Informacija civilizacijos raidoje vaidina ypatingą vaidmenį. Informacinių išteklių turėjimas ir racionalus jų naudojimas sudaro sąlygas optimaliam visuomenės valdymui. Priešingai, informacijos iškraipymas, jos gavimo blokavimas, nepatikimų duomenų naudojimas lemia klaidingus sprendimus.

Vienas iš pagrindinių veiksnių, užtikrinančių efektyvumą valdant įvairias visuomenės gyvenimo sritis, yra teisingas įvairaus pobūdžio informacijos panaudojimas. Pažangos tempai šiandien, o juo labiau rytoj, labai priklauso nuo padėties informacijos ir kompiuterinių paslaugų srityje svarbiausiose veiklos srityse – mokslo, technologijų, gamybos ir vadybos.

Ypač aktuali ekonominės informacijos panaudojimo problema materialinės gamybos valdymo srityje, kur informacijos srauto augimas kvadratiškai priklauso nuo šalies pramonės potencialo. Savo ruožtu spartus automatizavimo procesų vystymasis ir kompiuterių naudojimas visose šiuolaikinio gyvenimo srityse, be neabejotinų pranašumų, lėmė nemažai specifinių problemų. Vienas iš jų – būtinybė užtikrinti veiksmingą informacijos apsaugą. Tuo remiantis, teisės normų, nustatančių piliečių, grupių ir valstybės teises ir pareigas į informaciją, kūrimas bei šios informacijos apsauga tampa svarbiausiu valstybės informacinės politikos aspektu. Informacijos apsauga, ypač ekonominė sfera, yra labai specifinė ir svarbi veiklos rūšis. Užtenka pasakyti, kad pasaulyje vidutinė žalos suma nuo vienos banko vagystės naudojant elektronines priemones vertinama 9 tūkstančiais dolerių.Metiniai nuostoliai dėl kompiuterinių nusikaltimų JAV ir Vakarų Europoje siekia 140 milijardų dolerių JAV ekspertų teigimu, pašalinimas Informacijos saugumo sistemų iš kompiuterių tinklų per kelias valandas sužlugs 20% vidutinių įmonių, per kelias dienas žlugs 40% vidutinių ir 16% didelių įmonių, žlugs 33% bankų. per 2-5 valandas, 50% bankų – per 2-3 dienas.

Domina informacija apie duomenų apsaugos problemas, dėl kurių JAV įmonės patyrė materialinių nuostolių:

tinklo gedimai (24 proc.);

programinės įrangos klaidos (14%);

kompiuteriniai virusai (12%);

kompiuterio gedimai (11%);

duomenų vagystės (7%);

sabotažas (5%);

neteisėtas patekimas į tinklą (4%);

kiti (23 proc.).

Sparčiai vystantis ir plintant bankus ir biržas aptarnaujančioms kompiuterinėms sistemoms ir informaciniams tinklams, daugėja nusikaltimų, susijusių su vagystėmis ir neteisėta prieiga prie kompiuterio atmintyje saugomų ir ryšio linijomis perduodamų duomenų.

Kompiuteriniai nusikaltimai šiandien vyksta visose pasaulio šalyse ir yra paplitę daugelyje žmogaus veiklos sričių. Jiems būdingas didelis slaptumas, sunku surinkti įrodymus remiantis nustatytais jų padarymo faktais, sunku tokius atvejus įrodyti teisme. Nusikaltimai kompiuterinės informacijos srityje gali būti padaryti:

sukčiavimas kompiuteriniu būdu manipuliuojant duomenų apdorojimo sistema, siekiant gauti finansinės naudos;

Kompiuterių šnipinėjimas ir programinės įrangos vagystės;

kompiuterių sabotažas;

paslaugų (laiko) vagystės, piktnaudžiavimas duomenų apdorojimo sistemomis;

neteisėta prieiga prie duomenų apdorojimo sistemų ir į jas „nulaužimas“;

tradiciniai nusikaltimai versle (ekonomikoje), daromi duomenų apdorojimo sistemų pagalba.

Kompiuterinius nusikaltimus dažniausiai įvykdo aukštos kvalifikacijos sistemų ir bankų programuotojai bei telekomunikacijų sistemų srities specialistai. Rimtą pavojų informaciniams ištekliams kelia įsilaužėlių Ir krekeriai,įsiskverbti į kompiuterių sistemas ir tinklus įsilaužiant saugos programinei įrangai. Krekeriai taip pat gali ištrinti arba pakeisti duomenis informacijos banke pagal savo interesus. Per pastaruosius dešimtmečius buvusios SSRS šalyse atsirado galinga aukštos kvalifikacijos potencialių įsilaužėlių karta, dirbanti su informaciniu piratavimu valstybiniu lygmeniu užsiimančiose organizacijose ir padaliniuose, kad iš Vakarų gautą informaciją panaudotų kariniams ir ekonominiams interesams.

Ką įsilaužėliai vagia? Galimas objektas gali būti bet kokia informacija, saugoma kompiuteryje, einanti per kompiuterių tinklus arba esanti kompiuterinėse laikmenose ir galinti atnešti pelno įsilaužėliui ar jo darbdaviui. Ši informacija apima beveik visą informaciją, kuri sudaro įmonių komercinę paslaptį, nuo plėtros ir know-how iki darbo užmokesčio, iš kurios nesunku „paskaičiuoti“ įmonės apyvartą, darbuotojų skaičių ir kt.

Ypač vertinga informacija apie banko operacijas ir paskolas, atliktas elektroniniu paštu, taip pat sandorius biržoje. Įsilaužėlius labai domina programinės įrangos produktai, kurie šiuolaikinėje rinkoje vertinami tūkstančiais ar net milijonais dolerių.

Krekeriai – „kompiuteriniai teroristai“ – kenkia programoms ar informacijai naudodami virusus – specialias programas, užtikrinančias informacijos sunaikinimą ar sistemos gedimus. „Virusų“ programų kūrimas yra labai pelningas verslas, nes kai kurios gamybos įmonės naudoja virusus, kad apsaugotų savo programinės įrangos produktus nuo neteisėto kopijavimo.

Daugeliui įmonių informacijos gavimas, konkurentams pristatant įsilaužėlį-programuotoją, yra paprasčiausias ir pelningiausias dalykas. Specialios įrangos pristatymas oponentams ir nuolatinis jų biuro spinduliuotės stebėjimas naudojant specialią įrangą yra brangus ir pavojingas darbas. Be to, kai konkuruojanti įmonė atranda technines priemones, ji gali reaguoti pradėdama žaidimą ir pateikdama klaidingą informaciją. Todėl turėti savo įsilaužėlį-programuotoją „priešo stovykloje“ yra patikimiausias būdas kovoti su konkurentais.

Taigi, vis didėjantis kompiuterinių nusikaltimų pavojus, pirmiausia finansų ir kredito sferoje, lemia automatizuotų informacinių sistemų saugumo užtikrinimo svarbą.

Pagal Organizacijos (įstaigos) automatizuotos informacinės sistemos saugumas – tai jos apsauga nuo atsitiktinio ar tyčinio įsikišimo į normalų veiklos procesą, taip pat nuo bandymų pavogti, modifikuoti ar sunaikinti jos komponentus. Sistemos saugumas pasiekiamas užtikrinant jos apdorojamos informacijos konfidencialumą, taip pat sistemos komponentų ir išteklių vientisumą bei prieinamumą.

Kompiuterio konfidencialumas – tai informacijos savybė, kad ją žinotų tik įleisti ir patikrinti (įgalioti) sistemos subjektai (vartotojai, programos, procesai ir pan.).

Sąžiningumas sistemos komponentas (resursas) – komponento (resurso) savybė būti nepakitusiam (semantine prasme) sistemos veikimo metu.

Prieinamumas sistemos komponentas (išteklius) – komponento (resurso) savybė bet kuriuo metu būti prieinama įgaliotiems sistemos subjektams.

Sistemos saugumas užtikrinamas techninei įrangai, programoms, duomenims ir paslaugoms taikomų technologinių ir administracinių priemonių kompleksu, užtikrinančiu su kompiuteriu susijusių išteklių prieinamumą, vientisumą ir konfidencialumą; Tai taip pat apima procedūras, skirtas patikrinti, ar sistema atlieka tam tikras funkcijas, griežtai laikydamasi suplanuotos darbo tvarkos.

Sistemos apsaugos sistemą galima suskirstyti į šiuos posistemius:

kompiuterių saugumas;

duomenų saugumas;

saugi programinė įranga;

ryšių saugumas.

Kompiuterių apsauga yra numatyta technologinių ir administracinių priemonių, taikomų kompiuterių techninei įrangai, visuma, siekiant užtikrinti su ja susijusių išteklių prieinamumą, vientisumą ir konfidencialumą.

Duomenų saugumas yra pasiekiama apsaugant duomenis nuo neleistino, atsitiktinio, tyčinio ar aplaidaus pakeitimo, sunaikinimo ar atskleidimo.

Saugi programinė įranga atstovauja bendrosios paskirties ir taikomąsias programas bei įrankius, kurie saugiai apdoroja duomenis sistemoje ir saugiai naudoja sistemos išteklius.

Ryšio saugumas teikiama telekomunikacijų autentifikavimo būdu, imantis priemonių, kad pašaliniai asmenys nepateiktų jautrios informacijos, kurią sistema gali išduoti reaguodama į telekomunikacijų užklausą.

KAM informacijos saugos objektaiįmonėje (firmoje) yra:

informaciniai ištekliai, kuriuose yra informacija, klasifikuojama kaip komercinė paslaptis, ir konfidenciali informacija, pateikta dokumentais pagrįstų informacijos masyvų ir duomenų bazių pavidalu;

informacinių technologijų priemonės ir sistemos – kompiuterinė ir organizacinė įranga, tinklai ir sistemos, bendroji sistemų ir taikomoji programinė įranga, automatizuotos įmonės (biuro) valdymo sistemos, ryšių ir duomenų perdavimo sistemos, techninėmis priemonėmis informacijos rinkimas, registravimas, perdavimas, apdorojimas ir rodymas, taip pat jų informaciniai fiziniai laukai.

IN modernus pasaulis informaciniai ištekliai tapo vienu iš galingų įmonių (firmų), atliekančių svarbų vaidmenį verslo veikloje, ekonominės plėtros svertų. Be to, trūksta efektyvaus kompiuterio ir modernaus informacines technologijas, kurios yra „greičių“ ekonomikų funkcionavimo pagrindas, ženkliai trukdo pereiti prie naujų valdymo formų.

Informacinėse ir automatizuotose įmonės (įmonės) valdymo sistemose pirmenybė teikiama efektyvių rinkodaros valdymo užduočių sprendimų, t.y. įmonės (įmonės) sutarčių ir kontaktų apskaitos ir analizės, verslo partnerių paieškos, reklaminių kampanijų organizavimui. reklamuoti prekes, teikti tarpininkavimo paslaugas, kurti skverbimosi į rinką strategijas ir kt.

Be įvairių politinių, komercinių ir oficialių saugumo agentūrų paramos, bet kokią rimtą operaciją paprastai įmanoma efektyviai atlikti tik nuslėpus tikrąją savo veiklą („nelegalios veikos“) ir tikrąją tapatybę („nelegalios asmenybės“).

Tai taikoma tiek mėgėjams, tiek neoficialiai grupei, specialiai sukurtai spręsti kai kurias opias problemas, kurios neturi visuotinio pritarimo.

Ta pati problema iškyla, kai žmogui dėl kokių nors priežasčių reikia slėptis nuo įvairių komercinio, valdiško, kriminalinio ar politinio pobūdžio tarnybų.

Galite tapti tipišku nelegaliu imigrantu tyčia arba priverstinai. Tačiau bet kuriuo atveju būtina išmanyti bent minimalią standartinę saugumo taktiką, kad šį laikotarpį sėkmingai išgyventume neprarandant, per visišką kvailumą, fizinę ar psichinę laisvę, o kartais ir patį gyvenimą.

Naudojamų draudimo priemonių lygis stipriai priklauso tiek nuo asmens (ar grupės) pageidaujamo slaptumo laipsnio, tiek nuo situacijos, aplinkos ir, žinoma, nuo pačių apdraustųjų galimybių.

Tam tikros asmeninės saugos priemonės turėtų tapti natūraliu įpročiu ir būti atliekamos neatsižvelgiant į esamos situacijos poreikius.

Tai, kas čia pateikiama, neišsemia galimų įprasto draudimo priemonių, kurių naudojimosi kriterijus visada yra aukšta priešo nuomonė ir, žinoma, pačių apdraustųjų sveikas protas.

Būdingi šie apsaugos tipai:

Išorinis (bendraujant su nepažįstamais žmonėmis);

Vidinis (kontaktuojant savo aplinkoje ir grupėje);

Vietinis (įvairiose situacijose ir veiksmuose).

Pažvelkime į visa tai šiek tiek išsamiau.

Išorinis saugumas

Bendraujant su paprastais žmonėmis ir valstybinėmis institucijomis gali kilti įvairių nesklandumų, tačiau daugumą to galima numatyti ir išvengti naudojant banalų trijų „nereikia“ principą: neerzinti, nesikišti, nestovėti. išeiti.

Būtina:

Netraukite į save pernelyg didelio dėmesio ("tirpimo aplinkoje" taktika):

– neišsiskirti išvaizda (paprastas kirpimas, padori apranga, nieko „garsaus“ nebuvimas; jei vis dėlto aplinka ekstravagantiška, tai būk kaip jie...);

– nesivelkite į kivirčus ir skandalus (tai, pirma, patraukia į jus nereikalingą dėmesį, antra, tai gali būti tiesiog provokacija, nukreipta į areštą ar „bausmę“);

– atidžiai apmokėti visus komunalinius mokesčius ir kitus valstybinius mokesčius; visada mokėti už transporto bilietus;

– stenkitės griežtai laikytis pasirinkto socialinio vaidmens modelio ir neturėti priekaištų darbui (ir neišsiskirti bendrame kolektyviniame fone...);

– nekurstykite įkyraus kaimynų smalsumo neįprastu gyvenimo būdu ar skirtingų žmonių apsilankymais;

– niekuo nerodykite perteklinių žinių, nebent, žinoma, jūsų vaidmuo to reikalauja (nepamirškite senolių: „Budrusis turi turėti trijų ne dėsnį: „Nežinau“, „Negirdėjau“ “, „Aš nesuprantu“).

Nekelkite kaimynų, kolegų ir pažįstamų priešiškumo, o kelkite juose užuojautą:

– nebūk „juoda avis“ (žmones visada traukia tie, kurie atsiskleidžia iš jiems suprantamos pusės...);

– ugdyti tokį elgesį, kuris nesukeltų galimo kitų atsargumo (perdėtas smalsumas, „protingumas“ ar įkyrumas...) ar priešiškumo (netaktiškumas, nuobodumas, išdidumas, grubumas...);

– būkite lygūs ir mandagūs su visais aplinkiniais ir, jei įmanoma, suteikite jiems nedideles (bet ne lėkštes!) paslaugas;

– nedaryti nieko, kas gali sukelti kaimynų nepasitenkinimą ir smalsumą (trankos durimis naktį, per daug lankytojų, grįžimas namo taksi, moterų apsilankymai, vėlyvieji telefono skambučiai bendrame bute...).

Atidžiai kontroliuokite visus savo ryšius ir kontaktus (atminkite, kad „pavojingiausias priešas yra tas, kurio neįtariate“):

– saugoti paslaptis nuo savo artimųjų (žmonos, draugų, giminių, meilužių...);

– su įprastu atsargumu („kodėl ir kodėl?“) visada suvoki bandymus suartėti su jumis (atsitiktinė pažintis, kažkieno rekomendacijos...);

– rūpestingai elkitės su visais remonto, reklamos ir serviso darbuotojais, peržiūrėkite jų dokumentus ir mandagiai, bet pagrįstai pasitikrinkite jų tapatybę telefonu, o vėliau su „kolegomis“;

– būkite atsargūs su visais, kurie siūlo iš pažiūros „nesuinteresuotas“ paslaugas (paskolina pinigus, aktyviai kažkuo padeda, pigiai suteikia kažką reikalingo...).

Išsiaiškinkite savo pažeidžiamumą ir sužinokite, kaip galite apsisaugoti čia:

– išanalizuokite visą savo gyvenimą ir išryškinkite tuos abejotinus momentus, kurie gali būti panaudoti šantažui ar diskreditavimui;

– realiai įvertinti galimas tokių faktų atskleidimo pasekmes visiems tiems, kuriems jie gali būti perduoti;

– įvertinti, kas ir dėl kokių priežasčių gali žinoti kaltinančius įrodymus ir kaip galima tokius duomenis neutralizuoti;

– identifikuokite savo pažeidžiamumo objektus (moterį, vaikus, moralinius principus...), nes per juos jums gali būti daromas spaudimas;

– nustatykite savo silpnybes (hobiai, vynas, seksas, pinigai, charakterio bruožai...) ir prisiminkite, kad jas visada galima panaudoti prieš jus.

– Nesivelkite į abejotinus sukčiavimus, nesusijusius su bendru reikalu. Į rizikingus nuotykius, susijusius su jūsų verslu, turėtumėte įsitraukti tik gavus leidimą iš viršaus.

Negali būti laikoma, kad jūsų aplinkoje esantys kontaktai yra saugūs. Atminkite, kad „didžiausia žala paprastai kyla dėl dviejų sąlygų: paslapčių atskleidimo ir pasitikėjimo klastingais žmonėmis“.

Tapatybės paslapčių išsaugojimas:

– vietoje tikrų vardų visada vartojami slapyvardžiai (dažniausiai vardiniai, bet ir skaitiniai, abėcėliniai ar „slapyvardis“); kiekviena kryptimi „žaidėjai“ eina atskiru slapyvardžiu, nors galima dirbti pagal kelis variantus, taip pat veikti bendru kelių skirtingų asmenų pseudonimu;

– komandos nariai, jei įmanoma, pažįsta vieni kitus tik slapyvardžiais; Tikruosius vardus, namų adresus ir telefono numerius turėtų žinoti tik patikimi asmenys;

- su grėsminga nesėkmės ir iššifravimo galimybe, visi naudojami slapyvardžiai, kaip taisyklė, keičiasi;

– niekam neduoti jokios intymios ar kitokios informacijos apie savo asmenį;

– stenkitės sukurti (naudodami užuominas ar gandus) fiktyvią, bet išoriškai tikėtiną „legendą“ apie save;

– niekas iš grupės neturėtų pernelyg domėtis savo bendražygių veikla, įpročiais ir intymiu gyvenimu;

– niekas neturėtų atskleisti kitiems jokios informacijos apie partnerius, nebent tai būtina;

– kai kuriais atvejais prasminga vizualiai pakeisti savo išvaizdą (šukuosena, barzda, makiažas, perukai, tatuiruotės, odos spalva, akiniai su paprastais arba rūkytais lęšiais ir skirtingais rėmeliais, balsą ir eiseną keičiantys intarpai...);

– reikia įpratinti nepalikti jokių materialinių pėdsakų, rodančių, kad čia buvote (nuorūkos, išmėtyti popieriukai, batų žymės, kontrastingi kvapai, pastebimi aplinkos pokyčiai...).

Bylos laikymas paslaptyje:

– palaikomi aktyvūs darbiniai ryšiai su griežtai ribotu žmonių grupe (trijų ar penkių sistema, priklausomai nuo sprendžiamų užduočių...), o partneriai neturėtų žinoti, ką tiksliai partneriai daro;

- kiekvienas specializuojasi tik dviejose ar trijose srityse, po to, kai jam tapo per pavojinga užsiimti veikla vienoje iš jų - galimas atokvėpis, taip pat perėjimas į kitą kryptį;

– būtina griežtai atskirti operatyvinį ir informacinį darbą: tegul kiekvienas užsiima tik savo verslu;

– geriausias būdas užmaskuoti pasirengimą konkrečiam veiksmui yra įgyvendinti kitą;

– apie savo veiklą galite papasakoti kitiems tik tada, kai to reikia jų verslui; atminkite, kad paslaptį saugo daugiausia penki žmonės;

– gauta informacija turi būti perduota tik tiems, kuriems jos aiškiai reikia (parodžius perteklinį kažko žinojimą gali atskleisti informacijos šaltinis, o tai gali lemti jo neutralizavimą);

– būti atsargiems naudodamiesi ryšio priemonėmis, kurios suteikia akivaizdžių galimybių perimti informaciją (pašto žinutes, radijo ir telefono pokalbius...);

– niekada nerašykite paprastu tekstu tikrų adresų, vardų ir nustatymų raidėmis, neminėkite jų pokalbiuose gatvėje ar telefonu;

– naudoti kodus ir slapyvardžius net bendraujant grupės viduje, karts nuo karto juos keisdami;

– grupė turi turėti 2-3 atskirus šifrus, žinomus skirtingiems žmonėms;

– labiau pasikliaukite atmintimi nei įrašymu; pastaruoju atveju turite naudoti savo asmens kodą ir šifrą;

– stenkitės, kad kaltinantys dokumentai nebūtų parašyti jūsų ranka ar atspausdinti ant jūsų biuro įrangos;

– bendraudami su „atvirais“ asmenimis, susilaikyti nuo tiesioginių kontaktų, prireikus pasitelkti trečiuosius asmenis ar kitas ryšio priemones;

– visada atsižvelkite ir atsiminkite, kad yra informacijos nutekėjimo ar išdavystės galimybė, ir būkite pasiruošę atitinkamiems atsakomiesiems veiksmams.

Geriausias sėkmės garantas paprastai yra apsauginis tinklas, todėl patartina atlikti bet kokius veiksmus atsižvelgiant į visas galimas priešo ar atsitiktinių liudininkų bėdas.

Bendrosios tiesioginio bendravimo taisyklės.

stenkitės nevesti informatyvių pokalbių atviru tekstu sausakimšoje gatvėje ar viešajame transporte;

Atvirame pokalbyje nereikėtų minėti tikrų pavardžių, vardų, žinomų slapyvardžių ir adresų, taip pat nevartoti „nerimą keliančios“ terminijos;

naudoti kodinius pavadinimus atskiriems veiksmams žymėti;

popieriuje užrašomi slapčiausi pokalbio aspektai (tikrieji adresai, slaptažodžiai, datos), kuris vėliau sunaikinamas;

būtina orientuotis pasiklausymo sistemų techninėse galimybėse ir žinoti pagrindines priemones joms kovoti (žr. skyrių apie informacijos gavimą...);

jei vienas iš pašnekovų pokalbio metu pastebi ką nors nerimą keliančio, partneris įspėjamas specialiu žodžiu („ATAS“...) arba gestu (pirštu prie lūpų...), o visas pokalbis perkeliamas į neutralų. kryptis;

jei žinote, kad esate nugirstas, geriau nevesti informacinių derybų ir nenaudoti jų dezinformacijai;

kai tavęs neva „klauso“, bet tau vis tiek reikia bendrauti, jie vartoja sutartinę kalbą, kur nekenksmingi sakiniai turi visai kitą reikšmę; Taip pat vartojamos frazės, į kurias nereikėtų atsižvelgti (jos dažniausiai perduodamos sutartu gestu, pavyzdžiui, sukryžiavus pirštus...), ir dažnai standartinės technikos (kosėjimas, įterpimai į burną...) sunku atpažinti kalbėtoją;

kai reikia užtikrinti visišką bendravimo paslaptį perpildytoje vietoje, jie naudoja sąlyginio (nežodinio) bendravimo metodus, tokius kaip kūno kalba, kūno judesiai ir pirštų gestai, taip pat aprangos atributika (skirtingos pozicijos) pagrįstus kodus. galvos apdangalu, kaklaraiščio segtuku, nosine...) arba manipuliuoti improvizuotais daiktais (laikrodžiais, cigaretėmis, raktais...).

