Bilgi güvenliği politikaları. Kuruluş bilgi güvenliği politikası

Tanıtım

Modern bilgi teknolojilerinin gelişme hızı, Rusya topraklarında yürürlükte olan kılavuz belgeler için tavsiye edici ve düzenleyici bir çerçevenin gelişme hızından önemli ölçüde ileridedir. Bu nedenle, modern bir işletmede etkili bir bilgi güvenliği politikası geliştirme sorununun çözümü, mutlaka kurumsal bilgi güvenliği sisteminin etkinliğinin yanı sıra, güvenlik kriterleri ve göstergeleri seçme sorunuyla da ilişkilidir. Sonuç olarak, standartların, Anayasanın, kanunların ve diğer düzenleyici belgelerin gerekleri ve tavsiyelerine ek olarak, bir takım uluslararası tavsiyelerin kullanılması gerekmektedir. Bu, yerel koşullara uyum sağlamayı ve ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL ve diğerleri gibi uluslararası standartların yöntemlerini uygulamaya koymayı ve ayrıca ekonomik tahminlerle bağlantılı olarak bilgi risk yönetimi yöntemlerini kullanmayı içerir. kurumsal bilgilerin korunmasını sağlamada yatırımların verimliliği. Modern risk yönetimi yöntemleri, modern bir işletmenin uzun vadeli stratejik gelişiminin bir takım görevlerini çözmeyi mümkün kılar.

İlk olarak, yasal, organizasyonel, yönetsel, teknolojik ve teknik bilgi güvenliği seviyelerindeki risklerin tanımlanmasını gerektirecek olan işletmenin mevcut bilgi güvenliği seviyesini ölçmek.

İkinci olarak, bir güvenlik politikası geliştirin ve şirketin bilgi varlıkları için kabul edilebilir bir güvenlik düzeyine ulaşmak için kurumsal bilgi güvenliği sistemini iyileştirmeyi planlayın. Bunun için ihtiyacınız olan:

risk analizi teknolojilerine dayalı olarak güvenlikteki finansal yatırımları gerekçelendirmek ve hesaplamak, güvenlik maliyetlerini potansiyel hasar ve meydana gelme olasılığı ile ilişkilendirmek;

savunmasız kaynaklara saldırmadan önce en tehlikeli güvenlik açıklarını engellemeye karar verin ve öncelik verin;

şirketin bilgi güvenliğini sağlamak için departmanlar ve kişiler arasındaki etkileşimde fonksiyonel ilişkileri ve sorumluluk alanlarını belirlemek, gerekli organizasyonel ve idari belge paketini oluşturmak;

bilgi teknolojilerinin geliştirilmesindeki mevcut seviye ve eğilimleri dikkate alarak, gerekli koruma komplekslerinin uygulanması için bir proje, denetim makamları ve kuruluşun hizmetleri ile geliştirmek ve koordine etmek;

Uygulanan koruma kompleksinin kuruluşun değişen çalışma koşullarına, organizasyonel ve idari belgelerin düzenli revizyonlarına, teknolojik süreçlerin değiştirilmesine ve teknik koruma araçlarının modernizasyonuna uygun olarak sürdürülmesini sağlamak.

Bu görevlerin çözümü, çeşitli düzeylerdeki yetkililer için yeni fırsatlar yaratır.

Bu, üst düzey yöneticilerin şirketin mevcut bilgi güvenliği seviyesini nesnel ve bağımsız bir şekilde değerlendirmesine, birleşik bir güvenlik stratejisinin oluşturulmasına, şirketin korunması için gerekli maliyetlerin hesaplanmasına, kararlaştırılmasına ve gerekçelendirilmesine yardımcı olacaktır. Elde edilen değerlendirmeye dayanarak, departman ve hizmet başkanları gerekli organizasyonel önlemleri (bilgi güvenliği hizmetinin yapısı ve yapısı, ticari sırlara ilişkin düzenleme, bir iş tanımları paketi ve acil durumlarda eylem talimatları) geliştirebilecek ve gerekçelendirebilecektir. ). Orta düzey yöneticiler, bilgi güvenliği araçlarını makul bir şekilde seçebilecek ve işlerinde bilgi güvenliğini değerlendirmek için nicel göstergeleri, şirketin ekonomik verimliliğine referansla güvenliği değerlendirme ve yönetme yöntemlerini uyarlayabilecek ve kullanabilecektir.

Analitik çalışmalar sonucunda elde edilen sistemin tespit edilen güvenlik açıklarının etkisiz hale getirilmesi ve yerelleştirilmesi için pratik öneriler, farklı seviyelerde bilgi güvenliği sorunları üzerinde çalışılmasına yardımcı olacak ve en önemlisi, uygunsuz olarak malzeme dahil olmak üzere ana sorumluluk alanlarının belirlenmesine yardımcı olacaktır. şirketin bilgi varlıklarının kullanımı. Ticari sırların açıklanması da dahil olmak üzere, işverene verilen zararın sorumluluğunun kapsamını belirlerken, İş Kanunu'nun ilgili hükümlerine rehberlik edilmelidir.

1. Analitik kısım

1 Bilgi güvenliği kavramı

Bilgi güvenliği, bilgi güvenliğini sağlamaya yönelik bir dizi önlemdir.

Bilgi güvenliği, bir güvenlik sisteminin uygulanmasıyla uygulanan güvenliği sağlamayı amaçlayan karmaşık bir görevdir. Bilgi güvenliği sorunu çok yönlü ve karmaşıktır ve bir dizi önemli görevi kapsar. Bilgi güvenliği sorunları, verilerin işlenmesi ve iletilmesi için teknik araçların ve her şeyden önce bilgisayar sistemlerinin toplumun tüm alanlarına nüfuz etme süreçleri tarafından sürekli olarak ağırlaştırılmaktadır.

Modern bir işletmenin faaliyetleri kişisel bilgisayarlar olmadan hayal edilemese de, "bilgi güvenliği" terimi son zamanlarda geniş bir kullanıma girmiştir. Bunun basit bir açıklaması var: Ortalama bir işletme için elektronik ortamda işlenen ve saklanan bilgi hacmi “kağıt” ile karşılaştırıldığında milyonlarca kat daha fazladır. Bilgisayarlara kurulumu zor yazılımlar kurulur, bilgisayarlar ve geri yüklenmesi zor programlar arasındaki etkileşim kalıpları oluşturulur ve sıradan kullanıcılar çok büyük miktarda veri işler. İnşa edilen teknolojik zincirin çalışmasındaki herhangi bir kesintinin işletme için belirli kayıplara yol açacağı açıktır. Bu nedenle, bilgi güvenliği (IS) altında, bir işletmenin bilgi ortamının oluşumu, kullanımı ve geliştirilmesine kadar dış ve iç tehditlere karşı güvenliğini kastediyoruz.

Büyük kuruluşlarda, görevleri bilgi güvenliğini sağlama, kurumsal bilgi güvenliğine yönelik tehditleri belirleme, yerelleştirme ve ortadan kaldırmayı içeren önemli bir bütçeye sahip özel hizmetler vardır. Özel pahalı yazılım ve donanım kullanıyorlar, bazen bakımı o kadar zor ki, onunla çalışmak için özel personel eğitimi gerekiyor. Bu tür organizasyonlarda bilgi güvenliği yönetiminin görevleri, genellikle “derinleştirme”, “genişletme”, “geliştirme”, “sağlama” vb. anahtar kelimelerle talimatlar vermekten ibarettir. Bilgi güvenliğini sağlamak için yapılan tüm çalışmalar, ilgili hizmetlerin çalışanlarının yönetimi tarafından fark edilmeden gerçekleştirilir ve çalışma yöntemlerinin açıklaması ayrı bir büyük makalenin konusudur.

Aynı zamanda, uzmanlar için az sayıda işi olan (genellikle 50'den fazla olmayan) küçük işletmelerin bilgi güvenliğine çok az dikkat edilir. Bununla birlikte, şu anda mevcut organizasyonel ve teknik durum, büyük işletmelerin kendilerine karşı iyi bir koruma sağlaması nedeniyle mevcut IS tehditlerinin çoğu, sadece küçük işletmeler için geçerli hale geliyor. Tipik olarak, bu tür işletmelerin çok mütevazı bir BT bütçesi vardır, bu da yalnızca gerekli ekipmanı, yazılımı satın almalarına ve bir sistem yöneticisini sürdürmelerine olanak tanır.

Bugüne kadar bilgi güvenliğini sağlaması gereken üç temel ilke formüle edilmiştir:

veri bütünlüğü - bilgi kaybına neden olan arızalara karşı koruma ve ayrıca verilerin yetkisiz oluşturulmasına veya yok edilmesine karşı koruma;

bilgilerin gizliliği;

Güvenlik modelinin her zaman zorunlu olmayan başka kategorileri vardır:

inkar edilemezlik veya temyiz edilebilirlik - yazarlığın reddinin imkansızlığı;

hesap verebilirlik - erişim konusunun tanımlanmasını ve eylemlerinin kaydedilmesini sağlamak;

güvenilirlik - amaçlanan davranış veya sonuca uygunluk özelliği;

özgünlük veya özgünlük - konu veya kaynağın iddia edilenle aynı olduğunu garanti eden bir özellik.

2Güvenlik politikası kavramı

Bilgi Güvenliği Politikası (ISS), hassas bilgileri korumayı amaçlayan bir dizi güvenlik yönergesi, kuralı, prosedürü ve uygulamasıdır.

Bilgi güvenliği politikasının amacı:

Kuruluşun bilgi güvenliğinin amaç ve hedeflerini iş açısından formüle etmek (bunu yönetim için belirlemenize ve yönetimin bilgi güvenliğinin önemine verdiği desteği göstermenize olanak tanır),

bilgi güvenliği risklerini en aza indirgemek ve iş verimliliğini artırmak için şirketteki işleri organize etmek için kuralların belirlenmesi.

Bilgi güvenliği politikası gereksinimleri:

Politika, yönetim desteğini göstermek için şirketin en yüksek idari organı (CEO, yönetim kurulu vb.) tarafından onaylanmalıdır.

Bilgi güvenliği politikası, son kullanıcılar ve şirket yönetimi için anlaşılır bir dilde ve mümkün olduğunca kısa olmalıdır.

IS politikası, IS hedeflerini, bunlara nasıl ulaşılacağını ve sorumlulukları tanımlamalıdır. Yöntemlerin uygulanmasına ilişkin teknik detaylar, Politika'da atıfta bulunulan talimat ve yönetmeliklerde yer almaktadır.

Güvenlik politikasının üretim süreci üzerindeki etkisini en aza indirin.

Bilgi güvenliği konularında çalışanların ve kuruluşun yönetiminin sürekli eğitimi

Güvenlik politikası kurallarının uygulanmasının uygulama aşamasında ve gelecekte sürekli izlenmesi.

Güvenlik politikalarının sürekli iyileştirilmesi.

Görüşlerde tutarlılık ve kurumsal bir güvenlik kültürünün oluşturulması.

PIB'nin aşağıdaki yapısı önerilmektedir:

· Genel hükümler (kuruluşun faaliyetlerinin tabi olduğu kanun, yönetmelik ve diğer düzenleyici belgelere atıflar),

· Bilgi güvenliğinin kuruluş için öneminin teyidi ve kuruluşun işi açısından bilgi güvenliği hedeflerinin oluşturulması (mevzuat ve diğer standartların gerekliliklerine uygunluk, müşterilerin ve ortakların beklentilerinin karşılanması, rekabet gücünün artırılması, finansal istikrar , ve kuruluşun imajı).

· Kuruluşun bilgi güvenliğini sağlamaya yönelik stratejisinin tanımı (örneğin, yasal gerekliliklere uygunluk, risk değerlendirmesi ve yönetimi).

· PIB'nin kapsamı (örneğin, PIB, kuruluşun tüm çalışanları ve yönetimi veya ayrı bir şube veya dizüstü bilgisayar kullanan çalışanlar için zorunludur)

· Koruma nesnesinin tanımı (korunan kaynaklar - çeşitli kategorilerdeki bilgiler, bilgi altyapısı vb.)

· Bilgi güvenliğinin amaç ve hedefleri (örneğin, IS tehditlerini kabul edilebilir bir düzeye indirmek, potansiyel IS tehditlerini ve güvenlik açıklarını belirlemek, IS olaylarını önlemek)

· Bu kuruluş için dikkate alınan tehditler ve ihlal eden model (oluşma kaynaklarına, uygulama yöntemlerine, yönlendirmeye göre)

· Bilgi güvenliği politikası ilkelerinin kısa bir açıklaması:

Ö BGYS oluşturma yaklaşımı,

Ö bilgi güvenliği alanında personelin eğitimi ve farkındalığı için gereklilikler,

Ö PIB ihlalinin sonuçları ve sorumluluğu,

Ö Risk yönetimi yaklaşımı,

Ö organizasyon yapısının belirlenmesi, olay raporları dahil bilgi güvenliği yönetimine yönelik genel ve özel sorumluluklar,

Ö Özel güvenlik politikaları ve belirli bilgi sistemlerine yönelik prosedürler veya kullanıcıların uyması gereken güvenlik kuralları gibi politikayı destekleyebilecek belgelere bağlantılar.

Ö PIB hükümlerinin uygulanmasını izlemek için mekanizmalar,

Ö politika değişikliklerini gözden geçirme ve benimseme prosedürü.

IS politikası onaylandıktan sonra şunlar gereklidir:

· Bilgi güvenliği politikası, alt politikalar, prosedürler ve talimatların imza karşılığı olarak hükümlerini, ilk ve sonraki periyodik eğitimleri ve bilgilendirmeleri sırasında sıradan çalışanların dikkatine sunmak;

· Politikayı açıklayan ve tamamlayan prosedürler, talimatlar vb. geliştirin (bilgi güvenliği departmanı uzmanları için);

· Yeterliliğini ve etkinliğini sürdürmek için politikayı periyodik olarak gözden geçirin;

· Kuruluşun Yönetimine bir raporla çalışanların politika hükümlerine uygunluğunun periyodik denetimlerini yapmak.

