştirme Serisi)
7. Matthew MacDonald. C#'ta ASP.NET 1.1'e Başlamak: Acemiden Profesyonele (Acemiden Profesyonele).
8. Hank Meyne, Scott Davis ASP.NET ve C# ile Web Uygulamaları Geliştirme.
9. Robin Duson SQL Server 2000. Programlama. Moskova: Binom, 2003.
10. P. Shumakov ADO.NET ve Microsoft Visual Studio.NET ortamında veritabanı uygulamaları oluşturma Moskova: Dialogue-MEPhI, 2004
Aktif Dizin................................................................................................................................................................................................... 31 , 36
ERP............................................................................................................................................................................................................ 3 , 5 , 6 , 7 , 8 , 30 , 35 , 39
MİP............................................................................................................................................................................................................................................ 3 , 6
Saldırı ............................................................................................................................................................................................... 11
Kullanılabilirlik .................................................................................................................................................................................. 10
Koruma araçları kompleksi .......................................................................................................................................................... 11
Veri gizliliği ......................................................................................................................................................... 9
Bilgiye yetkisiz erişim ............................................................................................................................... 9
Bir obje ............................................................................................................................................................................................. 10
Güvenlik Politikası ................................................................................................................................................................ 11
Erişim denetimi kuralları .................................................................................................................................................... 9
Bilgiye yetkili erişim ................................................................................................................................... 9
Ders ............................................................................................................................................................................................ 10
Güvenlik Hasarı ...................................................................................................................................................................... 10
güvenlik açığı ..................................................................................................................................................................................... 10
Bütünlük ............................................................................................................................................................................ 10, 12
1. http://xakep.ru, bilgi sistemlerindeki güvenlik açıklarının analizine, bunların istismarlarına, sistemleri hacklemenin ve onları korumanın olası yollarına adanmış en gelişmiş Rus sitelerinden biridir.
2. http://www.webxakep.ru - site, bilgi sistemlerini hacklemeye ve saldırılara karşı koruma önlemlerine adanmıştır.
3. http://msdn.microsoft.com - Site, Microsoft teknoloji çözümlerine odaklanan geliştiricilere yöneliktir, şirket ürünleri için belgeler, kod örnekleri, teknik makaleler, referans ve eğitim materyalleri, en çok En son güncellemeler, uzantılar, son haber, abone forumu.
4. http://microsoft.com - Microsoft'un kendi web sitesi
5. http://sdn.sap.com/, ERP ve kurumsal ürünler pazarında dünya lideri olan SAP'nin teknoloji çözümlerine odaklanan geliştiriciler için bir portaldır. SAP bilgi kaynaklarıyla ilgili her şeye adanmış ana İnternet kaynağı
Slayt 1 - Başlık slaydı Slayt 2 Giriş. Hedefler.
Slayt 3 - CIS kavramı Slayt 4 - CIS'in sınıflandırılması
Slayt 5 - Tehditlerin sınıflandırılması Slayt 6 - Tehditlerin sınıflandırılması
Slayt 7 - Tehdit kaynakları Slayt 8 - Tehditleri önlemeye yönelik önlemler
Slayt 9 - Tehditlerle mücadele önlemleri Slayt 10 - Erişim kontrol mekanizmaları
Slayt 11 - EIS BSU Slayt 12 - Geliştirilen sistem için veritabanı modeli
Slayt 13 - Uygulama demosu Slayt 14 - Sonuç
1. Afanasiev, D. Office XP/ D. Afanasiev, S. Barichev, O. Plotnikov. - M.: Kudits-Obraz, 2002. - 344 s.
2. Ahmetov, K.S. Microsoft Windows XP / K.S.'ye Giriş Ahmetov. - M.: Rusça Baskı, 2001. - 210 s.
3. Bot, Ed. Windows XP / E. Bott, K. Sichert. - Peter, 2006. - 1068'ler.
4. Willett, E. Office XP. Kullanıcı İncili / E. Willett; [Trans. İngilizceden. Derieva E.N. ve diğerleri], 2002. - 843 s.
5. Seiden, M. Word 2000 / M. Seiden. – M.: Lab. temel bilgi, 2000. - 336 s.
6. Kaimin, V.A. Bilişim: bilgisayarda atölye çalışması: öğretici/ V.A. Kaimin, B.S. Kasaev; Infra-M. - M, 2001. - 215c.
7. Kişik, A.N. ofis xp'si Etkili Öğretici: Hızlı... Kolay... Net. / BİR. Kişik. – M.: 2002. – 426 s.
8. Kostov, A.V. Kişisel bilgisayar hakkında her şey: büyük ansiklopedi/ AV Kostov, V.M. Kostov. – M.: Martin, 2004. – 718 s.
9. Kotsiubinsky, A.O. Microsoft Office XP: Programların en son sürümleri / A.O. Kotsiubinsky. - M.: Triumph, 2001. - 469 s.
10. Kotsiubinsky, A.O. Bilgisayarda çalışma antolojisi: ders kitabı. harçlık / A.Ö. Kotsiubinsky, A.O. Groşev. – M.: Triumph, 2003. – 496 s.
11. Krupnik, A. İnternet araması / A. Krupnik. - St.Petersburg: Peter, 2001. - 209 s.
12. Krupsky, A.Yu. Metin düzeltici Microsoft Word. Microsoft Excel elektronik tabloları: öğretici / A.Yu. Krupsky, N.A. Feoktistov; Milli Eğitim Bakanlığı Ros. Federasyon, Moskova in-t durumu ve kurumsal. eski. M. : Dashkov ve K. - M., 2004. - 135 s.
13. Levin A. Bilgisayarda çalışmak için kısa eğitim / A. Levin. - M .: A. Levin'in yayınevi, 2001.
14. Levkovich, O.A. Bilgisayar okuryazarlığının temelleri / O. A. Levkovich, E. S. Shelkoplyasov, T. N. Shelkoplyasova. - Minsk: TetraSystems, 2004. - 528 s.
15. Lozovsky, L.Sh. İnternet ilginç! / L.Ş. Lozovsky, L.A. Ratnovsky. – M.: Infra-M, 2000.
16. Makarova, N.V. Bilişim: Bilgisayar teknolojisi üzerine çalıştay: ders kitabı. ödenek / N.V. Makarova [ve diğerleri]; ed. N.V. Makarova. - M.: Finans ve istatistik, 2000. - 255 s.
17. Olifer, V.G. Bilgisayar ağları. İlkeler, teknolojiler, protokoller / V.G. Olifer, N.A. Olifer. - St.Petersburg: Peter, 2000.
18. Popov, V.B. Temel bilgiler bilgisayar Teknolojisi: çalışmalar. ödenek / V.B. popov; Finans ve istatistik. - M., 2002. - 703 s.
19. Perepelkin, V. Kullanıcı kişisel bilgisayar. Modern kurs / V. Perepelkin. - Rostov n / D: Phoenix, 2002. - 703 s.
20. Taş, M.D. senin bilgisayarın. Sorunlar ve çözümler / M.D. Taş, P. Alfred. - M.: Ekonomi, 2001.
21. Yakushina, E. İnterneti inceliyoruz, bir Web sayfası oluşturuyoruz / E. Yakushina. - St.Petersburg: Peter, 2001.
22. Aptallar için HTML Eğitimi [Elektronik kaynak] / Portal Postroyka.ru. M., 2007. - Erişim modu: http://www.postroika.ru/html/content2.html. – Erişim tarihi: 21.09.2008.
23. Belarus Cumhuriyeti Yüksek Tasdik Komisyonu [Elektronik kaynak] / Belarus HAC. - Minsk, 2007. - Erişim modu: http://vak.org.by/ - Erişim tarihi: 11/18/2008.
Yakın gelecekte ülke liderliği kurumsal bilgi sistemlerinin oluşumuna doğru bir seyir izlediğinden, kurumsal bilgi sistemlerinin sayısında bir artış beklenmektedir. dijital ekonomi, bilgi teknolojisinin 1 kullanımı yoluyla tüm endüstrilerin verimliliğini artırmaya odaklanmıştır, bu da bu sektörlerde işlenen bilgileri koruma ihtiyacının da arttığı anlamına gelir.
Konstantin Samatov
Bilgi Koruma Dairesi Başkanı TFOMS
Sverdlovsk bölgesi, liderler derneği üyesi
bilgi güvenliği hizmetleri, öğretim görevlisi
bilgi güvenliği URTK onları. GİBİ. Popova
Temel konseptler
"Kurumsal bilgi sistemi" (CIS) kavramı, Sanatta yer almaktadır. 6 Nisan 2011 tarihli 63-FZ sayılı "Elektronik İmza Üzerine" Federal Kanunun 2'si. BDT, katılımcıların belirli bir insan çemberini oluşturduğu elektronik etkileşimin katılımcıları olan bir bilgi sistemi olarak anlaşılmaktadır. Aynı zamanda, bilgi alışverişine katılan kişiler çemberi, yalnızca kuruluşun yapısal alt bölümleri değil - BDT operatörü, aynı zamanda karşı tarafları da olabilir. Önemli olan, katılımcıların kompozisyonunun ve sayısının kesin olarak tanımlanmış olmasıdır.
Bilgi sisteminin operatörü bir vatandaş veya varlık veritabanlarında yer alan bilgilerin işlenmesi de dahil olmak üzere bir bilgi sisteminin işletilmesiyle uğraşanlar (27 Temmuz 2006 tarihli 149-FZ sayılı "Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında" Federal Kanunun 2. Maddesi).
Bir bilgi sistemi, veritabanlarında ve bilgi teknolojilerinde yer alan bir dizi bilgi ve işlenmesini sağlayan teknik araçlar olarak anlaşılır (27 Temmuz 2006 tarihli 149-FZ sayılı "Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında" Federal Kanunun 2. Maddesi). Bu nedenle, BDT'de bilgi koruma konusunu hangi bilgilerin korumaya tabi olduğunun tanımından değerlendirmek gerekir.
Kurumsal bilgi sisteminde korunması gereken bilgiler
Mevcut mevzuat, bilgiyi iki türe ayırır: halka açık bilgi ve bilgi Sınırlı erişim(Bölüm 2, 27 Temmuz 2006 tarihli 149-FZ sayılı Federal Yasanın 5. Maddesi "Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında"). Sınırlı erişim bilgileri iki büyük gruba ayrılabilir - bu bir devlet sırrı ve bilgidir gizli doğa.
Devlet sırrı - devlet tarafından askeri, dış politika, ekonomik, istihbarat, karşı istihbarat ve operasyonel arama faaliyetleri alanında korunan ve yayılması Rusya Federasyonu'nun güvenliğine zarar verebilecek bilgiler (21 Temmuz 1993 tarihli ve 5485-1 sayılı Rusya Federasyonu Kanunu'nun 2. Maddesi "Devlet Sırları Üzerine"). Yazarın uygulamasına dayanarak, bu bilgi grubuyla kural olarak en az sorunun olduğunu söyleyebiliriz (diğer sır türlerine kıyasla). Belirtilen bilgilerin listesi özeldir. İşleme sırası kesinlikle düzenlenmiştir. Bir devlet sırrı oluşturan bilgileri işlemeden önce, bir kuruluş uygun bir lisans almalıdır. İşlem emrinin ihlaline yönelik yaptırımlar zordur. Ayrıca, bu tür bilgilere sahip deneklerin sayısı azdır.
Gizli bilgiler, en yaygın olanları ticari sırlar ve kişisel (aile) sırları olmak üzere yaklaşık 50 tür sır içerir ve bunların bir çeşidi kişisel verilerdir.
BDT'deki kişisel veriler neredeyse her zaman oradadır. Özellikle, en az bir çalışanı veya en az bir müşterinin pasaport bilgilerine sahip herhangi bir kuruluş, 27 Temmuz 2006 tarih ve 152-FZ sayılı "Kişisel Veriler Hakkında" Federal Yasa anlamında kişisel veri operatörü olacaktır. Yani, müşteri verileri kurumsal bir CRM sisteminde işleniyorsa (örneğin, tam ad ve teslimat adresi) veya bu veriler bir iş istasyonunda bir MS Excel dosyasında yer alıyorsa, kişisel verilerin CIS'te işlendiği ve bu nedenle kuruluşun bunların korunmasına yönelik gerekliliklere uymakla yükümlü olduğu güvenle söylenebilir. Uygulamada, çoğu kuruluşun liderleri bunu anlamıyor ve kişisel verileri işlemediklerine inanıyor ve bu nedenle herhangi bir olay meydana gelmeden önce bilgileri korumak için önlemler almıyorlar.
Kişisel verilere ek olarak, hemen hemen her CIS, üçüncü taraflarca bilinmemesi nedeniyle gerçek veya potansiyel değeri olan, kuruluşun ifşasından veya kontrolsüz aktarımından kaçınmaya çalıştığı (ticari sır) bilgiler içerir. Uygulamada, böyle bir durum, bu bilgilerin listesi yalnızca kuruluşun başkanının veya sahibinin zihninde yer aldığında yaygındır.
Kilit nokta, personelin düzenli aralıklarla gerçekleştirilmesi gereken bilgi güvenliği kuralları konusunda eğitilmesidir.
Yukarıdakiler ışığında, kurumsal bilgi sisteminde işlenen bilgileri korumak için bir dizi önlemin organizasyonda benimsenmesi konusu alakalı hale gelir.
