Komplexní ochrana informací s omezeným přístupem v podnikových informačních systémech. Jazyková podpora. Soubor speciálních jazykových prostředků komunikace mezi specialisty a uživateli v oblasti informační bezpečnosti. Na vnější zdroje hrozeb
POJEM INFORMAČNÍ BEZPEČNOSTI Informační bezpečnost (IS) označuje zabezpečení informační a podpůrné infrastruktury před náhodnými nebo záměrnými dopady přírodní nebo umělé povahy s cílem způsobit škodu vlastníkům nebo uživatelům informační a podpůrné infrastruktury. Tři hlavní kategorie subjektů potřebují informační bezpečnost: vládní organizace, komerční struktury a jednotliví podnikatelé.
Dostupnost (schopnost získat požadovanou informační službu v přiměřené době); integrita (relevance a konzistence informací, jejich ochrana před zničením a neoprávněnými změnami); důvěrnost (ochrana před neoprávněným přístupem).
Přístupem k informacím se rozumí seznámení s informacemi, jejich zpracování, zejména kopírování, úprava nebo zničení informací. Autorizovaný přístup k informacím je přístup k informacím, který neporušuje stanovená pravidla řízení přístupu. Neoprávněný přístup k informacím je charakterizován porušením zavedená pravidla omezení přístupu. Útok na informační systém (síť) je akce provedená útočníkem s cílem najít a zneužít konkrétní zranitelnost systému.
Konstruktivní, kdy hlavním účelem neoprávněného přístupu je získání kopie důvěrných informací, tzn. můžeme mluvit o zpravodajské povaze destruktivního dopadu, kdy neautorizovaný přístup vede ke ztrátě (změně) dat nebo ukončení služby.
Harmonizace národní legislativy pro boj proti počítačové kriminalitě s požadavky mezinárodního práva; vysoká odborná příprava orgánů činných v trestním řízení od vyšetřovatele až po soudní systém; spolupráce a právní mechanismus pro interakci mezi donucovacími orgány různých států.
ETAPA VÝVOJE POČÍTAČOVÉ KRIMINALITY 1. Využití informačních technologií při páchání tradičních trestných činů jako jsou krádeže, poškozování a podvody. 2. Vznik specifických počítačových zločinů. 3. Vývoj počítačové kriminality v počítačový terorismus a extremismus. 4. Transformace počítačového terorismu a extremismu v informační války.
OPATŘENÍ A PROSTŘEDKY NA SOFTWAROVÉ A TECHNICKÉ ÚROVNI použití chráněného virtuálního privátu sítě VPN k ochraně informací přenášených přes otevřené komunikační kanály, použití firewallů k ochraně podnikové sítě před vnějšími hrozbami při připojování veřejné sítě komunikace; kontrola přístupu na uživatelské úrovni a ochrana před neoprávněným přístupem k informacím; zaručená identifikace uživatelů pomocí tokenů; ochrana informací na úrovni souborů (šifrováním souborů a adresářů); ochrana před viry pomocí specializovaných komplexů antivirové prevence a ochrany; technologie pro detekci narušení a aktivní výzkum bezpečnosti informačních zdrojů; transformace kryptografických dat pro zajištění integrity, pravosti a důvěrnosti informací
ORGANIZAČNÍ A EKONOMICKÉ ZABEZPEČENÍ Standardizace metod a prostředků ochrany informací Certifikace počítačových systémů a sítí a prostředků jejich ochrany Licenční činnost v oblasti ochrany informací Pojištění informačních rizik spojených s fungováním počítačových systémů a sítí Sledování činnosti personálu v chráněná území informační systémy ah organizační podpora fungování systémů informační bezpečnosti.
PRÁVNÍ ZABEZPEČENÍ Federální zákon Ruská Federace ze dne 27. července 2006 N 149-FZ „O informacích, informačních technologiích a ochraně informací“. upravuje právní vztahy vznikající v procesu tvorby a využívání dokumentovaných informací a informačních zdrojů; tvorba informačních technologií, automatizovaných nebo automatizovaných informačních systémů a sítí; stanovuje postup ochrany informačního zdroje, jakož i práva a povinnosti subjektů účastnících se procesů informatizace.
Definice Informační bezpečnost organizace - stav bezpečnosti informační prostředí organizace, které zajišťují její vznik, využívání a rozvoj. Ochrana informací je činnost k zamezení úniku chráněných informací, neoprávněným a neúmyslným dopadům na chráněné informace, tedy proces směřující k dosažení tohoto stavu. 2
Komponenty informační bezpečnosti. důvěrnost – dostupnost informací pouze určitému okruhu osob; integrita (integrita) - záruka existence informace v původní podobě; Dostupnost – schopnost oprávněného uživatele přijímat informace ve správný čas. autenticita – schopnost identifikovat autora informace; odvolání – schopnost prokázat, že autorem je deklarovaná osoba a nikdo jiný. 3
Modely řízení přístupu k zajištění důvěrnosti, integrity a dostupnosti použití: Povinná kontrola přístupu Selektivní kontrola přístupu Kontrola přístupu na základě rolí 4
Povinná kontrola přístupu. Povinná kontrola přístupu, MAC - vymezení přístupu subjektů k objektům na základě přidělení označení důvěrnosti informacím obsaženým v objektech a udělení úředního povolení (vstupu) subjektům k přístupu k informacím tohoto stupně utajení. Někdy se také překládá jako vynucená kontrola přístupu. Jedná se o metodu, která kombinuje ochranu a omezení práv aplikovaných na počítačové procesy, data a systémová zařízení a navrženy tak, aby zabránily jejich nežádoucímu použití 5
Diskreční řízení přístupu (DAC) – Řízení přístupu subjektu k objektům na základě seznamů řízení přístupu nebo přístupové matice. Pro každou dvojici (subjekt - objekt) musí být uveden výslovný a jednoznačný výčet přípustných typů přístupu (čtení, zápis atd.), tedy těch typů přístupů, které jsou pro daný subjekt (jednotlivce nebo skupiny přístupů) autorizovány. jednotlivci) k danému zdroji (objektu) 7
8
Role Based Access Control (RBAC) - vývoj selektivní politiky řízení přístupu, ve které jsou přístupová práva subjektů systému k objektům seskupena s přihlédnutím ke specifikům jejich aplikace, formování rolí, např. Administrátor, 1 uživatel atd. Formace rolí je navržen tak, aby definoval jasná a srozumitelná pravidla řízení přístupu pro uživatele. 9
Zajištění bezpečnosti při přenosu Implementace – Šifrování je metoda transformace informací používaná k ukládání důležitých informací do nespolehlivých zdrojů nebo k jejich přenosu přes nezabezpečené komunikační kanály. Zahrnuje 2 procesy - proces šifrování a dešifrování Metodologickým základem je kryptografie. 10
Definice klíče Klíč - tajné informace, používaný kryptografickým algoritmem při šifrování/dešifrování zpráv, vytváření a ověřování digitálního podpisu a výpočtu kódů pravosti (MAC). Při použití stejného algoritmu závisí výsledek šifrování na klíči. Pro moderní algoritmy V silné kryptografii ztráta klíče prakticky znemožňuje dešifrování informací. Množství informací v klíči se obvykle měří v bitech. Pro moderní šifrovací algoritmy je hlavní charakteristikou šifrovací síly délka klíče. Šifrování s klíči 128 bitů a vyšší je považováno za silné, protože dešifrování informací bez klíče trvá roky práce výkonné superpočítače 11
Metody šifrování symetrické šifrování: lidé zvenčí mohou znát šifrovací algoritmus, ale neznáme malý kousek tajné informace – klíč, který je stejný pro odesílatele i příjemce zprávy; asymetrické šifrování: lidé zvenčí mohou znát šifrovací algoritmus a možná i veřejný klíč, nikoli však soukromý klíč, který zná pouze příjemce. 12
Prostředky pro zajištění pravosti: Podpis Digitální podpis Podpis je unikátní sada symbolů, psaná ručně za použití určitých technik návrhu, která slouží k identifikaci osoby. Vlastnosti dobrého podpisu Odolnost proti padělání. Opakovatelnost. Identifikovatelnost (podpis obvykle připomíná jméno nebo příjmení). Rychlost zápisu 13
Elektronický digitální podpis (EDS) je náležitost elektronického dokumentu určená k ochraně tohoto elektronického dokumentu před paděláním, získaná v důsledku kryptografické transformace informací pomocí soukromého klíče elektronického digitálního podpisu a umožňující identifikaci vlastníka podpisového klíče. certifikát, jakož i prokázat absenci zkreslení informací v elektronickém dokumentu a také zajistit neodvratitelnost podepsané osoby. Protože podepisované dokumenty mají proměnlivou (a poměrně velkou) délku, ve schématech digitálního podpisu se podpis často neumisťuje na samotný dokument, ale na jeho hash. K výpočtu hashe používáme kryptografické hašovací funkce Hašování je transformace pole vstupních dat libovolné délky na výstupní bitový řetězec pevné délky. Takové transformace se také nazývají hashovací funkce. Jakékoli změny v dokumentu vedou ke změnám hashe 14
Schéma elektronického podpisu zahrnuje: algoritmus generování klíče; funkce výpočtu podpisu; funkce ověřování podpisu. Výpočtové funkce založené na dokumentu a tajném klíči uživatele vypočítají samotný podpis. Funkce ověřování podpisu kontroluje, zda se daný podpis shoduje s daným dokumentem a veřejným klíčem uživatele. Veřejný klíč uživatel je k dispozici všem, takže kdokoli může zkontrolovat podpis na tomto dokumentu 15
Digitální podpis zajišťuje ověření zdroje dokumentu. V závislosti na detailech definice dokumentu lze podepsat pole jako „autor“, „provedené změny“, „časové razítko“ atd. Ochrana proti změnám dokumentu. Jakákoli náhodná nebo úmyslná změna dokumentu (nebo podpisu) změní hash, a proto zneplatní podpis. Nemožnost vzdát se autorství. Protože správný podpis můžete vytvořit pouze na základě znalosti soukromého klíče a zná jej pouze vlastník, nemůže vlastník svůj podpis na dokumentu odmítnout. 16
Prostředky autorizace a autentizace: Heslo je tajné slovo nebo sada znaků určených k potvrzení identity nebo oprávnění. Prolomení hesel je úkol náročný na zdroje, obvykle řešený metodou tzv. hrubé síly – tzn. jednoduché vyhledávání Klíč – tajná informace známá omezenému okruhu lidí, obvykle používaná v zašifrované podobě. Biometrie je technologie osobní identifikace, která využívá fyziologické parametry subjektu (otisky prstů, duhovka atd.). 17
Ochrana dat v počítačové sítě se stává jedním z nejotevřenějších problémů moderních informačních a výpočetních systémů. Dosud byly formulovány tři základní principy informační bezpečnosti, jejichž úkolem je zajistit: - integritu dat - ochranu před poruchami vedoucími ke ztrátě informací nebo jejich zničení; - důvěrnost informací; - dostupnost informací pro oprávněné uživatele.