· Ayrıca sorumlu personelin görev tanımları, bölümlere ilişkin düzenlemeler, kuruluşun sözleşmeden doğan yükümlülükleri bilgi güvenliğini sağlamaya yönelik sorumlulukları içermelidir.

Böylece, sonuç olarak, sadece BGYS'nin belgesel tabanı oluşturulmakla kalmaz, aynı zamanda organizasyon personeli arasında bilgi güvenliğini sağlamak için gerçek bir sorumluluk dağılımı da vardır.

Güvenlik Politikası Yaşam Döngüsü:

Planlama

İlk güvenlik denetimi

anket yapmak,

korunması gereken kaynakların belirlenmesi

risk değerlendirmesi.

Denetim sırasında bilgi güvenliğinin mevcut durumu analiz edilir, mevcut zafiyetler, en kritik operasyon alanları ve güvenlik tehditlerine karşı en hassas iş süreçleri belirlenir.

Güvenlik politikası geliştirme:

Kuruluşta bilgi güvenliğini sağlamak için ana koşullar, gereksinimler ve temel önlemler sistemi belirlenir ve risklerin kabul edilebilir bir değere indirilmesi sağlanır.

Çalışma grubu çerçevesinde üzerinde anlaşılan ve kuruluş yönetimi tarafından onaylanan kararlar şeklinde düzenlenirler.

PIB'nin Uygulanması

Teknik, organizasyonel ve disiplin problemlerini çözmek.

muayene

Denetim ve kontrol.

Ayarlama

Kaynak verilerdeki değişikliklerin yanı sıra periyodik revizyon ve ayarlama.

bilgisayar koruma bilgi sistemi

1.3Fiziksel, donanım ve yazılım bilgi korumasının modern araçları

Herhangi bir bilgi güvenliği sisteminin temel amacı, nesnenin istikrarlı bir şekilde çalışmasını sağlamaktır: güvenliğine yönelik tehditleri önlemek, bilgi sahibinin meşru çıkarlarını, söz konusu ilişkiler alanındaki cezai fiiller de dahil olmak üzere yasadışı tecavüzlerden korumak, Ceza Kanunu tarafından, nesnenin tüm bölümlerinin normal üretim faaliyetlerinin sağlanması. Diğer bir görev ise sunulan hizmetlerin kalitesini artırmak ve müşterilerin mülkiyet haklarının ve çıkarlarının güvenliğini garanti altına almaktır. Bunun için ihtiyacınız olan:

bilgileri kısıtlı erişim kategorisine atfetmek (resmi sır);

bilgi kaynaklarının güvenliğine yönelik tehditleri, mali, maddi ve manevi zarara, normal işleyişinin ve gelişiminin bozulmasına katkıda bulunan neden ve koşulları tahmin etmek ve zamanında belirlemek;

bilgi kaynaklarına ve çeşitli hasar türlerine yönelik güvenlik tehdidi olasılığı en düşük olan çalışma koşulları oluşturmak;

bilgi güvenliğine yönelik tehditlere ve işleyişteki olumsuz eğilimlerin tezahürlerine, yasal, organizasyonel ve teknik önlemlere ve güvenliği sağlama araçlarına dayalı olarak kaynaklara yönelik ihlallerin etkili bir şekilde bastırılmasına yönelik bir mekanizma ve koşullar oluşturmak;

bireylerin ve tüzel kişilerin yasa dışı eylemlerinin neden olduğu zararın maksimum olası tazmini ve yerelleştirilmesi için koşullar yaratmak ve böylece bilgi güvenliği ihlallerinin sonuçlarının olası olumsuz etkilerini azaltmak.

Bir güvenlik politikası geliştirirken, Genel Kriterlerin (ISO 15408) ve risk analizinin (ISO 17799) uyarlanmasına dayalı olarak aşağıdaki model (Şekil 1) kullanılabilir. Bu model, Rusya Federasyonu'nda kabul edilen bilgi güvenliğini sağlamak için özel düzenleyici belgelere, uluslararası ISO / IEC 15408 standardı "Bilgi teknolojisi - koruma yöntemleri - bilgi güvenliğini değerlendirme kriterleri", ISO / IEC 17799 "Bilgi güvenliği yönetimi standardına uygundur. ".

Pirinç. 1 Kurumsal bilgi güvenliği sistemi oluşturma modeli

Sunulan model, bir dizi nesnel dış ve iç faktör ve bunların tesisteki bilgi güvenliğinin durumu ve malzeme veya bilgi kaynaklarının güvenliği üzerindeki etkisidir.

Aşağıdaki nesnel faktörler dikkate alınır:

meydana gelme olasılığı ve uygulama olasılığı ile karakterize edilen bilgi güvenliğine yönelik tehditler;

bir tehdidin gerçekleşme olasılığını etkileyen bir bilgi sisteminin veya bir karşı önlem sisteminin (bilgi güvenliği sistemleri) açıkları; - risk - bilgi güvenliği tehdidinin uygulanmasının bir sonucu olarak kuruluşa gelebilecek olası zararı yansıtan bir faktör: bilgi sızıntısı ve yanlış kullanımı (risk nihai olarak olası finansal kayıpları yansıtır - doğrudan veya dolaylı).

Etkin bir güvenlik politikası oluşturmak için öncelikle bilgi güvenliği alanındaki risklerin analizinin yapılması gerekmektedir. Ardından, belirli bir kritere göre işletme için en uygun risk seviyesini belirleyin. Güvenlik politikası ve ilgili kurumsal bilgi koruma sistemi, belirli bir risk düzeyine ulaşacak şekilde oluşturulmalıdır.

Modern bir işletme için bir bilgi güvenliği politikası geliştirmek için önerilen metodoloji, bilgi güvenliğinin sağlanmasıyla ilgili gereksinimleri tam olarak analiz etmenize ve belgelemenize, öznel bir risk değerlendirmesi ile mümkün olan gereksiz güvenlik önlemlerinin maliyetinden kaçınmanıza, korumanın planlanmasına ve uygulanmasına yardımcı olmanıza olanak tanır. bilgi sistemlerinin yaşam döngüsünün tüm aşamalarında, işin kısa sürede yapılmasını sağlamak, karşı önlemlerin seçimi için bir gerekçe sağlamak, karşı önlemlerin etkinliğini değerlendirmek, karşı önlem için farklı seçenekleri karşılaştırmak.

Çalışma sırasında çalışmanın sınırları belirlenmelidir. Bunu yapmak için, gelecekte risk değerlendirmeleri alınacak bilgi sisteminin kaynaklarının tahsis edilmesi gerekir. Aynı zamanda, etkileşimin gerçekleştirildiği dikkate alınan kaynakları ve dış unsurları ayırmak gerekir. Kaynaklar bilgisayar ekipmanı, yazılım, veri ve bilgi kaynakları olabilir - bireysel belgeler ve bireysel belge dizileri, belgeler ve bilgi sistemlerindeki belge dizileri (kütüphaneler, arşivler, fonlar, veri bankaları, diğer bilgi sistemleri). Dış unsurların örnekleri, iletişim ağları, dış hizmetler ve benzerleridir.

Bir model oluştururken, kaynaklar arasındaki ilişkiler dikkate alınacaktır. Örneğin, herhangi bir ekipmanın arızalanması, veri kaybına veya sistemin başka bir kritik unsurunun arızalanmasına neden olabilir. Bu tür ilişkiler, bilgi güvenliği açısından bir organizasyon modeli oluşturmanın temelini belirler.

Bu model, önerilen metodolojiye uygun olarak şu şekilde oluşturulmuştur: tahsis edilen kaynaklar için değerleri, hem bunlarla ilişkili olası finansal kayıplar açısından hem de kuruluşun itibarına verilen zarar, organizasyonunun dağınıklığı açısından belirlenir. faaliyetler, gizli bilgilerin ifşa edilmesinden kaynaklanan maddi olmayan zararlar vb. Ardından kaynak ilişkileri tanımlanır, güvenlik tehditleri belirlenir ve uygulanma olasılıkları tahmin edilir.

Oluşturulan model temelinde, riskleri kabul edilebilir seviyelere indiren ve en yüksek maliyet verimliliğine sahip olan bir karşı önlem sistemini makul bir şekilde seçmek mümkündür. Karşı önlem sisteminin bir parçası, koruma sisteminin etkinliğinin düzenli olarak gözden geçirilmesi için tavsiyeler olacaktır.

Bilgi güvenliği için artan gereksinimlerin sağlanması, bilgi teknolojisinin yaşam döngüsünün tüm aşamalarında uygun önlemleri içerir. Bu faaliyetlerin planlanması, risk analizi ve karşı önlemlerin seçilmesi aşamasının tamamlanmasından sonra gerçekleştirilir. Bu planların zorunlu bir kısmı, mevcut IS rejiminin güvenlik politikasına uygunluğunun periyodik olarak doğrulanması, belirli bir güvenlik standardının gerekliliklerine uygunluk için bilgi sisteminin (teknolojisinin) sertifikalandırılmasıdır.

Çalışmanın tamamlanmasının ardından, nesnenin bilgi ortamının güvenilir olabileceği bir değerlendirmeye dayanarak bilgi ortamının güvenliğinin güvence ölçüsünü belirlemek mümkün olacaktır. Bu yaklaşım, daha fazla güvencenin emniyet değerlendirmesinde daha fazla çaba gösterilmesinden kaynaklandığını varsayar. Değerlendirmenin yeterliliği, nesnenin bilgi ortamının daha fazla sayıda öğesinin değerlendirme sürecine dahil edilmesine, daha fazla sayıda projenin kullanılmasıyla elde edilen derinliğe ve tasarımında yürütme ayrıntılarının açıklamalarına dayanır. güvenlik sistemi, daha az belirgin güvenlik açıklarını tespit etmeyi veya varlık olasılığını azaltmayı amaçlayan çok sayıda arama aracı ve yönteminin kullanılmasından oluşan titizlik.

Herhangi bir bilgi güvenliği çözümünü uygulamadan önce, modern bir işletmenin amaç ve hedeflerine uygun bir güvenlik politikası geliştirmenin gerekli olduğunu hatırlamak önemlidir. Özellikle, güvenlik politikası, kullanıcı erişim haklarının verilmesini ve kullanılmasını ve ayrıca kullanıcıların güvenlik konularındaki eylemlerinden sorumlu olmaları gerekliliğini açıklamalıdır. Bir bilgi güvenliği sistemi (ISS), güvenlik politikası kurallarının uygulanmasını güvenilir bir şekilde destekliyorsa etkili olacaktır ve bunun tersi de geçerlidir. Bir güvenlik politikası oluşturmanın aşamaları, otomasyon nesnesinin tanımına ve risk analizine bir değer yapısının eklenmesi ve otomasyon nesnesinin kaynaklarına bu tür erişimi kullanmanın herhangi bir süreci için kuralların tanımlanmasıdır. verilen değer derecesi. Aynı zamanda ayrı bir belge şeklinde bir güvenlik politikasının oluşturulması ve işletme yönetimi tarafından onaylanması arzu edilir.

4.Sorunun formülasyonu

Bu hedefe ulaşmak için aşağıdaki görevleri çözmek gerekir:

· İşletmede bilgi güvenliğinin amaç ve hedeflerini belirleyin.

· Bu kuruluş için bir güvenlik ilkesi modeli seçin.

Bir erişim matrisi oluşturun

AS için bir grup gereksinim tanımlayın

AU'nun güvenlik sınıfını ve bunun gereksinimlerini belirleyin

İşletmedeki ana koruma nesnelerini belirleyin

İşletmede koruma konusunu belirleyin

Kuruluştaki ve yapılarındaki korunan bilgilere yönelik olası tehditleri belirleyin

Kuruluştaki korunan bilgiler üzerindeki istikrarsızlaştırıcı etkinin kaynaklarını, türlerini ve yöntemlerini belirleyin

· Kuruluştaki korunan bilgilere yetkisiz erişim kanallarını ve yöntemlerini belirleyin

İşletmedeki bilgileri korumanın ana yönlerini, yöntemlerini ve araçlarını belirleyin

Kurumsal bilgi güvenliğinin amaçları şunlardır:

Gizli bilgilerin (ticari sırlar ve kişisel veriler) çalınması, sızdırılması, kaybolması, bozulması, sahteciliğinin önlenmesi;

bireyin ve işletmenin güvenliğine yönelik tehditlerin önlenmesi;

Gizli bilgileri yok etmek, değiştirmek, çarpıtmak, kopyalamak, engellemek için yetkisiz eylemlerin önlenmesi;

· bilgi kaynaklarına ve sistemlerine diğer yasa dışı müdahale biçimlerinin önlenmesi, bir mülkiyet nesnesi olarak belgelenmiş bilgilerin yasal rejiminin sağlanması;

vatandaşların kişisel gizliliğini ve bilgi sistemlerinde bulunan kişisel verilerin gizliliğini korumak için anayasal haklarının korunması;

· Yasalara uygun olarak belgelenmiş bilgilerin korunması, gizliliği.

İşletmedeki bilgi güvenliğinin görevleri şunları içerir:

İşletmenin yönetim, finans ve pazarlama faaliyetlerinin rejim bilgi hizmetleri ile sağlanması, yani tüm hizmetlerin, bölümlerin ve yetkililerin hem sınıflandırılmış hem de sınıflandırılmamış gerekli bilgilerle tedarik edilmesi.

Bilginin güvenliğini, araçlarını garanti etmek, korunan bilgilerin sızmasını önlemek ve sınıflandırılmış bilgi taşıyıcılarına yetkisiz erişimi engellemek.

Tehditlere anında müdahale için mekanizmaların geliştirilmesi, yasal, ekonomik, organizasyonel, sosyo-psikolojik, mühendislik ve teknik araçların kullanımı ve şirketin güvenliğine yönelik tehdit kaynaklarını belirlemek ve etkisiz hale getirmek için yöntemler.

Bilgilerin, özellikle ticari sır oluşturan bilgilerin korunması sürecinin belgelenmesi.