Kurumsal bilgi sisteminde bilgi koruma önlemleri
Üç ana önlem grubu vardır:
1. Örgütsel (örgütsel ve yasal). Bilgi güvenliği konularında organizasyonel ve idari belgelerin hazırlanması: talimatlar, yönetmelikler, emirler, yönergeler. Amaç, iş süreçlerini kolaylaştırmak ve iç ve dış düzenlemenin gerekliliklerine uymaktır ("uygunluk", "kağıt güvenliği" olarak adlandırılır). Bu tipönlemler ana olarak adlandırılabilir, çünkü:
- ticari sır rejimi, yalnızca Sanatın 1. Bölümünde listelenen örgütsel önlemlerin kabul edilmesiyle kurulur. 29 Temmuz 2004 tarih ve 98-FZ sayılı "Ticari Sırlar Üzerine" Federal Kanunun 5'i;
- kişisel veriler söz konusu olduğunda, günümüzde kişisel verileri korumanın temel amacı genellikle sözde "düzenleyiciler" (Roskomnadzor, Rusya'nın FSTEC'i, Rusya'nın FSB'si) tarafından kontrollerin başarıyla geçmesidir.
Güvenlik uzmanları arasında yaygınlaşan "kağıt güvenliği" terimi bu nedenle.
hemen hemen her BDT'de, üçüncü taraflarca bilinmemesi nedeniyle gerçek veya potansiyel değeri olan, kuruluşun ifşasından veya kontrolsüz aktarımından kaçınmaya çalıştığı (ticari sır) bilgiler vardır. Uygulamada, böyle bir durum, bu bilgilerin listesi yalnızca kuruluşun başkanının veya sahibinin zihninde yer aldığında yaygındır.
Bu nedenle, personel genellikle BDT'de saklanan bilgileri istemeden aktarır (amaçlanmadığı bilgi alışverişi katılımcısına gönderir) veya ifşa eder (kamu malına koyar). Aynı zamanda, ticari sır oluşturan onaylanmış bir bilgi listesinin olmaması durumunda, bir çalışanı bu eylemlerin işlenmesi nedeniyle disiplin cezasına çarptırmak mümkün değildir.
2. Teknik önlemler. Bilgilerin teknik olarak korunması dört önlem grubunu içerir:
- Mühendislik ve teknik koruma. Amacı, davetsiz misafirin CIS'in teknik araçlarının bulunduğu nesnelere (otomatik iş istasyonları, sunucular, vb.) fiziksel olarak girmesine karşı koruma sağlamaktır. Penetrasyona karşı koruma, mühendislik yapılarının kullanılmasıyla sağlanır: çitler, kapılar, kilitler, turnikeler, alarmlar, video gözetimi, vb.
- Bilgilere yetkisiz erişime karşı koruma. Bu önlem grubunun amacı, bilgi sisteminde en çok işlenen bilgilere doğrudan yetkisiz erişimi engellemektir. Aşağıdaki faaliyetler aracılığıyla uygulanır:
- erişim kontrolü (şifreler, yetkilerin atanması);
- kayıt ve muhasebe (kayıt);
- güvenlik duvarı;
- anti-virüs koruması;
- izinsiz girişleri tespit etme (önleme) araçlarının uygulanması.
- Teknik kanallar yoluyla sızıntılara karşı koruma. Amaç, bilgileri teknik kanallar (görsel, işitsel, yan Elektromanyetik radyasyon) BDT'de bilgi işleme sürecinde. Aşağıdaki önlemler kullanılarak uygulanır:
- panjurlu pencerelerin donanımı (perdeler);
- vibroakustik bozucular olarak adlandırılan akustik kanallardan sızıntıya karşı koruma araçlarının kullanılması;
- yan elektromanyetik radyasyona ve parazite karşı koruma sağlamak için özel filtrelerin kullanılması. Ancak bu tedbirler uygulamada sadece devlet bilgi sistemleri veya devlet sırlarının işlendiği bilgi sistemleri için gereklidir.
- Bilgilerin kriptografik koruması. Kriptografik bilgi koruma araçlarının kullanımı, büyük ölçüde kurumsal elektronik belge yönetim sistemlerinin aktif gelişimi ve bunlarda bilgi bütünlüğünü sağlamaya yönelik bir mekanizma olarak elektronik imzaların kullanılması nedeniyle son yıllarda oldukça fazla ivme kazanmaktadır. Uygulamada, bilgilerin kriptografik dönüşüm mekanizmaları, her şeyden önce, veritabanlarında veya iş istasyonlarında depolanan bilgilerin gizliliğini sağlamak ve ayrıca bilgi alışverişi sürecinde (iletim sırasında) bilgileri korumak için kullanılır. Aslında, yalnızca kriptografik dönüştürme kullanılarak, tamamen VPN ağları (Sanal Özel Ağ) oluşturmak mümkündür.
3. Ahlaki ve etik önlemler, kısıtlanmış bilgilerin CIS kullanıcıları tarafından ifşa edilmesini önlemek veya en azından en aza indirmek için tasarlanmıştır.
Çeşitli araştırmalara göre, çalışanlardan sızan bilgi sayısı %80 ila %95 arasında değişirken, büyük çoğunluğu - sızıntıların yaklaşık %90'ı - kasıtlı eylemlerle ilgili değildir.
Ahlaki ve etik önlemler, personel güvenliği ile ayrılmaz bir şekilde bağlantılıdır ve kalifiye personel alımı, kontrol önlemleri, ayrıntılı görev tanımları, personel eğitimi, sıkı erişim kontrolü ve çalışanların işten çıkarılması durumunda güvenlik sağlar. Yazara göre anahtar, personelin düzenli aralıklarla yapılması gereken bilgi güvenliği kuralları konusunda eğitilmesidir. Bu nedenle, özellikle yazar, çalıştığı kuruluşun çalışanlarının üç ayda bir eğitimini sağlayan yıllık bir sipariş hazırlar.
Ek olarak, iletişim kanalları (e-posta, anlık mesajlaşma programları, sosyal ağlar) yoluyla personelden bilgi sızıntısını önlemek için, "DLP sistemleri" (Veri Kaybı (Sızıntı) Koruması (Önleme)) adı verilen ve genellikle "sızıntı önleme sistemleri" olarak adlandırılan bütün bir bilgi koruma sistemleri sınıfı vardır. Bu sistemler şu anda hem bilgi hem de ekonomik güvenlik hizmetlerinin başkanları tarafından kullanılan personel kontrolü için en popüler çözümlerden biridir. Piyasada bulunan bu sınıftaki sistemlerin çoğu, yalnızca elektronik iletişim kanallarının izlenmesine ve bloke edilmesine değil, aynı zamanda kullanıcı etkinliğinin izlenmesine olanak tanır. verimsiz kullanan çalışanları belirlemek için çalışma zamanı: işe geç kalıyorlar ve daha erken çıkıyorlar, sosyal ağlarda "oturuyorlar", bilgisayar oyunları oynuyorlar, kendileri için çalışıyorlar.
Sadece birkaç ay önce ortaya çıkan personel güvenliği konusundaki bir başka eğilim, anormal kullanıcı davranışını izlemeye ve tespit etmeye yönelik sistemlerdir - Kullanıcı ve Varlık Davranış Analitiği (UEBA). Bu sistemler, kullanıcı davranışını analiz etmek ve temel olarak personel ve bilgi güvenliğine yönelik gerçek tehditleri belirlemek için tasarlanmıştır.
Bu nedenle kurumsal bilgi sistemlerinin büyük çoğunluğunda kişisel veriler ve ticari sırlar işlenmekte ve dolayısıyla tamamı koruma gerektirmektedir. Hemen hemen her zaman, özellikle ticari sektörde, bilgi güvenliği konuları, çalışanların rahatlığı ve bu faaliyetlerin finansmanı ile çatışır. Çalışmada, yazar düşündü asgari set herhangi bir BDT'deki bilgileri korumayı amaçlayan önlemler. Bu önlemler listesi, benzersiz bilgi gerektirmez ve bilgi teknolojisi alanındaki hemen hemen her uzman tarafından pratik uygulama için mevcuttur. Ek olarak, önerilen önlemlerin çoğu önemli finansal maliyetler gerektirmez.
___________________________________________
1 Rusya Federasyonu Cumhurbaşkanının 1 Aralık 2016 tarihli Rusya Federasyonu Federal Meclisine hitabı
Uzman sütunu
Çevre: Korunacak başka bir şey var mı?
Alexey
Lukatski
Bilgi güvenliği iş danışmanı
Bölgemizde oldukça muhafazakarız. Otoritelere, yaklaşımlara, ürünlere ve yıllar içinde değişmeyen terim ve tanımlara çok bağlıyız. Bilgi güvenliği çevresi, ne yazık ki o kadar modası geçmiş ki onu kullanmak neredeyse imkansız olan bir terimdir. Üstelik bilgi güvenliği çemberinin ne olduğunu bile tam olarak bilmiyoruz. Birisi, çevrenin hala kapalı bir çizgi olduğu geometri bağlamında kulağa ne kadar komik gelse de, çevreyi İnternete bağlantı noktası olarak algılar. Birisi, çevreyi bir şirket veya departman ağını özetleyen bir çizgi olarak algılar. Birisi çevreyi İnternet erişimi olan bir dizi cihaz olarak algılar.
Ancak bu tanımların her birinin açıkça artıları ve eksileri vardır ve hepsi farklıdır. Bir müteahhit temsilcisi oraya bir 3G modem aracılığıyla İnternete bağlı bir dizüstü bilgisayarla gelirse, endüstriyel bir ağın bir bölümü gibi görünüşte basit bir seçenekle bile, hatta belki de dış dünyadan fiziksel olarak izole edilmiş bir durumda bile durumu nasıl algılayabilirim? Çevre burada görünüyor mu yoksa görünmüyor mu? Ancak, bir çalışanın mobil cihazla gizli şirket verilerini depolayan harici bir buluta bağlandığı veya bu verileri işleyen bir uygulamanın çalıştığı duruma bakarsak ne olur? Burada bir çevre var mı, yok mu? Ve bir çalışan, kişisel cihazından şirketin bilgilerinin depolandığı başka birinin bulut sağlayıcı altyapısına bağlanırsa? Böyle bir durumda çevre nerede?
peki bizde var diyelim mobil cihazlar bulutlar sağlayıcıya aitken şirkete aittir. Aynı zamanda, bilebileceğimiz maksimum şey, içinde sunucularımızın, uygulamalarımızın ve verilerimizin bulunduğu bulut parçamızdır. Ancak bunlara dışarıdan, bulut sağlayıcı tarafından, diğer istemciler tarafından kim erişebilir? Böyle bir durumda, çevreyi özetlemek genellikle imkansızdır. Bu da demek oluyor ki, ne kadar istersek isteyelim, eskiden çevre koruma dediğimiz şeye yaklaşımlarımızı değiştirmek zorunda kalıyoruz. Örneğin, bazı şirketlerde yönetim, şirket çalışanının herhangi bir cihaz kullanarak dünyanın herhangi bir yerinden istediği zaman çalışabileceği kuralına bağlı kalıyor. Böyle bir kavramda tabi ki yaygın olarak kullanılan anlamda bir çevre olamaz ve bu durum korumayı tamamen farklı kılar, hayır, çevreyi değil, internet bağlantısını korumak! Yeni bir gerçekliğe hazır mısınız?
İyi çalışmalarınızı bilgi bankasına göndermek basittir. Aşağıdaki formu kullanın
Bilgi tabanını çalışmalarında ve işlerinde kullanan öğrenciler, lisansüstü öğrenciler, genç bilim adamları size çok minnettar olacaklar.
Yayınlanan http://www.allbest.ru/
- giriiş
- 1.3 Bilgi güvenliği sisteminin temel hükümleri
- 2.1 Nesneler ve koruma konuları
- 2.3 Modern bilgi güvenliği teknolojileri
- 2.4 Bilgi korumasının makullüğü
- Bilgi güvenliği alanındaki faaliyetleri düzenleyen düzenleyici belgelerin listesi:
- 3. Kurumsal bilgi sistemini korumaya yönelik önlemlerin etkinliğini artırmaya yönelik önlemlerin iyileştirilmesi Güç kaynağı mesafeleri
- 3.1 Kurumsal bir ağın korunmasını organize etmenin dezavantajları
- 3.2 Organizasyon etkinlikleri
- 3.3 mühendislik önlemleri
- Çözüm
- bibliyografik liste
giriiş
Dünya ekonomisinin modern gelişimi, piyasanın kendi içinde dolaşan önemli miktarda bilgiye artan bağımlılığı ile karakterize edilir.
Çağımızda toplum tamamen alınan, işlenen ve iletilen verilere bağımlıdır. Bu nedenle verinin kendisi yüksek bir değer kazanır. Yararlı bilginin fiyatı ne kadar yüksek olursa, güvenliği de o kadar yüksek olur.
Konunun alaka düzeyi, piyasa ekonomisinde faaliyet gösteren modern işletmelerin ekonomik mekanizmasını ve modern teknolojik gelişmelerin kullanımını iyileştirmek için kurumsal bilgi sisteminin korunmasını iyileştirmeyi amaçlayan bir dizi faktörün etkisinden kaynaklanmaktadır.
