Kuruluştaki bilgilerin korunması. İşletmedeki gizli bilgilerin korunması

Bibliyografik açıklama:

AK Nesterov Bilgi güvenliği [Elektronik kaynak] // Eğitim ansiklopedisi sitesi

Bilgi teknolojilerinin gelişmesi ve bilgi kaynaklarının kuruluşlar için öneminin artmasıyla eş zamanlı olarak, bilgi güvenliğine yönelik tehditlerin sayısı ve ihlallerinden kaynaklanan olası zararlar da artmaktadır. İşletmenin bilgi güvenliğini sağlamak için nesnel bir ihtiyaç vardır. Bu bağlamda ilerleme, yalnızca bilgi güvenliği tehditlerinin hedeflenen önlenmesi bağlamında mümkündür.

Bilgi güvenliği araçları

Bilgi güvenliği iki tür araç kullanılarak sağlanır:

• yazılım ve donanım
• güvenli iletişim kanalları

Bilgi teknolojilerinin geliştirilmesinin modern koşullarında bilgi güvenliğini sağlamanın yazılım ve donanım araçları, yerli ve yabancı kuruluşların çalışmalarında en yaygın olanıdır. Ana yazılım ve donanım bilgi güvenliği araçlarına daha yakından bakalım.

Yetkisiz erişime karşı koruma sağlayan bellenim, bilgi sistemine erişimin tanımlanması, doğrulanması ve kontrolü için önlemleri içerir.

Tanımlama, konulara erişmek için benzersiz tanımlayıcıların atanmasıdır.

Buna RFID etiketleri, biyometrik teknolojiler, manyetik kartlar, evrensel manyetik anahtarlar, oturum açma bilgileri vb. dahildir.

Kimlik doğrulama - erişim konusunun sunulan tanımlayıcıya ait olduğunu kontrol etmek ve orijinalliğini doğrulamak.

Kimlik doğrulama prosedürleri, parolaları, pin kodlarını, akıllı kartları, usb anahtarlarını, dijital imzaları, oturum anahtarlarını vb. içerir. Tanımlama ve doğrulama araçlarının prosedürel kısmı birbiriyle bağlantılıdır ve aslında, diğer tüm hizmetler, bilgi sistemi tarafından doğru bir şekilde tanınan belirli konulara hizmet etmek üzere tasarlandığından, bilgi güvenliğini sağlamak için tüm yazılım ve donanımın temel temelini temsil eder. Genel olarak, tanımlama, öznenin bilgi sistemi için kendisini tanımlamasına izin verir ve kimlik doğrulama yardımıyla, bilgi sistemi öznenin gerçekten iddia ettiği kişi olduğunu onaylar. Bu işlemin geçişine bağlı olarak bilgi sistemine erişim sağlamak için bir işlem gerçekleştirilir. Erişim kontrol prosedürleri, yetkili kuruluşların yönetmeliklerin izin verdiği eylemleri gerçekleştirmesine ve bilgi sisteminin bu eylemleri sonucun doğruluğu ve doğruluğu için kontrol etmesine izin verir. Erişim kontrolü, sistemin, erişimleri olmayan kullanıcı verilerinden gizlenmesine izin verir.

Yazılım ve donanım korumasının bir sonraki yolu, bilgi kaydı ve denetimidir.

Loglama, bilgi sisteminin işleyişi sırasında meydana gelen olaylar, eylemler, sonuçlar, bireysel kullanıcılar, süreçler ve işletmenin bilgi sistemini oluşturan tüm yazılım ve donanımlar hakkında bilgilerin toplanması, biriktirilmesi ve depolanmasını içerir.

Bilgi sisteminin her bileşeni, programlanmış sınıflandırıcılara göre önceden belirlenmiş olası olaylar kümesine sahip olduğundan, olaylar, eylemler ve sonuçlar şu şekilde ayrılır:

• harici, diğer bileşenlerin eylemlerinden kaynaklanan,
• bileşenin kendisinin eylemlerinden kaynaklanan dahili,
• Kullanıcıların ve yöneticilerin eylemlerinden kaynaklanan istemci tarafı.

Bilgi denetimi, gerçek zamanlı veya belirli bir süre içinde operasyonel analiz yapmaktan oluşur.

Analiz sonuçlarına göre ya meydana gelen olaylar hakkında bir rapor oluşturulur ya da acil bir duruma otomatik olarak müdahale başlatılır.

Günlüğe kaydetme ve denetlemenin uygulanması aşağıdaki görevleri çözer:

• kullanıcıları ve yöneticileri sorumlu tutmak;
• olayların sırasını yeniden yapılandırma yeteneğinin sağlanması;
• bilgi güvenliğini ihlal etme girişimlerinin tespiti;
• sorunları tanımlamak ve analiz etmek için bilgi sağlamak.

Bilgi koruması, kriptografik araçlar kullanılmadan genellikle imkansızdır. Kimlik doğrulama araçları kullanıcı tarafından şifrelenmiş biçimde depolandığında, şifreleme, bütünlük kontrolü ve kimlik doğrulama hizmetlerinin çalışmasını sağlamak için kullanılırlar. İki ana şifreleme yöntemi vardır: simetrik ve asimetrik.

Bütünlük kontrolü, bir veri dizisi, bireysel veri bölümleri, bir veri kaynağı olan bir nesnenin gerçekliğini ve kimliğini belirlemenize ve ayrıca sistemde gerçekleştirilen bir eylemi bir dizi ile işaretlemenin imkansız olduğundan emin olmanıza olanak tanır. bilgi. Bütünlük denetimi uygulaması, şifreleme ve dijital sertifikalar kullanan veri dönüştürme teknolojilerine dayanmaktadır.

Bir diğer önemli husus, öznelerin bilgi kaynaklarına erişimini sınırlandırarak, işletmenin bilgi sistemi ile dış nesneler, veri dizileri, özneler ve karşı özneler arasındaki tüm bilgi akışlarını kontrol etmeye izin veren bir teknoloji olan taramanın kullanılmasıdır. Akış kontrolü, bunların filtrelenmesinden ve gerekirse iletilen bilgilerin dönüştürülmesinden oluşur.

Korumanın görevi, dahili bilgileri potansiyel olarak düşmanca dış faktörlerden ve konulardan korumaktır. Korumanın ana uygulama biçimi, çeşitli tip ve mimarilerdeki güvenlik duvarları veya güvenlik duvarlarıdır.

Bilgi güvenliğinin işaretlerinden biri bilgi kaynaklarının kullanılabilirliği olduğundan, yüksek düzeyde kullanılabilirliğin sağlanması, yazılım ve donanım önlemlerinin uygulanmasında önemli bir yöndür. Özellikle iki alan ayrılmıştır: hata toleransının sağlanması, yani. sistem arızalarını etkisiz hale getirme, hatalar oluştuğunda çalışabilme ve arızalardan güvenli ve hızlı kurtarma sağlama, yani. sistemin servis kolaylığı.

Bilgi sistemleri için temel gereksinim, her zaman belirli bir verimlilik, minimum kullanılabilirlik süresi ve yanıt hızı ile çalışmasıdır.

Buna göre, bilgi kaynaklarının mevcudiyeti aşağıdakiler tarafından sağlanır:

• bireysel modüllerin gerektiğinde devre dışı bırakılabileceği veya bilgi sisteminin diğer öğelerine zarar vermeden hızlı bir şekilde değiştirilebileceği anlamına gelen yapısal bir mimarinin kullanılması;
• Aşağıdakiler nedeniyle hata toleransının sağlanması: destekleyici altyapının özerk unsurlarının kullanılması, yazılım ve donanım konfigürasyonunda aşırı kapasitenin kullanılması, donanım yedekliliği, sistem içinde bilgi kaynaklarının çoğaltılması, veri yedekleme vb.
• arızaların ve bunların sonuçlarının teşhis ve ortadan kaldırılmasının zamanlamasını azaltarak servis kolaylığı sağlamak.

Güvenli iletişim kanalları, bilgi güvenliği araçlarının bir diğer türüdür.

Bilgi sistemlerinin işleyişi kaçınılmaz olarak veri aktarımı ile ilişkilidir, bu nedenle işletmelerin de güvenli iletişim kanalları kullanarak aktarılan bilgi kaynaklarının korunmasını sağlaması gerekmektedir. Açık iletişim kanalları üzerinden trafik iletirken verilere yetkisiz erişim olasılığı, bunların halka açık olmasından kaynaklanmaktadır. "Tüm uzunlukları boyunca iletişim fiziksel olarak korunamayacağından, bu nedenle, başlangıçta savunmasızlık varsayımından yola çıkmak ve buna göre koruma sağlamak daha iyidir." Bunun için, özü verileri kapsüllemek olan tünelleme teknolojileri kullanılır, yani. tüm hizmet öznitelikleri de dahil olmak üzere iletilen veri paketlerini kendi zarflarında paketleyin veya sarın. Buna göre bir tünel, üzerinden kriptografik olarak korunan veri paketlerinin iletildiği açık iletişim kanalları aracılığıyla güvenli bir bağlantıdır. Tünelleme, bilgi sisteminin kriptografik unsurları ile birlikte kullanıldığında hizmet bilgilerini gizleyerek ve iletilen verilerin gizliliğini ve bütünlüğünü sağlayarak trafiğin gizliliğini sağlamak için kullanılır. Tünel oluşturma ve şifreleme kombinasyonu, bir VPN'nin uygulanmasını sağlar. Bu durumda sanal özel ağları uygulayan tünellerin uç noktaları, kuruluşların dış ağlara bağlanmasına hizmet eden güvenlik duvarlarıdır.

Sanal Özel Ağ Hizmetlerinin Uygulama Noktaları Olarak Güvenlik Duvarları

Bu nedenle, tünel oluşturma ve şifreleme, ağ trafiğinin filtrelenmesi sürecinde adres çevirisi ile birlikte gerçekleştirilen ek dönüşümlerdir. Tünellerin uçları, kurumsal güvenlik duvarlarının yanı sıra çalışanların kişisel ve mobil bilgisayarları, daha doğrusu kişisel güvenlik duvarları ve güvenlik duvarları olabilir. Bu yaklaşım, güvenli iletişim kanallarının çalışmasını sağlar.

Bilgi güvenliği prosedürleri

Bilgi güvenliği prosedürleri genellikle idari ve organizasyonel düzeylerde farklılık gösterir.

• İdari prosedürler, bilgi güvenliğinin sağlanması ve sürdürülmesi alanındaki tüm iş, eylem ve operasyonları düzenlemek için kuruluş yönetimi tarafından gerekli kaynakların tahsis edilmesi ve alınan önlemlerin etkinliğinin izlenmesi yoluyla uygulanan genel eylemleri içerir.
• Organizasyonel seviye, personel yönetimi, fiziksel koruma, yazılım ve donanım altyapısının işlerliğinin sürdürülmesi, güvenlik ihlallerinin derhal ortadan kaldırılması ve kurtarma çalışmasının planlanması dahil olmak üzere bilgi güvenliğini sağlamaya yönelik prosedürleri temsil eder.

Öte yandan, idari ve organizasyonel prosedürlerin farklılaşması anlamsızdır, çünkü bir seviyenin prosedürleri diğerinden ayrı olarak var olamaz ve bu nedenle bilgi güvenliği kavramında fiziksel seviyenin korunması, kişisel ve organizasyonel koruma arasındaki karşılıklı bağlantıyı ihlal eder. Uygulamada, bir kuruluşun bilgi güvenliğini sağlarken idari veya organizasyonel prosedürler ihmal edilmez, bu nedenle her iki seviye de fiziksel, organizasyonel ve kişisel bilgi koruma seviyelerini etkilediğinden, bunları bütünleşik bir yaklaşım olarak değerlendirmek daha mantıklıdır.

Bilgi güvenliğini sağlamaya yönelik karmaşık prosedürlerin temeli güvenlik politikasıdır.