Gizli bilgilerin yetkisiz olarak alınması dışında özel ofis çalışmalarının organizasyonu.

· Emirler, kararlar, yönetmelikler, talimatlar, anlaşmalar ve ifşa etmeme yükümlülükleri, emirler, sözleşmeler, planlar, raporlar, yazılı ve elektronik ortamda gizli bilgi ve ticari sır oluşturan diğer belgelere ilişkin Yönetmeliklere aşinalık beyanı.

2. Tasarım bölümü

Günümüzde modern bir organizasyonun etkinliği, işleyişi sürecinde bilgi teknolojisinin kullanım derecesi ile giderek daha fazla belirlenmektedir. Hem elektronik ortamda işlenen bilgi miktarında hem de farklı bilgi sistemlerinin sayısında sürekli bir artış söz konusudur. Bu bağlamda bir güvenlik politikasının geliştirilmesi ve işletmedeki bilgilerin korunması bir işletmenin güvenliğini sağlama görevinde öne çıkmaktadır.

Bilgilerin korunmasının sağlanması, ticari ve kişisel veriler gibi çeşitli sır türlerinin korunması ihtiyacını sağlar. En önemlisi kişisel verilerin korunmasıdır, çünkü müşterilerin güveni öncelikle kişisel verilerinin sağlanmasına ve buna bağlı olarak kuruluş çalışanlarının korunmasına dayanmaktadır.

Bu nedenle, stüdyoda güvenliği sağlamanın amacı, bir güvenlik politikası geliştirmek ve normal işleyişi için işletmedeki bilgilerin güvenilir bir şekilde korunmasını sağlamaktır.

1 Bilgi güvenliği modelinin seçimi ve gerekçesi

Stüdyodaki ana koruma nesneleri şunlardır:

Personel (bu kişilerin yasal olarak korunan bilgilerle (ticari sırlar, kişisel veriler) çalışmasına veya bu bilgilerin işlendiği tesislere erişmesine izin verildiği için)

bilişim nesneleri - bilişim araçları ve sistemleri, bilgi alma, iletme ve işleme teknik araçları, kuruldukları binalar,

Kısıtlı bilgi:

ticari sır (uygulanan orijinal işletme yönetimi yöntemleri hakkında bilgi, işletme yönetiminin ticari, organizasyonel ve diğer konulardaki bireysel kararlarının hazırlanması, benimsenmesi ve uygulanması hakkında bilgi; davranışın gerçekleri, amaçları, konusu ve sonuçları hakkında bilgi kuruluşun yönetim organlarının toplantıları ve toplantıları (yönetici ortaklar vb.);

çalışanların kişisel verileri (soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi, medeni durumu, eğitimi, mesleği, beceri düzeyi, geliri, sabıkası ve işveren tarafından bunlarla bağlantılı olarak istenen diğer bazı bilgiler) iş ilişkileri ve belirli bir çalışanla ilgili).

müşterilerin kişisel verileri (soyadı, adı, soyadı, doğum tarihi, telefon numarası, sipariş verileri ve kişisel indirimler)

Kamuya açık bilgilerin kaybından korunur:

işletmenin durumunu, çalışanlarının hak, görev ve sorumluluklarını düzenleyen dokümante edilmiş bilgiler (tüzük, sicil, kuruluş sözleşmesi, faaliyetlere ilişkin yönetmelik, yapısal bölümlere ilişkin düzenlemeler, çalışanların görev tanımları)

yasal olarak korunan bilgilerin maddi taşıyıcıları (çalışanların kişisel dosyaları, müşterilerin kişisel dosyaları, çalışanların ve müşterilerin elektronik veri tabanları, siparişlerin basılı kopyaları ve elektronik versiyonları, kararlar, planlar, sözleşmeler, ticari sır oluşturan raporlar)

Bilgi güvenliği araçları (anti-virüs programları, alarm ve video gözetim sistemleri, yangından korunma sistemleri.)

Yasal olarak korunan bilgilerin (eski müşterilerin ve çalışanların kişisel dosyaları) işlenmesinden kaynaklanan teknolojik atık (çöp)

Stüdyoda bilgi koruma konusu, korunan bilgilerin kaydedildiği ve görüntülendiği ortamdır:

· Müşterilerin kağıt ve elektronik (müşteri ve çalışanların veri tabanı) biçimindeki kişisel dosyaları;

· Emirler, kararlar, yönetmelikler, talimatlar, anlaşmalar ve ifşa etmeme yükümlülükleri, emirler, sözleşmeler, planlar, raporlar, yazılı ve elektronik ortamda gizli bilgi ve ticari sır oluşturan diğer belgelere ilişkin Yönetmeliklere aşinalık beyanı.

Korunan bilgilere yönelik tehditler.

Dış tehditler:

· Rakipler (Vilden stüdyosunun rakipleri olan özel stüdyolar);

İdari organlar (kamu makamları);

· Suçlular.

İç Tehditler:

· Personel;

· İşletmenin yönetimi.

Tehdit sınıflandırması:

Nesnelere göre:

1. Personel;

2. Malzeme değerleri;

3. Finansal değerler.

Hasar ile:

1. Malzeme;

2. Ahlaki.

Hasar açısından:

1. Nihai (tam harabe);

2. Önemli (bir miktar brüt gelir);

3. Önemsiz (kar kaybı).

Nesne ile ilgili olarak:

1. Dahili;

2. Harici.

Oluşma olasılığı:

1. Çok muhtemel;

2. Olası;

3. Olasılıksız.

Etkinin doğası gereği:

1. Aktif;

2. Pasif.

tezahür nedeniyle:

1. Doğal;

2. Kasıtlı.

Bilgi üzerindeki istikrarsızlaştırıcı etki kaynakları şunları içerir:

bilgilerin görüntülenmesi (sabitlenmesi), saklanması, işlenmesi, çoğaltılması, iletilmesi için teknik araçlar, iletişim araçları ve işleyişini sağlamak için sistemler;

doğal olaylar.

Korunan bilgiler üzerindeki istikrarsızlaştırıcı etki türleri ve yöntemleri, etki kaynaklarına göre farklılık gösterir. İstikrarsızlaştırıcı etkinin en fazla türü ve yöntemi insanlarla ilgilidir.

İnsanlar açısından, yıkıma, bozulmaya ve engellemeye yol açan aşağıdaki etki türleri mümkündür:

Korunan bilgilerin medya üzerinde doğrudan etkisi.

Gizli bilgilerin izinsiz dağıtımı.

Bilgi ve iletişim olanaklarının görüntülenmesi, depolanması, işlenmesi, çoğaltılması, iletilmesi için teknik araçların devre dışı bırakılması.

Listelenen araçların çalışma modunun ve bilgi işleme teknolojisinin ihlali.

Bu tesislerin işleyişini sağlamak için sistemlerin çalışma modunun yetersizliği ve ihlali.

bilginin sözlü aktarımı (mesajı);

bilgi taşıyıcılarının kopyalarının (resimlerinin) aktarılması;

medyayı göster;

bilgisayar ağlarına bilgi girme;

kamuya açık konuşmalarda bilgilerin kullanımı, dahil. radyoda, televizyonda;

medya kaybı.

Bilgilerin imhasına, bozulmasına ve engellenmesine yol açan teknik görüntüleme, depolama, işleme, çoğaltma, bilgi iletimi, iletişim araçları ve bilgi işleme teknolojisinin çalışma modunu ihlal etme yolları şunlar olabilir:

fonların bireysel unsurlarına zarar;

fonların işleyişine ilişkin kuralların ihlali;

bilgi işleme prosedüründe değişiklikler yapmak;

bilgi işleme programlarına kötü amaçlı yazılım bulaşması;

yanlış program komutları verilmesi;

tahmini talep sayısının aşılması;

ek bir ses veya gürültü arka planının yardımıyla radyo havasında parazit yaratmak, bilgi iletim frekanslarını değiştirmek (üst üste binmek);

yanlış sinyallerin iletimi - bastırma filtrelerinin bilgi devrelerine, güç ve toprak devrelerine bağlanması;

fonların işleyişini sağlamak için sistemlerin çalışma şeklinin ihlali (değişikliği).

Bilgilerin görüntülenmesi, depolanması, işlenmesi, çoğaltılması, iletilmesi ve iletişim araçlarının teknik araçlarından korunan bilgiler üzerindeki istikrarsızlaştırıcı etki türleri ve bunların işleyişini sağlamak için sistemler, araçların arızalanmasını içerir; araçların arızaları ve elektromanyetik radyasyonun yaratılması.

Bilgi sızıntısı için en olası kanallar şunları içerir:

Görsel gözlem;

kulak misafiri olmak

teknik denetim;

doğrudan sorgulama, sorgulama;

malzemelere, belgelere, ürünlere vb. aşinalık;

açık belgelerin ve diğer bilgi kaynaklarının toplanması;

Belgelerin ve diğer bilgi kaynaklarının çalınması;

gerekli bilgileri kısmen içeren birçok bilgi kaynağının incelenmesi.

Bilgi koruma yönergeleri.

Yasal koruma - işletmenin bilgi güvenliğini sağlamak için oluşturulan özel yasal kurallar, prosedürler ve önlemler.

Örgütsel koruma - üretim faaliyetlerinin ve sanatçılar arasındaki ilişkilerin, zararı kullanan yasal bir temelde düzenlenmesi. Kurumsal koruma şunları sağlar:

Güvenlik rejiminin organizasyonu, personelle çalışma, belgeler;

Teknik güvenlik ekipmanlarının kullanımı;

Tehditleri belirlemek için bilgi kullanımı ve analitik çalışma.

Mühendislik ve teknik koruma - gizli bilgilerin korunmasını sağlamak için çeşitli teknik araçların kullanılması. Mühendislik ve teknik koruma şu araçları kullanır:

Fiziksel - cihazlar, mühendislik yapıları, gizli bilgi kaynaklarına erişimi engelleyen veya engelleyen kurumsal önlemler (eskrim sistemleri, erişim kontrol sistemleri, kilitleme cihazları ve depolama tesisleri);

Donanım - endüstriyel casusluğun sızıntı, ifşa ve teknik araçlarına karşı koruma sağlayan cihazlar

Yazılım.

Bilgi güvenliği yöntemleri.

Bilgi güvenliğinde kullanılan başlıca yöntemler şunlardır:

Kullanıcılara (bakım personeli) bilgi kaynaklarına, bilgi sistemine ve ilgili iş ve belgelere erişim için bir izin sisteminin uygulanması;

· Kullanıcıların ve hizmet personelinin bilgi kaynaklarına erişim, yazılım işleme (iletim) ve bilgilerin korunmasına ilişkin farklılaşma;

teknik araçların fazlalığı, dizilerin ve bilgi taşıyıcıların çoğaltılması;

uygunluk değerlendirme prosedürünü geçen bilgi güvenliği araçlarının öngörülen şekilde kullanılması;

tesislerin fiziksel korunmasının organizasyonu ve kişisel verilerin işlenmesine izin veren gerçek teknik araçlar;

Kötü amaçlı programların (virüs programları) ve yazılım yer imlerinin bilgi sistemlerine girmesinin önlenmesi.

Gizli bilgiler için muhasebe ilkeleri:

korunan bilgilerin tüm taşıyıcılarının zorunlu kaydı;

bu tür bilgilerin belirli bir taşıyıcısının tek kaydı;

verilen gizli bilgi taşıyıcısının halihazırda bulunduğu adresin kayıtlarında bir gösterge;

korunan bilgilerin her bir taşıyıcısının güvenliğinden ve bu bilgilerin şu anda kullanıcısının ve bu bilgilerin önceki tüm kullanıcılarının hesaplarına yansımasından tek sorumluluk.

Bilgi güvenliği araçları

Bilgi güvenliği araçları, bir dizi mühendislik, elektrik, elektronik, optik ve diğer cihaz ve cihazlar, cihazlar ve teknik sistemlerin yanı sıra sızıntıyı önlemek ve korunanların güvenliğini sağlamak da dahil olmak üzere çeşitli bilgi koruma sorunlarını çözmek için kullanılan diğer gerçek unsurlardır. bilgi.

Teknik araçlar yardımıyla çözülen ana görev grupları, bilgi güvenliği araçlarının sınıflandırılması için temel olarak kullanılır:

davetsiz misafirin bilgi taşıyıcılarına (kafesler, kasalar, kilitler, vb.) sızması yolunda fiziksel (mekanik) engellerin oluşturulması;

koruma nesnesine, korunan bilgi taşıyıcılarının (elektronik ve elektro-optik sinyal cihazları) yoğunlaştığı yerlere nüfuz etme girişimlerinin belirlenmesi;

acil durum uyarısı (yangın, sel vb.) ve acil müdahale (yangın söndürme ekipmanı vb.);

güvenlik nesnesinin çeşitli departmanları, binaları ve diğer noktaları ile iletişimi sürdürmek;

çalıştırılan veya test edilen ürünlerden (ekranlar, koruyucu filtreler, güç kaynağı ağlarındaki ayırma cihazları vb.) radyasyonun nötrleştirilmesi, emilmesi veya yansıması;

işlenen konuşma bilgilerinin belirlenmiş standartlara göre güvenlik gereksinimlerine uygunluk için bilgi işleme teknik araçlarının ve tahsis edilen binaların kapsamlı bir kontrolü;

Bilgilerin yetkisiz erişimini, kopyalanmasını veya bozulmasını önlemek için filtreler, elektronik kilitler ve anahtarlar kullanılarak otomatikleştirilmiş veri işleme sistemlerinde bilgilerin kapsamlı bir şekilde korunması.

Bilgiyi koruma yöntemlerinin ve araçlarının olanaklarını bilmek, gizli bilgileri korumak için yasal, organizasyonel ve mühendislik önlemlerini değerlendirirken ve kullanırken bunları aktif ve kapsamlı bir şekilde uygulamanıza olanak tanır.

Güvenlik politikası modeli.

Şu anda, iki tür güvenlik politikası en iyi şekilde incelenmektedir: sırasıyla seçici ve yetkili erişim denetimi yöntemlerine dayanan isteğe bağlı ve zorunlu.

