Grunderna för informationssäkerhet. Kapitel V

Grunderna för informationssäkerhet. Kapitel V
Grunderna för informationssäkerhet. Kapitel V
21.05.2020

Program- och hårdvaruskydd mot obehörig åtkomst omfattar åtgärder för identifiering, autentisering och åtkomstkontroll till informationssystemet.

Identifiering – tilldela unika identifierare för att komma åt ämnen.

Detta inkluderar radiofrekvenstaggar, biometrisk teknik, magnetkort, universella magnetiska nycklar, systeminloggningar, etc.

Autentisering – kontrollera att åtkomstämnet tillhör den presenterade identifieraren och bekräfta dess äkthet.

Autentiseringsprocedurer inkluderar lösenord, pinkoder, smartkort, USB-nycklar, digitala signaturer, sessionsnycklar, etc. Den procedurmässiga delen av identifierings- och autentiseringsverktyg är sammankopplade och utgör i själva verket den grundläggande basen för alla verktyg för programvara och hårdvara för informationssäkerhet, eftersom alla andra tjänster är utformade för att tjäna specifika ämnen som korrekt känns igen av informationssystemet. I allmän syn identifiering gör att försökspersonen kan identifiera sig för informationssystemet, och med hjälp av autentisering bekräftar informationssystemet att försökspersonen verkligen är den han utger sig för att vara. Baserat på slutförandet av denna operation utförs en operation för att ge åtkomst till informationssystemet. Procedurer för åtkomstkontroll tillåter auktoriserade försökspersoner att utföra åtgärder som är tillåtna enligt föreskrifter, och informationssystemet övervakar dessa åtgärder för att se till att det erhållna resultatet är korrekt och korrekt. Åtkomstkontroll tillåter systemet att blockera data från användare som de inte är behöriga till.

Nästa sätt att skydda mjukvara och hårdvara är loggning och granskning av information.

Loggning omfattar insamling, ackumulering och lagring av information om händelser, handlingar, resultat som ägde rum under driften av informationssystemet, enskilda användare, processer och all mjukvara och hårdvara som ingår i företagets informationssystem.

Eftersom varje komponent i informationssystemet har en förutbestämd uppsättning möjliga händelser i enlighet med programmerade klassificerare, delas händelser, åtgärder och resultat in i:

  • extern, orsakad av verkan av andra komponenter,
  • internt, orsakat av själva komponentens åtgärder,
  • klientsidan, orsakad av handlingar från användare och administratörer.
Informationsrevision består av att genomföra verksamhetsanalyser i realtid eller inom en given period.

Baserat på resultatet av analysen genereras antingen en rapport om de händelser som inträffat, eller så initieras ett automatiskt svar på en nödsituation.

Implementeringen av loggning och revision löser följande problem:

  • hålla användare och administratörer ansvariga;
  • säkerställa möjligheten att rekonstruera händelseförloppet;
  • upptäckt av försök till informationssäkerhetsbrott;
  • tillhandahålla information för att identifiera och analysera problem.

Ofta är det omöjligt att skydda information utan att använda kryptografiska medel. De används för att tillhandahålla kryptering, integritet och autentiseringstjänster när autentiseringsmedel lagras i krypterad form för användaren. Det finns två huvudsakliga krypteringsmetoder: symmetrisk och asymmetrisk.

Integritetskontroll låter dig fastställa äktheten och identiteten för ett objekt, som är en datamatris, enskilda datastycken, en datakälla, och även säkerställa att det är omöjligt att markera en åtgärd som utförs i systemet med en rad information. Grunden för att implementera integritetskontroll är datakonverteringstekniker som använder kryptering och digitala certifikat.

En annan viktig aspekt är användningen av skärmning, en teknik som gör det möjligt att, genom att avgränsa försökspersoners tillgång till informationsresurser, kontrollera alla informationsflöden mellan företagets informationssystem och externa objekt, datamatriser, subjekt och motsubjekt. Kontroll av flöden består i att filtrera dem och vid behov konvertera den överförda informationen.

Syftet med avskärmning är att skydda intern information från potentiellt fientliga externa faktorer och enheter. Den huvudsakliga formen av skärmningsimplementering är brandväggar eller brandväggar, av olika typer och arkitekturer.

Eftersom ett av tecknen på informationssäkerhet är tillgången på informationsresurser, är att säkerställa en hög tillgänglighet en viktig riktning i implementeringen av program- och hårdvaruåtgärder. I synnerhet är två riktningar uppdelade: säkerställa feltolerans, d.v.s. neutralisera systemfel, förmågan att fungera när fel uppstår, och säkerställa säker och snabb återhämtning efter misslyckanden, d.v.s. systemets servicebarhet.

Huvudkravet för informationssystem är att de alltid fungerar med en given effektivitet, minsta otillgänglighetstid och svarshastighet.

I enlighet med detta säkerställs tillgången på informationsresurser genom:

  • användningen av strukturell arkitektur, vilket innebär att enskilda moduler vid behov kan inaktiveras eller snabbt ersättas utan att skada andra delar av informationssystemet;
  • säkerställa feltolerans genom: använda autonoma delar av den stödjande infrastrukturen, införa överskottskapacitet i hårdvaru- och mjukvarukonfigurationen, reservera hårdvara, replikera informationsresurser inom systemet, Reserv exemplar data osv.
  • säkerställa servicevänlighet genom att minska tiden som krävs för att diagnostisera och eliminera fel och deras konsekvenser.

En annan typ av informationssäkerhetsmedel är säkra kommunikationskanaler.

Drift informationssystemär oundvikligen förknippat med dataöverföring, så det är också nödvändigt för företag att säkerställa skyddet av överförda informationsresurser med hjälp av säkra kommunikationskanaler. Möjligheten till obehörig åtkomst till data vid överföring av trafik genom öppna kommunikationskanaler beror på deras allmänna tillgänglighet. Eftersom "det är omöjligt att fysiskt skydda kommunikation längs hela deras längd, är det därför bättre att initialt utgå från antagandet om deras sårbarhet och ge skydd i enlighet därmed." För detta används tunneltekniker, vars essens är att kapsla in data, d.v.s. packa eller slå in de överförda datapaketen, inklusive alla tjänsteattribut, i sina egna kuvert. Följaktligen är en tunnel en säker anslutning genom öppna kommunikationskanaler genom vilka kryptografiskt skyddade datapaket sänds. Tunneling används för att säkerställa trafiksekretess genom att dölja tjänstinformation och säkerställa konfidentialitet och integritet för överförda data när de används i kombination med kryptografiska element i ett informationssystem. Genom att kombinera tunnling och kryptering kan du implementera ett virtuellt privat nätverk. I det här fallet är ändpunkterna för tunnlarna som implementerar virtuella privata nätverk brandväggar som tjänar organisationers anslutning till externa nätverk.

