Szi türleri. Bilgi koruma türlerinin, yöntemlerinin ve araçlarının sınıflandırılması. Yazılım koruma yöntemleri

Bilgi koruma sorununu çözmek için, koruma mekanizmaları oluşturmak için kullanılan ana araçların şunlar olduğu düşünülmektedir:

• 1. Teknik araçlar, elektrikli, elektromekanik, elektronik cihazlar şeklinde gerçekleştirilir. Tüm teknik araçlar seti genellikle aşağıdakilere ayrılır:
  • - donanım - doğrudan donanıma yerleşik cihazlar veya standart bir arayüz aracılığıyla POD ekipmanı ile arayüz oluşturan cihazlar (eşlik bilgisi kontrol şemaları, anahtarla bellek alanı koruma şemaları, özel kayıtlar);
  • - fiziksel - otonom cihazlar ve sistemler (elektronik ve mekanik güvenlik alarm ve gözetim ekipmanları, kapılardaki kilitler, pencerelerdeki parmaklıklar) şeklinde uygulanır.
• 2. Yazılım - bilgi güvenliği ile ilgili işlevleri gerçekleştirmek için özel olarak tasarlanmış programlar.

Bilgi koruma kavramının geliştirilmesi sırasında uzmanlar, yukarıda belirtilen koruma yöntemlerinden herhangi birinin kullanılmasının bilgilerin güvenilir bir şekilde saklanmasını sağlamadığı sonucuna varmıştır. Bilgi korumanın tüm araç ve yöntemlerinin kullanımı ve geliştirilmesine yönelik entegre bir yaklaşım gereklidir (Şekil 1).

Pirinç. 1.

Sonuç olarak, aşağıdaki bilgi koruma yöntemleri oluşturulmuştur:

• 1. İzin vermek- bir davetsiz misafirin korunan bilgilere giden yolunu fiziksel olarak engeller (ekipman, depolama ortamı ile bölgeye ve tesislere).
• 2. Giriş kontrolu- tüm sistem kaynaklarının (donanım, yazılım, veri öğeleri) kullanımını düzenleyerek bilgileri koruma yöntemi.
• 3. bilgi kodlama- ODS'deki bilgileri kriptografik olarak kapatarak korumanın bir yolu. Uzun mesafeli iletişim hatları üzerinden bilgi aktarırken, onu güvenilir bir şekilde korumanın tek yolu kriptografik kapatmadır.
• 4. Düzenleme- ODS'de korunan bilgilerin otomatik olarak işlenmesi ve depolanması için bu koşulları yaratan önlem komplekslerinin ODS'nin işletilmesi sürecinde geliştirilmesi ve uygulanmasından oluşur, burada yetkisiz erişim olasılığının azaltılacağı ODS en az.
• 5. Mecburiyet- ODS kullanıcıları ve personeli, maddi, idari veya cezai sorumluluk tehdidi altında korunan bilgilerin işlenmesi ve kullanılmasına ilişkin kurallara uymak zorundadır.

Dikkate alınan bilgi koruma yöntemleri, çeşitli koruma araçları kullanılarak uygulanır ve teknik, yazılım, organizasyonel, yasal ve ahlaki ve etik araçlar arasında ayrım yapar.

organizasyonel koruma araçları, bilgilerin korunmasını sağlamak için ODS'nin oluşturulması ve işletilmesi sürecinde gerçekleştirilen organizasyonel ve yasal önlemlerdir. Organizasyonel önlemler, tüm aşamalarda ODS'nin tüm yapısal unsurlarını kapsar: binaların inşası, sistem tasarımı, ekipmanın kurulumu ve devreye alınması, test ve muayene, işletme.

İLE yasamaçareler, sınırlı erişime sahip bilgilerin kullanımı ve işlenmesine ilişkin kuralları düzenleyen ve bu kuralların ihlali için sorumluluk tedbirleri oluşturan ülkenin yasal düzenlemelerini içerir.

İLE ahlaki ve etik koruma araçları, geleneksel olarak geliştirilen veya belirli bir ülkede veya toplumda bilgi işlem olanaklarının yayılması olarak şekillenen her türlü normu içerir. Bu normlar, yasal önlemler gibi çoğunlukla zorunlu değildir, ancak bunlara uyulmaması genellikle bir kişinin veya bir grup kişinin otorite, prestij kaybına yol açar.

Dikkate alınan tüm koruma araçları aşağıdakilere ayrılır:

• 1. Resmi- koruyucu işlevleri kesinlikle önceden belirlenmiş bir prosedüre göre ve doğrudan insan katılımı olmadan yerine getirmek.
• 2. gayri resmi- insanların amaçlı faaliyetleri tarafından belirlenen veya bu faaliyeti düzenleyen bu tür araçlar.

BT'de eğitim süreci

"Bilgi Güvenliğinin Temelleri"nin ilk bölümünde Fr. Bilgiyi koruma araçlarını seçmeye başlamamız için, bilgi kavramına neyin atfedilebileceğini daha ayrıntılı olarak ele almak gerekir.

Bilgi ve sınıflandırılması

"Bilgi"nin birçok tanımı ve sınıflandırması vardır. En kısa ve aynı zamanda geniş tanım 27 Temmuz 2006 tarihli federal yasada verilmiştir. 149-FZ(29 Temmuz 2017'de değiştirildiği şekliyle), madde 2: Bilgi, sunum biçiminden bağımsız olarak bilgidir (mesajlar, veriler).

Bilgi birkaç türe ayrılabilir ve erişim kategorisine bağlı olarak alt bölümlere ayrılır. halka açık bilgiler, erişimin sınırlı olduğu bilgilerin yanı sıra - gizli veriler ve devlet sırları.

