Mikhail Coptenkov | © M. Koptenkov

امنیت اطلاعات وضعیت امنیتی محیط اطلاعات است. امنیت اطلاعات باید به عنوان مجموعه ای از اقدامات مورد توجه قرار گیرد، که از جمله آن غیرممکن است که بیشتر یا کمتر اهمیت داشته باشد. مفهوم امنیت اطلاعات به مفهوم حفاظت از اطلاعات مرتبط است، که فعالیت هایی برای جلوگیری از نشت اطلاعات محافظت شده، تاثیرات غیر مجاز و ناخواسته بر آن است، به عنوان مثال، یک فرایند با هدف دستیابی به امنیت اطلاعات امنیت اطلاعاتی است. با این حال، قبل از حفاظت از اطلاعات، لازم است تعیین کنیم که کدام اطلاعات باید محافظت شود و تا چه حد. این با استفاده از طبقه بندی (طبقه بندی) اطلاعات، به عنوان مثال، ایجاد نمره های اهمیت تضمین امنیت اطلاعات و ویژگی های منابع اطلاعات خاص به دسته های مربوطه. بنابراین، طبقه بندی اطلاعات را می توان اولین گام برای ارائه امنیت اطلاعات سازمان نام برد.

از لحاظ تاریخی، لازم است آن را در طبقه بندی اطلاعات در سطح محرمانه (حریم خصوصی) طبقه بندی کنیم. در عین حال، شرایط دسترسی و یکپارچگی اغلب به حساب نمی آید و یا به طور کلی با الزامات عمومی برای سیستم های پردازش اطلاعات مورد توجه قرار نمی گیرند. این یک رویکرد اشتباه است. در بسیاری از مناطق، سهم اطلاعات محرمانه نسبتا کوچک است برای اطلاعات بازآسیب به افشای آن از دست رفته است، مهمترین خواص عبارتند از: دسترسی، یکپارچگی و امنیت از کپی غیرقانونی. به عنوان مثال، شما می توانید یک فروشگاه آنلاین را به ارمغان بیاورید، جایی که مهم است که به طور مداوم دسترسی به وب سایت شرکت را حفظ کنید. بر اساس نیاز به اطمینان از سطوح مختلف امنیت اطلاعات، می توانید دسته های مختلف محرمانه بودن، یکپارچگی و دسترسی را وارد کنید.

1. دسته بندی محرمانه بودن اطلاعات محافظت شده

محرمانه بودن اطلاعات - مالکیت اطلاعاتی که نیاز به ارائه محدودیت ها در دایره افراد با دسترسی به این اطلاعات است.
مقوله های ذیل ذیل زیر معرفی شده اند:
– - اطلاعاتی که مطابق با الزامات قوانین، و همچنین اطلاعات، محدودیت ها، محدودیت های انتشار آن توسط تصمیمات مدیریت سازمان وارد شده است، افشای آن می تواند منجر به آسیب قابل توجهی به فعالیت های سازمان شود.
– اطلاعات محرمانه - اطلاعاتی که به شدت محرمانه نیست، محدودیت های توزیع آن تنها توسط تصمیم مدیریت سازمان وارد می شود، افشای آن می تواند منجر به آسیب به فعالیت های سازمان شود.
– اطلاعات باز - این دسته شامل اطلاعات برای اطمینان از محرمانه بودن محرمانه نیست.

2. دسته های یکپارچگی اطلاعات

یکپارچگی اطلاعات یک ملک است، زمانی که اجرای آن داده ها یک فرم و کیفیت پیش تعیین شده را حفظ می کنند (با توجه به برخی از حالت های ثابت بدون تغییر باقی می ماند).
دسته های زیر از یکپارچگی اطلاعات معرفی شده اند:
– بالا - این دسته شامل اطلاعات، اصلاح غیر مجاز یا تقلبی از آن می تواند منجر به آسیب قابل توجهی به فعالیت های سازمان شود.
– کم - این دسته شامل اطلاعاتی غیر مجاز است که می تواند منجر به استفاده از آسیب متوسط \u200b\u200bیا جزئی به فعالیت های سازمان شود.
– بدون الزامات - این دسته شامل اطلاعات برای اطمینان از یکپارچگی آن الزامات ارائه نشده است.

3. اطلاعات اطلاعات موجود

در دسترس بودن وضعیت اطلاعاتی است که در آن افراد با حقوق دسترسی می توانند آن را بدون محدودیت اجرا کنند.
دسته بندی اطلاعات موجود در زیر معرفی شده است:
– - دسترسی به اطلاعات باید در هر زمان ارائه شود (تاخیر در دریافت دسترسی به اطلاعات نباید چند ثانیه یا چند دقیقه تجاوز کند).
– در دسترس بودن بالا - دسترسی به اطلاعات باید بدون تاخیر زمانی قابل توجهی انجام شود (تاخیر در دریافت دسترسی به اطلاعات نباید بیش از چند ساعت باشد).
– دسترسی به طور متوسط - دسترسی به اطلاعات را می توان با تاخیر موقت قابل توجهی ارائه داد (تاخیر در دریافت اطلاعات نباید بیش از چند روز باشد).
– دسترسی کم - تاخیر زمانی در دسترسی به اطلاعات عملا محدود نیست (تاخیر مجاز در دسترسی به اطلاعات - چند هفته).