A. ASMENINĖS SAUGOS UŽTIKRINIMAS:

– stengtis derėtis dėl svetimų ir savo skambučių laikų bei apriboti bendravimo dažnumą;

– nepiktnaudžiauti pokalbiais savo telefonu (jei jį galima pasiklausyti) ir neduoti kitiems savo numerio, nebent tai aiškiai būtina (žinant, kad juo nesunku pasiekti savo adresą);

– atsižvelkite į tai, kad jie gali klausytis ir viso telefono pokalbio (prisijungus prie linijos...), ir tik tai, apie ką jūs kalbate (blakę ar kaimyną už durų...);

– naudinga įrenginyje įmontuoti paprastą „valdiklį“ (įtampos kritimo aptikimą...), skirtą kažkieno įrangai prijungti prie linijos;

– naudokite Caller ID (automatinis numerio atpažinimas), arba dar geriau „anti-anti-caller ID“, kad skambinant kitiems nereklamuotumėte savo numerio;

– nepasikliaukite jokių radijo telefonų patikimumu;

– tolimojo ir kitokius fiksuotus kontaktus geriausia užmegzti iš kažkieno „numerio“ per korinį „dvigubą“ arba radijo plėtinį (žr. skyrių apie šantažą...), taip pat per tiesioginį ryšį su bet kokia kontaktų pora skirstomasis skydas;

– siekiant didesnio derybų slaptumo, galite naudoti šifruotojus (bent jau paprastus improvizuotus inverterius ir kodavimo įrenginius), nors jų naudojimas gali smarkiai paskatinti kitų dėmesį;

– neturėtumėte ypač pasitikėti apsauga dėl „triukšmo“ ar „didėjančios linijos įtampos“;

– jei nenorite „iššifruoti“ savo pašnekovo, tuomet galite pabandyti pakeisti savo balsą (per mechanines ir elektronines programėles, arba tiesiog kosėdami, ištiesdami ir praskėsdami lūpas, užspaudę nosį...) ir stilistiką. pokalbio modelis (vartojant žargoną...);

– nepamirškite, kad kartais pasiklausomi ir taksofonai, kurių, kaip ir visų kitų telefonų, vieta nesunkiai apskaičiuojama;

– jei reikia kažkieno skambučio, bet nenorite duoti savo koordinačių, naudojamas tarpinis – su autoatsakikliu arba tiesioginiu „dispečeriu“, kuris gali žinoti arba nežinoti (į vieną pusę variantas...) numeris – telefonas;

– kai kuriais atvejais galimas bežodis telefono naudojimas, kai vienas, ar dažniau keli „tušti“ skambučiai tam tikru ritmu atskleidžia tam tikrą kodą;

– kartais konkretus signalas gali būti tiesiog faktas, kad tam tikras asmuo skambina per patį menkiausią pokalbį, taip pat užkoduotas kodų vardų paminėjimas „suklydus numeriui“.

B. ŽODŽIO SAUGOS UŽTIKRINIMAS:

– nevesti dalykinių pokalbių atviru tekstu;

– nenurodykite tikrų datų, vardų, adresų;

– atskiriems veiksmams naudoti kodinius pavadinimus;

– vartoti įprastą kalbą, kurioje nekenksmingos frazės turi visiškai kitokią reikšmę;

– skambinti tik esant būtinybei, nors su tuo pačiu asmeniu taip pat galimi dažni „nesvarbūs“ pokalbiai („informacijos ištirpdymo“ taktika).

B. Pokalbis su nepažįstamais žmonėmis:

– visą dialogą veda jūsų partneris, o jūs sakote tik „taip“ arba „ne“, kad šalia stovintieji nieko nesuprastų ir neatpažintų;

– apie tai, kad šalia yra nepažįstami asmenys, pranešama paprastu tekstu arba žodiniu kodu; pokalbį po to turėtų vesti partneris, kuris neturėtų užduoti klausimų, į kuriuos reikia išsamių atsakymų;

– kai yra tiesiogiai kontroliuojamas nelabai draugiškas žmogus, partneris apie tai įspėjamas aptariama kodine fraze (geriausia – pasisveikinant...), po kurios visas pokalbis vedamas tuščiu ar dezinformaciniu stiliumi;

- jei vienas iš pašnekovų mano, kad klausomasi jo telefono, jis nedelsdamas bando apie tai įspėti skambinančius visiems gerai žinoma fraze („skauda dantis“...), o pokalbis vėliau virsta neutrali kryptis.

D. NAUDOJANTIS BENDRU TELEFONU (BUTE, DARBE...):

– kuo mažiau naudotis tokiu telefonu (ypač „pasimatymui“), jei tai nesusiję su atliekamu vaidmeniu (dispečeris, reklamos agentas...);

- paskambink šį telefoną turi būti tas pats asmuo;

– stenkitės neskambinti per vėlai ar per anksti;

– pašaliniams bandant atpažinti skambinančiojo balsą („Kas klausia?“...), mandagiai ir neutraliai atsakyti („bendradarbis“...) ir, jei skambinamojo nėra, nedelsiant sustoti toliau. pokalbis;

- tiesą sakant, nesunku padaryti atskirą telefoną, naudojant, pavyzdžiui, kodų skirstytuvą, kad konkretus bendro numerio rinkimas patikimai užtikrintų, jog bus skambinama tik jūsų įrenginiu, visiškai nepaveikdami gretimo.

Konkrečiais atvejais reikalingų saugumo priemonių lygis priklauso nuo pageidaujamo kontakto slaptumo laipsnio, jo dalyvių teisėtumo laipsnio ir galimo pašalinių asmenų kontrolės.

A. SUSITIKIMO VIETOS PASIRINKIMAS:

– ieškodami kontaktui tinkamų vietų dažniausiai remiasi natūralumo, pagrįstumo ir atsitiktinumo principais;

– dažnus susitikimus lengviausia vykdyti sirgalių vakarėlio vietoje (tinka į jo modelį...), sporto sekcijos salėje, darbo kambaryje...;

– ypač rimtus susitikimus galima rengti medžioklės plotuose, specialiai nuomojamose vasarnamiuose, pirtyse, kurortų sanatorijose, visų rūšių sporto centruose, paplūdimiuose užsienyje;

– suplanuoti poriniai susitikimai metro ir aikštėse, tualetuose ir automobiliuose, mažiau judriose gatvėse, zoologijos soduose, muziejuose ir parodose; sankryžos tokiose vietose yra mažai tikėtinos, todėl mažiau pavojingos;

– turėtumėte susilaikyti nuo slaptų susitikimų garsiame restorane, madingoje kavinėje ir traukinių stotyje, nes tokios vietos paprastai yra kontroliuojamos;

– trečiųjų asmenų privačiuose butuose galima rengti „atsitiktinius“ susirinkimus dėl pateisinamos priežasties (laidotuvės, jubiliejus, tam tikro renginio „praplovimas“...);

– nerengti jokių susirinkimų (išskyrus kasdieninius) stereotipiniuose komunaliniuose butuose;

– susisiekimui naudoti savo butus itin ribotai;

– kai kuriais atvejais prasminga išsinuomoti specialų seifą, jei įmanoma, pastate, kuriame yra dvigubas išėjimas;

– apžiūrėdami susitikimo vietą įsitikinkite, ar galima nepastebėtam ten patekti ir kaip saugiai iš ten pabėgti; Prisiminkite seną tiesą: „Jei nežinai, kaip išeiti, nemėgink įeiti!

B. INFORMACIJA APIE SUSITIKIMĄ:

– dažniausiai iš anksto aptariamos galimo susitikimo vietos ir visoms suteikiamas kodas – abėcėlinis, skaitinis arba „klaidingas“ – pavadinimas, kiekvienai nurodant po keletą variantų;

– kiti informuojami apie numatomą kontaktą telefonu, gavikliu, laišku, taip pat per pasiuntinį;

– susitardami dėl susitikimo „atviromis“ ryšio linijomis, naudoja kodinį vietos pavadinimą, šifruotą datą (pavyzdžiui, diena prieš nurodytą) ir perkeltą laiką (pastoviu arba slenkančiu skaičiumi);

– iki numatytos datos būtina pateikti kontakto patvirtinimą aiškiu tekstu arba signaliniu ryšiu;

– jei laukimas susitikimo metu priimtinas (viešojo transporto stotelėje, eilėje degalinėje...), patartina nurodyti konkretų laikotarpį, kuriam pasibaigus laukti nereikia.

B. SUSIRINKIMO EIGA:

– į perpildytus susirinkimus reikėtų atvykti ne minioje, o išsibarstę ir nepalikdami visų asmeninių automobilių vienoje vietoje;

– stenkitės vengti pašalinių ar nereikalingų asmenų buvimo treniruočių stovykloje;

- suprasdami, kad tie, kuriems nereikia žinoti apie sausakimšus slaptus susitikimus, greičiausiai žinos, nereikėtų su savimi imti akivaizdžiai kaltinančių daiktų (ginklų, padirbtų dokumentų...) ir prisiminti, kad kartais jie gali būti paslysti;

– labai pageidautina prieš susitikimą, jo metu ir po jo kontroliuoti specialių žmonių bendravimo vietą, kad prireikus jie galėtų perspėti apie kylantį pavojų bet kuriais sutartais (atsižvelgiant į jų gaudymą) signalus;

- bet kokio kontakto metu turite išsiaiškinti, kaip jus gali šnipinėti ar nugirsti, atkakliai užduodant sau trumpus klausimus: „Kur? Kaip? PSO?";

– ypač slapti pokalbiai turi būti vykdomi vietiniuose izoliuotuose taškuose, tikrinami ir apdrausti nuo visų pasiklausymo, šnipinėjimo ir menkinimo galimybių;

– pageidautina turėti bent paprastus indikatorius, pranešančius apie radijo mikrofonų spinduliavimą arba apie tai, ar pašnekovas turi įrašymo diktofoną;

– naudinga naudoti net „gremėzdiškus“ kibirkšties slopintuvus, taip pat magnetinius įrašų trynimo generatorius;

– klasikinės nelegalios dvejetų rungtynės visada skaičiuojamos minutėmis ir vyksta „atsitiktinai“;

– norint atvykti į susitikimo vietą tiksliai nustatytu laiku, būtina iš anksto numatyti judėjimo laiką ir skirti šiek tiek laiko rezervo visokioms staigmenoms (maršruto užtvėrimas, nepažįstamo žmogaus surišimas, transporto avarija). ..);

– jei planuojamas susitikimas gatvėje, tuomet nekenkia ten pasivaikščioti likus valandai iki susitikimo, atidžiai apžiūrint kiekvieną praeivį ir visus stovinčius automobilius; jei kažkas jus neramina, kontaktą reikia atidėti, informuojant apie tai savo partnerį, naudojant maskuojamąsias signalizacijos technikas;

- susitikus su nepažįstamais žmonėmis, jie atpažįstami iš aprašymo išvaizda, konkreti poza ar gestas, rankose laikomų daiktų paminėjimas, o geriausia – iš nuotraukos, su tolesniu tapatybės patvirtinimu žodiniu (ir kitu) slaptažodžiu;

– ligoninėje reikia būti taip, kad būtų nuolat stebimos akivaizdžios vietos, kur kyla grėsmė (tarkime, kavinėje - atsukta į įėjimą, stebint, kas vyksta už lango ir esanti netoli nuo atviras paslaugų praėjimas...);

– prisiminti ir laikytis visų anksčiau nurodytų žodinio bendravimo taisyklių.

D. UŽDAROJŲ SUSITIKRIMŲ (DERYBŲ) ORGANIZAVIMAS.

Bet kokio renginio organizavimas, įskaitant susitikimus ir derybas, yra susijęs su jo parengimu. Vieningų neklystamų taisyklių šia kryptimi nėra. Tačiau tokiam paruošimui rekomenduojamas toks schemos variantas: planuoti, rinkti medžiagą ir ją apdoroti, analizuoti surinktą medžiagą ir ją redaguoti.

Pradiniame planavimo etape nustatoma tema ar klausimai, kuriuos pageidautina aptarti, ir galimi dalykinio pokalbio dalyviai. Be to, parenkamas palankiausias momentas ir tik tada susitariama dėl susitikimo vietos, laiko ir įmonės apsaugos organizavimo (paprastai tokie pokalbiai vyksta vienas su vienu, konfidencialiai, be pašalinių asmenų dalyvavimas).

Kai susirinkimas jau suplanuotas, sudaromas jo vykdymo planas. Pirmiausia turėtumėte nustatyti tikslus, su kuriais susiduria verslininkas, o tada parengti jų pasiekimo strategiją ir pokalbių vedimo taktiką.

Toks planas – tai aiški veiksmų programa konkrečiam pokalbiui pasiruošti ir vesti. Planavimas leidžia sušvelninti ir neutralizuoti netikėtai atsiradusių naujų faktų ar nenumatytų aplinkybių įtaką pokalbio eigai.

Plane numatyti asmenys, atsakingi už kiekvieno plano punkto įgyvendinimą ir šias priemones susirinkimo (derybų) saugumui organizuoti:

1. Svečių, atvykstančių į susitikimą su klientu, susitikimas.

2. Kviestų asmenų pagrindinės apsaugos ir asmens sargybinių veiksmų koordinavimas.

3. Svečių drabužių, daiktų ir jų automobilių saugumas apylinkėse.

4. Incidentų tarp svečių susirinkimo metu prevencija.

5. Gėrimų, užkandžių ir kitų skanėstų būklės stebėjimas (šiam tikslui naudojami dresuoti šunys).

6. Renginyje ar gretimose patalpose esančių įtartinų asmenų identifikavimas.

7. Patalpų (posėdžių salės ir gretimų patalpų) išvalymas prieš derybas pašalinti pasiklausymo priemones ir sprogstamuosius įtaisus.

8. Asmenų registravimo ir stebėjimo etatų steigimas:

a) atvykti į verslo priėmimą ar susitikimą su paketais, portfeliais ir pan.;

b) garso ar vaizdo įrangos atsinešimas į renginį;

c) kurie atvyksta į verslo priėmimą ar susitikimą trumpam arba netikėtai palieka renginį.

9. Neleisti klausytis renginio organizatorių ir svečių pokalbių patalpose ir telefonu.

10. Alternatyvių derybų vedimo variantų sukūrimas (privačiame bute, viešbutyje, automobilyje, laive, pirtyje (pirtyje) ir kt.

Šis veiklos sąrašas nėra baigtinis. Jis gali būti gerokai išplėstas ir patikslintas priklausomai nuo apsaugos objekto sąlygų, įvykio pobūdžio ir kitų su klientu sutartų sąlygų.

Įprastos užduotys, kurios sprendžiamos susirinkimų (derybų) ar kitų viešų renginių metu:

1) posėdžių salės parenkamos taip, kad jos būtų pirmame arba paskutiniame aukšte ir būtų tarp tų patalpų, kurias kontroliuoja saugos tarnyba;

2) supažindinimas su apsaugos objektu, aplink jį esančios nusikalstamos padėties nustatymas;

3) bendravimo su policija renginių metu užmezgimas;

4) patekimo kontrolės sukūrimas, siekiant užkirsti kelią ginklų, sprogmenų, degiųjų ir toksiškų medžiagų, narkotikų, sunkių daiktų ir akmenų patekimui į saugomą objektą;

5) neleisti asmenims su šunimis patekti į saugomą teritoriją ar saugomas patalpas;

6) tvarkos gretimoje teritorijoje ir gretimose patalpose kontrolė ir palaikymas;

7) vaidmenų pasiskirstymas tarp pastiprinimo (palaikymo) grupės apsaugos darbuotojų;

8) sargybinių įrangos, įskaitant ginklus ir ryšius, nustatymas;

9) atvirų ir „šifruotų“ kontrolės ir stebėjimo postų steigimas;

10) transporto paruošimas ekstremalioms aplinkybėms ir renginio dalyvių evakuacija;

11) ryšio stabilumo objekto teritorijoje tikrinimas, siekiant nustatyti vadinamąsias „negyvas zonas“;

12) tikrinti galimybę panaudoti dujinius ginklus ir ašarinių dujų balionėlius, siekiant nustatyti oro judėjimo kryptį, grimzlę ir turbulenciją, kad dėl specialiųjų priemonių naudojimo nenukentėtų patys sargybiniai;

13) sargybinių darnos tikrinimas atliekant įvairias įvadines užduotis.

Apsaugos darbo etape saugos tarnybos darbuotojai (apsaugos įmonė) turi tiksliai atlikti savo pareigas, dėl kurių sutarta pasiruošimo etape.

Šiuo atveju ypatingas dėmesys skiriamas šiems klausimams:

1) atvykus vėluojantiems renginio dalyviams, kurie tikisi silpnos prieigos kontrolės po susirinkimo (derybų) pradžios;

2) privalomas portfelių ir didelių krepšių turinio tikrinimas arba rankinių metalo detektorių, sprogstamųjų garų detektorių, naudojamų minoms, granatoms, bomboms ir kitoms sprogstamosioms medžiagoms aptikti, naudojimas;

3) transporto priemonės, įvažiuojančios ir išvažiuojančios iš saugomos teritorijos, turi būti specialiai patikrintos bent vizualiai. Tai ypač svarbu siekiant užkirsti kelią pašaliniams asmenims patekti į saugomą objektą ir užkirsti kelią susirinkimo (derybų) dalyvių transporto priemonių išminavimui;

4) išvykstančių transporto priemonių salonų ir bagažinių kontrolė gali užkirsti kelią asmenų, atvykstančių į renginį, pagrobimui, siekiant prievartauti susirinkimo (derybų) organizatorius;

5) renginio dalyvių viršutinių drabužių ir asmeninių daiktų apsauga, siekiant užkirsti kelią jų vagystėms ir nustatyti radijo žymes;

6) nepaisant renginio vedėjų noro, kad pro langą būtų gražus vaizdas, būtina atsižvelgti į tai, kad teritorija būtų patogi saugos tarnybai (apsaugos įmonei) kontroliuoti;

7) po posėdžių salių langais nestatyti automobilių, kuriuose gali būti įranga, skirta informacijai iš radijo žymų paimti;

8) deryboms skirtoje patalpoje sukurti apsaugos zonas ir aprūpinti ją specialia įranga, ekranais, triukšmo generatoriais ir pan.;

9) vedant derybas dėl komercinių paslapčių išsaugojimo visa „slapta“ informacija pateikiama raštu, jos aptarimas vyksta ezopų kalba.

Įjungta paskutinis etapasĮvykis reikalauja, kad saugos tarnyba (apsaugos įmonė) išliktų budri, nepaisant vietoje vykstančių iš pažiūros nereikšmingų įvykių, kurie gali būti labai apgaulingi.

Objekto apžiūra pasibaigus renginiui gali kelti ne mažesnę riziką gyvybei nei darbas ankstesniuose etapuose. Per šį laikotarpį galutinis aikštelės sutvarkymas atliekamas ta pačia metodika, kaip ir parengiamųjų darbų metu. Tokiu atveju turi būti ieškoma asmenų, kurie gali slapstytis aikštelėje, ar nukentėjusiųjų nuo nusikaltėlių, kuriems reikalinga medikų pagalba. Didelis dėmesys skiriamas pamirštiems daiktams ir daiktams.

Organizacijos (įmonės) vadovui ir kitiems renginio dalyviams įteikti suvenyrai ir dovanos yra kontroliuojamos.

Viskas, ką apsaugos objekte aptiko ir kas nepriklauso organizacijos (įmonės) darbuotojams, kartu su vienu inventoriaus egzemplioriumi turi būti perduota klientui arba saugomų patalpų administracijai. Antrasis inventoriaus egzempliorius su daiktus priėmusio saugoti asmens parašu yra saugos tarnyboje (apsaugos įmonėje).

Butas, automobilis, gatvė, restoranas negali būti patikimi komercinių paslapčių „saugytojai“. Todėl verta įsiklausyti į profesionalų patarimus.

Vykdant verslo susitikimus būtina uždaryti langus ir duris. Patartina, kad posėdžių kambarys būtų izoliuotas kambarys, pavyzdžiui, salė.

Konkurentai, jei nori, gali nesunkiai klausytis pokalbių sėdėdami gretimuose kambariuose, pavyzdžiui, bute aukšte aukščiau arba žemiau. Laikai, kai visų šalių ir tautų žvalgybos pareigūnai gręžė skyles lubose ir sienose, jau praėjo – ypač jautrūs mikrofonai leidžia beveik netrukdomai gauti reikiamą informaciją.

Deryboms reikia pasirinkti kambarius su apšiltintomis sienomis, susipažinti su kaimynais gyvenančiais aukšte viršuje ir apačioje; išsiaiškinti, ar jie išnuomoja savo butą (kambarį) nepažįstamiems žmonėms. Verta savo kaimynus paversti sąjungininkais, bet tuo pačiu atsižvelgti į tai, kad jie gali žaisti dvigubą žaidimą arba tyliai iš geradarių virsti šantažuotojais.

Konkurentų aktyvumas visų pirma priklauso nuo jų ketinimų rimtumo. Jei reikia, pasiklausymo prietaisai („blakės“) gali būti montuojami tiesiai verslininko bute - čia nepadės nei geležinės durys, nei importuotos spynos, nei gerai apmokyta apsauga.

Verslo žmogus turėtų prašyti savo artimųjų, kad į namus kviestų tik jiems gerai pažįstamus žmones ir, jei įmanoma, kontroliuotų jų elgesį. Priimant svečius durys turi būti uždarytos namų biuras ant rakto, o kad nesuviliotų vaikų, vaizdo grotuvas ir kompiuteris turi būti jiems prieinamoje vietoje. Kompiuteris, žinoma, turėtų būti be veikiančių programų ir konfidencialios informacijos.

Jei kyla įtarimas, kad jūsų transporto priemonė „įrengta“, prieš derybas jai reikia atlikti „švaraus automobilio“ operaciją.

Verslo susitikimo išvakarėse vienas iš įmonės darbuotojų ar verslininko draugas, kuriuo visiškai pasitiki, privalo palikti automobilį tam skirtoje vietoje. Po kelių minučių verslininkas persėda iš savo automobilio į apleistą ir niekur nesustodamas leidžiasi į derybas. Tuo pačiu metu neturėtumėte pamiršti pasiimti įgaliojimo dėl teisės vairuoti svetimą automobilį!

Derybų metu automobilis turi važiuoti, o jo langai turi būti sandariai uždaryti. Stotelėse (pavyzdžiui, prie šviesoforo) konfidencialių klausimų geriau nediskutuoti.

Išanalizuokime, kur dar verslo žmogus gali surengti svarbų dalykinį susitikimą?

Gatvėje. Yra dviejų tipų mikrofonai, kuriais galima klausytis pokalbių: labai kryptingi ir įmontuoti. Pirmieji leidžia užfiksuoti informaciją iki kilometro atstumu, matomoje vietoje. Integruoti mikrofonai veikia taip pat, kaip radijo ausinės.

Norint efektyviai kovoti su labai kryptingais mikrofonais, reikia visą laiką judėti, smarkiai keičiant judėjimo kryptį, naudotis viešuoju transportu, organizuoti priešpriešinę priežiūrą – padedant saugos tarnybai ar samdomiems privačių detektyvų firmų agentams.

Restorane. Statinė padėtis leidžia valdyti pokalbius bendrose restoranų erdvėse. Todėl norint vesti tokius verslo susitikimus reikia patikimo vyriausiojo padavėjo. Verslininkui ir netikėtai konkurentams patogiu metu rezervuojamas stalas arba atskiras kabinetas, kurį savo ruožtu turi patikimai kontroliuoti įmonės saugos tarnyba. Bandymai užgožti pokalbį restorano orkestro garsais, taip pat vandens garsais, beje, yra neveiksmingi.