Sağlanması veya dağıtılması prosedürüne bağlı olarak bilgi, bilgilere bölünür:

1. Serbestçe yeniden dağıtılabilir
2. Kişilerin mutabakatı ile sağlanır ilgili ilişkide yer alan
3. Hangi federal yasalara göre kullanılabilir hale getirilecek veya dağıtılacak
4. Rusya Federasyonu'ndaki dağıtım sınırlı veya yasak

Randevu bilgileri aşağıdaki türlerdendir:

1. Yığın- Önemsiz bilgiler içerir ve toplumun çoğu tarafından anlaşılan bir dizi kavramla çalışır.
2. Özel- toplumun çoğunluğu tarafından anlaşılmayabilecek, ancak bu bilgilerin kullanıldığı dar bir sosyal grup içinde gerekli ve anlaşılabilir olan belirli bir dizi kavram içerir.
3. Gizli- dar bir insan grubuna ve kapalı (korumalı) kanallar aracılığıyla sağlanan erişim.
4. Kişisel (özel)- bir kişi hakkında sosyal durumu ve sosyal etkileşim türlerini belirleyen bir dizi bilgi.

Bilgi güvenliği araçları, erişimi sınırlı olan bilgilere doğrudan uygulanmalıdır - bu devlet sırları ve gizli veriler.

21 Temmuz 1993 tarihli Rusya Federasyonu yasalarına göre N 5485-1 (03/08/2015 tarihinde değiştirilen şekliyle) "Devlet sırları hakkında" Madde 5. "Devlet sırrı oluşturan bilgilerin listesi"şu anlama gelir:

1. Askeri alanda bilgiler.
2. Ekonomi, bilim ve teknoloji alanında bilgi.
3. Dış politika ve ekonomi alanında bilgiler.
4. İstihbarat, karşı istihbarat ve operasyonel arama faaliyetleri ile terörle mücadele alanında ve haklarında devlet koruma önlemlerinin uygulanmasına karar verilen kişilerin güvenliğinin sağlanması alanında bilgiler.

Gizli bilgi teşkil edebilecek bilgilerin listesi, başkanlık kararnamesi 6 Mart 1997 №188 (13 Temmuz 2015'te değiştirildiği şekliyle) “Gizli bilgi listesinin onaylanması üzerine”.

Gizli veriler- bu, devletin yasalarına ve şirketin bağımsız olarak belirlediği normlara göre erişimi sınırlı olan bilgilerdir. Aşağıdaki gizli veri türleri ayırt edilebilir:

• Kişisel gizli veriler: Bir vatandaşın özel hayatının gerçekleri, olayları ve koşulları hakkında, federal yasalarla belirlenen durumlarda medyada yayılacak bilgiler hariç, kişiliğini (kişisel veriler) tanımlamaya izin veren bilgiler. Bunun tek istisnası, medyada yayılan bilgilerdir.
• Hizmet gizli verileri: Rusya Federasyonu Medeni Kanunu ve federal yasalar (resmi sır) uyarınca erişimi devlet yetkilileri tarafından sınırlandırılan resmi bilgiler.
• Adli gizli veriler: Hakimlerin, kolluk kuvvetlerinin ve düzenleyici kurumların devlet koruması hakkında. Mağdurların, tanıkların ve cezai takibattaki diğer katılımcıların devlet koruması hakkında. Hükümlülerin kişisel dosyalarında yer alan bilgiler ve 2 Ekim 2007 tarihli 229-FZ sayılı Federal Kanun uyarınca kamuya açık olan bilgiler hariç, adli işlemlerin, diğer organların ve yetkililerin eylemlerinin zorunlu uygulanması hakkında bilgiler "İcra İşlemleri Hakkında"...
• Ticari gizli veriler: Ticaret (kâr) ile ilgili ve erişimi kanunla sınırlanan her türlü bilgi veya bir buluşun, faydalı modelin veya endüstriyel tasarımın özüne ilişkin bilgiler, bunlar hakkındaki bilgilerin işletme tarafından resmi olarak yayımlanmasından önce (gizli gelişmeler, üretim teknolojileri) , vesaire.).
• Profesyonel gizli veriler: Rusya Federasyonu Anayasası ve federal yasalar uyarınca erişimi sınırlı olan mesleki faaliyetlerle ilgili bilgiler (tıbbi, noterlik, avukatlık sırrı, yazışmaların gizliliği, telefon görüşmeleri, posta gönderileri, telgraf veya diğer mesajlar vb.)

Şekil 1. Bilgi türlerinin sınıflandırılması.

Kişisel bilgi

Ayrı olarak, dikkat etmeye ve kişisel verileri dikkate almaya değer. 27.07.2006 tarihli federal yasaya göre 152-FZ(29 Temmuz 2017'de değiştirildiği şekliyle) "Kişisel veriler hakkında", Madde 4: Kişisel bilgi Belirli veya kimliği belirlenebilir bir kişiyle (kişisel verilerin konusu) doğrudan veya dolaylı olarak ilgili herhangi bir bilgidir.

Kişisel verilerin operatörü,- kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren diğer kişilerle bağımsız olarak veya ortaklaşa bir devlet organı, bir belediye organı, bir tüzel kişilik veya bir şahıs, ayrıca kişisel verilerin işlenme amaçlarının belirlenmesi, kişisel verilerin bileşimi işlenecek veriler, kişisel verilerle gerçekleştirilen eylemler (işlemler).

Kişisel veri işleme- toplama, kaydetme, sistematize etme, biriktirme, depolama, açıklama (güncelleme, değiştirme), çıkarma, kullanma, aktarma (dağıtım, sağlama, erişim), duyarsızlaştırma, engelleme, silme, kişisel verilerin imhası.

Kişisel verileri işleme hakları, devlet organları, federal yasalar, Roskomnadzor veya FSTEC tarafından verilen kişisel verilerle çalışma lisanslarına ilişkin düzenlemelerde yer almaktadır.

Örneğin, sanal sunucuların barındırma şirketleri veya telekom operatörleri gibi çok çeşitli kişilerin kişisel verileriyle profesyonel olarak çalışan şirketler, Roskomnadzor tarafından tutulan sicile girmelidir.

Örneğin, sanal sunucularımız VPS.HOUSE, Rusya Federasyonu mevzuatı çerçevesinde ve Federal İletişim, Bilgi Teknolojisi ve Kitle İletişim Denetleme Hizmetinin 25 Aralık 2015 tarih ve 139322 sayılı lisanslarına uygun olarak faaliyet göstermektedir ( Telematik iletişim hizmetleri) ve 25 Aralık 2015 tarih ve 139323 sayılı (ses bilgilerini iletmek amacıyla veri iletimi için iletişim hizmetleri hariç, veri iletimi için iletişim hizmetleri).