Yukarıda belirtilenler ışığında, hem Rusya'da hem de yabancı ülkelerdeki yasal düzenlemeler, her türlü bilginin oluşturulmasını, kullanılmasını, aktarılmasını ve korunmasını düzenlemeyi amaçlayan önemli sayıda norm sağlar.
Kişisel verileri, resmi sırları, ticari sırları, kısıtlı erişim bilgilerini, banka sırlarını, devlet sırlarını, içeriden bilgileri, gizli bilgileri ve diğer bilgileri içeren bilgiler özellikle değerlidir.
Bilgi güvenliği sorunu çok yönlü ve karmaşıktır ve geçerli yasal, organizasyonel ve yazılım ve donanım önlemlerinin gerekli kombinasyonunu gerektirir.
Herhangi bir bilginin sızması işletmenin faaliyetlerini etkileyebilir. Bu bilgi özel bir rol oynar, kabuğun kaybı işletmenin kendisinde büyük değişikliklere ve maddi kayıplara yol açabilir.
Kişinin günlük yaşamında, yaşamı ile ilgili bilgilerin güvenliği kendisine bağlıdır. Ancak tamamen farklı bir durum, kendimizle ilgili verileri yasaya uygun olarak üçüncü bir tarafa ve özellikle işverene vermek zorunda olduğumuz zamandır. Bu durumda, çalışan kendisi hakkındaki gizli bilgileri saklaması için aktarır. Ayrıca verilerin güvenliğinden işveren sorumludur. Çalışan hakkındaki bilgileri üçüncü şahısların eline geçmesinden korumakla ve belirtilen verilerin yayılmasından sorumlu olmakla yükümlüdür.
Bu çalışmanın amacı, bir kurumsal bilgi sisteminin koruma sistemi gereksinimlerinin belirlenmesidir.
İş görevleri:
1. Güç kaynağı mesafesinin kurumsal bilgi sistemini korumak için sistemin sorunlu sorunlarını belirleyin.
2. Güç kaynağı mesafesinin kurumsal bilgi sisteminin koruma sistemi için tehditlerin ve gereksinimlerin bir listesini oluşturun.
3. Yapıyı gerekçelendirin bilgi riskleri güç kaynağı mesafesinin kurumsal bilgi sistemi için.
4. Güç kaynağı mesafesinin kurumsal bilgi sistemini koruma verimliliğini artırmayı amaçlayan yöntemleri ve teknik araçları seçin ve gerekçelendirin.
Çalışmanın amacı, kendi binaları ve bölgesi olan Rus Demiryolları şubesinin Moskova - Smolensk Güç Kaynağı Mesafesinin kurumsal bilgi sistemi "intraneti" için tipik bir güvenlik sistemidir.
Çalışmanın konusu, güç kaynağı mesafesinin kurumsal bilgi sistemini koruma yöntemleri ve teknik araçlarıdır.
Elde edilen sonuçların pratik önemi ve uygulanması, nesnenin özelliklerini ve çeşitli bilgi ve kullanıcı kategorilerini dikkate alarak, belirli koşullara uyarlanmış bir kurumsal ağın korunmasını organize etmek için önlemler oluşturmayı mümkün kılmıştır.
A.V.'nin sorunlarını inceleyen yazarlar. Sokolov (Profesör, Moskova Elektronik Teknolojisi Enstitüsü Bilişim ve Yazılım Bölüm Başkanı) ve V.F. 1978'den günümüze Shangin (Profesör, Teknik Bilimler Doktoru) güncel konular dağıtılmış kurumsal sistemler ve kurumsal çapta ağlar kullanılırken bilgi koruması, internet koruması.
koruma bilgileri kurumsal ağ
1. Kurumsal bir ağ oluşturmanın teorik temelleri
1.1 Kurumsal bir ağın konsepti, bileşenleri, işleyişi
Kurumsal ağ, birçok farklı bileşeni içeren karmaşık bir sistemdir: masaüstü bilgisayarlardan ana çerçevelere kadar çeşitli türde bilgisayarlar, sistem ve uygulama yazılımı, ağ bağdaştırıcıları, hub'lar, anahtarlar ve yönlendiriciler ve bir kablo sistemi. Bu yazıda, Moskova-Smolensk bölgesinin intraneti ele alınacaktır. Mesafeler JSC "Rus Demiryolları" şubesinin güç kaynağı. Bu, elektrifikasyon ve güç kaynağı hizmetinin bir parçası olan demiryolunun ayrı bir yapısal alt bölümüdür. Tüm tüketicilere kesintisiz ve güvenilir güç kaynağı sağlamanın yanı sıra, hizmet verilen alandaki tüm nesne ve cihazların, iletişim ağının güvenilir şekilde çalışmasını sağlar.
İntranet işlevselliği, kurumsal basılı belgelerin yerini alan veya bilgi paylaşmak için yeni bir yol sağlayan statik Web sayfalarıyla çalışmaktan ofis sunucusu uygulamaları için karmaşık istemci arabirimlerine kadar çok geniş bir yelpazeyi kapsar.
Bir intranet için gerekli teknolojiler ve bunları uygulayan araçlar yaygındır. Bunlar şunları içerir: TCP/IP protokolü, ağ dosyası NFS sistemi(Ağ Dosya Sistemi), Web tarayıcısı (sistem arama ve görüntüleyici), Web sunucusu, HTML düzenleyici, e-posta ve benzerleri. Bilgiye erişim, IP bağlantılarına dayalıdır.
İntranet birkaç birimden oluşur. bileşenler:
1) ağ altyapısı,
2) sunucular,
3) belgeler,
4) tarayıcılar,
5) uygulamalar.
İntranet, kuruluş çalışanları için bilgilere erişim sağlayan gerekli bağlantıları sağlayan omurgadır. İntranet, bağlanmak ve veri alışverişi yapmak için TCP/IP ağ protokolünü kullanır. TCP/IP, bir ağdaki bilgisayarları benzersiz şekilde adlandırmanıza olanak tanır (bu adlara IP adresleri denir). Bu protokol aynı zamanda bilgisayarların birbirini bulabilmesi ve bağlanabilmesi için bir mekanizma sağlar. İntranet başka bir HTTP protokolü(Üstmetin transfer protokolü). Web sayfalarına işaret eden metinleri, resimleri ve köprüleri (yani diğer elektronik belgelere olan bağlantıları) iletmek için kullanılır. TCP/IP'nin bilgisayarların bir ağ üzerinde iletişim kurmasının ana yolu olduğunu ve HTTP'nin bilgi alışverişinde bulunmalarını sağlayan bir tür üst katman olduğunu söyleyebiliriz.
Sunucular. Bilgiler çoğunlukla, genellikle Web sunucuları olarak adlandırılan bilgisayarlarda bulunur. Sunucu, belgeleri depolar ve verileri aramak ve görüntülemek için kullanıcı isteklerini yerine getirir.
Belgeler. İntranet içeriği - yani görüntülenen bilgiler - belgelerde saklanır. Varsayılan olarak, gerçek metinden, biçimlendirmeyi kontrol eden etiketlerden ve diğer belgelere işaret eden köprülerden oluşan bir metin biçimi olan HTML (Köprü Metni Makyaj Dili) biçimindedirler.
Tarayıcılar. İntranet üzerinde çalışmak ve sunucularda saklanan belgeleri görüntülemek için tarayıcı adı verilen uygulamalar kullanılır. Birkaç işlevi yerine getirirler:
bilgi aramak ve bir Web sunucusuna bağlanmak;
HTML belgelerini yükleme, biçimlendirme ve görüntüleme;
tanıma ve ilgili belgelere geçiş;
Uygulamalar. Uygulamalar, şirketin belirli sorunlarını çözmek için geliştiriciler tarafından yazılır.
Çeşitli ağ ekipmanlarına ek olarak, intranet aşağıdaki yazılım bileşenlerinden oluşur:
1) şirketin faaliyetleri hakkında bilgi içeren (fiyatlar, yönetim emirleri, onay ve tartışma belgeleri vb.) ve mevcut veritabanlarına ("Depo", "Muhasebe" vb.) bağlı kuruluşun dahili Web sunucusu için yazılım;
2) işi iyileştirme önerilerini, çeşitli olaylarla ilgili raporları ve benzerlerini tartışmak için kuruluş içinde konferanslar düzenlemek için yazılım araçları;
3) E-posta işini uygulayan yazılım.
İntranette şunlar olabilir: segmentler değişen güvenlik dereceleri ile:
ücretsiz olarak kullanılabilir (çeşitli sunucular);
sınırlı erişim ile;
erişime kapatıldı.
Bir kurumsal güç kaynağı mesafe ağını, birkaç etkileşimli katmandan oluşan bir sistem olarak düşünmek uygundur. Kurumsal bir ağı temsil eden piramidin tabanında, bir bilgisayar katmanı - bilgi depolama ve işleme merkezleri ve bilgi paketlerinin bilgisayarlar arasında güvenilir bir şekilde iletilmesini sağlayan bir taşıma alt sistemi bulunur.
Şekil 1. Kurumsal ağ katmanlarının hiyerarşisi
Ağ katmanı, taşıma sistemi üzerinde çalışır. işletim sistemleri bilgisayarlardaki uygulamaların çalışmasını organize eden ve bilgisayarının kaynaklarını taşıma sistemi aracılığıyla genel kullanıma sunan.
İşletim sistemi üzerinde çeşitli uygulamalar çalışır, ancak temel kurumsal bilgileri sıralı bir biçimde depolayan ve bunlar üzerinde temel arama işlemlerini gerçekleştiren veritabanı yönetim sistemlerinin özel rolü nedeniyle, bu sınıf sistem uygulamaları genellikle şirket ağının ayrı bir katmanına tahsis edilir.
Bir sonraki aşamada, DBMS'yi disklerde depolanan milyonlarca bayt arasında gerekli bilgileri aramak için bir araç olarak kullanan, bu bilgileri son kullanıcılara karar vermeye uygun bir biçimde sağlayan ve ayrıca her türden işletme için bazı ortak bilgi işleme prosedürlerini gerçekleştiren sistem hizmetleri vardır. Bu hizmetler arasında e-posta sistemi, ekip çalışması sistemleri ve daha birçokları yer alır.
Kurumsal ağın üst seviyesi, özel yazılım sistemleriözgü görevleri yerine getiren bu işletme veya bu tür işletmeler.
Kurumsal ağın nihai hedefi, üst düzey uygulamalarda somutlaşır, ancak bunların başarılı bir şekilde çalışması için, diğer katmanların alt sistemlerinin açıkça işlevlerini yerine getirmesi gerekir.
Sistem yöneticilerinin asıl görevi, bu hantal sistemin, işletme çalışanları arasında dolaşan bilgi akışlarının işlenmesiyle mümkün olan en iyi şekilde başa çıkmasını sağlamak ve işletmenin işleyişini sağlayan zamanında ve rasyonel kararlar almalarını sağlamaktır.
Moskova-Smolensk intraneti Mesafeler Russian Railways JSC'nin güç kaynağı, harici İnternet kullanıcılarından yalıtılmıştır ve şu şekilde çalışır: otonom ağ dışarıdan erişilemeyen.
Şekil 2. Yerel ağın yapısı
1.2 Tehdit kaynaklarının ve bilgi risklerinin analizi
Şirketin tüm bilgi kaynakları, taşıyıcının veya bilginin değerinin kaybı gibi nesnel ve öznel tehditlere sürekli olarak maruz kalır. Bilgi kaybı tehdidi veya tehlikesi, kritik durumlar, olaylar yaratmak, korunan bilgiler, belgeler ve veritabanları üzerinde istikrarsızlaştırıcı bir etkiye sahip olmak için harici veya dahili tehdit kaynaklarının olumsuz yeteneklerinin tek veya karmaşık, gerçek veya potansiyel, aktif veya pasif bir tezahürü olarak anlaşılır. Kısıtlı bilgi kaynakları için, bilgi kaybını (ifşa, sızıntı) veya ortam kaybını içeren tehdit yelpazesi, çeşitli davetsiz misafirlerin bu belgelere artan ilgisinin bir sonucu olarak çok daha geniştir. Sınırlı dağıtıma sahip bilgi kaynaklarının güvenliğine yönelik ana tehdit, bir saldırganın veya yetkisiz bir kişinin belgelenmiş bilgilere yetkisiz (yasa dışı, yetkisiz) erişimi ve sonuç olarak bilgilerin edinilmesi ve yasa dışı kullanımı veya diğer istikrarsızlaştırıcı eylemlerdir. Yetkisiz erişimin amaçları ve sonuçları, yalnızca değerli bilgilerin elde edilmesi ve kullanılması değil, aynı zamanda bunların değiştirilmesi, değiştirilmesi, yok edilmesi, tahrif edilmesi, ikame edilmesi ve benzerleri olabilir. Sınırlı erişime sahip bilgi kaynaklarına yetkisiz erişim girişiminin başarılı bir şekilde uygulanmasının ön koşulu, rakiplerin, belirli kişilerin, hizmetlerin ve kuruluşların bunlara olan ilgisidir. Bilgi kaynaklarına yetkisiz erişimin ana suçlusu, kural olarak belgeler, bilgiler ve veritabanları ile çalışan personeldir. Çoğu durumda bilgi kaybı, bir saldırganın kasıtlı eylemlerinin bir sonucu olarak değil, personelin dikkatsizliği ve sorumsuzluğundan kaynaklanır.