Viešbučio kambaryje. Viešbučio kambario užsakymas deryboms turi būti atliktas diskretiškai. Prasidėjus dalykiniam susitikimui apsaugos pareigūnai privalo kontroliuoti ne tik kaimynus, bet ir visus aukšte aukščiau ir apačioje gyvenančius žmones.

Visi aukščiau išvardinti metodai ir atsakomosios priemonės yra veiksmingos, jei tinkamai organizuota dezinformacija aplinkiniams apie planuojamų susitikimų (derybų) laiką ir pobūdį. Kai darbuotojų, turinčių visą planuojamų renginių sąrašą, ratas yra kuo siauresnis ir kiekvienas juose dalyvaujantis žino tiksliai tiek, kiek reikia pagal savo pareigas, galite tikėtis sėkmės bet kuriame versle.

Bendra grėsmių objekto automatizuotai informacinei sistemai klasifikacija yra tokia:

Grėsmė duomenų ir programų konfidencialumui.Įgyvendinama neteisėtai priėjus prie duomenų (pavyzdžiui, informacijos apie banko klientų sąskaitų būklę), programų ar komunikacijos kanalų.

Kompiuteriais apdorojama arba vietiniais duomenų tinklais perduodama informacija gali būti užfiksuota techniniais nutekėjimo kanalais. Šiuo atveju naudojama įranga, kuri analizuoja kompiuterio veikimo metu susidariusią elektromagnetinę spinduliuotę.

Toks informacijos paieška yra sudėtinga techninė užduotis ir reikalauja kvalifikuotų specialistų dalyvavimo. Naudodami priėmimo įrenginį, pagrįstą standartiniu televizoriumi, galite perimti informaciją, rodomą kompiuterio ekranuose tūkstančio metrų ar didesniu atstumu. Tam tikra informacija apie kompiuterinės sistemos veikimą išgaunama net tada, kai keitimosi žinutėmis procesas yra stebimas neprieinant prie jų turinio.

Grėsmė duomenų, programų ir įrangos vientisumui. Duomenų ir programų vientisumas pažeidžiamas neteisėtai naikinant, papildant nereikalingais elementais ir keičiant sąskaitos įrašus, keičiant duomenų tvarką, generuojant suklastotus mokėjimo dokumentus atsakant į teisėtus prašymus, aktyviai perduodant pranešimus su jų vėlavimu.

Neteisėtas sistemos saugumo informacijos pakeitimas gali sukelti neteisėtus veiksmus (neteisingą maršruto parinkimą arba perduodamų duomenų praradimą) arba perduodamų pranešimų reikšmės iškraipymą. Įrangos vientisumas pažeidžiamas ją sugadinus, pavogus ar neteisėtai pakeitus veikimo algoritmus.

Grėsmės duomenų prieinamumui. Atsiranda, kai objektas (vartotojas ar procesas) negauna prieigos prie jam teisėtai priskirtų paslaugų ar išteklių. Ši grėsmė realizuojama konfiskuojant visus išteklius, blokuojant ryšio linijas neįgalioto subjekto dėl to, kad per jas perduodama informacija, arba neįtraukiant būtinos sistemos informacijos.

Ši grėsmė gali sukelti sistemos nepatikimumą arba prastą paslaugų kokybę, todėl gali turėti įtakos mokėjimo dokumentų pateikimo tikslumui ir savalaikiškumui.

– Grasinimai atsisakyti vykdyti sandorius. Jie atsiranda, kai teisėtas vartotojas perduoda ar priima mokėjimo dokumentus, o vėliau atsisako tai daryti, kad būtų atleistas nuo atsakomybės.

Vertinant automatizuotos informacinės sistemos pažeidžiamumą ir sukuriant poveikio modelį, reikia ištirti visas aukščiau išvardytų grėsmių įgyvendinimo galimybes ir nustatyti pasekmes, kurias jos sukelia.

Grėsmes gali sukelti:

– gamtos veiksniai (stichinės nelaimės – gaisras, potvynis, uraganas, žaibas ir kitos priežastys);

– žmogiškieji veiksniai, kurie savo ruožtu skirstomi į:

pasyvūs grasinimai(grėsmės, kylančios dėl atsitiktinio, netyčinio pobūdžio veiklos). Tai grėsmės, susijusios su informacijos (mokslinės, techninės, komercinės, piniginės ir finansinės dokumentacijos) rengimo, apdorojimo ir perdavimo procesų klaidomis; su netikslu „protų nutekėjimu“, žiniomis, informacija (pavyzdžiui, dėl gyventojų migracijos, kelionės į kitas šalis susijungti su šeima ir pan.);

aktyvios grėsmės(grėsmės, kylančios dėl tyčinių, tyčinių žmonių veiksmų). Tai grėsmės, susijusios su mokslinių atradimų, išradimų, gamybos paslapčių, naujų technologijų perkėlimu, iškraipymu ir sunaikinimu dėl savanaudiškų ir kitų asocialių priežasčių (dokumentacija, brėžiniai, atradimų ir išradimų aprašymai bei kita medžiaga); įvairios dokumentacijos peržiūra ir perkėlimas, „šiukšlių“ peržiūra; oficialių ir kitų mokslinių, techninių ir komercinių pokalbių pasiklausymas ir perdavimas; su kryptingu „protų nutekėjimu“, žiniomis, informacija (pavyzdžiui, susijusiu su kitos pilietybės gavimu dėl savanaudiškų priežasčių);

– žmogus-mašina ir mašinos veiksniai, padalintas į:

pasyvūs grasinimai. Tai grėsmės, susijusios su sistemų ir jų komponentų (pastatų, konstrukcijų, patalpų, kompiuterių, ryšių, operacinės sistemos, taikomųjų programų ir kt.) projektavimo, kūrimo ir gamybos proceso klaidomis; su įrangos eksploatavimo klaidomis dėl nekokybiškos gamybos; su klaidomis informacijos rengimo ir apdorojimo procese (programuotojų ir vartotojų klaidos dėl nepakankamos kvalifikacijos ir nekokybiškos paslaugos, operatoriaus klaidos rengiant, įvedant ir išvedant duomenis, taisant ir apdorojant informaciją);

aktyvios grėsmės. Tai grėsmės, susijusios su neteisėta prieiga prie automatizuotos informacinės sistemos išteklių (techninių priemonių pakeitimų Kompiuterinė technologija ir ryšio priemonės, prisijungimas prie kompiuterinės įrangos ir ryšio kanalų, įvairių tipų laikmenų: diskelių, aprašymų, spaudinių ir kitos medžiagos vagystės, įvesties duomenų, spaudinių peržiūra, „šiukšlių“ peržiūra; nekontaktiniu būdu įgyvendinamos grėsmės (elektromagnetinės spinduliuotės rinkimas, grandinėse indukuojamų signalų perėmimas (laidūs ryšiai), vaizdiniai-optiniai informacijos gavimo būdai, tarnybinių ir mokslinių-techninių pokalbių pasiklausymas ir kt.).

Pagrindiniai tipiniai informacijos nutekėjimo ir neteisėtos prieigos prie automatizuotų informacinių sistemų būdai, įskaitant telekomunikacijų kanalus, yra šie:

elektroninės spinduliuotės perėmimas;

pasiklausymo prietaisų (žymių) naudojimas;

nuotolinė fotografija;

akustinės spinduliuotės perėmimas ir spausdintuvo teksto atkūrimas;

saugojimo laikmenų ir pramoninių atliekų vagystės;

duomenų skaitymas kitų vartotojų masyvuose;

įvykdžius autorizuotas užklausas, nuskaito likutinę informaciją sistemos atmintyje;

saugojimo laikmenų kopijavimas įveikiant saugumo priemones;

prisidengti registruotu vartotoju;

apgaulė (užmaskavimas sistemos užklausomis);

neteisėtas prisijungimas prie įrangos ir ryšio linijų;

piktybinis apsaugos mechanizmų išjungimas;

programinės įrangos spąstų naudojimas.

Galimi tyčinės neteisėtos prieigos prie informacijos kanalai, kai automatizuotoje informacinėje sistemoje nėra apsaugos, gali būti:

standartiniai informacijos prieigos kanalai (vartotojų terminalai, informacijos rodymo ir dokumentavimo priemonės, laikmenos, programinės įrangos atsisiuntimo priemonės, išoriniai ryšio kanalai), kai naudojama neteisėtai;

technologiniai pultai ir valdikliai;

vidinis įrangos montavimas;

ryšio linijos tarp techninės įrangos;

atsitiktinis elektromagnetinė radiacija, nešantis informaciją;

šalutiniai trukdžiai maitinimo grandinėse, įrangos įžeminimui, pagalbiniams ir pašaliniams ryšiams, esantiems šalia kompiuterinės sistemos.

Įtakos grėsmių informacijos saugos objektams metodai skirstomi į informacinius, programinius ir matematinius, fizinius, radioelektroninius ir organizacinius-teisinius.

KAM informacijos metodai susieti:

informacijos mainų tikslingumo ir savalaikiškumo pažeidimas, neteisėtas informacijos rinkimas ir naudojimas;

neteisėta prieiga prie informacijos išteklių;

manipuliavimas informacija (dezinformacija, informacijos slėpimas ar iškraipymas);

neteisėtas duomenų kopijavimas informacinėse sistemose;

informacijos apdorojimo technologijos pažeidimas.

Programinė įranga ir matematiniai metodai apima:

įgyvendinimas kompiuteriniai virusai;

programinės ir techninės įrangos įterptųjų įrenginių diegimas;

automatizuotų informacinių sistemų duomenų sunaikinimas ar keitimas.

Fiziniai metodai apima:

informacijos apdorojimo ir ryšio priemonių sunaikinimas ar sunaikinimas;

mašinos ar kitų originalių laikmenų sunaikinimas, sunaikinimas ar vagystė;

programinės ar aparatinės įrangos raktų ir kriptografinės informacijos apsaugos priemonių vagystės;

poveikis personalui;

„užkrėstų“ automatizuotų informacinių sistemų komponentų tiekimas.

Radioelektroniniai metodai yra šie:

informacijos perėmimas techniniais kanalais apie galimą jos nutekėjimą;

elektroninių informacijos perėmimo priemonių įvedimas į technines priemones ir patalpas;

klaidingos informacijos perėmimas, iššifravimas ir įvedimas duomenų tinkluose ir ryšio linijose;

poveikis slaptažodžio raktų sistemoms;

radijo elektroninis ryšio linijų ir valdymo sistemų slopinimas.

Organizaciniai ir teisiniai metodai apima:

teisės aktų reikalavimų nesilaikymas ir būtinų reglamentų priėmimo vėlavimas informacinė sfera;

neteisėtas prieigos prie dokumentų, kuriuose yra piliečiams ir organizacijoms svarbios informacijos, apribojimas.

Programinės įrangos saugumo grėsmės. Automatizuotų informacinių sistemų saugumo užtikrinimas priklauso nuo jose naudojamos programinės įrangos ir ypač šių tipų programų saugumo:

įprastos vartotojo programos;

specialios programos, skirtos pažeisti sistemos saugumą;

įvairių sistemos komunalinės paslaugos ir komercinės programos, kurios yra labai profesionaliai sukurtos, tačiau vis tiek gali turėti trūkumų, dėl kurių užpuolikai galėtų atakuoti sistemas.

Programos gali sukelti dviejų tipų problemas: pirma, jos gali perimti ir modifikuoti duomenis dėl naudotojo, kuris neturi prieigos prie šių duomenų, veiksmų, ir, antra, naudodamos kompiuterinių sistemų apsaugos spragas, jos gali arba pateikti prieigos prie sistemos vartotojams, kurie neturi tam teisės, arba blokuoti prieigą prie sistemos teisėtiems vartotojams.

Kuo aukštesnis programuotojo išsilavinimo lygis, tuo numanomesnės (net ir jam) daromos jo daromos klaidos, atidžiau ir patikimiau jis sugeba paslėpti apgalvotus mechanizmus, skirtus pažeisti sistemos saugumą.

Atakos tikslas gali būti pačios programos dėl šių priežasčių:

Šiuolaikiniame pasaulyje programos gali būti produktas, nešantis nemažą pelną, ypač tiems, kurie pirmieji pradeda kopijuoti programą komerciniais tikslais ir įgyja jos autorių teises.

Programos taip pat gali tapti atakos, kuria siekiama šias programas kaip nors modifikuoti, taikiniu, o tai leistų ateityje atakuoti kitus sistemos objektus. Ypač dažnai tokio pobūdžio atakų taikiniu tampa programos, įgyvendinančios sistemos apsaugos funkcijas.

Pažvelkime į kelių tipų programas ir metodus, kurie dažniausiai naudojami programoms ir duomenims atakuoti. Šie metodai vadinami vienu terminu – „programinės įrangos spąstai“. Tai apima spąstus, Trojos arklius, logines bombas, saliamio atakas, slaptus kanalus, paslaugų atsisakymą ir kompiuterinius virusus.

Liukai programose. Liukų naudojimas prasiskverbti į programą yra vienas iš paprasčiausių ir dažniausiai naudojamų automatizuotų informacinių sistemų saugumo pažeidimo būdų.

Lukas reiškia galimybę dirbti su šiuo programinės įrangos produktu, kuris neaprašytas programinės įrangos produkto dokumentacijoje. Liukų naudojimo esmė yra ta, kad kai vartotojas atlieka tam tikrus veiksmus, kurie nėra aprašyti dokumentacijoje, jis gauna prieigą prie galimybių ir duomenų, kurie jam paprastai yra uždaryti (ypač prieiga prie privilegijuoto režimo).

Liukai dažniausiai yra kūrėjo užmaršumo rezultatas. Laikinas tiesioginės prieigos prie gaminio dalių mechanizmas, sukurtas siekiant palengvinti derinimo procesą ir nepašalintas baigus, gali būti naudojamas kaip liukas. Liukai gali susidaryti ir dėl dažnai praktikuojamos „iš viršaus į apačią“ programinės įrangos kūrimo technologijos: jų vaidmenį atliks galutiniame produkte dėl tam tikrų priežasčių palikti „stubukai“ – komandų grupės, kurios imituoja arba tiesiog nurodo vietą, kur. bus prijungtos būsimos paprogramės.

Galiausiai, dar vienas dažnas spąstų šaltinis yra vadinamasis „neapibrėžtas įvestis“ – „beprasmės“ informacijos įvedimas, gobbledygook atsakant į sistemos užklausas. Blogai parašytos programos atsakas į neapibrėžtą įvestį geriausiu atveju gali būti nenuspėjamas (kai programa reaguoja skirtingai kiekvieną kartą, kai vėl įvedama ta pati neteisinga komanda); daug blogiau, jei programa atlieka keletą pasikartojančių veiksmų dėl tos pačios „neapibrėžtos“ įvesties - tai suteikia potencialiam užpuolikui galimybę planuoti savo veiksmus, kad pažeistų saugumą.

Neapibrėžta įvestis yra privatus pertraukimo įgyvendinimas. Tai yra, bendru atveju įsibrovėlis gali sąmoningai sistemoje sukurti kokią nors nestandartinę situaciją, kuri leistų atlikti reikiamus veiksmus. Pavyzdžiui, jis gali dirbtinai sugriauti programą, veikiančią privilegijuotuoju režimu, kad perimtų valdymą ir liktų tame privilegijuotajame režime.

Kova su pertraukimo galimybe galiausiai lemia būtinybę kuriant programas numatyti mechanizmų rinkinį, kuris sudarytų vadinamąjį „neatsparumą“. Šios apsaugos tikslas – užtikrinti, kad nebūtų galimybės apdoroti neapibrėžtos įvesties ir įvairių nestandartinių situacijų (ypač klaidų) ir taip užkirsti kelią kompiuterinės sistemos saugumo pažeidimui net ir netinkamai veikiant. programos.

Taigi programoje gali būti liukas (arba liukai), nes programuotojas:

pamiršo ištrinti;

tyčia paliko jį programoje, kad būtų galima išbandyti arba atlikti likusį derinimo procesą;

tyčia paliko jį programoje, kad būtų lengviau surinkti galutinį programinės įrangos produktą;

sąmoningai paliko ją programoje, kad būtų paslėpta prieiga prie programos po to, kai ji buvo įtraukta į galutinį produktą.

Liukas yra pirmasis žingsnis atakuojant sistemą, galimybė įsiskverbti į kompiuterinę sistemą apeinant apsaugos mechanizmus.

„Trojos arkliai“.

Yra programų, kurios, be dokumentacijoje aprašytų funkcijų, įgyvendina kai kurias kitas dokumentacijoje neaprašytas funkcijas. Tokios programos vadinamos „Trojos arkliais“.

Kuo akivaizdesni jo veiksmų rezultatai (pavyzdžiui, failų ištrynimas ar jų apsaugos pakeitimas), tuo didesnė Trojos arklio aptikimo tikimybė. Sudėtingesni Trojos arkliai gali užmaskuoti savo veiklos pėdsakus (pavyzdžiui, grąžinti failų apsaugą į pradinę būseną).

„Logikos bombos“.

„Logine bomba“ paprastai vadinama programa ar net programos kodo dalis, kuri įgyvendina tam tikrą funkciją, kai įvykdoma tam tikra sąlyga. Ši sąlyga gali būti, pavyzdžiui, tam tikros datos atsiradimas arba failo su tam tikru pavadinimu atradimas.

Kai „sprogsta“, „loginė bomba“ įgyvendina netikėtą ir, kaip taisyklė, vartotojui nepageidautiną funkciją (pavyzdžiui, ištrina kai kuriuos duomenis arba sunaikina kai kurias sistemos struktūras). „Loginė bomba“ yra vienas mėgstamiausių programuotojų būdų atkeršyti įmonėms, kurios juos atleido ar kaip nors įžeidė.

Saliamio puolimas.

Saliamio ataka tapo tikra bankinių kompiuterinių sistemų rykšte. IN bankų sistemos Kasdien atliekama tūkstančiai operacijų, susijusių su atsiskaitymais negrynaisiais pinigais, sumų pervedimais, atskaitymais ir pan.

Apdorojant sąskaitas faktūras naudojami sveiki vienetai (rubliai, centai), o skaičiuojant palūkanas dažnai gaunamos trupmeninės sumos. Paprastai vertės, viršijančios pusę rublio (cento), suapvalinamos iki artimiausio sveiko rublio (cento), o mažesnės nei pusė rublio (cento) vertės tiesiog atmetamos. Saliamio atakos metu šios nereikšmingos reikšmės neištrinamos, o palaipsniui kaupiamos specialioje paskyroje.

Kaip rodo praktika, suma, pažodžiui sudaryta iš nieko, per porą metų „gudrios“ programos veikimo vidutinio dydžio banke gali siekti tūkstančius dolerių. Saliamio atakas aptikti gana sunku, nebent užpuolikas vienoje sąskaitoje pradeda kaupti dideles pinigų sumas.

Paslėpti kanalai.

Paslėpti kanalai – tai programos, perduodančios informaciją žmonėms, kurie paprastai šios informacijos negautų.

Tose sistemose, kuriose apdorojama kritinė informacija, programuotojas neturėtų turėti prieigos prie programos apdorojamų duomenų po šios programos veikimo pradžios.

Jūs galite gauti daug naudos iš tam tikros nuosavybės teise priklausančios informacijos, bent jau tiesiog parduodami šią informaciją (pavyzdžiui, klientų sąrašą) konkuruojančiai įmonei. Pakankamai kvalifikuotas programuotojas visada gali rasti būdą, kaip informaciją perduoti slaptai; Tačiau programa, skirta kurti pačias nekenksmingiausias ataskaitas, gali būti šiek tiek sudėtingesnė, nei reikalauja užduotis.

Norėdami slaptai perduoti informaciją, galite sėkmingai naudoti įvairius „nekenksmingo“ ataskaitos formato elementus, pavyzdžiui, skirtingą eilučių ilgį, tarpus tarp eilučių, paslaugų antraščių buvimą ar nebuvimą, kontroliuojamą nereikšmingų skaitmenų išvedimą išvesties reikšmėse, skaičių. tarpų ar kitų simbolių tam tikrose ataskaitos vietose ir pan. d.

Jei užpuolikas turi galimybę pasiekti kompiuterį, kai veikia jį dominanti programa, paslėptas kanalas gali siųsti svarbią informaciją į duomenų masyvą, specialiai sukurtą kompiuterio RAM.

Slaptieji kanalai labiausiai pritaikomi tais atvejais, kai įsibrovėlį domina net ne informacijos turinys, o, pavyzdžiui, jos egzistavimo faktas (pavyzdžiui, banko sąskaitos su tam tikru numeriu buvimas).

Paslaugų atsisakymas.

Dauguma saugumo pažeidimo metodų yra skirti prieigai prie duomenų, kurių sistema paprastai neleistų. Tačiau ne mažiau įdomu įsibrovėliams yra galimybė valdyti pačią kompiuterinę sistemą arba pakeisti jos kokybės charakteristikas, pavyzdžiui, gauti kokį nors resursą (procesorių, įvesties/išvesties įrenginį) išskirtiniam naudojimui arba išprovokuoti klinčinę situaciją keliems procesams.

To gali prireikti norint aiškiai naudoti kompiuterinę sistemą savo tikslams (bent jau nemokamas sprendimas jūsų užduotis) arba tiesiog užblokuokite sistemą, kad ji būtų nepasiekiama kitiems vartotojams. Tokio tipo sistemos saugumo pažeidimas vadinamas „atsisakymu teikti paslaugą“ arba „naudos atsisakymu“. „Paslaugų atsisakymas“ yra ypač pavojingas realaus laiko sistemoms - sistemoms, kurios kontroliuoja tam tikrus technologinius procesus, atlieka įvairius sinchronizavimo būdus ir kt.

Kompiuteriniai virusai.

Kompiuteriniai virusai yra visų saugumo pažeidimo būdų kvintesencija. Vienas iš labiausiai paplitusių ir mėgstamiausių virusų platinimo būdų yra Trojos arklio metodas. Virusai nuo „loginės bombos“ skiriasi tik savo gebėjimu daugintis ir užtikrinti jų paleidimą, todėl daugelis virusų gali būti laikomi ypatinga „loginių bombų“ forma.

Norėdami atakuoti sistemą, virusai aktyviai naudoja įvairių rūšių „spąstus“. Virusai gali atlikti daugybę nešvarių triukų, įskaitant „saliamio“ ataką. Be to, vieno tipo atakos sėkmė dažnai padeda sumažinti sistemos „imunitetą“, sukuriant palankią aplinką kitų tipų atakų sėkmei. Užpuolikai tai žino ir aktyviai naudojasi šia aplinkybe.

Žinoma, aukščiau aprašyti metodai yra gana reti gryna forma. Daug dažniau puolimo metu naudojami atskiri skirtingų technikų elementai.

Grėsmė informacijai kompiuterių tinkluose. Kompiuterių tinklai turi daug pranašumų, palyginti su atskirai veikiančių kompiuterių rinkiniu, įskaitant: dalijimąsi sistemos ištekliais, sistemos veikimo patikimumo didinimą, apkrovos paskirstymą tarp tinklo mazgų ir plečiamumą pridedant naujų mazgų.

Tuo pačiu metu naudojantis kompiuterių tinklais kyla rimtų problemų užtikrinant informacijos saugumą. Galima pastebėti šiuos.

Dalijimasis bendrais ištekliais.

Dėl didelio išteklių skaičiaus dalijimosi skirtingų vartotojų tinkluose, kurie galbūt yra dideliais atstumais vienas nuo kito, neteisėtos prieigos rizika labai padidėja, nes tinkle tai gali būti atliekama lengviau ir nepastebimai.

Valdymo zonos išplėtimas.