Buna dayanarak, kişisel verilerle ilgili bilgilerin belirtildiği ve daha sonra işlendiği bir kullanıcı kayıt formuna sahip herhangi bir site, kişisel verilerin operatörüdür.

Kanunun 7. maddesi dikkate alındığında 152-FZ"Kişisel verilerde", kişisel verilere erişim elde eden operatörler ve diğer kişiler, federal yasa tarafından aksi belirtilmedikçe, üçüncü taraflara ifşa etmemek ve kişisel verilerin konusunun rızası olmadan kişisel verileri dağıtmamakla yükümlüdür. Buna göre, herhangi bir kişisel veri operatörü, bu bilgilerin gerekli güvenliğini ve gizliliğini sağlamakla yükümlüdür.

Bilgi güvenliğinin ve gizliliğinin sağlanması için hangi ortamların mevcut, hangilerine erişimin açık hangilerinin kapalı olduğunun belirlenmesi gerekmektedir. Buna göre, ortam türüne bağlı olarak koruma yöntemleri ve araçları da seçilir.

Ana depolama ortamı:

• İnternetteki basılı ve elektronik medya, sosyal ağlar, diğer kaynaklar;
• Arkadaşlık, aile, mesleki bağları temelinde bilgiye erişimi olan kurum çalışanları;
• İletişim, bilgileri ileten veya depolayan araçlardır: telefonlar, otomatik telefon santralleri, diğer telekomünikasyon ekipmanı;
• Her türden belge: kişisel, resmi, devlet;
• Bağımsız bir bilgi nesnesi olarak yazılım, özellikle de sürümü belirli bir şirket için özel olarak değiştirilmişse;
• Verileri otomatik olarak işleyen elektronik depolama ortamı.

Hangi bilgilerin korumaya tabi olduğunu, bilgi taşıyıcılarını ve ifşası sırasında olası zararları belirledikten sonra gerekli koruma araçlarını seçebilirsiniz.

Bilgi güvenliği sınıflandırması

27 Temmuz 2006 tarihli federal yasa uyarınca 149-FZ(29 Temmuz 2017'de değiştirildiği şekliyle) "Bilgi, bilgi teknolojisi ve bilgi koruması hakkında", Madde 7, Madde 1. ve Madde 4:

1. Bilginin korunması temsil etmek yasal, organizasyonel ve teknik önlemlerin alınması, hedeflenen:

• Güvenlik bilgilerin yetkisiz erişime, yok edilmesine, değiştirilmesine, engellenmesine, kopyalanmasına, sağlanmasına, dağıtımına ve ayrıca bu tür bilgilerle ilgili diğer yasa dışı eylemlere karşı korunması;
• uyma kısıtlı bilgilerin gizliliği;
• uygulama bilgiye erişim hakkı.

4. Bilgi sahibi, bilgi sistemi operatörü Rusya Federasyonu mevzuatı ile belirlenen durumlarda, sağlamakla yükümlüdürler:

• Önleme bilgilere yetkisiz erişim ve (veya) bilgiye erişim hakkı olmayan kişilere aktarılması;
• zamanında tespit etme bilgilere yetkisiz erişim gerçekleri;
• Bir uyarı bilgiye erişim prosedürünün ihlalinin olumsuz sonuçları olasılığı;
• kaçınma teknik bilgi işleme araçları üzerindeki etkisi, bunun sonucunda işlevlerinin kesintiye uğraması;
• Hemen yapma imkanı kurtarma yetkisiz erişim nedeniyle değiştirilen veya yok edilen bilgiler;
• Devamlı kontrol bilgi güvenliği seviyesinin sağlanması;
• bulma Rusya Federasyonu topraklarında, Rusya Federasyonu vatandaşlarının kişisel verilerinin toplanması, kaydedilmesi, sistemleştirilmesi, toplanması, depolanması, açıklığa kavuşturulması (güncellenmesi, değiştirilmesi), çıkarılmasının gerçekleştirildiği bilgi veritabanları (madde 7 21 Temmuz 2014 tarihli Federal Yasa ile tanıtıldı 242-FZ).

Yasaya dayalı 149-FZ bilgi koruması ayrıca birkaç seviyeye ayrılabilir:

1. Yasal seviye devlet veri koruma standartlarına uyumu sağlar ve telif hakkı, yönetmelikler, patentler ve iş tanımlarını içerir.
   İyi yapılandırılmış bir güvenlik sistemi, kullanıcı haklarını ve veri işleme standartlarını ihlal etmez.
2. Organizasyonel seviye gizli bilgilerle kullanıcıların çalışmaları için düzenlemeler oluşturmanıza, personel seçmenize, dokümantasyon ve veri taşıyıcıları ile çalışma düzenlemenize olanak tanır.
   Gizli bilgilere sahip kullanıcıların çalışmasına ilişkin kurallara erişim kontrol kuralları denir. Kurallar, güvenlik hizmeti ve güvenlik sistemini uygulayan tedarikçi ile birlikte şirket yönetimi tarafından belirlenir. Amaç, örneğin gizli bir belgeyi okuma, düzenleme, aktarma hakkı gibi her kullanıcı için bilgi kaynaklarına erişim koşulları yaratmaktır.
   Erişim kontrol kuralları, organizasyon düzeyinde geliştirilir ve sistemin teknik bileşeni ile çalışma aşamasında uygulanır.
3. Teknik seviye geleneksel olarak fiziksel, donanım, yazılım ve matematiksel (kriptografik) olarak ayrılmıştır.

Bilgi güvenliği araçları

Bilgi güvenliği araçları ikiye bölmek adettendir düzenleyici (gayri resmi) ve teknik (resmi).

Resmi olmayan bilgi koruma araçları

Bilgileri korumak için gayri resmi yollarla- düzenleyici (yasama), idari (örgütsel) ve ahlaki ve etik atfedilebilecek araçlar: belgeler, kurallar, olaylar.