Bu nedenle, sınırlı erişime sahip bilgi kaynaklarının kaybı şu durumlarda meydana gelebilir:
§ Belirli bilgilerde bir rakibin, kurumların, firmaların veya kişilerin çıkarlarının varlığı,
§ bir saldırgan tarafından veya rastgele koşullar altında düzenlenen bir tehdit riski;
§ Saldırganın gerekli eylemleri gerçekleştirmesine ve bilgi edinmesine izin veren koşulların varlığı.
Bu koşullar şunları içerebilir:
© tehditleri, kanalları ve bilgi kaynaklarının güvenliğinin ihlal edilme riskinin derecesini belirlemek ve incelemek için sistematik analitik ve kontrol çalışmalarının olmaması;
© verimsiz bir bilgi güvenlik sistemi veya böyle bir sistemin bulunmaması, yüksek derecede bilgi güvenlik açığı yaratır;
© gizli belgelerin işlenmesi ve saklanması için profesyonel olmayan teknoloji;
© düzensiz personel seçimi ve personel devri, takımda zor psikolojik iklim;
© kısıtlı erişim bilgilerini koruma kuralları konusunda çalışanları eğitmek için bir sistemin olmaması;
© sınırlı erişime sahip bilgi kaynaklarıyla çalışmak için düzenleyici belgelerin gerekliliklerine personelin uyumu üzerinde şirket yönetiminin bir kısmında kontrol eksikliği;
© yetkisiz kişiler tarafından şirket tesislerine kontrolsüz ziyaretler.
Belgeleme gerçeğinin bilgi tehdidi riskini önemli ölçüde artırdığı her zaman unutulmamalıdır. Geçmişin büyük ustaları, sanatlarının sırlarını hiçbir zaman yazmamış, öğrenci olan oğullarına sözlü olarak aktarmışlardır. Bu nedenle, o zamanın pek çok benzersiz ürününü üretmenin sırrı bu güne kadar açıklanmamıştır.
Tehdit içerebilecek bilgilerle gerçekleştirilen mevcut eylemler: toplama, değiştirme, sızıntı ve imha. Bu eylemler daha fazla değerlendirme için temeldir. Kabul edilen sınıflandırmaya bağlı kalarak, tüm tehdit kaynaklarını harici ve dahili olarak ayıracağız.
İç ve dış tehditler
İçeriden biri, hizmet departmanlarının aşağıdaki çalışan kategorilerinden bir kişi olabilir: hizmet personeli (donanım ve yazılımın işletilmesinden ve bakımından sorumlu sistem yöneticileri); sistem ve uygulama yazılımını destekleyen programcılar; teknik personel (hizmet odalarındaki işçiler, temizlikçiler vb.); bilgisayar veya telekomünikasyon ekipmanının bulunduğu tesislere erişim izni verilen işletme departmanlarının çalışanları.
İç tehdit kaynakları şunlardır:
Kuruluş çalışanları
· yazılım;
donanım.
Dahili tehditler kendilerini aşağıdaki şekillerde gösterebilir:
kullanıcı ve sistem yöneticilerinin hataları;
şirket çalışanları tarafından bilgilerin işlenmesi, aktarılması ve imhası için belirlenmiş düzenlemelerin ihlali;
yazılım hataları;
bilgisayarlara virüs veya kötü amaçlı yazılım bulaşması;
bilgisayar ekipmanının çalışmasındaki arızalar ve arızalar.
Dış ihlal edenler, işletme çalışanları tarafından kontrol edilmeden ekipmanla tesiste kalması imkansız olan kişileri içerir.
Harici bir davetsiz misafir, bilgi sistemi ekipmanından gelen elektromanyetik radyasyonu yakalar ve analiz eder.
İLE dış kaynaklar tehditler şunları içerir:
kuruluşlar ve bireyler;
· Doğal afetler;
· Teknoloji kaynaklı kazalar;
Terör eylemleri yapmak.
Dış tehditlerin tezahür biçimleri şunlardır: müdahale; bilgilerin analizi ve değiştirilmesi; kurumsal bilgilere yetkisiz erişim; rakip yapılar, istihbarat ve özel servisler tarafından bilgi izleme; kazalar, yangınlar, insan yapımı felaketler.
Listelediğimiz tüm tehdit türleri (tezahür biçimleri), kasıtlı ve kasıtsız, bir tehdidin ortaya çıkmasıyla ilgilenen ve ilgilenmeyen kişiler olarak ayrılabilir.
Kasıtlı etkiler, bir saldırganın meraktan kaynaklanan amaçlı eylemleridir; bilgisayar korsanı saldırısı; çalışanın yaralı gururu, terör eylemleri gerçekleştirmeye teşebbüs. Bir çalışan, bir ziyaretçi, bir rakip, bir paralı asker, teknik personel (çalışan ek binalar, temizlikçiler vb.) saldırgan olarak hareket edebilir.
İşletme sırasında kasıtsız kazai etkilerin nedenleri şunlar olabilir: doğal afetler ve elektrik kesintilerinden kaynaklanan acil durumlar (doğal ve insan kaynaklı etkiler); ekipman arızaları ve arızaları; yazılım hataları; personel çalışmalarındaki hatalar; çevresel etkiler nedeniyle iletişim hatlarında parazit.
Bilgi güvenliği nesnelerini etkileme yollarına göre, tehditler şu sınıflandırmaya tabidir: bilgilendirme, yazılım, fiziksel, radyo-elektronik ve organizasyonel ve yasal.
Bilgi tehditleri şunları içerir:
- bilgi kaynaklarına yetkisiz erişim;
- bilgi sistemlerinde verilerin yasa dışı kopyalanması;
- kütüphanelerden, arşivlerden, bankalardan ve veritabanlarından bilgi hırsızlığı;
- bilgi işleme teknolojisinin ihlali;
- bilgilerin yasa dışı toplanması ve kullanılması.
Yazılım tehditleri şunları içerir:
- yazılımdaki hataların ve "deliklerin" kullanımı;
- bilgisayar virüsleri ve kötü amaçlı yazılımlar;
- "ipotek" cihazlarının kurulumu.
Fiziksel tehditler şunları içerir:
- bilgi işleme ve iletişim araçlarının imhası veya imhası;
- bilgi taşıyıcılarının çalınması;
- yazılım veya donanım anahtarlarının ve kriptografik veri koruma araçlarının çalınması;
- Personel üzerindeki etkisi.
Elektronik tehditler şunları içerir:
- giriiş elektronik aletler teknik araçlarda ve tesislerde bilgilerin ele geçirilmesi;
- iletişim kanallarındaki bilgilerin ele geçirilmesi, şifresinin çözülmesi, değiştirilmesi ve yok edilmesi.
Kurumsal ve yasal tehditler şunları içerir:
- kusurlu veya güncelliğini yitirmiş bilgi teknolojilerinin ve bilişim araçlarının satın alınması;
- yasal gerekliliklerin ihlali ve bilgi alanında gerekli yasal ve düzenleyici kararların alınmasında gecikme.
Bir ticari sır oluşturan bilgileri belirledikten ve bu bilgilere sahip olan, sahip olan veya içeren kaynakları belirledikten sonra, bu bilgilere yetkisiz erişim yöntemleri, gizli bilgi kaynaklarına yetkisiz erişim için yukarıdaki temel yöntemler kümesinden seçilerek belirlenir.
Gizli bilgilerin sızması için aşağıdaki olası kanallar ayırt edilebilir (Şekil 3):
gizli bilgilerin izinsiz olarak harici ortama kopyalanması ve işletmenin kontrol edilen bölgesi dışına çıkarılması. Bu tür ortamlara örnek olarak disketler, CD-ROM'lar, Flash diskler vb. verilebilir;
gizli bilgilerin yazdırılması ve basılı belgelerin kontrollü bölge dışına çıkarılması.
Bu durumda, hem saldırganın bilgisayarına doğrudan bağlı olan yerel yazıcıların hem de ağ üzerinden etkileşime giren uzak yazıcıların kullanılabileceğine dikkat edilmelidir;
gizli bilgilerin ağ üzerinden kuruluşun kontrol edilen bölgesi dışında bulunan harici sunuculara yetkisiz olarak iletilmesi. Örneğin, bir saldırgan hassas bilgileri harici intranet posta veya dosya sunucularına aktarabilir. Aynı zamanda, saldırgan eylemlerini gizlemek için önce gönderilen bilgileri şifreleyebilir veya standart grafik dosyaları kisvesi altında aktarabilir.
Bilgi riskleri, en dar tanımla, bilgi sistemlerinin işleyişindeki aksaklıklar nedeniyle bilgilerin yetkisiz kişilerce değiştirilmesi veya kayıplara yol açacak şekilde arızalanması riskleridir. Bilgi güvenliği, bilgi ortamının güvenlik durumudur. Bilgi koruma, korunan bilgilerin sızmasını, korunan bilgiler üzerindeki yetkisiz ve kasıtsız etkileri önlemeye yönelik bir faaliyet, yani bu duruma ulaşmayı amaçlayan bir süreçtir.
Minimum bilgi riski sağlanırsa, güç kaynağı mesafesi kuruluşunun bilgi güvenliği sağlanacaktır. Günlük faaliyetlerde kullanılacak bilgiler, işletme yönetiminden doğru karar vermek için gerekli olan nesnel bilgilerin (gizli bilgiler dahil) eksikliği ve ayrıca işletmenin faaliyetleri için kârsız veya tehlikeli olan bilgilerin dış ortamda birileri tarafından yayılması.
Bu sorunu sistematik bir yaklaşım açısından çözmek için, işletmede, işletmenin işleyişi için gerekli bilgilerin sızması ve imha edilmesi risklerinin en aza indirilmesini sağlayan birbirine bağlı bir dizi organ, araç, yöntem ve önlem olan bir bilgi riskini en aza indirme sisteminin geliştirilmesi ve uygulanması tavsiye edilir. Herhangi bir kuruluşun ana bilgi riskleri şunlardır:
işletmenin işleyişi için gerekli bilgilerin sızması ve imha edilmesi riski;
işletmenin faaliyetlerinde taraflı bilgi kullanma riski;
şirket yönetiminin doğru kararı vermek için gerekli (gizli bilgiler dahil) bilgilere sahip olmaması riski;
işletme için kârsız veya tehlikeli olan bilgilerin dış ortamda birileri tarafından yayılma riski.
Bilgi riski minimizasyon sistemi tarafından çözülen ana görevler şunlardır:
korunacak bilgilerin tanımlanması;
bu bilgilere sahip olan, sahip olan veya bu bilgileri içeren kaynakların belirlenmesi;
bu bilgilere yetkisiz erişimin yollarını belirlemek;
gizli bilgileri korumak için organizasyonel ve teknik önlemlerin geliştirilmesi ve uygulanması.
Güç kaynağı mesafesi kuruluşunun bilgisi, aşağıdaki dört önem seviyesinde olabilir:
önemsiz, yani sızıntısı veya imhası işletmeye zarar vermeyen ve işleyiş sürecini etkilemeyen bilgiler.
İşletmenin işleyişi için gerekli bilgilerin sızması ve imha edilmesi riski aşağıdaki sonuçları doğurur:
yetkisiz kişilere aktarılması veya sızması işletmeye ve personeline zarar verecek gizli bilgiler;
Yokluğu veya zarar görmesi, personelin ve bir bütün olarak tüm işletmenin günlük çalışmasını imkansız kılacak kritik bilgiler.
Açıkçası, ilk üç önem düzeyine ait bilgiler korunmalı ve genel durumda koruma derecesi, bilgilerin önem düzeyine göre belirlenmelidir. Bunun başlıca nedeni, koruma derecesinin uygulama maliyetiyle doğrudan ilişkili olmasıdır, bu nedenle, genel durumda, sızıntı veya imha önemsiz hasara yol açıyorsa, bilgileri pahalı koruma araçlarıyla korumak ekonomik olarak mümkün değildir.
İlk üç seviyenin bilgileri, kural olarak, ticari bir sır ile ilgilidir ve işletme başkanı tarafından 05 Aralık 1991 tarihli ve 35 sayılı "Ticari sır teşkil edemeyecek bilgiler listesinde" Rusya Federasyonu Hükümeti Kararnamesi uyarınca belirlenir.
Ticari sır teşkil eden bilgileri tespit etme, bu bilgilere sahip olan, sahip olan veya içeren kaynakları tespit etme prosedürü aşağıdaki gibi olmalıdır.
İşletmenin emriyle daire başkanları, kendi çalışma alanlarında ticari sır oluşturan belirli bilgileri, bu bilgilere kabul edilen kişileri ve bu bilgilerin taşıyıcılarını belirlemek için çalışma yapmakla yükümlüdür.
Bu çalışmanın sonucu, yapısal bölümlerin her biri için bu tür bilgilerin bir göstergesi ile "işletmenin ticari sırrını oluşturan bilgilerin listesi" işletme başkanı tarafından onaylanmalıdır; bu bilgilerin taşıyıcıları olan kişiler; bu bilgileri içeren belgeler ve varsa bu bilgilerin diğer (teknik) taşıyıcıları.
