Basit kelimelerle bilgi güvenliği ve bilgi koruması. Bilgi Güvenliği

Sibernetiğin kurucusu Norbert Wiener, bilginin benzersiz özelliklere sahip olduğuna ve ne enerjiye ne de maddeye atfedilemeyeceğine inanıyordu. Bilginin bir fenomen olarak özel durumu birçok tanımın ortaya çıkmasına neden olmuştur.

ISO/IEC 2382:2015 "Bilgi teknolojisi" standardının sözlüğünde şu yoruma yer verilmiştir:

Bilgi (bilgi işleme alanında)- elektronik biçimde sunulan, kağıt üzerinde yazılı, bir toplantıda veya başka herhangi bir ortamda ifade edilen, bir finans kurumu tarafından kararlar almak, fonları taşımak, oranları belirlemek, kredi vermek, işlemleri işlemek vb. için kullanılan, bileşen işleme sistemi dahil olmak üzere herhangi bir veri yazılım.

Bilgi güvenliği (IS) kavramını geliştirmek için bilgi, bilgisayar ağları ve diğer bilgi sistemleri de dahil olmak üzere çeşitli şekillerde toplama, depolama, işleme (düzenleme, dönüştürme), kullanım ve iletim için mevcut olan bilgiler olarak anlaşılır.

Bu tür bilgiler yüksek değerdedir ve üçüncü şahıslar tarafından tecavüze konu olabilir. Bilgi güvenliği sistemlerinin oluşturulmasının temelinde bilgiyi tehditlerden koruma isteği yatmaktadır.

yasal dayanak

Aralık 2017'de Rusya, Bilgi Güvenliği Doktrinini kabul etti. Belgede IS, bilgi alanında ulusal çıkarların korunması durumu olarak tanımlanmaktadır. Bu durumda, ulusal çıkarlar, toplumun, bireyin ve devletin çıkarlarının toplamı olarak anlaşılır, her bir çıkar grubu, toplumun istikrarlı işleyişi için gereklidir.

Doktrin bir kavram belgesidir. Bilgi güvenliğinin sağlanmasına ilişkin yasal ilişkiler, "Devlet sırları hakkında", "Bilgi hakkında", "Kişisel verilerin korunması hakkında" ve diğer federal yasalara tabidir. Temel normatif eylemler temelinde, özel bilgi koruma konularında hükümet kararnameleri ve departman normatif eylemleri geliştirilir.

Bilgi güvenliğinin tanımı

Bir bilgi güvenliği stratejisi geliştirmeden önce, belirli bir dizi yöntem ve koruma yönteminin kullanılmasına izin verecek olan kavramın kendisinin temel bir tanımını benimsemek gerekir.

Endüstri uygulayıcıları, bilgi güvenliğinin, doğal ve yapay nitelikteki kasıtlı veya kasıtsız etkilere karşı bilgi ile ilgili süreçlerin bütünlüğünü ve istikrarını sağlayan, bilgi, taşıyıcıları ve altyapısının istikrarlı bir güvenlik durumu olarak anlaşılmasını önermektedir. Etkiler, bilgi ilişkileri konularına zarar verebilecek IS tehditleri olarak sınıflandırılır.

Bu nedenle, bilgi koruması, gerçek veya algılanan bilgi güvenliği tehditlerini önlemeyi ve ayrıca olayların sonuçlarını ortadan kaldırmayı amaçlayan bir dizi yasal, idari, organizasyonel ve teknik önlem anlamına gelecektir. Bilgi koruma sürecinin sürekliliği, bilgi döngüsünün tüm aşamalarında tehditlere karşı mücadeleyi garanti etmelidir: bilgi toplama, depolama, işleme, kullanma ve iletme sürecinde.

Bu anlayışta bilgi güvenliği, sistem performansının özelliklerinden biri haline gelir. Zamanın her anında, sistem ölçülebilir bir güvenlik düzeyine sahip olmalı ve sistemin güvenliğinin sağlanması, sistemin ömrü boyunca tüm zaman aralıklarında gerçekleştirilen sürekli bir süreç olmalıdır.

Bilgi güvenliği teorisinde, bilgi güvenliği konuları, bilgi sahipleri ve kullanıcıları ve yalnızca sürekli olarak kullanıcılar (çalışanlar) olarak değil, aynı zamanda örneğin bilgi talep eden devlet kurumları gibi izole durumlarda veritabanlarına erişen kullanıcılar olarak anlaşılır. Bazı durumlarda, örneğin bankacılık bilgi güvenliği standartlarında, bilgi sahipleri, hissedarları - belirli verilere sahip olan tüzel kişileri içerir.

Bilgi güvenliği temelleri açısından destekleyici altyapı, bilgisayarları, ağları, telekomünikasyon ekipmanını, binaları, yaşam destek sistemlerini ve personeli içerir. Güvenliği analiz ederken, çoğu iç tehdidin taşıyıcısı olarak personele özel dikkat göstererek, sistemlerin tüm unsurlarını incelemek gerekir.

Bilgi güvenliği yönetimi ve hasar değerlendirmesi için kabul edilebilirlik özelliği kullanılır, bu nedenle hasar kabul edilebilir veya kabul edilemez olarak belirlenir. Her şirketin, zararın parasal biçimde veya örneğin itibara yönelik kabul edilebilir zarar biçimindeki kabul edilebilirliği için kendi kriterlerini oluşturması yararlıdır. Kamu kurumlarında, örneğin yönetim süreci üzerindeki etkisi veya hasarın derecesinin vatandaşların yaşamına ve sağlığına yansıması gibi diğer özellikler benimsenebilir. Bilgi dizisinin yaşam döngüsü boyunca önemlilik, önem ve bilgi değeri kriterleri değişebileceğinden, zamanında revize edilmelidir.

Dar anlamda bir bilgi tehdidi, bilginin sızmasına, çalınmasına, ifşa edilmesine veya yayılmasına yol açabilecek koruma nesnesini etkilemek için nesnel bir fırsattır. Daha geniş anlamda, bilgi güvenliği tehditleri, amacı devlete, kuruluşa ve bireye zarar vermek olan yönlendirilmiş bilgi etkilerini içerecektir. Bu tür tehditler, örneğin iftira, kasıtlı yanlış beyan ve uygunsuz reklamları içerir.

Herhangi bir kuruluş için bilgi güvenliği kavramının üç ana sorusu

Ne korunmalı?

Ne tür tehditler hakimdir: harici mi yoksa dahili mi?

Nasıl, hangi yöntem ve araçlarla korunur?

IS sistemi

Bir şirket için bilgi güvenliği sistemi - bir tüzel kişilik, üç temel kavram grubunu içerir: bütünlük, kullanılabilirlik ve gizlilik. Her birinin altında birçok özelliği olan kavramlar var.

Altında bütünlük veritabanlarının, diğer bilgi dizilerinin kazara veya kasıtlı imhaya, yetkisiz değişikliklere karşı direnci anlamına gelir. Bütünlük şu şekilde görülebilir:

• statik, değişmezlik, belirli bir teknik göreve göre oluşturulan ve kullanıcılar tarafından ana faaliyetleri için gereken bilgi miktarını, gerekli yapılandırma ve sırayla içeren nesnelere ilişkin bilgi nesnelerinin gerçekliği ile ifade edilir;
• dinamik, bilgi güvenliğine zarar vermeyen karmaşık eylemlerin veya işlemlerin doğru şekilde yürütülmesini ima eder.

Dinamik bütünlüğü kontrol etmek için, örneğin finansal olanlar gibi bilgi akışını analiz eden ve hırsızlık, çoğaltma, yeniden yönlendirme ve mesajların yeniden sıralanması durumlarını belirleyen özel teknik araçlar kullanılır. Kararlar, harekete geçmek için gelen veya mevcut bilgiler temelinde alındığında, kilit bir özellik olarak dürüstlük gereklidir. Komutların sırasının veya eylem sırasının ihlali, teknolojik süreçlerin, program kodlarının açıklanması ve diğer benzer durumlarda büyük hasara neden olabilir.

kullanılabilirlik yetkili kişilerin ilgilendikleri verilere erişmesine veya bunları değiştirmesine izin veren bir özelliktir. Öznelerin meşrulaştırılması veya yetkilendirilmesinin temel şartı, farklı erişim seviyeleri yaratmayı mümkün kılar. Sistemin bilgi vermeyi reddetmesi, herhangi bir kuruluş veya kullanıcı grubu için bir sorun haline gelir. Bir örnek, birçok kullanıcıyı gerekli hizmetleri veya bilgileri alma fırsatından mahrum bırakan bir sistem arızası durumunda kamu hizmeti sitelerine erişilememesidir.