Yasal dayanak ( yasama araçları) bilgi güvenliği devlet tarafından sağlanmaktadır. Bilgi koruması, uluslararası sözleşmeler, Anayasa, "Bilgi, bilgi teknolojisi ve bilgi koruması hakkında" federal yasalar, Rusya Federasyonu "Güvenlik hakkında", "İletişim hakkında", "Devlet sırları hakkında" ve çeşitli tüzüklerle düzenlenir.

Ayrıca, bilgi güvenliğinin yasal dayanağı olarak yukarıda tarafımızdan listelenen bazı kanunlar verilmiş ve tartışılmıştır. Bu yasalara uyulmaması, önemli sonuçlara yol açabilecek bilgi güvenliğine yönelik tehditler doğurur ve bu da bu yasalara göre cezai sorumluluk noktasına kadar cezalandırılır.

Devlet ayrıca bilgi güvenliği alanında mevzuat hükümlerinin ihlali durumunda sorumluluk ölçüsünü belirleyecektir. Örneğin, Rusya Federasyonu Ceza Kanunu'ndaki 28 "Bilgisayar bilgileri alanındaki suçlar" bölümü üç madde içermektedir:

• Madde 272 “Bilgisayar Bilgilerine Yasadışı Erişim”;
• Madde 273 "Kötü niyetli bilgisayar programlarının oluşturulması, kullanılması ve dağıtılması";
• Madde 274 "Bilgisayar bilgilerinin ve bilgi ve telekomünikasyon ağlarının depolanması, işlenmesi veya iletilmesine ilişkin kuralların ihlali."

İdari (organizasyonel) olaylar, bilgiyi korumak için güvenilir bir mekanizma oluşturmada önemli bir rol oynar. Gizli bilgilerin yetkisiz kullanım olasılığı büyük ölçüde teknik yönlerle değil, kötü niyetli eylemlerle belirlenir. Örneğin, kullanıcıların veya güvenlik personelinin ihmali, ihmali ve ihmali.

Bu yönlerin etkisini azaltmak için, gizli bilgilere yönelik tehdit olasılığını ortadan kaldıracak veya en aza indirecek bir dizi kurumsal, yasal ve kurumsal ve teknik önlem gereklidir.

Güvenlik görevlileri için bilgilerin korunmasına yönelik bu idari ve organizasyonel faaliyette yaratıcılık için bir alan vardır.

Toplantı odalarını ve yönetim ofislerini gizlice dinlemeye karşı korumayı ve bilgiye çeşitli erişim düzeylerinin kurulmasını sağlayan mimari ve planlama çözümleridir.

Personel faaliyetlerinin düzenlenmesi açısından, İnternet'e, harici e-postaya ve diğer kaynaklara erişim için bir talep sistemi formüle etmek önemli olacaktır. Devlet kurumlarına e-posta kanalları aracılığıyla iletilen mali ve diğer bilgilerin güvenliğini artırmak için ayrı bir unsur elektronik bir dijital imza almak olacaktır.

Ahlaki ve etik değerlere doğru araçlar, toplumda hakim olana veya belirli bir toplu ahlaki standartlara veya etik kurallara atfedilebilir, bunlara uyulması bilginin korunmasına katkıda bulunur ve bunların ihlali, toplumda veya kolektifte davranış kurallarına uyulmaması ile eşittir. Bu normlar, yasal olarak onaylanmış normlar gibi zorunlu değildir, ancak bunlara uyulmaması, bir kişi veya kuruluşun otoritesinde, prestijinde bir düşüşe yol açar.

Bilgileri korumanın resmi yolları

resmi çareler Fiziksel, donanım, yazılım ve kriptografik olarak ayrılabilen özel donanım ve yazılımlardır.

Bilgi korumanın fiziksel araçları Bilgi sistemlerinden bağımsız olarak çalışan ve bunlara erişimi engelleyen mekanik, elektrik ve elektronik mekanizmalardır.

Elektronik olanlar, ekranlar, panjurlar dahil olmak üzere kilitler, istikrarsızlaştırıcı faktörlerin sistemlerle teması için engeller oluşturacak şekilde tasarlanmıştır. Grup, güvenlik sistemleri, örneğin video kameralar, video kaydediciler, bilgi kaydetmek için teknik araçların bulunduğu bölgedeki hareketi veya elektromanyetik radyasyon seviyesinin fazlalığını algılayan sensörler ile desteklenir.

Bilgi güvenliği donanımı- bilgi ve telekomünikasyon sistemlerine gömülü her türlü elektrikli, elektronik, optik, lazer ve diğer cihazlar: özel bilgisayarlar, çalışan kontrol sistemleri, sunucuların ve kurumsal ağların korunması. Bilgiyi maskeleyerek de dahil olmak üzere, bilgiye erişimi engellerler.

Donanım şunları içerir: gürültü üreteçleri, aşırı gerilim koruyucular, tarama telsizleri ve potansiyel bilgi sızıntısı kanallarını "bloke eden" veya bunların tespit edilmesini sağlayan diğer birçok cihaz.

Bilgi güvenliği yazılımı Bilgi güvenliği ile ilgili sorunları çözmek için tasarlanmış basit ve karmaşık programlardır.

DLP sistemleri ve SIEM sistemleri, karmaşık çözümlerin örnekleridir.

DLP sistemleri("Veri Sızıntısını Önleme" kelimenin tam anlamıyla "veri sızıntısının önlenmesi") sırasıyla sızıntıyı önlemeye, bilgileri yeniden biçimlendirmeye ve bilgi akışlarını yeniden yönlendirmeye hizmet eder.

SIEM sistemleri("Güvenlik Bilgileri ve Olay Yönetimi", "Olay Yönetimi ve Bilgi Güvenliği" anlamına gelir) ağ cihazlarından ve uygulamalarından kaynaklanan güvenlik olaylarının (alarmlar) gerçek zamanlı analizini sağlar. SIEM, uygulamalar, araçlar veya hizmetler tarafından temsil edilir ve ayrıca diğer iş verileriyle uyumluluk için veri kaydı ve raporlama için kullanılır.

Yazılım, donanım aygıtlarının gücünü talep ediyor ve kurulum sırasında ek yedekler sağlanmalıdır.