Bu erişim kontrol yöntemlerinden herhangi birini uygulamak için tasarlanmış güvenlik araçlarının yalnızca güvenilir erişim veya bilgi akışı kontrol yetenekleri sağladığına dikkat edilmelidir. Öznelerin nesnelere ve/veya bilgi akışlarına erişim haklarının (öznelerin ve nesne özniteliklerinin izinleri, kritiklik etiketlerinin atanması vb.) belirlenmesi sistem yönetiminin yetkisindedir.

Sisteme zorunlu Erişim Kontrolü (MAC), bilgilerin sahibinden bağımsız olarak erişilebilir olduğu anlamına gelir. Kural olarak, bu gibi durumlarda, erişim kontrolü, bilginin kendisinin ve ona erişmek isteyen kişinin özelliklerine göre her ikisinden de bağımsız kurallara göre uygulanır.

Askeri ve devlet koruma sistemlerinde uygulanması amaçlanan modeller için tipiktir.

Kesin konuşmak gerekirse, belirli bir erişim kontrol yönteminin hangi sınıfa ait olduğunu belirleme kriterleri her zaman kesin bir sonuç vermez, ancak çoğu klasik güvenlik politikası modeli için çok doğrudur.

İsteğe bağlı (ayrık) bir güvenlik ilkesinin temeli, iki özellikle tanımlanan İsteğe Bağlı Erişim Denetimi'dir (DAC):

Öznenin sistem nesnesine erişim hakları, sistem dışındaki bazı kurallar temelinde belirlenir;

Tüm özneler ve nesneler tanımlanmalıdır.

İsteğe bağlı erişim kontrolü, bazı öznelerin (genellikle nesnenin sahibi) diğer öznelerden nesneye erişim hakları vermesi veya alması gerçeğine dayanan, nesnelere erişimi kısıtlama yöntemidir.

Bu model, öznelerin nesnelere erişiminin isteğe bağlı (keyfi) kontrolünü ve erişim haklarının dağıtımı üzerinde kontrolü uygular.

2 Fiziksel (bilgisayar dışı) bilgi güvenliği önlemlerinin seçimi ve gerekçesi

Bilginin fiziksel olarak korunmasına yönelik önlemler şunları içerir:

yangın koruması;

su koruması;

aşındırıcı gazlara karşı koruma;

elektromanyetik radyasyona karşı koruma;

hırsızlık ve hırsızlığa karşı koruma;

patlama koruması;

düşen döküntülere karşı koruma;

toz koruması;

tesislere yetkisiz erişime karşı koruma.

Öncelikle bilgisayarın duracağı odayı hazırlamanız gerekiyor.

Bilgisayarda kullanılmayan disk sürücülerinin, paralel ve seri bağlantı noktalarının devre dışı bırakılması akıllıca bir harekettir. Vücudunu mühürlemek arzu edilir. Tüm bunlar, saldırgan bir şekilde odaya girse bile, bilgilerin çalınmasını veya değiştirilmesini zorlaştıracaktır. Demir parmaklıklar ve kapılar, şifreli kilitler ve ofisin önemli alanlarında olan her şeyi sürekli olarak kaydedecek video gözetim kameraları gibi önemsiz güvenlik önlemlerini ihmal etmeyin.

Başka bir tipik hata, yedekleme ile ilgilidir. Herkes bunun gerekliliğini ve yangın durumunda bir yangın söndürücüye sahip olmanın gerekliliğini bilir. Ancak bazı nedenlerden dolayı yedek kopyaların bir bilgisayarla aynı odada saklanamayacağını unutuyorlar. Sonuç olarak, bilgi saldırılarına karşı kendilerini savunan firmalar, ihtiyatla yapılan kopyaların bilgisayarla birlikte yok olduğu küçük bir yangın karşısında bile kendilerini savunmasız buluyorlar.

Çoğu zaman, korumalı bilgisayarlara sahip olsalar bile, her türlü kablonun da korumaya ihtiyacı olduğunu unuturlar - ağın kablo sistemi. Üstelik, genellikle davetsiz misafirlerden değil, yerel ağların en kötü düşmanları olarak kabul edilen en sıradan temizlikçilerden korkmanız gerekir. Kabloyu korumanın en iyi yolu bir kutudur, ancak prensip olarak, kabloları gizlemenize ve güvenli bir şekilde sabitlemenize izin veren başka herhangi bir yöntem işe yarayacaktır. Bununla birlikte, bilgileri kesmek veya örneğin akımı boşaltarak parazit oluşturmak için onlara dışarıdan bağlanma olasılığını gözden kaçırmamalısınız. Bununla birlikte, bu seçeneğin yaygın olmadığını ve sadece büyük firmaların iş ihlallerinde görüldüğünü kabul etmek gerekir.

İnternete ek olarak, bilgisayarlar başka bir ağa dahil edilir - normal elektrik. Bununla birlikte, bilgisayarların fiziksel güvenliği ile ilgili başka bir sorun grubu da buna bağlı. Modern güç ağlarının kalitesinin ideal olmaktan uzak olduğu bir sır değil. Harici bir anormallik belirtisi olmasa bile, çoğu zaman şebekedeki voltaj normalden daha yüksek veya daha düşüktür. Aynı zamanda, çoğu insan evlerinde veya ofislerinde güç kaynağıyla ilgili bazı sorunlar olduğundan şüphelenmez bile.

Düşük voltaj en yaygın anormalliktir ve çeşitli güç sorunlarının toplam sayısının yaklaşık %85'ini oluşturur. Genel nedeni, özellikle kış aylarında yaygın olan elektrik sıkıntısıdır. Artan voltaj, neredeyse her zaman bir tür kaza veya odadaki kablolama hasarının sonucudur. Genellikle, ortak nötr telin bağlantısının kesilmesinin bir sonucu olarak, bitişik fazlar 380 V'ta enerjilenir. Ayrıca, yanlış kablolama nedeniyle ağda yüksek voltaj meydana gelir.

Darbe ve yüksek frekanslı parazit kaynakları, yıldırım çarpmaları, güçlü elektrik tüketicilerinin açılması veya kapatılması, trafo merkezlerindeki kazalar ve ayrıca bazı elektrikli ev aletlerinin çalışması olabilir. Çoğu zaman, bu tür parazitler büyük şehirlerde ve endüstriyel alanlarda meydana gelir. Nanosaniyeden (10~9 s) mikrosaniyeye (10~6 s) kadar bir süreye sahip voltaj darbeleri, genlik olarak birkaç bin volta ulaşabilir. Bu tür parazitlere karşı en savunmasız olanlar mikroişlemciler ve diğer elektronik bileşenlerdir. Sıklıkla, bastırılmamış dürtü gürültüsü, bilgisayarın yeniden başlatılmasına veya veri işlemede bir hataya neden olabilir. Bilgisayarın yerleşik güç kaynağı, elbette, bilgisayarın elektronik bileşenlerini arızadan koruyarak voltaj dalgalanmalarını kısmen düzeltir, ancak artık parazit hala ekipmanın ömrünü azaltır ve ayrıca sıcaklıkta bir artışa neden olur. bilgisayarın güç kaynağı.

Bilgisayarları yüksek frekanslı darbe gürültüsünden korumak için, ekipmanı çoğu parazit ve voltaj dalgalanmasından korumak için aşırı gerilim koruyucular (örneğin Pilot markaları) kullanılır. Ayrıca önemli bilgilere sahip bilgisayarlarda kesintisiz güç kaynağı (UPS) bulunmalıdır. Modern UPS modelleri, yalnızca güç kesildiğinde bilgisayarı çalışır durumda tutmakla kalmaz, aynı zamanda şebeke gücü aralık dışındaysa onu ana şebekeden ayırır.

3 Donanım (bilgisayar) bilgi güvenliği önlemlerinin seçimi ve gerekçesi

Donanım, verileri işlemek için kullanılan teknik araçlardır. Bunlar şunları içerir: Kişisel bilgisayar (hesaplama ve bilgi problemlerini çözme sürecinde bilgilerin otomatik olarak işlenmesi için tasarlanmış bir dizi teknik araç).

Çevresel ekipman (merkezi işlemci tarafından doğrudan kontrol edilmeyen bir dizi harici bilgisayar cihazı).

Makine bilgilerinin fiziksel taşıyıcıları.

Donanım koruması, çeşitli elektronik, elektro-mekanik, elektro-optik cihazları içerir. Bugüne kadar, çeşitli amaçlar için önemli sayıda donanım geliştirilmiştir, ancak aşağıdakiler en yaygın olarak kullanılmaktadır:

güvenlik ayrıntılarını saklamak için özel kayıtlar: parolalar, kimlik kodları, akbabalar veya gizlilik seviyeleri;

otomatik olarak bir cihaz tanımlama kodu oluşturmak için tasarlanmış kod üreteçleri;

onu tanımlamak için bir kişinin bireysel özelliklerini (ses, parmak izleri) ölçmek için cihazlar;

değeri, bu bitlerin ait olduğu bellekte depolanan bilgilerin güvenlik düzeyini belirleyen özel güvenlik bitleri;

veri düzenleme adresini periyodik olarak kontrol etmek için bir iletişim hattındaki bilgi iletimini kesintiye uğratmak için şemalar Özel ve en yaygın olarak kullanılan donanım koruma cihazları grubu, bilgileri şifrelemek için kullanılan cihazlardır (kriptografik yöntemler).

Donanım, bilgiye yetkisiz erişime karşı koruma sağlayan bina sistemlerinin temelidir.

1990'larda, OKB CAD çalışanları, bilgilere yetkisiz erişime karşı koruma sağlamak için sistemlerin oluşturulması için gerekli bir temel olarak kabul edilen donanım korumasını kullanmak için bir metodoloji geliştirdi. Bu yaklaşımın ana fikirleri aşağıdaki gibidir:

yetkisiz erişime karşı otomatik sistemlerde (AS) bilgi koruma sorunlarını çözmek için entegre bir yaklaşım. Çarpımsal koruma paradigmasının tanınması ve sonuç olarak, NPP operasyonunun tüm aşamalarında kontrol prosedürlerinin uygulanmasının güvenilirliğine eşit derecede dikkat edilmesi;

bilgi güvenliğinin "temel sorunu"nun "materyalist" çözümü: "önce ne gelir - sert mi yumuşak mı?";

yazılım kontrol yöntemlerinin açıkça güvenilmez olduğu gerekçesiyle tutarlı bir şekilde reddedilmesi ve en kritik kontrol prosedürlerinin donanım düzeyine aktarılması;

kontrol işlemlerinin koşullu olarak kalıcı ve koşullu olarak değişken unsurlarının mümkün olan maksimum ayrımı;

AS'de kullanılan işletim ve dosya sistemlerinden mümkün olduğunca bağımsız olarak bilgileri yetkisiz erişimden (SZI NSD) koruma araçlarının inşası. Bu, işletim sistemini yüklemeden, yönetimden vb. önce AS donanımının ve yazılımının bütünlüğünü izleyerek tanımlama / doğrulama prosedürlerinin uygulanmasıdır.

Yukarıdaki donanım koruma ilkeleri, bilgileri yetkisiz erişimden - güvenilir önyükleme donanım modülü - "Akkord-AMDZ"den korumak için donanım-yazılım araçları kompleksinde uygulandı. Bu kompleks, çeşitli işletim ortamlarında güvenilir bir önyükleme modu sağlar: MS DOS, Windows 3.x, Windows 9.x, Windows NT/2000/XP, OS/2, Unix, Linux.

Bilgi güvenliği donanımı, CS'nin teknik araçlarına dahil olan ve (bağımsız veya yazılımla tek bir kompleks halinde) bazı bilgi güvenliği işlevlerini yerine getiren elektronik ve elektro-mekanik cihazları içerir. Bir cihazı mühendislik ve teknik koruma araçları olarak değil, donanım olarak sınıflandırma kriteri, teknik araçların bileşimine zorunlu olarak dahil edilmesidir.

Ana donanım bilgi güvenliği araçları şunları içerir:

kullanıcı tanımlama bilgilerini girmek için cihazlar (manyetik ve plastik kartlar, parmak izleri vb.);

bilgileri şifrelemek için cihazlar;

iş istasyonlarının yetkisiz açılmasını önleyen cihazlar (elektronik kilitler ve ara kilitler).

Yardımcı donanım bilgi güvenliği örnekleri:

manyetik ortamdaki bilgileri yok etmek için cihazlar;

bilgisayar kullanıcılarının yetkisiz eylem girişimleri vb. hakkında cihazlara sinyal vermek.

Donanım, yalnızca hasara ve diğer kazara veya kötü niyetli saldırılara karşı korumanın daha kolay olması nedeniyle değil, aynı zamanda işlevlerin donanım uygulamasının yazılım uygulamasından daha hızlı olması ve maliyetlerinin giderek azalması nedeniyle giderek daha fazla ilgi görmektedir.

Donanım koruma pazarında giderek daha fazla yeni cihaz ortaya çıkıyor. Elektronik kilidin açıklaması aşağıda örnek olarak verilmiştir.

Elektronik kilit "Sobol". CJSC NIP Informzashchita tarafından geliştirilen ve sağlanan Sobol, aşağıdaki koruma işlevlerini sağlar:

kullanıcıların tanımlanması ve doğrulanması;

sabit diskin dosyalarının ve fiziksel sektörlerinin bütünlüğünün kontrolü;

disket ve CD-ROM'dan işletim sistemi önyüklemesini engelleme;

belirtilen başarısız oturum açma girişimi sayısını aştığında kayıtlı bir kullanıcının oturum açmasını engelleme;

sistem güvenliği ile ilgili olayların kaydı.

İşletim sistemi koruma donanımı, geleneksel olarak aşağıdaki görevleri çözmek için kullanılan bir dizi araç ve yöntem olarak anlaşılır:

bilgisayarın operasyonel ve sanal belleğinin yönetimi;

çok görevli bir işletim sisteminde görevler arasında işlemci süresinin dağılımı;

çok görevli bir işletim sisteminde paralel görevlerin yürütülmesinin senkronizasyonu;

işletim sistemi kaynaklarına görevlerin ortak erişimini sağlamak.