Prostředky ochrany - prostředky fyzické ochrany; - software (antivirové programy, rozvody elektřiny, software pro kontrolu přístupu); - administrativní ochranná opatření (přístup do prostor, rozvoj firemních bezpečnostních strategií atd.).
prostředky fyzické ochrany jsou systémy pro archivaci a rozmnožování informací. V lokálních sítích, kde je nainstalován jeden nebo dva servery, se systém nejčastěji instaluje přímo do volných slotů serverů. Ve velkých podnikových sítích se dává přednost specializovanému archivačnímu serveru, který automaticky archivuje informace pevné disky servery a pracovní stanice určitý čas nainstalované správcem sítě a poskytující zprávu o provedené záloze. Nejběžnější modely archivačních serverů jsou Intel Storage Express System ARCserve pro Windows.
Pro boj s počítačovými viry se nejčastěji používají antivirové programy, méně častá je hardwarová ochrana. V poslední době však existuje tendence ke kombinaci metod ochrany softwaru a hardwaru. Mezi hardwarovými zařízeními jsou použity speciální antivirové karty, vložené do standardních počítačových rozšiřujících slotů. Společnost Intel Corporation navrhla slibnou technologii ochrany před viry v sítích, jejíž podstatou je skenování počítačových systémů před jejich spuštěním. Kromě antivirových programů je problém ochrany informací v počítačových sítích řešen zavedením řízení přístupu a vymezením uživatelských pravomocí. K tomuto účelu slouží vestavěné nástroje síťových operačních systémů, jejichž největším výrobcem je Novell Corporation.
K zamezení neoprávněného vstupu do počítačové sítě se používá kombinovaný přístup - heslo + identifikace uživatele pomocí osobního „klíče“. "Klíč" je plastová karta(magnetické nebo se zabudovaným čipem - smart karta) nebo různá zařízení pro osobní identifikaci pomocí biometrických informací - duhovka, otisky prstů, velikost ruky atd. Servery a síťové pracovní stanice vybavené čtečkami čipových karet a speciálním softwarem výrazně zvyšují míru ochrana proti neoprávněnému přístupu. Čipové karty pro řízení přístupu umožňují implementovat funkce, jako je kontrola vstupu, přístup k zařízením PC, programům, souborům a příkazům.
Systém Kerberos - databáze, která obsahuje informace o všech síťových prostředcích, uživatelích, heslech, informačních klíčích atd.; - autorizační server, jehož úkolem je zpracovávat požadavky uživatelů na poskytování toho či onoho typu síťové služby. Po obdržení požadavku přistoupí k databázi a určí oprávnění uživatele k provedení konkrétní operace. Uživatelská hesla nejsou přenášena po síti, čímž se zvyšuje úroveň zabezpečení informací; - Server udělující vstupenky (server vydávající oprávnění) obdrží od autorizačního serveru „průchod“ se jménem uživatele a síťovou adresou, časem požadavku a také jedinečným „klíčem“. Paket obsahující „průchod“ je také přenášen v zašifrované podobě. Oprávňovací server po obdržení a dešifrování „průchodu“ zkontroluje požadavek, porovná „klíče“ a pokud jsou shodné, dá souhlas k použití síťového zařízení nebo programů.
Jak podniky rozšiřují své aktivity, roste počet předplatitelů a objevují se nové pobočky, vzniká potřeba organizovat přístup vzdáleným uživatelům (skupinám uživatelů) k výpočetním nebo informačním zdrojům na firemních centrech. K organizaci vzdáleného přístupu se nejčastěji používají kabelové linky a rádiové kanály. V tomto ohledu vyžaduje ochrana informací přenášených prostřednictvím kanálů vzdáleného přístupu zvláštní přístup. Mosty a routery pro vzdálený přístup používají segmentaci paketů – rozdělují je a přenášejí paralelně po dvou linkách – což znemožňuje „zachycení“ dat, když se „hacker“ nelegálně připojí k jedné z linek. Kompresní procedura přenášených paketů použitá při přenosu dat zajišťuje, že „zachycená“ data nelze dešifrovat. Mosty a routery pro vzdálený přístup lze naprogramovat tak, že vzdálenému uživateli nemusí být dostupné všechny prostředky firemního centra
V současné době vyvinutý speciální zařízenířízení přístupu k počítačovým sítím prostřednictvím vytáčených linek. Příkladem je modul Remote Port Security Device (PRSD) vyvinutý společností AT&T, který se skládá ze dvou bloků velikosti běžného modemu: RPSD Lock (zámek), instalovaný v ústředně, a RPSD Key (klíč), připojený k modem vzdáleného uživatele. RPSD Key and Lock umožňuje nastavit několik úrovní ochrany a řízení přístupu: - šifrování dat přenášených po lince pomocí generovaných digitálních klíčů; - kontrola přístupu na základě dne v týdnu nebo denní doby
Strategie vytváření záložních kopií a obnovy databází přímo souvisí s tématem bezpečnosti. Tyto operace se obvykle provádějí mimo pracovní dobu v dávkovém režimu. Ve většině DBMS je zálohování a obnova dat povolena pouze uživatelům s širokými právy (přístupová práva na úrovni správce systému nebo vlastníka databáze), kteří takto citlivá hesla zadávají přímo v souborech. dávkové zpracování nežádoucí. Aby se heslo neukládalo explicitně, doporučuje se napsat jednoduchý aplikační program, který by sám volal nástroje pro kopírování/obnovu. V tomto případě musí být systémové heslo „napevno zadáno“ do kódu určené aplikace. Nevýhodou této metody je, že při každé změně hesla je nutné tento program překompilovat
V každém podniku, bez ohledu na jeho velikost, druh majetku a obor činnosti, se používá stejný typ metod a způsobů ochrany implementující model systému ochrany. Blok metod ochrany zahrnuje překážky, regulaci, kontrolu přístupu, maskování, podněcování a donucení.
Překážky (fyzická metoda), například instalace plotů kolem podniků, omezení přístupu do budov a prostor, instalace alarmů, zabezpečení. Přístup je omezen fyzicky a software a hardware Maskování zahrnuje použití kryptografického softwaru. Pobídka – dodržování etických norem ze strany uživatelů při zpracování a používání informací. Regulace implikuje existenci instrukcí a předpisů pro zpracování informací a zákaz implikuje přítomnost právních norem zakotvených v regulačních dokumentech a definujících právní odpovědnost v případě jejich porušení.
Výše uvedené způsoby a způsoby ochrany jsou kombinovány do čtyř subsystémů, které jsou instalovány v informačních systémech: Subsystém řízení přístupu Registrační a účetní subsystém Kryptografický subsystém Integrita subsystém
Subsystém řízení přístupu chrání přístup do informačního systému pomocí softwaru (hesel) a softwaru a hardwaru (elektronické klíče, diskety s klíčem, zařízení pro rozpoznávání uživatelů na základě biometrických charakteristik atd.).
Registrační a účetní subsystém eviduje ve speciálním elektronickém deníku uživatele a programy, které mají přístup do systému, souborů, programů nebo databází, čas vstupu a výstupu ze systému a další operace prováděné uživateli.
Kryptografický subsystém je sada speciálních programů, které šifrují a dešifrují informace. Přítomnost kryptografického subsystému je nezbytná zejména v informačních systémech používaných pro elektronické podnikání.
Subsystém pro zajištění integrity informací zahrnuje přítomnost fyzického zabezpečení počítačového vybavení a médií, dostupnost testovacích nástrojů pro programy a data a používání certifikovaných bezpečnostních prostředků
Odeslat svou dobrou práci do znalostní báze je jednoduché. Použijte níže uvedený formulář
Studenti, postgraduální studenti, mladí vědci, kteří využívají znalostní základnu ve svém studiu a práci, vám budou velmi vděční.
Vloženo na http://www.allbest.ru/
- Úvod
- 1.3 Základní ustanovení systému informační bezpečnosti
- 2.1 Předměty a předměty ochrany
- 2.3 Moderní technologie informační bezpečnosti
- 2.4 Platnost ochrany informací
- Seznam regulačních dokumentů upravujících činnost v oblasti informační bezpečnosti:
- 3. Zkvalitnění opatření zaměřených na zvýšení účinnosti opatření na ochranu podnikového informačního systému Vzdálenosti napájení
- 3.1 Nevýhody organizace ochrany podnikové sítě
- 3.2 Organizační akce
- 3.3 Inženýrská činnost
- Závěr
- Bibliografie
Úvod
Moderní vývoj světové ekonomiky je charakterizován rostoucí závislostí trhu na značném množství obíhajících informací v něm.
V dnešní době je společnost zcela závislá na přijímaných, zpracovávaných a přenášených datech. Z tohoto důvodu se samotná data stávají vysoce cennými. A čím vyšší je cena užitečné informace, tím vyšší je jeho bezpečnost.
Relevance tématu je dána řadou faktorů, které směřují ke zlepšení ochrany podnikového informačního systému za účelem zlepšení ekonomického mechanismu moderní podniky pracovat v tržní ekonomice a uplatňovat moderní technologický vývoj.
Vzhledem k výše uvedenému zákonodárné akty v Rusku i v zahraničí stanoví značné množství norem zaměřených na regulaci vytváření, používání, přenosu a ochrany informací ve všech jejich formách.
Zvláště cenné jsou informace, které obsahují osobní údaje, úřední tajemství, obchodní tajemství, omezené informace, bankovní tajemství, státní tajemství, vnitřní informace, důvěrné informace a další informace.
Problém informační bezpečnosti je mnohostranný a komplexní, vyžaduje nezbytnou kombinaci platných legislativních, organizačních, softwarových a technických opatření.
Únik jakýchkoli informací může ovlivnit činnost podniku. Zvláštní roli hrají informace, ke kterým může ztráta kůry vést Velké změny v samotném podniku a materiální ztráty.
V každodenním životě člověka závisí bezpečnost informací o jeho životě na něm. Zcela jiná je ale situace, kdy jsme povinni údaje o sobě poskytnout v souladu se zákonem třetí osobě, a to konkrétně zaměstnavateli. V této situaci zaměstnanec předá důvěrné informace o sobě do úschovy. Za bezpečnost údajů dále odpovídá zaměstnavatel. Je povinen chránit informace o zaměstnanci před útoky třetích osob a nést odpovědnost za šíření těchto údajů.
Účelem této práce je stanovení požadavků na bezpečnostní systém podnikového informačního systému.