Matematiksel (kriptografik)- kurumsal veya küresel bir ağ üzerinden güvenli aktarım için kriptografik ve kelimesi kelimesine veri koruma yöntemlerinin uygulanması.

Kriptografi, verileri korumanın en güvenilir yollarından biri olarak kabul edilir, çünkü bilgiye erişimi değil, bilginin kendisini korur. Kriptografik olarak dönüştürülmüş bilgiler son derece güvenlidir.

Kriptografik bilgi koruma araçlarının tanıtılması, mimarisi ve bileşimi belirli bir müşterinin ihtiyaçlarına, yasal gereksinimlere, görevlere ve gerekli yöntemlere ve şifreleme algoritmalarına göre belirlenen bir yazılım ve donanım kompleksinin oluşturulmasını sağlar.

Bu, şifreleme yazılımı bileşenlerini (kriptografik sağlayıcılar), VPN organizasyon araçlarını, kimlik doğrulama araçlarını, anahtarları ve elektronik dijital imzaları oluşturmak ve doğrulamak için araçları içerebilir.

Şifreleme araçları, GOST şifreleme algoritmalarını destekleyebilir ve gerekli koruma derecesine, düzenleyici çerçeveye ve harici sistemler de dahil olmak üzere diğerleriyle uyumluluk gereksinimlerine bağlı olarak gerekli kripto koruma sınıflarını sağlayabilir. Aynı zamanda, şifreleme araçları, dosyalar, dosyalı dizinler, fiziksel ve sanal ortamlar, sunucular ve bir bütün olarak veri depolama sistemleri dahil olmak üzere tüm bilgi bileşenleri kümesi için koruma sağlar.

İkinci bölümün sonunda, bilgiyi korumanın ana yöntem ve araçlarını ve ayrıca bilgilerin sınıflandırılmasını kısaca ele alarak şunları söyleyebiliriz: Bilgi güvenliğinin sağlanmasının bir bütün olduğu iyi bilinen tez bir kez daha doğrulanmıştır. koruma bilgilerinin tüm yönlerini içeren, oluşturulmasına ve sağlanmasına en dikkatli ve ciddi şekilde yaklaşılması gereken önlemler kompleksi.

Altın Kural'a kesinlikle uyulmalı ve hiçbir koşulda ihlal edilmemelidir - bu entegre bir yaklaşımdır.

Bilgi koruma araçlarının daha görsel bir temsili için, yani bölünemez bir önlem seti olarak, tuğlaların her biri belirli bir segmentteki bilgilerin korunması olan aşağıda Şekil 2'de sunulmuştur, tuğlalardan birini ve bir güvenlik tehdidini kaldırın. ortaya çıkacak.

Şekil 2. Bilgi güvenliği araçlarının sınıflandırılması.

Artan sayıda yayın ve bilgisayar sistemlerinde bilgi güvenliği ile profesyonel olarak ilgilenen şirketlere bakıldığında, bu sorunun çözümüne büyük önem verilmektedir. Güvenlik sisteminin ihlalinin en belirgin nedenlerinden biri, yasadışı kullanıcılar tarafından gizli bilgilere kasıtlı yetkisiz erişim (NSD) ve bu bilgilerle daha sonra istenmeyen manipülasyonlardır.

Bilginin korunması Sızıntı, hırsızlık, kayıp, yetkisiz imha, bozulma, değişiklik (sahte), yetkisiz kopyalama, bilgilerin engellenmesi vb. önlemek için alınan bir dizi önlemdir. Bilgi kaybı tamamen teknik, nesnel ve kasıtsız nedenlerle meydana gelebileceğinden, bu tanım sabit disklerin arızalanması veya arızalanması, kullanılan yazılımdaki kusurlar vb. nedeniyle sunucu güvenilirliğini artırmaya yönelik önlemleri de içerir.

Bilgi güvenliği sınıflandırması

Uygulama yöntemine bağlı olarak, kasıtlı eylemleri önleme açısından bilgilerin korunmasını sağlama araçları gruplara ayrılabilir:

1. Teknik (donanım) araçlar... Bunlar, donanım ile bilgi güvenliği sorunlarını çözen çeşitli tiplerde (mekanik, elektromekanik, elektronik vb.) cihazlardır. Ya fiziksel sızmayı engellerler ya da sızma gerçekleşmişse, bilgiyi maskelemek de dahil olmak üzere bilgiye erişimi engellerler. Sorunun ilk kısmı kilitler, pencere çubukları, güvenlik alarmları vb. ile çözülür. İkincisi - gürültü üreteçleri, aşırı gerilim koruyucular, tarama telsizleri ve potansiyel bilgi sızıntısı kanallarını "bloke eden" veya tespit edilmesine izin veren diğer birçok cihaz tarafından. Avantajlar teknik araçlar, güvenilirlikleri, öznel faktörlerden bağımsızlığı, modifikasyona karşı yüksek dirençleri ile ilişkilidir. Zayıf taraflar- yetersiz esneklik, nispeten büyük hacim ve ağırlık, yüksek maliyet.

2. Yazılım kullanıcı tanımlama, erişim kontrolü, bilgi şifreleme, geçici dosyalar gibi artık (çalışan) bilgilerin kaldırılması, güvenlik sisteminin test kontrolü vb. için programları içerir. Yazılım araçlarının faydaları- çok yönlülük, esneklik, güvenilirlik, kurulum kolaylığı, değiştirme ve geliştirme yeteneği. Dezavantajları- sınırlı ağ işlevselliği, dosya sunucusunun ve iş istasyonlarının bazı kaynaklarının kullanımı, yanlışlıkla veya kasıtlı değişikliklere karşı yüksek hassasiyet, bilgisayar türlerine (donanımlarına) olası bağımlılık.

3. Karma donanım ve yazılım donanım ve yazılım ile aynı işlevi ayrı ayrı sağlar ve ara özelliklere sahiptir.

4. örgütsel araçlar organizasyonel ve teknik (bilgisayarlı odaların hazırlanması, kablo sisteminin döşenmesi, erişimin kısıtlanması gereklilikleri dikkate alınarak vb.) ve organizasyonel ve yasal (ulusal mevzuat ve belirli bir işletmenin yönetimi tarafından oluşturulan çalışma kuralları) oluşur. ). Avantajlar organizasyonel araçlar, birçok farklı sorunu çözmenize izin vermeleri, uygulanması kolay olmaları, ağdaki istenmeyen eylemlere hızla yanıt vermeleri, sınırsız değişiklik ve geliştirme olanaklarına sahip olmalarıdır. Dezavantajları- belirli bir bölümdeki genel iş organizasyonu da dahil olmak üzere öznel faktörlere yüksek bağımlılık.