Brandväggar som implementeringspunkter för virtuella privata nätverkstjänster

Således är tunnling och kryptering ytterligare transformationer som utförs under filtreringsprocessen nätverkstrafik tillsammans med adressöversättning. Ändarna av tunnlarna, förutom företagets brandväggar, kan vara personliga och mobila datorer anställda, eller mer exakt, deras personliga brandväggar och brandväggar. Detta tillvägagångssätt säkerställer att säkra kommunikationskanaler fungerar.

Rutiner för informationssäkerhet

Informationssäkerhetsrutiner är vanligtvis indelade i administrativa och organisatoriska nivåer.

  • Administrativa rutiner omfattar allmänna åtgärder som vidtas av organisationens ledning för att reglera allt arbete, åtgärder, verksamhet inom området för att säkerställa och upprätthålla informationssäkerhet, genomförda genom att allokera nödvändiga resurser och övervaka effektiviteten av de åtgärder som vidtas.
  • Organisationsnivån representerar procedurer för att säkerställa informationssäkerhet, inklusive personalhantering, fysiskt skydd, upprätthålla funktionaliteten hos mjukvaran och hårdvaruinfrastrukturen, omedelbart eliminera säkerhetsöverträdelser och planera återställningsarbete.

Å andra sidan är distinktionen mellan administrativa och organisatoriska förfaranden meningslös, eftersom förfaranden på en nivå inte kan existera separat från en annan nivå och därmed bryter mot skyddsförhållandet fysisk nivå, personligt och organisatoriskt skydd i begreppet informationssäkerhet. I praktiken, när man säkerställer informationssäkerhet för en organisation, försummas inte administrativa eller organisatoriska rutiner, så det är mer logiskt att betrakta dem som ett integrerat tillvägagångssätt, eftersom båda nivåerna påverkar de fysiska, organisatoriska och personliga nivåerna av informationsskydd.

Grunden för omfattande rutiner för att säkerställa informationssäkerhet är säkerhetspolicyn.

Informationssäkerhetspolicy

Informationssäkerhetspolicy i en organisation är det en uppsättning dokumenterade beslut som fattas av organisationens ledning och syftar till att skydda information och tillhörande resurser.

I organisatoriska och administrativa termer kan informationssäkerhetspolicyn vara ett enda dokument eller upprättad i form av flera oberoende dokument eller order, men den bör i alla fall omfatta följande aspekter av att skydda organisationens informationssystem:

  • skydd av informationssystemobjekt, informationsresurser och direkta operationer med dem;
  • skydd av alla operationer relaterade till informationsbehandling i systemet, inklusive verktyg för bearbetning av programvara;
  • skydd av kommunikationskanaler, inklusive trådbundna, radio, infraröda, hårdvara, etc.;
  • skydd av hårdvarukomplexet från oönskad elektromagnetisk strålning;
  • hantering av säkerhetssystem, inklusive underhåll, uppgraderingar och administrativa aktiviteter.

Varje aspekt måste beskrivas i detalj och dokumenteras i organisationens interna dokument. Interna dokument täcker tre nivåer av säkerhetsprocessen: topp, mitten och botten.

Dokumentation högsta nivån Informationssäkerhetspolicyer återspeglar organisationens grundläggande tillvägagångssätt för att skydda sin egen information och överensstämmelse med statliga och/eller internationella standarder. I praktiken har en organisation bara ett dokument på toppnivå, med titeln "Informationssäkerhetskoncept", "Informationssäkerhetsföreskrifter" etc. Formellt representerar dessa dokument inte konfidentiellt värde, deras distribution är inte begränsad, men de kan släppas till redaktörer för internt bruk och öppen publicering.

Dokument på mellannivå är strikt konfidentiella och relaterar till specifika aspekter av organisationens informationssäkerhet: informationssäkerhetsverktyg som används, databassäkerhet, kommunikation, kryptografiska verktyg och annan information och ekonomiska processer i organisationen. Dokumentation implementeras i form av interna tekniska och organisatoriska standarder.

Dokument på lägre nivå är uppdelade i två typer: arbetsföreskrifter och bruksanvisningar. Arbetsföreskrifterna är strikt konfidentiella och är endast avsedda för personer som som en del av sina arbetsuppgifter utför arbetet med att administrera enskilda informationssäkerhetstjänster. Driftinstruktioner kan vara antingen konfidentiella eller offentliga; de är avsedda för organisationens personal och beskriver proceduren för att arbeta med enskilda delar av organisationens informationssystem.

Världserfarenheten visar att informationssäkerhetspolicyn alltid är dokumenterad endast i stora företag som har ett utvecklat informationssystem och som har ökade krav på informationssäkerhet, oftast har en överväldigande majoritet av små organisationer bryr sig inte om Dokumentation av säkerhetspolicyn. Oavsett dokumentformat, holistiskt eller distribuerat, är den grundläggande aspekten säkerhetsregimen.

Det är två olika tillvägagångssätt som ligger till grund informationssäkerhetspolicyer:

  1. "Allt som inte är förbjudet är tillåtet."
  2. "Allt som inte är tillåtet är förbjudet."

Den grundläggande bristen i det första tillvägagångssättet är att det i praktiken är omöjligt att förutse alla farliga fall och förbjuda dem. Utan tvekan bör endast den andra metoden användas.

Organisatorisk nivå av informationssäkerhet

Ur informationsskyddssynpunkt framställs organisatoriska rutiner för att säkerställa informationssäkerhet som ”reglering av produktionsverksamhet och utövandes relationer på en rättslig grund som utesluter eller avsevärt försvårar det olagliga anskaffandet av konfidentiell information och manifestationen av interna och yttre hot.”

Personalhanteringsåtgärder som syftar till att organisera arbetet med personalen för att säkerställa informationssäkerhet inkluderar arbetssegregering och minimering av privilegier. Arbetsfördelning föreskriver en sådan fördelning av kompetenser och ansvarsområden där en person inte kan störa en för organisationen kritisk process. Detta minskar sannolikheten för fel och missbruk. Minsta behörighet kräver att användarna endast ges den åtkomstnivå som är nödvändig för att utföra sina arbetsuppgifter. Detta minskar skador från oavsiktliga eller avsiktliga felaktiga handlingar.