Bilgi güvenliği politikası

Bilgi güvenliği politikası bir kuruluşta, kuruluşun yönetimi tarafından alınan ve bilgileri ve ilgili kaynakları korumayı amaçlayan bir dizi belgelenmiş karardır.

Organizasyonel ve yönetsel açıdan, bilgi güvenliği politikası tek bir belge olabilir veya birkaç bağımsız belge veya talimat şeklinde düzenlenebilir, ancak her durumda kuruluşun bilgi sisteminin korunmasına ilişkin aşağıdaki hususları kapsamalıdır:

• bilgi sistemi nesnelerinin, bilgi kaynaklarının korunması ve bunlarla doğrudan işlemler;
• işleme yazılımı da dahil olmak üzere sistemdeki bilgi işleme ile ilgili tüm işlemlerin korunması;
• kablolu, radyo, kızılötesi, donanım vb. dahil olmak üzere iletişim kanallarının korunması;
• donanım kompleksinin ikincil elektromanyetik radyasyondan korunması;
• bakım, yükseltmeler ve idari eylemler dahil olmak üzere güvenlik yönetimi.

Her bir husus ayrıntılı olarak tanımlanmalı ve kuruluşun iç belgelerinde belgelenmelidir. Dahili belgeler, güvenlik sürecinin üç düzeyini kapsar: üst, orta ve alt.

Üst düzey bilgi güvenliği politikası belgeleri, kuruluşun kendi bilgilerini korumaya ve ulusal ve/veya uluslararası standartlara uyumuna yönelik temel yaklaşımını yansıtır. Uygulamada, bir kuruluşun "Bilgi Güvenliği Kavramı", "Bilgi Güvenliği Düzenlemeleri" vb. başlıklı yalnızca bir üst düzey belgesi vardır. Resmi olarak, bu belgeler gizli değere sahip değildir, dağıtımları sınırlı değildir, ancak dahili kullanım ve açık yayın için baskı olarak yayınlanabilirler.

Orta düzey belgeler kesinlikle gizlidir ve kuruluşun bilgi güvenliğinin belirli yönleriyle ilgilidir: kullanılan bilgi güvenliği araçları, veritabanı güvenliği, iletişimler, kriptografik araçlar ve kuruluşun diğer bilgi ve ekonomik süreçleri. Dokümantasyon, dahili teknik ve organizasyonel standartlar şeklinde uygulanır.

Alt düzey belgeler iki türe ayrılır: çalışma düzenlemeleri ve çalıştırma talimatları. Çalışma yönetmelikleri kesinlikle gizlidir ve yalnızca görevde olan, bireysel bilgi güvenliği hizmetlerinin yönetimi ile ilgili çalışmaları yürüten kişilere yöneliktir. Çalıştırma talimatları gizli veya herkese açık olabilir; bunlar kuruluşun personeline yöneliktir ve kuruluşun bilgi sisteminin bireysel unsurlarıyla çalışma prosedürünü açıklar.

Dünya deneyimi, bilgi güvenliği politikasının her zaman yalnızca bilgi güvenliği için artan gereksinimler getiren gelişmiş bir bilgi sistemine sahip büyük şirketlerde belgelendiğini, orta ölçekli işletmelerin çoğu zaman yalnızca kısmen belgelenmiş bir bilgi güvenliği politikasına sahip olduğunu, ezici çoğunlukta küçük kuruluşların bunu yaptığını göstermektedir. güvenlik politikasını belgelemek umurumda değil. Belgeleme formatının bütünsel veya dağıtılmış olmasına bakılmaksızın, güvenlik modu temel unsurdur.

Temelini oluşturan iki farklı yaklaşım vardır. bilgi güvenliği politikası:

1. "Yasak olmayan her şeye izin verilir."
2. "İzin verilmeyen her şey yasaktır."

İlk yaklaşımın temel kusuru, pratikte tüm tehlikeli durumları öngörmenin ve bunları yasaklamanın imkansız olmasıdır. Hiç şüphe yok ki sadece ikinci yaklaşım kullanılmalıdır.

Organizasyonel bilgi güvenliği seviyesi

Bilgi koruması açısından, bilgi güvenliğini sağlamaya yönelik organizasyonel prosedürler, "gizli bilgilerin yasadışı olarak edinilmesini ve iç ve dış bilgilerin tezahürünü hariç tutan veya önemli ölçüde karmaşıklaştıran yasal bir temelde üretim faaliyetlerinin ve icracıların ilişkilerinin düzenlenmesi" olarak sunulmaktadır. Dış tehditler."

Bilgi güvenliğini sağlamak için personel ile çalışmayı organize etmeyi amaçlayan personel yönetimi önlemleri, görevlerin ayrılmasını ve ayrıcalıkların en aza indirilmesini içerir. Görevlerin ayrılığı, bir kişinin kuruluş için kritik bir süreci kesintiye uğratamayacağı yetkinlikler ve sorumluluk alanlarının dağılımını öngörmektedir. Bu, hata ve kötüye kullanım olasılığını azaltır. Ayrıcalık minimizasyonu, kullanıcılara yalnızca resmi görevlerini yerine getirme ihtiyacına karşılık gelen erişim düzeyinin verilmesini öngörür. Bu, kazara veya kasıtlı suistimalden kaynaklanan hasarı azaltır.

Fiziksel koruma, kuruluşun bilgi kaynaklarının bulunduğu binaların, bitişik bölgelerin, altyapı elemanlarının, bilgisayarların, veri taşıyıcılarının ve donanım iletişim kanallarının doğrudan korunması için önlemlerin geliştirilmesi ve benimsenmesi anlamına gelir. Buna fiziksel erişim kontrolü, yangın koruması, destekleyici altyapı koruması, veri dinleme koruması ve mobil sistem koruması dahildir.

Yazılım ve donanım altyapısının işlerliğinin korunması, donanım kompleksine zarar verme, programların arızalanması ve veri kaybı tehdidinde bulunan stokastik hataların önlenmesinden oluşur. Bu konudaki ana yönergeler, kullanıcı ve yazılım desteği, konfigürasyon yönetimi, yedekleme, medya yönetimi, dokümantasyon ve önleyici çalışma sağlamaktır.

Güvenlik ihlallerinin derhal ortadan kaldırılmasının üç ana amacı vardır:

1. Olayın lokalizasyonu ve sebep olunan hasarın azaltılması;
2. Suçlunun kimliği;
3. Tekrarlanan ihlallerin önlenmesi.

Son olarak, iyileştirme planlaması, kazalara hazırlanmanıza, kazalardan kaynaklanan hasarı azaltmanıza ve en azından minimum düzeyde çalışma yeteneğini korumanıza olanak tanır.

Bilgi güvenliğini sağlamak için tüm idari ve organizasyonel düzenleyici prosedürlerin geliştirilmesi ve onaylanmasına yönelik entegre bir yaklaşım temelinde kuruluşta yazılım ve donanım ve güvenli iletişim kanallarının kullanımı uygulanmalıdır. Aksi takdirde, belirli önlemlerin benimsenmesi bilgilerin korunmasını garanti etmez ve çoğu zaman, tam tersine, gizli bilgilerin sızmasına, kritik verilerin kaybolmasına, donanım altyapısının zarar görmesine ve kuruluşun bilgi sisteminin yazılım bileşenlerinin bozulmasına neden olur.

Bilgi güvenliği yöntemleri

Modern işletmeler için, şirketin dağıtılmış ofislerini ve depolarını, finansal muhasebe ve yönetim kontrolünü, müşteri tabanından gelen bilgileri, göstergelerle örneği dikkate alarak vb. Dolayısıyla veri seti çok önemlidir ve ezici çoğunluğunda şirket için ticari ve ekonomik açıdan öncelikli öneme sahip olan bilgidir. Aslında ticari değeri olan verilerin gizliliğini sağlamak, bir şirkette bilgi güvenliğini sağlamanın temel görevlerinden biridir.

İşletmede bilgi güvenliğinin sağlanması aşağıdaki belgelerle düzenlenmelidir:

1. Bilgi güvenliği düzenlemeleri. Bilgi güvenliğini sağlamak için amaç ve hedeflerin formülasyonunu, bilgi güvenliği araçlarına ilişkin iç düzenlemelerin bir listesini ve şirketin dağıtılmış bilgi sisteminin yönetimine ilişkin bir düzenlemeyi içerir. Düzenlemelere erişim, organizasyonun yönetimi ve otomasyon departmanı başkanı ile sınırlıdır.
2. Bilgi korumasının teknik desteği için düzenlemeler. Belgeler gizlidir, erişim otomasyon departmanı çalışanları ve üst yönetim ile sınırlıdır.
3. Dağıtılmış bir bilgi güvenliği sisteminin yönetimi için düzenlemeler. Yönetmeliklere erişim, bilgi sisteminin yönetiminden sorumlu otomasyon departmanı çalışanları ve üst yönetim ile sınırlıdır.

Aynı zamanda, bu belgeler sınırlandırılmamalı, aynı zamanda daha düşük seviyeler de çalışılmalıdır. Aksi takdirde, işletmenin bilgi güvenliği ile ilgili başka herhangi bir belgesi yoksa, bu, bilgi güvenliği için yetersiz derecede idari desteğin olduğunu gösterecektir, çünkü daha düşük seviyeli belgeler, özellikle de bireysel unsurların işleyişine ilişkin talimatlar yoktur. bilgi sistemi.

Zorunlu organizasyon prosedürleri şunları içerir:

• Personeli bilgi kaynaklarına erişim düzeyine göre farklılaştıracak temel önlemler,
• şirket ofislerinin doğrudan sızma ve imha, kayıp veya veri kesintisi tehditlerinden fiziksel olarak korunması,
• donanım ve yazılım altyapısının işlerliğinin korunması otomatik yedekleme şeklinde düzenlenmekte, depolama ortamlarının uzaktan doğrulanması, istek üzerine kullanıcı ve yazılım desteği verilmektedir.

Bu, bilgi güvenliği ihlal vakalarına yanıt vermek ve bunları ortadan kaldırmak için düzenlenmiş önlemleri de içermelidir.

Uygulamada işletmelerin bu konuya yeterince dikkat etmedikleri sıklıkla görülmektedir. Bu yöndeki tüm eylemler, yalnızca ihlal vakalarını ortadan kaldırma süresini artıran ve tekrarlanan bilgi güvenliği ihlallerinin önlenmesini garanti etmeyen bir çalışma düzeninde gerçekleştirilir. Ayrıca, kazaların, bilgi sızıntılarının, veri kayıplarının ve kritik durumların sonuçlarını ortadan kaldırmak için eylemlerin planlanması uygulaması tamamen yoktur. Bütün bunlar, işletmenin bilgi güvenliğini önemli ölçüde kötüleştirir.

Yazılım ve donanım düzeyinde üç seviyeli bir bilgi güvenliği sistemi uygulanmalıdır.

Bilgi güvenliğini sağlamak için asgari kriterler:

1. Erişim kontrol modülü:

• bilgi sistemine kapalı bir giriş uygulanmaktadır, sisteme doğrulanmış işyerleri dışından giriş yapılamaz;
• çalışanlar için mobil kişisel bilgisayarlardan sınırlı işlevselliğe sahip erişim uygulanmaktadır;
• yetkilendirme, yöneticiler tarafından oluşturulan oturum açma bilgileri ve şifreler kullanılarak gerçekleştirilir.

2. Şifreleme ve bütünlük kontrolü modülü:

• iletilen veriler için asimetrik bir şifreleme yöntemi kullanılır;
• kritik veri dizileri, şirketin bilgi sistemi saldırıya uğrasa bile bunlara erişime izin vermeyen şifreli bir biçimde veritabanlarında saklanır;
• bütünlük kontrolü, bilgi sistemi içinde saklanan, işlenen veya iletilen tüm bilgi kaynaklarının basit bir dijital imzası ile sağlanır.