Gizlilik Bu kullanıcılara sunulacak bilgi özelliği anlamına gelir: başlangıçta erişime izin verilen konular ve süreçler. Çoğu şirket ve kuruluş, gizliliği bilgi güvenliğinin temel bir unsuru olarak algılar, ancak pratikte bunu tam olarak uygulamak zordur. Bilgi güvenliği kavramlarının yazarları için mevcut bilgi sızıntısı kanallarına ilişkin tüm veriler mevcut değildir ve kriptografik olanlar da dahil olmak üzere birçok teknik koruma aracı serbestçe satın alınamaz, bazı durumlarda ciro sınırlıdır.

Bilgi güvenliğinin eşit özellikleri, kullanıcılar için farklı değerlere sahiptir, bu nedenle veri koruma kavramlarının geliştirilmesinde iki aşırı kategori vardır. Devlet sırlarıyla ilişkili şirket veya kuruluşlar için gizlilik, kamu hizmetleri veya eğitim kurumları için en önemli parametre erişilebilirlik olacaktır.

Bilgi Güvenliği Özeti

Bilgi güvenliği dünyasından faydalı yayınlar, ilginç haberler ve olaylardan oluşan aylık bir koleksiyon. SearchInform uygulamasından uzman deneyimi ve gerçek vakalar.

Bilgi güvenliği kavramlarında korunan nesneler

Öznelerdeki farklılık, koruma nesnelerinde farklılıklara yol açar. Korunan nesnelerin ana grupları:

• her türden bilgi kaynağı (bir kaynak, maddi bir nesne olarak anlaşılır: bir sabit disk, başka bir ortam, onu tanımlamaya ve belirli bir konu grubuna göndermeye yardımcı olan veri ve ayrıntılar içeren bir belge);
• vatandaşların, kuruluşların ve devletin bilgiye erişim hakları, hukuk çerçevesinde elde edebilme; erişim yalnızca düzenleyici yasal düzenlemelerle sınırlandırılabilir; insan haklarını ihlal eden herhangi bir engelin düzenlenmesi kabul edilemez;
• veri yaratma, kullanma ve dağıtma sistemi (sistemler ve teknolojiler, arşivler, kütüphaneler, düzenleyici belgeler);
• kamu bilincinin oluşumu için sistem (medya, İnternet kaynakları, sosyal kurumlar, eğitim kurumları).

Her nesne, bilgi güvenliğine ve kamu düzenine yönelik tehditlere karşı koruma sağlamak için özel bir önlem sistemi üstlenir. Her durumda bilgi güvenliğinin sağlanması, tesisin özelliklerini dikkate alan sistematik bir yaklaşıma dayanmalıdır.

Kategoriler ve depolama ortamı

Rus hukuk sistemi, kolluk kuvvetleri ve kurulan sosyal ilişkiler, bilgileri erişilebilirlik kriterlerine göre sınıflandırır. Bu, bilgi güvenliğini sağlamak için gerekli olan temel parametreleri netleştirmenizi sağlar:

• yasal gereklilikler (devlet sırları, ticari sırlar, kişisel veriler) temelinde erişimi sınırlı olan bilgiler;
• kamu malı olan bilgiler;
• belirli koşullar altında sağlanan kamuya açık bilgiler: örneğin bir kütüphane kartı gibi bir giriş yapmanız gereken ücretli bilgiler veya veriler;
• Dolaşımı ve dağıtımı yasaların gereklilikleri veya kurumsal standartlarla sınırlı olan tehlikeli, zararlı, yanlış ve diğer bilgi türleri.

Birinci gruptaki bilgiler iki koruma moduna sahiptir. devlet sırrı, yasaya göre bu, devlet tarafından korunan, ücretsiz dağıtımı ülke güvenliğine zarar verebilecek bilgilerdir. Bunlar devletin askeri, dış politika, istihbarat, karşı istihbarat ve ekonomik faaliyetleri alanındaki verilerdir. Bu veri grubunun sahibi devletin kendisidir. Devlet sırlarının korunmasına yönelik tedbirler almaya yetkili kurumlar Savunma Bakanlığı, Federal Güvenlik Servisi (FSB), Dış İstihbarat Servisi ve Federal Teknik ve İhracat Kontrol Servisi (FSTEC)'dir.

Kesin bilgi- daha çok yönlü bir düzenleme nesnesi. Gizli bilgi teşkil edebilecek bilgilerin listesi, 188 sayılı "Gizli bilgiler listesinin onaylanması üzerine" Cumhurbaşkanlığı kararnamesinde yer almaktadır. Bu kişisel verilerdir; soruşturma ve yasal işlemlerin gizliliği; devlet sırrı; mesleki sır (tıbbi, noter, avukat); meslek sırrı; buluşlar ve faydalı modeller hakkında bilgi; hükümlülerin kişisel dosyalarında yer alan bilgilerin yanı sıra adli işlemlerin zorunlu olarak yürütülmesine ilişkin bilgiler.

Kişisel veriler açık ve gizli bir modda bulunur. Tüm kullanıcılar için açık ve erişilebilir olan kişisel verilerin bir kısmı ad, soyadı, patronimik içerir. FZ-152 "Kişisel Veriler Üzerine" uyarınca, kişisel verilerin konuları aşağıdaki haklara sahiptir:

• bilgilendirici kendi kaderini tayin hakkı;
• kişisel kişisel verilere erişmek ve bunlarda değişiklik yapmak;
• kişisel verileri engellemek ve bunlara erişim sağlamak;
• üçüncü kişilerin kişisel verilerle ilgili olarak gerçekleştirdiği hukuka aykırı eylemlere itiraz etme;
• sebep olunan zararı tazmin etmek.

Bu hak, devlet organları, federal yasalar, Roskomnadzor veya FSTEC tarafından verilen kişisel verilerle çalışma lisanslarına ilişkin düzenlemelerde yer almaktadır. Örneğin telekom operatörleri gibi çok çeşitli kişilerin kişisel verileriyle profesyonel olarak çalışan şirketler, Roskomnadzor tarafından tutulan sicile girmelidir.

Bilgi güvenliği teorisi ve pratiğinde ayrı bir nesne, erişimi açık ve kapalı olan bilgi taşıyıcılarıdır. Bilgi güvenliği konsepti geliştirilirken medyanın türüne göre koruma yöntemleri seçilmektedir. Ana depolama ortamı:

• basılı ve elektronik medya, sosyal ağlar, internetteki diğer kaynaklar;
• arkadaşlıkları, aileleri, mesleki bağları temelinde bilgiye erişimi olan kuruluş çalışanları;
• bilgileri ileten veya depolayan iletişim araçları: telefonlar, otomatik telefon santralleri, diğer telekomünikasyon ekipmanı;
• her türden belge: kişisel, resmi, devlet;
• bağımsız bir bilgi nesnesi olarak yazılım, özellikle sürümü belirli bir şirket için özel olarak değiştirilmişse;
• verileri otomatik olarak işleyen elektronik depolama ortamı.

Bilgi güvenliği kavramlarının geliştirilmesi amacıyla, bilgi güvenliği araçları genellikle normatif (gayri resmi) ve teknik (resmi) olarak ikiye ayrılır.

Resmi olmayan koruma araçları belgeler, kurallar, olaylar, resmi araçlar özel teknik araçlar ve yazılımlardır. Tanımlama, bilgi güvenliği sistemleri oluştururken sorumluluk alanlarının dağıtılmasına yardımcı olur: genel koruma yönetimi ile idari personel normatif yöntemleri uygular ve BT uzmanları sırasıyla teknik olanları uygular.