Dağıtım ve kullanılabilirlik derecesine göre, yazılım araçları tahsis edilir, bu nedenle aşağıda daha ayrıntılı olarak ele alınır. Diğer araçlar, ek bir bilgi koruması seviyesinin gerekli olduğu durumlarda kullanılır.

şifreleme data bir tür bilgi güvenliği yazılımıdır ve uzun seri hatlar üzerinden iletilen bilgilerin sızıntıya karşı tek güvenilir korunması olarak uygulamada özellikle önemlidir. Şifreleme, yetkisiz saldırılara karşı son, neredeyse aşılmaz koruma "hatını" oluşturur. Şifreleme genellikle daha genel kriptografi kavramıyla birlikte kullanılır. kriptografi bilgilerin gizliliğini (şifreleme kullanımı dahil) ve kimlik doğrulamasını sağlama yöntemlerini ve araçlarını içerir. Gizlilik- bilgiye erişim hakkı olmayan kişiler tarafından içeriğine aşina olmaktan korunma. Sırayla kimlik doğrulama bilgi etkileşiminin çeşitli yönlerinin doğrulanmasıdır: iletişim oturumu, taraflar (tanımlama), içerik (taklit koruması) ve kaynak (dijital imza kullanarak atıf).

Klasik veri şifreleme algoritmaları

Aşağıdaki "klasik" şifreleme yöntemleri mevcuttur:

Değiştirme (basit - tek alfabetik, çoklu alfabetik tek döngü, çoklu alfabetik çoklu döngü);

Permütasyon (basit, karmaşık);

Gumming (kısa, uzun veya sınırsız bir maske ile karıştırma).

ikame orijinal alfabenin yerine alternatif bir alfabenin (veya birkaçının) kullanıldığını varsayar. İngiliz alfabesinin karakterleri için basit bir ikame durumunda, örneğin aşağıdaki değiştirme önerilebilir (bkz. Tablo 1).

Tablo 1. İkame için karakter değişikliği örneği

Daha sonra "önbellek" kelimesi "usuxk" olarak şifrelenir.

permütasyon potansiyel olarak değiştirme yerine şifre çözmeye karşı daha fazla direnç sağlar ve aşağıdaki örnekte gösterildiği gibi bir dijital anahtar veya eşdeğer bir anahtar kelime kullanılarak gerçekleştirilir (bkz. Tablo 2). Bir sayısal anahtar, yinelenmeyen rakamlardan oluşur ve karşılık gelen anahtar sözcüğü, yinelenmeyen karakterlerden oluşur. Orijinal metin (düz metin) satır satır anahtar satırın altına yazılır. Şifreli mesaj (şifreli metin), anahtar hanelerin öngördüğü sırayla veya anahtar kelimenin tek tek karakterlerinin bulunduğu sırayla sütun sütun yazılır.

Tablo 2. Basit bir permütasyon kullanma örneği

Bu örnek için, şifreli mesaj şöyle görünecektir: AIHHORTTPHPαEααα… SSCEα.

sakız(maske karıştırma), orijinal mesajın önceden seçilmiş bir ikili sıra (maske) ile modulo 2 bit düzeyinde eklenmesine (ÖZEL VEYA mantığına göre) dayanır. Maskenin kompakt gösterimi, ondalık gösterimdeki sayılar veya bazı metinler olabilir (bu durumda, dahili karakter kodları dikkate alınır - İngilizce metin için ASCII tablosu). İncirde. 1, 0110 10012 maskesine eklendiğinde orijinal "A" karakterinin şifreli mesajdaki "(" karakterine nasıl dönüştürüldüğünü gösterir.

Pirinç. 1 Gama kullanımına örnek

Listelenen "klasik" şifreleme yöntemleri (ikame, permütasyon ve oyun), şifreli mesajın uzunluğunun orijinal metnin uzunluğuna eşit olması anlamında doğrusaldır. Belki doğrusal olmayan dönüşüm farklı uzunluktaki önceden seçilmiş karakter kombinasyonlarının orijinal karakterleri (veya tam kelimeler, deyimler, cümleler) yerine ikame türü. Bilgi koruması da etkilidir parçala-patla orijinal veriler, her biri yararlı bilgi taşımayan bloklara bölündüğünde ve bu bloklar birbirinden bağımsız olarak depolanıp iletildiğinde. Metin bilgisi için, bu tür bloklar için veri seçimi, kodlama tablosundaki karakter başına bit sayısından daha az, sabit sayıda bit içeren gruplar halinde gerçekleştirilebilir. Son zamanlarda, sözde bilgisayar steganografi(Yunanca steganos - gizli, sır ve grafik - kayıt kelimelerinden gelir), bir mesajın veya dosyanın başka bir mesaj veya dosyada saklanmasıdır. Örneğin, büyük bir bilgi veya grafik dosyasında şifrelenmiş bir ses veya video dosyasını gizleyebilirsiniz. Dosya boyutu - kapsayıcı, orijinal dosyadan en az sekiz kat daha büyük olmalıdır. Bilgisayar steganografisini uygulayan yaygın programlara örnek olarak S - Tools (Windows 95 / NT OS için) verilebilir. ve Windows'95 için Steganos. Bilgilerin gerçek şifrelenmesi, standart veya standart olmayan algoritmalar kullanılarak gerçekleştirilir.

Şifre çözmeye karşı direnç derecesini artırmak için standart şifreleme yöntemleri (ulusal veya uluslararası), her biri seçilen anahtara (veya anahtarlara) göre farklı "klasik" şifreleme yöntemleri kullanan birkaç şifreleme aşamasını (adımlarını) uygular. Temelde farklı iki standart şifreleme yöntemi grubu vardır:

Şifreleme ve şifre çözme için aynı anahtarları (şifreler) kullanarak şifreleme (simetrik şifreleme veya özel anahtar sistemleri);

Şifreleme için genel anahtarlar ve şifre çözme için özel anahtarlar kullanılarak şifreleme (asimetrik şifreleme veya genel anahtar sistemleri).