1.3 Bilgi güvenliği sisteminin temel hükümleri
Bilgi alanındaki işlerin durumunun bir analizi, iyi biçimlendirilmiş bir koruma kavramının ve yapısının halihazırda oluşturulduğunu göstermektedir; bunun temeli:
endüstriyel bazda üretilen bilgileri korumak için oldukça gelişmiş teknik araçlar cephaneliği;
bilgi güvenliği sorunlarını çözmede uzmanlaşmış önemli sayıda firma;
bu sorun hakkında oldukça iyi tanımlanmış bir görüş sistemi;
önemli pratik deneyim.
Ve yine de, yerli ve yabancı basının ifade ettiği gibi, bilgi içeren kötü niyetli eylemler sadece azalmakla kalmıyor, aynı zamanda oldukça istikrarlı bir yükseliş eğilimi gösteriyor. Deneyimler, bu eğilimle mücadele etmek için aşağıdakilerin gerekli olduğunu göstermektedir:
1. Bilgi kaynaklarını koruma sürecinin iyi organize edilmiş ve amaçlı bir organizasyonu. Ayrıca profesyonel uzmanların, yönetimin, çalışanların ve kullanıcıların buna aktif olarak katılması, konunun organizasyonel tarafının artan önemini belirlemektedir. Ayrıca bilgi güvenliğinin sağlanması tek seferlik bir işlem olamaz. Bu, koruma sistemini iyileştirmek ve geliştirmek için en rasyonel yöntemlerin, yolların ve araçların kanıtlanmasından ve uygulanmasından, sürekli olarak durumunun izlenmesinden, darboğazlarının ve zayıflıklarının ve yasa dışı eylemlerin belirlenmesinden oluşan sürekli bir süreçtir;
2. Bilgi güvenliği, yalnızca üretim sisteminin tüm yapısal öğelerinde ve teknolojik bilgi işleme döngüsünün tüm aşamalarında mevcut koruma araçlarının tüm cephaneliğinin entegre kullanımı ile sağlanabilir. En büyük etki, kullanılan tüm araçlar, yöntemler ve önlemler bilgi güvenliği sisteminin (IPS) tek bir bütünsel mekanizmasında birleştirildiğinde elde edilir. Aynı zamanda, dış ve iç koşullardaki değişikliklere bağlı olarak sistemin işleyişi izlenmeli, güncellenmeli ve desteklenmelidir.
Bu nedenle, bilgi güvenliği sistemini, bilgilerin iç ve dış tehditlerden korunmasını sağlayan bir dizi özel organ, araç, yöntem ve önlem olarak sunmak mümkündür.
Şekil 4. Yapım modeli kurumsal sistem bilgi Güvenliği
Bilgi güvenliğine sistematik bir yaklaşım açısından bakıldığında, belirli gereksinimler uygulanır. Bilgi güvenliği şu şekilde olmalıdır:
1. Sürekli. Bu gereklilik, saldırganların yalnızca ilgilendikleri bilgilerin korumasını atlatmak için fırsat kollamalarından kaynaklanmaktadır.
2. Planlı. Planlama, işletmenin (kuruluşun) genel amacı dikkate alınarak, kendi yetkinlik alanındaki her hizmet için ayrıntılı bilgi güvenliği planları geliştirilerek gerçekleştirilir.
3. Odaklanmış. Belirli bir amacın çıkarları doğrultusunda korunan korunur, her şey üst üste değil.
4. Spesifik. Objektif olarak korumaya konu olan ve kaybı kuruluşa belirli zararlar verebilecek belirli veriler korumaya tabidir.
5. Aktif. Bilgiyi yeterli derecede kalıcılıkla korumak gerekir.
6. Güvenilir. Koruma yöntemleri ve biçimleri, sunum biçimi, ifade dili ve türü ne olursa olsun, korunan sırlara sürekli erişimin olası yollarını güvenilir bir şekilde engellemelidir. fiziksel taşıyıcı bağlı oldukları.
7. Evrensel. Sızıntı kanalının türüne veya yetkisiz erişim yöntemine bağlı olarak, bilginin doğası, biçimi ve türü ne olursa olsun, göründüğü yerde makul ve yeterli yollarla engellenmesi gerektiğine inanılmaktadır.
8. Kapsamlı. Her türlü yapısal elemandaki bilgileri korumak için, her türlü koruma türü ve şekli eksiksiz olarak uygulanmalıdır. Yalnızca bireysel formların veya teknik araçların kullanılması kabul edilemez.
Korumanın karmaşık doğası, korumanın, her biri sırayla birbirini karşılıklı olarak belirleyen birçok farklı yönü, özelliği ve eğilimi olan, ayrılmaz bir şekilde birbiriyle ilişkili süreçlerin karmaşık bir sistemi olan belirli bir olgu olduğu gerçeğinden kaynaklanmaktadır.
Bu nedenle, bu tür çok yönlü güvenlik gereksinimlerinin karşılanmasını sağlamak için bilgi güvenliği sisteminin belirli koşulları karşılaması gerekir:
bilgi faaliyetlerinin tüm teknolojik kompleksini kapsamak; kullanılan araçlara göre farklılık gösterebilir,
hiyerarşik erişim sırasına sahip çok düzeyli; bilgi güvenliği önlemlerinde değişiklik ve eklemelere açık olun;
standart dışı, çeşitli olmak, koruma araçlarını seçerken, davetsiz misafirlerin yeteneklerine ilişkin cehaletine güvenilemez;
bakımı kolay ve kullanıcıların çalıştırması kolay;
güvenilir olun, teknik araçlardaki herhangi bir arıza, kontrolsüz bilgi sızıntısı kanallarının ortaya çıkmasına neden olur;
karmaşık olmalı, bütünlüğe sahip olmalı, yani tüm sisteme zarar vermeden hiçbir parçası çıkarılamaz.
Bilgi güvenliği sistemi için belirli gereksinimler vardır:
kullanıcının yetkilerinin ve belirli bilgilere erişim haklarının tanımının netliği;
kullanıcıya atanan işi yapması için gereken minimum yetkiyi sağlamak;
birkaç kullanıcı için ortak olan koruma sayısının en aza indirilmesi;
gizli bilgilere yetkisiz erişim vakalarını ve girişimlerini kaydetmek;
bilgilerin gizlilik derecesinin bir değerlendirmesinin sağlanması;
koruyucu ekipmanın bütünlüğünün kontrolünün sağlanması ve arızalarına anında müdahale edilmesi.
Bir bilgi güvenliği sistemi, herhangi bir sistem gibi, amaçlanan işlevini yerine getireceğine bağlı olarak belirli türlerde kendi desteğine sahip olmalıdır. Bunu akılda tutarak, bilgi güvenliği sistemi şunlara sahip olabilir:
1. Yasal destek. Bu, kapsam normlarında gereklilikleri zorunlu olan normatif belgeleri, düzenlemeleri, talimatları, yönergeleri içerir.
2. Kurumsal destek. Bu, bilgi korumasının uygulanmasının, belge koruma hizmeti gibi belirli yapısal birimler tarafından yürütüldüğü anlamına gelir; rejim, kabul ve güvenlik hizmeti; teknik yollarla bilgi güvenliği hizmeti; bilgi hizmeti ve analitik faaliyetler ve diğerleri.
3. Donanım. Hem bilgilerin korunması hem de bilgi güvenliği sisteminin işleyişinin sağlanması için teknik araçların yaygın olarak kullanılacağı varsayılmaktadır.
4. Bilgi desteği. Sistemin işleyişini sağlayan sorunların çözümünün altında yatan bilgileri, verileri, göstergeleri, parametreleri içerir. Bu, bilgi destek hizmetinin faaliyetleriyle ilgili çeşitli yerleşim görevleri için erişim, muhasebe, depolama ve bilgi destek sistemlerinin her iki göstergesini içerebilir.
5. Yazılım. Çeşitli sızıntı kanallarının ve gizli bilgi kaynaklarına yetkisiz erişim yollarının varlığı ve tehlikesi hakkında bir değerlendirme sağlayan çeşitli bilgi, muhasebe, istatistik ve ödeme programları içerir;
6. Matematiksel destek. Davetsiz misafirlerin teknik araçlarının tehlikesinin, bölgelerinin ve gerekli koruma normlarının değerlendirilmesine ilişkin çeşitli hesaplamalar için matematiksel yöntemlerin kullanılmasını içerir.
7. Dil desteği. Bilgi güvenliği alanında uzmanlar ve kullanıcılar arasında bir dizi özel dil iletişim aracı.
8. Düzenleyici ve metodolojik destek. Bu, kurumların faaliyetleri, hizmetleri, bilgi güvenliği işlevlerini yerine getiren araçlar, katı bilgi güvenliği gereklilikleri altında çalışmalarını gerçekleştirirken kullanıcıların faaliyetlerini sağlayan çeşitli yöntemler için normları ve düzenlemeleri içerir.
Yalnızca bir güvenlik sistemi, bir kuruluşun faaliyetlerini sağlamak ve gizli bilgilerini korumak için modern gereksinimleri karşılayabilir. Güvenlik sistemi kapsamında, bireyin, işletmenin ve devletin hayati çıkarlarının iç ve dış tehditlerden korunmasını sağlayan örgütsel özel organlar, hizmetler, araçlar, yöntemler ve önlemler kümesini anlayacağız.
Herhangi bir sistem gibi, bilgi güvenliği sisteminin de koşullara bağlı olarak yer ve zamanda koordine edilen kendi amaçları, hedefleri, yöntemleri ve faaliyet araçları vardır.
Bilgi güvenliğini "toplumun bilgi ortamının korunma durumu, vatandaşların, kuruluşların çıkarları doğrultusunda oluşumunu, kullanımını ve gelişimini sağlama" olarak anlayarak, bilgi güvenliğine yönelik tehditleri, bu tehditlerin kaynaklarını, uygulama yöntemlerini ve amaçlarını ve ayrıca güvenliği ihlal eden diğer koşul ve eylemleri belirlemek meşrudur. Aynı zamanda, elbette, bilgileri zarara yol açan yasa dışı eylemlerden korumaya yönelik önlemler de dikkate alınmalıdır.
Uygulama, böylesine önemli bir dizi kaynağı, nesneyi ve eylemi analiz etmek için, gerçek durumlar için bir "ikame" oluşturan modelleme yöntemlerinin kullanılmasının tavsiye edildiğini göstermektedir. Modelin orijinali kopyalamadığı, daha basit olduğu unutulmamalıdır. Model, karmaşıklıklarını dikkate alarak gerçek eylemleri tanımlayacak kadar genel olmalıdır.
sonuçlar: Yabancı ve yerli deneyimlerin kanıtladığı gibi, yeni bilgi teknolojilerinin işletmelerin uygulamalarına giderek daha fazla girmesine rağmen, bilgi sızıntısının ana kaynağı bu işletmelerin çalışanlarıdır.
Bu nedenle, böyle bir durumla ilgili olarak, kuruluşta sınırlı erişime sahip bu bilgi kaynağına yetkisiz erişimi tamamen dışlayan koşullar yaratmanın pratikte imkansız olduğunu anlamak gerekir, yalnızca diğer gizli bilgi sızıntısı kaynakları arasındaki rolünü önemli ölçüde azaltmak mümkündür.
Bu nedenle, kısıtlanmış bilgilere yönelik tehditler her zaman gerçektir, çok çeşitlidir ve bilgi kaybı için ön koşulları oluşturur.
Computer Security Institute (CSI) ve FBI'a göre izinsiz girişlerin %50'den fazlası şirketin kendi çalışanlarının işidir. İzinsiz girişlerin sıklığı ile ilgili olarak, ankete katılanların %21'i "saldırıların" tekrarını yaşadıklarını belirtti. Yetkisiz veri değişikliği, en yaygın saldırı biçimiydi ve çoğunlukla tıp ve finans kurumlarına karşı kullanılıyordu. Ankete katılanların %50'den fazlası rakipleri olası bir "saldırı" kaynağı olarak görüyor. Katılımcılar, dinleme, bilgi sistemlerine sızma ve "davetsiz misafirlerin" aramaları ilgisiz kişilere yönlendirmek için iade adresini tahrif ettiği "saldırılar" olgularına en büyük önemi veriyor. Bu failler çoğunlukla gücenmiş çalışanlar ve rakiplerdir.
Bilgi risklerinin analizi, bunların gizli bilgilerle ilişkili olduğunu göstermektedir.
Yeterince dikkate alınmayan nedenlerden bazıları, örneğin, işletme başkanına karşı kişisel düşmanlık, işletmeler arasındaki ticari ilişkilerin bozulması, medyada işletme için kârsız ve bazı durumlarda tehlikeli bilgilerin görünmesine yol açabilir. Bu nedenle, bu bilgilerin rakip işletmeler tarafından yayılma riskini ortadan kaldırmak veya en azından azaltmak için, proaktif olarak bazı doğru bilgileri ve bazı durumlarda yanlış bilgileri yaymak gerekir.
