• hjem
  •  > 
  • Nettleserplugins
  •  > 
  • 1 liste opp de viktigste aspektene ved informasjonssikkerhet. Grunnleggende aspekter ved informasjonssikkerhet

1 liste opp de viktigste aspektene ved informasjonssikkerhet. Grunnleggende aspekter ved informasjonssikkerhet

Komponenter av informasjonssikkerhet

Generelt kan informasjonssikkerhet (IS) defineres som "sikkerheten til informasjon, ressurser og støttende infrastruktur fra utilsiktede eller tilsiktede påvirkninger av naturlig eller kunstig art som kan forårsake uakseptabel skade på emnene for informasjonsrelasjoner - produsenter, eiere og brukere informasjon og støttende infrastruktur."

Informasjonssikkerhet er ikke begrenset utelukkende til beskyttelse mot uautorisert tilgang til informasjon: det er et grunnleggende bredere konsept, inkludert beskyttelse av informasjon, teknologier og systemer.

Sikkerhetskrav i ulike aspekter av informasjonsaktivitet kan variere betydelig, men de er alltid rettet mot å oppnå følgende tre hovedkomponenter av informasjonssikkerhet:

  • integritet. Dette er først og fremst relevansen og konsistensen til informasjon, dens beskyttelse mot ødeleggelse og uautoriserte endringer, nemlig: dataene og informasjonen på grunnlag av beslutningene må være pålitelige, nøyaktige og beskyttet mot mulige utilsiktede og ondsinnede forvrengninger;
  • personvern. Klassifisert informasjon skal bare være tilgjengelig for de den er ment for. Slik informasjon kan ikke innhentes, leses, endres eller overføres med mindre det finnes passende tilgangsrettigheter;
  • tilgjengelighet(beredskap). Dette er en mulighet til å motta nødvendig informasjonstjeneste i rimelig tid, d.v.s. Data, informasjon og relaterte tjenester, automatiserte tjenester, interaksjons- og kommunikasjonsverktøy skal være tilgjengelige og klare til å fungere når de trengs.

Ier rettet mot å forhindre, forhindre eller nøytralisere følgende handlinger:

  • uautorisert tilgang til informasjonsressurser (NSD, Uautorisert tilgang - UAA);
  • forvrengning, delvis eller fullstendig tap av konfidensiell informasjon;
  • målrettede handlinger (angrep) for å ødelegge integriteten til programvaresystemer, datasystemer og informasjonsstrukturer;
  • feil og funksjonsfeil i programvare, maskinvare og telekommunikasjon.

En metodisk korrekt tilnærming til informasjonssikkerhetsproblemer begynner altså med å identifisere emnene informasjonsrelasjoner og interessene til disse emnene knyttet til bruk av informasjonsteknologier og -systemer (IT/IS).

Å vurdere den reelle situasjonen handler i de fleste tilfeller om å svare på de sentrale spørsmålene som danner det systemiske grunnlaget for å ivareta informasjonssikkerheten, og særlig om det er nødvendig å beskytte, mot hvem og hva som bør beskyttes, hva og hvordan som må beskyttes, hvilke tiltak som vil sikre effektiviteten av beskyttelse, og også for å evaluere de estimerte kostnadene ved utvikling, implementering, drift, vedlikehold og modernisering av sikkerhetssystemer.

De tre første spørsmålene knytter seg direkte til problemet med å vurdere reelle trusler (Fig. 7.1) 16]. Svarene på disse spørsmålene er tvetydige - mye avhenger av strukturen, aktivitetsområdet og målene til selskapet. Ved integrering av individuelle og bedrifters informasjonssystemer og -ressurser i en enhetlig informasjonsinfrastruktur, er den avgjørende faktoren å sikre riktig nivå av informasjonssikkerhet for hver enhet som har besluttet å gå inn i den enhetlige infrastrukturen.

Ris. 7.1.

I et enkelt informasjonsrom må det opprettes en statlig struktur eller et kommersielt selskap autentiseringsmekanismer og verktøy for å autentisere bruker, melding og innhold. Det må derfor opprettes et informasjonssikkerhetssystem som vil inkludere det nødvendige settet med tiltak og tekniske løsninger for å beskytte:

  • fra funksjonssvikt informasjonsrom ved å eliminere innvirkningen på informasjonskanaler og ressurser;
  • uautorisert tilgang til informasjon ved å oppdage og eliminere forsøk på å bruke ressursene til informasjonsrommet, noe som fører til brudd på dets integritet;
  • ødeleggelse av innebygd verneutstyr med evnen til å identifisere uautoriserte handlinger fra brukere og servicepersonell;
  • implementering av programvare " virus " og "bokmerker" "i programvareprodukter og maskinvare.

Spesielt bemerkelsesverdig er oppgavene med å sikre sikkerheten til systemer som utvikles og modifiseres i et integrert informasjonsmiljø, siden det i prosessen med å endre CIS oppstår nødsituasjoner med systemusikkerhet (såkalte "hull i systemet"). er uunngåelig.

Sammen med analysen av de spesifikke beskyttelsesmidlene som finnes i selskapet, utviklingen retningslinjer for informasjonssikkerhet, inkludert et sett med organisatoriske og administrative tiltak og dokumenter, samt metodiske og tekniske løsninger som er grunnlaget for å lage en inf(fig. 7.2).

Ris. 7.2.

Det neste trinnet i å utvikle et omfattende informasjonssikkerhetssystem er anskaffelse, installasjon og konfigurering av informasjonssikkerhetsverktøy og mekanismer. Slike verktøy inkluderer systemer for å beskytte informasjon mot uautorisert tilgang, kryptografiske beskyttelsessystemer, brannmurer (brannmurer, brannmurer), sikkerhetsanalyseverktøy osv. For korrekt og effektiv bruk av installerte sikkerhetsverktøy kreves det kvalifisert personell.

Over tid blir eksisterende beskyttelsesmidler utdaterte, nye versjoner av informasjonssikkerhetssystemer utgis, listen over funnet sårbarheter og angrep utvides stadig,, programvare og maskinvare, samt selskapets personell endres. Derfor er det nødvendig å regelmessig gjennomgå de utviklede organisatoriske og administrative dokumentene, gjennomføre en undersøkelse av informasjonssystemet eller dets undersystemer, trene personell og oppdatere sikkerhetstiltak.

Enhver virksomhet som mottar ressurser, inkludert informasjon, behandler dem for til slutt å selge sitt eget kommersielle produkt på markedet. Samtidig genererer det et spesifikt internt miljø, som er dannet av innsatsen til personell i alle strukturelle divisjoner, samt tekniske midler og teknologiske prosesser, økonomiske og sosiale relasjoner både i bedriften og i samspill med det ytre miljøet.

Bedriftsinformasjon gjenspeiler den finansielle og økonomiske tilstanden til foretaket og resultatene av dets aktiviteter. Eksempler på slik informasjon er registrerings- og lovpålagte dokumenter, langsiktige og aktuelle planer, bestillinger, instrukser, rapporter, produksjonsdata, data om pengeflyt og andre ressurser, informasjon om personalopplæring og bruksområder for produktene, herunder metoder og salgskanaler, salgsteknikker, bestillinger, logistikk, informasjon om leverandører og samarbeidspartnere.

Kilder til bedriftsinformasjon - direktoratet og administrasjonen til bedriften, planleggings- og finansavdelinger, regnskap, IT-avdelinger og datasentre, avdelinger for sjefingeniør og sjefsmekaniker, produksjonsavdelinger, juridiske, operasjonelle og reparasjonstjenester, logistikk, innkjøp og salg avdelinger osv.

Bedriftsmiljøet inkluderer statlige, økonomiske, politiske og sosiale aktører som opererer utenfor virksomheten. Informasjon utenfor bedriftsmiljøet er ofte ufullstendig, motstridende, omtrentlig, heterogen og reflekterer ikke i tilstrekkelig grad tilstanden til det ytre miljøet. Eksempler på ekstern informasjon som går utover bedriftsmiljøet er tilstanden til markedet (dets langsiktige og nåværende tilstand, trender i forretningsmiljøet, svingninger i tilbud og etterspørsel, ustabilitet i situasjonen, variabilitet, motstridende krav), endringer i lovgivning, forbrukernes forventninger, "intriger" til konkurrenter, konsekvenser av politiske hendelser, etc.

Det meste av denne informasjonen er åpen, men avhengig av egenskapene til interne aktiviteter og interaksjon med omverdenen, kan noe av informasjonen være ment "for offisiell bruk", dvs. være "strengt konfidensiell" eller "hemmelig". Slik informasjon er som regel "lukket" og krever passende beskyttelsestiltak.

For å sikre sikkerhet når du arbeider med beskyttet informasjon, bør du: For det første, oppstilling retningslinjer for arbeid med konfidensiell og proprietær informasjon, utvikle og implementere hensiktsmessige retningslinjer og prosedyrer og, for det andre å skaffe nødvendige programvare- og maskinvareressurser.