از بالا، واضح است که دسته بندی محرمانه بودن و یکپارچگی اطلاعات به طور مستقیم به میزان آسیب به سازمان به نقض این خواص اطلاعات بستگی دارد. دسته های موجود به میزان کمتر، اما همچنین به میزان آسیب به سازمان بستگی دارد. برای تعیین میزان آسیب، ارزیابی ذهنی آن مورد استفاده قرار می گیرد و مقیاس سه سطح معرفی شده است: آسیب قابل توجهی، آسیب متوسط \u200b\u200bو آسیب کم (یا بدون آسیب).
کماگر از دست دادن دسترسی، محرمانه بودن و / یا یکپارچگی اطلاعات تاثیر منفی منفی بر فعالیت های سازمان، دارایی ها و کارکنان آن داشته باشد.
تاثیر منفی به این معنی است که:
- سازمان همچنان قادر به انجام فعالیت های خود است، اما اثربخشی توابع اساسی کاهش می یابد؛
- یک آسیب ناچیز توسط دارایی ها اعمال می شود؛
- سازمان دارای زیان های مالی جزئی است.
آسیب به سازمان تخمین زده می شود در حد متوسطاگر از دست دادن دسترسی، محرمانه بودن و / یا یکپارچگی، تأثیر منفی جدی بر سازمان، دارایی ها و کارکنان آن داشته باشد.
جدی بودن تاثیر منفی به این معنی است که:
- سازمان همچنان قادر به انجام فعالیت های خود است، اما اثربخشی توابع اساسی به طور قابل توجهی کاهش می یابد؛
- دارایی های سازمان باعث آسیب قابل توجهی شد؛
- این شرکت زیان های مالی قابل توجهی را متحمل می شود.
آسیب بالقوه به سازمان ارزیابی می شود قابل توجهاگر از دست دادن دسترسی، محرمانه بودن و / یا یکپارچگی، تأثیر منفی شدید (فاجعه بار) بر سازمان، دارایی ها و پرسنل آن، به دست آید.:
- سازمان توانایی انجام تمام یا برخی از توابع اساسی آن را از دست می دهد؛
- دارایی های سازمان باعث آسیب شدید شد؛
- سازمان باعث زیان های مالی زیادی می شود.
بنابراین، برآورد آسیب به فعالیت های سازمان به نقض محرمانه بودن، یکپارچگی و دسترسی به اطلاعات و بر اساس این، تعیین دسته های اطلاعات، سه نوع از آن را می توان تشخیص داد: مهم ترین، انتقادی و غیر بحرانی .

نوع اطلاعات با ایجاد دسته های این اطلاعات تعیین می شود.
جدول 1 نوع اطلاعات را نشان می دهد.

اطلاعات حفظ حریم خصوصی اطلاعات	رده یکپارچگی اطلاعات	رده دسترسی به اطلاعات	نوع اطلاعات
اطلاعات دقیق محرمانه	*	*
*	بالا	*	مهم ترین اطلاعات
*	*	دسترسی بدون محدودیت	مهم ترین اطلاعات
اطلاعات محرمانه	*	*	اطلاعات بحرانی
*	کم	*	اطلاعات بحرانی
*	*	در دسترس بودن بالا	اطلاعات بحرانی
اطلاعات باز	بدون الزامات	دسترسی به طور متوسط	اطلاعات غیر بحرانی
اطلاعات باز	بدون الزامات	دسترسی کم	اطلاعات غیر بحرانی

جدول 1: تعریف نوع اطلاعات

بنابراین، طبقه بندی اطلاعات اولین گام برای ارائه امنیت اطلاعات سازمان است، زیرا قبل از آن قبل از محافظت از چیزی، اول از همه، ارزش تعیین آنچه لازم است محافظت شود و تا چه حد. دسته ها و کاربر، و اطلاعات سیستم ارائه شده در هر دو فرم الکترونیکی و حامل مواد طبقه بندی شده است. برای تعیین نوع اطلاعات محافظت شده، لازم است تعیین کنیم که کدام آسیب به سازمان در از دست دادن محرمانه بودن، یکپارچگی و در دسترس بودن چنین اطلاعاتی ایجاد می شود.
در آینده، با تعریف نوع اطلاعاتی، می توانید اقدامات مختلفی را برای محافظت از هر نوع اطلاعات اعمال کنید. این نه تنها اطلاعاتی را که در سازمان پردازش شده است، ساختار می دهد، بلکه همچنین به طور موثر اجرا می شود و از زیرسیستم کنترل دسترسی به اطلاعات محافظت شده و همچنین بهینه سازی هزینه های ارائه امنیت اطلاعات استفاده می شود.