Konkrečios sistemos ar potinklio administratorius arba operatorius turi stebėti vartotojų veiklą, kuri jam nepasiekiama.

Įvairios programinės ir techninės įrangos derinys.

Kelių sistemų sujungimas į tinklą padidina visos sistemos pažeidžiamumą, nes kiekviena informacinė sistema yra sukonfigūruota taip, kad atitiktų savo specifinius saugumo reikalavimus, kurie gali būti nesuderinami su kitų sistemų reikalavimais.

Nežinomas parametras.

Lengvas tinklų išplečiamumas lemia tai, kad kartais sunku nustatyti tinklo ribas, nes tas pats mazgas gali būti pasiekiamas skirtingų tinklų vartotojams. Be to, daugeliui jų ne visada įmanoma tiksliai nustatyti, kiek vartotojų turi prieigą prie konkretaus tinklo mazgo ir kas jie yra.

Keli atakos taškai.

Tinkluose tas pats duomenų rinkinys arba pranešimas gali būti perduodamas per kelis tarpinius mazgus, kurių kiekvienas yra potencialus grėsmės šaltinis. Be to, prie daugelio šiuolaikinių tinklų galima prisijungti naudojant telefono linijas ir modemą, o tai labai padidina galimų atakos taškų skaičių.

Sunkumai valdant ir kontroliuojant prieigą prie sistemos.

Daugelis tinklo atakų gali būti įvykdytos be gavimo fizinė prieigaį konkretų mazgą – naudojant nuotolinių taškų tinklą.

Tokiu atveju nustatyti nusikaltėlį gali būti labai sunku. Be to, atakos laikas gali būti per trumpas, kad būtų imtasi tinkamų priemonių.

Viena vertus, tinklas yra viena sistema su vienodomis informacijos apdorojimo taisyklėmis, o iš kitos pusės – atskirų sistemų visuma, kurių kiekviena turi savo informacijos apdorojimo taisykles. Todėl, atsižvelgiant į dvejopą tinklo prigimtį, tinklo ataka gali būti vykdoma iš dviejų lygių: viršutinio ir apatinio (galima ir abiejų derinys).

At viršutinis lygis atakų prieš tinklą, užpuolikas naudoja tinklo ypatybes, kad įsiskverbtų į kitą mazgą ir atliktų tam tikrus neleistinus veiksmus. Esant žemiausiam tinklo atakos lygiui, užpuolikas naudoja tinklo protokolų ypatybes, kad pažeistų atskirų pranešimų arba viso srauto konfidencialumą ar vientisumą.

Dėl pranešimų srauto sutrikimo gali nutekėti informacija ir net prarasti tinklo kontrolę.

Yra pasyvių ir aktyvių žemo lygio grėsmių, būdingų tinklams.

Pasyvūs grasinimai

(tinkle cirkuliuojančių duomenų konfidencialumo pažeidimas) – tai ryšio linijomis perduodamų duomenų peržiūra ir/ar įrašymas. Jie apima:

peržiūrėti pranešimą;

grafiko analizė – užpuolikas gali peržiūrėti tinkle cirkuliuojančių paketų antraštes ir, remdamasis jose esančia paslaugų informacija, padaryti išvadas apie paketo siuntėjus ir gavėjus bei perdavimo sąlygas (išvykimo laiką, pranešimo klasę, saugos kategoriją, pranešimą). ilgis, eismo intensyvumas ir kt.).

Aktyvios grėsmės

(resursų ir tinklo komponentų vientisumo ar prieinamumo pažeidimas) – neteisėtas įrenginių, turinčių prieigą prie tinklo, naudojimas atskiriems pranešimams ar pranešimų srautui pakeisti. Jie apima:

pranešimų paslaugų gedimas – užpuolikas gali sunaikinti arba uždelsti atskirus pranešimus arba visą pranešimų srautą;

„maskaradas“ – užpuolikas gali priskirti kažkieno kito identifikatorių savo mazgui ar perdavimui ir gauti arba siųsti pranešimus kieno nors kito vardu;

tinklo virusų įvedimas – viruso korpuso perdavimas tinkle, vėliau jį aktyvuojant nuotolinio ar vietinio mazgo vartotojui;

pranešimų srauto modifikavimas – užpuolikas gali pasirinktinai sunaikinti, modifikuoti, atidėti, pertvarkyti ir kopijuoti pranešimus, taip pat įterpti suklastotus pranešimus.

Grėsmė komercinei informacijai.

Informatizacijos kontekste ypatingą pavojų kelia ir tokie neteisėtos prieigos prie konfidencialios informacijos būdai, kaip kopijavimas, klastojimas, sunaikinimas.

Kopijuojama.

Neteisėtos prieigos prie konfidencialios informacijos atveju jie kopijuoja: dokumentus, kuriuose yra užpuoliką dominančios informacijos; techninės laikmenos; automatizuotose informacinėse sistemose apdorojama informacija. Naudojami šie kopijavimo būdai: planavimas, fotokopijavimas, terminis kopijavimas, fotokopijavimas ir elektroninis kopijavimas.

Netikras.

Konkurencinga aplinka vis labiau plinta padirbinėjimas, modifikavimas ir imitavimas. Užpuolikai klastoja pasitikėjimo dokumentus, leidžiančius gauti tam tikrą informaciją, laiškus, sąskaitas faktūras, buhalterinę ir finansinę dokumentaciją; suklastoti raktus, leidimus, slaptažodžius, šifrus ir kt. Automatizuotose informacinėse sistemose klastojimas visų pirma apima tokius piktybinius veiksmus kaip klastojimas (abonentas gavėjas suklastoja gautą pranešimą, perduodamas jį kaip tikrą savo interesais), maskavimas ( abonentas – siuntėjas, norėdamas gauti apsaugotą informaciją, prisidengia kitu abonentu).

Sunaikinimas.

Ypatingas pavojus yra informacijos sunaikinimas automatizuotose duomenų bazėse ir žinių bazėse. Informacija apie magnetines laikmenas sunaikinama naudojant kompaktiškus magnetus ir programinę įrangą ("logines bombas"). Nemažą vietą nusikaltimuose prieš automatizuotas informacines sistemas užima sabotažas, sprogimai, naikinimas, jungiamųjų kabelių ir oro kondicionavimo sistemų gedimai.

Informacijos saugumo užtikrinimo metodai yra šie: kliūtis, prieigos kontrolė, maskavimas, reguliavimas, prievarta ir raginimas.

Kliūtis – būdas fiziškai blokuoti užpuoliko kelią į apsaugotą informaciją (įrangą, laikmenas ir kt.).

Prieigos kontrolė– informacijos apsaugos būdas, reguliuojantis visų organizacijos (įmonės) automatizuotos informacinės sistemos išteklių naudojimą. Prieigos valdymas apima šias saugos funkcijas:

informacinės sistemos vartotojų, personalo ir išteklių identifikavimas (kiekvienam objektui priskiriant asmens identifikatorių);

objekto ar subjekto autentiškumo patvirtinimas (autentiškumo nustatymas) naudojant jiems pateiktą identifikatorių;

įgaliojimų patikrinimas (savaitės dienos, paros laiko, prašomų išteklių ir procedūrų atitikties nustatytoms taisyklėms tikrinimas);

leidimas ir darbo sąlygų sudarymas pagal nustatytas taisykles;

saugomų išteklių užklausų registravimas (registravimas);

atsakymas (pavojaus signalas, išjungimas, darbų atidėjimas, prašymo atmetimas) bandant atlikti neleistinus veiksmus.

Maskuoti - informacijos apsaugos automatizuotoje informacinėje sistemoje būdas ją kriptografiškai uždarant.

reglamentas– informacijos apsaugos būdas, sukuriantis sąlygas automatizuotam informacijos apdorojimui, saugojimui ir perdavimui, kurioms esant būtų sumažinta neteisėtos prieigos prie jos galimybė.

Prievarta – toks informacijos apsaugos būdas, kai vartotojai ir sistemos darbuotojai yra priversti laikytis saugomos informacijos tvarkymo, perdavimo ir naudojimo taisyklių, gresia materialine, administracine ar baudžiamąja atsakomybe.

paskatinimas – toks informacijos apsaugos būdas, kuris skatina vartotojus ir sistemos personalą nepažeisti nustatytų taisyklių, laikantis nustatytų moralės ir etikos standartų.

Minėti organizacijos (firmos) informacijos saugumo užtikrinimo būdai praktiškai įgyvendinami naudojant įvairius apsaugos mechanizmus, kuriems sukurti naudojamos šios pagrindinės priemonės: fizinės, techninės, programinės, techninės-programinės, kriptografinės, organizacinės, teisėkūros ir moralinės-etinės.

Fizinė apsauga yra skirti išorinei objektų teritorijos apsaugai, įmonės automatizuotos informacinės sistemos komponentų apsaugai ir yra realizuojami autonominių įrenginių ir sistemų pavidalu.

Kartu su tradicinėmis mechaninėmis sistemomis, dominuojant žmonėms, kuriamos ir diegiamos universalios automatizuotos elektroninės fizinės apsaugos sistemos, skirtos apsaugoti teritorijas, saugoti patalpas, organizuoti įėjimo kontrolę, organizuoti stebėjimą; Priešgaisrinės signalizacijos sistemos; žiniasklaidos vagysčių prevencijos sistemos.

Tokių sistemų elementinė bazė yra įvairūs jutikliai, iš kurių gaunamus signalus apdoroja mikroprocesoriai, elektroniniai išmanieji raktai, prietaisai žmogaus biometrinėms charakteristikoms nustatyti ir kt.

Įrangos, kuri yra įmonės automatinės informacinės sistemos dalis, ir nešiojamų laikmenų (diskelių, magnetinių juostų, spaudinių) apsaugai organizuoti:

įvairios spynos (mechaninės, kodinės, valdomos mikroprocesoriumi, valdomos radijo bangomis), kurios montuojamos ant įėjimo durų, langinių, seifų, spintelių, įrenginių ir sisteminių mazgų;

mikrojungikliai, aptinkantys durų ir langų atidarymą ar uždarymą;

inerciniai jutikliai, kurių prijungimui galite naudoti apšvietimo tinklą, telefono laidai ir televizijos antenų sujungimas;

specialūs folijos lipdukai, kurie klijuojami ant visų sistemos dokumentų, įrenginių, komponentų ir blokų, kad jie nebūtų nuimami iš patalpų. Kiekvieną kartą, kai bandoma išnešti daiktą su lipduku už patalpų ribų, speciali instaliacija (analogiška metalinių daiktų detektoriui), esanti šalia išėjimo, suskamba aliarmu;

specialūs seifai ir metalinės spintos, skirtos atskiriems automatizuotos informacinės sistemos elementams (failų serveriui, spausdintuvui ir kt.) ir nešiojamoms laikmenoms įrengti.

Informacijos nutekėjimui elektromagnetiniais kanalais neutralizuoti naudojamos ekranuojančios ir sugeriančios medžiagos bei gaminiai. Kur:

darbo zonų, kuriose sumontuoti automatinės informacinės sistemos komponentai, ekranavimas atliekamas sienas, grindis ir lubas padengiant metalizuotomis tapetomis, laidžiu emaliu ir tinku, vielos tinkleliu ar folija, įrengiant tvoras iš laidžių plytų, daugiasluoksnio plieno, aliuminio arba specialaus plastiko lakštai;

langams apsaugoti naudojamos metalizuotos užuolaidos ir stiklai su laidžiu sluoksniu;

visos angos uždengtos metaliniu tinkleliu, sujungtu su įžeminimo magistrale arba sieniniu ekranavimu;

Ribinės magnetinės gaudyklės įrengiamos ant ventiliacijos kanalų, kad būtų išvengta radijo bangų sklidimo.

Apsaugoti nuo trukdžių nuo elektros grandinės naudojami automatizuotos informacinės sistemos mazgai ir blokai:

ekranuotas kabelis, skirtas montuoti stelažuose, blokuose, blokuose ir lauke;

Ekranuotos elastinės jungtys (jungtys), viršįtampių slopinimo filtrai elektromagnetinei spinduliuotei;

laidai, antgaliai, droseliai, kondensatoriai ir kiti triukšmą slopinantys radijo ir elektros gaminiai;

Ant vandentiekio, šildymo, dujų ir kitų metalinių vamzdžių dedami atskiriamieji dielektriniai įdėklai, kurie nutraukia elektromagnetinę grandinę.

Energijos tiekimui valdyti naudojami elektroniniai sekimo įrenginiai - įrenginiai, sumontuoti kintamosios įtampos tinklo įvesties taškuose. Nutrūkus, nutrūkus ar perdegus maitinimo laidui, užkoduotas pranešimas įjungia pavojaus signalą arba įjungia televizijos kamerą, kuri įrašinėja įvykį.

Norint aptikti įterptas „klaidas“, rentgeno tyrimas laikomas veiksmingiausiu. Tačiau šio metodo įgyvendinimas yra susijęs su dideliais organizaciniais ir techniniais sunkumais.

Specialių triukšmo generatorių naudojimas, apsaugantis nuo informacijos vagystės iš kompiuterių, paimant jos spinduliuotę iš ekranų, neigiamai veikia žmogaus organizmą, todėl greitai nuplikiama, dingsta apetitas, atsiranda galvos skausmai ir pykinimas. Štai kodėl jie retai naudojami praktikoje.

Aparatinės įrangos apsauga – Tai įvairūs elektroniniai, elektromechaniniai ir kiti įrenginiai, tiesiogiai įmontuoti į automatizuotos informacinės sistemos blokus arba sukurti kaip savarankiški įrenginiai ir su šiais blokais sujungti.

Jie skirti vidinei kompiuterinės įrangos ir sistemų konstrukcinių elementų apsaugai: terminalams, procesoriams, periferinė įranga, ryšio linijos ir kt.

Pagrindinės techninės įrangos apsaugos funkcijos:

uždrausti neteisėtą vidinę prieigą prie atskirų informacinės sistemos failų ar duomenų bazių, galimų dėl netyčinių ar tyčinių aptarnaujančio personalo veiksmų;

aktyvių ir pasyvių (archyvų) failų ir duomenų bazių, susijusių su automatizuotos informacinės sistemos neprižiūrėjimu ar išjungimu, apsauga;

programinės įrangos vientisumo apsauga.

Šiuos uždavinius įgyvendina informacijos saugos techninė įranga, naudodama prieigos kontrolės metodą (sistemos subjektų identifikavimas, autentifikavimas ir įgaliojimų tikrinimas, registracija ir atsakymas).

Norėdami dirbti su ypač vertinga organizacijos (firmos) informacija, kompiuterių gamintojai gali pagaminti atskirus diskus su unikaliomis fizinėmis savybėmis, kurios neleidžia nuskaityti informacijos. Tuo pačiu metu kompiuterio kaina gali padidėti kelis kartus.

Apsaugos programinė įranga yra skirti atlikti logines ir intelektualines apsaugos funkcijas ir yra įtrauktos arba į automatizuotos informacinės sistemos programinę įrangą, arba į priemonių, kompleksų ir valdymo įrangos sistemų sudėtį.

Informacijos saugos programinė įranga yra labiausiai paplitusi apsaugos rūšis, turinti šias teigiamas savybes: universalumas, lankstumas, diegimo paprastumas, galimybė keistis ir tobulėti. Dėl šios aplinkybės jie kartu yra pažeidžiamiausi įmonės informacinės sistemos apsaugos elementai.

Šiuo metu sukurta daug operacinių sistemų, duomenų bazių valdymo sistemų, tinklo paketų ir taikomosios programinės įrangos paketų, įskaitant įvairius informacijos saugos įrankius.

Šios informacijos saugos užduotys sprendžiamos naudojant saugos programinę įrangą:

įkrovimo ir prisijungimo kontrolė naudojant asmeninius identifikatorius (vardas, kodas, slaptažodis ir kt.);

subjektų prieigos prie išteklių ir sistemos komponentų, išorinių išteklių atribojimas ir kontrolė;

konkretaus dalyko interesais vykdomų procesų programų izoliavimas nuo kitų dalykų (kiekvieno vartotojo darbo užtikrinimas individualioje aplinkoje);

konfidencialios informacijos srautų valdymas, siekiant užkirsti kelią įrašymui į netinkamo saugumo lygio duomenų laikmenas;

informacijos apsauga nuo kompiuterinių virusų;

ištrinti likusią konfidencialią informaciją kompiuterio RAM laukuose, atrakintuose įvykdžius užklausas;

ištrinti likusią konfidencialią informaciją magnetiniuose diskuose, išrašyti protokolus apie trynimo rezultatus;

informacijos vientisumo užtikrinimas įvedant duomenų dubliavimą;

automatinė sistemos vartotojų darbo kontrolė pagal registravimo rezultatus ir ataskaitų rengimas pagal duomenis iš įrašų sistemos žurnale.

Šiuo metu daugelyje operacinių sistemų yra integruotos „pakartotinio naudojimo“ blokavimo galimybės. Yra gana daug komercinių programų, skirtų kitokio tipo operacinėms sistemoms, jau nekalbant apie specialius apsaugos paketus, įgyvendinančius panašias funkcijas.

Perteklinių duomenų naudojimas yra skirtas užkirsti kelią atsitiktinėms duomenų klaidoms ir nustatyti neleistinus pakeitimus. Tai gali būti kontrolinių sumų naudojimas, lyginių ir nelyginių duomenų valdymas, klaidoms atsparus kodavimas ir kt.

Dažnai praktikuojama svarbių sistemos objektų parašus saugoti kokioje nors saugomoje sistemos vietoje. Pavyzdžiui, faile kaip parašas gali būti naudojamas failo apsaugos baito derinys su jo pavadinimu, ilgiu ir paskutinio pakeitimo data. Kiekvieną kartą atidarius failą arba kilus įtarimui, esamos failo charakteristikos lyginamos su standartu.

Prieigos kontrolės sistemos tikrinamumo savybė reiškia galimybę rekonstruoti įvykius ar procedūras. Auditavimo įrankiai turi išsiaiškinti, kas iš tikrųjų atsitiko. Tai apima atliktų procedūrų dokumentavimą, žurnalų tvarkymą ir aiškių bei nedviprasmiškų identifikavimo ir tikrinimo metodų naudojimą.

Pažymėtina, kad prieigos kontrolės uždavinys, kartu užtikrinant išteklių vientisumą, patikimai išsprendžiamas tik informacijos šifravimu.

Kibernetikos kūrėjas Norbertas Wieneris tikėjo, kad informacija turi unikalių savybių ir negali būti priskirta nei energijai, nei medžiagai. Ypatingas informacijos, kaip reiškinio, statusas lėmė daugybę apibrėžimų.

ISO/IEC 2382:2015 „Informacinės technologijos“ standarto žodynas pateikia tokį aiškinimą:

Informacija (informacijos apdorojimo srityje)- bet kokie duomenys, pateikti elektronine forma, parašyti popieriuje, išreikšti susirinkime ar bet kurioje kitoje laikmenoje, kuriuos finansų įstaiga naudoja sprendimams priimti, lėšų pervedimui, palūkanų normų nustatymui, paskoloms teikti, sandoriams tvarkyti ir pan., įskaitant komponentų apdorojimą. sistemos programinė įranga.

Kuriant informacijos saugumo (IS) koncepciją, informacija suprantama kaip informacija, kurią galima rinkti, saugoti, apdoroti (redaguoti, konvertuoti), naudoti ir perduoti. Skirtingi keliai, įskaitant kompiuterių tinklus ir kitas informacines sistemas.

Tokia informacija yra labai vertinga ir gali tapti trečiųjų šalių atakų taikiniu. Informacijos saugumo sistemų kūrimo pagrindas yra siekis apsaugoti informaciją nuo grėsmių.

Teisinis pagrindas

2017 metų gruodį Rusija priėmė Informacijos saugumo doktriną. Dokumente informacijos saugumas apibrėžiamas kaip nacionalinių interesų apsaugos informacinėje sferoje būsena. Šiuo atveju nacionaliniai interesai suprantami kaip visuomenės, individo ir valstybės interesų visuma, kiekviena interesų grupė yra būtina stabiliam visuomenės funkcionavimui.

Doktrina yra konceptualus dokumentas. Su informacijos saugumo užtikrinimu susiję teisiniai santykiai yra reguliuojami federaliniai įstatymai„Dėl valstybės paslapčių“, „Dėl informacijos“, „Dėl asmens duomenų apsaugos“ ir kt. Remiantis pagrindiniais teisės aktais, privačiais informacijos apsaugos klausimais rengiami vyriausybės nuostatai ir departamentų reglamentai.

Informacijos saugumo apibrėžimas

Prieš kuriant informacijos saugumo strategiją, būtina priimti pagrindinį pačios sąvokos apibrėžimą, kuris leis naudoti tam tikrą apsaugos metodų ir metodų rinkinį.

Pramonės praktikai informacijos saugumą siūlo suprasti kaip stabilią informacijos, jos medijų ir infrastruktūros saugumo būklę, užtikrinančią su informacija susijusių procesų vientisumą ir atsparumą tyčiniams ar netyčiniams natūralaus ir dirbtinio pobūdžio poveikiams. Poveikis klasifikuojamas kaip informacijos saugumo grėsmės, galinčios pakenkti informacinių ryšių subjektams.

Taigi informacijos saugumas bus suprantamas kaip teisinių, administracinių, organizacinių ir techninių priemonių visuma, skirta užkirsti kelią realioms ar numanomoms informacijos saugumo grėsmėms, taip pat pašalinti incidentų pasekmes. Informacijos apsaugos proceso tęstinumas turi garantuoti kovą su grėsmėmis visuose informacijos ciklo etapuose: informacijos rinkimo, saugojimo, apdorojimo, naudojimo ir perdavimo procese.

Informacijos saugumas tokiu supratimu tampa viena iš sistemos veikimo charakteristikų. Kiekvienu laiko momentu sistema turi turėti išmatuojamą saugumo lygį, o sistemos saugumo užtikrinimas turi būti nenutrūkstamas procesas, vykdomas visais laiko intervalais sistemos gyvavimo metu.

Infografike naudojami mūsų pačių duomenys„SearchInform“.

Informacijos saugumo teorijoje informacijos saugumo subjektai suprantami kaip informacijos savininkai ir naudotojai, ne tik nuolatiniai vartotojai (darbuotojai), bet ir vartotojai, kurie pavieniais atvejais prieina prie duomenų bazių, pavyzdžiui, valstybės institucijos, prašančios informacijos. Kai kuriais atvejais, pavyzdžiui, bankų informacijos saugumo standartuose informacijos savininkais laikomi akcininkai – juridiniai asmenys, kuriems priklauso tam tikri duomenys.

Pagalbinė infrastruktūra, žvelgiant iš informacijos saugos pagrindų, apima kompiuterius, tinklus, telekomunikacijų įrangą, patalpas, gyvybės palaikymo sistemas ir personalą. Analizuojant saugumą, būtina ištirti visus sistemų elementus, ypatingą dėmesį skiriant personalui, kaip daugumos vidinių grėsmių nešėjui.

Informacijos saugumui valdyti ir žalai įvertinti naudojama priimtinumo charakteristika, tokiu būdu žala nustatoma kaip priimtina arba nepriimtina. Kiekvienai įmonei naudinga nusistatyti savo priimtinos žalos kriterijus pinigine forma arba, pavyzdžiui, priimtinos žalos reputacijai forma. Valdžios institucijose gali būti perimtos ir kitos charakteristikos, pavyzdžiui, darančios įtaką valdymo procesui arba atspindinčios žalos piliečių gyvybei ir sveikatai laipsnį. Informacijos reikšmingumo, svarbos ir vertės kriterijai informacijos masyvo gyvavimo ciklo metu gali keistis, todėl turi būti laiku peržiūrėti.