Bilgi güvenliği yazılımı

Ağ işletim sistemlerinde yerleşik bilgi güvenliği araçları mevcuttur, ancak uygulamada ortaya çıkan sorunları her zaman tam olarak çözemezler. Örneğin, ağ işletim sistemleri NetWare 3.x, 4.x, donanım arızalarına ve hasara karşı güvenilir "katmanlı" veri koruması sağlar. Novell'in SFT (Sistem Hata Toleransı) sisteminin üç ana katmanı vardır:

SFT Düzey I, özellikle, FAT ve Dizin Giriş Tablolarının ek kopyalarının oluşturulmasını, dosya sunucusuna yeni yazılan her veri bloğunun anında doğrulanmasını ve ayrıca her bir sabit diskte disk alanının yaklaşık %2'sinin yedeklenmesini sağlar. Bir arıza tespit edilirse, veriler diskin ayrılmış alanına yönlendirilir ve bozuk blok "kötü" olarak işaretlenir ve gelecekte kullanılmaz.

SFT Düzey II, ikizlenmiş sürücüler oluşturmanın yanı sıra disk denetleyicileri, güç kaynakları ve arabirim kablolarını çoğaltmak için ek seçenekler içerir.

SFT Seviye III, yerel ağda, biri "ana" olan ve tüm bilgilerin bir kopyasını içeren ikincisi, bir "ana" sunucu arızası durumunda devreye giren çoğaltılmış sunucuların kullanılmasına izin verir.

NetWare ağlarında erişim haklarını kontrol etme ve sınırlama sistemi (yetkisiz erişime karşı koruma) ayrıca birkaç seviye içerir:

İlk erişim düzeyi (kullanıcı adı ve parola, muhasebe kısıtlamaları sistemi - örneğin açık izin veya çalışma reddi, ağ üzerinde izin verilen çalışma süresi, belirli bir kullanıcının kişisel dosyalarının kapladığı sabit disk alanı vb. içerir);

Kullanıcı haklarının düzeyi (bir bölümün üyesi olarak, ağ dosya sisteminin belirli bölümlerinde belirli bir kullanıcının bireysel işlemlerin performansına ve / veya çalışmasına ilişkin kısıtlamalar);

Dizinlerin ve dosyaların öznitelik düzeyi (silme, düzenleme veya oluşturma dahil, dosya sisteminden gelen ve bu dizinler veya dosyalarla çalışmaya çalışan tüm kullanıcıları etkileyen belirli işlemlerin gerçekleştirilmesine ilişkin kısıtlamalar);

Dosya sunucusu konsol düzeyi (ağ yöneticisinin yokluğunda özel bir parola girmeden önce dosya sunucusu klavyesinin engellenmesi).

Özel yazılım araçları bilgilerin yetkisiz erişime karşı korunması, genel olarak, ağ işletim sistemlerinin yerleşik araçlarından daha iyi yeteneklere ve özelliklere sahiptir. Şifreleme programları ve kriptografik sistemlere ek olarak, başka birçok harici bilgi güvenliği aracı da mevcuttur. En sık bahsedilen çözümlerden, bilgi akışlarını sınırlamaya ve kontrol etmeye izin veren aşağıdaki iki sistem not edilmelidir.

1. Güvenlik duvarları - güvenlik duvarları (kelimenin tam anlamıyla güvenlik duvarı - ateş duvarı). Yerel ve global ağlar arasında, içinden geçen ağ/taşıma katmanlarının tüm trafiğini denetleyen ve filtreleyen özel ara sunucular oluşturulur. Bu, dışarıdan kurumsal ağlara yetkisiz erişim tehdidini önemli ölçüde azaltabilir, ancak bu tehlikeyi tamamen ortadan kaldırmaz. Yerel ağdan giden tüm trafik güvenlik duvarı sunucusu adına gönderildiğinde, yöntemin daha güvenli bir sürümü maskeleniyor ve yerel ağı neredeyse görünmez hale getiriyor.

2. Vekil sunucular (vekil - vekaletname, güvenilir kişi). Yerel ve küresel ağlar arasındaki tüm ağ/taşıma katmanı trafiği tamamen yasaktır - böyle bir yönlendirme yoktur ve yerel ağdan küresel ağa çağrılar özel aracı sunucular aracılığıyla gerçekleşir. Açıkçası, bu durumda, küresel ağdan yerel olana yapılan çağrılar prensipte imkansız hale gelir. Bu yöntem, daha yüksek düzeylerdeki saldırılara karşı yeterli koruma sağlamaz - örneğin, uygulama düzeyinde (virüsler, Java kodu ve JavaScript).

• İzin vermek- üstesinden gelinmesi saldırgan için zorlukların ortaya çıkması veya istikrarsızlaştırıcı bir faktör ile ilişkili olan yolda bir engelin yaratılması.
• Kontrol- korunan sistemin unsurları üzerinde kontrol eylemlerinin sağlanması.
• Kılık değiştirmek- korunan sistem veya bilgiler üzerinde, onları saldırgan tarafından erişilemez hale getiren bir dönüşüme yol açan eylemler. (Bu, özellikle kriptografik koruma yöntemlerini içerebilir).
• Düzenleme- bir davetsiz misafir tarafından saldırıların uygulanmasını veya diğer istikrarsızlaştırıcı faktörlerin etkisini önemli ölçüde karmaşıklaştıran bilgi işleme koşulları yaratan bir dizi önlemin geliştirilmesi ve uygulanması.
• Mecburiyet- yöntem, kullanıcıların ve personelin sorumluluk tehdidi altında (maddi, cezai, idari) bilgi işleme koşullarına uymaya zorlandığı koşulların yaratılmasından oluşur.
• Motivasyon- yöntem, kullanıcıların ve personelin ahlaki, etik ve psikolojik nedenlerle bilgi işleme koşullarına uyması için koşulların yaratılmasından oluşur.