Bilgi güvenliğinin temelleri, yalnızca bilgiyi kullanma açısından değil, aynı zamanda korunmasıyla çalışma açısından da yetkilerin tanımlanmasını ima eder. Yetkilerin bu şekilde tanımlanması aynı zamanda birkaç kontrol seviyesi gerektirir.

resmi çareler

Çok çeşitli teknik bilgi güvenliği araçları şunları içerir:

Fiziksel koruyucu ekipman. Bunlar, bilgi sistemlerinden bağımsız olarak çalışan ve bunlara erişimde engel oluşturan mekanik, elektrik, elektronik mekanizmalardır. Elektronik olanlar, ekranlar, panjurlar dahil olmak üzere kilitler, istikrarsızlaştırıcı faktörlerin sistemlerle teması için engeller oluşturacak şekilde tasarlanmıştır. Grup, güvenlik sistemleri, örneğin video kameralar, video kaydediciler, teknik bilgi alma araçlarının bulunduğu alandaki elektromanyetik radyasyon derecesinin hareketini veya fazlalığını algılayan sensörler, gömülü cihazlar ile desteklenir.

Donanım koruması. Bunlar, bilgi ve telekomünikasyon sistemlerine gömülü olan elektrik, elektronik, optik, lazer ve diğer cihazlardır. Donanımı bilgi sistemlerine sokmadan önce uyumluluğun sağlanması gerekir.

Yazılım bilgi güvenliği ile ilgili belirli ve karmaşık sorunları çözmek için tasarlanmış basit ve sistemik, karmaşık programlardır. Karmaşık çözümlerin bir örneği de şunlardır: ilki sızıntıyı önlemeye, bilgileri yeniden biçimlendirmeye ve bilgi akışlarını yeniden yönlendirmeye hizmet ederken, ikincisi bilgi güvenliği alanındaki olaylara karşı koruma sağlar. Yazılım, donanım aygıtlarının gücünü talep ediyor ve kurulum sırasında ek yedekler sağlanmalıdır.

İLE özel araçlar bilgi güvenliği, diskteki bilgileri şifreleyen ve harici iletişim kanalları aracılığıyla yönlendirilen çeşitli kriptografik algoritmaları içerir. Kurumsal bilgi sistemlerinde çalışan yazılım ve donanım yöntemleri kullanılarak bilgi dönüşümü gerçekleşebilir.

Bilginin güvenliğini garanti eden tüm araçlar, bilginin değerinin ön değerlendirmesinin ardından ve güvenlik için harcanan kaynakların maliyeti ile karşılaştırıldıktan sonra birlikte kullanılmalıdır. Bu nedenle, fonların kullanımına ilişkin teklifler, daha sistem geliştirme aşamasında formüle edilmeli ve bütçeleri onaylamaktan sorumlu yönetim düzeyinde onay yapılmalıdır.

Güvenliği sağlamak için, tüm modern gelişmeleri, yazılım ve donanım koruma araçlarını, tehditleri izlemek ve yetkisiz erişime karşı kendi koruma sistemlerimizde derhal değişiklik yapmak gerekir. Yalnızca tehditlere yanıt vermenin yeterliliği ve çabukluğu, şirketin çalışmasında yüksek düzeyde bir gizliliğin elde edilmesine yardımcı olacaktır.

resmi olmayan çareler

Gayri resmi çözümler normatif, idari ve ahlaki-etik olarak gruplandırılmıştır. Birinci düzeyde koruma, kuruluşun faaliyetlerinde bir süreç olarak bilgi güvenliğini düzenleyen düzenleyici araçlardır.

• düzenleyici araçlar

Dünya pratiğinde, düzenleyici araçlar geliştirirken, IS koruma standartları tarafından yönlendirilirler, asıl olan ISO / IEC 27000'dir. Standart iki kuruluş tarafından oluşturulmuştur:

• ISO - Üretim ve yönetim süreçlerinin kalitesinin belgelendirilmesi için uluslararası kabul görmüş metodolojilerin çoğunu geliştiren ve onaylayan Uluslararası Standardizasyon Komisyonu;
• IEC - Bilgi güvenliği sistemleri anlayışını standarda sokan Uluslararası Enerji Komisyonu, bunu sağlamanın araç ve yöntemleri

ISO / IEC 27000-2016'nın güncel versiyonu, bilgi güvenliğinin uygulanması için gerekli olan hazır standartları ve kanıtlanmış yöntemleri sunmaktadır. Yöntemlerin yazarlarına göre, bilgi güvenliğinin temeli, geliştirmeden son kontrole kadar tüm aşamaların tutarlılığı ve tutarlı bir şekilde uygulanmasında yatmaktadır.

Bilgi güvenliği standartlarına uygunluğu onaylayan bir sertifika almak için önerilen tüm teknikleri eksiksiz olarak uygulamak gerekir. Sertifika almaya gerek yoksa, ISO / IEC 27000-2002 ile başlayan standardın önceki sürümlerinden herhangi birinin veya doğası gereği tavsiye niteliğinde olan Rus GOST'lerinin geliştirilmesi için bir temel olarak kabul edilmesine izin verilir. kendi bilgi güvenlik sistemleri.

Standardı incelemenin sonuçlarına dayanarak, bilgi güvenliği ile ilgili iki belge geliştirilmektedir. Ana, ancak daha az resmi olan, bir kuruluşun bilgi sistemleri için bir bilgi güvenliği sisteminin uygulanmasına ilişkin önlemleri ve yöntemleri tanımlayan bir işletmenin bilgi güvenliği kavramıdır. Şirketin tüm çalışanlarının uyması gereken ikinci belge ise yönetim kurulu veya icra organı düzeyinde onaylanan bilgi güvenliği yönetmeliğidir.

Şirket düzeyindeki pozisyona ek olarak, ticari sır oluşturan bilgi listeleri, iş sözleşmelerinin ekleri, gizli verilerin açıklanması için sorumluluğun güvence altına alınması, diğer standartlar ve yöntemler geliştirilmelidir. İç kurallar ve düzenlemeler, uygulama mekanizmalarını ve sorumluluk ölçütlerini içermelidir. Çoğu zaman, önlemler disipline edici niteliktedir ve ihlal eden kişi, ticari sır rejiminin ihlalini, işten çıkarmaya kadar varan önemli yaptırımlar izleyeceği gerçeğine hazırlıklı olmalıdır.

• Organizasyonel ve idari önlemler

Güvenlik personeli için bilgi güvenliğinin korunmasına yönelik idari faaliyetlerin bir parçası olarak yaratıcılık için alan bulunmaktadır. Bunlar, toplantı odalarını ve yönetim ofislerini gizlice dinlemeye karşı korumaya ve bilgiye çeşitli düzeylerde erişim sağlamaya yardımcı olan mimari ve planlama çözümleridir. Önemli organizasyonel önlemler, şirketin faaliyetlerinin ISO / IEC 27000 standartlarına göre sertifikalandırılması, bireysel donanım ve yazılım sistemlerinin sertifikalandırılması, konu ve nesnelerin gerekli güvenlik gereksinimlerine uygunluğunun sertifikalandırılması ve korumalı dizilerle çalışmak için gerekli lisansların alınması olacaktır. bilgi.

Personel faaliyetlerinin düzenlenmesi açısından, İnternet'e, harici e-postaya ve diğer kaynaklara erişim için bir talep sistemi formüle etmek önemli olacaktır. Devlet kurumlarına e-posta yoluyla iletilen mali ve diğer bilgilerin güvenliğini artırmak için elektronik bir dijital imzanın alınması ayrı bir unsur olacaktır.