Cíle práce:
1. Identifikujte problematické záležitosti systémy pro ochranu podnikového informačního systému vzdáleností napájení.
2. Formulujte seznam hrozeb a požadavků na systém ochrany podnikového informačního systému vzdálenosti napájení.
3. Zdůvodněte strukturu informačních rizik pro podnikový informační systém vzdáleností napájení.
4. Vybrat a zdůvodnit metody a technické prostředky směřující ke zvýšení účinnosti ochrany podnikového informačního systému na napájecí vzdálenost.
Předmětem studie je standardní systém ochrany podnikového informačního systému "intranet" moskevsko-smolenského napájecího obvodu pobočky Ruských drah JSC, který má vlastní budovy a území.
Předmětem výzkumu jsou metody a technické prostředky ochrany podnikového informačního systému vzdáleností napájení.
Praktický význam a implementace získaných výsledků umožnily vytvořit opatření pro organizaci ochrany podnikové sítě přizpůsobená konkrétním podmínkám s přihlédnutím ke specifikům objektu a různým kategoriím informací a uživatelů.
Autoři studující problémy A.V. Sokolov (profesor, vedoucí katedry informatiky a software Moskevský institut elektronické technologie) a V.F. Shangin (profesor, doktor technických věd) od roku 1978 do současnosti, krytí aktuální problémy ochrana informací při použití distribuovaných podnikových systémů a sítí podnikového rozsahu, ochrana internetu.
ochrana informací podniková síť
1. Teoretický základ budování firemní sítě
1.1 Koncepce, komponenty, fungování podnikové sítě
Podniková síť je komplexní systém, který zahrnuje mnoho různých komponent: počítače různých typů, od stolních počítačů po sálové počítače, systémový a aplikační software, síťové adaptéry, rozbočovače, přepínače a směrovače, kabelový systém. V této práci se budeme zabývat intranetem Moskva-Smolensk Vzdálenosti napájení pobočky ruských drah JSC. Jedná se o samostatnou konstrukční jednotku železnice, která je součástí služby elektrifikace a napájení. Zajišťuje nepřetržité a spolehlivé napájení všech spotřebitelů elektřiny, jakož i zajištění spolehlivého fungování všech objektů a zařízení, kontaktní sítě v rámci obsluhované oblasti.
Funkčnost intranetu je velmi široká široký rozsah- od práce se statickými webovými stránkami, které nahrazují firemní tištěné dokumenty nebo poskytují nový způsob sdílení informací, až po složité klientská rozhraní pro kancelářské serverové aplikace.
Technologie potřebné pro intranet a nástroje, které je implementují, jsou široce rozšířené. Patří mezi ně: protokol TCP/IP, NFS (Network Souborový systém), webový prohlížeč (program pro vyhledávání a procházení systému), webový server, HTML editor, e-mail a podobně. Přístup k informacím je založen na IP připojení.
Intranet se skládá z několika komponenty:
1) síťová infrastruktura,
2) servery,
3) dokumenty,
4) prohlížeče,
5) aplikace.
Intranet je základem, který poskytuje nezbytná připojení, která zaměstnancům organizace poskytují přístup k informacím. Intranet používá pro připojení a výměnu dat síťový protokol TCP/IP. TCP/IP umožňuje, aby byly počítače v síti pojmenovány jednoznačně (tato jména se nazývají adresy IP). Tento protokol také poskytuje mechanismus, pomocí kterého se počítače mohou navzájem najít a připojit. Intranet používá jiný HTTP protokol(Hypertext Transfer Protocol). Používá se k přenosu textu, obrázků a hypertextových odkazů (tj. odkazů na jiné elektronické dokumenty) směřujících na webové stránky. Dá se říci, že TCP/IP je hlavním způsobem komunikace počítačů v síti a HTTP je jakousi horní vrstvou, která jim umožňuje výměnu informací.
servery. Informace jsou nejčastěji umístěny na počítačích, které se obvykle nazývají webové servery. Server ukládá dokumenty a plní požadavky uživatelů na vyhledávání a prohlížení dat.
Dokumentace. Obsah intranetu – tedy informace, které si prohlížíte – je uložen v dokumentech. Ve výchozím nastavení jsou ve formátu HTML (Hypertext Makeup Language), což je textový formát sestávající ze samotného textu, značek, které řídí formátování, a hypertextových odkazů směřujících na jiné dokumenty.
Prohlížeče. Pro práci na intranetu a prohlížení dokumentů uložených na serverech se používají aplikace zvané prohlížeče. Plní několik funkcí:
vyhledávání informací a připojení k webovému serveru;
načítání, formátování a zobrazování dokumentů v HTML;
rozpoznávání a navigace k příslušným dokumentům;
Aplikace. Aplikace jsou psány vývojáři pro řešení konkrétních problémů společnosti.
Kromě různých síťových zařízení se intranet skládá z následujících softwarových komponent:
1) software interního webového serveru organizace, obsahující informace o aktivitách společnosti (ceny, objednávky vedení, dokumenty ke schválení a projednání atd., a napojený na stávající databáze ("Sklad", "Účetnictví" atd.);
2) software pro pořádání konferencí v rámci organizace k projednávání návrhů na zlepšení práce, podávání zpráv o různých akcích atd.;
3) Software, který implementuje e-mail.
Na intranetu může být segmenty s různým stupněm zabezpečení:
volně dostupné (různé servery);
s omezeným přístupem;
uzavřen pro přístup.
Firemní dálkovou síť napájecího zdroje je vhodné považovat za systém skládající se z několika vzájemně se ovlivňujících vrstev. Na základně pyramidy, představující podnikovou síť, je vrstva počítačů - center pro ukládání a zpracování informací a transportní subsystém, který zajišťuje spolehlivý přenos informačních paketů mezi počítači.
Obrázek 1. Hierarchie vrstev podnikové sítě
Nad transportním systémem funguje vrstva síťových operačních systémů, která organizuje práci aplikací na počítačích a poskytuje prostředky svého počítače pro obecné použití prostřednictvím transportního systému.
Různé aplikace pracují nad operačním systémem, ale kvůli speciální roli systémů pro správu databází, které ukládají základní podnikové informace v organizované formě a provádějí na nich základní vyhledávací operace, je tato třída systémových aplikací obvykle přidělena samostatné vrstvě. firemní sítě.
Na další úrovni jsou systémové služby, které využívají DBMS jako vyhledávací nástroj nezbytné informace mezi miliony bytů uložených na discích, poskytují koncovým uživatelům tyto informace ve formě vhodné pro rozhodování a také provádějí některé procedury zpracování informací běžné pro podniky všech typů. Mezi tyto služby patří e-mailový systém, systémy skupinové práce a mnoho dalších.
Nejvyšší úroveň podnikové sítě představuje speciální softwarové systémy, které plní úkoly specifické pro daný podnik nebo podniky daného typu.
Konečný cíl podnikové sítě je ztělesněn v aplikačních programech nejvyšší úrovně, ale pro jejich úspěšné fungování je bezpodmínečně nutné, aby subsystémy dalších vrstev jasně plnily své funkce.
Hlavním úkolem systémových administrátorů je zajistit, aby se tento těžkopádný systém co nejlépe vypořádal se zpracováním informačních toků kolujících mezi zaměstnanci podniku a umožnil jim přijímat včasná a racionální rozhodnutí zajišťující chod podniku.
Intranet Moskva-Smolensk Vzdálenosti napájení JSC "Ruské železnice" je izolováno od externích uživatelů internetu a funguje jako autonomní síť bez přístupu zvenčí.
Obrázek 2. Struktura místní sítě
1.2 Analýza zdrojů hrozeb a informačních rizik
Všechny informační zdroje společnosti jsou neustále vystaveny objektivním i subjektivním hrozbám ztráty médií nebo hodnoty informací. Hrozbou nebo nebezpečím ztráty informace se rozumí jednorázový nebo komplexní, reálný nebo potenciální, aktivní nebo pasivní projev nepříznivých schopností vnějších nebo vnitřních zdrojů ohrožení vytvářet kritické situace, události a mít destabilizující vliv na chráněné informace, dokumenty a databáze. U informačních zdrojů s omezeným přístupem je rozsah hrozeb zahrnujících ztrátu informací (vyzrazení, únik) nebo ztrátu médií mnohem širší v důsledku zvýšeného zájmu o tyto dokumenty ze strany různých typů útočníků. Hlavní hrozbou pro bezpečnost informačních zdrojů omezené distribuce je neoprávněný (nezákonný, neoprávněný) přístup útočníka nebo cizí osoby k dokumentovaným informacím a v důsledku toho získávání informací a jejich nezákonné použití nebo spáchání jiných destabilizačních akcí. . Cílem a důsledkem neoprávněného přístupu může být nejen získání cenných informací a jejich využití, ale také jejich úprava, úprava, zničení, falšování, záměna a podobně. Předpokladem úspěšného pokusu o neoprávněný přístup k omezeným informačním zdrojům je zájem o ně ze strany konkurence, některých jednotlivců, služeb a organizací. Hlavním viníkem neoprávněného přístupu k informačním zdrojům je zpravidla personál pracující s dokumenty, informacemi a databázemi. Ke ztrátě informací ve většině případů nedochází v důsledku úmyslného jednání útočníka, ale v důsledku nepozornosti a nezodpovědnosti personálu.
V důsledku toho může dojít ke ztrátě informačních zdrojů s omezeným přístupem, když:
§ přítomnost zájmu konkurenta, institucí, firem nebo osob specifická informace,
§ vznik rizika hrozby organizované útočníkem nebo za náhodných okolností;
§ přítomnost podmínek, které umožňují útočníkovi provést potřebné akce a získat informace.
Tyto podmínky mohou zahrnovat:
© nedostatek systematické analytické a kontrolní práce k identifikaci a studiu hrozeb, kanálů a míry rizika narušení bezpečnosti informačních zdrojů;
© neúčinný systém informační bezpečnosti nebo absence tohoto systému, což vytváří vysoký stupeň informační zranitelnosti;
© neodborně organizovaná technologie pro zpracování a uchovávání důvěrných dokumentů;
© neuspořádaný výběr a fluktuace zaměstnanců, obtížné psychické klima v týmu;
© nedostatek systému pro školení zaměstnanců v pravidlech ochrany informací s omezeným přístupem;
© nedostatečná kontrola ze strany vedení společnosti nad dodržováním požadavků regulačních dokumentů ze strany personálu pro práci s informačními zdroji s omezeným přístupem;
© nekontrolované návštěvy neoprávněných osob v areálu společnosti.
Vždy byste měli mít na paměti, že skutečnost, že dokumentace prudce zvyšuje riziko ohrožení informací. Velcí mistři minulosti nikdy nezapisovali tajemství svého umění, ale ústně je předávali svým synům a studentům. Proto tajemství výroby mnoha tehdejších unikátů nebylo dodnes odhaleno.