Programvare og maskinvare for arbeid med beskyttet informasjon er enten innebygd i de tilsvarende modulene i bedriftsinformasjonssystemet (CIS) eller brukt lokalt i systemer spesifisert i informasjonssikkerhetspolicyen. Disse inkluderer enheter som:

  • overvåke bevegelsen av konfidensiell informasjon gjennom informasjonssystemet (Data-in-Shell);
  • styring av datalekkasjekontroll gjennom nettverkstrafikk via TCP/IP, SMTP, IMAP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, proprietære protokoller ved å filtrere innhold på nivået:
  • – en gateway gjennom hvilken trafikk flyter fra det interne nettverket til det eksterne nettverket (Data-in-Motion);
  • – en server som behandler en bestemt type trafikk (Data-at-Rest);
  • – arbeidsstasjon (data-i-bruk);
  • – interne e-postkanaler Microsoft Exchange, Lotus Notes, etc.
  • – ledelseskontroll av lekkasje av beskyttet informasjon fra arbeidsstasjoner, periferiutstyr og mobil
  • – etablere proaktiv beskyttelse og personlige brannmurer;
  • – skyggekopiering av informasjonsobjekter til én enkelt innholdsfiltreringsdatabase for alle kanaler i henhold til enhetlige regler.

Å organisere beskyttelsen av beskyttet data og informasjon på riktig måte er verken enkelt eller billig. For å gjøre dette må du klassifisere data, gjennomføre en grundig oversikt over informasjonsressurser, velge en passende programvare- og maskinvareløsning, utvikle og implementere et sett med regulatoriske dokumenter for å sikre intern sikkerhet. Hovedrollen i dette vanskelige arbeidet med å minimere risikoen for datalekkasje spilles av kompetansen og viljen til toppledelsen i bedriften, gjeldende retningslinjer og effektiv programvare, samt forretningshemmelighetsregimet når man arbeider med beskyttet informasjon.

Rask utvikling av datainformasjonsteknologier gjør betydelige endringer i livene våre. Informasjon har blitt en vare som kan kjøpes, selges og byttes. Dessuten er kostnaden for informasjon ofte hundrevis av ganger større enn kostnaden for datasystemet der den er lagret.

Velvære og noen ganger livene til mange mennesker avhenger for tiden av graden av sikkerhet til informasjonsteknologi. Dette er prisen å betale for den økende kompleksiteten og den utbredte distribusjonen av automatiserte informasjonsbehandlingssystemer.

Under informasjonssikkerhet refererer til sikkerheten til et informasjonssystem mot utilsiktet eller tilsiktet forstyrrelse som forårsaker skade på eiere eller brukere av informasjon.

I praksis er tre aspekter ved informasjonssikkerhet viktigst:

  • tilgjengelighet(evnen til å få den nødvendige informasjonstjenesten innen rimelig tid);
  • integritet(relevansen og konsistensen av informasjon, dens beskyttelse mot ødeleggelse og uautoriserte endringer);
  • konfidensialitet(beskyttelse mot uautorisert lesing).

Brudd på informasjonens tilgjengelighet, integritet og konfidensialitet kan være forårsaket av ulike farlige påvirkninger på datainformasjonssystemer.

Hovedtrusler mot informasjonssikkerhet

Et moderne informasjonssystem er et komplekst system som består av et stort antall komponenter med ulik grad av autonomi som henger sammen og utveksler data. Nesten hver komponent kan bli utsatt for ytre påvirkninger eller svikte. Komponentene i et automatisert informasjonssystem kan deles inn i følgende grupper:

  • maskinvare- datamaskiner og deres komponenter (prosessorer, skjermer, terminaler, perifere enheter - diskstasjoner, skrivere, kontrollere, kabler, kommunikasjonslinjer, etc.);
  • programvare- kjøpte programmer, kilde, objekt, lastmoduler; operativsystemer og systemprogrammer (kompilatorer, linkere, etc.), verktøy, diagnoseprogrammer, etc.;
  • data- lagret midlertidig og permanent, på magnetiske medier, trykt, arkiver, systemlogger, etc.;
  • personale- driftspersonell og brukere.

Farlige påvirkninger på et datainformasjonssystem kan deles inn i utilsiktet og tilsiktet. En analyse av erfaring fra design, produksjon og drift av informasjonssystemer viser at informasjon er gjenstand for ulike tilfeldige påvirkninger i alle stadier av systemets livssyklus. Grunner tilfeldige påvirkninger under drift kan det være:

  • nødsituasjoner på grunn av naturkatastrofer og strømbrudd;
  • utstyrsfeil og funksjonsfeil;
  • programvarefeil;
  • feil i personalarbeid;
  • forstyrrelser i kommunikasjonslinjer på grunn av miljøpåvirkning.

Forsettlige påvirkninger- Dette er målrettede handlinger fra lovbryteren. Gjerningsmannen kan være en ansatt, en besøkende, en konkurrent eller en leiesoldat. Gjerningsmannens handlinger kan skyldes forskjellige motiver:

  • ansattes misnøye med karrieren;
  • bestikkelse;
  • nysgjerrighet;
  • konkurranse;
  • ønsket om å hevde seg for enhver pris.

Du kan lage en hypotetisk modell av en potensiell overtreder:

  • kvalifisering av lovbryteren på nivå med utvikleren av dette systemet;
  • krenkeren kan enten være en utenforstående eller en legitim bruker av systemet;
  • lovbryteren kjenner til informasjon om driftsprinsippene til systemet;
  • lovbryteren velger det svakeste leddet i forsvaret.

Den vanligste og mest mangfoldige typen databrudd er uautorisert tilgang(NSD). NSD utnytter enhver feil i sikkerhetssystemet og er mulig på grunn av et irrasjonelt valg av sikkerhetsmidler, feil installasjon og konfigurasjon.

La oss klassifisere ikke-diskriminerende informasjonskanaler der informasjon kan stjeles, endres eller ødelegges:

  • Gjennom en person:
    • tyveri av lagringsmedier;
    • lese informasjon fra skjermen eller tastaturet;
    • lese informasjon fra en utskrift.
  • Gjennom programmet:
    • passordavskjæring;
    • dekryptering av kryptert informasjon;
    • kopiere informasjon fra lagringsmedier.
  • Via utstyr:
    • tilkobling av spesialdesignet maskinvare som gir tilgang til informasjon;
    • avlytting av elektromagnetisk sidestråling fra utstyr, kommunikasjonslinjer, strømforsyningsnettverk mv.

Spesiell oppmerksomhet bør rettes mot truslene datanettverk kan bli utsatt for. Hovedtrekket til et datanettverk er at komponentene er distribuert i verdensrommet. Kommunikasjon mellom nettverksnoder utføres fysisk ved bruk av nettverkslinjer og programmatisk ved hjelp av en meldingsmekanisme. I dette tilfellet blir kontrollmeldinger og data sendt mellom nettverksnoder overført i form av utvekslingspakker. Datanettverk er preget av at s.k eksterne angrep. Inntrengeren kan befinne seg tusenvis av kilometer fra objektet som blir angrepet, og ikke bare en spesifikk datamaskin kan bli angrepet, men også informasjon som overføres via nettverkskommunikasjonskanaler.

Sikre informasjonssikkerhet

Dannelse av et informasjonssikkerhetsregime er et komplekst problem. Tiltak for å løse det kan deles inn i fem nivåer:

  1. lovgivende (lover, forskrifter, standarder, etc.);
  2. moralsk og etisk (alle slags standarder for atferd, manglende overholdelse som fører til en nedgang i prestisje til en bestemt person eller en hel organisasjon);
  3. administrative (generelle handlinger tatt av organisasjonens ledelse);
  4. fysiske (mekaniske, elektro- og elektronisk-mekaniske hindringer på mulige inngangsveier for potensielle inntrengere);
  5. maskinvare og programvare (elektroniske enheter og spesielle).

Et enkelt sett av alle disse tiltakene tar sikte på å motvirke sikkerhetstrusler for å minimere muligheten for skade beskyttelsessystem.

Et pålitelig beskyttelsessystem må overholde følgende prinsipper:

  • Kostnaden for verneutstyr bør være mindre enn mengden mulig skade.
  • Hver bruker må ha minimumssettet med privilegier som kreves for å operere.
  • Jo mer effektiv beskyttelsen er, jo lettere er det for brukeren å jobbe med den.
  • Mulighet for avstengning i nødstilfeller.
  • Spesialister involvert i beskyttelsessystemet må fullt ut forstå prinsippene for driften og, i tilfelle vanskelige situasjoner, reagere tilstrekkelig på dem.
  • Hele informasjonsbehandlingssystemet skal beskyttes.
  • Utviklerne av sikkerhetssystemet bør ikke være blant dem som dette systemet vil kontrollere.
  • Sikkerhetssystemet må bevise at det fungerer korrekt.
  • Personer som er involvert i å ivareta informasjonssikkerhet, må bære personlig ansvar.
  • Det er tilrådelig å dele verneobjekter inn i grupper slik at et brudd på vernet i en av gruppene ikke påvirker sikkerheten til andre.
  • Et pålitelig sikkerhetssystem må være fullstendig testet og konsistent.
  • Beskyttelsen blir mer effektiv og fleksibel hvis den lar administratoren endre parametrene.
  • Sikkerhetssystemer må utformes med en forutsetning om at brukere vil gjøre alvorlige feil og generelt ha de verste intensjoner.
  • De viktigste og mest kritiske avgjørelsene må tas av mennesker.
  • Eksistensen av sikkerhetsmekanismer bør om mulig skjules for brukerne hvis arbeid overvåkes.