Fysiskt skydd innebär att utforma och genomföra åtgärder för att direkt skydda byggnader som hyser informationsresurser organisation, angränsande territorier, infrastrukturelement, datateknik, lagringsmedia och hårdvarukommunikationskanaler. Dessa inkluderar fysisk åtkomstkontroll, brandskydd, skydd av stödjande infrastruktur, skydd mot dataavlyssning och skydd av mobila system.

Att upprätthålla funktionaliteten hos hårdvaru- och mjukvaruinfrastrukturen innebär att förhindra stokastiska fel som hotar skador på hårdvarusystemet, avbrott i program och förlust av data. Huvudinstruktionerna i denna aspekt är att tillhandahålla användar- och mjukvarustöd, konfigurationshantering, säkerhetskopiering, mediahantering, dokumentation och underhåll.

Att snabbt eliminera säkerhetsöverträdelser har tre huvudmål:

  1. Lokalisering av incidenten och minskning av orsakad skada;
  2. Identifiering av överträdaren;
  3. Förebyggande av upprepade överträdelser.

Slutligen, återhämtningsplanering gör att du kan förbereda dig för olyckor, minska skadorna från dem och bibehålla förmågan att fungera åtminstone till ett minimum.

Användningen av mjukvara och hårdvara och säkra kommunikationskanaler måste implementeras i organisationen utifrån ett integrerat tillvägagångssätt för utveckling och godkännande av alla administrativa och organisatoriska regleringsförfaranden för att säkerställa informationssäkerhet. I annat fall garanterar inte informationsskyddet att vidta individuella åtgärder, och ofta, tvärtom, framkallar det läckor konfidentiell information, förlust av kritisk data, skador på hårdvaruinfrastruktur och störningar av mjukvarukomponenterna i organisationens informationssystem.

Informationssäkerhetsmetoder

Moderna företag kännetecknas av ett distribuerat informationssystem, vilket gör att de kan ta hänsyn till företagets distribuerade kontor och lager, finansiell redovisning och förvaltningskontroll, information från kundbasen, med hänsyn till provtagning med indikatorer och så vidare. Uppsättningen av data är alltså mycket betydande och den stora majoriteten är information som är av prioriterad betydelse för företaget i kommersiella och ekonomiska termer. Faktum är att säkerställa konfidentialitet för data med kommersiellt värde är ett av huvudmålen för informationssäkerhet i ett företag.

Säkerställande av informationssäkerhet i företaget måste regleras av följande dokument:

  1. Informationssäkerhetsbestämmelser. Innehåller en redogörelse för mål och mål för att säkerställa informationssäkerhet, en förteckning över interna föreskrifter om informationssäkerhetsverktyg och föreskrifter om administration av företagets distribuerade informationssystem. Tillgången till regelverket är begränsad till organisationens ledning och chefen för automationsavdelningen.
  2. Föreskrifter om tekniskt stöd för informationssäkerhet. Dokument är konfidentiella, åtkomsten är begränsad till anställda på automationsavdelningen och högsta ledningen.
  3. Regelverk för administration av ett distribuerat informationssäkerhetssystem. Tillgången till regelverket är begränsat till anställda på automationsavdelningen som ansvarar för administrationen av informationssystemet och den högsta ledningen.

Samtidigt bör du inte begränsa dig till dessa dokument, utan även arbeta på de lägre nivåerna. Annars, om företaget inte har andra dokument relaterade till att säkerställa informationssäkerhet, kommer detta att indikera en otillräcklig grad av administrativt stöd för informationssäkerhet, eftersom det inte finns några dokument på lägre nivå, särskilt instruktioner för att hantera enskilda delar av informationssystemet.

Obligatoriska organisatoriska procedurer inkluderar:

  • huvudsakliga åtgärder för att differentiera personal efter nivå av tillgång till informationsresurser,
  • fysiskt skydd av företagskontor från direkt penetrering och hot om förstörelse, förlust eller avlyssning av data,
  • underhåll av funktionaliteten hos hård- och mjukvaruinfrastrukturen organiseras i form av automatiserade säkerhetskopieringar, fjärrverifiering av lagringsmedia, användar- och mjukvarusupport tillhandahålls på begäran.

Detta bör även omfatta reglerade åtgärder för att bemöta och eliminera fall av brott mot informationssäkerheten.

I praktiken observeras det ofta att företag inte uppmärksammar denna fråga tillräckligt. Alla åtgärder i denna riktning utförs uteslutande på rutinmässig basis, vilket ökar tiden för att eliminera fall av överträdelser och garanterar inte förhindrandet av upprepade brott mot informationssäkerheten. Dessutom finns det en total brist på övning i att planera åtgärder för att eliminera konsekvenser efter olyckor, informationsläckor, dataförlust och kritiska situationer. Allt detta försämrar avsevärt företagets informationssäkerhet.

På mjuk- och hårdvarunivå måste ett informationssäkerhetssystem i tre nivåer implementeras.

Minimikrav för informationssäkerhet:

1. Tillträdeskontrollmodul:

  • En stängd ingång till informationssystemet har implementerats det är omöjligt att logga in i systemet utanför verifierade arbetsplatser;
  • Åtkomst med begränsad funktionalitet från mobila persondatorer har implementerats för anställda;
  • auktorisering utförs med hjälp av inloggningar och lösenord genererade av administratörer.

2. Modul för kryptering och integritetskontroll:

  • en asymmetrisk metod för att kryptera överförd data används;
  • uppsättningar av kritiska data lagras i databaser i krypterad form, vilket inte tillåter åtkomst till dem även om företagets informationssystem hackas;
  • integritetskontroll säkerställs genom en enkel digital signatur av alla informationsresurser som lagras, bearbetas eller överförs inom informationssystemet.

3. Skärmmodul:

  • ett filtersystem har implementerats i brandväggar som låter dig kontrollera alla informationsflöden genom kommunikationskanaler;
  • externa anslutningar till globala informationsresurser och offentliga kommunikationskanaler kan endast göras genom en begränsad uppsättning verifierade arbetsstationer som har en begränsad anslutning till företagets informationssystem;
  • Säker åtkomst från anställdas arbetsstationer för att utföra sina officiella uppgifter implementeras genom ett proxyserversystem på två nivåer.

Slutligen, med hjälp av tunnlingsteknik, måste företaget implementera ett virtuellt privat nätverk i enlighet med typisk modell konstruktion för att tillhandahålla säkra kommunikationskanaler mellan olika avdelningar i företaget, partners och kunder i företaget.

Trots att kommunikation direkt sker över nätverk med en potentiellt låg nivå av förtroende, gör tunnlingstekniker, genom användning av kryptografi, det möjligt att säkerställa pålitligt skydd alla överförda data.