Stávající akce prováděné s informacemi, které mohou obsahovat hrozbu: sběr, modifikace, únik a zničení. Tyto akce jsou základní pro další zvážení. Při dodržení přijaté klasifikace rozdělíme všechny zdroje ohrožení na vnější a vnitřní.
Vnitřní a vnější hrozby
Vnitřním pachatelem může být osoba z následujících kategorií zaměstnanců servisních útvarů: servisní personál (správci systému odpovědní za provoz a údržbu hardwaru a softwaru); Programátoři údržby systémového a aplikačního softwaru; technický personál (pracovníci veřejných služeb, uklízečky atd.); zaměstnanci podnikových útvarů, kteří mají povolen přístup do prostor, kde se nachází počítačová nebo telekomunikační zařízení.
Zdroje vnitřních hrozeb jsou:
· zaměstnanci organizace;
· software;
· Hardware.
Vnitřní hrozby se mohou projevit v následujících formách:
chyby uživatelů a systémových administrátorů;
porušování stanovených předpisů pro zpracování, přenos a likvidaci informací zaměstnanci společnosti;
chyby v provozu softwaru;
napadení počítačů viry nebo malwarem;
poruchy a poruchy počítačového vybavení.
Externí narušitelé zahrnují osoby, jejichž přítomnost v prostorách se zařízením je nemožná bez kontroly zaměstnanců podniku.
Externí narušitel zachycuje a analyzuje elektromagnetické záření ze zařízení informačního systému.
NA externí zdroje mezi hrozby patří:
· organizace a jednotlivci;
· Přírodní katastrofy;
· člověkem způsobené nehody;
· Páchání teroristických činů.
Formy projevu vnější hrozby jsou: odposlech; analýza a úprava informací; neoprávněný přístup k firemním informacím; monitorování informací konkurenčními strukturami, zpravodajskými a speciálními službami; nehody, požáry, katastrofy způsobené člověkem.
Všechny námi uvedené typy hrozeb (formy projevů) lze rozdělit na úmyslné a neúmyslné, osoby se zájmem a nezájem o výskyt hrozby.
Úmyslné vlivy jsou účelové jednání útočníka způsobené zvědavostí; hackerský útok; zraněná pýcha zaměstnance, pokus o teroristické činy. Narušitelem může být zaměstnanec, návštěvník, konkurent, žoldák, technický personál (pracovníci veřejných služeb, uklízečky atd.).
Příčiny neúmyslných náhodných dopadů během provozu mohou být: havarijní situace v důsledku přírodních katastrof a výpadků elektřiny (přírodní a člověkem způsobené dopady); poruchy a poruchy zařízení; softwarové chyby; chyby v personální práci; rušení komunikačních linek vlivem okolních vlivů.
Podle způsobů ovlivňování objektů informační bezpečnosti podléhají hrozby následujícímu členění: informační, softwarové, fyzické, radioelektronické a organizačně-právní.
NA informační hrozby vztahovat se:
- neoprávněný přístup k informačním zdrojům;
- nelegální kopírování dat v informačních systémech;
- krádeže informací z knihoven, archivů, bank a databází;
- porušení technologie zpracování informací;
- nezákonné shromažďování a používání informací.
Mezi softwarové hrozby patří:
- použití chyb a "děr" v softwaru;
- počítačové viry a malware;
- instalace "hypotečních" zařízení.
Mezi fyzické hrozby patří:
- zničení nebo zničení zařízení pro zpracování a komunikaci informací;
- krádež paměťových médií;
- krádeže softwarových nebo hardwarových klíčů a prostředků na ochranu kryptografických dat;
- dopad na personál.
Mezi elektronické hrozby patří:
- zavádění zařízení pro elektronické odposlechy informací do technických prostředků a prostor;
- zachycení, dešifrování, nahrazení a zničení informací v komunikačních kanálech.
Mezi organizační a právní hrozby patří:
- pořízení nedokonalých nebo zastaralých informačních technologií a informačních nástrojů;
- porušení zákonných požadavků a zpoždění v přijímání nezbytných regulačních rozhodnutí v informační sféře.
Po identifikaci informací, které tvoří obchodní tajemství, a identifikace zdrojů, které mají, vlastní nebo obsahují tyto informace, způsoby neoprávněného přístupu k těmto informacím se identifikují výběrem z daného souboru hlavních způsobů neoprávněného přístupu ke zdrojům důvěrných informací.
Lze identifikovat následující možné kanály pro únik důvěrných informací (obrázek 3):
neoprávněné kopírování důvěrných informací externí média a jeho přemístění mimo kontrolované území podniku. Příklady takových médií jsou diskety, CD-ROMy, Flash disky atd.;
tisk důvěrných informací a odstraňování vytištěných dokumentů mimo kontrolované území.
Je třeba poznamenat, že v tomto případě lze použít jak místní tiskárny, které jsou přímo připojeny k počítači útočníka, tak vzdálené tiskárny, s nimiž se interakce provádí přes síť;
neoprávněný přenos důvěrných informací přes síť na externí servery umístěné mimo kontrolované území podniku. Útočník může například přenést důvěrné informace na externí email resp souborové servery intranet. V tomto případě, aby zamaskoval své jednání, může pachatel odesílané informace nejprve zašifrovat nebo je přenést pod rouškou standardních grafických souborů.
Informační rizika, nejužší definice, jsou rizika ztráty, neoprávněné změny informací v důsledku poruch ve fungování informačních systémů nebo jejich selhání vedoucí ke ztrátám. Informační bezpečnost je stav bezpečnosti informačního prostředí. Ochrana informací je činnost k zamezení úniku chráněných informací, neoprávněným a neúmyslným dopadům na chráněné informace, tedy proces směřující k dosažení tohoto stavu.
Informační bezpečnost podniku zásobování energií bude zajištěna, pokud budou zajištěna minimální informační rizika. Informace pro použití v každodenních činnostech, nedostatek objektivních informací (včetně důvěrných) ze strany vedení podniku nezbytných pro správné rozhodnutí, stejně jako distribuce kýmkoli v vnější prostředí informace, které jsou pro činnost podniku nerentabilní nebo nebezpečné.
Abychom tento problém vyřešili z hlediska systematický přístup Je vhodné vyvinout a zavést v podniku systém minimalizace informačních rizik, což je propojený soubor orgánů, prostředků, metod a opatření, které zajistí minimalizaci rizik úniku a zničení informací nezbytných pro fungování podniku. Hlavní informační rizika jakéhokoli podniku jsou:
riziko úniku a zničení informací nezbytných pro fungování podniku;
riziko použití zkreslených informací v činnostech podniku;
riziko, že vedení podniku nebude mít potřebné (včetně důvěrných) informací pro správné rozhodnutí;
riziko, že někdo rozšíří ve vnějším prostředí informace, které jsou pro podnik nepříznivé nebo nebezpečné.
Hlavní úkoly řešené systémem minimalizace informačních rizik jsou:
identifikace informací, které mají být chráněny;
identifikace zdrojů, které mají, vlastní nebo obsahují tyto informace;
identifikace způsobů neoprávněného přístupu k těmto informacím;
vývoj a implementace organizačních a technických opatření na ochranu důvěrných informací.
Informace společnosti o vzdálenosti dodávky elektřiny mohou mít následující čtyři úrovně důležitosti:
bezvýznamné, tedy informace, jejichž únik nebo zničení nezpůsobí podniku škodu a neovlivní proces jeho fungování.
Riziko úniku a zničení informací nezbytných pro fungování podniku má následující důsledky:
· důvěrné informace, jejichž předání nebo únik neoprávněným osobám způsobí škodu podniku a jeho personálu;
· kritické informace, jejichž absence nebo poškození by to znemožnilo denní práce personál a celý podnik jako celek.
Je zřejmé, že informace prvních tří úrovní důležitosti musí být chráněny a stupeň ochrany by měl být obecně určen úrovní důležitosti informace. Je to dáno především tím, že míra ochrany přímo souvisí s náklady na její implementaci, obecně tedy není ekonomicky výhodné chránit informace nákladnými bezpečnostními opatřeními, pokud jejich únik nebo zničení vede k nevýznamným škodám.
Informace prvních tří úrovní se zpravidla vztahují k obchodnímu tajemství a jsou určeny vedoucím podniku v souladu s nařízením vlády Ruské federace ze dne 5. prosince 1991 č. 35 „O seznamu informací to nemůže představovat obchodní tajemství."
Postup pro identifikaci informací tvořících obchodní tajemství a pro identifikaci zdrojů, které tyto informace vlastní, vlastní nebo obsahují, by měl být následující.
Na základě příkazu podniku jsou vedoucí oddělení pověřeni identifikacemi konkrétních informací, které představují obchodní tajemství v jejich pracovních oblastech, osob, které mají k těmto informacím přístup, jakož i nositelů těchto informací.
Výsledkem této práce by měl být „Seznam informací tvořících obchodní tajemství podniku“ schválený vedoucím podniku s uvedením těchto informací pro každou ze strukturálních divizí; osoby, které jsou nositeli těchto informací; dokumenty obsahující tyto informace, jakož i další (technická) média pro tyto informace, pokud existují.
1.3 Základní ustanovení systému informační bezpečnosti
Analýza stavu věcí v oblasti informací ukazuje, že již vznikla plně vytvořená koncepce a struktura ochrany, jejímž základem je:
velmi rozvinutý arzenál technických prostředků informační bezpečnosti vyráběných na průmyslovém základě;
významný počet firem specializujících se na řešení problémů informační bezpečnosti;
poměrně jasně definovaný systém pohledů na tento problém;
s významnými praktickými zkušenostmi.
A přesto, jak dokládá domácí i zahraniční tisk, záškodnické akce proti informacím nejen neubývají, ale mají i poměrně stabilně vzestupnou tendenci. Zkušenosti ukazují, že pro boj s tímto trendem je nutné:
1. Organická a cílená organizace procesu ochrany informačních zdrojů. Navíc by se na tom měli aktivně podílet odborní specialisté, administrativa, zaměstnanci a uživatelé, což podmiňuje zvýšený význam organizační stránky problematiky. Zajištění bezpečnosti informací navíc nemůže být jednorázový úkon. Jedná se o nepřetržitý proces spočívající ve zdůvodňování a zavádění nejracionálnějších metod, metod a způsobů zlepšování a rozvoje systému ochrany, průběžného sledování jeho stavu, odhalování jeho úzkých míst a slabin a protiprávního jednání;
2. Informační bezpečnost lze zajistit pouze při integrovaném využití celého arzenálu dostupných bezpečnostních prostředků ve všech konstrukčních prvcích výrobního systému a ve všech fázích technologického cyklu zpracování informací. Největšího efektu se dosáhne, když se všechny použité prostředky, metody a opatření sloučí do jediného uceleného mechanismu – systému informační bezpečnosti (IPS). Fungování systému je přitom nutné sledovat, aktualizovat a doplňovat v závislosti na změnách vnějších a vnitřních podmínek.