Maskinvare og programvare for informasjonssikkerhet

Til tross for at moderne operativsystemer for personlige datamaskiner, som Windows 2000, Windows XP og Windows NT, har sine egne sikkerhetsundersystemer, gjenstår relevansen av å lage ytterligere sikkerhetsverktøy. Faktum er at de fleste systemer ikke er i stand til å beskytte data som ligger utenfor dem, for eksempel under nettverksinformasjonsutveksling.

Informasjonssikkerhetsverktøy for maskinvare og programvare kan deles inn i fem grupper:

  1. Systemer for brukeridentifikasjon (gjenkjenning) og autentisering (autentisering).
  2. Systemer for kryptering av diskdata.
  3. Krypteringssystemer for data som overføres over nettverk.
  4. Elektroniske dataautentiseringssystemer.
  5. Håndtering av kryptografiske nøkkelverktøy.

1. Brukeridentifikasjon og autentiseringssystemer

De brukes til å begrense tilgangen til tilfeldige og ulovlige brukere til datasystemressurser. Den generelle algoritmen for driften av slike systemer er å innhente identifikasjonsinformasjon fra brukeren, verifisere dens autentisitet og deretter gi (eller ikke gi) denne brukeren muligheten til å arbeide med systemet.

Når du bygger disse systemene, oppstår problemet med å velge informasjon på grunnlag av hvilke prosedyrer for brukeridentifikasjon og autentisering skal utføres. Følgende typer kan skilles:

  • hemmelig informasjon som brukeren har (passord, hemmelig nøkkel, personlig identifikator, etc.); brukeren må huske denne informasjonen eller spesielle lagringsmidler kan brukes for den;
  • fysiologiske parametere til en person (fingeravtrykk, irismønstre, etc.) eller atferdsegenskaper (funksjoner ved å jobbe på et tastatur, etc.).

Systemer basert på den første typen informasjon vurderes tradisjonell. Systemer som bruker den andre typen informasjon kalles biometrisk. Det bør bemerkes at det er en voksende trend med rask utvikling av biometriske identifikasjonssystemer.

2. Datakrypteringssystemer for disker

For å gjøre informasjon ubrukelig for en motstander, kalles et sett med datatransformasjonsmetoder kryptografi[fra gresk kryptos- skjult og grafo- skriving].

Krypteringssystemer kan utføre kryptografiske transformasjoner av data på filnivå eller på disknivå. Programmer av den første typen inkluderer arkivere som ARJ og RAR, som tillater bruk av kryptografiske metoder for å beskytte arkivfiler. Et eksempel på den andre typen system er diskreet-krypteringsprogrammet, en del av den populære Norton Utilities-programvarepakken, Best Crypt.

En annen klassifiseringsfunksjon ved diskdatakrypteringssystemer er måten de fungerer på. I henhold til funksjonsmetoden er diskdatakrypteringssystemer delt inn i to klasser:

  • "transparente" krypteringssystemer;
  • systemer som er spesifikt kalt for å utføre kryptering.

I transparente krypteringssystemer (on-the-fly-kryptering) utføres kryptografiske transformasjoner i sanntid, ubemerket av brukeren. For eksempel skriver en bruker et dokument forberedt i et tekstredigeringsprogram til en beskyttet disk, og sikkerhetssystemet krypterer det under skriveprosessen.

Andreklasses systemer er vanligvis verktøy som må kalles spesifikt for å utføre kryptering. Disse inkluderer for eksempel arkivere med innebygd passordbeskyttelse.

De fleste systemer som tilbyr å angi et passord for et dokument, krypterer ikke informasjonen, men krever bare et passord ved tilgang til dokumentet. Slike systemer inkluderer MS Office, 1C og mange andre.

3. Krypteringssystemer for data som overføres over nettverk

Det er to hovedkrypteringsmetoder: kanalkryptering og terminalkryptering (abonnent).

Når kanalkryptering All informasjon som sendes over kommunikasjonskanalen, inkludert tjenesteinformasjon, er beskyttet. Denne krypteringsmetoden har følgende fordel - innebygging av krypteringsprosedyrer i datalinklaget tillater bruk av maskinvare, noe som bidrar til å forbedre systemytelsen. Imidlertid har denne tilnærmingen også betydelige ulemper:

  • kryptering av tjenestedata kompliserer mekanismen for ruting av nettverkspakker og krever datadekryptering i mellomliggende kommunikasjonsenheter (gatewayer, repeatere, etc.);
  • kryptering av tjenesteinformasjon kan føre til at det vises statistiske mønstre i krypterte data, noe som påvirker påliteligheten til beskyttelsen og pålegger begrensninger på bruken av kryptografiske algoritmer.

Terminal (abonnent) kryptering lar deg sikre konfidensialiteten til data som overføres mellom to abonnenter. I dette tilfellet er bare innholdet i meldinger beskyttet, all tjenesteinformasjon forblir åpen. Ulempen er muligheten til å analysere informasjon om strukturen i meldingsutvekslingen, slik som avsender og mottaker, tidspunkt og betingelser for dataoverføring og mengden data som overføres.

4. Elektroniske dataautentiseringssystemer

Ved utveksling av data over nettverk oppstår problemet med å autentisere forfatteren av dokumentet og selve dokumentet, dvs. fastslå autentisiteten til forfatteren og kontrollere at det ikke er noen endringer i det mottatte dokumentet. For å autentisere data brukes en meldingsautentiseringskode (imit-innsetting) eller en elektronisk signatur.

Imitovstak generert fra de vanlige dataene gjennom en spesiell krypteringstransformasjon ved bruk av en hemmelig nøkkel og overført over kommunikasjonskanalen på slutten av de krypterte dataene. Etterligningsinnsettingen bekreftes av mottakeren, som har den hemmelige nøkkelen, ved å gjenta prosedyren tidligere utført av avsenderen på de mottatte offentlige dataene.

Elektronisk digital signatur representerer en relativt liten mengde ekstra autentiseringsinformasjon som sendes sammen med den signerte teksten. Avsenderen genererer en digital signatur ved hjelp av avsenderens private nøkkel. Mottakeren verifiserer signaturen ved å bruke avsenderens offentlige nøkkel.

For å implementere imitasjoner brukes prinsippene for symmetrisk kryptering, og for å implementere en elektronisk signatur brukes asymmetrisk kryptering. Vi vil studere disse to krypteringssystemene mer detaljert senere.

5. Håndtering av kryptografiske nøkkelverktøy

Sikkerheten til ethvert kryptosystem bestemmes av de kryptografiske nøklene som brukes. Hvis nøkkelhåndtering er usikker, kan en angriper få nøkkelinformasjon og få full tilgang til all informasjon på et system eller nettverk.

Følgende typer nøkkeladministrasjonsfunksjoner skilles ut: generering, lagring og distribusjon av nøkler.

Metoder nøkkelgenerering for symmetriske og asymmetriske kryptosystemer er forskjellige. For å generere nøkler for symmetriske kryptosystemer, brukes maskinvare- og programvareverktøy for å generere tilfeldige tall. Nøkkelgenerering for asymmetriske kryptosystemer er mer kompleks, siden nøklene må ha visse matematiske egenskaper. Vi vil dvele på dette problemet mer detaljert når vi studerer symmetriske og asymmetriske kryptosystemer.

Funksjon Oppbevaring innebærer å organisere sikker lagring, registrering og sletting av nøkkelinformasjon. For å sikre sikker lagring av nøkler, krypteres de med andre nøkler. Denne tilnærmingen fører til konseptet om et nøkkelhierarki. Nøkkelhierarkiet inkluderer typisk en hovednøkkel (dvs. en hovednøkkel), en nøkkelkrypteringsnøkkel og en datakrypteringsnøkkel. Det skal bemerkes at generering og lagring av hovednøkkelen er et kritisk problem i kryptografisk sikkerhet.

Fordeling- den mest kritiske prosessen i nøkkelledelse. Denne prosessen må sikre konfidensialiteten til nøklene som distribueres, samt være rask og nøyaktig. Nøkler distribueres blant nettverksbrukere på to måter:

  • bruke direkte utveksling av øktnøkler;
  • ved hjelp av ett eller flere sentrale distribusjonssentre.