Slutsatser

Huvudmålet med alla åtgärder som vidtas inom informationssäkerhetsområdet är att skydda företagets intressen, på ett eller annat sätt relaterat till de informationsresurser som det har. Även om företagsintressen inte är begränsade till ett specifikt område, handlar de alla kring informationens tillgänglighet, integritet och konfidentialitet.

Problemet med att säkerställa informationssäkerhet förklaras av två huvudsakliga skäl.

  1. De informationsresurser som företaget samlar är värdefulla.
  2. Det kritiska beroendet av informationsteknik avgör deras utbredda användning.

Med tanke på det stora utbudet av befintliga hot mot informationssäkerhet, såsom förstörelse viktig information, obehörig användning av konfidentiella uppgifter, avbrott i företagets drift på grund av störningar i driften av informationssystemet, kan vi dra slutsatsen att allt detta objektivt sett leder till stora materiella förluster.

För att säkerställa informationssäkerheten spelar en betydande roll av mjukvara och hårdvara som syftar till att kontrollera datorenheter, d.v.s. utrustning, mjukvaruelement, data, som utgör den sista och högst prioriterade linjen för informationssäkerhet. Dataöverföringen måste också vara säker när det gäller att upprätthålla dess konfidentialitet, integritet och tillgänglighet. Under moderna förhållanden används därför tunnelteknik i kombination med kryptografiska verktyg för att tillhandahålla säkra kommunikationskanaler.

Litteratur

  1. Galatenko V.A. Standarder för informationssäkerhet. – M.: Internet University of Information Technologies, 2006.
  2. Partyka T.L., Popov I.I. Informationssäkerhet. – M.: Forum, 2012.

Informationssäkerhet, liksom informationsskydd, är en komplex uppgift som syftar till att säkerställa säkerhet, implementerad genom implementering av ett säkerhetssystem. Problemet med informationssäkerhet är mångfacetterat och komplext och omfattar en rad viktiga uppgifter. Informationssäkerhetsproblem förvärras ständigt av processerna för penetration till alla samhällssfärer tekniska medel databehandling och överföring och framför allt datorsystem.

Hittills har tre grundläggande principer formulerats som informationssäkerheten ska säkerställa:

dataintegritet - skydd mot misslyckanden som leder till förlust av information, samt skydd mot obehörigt skapande eller förstörelse av data;

sekretess för information;

Under utveckling datorsystem, fel eller fel i drift som kan leda till allvarliga konsekvenser, frågor datorsäkerhet bli en prioritet. Det finns många åtgärder som syftar till att säkerställa datorsäkerhet, de viktigaste är tekniska, organisatoriska och juridiska.

Att säkerställa informationssäkerhet är en dyr verksamhet, inte bara på grund av kostnaden för att köpa eller installera säkerhetsåtgärder, utan också för att det är svårt att på ett adekvat sätt definiera gränserna för rimlig säkerhet och säkerställa att systemet underhålls på rätt sätt.

Informationssäkerhetsprodukter bör inte designas, köpas eller installeras förrän lämplig analys har utförts.

Webbplatsen analyserar informationssäkerhet och dess plats i det nationella säkerhetssystemet och identifierar viktiga intressen i informationssfär och hot mot dem. Övervägda frågor informationskrig, informationsvapen, principer, huvuduppgifter och funktioner för att säkerställa informationssäkerhet, funktioner statligt system att säkerställa informationssäkerhet, inhemska och utländska standarder inom informationssäkerhetsområdet. Stor uppmärksamhet ägnas också åt juridiska frågor om informationssäkerhet.

Övervägs också allmänna problem informationsskydd i automatiserade system databehandling (ASOD), ämne och föremål för informationsskydd, uppgifter för informationsskydd i ASOD. Typerna av avsiktliga säkerhetshot och metoder för att skydda information i ASOD beaktas. Metoder och medel för att bekräfta användarnas äkthet och begränsa deras åtkomst till datorresurser, kontrollera åtkomst till utrustning, använda enkla och dynamiskt föränderliga lösenord och metoder för att ändra schemat övervägs. enkla lösenord, funktionella metoder.

Grundläggande principer för att bygga ett informationssäkerhetssystem.

När man bygger ett informationssäkerhetssystem för en anläggning bör man vägledas av följande principer:

Kontinuiteten i processen att förbättra och utveckla informationssäkerhetssystemet, som består i att motivera och implementera de mest rationella metoderna, metoderna och sätten att skydda information, kontinuerlig övervakning, identifiera flaskhalsar och svagheter samt potentiella kanaler för informationsläckage och obehörig åtkomst.

Integrerad användning av hela arsenalen av tillgängliga skyddsmedel i alla led av produktion och informationsbehandling. Samtidigt kombineras alla medel, metoder och aktiviteter som används till en enda, holistisk mekanism – ett informationssäkerhetssystem.

Övervakning av funktion, uppdatering och komplettering av skyddsmekanismer beroende på förändringar i möjliga interna och externa hot.

Korrekt utbildning av användare och deras efterlevnad av alla fastställda regler för sekretess. Utan att uppfylla detta krav kan inget informationssäkerhetssystem ge den skyddsnivå som krävs.

Det viktigaste villkoret för att säkerställa säkerhet är laglighet, tillräcklighet, upprätthållande av en balans mellan individens och företagets intressen, ömsesidigt ansvar för personal och ledning, samverkan med statliga brottsbekämpande myndigheter.

10) Stadier av att bygga informationssäkerhet

Byggetapper.

1. Omfattande analys av informationssystemet

företag på olika nivåer. Riskanalys.

2. Utveckling av organisatoriska, administrativa och

regleringsdokument.

3. Utbildning, fortbildning och

omskolning av specialister.

4. Årlig omprövning av informationsläget

företagssäkerhet

11) Brandvägg

Brandväggar och antiviruspaket.

En brandvägg (kallas ibland brandvägg) hjälper till att göra din dator säkrare. Det begränsar informationen som kommer in till din dator från andra datorer, vilket gör att du bättre kan kontrollera data på din dator och förser din dator med ett försvar mot människor eller program (inklusive virus och maskar) som obehörigt försöker ansluta till din dator . Du kan tänka dig en brandvägg som en gränspost som inspekterar information (ofta kallad trafik) som kommer från Internet eller lokalt nätverk. Under denna genomsökning avvisar eller tillåter brandväggen information att komma in i datorn baserat på de inställningar du ställt in.

Vad skyddar en brandvägg mot?