3. Koruma modülü:

• güvenlik duvarlarında, iletişim kanalları aracılığıyla tüm bilgi akışlarını kontrol etmenizi sağlayan bir filtre sistemi uygulandı;
• küresel bilgi kaynakları ve genel iletişim kanalları ile dış bağlantılar, yalnızca kurumsal bilgi sistemiyle sınırlı bir bağlantısı olan sınırlı sayıda doğrulanmış iş istasyonu aracılığıyla gerçekleştirilebilir;
• çalışanların işyerlerinden resmi görevlerini yerine getirmeleri için güvenli erişim, iki katmanlı bir proxy sunucu sistemi aracılığıyla gerçekleştirilir.

Son olarak, tünelleme teknolojileriyle birlikte işletme, şirketin farklı departmanları, ortakları ve müşterileri arasında güvenli iletişim kanalları sağlamak için tipik bir tasarım modeline uygun bir VPN uygulamak zorundadır.

İletişimin potansiyel olarak düşük güven düzeyine sahip ağlar üzerinden doğrudan gerçekleştirilmesine rağmen, kriptografik araçlar kullanan tünelleme teknolojileri, iletilen tüm verilerin güvenilir bir şekilde korunmasını sağlayabilir.

sonuçlar

Bilgi güvenliği alanında alınan tüm önlemlerin temel amacı, işletmenin sahip olduğu bilgi kaynakları ile ilgili çıkarlarını şu veya bu şekilde korumaktır. İşletmelerin çıkarları belirli bir alanla sınırlı olmamakla birlikte, tümü bilginin kullanılabilirliği, bütünlüğü ve gizliliği etrafında toplanır.

Bilgi güvenliğinin sağlanması sorunu iki ana neden ile açıklanmaktadır.

1. İşletmenin biriktirdiği bilgi kaynakları değerlidir.
2. Bilgi teknolojilerine kritik bağımlılık, yaygın kullanımlarını belirler.

Önemli bilgilerin yok edilmesi, gizli verilerin yetkisiz kullanımı, bilgi sisteminin işleyişindeki kesintiler nedeniyle bir işletmenin işleyişindeki kesintiler gibi bilgi güvenliğine yönelik çok çeşitli mevcut tehditler göz önüne alındığında, tüm bunların nesnel olarak olduğu sonucuna varabiliriz. büyük maddi kayıplara yol açar.

Bilgi güvenliğinin sağlanmasında bilgisayar varlıklarını kontrol etmeye yönelik yazılım ve donanım araçları önemli bir rol oynamaktadır. ekipman, yazılım elemanları, veriler, bilgi güvenliğinin son ve en yüksek öncelikli hattını oluşturur. Veri iletimi, gizliliğini, bütünlüğünü ve kullanılabilirliğini koruma bağlamında da güvenli olmalıdır. Bu nedenle, modern koşullarda güvenli iletişim kanalları sağlamak için tünelleme teknolojileri kriptografik araçlarla birlikte kullanılmaktadır.

Edebiyat

1. Galatenko V.A. Bilgi güvenliği standartları. - M.: İnternet Bilişim Teknolojileri Üniversitesi, 2006.
2. Partyka T.L., Popov I.I. Bilgi Güvenliği. - M.: Forum, 2012.

Günümüzde, gizli verilere yetkisiz erişimle ilgili tehditler, bir kuruluşun faaliyetleri üzerinde önemli bir etkiye sahip olabilir. Kurumsal sırların ifşa edilmesinden kaynaklanan potansiyel zarar, örneğin ticari bilgilerin rakiplere aktarılmasının bir sonucu olarak doğrudan mali kayıpları ve ortaya çıkan sonuçları ortadan kaldırmanın maliyetini ve dolaylı - kötü bir itibar ve gelecek vaat eden projelerin kaybını içerebilir. Banka hesaplarına, finansal planlara ve diğer özel belgelere erişim için ayrıntıları olan bir dizüstü bilgisayarı kaybetmenin sonuçları hafife alınamaz.

Günümüzün en tehlikeli tehditlerinden biri yetkisiz erişimdir. Bilgisayar Güvenliği Enstitüsü tarafından yapılan bir araştırmaya göre, şirketlerin %65'i geçtiğimiz yıl verilere yetkisiz erişim içeren olaylar bildirdi. Ayrıca, yetkisiz erişim nedeniyle her firma 2014-2015'te kaybetti. ortalama 353 bin dolar. Üstelik 2012–2013'e kıyasla. Kayıplar altı kat arttı. Böylece, ankete katılan 600'den fazla firmanın yıl boyunca maruz kaldığı toplam zarar 38 milyon doları aştı (tabloya bakınız).

Sorun, gizli bilgilere yetkisiz erişimin genellikle hırsızlık tarafından takip edilmesi gerçeğiyle daha da artmaktadır. Son derece tehlikeli iki tehdidin bu kombinasyonunun bir sonucu olarak, şirketin kayıpları (çalınan verilerin değerine bağlı olarak) birkaç kat artabilir. Buna ek olarak, firmalar genellikle mobil bilgisayarların fiziksel olarak çalınmasıyla karşı karşıya kalırlar ve bunun sonucunda hem yetkisiz erişim tehditleri hem de hassas bilgilerin çalınması gerçekleşir. Bu arada, taşınabilir cihazın maliyeti, genellikle üzerine kaydedilen verilerin maliyeti ile karşılaştırılamaz.

Bir işletmenin bilgi sızıntısı durumunda karşılaştığı sorunlar özellikle dizüstü bilgisayar hırsızlığının göstergesidir. Birkaç ay içinde Ernst & Young'dan beş dizüstü bilgisayarın çalındığı ve şirketin müşterilerinin özel bilgilerini içeren son olayları hatırlamak yeterlidir: Cisco, IBM, Sun Microsystems, BP, Nokia, vb. müşteri güveninde azalma. Bu arada, birçok şirket benzer zorluklar yaşıyor.

Örneğin, Mart 2006'da Fidelity, 200 bin HP çalışanının özel verilerini içeren bir dizüstü bilgisayarını kaybetti ve Şubat ayında denetim şirketi PricewaterhouseCoopers, bir Amerikan hastanesinin 4 bin hastasının hassas bilgilerini içeren bir dizüstü bilgisayarını kaybetti. Liste devam ederse, Bank of America, Kodak, Ameritrade, Ameriprise, Verizon ve diğerleri gibi tanınmış şirketleri içerecek.

Bu nedenle, gizli bilgileri yetkisiz erişimden korumanın yanı sıra, fiziksel ortamın kendisini de korumak gerekir. Böyle bir güvenlik sisteminin kesinlikle şeffaf olması ve kullanıcıya kurumsal ortamda veya uzaktan çalışırken (evde veya iş gezisinde) hassas verilere erişirken zorluk çıkarmaması gerektiği unutulmamalıdır.

Şimdiye kadar, bilgileri yetkisiz erişimden korumada veri şifrelemeden daha etkili bir şey icat edilmedi. Şifreleme anahtarlarının korunması şartıyla şifreleme, hassas verilerin güvenliğini sağlar.

Şifreleme teknolojileri

Bilgileri yetkisiz erişimden korumak için şifreleme teknolojileri kullanılmaktadır. Ancak, şifreleme yöntemleri hakkında yeterli bilgiye sahip olmayan kullanıcılar, tüm hassas verilerin güvenli bir şekilde korunduğuna dair yanlış bir izlenime sahip olabilir. Ana veri şifreleme teknolojilerini ele alalım.

• Dosya dosya şifreleme. Şifrelenecek dosyaları kullanıcı kendisi seçer. Bu yaklaşım, şifreleme aracının sisteme derinlemesine entegrasyonunu gerektirmez ve bu nedenle, şifreleme aracı üreticilerinin Windows, Linux, MAC OS X vb. için çok platformlu bir çözüm uygulamasına olanak tanır.
• Dizinlerin şifrelenmesi. Kullanıcı, tüm verilerin otomatik olarak şifrelendiği klasörler oluşturur. Önceki yaklaşımın aksine, şifreleme, kullanıcının isteği üzerine değil, anında gerçekleşir. Genel olarak, dizin şifrelemesi oldukça kullanışlı ve şeffaftır, ancak aynı dosya dosya şifrelemeye dayalıdır. Bu yaklaşım, işletim sistemi ile derin etkileşim gerektirir, bu nedenle kullanılan platforma bağlıdır.
• Sanal disklerin şifrelenmesi. Sanal disk kavramı, Stacker veya Microsoft DriveSpace gibi bazı sıkıştırma yardımcı programlarında uygulanmaktadır. Sanal diskleri şifrelemek, sabit sürücünüzde büyük bir gizli dosya oluşturmayı içerir. Bu dosya daha sonra kullanıcıya ayrı bir disk olarak sunulur (işletim sistemi onu yeni bir mantıksal disk olarak "görür"). Örneğin, X: \ sürücüsü. Sanal diskte depolanan tüm bilgiler şifrelenir. Önceki yaklaşımlardan temel farkı, şifreleme yazılımının her dosyayı ayrı ayrı şifrelemesine gerek olmamasıdır. Burada, veriler yalnızca sanal diske yazıldığında veya sanal diskten okunduğunda otomatik olarak şifrelenir. Bu durumda, verilerle çalışma sektör düzeyinde gerçekleştirilir (genellikle 512 bayt boyutunda).
• Tüm diskin şifrelenmesi. Bu durumda, kesinlikle her şey şifrelenir: Windows önyükleme sektörü, tüm sistem dosyaları ve diskteki diğer bilgiler.
• Önyükleme işlemi koruması. Tüm disk şifrelenmişse, bazı mekanizmalar önyükleme dosyalarının şifresini çözene kadar işletim sistemi başlatılamaz. Bu nedenle, tüm diski şifrelemek, zorunlu olarak önyükleme işlemini korumak anlamına gelir. Tipik olarak, işletim sisteminin başlaması için kullanıcının bir parola girmesi gerekir. Kullanıcı parolayı doğru girerse, şifreleme programı, diskten daha fazla verinin okunmasını sağlayacak olan şifreleme anahtarlarına erişim kazanacaktır.

Bu nedenle, verileri şifrelemenin birkaç yolu vardır. Bazıları daha az güvenilir, bazıları daha hızlı ve bazıları önemli bilgileri korumak için hiç uygun değil. Belirli yöntemlerin uygunluğunu değerlendirebilmek için, verileri korurken kriptografik bir uygulamanın karşılaştığı sorunları göz önünde bulundurun.

İşletim sistemlerinin özellikleri

Tüm olumlu işlevlerine rağmen bazen yalnızca gizli bilgilerin güvenilir şekilde korunmasına müdahale eden işletim sistemlerinin bazı özellikleri üzerinde duralım. Aşağıda, saldırgan için bir dizi "boşluk" bırakan ve hem dizüstü bilgisayarlar hem de PDA'lar için geçerli olan en yaygın sistem mekanizmaları verilmiştir.