Liste over dokumenter

  1. OM STATSHEMMELIGHETER. Den russiske føderasjonens lov av 21. juli 1993 nr. 5485-1 (som endret ved føderal lov av 6. oktober 1997 nr. 131-FZ).
  2. OM INFORMASJON, INFORMASJON OG INFORMASJONSBESKYTTELSE. Den russiske føderasjonens føderale lov av 20. februar 1995 nr. 24-FZ. Vedtatt av statsdumaen 25. januar 1995.
  3. OM JURIDISK BESKYTTELSE AV PROGRAMMER FOR ELEKTRONISKE DATAMASKINER OG DATABASER. Den russiske føderasjonens lov av 23. februar 1992 nr. 3524-1.
  4. OM ELEKTRONISK DIGITAL SIGNATUR. Den russiske føderasjonens føderale lov av 10. januar 2002 nr. 1-FZ.
  5. OM OPPHAVSRETT OG RELATERTE RETTIGHETER. Den russiske føderasjonens lov av 9. juli 1993 nr. 5351-1.
  6. OM KOMMUNIKASJON OG INFORMASJONSORGANER. Den russiske føderasjonens lov (som endret ved dekret fra presidenten i den russiske føderasjonen datert 24. desember 1993 nr. 2288; føderal lov datert 7. november 2000 nr. 135-FZ.
  7. Forskrifter om akkreditering av testlaboratorier og sertifiseringsorganer for informasjonssikkerhetsutstyr i henhold til informasjonssikkerhetskrav / Statens tekniske kommisjon under presidenten for den russiske føderasjonen.
  8. Instruksjoner om prosedyren for merking av samsvarssertifikater, deres kopier og sertifiseringsmidler for informasjonssikkerhet / Statens tekniske kommisjon under presidenten for den russiske føderasjonen.
  9. Forskrifter om sertifisering av informatiseringsobjekter i henhold til informasjonssikkerhetskrav / Statens tekniske kommisjon under presidenten for den russiske føderasjonen.
  10. Forskrifter om sertifisering av informasjonssikkerhet betyr i henhold til informasjonssikkerhetskrav: med tillegg i samsvar med dekret fra regjeringen i Den russiske føderasjonen av 26. juni 1995 nr. 608 "Om sertifisering av informasjonssikkerhetsmidler" / Statens tekniske kommisjon under presidenten for den russiske føderasjonen.
  11. Forskrifter om statlig lisensiering av aktiviteter innen informasjonssikkerhet / Statens tekniske kommisjon under presidenten for den russiske føderasjonen.
  12. Automatiserte systemer. Beskyttelse mot uautorisert tilgang til informasjon. Klassifisering av automatiserte systemer og krav til informasjonsbeskyttelse: Veiledende dokument / Statens tekniske kommisjon under presidenten for den russiske føderasjonen.
  13. Konseptet med å beskytte datautstyr og automatiserte systemer mot uautorisert tilgang til informasjon: Veiledende dokument / Statens tekniske kommisjon under presidenten for den russiske føderasjonen.
  14. Datafasiliteter. Brannmurer. Beskyttelse mot uautorisert tilgang til informasjon. Indikatorer for sikkerhet mot uautorisert tilgang til informasjon: Veiledende dokument / Statens tekniske kommisjon under presidenten for den russiske føderasjonen.
  15. Datafasiliteter. Beskyttelse mot uautorisert tilgang til informasjon. Indikatorer for sikkerhet mot uautorisert tilgang til informasjon: Veiledende dokument / Statens tekniske kommisjon under presidenten for den russiske føderasjonen.
  16. Data beskyttelse. Spesielle beskyttelsesskilt. Klassifisering og generelle krav: Veiledende dokument / Statens tekniske kommisjon under presidenten for den russiske føderasjonen.
  17. Beskyttelse mot uautorisert tilgang til informasjon. Begreper og definisjoner: Veiledende dokument / Statens tekniske kommisjon under presidenten for den russiske føderasjonen.

Bedriftssikkerhet er ikke et nytt fenomen i det hele tatt. Det som først nylig har blitt kalt med dette begrepet har eksistert siden begynnelsen av handelen. Hver kjøpmann forsøkte å beskytte sine profesjonelle hemmeligheter fra konkurrenter, for ikke å tape fortjeneste.

Moderne realiteter av bedriftens sikkerhet for selskapet

Faktisk er moderne bedriftssikkerhet ikke mye forskjellig fra den gamle. Bare realitetene der forretningsmenn må drive sin virksomhet er i endring. Ethvert selskap ønsker å være pålitelig beskyttet, ikke bare mot eksterne trusler, men også mot interne trusler. Dette problemet løses av bedrifts- oger. De står overfor oppgaven med å gjennomføre en hel rekke tiltak, inkludert nesten alle områder av selskapets liv:

  • beskyttelse av forretningshemmeligheter;
  • internt arbeid med ansatte;
  • innenlandsk kontraetterretning;
  • offisielle undersøkelser;
  • økonomisk sikkerhet;
  • teknisk og fysisk beskyttelse.

Hvis det er problemer med minst ett av disse punktene, vil det være problemer. For ikke lenge siden brøt det ut en skandale i Storbritannia – harddisker med klinikkpasientdata som skulle bli ødelagt, havnet plutselig på eBay-auksjoner.

Sykehusene overførte de utrangerte diskene til et entreprenørselskap, som på sin side brukte tjenestene til en privat part. En driftig engelskmann, i stedet for samvittighetsfullt å oppfylle sine plikter – ødelegge mediene – satte opp disker med data for salg.

I dette tilfellet kan to punkter kalles "svake lenker" - internt arbeid med ansatte og teknisk beskyttelse. La oss finne ut hvorfor. Lekkasjen var forårsaket av en altfor lang kjede av mellommenn, som et resultat av at kunden ikke engang var klar over hvem som var direkte involvert i ødeleggelsen av disker og hvis handlinger som måtte overvåkes. I tillegg er selve det faktum at sykehus overførte disker med ubeskyttede personopplysninger om pasienter til tredjeparter en teknisk utelatelse av ansatte.

En ansvarlig tilnærming til å sikre bedriftens informasjonssikkerhet vil bidra til å unngå denne situasjonen. La oss finne ut hva som må gjøres for å få et virkelig fungerende informasjonssikkerhetssystem.

Hvordan identifisere en tyv i en bedrift ved hjelp av KIB SearchInform?

Tre vanskelige steg

Før du begynner å bygge et effektivt informasjonssikkerhetssystem, er det nødvendig å nøye analysere datalagrings- og prosesseringssystemet som allerede eksisterer i bedriften. Det er tre hovedtrinn som må tas for å gjøre dette:

1. Identifisere kritisk informasjon.

2. Identifisere svakheter i bedriftens sikkerhet.

3. Vurdere mulighetene for å beskytte denne informasjonen.

Alle disse handlingene kan utføres enten av dine egne ansatte, eller du kan bestille en revisjon av selskapets informasjonssikkerhet fra spesialister. Fordelene med den første metoden er lavere kostnader og, viktigere, mangelen på tilgang til bedriftsdata for tredjeparter. Imidlertid, hvis organisasjonen ikke har gode heltidsspesialister for sikkerhetsrevisjon, er det best å ty til hjelp fra tredjepartsselskaper - resultatet vil være mer pålitelig. Dette vil hjelpe deg å unngå de vanligste feilene innen informasjonssikkerhet.

"De vanligste feilene- dette er en under- og overvurdering av trusler mot næringsvirksomhet, - mener Alexander Doronin, økonomisk sikkerhetsekspert og forfatter av Business Intelligence. "I det første tilfellet er det gapende hull i bedriftens sikkerhetssystem, som for organisasjonen resulterer i direkte skade fra lekkasje av konfidensiell informasjon, bedriftssvindel og direkte tyveri av det som måtte komme til hendene."

Ved overvurdering av trusler legger sikkerhetssystemet ikke bare en tung belastning på virksomhetens budsjett, men gjør det også urettmessig vanskelig for organisasjonens ansatte å oppfylle sine tildelte oppgaver. Dette truer tap av mulig fortjeneste og tap av konkurranseevne.»

Identifisere kritisk informasjon. På dette stadiet skjer identifiseringen av disse dokumentene og dataene, hvis sikkerhet er av stor betydning for selskapet, og lekkasjen som forårsaker store tap. Oftest inkluderer slik informasjon informasjon som utgjør en forretningshemmelighet, men ikke bare.

For eksempel, etter vedtakelsen av den nye utgaven av den føderale loven "Om personopplysninger", trenger også all informasjon som samles inn av en organisasjon om dens ansatte og klienter beskyttelse. Fjorårets serie med lekkasjer fra Megafon, nettbutikker og russiske jernbaner, samt bøtene mottatt av gjerningsmennene til disse hendelsene, er det beste beviset på behovet for å beskytte slik informasjon.

Det er viktig å huske: tredjepartsrevisorer kan ikke uavhengig sette sammen en liste over alle dokumenter som må beskyttes. Revisors arbeid bør utføres sammen med en ansatt i foretaket som er godt klar over særegenhetene ved dokumentflyt.

Identifisere svakheter i bedriftens sikkerhet. Denne oppgaven utføres direkte av spesialistene som utfører revisjonen. Valget av designskjema for informasjonssikkerhet avhenger av resultatene av dette arbeidet.

Ved identifisering av hull i informasjon og, som en konsekvens, bedriftssikkerhet, vurderes ikke bare tekniske midler. Et svært viktig poeng er eksistensen av en differensiering av ansattes tilgangsrettigheter til denne eller den informasjonen, og en taushetserklæring om bedriftsinformasjon. Det er også viktig å vurdere ansattes lojalitet til ledelse og relasjoner i teamet – alt dette er HR-avdelingens ansvar.

Et nylig eksempel på en situasjon der en medarbeider utnyttet sin stilling og stjal informasjon, var tyveriet av det kenyanske representasjonskontoret til Google av informasjon om oppstarten Mocality (en nettbasert bedriftsinformasjonsdatabase). Google ble tvunget til å gi en offisiell unnskyldning til ofrene, og lederen av representasjonskontoret, som var skyld i hendelsen, ble fjernet fra sin stilling.

Vurdering av informasjonssikkerhetsevner. Dette er det siste stadiet av revisjonen, der det, basert på analysen, utarbeides en liste over spesifikke tiltak som må iverksettes for å beskytte selskapets bedriftshemmeligheter. Anbefalinger kan være både tekniske og organisatoriske.