کتابشناسی - فهرست کتب:
1. مگر اینکه V.، خدمات امنیت اطلاعات: مراحل اول، 2008، http://www.compress.ru/article.aspx؟id\u003d20512
2. صاف A. A.، Dementiev V. E.، اصول امنیت اطلاعات پایه محاسبات شبکه. Ulyanovsk: Ulgtu، 2009. - 156 پ.

اطلاعات محافظت شده (اطلاعات حفاظت شده) - اطلاعات (اطلاعات)، که موضوع مالکیت است و مطابق با الزامات قانونی و دیگر، محافظت می شود اسناد قانونی یا مطابق با الزامات تعیین شده توسط صاحب اطلاعات (بانک).

منابع محافظت شده از سیستم بانکی اطلاعات (منابع IBS حفاظت شده) - اطلاعات، وظایف عملکردی، کانال های انتقال اطلاعات، مشاغل برای محافظت از امنیت اطلاعات بانک، مشتریان و خبرنگاران آن.

محل کار حفاظت شده (RM) - هدف حفاظت ( کامپیوتر شخصی با مجموعه ای مناسب از نرم افزار و داده ها)، که نیاز به ایجاد یک حالت تنظیم شده از پردازش اطلاعات را شناسایی و مشخص کرد:

• محل سکونت، و همچنین میزان دسترسی فیزیکی به افراد غیر مجاز (مشتریان، بازدید کنندگان، کارکنانی که مجاز به کار با PM، و غیره نیستند)؛

  ترکیب سخت افزار؛

  ترکیب نرم افزار و حل شده بر روی وظایف فناوری اطلاعات (دسته های خاصی از دسترس بودن)؛

  ترکیب اطلاعات ذخیره شده و پردازش شده در اطلاعات PM (دسته های خاصی از محرمانه بودن و یکپارچگی).

فرم RM - یک سند از فرم تاسیس شده (ضمیمه 3)، که ویژگی های PM (محل، پیکربندی سخت افزار و نرم افزار، لیست وظایف حل شده در PM، و غیره) را رفع می کند و توانایی کارکردن این PM را تایید می کند (نشان می دهد پیاده سازی الزامات حفاظت از اطلاعات که در اطلاعات PM با توجه به رده این PM پردازش شده است).

وظیفه حفاظت شده - وظیفه عملکردی بر روی یک RM جداگانه حل شده است، که نیاز به ایجاد یک حالت تنظیم شده از حالت پردازش اطلاعات را شناسایی کرده و مشخص شده است:

• مجموعه ای از استفاده در حل منابع (نرم افزار، مجموعه داده ها، دستگاه ها)؛

  فرکانس راه حل؛

  حداکثر زمان مجاز مجاز در به دست آوردن مشکل حل مشکل.

فرم کار - مجموعه سند (ضمیمه 2)، که ویژگی های کار را اصلاح می کند (نام، هدف آن، نوع مورد استفاده در حل آن منابع، گروه های کاربری این وظیفه، حقوق دسترسی آنها به منابع وظیفه، و غیره) .

کانال انتقال اطلاعات محافظت شده - مسیری که اطلاعات محافظت شده منتقل می شود. کانال ها به فیزیکی (از یک دستگاه به دیگری) تقسیم می شوند و منطقی (از یک وظیفه به دیگری).

محرمانه بودن اطلاعات - مشخصه اطلاعات ذاتی (متعلق به) تعریف شده (اموال)، نشان دهنده نیاز به معرفی محدودیت ها در یک دایره از افراد (افراد)، دسترسی به این اطلاعات و تضمین شده توسط سیستم (محیط) برای حفظ اطلاعات مشخص شده در راز از موضوعاتی که مجاز به دسترسی به او نیستند.

یکپارچگی اطلاعات - مالکیت اطلاعاتی که در وجود آن در فرم ناخواسته صورت می گیرد (به طور مداوم در رابطه با برخی از حالت های ثابت).

در دسترس بودن اطلاعات (وظایف) - اموال سیستم پردازش (رسانه) که در آن اطلاعات اطلاعاتی را که با توانایی اطمینان از دسترسی بدون محدودیت دسترسی به افراد به اطلاعاتی که مورد علاقه خود قرار می گیرند، منتشر می کند (اگر مقامات دسترسی مربوطه در موضوعات) و آمادگی وجود داشته باشد از خدمات خودکار مربوطه (وظایف عملکردی) به نگهداری درخواست ها از موضوعات درخواست ها همیشه زمانی که در تماس با آنها نیاز است.

