Системата за информационна сигурност е съвкупност от организационни и технически мерки, насочени към осигуряване информационна сигурностпредприятия. Основният обект на защита са данните, които се обработват в автоматизирана система за управление (АСУ) и участват в изпълнението на работните процеси.
Системата за информационна сигурност (ISS) може в най-добрия случай да бъде адекватна на потенциални заплахи. Ето защо, когато планирате защита, е необходимо да си представите кой и какъв вид информация може да представлява интерес, каква е нейната стойност и какви финансови жертви може да направи един нападател за нея.
Системата за информационна сигурност трябва да бъде цялостна, тоест да използва не само технически средства за защита, но и административни и правни. ISS трябва да бъде гъвкава и адаптивна към променящите се условия. Основната роля в това играят административни (или организационни) мерки, като редовна смяна на пароли и ключове, строг ред на тяхното съхранение, анализ на регистрационните файлове на събития в системата, правилно разпределение на потребителските права и много други. Лицето, отговорно за всички тези действия, трябва да бъде не само отдаден служител, но и висококвалифициран специалист както в областта на техническите средства за защита, така и в областта на изчислителните инструменти като цяло.
Разграничават се следните основни области на защита и съответните им технически средства:
Защита срещу неоторизиран достъп (UAS) до ресурси на самостоятелни и свързани в мрежа компютри. Тази функция се реализира от софтуер, фърмуер и хардуер, които ще бъдат разгледани по-долу с конкретни примери.
Защита на сървъри и отделни интернет потребители от злонамерени хакери, проникващи отвън. За целта се използват специални защитни стени (firewall), които напоследък са широко разпространени (вж. „PC World”, No 11/2000, стр. 82).
Защитата на секретна, поверителна и лична информация от четене от неоторизирани лица и нейното умишлено изкривяване се извършва най-често с помощта на криптографски инструменти, традиционно разпределени в отделен клас. Това включва също потвърждение на автентичността на съобщенията, използващи електронни цифров подпис(EDS). Използването на криптосистеми с публични ключове и EDS има големи перспективи в банкирането и в областта на електронната търговия. В тази статия този вид защита не се разглежда.
През последните години защитата на софтуера от нелегално копиране с помощта на електронни ключове стана доста широко разпространена през последните години. V този прегледразглежда се и на конкретни примери.
Защита срещу изтичане на информация през странични канали (чрез силови вериги, канала на електромагнитно излъчване от компютър или монитор). Тук се използват такива доказани средства като скрининг на помещението и използване на генератор на шум, както и специална селекция от монитори и компютърни компоненти, които имат най-малката радиационна зона в честотния диапазон, която е най-удобна за натрапниците да улавят и дистанционно декодира сигнала.
Защитата срещу шпионски софтуер, инсталиран директно в компютърните компоненти, както и измерванията на радиационната зона, се извършват от специални организации, които имат необходими лицензикомпетентни органи.
Една от важните цели на атакуващата страна в условията на информационен конфликт е да намали навременността, надеждността и сигурността на обмена на информация в противниковата система до ниво, което води до загуба на контрол.
В работата „Основни принципи за осигуряване на информационна сигурност по време на работа на елементи на компютърни мрежи“ A.A. Гладких и В.Е. Дементиев се дава структурно-схематично описание на информационната конфронтация.
Авторите пишат, че съдържанието на информационната конфронтация включва два компонента, които обхващат целия набор от действия, позволяващи постигане на информационно превъзходство над противника. Първо интегрална часте противодействието на информационното осигуряване на контрола на противника (информационно противодействие).
Той включва мерки за нарушаване на поверителността на оперативната информация, въвеждане на дезинформация, блокиране на получаването на информация, обработката и обмена на информация (включително физическото унищожаване на носители на информация) и блокиране на фактите за въвеждане на дезинформация на всички етапи на информационна поддръжка за контрол на врага. Информационното противодействие се осъществява чрез извършване на комплекс от мерки, включващи техническо разузнаване на комуникационните и контролните системи, прихващане на оперативна информация, предавана по комуникационни канали. Дадена е диаграма (фиг. 1.1.):
Ориз. 1.1. Структурата на информационната конфронтация
Втората част се състои от мерки за защита на информацията, средствата за нейното съхранение, обработка, предаване и автоматизиране на тези процеси от вражески влияния (защита на информация), включително действия за освобождаване на информация (включително защита на носителите на информация от физическо унищожаване), необходими за решаване на контрола и блокиране на дезинформацията, разпространявана и въведена в системата за управление.
Защитата на информацията не изключва мерки за разузнаване, защита срещу залавяне на елементи от информационни системи, както и за електронна защита. Както знаете, атаките могат да се извършват както извън мрежата (мрежови атаки), така и чрез вътрешни канали (физически атаки). Следователно защитата на информацията също е разделена на два вида: външна и вътрешна. Атакуващата страна ще се опита да използва и двата вида атаки, за да постигне целите си.
Сценарият на действията му е да използва физически атаки, за да изземе някаква информация за мрежата, а след това да използва мрежови атаки за извършване на неоторизиран достъп (UAS) до компонентите на цялата мрежа на системата. Според статистиката делът на физическите атаки е 70% от общ бройизвършвани атаки. Фигура 1.2 дава оценка на UA, извършени по време на физически атаки върху компютърни мрежи, като за по-голяма яснота са дадени сравнителни данни за различни категории нарушения по десетобална скала. Прави впечатление, че преобладава 5-та позиция във всички категории.