Informacinė grėsmė siaurąja prasme pripažįstama kaip objektyvi galimybė paveikti apsaugos objektą, galinti sukelti informacijos nutekėjimą, vagystę, atskleidimą ar paskleidimą. Platesne prasme informacijos saugumo grėsmės apims tikslines informacinio pobūdžio įtakas, kurių tikslas – padaryti žalą valstybei, organizacijai ar asmeniui. Tokie grasinimai apima, pavyzdžiui, šmeižtą, tyčinį klaidingą informaciją ir neteisingą reklamą.

Trys pagrindiniai bet kurios organizacijos informacijos saugumo koncepcijos klausimai

Ką saugoti?

Kokios grėsmės vyrauja: išorinės ar vidinės?

Kaip apsisaugoti, kokiais būdais ir priemonėmis?

Informacijos apsaugos sistema

Informacijos saugumo sistema įmonei – juridiniam asmeniui apima tris pagrindinių sąvokų grupes: vientisumą, prieinamumą ir konfidencialumą. Po kiekviena slypi sąvokos su daugybe savybių.

Pagal vientisumas reiškia duomenų bazių ir kitų informacijos masyvų atsparumą atsitiktiniam ar tyčiniam sunaikinimui ir neleistinam pakeitimui. Vientisumo sąvoka gali būti suprantama taip:

• statinis, išreikštas informacijos objektų nekintamumu ir autentiškumu tiems objektams, kurie buvo sukurti pagal konkrečią techninę specifikaciją ir kuriuose yra daug informacijos, būtini vartotojams pagrindinei veiklai, reikiama konfigūracija ir seka;
• dinamiškas, reiškiantis teisingą sudėtingų veiksmų ar operacijų atlikimą, nedarant žalos informacijos saugumui.

Dinaminiam vientisumui kontroliuoti naudojamos specialios techninės priemonės, kurios analizuoja informacijos, pavyzdžiui, finansinės, srautus, nustato vagystės, dubliavimo, peradresavimo, pranešimų eilės pasikeitimo atvejus. Sąžiningumas kaip pagrindinė savybė reikalinga, kai sprendimai imtis veiksmų priimami remiantis gaunama arba turima informacija. Komandų eiliškumo ar veiksmų sekos pažeidimas gali pridaryti didelės žalos technologinių procesų, programų kodų aprašymuose ir kitose panašiose situacijose.

Prieinamumas yra nuosavybė, leidžianti įgaliotiems subjektams pasiekti arba keistis juos dominančiais duomenimis. Pagrindinis subjektų teisėtumo arba leidimo reikalavimas leidžia sukurti skirtingus prieigos lygius. Sistemos nesugebėjimas pateikti informacijos tampa bet kurios organizacijos ar vartotojų grupių problema. Pavyzdys – vyriausybinių paslaugų svetainių nepasiekiamumas sistemos gedimo atveju, todėl daugelis vartotojų atima galimybę gauti reikiamas paslaugas ar informaciją.

Konfidencialumas reiškia informacijos savybę, kad ji būtų prieinama tiems vartotojams: subjektams ir procesams, prie kurių iš pradžių suteikiama prieiga. Dauguma įmonių ir organizacijų konfidencialumą suvokia kaip pagrindinį informacijos saugumo elementą, tačiau praktikoje sunku jį iki galo įgyvendinti. Ne visi duomenys apie esamus informacijos nutekėjimo kanalus yra prieinami informacijos saugumo koncepcijų autoriams, o daugelio techninių apsaugos priemonių, tarp jų ir kriptografinių, negalima įsigyti laisvai, kai kuriais atvejais tiražas yra ribotas.

Vienodos informacijos saugos savybės vartotojams turi skirtingas reikšmes, todėl kuriant duomenų apsaugos koncepcijas yra dvi kraštutinės kategorijos. Įmonėms ar organizacijoms, susijusioms su valstybės paslaptimis, pagrindinis parametras bus konfidencialumas, viešosioms tarnyboms ar švietimo įstaigoms – labiausiai svarbus parametras- prieinamumas.

Informacijos saugos santrauka

Apsaugos objektai informacijos saugumo koncepcijose

Temų skirtumai lemia apsaugos objektų skirtumus. Pagrindinės saugomų objektų grupės:

• visų tipų informaciniai ištekliai (išteklius suprantamas kaip materialus objektas: kietasis diskas, kitos laikmenos, dokumentas su duomenimis ir rekvizitais, padedančiais jį identifikuoti ir priskirti tam tikrai subjektų grupei);
• piliečių, organizacijų ir valstybės teisės gauti informaciją, galimybė ją gauti įstatymų ribose; prieiga gali būti ribojama tik reglamentais, bet kokių kliūčių, pažeidžiančių žmogaus teises, organizavimas yra nepriimtinas;
• duomenų kūrimo, naudojimo ir platinimo sistema (sistemos ir technologijos, archyvai, bibliotekos, norminiai dokumentai);
• visuomenės sąmonės formavimo sistema (žiniasklaida, interneto ištekliai, socialinės institucijos, švietimo įstaigos).

Kiekvienam objektui reikalinga speciali apsaugos priemonių sistema nuo grėsmių informacijos saugumui ir viešajai tvarkai. Informacijos saugumo užtikrinimas kiekvienu atveju turėtų būti grindžiamas sisteminiu požiūriu, kuriame atsižvelgiama į objekto specifiką.

Kategorijos ir žiniasklaida

Rusijos teisinė sistema, teisėsaugos praktika ir egzistuojantys socialiniai santykiai klasifikuoja informaciją pagal prieinamumo kriterijus. Tai leidžia išsiaiškinti esminius parametrus, būtinus informacijos saugumui užtikrinti:

• informacija, prie kurios prieiga ribojama remiantis teisės aktų reikalavimais (valstybės paslaptys, komercinės paslaptys, asmens duomenys);
• informacija į atvira prieiga;
• vieša informacija, kuri teikiama esant tam tikroms sąlygoms: mokama informacija arba duomenys, kuriems reikalingas leidimas naudotis, pavyzdžiui, bibliotekos kortele;
• pavojinga, žalinga, melaginga ir kitokio pobūdžio informacija, kurios sklaidą ir skleidimą riboja teisės aktų reikalavimai arba įmonės standartai.

Informacija iš pirmosios grupės turi du saugos režimus. Valstybės paslaptis, pagal įstatymą tai yra valstybės saugoma informacija, kurios laisvas sklaida galėtų pakenkti šalies saugumui. Tai duomenys iš valstybės karinės, užsienio politikos, žvalgybos, kontržvalgybos ir ekonominės veiklos sričių. Šios duomenų grupės savininkas yra pati valstybė. Įstaigos, įgaliotos imtis priemonių valstybės paslaptims apsaugoti, yra Gynybos ministerija, Federalinė saugumo tarnyba (FSB), Užsienio žvalgybos tarnyba, Federalinė techninės ir eksporto kontrolės tarnyba (FSTEK).

Konfidenciali informacija- daugialypesnis reguliavimo objektas. Informacijos, kuri gali būti laikoma konfidencialia, sąrašas pateiktas Prezidento dekrete Nr. 188 „Dėl konfidencialios informacijos sąrašo patvirtinimo“. Tai yra asmens duomenys; tyrimo ir teisminių procesų slaptumas; oficiali paslaptis; profesinis konfidencialumas (medicininis, notarinis, teisininkas); prekybos paslaptis; informacija apie išradimus ir naudingus modelius; informacija, esanti nuteistųjų asmens bylose, taip pat informacija apie priverstinį teismo veiksmų vykdymą.

Asmens duomenys egzistuoja atviru ir konfidencialiu režimu. Visiems vartotojams atvira ir prieinama asmens duomenų dalis apima vardą, pavardę ir patronimą. Pagal federalinį įstatymą-152 „Dėl asmens duomenų“ asmens duomenų subjektai turi teisę:

• už informacinį apsisprendimą;
• susipažinti su asmens duomenimis ir juos pakeisti;
• blokuoti asmens duomenis ir prieigą prie jų;
• apskųsti trečiųjų asmenų neteisėtus veiksmus, susijusius su asmens duomenimis;
• dėl padarytos žalos atlyginimo.

Teisė į yra įtvirtinta nuostatuose dėl vyriausybės įstaigų, federaliniuose įstatymuose ir Roskomnadzor arba FSTEC išduotose licencijose dirbti su asmens duomenimis. Įmonės, kurios profesionaliai dirba su įvairiausių žmonių asmeniniais duomenimis, pavyzdžiui, telekomunikacijų operatoriai, turi patekti į registrą, kurį tvarko Roskomnadzor.

Atskiras objektas informacijos saugumo teorijoje ir praktikoje yra informacijos laikmenos, prie kurių prieiga gali būti atvira arba uždara. Kuriant informacijos saugumo koncepciją, apsaugos būdai parenkami priklausomai nuo laikmenos tipo. Pagrindinės laikmenos:

• spausdintinės ir elektroninės žiniasklaidos priemonės žiniasklaida, socialiniai tinklai, kiti ištekliai internete;
• organizacijos darbuotojai, turintys prieigą prie informacijos pagal savo draugiškus, šeimyninius ir profesinius ryšius;
• ryšio priemonės, kuriomis perduodama ar saugoma informacija: telefonai, automatinės telefonų stotys, kita telekomunikacijų įranga;
• visų rūšių dokumentai: asmeniniai, tarnybiniai, valstybiniai;
• programinė įranga kaip savarankiškas informacijos objektas, ypač jei jos versija buvo modifikuota specialiai konkrečiai įmonei;
• elektroninės laikmenos, kurios automatiškai apdoroja duomenis.

Informacijos saugumo koncepcijų kūrimo tikslais informacijos saugumo priemonės paprastai skirstomos į reguliavimo (neformalią) ir technines (formaliąsias).

Neformalios apsaugos priemonės – tai dokumentai, taisyklės, priemonės, formalios – specialios techninės priemonės ir programinė įranga. Išskyrimas padeda paskirstyti atsakomybės sritis kuriant informacijos saugumo sistemas: bendrai valdydami apsaugą, administracijos darbuotojai įgyvendina reguliavimo metodus, o IT specialistai – techninius.

Informacijos saugumo pagrindai suponuoja valdžios padalijimą ne tik informacijos panaudojimo, bet ir darbo su jos apsauga atžvilgiu. Toks valdžių padalijimas taip pat reikalauja kelių kontrolės lygių.

Oficialios teisės gynimo priemonės

Įvairios techninės informacijos apsaugos priemonės apima:

Fizinės apsaugos priemonės. Tai mechaniniai, elektriniai, elektroniniai mechanizmai, kurie veikia nepriklausomai nuo informacinių sistemų ir sukuria kliūtis prie jų prieiti. Spynos, įskaitant elektronines, ekranai ir žaliuzės, yra skirtos kliūtis destabilizuojančių veiksnių kontaktui su sistemomis. Grupę papildo apsaugos sistemos, pavyzdžiui, vaizdo kameros, vaizdo registratoriai, jutikliai, aptinkantys judėjimą ar perteklinį elektromagnetinės spinduliuotės lygį toje vietoje, kur yra techninės informacijos rinkimo priemonės ir įterptieji įrenginiai.

Aparatinės įrangos apsauga. Tai elektriniai, elektroniniai, optiniai, lazeriniai ir kiti įrenginiai, įmontuoti į informacines ir telekomunikacijų sistemas. Prieš diegiant techninę įrangą į informacines sistemas, būtina užtikrinti suderinamumą.

Programinė įranga- tai paprastos ir sisteminės, išsamios programos, skirtos specifinėms ir sudėtingoms su informacijos saugumo užtikrinimu susijusioms problemoms spręsti. Sudėtingų sprendimų pavyzdžiai: pirmieji padeda užkirsti kelią nutekėjimui, performatuoti informaciją ir nukreipti informacijos srautus, antrieji užtikrina apsaugą nuo incidentų informacijos saugumo srityje. Programinės įrangos įrankiai yra reiklūs aparatūros įrenginių galiai, o diegimo metu būtina numatyti papildomų rezervų.

Galite išbandyti nemokamai 30 dienų. Prieš diegdami sistemą SearchInform inžinieriai atliks techninį auditą kliento įmonėje.

KAM konkrečiomis priemonėmis Informacijos saugumas apima įvairius kriptografinius algoritmus, leidžiančius užšifruoti informaciją diske ir peradresuojamą išoriniais ryšio kanalais. Informacijos konvertavimas gali vykti naudojant programinės ir techninės įrangos metodus, veikiančius įmonių informacinėse sistemose.

Visos priemonės, garantuojančios informacijos saugumą, turi būti naudojamos derinant, preliminariai įvertinus informacijos vertę ir palyginus ją su saugumui išleistų išteklių sąnaudomis. Todėl siūlymai dėl lėšų panaudojimo turėtų būti suformuluoti jau sistemos kūrimo stadijoje, o pritarimas – vadovybės lygmeniu, kuris atsakingas už biudžetų tvirtinimą.

Siekiant užtikrinti saugumą, būtina stebėti visus šiuolaikinius pokyčius, programinės ir techninės įrangos apsaugą, grėsmes ir operatyviai keisti savo apsaugos sistemas nuo neteisėtos prieigos. Tik adekvatus ir operatyvus atsakas į grėsmes padės pasiekti aukštą įmonės darbo konfidencialumo lygį.

Pirmasis leidimas buvo išleistas 2018 m. Ši unikali programa kaupia psichologinius darbuotojų portretus ir paskirsto juos rizikos grupėms. Toks požiūris į informacijos saugumą leidžia numatyti galimus incidentus ir imtis veiksmų iš anksto.

Neformalios gynimo priemonės

Neformalios apsaugos priemonės skirstomos į normines, administracines ir moralines bei etines. Pirmajame apsaugos lygyje yra reguliavimo priemonės, reguliuojančios informacijos saugumą kaip procesą organizacijos veikloje.

• Reguliavimo priemonės

Pasaulinėje praktikoje, kurdami reguliavimo priemones, jie vadovaujasi informacijos saugumo apsaugos standartais, kurių pagrindinis yra ISO/IEC 27000. Standartą sukūrė dvi organizacijos:

• ISO – Tarptautinė standartizacijos komisija, kuri kuria ir tvirtina labiausiai tarptautiniu mastu pripažintus gamybos ir valdymo procesų kokybės sertifikavimo metodus;
• IEC – Tarptautinė energetikos komisija, kuri į standartą įtraukė savo supratimą apie informacijos saugumo sistemas, jos užtikrinimo priemones ir būdus

Dabartinė ISO/IEC 27000-2016 versija siūlo paruoštus standartus ir patikrintus metodus, reikalingus informacijos saugumui įgyvendinti. Metodų autorių nuomone, informacijos saugumo pagrindas yra sistemingas ir nuoseklus visų etapų įgyvendinimas nuo kūrimo iki postkontrolės.

Norint gauti sertifikatą, patvirtinantį atitiktį informacijos saugos standartams, būtina visiškai įgyvendinti visas rekomenduojamas praktikas. Jei sertifikato gauti nereikia, galima priimti bet kurią ankstesnę standarto versiją, pradedant ISO/IEC 27000-2002, arba rusiškus GOST, kurie yra patariamojo pobūdžio, kaip pagrindą kurti savo. informacijos saugumo sistemos.

Remiantis standarto tyrimo rezultatais, rengiami du dokumentai, susiję su informacijos saugumu. Pagrindinė, bet ne tokia formali, yra įmonės informacijos saugumo samprata, kuri apibrėžia informacijos saugos sistemos diegimo priemones ir būdus organizacijos informacinėse sistemose. Antras dokumentas, kurio privalo laikytis visi įmonės darbuotojai, yra informacijos saugos reglamentas, patvirtintas direktorių valdybos ar vykdomojo organo lygmeniu.

Be įmonės lygmens reglamentavimo, turėtų būti parengti komercines paslaptis sudarančios informacijos sąrašai, darbo sutarčių priedai, nustatantys atsakomybę už konfidencialių duomenų atskleidimą, kiti standartai ir metodikos. Vidinės normos ir taisyklės turi turėti įgyvendinimo mechanizmus ir atsakomybės priemones. Dažniausiai priemonės yra drausminio pobūdžio, o pažeidėjas turi būti pasirengęs, kad už komercinės paslapties režimo pažeidimą bus taikomos didelės sankcijos, įskaitant atleidimą iš darbo.

• Organizacinės ir administracinės priemonės

Vykdydami informacijos saugumo apsaugos administracinę veiklą, saugumo pareigūnai turi erdvės kūrybiškumui. Tai yra architektūriniai ir planavimo sprendimai, leidžiantys apsaugoti posėdžių sales ir vadovybės biurus nuo pasiklausymo, bei skirtingų prieigos prie informacijos lygių nustatymas. Svarbios organizacinės priemonės bus įmonės veiklos sertifikavimas pagal ISO/IEC 27000 standartus, atskirų techninės ir programinės įrangos sistemų sertifikavimas, subjektų ir objektų atitikties būtiniems saugumo reikalavimams sertifikavimas, licencijų, reikalingų darbui su saugomais informacijos masyvais, gavimas.

Personalo veiklos reguliavimo požiūriu bus svarbu įforminti užklausų dėl prieigos prie interneto, išorinio elektroninio pašto ir kitų išteklių sistemą. Atskiras elementas bus elektroninio skaitmeninio parašo gavimas, siekiant padidinti finansinės ir kitos informacijos, kuri perduodama valstybinėms įstaigoms el. paštu, saugumą.

• Moralinės ir etinės priemonės

Moralinės ir etinės priemonės lemia asmens asmeninį požiūrį į konfidencialią ar apyvartoje apribotą informaciją. Darbuotojų žinių apie grėsmių įtaką įmonės veiklai lygio didinimas turi įtakos darbuotojų sąmoningumo ir atsakomybės laipsniui. Norint kovoti su informacijos pažeidimais, įskaitant, pavyzdžiui, slaptažodžių perdavimą, neatsargų elgesį su žiniasklaidos priemonėmis, konfidencialių duomenų skleidimu privačiuose pokalbiuose, būtina pabrėžti asmeninę darbuotojo sąmoningumą. Bus naudinga nustatyti personalo veiklos rodiklius, kurie priklausys nuo požiūrio į korporacinė sistema IB.

Siųsti savo gerą darbą žinių bazėje yra paprasta. Naudokite žemiau esančią formą

Studentai, magistrantai, jaunieji mokslininkai, kurie naudojasi žinių baze savo studijose ir darbe, bus jums labai dėkingi.

Paskelbta http://www.allbest.ru/

• Įvadas
• 1. Informacijos klasifikavimas
• 2. Informacijos saugumas
• 2.1 Informacinės grėsmės
• 2.2 Grėsmė konfidencialia informacija.
• 2.3 Informacijos apsaugos sritys
• 2.4 Informacijos apsaugos sistema
• Išvada
• Naudotų šaltinių sąrašas
• Įvadas
• Kiekvienas informacijos šaltinis, nesvarbu, ar tai būtų vartotojo kompiuteris, organizacijos serveris ar tinklo įranga, turi būti apsaugotas nuo visų rūšių grėsmių. Failų sistemos, tinklas ir kt. turi būti apsaugoti. Šiame straipsnyje mes nenagrinėsime apsaugos įgyvendinimo būdų dėl didžiulės jų įvairovės.
• Tačiau reikia suprasti, kad 100% apsaugoti neįmanoma. Tuo pačiu metu reikia atsiminti: kuo aukštesnis saugumo lygis, tuo brangesnė sistema, tuo vartotojui tampa nepatogu naudotis, o tai atitinkamai lemia apsaugos nuo žmogiškojo faktoriaus pablogėjimą. Kaip pavyzdį prisiminkime, kad slaptažodžio perdėtas sudėtingumas lemia tai, kad vartotojas yra priverstas jį užrašyti ant popieriaus lapo, kurį priklijuoja prie monitoriaus, klaviatūros ir pan.
• Yra daugybė programinės įrangos, skirtos informacijos saugumo problemoms spręsti. Tai antivirusinės programos, ugniasienės, įmontuoti operacinės sistemos įrankiai ir daug daugiau. Tačiau verta atminti, kad pažeidžiamiausia gynybos grandis visada yra žmogus! Galų gale, bet kurios programinės įrangos našumas priklauso nuo jos rašymo kokybės ir administratoriaus, sukonfigūruojančio tą ar kitą saugos įrankį, raštingumo.
• Šiuo atžvilgiu daugelis organizacijų kuria informacijos apsaugos tarnybas (departamentus) arba nustato atitinkamas užduotis savo IT skyriams. Tuo pačiu reikia suprasti, kad negalite įkelti IT paslaugos jai neįprastų funkcijų. Apie tai jau ne kartą kalbėta ir rašyta. Taigi, tarkime, kad jūsų organizacija sukūrė informacijos saugos skyrių. Ką daryti toliau? Kur pradėti?
• Jūs turite pradėti nuo darbuotojų mokymo! Ir ateityje padarykite šį procesą reguliarų. Informacijos saugos skyriaus nuolatinė užduotis turėtų būti darbuotojų mokymas informacijos saugos pagrindų. Ir tai turėtų būti daroma bent du kartus per metus.
• 1. Informacijos klasifikavimas
• Istoriškai, kai tik iškeliamas informacijos įslaptinimo klausimas (pirmiausia tai taikoma valstybei priklausančiai informacijai), ji iškart pradedama klasifikuoti pagal slaptumo (konfidencialumo) lygį. Prieinamumo, vientisumo ir stebimumo užtikrinimo reikalavimai, jei iš viso prisimenami, yra tik prabėgomis, tarp bendrųjų reikalavimų informacijos apdorojimo sistemoms.
• Jeigu tokį požiūrį dar galima kažkaip pateisinti būtinybe užtikrinti valstybės paslaptis, tai perkėlimas į kitą dalykinę sritį atrodo tiesiog juokingai. Pavyzdžiui, pagal Ukrainos teisės aktų reikalavimus informacijos savininkas pats nustato jos konfidencialumo lygį (jei ši informacija nepriklauso valstybei).
• Daugelyje sričių konfidencialios informacijos dalis yra palyginti nedidelė. Atvirai informacijai, kurios atskleidimo žala yra nedidelė, svarbiausios savybės gali būti tokios kaip prieinamumas, vientisumas arba apsauga nuo neteisėto kopijavimo. Kaip pavyzdį paimkime internetinio leidinio svetainę. Mano nuomone, pirmoje vietoje bus informacijos prieinamumas ir vientisumas, o ne jos konfidencialumas. Informacijos vertinimas ir klasifikavimas tik iš pozicijų ir slaptumo yra mažų mažiausiai neproduktyvu.
• Ir tai galima paaiškinti tik tradicinio požiūrio į informacijos apsaugą siaurumu, patirties stoka užtikrinant neslaptos (konfidencialios) informacijos prieinamumą, vientisumą ir stebimumą.
• Informacijos klasifikavimo pagal svarbą schema
• INFORMACIJA

A. Ypatingos svarbos (OV)

B. Visiškai slaptas (SS)

C. paslaptis (c)

D. tarnybiniam naudojimui

F. Ir atviras personažas (O)

Saugumo požiūriu „Informacija“ turi keletą svarbių savybių:

1. Konfidencialumas yra informacijos nuosavybė, kurios vertę nustato informacijos savininkas, atspindėdamas prieigos prie jos apribojimą, vadovaudamasis galiojančiais teisės aktais.