• Geçici dosyalar. Birçok program (işletim sistemi dahil), çalışırken ara verileri depolamak için geçici dosyalar kullanır. Genellikle, program tarafından açılan dosyanın tam bir kopyası geçici bir dosyaya kaydedilir ve bu da beklenmedik arızalar durumunda tam veri kurtarmaya olanak tanır. Tabii ki, geçici dosyaların yükü büyüktür, ancak şifrelenmemiş olduklarından bu tür dosyalar şirket sırları için doğrudan bir tehdit oluşturur.
• Dosyaları değiştirin (veya dosyaları değiştirin). Takas dosyaları teknolojisi, herhangi bir uygulamaya neredeyse sınırsız miktarda RAM sağlamanıza izin veren modern işletim sistemlerinde çok popülerdir. Bu nedenle, işletim sistemi yeterli bellek kaynağına sahip değilse, verileri RAM'den sabit diske (paging dosyasına) otomatik olarak yazar. Depolanan bilgilerin kullanılması gerektiğinde, işletim sistemi takas dosyasından verileri çıkarır ve gerekirse diğer bilgileri bu depoya koyar. Önceki durumda olduğu gibi, şifrelenmemiş biçimdeki gizli bilgiler, disk belleği dosyasına kolayca girebilir.
• Dosya hizalama. Windows dosya sistemi, verileri 64 sektöre kadar yayılabilen kümeler halinde düzenler. Dosya birkaç bayt uzunluğunda olsa bile, yine de bir kümenin tamamını alacaktır. Büyük bir dosya, her biri bir dosya sistemi kümesi boyutunda olan parçalara bölünecektir. Bölmenin geri kalanı (genellikle son birkaç bayt) yine de tüm kümeyi alacaktır. Böylece dosyanın son sektörü, dosyanın diske yazıldığı sırada PC'nin RAM'inde bulunan rastgele bilgileri alır. Parolalar ve şifreleme anahtarları olabilir. Başka bir deyişle, herhangi bir dosyanın son kümesi, RAM'deki rastgele bilgilerden e-postalardaki verilere ve daha önce bu yerde depolanan metin belgelerine kadar oldukça hassas bilgiler içerebilir.
• Sepet. Bir kullanıcı bir dosyayı sildiğinde, Windows onu çöp kutusuna taşır. Çöp kutusu boşaltılmadığı sürece dosya kolayca geri yüklenebilir. Ancak Çöp Kutusunu boşaltsanız bile veriler fiziksel olarak diskte kalmaya devam eder. Başka bir deyişle, silinen bilgiler genellikle bulunabilir ve geri yüklenebilir (üzerine başka bir veri yazılmamışsa). Bunun için çok sayıda uygulama var, bazıları ücretsiz ve İnternet üzerinden ücretsiz olarak dağıtılıyor.
• Windows kayıt defteri. Windows sisteminin kendisi, çok sayıda uygulama gibi, belirli verilerini sistem kayıt defterinde saklar. Örneğin, bir web tarayıcısı, kullanıcı tarafından ziyaret edilen sayfaların alan adlarını kayıt defterinde saklar. Word metin düzenleyicisi bile kayıt defterinde açılan son dosyanın adını kaydeder. Bu durumda, kayıt defteri, işletim sistemi tarafından önyükleme sırasında kullanılır. Buna göre, Windows başlatıldıktan sonra herhangi bir şifreleme yöntemi başlatılırsa, çalışmasının sonuçları tehlikeye girebilir.
• Windows NT dosya sistemi (NTFS). Yerleşik erişim denetimine (Windows NT gibi) sahip bir dosya sisteminin güvenli olduğu kabul edilir. Bir kullanıcının kişisel dosyalarına erişmek için bir şifre girmesi gerektiği gerçeği, kişisel dosya ve verilerin güvenli bir şekilde korunduğuna dair yanlış bir izlenim bırakmaktadır. Ancak, NTFS gibi yerleşik Erişim Kontrol Listelerine (ACL'ler) sahip bir dosya sistemi bile, sabit sürücüye fiziksel erişimi veya bilgisayarda yönetici hakları olan bir saldırgana karşı kesinlikle hiçbir koruma sağlamaz. Her iki durumda da suçlu, sınıflandırılmış verilere erişebilir. Bunu yapmak için, fiziksel erişimi olduğu bir diskteki metin bilgilerini okumak için ucuz (veya genellikle ücretsiz) bir disk düzenleyiciye ihtiyacı olacaktır.
• Uyku modu. Bu mod, bilgisayar açıldığında ancak kullanılmadığında pil gücünden tasarruf sağladığı için dizüstü bilgisayarlarda çok popülerdir. Dizüstü bilgisayar uyku durumuna girdiğinde, işletim sistemi RAM'deki tüm verileri kesinlikle diske kopyalar. Böylece bilgisayar "uyandığında" işletim sistemi önceki durumunu kolayca geri yükleyebilir. Açıkçası, bu durumda hassas bilgiler sabit diske kolayca ulaşabilir.
• Gizli sabit disk bölümleri. Gizli bölüm, işletim sisteminin kullanıcıya hiç göstermediği bölümdür. Bazı uygulamalar (örneğin, dizüstü bilgisayarlarda enerji tasarrufu ile ilgilenenler) verileri saklamak için normal bölümlerdeki dosyalar yerine gizli bölümleri kullanır. Bu yaklaşımla, gizli bir bölüme yerleştirilen bilgiler hiçbir şekilde korunmaz ve disk düzenleyici kullanan herkes tarafından kolayca okunabilir.
• Bölümler arasında boş alan ve boşluk. Diskin en sonundaki sektörler herhangi bir bölüme ait değildir, bazen serbest olarak görüntülenirler. Korunmayan başka bir yer, bölümler arasındaki boşluktur. Ne yazık ki, bazı uygulamalar ve virüsler verilerini orada depolayabilir. Sabit sürücüyü biçimlendirseniz bile, bu bilgiler olduğu gibi kalacaktır. Kolayca restore edilebilir.

Bu nedenle, verileri etkin bir şekilde korumak için sadece şifrelemek yeterli değildir. Gizli bilgilerin kopyalarının geçici ve takas dosyalarına ve ayrıca bir saldırgana karşı savunmasız oldukları işletim sisteminin diğer "gizli yerlerine" "sızmamasına" dikkat etmek gerekir.

Veri şifrelemeye farklı yaklaşımların uygunluğu

Veri şifrelemeye yönelik farklı yaklaşımların işletim sistemlerinin özellikleriyle nasıl başa çıktığına bakalım.

Dosya şifreleme

Bu yöntem esas olarak şifreli dosyaları e-posta veya İnternet üzerinden göndermek için kullanılır. Bu durumda kullanıcı, üçüncü şahıslardan korunması gereken belirli bir dosyayı şifreler ve alıcıya gönderir. Bu yaklaşım, özellikle büyük miktarda bilgi söz konusu olduğunda, düşük çalışma hızından muzdariptir (sonuçta, mektuba eklenen her dosyayı şifrelemeniz gerekir). Başka bir sorun, yalnızca orijinal dosyanın şifrelenmesi ve geçici dosyaların ve disk belleği dosyasının tamamen korumasız kalmasıdır, bu nedenle koruma yalnızca İnternet'te bir iletiyi ele geçirmeye çalışan bir saldırgana karşı sağlanır, dizüstü bilgisayarı çalan bir suçluya veya bir suçluya karşı korunmaz. bilgisayar Böylece şu sonuca varabiliriz: dosya bazında şifreleme geçici dosyaları korumaz, önemli bilgileri korumak için kullanılması kabul edilemez. Ancak bu kavram, bir ağ üzerinden bilgisayardan bilgisayara küçük miktarlarda bilgi göndermek için uygundur.

Klasörleri şifreleme

Dosya dosya şifrelemeden farklı olarak bu yaklaşım, dosyaları otomatik olarak şifrelenecekleri bir klasöre aktarmanıza olanak tanır. Böylece, korunan verilerle çalışmak çok daha uygundur. Klasör şifreleme, dosya dosya şifrelemeye dayalı olduğundan, her iki yöntem de geçici dosyalar, disk belleği dosyaları, diskteki verileri fiziksel olarak silme vb. için güvenilir koruma sağlamaz. Ayrıca, dizin şifreleme, bellek ve işlemci kaynakları açısından çok israftır. İşlemcinin dosyaları sürekli olarak şifrelemesi / şifresini çözmesi zaman alır ve diskteki korunan her dosya için ek alan ayrılır (bazen 2 KB'den fazla). Tüm bunlar, dizin şifrelemesini çok kaynak yoğun ve yavaş hale getirir. Özetlemek gerekirse, bu yöntem oldukça şeffaf olsa da hassas bilgilerin korunması için önerilemez. Özellikle bir saldırgan geçici dosyalara veya disk belleği dosyalarına erişebiliyorsa.

Sanal diskleri şifreleme

Bu kavram, sabit diskte bulunan büyük bir gizli dosyanın oluşturulmasını ima eder. İşletim sistemi bunu ayrı bir mantıksal sürücü olarak değerlendirir. Kullanıcı, yazılımı böyle bir diske koyabilir ve yerden tasarruf etmek için sıkıştırabilir. Bu yöntemin avantajlarını ve dezavantajlarını düşünelim.

Her şeyden önce, sanal disklerin kullanımı, işletim sisteminin kaynaklarına artan bir yük getirir. Gerçek şu ki, bir sanal diske her erişildiğinde, işletim sisteminin isteği başka bir fiziksel nesneye - bir dosyaya - yönlendirmesi gerekir. Bunun performans üzerinde kesinlikle olumsuz bir etkisi olacaktır. Sistemin sanal diski fiziksel diskle tanımlamaması nedeniyle, geçici dosyaların ve disk belleği dosyasının korunmasında sorunlar olabilir. Dizin şifrelemeyle karşılaştırıldığında, sanal disk kavramının hem artıları hem de eksileri vardır. Örneğin, şifreli bir sanal disk, sanal dosya tablolarında bulunan dosya adlarını korur. Ancak bu sanal disk, sıradan bir klasör kadar kolay genişletilemez ve bu çok elverişsizdir. Özetlemek gerekirse, sanal diskleri şifrelemenin önceki iki yönteme göre çok daha güvenilir olduğunu söyleyebiliriz ancak geliştiriciler buna özellikle dikkat etmezlerse geçici dosyaları ve disk belleği dosyalarını korumasız bırakabilir.

Tam disk şifreleme

Bu kavram, dosya bazında değil, sektör bazında şifrelemeye dayanmaktadır. Başka bir deyişle, diske yazılan herhangi bir dosya şifrelenecektir. Şifreleme programları, işletim sistemi diske koymadan önce verileri şifreler. Bunu yapmak için, şifreleme programı, işletim sisteminin fiziksel diske (sektör düzeyinde) veri yazmaya yönelik tüm girişimlerini durdurur ve anında şifreleme işlemlerini gerçekleştirir. Bu yaklaşım aynı zamanda geçici dosyaları, disk belleği dosyasını ve silinen tüm dosyaları şifreler. Bu yöntemin mantıklı bir sonucu, PC performansının genel seviyesinde önemli bir düşüş olmalıdır. Bu, bu tür ürünlerin birkaç başarılı uygulaması olmasına rağmen, birçok şifreleme geliştiricisinin üzerinde çalıştığı sorundur. Özetlemek gerekirse: tüm diski şifrelemek, önemli verilerin bir kısmının veya tam bir kopyasının diskte bir yerde şifrelenmemiş biçimde kaldığı durumlardan kaçınır.

Önyükleme işlemi koruması. Daha önce belirtildiği gibi, tüm diski şifrelerken önyükleme işlemini korumanız önerilir. Bu durumda, hiç kimse, önyüklemenin başlangıcındaki kimlik doğrulama prosedüründen geçmeden işletim sistemini başlatamaz. Ve bunun için şifreyi bilmeniz gerekiyor. Saldırganın gizli veriler içeren bir sabit sürücüye fiziksel erişimi varsa, şifrelenmiş sistem dosyalarının nerede olduğunu ve önemli bilgilerin nerede olduğunu hızlı bir şekilde belirleyemez. Şifreleme yazılımı tüm sürücüyü şifrelerse ancak önyükleme işlemini korumazsa, sistem dosyalarını ve önyükleme sektörlerini şifrelemediğini unutmayın. Yani, disk tam olarak şifrelenmemiş.

Bu nedenle, bugün, dizüstü bilgisayarlardaki gizli verileri güvenilir bir şekilde korumak için, ya sanal diskler için ya da bir bütün olarak diskin tamamı için şifreleme teknolojisini kullanmalısınız. Ancak, ikinci durumda, şifreleme aracının, kullanıcıların çalışmasına müdahale edecek kadar bilgisayar kaynaklarını tüketmediğinden emin olmanız gerekir. Rus şirketlerinin henüz tam disk şifreleme araçları üretmediğini unutmayın, ancak bu tür birkaç ürün Batı pazarlarında zaten mevcut. Ek olarak, bir PDA'daki verileri korumak biraz daha kolaydır, çünkü az miktarda depolanan bilgi nedeniyle geliştiriciler genel olarak tüm verileri, örneğin bir flash kartta şifrelemeyi göze alabilirler.