Bu görevler, büyük ölçüde, işlemcilerin ve diğer bilgisayar bileşenlerinin donanım tarafından uygulanan işlevleri yardımıyla çözülür. Ancak, kural olarak, bu sorunları çözmek için yazılım araçları da benimsenmiştir ve bu nedenle “koruma donanımı” ve “donanım koruması” terimleri tam olarak doğru değildir. Ancak, bu terimler aslında genel olarak kabul edildiğinden, bunları kullanacağız.

4 Bilgi güvenliği yazılım önlemlerinin seçimi ve gerekçesi

Bilgi koruma yazılımı, yalnızca koruyucu işlevleri yerine getirmek için bilgisayar yazılımına dahil edilen özel programlar anlamına gelir.

Ana bilgi güvenliği yazılımı şunları içerir:

bilgisayar kullanıcı tanımlama ve doğrulama programları;

bilgisayar kaynaklarına kullanıcı erişimini kısıtlamak için programlar;

bilgi şifreleme programları;

bilgi kaynaklarını (sistem ve uygulama yazılımı, veritabanları, bilgisayar eğitim araçları vb.) yetkisiz değişiklik, kullanım ve kopyalamaya karşı korumaya yönelik programlar.

Bir bilgisayarın bilgi güvenliğinin sağlanması ile ilgili olarak tanımlamanın, bilgisayar konusunun benzersiz adının açık bir şekilde tanınması olarak anlaşılmalıdır. Kimlik doğrulama, sunulan adın verilen konuyla eşleştiğini doğrulamak anlamına gelir (konu kimlik doğrulaması).

Bilgi güvenliği yazılımı ayrıca şunları içerir:

kurtarma olasılığını sağlamak ve bu olayların meydana geldiğinin kanıtını sağlamak için bilgisayarın güvenliği ile ilgili olayların denetim programları (günlük kaydı);

suçluyla çalışmayı taklit eden programlar (sözde gizli bilgileri alması için dikkatini dağıtan);

bilgisayar güvenlik testi kontrol programları vb.

Bilgi güvenliği yazılımının faydaları şunları içerir:

çoğaltma kolaylığı;

esneklik (belirli bilgisayarların bilgi güvenliğine yönelik tehditlerin özelliklerini dikkate alarak çeşitli kullanım koşullarına uyum sağlama yeteneği);

kullanım kolaylığı - şifreleme gibi bazı yazılım araçları "şeffaf" (kullanıcı tarafından görülmez) modda çalışır, diğerleri ise kullanıcının (diğer programlara kıyasla) yeni becerilere sahip olmasını gerektirmez;

bilgi güvenliğine yönelik yeni tehditleri hesaba katmak için değişiklikler yaparak geliştirmeleri için neredeyse sınırsız olanaklar.

Bilgi güvenliği yazılımının dezavantajları şunları içerir:

koruma programlarının çalışması için gereken kaynakların tüketimi nedeniyle bilgisayar verimliliğinde azalma;

daha düşük performans (şifreleme gibi benzer donanım korumalarına kıyasla);

birçok güvenlik yazılımı aracının yerleştirilmesi (bilgisayar yazılımında yerleşik olarak bulunanlar yerine, Şekil 4 ve 5), bu da davetsiz misafirin bunları atlaması için temel bir olasılık yaratır;

bilgisayarın çalışması sırasında koruma yazılımının kötü niyetli olarak değiştirilmesi olasılığı.

Bilgileri yetkisiz erişimden korumaya yönelik özel yazılım araçları, genellikle yerleşik ağ işletim sistemi araçlarından daha iyi yeteneklere ve özelliklere sahiptir. Şifreleme programlarına ek olarak, birçok başka harici bilgi güvenliği aracı da mevcuttur. En sık bahsedilenlerden, bilgi akışlarını sınırlamaya izin veren aşağıdaki iki sisteme dikkat edilmelidir: - güvenlik duvarları (kelimenin tam anlamıyla güvenlik duvarı - bir güvenlik duvarı). Yerel ve küresel ağlar arasında, içinden geçen tüm ağ / taşıma katmanı trafiğini denetleyen ve filtreleyen özel ara sunucular oluşturulur. Bu, dışarıdan kurumsal ağlara yetkisiz erişim tehdidini önemli ölçüde azaltmanıza olanak tanır, ancak bu tehlikeyi tamamen ortadan kaldırmaz. Yöntemin daha güvenli bir varyasyonu, yerel ağdan giden tüm trafik güvenlik duvarı sunucusu adına gönderildiğinde, yerel ağı pratik olarak görünmez hale getiren maskeleme yöntemidir. sunucular (vekil - vekaletname, güvenilir kişi). Yerel ve küresel ağlar arasındaki tüm ağ/taşıma katmanı trafiği tamamen yasaktır - böyle bir yönlendirme yoktur ve yerel ağdan küresel ağa çağrılar özel aracı sunucular aracılığıyla gerçekleşir. Açıkçası, bu yöntemle küresel ağdan yerel ağa erişim prensipte imkansız hale geliyor. Bu yöntemin daha üst düzeylerdeki saldırılara karşı yeterli koruma sağlamadığı da açıktır - örneğin uygulama düzeyinde (virüsler, Java ve JavaScript kodu).

Güvenlik duvarının nasıl çalıştığına daha yakından bakalım. Donanım ve yazılım aracılığıyla ağa erişimi merkezileştirerek ve kontrol ederek bir ağı diğer sistemlerden ve ağlardan gelen güvenlik tehditlerinden koruma yöntemidir. Güvenlik duvarı, birkaç bileşenden oluşan bir güvenlik bariyeridir (örneğin, güvenlik duvarı yazılımını çalıştıran bir yönlendirici veya ağ geçidi). Güvenlik duvarı, kuruluşun dahili ağ erişim denetimi ilkesine göre yapılandırılır. Tüm gelen ve giden paketler, yalnızca yetkili paketlerin geçmesine izin veren bir güvenlik duvarından geçmelidir.

Paket filtreleme güvenlik duvarı, belirli türdeki gelen ve giden paketleri reddetmek üzere yapılandırılmış bir yönlendirici veya bilgisayar çalıştıran yazılımdır. Paket filtreleme, TCP ve IP paket başlıklarında (gönderen ve hedef adresleri, port numaraları vb.) bulunan bilgilere dayanır.

Uzman düzeyinde güvenlik duvarı - alınan paketlerin içeriğini OSI modelinin ağ, oturum ve uygulama olmak üzere üç düzeyinde kontrol eder. Bu görevi gerçekleştirmek için, her paketi bilinen bir yetkili paket modeliyle karşılaştırmak için özel paket filtreleme algoritmaları kullanılır.

Güvenlik duvarı oluşturmak, koruma sorununun çözülmesi anlamına gelir. Tarama probleminin resmi ifadesi aşağıdaki gibidir. İki grup bilgi sistemi olsun. Ekran, bir kümedeki istemcilerin başka bir kümedeki sunuculara erişimini sınırlandırmanın bir yoludur. Ekran, iki sistem grubu arasındaki tüm bilgi akışlarını kontrol ederek işlevlerini yerine getirir (Şekil 6). Akış kontrolü, muhtemelen bazı dönüşümlerle onları filtrelemekten ibarettir.

Erişim kontrol işlevlerine ek olarak, ekranlar bilgi alışverişini günlüğe kaydeder.

Genellikle ekran simetrik değildir, bunun için "iç" ve "dış" kavramları tanımlanır. Bu durumda, koruma görevi, iç alanı potansiyel olarak düşmanca bir dış alandan korumak olarak formüle edilir. Bu nedenle, güvenlik duvarları (ME) çoğunlukla İnternet erişimi olan bir kuruluşun kurumsal ağını korumak için kurulur.

Koruma, dış faaliyetlerin neden olduğu ek yükü azaltarak veya ortadan kaldırarak iç alandaki hizmetlerin kullanılabilirliğini korumaya yardımcı olur. Saldırganın öncelikle koruma mekanizmalarının özellikle dikkatli bir şekilde yapılandırıldığı ekrandan geçmesi gerektiğinden, iç güvenlik hizmetlerinin güvenlik açığı azaltılır. Ek olarak, ekranlama sistemi, evrensel olanın aksine, daha basit ve dolayısıyla daha güvenli bir şekilde düzenlenebilir.

Koruma ayrıca, kuruluşun IS'sindeki gizlilik rejiminin korunmasına yardımcı olan, dış alana yönlendirilen bilgi akışlarını kontrol etmeyi mümkün kılar.

Koruma, belirli bilgi hizmetlerini (örn. e-posta koruması) koruyarak kısmi olabilir.

Sınırlayıcı bir arayüz, bir tür kaçış olarak da düşünülebilir. Görünmez bir nesneye, özellikle sabit bir takım araçlarla saldırmak zordur. Bu anlamda, Web arayüzü, özellikle hiper metin belgeleri dinamik olarak oluşturulduğunda doğal olarak güvenlidir. Her kullanıcı yalnızca görmesi gerekeni görür. Dinamik olarak oluşturulmuş hipermetin belgeleri ile ilişkisel veritabanlarındaki temsiller arasında bir benzetme yapmak mümkündür, ancak Web durumunda olasılıkların çok daha geniş olduğu önemli bir uyarıdır.

Bir Web hizmetinin koruyucu rolü, bu hizmet, veritabanı tabloları gibi diğer kaynaklara erişirken aracı (daha doğrusu tümleştirme) işlevlerini yerine getirdiğinde de açıkça ortaya çıkar. Sadece isteklerin akışını kontrol etmekle kalmaz, aynı zamanda verilerin gerçek organizasyonunu da gizler.

Kullanıcılar, 64 KB'ye kadar hafızaya sahip bir Dokunmatik Hafıza tableti şeklindeki bireysel bir anahtarla tanımlanır ve kimlik doğrulama, 16 karaktere kadar bir şifre ile yapılır.

Bütünlük denetimi, kullanıcı programlarının ve dosyalarının ve özellikle işletim sistemi sistem dosyalarının bir saldırgan veya onun tarafından tanıtılan bir yazılım sekmesi tarafından değiştirilmediğinden emin olmak için tasarlanmıştır. Bunu yapmak için, her şeyden önce, işletim sistemi dosya sisteminin ayrıştırıcısı devreye girer: referans değerlerinin hesaplanması ve yükleme sırasındaki kontrolleri Sobol'da donanım düzeyinde gerçekleştirilir. Nesne bütünlüğü kontrol listesinin oluşturulması, prensipte önleyici programın bu listeyi değiştirmesine izin veren işletim sistemi yardımcı programı kullanılarak gerçekleştirilir ve sistemin genel güvenlik seviyesinin, en zayıf olanın güvenlik seviyesi tarafından belirlendiği iyi bilinir. bağlantı.

Şifreli disk, diğer dosyaları veya programları içerebilen bir kapsayıcı dosyasıdır (doğrudan bu şifreli dosyadan yüklenebilir ve çalıştırılabilirler). Bu disk, yalnızca kapsayıcı dosyası için parola girildikten sonra kullanılabilir - daha sonra bilgisayarda, sistem tarafından mantıksal olarak tanınan ve onunla çalışmanın başka herhangi bir diskle çalışmaktan farklı olmayan başka bir disk belirir. Sürücünün bağlantısını kestikten sonra mantıksal sürücü kaybolur, sadece "görünmez" hale gelir.

Bugüne kadar, şifreli diskler oluşturmak için en yaygın programlar DriveCrypt, BestCrypt ve PGPdisk'tir. Her biri uzaktan bilgisayar korsanlığına karşı güvenilir bir şekilde korunmaktadır.

Kriptografi, verilerin güvenliğini sağlama bilimidir. Etkileşimdeki katılımcıların gizliliği, kimlik doğrulaması, bütünlüğü ve kontrolü olmak üzere dört önemli güvenlik sorununa çözüm arıyor. Şifreleme, verilerin şifreleme-şifre çözme anahtarları kullanılarak okunamaz bir forma dönüştürülmesidir. Şifreleme, bilgileri amaçlamadığı kişilerden gizli tutarak gizliliği korumanıza olanak tanır.

Kriptografi, bilgiyi dönüştürmek için matematiksel yöntemlerin araştırılması ve incelenmesi ile ilgilenir.

Kriptografik yöntemleri kullanmanın ana yönleri, gizli bilgilerin iletişim kanalları (örneğin e-posta) aracılığıyla iletilmesi, iletilen mesajların doğrulanması, bilgilerin (belgeler, veritabanları) şifreli ortamda saklanmasıdır.

Virüsler bir makineye çeşitli şekillerde girebilir (küresel ağ aracılığıyla, virüslü bir disket veya flash sürücü aracılığıyla). Penetrasyonlarının sonuçları çok tatsız: dosyanın yok edilmesinden tüm bilgisayarın bozulmasına kadar. Yalnızca bir virüslü dosya, bilgisayardaki tüm bilgilere ve ardından tüm şirket ağına bulaşmak için yeterlidir.

Anti-virüs koruması için Dr.Web Enterprise Suite seçilmiştir. Bu paket, her boyuttaki kurumsal ağ için merkezi koruma sağlar. Kurumsal ağlar için Dr.Web teknolojilerine dayalı modern bir çözüm, kurumsal ölçekte anti-virüs korumasının merkezi yönetimi için yerleşik bir sisteme sahip benzersiz bir teknik komplekstir. Dr.Web Enterprise Suite, hem ağ içinde hem de uzak bir bilgisayarda (İnternet aracılığıyla) çalışan bir yöneticinin, kuruluşun anti-virüs korumasını yönetmek için gerekli yönetim görevlerini gerçekleştirmesine olanak tanır.

5 Kurumsal destek

Günlük işlerde güvenlik faktörlerinin hafife alınması, birçok kuruluşun Aşil topuğudur. Kötü belgelenmişlerse, diğer yazılımlarla çakışıyorlarsa ve sistem yöneticisi parolası kurulumdan bu yana değişmediyse, pahalı güvenlik araçları değersizdir.