1. مقررات عمومی

1.1. این مقررات توسط دسته بندی ها (درجه بندی اهمیت حفاظت از منابع) معرفی شده است و روش را برای طبقه بندی منابع سیستم اطلاعاتی محافظت می کند (اختصاص دادن آنها به دسته های مربوطه، با توجه به میزان خطر آسیب به بانک ، مشتریان و خبرنگاران آن در صورت دخالت غیر مجاز در فرایند عملکرد IBS و یکپارچگی یا محرمانه بودن اطلاعات پردازش شده، مسدود کردن اطلاعات یا نقض دسترسی به وظایف حل شده توسط IBS).

1.2 دسته بندی منابع (تعریف الزامات حفاظت از منابع) CHD یک عنصر ضروری از سازماندهی کار در تضمین امنیت اطلاعات بانک است و اهداف خود را دارد:

ایجاد یک پایه نظارتی و روش شناختی برای یک رویکرد متمایز برای حفاظت از منابع سیستم خودکار (اطلاعات، وظایف، کانال ها، PM) بر اساس طبقه بندی آنها به میزان ریسک در صورت نقض در دسترس بودن آنها، یکپارچگی یا محرمانه بودن آنها؛

تایپ کردن اقدامات سازمانی در حال انجام و توزیع سخت افزار و نرم افزار برای حفاظت از منابع توسط RM IBS و متحد کردن تنظیمات آنها.

2. دسته های اطلاعات محافظت شده

2.1. بر اساس نیاز به ارائه سطوح مختلف حفاظت از انواع مختلف اطلاعات، ذخیره شده و پردازش شده در IBS، و همچنین در نظر گرفتن مسیرهای احتمالی آسیب به بانک، مشتریان و خبرنگاران آن سه دسته از محرمانه بودن اطلاعات محافظت شده و سه دسته از یکپارچگی اطلاعات محافظت شده را معرفی می کند.

"بالا" - به این دسته شامل اطلاعات غیر اصلاح شده است، که مطابق با الزامات قانون فعلی فدراسیون روسیه (اسرار بانکی، اطلاعات شخصی) محرمانه است.

"کم" - این دسته شامل اطلاعات محرمانه است، نه مربوط به رده "بالا"، محدودیت های توزیع آن توسط تصمیم رهبری بانک در مطابق با صاحب ارائه شده به آن (مجاز توسط مالک) اطلاعات توسط قانون توسط قانون؛

"بدون الزامات" - این دسته شامل اطلاعات، محرمانه بودن (معرفی محدودیت های انتشار) که مورد نیاز نیست.

"بالا" - این رده شامل اطلاعات، اصلاح غیر مجاز (اعوجاج، تخریب) یا جعل آن می تواند منجر به آسیب مستقیم مستقیم به بانک، مشتریان و خبرنگاران، یکپارچگی و اعتبار (تایید صحت منبع) آن باید با استفاده از روش های تضمین شده (به عنوان مثال، امضا های دیجیتال الکترونیکی) مطابق با الزامات مورد نیاز قانون فعلی تضمین شود؛

"کم" - این رده شامل اطلاعات، اصلاح غیر مجاز، حذف یا جعل آن می تواند منجر به استفاده از آسیب های غیرمستقیم جزئی به بانک، مشتریان و خبرنگاران آن، یکپارچگی (و در صورت لزوم و اصلاحی) که باید در آن تضمین شود مطابق با تصمیم رهبری بانک (روش های شمارش چکمه، EDS، و غیره)؛

"بدون الزامات" - این دسته شامل اطلاعات برای اطمینان از یکپارچگی (و اصالت) که از آن الزامات ارائه نشده است.

2.2. به منظور ساده سازی عملیات برای دسته بندی وظایف، کانال ها و PM، محرمانه بودن و یکپارچگی اطلاعات محافظت شده، ترکیب شده و چهار دسته کلی اطلاعات را تشکیل می دهند: "حیاتی"، "بسیار مهم"، "مهم" و "مهم نیست". تخصیص اطلاعات به یک دسته عمومی بر اساس مجموعه های حفظ حریم خصوصی و یکپارچگی آن مطابق با جدول 1 انجام می شود.

میز 1

1 - اطلاعات حیاتی

2 - اطلاعات بسیار مهم "

3 - "مهم" اطلاعات

4 - "مهم نیست" اطلاعات

3. دسته های وظایف عملکردی

3.1 بسته به دوره ای از حل وظایف عملکردی و حداکثر تأخیر مجاز در به دست آوردن نتایج راه حل آنها، چهار درجه مورد نیاز در دسترس بودن وظایف عملکردی معرفی شده است.