Güçlü kimlik doğrulama kullanarak şifreleme

Verileri güvenli bir şekilde depolamak, yalnızca güçlü ve iyi uygulanmış kriptografik teknolojileri değil, aynı zamanda kişiselleştirilmiş erişim sağlama araçlarını da gerektirir. Bu bağlamda, donanım anahtarlarına veya akıllı kartlara dayalı güçlü iki faktörlü kimlik doğrulamanın kullanılması, şifreleme anahtarlarını, şifreleri, dijital sertifikaları vb. kartını işletim sistemine saklamanın (örneğin, tek bir karta takmanın) en etkili yoludur. bir bilgisayarın USB bağlantı noktalarına veya bir akıllı kart okuyucusuna) ve ardından bu elektronik anahtarın size ait olduğunu kanıtlayın (yani bir parola girin). Bu nedenle, hassas verilere erişmeye çalışan bir saldırganın görevi oldukça karmaşıktır: Yalnızca parolayı bilmesi değil, aynı zamanda yalnızca yasal kullanıcıların sahip olduğu fiziksel bir ortama da sahip olması gerekir.

Elektronik anahtarın iç yapısı, bir elektronik çipin ve az miktarda kalıcı belleğin varlığını varsayar. Elektronik bir çip yardımıyla veriler, cihaza gömülü kriptografik algoritmalara dayalı olarak şifrelenir ve şifresi çözülür. Kalıcı bellek, parolaları, elektronik anahtarları, erişim kodlarını ve diğer gizli bilgileri saklar. Donanım anahtarının kendisi bir PIN kodu ile hırsızlığa karşı korunur ve anahtarın içine yerleştirilmiş özel mekanizmalar bu parolayı kaba kuvvetten korur.

sonuçlar

Bu nedenle, etkin veri koruması, güçlü şifreleme araçlarının (sanal disk teknolojilerine dayalı veya tüm diski bir bütün olarak kapsayan) ve güçlü kimlik doğrulama araçlarının (belirteçler ve akıllı kartlar) kullanımını ifade eder. İnternet üzerinden dosya göndermek için ideal olan dosya dosya şifreleme araçları arasında, hemen hemen tüm kullanıcı isteklerini karşılayabilen iyi bilinen PGP programı dikkat çekicidir.

Toplumun gelişiminin şu andaki aşamasında, en büyük değer, bilgi adı verilen yeni değil, her zaman değerli bir kaynak tarafından elde edilir. Bilgi, bugün dünya toplumunun bilimsel, teknik ve sosyo-ekonomik gelişimi için ana kaynak haline geliyor. Günümüz toplumundaki hemen hemen her faaliyet, çeşitli bilgi akışlarının alınması, biriktirilmesi, depolanması, işlenmesi ve kullanılması ile yakından ilgilidir. Modern dünyanın bir topluluk olarak bütünlüğü, esas olarak yoğun bilgi alışverişi yoluyla sağlanır.

Bu nedenle, yeni koşullarda, bir fikri mülkiyet biçimi olarak ticari bilgilerin güvenliğini ve gizliliğini sağlamakla ilgili birçok sorun ortaya çıkmaktadır.

Kullanılan kaynakların ve literatürün listesi

1. V.N. Lopatin Bilgi Güvenliği.
2. Bilgi Güvenliği Temelleri: Bir Eğitim / V. A. Minaev , S.V. Skryl , A.P. Fisun , V. E. Potanin , S.V. Dvoryankin .
3. GOST ST 50922-96. Bilginin korunması. Temel terimler ve tanımlar.
4. www.intuit.ru

Odnoklassniki'de

Tanıtım

Bölüm 1. Bilgi güvenliği ve bilgi korumasının temelleri

1.1 "Bilgi güvenliği" teriminin ve gizlilik kavramının gelişimi

1.2 Bilginin değeri

1.3 Gizli bilgilerin dağıtım kanalları ve sızdırılması

1.4 Tehditler ve gizli bilgi koruma sistemi

Bölüm 2. Gizli bilgi içeren belgelerle çalışmanın organizasyonu

2.1 Gizli ofis çalışmasının normatif ve metodolojik temeli

2.2 Gizli bilgi, belge ve veri tabanlarına sahip personel için erişim ve prosedürlerin organizasyonu

2.3 Gizli belgelerin işlenmesi için teknolojik temel

Bölüm 3. "CHZPSN - Profilli" JSC'de sınırlı erişim bilgilerinin korunması

3.1 JSC "ChZPSN - Profilli" Özellikleri

3.2 JSC "ChZPSN - Profilli" bilgi güvenliği sistemi

3.3 Kısıtlı bilgilerin güvenlik sisteminin iyileştirilmesi

Çözüm

Kullanılan kaynakların ve literatürün listesi

Tanıtım

Bilgi güvenliği artık oybirliğiyle herhangi bir ülkenin ulusal güvenliğinin en önemli bileşenlerinden biri olarak adlandırılıyor. Bilgi güvenliğini sağlama sorunları, yönetimde bilgi teknolojilerinin kağıtsız otomatikleştirilmiş bir temele muazzam geçişiyle bağlantılı olarak daha karmaşık ve kavramsal olarak önemli hale geliyor.

Bu son niteleme çalışması için konunun seçimi, modern Rus pazar ekonomisinde, bir girişimcinin iş dünyasındaki başarısı, kâr etmesi ve onun yarattığı organizasyon yapısının bütünlüğünü sürdürmesi için bir ön koşul olması gerçeğinden kaynaklanmaktadır. faaliyetlerinin ekonomik güvenliğini sağlamak. Ekonomik güvenliğin ana bileşenlerinden biri de bilgi güvenliğidir.

Bu çalışmadaki araştırmanın amacı, kuruluşun yönetim sistemindeki bilgi kaynaklarının oluşumu ve işleyişidir.

Araştırma üssü JSC "ChZPSN - Profilli"

Araştırmanın konusu, kurumun yönetim sistemindeki bilgi kaynaklarının güvenliğini sağlamaya yönelik faaliyetlerdir.

Araştırmanın amacı, bir işletmenin gizli bilgilerini korumanın modern teknolojilerini, yöntemlerini, yöntemlerini ve araçlarını analiz etmektir.

Belirlenen hedefe uygun olarak araştırma görevleri şunları içerir:

1. Bilgi güvenliğinin ana bileşenlerini ortaya çıkarmak;

2. Gizli olarak sınıflandırılması tavsiye edilen bilgilerin bileşimini belirleyin;

3. En yaygın tehditleri, dağıtım kanallarını ve gizlilik sızıntılarını belirleyin;

4. Gizli bilgileri koruma yöntemlerini ve araçlarını göz önünde bulundurun;

5. Gizli ofis çalışmasının düzenleyici çerçevesini analiz edin;

6. Gizli nitelikteki bilgilere erişim organizasyonundaki güvenlik politikasını ve gizli belgelerle çalışan personel için prosedürü incelemek;

7. Gizli belgeleri işlemek için teknolojik sistemleri göz önünde bulundurun;

8. "ChZPSN - Profiled" kuruluşunun bilgi koruma sistemini değerlendirmek ve iyileştirilmesi için önerilerde bulunmak.

Çalışmada aşağıdaki araştırma yöntemleri kullanılmıştır: biliş yöntemleri (tanımlama, analiz, gözlem, anket); genel bilimsel yöntemler (konuyla ilgili yayın dizisinin analizi) ve ayrıca kurumsal belgelerin analizi gibi bir belgesel yöntemi.

Nihai yeterlilik çalışmasının yasal çerçevesi, öncelikle Rusya Federasyonu'nun ana yasası olarak Anayasa'ya dayanmaktadır) (1). Rusya Federasyonu Anayasası'nın 23. maddesi, kişisel, aile sırları, yazışmaların gizliliği, telefon görüşmeleri, posta, telgraf ve diğer iletişim hakkını garanti eder. Aynı zamanda, bu hakkın sınırlandırılmasına yalnızca mahkeme kararı temelinde izin verilir. Rusya Federasyonu Anayasası (Madde 24), bir kişinin özel hayatıyla ilgili bilgilerin rızası olmadan toplanmasına, saklanmasına, kullanılmasına ve yayılmasına izin vermemektedir (1).

Gizli bilgilerin işlenmesinden kaynaklanan ilişkileri düzenleme kuralları da Rusya Federasyonu Medeni Kanununda yer almaktadır. Aynı zamanda, Rusya Federasyonu Medeni Kanununda gizli bilgiler maddi olmayan mallar olarak belirtilmektedir (Madde 150) (2).

Bilgilerin resmi ve ticari sır olarak sınıflandırılma kriterleri , Rusya Federasyonu Medeni Kanunu'nun 139. Maddesinde yer almaktadır. Aşağıdaki durumlarda bilgilerin resmi veya ticari sır teşkil ettiğini belirtir:

1. Bu bilgilerin üçüncü şahıslar tarafından bilinmemesi nedeniyle fiili veya potansiyel değeri vardır;

2. Bu bilgilere yasal olarak ücretsiz erişim yoktur ve bilgi sahibi gizliliğini korumak için önlemler alır (2).

Ayrıca, ticari bilgilerin gizliliğinin tanımı, Rusya Federasyonu Medeni Kanunu'nun 727. Maddesinde yer almaktadır (2).

27 Temmuz 2006'da, gizli bilgilerin korunması için en önemli olan iki federal yasa kabul edildi: No. 149-FZ "Bilgi, bilgi teknolojisi ve bilgi koruması hakkında" (8) ve No. 152-FZ "Kişisel veriler hakkında "(9). Temel bilgi kavramlarını ve korunmasını sağlarlar. "Bilgi", "bilginin gizliliği", "kişisel veriler" vb.

10 Ocak 2002'de, Rusya Federasyonu Devlet Başkanı, "Elektronik dijital imza hakkında" (5) çok önemli bir yasayı imzaladı ve yukarıdaki yasanın hükümlerini geliştiren ve somutlaştıran "Bilgi Üzerine ..." (8).

Gizli bilgi güvenliği alanındaki ana yasalar aynı zamanda Rusya Federasyonu yasalarıdır:

2. 29 Temmuz 2004 tarihli "Ticari sırlar hakkında" (ticari sır oluşturan bilgileri, ticari sır rejimini, ticari sır oluşturan bilgilerin açıklanmasını içerir) (6);

3. "Gizli bilgi listesinin onaylanması üzerine" (11);

4. Ticari sır teşkil etmeyen bilgiler listesinin onaylanması üzerine "(13).

Bilgi güvenliği alanındaki temel terimleri ve tanımları belirleyen standart GOST R 50922-96'dır (29).

Gizli ofis çalışmaları için ayrıntılı bir düzenleyici ve metodolojik çerçeve bu çalışmanın ikinci bölümünde açıklanmıştır. Nihai eleme çalışmasında önde gelen belge uzmanlarının çalışmaları kullanıldı: I.V. Kudryaeva (83), A.I. Aleksentseva (31; 32), T.V. Kuznetsova (45; 67; 102), A.V. Pshenko (98), L.V. Sankina (92), E.A. Stepanov (81; 96).

Bilgi güvenliği kavramı, ana bileşenleri V.A.'nın çalışmalarında ortaya konmuştur. Galatenko (82), V.N. Yarochkin (56), G. Zotova (66).

K. İlyin (52), eserlerinde elektronik belge akışında bilgi güvenliği konularını ele almaktadır). Bilgi güvenliği konuları V.Ya. Isheinova (76; 77), M.V. Metsatunyan (77), A.A. Malyuk (74), V.K. Senchagova (93), E.A. Stepanov (96).

Bilgi güvenliği sistemi E.A.'nın eserlerinde anlatılmaktadır. Stepanova (81), Z. Bogatyrenko (74), T.A. Korolkov (69), G.G. Aralbaeva (100), A.A. Shiversky (103), V.N. Martynov ve V.M. Martinov (49).