Systém informační bezpečnosti si tedy můžeme představit jako organizační soubor speciálních orgánů, prostředků, metod a opatření, které zajišťují ochranu informací před vnitřními a vnějšími hrozbami.
Obrázek 4. Model pro vybudování podnikového informačního bezpečnostního systému
Z hlediska systematického přístupu k ochraně informací jsou kladeny určité požadavky. Ochrana informací by měla být:
1. Průběžné. Tento požadavek vyplývá ze skutečnosti, že útočníci pouze hledají možnost, jak obejít ochranu informací, o které mají zájem.
2. Plánováno. Plánování se provádí navržením každé služby podrobné plány ochrana informací v oblasti své působnosti s přihlédnutím k celkovému cíli podniku (organizace).
3. Účelné. Chráněno je to, co by mělo být chráněno v zájmu konkrétního cíle, ne vše za sebou.
4. Specifické. Specifická data, která objektivně podléhají ochraně, jejichž ztráta by mohla organizaci způsobit určitou újmu, podléhají ochraně.
5. Aktivní. Informace je nutné chránit s dostatečnou mírou perzistence.
6. Spolehlivý. Metody a formy ochrany musí spolehlivě pokrývat možné způsoby nepřetržitý přístup k chráněným tajemstvím bez ohledu na formu jejich prezentace, jazyk vyjadřování a typ fyzická média na kterém jsou připevněny.
7. Univerzální. Předpokládá se, že v závislosti na typu únikového kanálu nebo způsobu neoprávněného přístupu musí být blokován, kdekoli se objeví, přiměřenými a dostatečnými prostředky, bez ohledu na povahu, formu a typ informace.
8. Komplexní. Pro ochranu informací ve všech rozmanitých konstrukčních prvcích musí být plně využity všechny typy a formy ochrany. Je nepřípustné používat pouze určité formy nebo technické prostředky.
Komplexnost ochrany vyplývá ze skutečnosti, že ochrana je specifický fenomén, který je složitým systémem nerozlučně propojených procesů, z nichž každý má zase mnoho různých vzájemně se podmiňujících aspektů, vlastností a tendencí.
Aby bylo zajištěno splnění těchto mnohostranných bezpečnostních požadavků, musí systém informační bezpečnosti splňovat určité podmínky:
pokrýt celý technologický komplex informačních činností; se lišit v použitých prostředcích,
víceúrovňové s hierarchickou přístupovou sekvencí; být otevřený změnám a doplnění opatření v oblasti bezpečnosti informací;
být nestandardní, různorodý, při výběru prostředků ochrany nemůžete počítat s neznalostí útočníků o jeho schopnostech;
být jednoduchý pro Údržba a pohodlné pro uživatele;
být spolehlivý, jakékoli poruchy technického vybavení způsobí vznik nekontrolovaných kanálů úniku informací;
být komplexní, mít integritu, což znamená, že ani jedna jeho část nemůže být odstraněna bez poškození celého systému.
Na systém informační bezpečnosti jsou kladeny určité požadavky:
jasná definice pravomocí a práv uživatele pro přístup k určitým informacím;
poskytnout uživateli minimální oprávnění nezbytné k výkonu přidělené práce;
minimalizace počtu ochran sdílených více uživateli;
zaznamenávání případů a pokusů o neoprávněný přístup k důvěrným informacím;
zajištění posouzení stupně důvěrnosti informací;
zajištění kontroly celistvosti ochranných prostředků a okamžité reakce na jejich poruchu.
Systém informační bezpečnosti, jako každý systém, musí mít určité typy vlastní podpory, na které bude vykonávat svou práci. cílová funkce. Vezmeme-li toto v úvahu, systém informační bezpečnosti může mít:
1. Právní podpora. Patří sem regulační dokumenty, předpisy, pokyny, směrnice, jejichž požadavky jsou závazné v pravidlech jejich působnosti.
2. Organizační podpora. To znamená, že implementaci informační bezpečnosti provádějí určité strukturální jednotky – např. služba zabezpečení dokumentů; režimová, přístupová a bezpečnostní služba; služba zabezpečení informací technickými prostředky; informační a analytické služby a další.
3. Hardware. Předpokládá se široké využití technických prostředků jak k ochraně informací, tak k zajištění provozu systému bezpečnosti informací.
4. Informační podpora. Zahrnuje informace, data, ukazatele, parametry, které jsou základem řešení problémů zajišťujících fungování systému. To může zahrnovat jak ukazatele přístupových, účetních, úložných a informačních podpůrných systémů pro úkoly zúčtování různého charakteru související s činnostmi informační podpůrné služby.
5. Software. Zahrnuje různé informační, účetní, statistické a výpočetní programy, které poskytují hodnocení přítomnosti a nebezpečí různých únikových kanálů a způsobů neoprávněného pronikání ke zdrojům důvěrných informací;
6. Matematický software. Zahrnuje použití matematických metod pro různé výpočty související s hodnocením nebezpečnosti technických prostředků útočníků, zón a standardů nutné ochrany.
7. Jazyková podpora. Soubor speciálních jazykových prostředků komunikace mezi specialisty a uživateli v oblasti informační bezpečnosti.
8. Regulační a metodická podpora. Patří sem normy a předpisy pro činnost orgánů, služeb, nástroje, které implementují funkce informační bezpečnosti, různé techniky, které zajišťují činnost uživatelů při výkonu jejich práce za přísných požadavků na informační bezpečnost.
Pouze bezpečnostní systém může uspokojit moderní požadavky na zajištění činnosti podniku a ochranu jeho důvěrných informací. Bezpečnostním systémem rozumíme organizační soubor speciálních orgánů, služeb, prostředků, metod a opatření, které zajišťují ochranu životních zájmů jednotlivce, podniku a státu před vnitřními a vnějšími hrozbami.
Jako každý systém má i systém informační bezpečnosti své vlastní cíle, cíle, metody a prostředky činnosti, které jsou koordinovány v místě a čase v závislosti na podmínkách.
Chápat informační bezpečnost jako „stav bezpečnosti informačního prostředí společnosti, zajišťující jeho utváření, využívání a rozvoj v zájmu občanů a organizací“, je legitimní identifikovat hrozby informační bezpečnosti, zdroje těchto hrozeb, způsoby jejich realizace a cíle, jakož i další podmínky a jednání narušující bezpečnost . Je přitom přirozené zvažovat opatření na ochranu informací před protiprávním jednáním vedoucím ke škodě.
Praxe ukazuje, že pro analýzu takto významného souboru zdrojů, objektů a akcí je vhodné použít metody modelování, ve kterých se tvoří jakási „náhrada“ reálných situací. Je třeba si uvědomit, že model nekopíruje originál, je jednodušší. Model musí být dostatečně obecný, aby se dal popsat skutečnou akci s přihlédnutím k jejich složitosti.
závěry: Jak ukazují zahraniční i domácí zkušenosti, i přes stále rozšířenější zavádění nových informačních technologií do praxe podniků jsou hlavním zdrojem úniku informací zaměstnanci těchto podniků.
V souvislosti s takovou situací je proto nutné chápat, že v podniku je prakticky nemožné vytvořit podmínky, které zcela vylučují neoprávněný přístup k tomuto zdroji omezených informací, lze pouze výrazně omezit jeho roli mezi ostatními zdroji informací. úniku důvěrných informací.
V důsledku toho jsou hrozby pro omezené informace vždy reálné, jsou velmi různorodé a vytvářejí předpoklady pro ztrátu informací.
Podle Computer Security Institute (CSI) a FBI je více než 50 % průniků dílem vlastních zaměstnanců společností. Pokud jde o četnost narušení, 21 % respondentů uvedlo, že zaznamenali opakování „útoků“. Neoprávněná úprava dat byla nejčastější formou útoku a byla používána především proti zdravotnickým a finančním institucím. Více než 50 % respondentů považuje konkurenty za pravděpodobný zdroj „útoků“. Největší význam přikládají respondenti faktům odposlechu, pronikání do informačních systémů a „útokům“, kdy „útočníci“ falšují zpáteční adresu, aby přesměrovali pátrání na nezúčastněné osoby. Takovými útočníky jsou nejčastěji nespokojení zaměstnanci a konkurenti.
Analýza informačních rizik ukazuje, že jsou spojena s důvěrnými informacemi.
Některé z důvodů, které nejsou dostatečně zohledněny, například osobní nepřátelství vůči vedoucímu podniku, zhoršení obchodních vazeb mezi podniky, mohou vést k tomu, že se v médiích objeví nepříznivé a v některých případech nebezpečné informace pro podnik. Pro eliminaci nebo alespoň snížení rizika šíření těchto informací konkurenčními podniky je proto nutné proaktivně šířit některé pravdivé informace, v některých případech i dezinformace.
I přes obsáhlost tématu se v procesu zlepšování systému řízení informačních rizik vždy vynoří mnoho otázek. Smyslem vybudování procesu analýzy rizik není pouze je identifikovat, posoudit důsledky jejich případné implementace, zajistit jejich zpracování a následně systematicky provádět další efektivní monitoring. Ale také v zajištění standardizace přístupu k rizikům ve všech aspektech činnosti společnosti, pohodlné a rychlé získání uceleného obrazu o situaci s informačními riziky ve společnosti v jakémkoli období její činnosti. A také ve zvyšování konkurenční atraktivity společnosti prostřednictvím rychlé a adekvátní reakce na všechny nově vznikající hrozby, ve zvyšování důvěry uvnitř společnosti samotné mezi obchodem a bezpečností.
2. Organizace ochrany podnikového informačního systému Vzdálenosti napájení na základě standardních řešení
2.1 Předměty a předměty ochrany
Pokud jde o vzdálenost napájecího zdroje, zdroje, které jsou důležité pro život, a proto jsou chráněny, jsou:
1) lidé (podnikový personál);
2) majetek: dokumentace, materiální a finanční majetek, vzorky hotových výrobků, duševní vlastnictví(know-how), počítačové vybavení a další;
3) Informace: zapnuto hmotná média, jakož i cirkulace v interních komunikačních kanálech komunikace a informací, v kancelářích vedení podniku, na schůzkách a zasedáních;
4) Finanční a ekonomické zdroje, které zajišťují efektivní a udržitelný rozvoj podniku (obchodní zájmy, podnikatelské záměry, smluvní dokumenty a závazky atd.).
Hodnoty podléhající ochraně, jako jsou omezené informace, bankovní tajemství, osobní údaje, úřední tajemství, obchodní tajemství, státní tajemství, vnitřní informace a další informace, pro které je stanoven režim povinné mlčenlivosti a odpovědnosti za jejich zveřejnění.
Cenná jsou také data, která jsou vytvářena nebo využívána v korporacích informační síť jako jsou vědecké, technické a technologické informace související s činnostmi podniku.