I tillegg analyseres på dette stadiet selskapets økonomiske evner til å beskytte informasjon, siden mange informasjonsbeskyttelsesverktøy kan vise seg å være for dyre for bedriften. Og noen av disse tiltakene er rett og slett ikke praktiske for små bedrifter. Et spesielt behov oppstår dersom organisasjonen bruker 50 eller flere datamaskiner.

Installasjon av et DLP-system går alltid foran en teknisk revisjon. Etter bestilling blir kunden konsultert av SearchInform-ingeniører, som vurderer selskapets IT-infrastruktur og bestemmer hvor mye kapasitet som kreves for å installere programmet.

Toveis beskyttelse

Informasjonssikkerhet er bare en av mange måter (om enn den viktigste) for å sikre bedriftsbeskyttelse. Et sett med tiltak er nødvendig - tekniske og organisatoriske.

Tekniske løsninger for å beskytte bedriftshemmeligheter inkluderer installasjon av et DLP-system (Data Leak Prevention). Dette settet med programvareverktøy overvåker all informasjonsflyt i organisasjonen – fra e-post til programmer som bruker krypteringsalgoritmer (for eksempel Skype) eller HTTPS-protokollen. Alle flyttbare lagringsmedier, bedriftsdatamaskiner og bærbare datamaskiner er også under kontroll.

Et viktig trekk ved DLP-systemer er deres autonomi. Det er ikke nødvendig for et selskap å opprettholde en hel avdeling dedikert til informasjonssikkerhet. Bare noen få spesialister er nok.

Nyere forskning fra SearchInform, en ledende aktør i det russiske informasjonssikkerhetsmarkedet, har vist at DLP-systemer ikke er veldig populære nå i Russland og CIS-landene. Litt over halvparten av organisasjonene (58%) planlegger å installere omfattende sikkerhet snart. Resten anser ikke implementeringen som nødvendig eller mener at delvis beskyttelse er tilstrekkelig. Informasjonssikkerheten vil imidlertid først være på et optimalt nivå når det gis omfattende beskyttelse.

DLP-systemet tillater ikke bare å sikre pålitelig beskyttelse av hemmeligheter. Funksjonene deres er mye bredere: med riktig tilnærming kan du få informasjon om stemningen til ansatte i teamet, spore bevegelsen av nøkkeldokumenter, innkommende og utgående meldinger. Som et resultat er bruken av DLP-systemer også et effektivt hjelpemiddel i så viktige bedriftssikkerhetsaktiviteter som intern kontraetterretning eller interne undersøkelser.

Teknisk datasikkerhet og sporing av ansattes handlinger alene er imidlertid ikke nok. Organisatoriske tiltak, arbeid med ansatte, og utvikling av intern dokumentasjon er også viktig.

"Bedriftens sikkerhetssystem må være omfattende, ellers vil det være som en spøk: ved inngangen kontrollerer en sikkerhetsvakt strengt passet til selskapets ansatte, og tjue meter fra inngangen er det et hull som alle kan komme inn gjennom selskapets territorium», deler han sin erfaring Alexander Doronin.

Organisasjonsarbeid omfatter å informere personell om tilstedeværelsen av informasjonssikkerhetssystemer i organisasjonen, behovet for å opprettholde forretningshemmeligheter og mulige konsekvenser av avsløringen av disse, både for virksomheten og for den ansatte selv. Å skape et positivt arbeidsmiljø er et annet sentralt aspekt ved organisatoriske tiltak. Bedriftssikkerhet er umulig hvis ansatte ser på hverandre med mistillit. En slik "kald krig" vil redusere forretningsprosessene betydelig. Derfor er det verdt å minne om den viktige rollen til HR-avdelingen.

Når det gjelder utvikling av intern dokumentasjon, må de ansattes ansvar være tydelig angitt, samt deres rett til innsyn i visse dokumenter. Hver avdeling skal utføre oppgavene som er tildelt den - ikke mer, men ikke mindre.

Vi må ikke glemme slike tilsynelatende grunnleggende ting som arbeidet til sikkerhetstjenesten. Fysisk beskyttelse av ansatte på arbeidsplassen er også en viktig del av bedriftens sikkerhet.

Bare ved å oppnå en slik toveis – teknisk og organisatorisk – beskyttelse, uten å overdrive eller minimere trusselen, kan du skape pålitelig bedriftsbeskyttelse for selskapet.

Følgende aspekter kan skilles i problemet med informasjonssikkerhet:

Informasjonsintegritet

Informasjonsintegritet– dette er dens fysiske sikkerhet, beskyttelse mot ødeleggelse og forvrengning, samt dens relevans og konsistens.

Informasjonsintegritet er delt inn i:

· statisk,

· dynamisk.

Statisk integritet informasjon forutsetter uforanderlighet av informasjonsobjekter fra deres opprinnelige tilstand, bestemt av forfatteren eller informasjonskilden.

Dynamisk integritet informasjon inkluderer problemer med å riktig utføre komplekse handlinger med informasjonsflyter, for eksempel å analysere meldingsstrømmen for å identifisere feil, overvåke riktig overføring av meldinger, bekrefte individuelle meldinger, etc.

Integritet er det viktigste aspektet ved informasjonssikkerhet i tilfeller der informasjon brukes til å administrere ulike prosesser, for eksempel tekniske, sosiale, etc.

Dermed vil en feil i kontrollprogrammet føre til stopp av det kontrollerte systemet, en feiltolkning av loven kan føre til brudd på den, på samme måte som en unøyaktig oversettelse av bruksanvisningen for legemiddel kan forårsake helseskade. Alle disse eksemplene illustrerer et brudd på integriteten til informasjon, som kan føre til katastrofale konsekvenser. Det er derfor informasjonsintegritet fremheves som en av grunnkomponentene i informasjonssikkerhet.

Integritet er en garanti for at informasjon nå eksisterer i sin opprinnelige form, det vil si at ingen uautoriserte endringer ble gjort under lagring eller overføring.

For eksempel, når vi registrerer informasjon om studenter på en datamaskins harddisk, håper vi at den vil bli lagret der i uendelig lang tid (til vi sletter den selv) uendret (det vil si spontant, uten vår viten, navnene på studentene) i denne listen ikke endres). I tillegg regner vi med konsistens i informasjon, for eksempel om at det ikke vil være ett år gammelt barn på elevlisten, eller at samme elev ikke vil stå på listene til to grupper samtidig.

Tilgjengelighet av informasjon

Tilgjengelighet av informasjon er en garanti for at brukeren vil motta nødvendig informasjon eller informasjonstjeneste innen en viss tid.

Informasjonstilgjengelighetens rolle er spesielt tydelig i ulike typer styringssystemer - produksjon, transport osv. Mindre dramatiske, men også svært ubehagelige konsekvenser - både materielle og moralske - kan forårsakes av langvarig utilgjengelighet av informasjonstjenester som brukes av et stort antall mennesker, for eksempel salg av jernbane- og flybilletter, banktjenester, tilgang til Internett-informasjonsnettverket, etc.

Tidsfaktoren for å bestemme tilgjengeligheten av informasjon er i noen tilfeller svært viktig, siden noen typer informasjon og informasjonstjenester kun er meningsfulle i en viss tidsperiode. For eksempel mister det all mening å motta en forhåndsbestilt flybillett etter avgang. På samme måte gir det ingen mening å få en værmelding for i går, siden den hendelsen allerede har skjedd. I denne sammenhengen er ordtaket "En skje er kjært til middag" veldig passende.

Tilgjengelighet av informasjon innebærer at emnet for informasjonsrelasjoner (bruker) har mulighet til å få den nødvendige informasjonstjenesten innen akseptabel tid.

For eksempel, når vi oppretter et informasjonssystem med informasjon om studenter, forventer vi at vi ved hjelp av dette systemet når som helst innen noen få sekunder vil være i stand til å skaffe den nødvendige informasjonen (en liste over studenter fra en hvilken som helst gruppe, fullstendig informasjon om en spesifikk student, endelige data, for eksempel gjennomsnittsalderen til elevene, antall gutter og jenter, og så videre).

Det skal bemerkes at elektroniske databehandlingssystemer er laget spesielt for å tilby visse informasjonstjenester. Hvis levering av slike tjenester blir umulig, forårsaker dette skade på alle emner av informasjonsforhold. Derfor, uten å kontrastere tilgjengelighet med andre aspekter, blir det pekt ut som det viktigste elementet i informasjonssikkerhet.

Nesten alle organisasjoner har konfidensiell informasjon. Dette kan være en produksjonsteknologi, et programvareprodukt, personopplysninger til ansatte osv. I forhold til datasystemer er passord for tilgang til systemet obligatoriske konfidensielle data.

Konfidensialitet av informasjon– dette er en garanti for tilgjengeligheten av spesifikk informasjon kun for den kretsen av personer som den er ment for.

Konfidensiell informasjon– Dette er informasjon som et begrenset antall personer har rett til tilgang til.

Dersom tilgang til konfidensiell informasjon oppnås av en person som ikke har en slik rettighet, kalles slik tilgang uautorisert og anses som et brudd på beskyttelsen av konfidensiell informasjon. En person som skaffer seg eller forsøker å få uautorisert tilgang til konfidensiell informasjon blir tilkalt inntrenger.