• Ahlaki ve etik önlemler

Ahlaki ve etik önlemler, bir kişinin gizli bilgilere veya dolaşımda sınırlı bilgilere karşı kişisel tutumunu belirler. Tehditlerin şirket faaliyetlerine etkisi konusunda çalışanların bilgi düzeyinin arttırılması, çalışanların bilinç ve sorumluluk derecesini etkiler. Örneğin, şifrelerin aktarılması, medyanın dikkatsizce kullanılması, özel görüşmelerde gizli verilerin yayılması dahil olmak üzere bilgi rejimi ihlalleriyle mücadele etmek için, çalışanın kişisel vicdanına odaklanmak gerekir. Kurumsal bilgi güvenliği sistemine yönelik tutuma bağlı olacak personelin etkinliğinin göstergelerini oluşturmak faydalı olacaktır.

İnfografik, kendi araştırmamızdan elde ettiğimiz verileri kullanır.AraBilgi.

Nesnel olarak, "bilgi güvenliği" kategorisi, insanlar arasında bilgi iletişim araçlarının ortaya çıkmasıyla birlikte, bir kişinin bilgi iletişim araçlarını etkileyerek zarar görebilecek çıkarları olan kişilerin ve topluluklarının bilinciyle ortaya çıktı. varlığı ve gelişimi toplumun tüm unsurları arasında bilgi alışverişini sağlar.

Bilgi güvenliği, bilgi ilişkilerinin konularına kabul edilemez zararlar verebilecek doğal veya yapay nitelikteki tesadüfi veya kasıtlı etkilerden bilgi ve destekleyici altyapının korunmasıdır. Destekleyici altyapı - elektrik, ısı, su, gaz tedarik sistemleri, klima sistemleri vb. ve ayrıca servis personeli. Kabul edilemez hasar, ihmal edilemeyecek hasardır.

Süre Bilgi Güvenliği- bu bilgi ortamının güvenlik durumu, bilgilerin korunması korunan bilgilerin sızmasını, korunan bilgiler üzerinde yetkisiz ve kasıtsız etkileri önlemeye yönelik bir faaliyettir. işlem, Bu duruma ulaşmayı hedefleyen .

Kuruluşun bilgi güvenliği- kuruluşun bilgi ortamının güvenlik durumu, oluşumunun, kullanımının ve geliştirilmesinin sağlanması.

Devletin bilgi güvenliği- Devletin bilgi kaynaklarının korunması ve bilgi alanındaki birey ve toplumun yasal haklarının korunması durumu.

modern toplumda bilgi küresinin iki bileşeni vardır: bilgi Teknolojisi (yapay olarak insan yapımı teknoloji dünyası, teknoloji vb.) ve bilgilendirici ve psikolojik (insanın kendisi de dahil olmak üzere, yaşayan doğanın doğal dünyası).

Bilgi Güvenliği- bilgilerin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin korunması.

1. Gizlilik: erişilemeyecekleri ve yetkisiz kişilere ifşa edilmeyecekleri ile ilgili bilgiler de dahil olmak üzere bilgi kaynaklarının mülkiyeti.

2. Bütünlük: doğruluğunu ve eksiksizliğini belirleyen, bilgiler de dahil olmak üzere bilgi kaynaklarının özelliği.

3. kullanılabilirlik: yetkili kişilerin talebi üzerine alınma ve kullanılma olasılığını belirleyen bilgiler de dahil olmak üzere bilgi kaynaklarının özelliği.

Bilgi güvenliğinin tanımına sistematik bir yaklaşım, aşağıdakilerin vurgulanmasını önerir: bilgi güvenliği bileşenleri:

1. Yasama, düzenleyici ve bilimsel temel.

2. BT güvenliğini sağlayan organların (bölümlerin) yapısı ve görevleri.

3. Organizasyonel, teknik ve güvenlik önlemleri ve yöntemleri (Bilgi Güvenliği Politikası).

4. Bilgi güvenliğini sağlamaya yönelik yazılım ve donanım yöntemleri ve araçları.

Bilgi iletişiminin geliştirilmesinde bilgi güvenliği fikirlerinin dönüşümü üzerindeki etkisinin dikkate alınması birkaç aşama var:

Ø Aşama I - 1816'dan önce - kullanım ile karakterize edilir doğal olarak oluşan bilgi iletişim araçları... Bu dönemde bilgi güvenliğinin temel görevi, bir kişi veya ait olduğu topluluk için hayati öneme sahip olaylar, gerçekler, mülk, konum ve diğer veriler hakkındaki bilgilerin korunmasında .

Ø II aşama - 1816'dan beri - kullanımın başlangıcı ile ilişkili elektrik ve radyo iletişiminin yapay olarak oluşturulmuş teknik araçları... Radyo iletişiminin gizliliğini ve gürültü bağışıklığını sağlamak için, ilk bilgi güvenliği dönemi deneyimini daha yüksek bir teknolojik düzeyde kullanmak gerekiyordu, yani bir mesajın (sinyal) hata düzeltme kodlamasının uygulanması ve ardından alınan mesajın (sinyal) kodunun çözülmesi.

Ø Aşama III - 1935'ten beri - radar ve hidroakustik ekipmanın ortaya çıkması ile ilişkili. Bu dönemde bilgi güvenliğini sağlamanın temel yolu, Radar ekipmanının, alıcı cihazları üzerindeki aktif maskeleme ve pasif taklit eden radyo-elektronik girişimin etkisinden korunmasını arttırmayı amaçlayan organizasyonel ve teknik önlemlerin bir kombinasyonu.

Ø Aşama IV - 1946'dan beri - pratikte elektronik bilgisayarların icadı ve uygulanması ile ilgili(bilgisayarlar). Bilgi güvenliği görevleri büyük ölçüde çözüldü Bilgi çıkarma, işleme ve iletme araçlarına fiziksel erişimi sınırlama yöntemleri ve yöntemleri .

Ø Aşama V - 1965'ten beri - yaratılışı ve gelişimi nedeniyle yerel bilgi ve iletişim ağları... Bilgi güvenliği görevleri de esas olarak yöntem ve yöntemlerle çözülmüştür. ağ kaynaklarına erişimin yönetimi ve kontrolü yoluyla yerel bir ağda birleştirilen bilgi çıkarma, işleme ve aktarma araçlarının fiziksel olarak korunması .

Ø Aşama VI - 1973'ten beri - kullanımla ilgili çok çeşitli görevlere sahip ultra mobil iletişim cihazları... Bilgi güvenliği tehditleri çok daha ciddi hale geldi. Kablosuz veri iletim ağlarına sahip bilgisayar sistemlerinde bilgi güvenliğinin sağlanması için yeni güvenlik kriterlerinin geliştirilmesine ihtiyaç duyulmuştur. İnsan toplulukları - bilgisayar korsanları kuruldu, bireysel kullanıcıların, kuruluşların ve tüm ülkelerin bilgi güvenliğine zarar vermeyi amaçlamaktadır. Bilgi kaynağı devletin en önemli kaynağı, güvenliğinin sağlanması ise ulusal güvenliğin en önemli ve zorunlu unsuru haline gelmiştir. Bilgi kanunu oluşturuluyor - uluslararası hukuk sisteminin yeni bir dalı.

Ø VII aşama - 1985'ten beri - uzay destek tesislerini kullanarak küresel bilgi ve iletişim ağlarının oluşturulması ve geliştirilmesi ile ilişkilidir. Açıkça, bilgi güvenliğinin geliştirilmesindeki bir sonraki aşamanın, uzay bilgi ve iletişim tarafından sağlanan geniş bir görev yelpazesi ve uzay ve zamanda küresel kapsama alanı olan ultra mobil iletişim cihazlarının yaygın kullanımı ile ilişkili olacağı varsayılabilir. sistemler. Bu aşamada bilgi güvenliği sorunlarını çözmek için önde gelen uluslararası forumların himayesinde insanlık için bir bilgi güvenliği makro sistemi oluşturmak gerekir. .

Hızla gelişen bilgisayar bilişim teknolojileri hayatımızda önemli değişiklikler yapmaktadır. Bilgi satın alınabilen, satılabilen, değiş tokuş edilebilen bir meta haline geldi. Ayrıca, bilginin maliyeti çoğu zaman içinde saklandığı bilgisayar sisteminin maliyetinden yüzlerce kat daha fazladır.

Birçok insanın refahı ve bazen hayatı, bilgi teknolojilerinin güvenlik derecesine bağlıdır. Otomatik bilgi işleme sistemlerinin karmaşıklığının ve yaygın olarak yayılmasının bedeli budur.