Най-честите нарушения в мрежата са: събиране на имена и пароли, отгатване на пароли, извършване на действия, водещи до препълване на буферни устройства и др.
Ориз. 1.2. Оценка на UA в хода на физически атаки върху компютърни мрежи по десетобална система
Всъщност, в случай на получаване на достъп до офис оборудване, настолни компютри на служители, компютърни системи и мрежови устройства, атакуващата страна драстично увеличава шансовете за успех, за да проучи уязвимостите в системата за защита и да проведе ефективна атака.
В книгата на А.А. Гладких и В.Е. Дементиев предоставя математически метод за изчисляване на защитния фактор:
Търсенето на уязвимости в информационния и сетълмент комплекс (CIS) отнема определен интервал от време, докато атаката се извършва през този интервал. Тук >> , докато е доста малък и > 0. Нека го дефинираме като защитен фактор. Ако CFM се счита за неуязвим, тогава атакуващата страна използва априорна информация, за да преодолее защитата и да извърши атака срещу системата. Ще приемем, че системата за защита е пасивна при, при, ресурсът на системата се увеличава с коефициент.
Стойностите на параметрите се предоставят поради навременни промени в конфигурацията или подготовката на защитата вместо реалните параметри на CFM, фалшиви, измамни. Препоръчително е подготовката на такива параметри да се отдели като независима зона на защита, без да се свързва с редица основни задачи, за да се гарантира безопасността на CFM.
Заплахи за информационната сигурност в компютърните системи и тяхната класификация.
Заплаха за информационната сигурност е потенциално събитие, процес или явление, което може да доведе до унищожаване, загуба на целостта, поверителността или наличността на информация.
Всичко е готово потенциални заплахиинформационната сигурност в автоматизираните информационни системи (AIS) или в компютърните системи (CS) може да се раздели на два класа: произволни заплахи и умишлени заплахи. Заплахите, които не са свързани с умишлените действия на натрапниците и се реализират в произволни моменти, се наричат случайни или неволни.
Случайните заплахи включват: природни бедствияи аварии, повреди и откази на технически средства, грешки при разработването на AIS или CS, алгоритмични и софтуерни грешки, потребителски грешки и обслужващ персонал.
Изпълнението на заплахи от този клас води до най-голяма загуба на информация (според статистиката - до 80% от щетите, причинени на информационните ресурси на CS от всякакви заплахи). В този случай може да възникне унищожаване, нарушаване на целостта и наличността на информация. Поверителността на информацията се нарушава по-рядко, но това създава предпоставки за злонамерено въздействие върху информацията. Според същата статистика до 65% от нарушенията на информационната сигурност възникват само в резултат на грешки на потребителя и обслужващия персонал.
Трябва да се отбележи, че механизмът за изпълнение на случайни заплахи е проучен доста добре и е натрупан значителен опит в противодействието на тези заплахи. Съвременната технология за разработване на хардуер и софтуер, ефективна система за работа на автоматизирани информационни системи, включително задължително дублиране на информация, може значително да намали загубите от изпълнението на заплахи от този клас.
Заплахите, които са свързани със злонамерените действия на хората и тези действия не са просто произволни по природа, а като правило са непредвидими, се наричат умишлени.
Умишлените заплахи включват:
Традиционен или универсален шпионаж и саботаж,
Неоторизиран достъп до информация,
Електромагнитно излъчване и смущения,
Неразрешена модификация на конструкции,
Зловредни програми.
Методите и средствата за шпионаж и саботаж все още са актуални като източници на нежелано въздействие върху информационните ресурси. Методите на шпионаж и саботаж включват: подслушване, визуално наблюдение, кражба на документи и машинна средаинформация, кражба на програми и атрибути на системи за защита, подкупи и изнудване на служители, събиране и анализ на носители за съхранение на отпадъци от машини, палежи, експлозии, въоръжени нападения от саботажни или терористични групи.
Неоторизиран достъп до информация е нарушение на правилата за контрол на достъпа с помощта на стандартно компютърно оборудване или автоматизирани системи.
Възможен е неоторизиран достъп:
При липса на система за контрол на достъпа;
В случай на повреда или повреда в компютърни системи;
В случай на грешни действия на потребители или персонал по поддръжка на компютърни системи;
При грешки в системата за разпределение на достъпа;
При фалшифициране на пълномощията.
Процесът на обработка и предаване на информация чрез техническите средства на компютърните системи е придружен от електромагнитно излъчване в околното пространство и индукция на електрически сигнали в комуникационни линии, сигнализация, заземяване и други проводници. Всичко това се наричаше: „Лъжливо електромагнитно излъчване и смущения“ (PEMIN). Електромагнитното излъчване и пикапите могат да се използват от нарушители както за получаване на информация, така и за нейното унищожаване.
Голяма заплаха за сигурността на информацията в компютърните системи е неоторизирана модификация на алгоритмичната, софтуерната и техническата структура на системата. Един от основните източници на заплахи за информационната сигурност в CS е използването на специални програми, наречен "програми за разрушаване".