درجه مورد نیاز در دسترس بودن وظایف عملکردی:

"دسترسی بدون محدودیت" - دسترسی باید در هر زمان ارائه شود (کار به طور مداوم حل می شود، تاخیر در به دست آوردن نتیجه نباید بیش از چند ثانیه یا چند دقیقه باشد)؛

"دسترسی بالا" - دسترسی به وظیفه باید بدون تاخیر زمانی قابل توجهی انجام شود (وظیفه روزانه حل شده است، تاخیر به دست آوردن نتیجه نباید بیش از چند ساعت باشد)؛

"دسترسی متوسط" - دسترسی به وظیفه را می توان با تاخیر موقت قابل توجهی ارائه داد (کار یک بار چند روز حل می شود، تاخیر به دست آوردن نتیجه نباید بیش از چند روز باشد)؛

"دسترسی کم" - تاخیر موقت در دسترسی به وظیفه عملا محدود نیست (وظیفه با یک دوره چند هفته یا چند ماه حل می شود، تاخیر مجاز در به دست آوردن نتیجه چند هفته است).

3.2. بسته به نوع تعمیم اطلاعات محافظت شده مورد استفاده در حل مشکل، و درجه مورد نیاز در دسترس بودن این کار به چهار دسته از وظایف عملکردی تنظیم می شود: "اول"، "دوم"، "سوم" و "چهارم" (مطابق با جدول 2)

جدول 2

تعریف از دسته کار عملکردی
بخش عمومی اطلاعات	نیاز به در دسترس بودن این کار
	"دسترسی بدون محدودیت"	"در دسترس بودن بالا"	"دسترسی متوسط"	"دسترسی کم"
"حیاتی"	1	1	2	2
"خیلی مهم"	1	2	2	3
"مهم"	2	2	3	3
"مهم نیست"	2	3	3	4

4. الزامات لازم برای اطمینان از امنیت کانال های انتقال اطلاعات حفاظت شده (دسته های کانال)

4.1. نیازهای امنیتی (دسته بندی ها) کانال انتقال منطقی اطلاعات محافظت شده توسط حداکثر دسته از دو وظیفه تعیین می شود که بین این کانال نصب شده است.

5. دسته بندی ها PM.

5.1. بسته به دسته ها، چهار دسته از PM بر روی وظایف PM نصب می شوند: "A"، "B"، "C" و "D".

5.3. گروه PM رده "B" شامل PM است که حداقل یک کار عملکردی از رده دوم حل شده است. دسته بندی های دیگر وظایف حل شده در این PM نباید کمتر از سوم باشد و نه بالاتر از دوم.

5.4. گروه C گروه از PM شامل PM است که حداقل یک کار عملکردی از دسته سوم حل شده است. دسته بندی های دیگر وظایف در این PM قطع شده باید بالاتر از سوم باشد.

جدول 3

5.6. الزامات برای اطمینان از ایمنی RM دسته های مختلف (بر روی استفاده از اقدامات مناسب و داروها) در ضمیمه 5 نشان داده شده است.

6. روش تعیین دسته های حفاظت شده IBS

6.1 دسته بندی ها بر مبنای موجودی از منابع سیستم بانکی اطلاعات (RM، وظایف، اطلاعات) انجام می شود و به معنای تلفیقی و نگهداری بعدی (نگهداری فوری) لیست ها (مجموعه فرمول ها) منابع IBS محافظت می شود .

6.2 مسئولیت تهیه و نگهداری لیستی از منابع IBS اختصاص داده شده است:

از لحاظ رسم کردن و حفظ یک لیست از PM (نشان دهنده قرار دادن آنها، تثبیت بانک ها، ترکیب و ویژگی های موجود در ترکیب آن ابزار فنی) - در مدیریت فناوری اطلاعات (از اینجا Weit)؛

از لحاظ کامپایل و نگهداری لیستی از سیستم های سیستم و اعمال (ویژه)، حل شده در PM (نشان می دهد لیست منابع مورد استفاده در هنگام حل آنها - دستگاه ها، دایرکتوری ها، فایل ها با اطلاعات) - به بخش پشتیبانی فنی همه چیز

6.3. مسئولیت تعیین الزامات محرمانه بودن، یکپارچگی، در دسترس بودن و اختصاص دسته های مربوط به منابع RM خاص (منابع اطلاعاتی و وظایف) به بخش های بانک اختصاص داده شده است که به طور مستقیم وظایف را در PM داده ها (صاحبان اطلاعات) و بخش امنیت اطلاعات را حل می کند .

6.4. تصویب دسته بندی منابع اطلاعاتی از دسته های IBS منصوب شده با توجه به این "مقررات در طبقه بندی منابع IBS" توسط رئیس هیئت مدیره بانک ساخته شده است.