Aşağıdaki günlük aktiviteler ayırt edilebilir:

kullanıcı desteği;

Yazılım desteği;

konfigürasyon yönetimi;

destek olmak;

medya yöneticisi;

belgeler;

düzenleyici çalışma.

Kullanıcı desteği, her şeyden önce, çeşitli sorunların çözümünde danışmanlık ve yardım anlamına gelir. Bazen kuruluşlar bu amaç için özel bir "yardım masası" oluşturur, ancak daha sıklıkla sistem yöneticisi kullanıcılarla savaşır. Bilgi güvenliği ile ilgili sorunların tespit edilebilmesi için soru akışında oldukça önemlidir. Bu nedenle, kişisel bilgisayarlarda çalışan kullanıcıların zorluklarının çoğu, virüs bulaşmasının bir sonucu olabilir. Tipik hatalarını belirlemek ve genel durumlar için öneriler içeren notlar vermek için kullanıcı sorularının kaydedilmesi tavsiye edilir.

Yazılım desteği, bilgilerin bütünlüğünü sağlamanın en önemli yollarından biridir. Her şeyden önce, bilgisayarlarda hangi yazılımların yüklü olduğunu takip etmeniz gerekir. Kullanıcılar programları kendi başlarına yüklerse, bu virüs bulaşmasına ve güvenlik önlemlerini atlayan yardımcı programların ortaya çıkmasına neden olabilir. Ayrıca, kullanıcıların "girişiminin" yavaş yavaş bilgisayarlarında kaosa yol açması ve sistem yöneticisinin durumu düzeltmesi gerekecek.

Yazılım desteğinin ikinci yönü, programlarda yetkisiz değişikliklerin olmaması ve bunlara erişim haklarının kontrolüdür. Bu aynı zamanda yazılım sistemlerinin referans kopyaları için desteği de içerir. Tipik olarak, kontrol, doğrulama ve bütünlük yardımcı programlarının kullanımının yanı sıra fiziksel ve mantıksal erişim kontrolünün bir kombinasyonu ile sağlanır.

Yapılandırma yönetimi, yazılım yapılandırmasında yapılan değişiklikleri kontrol etmenize ve yakalamanıza olanak tanır. Her şeyden önce, en azından önceki çalışan sürüme geri dönebilmek için, kazara veya kötü tasarlanmış değişikliklere karşı sigorta yapmak gerekir. Değişikliklerin yapılması, bir çökmeden sonra mevcut sürümün geri yüklenmesini kolaylaştıracaktır.

Rutin çalışmadaki hataları azaltmanın en iyi yolu, onu mümkün olduğunca otomatik hale getirmektir. Doğru, monoton görevler denizine baktıktan sonra, "Bunu hiçbir şey için yapmayacağım; benim için her şeyi yapacak bir program yazacağım" diyen "tembel" programcılar ve sistem yöneticileri. Otomasyon ve güvenlik birbirine bağlıdır; işini kolaylaştırmayı her şeyden önce önemseyen, aslında bilgi güvenliği rejimini en uygun şekilde oluşturur.

Afetlerden sonra programları ve verileri geri yüklemek için yedekleme gereklidir. Ve burada, en azından tam ve artımlı kopyalar oluşturmak için bir bilgisayar programı oluşturarak ve maksimum olarak uygun yazılım ürünlerini kullanarak işi otomatikleştirmeniz önerilir (bkz. örneğin, Jet Info, 2000, 12). Ayrıca kopyaların güvenli bir yere yerleştirilmesi, yetkisiz erişimden, yangından, sızıntıdan, yani hırsızlığa veya medyanın zarar görmesine neden olabilecek her şeyden korunacak şekilde düzenlenmesi de gereklidir. Yedeklerin birkaç kopyasına sahip olmanız ve bazılarını kuruluş dışında saklamanız, böylece büyük kazalara ve benzeri olaylara karşı koruma sağlamanız önerilir.

Zaman zaman, test amacıyla, kopyalardan bilgi kurtarma olasılığını kontrol etmelisiniz.

Disketler, teypler, çıktılar ve benzerleri için fiziksel koruma ve hesap verebilirlik sağlamak için medya yönetimi gereklidir. Medya yönetimi, bilgisayar sistemlerinin dışında saklanan bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamalıdır. Buradaki fiziksel koruma, yalnızca yetkisiz erişim girişimlerinin bir yansıması olarak değil, aynı zamanda zararlı çevresel etkilerden (sıcak, soğuk, nem, manyetizma) korunma olarak anlaşılmaktadır. Medya yönetimi, tedarikten hizmetten çıkarmaya kadar tüm yaşam döngüsünü kapsamalıdır.

Çözüm

Bu alandaki en önemli bilgi koruma önlemi, bilgi taşıyıcılarının kullanımının açık bir organizasyonu ve kontrolüdür.

İlerleme, insanlığa pek çok başarı sağladı, ancak aynı ilerleme birçok sorunu da beraberinde getirdi. İnsan zihni, bazı sorunları çözerken kaçınılmaz olarak başkalarıyla, yenileriyle karşılaşacaktır. Ebedi sorun bilginin korunmasıdır. Gelişiminin çeşitli aşamalarında, insanlık bu sorunu bu çağın doğasında bulunan özgüllükle çözdü. 20. yüzyılın ikinci yarısında bilgisayarın icadı ve bilgi teknolojisinin daha da hızlı gelişmesi, bilgi güvenliği sorununu, bilişimin günümüz toplumunun tamamı için geçerli olduğu kadar alakalı ve akut hale getirdi. Modern bilgi teknolojilerinin gelişimini karakterize eden ana eğilim, bilgisayar suçlarının sayısındaki artış ve bunlarla ilgili gizli ve diğer bilgilerin çalınması ve ayrıca maddi kayıplardır.

Bugün muhtemelen hiç kimse, bilgiye yetkisiz erişimle ilişkili bilgisayar suçlarından kaynaklanan toplam kayıpların tam rakamını kesin olarak söyleyemeyecektir. Bunun başlıca nedeni, etkilenen şirketlerin zararları hakkında bilgi ifşa etme isteksizliği ve bilgi hırsızlığından kaynaklanan kayıpları parasal olarak doğru bir şekilde değerlendirmenin her zaman mümkün olmamasıdır.

Bilgisayar suçlarının etkinleştirilmesi ve bunlarla ilişkili mali kayıplar için birçok neden vardır, bunlardan en önemlileri şunlardır:

geleneksel "kağıt" bilgi depolama ve iletme teknolojisinden elektronik ortama geçiş ve bu tür teknolojilerde bilgi koruma teknolojisinin yetersiz gelişimi;

bilgi işlem sistemlerinin birleştirilmesi, küresel ağların oluşturulması ve bilgi kaynaklarına erişimin genişletilmesi;

yazılım araçlarının karmaşıklığında artış ve buna bağlı olarak güvenilirliklerinde azalma ve güvenlik açıklarının sayısında artış.

Bilgisayar ağları, özellikleri nedeniyle, bilgi koruma sorunlarını göz ardı ederek normal şekilde çalışamaz ve gelişemez.

bibliyografik liste

Barmen S. Bilgi güvenliği kurallarının geliştirilmesi. - M.: Williams Yayınevi, 2002.

Bachilo I. L., Lopatin V. N., Fedotov M. A. Bilgi hukuku - St. Petersburg: Yayınevi "Yasal Merkez Basın", 2001.

Biyachuev T.A. Kurumsal ağların güvenliği. Ders kitabı / ed. L.G.Osovetsky - St. Petersburg: St. Petersburg Devlet Üniversitesi ITMO, 2004.

Siyah U. İnternet: güvenlik protokolleri. Eğitim Kursu. - St.Petersburg: Peter, 2001.

Bozhday A.S., Finogeev A.G. Ağ teknolojileri. Bölüm 1: Eğitim. Penza: PGU Yayınevi, 2005.

Modern dünyada "bilgi güvenliği politikası" kavramı hem geniş hem de dar anlamda yorumlanabilir. İlk, daha geniş anlamda ise, bir kuruluş tarafından alınan, resmi olarak belgelenen ve işletmenin güvenliğini sağlamayı amaçlayan karmaşık bir kararlar sistemini ifade eder. Dar anlamda bu kavram, güvenlik gerekliliklerini, alınan bir önlem sistemini, çalışanların sorumluluğunu ve bir kontrol mekanizmasını şart koşan yerel öneme sahip bir belgedir.

Kapsamlı bir bilgi güvenliği politikası, herhangi bir şirketin istikrarlı işleyişinin garantisidir. Kapsamlılığı, koruma derecesinin düşünceliliği ve dengesi ile herhangi bir ihlal durumunda doğru önlemlerin ve bir kontrol sisteminin geliştirilmesinde yatmaktadır.

Tüm kurumsal uygulamalar, güçlü bir bilgi güvenliği planının oluşturulmasında önemli bir rol oynar, çünkü bilginin yasa dışı kullanımı teknik sorunların değil, kötü niyetli eylemlerin, insan ihmalinin sonucudur. İyi bir sonuç elde etmek için, sisteme tüm yetkisiz izinsiz girişleri hariç tutması gereken, kurumsal, yasal ve teknik önlemlerin karmaşık bir etkileşimi gereklidir.

Bilgi güvenliği, şirketin sorunsuz çalışmasının ve istikrarlı gelişiminin garantisidir. Ancak, yüksek kaliteli bir koruma sistemi oluşturmak, aşağıdaki soruların cevaplarına dayanmalıdır:

Veri sistemi nedir ve hangi düzeyde koruma gerekli olacak?

Bilgi sisteminin işleyişini bozarak şirkete kimler zarar verebilir ve alınan bilgileri kimler kullanabilir?

Bu risk, kuruluşun sorunsuz işleyişini bozmadan nasıl en aza indirilebilir?

Bu nedenle bilgi güvenliği kavramı, belirli bir kuruluş için kişisel olarak ve çıkarlarına göre geliştirilmelidir. Niteliksel özelliklerindeki ana rol, aşağıdakileri içeren örgütsel önlemler tarafından oynanır:

Yerleşik bir erişim kontrol sisteminin organizasyonu. Bu, yetkisiz kişilerin şirket topraklarına gizli ve yetkisiz girişini ve ayrıca tesiste kalma ve ayrılma zamanını kontrol etmek için yapılır.

Çalışanlarla çalışın. Özü, personel ile etkileşimin organizasyonunda, personel seçiminde yatmaktadır. Onlarla tanışmak, bilgi ile çalışma kurallarını hazırlamak ve eğitmek de önemlidir, böylece çalışanlar gizliliğinin kapsamını bilir.

Bilgi güvenliği politikası ayrıca, toplama, toplama ve gizliliği artırmaya yönelik teknik araçların yapılandırılmış kullanımını da sağlar.

Personeli sınıflandırılmış bilgilerin kullanımı açısından kontrol etmeye yönelik çalışmalar yapmak ve korunmasını sağlayacak önlemler geliştirmek.

Böyle bir poliçenin uygulanmasının maliyeti, kaybının bir sonucu olarak alınacak olası zarar miktarını geçmemelidir.

Bilgi güvenliği politikası ve etkinliği büyük ölçüde şirket tarafından kendisine dayatılan ve risk derecesini istenen değere indirebilecek gereksinimlerin sayısına bağlıdır.

Bu konuda, kişisel deneyime ve ağdaki materyallere dayanarak ticari bir yapı için bilgi güvenliği alanında düzenleyici belgelerin geliştirilmesi için bir kılavuz derlemeye çalışacağım.

Burada soruların cevaplarını bulabilirsiniz:

• Bir bilgi güvenliği politikasına neden ihtiyaç duyulur?
• nasıl bestelenir;
• bu nasıl kullanılır.

Bilgi güvenliği politikasına duyulan ihtiyaç

Bu bölüm, bilgi güvenliği politikasını ve beraberindeki belgeleri, ders kitaplarının ve standartların güzel dilinde değil, kişisel deneyimlerden örnekler kullanarak uygulama ihtiyacını açıklamaktadır.

Bilgi güvenliği departmanının amaç ve hedeflerini anlamak

Her şeyden önce, politika, şirketin bilgi güvenliğinin amaç ve hedeflerini işletmeye iletmek için gereklidir. Bir işletme, bir güvenlik görevlisinin yalnızca veri sızıntılarını araştırmak için bir araç olmadığını, aynı zamanda şirket risklerini en aza indirmede ve dolayısıyla şirket karlılığını artırmada bir yardımcı olduğunu anlamalıdır.

Politika gereklilikleri, koruma önlemlerinin uygulanmasının temelidir

Bilgi güvenliği politikası, şirkette koruyucu önlemlerin alınmasını haklı çıkarmak için gereklidir. Politika, şirketin en üst yönetim organı (genel müdür, yönetim kurulu vb.)

Herhangi bir koruma, risk azaltma ve kullanıcı deneyimi arasında bir uzlaşmadır. Bir güvenlik görevlisi, bazı risklerin ortaya çıkması nedeniyle bir sürecin hiçbir şekilde olmaması gerektiğini söylediğinde, kendisine her zaman makul bir soru sorulur: “Nasıl olmalı?” Güvenlik görevlisinin, bu risklerin işletme için tatmin edici bir dereceye kadar azaltıldığı bir süreç modeli önermesi gerekir.

Aynı zamanda, kullanıcının şirketin bilgi sistemi ile etkileşimi ile ilgili herhangi bir koruyucu önlemin uygulanması, her zaman kullanıcıdan olumsuz bir tepkiye neden olur. Yeniden eğitilmek, kendileri için tasarlanmış talimatları okumak vb. istemiyorlar. Kullanıcılar genellikle makul sorular sorar:

• neden her zaman kullandığım basit şekilde değil de sizin icat ettiğiniz şemaya göre çalışayım?
• tüm bunları kim buldu

Uygulama, kullanıcının riskleri umursamadığını göstermiştir, ona bilgisayar korsanları, ceza kanunu vb. hakkında uzun süre ve sıkıcı bir şekilde açıklayabilirsiniz, bundan sinir hücrelerinin israfından başka hiçbir şey gelmeyecektir.
Şirketin bilgi güvenliği politikası varsa kısa ve öz bir cevap verebilirsiniz:

bu önlem, şirketin en üst yönetim organı tarafından onaylanan şirketin bilgi güvenliği politikasının gerekliliklerine uymak için getirildi.