В зависимост от механизма на действие саботьорите се разделят на четири класа:
- "логически бомби";
- "червеи";
- "Троянски коне";
- "компютърни вируси".
Логически бомби- това са програми или техни части, които са постоянно разположени в компютър или изчислителна система (CS) и се изпълняват само ако определени условия. Примери за такива условия могат да бъдат: настъпването на дадена дата, преминаването на COP към определен режим на работа, възникването на определени събития определен брой пъти и други подобни.
Червеи- това са програми, които се изпълняват при всяко зареждане на системата, имат възможност да се движат в изчислителни системи (CS) или в мрежата и да възпроизвеждат копия. Лавинообразното възпроизвеждане на програми води до претоварване на комуникационните канали, блокиране на паметта и системата.
Троянски конеса програми, получени чрез изрично модифициране или добавяне на команди към потребителски програми. Когато впоследствие се изпълняват потребителски програми, заедно с посочените функции се изпълняват неоторизирани, модифицирани или нови функции.
Компютърни вируси- това са малки програми, които след като бъдат въведени в компютъра, се разпространяват самостоятелно чрез създаване на свои копия и при определени условия оказват отрицателно въздействие върху CS.
Всички компютърни вируси се класифицират според следните критерии:
- по местообитание;
- според метода на заразяване;
- според степента на опасност от вредни въздействия;
- според алгоритъма на работа.
По местообитание компютърните вируси се разделят на:
- мрежа;
- файл;
- обувка;
- комбинирани.
Среда на живот мрежавирусите са елементи на компютърните мрежи. Файлвирусите се намират в изпълними файлове. Зарежданевирусите се намират в секторите за зареждане на външни устройства за съхранение. Комбиниранвирусите се хостват в няколко местообитания. Например вируси с файл за зареждане.
Компютърните вируси се делят на:
- резидент;
- нерезидент.
Резидентните вируси след тяхното активиране напълно или частично се преместват от местообитанието си в RAM на компютъра. Тези вируси, използвайки по правило привилегировани режими на работа, които са разрешени само от операционната система, заразяват околната среда и при определени условия изпълняват функция за разрушаване.
Нерезидентните вируси влизат в RAM паметта на компютъра само за времето на тяхната дейност, по време на която изпълняват саботажни и инфектиращи функции. След това те напълно напускат работната памет, оставайки в местообитанието.
Според степента на опасност за информационните ресурси на потребителя вирусите се разделят на:
- безвреден;
- опасен;
- много опасен.
Въпреки това, такива вируси все още причиняват известна вреда:
- консумират ресурси на компютърната система;
- може да съдържа грешки, които причиняват опасни последици за информационните ресурси;
- вирусите, създадени по-рано, могат да доведат до нарушения на редовния алгоритъм на системата по време на надстройката операционна системаили хардуер.
Опасните вируси причиняват значително намаляване на ефективността на компютърната система, но не водят до нарушаване на целостта и поверителността на информацията, съхранявана в устройствата за съхранение.
Много опасните вируси имат следните вредни ефекти:
- причиняват нарушаване на поверителността на информацията;
- унищожаване на информация;
- причиняват необратими промени (включително криптиране) на информацията;
- блокиране на достъп до информация;
- водят до хардуерен отказ;
- вредят на здравето на потребителите.
Според алгоритъма на функциониране вирусите се делят на:
- не променяйте местообитанията по време на разпространението си;
- промяна на местообитанието, докато се разпространяват.
Организацията за информационна сигурност трябва да носи сложен характери да се основава на задълбочен анализ на възможните негативни последици. Важно е да не пропускате нито един съществен аспект. Анализът на негативните последици предполага задължително идентифициране на възможни източници на заплахи, фактори, допринасящи за тяхното проявление и в резултат на това идентифициране на действителни заплахи за информационната сигурност. В хода на такъв анализ е необходимо да се уверите, че всички възможни източници на заплахи са идентифицирани, идентифицирани и сравнени с източниците на заплахи, всички възможни фактори (уязвимости), присъщи на обекта на защита, всички идентифицирани източници и фактори се сравняват със заплахите за информационната сигурност.
Банкови безкасови плащания. В тази част ще се спрем на формирането на изискванията към създадената система за информационна сигурност (ИС).
- ролята на сигурността в живота на една търговска организация;
- мястото на службата за информационна сигурност в структурата на управлението на организацията;
- практически аспекти на сигурността;
- прилагане на теорията за управление на риска в информационната сигурност;
- основни заплахи и потенциални щети от тяхното изпълнение;
- съединение задължителни изискванияпредставени в системата IS за банкови безналични плащания.
Ролята на сигурността в живота на една търговска организация
В съвременната руска икономическа среда има много различни видовеорганизации. Не може да бъде държавни предприятия(FGUP, MUP), публични фондове и накрая, обикновени търговски организации. Основната разлика между последните и всички останали е, че основната им цел е максимизиране на печалбите и всичко, което правят, е насочено именно към това.
Печелете търговска организацияможе да бъде по различни начини, но печалбата винаги се дефинира по един и същи начин - това е приходи минус разходи. В същото време, ако охраната не е основна дейност на фирмата, то тя не генерира приходи, а ако е така, то за да има смисъл тази дейност, тя трябва да намали разходите.