Yazarların çalışmaları, sınırlı erişime sahip bilgilerin yasal düzenlemesine ayrılmıştır: A.A. Antopolsky (33), E.A. Stepanova (81), I.L. Bachilo (37, 38), O. Gavrilova (41). İkincisi, makalesinde, söz konusu alandaki mevzuatın eksikliğine dikkat çekiyor.

Gizli belgeleri işleme teknolojileri R.N. Moseev (75), M.I. Petrov (89), V.I. Andreeva (34), V.V. Galakhov (44), A.I. Aleksentsev (32)

Çalışmanın hazırlanma sürecinde, A.I. gibi bu alanda önde gelen uzmanlar tarafından hazırlanan gizli bilgilerin korunmasını organize etmek için bilimsel, eğitici, pratik, metodolojik öneriler kullanılmıştır. Aleksentsev (31; 32) ve E.A. Stepanov (81; 96).

I.L.'nin çalışmaları Bachilo (38), K.B. Gelman-Vinogradova (43), N.A. Khramtsovskaya (48), V.M. Kravtsova (51) bilgi güvenliğinin tartışmalı yönlerine ayrılmıştır.

Genel olarak bilgi güvenliği sorununun genel olarak kaynaklarla sağlandığını söyleyebiliriz, kaynak tabanı görevleri öne çıkarmanıza olanak tanır. Bu konudaki literatürün önemi büyüktür ve alaka düzeyine tekabül etmektedir.

Ancak ülkemizde, gizli bilgi içeren belgelerin muhasebeleştirilmesi, saklanması ve kullanılması için birleşik bir prosedür oluşturacak normatif bir yasal düzenleme bulunmamaktadır. Ve makaleleri çalışmada kullanılan analistlere göre, E.A. Voinikanis (40), T.A. Partyki (57), V.A. Mazurov (71) ve diğerleri, bu pek tavsiye edilmez.

Nihai niteleme çalışması bir giriş, üç bölüm, bir sonuç, bir kaynak ve literatür listesi, uygulamalardan oluşur.

Giriş, konunun alaka düzeyini ve pratik önemini, çalışmanın amacını, görevleri, incelenen sorunun gelişme derecesini, nesneyi, konuyu, araştırma temelini, araştırma araçlarını, nihai niteleme çalışmasının yapısını ve içeriğini formüle eder.

Birinci bölüm: "Bilgi güvenliğinin temelleri ve bilgi koruması", konunun tarihçesini ve bilgi güvenliğinin temel kavramlarını içerir. Bilginin değeri, gizlilik gibi. Paragraf 1.2, dağıtım kanallarını, bilgi sızıntılarını, bir sonraki aşamada tehdit sistemini ve gizli bilgileri koruma sisteminin dikkate alındığını belirtir.

"Gizli belgelerle çalışmanın organizasyonu" bölümü. gizli ofis çalışmasının düzenleyici ve metodolojik temellerinden oluşur, daha sonra çalışanların çalışmaları ve gizli bilgilere erişimlerinin organizasyonu için prosedür verilir. Belirtilen bilgilerle çalışma teknolojisi, ikinci bölümün son paragrafında açıklanmıştır.

Üçüncü bölümde, OJSC "CHZPSN - Profilli" işletmesi örneğinde, sınırlı erişime sahip bilgilerin korunması sistemi, gizli belgelerle çalışmanın analizi ele alınmaktadır. İşletmede oluşturulan gizli ofis işlerinin teknolojisine öneriler, değişiklikler ve eklemeler yapılır.

• - reklam;
• - hizmet;
• - devlet sırları hariç kişisel (kişisel) (Rusya Federasyonu Medeni Kanunu'nun 727, 771, 1032. Maddeleri, Rusya Federasyonu Gümrük Kanunu'nun 16. Maddesi, 6 Mart 1997 tarih ve 188 sayılı Cumhurbaşkanlığı Kararnamesi " Gizli Bilgi Listesinin Onaylanması").

Gizli bilgilerin yasal işaretleri, belgeleme, bilgiye erişimin mevzuata uygun olarak kısıtlanması ve yasal olarak bilgiye ücretsiz erişimin olmamasıdır.

"Ticari sır, sahibi tarafından ticari faaliyetinin herhangi bir alanında kurulan ve korunan, erişimi bilgi sahibinin menfaatleri ile sınırlı olan bilgileri içeren bir sır türüdür." Ticari sırlar ana sır türlerinden biridir, çünkü bir işletmenin ürün veya hizmet üretmedeki başarısı, rekabet etme yeteneği ile belirlenir ve bu nedenle, diğerlerine kıyasla daha yüksek kar elde etmenin nasıl mümkün olduğunu görebilmektir. rakipler.

Herhangi bir ticari bilgi, Rusya Federasyonu Hükümeti'nin 05.12.91 tarih ve 35 sayılı "Ticari sır oluşturamayacak bilgiler listesinde" kararnamesiyle getirilen kısıtlamalar dışında, ticari sır oluşturan bilgiler olarak sınıflandırılabilir.

Rusya'da, gizli ticari bilgi haklarının korunmasına ilişkin mevzuat yeni yeni ortaya çıkmaya başlıyor. Bu alandaki ilişkilerin düzenlenmesinde yeni olan, 29 Temmuz 2004 tarihli 98-FZ sayılı "Ticari Sırlar Hakkında" Federal Kanunun kabul edilmesiydi.

Kanun metnini okuduktan sonra kalan genel izlenim çelişkili olarak tanımlanabilir. Bir yandan, ticari sır oluşturan bilgilerin korunmasına ilişkin rejimi ve prosedürü ayrıntılı olarak tanımlayan tek bir normatif eylem ortaya çıktı. Öte yandan, Kanun kusursuz olmaktan uzaktır. Oluşturulduğunda, yasa koyucu, araştırmacıların görüşüne göre ticari sırların korunmasını ve ihlal edilen hakların restorasyonunu engelleyen normlar getirdi.

Kanun, Sanatta öngörülen ticari sırlara ilişkin genel kuralların uygulanmasını engellemez. Rusya Federasyonu Medeni Kanununun 139'u ve Rusya Federasyonu Medeni Kanununu ve diğer federal yasaları kaynak olarak adlandırır. Böylece Kanun, mevcut düzenleyici çerçeveyi tamamlar ve sadece kısmen onun yerine geçer.

Ancak, ticari sırrın tanımını okurken bile, Kanun ile Rusya Federasyonu Medeni Kanunu arasında terminolojik tutarsızlıklar görüyoruz. Kanun, ticari sır kavramını bilgi mülkiyeti aracılığıyla tanımlar: ticari sır, "bilginin gizliliği"dir (Yasanın 3. maddesinin 1. fıkrası) (İngiliz güven - gizlilik). Rusya Federasyonu Medeni Kanunu, ticari sırları öncelikle "üçüncü şahıslar tarafından bilinmemesi nedeniyle ticari değeri olan" ve gizliliğini korumak için önlemlerin uygulandığı bir tür bilgi olarak görmektedir (Medeni Kanunun 139. Maddesi). Rusya Federasyonu). Kavramlar arasındaki tutarsızlığın ilk bakışta tüm önemsizliğine rağmen, yasal güçlerinde rekabet eden iki farklı tanım aldık.

Kanun, değerli bilgilerin mevcut olduğu form ile bilginin içeriği arasında ayrım yapar. "Üretim sırlarını (know-how) oluşturanlar da dahil olmak üzere, bilimsel ve teknik, teknolojik, üretim, mali ve ekonomik veya diğer bilgileri" içerir (Kanun'un 2. maddesi, 3. maddesi.

Ticari değeri olabilecek bilgi türlerinin listesi açıktır.

Yasa hala bilgi sahibine (sahibine) değerini bağımsız olarak belirleme hakkı veriyor.

Kanunda yer alan ticari sır tanımı Kanun'un kendi niteliğini yansıtmaktadır. Ticari bilgilerin korunmasına yönelik prosedürlere odaklanır. Kanuna göre, ihlal edilen hakkın mahkemede korunması için gerekli asgari koşulların sağlanmasını ve ayrıca suçun bir unsuru olarak yasal ve yasadışı erişimi ayırt etmeyi mümkün kılan onlardır.

Bu hususta Kanunda verilen ticari sır niteliğindeki bilgi sahibi tanımının anlaşılması güçtür. Sanatın 4. paragrafına göre. Kanun'un 3. maddesi bu tür bilgilere "yasal olarak" sahip olan kişidir. Bu nedenle, hakkın ihlali gerçeğini kanıtlamak, mülkiyetinin yasallığını belirlemek gerekecektir. Örneğin, devlet kaydına (patentler, sertifikalar) tabi iseler, ticari sır haklarını belgelemek mümkündür. Bu durumda, sahibinin çıkarları patent, telif hakkı ile korunmaktadır. Bir ticari sır, bir ses taşıyıcısına kaydedilen anlaşmalardan oluşuyorsa veya bunlar patentsiz fikirlerse, bu tür bilgilere sahip olmanın önceliğini ve yasallığını kanıtlamak oldukça zor olacaktır.

Açıkçası, bilginin sahibiyle nesnel ilişkisini doğrulamak gerekli olacaktır. Örneğin, sahip kuruluş, işlemleri vb. hakkındaki bilgiler, sahip kuruluşun bir göstergesini içermeli ve Sanatın 1. bölümünün 5. paragrafında belirtildiği gibi, medyada gizlilikle ilgili özel bağlantılarla korunmalıdır. Kanunun 10.

Kanun, yalnızca somut bir ortamda (Kanun'un 3. maddesinin 6. fıkrası) ve özel bir sözleşmenin şartlarında bilgi aktarımına atıfta bulunur. Bu bölümde Kanun, Rusya Federasyonu Medeni Kanununda Sanatta verilen tanımla karşılaştırıldığında gizli rejimde korunan bilgi miktarını sınırlar. Bunlardan 139'u maddi taşıyıcılardan bahsedilmemektedir, ancak gizli bilgilerin korunması ile ilgilidir.

Sonuç olarak, Kanun'un rehberliğinde, örneğin somut medyada kaydedilmeyen bilgilerin ifşa edilmesi davaları yasal korumanın dışında tutulmaktadır. Bu, özellikle, kuruluşun ürününü tanıtmak için aldığı herhangi bir karar hakkında bilgi ve benzeri bilgiler olabilir.

Bu yaklaşım bir yandan ispat sürecini basitleştirirken, diğer yandan bilgi sahibinin çıkarlarını koruma olanaklarını sınırlandırmaktadır.

Kanun ilk kez "ticari sır rejimi" tanımını getiriyor. Ticari sırların korunmasına ilişkin yasal dayanak değerlendirilirken, ticari sır rejimine özel önem verilmelidir. Buna uyulmaması, ihlal edilen ticari sır hakkını koruma yeteneğinin kaybolmasını gerektirir (Kanun'un 7. maddesinin 1. kısmı ve Kanunun 10. maddesinin 2. kısmı).

Ticari sır rejimini oluşturan koşullar sistemi çok hacimlidir ve ticari sır sahibi veya alıcısı açısından önemli maliyetler gerektirir.

Özellikle, Sanatın 1. bölümü. Kanun'un 10'u şunları sağlar:

• - ticari sır oluşturan bilgi listesinin belirlenmesi;
• - bu bilgilerin işlenmesi ve bu prosedüre uygunluğun izlenmesi için bir prosedür oluşturarak ticari sır oluşturan bilgilere erişimi kısıtlamak;
• - ticari sır oluşturan bilgilere erişim kazanmış kişilerin ve (veya) bu bilgilerin sağlandığı veya aktarıldığı kişilerin kaydı;
• - iş sözleşmeleri temelinde çalışanlar ve medeni hukuk sözleşmeleri temelinde yükleniciler tarafından ticari sır oluşturan bilgilerin kullanımına ilişkin ilişkilerin düzenlenmesi;
• - ticari sır oluşturan bilgileri içeren maddi taşıyıcılar (belgeler) üzerine çizim, bu bilgilerin sahibini belirten "Ticari sır" damgası (tüzel kişiler için - bireysel girişimciler için tam ad ve yer - soyadı, adı, soyadı bireysel girişimci ve ikamet yeri olan bir vatandaş).