Úplný seznam informace tvořící obchodní tajemství stanoví nad rámec příslušných předpisů vedoucí útvarů ochrany informací.
Kategorie „důvěrné“ zahrnují informace, které splňují následující kritéria:
nejsou veřejnosti obecně známé nebo legálně dostupné;
výhradní držení těchto informací poskytuje organizaci obchodní výhody, ekonomické a jiné výhody a zpřístupnění popř otevřené použití které mohou vést k poškození (materiální, morální, fyzické) organizace, jejích klientů nebo korespondentů (obchodní tajemství).
Bankovnictvítajný Jedná se o informace o transakcích, účtech a vkladech, bankovní spojení, jakož i informace o klientech a korespondentech Banky, které podléhají povinné ochraně.
Servistajný označuje informace, ke kterým je přístup omezen státními orgány a federálními zákony, a odkazuje na informace, které nejsou bankovním tajemstvím a podléhají povinné ochraně v souladu se seznamem zakázaných informací.
Komerčnítajný organizací se rozumí informace související s vědeckými, technickými, technologickými, výrobními, finančními, ekonomickými nebo jinými informacemi, které mají skutečnou nebo potenciální obchodní hodnotu z důvodu jejich neznámosti třetím osobám, ke kterým není volný přístup legálně a ve vztahu k nimž vlastník takové informace zavedl režim obchodního tajemství. Jejich zveřejnění (přenos, únik, otevřené použití) může vést k poškození organizace, státu, jejích klientů nebo korespondentů, protistran Ruských drah JSC.
Osobnídata označuje informace o skutečnostech, událostech a okolnostech v soukromém životě občanů, které umožňují identifikaci jejich identity.
Státtajný- podle definice přijaté v ruské legislativě informace chráněné státem v oblasti jeho vojenských, zahraničněpolitických, ekonomických, zpravodajských, kontrarozvědných, operačně-pátrání a dalších činností, jejichž šíření by mohlo poškodit bezpečnost státu.
Člověk zevnitřinformace- (angl. Insider information) - významné veřejně nezveřejněné vlastnické informace společnosti, které by v případě zveřejnění mohly ovlivnit tržní hodnotu cenných papírů společnosti. Může se jednat o: informace o připravované změně managementu a nové strategii, o přípravách na uvedení nového produktu a zavedení nové technologie, o úspěšných jednáních o fúzi společností nebo probíhajícím nákupu kontrolního podílu; materiálů účetní závěrky, prognózy naznačující potíže společnosti; informace o nabídce (v aukci) před jejím zveřejněním atd.
Informaceomezenýpřístup jsou informace cenné pro svého vlastníka, k nimž je právně omezen přístup. Informace s omezeným přístupem se dále dělí na informace představující státní tajemství a informace, jejichž důvěrnost je stanovena federálním zákonem (důvěrné informace).
PrávníAodkazinformace, obchodní korespondence, přenos reportovacích účetních informací mezi uživatelskými pracovišti a databázovým serverem v rámci automatizovaných systémů SAP R/3 pro finanční, ekonomický a technický úsek.
Podnikové informace mohou mít následující čtyři úrovně důležitosti:
životně důležité, tedy informace, jejichž únik nebo zničení ohrožuje samotnou existenci podniku;
důležité, tedy informace, jejichž únik nebo zničení vede k velkým nákladům;
užitečné, tedy informace, jejichž únik nebo zničení způsobí nějakou škodu, ale podnik může docela efektivně fungovat i poté;
bezvýznamné, tedy informace, jejichž únik nebo zničení nezpůsobí podniku škodu a neovlivní proces jeho fungování.
2.2 Organizační opatření v systému bezpečnosti informací
Organizačně-právní dokumenty a metody upravují celý technologický cyklus práce JSC Russian Railways od metodiky výběru personálu a jeho najímání např. na smluvním základě až po předpisy o funkční odpovědnosti jakýkoli zaměstnanec. Každý podnikový pokyn nebo předpis musí přímo či nepřímo řešit otázky bezpečnosti a ovlivnit funkčnost a účinnost ochranného systému.
Důležitým zdrojem úniku důvěrných informací jsou různé druhy dokumentů. Zde je třeba vzít v úvahu, že poměrně rychlý rozvoj informačních technologií vedl ke vzniku nových typů nosičů informací o dokumentech: počítačových tiskovin, paměťových médií a podobně. Přitom důležitost v komerční aktivity A tradiční typy papírové dokumenty: smlouvy, dopisy, analytické posudky.
Vznik nových nosičů dokumentových informací vedl nejen ke vzniku nových obtíží při řešení problematiky zajištění ochrany informací před neoprávněným přístupem k jejich obsahu, ale také k novým možnostem zajištění garantované ochrany těchto informací. Hovoříme zde především o ukládání zvláště důležitých informací o dokumentu na média ve formě převedené pomocí kryptografických transformací.
V rámci těchto opatření byly vypracovány a implementovány organizační a administrativní dokumenty na Power Supply Distance, které definují seznam zdrojů důvěrných informací a také seznam těch opatření, která je třeba zavést, aby bylo možné čelit.
Organizační dokumenty jsou politikou bezpečnosti informací, popis práce zaměstnanci firmy, předpisy pro práci na osobním počítači.
Za tímto účelem společnost JSC Russian Railways dokončila následující organizační úkoly:
Vytvořeno právní základ zajištění ochrany informací implementací:
- zavedení dodatků ke stanovám podniku, které dávají vedení podniku právo: vydávat regulační a administrativní dokumenty upravující postup při určování informací, které představují obchodní tajemství, a mechanismy jejich ochrany;
- dodatky ke „Kolektivní smlouvě“ s ustanoveními stanovujícími povinnosti správy a zaměstnanců podniku související s vypracováním a prováděním opatření ke stanovení a ochraně obchodního tajemství;
- dodatky k „Pracovní smlouvě“ s požadavky na ochranu obchodního tajemství a vnitřními předpisy, včetně požadavků na ochranu obchodního tajemství;
- poučení najatých osob o pravidlech zachování obchodního tajemství s plněním písemné povinnosti mlčenlivosti.
- vyvození správní nebo trestní odpovědnosti porušovatelů požadavků na ochranu obchodního tajemství v souladu s platnou legislativou.
- zahrnout požadavky na ochranu obchodního tajemství do smluv pro všechny druhy obchodních činností;
- požadovat ochranu zájmů podniku před vládními a soudními orgány;
- nakládat s informacemi, které jsou majetkem podniku, za účelem získání výhod a předcházení hospodářským škodám podniku;
- školení zaměstnanců v pravidlech ochrany informací s omezeným přístupem;
- pečlivý výběr zaměstnanců pro práci v systému řízení kanceláře;
- vytvoření příznivých vnitřních podmínek v podniku pro zachování obchodního tajemství;
- identifikovat a stabilizovat fluktuaci zaměstnanců, obtížné psychické klima v týmu;
- zajištění posouzení stupně důvěrnosti informací;
- odstranění z práce související s obchodním tajemstvím osob porušujících stanovené požadavky na jeho ochranu;
- upozornit každého zaměstnance podniku na „Seznam informací tvořících obchodní tajemství podniku“;
- zajištění bezpečného uložení dokumentů a jejich včasné zničení, jakož i kontrola dostupnosti dokumentů a sledování včasnosti a správnosti jejich provedení;
- návrhy a verze dokumentů likviduje osobně exekutor, který je osobně odpovědný za jejich zničení. Ničení se provádí pomocí standardních strojů na řezání papíru nebo jinými metodami, které vylučují možnost čtení.
- ukládání důvěrných informací na nosiče a v paměti osobního elektronického počítače v převedené podobě pomocí kryptografických transformací.
Pro vyloučení neoprávněného přístupu k tomuto zdroji informací se proto používají tradiční i netradiční metody, a to:
· bezpečnost území, prostor a kanceláří, jakož i účinná kontrola vstupu do nich;
· zavedení jasné organizace systému kancelářské práce.
Informace tvořící obchodní tajemství zahrnují:
- informace o finančních a ekonomických činnostech;
- informace o provozních a výrobních činnostech;
- informace o řídících činnostech;
- informace o personální činnosti;
- informace o kontrolní a auditorské činnosti;
- informace o signalizaci a komunikacích, elektrifikaci, energetice;
- informace o smluvní práci;
- informace o výsledcích vlastního výzkumu;
- informace o lékařských činnostech;
- Informace o ochraně informací a zařízení ruských drah JSC.
Zajistěte, aby její zaměstnanci a nezávislí dodavatelé využívali počítače a telekomunikační zdroje organizace k zamýšlenému účelu. Všichni uživatelé počítačů mají odpovědnost používat počítačové zdroje obratně, efektivně, eticky a legálně. Porušení podnikové bezpečnostní politiky má za následek disciplinární řízení, včetně propuštění a/nebo trestního řízení.
Bezpečnostní zásady nejsou běžná pravidla, která jsou již každému jasná. Předkládá se ve formě seriózního tištěného dokumentu. A aby uživatelé neustále připomínali důležitost bezpečnosti, každý zaměstnanec si uchovává kopie tohoto dokumentu, aby tato pravidla měl vždy na očích na svém pracovním stole.
Firemní bezpečnostní politika
· Volný přístup informace tvořící bankovní, obchodní a úřední tajemství Banky jsou uzavřeny za účelem ochrany důvěrných informací a fyzické ochrany jejich nosičů.
· Organizace jako vlastník (držitel) informací přijímá opatření k ochraně bankovního tajemství, osobních údajů, úředních tajemství, svých obchodních tajemství a dalších informací v souladu s právy a povinnostmi, které jí přiznává platná legislativa.