Икономическият ефект от гарантирането на сигурността на бизнеса е да се сведат до минимум или напълно да се премахнат загубите от заплахи. Но също така трябва да се има предвид, че прилагането на защитни мерки също струва пари и следователно истинската печалба от сигурността ще бъде равна на сумата, спестена от изпълнението на заплахи за сигурността, намалена с разходите за защитни мерки.
Веднъж се проведе разговор между собственика на търговска банка и ръководителя на службата за сигурност на неговата организация по темата за икономическия ефект от осигуряването на сигурност. Същността на този разговор най-точно отразява ролята и мястото на сигурността в живота на една организация:
Сигурността не трябва да пречи на бизнеса.
- Но трябва да плащате за сигурността и трябва да плащате за нейното отсъствие.
Идеалната система за сигурност е златната среда между неутрализираните заплахи, изразходваните за нея ресурси и рентабилността на бизнеса.
Мястото на службата за информационна сигурност в структурата на управлението на организацията
Структурното звено, отговорно за осигуряване на информационната сигурност, може да се нарече различно. Това може да бъде отдел, отдел или дори отдел за информационна сигурност. Освен това, за обединяване, тази структурна единица ще се нарича просто служба за информационна сигурност (ISS).
Причините за създаването на SIB могат да бъдат различни. Открояваме две основни:
- Страх.
Ръководството на компанията е наясно, че компютърните атаки или изтичането на информация могат да доведат до катастрофални последици и полага усилия да ги неутрализира. - Осигуряване на законово съответствие.
Действащ правни изискванияналагат на компанията задължения за формиране на НИС, а висшето ръководство полага усилия за тяхното изпълнение.
От гледна точка на подчинението на ШИС има само едно ограничение, предписано в горните разпоредби на Централната банка на Руската федерация - „Службата за информационна сигурност и услугата за информатизация (автоматизация) не трябва да имат общ куратор“ , в противен случай свободата на избор остава за организацията. Помислете за типичните опции.
Маса 1.
| Подчинение | Особености |
|---|---|
| NIB като част от ИТ | 1. Организацията на защита е възможна само срещу външен нарушител. Основният вероятен вътрешен нападател е ИТ служител. Невъзможно е да се бориш с него като част от ИТ. 2. Нарушаване на изискванията на Банката на Русия. 3. Директен диалог с ИТ, просто внедряване на системи за информационна сигурност |
| SIB като част от службата за сигурност | 1. Защита срещу действия както на вътрешни, така и на външни нарушители. 2. SB - единна точка за взаимодействие за висшето ръководство по всякакви въпроси на сигурността. 3. Сложността на взаимодействието с ИТ, тъй като комуникацията се осъществява на ниво ръководители на ИТ и Съвета за сигурност, като последният като правило има минимални познания в ИТ. |
| НИБ се отчита пред председателя на УС | 1. NIB има максимални мощностии собствен бюджет. 2. Създава се допълнителна точка за контрол и взаимодействие за председателя на УС, което изисква определено внимание. 3. Възможни конфликти между СС и НИС по отношение на зоните на отговорност при разследване на инциденти. 4. Отделна ШИС може „политически” да балансира правомощията на Съвета за сигурност. |
При взаимодействие с други структурни подразделения и висшето ръководство на банката, НИС на всяка организация има такъв често срещан проблем- доказателства за необходимостта от съществуването му (финансиране).
Проблемът е, че размерът на спестяванията от неутрализирани заплахи за информационната сигурност не може да бъде точно определен. Ако заплахата не се реализира, значи няма вреда от нея и тъй като няма проблеми, няма нужда да се решават.
За да разреши този проблем, NIB може да действа по два начина:
- Покажете икономическа значимост
За да направи това, той трябва да води регистър на инцидентите и да оцени потенциалните щети от тяхното прилагане. Общата сума на потенциалните щети може да се счита за спестени пари. За да се премахнат разногласията относно размера на оценените щети, се препоръчва предварително да се разработи и утвърди методика за нейната оценка. - Справете се с вътрешния PR
Обикновените служители на организацията обикновено не знаят какво прави SIS и смятат служителите си за безделници и шарлатани, които пречат на работата, което води до ненужни конфликти. Ето защо ISS трябва периодично да съобщава резултатите от своята дейност на колегите, да говори за текущи заплахи от IS, да провежда обучение и да повишава тяхната информираност. Всеки служител на компанията трябва да почувства, че ако има проблем, свързан с IS, може да се свърже с ISS и там ще му помогнат.
Практически аспекти на сигурността
Нека подчертаем практическите аспекти на осигуряването на сигурност, които трябва да бъдат съобщени на висшето ръководство и други. структурни подразделения, а също така взети предвид при изграждането на система за информационна сигурност:
- Осигуряването на сигурност е непрекъснат, безкраен процес. Степента на защита, постигната с него, ще варира във времето в зависимост от влияещите вредни фактори и усилията, насочени към тяхното неутрализиране.
- Сигурност не може да бъде осигурена след факта, тоест в момента, когато заплахата вече е реализирана. За да се неутрализира заплахата, процесът на сигурност трябва да започне, преди да бъде опитан.