6.6. طبقه بندی منابع IBS را می توان به صورت متوالی برای هر RM به طور جداگانه انجام داد، با ارتباط بعدی و تشکیل لباس نویسان منابع IBS محافظت می شود:

فهرست منابع اطلاعات IBS محافظت می شود (ضمیمه 2)؛

فهرست وظایف محافظت شده (مجموعه ای از فرمول های کار)؛

فهرست PM (مجموعه ای از قالب های PM).

در مرحله اول کار بر طبقه بندی منابع یک PM خاص، با تمام انواع اطلاعات مورد استفاده در حل مشکلات در این PM طبقه بندی شده است. دسته بندی های عمومی اطلاعات بر اساس دسته های ثابت محرمانه بودن و یکپارچگی انواع خاصی از اطلاعات تعیین می شود. منابع اطلاعاتی محافظت می شوند در "فهرست منابع اطلاعاتی محافظت می شود".

در مرحله دوم، با توجه به دسته بندی های تعمیم یافته اطلاعات مورد استفاده در حل وظایف که قبلا ایجاد شده است، و الزامات موجود برای دسترسی به وظایف به تمام وظایف عملکردی حل شده در این PM طبقه بندی می شود.

در مرحله چهارم، بر اساس دسته بندی وظایف تعاملی، یک دسته از کانال های انتقال کانال منطقی بین وظایف عملکردی (در PM های مختلف) ایجاد شده است. 6.7. بازسازی (تغییر دسته بندی) از منابع اطلاعات IBS هنگام تغییر الزامات برای اطمینان از حفاظت از خواص (حریم خصوصی و یکپارچگی) اطلاعات مربوطه انجام می شود.

انتقال (تغییر دسته) وظایف عملکردی هنگام تغییر دسته بندی های عمومی از منابع اطلاعاتی مورد استفاده در حل این کار، و همچنین تغییر شرایط برای دسترسی به وظایف عملکردی انجام می شود.

انتقال (تغییر دسته) کانال های منطقی زمانی انجام می شود که دسته بندی وظایف تعامل تغییر کند.

رنجینگ (تغییر دسته) PM هنگام تغییر دسته ها یا ترکیب وظایف حل شده بر روی داده های PM ساخته شده است.

6.8. به طور دوره ای (یک بار در سال) یا به درخواست سران بخش های ساختاری بانک، تجدید نظر از دسته های تعیین شده از منابع محافظت شده برای انطباق آنها با وضعیت واقعی امور ساخته شده است.

7. روش برای بررسی

7.1 در صورت تغییر در الزامات حفاظت از PM از دسته های مختلف، ممیزی (به دنبال تایید) تحت ضمیمه 5 است.

7.2. در مورد تغییرات و افزودن به "فهرست منابع اطلاعاتی محافظت می شود"، بررسی (به دنبال تصویب) به ضمیمه 4 موضوع است.

ضمیمه 1 - روش های طبقه بندی منابع محافظت شده

این تکنیک در نظر گرفته شده است تا روش انجام کار را بر طبقه بندی منابع محافظت شده در بانک بانک بر اساس "مقررات مربوط به طبقه بندی منابع سیستم بانکداری اطلاعات" روشن کند. دسته بندی ها شامل انجام کار در بررسی زیر سیستم های EBS و بخش های ساختاری بانک و شناسایی (موجودی) از تمام منابع IBS محافظت می شود. توالی تقریبی و محتوای اصلی اقدامات خاص برای اجرای این آثار در زیر نشان داده شده است.

1. برای انجام یک نظرسنجی اطلاعاتی از تمام زیر سیستم های سیستم اطلاعات بانک و موجودی منابع IBS محافظت می شود، یک گروه کار خاص تشکیل شده است. این گروه شامل متخصصان بخش امنیت اطلاعات و مدیریت فناوری اطلاعات بانکی (آگاهی از مسائل فناوری پردازش خودکار اطلاعات) برای تأمین وضعیت لازم گروه کاری، دفع مناسب از رئیس هیئت مدیره بانک منتشر شده است، به ویژه، به طور خاص، توسط تمام سران بخش های ساختاری بانک در مورد ارائه کمک و کمک لازم به گروه کاری در انجام کار بر روی بررسی IBA. برای کمک به زمان عملیات گروه، صاحبان کارکنان باید به سران این تقسیم ها اختصاص داده شوند. اطلاعات دقیق برای پردازش اطلاعات در این بخش ها.

2. در طی بررسی بخش های خاص بانک و زیرسیستم های اطلاعات، تمام وظایف عملکردی که با استفاده از IBS حل شده اند، شناسایی و توصیف می شوند، و همچنین تمام انواع اطلاعات (اطلاعات) مورد استفاده در حل این وظایف در بخش ها.

3. لیست کلی از وظایف عملکردی کشیده شده است و برای هر کار فرم (شروع) فرم (ضمیمه 2) است. باید در نظر گرفته شود که یکی و همان کار در واحدهای مختلف می تواند متفاوت باشد، و بالعکس، وظایف مختلف می تواند همان نام داشته باشد. در عین حال، ابزارهای نرم افزاری (عمومی، ویژه) مورد استفاده در حل وظایف عملکردی واحد انجام می شود.