Ticari sır sahibi, gizli bilgilerin dolaşımı için belirli bir prosedür oluşturmalı ve ayrıca bu ciroyu kontrol etmek için ek personel birimleri sağlamalıdır. Ayrıca, büyük bir dahili düzenleyici belge paketinin yeniden ayarlanması veya geliştirilmesi gerekmektedir.

Ticari sır sahibi bir kuruluş en azından:

• - "Ticari sır" mührü ile tüm bilgi taşıyıcılarının ticari sırları ve belge dolaşımına ilişkin düzenlemeler geliştirmek;
• - kuruluş için ticari sırlara kabul için bir emir vermek;
• - iş sözleşmesinde, çalışanın ticari sır rejimine uyma konusundaki gönüllü yükümlülüğüne ilişkin ek koşullar sağlamak.

Böylece, bir yandan Kanun, devlet organlarının kuruluşların ekonomik faaliyetlerini kontrol etme yetkilerini genişletti. Öte yandan bilgi sahiplerinin haklarının korunması süreci çok daha karmaşık hale gelmiştir.

Müseccel bilgilerle ilgili bilgiler, genellikle bağımsız işlemlerin konusu değildir, ancak bunların ifşa edilmesi, kuruluşun mülküne ve ticari itibarına zarar verebilir.

Resmi sırlar kurumunun sistematik yasal düzenlemesine duyulan ihtiyaç, aşağıdakiler de dahil olmak üzere bir dizi nedenden kaynaklanmaktadır: mevzuatta sınırlı erişime sahip ilgili bilgi kategorisine birleşik bir yaklaşımın olmaması; devlet organlarında biriken ve bir bireye veya ekonomik kuruluşların faaliyetlerine ilişkin bilgilerin yasadışı dağıtımına (satışına) ilişkin sayısız örnek; devlet yetkilileri ve devlet (belediye) yetkilileri tarafından vatandaşlara, kamu kuruluşlarına, medyaya bilgi sağlanması konusunda kendi takdirlerine bağlı olarak uygulanan bilgilerin yayılmasına ilişkin kısıtlamalar.

Kurumu artık sosyalist dönemin resmi sırlarının bir benzeri olarak algılanabilen sınırlı dağıtım resmi bilgilerini işleme prosedürünün normatif düzenleme düzeyi, birkaç nedenden dolayı tatmin edici olarak kabul edilemez. Bu yasal ilişkiler grubunu düzenleyen tek normatif düzenleme, 3 Kasım 1994 tarih ve 1233 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan "Federal Yürütme Organlarında Kısıtlı Dağıtımla İlgili Resmi Bilgilerin İşlenmesine İlişkin Prosedür Hakkında Yönetmelik"tir. ). Benzer bilgiler oluşturulup herhangi bir hükümet ve yerel yönetim organına gönderilse de, bu Yönetmelik yalnızca federal yürütme organlarının faaliyetleri için geçerlidir. Bilgileri resmi bilgi olarak sınıflandırma prosedürünü belirleyen birçok önemli koşul Yönetmelikte belirlenmemiştir ve bilgiye erişim kısıtlamalarının yalnızca federal tarafından belirlenmesi gerektiğinden, doğru olarak kabul edilemeyen federal yürütme organlarının başkanlarının insafına bırakılmıştır. kanun. Bu nedenle, yasal düzenleme düzeyi açıkça yetersizdir; ayrıca, Rusya Federasyonu Hükümeti'nin bir kararı düzeyinde, özellikle uzun bir depolama süresine sahip bilgileri korumak için uzun vadeli ve istikrarlı bir sistem oluşturmak imkansızdır, özellikle de bir dizi medeni-hukuki norm oluşturmaya gelir. Bilgilerin resmi bir sır olarak sınıflandırılması, korunması ve bu tür bilgilerin yasa dışı yayılması için yaptırımlar oluşturulması alanında neredeyse tamamen düzenleyici düzenleme olmamasına rağmen, bu kategori aşağıdakiler dahil çok sayıda federal yasada (yaklaşık 40) mevcuttur: Federasyon ", FKZ" Rusya Federasyonu Hükümeti Hakkında ", FZ" Rusya Federasyonu gümrük makamlarında hizmette ", FZ" Rusya Federasyonu Merkez Bankasında (Rusya Bankası) ", FZ" Temellerde Rusya Federasyonu belediye hizmetinin ", FZ" Kredi kurumlarının yeniden yapılandırılması hakkında ", " Menkul Kıymetler Piyasası Hakkında Federal Yasa ", vb. Aynı zamanda, açıkça tanımlanmış bir resmi sır kurumunun olmaması, Mevzuatta yer alan çeşitli yasal yaklaşımlar. Bu nedenle, "Kredi Kurumlarının Yeniden Yapılandırılması Hakkında" Federal Yasa, bir kredi kurumunun resmi sırlarından bahseder (Madde 41), "Rusya Federasyonu'nun Malların Dış Ticaretinde Ekonomik Çıkarlarını Koruma Önlemleri Hakkında Federal Yasa" dolaşır " gizli bilgiler" yürütme makamlarında (Md. 18), "Rusya Federasyonu Kamu Hizmetinin Temelleri Hakkında" Federal Yasası ve bir dizi başka yasa "resmi bilgi" terimini kullanır, "Gümrük Tarifesiyle İlgili Federal Yasa" ticari sır oluşturan bilgileri dolaştırır ve gizlidir. gümrük idaresindeki bilgiler (Madde 14). 20.08.2004 tarihli ve 119-FZ sayılı Federal Yasa, "Mağdurların, Tanıkların ve Ceza Yargılamalarındaki Diğer Katılımcıların Devletin Korunması Hakkında", korunan kişiyle ilgili bir dizi güvenlik önlemi arasında, onun hakkındaki bilgilerin gizliliğini sağlamayı sağlar.

Bu bilgiler, içeriği itibariyle resmi bir sır teşkil eder ve bu bilgilerin elden çıkarılmasına yönelik mekanizmaların yasal olarak sağlamlaştırılması, belirtilen Federal Yasanın uygulanmasına yardımcı olacaktır. Bu örnekler, sadece terminolojinin değil, aynı zamanda özel bilgilerin korunmasına yönelik kurumun içeriğinin de mevzuata açık bir şekilde yansıtılmadığını göstermektedir.

Mevzuat, gizli bilgilerin yapısı ve çeşitli sır türlerinin oranı konusunu farklı şekillerde ele almaktadır. Bu bağlamda, sistemik gerekçelerle ilgili bilgilerin pratik olarak ticari bir sırla birleştirildiği Rusya Federasyonu Medeni Kanunu'nun 139. Maddesi normlarına "resmi sır" kategorisinin dahil edilmesi, özellikle endişe vericidir: Sağlam yasal mantık çerçevesinde, bilgiye erişim üzerindeki bu kısıtlama sistemleri, doğası gereği farklı olmalıdır. Ülkenin elektronik pazarlarında ve istenmeyen e-posta mesajları ("spam" olarak adlandırılan) gönderilerek, kişi ve kuruluşlar hakkında bilgi içeren veritabanlarını (DB) içeren CD'ler kontrolsüz bir şekilde dağıtılır. Örneğin, DB "Gümrük", Devlet Trafik Güvenliği Müfettişliği, BTI (Teknik Envanter Bürosu), "Kayıt", "Dış Ekonomik Faaliyet", USRP (İşletmelerin Birleşik Devlet Tescili), "Daire sahipleri", "Kişilerin gelirleri" , "İçişleri Bakanlığı'nın kart dosyası" (mahkumiyet ve diğerleri), OVIR (kayıtlı pasaportlar), "DB" Adalet Bakanlığı "," Sirena "(Rusya'da demiryolu ile bireylerin taşınması), DB nakit dışı ödemelerde tedarikçileri ve tüketicileri olan işletmeler vb. Açıktır ki, bu tür bilgiler devlet memurlarının katılımı olmadan piyasaya elde edilemez.

Şu anda, yasa koyucular bu tür bilgilerin korunmasını düzenleyen "Resmi Sırlar Üzerine" bir yasa taslağı hazırlamıştır.

Kişisel (kişisel) veriler, bir bireyin soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi, ailesi, sosyal, mülk durumu, eğitimi, mesleği, gelirini içerir. Kişisel veriler ayrıca işe kabul (hizmet), geçişi ve işten çıkarılma ile ilgili bilgileri de içermelidir; sahibinin eşi, çocukları ve diğer aile üyeleri hakkında veriler, ikamet yerini belirlemeye izin veren veriler, posta adresi, telefon ve bir memurun diğer bireysel iletişim araçlarının yanı sıra karısı (kocası), çocukları ve ailesinin diğer üyeleri, mülkiyet hakkı veya kullanımında olan bir memura ait gayrimenkul nesnelerinin yerini belirlemeye izin veren veriler, gelir, mülk ve mülk niteliğindeki yükümlülükler hakkında bilgi, gerçekler, olaylar ve bir vatandaşın özel yaşamının koşulları, kişiliğini tanımlamasına izin veren, yasaları kaydetme makamının çalışanı tarafından bilinen bilgiler, medeni durum yasasının devlet kaydı ile bağlantılı olarak medeni durum, dil becerileri (ana dil, Rusça , başka bir dil veya diğer diller), genel eğitim (genel ilköğretim, temel genel, orta (tam) genel) ve mesleki (ilk mesleki, orta mesleki, yüksek pr resmi, lisansüstü profesyonel), konut koşulları (yaşam alanlarının türü, evin yapım süresi, toplam ve yaşam alanının büyüklüğü, oturma odası sayısı, yaşam alanlarının iyileştirme türleri), geçim kaynakları (işten veya diğer gelirlerden elde edilen gelir). meslek, emeklilik, maluliyet aylığı dahil, burs, ödenek, diğer devlet güvenliği türleri, diğer geçim kaynakları). Kanun koyucu, kişisel verileri açık bir bilgi listesi olarak tanımlayarak, sunulma biçimine bakılmaksızın, bu şekilde, sahibinin sosyal statüsü hayatının belirli bir aşamasında değiştikçe bunları genişletme olasılığını elinde tutar.

Kişisel veriler, gizli bilgi kategorisine girer; bu, ona ücretsiz erişimin olmaması ve korunması için etkili bir sistemin varlığı anlamına gelir. Kişisel verilerin gizli bilgi kategorisine dahil edilmesi, bilgilerin yok edilmesi, değiştirilmesi, çarpıtılması, kopyalanması, engellenmesi ve bir vatandaşın özel yaşamına diğer yasa dışı müdahale biçimlerinin önlenmesi için yetkisiz eylemlerin önlenmesini amaçlar.

Kişisel veri koruma sistemi oluşturmanın yasal dayanağı, Rusya Federasyonu Anayasasının hükümleridir. 22 ve 23. maddeler, bireyin özel hayata ilişkin temel haklarını ilan eden kuralları içermektedir. Mahremiyet, kişisel ve aile sırları hakkını saklı tutarlar. Bir kişinin özel hayatı ile ilgili bilgileri rızası olmadan toplaması, saklaması, kullanması ve yayması yasaktır.

Kişisel verilerin işlenmesine ilişkin yasal dayanağı oluşturan kanun koyucu, işlenme sürecinde kişisel verilerle çalışmanın temel ilkelerini içeren uluslararası hukuk normlarını esas alır. Başlangıçta bu ilkeler, ilgili ulusal mevzuat için birleştirici ilke haline gelen ETS N 108 (28 Ocak 1981) "Kişisel Verilerin Otomatik İşlenmesine İlişkin Kişilerin Korunmasına İlişkin Uluslararası Sözleşme"de yer almıştır. Ardından, Avrupa Birliği ve Parlamento 95/46/EC'nin 24 Ekim 1995 tarihli ve kişisel verilerin işlenmesine ve bu verilerin serbest dolaşımına ilişkin olarak bireylerin haklarının korunmasına ilişkin Direktifinde geliştirilen kişisel veri koruma sistemi ve Telekomünikasyon sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin 15 Aralık 1997 tarihli 97/66/EC sayılı Direktif. Bu belgeler, otomatik veri tabanlarında biriken kişisel verilerin kazara veya yetkisiz imha veya kazara kaybolmaya ve ayrıca yetkisiz erişim, değişiklik veya dağıtıma karşı korunması için temel önlemlerin bir listesini içerir.