Altında bilgi Güvenliği Bilgi sisteminin, bilgi sahiplerine veya kullanıcılarına zarar veren tesadüfi veya kasıtlı müdahalelere karşı güvenliğini ifade eder.

Pratikte en önemlileri bilgi güvenliğinin üç yönüdür:

• kullanılabilirlik(gerekli bilgi hizmetini makul bir sürede alma fırsatı);
• bütünlük(bilginin uygunluğu ve tutarlılığı, imha ve yetkisiz değişikliklerden korunması);
• gizlilik(yetkisiz okumaya karşı koruma).

Bilginin kullanılabilirliği, bütünlüğü ve gizliliğinin ihlali, bilgi bilgisayar sistemleri üzerindeki çeşitli tehlikeli etkilerden kaynaklanabilir.

Bilgi güvenliğine yönelik ana tehditler

Modern bir bilgi sistemi, birbirine bağlı ve veri alışverişi yapan, değişen derecelerde özerkliğe sahip çok sayıda bileşenden oluşan karmaşık bir sistemdir. Hemen hemen her bileşen hasar görebilir veya hasar görebilir. Otomatik bir bilgi sisteminin bileşenleri aşağıdaki gruplara ayrılabilir:

• donanım- bilgisayarlar ve bileşenleri (işlemciler, monitörler, terminaller, çevresel aygıtlar - disk sürücüleri, yazıcılar, denetleyiciler, kablolar, iletişim hatları vb.);
• yazılım- satın alınan programlar, kaynak, nesne, yük modülleri; işletim sistemleri ve sistem programları (derleyiciler, bağlayıcılar vb.), yardımcı programlar, tanılama programları vb.;
• veri- manyetik ortamlarda, basılı, arşivler, sistem günlükleri vb. üzerinde geçici ve kalıcı olarak saklanır;
• kadro- servis personeli ve kullanıcılar.

Bir bilgisayar bilgi sistemi üzerindeki tehlikeli etkiler, kazara ve kasıtlı olarak ayrılabilir. Bilgi sistemleri tasarlama, üretme ve çalıştırma deneyiminin analizi, bilginin sistemin yaşam döngüsünün tüm aşamalarında çeşitli rastgele etkilere maruz kaldığını göstermektedir. Nedenler tesadüfi etkiler operasyon sırasında şunlar olabilir:

• doğal afetler ve elektrik kesintilerinden kaynaklanan acil durumlar;
• donanım arızaları ve arızaları;
• yazılımdaki hatalar;
• personelin çalışmasındaki hatalar;
• çevresel etkiler nedeniyle iletişim hatlarında parazit.

kasıtlı etkiler- bunlar suçlunun kasıtlı eylemleridir. Bir çalışan, bir ziyaretçi, bir rakip veya bir paralı asker suçlu olarak hareket edebilir. Suçlunun eylemleri farklı nedenlere bağlı olabilir:

• çalışanın kariyerinden memnuniyetsizliği;
• rüşvet;
• merak;
• rekabetçi mücadele;
• ne pahasına olursa olsun kendini kanıtlama arzusu.

Potansiyel bir davetsiz misafirin varsayımsal bir modeli çizilebilir:

• suçlunun bu sistemin geliştiricisi düzeyinde yeterliliği;
• ihlal eden, yetkisiz bir kişi veya sistemin meşru bir kullanıcısı olabilir;
• ihlal eden, sistemin ilkeleri hakkında bilgi sahibidir;
• suçlu savunmadaki en zayıf halkayı seçer.

En yaygın ve çeşitli bilgisayar ihlali türü, Yetkisiz Erişim(NSD). NSD, koruma sistemindeki herhangi bir hatayı kullanır ve mantıksız bir koruma aracı seçimi, bunların yanlış kurulumu ve konfigürasyonu ile mümkündür.

Bilgi çalmanın, değiştirmenin veya yok etmenin mümkün olduğu NSD kanallarını sınıflandıralım:

• Bir kişi aracılığıyla:
  • bilgi taşıyıcılarının çalınması;
  • bir ekrandan veya klavyeden bilgi okuma;
  • çıktıdan bilgi okuma.
• Program aracılığıyla:
  • şifrelerin ele geçirilmesi;
  • şifrelenmiş bilgilerin şifresinin çözülmesi;
  • taşıyıcıdan bilgi kopyalama.
• Donanım aracılığıyla:
  • bilgiye erişim sağlayan özel olarak tasarlanmış donanım bağlantısı;
  • ekipmandan, iletişim hatlarından, güç kaynağı ağlarından vb. gelen sahte elektromanyetik radyasyonun ele geçirilmesi.

Bilgisayar ağlarının maruz kalabileceği tehditlere özel dikkat gösterilmelidir. Herhangi bir bilgisayar ağının ana özelliği, bileşenlerinin uzayda dağıtılmasıdır. Ağ düğümleri arasındaki iletişim, fiziksel olarak ağ hatları kullanılarak ve programlı olarak bir mesaj mekanizması kullanılarak gerçekleştirilir. Bu durumda, ağ düğümleri arasında gönderilen kontrol mesajları ve veriler, değişim paketleri şeklinde iletilir. Bilgisayar ağları, sözde olduğu gerçeğiyle karakterize edilir. uzaktan saldırılar... Saldırgan, saldırıya uğrayan nesneden binlerce kilometre uzakta olabilir ve yalnızca belirli bir bilgisayara değil, aynı zamanda ağ iletişim kanalları üzerinden iletilen bilgilere de saldırılabilir.

Bilgi Güvenliği

Bir bilgi güvenliği rejiminin oluşumu karmaşık bir sorundur. Bunu çözmek için önlemler beş seviyeye ayrılabilir:

1. yasama (kanunlar, yönetmelikler, standartlar, vb.);
2. ahlaki ve etik (uyulmaması belirli bir kişinin veya tüm organizasyonun prestijinde bir düşüşe yol açan her türlü davranış normu);
3. idari (kuruluşun yönetimi tarafından alınan genel eylemler);
4. fiziksel (potansiyel davetsiz misafirlerin olası giriş yolları üzerindeki mekanik, elektro- ve elektronik-mekanik engeller);
5. donanım ve yazılım (elektronik cihazlar ve özel bilgi güvenliği programları).

Hasar olasılığını en aza indirmek için güvenlik tehditlerine karşı koymayı amaçlayan tüm bu önlemlerin tek bir seti, koruma sistemi.

Güvenilir bir koruma sistemi aşağıdaki ilkelere uygun olmalıdır:

• Koruyucu ekipmanın maliyeti, olası hasar miktarından daha az olmalıdır.
• Her kullanıcı, çalışmak için gereken minimum ayrıcalıklara sahip olmalıdır.
• Koruma ne kadar etkili olursa, kullanıcının onunla çalışması o kadar kolay olur.
• Acil bir durumda bağlantının kesilmesi olasılığı.
• Koruma sistemiyle ilgili uzmanlar, işleyişinin ilkelerini tam olarak anlamalı ve zor durumlarda bunlara yeterince yanıt vermelidir.
• Tüm bilgi işleme sistemi korunmalıdır.
• Güvenlik sisteminin geliştiricileri, bu sistemin kontrol edeceği kişiler arasında olmamalıdır.
• Güvenlik sistemi, çalışmasının doğruluğuna dair kanıt sağlamalıdır.
• Bilgi güvenliğine dahil olanlar kişisel olarak sorumlu tutulmalıdır.
• Koruma nesnelerinin gruplara bölünmesi tavsiye edilir, böylece gruplardan birindeki koruma ihlali diğerlerinin güvenliğini etkilemez.
• Güvenilir bir güvenlik sistemi tamamen test edilmeli ve kabul edilmelidir.
• Koruma, yöneticinin parametrelerini değiştirmesine izin verirse daha etkili ve esnek hale gelir.
• Bir güvenlik sistemi, kullanıcıların ciddi hatalar yapacağı ve genel olarak kötü niyetli olacağı varsayımıyla tasarlanmalıdır.
• En önemli ve kritik kararlar insanlar tarafından verilmelidir.
• Güvenlik mekanizmalarının varlığı, çalışmaları kontrol altında olan kullanıcılardan mümkün olduğunca gizlenmelidir.