- Повечето от заплахите са от антропогенен характер, тоест организациите са застрашени по един или друг начин от хора. Както казват компютърните криминалисти: "Не програмите крадат, хората крадат."
- Заплахите трябва да бъдат неутрализирани от хора, чиито осигурена е сигурност,
било то собственици на бизнес или клиенти. - Сигурността е производно на корпоративната култура. Дисциплината, необходима за прилагане на предпазни мерки, не може да бъде по-висока от общата дисциплина в работата на организацията.
Управление на риска
Информационната сигурност е само една от областите на сигурност ( икономическа сигурност, физическа охрана, Пожарна безопасност, …). В допълнение към заплахите за информационната сигурност, всяка организация е изложена на други също толкова важни заплахи, например заплахи от кражба, пожари, измами от недобросъвестни клиенти, заплахи за нарушаване на задължителните изисквания (съответствие) и др.
В крайна сметка за организацията няма значение от каква конкретна заплаха ще претърпи загуби, независимо дали става дума за кражба, пожар или хакване на компютър. Размерът на загубите (щетите) е важен.
В допълнение към размера на щетите, важен фактор при оценката на заплахите е вероятността за внедряване, която зависи от характеристиките на бизнес процесите на организацията, нейната инфраструктура, външни злонамерени фактори и предприетите контрамерки.
Характеристика, която отчита щетите и вероятността за реализиране на заплаха, се нарича риск.
Забележка. научно определениерискът може да бъде получен в GOST R 51897-2011
Рискът може да бъде измерен както количествено, например чрез умножаване на щетите по вероятност, така и качествено. Качествена оценка се извършва, когато нито щетите, нито вероятността са количествено определени. Рискът в този случай може да бъде изразен като набор от стойности, например щетата е „средна“, вероятността е „висока“.
Оценката на всички заплахи като рискове позволява на организацията ефективно да използва ресурсите си, за да неутрализира точно онези заплахи, които са най-значими и опасни за нея.
Управлението на риска е основният подход за изграждане на цялостна, рентабилна система за сигурност за една организация. Освен това, почти всички банкови регламентиизградена на базата на препоръките за управление на риска на Базелския комитет за банков надзор.
Основни заплахи и оценка на потенциалните щети от тяхното изпълнение
Нека да подчертаем основните заплахи, присъщи на дейностите по извършване на банкови безналични плащания, и да определим максимално възможните щети от тяхното изпълнение.
Таблица 2.
Тук анализираната дейност включва набор от бизнес процеси:
- осъществяване на кореспондентски отношения с банки партньори и Централната банка на Руската федерация;
- извършване на разплащания с клиенти.
Задължителни изисквания към системата IS за безналични плащания
При разглеждането на основните заплахи, ние оценихме щетите им, но не оценихме вероятността от тяхното изпълнение. Факт е, че ако максималната възможна щета е една и съща за всички банки, тогава вероятността за изпълнение на заплахи ще бъде различна от банка до банка и ще зависи от прилаганите защитни мерки.
Една от основните мерки за намаляване на вероятността от заплахи за информационната сигурност ще бъдат:
- внедряване на най-добри практики за управление на ИТ и инфраструктура;
- създаване на интегрирана система за информационна сигурност.
Основният нюанс, който трябва да се вземе предвид по въпросите на информационната сигурност, е това този виддейностите са доста строго регулирани от държавата и Централната банка. Колкото и да се оценяват рисковете, колкото и малки да са ресурсите, с които разполага банката, нейната защита трябва да отговаря на установените изисквания. В противен случай няма да може да работи.
Нека разгледаме изискванията за организиране на информационната сигурност, които се налагат на бизнес процеса на кореспондентските отношения с Банката на Русия.