2. Prieinamumas – informacijos savybė, lemianti informacijos gavimo galimybės laipsnį.

3. Patikimumas – informacijos savybė, nulemianti pasitikėjimo ja laipsnį.

4. Vientisumas – tai informacijos savybė, nulemianti informacijos struktūrinį tinkamumą naudoti.

Saugomos informacijos konfidencialumo kategorijos

· visiškai konfidenciali – pagal įstatymų reikalavimus konfidencialia pripažinta informacija arba informacija, kurios platinimas yra apribotas vadovybės sprendimu dėl to, kad jos atskleidimas gali sukelti rimtų finansinių ir ekonominių pasekmių organizacijai, įskaitant bankrotas;

· konfidenciali – į šią kategoriją įeina informacija, kuri neklasifikuojama kaip „visiškai konfidenciali“, kurios platinimo apribojimai buvo nustatyti vadovybės sprendimu, atsižvelgiant į jam, kaip informacijos savininkui, pagal galiojančius teisės aktus suteiktas teises dėl tai, kad jo atskleidimas gali sukelti didelę žalą ir prarasti organizacijos konkurencingumą (padaryti didelę žalą jos klientų, partnerių ar darbuotojų interesams);

· atvira – ši kategorija apima informaciją, kurios nereikalaujama laikyti konfidencialia.

Saugomos informacijos vientisumo kategorijos

· aukšta – informacija, kurios neteisėtas pakeitimas ar klastojimas galėtų sukelti didelę žalą organizacijai;

· žema – į šią kategoriją įtraukiama informacija, kurios neteisėtas pakeitimas gali sukelti nedidelę žalą organizacijai, jos klientams, partneriams ar darbuotojams;

· jokių reikalavimų – į šią kategoriją įtraukta informacija, kurios vientisumui ir autentiškumui užtikrinti nėra jokių reikalavimų.

2. Informacijos saugumas

Informacijos saugumas yra informacinės aplinkos saugumo būsena, o informacijos apsauga – tai veikla, kuria siekiama užkirsti kelią saugomos informacijos nutekėjimui, neleistinam ir netyčiniam poveikiui saugomai informacijai, tai yra procesas, kuriuo siekiama šią būseną pasiekti.

Organizacijos informacijos saugumas – tai organizacijos informacinės aplinkos saugumo būklė, užtikrinanti jos formavimą, naudojimą ir plėtrą.

Šiuolaikinėje visuomenėje informacinę sferą sudaro du komponentai: informacinis ir techninis (technologijų pasaulis, dirbtinai sukurtas žmogaus ir kt.) ir informacinis bei psichologinis (natūralus gyvosios gamtos pasaulis, įskaitant patį žmogų). Atitinkamai, bendruoju atveju visuomenės (valstybės) informacinį saugumą galima reprezentuoti dviem komponentais: informaciniu ir techniniu bei informaciniu-psichologiniu (psichofiziniu) saugumu.

Informacijos (duomenų) saugumas – tai informacijos (duomenų) saugumo būsena, kurioje užtikrinamas jos (jų) konfidencialumas, prieinamumas ir vientisumas.

Informacijos saugumas – informacijos konfidencialumo, vientisumo ir prieinamumo apsauga.

Informacijos saugumas – visi aspektai, susiję su informacijos ar jos apdorojimo priemonių konfidencialumo, vientisumo, prieinamumo, neatmetimo, atskaitomybės, autentiškumo ir patikimumo apibrėžimu, pasiekimu ir palaikymu.

2.1 Informacinės grėsmės

Grasinimais informacijai turime omenyje galimus arba realiai galimus veiksmus, susijusius su informacine sfera, lemiančius neleistinus informacijos savybių (konfidencialumo, prieinamumo, patikimumo, vientisumo) pasikeitimus.

Remiantis jų galutiniu pasireiškimu, galima nustatyti šias grėsmes informacijai:

1. Įvadas.

2. Modifikacija.

3. Sunaikinimas.

4. Blokavimas.

Konkretūs informacinių grėsmių diegimai vadinami informacinių grėsmių scenarijais.

Susipažinimas su Konfidenciali informacija gali vykti įvairiais būdais ir būdais, o esminis dalykas yra pačios informacijos pokyčių nebuvimas.

Informacijos konfidencialumo ar slaptumo pažeidimas yra susijęs su tuo, kad su ja susipažino tie, kuriems ji nebuvo skirta. Kokia informacija yra konfidenciali ar slapta, sprendžia šios informacijos savininkas arba turėtojas. Jie taip pat nustato žmonių, kurie turi prieigą prie jo, ratą. Informacijos konfidencialumas gali būti pažeistas asmenims, neturintiems teisės su ja susipažinti ir neleistinai pakeitus paslapties (reikšmingumo) įslaptinimo.

Informacijos keitimu siekiama pakeisti tokias savybes kaip konfidencialumas, patikimumas, vientisumas, o tai reiškia informacijos sudėties ir turinio pasikeitimą. Informacijos modifikavimas nereiškia visiško jos sunaikinimo.

Informacijos sunaikinimas, kaip taisyklė, yra nukreiptas į informacijos vientisumą ir sukelia visišką jos sunaikinimą. Informacijos vientisumo pažeidimas reiškia informacijos praradimą. Jei informacija prarandama, ji prarandama visam laikui ir jokiu būdu negali būti atkurta. Praradimas gali atsirasti dėl atminties laikmenos sunaikinimo ar sunaikinimo arba jos praradimo, informacijos ištrynimo iš daugialypės terpės įrašų, dėl energijos tiekimo sutrikimo įrenginiuose su nepastoviąja atmintimi. Naikinant informaciją, pažeidžiama ir informacijos prieinamumo savybė.

Užblokavus informaciją prarandama prieiga prie jos, t.y. į informacijos neprieinamumą. Informacijos prieinamumas slypi tuo, kad subjektas, turintis teisę ja naudotis, turi turėti galimybę ją laiku gauti jam patogia forma. Jei prarasite prieigą prie informacijos, ji vis tiek egzistuoja, bet negalite ja naudotis. Tie. subjektas negali su juo susipažinti, nukopijuoti, perkelti į kitą dalyką ar pateikti patogia naudoti forma. Prieiga gali būti prarasta dėl tam tikros automatizuotų sistemų (AS) įrangos nebuvimo arba gedimo, specialisto nebuvimo ar nepakankamos kvalifikacijos, kai kurios programinės įrangos nebuvimo arba neveikiamumo, AS išteklių naudojimo pašalinei informacijai apdoroti, AS palaikymo sistemų gedimas ir tt Kadangi informacija neprarandama, prieiga prie jos galima gauti pašalinus prieigos praradimo priežastis.

Išvardytos grėsmės informacijai gali pasireikšti kaip nuoseklių ir lygiagrečių diegimų kompleksas. Grėsmės informacijai, susijusios su informacijos savybių pažeidimu, įgyvendinimas sukelia kontrolės režimo pažeidimą ir galiausiai moralinius ir (ar) materialinius nuostolius.

Aukščiau išvardytos informacijos grėsmės gali būti klasifikuojamos į šias sritis:

pagal objektus:

· Personalas,

· materialinis ir finansinis turtas,

· informacija;

dėl žalos:

· Galutinis,

· Reikšmingas,

· Nereikšmingas;

dėl išvaizdos priežasčių

· Natūralus,

· Tyčinis;

objekto atžvilgiu:

· Vidinis,

· Išorinis;

pagal veiksmo pobūdį:

· Aktyvus,

· Pasyvus.

Informacinių grėsmių šaltiniai gali būti tiek vidiniai, tiek išoriniai. Dažniausiai toks skirstymas vyksta teritoriniu pagrindu ir priklausymo informacijos apsaugos objektui pagrindu.

Informacinių grėsmių šaltiniai

Vidutinio lygio išorinių ir vidinių grėsmių santykį galima apibūdinti taip:

· 82% grasinimų įvykdo pačios įmonės darbuotojai arba jiems tiesiogiai ar netiesiogiai dalyvaujant;

· 17% grasinimų keliama iš išorės – išorinės grėsmės;

· 1% grasinimų įvykdo atsitiktiniai asmenys.

Informacinės grėsmės yra vektorinio pobūdžio, t.y. visada siekia konkrečių tikslų ir yra nukreipti į konkrečius objektus.

Konfidencialios informacijos šaltiniai yra žmonės, dokumentai, leidiniai, techninės laikmenos, techninės gamybos ir darbo veiklos palaikymo priemonės, gaminiai ir gamybos atliekos.

Svarbiausi informacijos saugumo užtikrinimo objektai teisėsaugos ir teismų srityse yra:

· federalinių vykdomosios valdžios institucijų, vykdančių teisėsaugos funkcijas, teisminių institucijų, jų informacijos ir skaičiavimo centrų, mokslo įstaigų ir švietimo įstaigų informaciniai ištekliai, kuriuose yra specialios oficialaus pobūdžio informacijos ir operatyvinių duomenų;

· informacijos ir skaičiavimo centrai, jų informacinė, techninė, programinė ir reguliavimo pagalba;

· informacinė infrastruktūra (informaciniai skaičiavimo tinklai, valdymo taškai, mazgai ir ryšio linijos).

2.2 Grėsmė konfidencialia informacija.

Informacinių ryšių sistemoms yra viena bendra nuostata, kuri yra labai svarbi norint suprasti informacijos saugumą apskritai. Informacija visada adresuojama ir visada turi savininką. Be to, taikymas nėra savavališkas, o jį nustato informacijos savininkas. Jeigu ši teisė pranešime akcentuojama (nurodomas įslaptinimas), tuomet informacija tampa konfidencialia. Vartotojas, gavęs šią informaciją, negali ja savavališkai disponuoti, ji jam nepriklauso (nebent būtų perleista nuosavybės teisė).

Nuosavybės teises nustato šalyje galiojantys teisės aktai. Priklausomai nuo nuosavybės tipo, konfidenciali informacija gali būti klasifikuojama kaip valstybinė, komercinė arba asmeninė informacija. Ši koreliacija atliekama subordinuotai, su mažėjančia hierarchija.

Valstybės paslaptį sudarančios informacijos sąrašą sudaro valstybė, atstovaujama jos institucijų ir institucijų. Ši informacija yra privaloma paslaptis fiziniams, žemesnio rango juridiniams ir fiziniams asmenims.

Komercinę paslaptį apibrėžiančios informacijos sąrašą sudaro komercinė įmonė. Tai taip pat užtikrina jų saugumą ir apsaugą.

Nustato asmeninę paslaptį individualus. Natūralu, kad šios informacijos saugumas ir apsauga yra jo rūpestis, nors teisinė apsauga tenka valstybei.

Neteisėtas konfidencialios informacijos gavimas galimas dėl jos atskleidimo iš informacijos šaltinių, dėl informacijos nutekėjimo techninėmis priemonėmis ir dėl neteisėtos prieigos prie saugomos informacijos.

Veiksmai, lemiantys neteisėtą konfidencialios informacijos gavimą:

· Atskleidimas,

· Nutekėjimas,

· Nepatvirtintas prisijungimas.

1. Atskleidimas – tai tyčiniai ar neatsargūs veiksmai su konfidencialia informacija, dėl kurių su ja susipažino asmenys, kuriems nebuvo leista jos žinoti.

Atskleidimas išreiškiamas bendravimu, perdavimu, teikimu, persiuntimu, paskelbimu, praradimu ir kitais mainų ir veiksmų su konfidencialia informacija formomis. Atskleidimas vykdomas formaliais ir neformaliais informacijos sklaidos kanalais.

Oficialus bendravimas apima dalykinius susitikimus, konferencijas, derybas ir panašias bendravimo formas: keitimąsi oficialiais verslo ir mokslo dokumentais perduodant oficialią informaciją (paštu, telefonu, telegrafu ir kt.).

Neformali komunikacija apima asmeninį bendravimą, parodas, seminarus, konferencijas ir kitus viešus renginius, taip pat žiniasklaidą (spaudą, laikraščius, interviu, radiją, televiziją ir kt.).

Paprastai konfidencialios informacijos atskleidimo priežastis yra ta, kad darbuotojai nepakankamai žino paslapčių apsaugos taisykles ir nesupranta (arba nesupranta) būtinybės atidžiai jų laikytis. Čia svarbu pažymėti, kad subjektas šiame procese yra saugomų paslapčių šaltinis (savininkas).

Verta atkreipti dėmesį į informacines šio veiksmo ypatybes. Informacija yra prasminga, prasminga, tvarkinga, argumentuota, didelė ir dažnai pateikiama realiu laiku. Dažnai atsiranda galimybė dialogui. Informacija sutelkta į konkrečią temos sritį ir yra dokumentuojama. Kad gautų užpuoliką dominančią informaciją, pastarasis įdeda beveik minimalių pastangų ir naudoja paprastas, legalias technines priemones.

2. Nutekėjimas – tai nekontroliuojamas konfidencialios informacijos išskleidimas už organizacijos ar asmenų rato, kuriems ji yra patikėta, techniniais informacijos nutekėjimo kanalais.

Informacija nutekinama įvairiais techniniais kanalais. Yra žinoma, kad informaciją paprastai neša arba perduoda energija arba medžiaga. Tai arba akustinė (garsas), arba elektromagnetinė spinduliuotė, arba popieriaus lapas ir pan.

Atsižvelgiant į tai, galima teigti, kad pagal fizinę prigimtį galimi šie informacijos perdavimo būdai: šviesos spinduliai, garso bangos, elektromagnetinės bangos, medžiagos ir medžiagos.

Atitinkamai informacijos nutekėjimo kanalai skirstomi į vizualinius-optinius, akustinius, elektromagnetinius ir medžiaginius. Informacijos nutekėjimo kanalas dažniausiai suprantamas kaip fizinis kelias nuo konfidencialios informacijos šaltinio iki užpuoliko, per kurį pastarasis gali pasiekti apsaugotą informaciją.

Informacijos nutekėjimo kanalui suformuoti reikalingos tam tikros erdvinės, energetinės ir laiko sąlygos, taip pat, kad užpuoliko pusėje būtų atitinkama įranga informacijai priimti, apdoroti ir įrašyti.

3. Neteisėta prieiga – tai neteisėtas tyčinis konfidencialios informacijos gavimas asmens, neturinčio teisės susipažinti su saugomomis paslaptimis.

Norėdami įgyvendinti šiuos veiksmus, užpuolikas turi įvairiomis techninėmis priemonėmis prasiskverbti į saugomą objektą. Su vystymusi Kompiuterinė technologija tapo prieinama nuotolinė neteisėta prieiga prie saugomos informacijos arba, kitaip tariant, kompiuterių įsilaužimas.

Atsižvelgiant į tai, kas išdėstyta pirmiau, belieka svarstyti, kokios sąlygos prisideda prie neteisėto konfidencialios informacijos gavimo:

b Atskleidimas (per didelis darbuotojų kalbumas) - 32%;

ь Neteisėta prieiga per kyšininkavimą ir konkurentų bei nusikalstamų grupuočių skatinimą bendradarbiauti - 24%;

b Tinkamos kontrolės ir griežtų sąlygų informacijos saugumui užtikrinti įmonėje nebuvimas - 14%;

b Tradiciniai gamybos patirties mainai - 12%;

b Nekontroliuojamas informacinių sistemų naudojimas - 10%;

ь Būtinos sąlygos konfliktams tarp darbuotojų kilti – 8 proc.

2.3 Informacijos apsaugos sritys

Literatūroje pateikiama tokia informacijos saugos priemonių klasifikacija.

· Apsaugos nuo neteisėtos prieigos priemonės (NSD):

· Privaloma įėjimo kontrolė;

· Atrankinė prieigos kontrolė;

· Vaidmenimis pagrįsta prieigos kontrolė;

· Registravimas (taip pat vadinamas auditu).

· Informacijos srautų analizės ir modeliavimo sistemos (CASE sistemos).

· Tinklo stebėjimo sistemos:

· Įsibrovimų aptikimo ir prevencijos sistemos (IDS/IPS).

· Protokolo analizatoriai.

· Antivirusiniai produktai.

· Ugniasienės.

· Kriptografinės priemonės:

· Šifravimas;

· Elektroninis parašas.

· Atsarginės sistemos.

· Sistemos Nepertraukiamo maitinimo šaltinis:

· Nepertraukiamo maitinimo šaltiniai;

· Įkelti atsarginę kopiją;

· Įtampos generatoriai.

· Autentifikavimo sistemos:

· Slaptažodis;

· Sertifikatas;

· Biometriniai duomenys.

· Priemonės, apsaugančios nuo įsilaužimų ir įrangos vagysčių.

· Įėjimo į patalpas kontrolės įranga.

· Apsaugos sistemų analizės įrankiai:

· Stebėjimo programinės įrangos produktas.

Atsižvelgiant į esamą informacijos saugumo užtikrinimo praktiką, išskiriamos šios informacijos apsaugos sritys:

1. Teisinė apsauga – tai specialūs įstatymai, kiti reglamentai, taisyklės, procedūros ir priemonės, užtikrinančios informacijos apsaugą teisiniu pagrindu;

2. Organizacinė apsauga – tai atlikėjų veiklos ir santykių reguliavimas teisiniu pagrindu, kuris neleidžia arba labai apsunkina neteisėtą konfidencialios informacijos gavimą bei vidinių ir išorinių grėsmių pasireiškimą.

3. Inžinerinė ir techninė apsauga – tai specialių įstaigų, techninių priemonių ir jų naudojimo priemonių visuma, siekiant apsaugoti konfidencialią informaciją.

Informacijos apsaugai įgyvendinti sukuriama apsaugos sistema.

Apsaugos sistema suprantame organizacinį ypatingų įstaigų, paslaugų, priemonių, metodų ir priemonių visumą, užtikrinančią gyvybinių asmenų, įmonių ir valstybės interesų apsaugą nuo vidinių ir išorinių grėsmių.

Kaip apsaugos sistemos dalis yra informacijos apsaugos sistema.

Informacijos saugumo organizacinis ir inžinerinis palaikymas.

Organizacinė apsauga – tai gamybinės veiklos ir atlikėjų santykių reguliavimas teisiniu pagrindu, kuris pašalina arba labai apsunkina neteisėtą konfidencialios informacijos gavimą ir vidinių bei išorinių grėsmių pasireiškimą.

Organizacinė apsauga suteikia:

· apsaugos, režimo, darbo su personalu, su dokumentais organizavimas;

· techninių apsaugos priemonių ir informacijos bei analitinės veiklos panaudojimas vidinėms ir išorinėms saugumo grėsmėms nustatyti.

Organizacinės priemonės vaidina svarbų vaidmenį kuriant patikimą informacijos apsaugos mechanizmą, nes galimybę neteisėtai panaudoti konfidencialią informaciją daugiausia lemia ne techniniai aspektai, o piktybiniai vartotojų ar apsaugos darbuotojų veiksmai, aplaidumas, aplaidumas ir aplaidumas. Šių aspektų įtakos beveik neįmanoma išvengti naudojant technines priemones. Tam reikia organizacinių, teisinių ir organizacinių bei techninių priemonių, kurios pašalintų (ar bent jau sumažintų) konfidencialios informacijos pavojaus galimybę.

Organizacinės priemonės yra ribojamojo pobūdžio priemonės, daugiausia susijusios su prieigos ir informacijos apdorojimo techninių priemonių naudojimo reguliavimu. Paprastai jas atlieka pati organizacija, naudodama paprastas organizacines priemones.

Pagrindinė organizacinė veikla apima:

· režimo ir saugumo organizavimas. Jų tikslas – pašalinti galimybę slaptai patekti į pašalinių asmenų teritoriją ir patalpas; patogumo užtikrinti darbuotojų ir lankytojų praėjimą ir judėjimą kontroliuoti;

· atskirų gamybos zonų sukūrimas pagal konfidencialaus darbo pobūdį nepriklausomos sistemos prieiga;

· laikinojo darbo ir buvimo įmonės teritorijoje režimo kontrolę ir laikymąsi;

· patikimos prieigos kontrolės ir darbuotojų bei lankytojų kontrolės organizavimas ir palaikymas ir kt.;

· darbo su darbuotojais organizavimas, apimantis personalo atranką ir įdarbinimą, įskaitant supažindinimą su darbuotojais, jų mokymąsi, darbo su konfidencialia informacija taisyklių mokymą, supažindinimą su nuobaudomis už informacijos saugumo taisyklių pažeidimus ir kt.;

· organizuoti darbą su dokumentais ir dokumentuota informacija, įskaitant dokumentų ir konfidencialios informacijos laikmenų rengimo ir naudojimo, jų apskaitos, vykdymo, grąžinimo, saugojimo ir sunaikinimo organizavimą;

· organizuoti naudojimąsi konfidencialios informacijos rinkimo, apdorojimo, kaupimo ir saugojimo techninėmis priemonėmis;

· organizuoti darbus, analizuojant vidines ir išorines grėsmes konfidencialiai informacijai ir rengiant priemones jos apsaugai užtikrinti;

· organizuoti darbą sistemingai stebėti personalo darbą su konfidencialia informacija, dokumentų ir techninių laikmenų registravimo, saugojimo ir naikinimo tvarką.

Kiekvienu konkrečiu atveju organizacinės priemonės tam tikrai organizacijai turi tam tikrą formą ir turinį, kuriomis siekiama užtikrinti informacijos saugumą konkrečiomis sąlygomis.

· saugomos zonos (teritorijos) ribų nustatymas;

· techninių priemonių, naudojamų konfidencialiai informacijai apdoroti kontroliuojamoje teritorijoje, nustatymas;

· „pavojingų“ apibrėžimas informacijos nutekėjimo kanalų susidarymo galimybės, pastatų ir statinių techninių priemonių ir projektinių ypatybių požiūriu;

· identifikavimas galimi būdai užpuolikų įsiskverbimas į konfidencialios informacijos šaltinius;

· informacijos apsaugos aptikimo, nustatymo ir stebėjimo priemonių įgyvendinimas visomis prieinamomis priemonėmis.

Organizacinės priemonės išreiškiamos tam tikromis ribojančiomis priemonėmis. Galime išskirti tokias ribojančias priemones kaip teritorinės, erdvės ir laiko.

Teritoriniai apribojimai susiję su sumaniu šaltinių išdėstymu žemėje arba pastatuose ir patalpose, išskyrus pokalbių pasiklausymą ar signalų perėmimą iš radijo elektroninių priemonių.

Erdviniai apribojimai išreiškiami pasirenkant tam tikrų signalų skleidimo kryptis, kad užpuolikai juos perimtų mažiausia.

Laiko apribojimai pasireiškia techninių priemonių veikimo laiko sumažinimu iki minimumo, naudojant paslėptus ryšio būdus, šifravimą ir kitas saugumo priemones.

Vienas iš svarbiausių organizacinės veiklos uždavinių – nustatyti objekto, jo patalpų techninės apsaugos būklę, parengti ir įgyvendinti organizacines priemones, kurios pašalintų galimybę neteisėtai įgyti konfidencialią informaciją, uždraudžiant ją atskleisti, nutekėti ir neteisėtai prieiti prie jos. saugomos paslaptys.

Konkreti organizacinių priemonių sritis yra asmeninių kompiuterių, informacinių sistemų ir tinklų apsaugos organizavimas.

Inžinerinė ir techninė apsauga yra specialių įstaigų, techninių priemonių ir jų naudojimo priemonių visuma, siekiant apsaugoti konfidencialią informaciją.

Inžinerinės ir techninės apsaugos priemonės, skirtos funkcinis tikslas Inžinerinės ir techninės apsaugos priemonės skirstomos į šias grupes:

b fizinės priemonės, įskaitant įvairias priemones ir struktūras, kurios neleidžia užpuolikams fiziškai patekti (ar patekti) į saugomus objektus ir konfidencialios informacijos materialines laikmenas ir apsaugoti darbuotojus, materialinius išteklius, finansus ir informaciją nuo neteisėtos įtakos;

b aparatūra. Prietaisai, prietaisai, priedai ir kt techniniai sprendimai, naudojamas informacijos saugumo sumetimais;

ь programinės įrangos įrankių danga specialios programos, programinės įrangos sistemos ir informacijos saugumo sistemos informacinėse sistemose, skirtos įvairiems duomenų apdorojimo (rinkimo, kaupimo, saugojimo, apdorojimo ir perdavimo) tikslams ir priemonėms;

b kriptografinės priemonės, specialios matematinės ir algoritminės priemonės, apsaugančios ryšių sistemomis ir tinklais perduodamą informaciją, saugomą ir apdorojamą kompiuteryje, naudojant įvairius šifravimo būdus.