4. هنگام بررسی زیرسیستم ها و تجزیه و تحلیل وظایف، تمام انواع ورودی، خروجی، ذخیره شده، پردازش شده، و مانند آن ها شناسایی می شوند. اطلاعات لازم است که نه تنها اطلاعاتی را شناسایی کنیم که می تواند به محرمانه (به بانکداری و اسرار تجاری و تجاری، اطلاعات شخصی) مربوط شود، بلکه همچنین اطلاعاتی را که به دلیل این واقعیت است که نقض یکپارچگی آن (اعوجاج، جعل) یا در دسترس بودن (تخریب، مسدود کردن آن "محافظت می شود، محافظت شود ) می تواند آسیب ملموس به بانک، مشتریان یا خبرنگاران آن را اعمال کند.

5. هنگام شناسایی تمام انواع اطلاعات، گردش و پردازش در زیر سیستم ها، مطلوب است که جدی بودن عواقب آن را ارزیابی کنیم که نقض خواص آن (محرمانه بودن، یکپارچگی) می تواند منجر شود. برای به دست آوردن ارزیابی اولیه از شدت چنین عواقب، توصیه می شود یک نظرسنجی (به عنوان مثال، در قالب نظرسنجی) متخصصان کار با این اطلاعات، توصیه می شود. در عین حال لازم است بدانیم که چه کسی می تواند علاقه مند باشد این اطلاعاتچگونه می توانند آن را تحت تاثیر قرار دهند یا به طور غیرقانونی استفاده کنند، که پیامدهای آن می تواند منجر شود.

6. اطلاعات در مورد تخمین های آسیب احتمالی به فرم های خاص وارد می شود (ضمیمه 3). اگر ضریب آسیب احتمالی غیرممکن باشد، ارزیابی کیفی آن ساخته شده است (به عنوان مثال: کم، متوسط، بالا، بسیار بالا).

7. هنگام تهیه یک لیست و رسم کردن وظایف عملکردی که در بانک حل شده است، لازم است فرکانس راه حل خود را پیدا کنید، حداکثر زمان تأخیر زمان مجاز برای به دست آوردن نتایج حل مشکلات و میزان جدی بودن عواقب آن به چه نقض در دسترس بودن آنها (مسدود کردن امکان حل مشکلات می تواند داده شود. برآوردهای آسیب احتمالی به فرم های خاص وارد می شود (ضمیمه 3). در صورت عدم امکان تخمین کمی از آسیب احتمالی، ارزیابی کیفی صورت گرفته است.

8. همه در طول نظرسنجی شناسایی شده اند، انواع اطلاعات مختلف در "فهرست منابع اطلاعاتی محافظت می شود" ثبت می شود.

9. تعیین شده (و سپس در لیست نشان داده شده است) به کدام نوع محرمانه (بانکداری، تجاری، اطلاعات شخصی، که اسرار را تشکیل نمی دهد) شامل هر نوع شناسایی اطلاعات (بر اساس الزامات قانون فعلی و حقوق ارائه شده به آنها).

10. پیشنهادات اولیه برای ارزیابی دسته بندی ها از اطمینان از محرمانه بودن و یکپارچگی انواع خاصی از اطلاعات از رهبران (متخصصان برجسته) بخش ساختاری بانک (بر اساس ارزیابی شخصی آنها از آسیب احتمالی از نقض خواص حریم خصوصی و یکپارچگی اطلاعات) برآورد داده ها از دسته های اطلاعات در "فهرست منابع اطلاعاتی محافظت می شود" (در ستون های 2 و 3) وارد شده است.

11. سپس این فهرست با سرپرست مدیریت امنیت، WEAT و بخش امنیت اطلاعات سازگار است و برای کمیته امنیت اطلاعات مورد توجه قرار می گیرد.

12. هنگام توجه به فهرست کمیته مدیریت امنیت اطلاعات، ممکن است تغییرات و افزوده شود. نسخه آماده شده از "فهرست منابع اطلاعاتی محافظت شده" برای تصویب رئیس هیئت مدیره بانک ارائه شده است.

13. مطابق با دسته های محرمانه بودن و یکپارچگی مشخص شده در لیست تایید شده "منابع اطلاعاتی محافظت شده"، دسته بندی عمومی هر نوع اطلاعات (مطابق با جدول 1 طبقه بندی طبقه بندی) تعیین می شود.