Konunun detaylandırılmasına rağmen, bilgi risk yönetimi sisteminin iyileştirilmesi sürecinde her zaman birçok soru vardır. Bir risk analizi süreci oluşturmanın amacı, yalnızca bunları belirlemek, olası uygulamalarının sonuçlarını değerlendirmek, işlenmesini sağlamak ve ardından sistematik olarak daha fazla etkili izleme yapmak değildir. Ama aynı zamanda şirket faaliyetlerinin tüm yönlerinde risklere yaklaşımın standardizasyonunu sağlamada, uygun ve hızlı makbuz faaliyetinin herhangi bir döneminde şirketteki bilgi riskleri ile durumun bütünsel bir resmi. Ayrıca ortaya çıkan tüm yeni tehditlere hızlı ve yeterli yanıt vererek şirketin rekabetçi çekiciliğini artırmada, şirket içinde iş ve güvenlik arasındaki güveni artırmada.
2. Kurumsal bilgi sisteminin korunmasının organizasyonu Standart çözümlere dayalı güç kaynağı mesafeleri
2.1 Nesneler ve koruma konuları
Güç Kaynağı Mesafesi için yaşam için önemli olan ve dolayısıyla korunan kaynaklar şunlardır:
1) insanlar (işletme personeli);
2) mülkiyet: belgeler, malzeme ve finansal değerler, bitmiş ürün numuneleri, fikri mülkiyet (know-how), bilgisayar ekipmanı ve daha fazlası;
3) Bilgi: fiziki ortamlar üzerinde ve kurum içi iletişim kanallarında dolaşan bilgi ve iletişim, işletme yönetiminin ofislerinde, toplantı ve oturumlarda;
4) İşletmenin verimli ve sürdürülebilir gelişimini sağlayan finansal ve ekonomik kaynaklar (ticari çıkarlar, iş planları, sözleşme belgeleri ve yükümlülükler vb.).
Kısıtlanmış bilgiler, bankacılık sırları, kişisel veriler, resmi sırlar, ticari sırlar, devlet sırları, içeriden öğrenilen bilgiler ve haklarında zorunlu bir gizlilik rejimi ve ifşa sorumluluğu tesis edilen diğer bilgiler gibi korumaya tabi değerler.
Aynı değer, işletmenin faaliyetleri ile ilgili bilimsel, teknik ve teknolojik bilgiler gibi kurumsal bilgi ağında oluşturulan veya kullanılan verilerdir.
Ticari sır teşkil eden bilgilerin tam listesi, ilgili düzenlemelere ek olarak bilgi koruma servislerinin başkanları tarafından oluşturulur.
"Gizli" kategorileri, aşağıdaki kriterleri karşılayan bilgileri içerir:
genel olarak bilinmiyor veya yasal olarak kamuya açık değiller;
bu bilgilerin tekel mülkiyetinde olması kuruluşa ticari avantajlar, ekonomik ve diğer faydalar sağlar ve ifşa edilmesi veya açık kullanımı kuruluşa, müşterilerine veya muhabirlerine (ticari sır) zarar verebilecek (maddi, manevi, fiziksel) olabilir.
bankacılıkgizli zorunlu korumaya tabi olan Banka'nın işlemleri, hesapları ve mevduatları, banka bilgileri ile müşterileri ve muhabirleri hakkında bilgileri ifade eder.
Hizmetgizli devlet makamları ve federal yasalar tarafından erişimi kısıtlanan bilgilere atıfta bulunur ve bir bankacılık sırrı olmayan ve kısıtlanmış bilgiler listesine göre zorunlu korumaya tabi olan bilgilere atıfta bulunur.
Reklamgizli organizasyon, üçüncü şahıslarca bilinmemesi nedeniyle gerçek veya potansiyel ticari değeri olan, yasal olarak ücretsiz erişimin olmadığı ve bu tür bilgilerin sahibinin ticari sır rejimi getirdiği bilimsel, teknik, teknolojik, endüstriyel, finansal ve ekonomik veya diğer bilgilerle ilgili bilgileri ifade eder. Rus Demiryolları'nın kuruluşuna, devletine, müşterilerine veya muhabirlerine, karşı taraflarına zarar verebilecek ifşa (aktarım, sızıntı, açık kullanım).
Kişiselveri vatandaşların özel hayatlarına ait gerçekler, olaylar ve durumlar hakkında kişiliğini belirlemeye olanak sağlayan bilgileri ifade eder.
Durumgizli- Rus mevzuatında kabul edilen tanıma göre, yayılması devletin güvenliğine zarar verebilecek askeri, dış politika, ekonomik, istihbarat, istihbarat, karşı istihbarat, operasyonel arama ve diğer faaliyetler alanında devlet tarafından korunan bilgiler.
içeridenbilgi- (İng. İçeriden bilgi) - açıklanması halinde şirketin menkul kıymetlerinin piyasa değerini etkileyebilecek, şirketin kamuya açıklanmamış önemli içeriden bilgileri. Bunlar şunları içerir: yaklaşmakta olan bir liderlik değişikliği ve yeni bir strateji hakkında bilgiler, yeni bir ürün ve yeni teknoloji için hazırlıklar, bir birleşme için başarılı müzakereler veya kontrol eden bir hissenin devam eden satın alınması; finansal tablolar, şirketin zorluklarını gösteren tahminler; kamuya açıklanmadan önce ihaleye teklif (açık artırmada) hakkında bilgi vb.
Bilgisınırlıerişim sahibi için değeri olan ve erişimi yasal olarak kısıtlanmış bilgidir. Buna karşılık, kısıtlı erişim bilgileri, bir devlet sırrı oluşturan bilgilere ve gizliliği federal yasa tarafından belirlenen bilgilere (gizli bilgiler) ayrılır.
YasalVereferansbilgi, ticari yazışmalar, mali, ekonomik ve teknik departman için otomatikleştirilmiş SAP R / 3 sistemleri çerçevesinde kullanıcı iş istasyonları ile bir veritabanı sunucusu arasında raporlama muhasebesi bilgilerinin aktarımı.
Kurumsal bilgilere aşağıdaki dört önem düzeyi atanabilir:
hayati, yani sızması veya yok olması işletmenin varlığını tehdit eden bilgiler;
önemli, yani bilgi, sızıntı veya imhası yüksek maliyetlere yol açan;
yararlı, yani sızıntısı veya imhası bir miktar hasara neden olan, ancak bundan sonra işletme oldukça etkili bir şekilde çalışabilen bilgiler;
önemsiz, yani sızıntısı veya imhası işletmeye zarar vermeyen ve işleyiş sürecini etkilemeyen bilgiler.
2.2 Bilgi güvenliği sistemindeki kurumsal önlemler
Organizasyonel ve yasal belgeler ve yöntemler, Rus Demiryollarının tüm teknolojik çalışma döngüsünü, personel seçme ve onları örneğin sözleşme bazında işe alma metodolojisinden herhangi bir çalışanın işlevsel görevlerine ilişkin hükümlere kadar düzenler. Her tesis talimatı veya yönetmeliği, güvenlik konularını doğrudan veya dolaylı olarak dikkate almalı ve koruma sisteminin çalışabilirliğini ve etkinliğini etkilemelidir.
Çeşitli türden belgeler, gizli bilgilerin sızması için önemli bir kaynaktır. Burada, bilgi teknolojilerindeki oldukça hızlı gelişimin, yeni belge bilgi taşıyıcı türlerinin ortaya çıkmasına yol açtığını hesaba katmak gerekir: bilgisayar çıktıları, bilgi taşıyıcılar ve benzerleri. Aynı zamanda, sözleşmeler, mektuplar ve analitik incelemeler gibi ticari faaliyetlerde geleneksel kağıt tabanlı belge türlerinin önemi neredeyse hiç değişmemiştir.
Yeni belgesel bilgi taşıyıcılarının ortaya çıkması, yalnızca bilgilerin içeriğine yetkisiz erişime karşı korunmasını sağlama sorununu çözmede yeni zorlukların ortaya çıkmasına değil, aynı zamanda bu bilgilerin garantili bir şekilde korunmasını sağlamak için yeni fırsatların ortaya çıkmasına da yol açmıştır. Bu öncelikle medya üzerinde özellikle önemli belgesel bilgileri kriptografik dönüşümler kullanılarak dönüştürülmüş bir biçimde depolamakla ilgilidir.
Bu önlemlerin bir parçası olarak, gizli bilgi kaynaklarının bir listesini ve buna karşı koymak için uygulanması gereken önlemlerin bir listesini tanımlayan, Güç Kaynağı Mesafesinde kurumsal ve idari belgeler geliştirildi ve uygulandı.
Kurumsal belgeler, bilgi güvenliği politikası, şirket çalışanlarının görev tanımları, kişisel bilgisayarda çalışmaya ilişkin düzenlemelerdir.
Bu amaçla, JSC "Rus Demiryolları" aşağıdaki organizasyonel görevleri çözdü:
Bilgilerin korunmasını sağlamak için yasal çerçeve aşağıdakilerin uygulanması yoluyla oluşturulmuştur:
- işletmenin Tüzüğüne eklemeler yapmak, işletmenin yönetim hakkını vermek: ticari sır oluşturan bilgileri belirleme prosedürünü ve korunma mekanizmalarını düzenleyen düzenleyici ve idari belgeler yayınlamak;
- "Toplu Sözleşme"ye, ticari sırların belirlenmesi ve korunmasına yönelik önlemlerin geliştirilmesi ve uygulanmasına ilişkin işletme idaresi ve çalışanlarının görevlerini belirleyen hükümler eklenmesi;
- "İş Sözleşmesine" ticari sırların korunmasına ilişkin gereklilikler ve ticari sırların korunmasına ilişkin gereklilikler dahil olmak üzere iç düzenlemelere yapılan eklemeler;
- işe alınan kişilere, yazılı bir ifşa etmeme yükümlülüğünün yerine getirilmesiyle ticari sırları koruma kuralları konusunda talimat vermek.
- ticari sırların korunması gerekliliklerini ihlal edenleri yürürlükteki yasalara uygun olarak idari veya cezai sorumluluğa getirmek.
- her türlü ekonomik faaliyet için yapılan sözleşmelerde ticari sırların korunmasına ilişkin gereklilikleri dahil etmek;
- teşebbüsün çıkarlarının devlet ve adli makamlar nezdinde korunmasını talep etmek;
- işletmeye fayda sağlamak ve ekonomik zararı önlemek için işletmenin mülkiyetindeki bilgileri elden çıkarmak;
- kısıtlanmış erişim bilgilerinin korunmasına yönelik kurallar konusunda çalışanları eğitmek;
- ofis çalışma sisteminde çalışacak çalışanların dikkatli seçimi;
- ticari sırların korunması için işletmede elverişli iç koşulların yaratılması;
- ekipteki zor psikolojik iklimi, personel değişimini belirleyin ve dengeleyin;
- bilgilerin gizlilik derecesinin değerlendirilmesinin sağlanması;
- korunması için belirlenmiş gereklilikleri ihlal eden kişilerin ticari sırlarıyla ilgili işten çıkarılması;
- işletmenin her çalışanına "işletmenin ticari sırrını oluşturan bilgi listesinin" getirilmesi;
- belgelerin güvenilir bir şekilde saklanmasını ve zamanında imha edilmesini sağlamanın yanı sıra belgelerin mevcudiyetini kontrol etme ve bunların yerine getirilmesinin zamanında ve doğruluğunun izlenmesi;
- Belgelerin taslakları ve versiyonları, imha edilmesinden şahsen sorumlu olan uygulayıcı tarafından şahsen imha edilir. İmha, standart kağıt kesme makinelerinde veya okuma olasılığını dışlayan diğer şekillerde gerçekleştirilir.
- gizli bilgilerin medyada ve kişisel bir bilgisayarın belleğinde kriptografik dönüşümler kullanılarak dönüştürülmüş bir biçimde depolanması.
Bu nedenle, bu bilgi kaynağına yetkisiz erişimi engellemek için hem geleneksel hem de geleneksel olmayan yöntemler kullanılır, yani:
· bölge, bina ve ofislerin korunmasının yanı sıra bunlara erişim üzerinde etkili girdi kontrolünün uygulanması;
Ofis çalışma sisteminin net bir organizasyonunun uygulanması.
Ticari sır oluşturan bilgiler şunları içerir:
- mali ve ekonomik faaliyetler hakkında bilgi;
- operasyonel ve üretim faaliyetleri hakkında bilgi;
- yönetim faaliyetleri hakkında bilgi;
- personel faaliyetleri hakkında bilgi;
- kontrol ve denetim faaliyetleri hakkında bilgi;
- sinyalizasyon ve iletişim, elektrifikasyon, enerji hakkında bilgiler;
- sözleşmeli iş hakkında bilgi;
- kendi araştırmalarının sonuçları hakkında bilgi;
- tıbbi faaliyetler hakkında bilgi;
- Rus Demiryollarının bilgi ve nesnelerinin korunmasına ilişkin bilgiler.
Kuruluşun bilgisayarlarının ve telekomünikasyon kaynaklarının, bağımsız yükleniciler olan çalışanları tarafından amaçlandığı şekilde kullanıldığından emin olun. Tüm bilgisayar kullanıcılarının bilgisayar kaynaklarını verimli, etik ve yasalara uygun şekilde kullanma sorumluluğu vardır. Kurumsal güvenlik politikasının ihlal edilmesi, iş akdinin feshi ve/veya cezai kovuşturma dahil olmak üzere disiplin cezasıyla sonuçlanacaktır.