Akivaizdu, kad toks informacijos saugos priemonių skirstymas yra gana savavališkas, nes praktikoje jie labai dažnai sąveikauja ir yra įdiegiami kompleksiškai programinės ir techninės įrangos modulių pavidalu, plačiai naudojant informacijos uždarymo algoritmus.

Fizinės priemonės – tai įvairūs įrenginiai, armatūra, konstrukcijos, aparatai ir gaminiai, skirti sukurti kliūtis užpuolikams.

Fizinėmis priemonėmis laikomi mechaniniai, elektromechaniniai, elektroniniai, elektrooptiniai, radijo ir kiti įrenginiai, uždrausti neteisėtai patekti (įeiti, išeiti), neštis (išnešti) lėšas ir medžiagas bei kitas galimas nusikalstamas veikas.

Šie įrankiai naudojami sprendžiant šias problemas:

Įmonės teritorijos saugumas ir priežiūra;

Pastatų, vidaus patalpų apsauga ir jų kontrolė;

Įrangos, produktų, finansų ir informacijos apsauga;

Suteikti kontroliuojamą patekimą į pastatus ir patalpas.

Visas fizines objektų apsaugos priemones galima suskirstyti į tris kategorijas: perspėjimo priemones, aptikimo priemones ir grėsmių šalinimo sistemas. Pavyzdžiui, apsaugos signalizacija ir CCTV yra grėsmių aptikimo įrankiai. Tvoros aplink objektus yra priemonė, apsauganti nuo neteisėto patekimo į teritoriją, o sustiprintos durys, sienos, lubos, langų grotos ir kitos priemonės yra apsauga nuo prasiskverbimo ir kitos nusikalstamos veiklos (pasiklausymo, apšaudymo, granatų ir sprogmenų mėtymo ir kt.) . Gaisro gesinimo įranga reiškia grėsmės pašalinimo sistemas.

Apskritai, pagal savo fizinę prigimtį ir funkcinę paskirtį, visus šios kategorijos gaminius galima suskirstyti į šias grupes:

Apsaugos ir priešgaisrinės apsaugos sistemos;

Apsaugos televizija;

Apsauginis apšvietimas;

Fizinės apsaugos priemonės.

Aparatūros informacijos saugos įrenginiai apima platų techninių konstrukcijų spektrą veikimo principo, dizaino ir galimybių požiūriu, užtikrinančių atskleidimo slopinimą, apsaugą nuo nutekėjimo ir kovą su neteisėta prieiga prie konfidencialios informacijos šaltinių.

Aparatinės informacijos saugos įrankiai naudojami šioms užduotims išspręsti:

Specialių gamybinės veiklos palaikymo techninių priemonių tyrimai, siekiant nustatyti galimus informacijos nutekėjimo kanalus;

Informacijos nutekėjimo kanalų identifikavimas skirtinguose objektuose ir patalpose;

Informacijos nutekėjimo kanalų lokalizavimas;

Pramoninio šnipinėjimo priemonių paieška ir aptikimas;

Kova su neteisėta prieiga prie konfidencialios informacijos šaltinių ir kiti veiksmai.

Į specialią grupę įeina aparatinė įranga, skirta apsaugoti kompiuterius ir jais pagrįstas ryšių sistemas.

Aparatinė apsauga naudojama tiek atskiruose asmeniniuose kompiuteriuose, tiek įvairiuose tinklo lygmenyse ir atkarpose: centriniuose kompiuterio procesoriuose, jų operatyvinėje atmintinėje (RAM), įvesties-išvesties valdikliuose, išoriniuose atminties įrenginiuose, terminaluose ir kt.

Dėl sargybos centriniai procesoriai Naudojamas (CPU) kodo rezervavimas – papildomų bitų kūrimas mašininių instrukcijų (slaptumo bitų) ir rezervinių registrų (CPU įrenginiuose) formatuose. Kartu numatyti du galimi procesoriaus darbo režimai, kurie atskiria pagalbines operacijas nuo operacijų, kurios tiesiogiai sprendžia vartotojo problemas. Tam naudojama speciali aparatinėje įrangoje įdiegta pertraukimų sistema.

Viena iš kompiuterių ir informacinių tinklų aparatinės apsaugos priemonių yra apriboti prieigą prie RAM, nustatant ribas ar laukus. Šiuo tikslu kuriami kontrolės registrai ir duomenų apsaugos registrai. Taip pat naudojami papildomi pariteto bitai – kodo rezervavimo metodo variacija.

Programų ir duomenų konfidencialumo laipsniui nurodyti naudojamos vartotojų kategorijos, bitai, vadinami konfidencialumo bitais (tai du ar trys papildomi bitai, kurių pagalba užkoduojamos vartotojų, programų ir duomenų privatumo kategorijos).

Kad po apdorojimo likę duomenys nebūtų nuskaitomi į RAM, naudojama speciali ištrynimo grandinė. Tokiu atveju sugeneruojama komanda ištrinti RAM ir nurodomas atminties bloko, kurį reikia atlaisvinti nuo informacijos, adresas. Ši grandinė į visus tam tikro atminties bloko langelius įrašo nulius ar kitą simbolių seką, užtikrindama, kad anksčiau įkelti duomenys būtų saugiai ištrinti.

Aparatinės įrangos apsauga taip pat naudojama vartotojų terminaluose. Kad būtų išvengta informacijos nutekėjimo jungiant neregistruotą terminalą, prieš išduodant prašomus duomenis, būtina identifikuoti (automatiškai nustatyti kodą ar numerį) terminalą, iš kurio gauta užklausa. Kelių vartotojų režimu šio identifikavimo terminalo nepakanka. Būtina autentifikuoti vartotoją, tai yra nustatyti jo tapatybę ir autoritetą. Tai būtina ir todėl, kad skirtingi sistemoje užsiregistravę vartotojai gali turėti prieigą tik prie atskirų failų ir griežtai ribotus leidimus juos naudoti.

Terminalui identifikuoti dažniausiai naudojamas į terminalo techninę įrangą įtrauktas kodų generatorius, o vartotojo autentifikavimui – tokia techninė įranga kaip raktai, asmens kodų kortelės, asmens identifikatorius, prietaisai, atpažįstantys vartotojo balsą ar pirštų formą. Tačiau labiausiai paplitusios autentifikavimo priemonės yra slaptažodžiai, kurie tikrinami ne techninės, o programinės įrangos autentifikavimo įrankiais.

Programinės įrangos apsaugos įrankiai.

Priemonės, skirtos apsaugoti kompiuterį nuo svetimų įsibrovimų, yra labai įvairios ir gali būti suskirstytos į tokias grupes kaip:

b Savisaugos priemonės, kurias teikia bendroji programinė įranga. Apsaugos elementai, būdingi savaime programinė įranga arba kartu su jo pardavimu.

ь Apsauga reiškia kaip kompiuterinės sistemos dalis. Įrangos, diskų ir standartinių įrenginių apsauga. Programų vykdymas priklauso nuo tam tikrų veiksmų ir specialių atsargumo priemonių.

ь Apsaugos priemonės su prašymu pateikti informaciją. Reikalauti įvesties Papildoma informacija siekiant nustatyti vartotojo teisę.

ь Aktyvios apsaugos priemonės. Suveikia susidarius ypatingoms aplinkybėms (įvedant neteisingą slaptažodį ir pan.).

ь Pasyvios apsaugos priemonės. Siekiama perspėti, kontroliuoti, ieškoti įrodymų ir pan.

Galima išskirti šias programų naudojimo sritis konfidencialios informacijos saugumui užtikrinti:

Informacijos apsauga nuo neteisėtos prieigos;

Informacijos ir programų apsauga nuo kopijavimo;

Informacijos ir programų apsauga nuo virusų;

Ryšio kanalų programinė apsauga.

Kiekvienai iš šių sričių yra pakankamai aukštos kokybės programinės įrangos produktų, sukurtų profesionalių organizacijų ir platinamų rinkose.

Programinės įrangos apsaugos priemonės turi šių tipų specialias programas:

Techninės įrangos, failų identifikavimas ir vartotojo autentifikavimas;

Techninės įrangos ir naudotojų veiklos registravimas ir kontrolė;

Ribotų informacijos apdorojimo režimų palaikymas;

Kompiuterių darbo įrenginių ir vartotojų taikomųjų programų apsauga;

Po naudojimo saugomos informacijos sunaikinimas;

Išteklių naudojimo kontrolė;

Pagalbinės apsaugos programos įvairiems tikslams.

Kriptografinė apsauga

Slapto pranešimo, perduodamo ryšio kanalais, pavertimas matematiniais metodais, pokalbis telefonu arba kompiuterinius duomenis taip, kad pašaliniams asmenims jie taptų visiškai nesuprantami.

Organizacinės ir techninės priemonės užtikrina konfidencialios informacijos atskleidimo ir nutekėjimo blokavimą, naudojant technines gamybos ir darbo veiklos palaikymo priemones, taip pat kovojant su techninėmis pramoninio šnipinėjimo priemonėmis, naudojant specialias technines priemones, sumontuotas ant pastato konstrukcinių elementų ir technines priemones, gali sudaryti informacijos nutekėjimo kanalus.

Šiems tikslams galima naudoti:

Techninės pasyviosios apsaugos priemonės, pavyzdžiui, ribojantys filtrai ir panašios akustinių elektrinių ir elektromagnetinių tinklų apsaugos sistemų atjungimo priemonės bendravimas telefonu, maitinimo šaltinis, radijas ir kt.

Techninės aktyviosios apsaugos priemonės: akustinio triukšmo ir elektromagnetinių trukdžių jutikliai.

Organizacinės ir techninės informacijos apsaugos priemonės gali būti skirstomos į erdvines, režimines ir energetines.

Erdvinės priemonės išreiškiamos sumažinant radiacijos modelio plotį, susilpninant radioelektroninės įrangos (RES) spinduliuotės modelio šonines ir galines skiltis.

Režimo priemonės yra susijusios su paslėptų informacijos perdavimo ryšių priemonėmis: šifravimu, beveik kintamu perdavimo dažniu ir kt.

Energija - tai radiacijos intensyvumo sumažėjimas ir AEI veikimas sumažintomis galiomis.

Techninės priemonės – priemonės, užtikrinančios specialių, nuo šalutinės spinduliuotės apsaugotų (saugių) techninių priemonių ar priemonių, kurių PEMI neviršija saugomos teritorijos ribos, įsigijimą, įrengimą ir naudojimą gamybinės veiklos procese.

Techninės konfidencialios informacijos apsaugos priemonės gali būti suskirstytos į slėpimą, slopinimą ir dezinformaciją.

Slėpimasis išreiškiamas naudojant radijo tylą ir sukuriant pasyvius trukdžius užpuolikų priėmimo priemonėms.

Slopinimas yra aktyvaus įsikišimo į užpuolikų priemones sukūrimas.

Dezinformacija – tai klaidingo techninių komunikacijos priemonių ir informacijos apdorojimo organizavimas; dažnių naudojimo režimų ir ryšio taisyklių pasikeitimai; netikrų demaskuojančių veiklos požymių rodymas ir identifikavimas.

Techninio pobūdžio apsaugos priemonės gali būti nukreiptos į konkretų techninį įrenginį ar konkrečią įrangą ir išreiškiamos tokiomis priemonėmis kaip įrangos išjungimas konfidencialių derybų metu arba tam tikrų apsauginiai įtaisai pvz., ribotuvai, filtrų buferiai ir triukšmo mažinimo įtaisai.

2.4 Informacijos apsaugos sistema

informacijos saugumo vientisumas

Apsaugos sistema suprantame organizacinį ypatingų įstaigų, paslaugų, priemonių, metodų ir priemonių visumą, užtikrinančią gyvybinių asmenų, įmonių ir valstybės interesų apsaugą nuo vidinių ir išorinių grėsmių.

Saugos sistema

b Informacijos apsaugos planų ir priemonių rengimas;

ь Saugumą užtikrinančių įstaigų, pajėgų ir priemonių formavimas, aprūpinimas ir plėtra;

ь Saugomų objektų atkūrimas

b grėsmės nustatymas;

ь Grėsmės prevencija;

ь Grėsmės neutralizavimas;

ь Grėsmės slopinimas;

b Grėsmės lokalizavimas;

ь Grėsmės atmušimas;

ь Grėsmės sunaikinimas

Informacijos saugumo sistema (IPS) – tai organizuotas specialių priemonių, metodų ir priemonių rinkinys, užtikrinantis informacijos apsaugą nuo vidinių ir išorinių grėsmių.

Sisteminio požiūrio į informacijos apsaugą požiūriu keliami tam tikri reikalavimai. Informacijos apsauga turėtų būti:

1. Nepertraukiamas.

2. Planuojama. Kiekviena tarnyba parengia informacijos apsaugos planą savo kompetencijos srityje.

3. Tikslinga. Saugoma tai, kas turi būti apsaugota siekiant konkretaus tikslo.

4. Specifinis. Konkretūs duomenys, kurie objektyviai yra saugomi, yra saugomi.

5. Aktyvus.

6. Patikimas.

7. Universalus. Taikoma bet kokiems informacijos nutekėjimo kanalams.

8. Visapusiškas. Taikomos visos būtinos apsaugos rūšys ir formos.

Norint įgyvendinti šiuos reikalavimus, informacijos saugos sistema gali turėti tokį palaikymą:

1. Teisinis.

2. Organizacinis. Įvairių rūšių paslaugos.

3. Techninė įranga. Techninės informacijos saugumo priemonės.

4. Informacinis. Informacija, duomenys, rodikliai.

5. Programinė įranga. Programos.

6. Matematinis. Matematiniai metodai.

7. Lingvistinė. Kalbos komunikacijos priemonės.

8. Norminis ir metodinis. Tarnybų veiklos nuostatai, praktiniai metodai.

Metodai – tai jėgų ir priemonių panaudojimo tvarka ir metodai siekiant apsaugoti konfidencialią informaciją.

Informacijos apsaugos metodai – tai technikų, jėgų ir priemonių visuma, užtikrinanti informacijos konfidencialumą, vientisumą, išsamumą ir prieinamumą, atsverianti vidines ir išorines grėsmes.

Informacijos saugumas užtikrinamas priemonių sistema, kuria siekiama:

· grėsmių prevencija. Grėsmių prevencija – tai prevencinės priemonės, užtikrinančios informacijos saugumą, siekiant užkirsti kelią jų atsiradimo galimybėms;

· grėsmių nustatymas. Grėsmių identifikavimas išreiškiamas realių ar galimų grėsmių atsiradimo galimybės sistemine analize ir kontrole bei savalaikėmis priemonėmis joms užkirsti kelią;

· grėsmių aptikimas. Detekcija siekiama nustatyti realias grėsmes ir konkrečias nusikalstamas veiklas;

· nusikalstamų veikų lokalizavimas ir priemonių grėsmei ar konkrečioms nusikalstamoms veikoms pašalinti;

· grasinimų ir nusikalstamų veikų padarinių šalinimas ir status quo atkūrimas.

Galimų grėsmių ir neteisėtų veiksmų prevenciją galima užtikrinti įvairiomis priemonėmis ir priemonėmis, pradedant nuo giliai sąmoningo darbuotojų požiūrio į saugumo ir informacijos apsaugos problemą klimato kūrimo iki gilios, daugiasluoksnės apsaugos sistemos sukūrimo naudojant fizinę, techninę įrangą, programinė įranga ir kriptografinės priemonės.

Užkirsti kelią grėsmėms galima ir gavus (jei norite – ir gavus) informaciją apie gresiančias neteisėtas veikas, planuojamas vagystes, parengiamuosius veiksmus ir kitus nusikalstamų veikų požymius. Šiems tikslams saugumo pareigūnams būtina dirbti su informatoriais, siekiant stebėti ir objektyviai įvertinti situaciją tiek darbuotojų komandoje, ypač pagrindinėse įmonės srityse, tiek už jos ribų, tarp konkurentų ir nusikalstamų grupuočių.

Užkertant kelią grėsmėms labai didelį vaidmenį atlieka informacinė ir analitinė saugos tarnybos veikla, pagrįsta gilia nusikalstamumo situacijos ir konkurentų bei užpuolikų veiklos analize.

Identifikavimas yra skirtas informacijos apie nusikalstamų struktūrų ar konkurentų galimus nusikalstamų veiksmų rengimąsi prekių ir gaminių gamybos ir pardavimo rinkoje rinkimo, kaupimo ir analitinio apdorojimo veiklai.

Grėsmių aptikimas – tai konkrečių grėsmių ir jų šaltinių, sukeliančių vienokią ar kitokią žalą, nustatymo veiksmas. Tokie veiksmai gali apimti vagystės ar sukčiavimo atskleidimą, taip pat konfidencialios informacijos atskleidimą arba neteisėtos prieigos prie komercinių paslapčių šaltinių atvejus.

Grėsmės slopinimas arba suvaldymas – tai veiksmai, kuriais siekiama pašalinti esamą grėsmę ir konkrečią nusikalstamą veiklą. Pavyzdžiui, slaptų pokalbių pasiklausymo slopinimas dėl akustinio informacijos nutekėjimo kanalo per vėdinimo sistemas.

Pasekmių šalinimu siekiama atkurti būklę, buvusią prieš grėsmės atsiradimą.

Natūralu manyti, kad kiekviena grėsmės rūšis turi savo specifinius metodus, jėgas ir priemones.

Išvada

Kadangi žmogiškasis veiksnys yra labai svarbus norint užtikrinti tinkamą saugumo lygį, visi darbuotojai turi suprasti galimas grėsmes ir problemas bei savo darbe įgyvendinti įmonės informacijos saugumo politiką. Norint tai pasiekti, darbuotojams, kurie turi prieigą prie svarbios informacijos, turi būti rengiami mokymai.

Įmonės saugos tarnyba turi užtikrinti fizinę apsaugą ir prieigos prie išteklių kontrolę:

· Darbuotojų darbo vietos, laboratorijos ir serverių patalpos turi būti išdėstytos atskirose patalpose;

· Prieiga prie išteklių, taip pat saugumas įmonės plėtros centre turi būti efektyviai kontroliuojamas, siekiant užtikrinti gamybos procesų tęstinumą;

· Patekimas į patalpas su brangiomis sistemomis ir konfidencialiomis informacijos laikmenomis turi būti kontroliuojamas visą parą.

Taip pat įmonė turi parengti ir įgyvendinti veiklos tęstinumo užtikrinimo planą. Šiame plane turėtų būti nustatytos pagrindinės rizikos ir grėsmės saugai, pagrindiniai gamybos procesų sustabdymo ir jų atkūrimo po avarinių situacijų prevencijos metodai. Į planą turėtų būti įtraukti reguliarūs vidaus auditai, atkūrimo ir reagavimo į ekstremalias situacijas pratybos.

Techninės informacijos nutekėjimo prevencijos priemonės apima ILDP (Information Leakage Detection and Prevention) klasės informacinių sistemų įdiegimą įmonėje. Tai priemonės, skirtos informacijos saugumo politikai įgyvendinti. Techninės priemonės turi analizuoti galimais kanalais perduodamą informaciją ir, aptikus konfidencialią informaciją, užkirsti kelią jos nutekėjimui pagal įmonės informacijos saugumo taisykles ir politiką.

Svarbu atsiminti, kad universali 100% apsauga nuo informacijos nutekėjimo niekur neegzistuoja ir niekada nebus. Vadinasi, informacijos apsaugos nuo nutekėjimo laipsnį galima nustatyti kaip apsaugos išlaidų ir pačios saugomos informacijos kainos santykį.

Sąrašas irmes naudojameoi literatūra

1. Barmenas Scottas. Informacijos saugumo taisyklių kūrimas. M.: Williams, 2002. -- 208 p. -- ISBN 5-8459-0323-8, ISBN 1-5787-0264-X.

2. Bastrikovas, M.V. Informacinės valdymo technologijos: vadovėlis / M.V. Bastrikov, O.P. Ponomarev; Institutas "KVSHU". - Kaliningradas: Instituto "KVSHU" leidykla, 2005 m.

3. Domarevas V.V. Informacinių technologijų saugumas. Sisteminis požiūris - K.: OOO TID Dia Soft, 2004. - 992 p.

4. Zapečnikovas S.V., Miloslavskaja N.G., Tolstojus A.I., Ušakovas D.V. Atvirų sistemų informacijos saugumas. 2 t.

5. Informacijos saugumas ir informacijos apsauga: Vadovėlis. - Rostovas prie Dono: Rusijos vidaus reikalų ministerijos Rostovo teisės institutas, 2004. - 82 p.

6. Shangin V.F. Kompiuterinės informacijos apsauga. Veiksmingi metodai ir priemonės. M.: DMK Spauda, ​​2008. - 544 p. -- ISBN 5-94074-383-8.

7. Ščerbakovas A. Yu. Šiuolaikinė kompiuterių sauga. Teorinis pagrindas. Praktiniai aspektai. - M.: Knygų pasaulis, 2009. - 352 p. -- ISBN 978-5-8041-0378-2.

8. „Informacijos saugos tarnyba: pirmieji žingsniai“ // ComputerPress 9 „2008“ (http://www.compress.ru/Index.aspx)

Paskelbta Allbest.ru

Panašūs dokumentai

Informacijos ir informacinės aplinkos saugumo būklė nuo atsitiktinio ar tyčinio poveikio. Informacijos saugumo tikslai, grėsmių klasifikacija. Užtikrinti informacijos konfidencialumą, vientisumą ir prieinamumą; asmens teisinė apsauga.

pristatymas, pridėtas 2016-11-04


Informacijos klasifikavimas pagal reikšmingumą. Saugomos informacijos konfidencialumo ir vientisumo kategorijos. Informacijos saugumo samprata, informacinių grėsmių šaltiniai. Informacijos apsaugos sritys. Programinės įrangos kriptografiniai apsaugos metodai.

kursinis darbas, pridėtas 2015-04-21


Įmonės veiklos pobūdžio įtaka visapusės informacijos apsaugos sistemos organizavimui. Saugomos informacijos sudėtis. Galimi neteisėtos prieigos prie organizacijos informacijos kanalai. Informacijos apsaugos sistemos efektyvumas.

praktikos ataskaita, pridėta 2013-10-31


Informacijos saugumo samprata, prasmė ir kryptys. Sistemingas požiūris į informacijos saugumo organizavimą, informacijos apsaugą nuo neteisėtos prieigos. Informacijos saugumo priemonės. Informacijos apsaugos metodai ir sistemos.

santrauka, pridėta 2011-11-15


Informacijos saugumo samprata ir pagrindiniai principai. Saugumo samprata automatizuotose sistemose. Rusijos teisės aktų pagrindai informacijos saugumo ir informacijos apsaugos srityje, licencijavimo ir sertifikavimo procesai.

paskaitų kursas, pridėtas 2012-04-17


Pagrindiniai informacijos saugumo, konfidencialumo ir informacijos vientisumo užtikrinimo aspektai. Grėsmių, pažeidžiančių informacijos vientisumą ir prieinamumą, pavyzdžiai. Subjektai, objektai ir operacijos informacinėse sistemose, prieigos teisės.

testas, pridėtas 2010-12-30


Organizacijos, teikiančios vaizdų (spaudinių), logotipų, šūkių spausdinimo paslaugas, informacijos saugumo analizė. Informacijos archyvavimo įrankiai. Kompiuterinių virusų klasifikacija, antivirusinės programos. Kompiuterio infekcijos prevencija.

praktikos ataskaita, pridėta 2014-12-19


Struktūriniai ir erdvinis modelis stiklainis. Sąlyginės kainos už informacijos vienetą. Saugumo grėsmių modeliavimas. Pavojingiausių techninės informacijos nutekėjimo kanalų reitingavimo sistema. Informacijos saugumo organizavimo įmonėje reikalavimai.

testas, pridėtas 2014-04-24


Sistemų informacijos saugumas – tai fizinio saugumo, konfidencialumo, patikimumo, informacijos pateikimo savalaikiškumo, duomenų įvedimo, saugojimo, apdorojimo ir perdavimo priemonių garantuoto veikimo užtikrinimas.

kursinis darbas, pridėtas 2008-11-29


Informacijai keliami reikalavimai: prieinamumas, vientisumas ir konfidencialumas. CŽV modelis kaip informacijos saugumas, pagrįstas informacijos prieinamumo, vientisumo ir konfidencialumo apsauga. Tiesioginės ir netiesioginės grėsmės, informacijos apsaugos priemonės.