Brandväggen KAN:

1. Blockera datorvirus och maskar från att komma åt din dator.

2. Be användaren att välja att blockera eller tillåta vissa anslutningsförfrågningar.

3. Håll register (säkerhetslogg) - på användarens begäran - inspelning av tillåtna och blockerade försök att ansluta till datorn.

Vad skyddar inte en brandvägg mot?

Han kan inte:

1. Upptäck eller neutralisera datorvirus och "maskar" om de redan har kommit in i datorn.

3. Blockera spam eller obehöriga utskick så att de inte kommer till din inkorg.

BRANDVÄGGAR FÖR HÅRDVARA OCH MJUKVARA

Hårdvarubrandväggar- enskilda enheter som är mycket snabba, pålitliga, men mycket dyra, så de används vanligtvis bara för att skydda stora datornätverk. För hemanvändare, brandväggar inbyggda i routrar, switchar, trådlösa punkteråtkomst etc. Kombinerade routrar-brandväggar ger dubbelt skydd mot attacker.

Mjukvarubrandväggär ett säkerhetsprogram. Den fungerar på liknande sätt som en hårdvarubrandvägg, men är mer användarvänlig: den har fler färdiga inställningar och har ofta guideprogram som hjälper till med konfigurationen. Med dess hjälp kan du tillåta eller neka andra program åtkomst till Internet.

Antivirusprogram(antivirus)- alla program för att upptäcka datavirus, såväl som oönskade (anses skadliga) program i allmänhet och återställa filer infekterade (modifierade) av sådana program, samt för att förebygga - förhindra infektion (modifiering) av filer eller operativ system skadlig kod.

12) Klassificering av datorsystem

Beroende på abonnentsystemens territoriella läge

Datornätverk kan delas in i tre huvudklasser:

globala nätverk(WAN - Wide Area Network);

regionala nätverk (MAN - Metropolitan Area Network);

Lokala nätverk (LAN - Local Area Network).

Grundläggande LAN-topologier

LAN-topologi är ett geometriskt diagram över anslutningar av nätverksnoder.

Datornätverkstopologier kan vara väldigt olika, men

För lokala nätverk är endast tre typiska:

Ringa,

Stjärnformad.

Alla datornätverk kan betraktas som en samling

Knut- vilken enhet som helst som är direkt ansluten till

nätets överföringsmedium.

Ringtopologi tillhandahåller anslutning av nätverksnoder i en sluten kurva - en överföringsmediumkabel. Utgången från en nätverksnod är ansluten till ingången på en annan. Information sänds längs ringen från nod till nod. Varje mellannod mellan sändaren och mottagaren vidarebefordrar det skickade meddelandet. Den mottagande noden känner igen och tar endast emot meddelanden adresserade till den.

Ringtopologi är idealisk för nätverk som upptar ett relativt litet utrymme. Det finns ingen central nod, vilket ökar nätverkets tillförlitlighet. Reläinformation gör att du kan använda vilken typ av kabel som helst som överföringsmedium.

Konsekvent disciplin vid service av noderna i ett sådant nätverk minskar dess prestanda, och felet i en av noderna kränker ringens integritet och kräver att speciella åtgärder vidtas för att bevara informationsöverföringsvägen.

Busstopologi- en av de enklaste. Det är förknippat med användningen av koaxialkabel som överföringsmedium. Data från den sändande nätverksnoden distribueras längs bussen i båda riktningarna. Mellanliggande noder sänder inte inkommande meddelanden. Information kommer till alla noder, men bara den som den är adresserad till tar emot meddelandet. Servicedisciplinen är parallell.

Detta säkerställer hög prestanda för ett LAN med en busstopologi. Nätverket är enkelt att bygga ut och konfigurera, samt anpassa till olika system. Busstopologinätverket är resistent mot möjliga funktionsfel enskilda noder.

Busstopologinätverk är de vanligaste idag. Det bör noteras att de är korta i längd och inte tillåter användning Olika typer kabel inom samma nätverk.

Stjärntopologi bygger på konceptet med en central nod till vilken perifera noder är anslutna. Varje perifer nod har sin egen separata kommunikationslinje med den centrala noden. All information överförs genom en central nod, som vidarebefordrar, växlar och dirigerar informationsflöden i nätverket.

Stjärntopologin förenklar avsevärt interaktionen av LAN-noder med varandra och tillåter användning av enklare nätverkskort. Samtidigt beror prestandan för ett LAN med stjärntopologi helt på den centrala noden.

På riktigt dator nätverk Mer utvecklade topologier kan användas, som i vissa fall representerar kombinationer av de övervägda.

Valet av en viss topologi bestäms av omfattningen av LAN, den geografiska platsen för dess noder och storleken på nätverket som helhet.

Internet– ett världsomspännande informationsdatornätverk, som är en förening av många regionala datornätverk och datorer som utbyter information med varandra via offentliga telekommunikationskanaler (dedikerad telefonanalog och digitala linjer, optiska kommunikationskanaler och radiokanaler, inklusive satellitkommunikationslinjer).

Leverantör- nättjänstleverantör - en person eller organisation som tillhandahåller tjänster för anslutning till datornätverk.

Värd (från den engelska värden - "värd som tar emot gäster")- alla enheter som tillhandahåller tjänster i "klient-server"-formatet i serverläge över alla gränssnitt och är unikt definierade på dessa gränssnitt. I ett mer specifikt fall kan en värd förstås som vilken dator, server som helst som är ansluten till ett lokalt eller globalt nätverk.

Nätverksprotokoll- en uppsättning regler och åtgärder (sekvens av åtgärder) som tillåter anslutning och datautbyte mellan två eller flera enheter anslutna till nätverket.

IP-adress (IP-adress, förkortning för Internet Protocol Address)- en unik nätverksadress för en nod i ett datornätverk byggt med hjälp av IP-protokollet. Internet kräver globalt unika adresser; vid arbete på ett lokalt nätverk krävs unikheten hos adressen inom nätverket. I IPv4-protokollversionen är IP-adressen 4 byte lång.

Domän namn - ett symboliskt namn som hjälper till att hitta internetserveradresser.

13) Peer-to-peer nätverksuppgifter

Skaparen av cybernetik, Norbert Wiener, trodde att information har unika egenskaper och inte kan hänföras till vare sig energi eller materia. Informationens särställning som fenomen har gett upphov till många definitioner.

I ordboken för ISO/IEC 2382:2015-standarden " Informationsteknologi” följande tolkning ges:

Information (inom området informationsbehandling)- alla uppgifter som presenteras i elektronisk form, skrivna på papper, uttryckta vid ett möte eller finns på något annat medium, som används av ett finansinstitut för beslutsfattande, förflyttning Pengar, fastställande av räntor, utfärdande av lån, bearbetning av transaktioner, etc., inklusive mjukvarukomponenter i bearbetningssystemet.