Kural olarak, çoğu kullanıcının enerjisi boşa çıktıktan sonra. Geri kalanı, şirketin bu en yüksek idari organına bir not yazmak için teklif edilebilir. Burada kalanlar elenir. Çünkü not oraya gitse bile alınan önlemlerin gerekliliğini liderliğe her zaman kanıtlayabiliriz. Ekmeğimizi boşuna yemiyoruz değil mi? Bir politika geliştirirken akılda tutulması gereken iki şey vardır.

• Bilgi güvenliği politikasının hedef kitlesi, karmaşık teknik ifadeleri anlamayan ancak politika hükümlerine aşina olması gereken son kullanıcılar ve şirket üst yönetimidir.
• Bu belgeye mümkün olan her şeyi dahil etmek için düşünülemez olanı zorlamaya çalışmanıza gerek yok! Yalnızca IB hedefleri, bunlara ulaşmak için yöntemler ve sorumluluk olmalıdır! Özel bilgi gerektiriyorsa teknik ayrıntı yoktur. Bunların hepsi talimatlar ve düzenlemeler için malzemelerdir.

Nihai belge aşağıdaki gereksinimleri karşılamalıdır:

• özlülük - belgenin büyük bir hacmi herhangi bir kullanıcıyı korkutacak, hiç kimse belgenizi okuyamayacak (ve şu ifadeyi birden fazla kullanacaksınız: “bu, size tanıtılan bilgi güvenliği politikasının ihlalidir”)
• basit bir meslekten olmayan kişiye erişilebilirlik - son kullanıcı politikada NE yazıldığını anlamalıdır ("günlük tutma", "ihlal modeli", "bilgi güvenliği olayı", "bilgi altyapısı", "teknolojik" kelimelerini ve ifadelerini asla okumaz ve hatırlamaz ”, “antropojenik”, “risk faktörü” vb.)

Buna nasıl ulaşılır?

Aslında, her şey çok basit: bilgi güvenliği politikası birinci seviye bir belge olmalı, zaten belirli bir şeyi açıklayacak olan diğer belgelerle (yönetmelikler ve talimatlar) genişletilmeli ve desteklenmelidir.
Devletle bir benzetme yapmak mümkündür: Birinci düzey belge anayasadır ve devlette var olan doktrinler, kavramlar, yasalar ve diğer normatif eylemler sadece onun hükümlerinin uygulanmasını tamamlar ve düzenler. Şekilde örnek bir şema gösterilmektedir.

Bir tabağa yulaf lapası bulaştırmamak için, internette bulunabilecek bilgi güvenliği politikaları örneklerine bakalım.

	Kullanılabilir sayfa sayısı*	Yüklenen terimler	Genel Değerlendirme
OJSC "Gazprombank"	11	Çok yüksek
JSC “Girişimcilik Geliştirme Fonu “Damu”	14	yüksek	Düşünceli okuma için karmaşık bir belge, meslekten olmayan kişi okumaz ve okursa anlamaz ve hatırlamaz
JSC NC KazMunayGas	3	Düşük	Teknik terimlerle aşırı yüklenmemiş, anlaşılması kolay bir belge
JSC "Akademisyen A. L. Mints adını taşıyan Radyoteknik Enstitüsü"	42	Çok yüksek	Düşünceli okuma için zor belge, meslekten olmayan kişi okumaz - çok fazla sayfa

* Faydalı İçindekiler, başlık sayfası ve belirli bilgiler içermeyen diğer sayfaları olmayan sayfa sayısını ararım.

Özet

Bilgi güvenliği politikası birkaç sayfaya sığmalı, ortalama bir kişi için kolay anlaşılır olmalı, genel olarak bilgi güvenliğinin amaçlarını, bunları gerçekleştirme yöntemlerini ve çalışanların sorumluluklarını tanımlamalıdır.

Bilgi güvenliği politikasının uygulanması ve kullanılması

IS politikası onaylandıktan sonra şunlar gereklidir:

• mevcut tüm çalışanları politikaya alıştırmak;
• tüm yeni çalışanları politikaya alıştırmak (bunun nasıl yapılacağı ayrı bir tartışma konusudur, yeni başlayanlar için açıklamalarla konuştuğum bir giriş kursumuz var);
• riskleri belirlemek ve en aza indirmek için mevcut iş süreçlerini analiz etmek;
• trenin peşinden koşmamak için yeni iş süreçlerinin oluşturulmasında yer almak;
• Politikayı tamamlayan düzenlemeler, prosedürler, talimatlar ve diğer belgeler (İnternete erişim sağlama talimatları, sınırlı erişime sahip odalara erişim sağlama talimatları, şirket bilgi sistemleriyle çalışma talimatları vb.) geliştirmek;
• IS politikasını ve diğer IS belgelerini güncellemek için en az üç ayda bir gözden geçirin.

Soru ve önerileriniz için yorumlara ve PM'ye hoş geldiniz.

Soru %username%

Siyasete gelince, basit kelimelerle istediklerimi yetkililer beğenmiyor. Bana diyorlar ki: “Ben ve sizin ve her şeyi bilen ve anlayan 10 BT çalışanının yanı sıra, bundan hiçbir şey anlamayan 2 yüz kişi var, yarısı emekli.”
Örneğin, anti-virüs koruma kuralları gibi orta kısalıktaki açıklamaların yolunu izledim ve aşağıda bir anti-virüs koruma politikası varmış gibi yazıyorum. Ancak kullanıcının poliçeyi imzalayıp imzalamadığını anlamıyorum, ancak yine bir sürü başka belge okuması gerekiyor, poliçeyi azaltmış gibi görünüyor, ancak öyle görünmüyor.

Burada süreç analizi yolunu izlerdim.
Anti-virüs koruması diyelim. Mantıken böyle olmalı.

Virüsler bizim için ne gibi riskler taşır? Bilgi bütünlüğünün (hasarının) ihlali, bilgilerin kullanılabilirliğinin (sunucuların veya bilgisayarların kapalı kalma süresi) ihlali. Doğru ağ organizasyonu ile, kullanıcının sistemde yerel yönetici haklarına sahip olmaması, yani sisteme yazılım (ve dolayısıyla virüs) yükleme haklarına sahip olmaması gerekir. Böylece emekliler düşüyor, çünkü burada iş yapmıyorlar.

Virüslerle ilişkili riskleri kim azaltabilir? Etki alanı yönetici haklarına sahip kullanıcılar. Etki alanı yöneticisi - BT departmanlarının vb. çalışanlarına verilen hassas bir rol. Buna göre, antivirüs yüklemeleri gerekir. Anti-virüs sisteminin etkinliğinden de sorumlu oldukları ortaya çıktı. Buna göre, anti-virüs korumasının organizasyonuna ilişkin talimatı imzalamaları gerekir. Aslında bu sorumluluk talimatlarda belirtilmelidir. Örneğin güvenlik görevlisi kuralları, adminler yürütür.

Soru %username%

O zaman soru şu ki, virüslerin yaratılması ve kullanılmasının sorumluluğu Anti-virüs SI'nin talimatlarına dahil edilmemelidir (veya bir makale var mı ve bundan bahsedemezsiniz)? Veya bir virüsü veya garip bir bilgisayar davranışını Yardım Masasına veya BT personeline bildirmeleri gerektiğini mi?

Yine, risk yönetimi açısından bakardım. GOST 18044-2007, tabiri caizse kokuyor.
Sizin durumunuzda, "garip davranış" mutlaka bir virüs değildir. Sistem freni veya gp vb. olabilir. Buna göre bu bir olay değil, bilgi güvenliği olayıdır. Yine GOST'a göre, herhangi bir kişi bir olay bildirebilir, ancak olayı anlamak ya da değil, sadece analizden sonra mümkündür.

Dolayısıyla bu sorunuz artık bilgi güvenliği politikasına değil, olay yönetimine dönüşüyor. Politikanızda belirtilmelidir ki şirketin bir olay işleme sistemine sahip olması gerekir.

Yani, görebileceğiniz gibi, politikanın idari yürütülmesi esas olarak yöneticilere ve güvenlik görevlilerine atanır. Kullanıcılar özel kalır.

Bu nedenle, kullanıcıların sorumluluklarını belirtmeniz gereken bir tür "Şirkette TCMB kullanımı için prosedür" hazırlamanız gerekir. Bu belge, bilgi güvenliği politikası ile ilişkili olmalı ve tabiri caizse kullanıcı için bir açıklama olmalıdır.

Bu belgede, kullanıcının anormal bilgisayar etkinliği hakkında yetkili makama bildirimde bulunmak zorunda olduğunu belirtebilirsiniz. Peki, oradaki diğer her şeyi özel olarak ekleyebilirsiniz.

Toplamda, kullanıcıyı iki belgeye alıştırmanız gerekir:

• bilgi güvenliği politikası (ne yapıldığını ve neden yapıldığını anlaması, tekneyi sallamaması, yeni kontrol sistemlerini devreye sokarken küfür etmemesi vb.)
• bu "Şirkette TCMB kullanım prosedürü" (böylece belirli durumlarda tam olarak ne yapacağını anlar)

Buna göre, yeni bir sistemi tanıtırken, "Sipariş" e bir şey ekleyin ve siparişi e-posta ile göndererek (veya varsa EDMS aracılığıyla) çalışanlara bildirin.

Etiketler:

• Bilgi Güvenliği
• Risklerin yönetimi
• Güvenlik Politikası

Etiket ekle

İşletmenin bilgi güvenliğinin idari düzeyini, yani kuruluşun yönetimi tarafından alınan önlemleri göz önünde bulundurun. Yönetim düzeyindeki tüm faaliyetlerin merkezinde, genellikle kurumsal bilgi güvenliği politikası olarak adlandırılan bir belge bulunur. Altında bilgi güvenliği politikası bilgi kaynaklarını korumayı amaçlayan bir dizi belgelenmiş yönetim kararına ve geliştirilmiş önleyici tedbirlere atıfta bulunur.

Bir bilgi güvenliği politikasının geliştirilmesi hiçbir şekilde önemsiz bir konu değildir. Diğer tüm bilgi güvenliği düzeylerinin - prosedürel, yazılım ve donanım - etkinliği, ayrıntılandırılmasının eksiksizliğine bağlı olacaktır. Bu belgeyi geliştirmenin karmaşıklığı, güvenlik politikası belirli bir işletmenin üretim kaynaklarına ve işlevsel bağımlılıklarına dayandığından, başka birinin deneyiminin sorunlu kullanımıyla belirlenir.

Bu bağlamda, kuruluşun bilgi güvenliği politikasını karakterize eden belgeye aşağıdaki maddelerin dahil edilmesi tavsiye edilir:

• - giriş bilgi güvenliği konularında üst yönetimin ilgisini teyit etmek;
• - örgütsel bilgi güvenliği alanındaki çalışmalardan sorumlu departmanların, komisyonların, grupların vb. tanımını içeren;
• - sınıflandırma kuruluşta mevcut olan materyal ve bilgi kaynaklarını ve bunların gerekli koruma düzeyini tanımlamak;
• - tam zamanlı personele uygulanan güvenlik önlemlerinin karakterize edilmesi (bilgi güvenliği, eğitim organizasyonu, rejim ihlallerine müdahale prosedürü vb. açısından pozisyonların tanımı);
• - fiziksel koruma bölümü bilgi;
• - kontrol bölümü bilgisayarları ve veri ağlarını yönetmeye yönelik bir yaklaşımı açıklayarak;
• - erişim kontrol kurallarını açıklayan bölümüretim bilgilerine;
• - sistemlerin nasıl geliştirileceğini ve uygulanacağını açıklayan bölüm;
• - bölüm kuruluşun sürekli çalışmasını sağlamaya yönelik önlemleri açıklayan (bilgi kullanılabilirliği);
• - yasal Bölüm, bilgi güvenliği politikasının mevcut mevzuata uygunluğunu teyit etmek.

Politika geliştirme bir risk analizi ile başlamalıdır. Risk analizi iki ana adımdan oluşur: envanter Ve bilgi kaynaklarının sınıflandırılması.

Envanter bilgi kaynakları, gerekli koruma derecesinin belirlenmesinde, güvenliğin kontrol edilmesinde yardımcı olacak ve iş sağlığı ve güvenliği, sigorta, finans gibi diğer alanlarda da faydalı olacaktır. Olarak Kaynaklar bilgi teknolojisi ile ilgili olabilir:

• - bilgi kaynakları: dosya depoları, veritabanları, belgeler, öğreticiler, prosedür düzeyinde belgeler (talimatlar, vb.);
• - yazılım kaynakları: uygulama ve sistem yazılımı, yardımcı programlar vb.;
• - fiziksel kaynaklar: bilgi işlem ve iletişim ekipmanı, veri taşıyıcılar (bantlar ve diskler), diğer teknik ekipman (güç kaynakları, klimalar), mobilyalar, binalar;
• - Hizmetler:ısıtma, aydınlatma, güç kaynağı, klima;
• - insan kaynakları.

Envanterden sonra kaynaklar sınıflandırılır. Her kaynağın değeri genellikle birkaç ayrık değişkenin bir fonksiyonu olarak sunulur.

Bilgi kaynağı sınıflandırmasına bir örnek verelim. Ana değişken olarak, bilgilerin gizlilik derecesi genellikle aşağıdaki değerlerle seçilir:

• - devlet sırlarını içeren bilgiler;
• - ticari sırlar içeren bilgiler;
• - gizli bilgiler (tanıtım istenmese de ticari veya devlet sırrı olmayan bilgiler);
• - ücretsiz bilgi.