Bilgi güvenliği araçları:

• Fiziksel yardımlar- mekanik, elektrik, elektromekanik, elektronik, elektronik-mekanik vb. bağımsız çalışan, istikrarsızlaştırıcı faktörlere çeşitli engeller yaratan cihazlar ve sistemler.
• Donanım- çeşitli elektronik ve elektronik-mekanik vb. Veri işleme sisteminin donanımına şematik olarak yerleştirilmiş veya özellikle bilgi güvenliği sorunlarını çözmek için onunla arayüzlenmiş cihazlar.
• Yazılım- Bilgi güvenliği sorunlarının çözümü amacıyla yazılıma dahil edilen özel yazılım paketleri veya bireysel programlar.
• örgütsel araçlar- bilgi güvenliği problemlerini çözmek için sistemin işleyişinin teknolojisinde özel olarak sağlanan organizasyonel ve teknik önlemler.
• yasama araçları- Hak ve yükümlülüklerin düzenlendiği normatif yasal düzenlemelerin yanı sıra, sistemin işleyişi ile ilgili tüm kişi ve bölümlerin sorumluluğu, bilgi işleme kurallarının ihlali için oluşturulmuştur; güvenliğinin ihlali.
• Psikolojik (ahlaki ve etik araçlar)- toplumda veya belirli bir toplulukta oluşturulan, uyulması bilginin korunmasına katkıda bulunan ve bunların ihlali, toplumda veya kolektifte davranış kurallarına uyulmaması ile eşit olan ahlaki normlar veya etik kurallar.

GI'nin ana yollarını düşünün.

1) Erişim kontrolü, tüm sistem kaynaklarının (teknik, yazılım, veritabanı öğeleri) kullanımını düzenleyerek bilgileri korumanın bir yoludur. Bilgi işlem sisteminde, sistem kullanıcılarının ve personelinin çalışmasına izin verilen haftanın günleri ve günün saati düzenlenmelidir. Ayrıca erişime izin verilen sistem kaynaklarının bir listesi ve bunlara erişim sırası belirlenmelidir. Teknik araçları, programları ve işlevsel görevleri vb. kullanma hakkı verilen kişilerin bir listesinin olması gerekir. Erişim kontrolü aşağıdaki güvenlik fonksiyonlarını içerir: kullanıcıların, personelin ve sistem kaynaklarının tanımlanması; haftanın gününün, günün saatinin ve ayrıca talep edilen kaynak ve prosedürlerin yerleşik düzenlemelere uygunluğunu kontrol etmekten oluşan yetkilerin doğrulanması; belirlenmiş düzenlemeler dahilinde çalışma koşullarının izin verilmesi ve oluşturulması; korunan kaynaklara yapılan çağrıların kaydedilmesi (günlüğe kaydedilmesi); Yetkisiz eylemlere girişildiğinde yanıt (işte gecikme, arıza, kapanma, alarm).

2) Kılık değiştirme - bilgiyi şifreleyerek korumanın bir yolu.

3) Düzenleme - veri işleme sistemlerinin işleyişi sırasındaki geliştirme ve uygulamadan, yetkisiz erişim olasılığının en aza indirileceği, korunan bilgilerin otomatik olarak işlenmesi ve depolanması için bu koşulları yaratan önlem komplekslerinden oluşur.

4) Zorlama - veri alışverişi sisteminin kullanıcıları ve personeli, korunan bilgilerin maddi, idari veya cezai sorumluluk tehdidi altında işlenmesi ve kullanılmasına ilişkin kurallara uymaya zorlanır.

Dikkate alınan ZI yöntemleri, çeşitli koruma araçları kullanılarak uygulanır. Ayırt: teknik, yazılım, organizasyonel, yasal ve ahlaki ve etik.

Teknik araçlar, elektrikli, elektromekanik ve elektronik cihazlar şeklinde uygulananlardır. Teknik araçların tamamı genellikle donanım ve fiziksel olarak ayrılır.

Donanım teknik koruma araçları, doğrudan veri işleme sistemlerinin donanımına yerleştirilmiş cihazlar veya standart bir arayüz aracılığıyla donanımla arayüz oluşturan cihazlar olarak anlaşılır.

Fiziksel - otonom cihazlar veya sistemler şeklinde uygulanan araçlar (elektronik ve mekanik güvenlik alarmı ve video gözetim ekipmanı, kapılardaki kilitler, pencerelerdeki çubuklar vb.).

Yazılım araçları, IS ile ilişkili işlevleri gerçekleştirmek için özel olarak tasarlanmış programları oluşturur.

Örgütsel koruma araçları, bilgilerin korunmasını sağlamak için sistemlerin oluşturulması ve işletilmesi sürecinde gerçekleştirilen örgütsel, teknik ve örgütsel yasal önlemlerdir. Organizasyonel önlemler, yaşam döngülerinin tüm aşamalarında veri işleme sistemlerinin tüm yapısal unsurlarını kapsar: binaların inşası, sistemlerin tasarımı, ekipmanın kurulumu ve devreye alınması, test ve doğrulama, işletme.

Yasama yolları, kısıtlı bilgilerin kullanımı ve işlenmesine ilişkin kuralları düzenleyen ve bu kuralların ihlali için sorumluluk tedbirleri oluşturan yasal düzenlemeleri içerir.

Ahlaki ve etik koruma araçları, geleneksel olarak gelişen veya bilgisayar araçlarının yaygınlaşmasıyla şekillenen her türlü normu içerir. Çoğunlukla, bu normlar, yasal önlemler gibi zorunlu değildir, ancak bunlara uyulmaması, bir kişi veya kuruluşun yetki ve prestijini kaybetmesine yol açabilir.

Dikkate alınan tüm koruma araçları resmi ve gayri resmi olarak ayrılmıştır. Birincisi, önceden belirlenmiş bir prosedüre göre ve bir kişinin doğrudan katılımı olmadan kesinlikle koruyucu işlevleri yerine getiren araçları içerir. Gayri resmi araçlar, insanların amaçlı faaliyetleri tarafından belirlenen veya bu faaliyeti (doğrudan veya dolaylı olarak) düzenleyenleri içerir.