Podobné dokumenty
Analýza obchodního a personálního systému společnosti, účetnictví a úrovně zabezpečení podnikového informačního systému osobních údajů. Vývoj subsystému technických opatření k ochraně směrování, přepínání a firewallu ISDN.
práce v kurzu, přidáno 07.08.2014
Analýza objektu informatizace. Politika bezpečnosti informací. Subsystémy technickou ochranu informace: kontrola přístupu, video dohled, bezpečnostní a požární alarmy, ochrana proti úniku přes technické kanály, ochrana podnikové sítě.
prezentace, přidáno 30.01.2012
Analýza modelu podnikového informačního a telekomunikačního systému. Typy hrozeb informační bezpečnosti. Cíle a cíle informační bezpečnosti v podniku. Vývoj postupů pro monitorování systému řízení bezpečnosti informací v podnikové síti.
práce, přidáno 30.06.2011
Bezpečnostní analýza podnikových sítí na bázi ATM, architektura bezpečnostních objektů v technologii. Model pro vybudování podnikového informačního bezpečnostního systému. Metodika hodnocení ekonomické efektivity využívání systému. Metody pro snížení rizika ztráty dat.
práce, přidáno 29.06.2012
Analytický přehled podnikové sítě. Analýza stávající síť, informační toky. Požadavky na administrační systém a značení prvků LAN. Vývoj ochrany systému proti neoprávněnému přístupu. Pokyny pro správce systému.
práce, přidáno 19.01.2017
Koncepce antivirové ochrany informační infrastruktury, typy možných hrozeb. Charakteristika softwaru používaného v PJSC "ROSBANK". Prostředky ochrany bankovních informačních zdrojů před ohrožením integrity nebo důvěrnosti.
práce v kurzu, přidáno 24.04.2017
Rozvoj vysokorychlostní podnikové informační sítě na bázi ethernetových linek se segmentem mobilní obchod pro společnost Monarch LLC. Činnosti pro instalaci a provoz zařízení. Výpočet technicko-ekonomických ukazatelů projektu.
práce v kurzu, přidáno 11.10.2011
Struktura podnikového informačního systému organizace. Vývoj adresního prostoru a systému DNS. Struktura domény CIS. Výběr hardwaru a softwarovou konfiguraci pracovní stanice a serverová zařízení. Konfigurace standardních služeb.
práce v kurzu, přidáno 29.07.2013
Fyzické médium pro přenos dat v lokálních sítích. Firemní informační síť. Telekomunikační zařízení a podnikové počítače. Rozvoj podnikové informační sítě na základě analýzy moderních informačních technologií.
práce, přidáno 07.06.2015
Relevance otázek bezpečnosti informací. Software a Hardware sítě společnosti Mineral LLC. Budování modelu podnikového zabezpečení a ochrany před neoprávněným přístupem. Technická řešení ochrany informačního systému.
Heterogenita sféry činnosti různých organizací, firem, bank vyžaduje objektivně specifikovat strategie ochrany informací a jejich řízení v případě závažného narušení nebo krize. Tento přístup podporuje rozvoj různých konceptů informační bezpečnosti v závislosti na velikosti organizace (malá, střední, velká), oblastech činnosti (finanční, bankovní, výrobní, obchodní) a národních a regionálních charakteristikách. Analýza informačních rizik zahrnuje určení toho, co je třeba chránit, před kým a jak to chránit. Racionální úroveň informační bezpečnosti je volena především z důvodů ekonomické proveditelnosti.
Korporace je sdružení organizací a jednotlivců založené na společných profesních zájmech, jedna z forem akciové společnosti pro velké podniky včetně bankovnictví.
Velké korporace se vyznačují složitou, geograficky distribuovanou strukturou s víceúrovňovou a vícečlánkovou strukturou. Rozsah činnosti a objemy produktů a služeb mohou být regionální nebo globální.
Charakteristickým a charakteristickým rysem podnikových počítačových sítí je, že jejich výstavba obvykle trvá několik let. V takových sítích fungují zařízení různých výrobců a různých generací, tzn. zařízení, nejmodernější i zastaralé, ne vždy zpočátku zaměřené na spolupráci, přenos a zpracování dat. S tím, jak se podnikové sítě kvantitativně i kvalitativně rozvíjejí, je úkol jejich správy stále složitější a vyžaduje nové způsoby řízení sítí v rámci celého podniku. Tyto nástroje musí být nezávislé na protokolu, škálovatelné a musí poskytovat centralizovanou správu sítě.
V současné době spotřebitelé hledají řešení, jak sjednotit nesourodé pobočky nejen v rámci jedné korporace, ale i regionů po celé zemi. Hlavním cílem sloučení poboček je vytvoření jednotného informačního prostoru a společných obslužných funkcí. Moderní řešení nám umožňují poskytovat spotřebitelům jednotný systém správa a kontrola (monitorování) podnikových síťových zdrojů, snižování nákladů, integrace datových a telefonních sítí, ochrana před neoprávněným přístupem.
Informační zdroj na podnikové úrovni je obzvláště zranitelný a vyžaduje vysoce kvalitní a spolehlivou ochranu, protože informační struktura organizací podnikového typu je heterogenní a skládá se ze souboru distribuovaných systémů, technologií, databází a databází a místních úloh.
Ve velkých organizacích mají různé typy činností různou informační podporu. Data z různých kateder (při absenci jejich integrace) mohou být duplikována, uložena v různých formátech, vzájemně se doplňovat v některé tematické oblasti a zároveň být nepřístupná specialistům atd. Společnost často nemá možnost využívat celou škálu informačních zdrojů naplno. Tato situace ztěžuje, komplikuje a prodražuje vytváření a spolehlivý provoz ochranných systémů.
Vzhledem k tomu, že kdysi se u nás problémy bezpečnosti informačních technologií řešily především z důvodu ochrany státního tajemství, vyžadují nyní konkrétní problémy ochrany bankovnictví či jiných podniků naléhavě řešení a teprve nyní dochází k jejich integraci do světového systému. Ochrana informací v konkrétní oblasti obchodní činnosti má řadu významných rysů souvisejících s dopadem informační bezpečnosti na organizaci. Nejdůležitější z nich:
Priorita ekonomických, tržních faktorů a majetkových vztahů;
Použití otevřených systémů, vytvoření subsystému informační bezpečnosti s využitím nástrojů široce dostupných na trhu;
Právní význam informací, které poskytují právní ochranu dokumentů, informačních zdrojů, informační procesy v souladu se zavedenou legislativou Ruské federace.
Potřeba výměny informací nejen mezi geograficky rozptýlenými uživateli korporace, ale také s vnějším světem, vyžaduje využití globálních světových sítí. Při připojení k internetu práce s jeho službami výrazně zvyšuje pole ohrožení informací zpracovávaných v korporaci.
Internetové služby se dělí na otevřené a uzavřené. Otevřená služba zahrnuje interakci uživatelů korporací s externími strukturami. Uzavřená služba platí pro uživatele podnikové sítě, včetně vzdálených. Integrovaná internetová služba poskytuje služby uzavřeného i otevřeného typu.
Pro účely informační bezpečnosti společnosti je vytvořena potřebná infrastruktura, používají se spolehlivé programy pro interakci s internetem, což vyžaduje dodržování následujících pravidel, když společnost pracuje s internetem:
Pečlivě si uložte heslo a změňte jej, pokud máte podezření;
Během komunikační relace nenechávejte počítač bez dozoru;
Po obdržení nezbytné informace, úplně ukončete komunikační relaci před návštěvou jiných stránek;
Používejte šifrování zpráv vyskytujících se v síti a další.
Při vytváření podnikových sítí je zohledňována legislativa ochrany informací a jsou vypracovány standardy odpovědnosti za porušení bezpečnosti informací. Moderní počítačová globalizace sítí je prakticky nikým nekontrolovaný prostor, který je neustále doplňován megabajty různých informací. Pod rouškou užitečných informací jsou počítače infikovány různými viry (malware). Prostřednictvím internetu mohou být lidé napadeni, odcizena důvěrná data, zničeny databáze atd.
Můžeme formulovat následující základní požadavky na ochranu podnikových sítí a informačních objektů před malware.
Používání licencovaného softwaru, hardwaru a bezpečnostních nástrojů.
Provádění certifikace informačních objektů pro shodu s požadavky regulačních dokumentů o ochraně, včetně testování na přítomnost nedeklarovaných schopností.
Stanovení a stanovení seznamu softwarových nástrojů přijatelných k použití, kategorický zákaz používání softwaru, který není součástí balení.
Používání moderních antivirových antimalwarových nástrojů k ochraně a zajištění jejich včasných aktualizací.
Vypracování nezbytných organizačních a administrativních dokumentů k ochraně objektů před malwarem a specifikace metod prevence, aby se zabránilo jejich vstupu do sítě, aby byla zajištěna informovanost uživatelů o společné rysy výskyt malwaru.
Vývoj metod pro zálohování, ukládání a obnovu softwaru a informačních zdrojů v případě, že jsou infikovány nebo poškozeny viry, při zajištění spolehlivého uložení originálních vzorků softwaru a informačních zdrojů na bezpečném místě.
Zajištění pravidelných kontrol počítačového vybavení na napadení malwarem.
Vedle legislativní roviny je neméně důležitá rovina manažerská. Vedení každé korporace si musí být vědomo nutnosti udržovat bezpečnostní režim a alokovat pro tento účel vhodné zdroje. Hlavní věc, kterou musí úroveň managementu implementovat, je vytvořit politiku bezpečnosti informací, která odpovídá obecnému směřování podniku.
Hlavním cílem opatření přijatých na úrovni řízení je formulovat pracovní program v oblasti informační bezpečnosti a zajistit jeho realizaci. Úkolem managementu je alokovat potřebné zdroje a sledovat stav věcí. Základem programu je víceúrovňová bezpečnostní politika, která odráží přístup organizace k ochraně jejích informačních aktiv a zájmů. Používání informačních systémů je spojeno s určitým souborem rizik. Pokud je riziko nepřijatelně vysoké, musí být přijata ochranná opatření. Pravidelné přehodnocování rizik je nezbytné pro sledování účinnosti bezpečnostních činností a zohlednění měnících se podmínek.
Pro udržení režimu informační bezpečnosti jsou zvláště důležitá softwarová a hardwarová opatření a nástroje, protože v nich spočívá hlavní hrozba pro počítačové systémy: selhání hardwaru, softwarové chyby, chyby uživatelů a správců atd.
Klíčové mechanismy pro zajištění informační bezpečnosti podnikových sítí jsou:
Identifikace a ověřování;
Řízení přístupu;
Nahrávání a nahrávání;
Kryptografie a ochrana sítě;
Stínění.
Stínění v podnikových sítích se provádí pomocí firewallů. Brána firewall zabraňuje uživatelům porušovat pravidla zabezpečení informací nastavená správci. Obrazovka neumožňuje přístup k serverům, které nejsou vyžadovány pro plnění uživatelských povinností.
Firewally lze implementovat softwarově i hardwarově. Softwarové implementace levnější, ale méně produktivní a vyžadují značné zdroje počítačového systému. Hardwarové firewally jsou vyráběny jako speciální hardwarové a softwarové technické komplexy fungující pod kontrolou specializovaných nebo konvenčních operačních systémů upravených pro plnění ochranných funkcí.
1. Musíte se zaměřit pouze na certifikované produkty.
2. Měli byste si vybrat dodavatele zabezpečovacího systému, který bude poskytovat celou škálu služeb, tzn. nejen prodej a záruky poskytované každým, ale i instalační a konfigurační služby (v případě potřeby), školení zaměstnanců pro práci s ochrannými prostředky a podpora nakupovaných systémů.