Bir sonraki değişken olarak, şu veya bu kaynağın bilgi güvenliğinin üç ana yönünün ihlaliyle ilişkisi seçilebilir. Örneğin, bir şirketin çalışan telefon veritabanı, kullanılabilirlik için 81, gizlilik için 2 ve bütünlük için 4 olarak derecelendirilebilir.

Ardından risk analizi gelir. Bilgi kaynaklarının her biri için bütünleyici değeri ve olası tehditler belirlenir. Tehditlerin her biri, belirli bir kaynağa uygulanabilirliği, gerçekleşme olasılığı ve olası hasar açısından değerlendirilir. Bu analizin sonuçlarına göre bilgi güvenliği politikasının bir sınıflandırma bölümü derlenir.

Personel bölümü, insan hatası, hırsızlık, dolandırıcılık veya kaynakların kötüye kullanılması riskini azaltmayı amaçlar. Gelecekte bu bölüm, kullanıcılar için iş tanımlarını ve bilgi güvenliği departmanları ve hizmetleri için rehberlik belgelerini derlemek için kullanılır. Belge aşağıdaki bölümleri içermelidir:

• - işe alınan personeli kontrol etme kuralları (kabul için başvuru kuralları, gerekli belgeler, özgeçmiş formu, tavsiyeler vb. içerir. Ek olarak, çeşitli kategorilerdeki çalışanlarla görüşme ihtiyacı, şekli ve prosedürü belirlenir. Çeşitli ifşa etmeme yükümlülükleri de açıklanır. burada);
• - kullanıcıların bilgi kaynaklarıyla ilgili görev ve hakları (kullanıcıların işyerlerini sürdürme görevleri ve bilgi kaynaklarıyla çalışırken);
• - kullanıcı eğitimi ve bilgi kaynaklarıyla çalışma prosedürü (çeşitli çalışan kategorileri için gerekli bilgi, bilgi kaynaklarının kullanımına ilişkin bilgilendirme sıklığı ve prosedürü. Kullanıcılar, tüm prosedürel konular hakkında net bir bilgiye sahip olmalıdır (tanımlama) sistem, şifre değişikliği, anti-virüs veritabanlarının güncellenmesi, yazılım paketleriyle çalışma vb.) Ayrıca, bir kullanıcının bilgi kaynaklarına bağlanma prosedürü açıklanır (gerekli belgeler, koordinasyon kişi ve departmanlar));
• - yöneticilerin hak ve yükümlülükleri (sistemin normal çalışması için bilgi güvenliği yöneticilerinin yeterli haklara sahip olması gerekir. Virüsün taşıyıcısı olan iş istasyonunun ağ veya bilgi kaynağından kopması teknolojik bir ihlal değil zorunluluktur. işlem);
• - bilgi güvenliğine tehdit oluşturan olaylara yanıt verme prosedürü (sistemin güvenliğine yönelik tehditlere zamanında yanıt vermek için, bu tür sistemlerin bildirilmesi ve bunlara yanıt verilmesine yönelik resmi prosedürler açıkça tanımlanmalıdır. güvenlik sistemindeki olaylar ve zayıflıklar, donanım ve yazılım arızaları (Donanım arızalarının belirtilerini düzeltme yöntemleri belirlenmeli ve kullanıcılara iletilmelidir);
• - ceza verme prosedürü (işletmede oluşturulan bilgi güvenliği kurallarının ihlali için ceza verme prosedürünün bir tanımını içerir. Cezai tedbirler ve sorumluluk derecesi belgelenmelidir).

Tesisin türüne bağlı olarak, fiziksel koruma önlemleri büyük ölçüde değişebilir. Her işletme için risk analizine dayanarak, bina türlerini ve onlar için gerekli güvenlik önlemlerini kesin olarak tanımlamak gerekir. Güvenlik önlemleri arasında ızgaralar, kilitler, tesislere giriş prosedürü, elektromanyetik koruma ekipmanı vb. Ayrıca, masaüstünü kullanma kuralları ve malzemelerin (çeşitli manyetik ortamlar, kağıt belgeler, birimler) elden çıkarılması için yöntemler, yazılım ve donanımın kuruluş dışına çıkarılması için kurallar oluşturulması gerekir.

Bilgisayarları ve veri iletim ağlarını yönetme yaklaşımlarını ve sistemleri geliştirme ve uygulama prosedürünü tanımlayan yönetim bölümleri, verileri işlemek için standart işletim prosedürlerini gerçekleştirme prosedürünü, sistemleri faaliyete geçirme (sistemlerin kabulü) ve çalışmalarını denetleme kurallarını açıklar. . Ek olarak, bu bölüm, işletmeyi kötü amaçlı yazılımlardan koruma prosedürünü (özellikle anti-virüs sisteminin çalışmasına ilişkin kuralları) belirtir. Sistem sağlığı denetimi ve yedekleme prosedürleri tanımlanır. İşletmede çalışmasına izin verilen standart yazılımı açıklar. Ayrıca işletmede faaliyet gösteren e-posta güvenlik sistemleri, elektronik dijital imza sistemleri ve diğer kriptografik ve kimlik doğrulama sistemlerini de açıklar. Bu önemlidir, çünkü bölgedeki Rus mevzuatı bu konuda katıdır.

Sistemlere erişim hakları belgelenmelidir ve bunları verme prosedürü düzenleyici belgeler tarafından belirlenir. Erişim haklarının verilmesi için başvuruları koordine eden pozisyonlar ile hakların dağıtılmasından sorumlu olanlar belirtilmelidir. Ayrıca bilgi güvenliği konusunda ciddi gereksinimleri olan kuruluşlarda, sistemlere erişim haklarının kontrol edilmesi prosedürü ve bunu gerçekleştiren kişiler belirlenir. Aynı bölüm, kullanıcı şifrelerinin kurallarını (politikasını) açıklar.

Bu nedenle, bir işletmenin bilgi güvenliği politikası, güvenlik sisteminin temel aldığı bir belgedir. Buna karşılık, politika risk analizine dayanmaktadır ve analiz ne kadar eksiksiz olursa, belge o kadar etkili olacaktır. Malzeme tabanı ve insan kaynakları dahil olmak üzere tüm ana kaynaklar analiz edilir. Güvenlik politikası, işletmenin özelliklerine ve devletin yasal çerçevesine uygun olarak oluşturulmuştur.

Bilgi Güvenliği Politikası (Örnek)

Politika Özeti

Bilgi, biçimine ve nasıl dağıtıldığına, aktarıldığına ve saklandığına bakılmaksızın her zaman korunmalıdır.

Tanıtım

Bilgi birçok farklı biçimde var olabilir. Basılı veya kağıda yazılabilir, elektronik olarak saklanabilir, posta veya elektronik cihazlar kullanılarak iletilebilir, bantlarda gösterilebilir veya iletişim sırasında sözlü olarak iletilebilir.

Bilgi güvenliği, iş sürekliliğini sağlamak, iş riskini en aza indirmek ve yatırım getirisini en üst düzeye çıkarmak ve iş fırsatlarını sağlamak için tasarlanmış bilgilerin çeşitli tehditlerden korunmasıdır.

Kapsam

Bu politika, kuruluşun genel güvenlik politikasını güçlendirir.
Bu politika kuruluşun tüm çalışanları için geçerlidir.

Bilgi Güvenliği Hedefleri

1. Kuruluş tarafından kabul edilebilir olmaları için stratejik ve operasyonel bilgi güvenliği risklerini anlamak ve ele almak.

2. Müşteri bilgilerinin, ürün geliştirmelerinin ve pazarlama planlarının gizliliğinin korunması.

3. Muhasebe materyallerinin bütünlüğünün korunması.

4. Paylaşılan web servislerinin ve intranetlerin ilgili erişilebilirlik standartlarına uygunluğu.

Bilgi güvenliği ilkeleri

1. Bu kuruluş, risklerin anlaşılması, izlenmesi ve gerektiğinde bilgi için işlenmesi şartıyla, muhafazakar yönetime sahip kuruluşların üstesinden gelemeyecekleri risklerin kabul edilmesini teşvik eder ve üstesinden gelir. Riskleri değerlendirmek ve tedavi etmek için kullanılan yaklaşımların ayrıntılı bir açıklaması, BGYS politikasında bulunabilir.

2. Tüm personel, iş sorumlulukları ile ilgili olarak bilgi güvenliği konusunda bilgili ve sorumlu olmalıdır.

3. Bilgi güvenliği kontrolleri ve proje yönetimi süreçlerinin finanse edilmesi için çaba gösterilmelidir.

4. Bilgi sistemlerindeki dolandırıcılık ve suistimal potansiyeli, bilgi sistemlerinin genel yönetiminde dikkate alınmalıdır.

5. Bilgi güvenliğinin durumuna ilişkin raporlar mevcut olmalıdır.

6. Bilgi güvenliği risklerini izleyin ve değişiklikler beklenmeyen riskler ortaya çıkardığında harekete geçin.

7. Risk sınıflandırması ve risk kabul edilebilirliği kriterleri BGYS politikasında bulunabilir.

8. Kurumun yasaları ve yerleşik normları ihlal etmesine yol açabilecek durumlara izin verilmemelidir.

Sorumluluk bölgeleri

1. Kıdemli Eşit Liderlik Grubu, bilgilerin kuruluş genelinde uygun şekilde işlenmesini sağlamaktan sorumludur.

2. Her üst düzey yönetici, kendi denetimi altında çalışan çalışanların bilgi güvenliğini kuruluşun standartlarına uygun olarak sağlamasını sağlamakla yükümlüdür.

3. Güvenlik departmanı başkanı, üst yönetim ekibine tavsiyelerde bulunur, kuruluş çalışanlarına uzman yardımı sağlar ve bilgi güvenliği durum raporlarının hazır olmasını sağlar.

4. Kuruluştaki herkes, iş sorumluluklarının bir parçası olarak bilgi güvenliğinden sorumludur.

Önemli bulgular

1. Bilgi güvenliği olayları, büyük beklenmedik maliyetlere veya hizmetlerde ve iş operasyonlarında büyük kesintilere neden olmamalıdır.

2. Dolandırıcılıktan kaynaklanan kayıplar bilinmelidir ve kabul edilebilir sınırlar içinde olmalıdır.

3. Bilgi güvenliği sorunları, müşterilerin ürün ve hizmetleri kabulünü olumsuz etkilememelidir.

İlgili Politikalar

Aşağıdaki ayrıntılı politikalar, bilgi güvenliğinin belirli yönleri için ilkeleri ve önerileri içerir:

1. Bilgi güvenliği yönetim sistemi (BGYS) politikası;

2. Erişim kontrol politikası;

3. Temiz masa ve temiz ekran politikası;

4. Yetkisiz yazılım politikası;

5. Yazılım dosyalarının harici ağlardan veya bunlar aracılığıyla alınmasına ilişkin politika;

6. Mobil kod politikası;

7. Yedekleme politikası;

8. Kuruluşlar arasında bilgi alışverişine ilişkin politika;

9. Elektronik iletişim araçlarının kabul edilebilir kullanımına ilişkin politika;

10. Kayıt tutma politikası;

11. Ağ hizmetlerinin kullanımına ilişkin politika;

12. Mobil bilgi işlem ve iletişimle ilgili politikalar;

13. Uzaktan çalışma politikası;

14. Kriptografik kontrolün kullanımına ilişkin politika;

15. Uyum politikası;

16. Yazılım Lisanslama Politikası;

17. Yazılım Kaldırma Politikası;

18. Veri koruma ve gizlilik politikası.

Tüm bu politikalar şunları güçlendirir:

· Sistem tasarımı ve uygulamasındaki eksiklikleri tespit etmek için kullanılabilecek bir kontrol çerçevesi sağlayarak riskin belirlenmesi;

· Belirli güvenlik açıkları ve tehditlere yönelik tedavilerin belirlenmesine yardımcı olarak risk tedavisi.

Şirket bilgi güvenliği politikası

· 1. Genel Hükümler

o 1.1. Bu Politikanın amacı ve amacı

o 1.2. Bu Politikanın Kapsamı

o 2.1. Bilgi Varlıkları Sorumluluğu

o 2.2. Bilgi sistemlerine erişim kontrolü

§ 2.2.1. Genel Hükümler

§ 2.2.2. Şirketin sistemlerine üçüncü taraf erişimi

§ 2.2.3. Uzaktan erişim

§ 2.2.4. internet girişi

o 2.3. Ekipman koruması

§ 2.3.1. Donanım

§ 2.3.2. Yazılım

o 2.5. Bilgi güvenliği olay raporlama, müdahale ve raporlama

o 2.6. Teknik bilgi güvenliği araçlarına sahip tesisler

o 2.7. Ağ yönetimi

o 2.7.1. Veri koruma ve güvenlik

o 2.8. Sistem Geliştirme ve Değişim Yönetimi

Genel Hükümler

Bilgi, YOUR_COPANIA (bundan böyle Şirket olarak anılacaktır) için değerli ve hayati bir kaynaktır. Bu bilgi güvenliği politikası, varlıkların kazara veya kasıtlı olarak değiştirilmesinden, ifşa edilmesinden veya yok edilmesinden korunmasının yanı sıra bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak, otomatik veri işleme sürecini sağlamak için gerekli önlemlerin alınmasını sağlar. şirket.

Şirket'in her çalışanı bilgi güvenliğine uyumdan sorumludur ve birincil görevi Şirket'in tüm varlıklarının güvenliğini sağlamaktır. Bu, bilgilerin Şirketin diğer önemli varlıklarından daha az güvenilir bir şekilde korunması gerektiği anlamına gelir. Çalışanların görevlerini yerine getirmeleri için ihtiyaç duydukları bilgileri zamanında ve eksiksiz olarak sağlamadan Şirketin ana hedeflerine ulaşılamaz.

Bu Politikada, "çalışan" terimi, Şirketin tüm çalışanlarını ifade eder. Bu Politikanın hükümleri, böyle bir sözleşmede öngörüldüğü takdirde, geçici olanlar da dahil olmak üzere medeni hukuk sözleşmeleri kapsamında Şirkette çalışan kişiler için geçerlidir.