Bilgi güvenliği donanım ve yazılımı

Windows 2000, Windows XP ve Windows NT gibi kişisel bilgisayarlar için modern işletim sistemlerinin kendi koruma alt sistemlerine sahip olmasına rağmen, ek koruma araçları oluşturmanın önemi devam etmektedir. Gerçek şu ki, çoğu sistem, örneğin ağ bilgi alışverişi sırasında, dışındaki verileri koruyamaz.

Bilgi güvenliği donanım ve yazılımı beş gruba ayrılabilir:

1. Kullanıcıların kimlik (tanıma) ve kimlik doğrulama (kimlik doğrulama) sistemleri.
2. Disk şifreleme sistemleri.
3. Ağlar üzerinden iletilen veriler için şifreleme sistemleri.
4. Elektronik veri doğrulama sistemleri.
5. Kriptografik anahtar yönetim araçları.

1. Kullanıcı tanımlama ve doğrulama sistemleri

Sıradan ve yasadışı kullanıcıların bilgisayar sisteminin kaynaklarına erişimini kısıtlamak için kullanılırlar. Bu tür sistemlerin çalışması için genel algoritma, kullanıcıdan kimliğini kanıtlayan, gerçekliğini doğrulayan ve ardından bu kullanıcıya sistemle çalışma yeteneği sağlayan (veya sağlamayan) bilgiler almaktır.

Bu sistemleri kurarken, kullanıcı tanımlama ve kimlik doğrulama prosedürlerinin gerçekleştirildiği esasa göre bilgilerin seçilmesi sorunu ortaya çıkar. Aşağıdaki türler ayırt edilebilir:

• kullanıcının sahip olduğu gizli bilgiler (şifre, gizli anahtar, kişisel tanımlayıcı vb.); kullanıcı bu bilgiyi hatırlamalı veya bunun için özel saklama araçları kullanılabilir;
• bir kişinin fizyolojik parametreleri (parmak izleri, göz irisinin çizimi vb.) veya davranışı (klavyede çalışmanın özellikleri vb.).

İlk bilgi türüne dayalı sistemler dikkate alınır. geleneksel... İkinci tür bilgiyi kullanan sistemlere denir. biyometrik... Biyometrik tanımlama sistemlerinin ileri düzeyde geliştirilmesinde yükselen bir trend olduğuna dikkat edilmelidir.

2. Disk şifreleme sistemleri

Bilgiyi düşman için kullanışsız hale getirmek için bir dizi veri dönüştürme yöntemi kullanılır. kriptografi[Yunancadan. kriptolar- gizli ve grafik- yazı].

Şifreleme sistemleri, dosya veya disk düzeyinde verilerin kriptografik dönüşümlerini gerçekleştirebilir. İlk türdeki programlar, arşiv dosyalarını korumak için kriptografik yöntemlerin kullanılmasına izin veren ARJ ve RAR gibi arşivleyicileri içerir. İkinci tür sistemlere bir örnek, popüler Norton Utilities yazılım paketi Best Crypt'in bir parçası olan şifreleme programı Diskreet'tir.

Disk şifreleme sistemlerinin bir başka sınıflandırma özelliği de çalışma biçimleridir. Çalışma yöntemine göre, disk veri şifreleme sistemi iki sınıfa ayrılır:

• şeffaf şifreleme sistemleri;
• özellikle şifreleme için çağrılan sistemler.

Şeffaf şifreleme sistemlerinde (anında şifreleme), kriptografik dönüşümler kullanıcı tarafından fark edilmeden gerçek zamanlı olarak gerçekleştirilir. Örneğin, bir kullanıcı, bir metin düzenleyicide hazırlanmış bir belgeyi korumalı bir diske yazar ve koruma sistemi, yazma işlemi sırasında onu şifreler.

Sınıf II sistemler genellikle şifreleme gerçekleştirmek için özel olarak çağrılması gereken yardımcı programlardır. Bunlar, örneğin, yerleşik parola korumalı arşivleyicileri içerir.

Bir belge için şifre belirlemeyi öneren çoğu sistem, bilgiyi şifrelemez, sadece belgeye erişirken bir şifre talebi sağlar. Bu sistemler MS Office, 1C ve diğerlerini içerir.

3. Ağlar üzerinden iletilen verilerin şifrelenmesi için sistemler

İki ana şifreleme yöntemi vardır: kanal şifrelemesi ve terminal (abone) şifrelemesi.

Ne zaman kanal şifreleme hizmet bilgileri de dahil olmak üzere iletişim kanalı üzerinden iletilen tüm bilgiler korunur. Bu şifreleme yönteminin şu avantajı vardır - veri bağlantısı katmanına şifreleme prosedürlerinin yerleştirilmesi, sistem performansını artıran donanım kullanımına izin verir. Bununla birlikte, bu yaklaşımın da önemli dezavantajları vardır:

• hizmet verilerinin şifrelenmesi, ağ paketlerinin yönlendirme mekanizmasını karmaşıklaştırır ve ara iletişim cihazlarındaki (ağ geçitleri, tekrarlayıcılar, vb.) verilerin şifresinin çözülmesini gerektirir;
• hizmet bilgilerinin şifrelenmesi, şifrelenmiş verilerde korumanın güvenilirliğini etkileyen ve kriptografik algoritmaların kullanımına kısıtlamalar getiren istatistiksel kalıpların ortaya çıkmasına neden olabilir.

Uçtan uca (abone) şifreleme iki abone arasında aktarılan verilerin gizliliğini sağlamanıza olanak tanır. Bu durumda sadece mesajların içeriği korunur, tüm servis bilgileri açık kalır. Dezavantajı, mesaj alışverişinin yapısı hakkında, örneğin gönderen ve alıcı hakkında, veri aktarımının zamanı ve koşulları ile aktarılan veri miktarı hakkında bilgileri analiz etme yeteneğidir.

4. Elektronik veri doğrulama sistemleri

Ağlar üzerinden veri alışverişi yaparken, belgenin yazarının ve belgenin kendisinin kimliğini doğrulama sorunu ortaya çıkar, yani. yazarın kimlik doğrulaması ve alınan belgede değişiklik olmadığının doğrulanması. Verileri doğrulamak için bir mesaj doğrulama kodu (taklit eki) veya elektronik imza kullanılır.

Taklit ek açık verilerden özel bir şifreleme dönüşümü ile gizli bir anahtar kullanılarak üretilir ve şifrelenmiş verilerin sonunda bir iletişim kanalı üzerinden iletilir. Taklit ekleme, özel anahtarın sahibi olan alıcı tarafından, daha önce gönderici tarafından alınan genel veriler üzerinde gerçekleştirilen prosedürü tekrarlayarak doğrulanır.

Elektronik dijital imza imzalı metinle iletilen nispeten az miktarda ek kimlik doğrulama bilgisini temsil eder. Gönderici, gönderenin gizli anahtarını kullanarak dijital bir imza oluşturur. Alıcı, gönderenin ortak anahtarını kullanarak imzayı doğrular.

Bu nedenle, taklit eklemenin uygulanması için simetrik şifreleme ilkeleri ve elektronik imzanın uygulanması için asimetrik kullanılır. Bu iki şifreleme sistemini daha sonra daha detaylı inceleyeceğiz.

5. Şifreleme anahtarlarını yönetmek için araçlar

Herhangi bir şifreleme sisteminin güvenliği, kullanılan şifreleme anahtarları tarafından belirlenir. Güvenli olmayan anahtar yönetimi durumunda, bir saldırgan anahtar bilgileri ele geçirebilir ve sistem veya ağdaki tüm bilgilere tam erişim sağlayabilir.

Aşağıdaki türde anahtar yönetimi işlevleri vardır: anahtarların oluşturulması, depolanması ve dağıtımı.