För att utveckla konceptet informationssäkerhet (IS) förstås information som information som är tillgänglig för insamling, lagring, bearbetning (redigering, konvertering), användning och överföring olika sätt, inklusive i dator nätverk och andra informationssystem.

Sådan information är mycket värdefull och kan bli föremål för attacker från tredje part. Viljan att skydda information från hot ligger bakom skapandet av informationssäkerhetssystem.

Rättslig grund

I december 2017 antog Ryssland informationssäkerhetsdoktrinen. Dokumentet definierar informationssäkerhet som tillståndet för att skydda nationella intressen inom informationssfären. Under nationella intressen i detta fall förstås hela samhällets, individens och statens intressen, varje grupp av intressen är nödvändig för att samhället ska fungera stabilt.

Läran är ett konceptuellt dokument. Rättsliga relationer relaterade till att säkerställa informationssäkerhet regleras av federala lagar "om statshemligheter", "om information", "om skydd av personuppgifter" och andra. Med utgångspunkt i grundläggande föreskrifter utvecklas myndighetsföreskrifter och departementsföreskrifter om privata frågor om informationsskydd.

Definition av informationssäkerhet

Innan du utvecklar en informationssäkerhetsstrategi är det nödvändigt att anta en grundläggande definition av själva begreppet, vilket kommer att tillåta användningen av en viss uppsättning metoder och metoder för skydd.

Branschpraktiker föreslår att man ska förstå informationssäkerhet som ett stabilt tillstånd av säkerhet för information, dess media och infrastruktur, vilket säkerställer integriteten och motståndskraften hos informationsrelaterade processer mot avsiktliga eller oavsiktliga effekter av naturlig och artificiell karaktär. Påverkan klassificeras i form av hot mot informationssäkerhet som kan orsaka skada på personer i informationsrelationer.

Informationssäkerhet kommer således att förstås som en uppsättning juridiska, administrativa, organisatoriska och tekniska åtgärder som syftar till att förebygga verkliga eller upplevda informationssäkerhetshot, samt att eliminera konsekvenserna av incidenter. Kontinuiteten i informationsskyddsprocessen måste garantera kampen mot hot i alla skeden av informationscykeln: i processen för insamling, lagring, bearbetning, användning och överföring av information.

Informationssäkerhet i denna förståelse blir en av egenskaperna hos systemets prestanda. Systemet ska vid varje tidpunkt ha en mätbar säkerhetsnivå och att säkerställa systemets säkerhet måste vara en kontinuerlig process som genomförs vid alla tidsintervall under systemets livslängd.

Infografiken använder data från vår egen"SearchInform".

Inom informationssäkerhetsteorin förstås informationssäkerhetsämnen som ägare och användare av information, inte bara användare på löpande basis (anställda), utan även användare som åtkomst till databaser i enstaka fall, till exempel statliga myndigheter som begär information. I vissa fall, till exempel i standarder för bankinformationssäkerhet, anses aktieägare - juridiska personer som äger vissa uppgifter - som ägare av information.

Stödjande infrastruktur, ur synvinkeln av informationssäkerhetens grunder, inkluderar datorer, nätverk, telekommunikationsutrustning, lokaler, livsuppehållande system och personal. När man analyserar säkerhet är det nödvändigt att studera alla delar av systemen, med särskild uppmärksamhet på personal som bärare av de flesta interna hot.

För att hantera informationssäkerhet och bedöma skada används acceptabilitetsegenskapen, vilket bestämmer skadan som acceptabel eller oacceptabel. Det är användbart för varje företag att fastställa sina egna kriterier för godtagbar skada i monetär form eller till exempel i form av godtagbar skada på anseende. I statliga institutioner kan andra egenskaper antas, till exempel som påverkar förvaltningsprocessen eller reflekterar graden av skada på medborgarnas liv och hälsa. Kriterierna för informationens väsentlighet, betydelse och värde kan ändras under informationsmatrisens livscykel och måste därför revideras i tid.

Informationshot i i snäv mening erkänns den objektiva möjligheten att påverka skyddsobjektet, vilket kan leda till läckage, stöld, röjande eller spridning av information. I en vidare mening kommer informationssäkerhetshot att omfatta riktade influenser av informationskaraktär, vars syfte är att orsaka skada på stat, organisation eller individ. Sådana hot inkluderar till exempel ärekränkning, avsiktlig felaktig framställning och felaktig reklam.

Tre huvudfrågor i informationssäkerhetskonceptet för alla organisationer

    Vad ska man skydda?

    Vilka typer av hot råder: externa eller interna?

    Hur skyddar man, med vilka metoder och medel?

Informationssäkerhetssystem

Informationssäkerhetssystem för företaget - juridisk enhet omfattar tre grupper av grundläggande begrepp: integritet, tillgänglighet och konfidentialitet. Under varje ligger koncept med flera egenskaper.

Under integritet syftar på motståndet hos databaser och andra informationsgrupper mot oavsiktlig eller avsiktlig förstörelse och obehöriga ändringar. Begreppet integritet kan ses som:

  • statisk, uttryckt i oföränderligheten, äktheten av informationsobjekt till de objekt som skapades för ett specifikt tekniska specifikationer och innehålla de mängder information som krävs för användarna för deras huvudsakliga aktiviteter, i den konfiguration och sekvens som krävs;
  • dynamisk, vilket innebär att komplexa åtgärder eller transaktioner utförs korrekt utan att skada informationens säkerhet.

För att kontrollera dynamisk integritet används speciella tekniska medel som analyserar informationsflödet, till exempel ekonomiskt, och identifierar fall av stöld, dubblering, omdirigering och förändringar i meddelandeordningen. Integritet som grundläggande egenskap krävs när beslut om att vidta åtgärder fattas utifrån inkommande eller tillgänglig information. Att bryta mot ordningen på kommandon eller sekvensen av åtgärder kan orsaka stor skada vid beskrivningar av tekniska processer, programkoder och i andra liknande situationer.

Tillgänglighetär en egenskap som tillåter auktoriserade försökspersoner att komma åt eller utbyta data av intresse för dem. Nyckelkravet på legitimering eller auktorisation av försökspersoner gör det möjligt att skapa olika åtkomstnivåer. Systemfel att tillhandahålla information blir ett problem för alla organisationer eller användargrupper. Ett exempel är otillgängligheten av statliga tjänsters webbplatser i händelse av ett systemfel, vilket berövar många användare möjligheten att ta emot nödvändiga tjänster eller information.