For eksempel, hvis Sasha sendte Masha et brev via e-post, er informasjonen i dette brevet konfidensiell, siden hemmeligholdet til personlig korrespondanse er beskyttet av loven. Hvis Machines bror, etter å ha hacket passordet, fikk tilgang til Machines postkasse og leste brevet, så har det skjedd uautorisert tilgang til konfidensiell informasjon, og Machines bror er en angriper.

Å sikre informasjonskonfidensialitet er den mest utviklede delen av informasjonssikkerhet.

Den føderale loven "om informasjon, informatisering og informasjonsbeskyttelse" bestemmer at informasjonsressurser, det vil si individuelle dokumenter eller arrays av dokumenter, inkludert i informasjonssystemer, som er gjenstand for relasjoner mellom enkeltpersoner, juridiske enheter og staten, er underlagt obligatoriske regnskap og beskyttelse, som enhver materiell eiendom til eieren. I dette tilfellet gis eieren rett til uavhengig, innenfor sin kompetanse, å etablere et regime for å beskytte informasjonsressurser og tilgang til dem. Loven fastslår også at "konfidensiell informasjon er slik dokumentert informasjon, tilgang til som er begrenset i samsvar med lovgivningen i Den russiske føderasjonen." Samtidig kan føderal lov inneholde en direkte bestemmelse som innebærer at all informasjon klassifiseres som konfidensiell informasjon eller tilgang til den er begrenset. Dermed klassifiserer den føderale loven "Om informasjon, informatisering og informasjonsbeskyttelse" direkte personopplysninger (informasjon om borgere) som konfidensiell informasjon. Den russiske føderasjonsloven "om banker og bankaktiviteter" begrenser tilgang til informasjon om transaksjoner og kontoer til bankkunder og korrespondenter.

Den direkte regelen gjelder imidlertid ikke for all informasjon som utgjør konfidensiell informasjon. Noen ganger er bare egenskapene som må tilfredsstilles av denne informasjonen definert ved lov. Dette gjelder spesielt for offisielle og kommersielle hemmeligheter, hvis egenskaper er bestemt av den russiske føderasjonens sivilkode og er som følger:

 relevant informasjon ukjent for tredjeparter

 det er ikke rettslig grunnlag for fri tilgang til denne informasjonen

 tiltak for å sikre konfidensialitet av informasjon iverksettes av eieren av informasjonen.

Konfidensiell informasjon er delt inn i:

· Emne,

· service.

Emneinformasjon- Dette er informasjon om et område av den virkelige verden. som faktisk er det angriperen trenger, for eksempel tegninger av en ubåt eller informasjon om plasseringen til Osama Bin Laden. Tjenesteinformasjon relaterer seg ikke til et spesifikt fagområde, men er relatert til driftsparametrene til et bestemt databehandlingssystem. Tjenesteinformasjon inkluderer primært brukerpassord for arbeid i systemet. Etter å ha mottatt tjenesteinformasjon (passord), kan en angriper bruke den til å få tilgang til konfidensiell informasjon.

Brudd på hver av de tre kategoriene fører til brudd på informasjonssikkerheten som helhet. Så, brudd på tilgjengelighet fører til nektelse av tilgang til informasjon, integritetsbrudd fører til forfalskning av informasjon og til slutt, brudd på taushetsplikten fører til informasjonsutlevering.

Dette aspektet ved informasjonssikkerhet har blitt ekstremt relevant nylig på grunn av vedtakelsen av en rekke internasjonale rettsakter om beskyttelse av åndsverk. Dette aspektet gjelder hovedsakelig forebygging av ulovlig bruk av programmer.

Så, for eksempel, hvis en bruker installerer et ulisensiert Windows-system på datamaskinen sin, er det et brudd på informasjonssikkerheten.

I tillegg dreier dette seg om bruk av informasjon hentet fra elektroniske kilder. Dette problemet har blitt mer presserende på grunn av utviklingen av Internett. Det har oppstått en situasjon der en Internett-bruker anser all informasjon som legges ut der, som sin personlige eiendom og bruker den uten noen restriksjoner, ofte utpeker den som sitt eget intellektuelle produkt.

For eksempel "laster" en student ned et essay fra Internett og sender det til læreren under hans etternavn.

Lovgivning og rettshåndhevelsespraksis knyttet til dette problemet er fortsatt i sin spede begynnelse.

Det skal bemerkes at selv om det i alle siviliserte land er lover for å ivareta borgernes sikkerhet (inkludert informasjonssikkerhet), er rettshåndhevelsespraksisen på området datateknologi ennå ikke tilstrekkelig utviklet, og lovgivningsprosessen holder ikke tritt med utvikling av teknologi, derfor er prosessen med å sikre informasjonssikkerhet i stor grad basert på selvforsvarstiltak.

Derfor er det nødvendig å forstå hvor informasjonssikkerhetstrusler kan komme fra og hva de kan være, hvilke tiltak som kan iverksettes for å beskytte informasjon, og kunne anvende disse tiltakene kompetent.

Informasjonssikkerhet: konsept, mål, prinsipper.

Statlig politikk for å sikre informasjonssikkerhet.

Status for informasjonssikkerhet i Russland.

INFORMASJONSSIKKERHET: KONSEPT, MÅL, PRINSIPPER

De siste tiårene har verden opplevd en overgangsperiode fra et industrisamfunn til et informasjonssamfunn. Det er en grunnleggende endring i produksjonsmetoden, folks verdensbilde og mellomstatlige relasjoner. Når det gjelder dens betydning og innvirkning på samfunnet, kan dette sammenlignes med den nye verdensomspennende industrielle revolusjonen, som på ingen måte er underordnet i betydningen fortidens revolusjoner. Det handler faktisk om distribusjon og implementering. Utviklingsnivået til samfunnets informasjonsrom har en avgjørende innflytelse på økonomien, politikken og mange elementer av stat.

Bruken av muligheter åpnet opp av utviklingen av nye informasjons- og telekommunikasjonsteknologier anses av ledelsen i utviklede land som grunnlaget for deres sosioøkonomiske, politiske og kulturelle utvikling, som et middel til å løse de mest presserende interne og eksterne problemene. Landets rikdom og dets sikkerhet i dag sikres ikke bare av privat eiendom, kapital og markedet, men også av deres tilknytning til kolossale ressurser av en lang rekke kunnskaps- og informasjonsteknologier. En slik forbindelse danner et informasjonssamfunn, hvis hovedkarakteristika er:

Åpenhet for informasjon og tilgang til den for alle fag i

når som helst og hvor som helst;

  • tilstedeværelsen av teknologiske systemer som garanterer denne åpenheten;
  • tilstedeværelsen av nasjonalt intellektuelt potensial;
  • automatisering, robotisering og teknologiisering av alle systemer i ethvert område av økonomisk aktivitet;
  • kobling til globale informasjonskanaler. Den moderne informasjonsrevolusjonen er assosiert med oppfinnelsen av intelligente teknologier basert på gigantiskeer. Det gir en kolossal økning i informasjon som sirkulerer i samfunnet, som gjør det mulig å effektivt løse økonomiske, sosiale, kulturelle, politiske og andre problemer. Moderne informasjonsteknologi i et effektivt åpent samfunn gir tilgang til nesten alle materielle og åndelige fordeler, multipliserer intellektuelle ressurser, og følgelig alle andre ressurser, fremmer utvikling. Uten informasjonsteknologi er det umulig å sikre effektiv økonomisk vekst, øke utdanningsnivået og kvalifikasjonene til befolkningen, skape et moderne kreditt- og finanssystem, etablere rasjonell styring av sosiale prosesser og forbedre innbyggernes levestandard. Informasjonssamfunnet er et middel for å oppnå nasjonal velvære, forstått som velstand, komfort, åndelig og intellektuell rikdom, frihet, rettferdighet og sikkerhet.

Å utvide informasjonsrommet for økonomisk aktivitet krever å sikre sikkerheten til produsenter, eiere og forbrukere av informasjon. Den moderne "avhengigheten" av virksomheten til informasjonsteknologi kan påvirke den økonomiske sikkerheten til bedriften negativt, siden den høye graden av sentralisering av bedriftsinformasjon gjør den spesielt sårbar og øker risikoen for datalekkasje. En av komponentene i økonomisk sikkerhet er således informasjon.

  • informasjon- informasjon om personer, gjenstander, fakta, hendelser, fenomener og prosesser, uavhengig av presentasjonsformen;
  • informatisering- organisatorisk sosioøkonomisk og vitenskapelig-teknisk prosess for å skape optimale forhold for å møte informasjonsbehov og realisere rettighetene til innbyggere, offentlige organer, lokale myndigheter, organisasjoner, offentlige foreninger basert på dannelse og bruk av informasjonsressurser;
  • dokumentert informasjon (dokument) - informasjon registrert på et håndgripelig medium med detaljer som tillater identifikasjon;
  • informasjonsprosesser- prosesser for å samle inn, behandle, akkumulere, lagre, søke og distribuere informasjon;
  • Informasjon System - et organisatorisk ordnet sett med dokumenter og informasjonsteknologier;
  • informasjonsressurser - individuelle dokumenter og arrays av dokumenter i informasjonssystemer (biblioteker, arkiver, fond, databanker, andre informasjonssystemer);
  • informasjon om borgere (personopplysninger) - informasjon om fakta, hendelser og omstendigheter i en borgers liv som gjør at hans personlighet kan identifiseres;
  • konfidensiell informasjon- dokumentert informasjon som tilgangen til er begrenset i henhold til lovgivningen i en gitt stat.