Kişisel verilerin gizliliğini koruyan ana federal yasa, 27 Temmuz 2006'da kabul edilen Kişisel Veriler Yasasıdır.

Kanun, kişisel verilerin işlenmesine ilişkin ilke ve koşulları belirlemektedir. Kanun, kişisel verilerin öznesinin rızası olmaksızın kişisel verilerin işlenmesine genel bir yasak getirerek, bu tür bir rızanın gerekli olmadığı halleri öngörmektedir.

Özel kategorilerdeki kişisel verilerin işlenmesi için ayrı olarak düzenlenmiş ilişkiler (ırk, milliyet, siyasi görüşler, dini veya felsefi inançlar, sağlık durumu, özel yaşam hakkında bilgiler). Bu bilgi kategorilerinin işlenmesine, kişisel verilerin kamuya açık olduğu durumlar dışında, kişisel verilerin konusunun önceden rızası olmadan izin verilmez, bir kişinin yaşamını ve sağlığını sağlamak için veri işlemenin gerekli olması; işleme, adaletin idaresi ve diğer koşullarla bağlantılı olarak gerçekleştirilir.

Kişisel verilerin konusunun haklarının en önemli garantisi, kişisel verilere erişimi olan operatörlerin ve üçüncü kişilerin gizliliğini sağlama yükümlülüğüdür (kişiselleştirme ve kamuya açık kişisel veriler hariç) ve haktır. zarar ve (veya) mahkemede manevi tazminat tazmini de dahil olmak üzere haklarını ve meşru menfaatlerini korumak için kişisel verilerin konusunun. Kişisel verilerin işlenmesi üzerindeki kontrol ve denetim, ilgili hak ve yükümlülüklere sahip bilgi teknolojisi ve iletişim alanında kontrol ve denetim işlevlerini yerine getiren federal yürütme organına emanet edilmiştir. Özellikle yetkili organ, kişisel verilerin işlenmesi için bilgi sistemini kontrol etme, yanlış veya hukuka aykırı olarak elde edilen kişisel verilerin engellenmesi, silinmesi konusunda talepte bulunma, kişisel verilerin işlenmesine kalıcı veya geçici bir yasak koyma, ihlallere ilişkin idari soruşturma yapma hakkına sahiptir. Hukukun. Kişisel verilerin konularının haklarının yeterli şekilde korunmasının sağlanması gereken sınır ötesi veri aktarımı ilkeleri oluşturulmuştur.

Kanun koyucu, yukarıda sayılan kanunların yanı sıra kişisel veriler alanında diğer kanunları da mevzuat sistemine dahil etmektedir:

Bölüm 14'te, çalışanın kişisel verilerinin korunması için temel gerekliliklerin yer aldığı Rusya Federasyonu İş Kanunu. Bir çalışanın iş nitelikleri için kabulü, belirli bir pozisyonu işgal etmek için gerekli olan önceden belirlenmiş bir dizi kriteri yeterince tam olarak tanımlamaları için, çalışan hakkında bilgi toplamanın belirli yöntemlerinin kullanılmasını içerir, yani işveren, çalışanın kişisel verilerini fiilen toplar;

28 Mayıs 2003 tarihli Rusya Federasyonu Gümrük Kanunu N 61-FZ, malların ve araçların gümrük sınırından geçişi ile ilgili faaliyetlerde bulunan veya gümrük alanında faaliyet gösteren kişilerin kişisel verilerinin işlenmesine ilişkin prosedürü düzenler. , gümrük kontrolünü yapmak ve gümrük ödemelerini tahsil etmek amacıyla;

27 Temmuz 2006 tarihli Federal Yasa N 149-FZ "Bilgi, bilgi teknolojisi ve bilgi koruması hakkında" kişisel verilerin genel bir tanımını sağlar, kişisel verilerle ilgili faaliyetlerin yasal düzenlemesinin temel ilkelerini belirler. Ayrıca, kişisel verilerin işlenmesi ve sağlanması ile ilgili faaliyetlerin sivil toplum kuruluşları ve bireyler için zorunlu lisanslanmasının yanı sıra gizliliklerinin ihlali sorumluluğunu da ortaya koymaktadır;

15 Kasım 1997 tarihli Federal Yasa N 143-FZ "Medeni Durum Eylemleri Üzerine", medeni statü eylemlerinin tescili sürecinde gizli bilgilerin korunması prosedürünü düzenler.

Ek olarak, kişisel verilerle çalışmanın yasal düzenlemesi konularına 22 Ekim 2004 tarihli Federal Yasalarda değinilmektedir N 125-FZ "Rusya Federasyonu'ndaki arşiv işleri hakkında", 12 Ağustos 1995 N 144-FZ "On operasyonel arama faaliyetleri", 12 Haziran 2002 tarihli N 67-FZ "Seçim haklarının temel garantileri ve Rusya Federasyonu vatandaşlarının referandumuna katılma hakkı hakkında", Rusya Federasyonu Vergi Kanunu, Mevzuatın temelleri 22 Temmuz 1993 tarihli vatandaşların sağlığının korunmasına ilişkin Rusya Federasyonu N 5487-1, 21 Temmuz 1993 tarihli Rusya Federasyonu yasaları N 5485-1 28 Mart 1998 tarihli "Devlet sırları hakkında" N 53- FZ "Askerlik ve askerlik hizmetiyle ilgili", 1 Nisan 1996 tarihli Federal yasalar N 27-FZ " Zorunlu emeklilik sigortası sisteminde bireysel (kişisel) muhasebe hakkında ", 8 Ağustos 2001 tarihli N 129-FZ" Devlet kaydı hakkında tüzel kişiler ve bireysel girişimciler "ve diğerleri. Rusya Federasyonu Medeni Kanunu'nun 152. maddesi bir vatandaşın onurunu, haysiyetini ve ticari itibarını korur. Sanatta Rusya Federasyonu Ceza Kanunu'nda. 137, "bir kişinin özel hayatıyla ilgili, kişisel veya aile sırrını oluşturan bilgilerin yasa dışı toplanması veya yayılması için" cezai sorumluluk oluşturur.

Gizli veriler nasıl korunur, işleme merkezlerinin çalışmaları nasıl güvenli hale getirilir?

Başka yerlerde olduğu gibi, bilgi güvenliği sistemleri oluşturma konularında, bir konudaki tekleme diğer tüm alanlardaki çabaları boşa çıkarabileceğinden, entegre, dengeli, çok seviyeli bir yaklaşıma ihtiyaç vardır.

Dikkat etmeniz gereken ana alanları anlamak için veri depolama ve işleme sistemlerini karakterize eden ana özellikleri ele alalım:

tüm bilgi yığınları yapılandırılmış veri tabanlarında toplanır;

tüm bilgisayar kaynakları genellikle özel, iyi korunan sunucu odalarında bulunur (veri merkezi - veri işleme merkezleri olarak adlandırılır);

depolar sadece ölü bilgi depoları değil, aynı zamanda çok sayıda yakından ilişkili uygulama ve hizmet sisteminin (örneğin, bilgi arşivleme yazılımı, kontrol, işleme sistemleri, ETL gibi sistemler (çıkarma, dönüştürme, yükleme), aslında orijinal verileri oluşturan uygulama sistemleri vb.);

ortalama depolama boyutu 1 terabayt ve daha fazladır, bu da ağ altyapısına ve bilgi depolama ve işleme sistemlerine karşı ciddi bir tutum gerektirir.

Fiziksel güvenlik ve organizasyonel önlemleri dikkate almazsanız (işlem merkezlerinin organizasyonu ciddi bir yaklaşım gerektirir), o zaman ilk konulardan biri hem çevre koruma hem de iç güvenliği içeren güvenilir ve güvenli bir telekomünikasyon altyapısının organizasyonu olacaktır.

İşlem merkezleri, dışarıdan izinsiz giriş girişimlerine karşı mümkün olduğunca kapalı tutulmalıdır. Tüm harici bağlantılar, dahili yönetim ağında da arzu edilen trafik şifrelemesini (SSH, IPSec, SSL, vb.) içermelidir (fiziksel düzeyde veya VLAN'lar kullanılarak genel veri ağından ayrılması önerilir). Performans sorunları nedeniyle, çekirdek şifreleme genellikle kullanılmaz.

Farklı ağ protokolleri ve ağ etkileşimleri, farklı koruma seviyeleri gerektirir:

taşıma katmanı koruması;

VLAN organizasyonu, Port Güvenliği vb.;

çevredeki proxy sunucuları, etkileşimin uygulama düzeyini analiz eder;

Saldırı Tespit/Önleme sistemleri vb.;

Fiber Kanal katmanı: Fiber Kanal Kimlik Doğrulama Protokolü, Anahtar Bağlantısı Kimlik Doğrulama Protokolü, vb.;

SAN düzeyi: Sanal SAN, LUN etiketleme vb.

8.4. içeriden öğrenen sorunu

Son zamanlarda bilgi sızıntısı sorunu sıkça tartışılmakta ve “içeriden öğrenen” terimi ile bağlantılı olarak telekomünikasyon çevresinin ve bilgisayarlardaki harici cihazların kontrolüne yönelik çözümler ele alınmaktadır.

Bu alanda harici cihazların (USB, DVD-RW, Bluetooth gibi) kontrolü için yurt içi ve yurt dışı çözümler bulunmaktadır. Bu tür ürünler SecureWave (Sanctuary Device Control), Safend, Control Guard, SecurIT ve diğer şirketler tarafından sunulmaktadır. Şirketlerden ağ kontrolü ve çevre koruması için geniş bir araç grubu vardır (Info Watch, yerli şirketler arasında en göze çarpanıdır).

Bu arada, kullanıcıların bilgisayarlarını dikkatlice izleme gereğini unutmamak gerekir: üzerlerinde ne tür yazılımlar yüklü, güvenlik açıkları var mı, hangi programların çalışmasına izin veriliyor, sistemde hangi işlemlerin çalışması gerekiyor, vesaire.

Fakat! Çoğu zaman olduğu gibi, altyapıyı olabildiğince güvenli hale getirme girişimi, entegre bir güvenlik sisteminin uygulanmasında bozulmalara neden olur. Çoğu zaman ağaçların arkasında orman görünmez.

Unutulmaması gereken ilk şey, bilgi sızıntılarına karşı %100 korumanın olmadığıdır. Kurumsal posta ve bilgisayar bağlantı noktalarını kontrol edebilirsiniz, ancak bir saldırgan planını uygulamak için her zaman ek fırsatlar bulacaktır. Örneğin, bir belgeyi yazdırın veya metin tanıma programlarını kullanarak istenen elektronik formata daha fazla dönüştürme ile ekranın bir resmini çekin. Ek olarak, tüm bunların tam olarak nasıl kontrol edildiğiyle ilgili zorlukların farkında olmalısınız (yetkili kullanıcının USB cihazına hangi verileri yazdığını kim analiz edecek?). Sorunun ahlaki ve psikolojik yönünü de hatırlayabilirsiniz: şirket kullanıcıya bu belgeyle çalışmasına izin verdiyse (bu nedenle, bu işte ona güveniyorlarsa), eylemlerini kontrol etme ihtiyacı nerede ortaya çıkıyor? Bu durumda, bu, muhtemelen, güvenliğin temellerinin - kurumsal kimlik yönetimi, yetkilendirme ve erişimin yanı sıra veritabanı korumasının - kuruluşta doğru şekilde oluşturulmadığı anlamına gelir.