Таблица 3
Документи, установяващи изисквания |
Наказание за неспазване |
|---|---|
| Защита на личната информация. Причина - платежните документи съдържат лични данни (пълно име на платеца/получателя, неговия адрес, данни от документа за самоличност) |
|
| Федерален закон "За личните данни" от 27 юли 2006 г. № 152-FZ |
, - до 75 хиляди рубли. глоба., - до 2 години затвор |
| Постановление на правителството на Руската федерация от 1 ноември 2012 г. № 1119 „За утвърждаване на изискванията за защита на личните данни по време на тяхното обработване в информационните системи за лични данни“ | |
| Заповед на FSTEC на Русия от 18 февруари 2013 г. № 21 „За одобряване на състава и съдържанието на организационните и технически мерки за гарантиране на сигурността на личните данни, когато те се обработват в информационни системи за лични данни“ (регистриран в Министерството на Правосъдието на Русия от 14 май 2013 г. N 28375) | |
| Заповед на Федералната служба за сигурност на Русия от 10 юли 2014 г. № 378 „За одобряване на състава и съдържанието на организационни и технически мерки за гарантиране на сигурността на личните данни, когато те се обработват в информационни системи за лични данни с помощта на инструменти за криптографска защита на информацията необходими за изпълнение установено от правителството Руска федерацияизисквания за защита на личните данни за всяко от нивата на сигурност "(Регистриран в Министерството на правосъдието на Русия на 18 август 2014 г. N 33620) | |
| Наредба на Банката на Русия № 3889-U от 10 декември 2015 г. „За определяне на заплахи за сигурността на личните данни, свързани с обработката на лични данни в информационните системи за лични данни“ | |
| Осигуряване на защита на информацията в националната платежна система. Базис - кредитна институция, която извършва преводи Пари, е част от националната платежна система. |
|
| Федерален закон "За националната платежна система" от 27 юни 2011 г. № 161-FZ | Клауза 6 от чл. 20 от Федералния закон от 2 декември 1990 г. № 395-1 „За банките и банковата дейност“ - отнемане на лиценз |
| Постановление на правителството на Руската федерация от 13 юни 2012 г. № 584 „За одобряване на Правилника за защита на информацията в платежната система“ | |
| Наредба на Банката на Русия № 382-P от 9 юни 2012 г. „За изискванията за осигуряване на защита на информацията при извършване на парични преводи и за реда за упражняване на контрол от Банката на Русия за спазването на изискванията за осигуряване на защита на информацията при извършване на парични преводи” | |
| Наредба на Банката на Русия от 24 август 2016 г. № 552-P „За изискванията за защита на информацията в платежната система на Банката на Русия“ | |
| Оперативна документация за CIPF SKAD Signature | |
| Осигуряване на сигурността на критичната информационна инфраструктура на Руската федерация. Основанието е банката по силата на клауза 8 на чл. 2 FZ от 26 юли 2017 г. № 187-FZ е обект на критична информационна инфраструктура |
|
| Федерален закон № 187-FZ от 26 юли 2017 г. „За сигурността на критичната информационна инфраструктура на Руската федерация“ | – до 8 години затвор |
| Постановление на правителството на Руската федерация от 8 февруари 2018 г. N 127 „За одобряване на Правилата за категоризиране на обекти от критична информационна инфраструктура на Руската федерация, както и списък с показатели на критерии за значимостта на обекти от критична информационна инфраструктура на Руската федерация и техните стойности“ |
|
| Заповед на FSTEC на Русия от 21 декември 2017 г. N 235 „За утвърждаване на изискванията за създаване на системи за сигурност на значими обекти от критична информационна инфраструктура на Руската федерация и осигуряване на тяхното функциониране“ (регистриран в Министерството на правосъдието на Русия на 22 февруари 2018 г. N 50118) | |
| Заповед на FSTEC на Русия от 6 декември 2017 г. N 227 „За одобряване на Процедурата за поддържане на регистър на значими обекти от критична информационна инфраструктура на Руската федерация“ (регистрирана в Министерството на правосъдието на Русия на 8 февруари 2018 г. N 49966) | |
| Указ на президента на Руската федерация от 22 декември 2017 г. N 620 „За подобряване на държавната система за откриване, предотвратяване и премахване на последствията от компютърни атаки върху информационни ресурси на Руската федерация“ | |
| Изисквания за защита на информацията, установени от споразумението за обмен на електронни съобщения при прехвърляне на средства в платежната система на Банката на Русия. фондация - това споразумениезаключи всичко кредитни организацииза електронен обмен на платежни документи с Банката на Русия. |
|
| Стандартно споразумение за обмен на ES с приложения. Документация за AWS KBR, UTA (изискванията за тяхното използване са отразени в клауза 1. Приложение 3 към Споразумението) |
клауза 9.5.4 от Споразумението - едностранно прекратяванеспоразумения, инициирани от Банката на Русия. |
Ние също така означаваме Допълнителни изискваниякъм организацията на информационната сигурност. Тези изисквания ще се прилагат само за някои банки и само в някои случаи:
Таблица 4 
Както виждаме, изискванията AVZ.1и AVZ.2казват, че антивирусната защита трябва да бъде. Тези изисквания не регламентират как конкретно да го конфигурирате, на кои мрежови възли да го инсталирате (Писмо на Банката на Русия от 24 март 2014 г. N 49-T препоръчва банките да имат антивирусни програми от различни производители на своите работни станции, сървъри и на шлюзове).
Подобна е ситуацията и при сегментирането на компютърна мрежа - изискването ЗИС.17. Документът само предписва необходимостта от използване на тази практика за защита, но не казва как организацията трябва да го направи.
Как инструментите за информационна сигурност са специално конфигурирани и механизмите за сигурност са внедрени, се научава от частно лице техническо заданиевърху системата за информационна сигурност, формирана въз основа на резултатите от моделирането на заплахите за информационната сигурност.
По този начин интегрираната система за информационна сигурност трябва да представлява набор от защитни бизнес процеси (в английската литература - контроли), изградени, като се вземат предвид изпълнението на задължителните изисквания, текущите заплахи и практиките за информационна сигурност.
Тогава всички опасности са реални, когато засягат конкретни обекти (обекти на защита). Обектите на защита, както и източниците на опасност са разнообразни. Всеки компонент на нашата околна среда може да бъде защитен от опасности. Основното желано състояние на защитените обекти е сигурно.
Безопасност - състоянието на защитения обект, при което въздействието върху него на всички потоци материя, енергия и информация не надвишава максимално допустимите стойности. Говорейки за прилагането на състоянието на сигурността, е необходимо едновременно да се разгледа обектът на защита и съвкупността от опасности, действащи върху него. Днес реално съществуват следните системи за сигурност:
система за лична и колективна сигурност на човек в процеса на неговия живот;
система за сигурност заобикаляща среда(биосфера);
система за държавна сигурност;
глобална система за сигурност.