En stats informasjonssikkerhet forstås som staten for beskyttelse av dens nasjonale interesser i informasjonssfæren, bestemt av helheten av balanserte interesser til individet, samfunnet og staten.

Individets interesser i informasjonssfæren ligger i gjennomføringen av menneskets og borgernes konstitusjonelle rettigheter til å få tilgang til informasjon, å bruke informasjon i interessen for å utføre aktiviteter som ikke er forbudt ved lov, fysisk, åndelig og intellektuell utvikling, samt for å beskytte informasjon som sikrer personlig sikkerhet.

Samfunnets interesser i informasjonssfæren er å sikre den enkeltes interesser på dette området, styrke demokratiet, skape en juridisk samfunnsstat, oppnå og opprettholde offentlig harmoni.

Statens interesser i informasjonssfæren er å skape forutsetninger for en harmonisk utvikling av informasjonsinfrastruktur, implementering av konstitusjonelle menneskerettigheter og friheter innen innhenting og bruk av informasjon for å sikre det konstitusjonelle systemets ukrenkelighet, suverenitet og statens territorielle integritet, politisk, økonomisk og sosial stabilitet, i ubetinget sikring av lov og orden, utvikling av likeverdig og gjensidig fordelaktig internasjonalt samarbeid.

Med utgangspunkt i statens nasjonale interesser i informasjonssfæren, dannes strategiske og aktuelle oppgaver for statens innenriks- og utenrikspolitikk for å sikre informasjonssikkerhet.

Det er fire hovedkomponenter av nasjonale interesser i informasjonssfæren:

  • 1) overholdelse av konstitusjonelle menneskerettigheter og friheter innen innhenting og bruk av informasjon, bevaring og styrking av moralske verdier i samfunnet, tradisjon, patriotisme og humanisme, landets kulturelle og vitenskapelige potensial;
  • 2) informasjonsstøtte for statlig politikk, knyttet til å formidle til offentligheten pålitelig informasjon om statlig politikk, dens prioriteringer og den offisielle holdningen til sosialt betydningsfulle begivenheter, for å sikre borgernes tilgang til åpne statlige informasjonsressurser;
  • 3) utvikling av moderne informasjonsteknologi, den innenlandske informasjonsindustrien, inkludert industrien for informasjonsteknologi, telekommunikasjon og kommunikasjon, møte behovene til hjemmemarkedet med sine produkter og inntreden av disse produktene på verdensmarkedet, samt sikre akkumulering, bevaring og effektiv bruk av innenlandske informasjonsressurser. Under moderne forhold, bare på dette grunnlaget, kan problemene med å skape høyteknologiske teknologier, teknologisk omutstyr av industrien og øke prestasjonene til innenlandsk vitenskap og teknologi løses;
  • 4) beskytte informasjonsressurser mot uautorisert tilgang, sikre sikkerheten til informasjons- og telekommunikasjonssystemer.

Hoved mål informasjonssikkerhet er:

  • beskyttelse av statens nasjonale interesser i sammenheng med globaliseringen av informasjonsprosesser, dannelsen av globale informasjonsnettverk og ønsket fra utviklede land om informasjonsdominans;
  • gi myndigheter og ledelse, bedrifter og innbyggere pålitelig, fullstendig og rettidig informasjon som er nødvendig for beslutningstaking, samt forhindre brudd på integriteten og ulovlig bruk av informasjonsressurser;
  • implementering av rettighetene til innbyggere, organisasjoner og staten til å motta, formidle og bruke informasjon.

Til gjenstander informasjonssikkerhet inkluderer:

  • informasjonsressurser, uavhengig av lagringsformer, som inneholder informasjon som utgjør statshemmeligheter og begrenset tilgang, forretningshemmeligheter og annen konfidensiell informasjon, samt åpen (offentlig tilgjengelig) informasjon og kunnskap;
  • et system for dannelse, distribusjon og bruk av informasjonsressurser, inkludert informasjonssystemer av ulike klasser og formål, biblioteker, arkiver og databanker, informasjonsteknologi, forskrifter og prosedyrer for innsamling, behandling, lagring og overføring av informasjon, vitenskapelig, teknisk og service personale;
  • informasjonsinfrastruktur, inkludert informasjonsbehandlings- og analysesentre, informasjonsutveksling og telekommunikasjonskanaler, mekanismer for å sikre funksjonen til telekommunikasjonssystemer og -nettverk, inkludert informasjonssikkerhetssystemer og -midler;
  • et system for dannelse av offentlig bevissthet (verdensbilde, moralske verdier, etc.), basert på media;
  • rettighetene til innbyggere, virksomheter og staten til å motta, spre og bruke informasjon, beskytte konfidensiell informasjon og åndsverk. Informasjonssikkerhet for de oppførte objektene skaper

betingelser for pålitelig funksjon av statlige og offentlige institusjoner, samt dannelse av offentlig bevissthet som møter den progressive utviklingen av landet.

Det er nødvendig å skille mellom begrepene "informasjonssikkerhet", "informasjonssikkerhet" og "informasjonsbeskyttelse". Som vist ovenfor betyr det helt generelle konseptet "sikkerhet" "staten for å beskytte individets, samfunnets og statens vitale interesser mot interne og eksterne trusler." I denne forbindelse kan den dekomponeres i to komponenter:

  • sikkerheten til innholdet (betydningen) av informasjon - fraværet i det av å indusere en person til negative handlinger, bevisste mekanismer for negativ innvirkning på den menneskelige psyken eller negativ innvirkning på en annen blokk med informasjon (for eksempel informasjon i et dataprogram kalt et datavirus);
  • beskyttelse av informasjon mot ytre påvirkning (forsøk på ulovlig kopiering, distribusjon, modifikasjon (endring av betydning) eller ødeleggelse).

Den andre komponenten i begrepet "informasjonssikkerhet" vil bli kalt informasjonssikkerhet. Dermed bygges en serie på tre vitenskapelige kategorier: informasjonssikkerhet, informasjonssikkerhet og informasjonsbeskyttelse. Dessuten er hver påfølgende kategori en integrert del av den forrige.

En hendelse som kan forårsake en forstyrrelse i funksjonen til en økonomisk enhet (firma, bedrift, organisasjon, etc.), inkludert forvrengning, ødeleggelse eller uautorisert bruk av behandlet informasjon, er en trussel. Muligheten for at trusler blir realisert avhenger av tilstedeværelsen av sårbarheter. Sammensetningen og spesifisiteten til sårbarheter bestemmes av typen oppgaver som løses, arten av informasjonen som behandles, maskinvare- og programvarefunksjonene til informasjonsbehandlingen i bedriften, tilgjengeligheten av verneutstyr og deres egenskaper.

Kilder til trusler Informasjonssikkerhet kan deles inn i ekstern og intern.

TIL eksterne kilder inkluderer: uvennlig politikk fra en fremmed stat innen global informasjonsovervåking, spredning av informasjon og ny informasjonsteknologi; aktiviteter av utenlandsk etterretning og spesialtjenester; aktiviteter av utenlandske økonomiske strukturer rettet mot interessene til en gitt stat; kriminelle handlinger fra internasjonale grupper, formasjoner og enkeltpersoner; naturkatastrofer og katastrofer.

Innvendig kilder til trusler er: ulovlige aktiviteter av politiske og økonomiske strukturer innen dannelse, spredning og bruk av informasjon; ulovlige handlinger fra offentlige etater som fører til brudd på de juridiske rettighetene til borgere og organisasjoner i informasjonssfæren; brudd på etablerte regler for innsamling, behandling og overføring av informasjon; maskinvarefeil og programvarefeil i informasjons- og telekommunikasjonssystemer.

Det er to hovedklasser av informasjonssikkerhetstrusler.

  • 1. Utilsiktet eller tilfeldige, handlinger, uttrykt i utilstrekkelig støtte for sikkerhetsmekanismer og administrasjonsfeil (hvis brukere for eksempel skriver passord på papirlapper og fester dem til monitorer, kan det ikke være snakk om noen informasjonsbeskyttelse).
  • 2. Bevisste trusler - uautorisert innhenting av informasjon og uautorisert manipulering av selve data, ressurser og systemer (for eksempel harddisker (optiske) og magnetbånd som faller i hendene på uautoriserte personer, fører ofte til lekkasje av konfidensiell informasjon). I dag, for eksempel, den utbredte distribusjonen av mobile informasjonslagringsenheter, som flash-stasjoner, harddisker iBV grensesnitt, etc., har ført til fremveksten av en ny klasse informasjonssikkerhetstrusler. Uautorisert bruk av slike enheter av illojale ansatte kan føre til informasjonslekkasje fra bedriftens nettverk. Det eneste alternativet til fysisk deaktivering av III-porter kan være bruk av et spesielt informasjonssikkerhetssystem.De fleste inanser mobile stasjoner som den største trusselen mot virksomheten i dag (fig. 12.1).