Güvenlik politikası zaten herkesin anladığı alışılagelmiş kurallar değil. Ciddi bir basılı belge şeklinde sunulur. Ve kullanıcılara sürekli olarak güvenliğin önemini hatırlatmak için, her çalışanın bu belgenin bir kopyası vardır, böylece bu kurallar masaüstünde her zaman gözlerinin önündedir.
kurumsal güvenlik politikası
· Banka'nın bankacılık, ticari ve resmi sırlarını oluşturan bilgilere serbest erişim, gizli bilgilerin korunması ve taşıyıcılarının fiziksel olarak korunması amacıyla kapatılmıştır.
· Kuruluş, bilgi sahibi (sahibi) olarak, yürürlükteki mevzuatın kendisine tanıdığı hak ve yükümlülükler çerçevesinde bankacılık sırlarını, kişisel verileri, ticari sırları, ticari sırları ve diğer bilgileri korumaya yönelik tedbirleri alır.
Benzer Belgeler
Şirketin ticaret ve personel yönetim sisteminin analizi, muhasebe, kişisel verilerin kurumsal bilgi sisteminin güvenlik düzeyi. Yönlendirme, anahtarlama ve ISPD güvenlik duvarını korumak için bir teknik önlemler alt sisteminin geliştirilmesi.
dönem ödevi, 07/08/2014 eklendi
Bilgilendirme nesnesinin analizi. Bilgi güvenliği politikası. Teknik bilgi korumasının alt sistemleri: erişim kontrolü, video gözetimi, güvenlik ve yangın alarmı, teknik kanallar aracılığıyla sızıntıya karşı koruma, şirket ağının korunması.
sunum, 01/30/2012 eklendi
İşletmenin bilgi ve telekomünikasyon sistemi modelinin analizi. Bilgi güvenliği tehdidi türleri. Kuruluşta bilgi güvenliğinin amaç ve hedefleri. Kurumsal ağda bilgi güvenliği yönetim sistemi için kontrol prosedürlerinin geliştirilmesi.
tez, 06/30/2011 eklendi
ATM'ye dayalı kurumsal ağların güvenlik analizi, teknolojideki koruma nesnelerinin mimarisi. Kurumsal bir bilgi güvenliği sistemi oluşturmak için bir model. Sistemi kullanmanın ekonomik verimliliğini değerlendirme metodolojisi. Veri kaybı riskini azaltma yöntemleri.
tez, 06/29/2012 eklendi
Şirket ağının analitik incelemesi. Analiz mevcut ağ, bilgi akışı. Yönetim sistemi gereksinimleri ve LAN öğelerinin etiketlenmesi. Yetkisiz erişime karşı sistem korumasının geliştirilmesi. Sistem yöneticisi için talimatlar.
tez, 19.01.2017 eklendi
Bilgi altyapısının anti-virüs koruması kavramı, olası tehdit türleri. PJSC "ROSBANK" da kullanılan yazılımın özellikleri. Bütünlük veya gizliliğin ihlali tehditlerine karşı bankanın bilgi kaynaklarını koruma araçları.
dönem ödevi, 24/04/2017 eklendi
Monarch LLC işletmesi için bir mobil ticaret segmenti ile Ethernet hatlarına dayalı yüksek hızlı bir kurumsal bilgi ağının geliştirilmesi. Ekipmanın kurulumu ve işletimi için önlemler. Projenin teknik ve ekonomik göstergelerinin hesaplanması.
dönem ödevi, 10/11/2011 eklendi
Kuruluşun kurumsal bilgi sisteminin yapısı. Adres alanı ve DNS sisteminin geliştirilmesi. CIS etki alanının yapısı. İş istasyonlarının donanım ve yazılım konfigürasyonu seçimi ve sunucu donanımı. Tipik hizmetleri yapılandırma.
dönem ödevi, 07/29/2013 eklendi
Yerel ağlarda veri iletiminin fiziksel ortamı. Kurumsal bilgi ağı. İşletmenin telekomünikasyon ekipmanı ve bilgisayarları. Modern bilgi teknolojilerinin analizine dayalı bir kurumsal bilgi ağının geliştirilmesi.
tez, 06/07/2015 eklendi
Bilgi güvenliği konularının alaka düzeyi. LLC "Mineral" ağının yazılımı ve donanımı. Yetkisiz erişime karşı bir kurumsal güvenlik ve koruma modeli oluşturmak. Teknik çözümler Bilgi sisteminin korunması için.
BİLGİ GÜVENLİĞİ KAVRAMI Bilgi güvenliği, bilgi ve destekleyici altyapının, bilgi ve destekleyici altyapı sahiplerine veya kullanıcılarına zarar vermeyi amaçlayan doğal veya yapay nitelikteki kazara veya kasıtlı etkilerden korunması olarak anlaşılmaktadır. Bilgi güvenliğini sağlamak için üç ana konu kategorisi gerekir: devlet kurumları, ticari yapılar ve bireysel girişimciler.
Kullanılabilirlik (gerekli bilgi hizmetini makul bir süre içinde alabilme yeteneği); bütünlük (bilginin uygunluğu ve tutarlılığı, imhaya ve yetkisiz değişikliklere karşı korunması); gizlilik (yetkisiz tanıdıklara karşı koruma).
Bilgiye erişim, bilgiye alışma, işlenmesi, özellikle bilgilerin kopyalanması, değiştirilmesi veya imha edilmesi olarak anlaşılmaktadır. Bilgiye yetkili erişim, yerleşik erişim kontrolü kurallarını ihlal etmeyen bilgilere erişimdir. Bilgiye yetkisiz erişim, belirlenmiş erişim kontrol kurallarının ihlali ile karakterize edilir. Bir bilgi sistemine (ağa) saldırı, bir saldırganın belirli bir sistem güvenlik açığını bulmak ve kullanmak için gerçekleştirdiği bir eylemdir.
Yapıcı, yetkisiz erişimin asıl amacı gizli bilgilerin bir kopyasını elde etmek olduğunda, yani; yetkisiz erişim veri kaybına (değişimine) veya hizmetin sonlandırılmasına yol açtığında, yıkıcı etkinin keşif niteliğinden bahsedebiliriz.
Bilgisayar suçlarıyla mücadeleye ilişkin ulusal mevzuatın uluslararası hukukun gereklilikleriyle uyumlu hale getirilmesi; yüksek mesleki eğitim kolluk kuvvetleri soruşturmacıdan yargı sistemine; farklı devletlerin kolluk kuvvetlerinin etkileşimi için işbirliği ve yasal mekanizma.
BİLGİSAYAR SUÇLARININ GELİŞİM AŞAMALARI 1. Hırsızlık, zarar verme ve dolandırıcılık gibi geleneksel suçların işlenmesinde bilgi teknolojisinin kullanılması. 2. Belirli bilgisayar suçlarının ortaya çıkışı. 3. Bilgisayar suçlarının bilgisayar terörizmi ve aşırılıkçılığa dönüşmesi. 4. Bilgisayar terörizmi ve aşırıcılığı bilgi savaşlarına dönüştürmek.
YAZILIMIN ÖNLEMLERİ VE ARAÇLARI VE TEKNİK SEVİYE Güvenli sanal özel ağların uygulanması Açık iletişim kanalları üzerinden iletilen bilgileri korumak için VPN uygulaması Genel iletişim ağlarına bağlanıldığında şirket ağını dış tehditlerden korumak için güvenlik duvarlarının uygulanması; kullanıcı seviyesinde erişim kontrolü ve bilgiye yetkisiz erişime karşı koruma; belirteçlerin kullanımı yoluyla garantili kullanıcı kimliği; dosya düzeyinde bilgilerin korunması (dosyaları ve dizinleri şifreleyerek); özel anti-virüs önleme ve koruma kompleksleri kullanarak virüslere karşı koruma; izinsiz giriş tespit teknolojileri ve bilgi kaynaklarının güvenliğinin aktif olarak araştırılması; Bilginin bütünlüğünü, özgünlüğünü ve gizliliğini sağlamak için verilerin kriptografik dönüşümü
ORGANİZASYONEL VE EKONOMİK GÜVENLİK, bilgi koruma yöntemlerinin ve araçlarının standardizasyonu, bilgisayar sistemlerinin ve ağlarının ve bunların koruma araçlarının belgelendirilmesi, bilgi koruma alanındaki faaliyetlerin lisanslanması, bilgisayar sistemlerinin ve ağlarının işleyişiyle ilgili bilgi risklerinin sigortası, güvenli bilgi sistemlerindeki personelin eylemlerinin kontrolü, bilgi koruma sistemlerinin işleyişi için örgütsel destek.
YASAL GÜVENLİK GÜVENLİĞİ 27 Temmuz 2006 tarihli Rusya Federasyonu Federal Yasası N 149-FZ "Bilgi, Bilgi Teknolojileri ve Bilgi Koruma". belgelenmiş bilgi ve bilgi kaynaklarının oluşturulması ve kullanılması sürecinde ortaya çıkan hukuki ilişkileri düzenler; bilgi teknolojileri, otomatik veya otomatik bilgi sistemleri ve ağlarının oluşturulması; bir bilgi kaynağını koruma prosedürünün yanı sıra bilgilendirme süreçlerine katılan öznelerin hak ve yükümlülüklerini belirler.
Tanımlar Bir kuruluşun bilgi güvenliği, bir kuruluşun bilgi ortamının oluşturulmasını, kullanılmasını ve geliştirilmesini sağlayan güvenlik durumudur. Bilgi koruma - korunan bilgilerin sızmasını, korunan bilgiler üzerindeki yetkisiz ve kasıtsız etkileri önlemeye yönelik bir faaliyettir, yani bu duruma ulaşmayı amaçlayan bir süreçtir. 2
Bilgi güvenliği bileşenleri. gizlilik - bilgilerin yalnızca belirli bir insan çevresi tarafından kullanılabilirliği; bütünlük (dürüstlük) - orijinal biçimindeki bilgilerin varlığının garantisi; kullanılabilirlik (kullanılabilirlik) - yetkili bir kullanıcı tarafından kendisi için doğru zamanda bilgi alma yeteneği. özgünlük - bilgilerin yazarını belirleme olasılığı; itiraz edilebilirlik - yazarın beyan edilen kişi olduğunu ve başka kimse olmadığını kanıtlama yeteneği. 3
Gizlilik, bütünlük ve kullanılabilirlik kullanımı için erişim kontrol modelleri: Zorunlu erişim kontrolü Seçici erişim kontrolü Rol tabanlı erişim kontrolü 4
Zorunlu erişim kontrolü. Zorunlu erişim kontrolü, MAC - nesnelerde bulunan bilgiler için bir gizlilik etiketinin atanmasına ve bu gizlilik düzeyindeki bilgilere erişim için öznelere resmi izinlerin (izinlerin) verilmesine dayalı olarak, nesnelerin nesnelere erişiminin farklılaştırılması. Bazen Zorunlu Erişim Kontrolü olarak da tercüme edilir. Bilgisayar işlemlerine, verilere ve sistem cihazlarına uygulanan hakların korunması ve kısıtlanmasının birleşimidir ve istenmeyen kullanımlarını önlemek için tasarlanmıştır 5
Seçici erişim kontrolü (DAC), erişim kontrol listelerine veya bir erişim matrisine dayalı olarak nesnelere özne erişiminin kontrolüdür. Her çift (özne - nesne) için, izin verilen erişim türlerinin (okuma, yazma vb.) açık ve net bir şekilde sıralanması, yani belirli bir özne (birey veya bireyler grubu) için belirli bir kaynağa (nesne) yetki verilen erişim türleri belirtilmelidir 7
8
Rol Tabanlı Erişim Kontrolü (RBAC), sistem öznelerinin nesnelere erişim hakları, uygulamalarının özellikleri dikkate alınarak gruplandırılırken, örneğin Yönetici, 1 kullanıcı vb. Rollerin oluşturulması, kullanıcılar için erişim farklılaştırması için açık ve anlaşılır kurallar tanımlamak üzere tasarlanmıştır. 9
İletim sırasında güvenliğin sağlanması Uygulama - Şifreleme - önemli bilgileri güvenilir olmayan kaynaklarda depolamak veya güvenli olmayan iletişim kanalları aracılığıyla aktarmak için kullanılan bir bilgi dönüştürme yöntemi. 2 süreç içerir - şifreleme ve şifre çözme süreci Metodolojik temel - kriptografi. 10
Anahtar Tanımlama Anahtar, mesajları şifrelerken/şifresini çözerken, bir dijital imza oluşturup doğrularken ve kimlik doğrulama kodlarını (MAC) hesaplarken bir kriptografik algoritma tarafından kullanılan gizli bilgidir. Aynı algoritmayı kullanırken, şifreleme sonucu anahtara bağlıdır. İçin modern algoritmalar Güçlü kriptografide, bir anahtarın kaybı, bilginin şifresini çözmeyi neredeyse imkansız hale getirir. Bir anahtardaki bilgi miktarı genellikle bit cinsinden ölçülür. Modern şifreleme algoritmaları için kriptografik gücün temel özelliği, anahtarın uzunluğudur. 128 bit veya daha büyük anahtarlarla şifreleme, güçlü süper bilgisayarların bir anahtar olmadan bilgilerin şifresini çözmesi yıllar aldığından, güçlü kabul edilir.