Системите за сигурност на човека имат исторически приоритет, който на всички етапи от своето развитие непрекъснато се е стремял да осигури комфорт, лична безопасност и опазване на здравето си.
1.4. Принципи и методи за сигурност
Принцип - това е идея, мисъл, основна позиция. Метод - това е начин, начин за постигане на целта, основан на познаването на най-общите закони. Принципите и методите за осигуряване на сигурността се отнасят до частни, специални методи, за разлика от общи методиприсъщи на диалектиката и логиката.
Принципите на сигурност могат да бъдат разделени на ръководни, технически, организационни и управленски.
Ориентиращите включват: принцип на операторска дейност, хуманизиране на дейността, унищожаване, подмяна на оператора, класификация, отстраняване на опасността, последователност, намаляване на риска.
Техническите включват: принцип на блокиране, евакуация, запечатване, дистанционна защита, компресия, здравина, слабо звено, флегматизация, екраниране.
Организационните включват: принцип на защита от време, информация, несъвместимост, нормиране, подбор на персонал, последователност, ергономичност.
Управлението включва: принципа на адекватност на контрол, обратна връзка, отговорност, планиране, стимулиране, управление, ефективност.
Нека обясним някои принципи с примери за тяхното прилагане.
Принципът на нормирането е да се установят такива параметри, чието спазване гарантира защитата на човек от съответната опасност. Например ПДК (максимално допустими концентрации), МДК (максимално допустими емисии), ПДК (максимално допустими нива) и т.н.
Принципът на слабата връзка е, че за да се гарантира безопасността, в разглежданата система (обект) се въвежда елемент, който е проектиран по такъв начин, че възприема или реагира на промяна в съответния параметър, предотвратявайки опасно явление. Пример за прилагането на този принцип са спуканите дискове, предпазители и други елементи.
Принципът на информацията е предаването и усвояването на информация от персонала, чието изпълнение осигурява подходящо ниво на сигурност. Примери за изпълнение: обучение, инструкции, предупредителни етикети и др.
Принципът на класификация (категоризация) се състои в разделяне на обекти на класове и категории според признаците, свързани с опасностите. Например: санитарно-защитни зони, категории на производство за опасност от експлозия и пожар и др.
За да разгледаме методите за сигурност, въвеждаме следните дефиниции.
хомосфера - пространство ( работна зона), където лицето е в процес на въпросната дейност.
Ноксосфера - пространство, в което постоянно съществуват или периодично възникват опасности.
Комбинацията от хомосфера и ноксосфера е неприемлива от гледна точка на сигурността.
Сигурността се осигурява чрез три основни метода: А Б В
Метод Асе състои в пространственото и (или) временното разделяне на хомосферата и ноксосферата. Това се постига чрез дистанционно управление, автоматизация, роботизация и др.
Метод Бсе състои в нормализиране на ноксосферата чрез елиминиране на опасностите. Това е набор от мерки, които предпазват човек от шум, газ, прах и други средства за колективна защита.
Метод Бсъдържа набор от техники и средства, насочени към адаптиране на човек към подходящата среда и повишаване на неговата сигурност. Този методреализира възможностите за професионален подбор, обучение, психологическо въздействие, лични предпазни средства.
В реални условия, като правило, тези методи се използват заедно или в различни комбинации.
Съвременните предприятия се характеризират с бързо развитие на тяхната информационна среда. Постоянното натрупване на информация изисква нейната правилна обработка и съхранение.
В резултат на работата с данни важна задача е организацията на защита на информацията в предприятието.
Ако работата в тази посока не е правилно организирана, тогава е възможен провал в съвременната икономическа среда, която не винаги се характеризира с добронамерена конкуренция.
Често ситуацията е различна, конкурентните фирми се опитват да получат информация за своя конкурент по правилен и неправилен начин, за да го изпреварят в развитието и напредването на пазара.
Днес защитата на информацията в едно предприятие е набор от мерки, които са насочени към поддържане на целостта, защита от кражба и подмяна на следните данни:
- база данни за клиенти и партньори;
- електронен документооборот на фирмата;
- технически нюанси на предприятието;
- търговски тайни.
За да управлява успешно огромните потоци от изброени данни, предприятието трябва да има система за управление на информационната сигурност.
Начини за защита на информацията
Той трябва непрекъснато да работи за решаване на проблема със защитата на важна информация и да се отличава с добра защита срещу външни заплахи и атаки.
Оценка на риска
Системата за информационна сигурност в предприятието трябва да се развива, като се вземат предвид рисковете, които са най-често срещани в информационната среда на съвременните компании.
Основните включват:
- се опитва да получи достъп до данни, които не са достъпни за неоторизирани потребители информационна системапредприятия;
- неразрешена промяна и подмяна на информация, което може да доведе до загуба на репутация и имидж от предприятията;
- опити за достъп и кражба на поверителна, секретна и техническа информация.
Въз основа на изброените рискове следва да се изберат методи и алгоритми за защита на важна за предприятието информация.