Internett-personsøkere

Mobil lagring

E-post

Internett (webmail, forum)

Utskriftsenheter

Fotorekvisita

2008 2007

Ris. 12.1. De vanligste kanalene for informasjonslekkasje

E-post har lenge hatt en ledende posisjon i rangeringen av de farligste lekkasjekanalene. Årsaken er at mobillagring er mer diskret: miniatyrlagringsenheter som kan inneholde titalls gigabyte med data – en kapasitet som kan sammenlignes med kapasiteten til harddisker. Deres kapasitet, mobilitet og lette tilkobling er hovedårsakene til deres spredning som innsidevåpen. På den annen side overvåkes e-post i de fleste virksomheter nøye av sikkerhet. Og det er selvsagt vanskelig å sende store mengder data på denne måten. Det er ikke alltid mulig å bare forby bruken av mobile stasjoner, siden det ofte kreves flash-kort av produksjonsårsaker. Samtidig finnes det i dag allerede et bredt utvalg av spesialisert programvare som kan forhindre lekkasjer programmatisk.

Metoder for å påvirke trusler mot informasjonssikkerhetsobjekter er delt inn i informasjon, programvare og matematisk, fysisk, radioelektronisk, organisatorisk og juridisk.

TIL informativ metoder inkluderer: brudd på målretting og rettidighet av informasjonsutveksling, ulovlig innsamling og bruk av informasjon; uautorisert tilgang til informasjonsressurser; manipulering av informasjon (desinformasjon, fortielse eller forvrengning av informasjon); ulovlig kopiering av data i informasjonssystemer; bruk av media fra posisjoner som er i strid med interessene til borgere, organisasjoner og stater; tyveri av informasjon fra biblioteker, arkiver, banker og databaser; brudd på.

Programvare og matematikk metoder inkluderer: introduksjon av virusprogrammer; installasjon av programvare og maskinvareenheter; ødeleggelse eller endring av data i informasjonssystemer.

Fysisk metoder inkluderer: ødeleggelse eller ødeleggelse av informasjonsbehandlings- og kommunikasjonsfasiliteter; ødeleggelse, ødeleggelse eller tyveri av maskin og andre originale lagringsmedier; tyveri av programvarenøkler og midler for kryptografisk beskyttelse av informasjon; innvirkning på personell; tilførsel av "infiserte" komponenter av informasjonssystemer.

Radioelektronisk metodene er: avskjæring av informasjon i tekniske kanaler for lekkasje; innføring av elektronisk informasjonsavlyttingsutstyr i tekniske anlegg og lokaler; avlytting, dekryptering og pålegging av falsk informasjon i datanettverk og kommunikasjonslinjer; innvirkning på passordnøkkelsystemer; radio-elektronisk undertrykking av kommunikasjonslinjer og kontrollsystemer.

Organisatorisk og juridisk metoder inkluderer: anskaffelse av ufullkomne eller utdaterte informasjonsteknologier og informasjonsverktøy; manglende overholdelse av lovkrav og forsinkelser i å vedta nødvendige reguleringsbestemmelser på informasjonsområdet; ulovlig begrensning av innsyn i dokumenter som inneholder informasjon som er viktig for borgere og organisasjoner.

I økonomi mest utsatt for trusler mot informasjonssikkerhet:

  • statlig statistikk system;
  • kilder som genererer informasjon om de kommersielle aktivitetene til økonomiske enheter av alle former for eierskap, om forbrukeregenskapene til varer og tjenester;
  • systemer for innsamling og behandling av finansiell, børs-, skatt-, tollinformasjon, informasjon om utenlandsk økonomisk virksomhet til staten og kommersielle strukturer.

Det statlige statistikksystemet må ha tilstrekkelig beskyttelse mot alvorlige og massive forvrengninger. Hovedfokuset bør være å beskytte primære informasjonskilder og aggregerte rapporteringsdata. Til syvende og sist må informasjonen i dette systemet ha fullstendighet, pålitelighet, tilstrekkelighet, sammenlignbarhet og regularitet - egenskaper som er nødvendige for å ta nasjonale beslutninger på statlig, industri-, foretaksnivå for å gjennomføre generelle økonomiske analyser og forutse økonomisk utvikling.

Den normale funksjonen til forretningsenheter blir forstyrret på grunn av mangelen på lovbestemmelser som definerer ansvaret til informasjonskildene om kommersielle aktiviteter og forbrukeregenskaper for varer og tjenester for upålitelighet og fortielse av informasjon (om resultater av reell økonomisk aktivitet, investeringer osv. .). På den annen side kan det påføres betydelig økonomisk skade for myndigheter og forretningsstrukturer på grunn av avsløring av informasjon som inneholder forretningshemmeligheter.

I systemer for innsamling og behandling av finans-, børs-, skatte- og tollinformasjon er den største faren fra et informasjonssikkerhetssynspunkt tyveri og bevisst forvrengning av informasjon, hvis mulighet er forbundet med bevisst eller utilsiktet brudd på teknologi for arbeid med informasjon, uautorisert tilgang til den, som skyldes utilstrekkelig informasjon om sikkerhetstiltak. Den samme faren eksisterer i organer som er involvert i dannelse og formidling av informasjon om utenlandsk økonomisk aktivitet.

En alvorlig fare for normal funksjon av økonomien som helhet utgjøres av stadig mer sofistikerte datakriminalitet knyttet til penetrering av kriminelle elementer i datasystemer og nettverk.

Den høyeste grad av automatisering som informasjonssamfunnet streber etter, gjør det avhengig av graden av sikkerhet til informasjonsteknologiene det bruker, som i sin tur avhenger av velvære og til og med livene til mange mennesker.

I forbindelse med massedatabehandlingen av informasjonsprosesser, økningen i verdien og betydningen av informasjonsressurser i økonomisk utvikling, blir problemet med pålitelig beskyttelse av informasjon som sirkulerer i kritiske informasjonssystemer, det vil si, spesielt akutt. forebygging av forvrengning og ødeleggelse, uautorisert modifikasjon, ulovlig mottak og bruk. De velkjente fakta viser veltalende relevansen av problemet med informasjonsteknologisikkerhet: hvert 20. sekund i USA skjer det en forbrytelse som bruker programvare. Dessuten, i mer enn 80 % av datakriminalitet, trenger "innbruddstyver" det angrepne systemet gjennom det globale Internett.

Den intensive utviklingen av informasjonsprosesser kunne ikke annet enn å forårsake en økning i ulovlige handlinger. I tillegg til datafeil kommer datakriminalitet, som truer med å utvikle seg til et problem hvis økonomiske, miljømessige, politiske og militære konsekvenser kan bli katastrofale. Kriminelle grupper og samfunn begynner aktivt å bruke de siste prestasjonene innen vitenskap og teknologi i sine aktiviteter.

Sårbarheten til informasjon øker. Samtidig er det en spesiell fare "informasjonsterrorisme" bruk av globale datanettverk, forebygging av dette er vanskelig, og eliminering av konsekvensene er ekstremt kostbart.

Som allerede nevnt, sikrer bruken av moderne midler og metoder for massemedier samfunnets kontrollerbarhet. Snakker om problemet "ny kolonisering" Den russiske filosofen A. Zinoviev, blant historiske typer kolonisering, pekte ut fangst med tvungen transformasjon på sin egen måte. Denne typen kolonisering tilsvarer nåtiden. Det som menes her er ikke en militær maktovertakelse, men en ideologisk: introduksjonen av uvanlige idealer og ambisjoner i strukturen av livsverdiene til det koloniserte landet, dvs. drive informasjonskrigføring. Resultatet av denne prosessen, ifølge Zinoviev, er "vestliggjøring" at i "det koloniserte landet blir det sosiopolitiske systemet med kolonialt demokrati tvangsskapt. Kolonialdemokrati er noe kunstig, pålagt landet utenfra og i strid med eksisterende evner og utviklingstrender. Suverenitetens utseende opprettholdes. Sentre for en økonomi i vestlig stil blir opprettet under kontroll av vestlige banker eller i form av joint ventures."

I dag er ikke listen over informasjonskoloniserte land uttømt av listen over såkalte tredjeverdensland, siden et enkelt informasjonsrom krever forening av informasjons- og telekommunikasjonsteknologier i alle land - emner i nettverksrommet, og graden av informatisering som kreves i dag kan bare oppnås i et samfunn med høyt vitenskapelig, teknisk og industrielt potensial og et tilstrekkelig kulturelt og utdanningsnivå i befolkningen. Dette gjør det mulig for mektige postindustrielle makter, som USA og Japan, å styrke sin økonomiske, politiske og militære overlegenhet gjennom ledelse innen informasjonsteknologi, utøve global informasjonskontroll over verdenssamfunnet og faktisk påtvinge deres normer og regler.

Den informasjonskulturelle og informasjonsideologiske ekspansjonen til vestlige ledere, utført gjennom globale telekommunikasjonsnettverk, skaper bekymring i forskjellige land i verden. Utsiktene til avhengighet og muligheten for tap av uavhengighet bekymrer både statsledere, offentlige institusjoner og borgere. Mange land tar allerede tiltak for å beskytte sin kultur, tradisjoner og åndelige verdier fra fremmed informasjonspåvirkning, og bygger et effektivt system for å sikre informasjonssikkerhet.

  • cm.: Zinoviev A.A. Ingen illusjoner. L'Age d'Homme. Lausanne, 1979.