Informacijos saugumas, kaip ir informacijos apsauga, yra kompleksinis saugumui užtikrinti skirtas uždavinys, įgyvendinamas diegiant apsaugos sistemą. Informacijos saugumo problema yra daugialypė ir sudėtinga ir apima daugybę svarbių užduočių. Informacijos saugumo problemas nuolatos didina techninių duomenų apdorojimo ir perdavimo priemonių, o visų pirma kompiuterinių sistemų skverbimasis į visas visuomenės sferas.

Iki šiol yra suformuluoti trys pagrindiniai principai, kuriuos turėtų užtikrinti informacijos saugumas:

duomenų vientisumas – apsauga nuo gedimų, dėl kurių prarandama informacija, taip pat apsauga nuo neteisėto duomenų kūrimo ar sunaikinimo;

informacijos konfidencialumas;

Kuriant kompiuterines sistemas, kurių gedimas ar veikimo klaidos gali sukelti rimtų pasekmių, kompiuterių saugumo problemos tampa svarbiausiu prioritetu. Yra daug priemonių, skirtų kompiuterių saugumui užtikrinti, iš kurių pagrindinės yra techninės, organizacinės ir teisinės.

Informacijos saugumo užtikrinimas yra brangus verslas ne tik dėl saugumo priemonių įsigijimo ar įdiegimo išlaidų, bet ir dėl to, kad sunku adekvačiai apibrėžti protingo saugumo ribas ir užtikrinti, kad sistema būtų tinkamai prižiūrima.

Informacijos saugos produktai neturėtų būti projektuojami, perkami ar diegiami tol, kol nebus atlikta atitinkama analizė.

Svetainėje analizuojamas informacijos saugumas ir jo vieta nacionalinio saugumo sistemoje, identifikuojami gyvybiškai svarbūs interesai informacinėje sferoje ir jiems kylančios grėsmės. Informacinio karo klausimai, informaciniai ginklai, principai, pagrindiniai informacijos saugumo užtikrinimo uždaviniai ir funkcijos, funkcijos valstybinė sistema užtikrinti informacijos saugumą, vidaus ir užsienio standartus informacijos saugumo srityje. Taip pat daug dėmesio skiriama teisiniams informacijos saugumo klausimams.

Taip pat aptariami bendrieji informacijos saugumo automatizuotose duomenų apdorojimo sistemose (ADS) klausimai, informacijos saugos dalykas ir objektai, informacijos saugumo ADS uždaviniai. Nagrinėjami tyčinių saugumo grėsmių tipai ir informacijos apsaugos ASOD metodai. Vartotojų autentiškumo patvirtinimo ir jų prieigos ribojimo metodai ir priemonės kompiuterių išteklių, prieigos prie įrangos kontrolė, paprastų ir dinamiškai besikeičiančių slaptažodžių naudojimas, paprastų slaptažodžių schemos modifikavimo metodai, funkciniai metodai.

Pagrindiniai informacijos apsaugos sistemos kūrimo principai.

Kuriant objekto informacijos apsaugos sistemą, reikia vadovautis toliau nurodytus principus:

Informacijos saugumo sistemos tobulinimo ir plėtros proceso tęstinumas, kurį sudaro racionaliausių informacijos apsaugos metodų, metodų ir būdų pagrindimas ir įgyvendinimas, nuolatinis stebėjimas, siaurų ir silpnos vietos ir galimi informacijos nutekėjimo ir neteisėtos prieigos kanalai.

Integruotas viso turimų apsaugos priemonių arsenalo naudojimas visuose gamybos ir informacijos apdorojimo etapuose. Tuo pačiu visos naudojamos priemonės, metodai ir veiklos yra sujungtos į vientisą holistinį mechanizmą – informacijos saugumo sistemą.

Apsaugos mechanizmų veikimo stebėjimas, atnaujinimas ir papildymas priklausomai nuo galimų vidinių ir išorinių grėsmių pasikeitimų.

Tinkamas vartotojų mokymas ir visų nustatytų konfidencialumo taisyklių laikymasis. Neįvykdžius šio reikalavimo jokia informacijos apsaugos sistema negali užtikrinti reikiamo apsaugos lygio.

Svarbiausia saugumo užtikrinimo sąlyga – teisėtumas, pakankamumas, asmens ir įmonės interesų pusiausvyros palaikymas, personalo ir vadovybės abipusė atsakomybė, sąveika su valstybės teisėsaugos institucijomis.

10) Pastato informacijos saugos etapai

Statybos etapai.

1. Išsami informacinės sistemos analizė

įvairių lygių įmonių. Rizikos analizė.

2. Organizacinių, administracinių ir

norminius dokumentus.

3. Mokymai, išplėstinis mokymas ir

specialistų perkvalifikavimas.

4. Kasmetinis informacijos būklės įvertinimas

įmonės saugumas

11) Ugniasienė

Ugniasienės ir antivirusiniai paketai.

Užkarda (kartais vadinama ugniasiene) padeda padaryti jūsų kompiuterį saugesnį. Tai riboja informaciją, kuri patenka į jūsų kompiuterį iš kitų kompiuterių, todėl galite geriau valdyti savo kompiuterio duomenis ir suteikti kompiuteriui apsaugos liniją nuo žmonių ar programų (įskaitant virusus ir kirminus), kurie neteisėtai bando prisijungti prie jūsų kompiuterio. . Galite galvoti apie užkardą kaip apie pasienio postą, kuris tikrina informaciją (dažnai vadinamą srautu), gaunamą iš interneto arba vietinis tinklas. Šio nuskaitymo metu ugniasienė atmeta arba leidžia į kompiuterį patekti informacijai pagal jūsų nustatytus parametrus.

Nuo ko apsaugo ugniasienė?

Ugniasienė GALI:

1. Užblokuokite kompiuterinius virusus ir kirminus, kad jie nepasiektų jūsų kompiuterio.

2. Paraginkite vartotoją pasirinkti blokuoti arba leisti tam tikras prisijungimo užklausas.

3. Vykdyti įrašus (saugos žurnalą) – vartotojo pageidavimu – fiksuoti leidžiamus ir blokuotus bandymus prisijungti prie kompiuterio.

Nuo ko neapsaugo ugniasienė?

Jis negali:

1. Aptikti arba neutralizuoti kompiuterinius virusus ir kirminus, jei jie jau pateko į kompiuterį.

3. Blokuokite šlamštą arba neteisėtus laiškus, kad jie nepatektų į gautuosius.

TECHNINĖ IR PROGRAMINĖS UGDASIENĖS

Aparatinės įrangos ugniasienės– pavieniai įrenginiai, kurie yra labai greiti, patikimi, tačiau labai brangūs, todėl dažniausiai naudojami tik dideliems kompiuterių tinklams apsaugoti. Optimalus namų vartotojams ugniasienės, integruotas į maršrutizatorius, jungiklius, belaidžiai taškai prieiga ir tt Kombinuoti maršrutizatoriai-ugniasienės užtikrina dvigubą apsaugą nuo atakų.

Programinės įrangos ugniasienė yra saugumo programa. Ji veikia panašiai kaip aparatinės įrangos užkarda, tačiau yra patogesnė vartotojui: joje yra daugiau paruoštų nustatymų ir dažnai yra vedlio programos, padedančios konfigūruoti. Su jo pagalba galite leisti arba uždrausti kitoms programoms prieigą prie interneto.

Antivirusinė programa(antivirusinė)- bet kokia programa, skirta aptikti kompiuterinius virusus, taip pat apskritai nepageidaujamas (laikomas kenkėjiškomis) programas ir atkurti tokiomis programomis užkrėstus (pakeistus) failus, taip pat profilaktikai - užkirsti kelią failų užkrėtimui (keitimui) arba Operacinė sistema kenkėjiškas kodas.

12) Skaičiavimo sistemų klasifikacija

Priklausomai nuo abonentinių sistemų teritorinės padėties

Kompiuterių tinklus galima suskirstyti į tris pagrindines klases:

pasauliniai tinklai(WAN – platus tinklas);

regioniniai tinklai (MAN – Metropolitan Area Network);

Vietiniai tinklai (LAN – Local Area Network).

Pagrindinės LAN topologijos

LAN topologija yra tinklo mazgų jungčių geometrinė diagrama.

Kompiuterių tinklų topologijos gali būti labai skirtingos, tačiau

Vietiniams tinklams būdingi tik trys:

žiedas,

Žvaigždės formos.

Bet koks kompiuterių tinklas gali būti laikomas kolekcija

Mazgas- bet kuris tiesiogiai prijungtas įrenginys

tinklo perdavimo terpė.

Žiedo topologija numato tinklo mazgų sujungimą uždara kreive – perdavimo terpės kabeliu. Vieno tinklo mazgo išėjimas yra prijungtas prie kito tinklo įvesties. Informacija perduodama žiedu iš mazgo į mazgą. Kiekvienas tarpinis mazgas tarp siųstuvo ir imtuvo perduoda išsiųstą pranešimą. Priimantis mazgas atpažįsta ir gauna tik jam adresuotus pranešimus.

Žiedo topologija idealiai tinka tinklams, kurie užima palyginti nedidelę erdvę. Nėra centrinio mazgo, kuris padidina tinklo patikimumą. Informacijos perdavimas leidžia naudoti bet kokio tipo kabelį kaip perdavimo terpę.

Nuosekli disciplina aptarnaujant tokio tinklo mazgus mažina jo našumą, o vieno iš mazgų gedimas pažeidžia žiedo vientisumą ir reikalauja imtis specialių priemonių informacijos perdavimo keliui išsaugoti.

Autobusų topologija- vienas iš paprasčiausių. Tai siejama su vartojimu koaksialinis kabelis. Duomenys iš perduodančio tinklo mazgo yra paskirstomi magistrale abiem kryptimis. Tarpiniai mazgai netransliuoja gaunamų pranešimų. Informacija patenka į visus mazgus, tačiau pranešimą gauna tik tas, kuriam ji skirta. Tarnybos disciplina yra lygiagreti.

Tai užtikrina aukštą LAN su magistralės topologija našumą. Tinklas yra lengvai plečiamas ir konfigūruojamas, taip pat pritaikomas įvairioms sistemoms.Šynos topologijos tinklas atsparus galimi gedimai atskiri mazgai.

Autobusų topologijos tinklai šiandien yra labiausiai paplitę. Reikėtų pažymėti, kad jie yra trumpi ir neleidžia naudoti Įvairių tipų kabeliu tame pačiame tinkle.

Žvaigždžių topologija yra pagrįsta centrinio mazgo, prie kurio yra prijungti periferiniai mazgai, koncepcija. Kiekvienas periferinis mazgas turi savo atskirą ryšio liniją su centriniu mazgu. Visa informacija perduodama per centrinį mazgą, kuris perduoda, perjungia ir nukreipia informacijos srautus prisijungęs.

Žvaigždžių topologija labai supaprastina LAN mazgų sąveiką tarpusavyje ir leidžia naudoti paprastesnius tinklo adapteriai. Tuo pačiu metu LAN su žvaigždės topologija našumas visiškai priklauso nuo centrinio mazgo.

Tikruose kompiuterių tinkluose gali būti naudojamos labiau išvystytos topologijos, kurios kai kuriais atvejais atspindi nagrinėjamų topologijų derinius.

Konkrečios topologijos pasirinkimą lemia LAN apimtis, jo mazgų geografinė padėtis ir viso tinklo dydis.

internetas– pasaulinis informacinis kompiuterių tinklas, susidedantis iš daugelio regioninių kompiuterių tinklų ir kompiuterių, kurie tarpusavyje keičiasi informacija viešaisiais telekomunikacijų kanalais (skirtomis telefono analoginėmis ir skaitmeninėmis linijomis, optinio ryšio kanalais ir radijo kanalais, įskaitant palydovinio ryšio linijas).

Teikėjas- tinklo paslaugų teikėjas - asmuo ar organizacija, teikianti prisijungimo prie kompiuterių tinklų paslaugas.

Šeimininkas (iš anglų kalbos šeimininko - „šeimininkas, kuris priima svečius“)- bet koks įrenginys, teikiantis paslaugas „kliento-serverio“ formatu serverio režimu per bet kokias sąsajas ir yra unikaliai apibrėžtas šiose sąsajose. Konkretesniu atveju pagrindinis kompiuteris gali būti suprantamas kaip bet koks kompiuteris, serveris, prijungtas prie vietinio ar pasaulinio tinklo.

Tinklo protokolas- taisyklių ir veiksmų rinkinys (veiksmų seka), leidžiantis prisijungti ir keistis duomenimis tarp dviejų ar daugiau prie tinklo prijungtų įrenginių.

IP adresas (IP adresas, interneto protokolo adreso trumpinys)- unikalus mazgo tinklo adresas kompiuterių tinkle, sukurtame naudojant IP protokolą. Internetui reikalingi visame pasaulyje unikalūs adresai; dirbant vietiniame tinkle, reikalingas tinkle esančio adreso unikalumas. IPv4 protokolo versijoje IP adresas yra 4 baitų ilgio.

Domeno vardas - simbolinis pavadinimas, padedantis rasti interneto serverių adresus.

13) „Peer-to-peer“ tinklo užduotys

Jei yra grėsmė, turi būti apsaugos ir atsakomųjų veiksmų metodai.. Metodai – tai priemonės tikslams pasiekti ir jėgų panaudojimo slaptai informacijai apsaugoti metodų tvarka.

Žmogaus veiksmų pasąmonei principas yra skirtas teigiamiems rezultatams pasiekti. Informacijos saugumo srities profesionalų patirtis gana aiškiai apibrėžė priemonių, jėgų ir technikų visumą, kuria siekiama garantuoti informacijos saugumą ar informacijos patikimumą.

Informacijos patikimumo ar informacijos saugumo užtikrinimas pasiekiamas šiais veiksmais, kuriais siekiama:

• Grėsmių identifikavimas išreiškiamas tinkama galimų ar realių grėsmių priimtinų pasireiškimų analize ir kontrole bei savalaikėmis priemonėmis joms užkirsti kelią;
• grėsmių prevencija pasiekiama užtikrinant informacijos saugumą ar informacijos patikimumą, palankią jų numatymui ir atsiradimui
  aptikti grėsmes atliekant rizikos analizę;
• Grėsmės ar nusikalstamos veiklos pašalinimo priemonių įtraukimas ir nusikalstamos veiklos lokalizavimas;
• grėsmių aptikimas pasiekiamas identifikuojant konkrečias nusikalstamas veikas ir realias grėsmes;
• padarinių dėl grasinimų ir konkrečių nusikalstamų veiksmų pašalinimas. Status quo atkūrimas (1 pav.).

Informacijos apsaugos būdai:

• kliūtis – priemonė fiziškai blokuoti užpuoliko veiksmus, susijusius su svarbia informacija
• prieigos kontrolė – informacijos apsaugos priemonė, reguliuojanti visų informacinių išteklių naudojimą IT. Tokie metodai turėtų apsaugoti nuo informacijos
• Šifravimo algoritmai – metodai realizuojami tiek informacijos saugojimo, tiek apdorojimo metu. Perduodant informaciją, tai pagrindinis ir vienintelis apsaugos būdas
• Reguliavimas – sudaryti sąlygas saugoti ir apdoroti informaciją informacinėje sistemoje, kurioms esant maksimaliai įgyvendinami standartai ir apsaugos normos.
• Prievarta – tai apsaugos priemonė, verčianti vartotojus laikytis darbo informacinėje sistemoje taisyklių
• Paskatinimas – tai apsaugos priemonė, skatinanti informacinės sistemos vartotojus nepažeisti taisyklių dėl etikos ir moralės normų.
• Techninė įranga – įrenginiai, kurie yra įmontuoti į skaičiavimo mechanizmus arba sujungti naudojant sąsajas
• fizinės priemonės – įvairūs inžineriniai statiniai, apsaugantys personalą, informaciją, prietaisus, daiktus nuo įsibrovėlių
• Programinės įrangos įrankiai – programinė įranga, kuri yra įdiegta informacinė sistema apsaugai įgyvendinti
• Organizacinės priemonės – pasiekiamos pagrindu norminius dokumentus, kurios reglamentuoja darbuotojų darbą taip, kad įgyvendintų maksimali apsauga informacinė sistema

Neteisėtų ir galimų veiksmų prevencija gali būti užtikrinama įvairiomis priemonėmis ir priemonėmis – nuo ​​darbuotojų tarpusavio santykių laikymosi organizaciniais metodais iki apsaugos technine, fizine, programine ir metodais (ar arba). Grėsmių prevencija galima ir gavus informaciją apie parengiamuosius veiksmus, gresiančias veikas, planuojamas vagystes ir kitus nusikalstamų veiksmų požymius. Tokiais tikslais būtina dirbti su informatoriais įvairiose veiklos srityse skirtingos užduotys. Kai kurie stebi ir objektyviai vertina esamą situaciją. Kiti vertina darbuotojų santykius komandoje įvairiose įmonės dalyse. Dar kiti dirba tarp nusikalstamų grupuočių ir konkurentų.

1 paveikslas

Siekiant užkirsti kelią grėsmėms, labai svarbų vaidmenį atlieka informacinės ir analitinės saugos tarnybos veikla, pagrįsta ypatingos situacijos analize ir užpuolikų bei konkurentų veikla. Jei turite prieigą prie interneto, saugos tarnyba. Ir taip pat arba.

Apsauga nuo duomenų atskleidimo priklauso nuo informacijos, kuri įmonėje yra komercinė paslaptis, katalogo sukūrimas. Šis informacijos katalogas turi būti perduotas kiekvienam įmonės darbuotojui, raštiškai įpareigojant šį darbuotoją saugoti šią paslaptį. Vienas iš svarbių veiksmų yra kontrolės sistema, užtikrinanti komercinių paslapčių vientisumą ir konfidencialumą.

Konfidencialios informacijos apsauga nuo nuotėkio darbų, remiantis apskaita, galimų nuotėkio kelių konkrečiose situacijose nustatymas ir stebėjimas, taip pat techninių, organizacinių, organizacinių ir techninių priemonių jiems naikinti įgyvendinimas.

Konfidencialios informacijos apsauga nuo neteisėtos prieigos veikia remiantis techninių, organizacinių, organizacinių ir techninių procedūrų įgyvendinimu, siekiant užkirsti kelią neteisėtai prieigai. Taip pat neteisėtos prieigos ir analizės metodų kontrolė.

Praktikoje visose veiklose tam tikru mastu naudojamos techninės technologijos ir jos skirstomos į tris grupes (2 pav.):

• organizacinis (techninių priemonių srityje);
• techninis.
• organizacinis ir techninis;

2 pav

Gynybinių veiksmų nuoroda

Apsaugos darbai, taip pat informacijos saugumo palaikymo būdai ir procedūros klasifikuojami pagal požymius ir apsaugos objektus, kurie skirstomi į šiuos parametrus:

Pagal orientaciją apsaugos metodai gali būti klasifikuojami kaip veiksmai, kuriais siekiama apsaugoti personalą, finansinį ir materialinį turtą bei informaciją kaip fondą.

Pagal metodus - tai aptikimas (pavyzdžiui:) arba prevencija, identifikavimas, slopinimas ir atkūrimas.

Srityse – tai teisiniais metodais, organizaciniais ir inžineriniais veiksmais pagrįsta apsauga.

Kalbant apie aprėptį, apsaugos priemonės gali būti skirtos apsaugoti įmonės perimetrą, atskiras patalpas, pastatus, konkrečias įrangos grupes, technines priemones ir sistemas, atskirus elementus (namus, patalpas, įrenginius), kurie yra pavojingi. jiems taikomų saugos taisyklių.

Informacijos priežastis gali būti žmonės, atliekos, techninė įranga ir kt. Informacijos nešėjai gali būti akustiniai ir elektromagnetiniai laukai arba medžiagos (gaminys, popierius, medžiaga). Paskirstymo terpė yra kieta aplinka arba oro erdvė.

Pažeidėjas gali turėti visas reikalingas priemones elektromagnetinei ir akustinei energijai priimti, stebėti iš oro ir gebėti analizuoti informaciją pateikiančią medžiagą.

Informacijos vaizdavimas realiomis formomis. Kad būtų išvengta neteisėto konfidencialios informacijos gavimo, signalas arba informacijos šaltinis turėtų būti apdorojami naudojant prislopintas arba kitas šifravimo priemones.

Didėjant informacinių tinklų (ar) ir asmeninių kompiuterių naudojimo bei platinimo tempui, didėja įvairių veiksnių, sukeliančių informacijos atskleidimą, nutekėjimą ir neteisėtą prieigą prie jos, vaidmuo. Šitie yra:

• klaidos;
• kenkėjiški ar neleistini darbuotojų ir vartotojų veiksmai;
• aparatinės įrangos numatytieji nustatymai arba programų klaidos;
• stichinės nelaimės, įvairios kilmės ir pavojų nuolaužos;
• vartotojo ir personalo klaidos;
• klaidų adresu .

Šiuo atžvilgiu pagrindiniai informacijos apsaugos tikslai informaciniai tinklai o kompiuteris yra:

• informacijos nutekėjimo ir praradimo, trukdžių ir perėmimo prevencija visais įtakos laipsniais, visiems teritoriškai atskirtiems objektams;
• užtikrinant vartotojo teises ir su tuo susijusias teisės normas PRIEIGOS informacijai ir kitiems ištekliams, apimantiems administracinę informacinės veiklos peržiūrą, įskaitant veiksmus, susijusius su asmenine atsakomybe už veikimo režimų ir naudojimo taisyklių laikymąsi;

3 pav

išvadas

1. Informacijos patikimumo ar saugumo užtikrinimas pasiekiamas organizacinėmis, techninėmis ir organizacinėmis-techninėmis procedūromis, kurių bet kuri užtikrinama unikaliais metodais, priemonėmis ir priemonėmis, turinčiomis atitinkamus parametrus.

2. Įvairūs veiksmai ir sąlygos, skatinančios neteisėtą ar neteisėtą konfidencialių duomenų pasisavinimą, verčia naudoti ne mažiau įvairius metodus, priemones, jėgas informacijos saugumui ar patikimumui užtikrinti.

3. Pagrindiniai informacijos saugumo tikslai – garantuoti informacijos išteklių konfidencialumą, vientisumą ir pakankamumą. Ir taip pat įdiegti į sistemą.

4. Informacijos saugumo užtikrinimo metodai turėtų būti nukreipti į aktyvų veiksmų temperamentą, nukreiptą į ankstyvus būdus užkirsti kelią galimoms grėsmėms komercinėms paslaptims.