Yollar anahtar oluşturma simetrik ve asimetrik kriptosistemler için farklıdır. Simetrik kriptosistemlerin anahtarlarını oluşturmak için rasgele sayılar üretmek için donanım ve yazılım kullanılır. Asimetrik kriptosistemler için anahtar üretimi, anahtarların belirli matematiksel özelliklere sahip olması gerektiğinden daha zordur. Simetrik ve asimetrik kriptosistemleri incelerken bu konu üzerinde daha detaylı duralım.

İşlev depolamak anahtar bilgilerin güvenli depolanması, muhasebeleştirilmesi ve elden çıkarılmasının organizasyonunu içerir. Anahtarların güvenli bir şekilde saklanmasını sağlamak için diğer anahtarlar kullanılarak şifrelenirler. Bu yaklaşım, anahtar hiyerarşi kavramına yol açar. Bir anahtar hiyerarşisi tipik olarak bir ana anahtar (yani bir ana anahtar), bir anahtar şifreleme anahtarı ve bir veri şifreleme anahtarı içerir. Ana anahtarın üretilmesi ve saklanmasının kripto korumasında kritik bir konu olduğu unutulmamalıdır.

Dağıtım anahtar yönetimindeki en kritik süreçtir. Bu süreç, dağıtılacak anahtarların gizliliğini sağlamalı ve hızlı ve doğru olmalıdır. Anahtarlar ağ kullanıcıları arasında iki şekilde dağıtılır:

• oturum anahtarlarının doğrudan değişiminin kullanılması;
• bir veya daha fazla anahtar dağıtım merkezi kullanmak.

Belge listesi

1. DEVLET SIRRI HAKKINDA. 21 Temmuz 1993 tarihli ve 5485-1 sayılı Rusya Federasyonu Kanunu (6 Ekim 1997 tarih ve 131-FZ sayılı Federal Kanun ile değiştirildiği şekliyle).
2. BİLGİ, BİLGİ VE BİLGİ KORUMA HAKKINDA. 20 Şubat 1995 tarihli ve 24-FZ sayılı Rusya Federasyonu Federal Kanunu. Devlet Duması tarafından 25 Ocak 1995'te kabul edildi.
3. ELEKTRONİK BİLGİSAYARLAR VE VERİTABANLAR İÇİN PROGRAMLARIN YASAL KORUNMASI HAKKINDA. 23 Eylül 1992 tarihli ve 3524-1 sayılı Rusya Federasyonu Kanunu.
4. ELEKTRONİK DİJİTAL İMZA HAKKINDA. 10 Ocak 2002 tarihli ve 1-FZ sayılı Rusya Federasyonu Federal Kanunu.
5. TELİF HAKKI VE İLGİLİ HAKLAR HAKKINDA. 9 Temmuz 1993 tarihli ve 5351-1 sayılı Rusya Federasyonu Kanunu.
6. FEDERAL DEVLET İLETİŞİM VE BİLGİ KURULUŞLARI HAKKINDA. Rusya Federasyonu Kanunu (24 Aralık 1993 tarih ve 2288 sayılı Rusya Federasyonu Cumhurbaşkanı Kararnamesi ile değiştirildiği şekliyle; 7 Kasım 2000 tarih ve 135-FZ sayılı Federal Kanun.
7. Rusya Federasyonu Başkanı altında bilgi güvenliği gereklilikleri / Devlet Teknik Komisyonu uyarınca bilgi güvenliği ürünleri için test laboratuvarlarının ve belgelendirme kuruluşlarının akreditasyonuna ilişkin düzenlemeler.
8. Rusya Federasyonu Başkanı altında uygunluk sertifikaları, kopyaları ve bilgi koruma / Devlet Teknik Komisyonu belgelendirme araçlarının işaretleme prosedürü hakkında talimat.
9. Rusya Federasyonu Başkanı altındaki bilgi güvenliği gereklilikleri / Devlet Teknik Komisyonu uyarınca bilgi nesnelerinin sertifikalandırılmasına ilişkin düzenlemeler.
10. Bilgi güvenliği araçlarının sertifikalandırılmasına ilişkin düzenlemeler, bilgi güvenliği gerekliliklerine uygun olarak: Rusya Federasyonu Hükümeti'nin 26 Haziran 1995 tarih ve 608 sayılı "Bilgi güvenliği araçlarının sertifikalandırılması hakkında" / Devlet Teknik Komisyonu Kararnamesi uyarınca ilavelerle Rusya Federasyonu Başkanı.
11. Rusya Federasyonu Başkanı altında bilgi koruma / Devlet Teknik Komisyonu alanındaki faaliyetlerin devlet tarafından lisanslanmasına ilişkin düzenlemeler.
12. Otomatik sistemler. Bilgiye yetkisiz erişime karşı koruma. Otomatik sistemlerin sınıflandırılması ve bilgi koruma gereksinimleri: Rehberlik belgesi / Rusya Federasyonu Başkanı altındaki Devlet Teknik Komisyonu.
13. Bilgisayar ekipmanını ve otomatik sistemleri bilgiye yetkisiz erişimden koruma kavramı: Rehberlik belgesi / Rusya Federasyonu Başkanı altındaki Devlet Teknik Komisyonu.
14. Bilgisayar tesisleri. Güvenlik duvarları. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri: Rehberlik belgesi / Rusya Federasyonu Başkanı altındaki Devlet Teknik Komisyonu.
15. Bilgisayar tesisleri. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri: Rehberlik belgesi / Rusya Federasyonu Başkanı altındaki Devlet Teknik Komisyonu.
16. Bilginin korunması. Özel koruyucu işaretler. Sınıflandırma ve genel gereksinimler: Rehberlik belgesi / Rusya Federasyonu Başkanı altındaki Devlet Teknik Komisyonu.
17. Bilgiye yetkisiz erişime karşı koruma. Terimler ve tanımlar: Rehberlik belgesi / Rusya Federasyonu Başkanı altındaki Devlet Teknik Komisyonu.

Bir sanal sunucunun güvenliği yalnızca doğrudan şu şekilde görüntülenebilir: "Bilgi Güvenliği"... Birçoğu bu ifadeyi duydu, ancak herkes ne olduğunu anlamıyor mu?

"Bilgi Güvenliği" sağlama sürecidir bilgilerin kullanılabilirliği, bütünlüğü ve gizliliği.

Altında "Kullanılabilirlik" buna göre bilgiye erişim sağlamak için anlaşılır. "Bütünlük"- Bu, bilgilerin doğruluğunu ve eksiksizliğini sağlamak içindir. "Gizlilik" sadece yetkili kullanıcıların bilgiye erişiminin sağlanması anlamına gelir.

Sanal sunucuda gerçekleştirilen hedeflerinize ve görevlerinize bağlı olarak, bu üç noktanın her biri için geçerli olan çeşitli önlemlere ve koruma derecelerine de ihtiyacınız olacaktır.

Örneğin, bir sanal sunucuyu yalnızca internette gezinme aracı olarak kullanıyorsanız, güvenliği sağlamak için gerekli araçlardan, her şeyden önce, temel güvenlik kurallarına uyumun yanı sıra anti-virüs korumasının kullanılması olacaktır. İnternette çalışırken.

Aksi takdirde, bir satış siteniz veya sunucunuzda barındırılan bir oyun sunucunuz varsa, gerekli koruma önlemleri tamamen farklı olacaktır.

Olası tehditleri ve bu tehditlerin genellikle yararlandığı güvenlik açıklarını bilmek, en uygun güvenlik önlemlerini seçmek için gereklidir, bunun için ana noktaları dikkate alacağız.

Altında "Tehdit" potansiyelin bir şekilde bilgi güvenliğini ihlal ettiği anlaşılmaktadır. Bir tehdidi uygulama girişimine denir "Saldırı", ve bu girişimi uygulayana denir "davetsiz misafir"... Çoğu zaman tehdit, bilgi sistemlerinin korunmasındaki güvenlik açıklarının varlığının bir sonucudur.

Modern bilgi sistemlerinin maruz kaldığı en yaygın tehditleri ele alalım.