Sekretess betyder egenskapen hos information som är tillgänglig för dessa användare: ämnen och processer till vilka åtkomst initialt beviljas. De flesta företag och organisationer uppfattar sekretess som en nyckelfaktor för informationssäkerhet, men i praktiken är det svårt att implementera det fullt ut. Alla data om befintliga informationsläckagekanaler är inte tillgängliga för upphovsmännen till informationssäkerhetskoncept, och många tekniska skyddsmedel, inklusive kryptografiska, kan inte köpas fritt i vissa fall, cirkulationen är begränsad.

Lika informationssäkerhetsegenskaper har olika värden för användare, därav de två extrema kategorierna när man utvecklar dataskyddskoncept. För företag eller organisationer relaterade till statshemligheter, nyckelparameter sekretess kommer att bli, för offentliga tjänster eller utbildningsinstitutioner är den viktigaste parametern tillgänglighet.

Informationssäkerhetssammandrag

Skyddsobjekt i informationssäkerhetskoncept

Skillnader i ämnen ger upphov till skillnader i skyddsobjekt. Huvudgrupper av skyddade objekt:

  • informationsresurser av alla slag (en resurs förstås som ett materiellt objekt: HDD, andra medier, dokument med data och detaljer som hjälper till att identifiera det och tilldela det till en viss grupp av ämnen);
  • rätten för medborgare, organisationer och staten att få tillgång till information, möjligheten att få den inom lagens ram; Tillgången kan endast begränsas av förordningar att organisera hinder som kränker mänskliga rättigheter är oacceptabel;
  • system för att skapa, använda och distribuera data (system och teknologier, arkiv, bibliotek, föreskrifter);
  • system för bildandet av allmänhetens medvetande (massmedia, internetresurser, sociala institutioner, utbildningsinstitutioner).

Varje anläggning kräver ett särskilt system av skyddsåtgärder mot hot mot informationssäkerhet och allmän ordning. Att säkerställa informationssäkerhet i varje enskilt fall bör baseras på ett systematiskt tillvägagångssätt som tar hänsyn till objektets särdrag.

Kategorier och media

ryska rättssystem, brottsbekämpande praxis och etablerade PR klassificerar information enligt tillgänglighetskriterier. Detta gör att du kan klargöra de väsentliga parametrarna som är nödvändiga för att säkerställa informationssäkerhet:

  • information till vilken tillgången är begränsad baserat på lagkrav (statshemligheter, affärshemligheter, personuppgifter);
  • information i fri tillgång;
  • allmän information, som tillhandahålls under vissa förutsättningar: betald information eller data som kräver tillstånd för att använda till exempel ett lånekort;
  • farlig, skadlig, falsk och andra typer av information, vars spridning och spridning begränsas antingen av lagkrav eller företagsstandarder.

Information från den första gruppen har två säkerhetslägen. Statshemlighet, enligt lagen är detta statligt skyddad information, vars fria spridning skulle kunna skada landets säkerhet. Detta är data inom området militär, utrikespolitik, underrättelsetjänst, kontraspionage och ekonomisk aktivitet stater. Ägaren till denna datagrupp är staten själv. Organ som är behöriga att vidta åtgärder för att skydda statshemligheter är försvarsministeriet, Federal Security Service (FSB), Foreign Intelligence Service, Federal service för teknisk och exportkontroll (FSTEK).

Konfidentiell information- ett mer mångfacetterat föremål för reglering. Listan över information som kan utgöra konfidentiell information finns i presidentdekret nr 188 "Om godkännande av listan över konfidentiell information." Detta är personuppgifter; sekretess för utredning och rättsliga förfaranden; officiell hemlighet; yrkessekretess (medicinsk, notarie, advokat); byteshemlighet; information om uppfinningar och bruksmodeller; information som finns i personliga affärer dömda personer, samt information om tvångsverkställighet av rättshandlingar.

Personuppgifter finns i öppet och konfidentiellt läge. Den del av personuppgifter som är öppen och tillgänglig för alla användare inkluderar förnamn, efternamn och patronym. Enligt federal lag-152 "Om personuppgifter" har personer med personuppgifter rätt:

  • för information självbestämmande;
  • att få tillgång till personliga personuppgifter och göra ändringar i dem;
  • att blockera personuppgifter och tillgång till dem;
  • att överklaga tjänstefel tredje parter som begåtts i samband med personuppgifter;
  • om ersättning för orsakad skada.

Rätten till är inskriven i förordningar om statliga organ, federala lagar och licenser att arbeta med personuppgifter utfärdade av Roskomnadzor eller FSTEC. Företag som yrkesmässigt arbetar med personuppgifter om en lång rad personer, till exempel teleoperatörer, måste gå in i registret som förs av Roskomnadzor.

Ett separat objekt i teorin och praktiken av informationssäkerhet är informationsbärare, till vilka tillgången kan vara öppen eller stängd. Vid utveckling av ett informationssäkerhetskoncept väljs skyddsmetoder beroende på typ av media. Huvudlagringsmedia:

  • tryckt och elektroniska medel massmedia, sociala media, andra resurser på Internet;
  • anställda i organisationen som har tillgång till information baserat på deras vänliga, familjemässiga och professionella kopplingar;
  • kommunikationsmedel som överför eller lagrar information: telefoner, automatiska telefonväxlar, annan telekommunikationsutrustning;
  • dokument av alla slag: personliga, officiella, statliga;
  • programvara som oberoende informationsobjekt, särskilt om dess version har modifierats specifikt för ett specifikt företag;
  • elektronisk media information som behandlar data automatiskt.

I syfte att utveckla informationssäkerhetskoncept delas informationssäkerhetsmedel vanligtvis in i regulatoriska (informella) och tekniska (formella).

Informella skyddsmedel är dokument, regler, åtgärder formella medel är speciella tekniska medel och programvara. Distinktionen hjälper till att fördela ansvarsområden när man skapar informationssäkerhetssystem: med allmän hantering av skydd implementerar administrativ personal regleringsmetoder och IT-specialister implementerar därför tekniska.

Grunderna för informationssäkerhet förutsätter en myndighetsfördelning inte bara när det gäller att använda information, utan också när det gäller att arbeta med dess skydd. En sådan maktdelning kräver också flera nivåer av kontroll.


Formella botemedel

Ett brett utbud av tekniska skyddsmedel för informationssäkerhet inkluderar:

Fysiska skyddsmedel. Dessa är mekaniska, elektriska, elektroniska mekanismer som fungerar oberoende av informationssystem och skapar hinder för tillgång till dem. Lås, inklusive elektroniska, skärmar och persienner är utformade för att skapa hinder för destabiliserande faktorers kontakt med system. Gruppen kompletteras med säkerhetssystem, till exempel videokameror, videobandspelare, sensorer som upptäcker rörelse eller överskott elektromagnetisk strålning i det område där tekniska medel för informationssökning och inbyggda enheter finns.