3. Vyberte si bezpečnostní systém, který poskytuje řízení přístupu v různých operačních systémech.
4. Měli byste se zaměřit na systémy s nejlepšími výkonnostními charakteristikami, jako jsou: vysoká spolehlivost, kompatibilita s různým softwarem, minimální snížení výkonu pracovní stanice, povinná dostupnost prostředků pro centralizovanou správu ochranných mechanismů z pracoviště bezpečnostního správce, promptní upozornění správce o všech událostech nesouladu na pracovních stanicích.
5. Při výběru dbejte nejen na cenu takových prostředků, ale také na výši předpokládaných výdajů na jejich provoz a údržbu.
Zpracování informací, které tvoří obchodní tajemství, vyžaduje zajištění jejich bezpečnosti a pečlivou návrhářskou práci ve fázi vytváření IP. Návrh zahrnuje: kontrolu automatizovaného systému a vývoj organizačních a administrativních dokumentů; výběr, pořízení, instalace, konfigurace a provoz ochranných prostředků; školení personálu pro práci s dostupnými ochrannými prostředky; informační služba o bezpečnostních otázkách; periodický audit systému bezpečnosti informací.
Je vhodné, aby takovou práci prováděli odborníci, protože chybné výpočty ve fázi průzkumu a návrhu systému informační bezpečnosti mohou mít za následek vážné problémy a ztráty během jeho výstavby a provozu.
S ohledem na zvláštnosti podnikové sítě by vypracované dokumenty měly zajistit řešení následujících úkolů:
Ochrana před průnikem do podnikové sítě a před únikem informací ze sítě komunikačními kanály;
Vymezení informačních toků mezi segmenty sítě;
Ochrana nejkritičtějších síťových zdrojů před rušením normální proces fungování;
Ochrana důležitých úloh a zdrojů před neoprávněným přístupem (NSD);
Kryptografická ochrana nejdůležitějších informačních zdrojů.
V současné době neexistuje jediné hotové řešení (hardwarové, softwarové či jiné), které by zajišťovalo implementaci funkcí všech uvedených úloh současně.
To je vysvětleno tím, že jednak se výrazně liší požadavky každého konkrétního uživatele na provedení určitých ochranných opatření, jednak je každý z úkolů řešen pomocí specifických prostředků. Podívejme se na některé nástroje, které tyto funkce implementují.
Ochrana proti průniku do sítě a úniku informací ze sítě. Hlavním prostředkem implementace takové hrozby je kanál spojující podnikovou síť s globálním internetem.
Nejběžnějším řešením je použití firewallů. Umožňují definovat a implementovat pravidla řízení přístupu pro externí i interní uživatele podnikové sítě, v případě potřeby skrýt strukturu sítě před externím uživatelem, blokovat odesílání informací na „zakázané“ adresy a nakonec jednoduše kontrolovat použití. internetu.
Vymezení informačních toků mezi segmenty sítě. V závislosti na povaze informací zpracovávaných v konkrétním segmentu sítě a na způsobu interakce mezi segmenty je implementují různé varianty. Nejběžnější je použití firewallů, které se doporučuje při organizaci interakce mezi segmenty přes internet. Jako pravidlo, tato metoda používá se, když síť již má firewally navržené pro řízení informačních toků mezi vnitřní sítí a Internetem, což pomáhá předcházet zbytečným nákladům – možnosti dostupných nástrojů jsou plně využity.
Ochrana nejkritičtějších síťových zdrojů před rušením běžného provozu je nejvyšší prioritou. Nejkritičtějšími zdroji v podnikové síti jsou servery. Hlavním způsobem, jak narušit jejich normální fungování, je provádět útoky pomocí zranitelností v síťovém hardwaru a softwaru. V tomto případě může být útok proveden jak z externího (internetu), tak z vnitřní síť, například jeden ze zaměstnanců. Hlavní problém spočívá nejen ve včasném odhalení a zaregistrování útoku, což umí mnoho nástrojů, ale také v boji proti němu, protože i dopadení útočníka (na základě výsledků registrace) poslouží jako malá útěcha, síť je na nějakou dobu paralyzována kvůli úspěšnému útoku.
Ochrana důležitých úloh a zdrojů před neoprávněným přístupem má následující funkce. Dosud fungovalo a funguje mnoho automatizovaných systémů, které se zaměřují pouze na vestavěné obranné mechanismy různé operační systémy (zpravidla síťové), což poskytuje dostatečnou ochranu (při správné správě) informací na serverech. Ale počet serverů v podnikové síti je 1-3% z celkového počtu pracovních stanic, na kterých se zpracovávají chráněné informace. Naprostá většina pracovních stanic (cca 90 %) přitom běží na MS DOS nebo Windows a nemá žádná bezpečnostní opatření, jelikož tyto operační systémy neobsahují vestavěné bezpečnostní mechanismy.
Nastává situace - na nechráněném pracovišti může být zpracován důležitá informace, k nimž není přístup nijak omezen. Právě v těchto případech se doporučuje použít doplňkové prostředky ochrany, zejména prostředky kryptografické ochrany (k ochraně kryptografických klíčů); regulace a protokolování uživatelských akcí; diferenciace uživatelských práv pro přístup k místním zdrojům.
Nejdůležitější informační zdroje podléhají kryptografické ochraně. Šifrování je spolehlivý způsob, jak chránit data před přístupem a používáním jiných lidí pro své vlastní účely. Zvláštností takových fondů v Rusku je, že jejich použití je přísně regulováno zákonem. Informační produkty určené pro šifrování v podnikových sítích jsou v současné době instalovány pouze na těch pracovních stanicích, kde jsou uloženy velmi důležité informace nebo jsou zpracovávány elektronické hotovostní platby (např. v systémech Bank-Klient).
Pro komplexní ochranu podnikových informačních systémů a technologií se doporučuje používat software a hardware velké společnosti. Jsou schopni poskytovat ucelenější škálu služeb a zařízení a technologicky vyspělejším způsobem.
Vzhledem k tomu, že ochrana informací v korporacích je složitý problém, žádné prostředky digitálního podpisu a šifrování nepomohou, pokud se neberou v úvahu ostatní součásti ochrany. Většina podnikových struktur prakticky nepovažuje hrozbu úniku informací technickými kanály (prostřednictvím napájecích systémů, telefonních linek, inženýrských staveb, zařízení pro tajný záznam informací atd.) za reálnou, i když podle řady organizací zabývajících se problémy s bezpečností informací, je to dnes jeden z nejběžnějších kanálů krádeží informací.
Za kontrolu kvality informační bezpečnosti na pracovištích odpovídají organizace, které prošly speciální zkouškou a jsou akreditovány v obecném certifikačním systému. Nesou plnou právní a finanční odpovědnost za své činy. V současné době existují na trhu služeb v této oblasti dvě kategorie organizací: ty, které mají licenci, ale nejsou akreditovány Státní technickou komisí (v současnosti Federální službou pro technickou a exportní kontrolu) jako certifikační orgán, a ty které mají jak licenci, tak akreditaci. Rozdíl mezi nimi je v tom, že oba sice mohou provádět kontroly organizací spadajících do první kategorie (nejčastěji se jedná o subdodavatelské organizace), ale nemají právo schvalovat certifikát shody a musí o to požádat některou z certifikačním orgánům, nebo přímo Státní technické komisi.
Každý podnik a banka v závislosti na konkrétních podmínkách svého fungování vyžaduje personalizovaný systém zabezpečení informací. Vybudování takového systému je možné pouze u firem, které mají licenci pro uvedený druh činnosti.
Na příkladu banky musí být personalizovaný systém zabezpečení informací adekvátní úrovni důležitosti a utajení informací. Jeho cena by neměla přesáhnout možnou škodu z narušení bezpečnosti chráněných informací. Ale zároveň by překonání bezpečnostního systému mělo být ekonomicky neúčelné ve srovnání s možnými přínosy ze získání přístupu, zničení, modifikace nebo zablokování chráněných informací. Pro stanovení přiměřenosti nákladů na systém ochrany by se měl rozsah poškození a pravděpodobnost jeho vzniku porovnat s náklady na zajištění ochrany. Protože skutečné náklady Informace je poměrně obtížné vyhodnotit, proto se často používá kvalitativní expertní posouzení. Informační zdroje jsou při podnikání klasifikovány jako kritické, pokud jsou v nějaké záležitosti zvláště důležité atd.
Úroveň zabezpečení informací by měla být formálně určena na základě úrovně důvěrnosti zpracovávaných informací a úrovně škody způsobené narušením bezpečnosti. Stanovení požadované úrovně důvěrnosti je výsadou vedení banky. Může se značně lišit v závislosti na strategických a taktických cílech banky, použité technologii zpracování informací, soukromém názoru vedení, složení obslužného personálu, složení automatizovaných nástrojů a mnoha dalších důvodech. Důležité při určování úrovně důvěrnosti informací jsou požadavky legislativního rámce a vládních úřadů.
Stupeň informační bezpečnosti v automatizaci bankovních systémů je také určena konkrétní oblastí ohrožení porušení důvěrnosti. Kompletní seznam hrozeb v moderním počítačovém světě má více než jednu stránku. Konkrétní posouzení pravděpodobnosti výskytu každé hrozby by mělo být stanoveno na konkrétním bankovním systému.
Softwarové produkty dostupné na dnešním trhu ve vztahu k metodám informační bezpečnosti obsahují systém řízení přístupu. Z organizačního hlediska zůstávají opatření k zavedení nového uživatele do systému na uvážení bezpečnostních služeb. Příkladem může být vyplnění formuláře pro oprávnění k přístupu do systému, který obsahuje seznam funkčních úkolů, seznam operací v konkrétní funkční úloze a seznam akcí, které smí operátor provádět. Dotazník schvaluje vedení banky, bezpečnostní služba a podpůrná služba. Po těchto krocích potřebuje operátor znát dvě hesla pro přihlášení do systému: heslo správce pro fyzické přihlášení do počítače a osobní heslo přihlásit se.
Počítačové zločiny páchají ve většině případů zaměstnanci bank. Některé banky dávají přednost zaměstnávání zaměstnanců softwarových vývojářů. Vývojář systému ví o systému vše, všechna jeho slabá místa, ví informace upravit tak, aby se o nich nikdo nedozvěděl. Nikdo jiný než on nedokáže systém lépe udržovat. Jak ukazuje praxe, provádění počítačových zločinů je usnadněno porušením předpisů a pravidel pro archivaci informací.
V současné době je na počítačích závislá společnost jako celek, takže problém informační bezpečnosti je dnes problémem celé společnosti.
Ochrana informací se stala samostatným, dynamicky se rozvíjejícím odvětvím vědy, techniky a techniky. Moderní trendy v ochraně informací navazují na obecné trendy ve vývoji počítačových systémů a technologií: integrace, standardizace, přenositelnost, transparentnost.
Vývoj v oblasti informační bezpečnosti se nadále rychle vyvíjí. Poptávka po softwarových produktech s garancí informační bezpečnosti roste. Problémy se sítí zůstávají nejpalčivější.