En fazla zarara neden olan bilgi güvenliği tehditleri

Çeşitli kriterlere göre tehdit türlerinin sınıflandırılmasını aşağıda düşünün:

1. Bilgi güvenliğine doğrudan tehdit:
   • kullanılabilirlik
   • Bütünlük
   • Gizlilik
2. Tehditlerin hedeflediği bileşenler:
   • Veri
   • programlar
   • Teçhizat
   • Destekleyici altyapı
3. Uygulama yoluyla:
   • Kazara veya kasıtlı
   • Doğal veya insan yapımı
4. Tehdit kaynağının konumuna göre:
   • Dahili
   • Harici

Başta da belirtildiği gibi, “tehdit” kavramı genellikle farklı durumlarda farklı şekilde yorumlanır. Ve gerekli güvenlik önlemleri farklı olacaktır. Örneğin, belirgin bir şekilde açık bir kuruluş için gizlilik tehditleri mevcut olmayabilir - tüm bilgiler kamuya açık olarak kabul edilir, ancak çoğu durumda yasa dışı erişim ciddi bir tehdittir.

Sanal sunuculara uygulandığında, bir sunucu yöneticisi olarak göz önünde bulundurmanız gereken tehditler, kullanılabilirlik, gizlilik ve veri bütünlüğüne yönelik tehditlerdir. Donanım veya altyapı bileşeniyle ilgili olmayan, gizliliği ve veri bütünlüğünü hedefleyen tehditlerin uygulanma olasılığı konusunda doğrudan ve bağımsız sorumluluk size aittir. Gerekli koruma önlemlerinin uygulanması dahil, bu sizin acil görevinizdir.

Kullandığınız programların zafiyetlerine yönelik tehditler, genellikle bir kullanıcı olarak bu programları kullanmamanız dışında etkileyemezsiniz. Bu programların kullanılmasına yalnızca, bu programların güvenlik açıklarını kullanan tehditlerin uygulanması, bir saldırganın bakış açısından önerilmezse veya bir kullanıcı olarak sizin için önemli kayıplar yoksa izin verilir.

Seçtiğiniz ve sunucularınızı kiraladığınız barındırma şirketi, ekipman, altyapı veya insan yapımı ve doğal nitelikteki tehditlere karşı gerekli güvenlik önlemlerinin alınmasıyla doğrudan ilgilenmektedir. Bu durumda seçime en dikkatli yaklaşmak gerekir, doğru seçilmiş hosting firması size donanım ve altyapı bileşenlerinin güvenilirliğini uygun seviyede sağlayacaktır.

Bir sanal sunucu yöneticisi olarak, bu tür tehditleri sadece hosting firmasının hatası nedeniyle kısa süreli erişim kaybının veya sunucu performansının kısmen veya tamamen kapanmasının bile orantısız sorunlara yol açabileceği durumlarda dikkate almanız gerekir. veya kayıplar. Bu oldukça nadiren olur, ancak nesnel nedenlerle hiçbir barındırma şirketi %100 Uptime sağlayamaz.

Bilgi güvenliğine doğrudan tehditler

Erişilebilirliğe yönelik ana tehditler şunları içerir:

1. Bilgi sisteminin iç arızası;
2. Destekleyici altyapının başarısızlığı.

Dahili arızaların ana kaynakları şunlardır:

• Belirlenen işletim kurallarının ihlali (kazara veya kasıtlı)
• Kullanıcıların kazara veya kasıtlı eylemleri nedeniyle sistemin normal işleyişinden çıkması (tahmini talep sayısının fazla olması, aşırı miktarda işlenmiş bilgi vb.)
• Sistemi (yeniden) yapılandırırken oluşan hatalar
• Kötü amaçlı yazılım
• Donanım ve yazılım arızaları
• Veri imhası
• Ekipmanın tahrip olması veya hasar görmesi

Destekleyici altyapıyla ilgili olarak, aşağıdaki tehditlerin dikkate alınması önerilir:

• İletişim sistemlerinin, güç kaynağının, su ve / veya ısı kaynağının, klimanın bozulması (kazara veya kasıtlı);
• Binaların tahrip edilmesi veya hasar görmesi;
• Hizmet personelinin ve/veya kullanıcıların görevlerini yerine getirememe veya isteksizlikleri (sivil kargaşa, ulaşım kazaları, terör eylemi veya tehdidi, grev vb.).

Bütünlüğe yönelik büyük tehditler

Statik bütünlük tehditleri ve dinamik bütünlük tehditleri olarak ikiye ayrılabilir.

Ayrıca, hizmet bilgilerinin ve içerik verilerinin bütünlüğüne yönelik tehditlere bölünmelidir. Hizmet bilgileri, erişim parolaları, yerel ağdaki veri aktarım yolları ve benzeri bilgileri ifade eder. Çoğu zaman ve hemen hemen her durumda, saldırganın, bilinçli olsun ya da olmasın, işletme modu ve koruma önlemlerine aşina olan bir kuruluş çalışanı olduğu ortaya çıkar.

Statik bütünlüğü ihlal etmek için bir saldırgan şunları yapabilir:

• Yanlış veri girin
• Verileri değiştirmek için

Dinamik bütünlüğe yönelik tehditler arasında yeniden sıralama, hırsızlık, verilerin çoğaltılması veya ek iletilerin eklenmesi yer alır.

En önemli gizlilik tehditleri

Gizli bilgiler konu ve hizmet bilgileri olarak ikiye ayrılabilir. Hizmet bilgileri (örneğin, kullanıcı şifreleri) belirli bir konu alanına ait değildir, bilgi sisteminde teknik bir rol oynar, ancak konu bilgileri de dahil olmak üzere tüm bilgilere yetkisiz erişimle dolu olduğu için ifşası özellikle tehlikelidir.

Bilgi bir bilgisayarda saklansa veya bilgisayar kullanımına yönelik olsa bile, gizliliğine yönelik tehditler bilgisayar ve genellikle teknik olmayan nitelikte olabilir.

Savunması zor olan hoş olmayan tehditler arasında gücün kötüye kullanılması yer alır. Birçok sistem türünde, ayrıcalıklı bir kullanıcı (örneğin, bir sistem yöneticisi) herhangi bir (şifrelenmemiş) dosyayı okuyabilir, herhangi bir kullanıcının postasına erişebilir, vb. Başka bir örnek hizmet hasarıdır. Tipik olarak, bir servis mühendisinin ekipmana sınırsız erişimi vardır ve yazılım koruma mekanizmalarını atlayabilir.

Açıklık sağlamak için, bu tür tehditler de aşağıda Şekil 1'de şematik olarak sunulmuştur.


Pirinç. 1. Bilgi güvenliğine yönelik tehdit türlerinin sınıflandırılması

En optimal koruma önlemlerini uygulamak için sadece bilgi güvenliğine yönelik tehditleri değil, olası zararları da değerlendirmek gerekir; bunun için kabul edilebilirlik özelliği kullanılır, böylece olası zarar kabul edilebilir veya kabul edilemez olarak belirlenir. Bunun için, maddi veya başka bir biçimde zararın kabul edilebilirliğine ilişkin kendi kriterlerinizi oluşturmanız faydalı olacaktır.

Bilgi güvenliğini düzenlemeye başlayan herkes üç temel soruyu yanıtlamalıdır:

1. Ne korunmalı?
2. Kimden korunmalı, ne tür tehditler yaygın: dış mı yoksa iç mi?
3. Nasıl, hangi yöntem ve araçlarla korunur?

Yukarıdakilerin hepsini dikkate alarak, tehditlerin alaka düzeyini, olasılığını ve ciddiyetini tam olarak değerlendirebilirsiniz. Gerekli tüm bilgileri değerlendirdikten ve tüm artıları ve eksileri tarttıktan sonra. En etkili ve optimal koruma yöntemlerini ve araçlarını seçebileceksiniz.

Temel korunma yöntemleri ve araçları ile sanal sunucular üzerinde uygulanan asgari ve gerekli güvenlik önlemleri, kullanımlarının temel amaçlarına ve tehdit türlerine bağlı olarak, aşağıdaki makalelerde "Bilgi güvenliğinin temelleri" başlığı altında ele alacağız. ".