За да се реши положително този проблем, в предприятието трябва да се разработи и внедри информационна политика, според която се класифицират данни, които могат да имат отворен или само затворен достъп.
Възможни източници на проблеми
За да се изберат правилните методи за защита на информацията в предприятието и да се използват ефективно, трябва да се определят източниците на възможни заплахи от загуба на данни.
Основните включват:
- повреди в хардуерната система на предприятието, която осигурява обработка и съхранение на данни;
- измама за получаване на достъп до информация;
- невярно представяне на данни с цел получаване на неправомерна облага или вреди на компанията;
- фалшифициране на данни или тяхната кражба с помощта на различен хардуер и софтуер;
- кражба на информация с помощта на устройства, които използват за тази цел електромагнитно излъчване, акустични сигнали, визуално наблюдение.
Изброените заплахи могат да идват от трети страни, които се нуждаят от определени фирмени данни за собствени интереси, конкурентни фирми или служители на организации, които небрежно извършват своите функционални отговорности, или да решите да възложите чувствителни данни на конкуренти.
Ако заплахата идва от служители, тогава е вероятно те да се опитат дискретно да копират информация, използвайки своите правомощия и да я прехвърлят на трети страни.
Когато данните се опитват да получат трети лица, предимно с помощта на различни софтуерни инструменти.
Те са разделени на:
- спам със злонамерени връзки;
- вирусни програми;
- Троянски и шпионски плъгини;
- Отметки за игри с модифициран код за вирусен софтуер;
- фалшив софтуер с модифицирани функции.
Предвид изброените заплахи, защитата на поверителна информация в предприятието трябва да бъде изградена както на хардуерно, така и на софтуерно ниво. Само в комплекс можете успешно да защитите данните си от кибер-нарушители.
Примери за неправомерно поведение
Като пример за незаконни действия, насочени към извличане на облаги от фалшифициране, замяна, кражба на информация, може да се посочи следното.
- Нападателят получава достъп до банкови клиентски данни. Имайки информация за физическо лице, номера на неговите сметки, платежни карти, той може да фалшифицира документи или банкови картии неправомерно да тегли пари от сметката на друго лице.
- Ако киберпрестъпник получи достъп до електронни копия на документи, той може да фалшифицира оригиналните документи и да издаде заем на друго лице.
- По време на плащане в онлайн магазин нападателят, използвайки специални плъгини, може да промени данните за магазина, като прехвърли парите на купувача в неговата сметка, а не в магазина.
- При предаване на важна техническа информация по комуникационни канали, кибершпионите, използвайки различни средства за проследяване и четене, могат да сканират канала, през който се предава информационен трафик, и да получат достъп до техническите тайни на предприятието.
Процесът на организиране на информационната сигурност в предприятието
Основните етапи на комплексна защита на информацията в предприятието включват:
- образуване информационна политикапредприятия, фирми;
- създаване на вътрешно правно поле за използване на информация;
- формирането на единици защита на информациятаи сигурност.
Защитната дейност на дружеството следва да се осъществява в следните области:
- защита на данните, които се обработват и съхраняват в архиви;
- изключване на възможността за неоторизирано проникване в информационната среда на компанията;
- правилна работа с персонала за предотвратяване на кражба на важни данни от служители на компанията.
Защитни мерки
За да подобрят информационната сигурност, предприятията активно използват следните мерки за сигурност.
Формиране на система за достъп до данни в рамките на корпоративната мрежа
Предприятията използват различни автоматизирани системи за контрол на достъпа до данни според приоритетите и статусите на служителите на компанията.
Това опростява процеса на проследяване на движението на потоците от данни и идентифициране на течове на информация.
Антивирусна защита
Използване на ефективна антивирусна програма софтуеризключва възможността за кражба на данни с помощта на специален софтуер.
Може да влезе в информационната среда на компанията чрез Интернет.
Често се практикува паралелно използване на два софтуерни продукта, които се различават по различни алгоритми за откриване на шпионски и вирусен софтуер.
Системи за откриване и защита срещу кибератаки
Системи от този вид активно се въвеждат в информационните системи на предприятията, тъй като те позволяват не само да се защити от разпространението на програми със злонамерен код, но и да блокират опитите за спиране на информационната система на предприятието.
Обучение на персонала по мрежова сигурност
Много компании провеждат семинари и конференции за своите служители, където те обучават безопасно поведениев локална и глобална мрежова среда, както и безопасно боравенес информация по време на изпълнение на ежедневните им функционални задължения.
Това значително намалява риска информацията да бъде загубена или прехвърлена на трети лица поради небрежност на служителите.
Заключение
Интегрираната система за информационна сигурност в предприятието е сложна задача, която е доста трудна за решаване от едно предприятие самостоятелно.
За това има специализирани организации, което ще помогне за формиране на системи за информационна сигурност за всяко предприятие.
Квалифицирани специалисти умело ще създадат защитна структура, концепцията за нейното изпълнение в конкретна компания, а също така ще изберат подходящия хардуер и софтуер за решаване на задачата.
Те също така обучават служители на компанията, които след това ще работят с внедрената система за сигурност и ще поддържат нейната функционалност на подходящо ниво.
Видео: Подходът към информационната сигурност в съвременното предприятие