Şifreleme yöntemleri simetrik şifreleme: yetkisiz kişiler şifreleme algoritmasını biliyor olabilir, ancak gizli bilgilerin küçük bir kısmı bilinmiyor - anahtarın, mesajı gönderen ve alan için aynı olması; asimetrik şifreleme: Yetkisiz kişiler, şifreleme algoritmasını ve muhtemelen genel anahtarı bilebilir, ancak yalnızca alıcının bildiği özel anahtarı bilmeyebilir. 12
Orijinalliği sağlama araçları: İmza Dijital imza İmza - bir kişiyi tanımlamaya yarayan, belirli tasarım teknikleri kullanılarak elle yazılmış benzersiz bir karakter seti. İyi bir imzanın özellikleri Sahteciliğe karşı dayanıklıdır. Tekrarlanabilirlik Tanımlanabilirlik (imza genellikle bir ad, soyadı andırır). Yazma hızı 13
Elektronik dijital imza (EDS) - bu elektronik belgeyi sahteciliğe karşı korumak için tasarlanmış, bir elektronik dijital imzanın özel anahtarı kullanılarak bilgilerin kriptografik dönüştürülmesi sonucunda elde edilen ve imza anahtarı sertifikasının sahibini tanımlamanın yanı sıra elektronik belgede bilgi bozulmasının bulunmadığını tespit eden ve ayrıca imza sahibinin reddedilmemesini sağlayan bir elektronik belgenin niteliği. İmzalanan belgeler değişken (ve oldukça büyük) uzunlukta olduğundan, EDS şemalarında imza genellikle belgenin kendisine değil, karmasına yerleştirilir. Hash'i hesaplamak için kriptografik hash fonksiyonları kullanılır.Hashing, keyfi uzunluktaki bir giriş veri dizisinin sabit uzunluktaki bir çıkış bit dizisine dönüştürülmesidir. Bu tür dönüşümlere hash fonksiyonları da denir. Belgede yapılan herhangi bir değişiklik, hash 14'te değişikliklere neden olur
Elektronik imza şeması şunları içerir: anahtar oluşturma algoritması; imza hesaplama işlevi; imza doğrulama işlevi. Belgeye ve kullanıcının gizli anahtarına dayalı hesaplama işlevi, imzayı kendisi hesaplar. İmza doğrulama işlevi, verilen imzanın verilen belgeyle ve kullanıcının genel anahtarıyla eşleşip eşleşmediğini kontrol eder. Kullanıcının genel anahtarı herkes tarafından kullanılabilir, böylece herkes bu belgedeki imzayı doğrulayabilir 15
Dijital imza, bir belgenin kaynağının kanıtını sağlar. Doküman tanımının detaylarına göre “yazar”, “yapılan değişiklikler”, “zaman damgası” gibi alanlar imzalanabilir.Dokümanda yapılacak değişikliklere karşı koruma. Belgede (veya imzada) yanlışlıkla veya kasıtlı olarak yapılacak herhangi bir değişiklik, hash değerini değiştirecek ve bu nedenle imzayı geçersiz kılacaktır. Yazarlıktan vazgeçmenin imkansızlığı. Doğru bir imza oluşturmak ancak özel anahtarın bilinmesiyle mümkün olduğundan ve yalnızca sahibi tarafından bilindiğinden, belge sahibi imzasını reddedemez. 16
Yetkilendirme ve Kimlik Doğrulama Araçları: Parola, kimliği veya yetkiyi doğrulamak için kullanılan gizli bir sözcük veya karakter kümesidir. Parola kırma, kaynak yoğun bir görevdir ve genellikle sözde kaba kuvvet yöntemiyle - yani basit numaralandırmayla çözülür. Anahtar, sınırlı bir insan çevresi tarafından bilinen ve genellikle şifrelenmiş biçimde kullanılan gizli bilgilerdir. Biyometri, öznenin fizyolojik parametrelerini (parmak izleri, iris vb.) kullanan bir kişilik tanımlama teknolojisidir. 17
veri koruması bilgisayar ağları modern bilgi ve bilgi işlem sistemlerindeki en açık sorunlardan biri haline gelir. Bugüne kadar, görevi aşağıdakileri sağlamak olan üç temel bilgi güvenliği ilkesi formüle edilmiştir: - veri bütünlüğü - bilgi kaybına veya imhasına yol açan arızalara karşı koruma; - bilgilerin gizliliği; - yetkili kullanıcılar için bilgilerin mevcudiyeti.
Koruma araçları - fiziksel koruma araçları; - yazılım (anti-virüs programları, yetki farklılaştırma sistemleri, erişim kontrol yazılımı); - idari koruma önlemleri (binalara erişim, şirket güvenlik stratejilerinin geliştirilmesi, vb.).
fiziksel koruma araçları, bilgilerin arşivlenmesi ve çoğaltılması sistemleridir. Bir veya iki sunucunun kurulu olduğu yerel ağlarda, çoğu zaman sistem doğrudan boş sunucu yuvalarına kurulur. Büyük kurumsal ağlarda, sunucuların ve iş istasyonlarının sabit disklerindeki bilgileri ağ yöneticisi tarafından belirlenen belirli bir zamanda otomatik olarak arşivleyen ve yedekleme hakkında bir rapor yayınlayan özel bir özel arşivleme sunucusu tercih edilir. En yaygın arşivlenmiş sunucu modelleri, Intel'in Windows Storage Express Sistemi için ARCserve'idir.
Bilgisayar virüsleriyle savaşmak için, genellikle virüsten koruma programları kullanılır, daha az sıklıkla - donanım koruma araçları. Ancak, son zamanlarda yazılım ve donanım koruma yöntemlerinin bir kombinasyonuna yönelik bir eğilim olmuştur. Donanım aygıtları arasında, standart bilgisayar genişletme yuvalarına takılan özel virüsten koruma kartları kullanılır. Intel, ağlardaki virüslere karşı koruma sağlamak için gelecek vaat eden bir teknoloji geliştirdi; bunun özü, bilgisayar sistemlerini önyüklemeden önce bile taramak. Anti-virüs programlarına ek olarak, bilgisayar ağlarındaki bilgileri koruma sorunu, erişim kontrolü getirilerek ve kullanıcı yetkilerinin sınırlandırılmasıyla çözülür. Bunun için, en büyük üreticisi Novell Corporation olan yerleşik ağ işletim sistemleri araçları kullanılır.
Bir bilgisayar ağına yetkisiz girişi engellemek için birleşik bir yaklaşım kullanılır - bir parola + kişisel bir "anahtar" ile kullanıcı kimliği. "Anahtar" plastik bir karttır (manyetik veya yerleşik bir mikro devreye sahip - bir akıllı kart) veya bir kişiyi biyometrik bilgilerle - iris, parmak izleri, el boyutları vb. Akıllı erişim kontrol kartları, erişim kontrolü, PC cihazlarına, programlara, dosyalara ve komutlara erişim gibi işlevleri uygulamanıza olanak tanır.
Kerberos sistemi, - tüm ağ kaynakları, kullanıcılar, parolalar, bilgi anahtarları vb. hakkında bilgi içeren bir veritabanı; - görevi, belirli bir ağ hizmeti türünün sağlanması için kullanıcı isteklerini işlemek olan yetkilendirme sunucusu (kimlik doğrulama sunucusu). Bir istek geldiğinde veri tabanına erişir ve kullanıcının belirli bir işlemi gerçekleştirme yetkisini belirler. Kullanıcı şifreleri ağ üzerinden iletilmez, böylece bilgi güvenliği derecesi artar; - Bilet veren sunucu (izin veren sunucu), yetkilendirme sunucusundan kullanıcı adıyla bir "geçiş" alır ve onun ağ adresi, istek zamanı ve benzersiz bir "anahtar". "Pass" içeren paket de şifrelenmiş biçimde iletilir. İzin veren sunucu, "geçişi" alıp şifresini çözdükten sonra isteği kontrol eder, "anahtarları" karşılaştırır ve aynıysa, ağ ekipmanı veya programlarını kullanmaya devam eder.
İşletmelerin faaliyetleri genişledikçe, abone sayısı arttıkça ve yeni şubeler ortaya çıktıkça, uzak kullanıcıların (kullanıcı grupları) bilgi işlem veya bilgi kaynaklarının şirket merkezlerine erişimini organize etmek gerekli hale gelir. organizasyon için uzaktan erişim kablo hatları ve radyo kanalları en sık kullanılır. Bu bağlamda, uzaktan erişim kanalları aracılığıyla iletilen bilgilerin korunması özel bir yaklaşım gerektirmektedir. Uzaktan erişim köprüleri ve yönlendiriciler, paket bölümlemesini kullanır - bunların ayrılması ve iki hat üzerinden paralel olarak iletilmesi - bu, bir "hacker" hatlardan birine yasa dışı bir şekilde bağlandığında verilere "kesilmeyi" imkansız hale getirir. Veri iletimi sırasında kullanılan iletilen paketlerin sıkıştırma prosedürü, "ele geçirilen" verilerin şifresinin çözülmesinin imkansızlığını garanti eder. Uzaktan erişim köprüleri ve yönlendiricileri, uzak kullanıcılar tarafından tüm şirket merkezi kaynaklarına erişilemeyecek şekilde programlanabilir.
Şu anda, özel erişim kontrol cihazları için geliştirilmiştir. bilgisayar ağları anahtarlamalı hatlar aracılığıyla. Bir örnek, AT&T tarafından geliştirilen ve geleneksel modem boyutunda iki birimden oluşan Uzak Bağlantı Noktası Securiti Cihazı (PRSD) modülüdür: merkez ofise takılı RPSD Kilidi (kilit) ve uzak kullanıcının modemine bağlı RPSD Anahtarı (anahtar). RPSD Key and Lock, çeşitli koruma ve erişim kontrolü seviyeleri belirlemenize olanak tanır: - oluşturulan dijital anahtarlar kullanılarak hat üzerinden iletilen verilerin şifrelenmesi; - haftanın gününe veya günün saatine göre erişim kontrolü
Güvenlik konusuyla doğrudan ilgili olan, yedekleme oluşturma ve veritabanlarını geri yükleme stratejisidir. Tipik olarak, bu işlemler toplu iş modunda çalışma saatleri dışında gerçekleştirilir. Çoğu DBMS'de, veri yedekleme ve kurtarmaya yalnızca geniş yetkilere sahip kullanıcılar için izin verilir (bir sistem yöneticisi veya veritabanı sahibi düzeyinde erişim hakları), bu tür sorumlu parolaların doğrudan toplu işleme dosyalarında belirtilmesi istenmez. Parolayı açıkça kaydetmemek için, kopyalama / geri yükleme yardımcı programlarını çağıran basit bir uygulama programı yazmanız önerilir. Bu durumda, sistem parolası, belirtilen uygulamanın koduna "bağlı" olmalıdır. Bu yöntemin dezavantajı, şifreyi her değiştirdiğinizde bu programın yeniden derlenmesi gerektiğidir.
Her işletmede, büyüklüğü, mülkiyet türü ve faaliyet yönü ne olursa olsun, koruma sistemi modelini uygulayan aynı türde koruma yöntemleri ve yöntemleri kullanılır. Koruma yöntemleri bloğu engeller, düzenleme, erişim kontrolü, maskeleme, teşvik ve zorlamadır.
Engeller (fiziksel yöntem), örneğin işletmelerin çevresine çitlerin yerleştirilmesi, binaya ve tesislere erişimin kısıtlanması, alarmların yerleştirilmesi, güvenlik fiziksel bir şekilde ve yazılım ve donanım Maskeleme, kriptografik yazılım kullanımını içerir. Motivasyon - bilgilerin işlenmesinde ve kullanılmasında kullanıcıların etik standartlara uyması. Düzenleme, bilgilerin işlenmesi için talimatların ve düzenlemelerin varlığını ima ederken, yasaklama, yasalarda yer alan yasal normların varlığını ima eder. normatif belgeler ve bunların ihlali durumunda yasal sorumluluğun tanımlanması.
Yukarıda listelenen koruma yöntemleri ve yöntemleri, bilgi sistemlerine kurulan dört alt sistemde birleştirilir: Erişim kontrolü alt sistemi Kayıt ve muhasebe alt sistemi Kriptografik alt sistem Bütünlük güvencesi alt sistemi
Erişim kontrol alt sistemi, yazılım (şifreler) ve yazılım araçlarını kullanarak bilgi sistemine girişi korur ( elektronik anahtarlar, anahtar disketler, biyometrik kullanıcı tanıma cihazları vb.).
Kayıt ve muhasebe alt sistemi, sisteme, dosyalara, programlara veya veritabanlarına erişim sağlayan kullanıcı ve programların, sisteme giriş ve çıkış zamanlarının ve kullanıcılar tarafından gerçekleştirilen diğer işlemlerin özel bir elektronik günlüğüne kaydedilir.
Kriptografik alt sistem, bilgileri şifreleyen ve şifresini çözen bir dizi özel programdır. Kriptografik bir alt sistemin varlığı özellikle elektronik ticaret için kullanılan bilgi sistemlerinde gereklidir.
Bilgi bütünlüğünü sağlamaya yönelik alt sistem, bilgisayar ekipmanı ve ortamının fiziksel korumasının varlığını, program ve verileri test etmek için araçların mevcudiyetini, kullanımı içerir. sertifikalı fonlar koruma