Hårdvaruskydd. Dessa är elektriska, elektroniska, optiska, laser och andra enheter som är inbyggda i informations- och telekommunikationssystem. Innan hårdvara implementeras i informationssystem är det nödvändigt att säkerställa kompatibilitet.

programvara - Dessa är enkla och systemiska, omfattande program utformade för att lösa specifika och komplexa problem relaterade till tillhandahållande av informationssäkerhet. Exempel på komplexa lösningar är: den första tjänar till att förhindra läckor, omformatera information och omdirigera informationsflöden, den andra ger skydd mot incidenter inom informationssäkerhetsområdet. Mjukvaruverktyg kräver kraften hos hårdvaruenheter, och under installationen är det nödvändigt att tillhandahålla ytterligare reserver.

Du kan prova det gratis i 30 dagar. Innan systemet installeras kommer SearchInforms ingenjörer att genomföra en teknisk revision hos kundens företag.

TILL specifika medel Informationssäkerhet inkluderar olika kryptografiska algoritmer som låter dig kryptera information på disk och omdirigeras via externa kommunikationskanaler. Informationskonvertering kan ske med hjälp av mjukvara och hårdvara som fungerar i företagens informationssystem.

Alla medel som garanterar informationssäkerhet måste användas i kombination, efter en preliminär bedömning av informationens värde och jämförande med kostnaden för resurser som läggs på säkerhet. Därför bör förslag till användning av medel formuleras redan i systemutvecklingsstadiet och godkännande bör ske på den ledningsnivå som ansvarar för godkännande av budgetar.

För att säkerställa säkerheten är det nödvändigt att övervaka alla modern utveckling, skydd av mjukvara och hårdvara, hot och gör snabba ändringar i dina egna skyddssystem mot obehörig åtkomst. Endast ett adekvat och snabbt svar på hot kommer att bidra till att uppnå en hög nivå av konfidentialitet i företagets arbete.

Den första releasen släpptes 2018. Detta unikt program sammanställer psykologiska porträtt av anställda och fördelar dem i riskgrupper. Denna metod för informationssäkerhet gör att du kan förutse möjliga incidenter och vidta åtgärder i förväg.

Informella botemedel

Informella skyddsmedel grupperas i normativa, administrativa och moraliska och etiska. På den första skyddsnivån finns reglerande medel som reglerar informationssäkerhet som en process i organisationens verksamhet.

  • Regulatoriska medel

I världspraxis, när de utvecklar regulatoriska verktyg, styrs de av skyddsstandarder för informationssäkerhet, den viktigaste är ISO/IEC 27000. Standarden skapades av två organisationer:

  • ISO - International Commission for Standardization, som utvecklar och godkänner de flesta internationellt erkända metoder för att certifiera kvaliteten på produktions- och ledningsprocesser;
  • IEC - International Energy Commission, som införde i standarden sin förståelse av informationssäkerhetssystem, medel och metoder för att säkerställa det

Den nuvarande versionen av ISO/IEC 27000-2016 erbjuder färdiga standarder och beprövade tekniker som är nödvändiga för implementering av informationssäkerhet. Enligt författarna till metoderna ligger grunden för informationssäkerhet i ett systematiskt och konsekvent genomförande av alla stadier från utveckling till efterkontroll.

För att få ett certifikat som bekräftar överensstämmelse med informationssäkerhetsstandarder är det nödvändigt att implementera alla rekommenderade metoder fullt ut. Om det inte finns något behov av att skaffa ett certifikat kan du ta något av de mer än ett som grund för att utveckla dina egna informationssäkerhetssystem tidigare versioner standard, som börjar med ISO/IEC 27000-2002, eller ryska GOST, som är av rådgivande karaktär.

Baserat på resultaten av att studera standarden utvecklas två dokument som rör informationssäkerhet. Den huvudsakliga, men mindre formella, är konceptet med företagsinformationssäkerhet, som bestämmer åtgärderna och metoderna för att implementera ett informationssäkerhetssystem för organisationens informationssystem. Det andra dokumentet som alla anställda i företaget är skyldiga att följa är informationssäkerhetsförordningen, godkänd på styrelse- eller verkställande organ.

Utöver föreskrifter på företagsnivå bör listor över information som utgör företagshemligheter, bilagor till anställningsavtal som fastställer ansvar för utlämnande av konfidentiella uppgifter och andra standarder och metoder utvecklas. Interna normer och regler måste innehålla implementeringsmekanismer och ansvarsmått. Oftast är åtgärderna disciplinära till sin natur och överträdaren måste vara beredd på att ett brott mot affärshemlighetsregimen kommer att följas av betydande sanktioner, inklusive uppsägning.

  • Organisatoriska och administrativa åtgärder

Som en del av den administrativa verksamheten för informationssäkerhetsskydd har säkerhetsansvariga utrymme för kreativitet. Det handlar bland annat om arkitektur- och planlösningar som gör det möjligt att skydda mötesrum och ledningskontor från avlyssning, och etablering av olika nivåer av tillgång till information. Viktiga organisatoriska åtgärder kommer att vara certifiering av företagets verksamhet enligt ISO/IEC 27000-standarder, certifiering av enskilda hård- och mjukvarusystem, certifiering av ämnen och objekt för överensstämmelse med nödvändiga säkerhetskrav, erhållande av nödvändiga licenser för att arbeta med skyddade informationsmatriser.

Med tanke på att reglera personalens verksamhet kommer det att vara viktigt att formalisera ett system med begäranden om tillgång till Internet, extern e-post, andra resurser. Ett separat element kommer att ta emot elektroniskt digital signatur för att förbättra säkerheten för finansiell och annan information som överförs till statliga myndigheter via e-post.

  • Moraliska och etiska åtgärder

Moraliska och etiska åtgärder avgör en persons personliga inställning till konfidentiell information eller information som är begränsad i cirkulationen. Att öka medarbetarnas kunskap om hotens inverkan på företagets verksamhet påverkar graden av medvetenhet och ansvar hos medarbetarna. För att bekämpa informationsbrott, inklusive till exempel överföring av lösenord, vårdslös hantering av media och spridning av konfidentiell information i privata samtal, är det nödvändigt att betona den anställdes personliga medvetande. Det kommer att vara användbart att fastställa personalens prestationsindikatorer som kommer att bero på attityden till företagssystem IB.