14. در مرحله بعدی، وظایف عملکردی طبقه بندی می شوند. بر اساس الزامات موجودات تحمیل شده توسط سران واحدهای عملیاتی بانک و هماهنگ با مدیران امنیتی و Weat، تمام وظایف عملکردی ویژه (کاربردی) طبقه بندی می شوند، در واحدهای با استفاده از IBS حل می شوند (جدول 2 مقررات طبقه بندی منابع). اطلاعات مربوط به دسته های وظایف خاص به فرم کار وارد شده است. طبقه بندی وظایف مشترک (سیستم) و نرم افزار خارج از اتصال به یک PM خاص انجام نمی شود.

در آینده، با مشارکت متخصصان عقل، لازم است که ترکیب اطلاعات و منابع نرم افزاری هر کار را روشن کنیم و اطلاعات را به اطلاعات مربوط به گروه های کاربری و دستورالعمل های خود اضافه کنیم تا راه اندازی ابزارهای امنیتی را تنظیم کنیم (قدرت گروه های دسترسی به منابع ذکر شده از این کار). این اطلاعات به عنوان یک محیط مرجع حفاظت از PM مربوطه مورد استفاده قرار می گیرد، که این کار حل خواهد شد، و برای کنترل صحت نصب آنها.

15. سپس با تمام کانال های منطقی بین وظایف عملکردی طبقه بندی می شود. دسته کانال بر اساس حداکثر دسته از وظایف درگیر در تعامل ایجاد شده است.

16. در مرحله آخر، RM طبقه بندی شده است. رده PM بر اساس حداکثر دسته از وظایف خاص، بر روی آن حل شده است (یا دسته اطلاعات مورد استفاده در حل وظایف مشترک). در یک PM، هر تعداد وظایف، دسته های آن کمتر از حداکثر ممکن در این PM هستند، بیش از یک واحد نیست. اطلاعات مربوط به رده PM به فرم RM ارسال می شود.

از سردبیر

هر نوع فعالیت انسانی را می توان به عنوان یک فرآیند نشان داد که منجر به محصول، مواد یا فکری می شود که ارزش خاصی دارد، یعنی هزینه. این اطلاعات یکی از گونه های این ارزش هاست، می تواند بسیار بالا باشد که از دست دادن یا نشت آن، حتی جزئی، قادر به سوال بسیار شرکت است. بنابراین، حفاظت از اطلاعات هر روز به طور فزاینده ای مهم است، تقریبا تمام سازمان های بیشتر یا کمتر، دستگاه های IB وجود دارد.

در بازار فناوری اطلاعات، طیف پیشنهادات امنیتی اطلاعات رو به رشد است. چگونه به درستی در این جریان محصولات ارائه شده حرکت کنید؟ نحوه انتخاب نرم افزار بهینه هزینه های مالی گزینه و تمام نیازهای شرکت شما را در نظر بگیرید؟ چه معیارهای انتخاب اعمال می شود؟ پس از همه، اگر چه خدمات IB هر سازمان یا سازمانی خود را تولید نمی کند ارزش های فکری و نه مواد، بدون تردید در مورد نیاز و اهمیت آن وجود دارد، و بدون شک وجود دارد، و در هزینه های این سرویس به ندرت ذخیره می شود.

آنچه باید انجام شود به طوری که هزینه ها و سطح امنیت اطلاعات شرکت در رابطه مطلوب قرار دارد - این نشریه به این مسائل اختصاص داده شده است.

معرفی

فعالیت های امنیتی اطلاعات (IB) شناخته شده است که درآمد را به ارمغان نمی آورد، با کمک آنها شما فقط می توانید آسیب را از حوادث احتمالی کاهش دهید. بنابراین، بسیار مهم است که هزینه ایجاد و حفظ IB در سطوح مناسب، ارزش دارایی های سازمان مربوط به سیستم اطلاعاتی آن (IP) را ارزیابی می کند. عرفانی را می توان با طبقه بندی اطلاعات و سیستم اطلاعاتی و همچنین انتخاب تنظیم کننده های امنیتی بر اساس نتایج دسته بندی ارائه کرد.

دسته بندی ها اطلاعات I. سیستم های اطلاعاتی

تخصیص دسته های امنیتی اطلاعات و سیستم های اطلاعاتی بر اساس ارزیابی خسارت است که می تواند توسط نقض امنیتی اعمال شود. چنین حوادثی ممکن است با سازمان در اجرای مأموریت های سپرده شده به آن تداخل داشته باشد، دارایی های مصالحه، شرکت را به موقعیت نقض کننده قانون فعلی، برای ایجاد تهدیدی برای فعالیت های روزانه، برای افشای کارکنان، تداخل کند. دسته های امنیتی در رابطه با داده ها در مورد آسیب پذیری ها و تهدیدات در روند تجزیه و تحلیل خطرات، که تحت سازمان قرار می گیرند استفاده می شود.

سه جنبه اصلی IB وجود دارد:

• دسترسی؛
• محرمانه بودن؛
• تمامیت.

به طور کلی، نقض IB می تواند تنها بخشی از این جنبه ها را تحت تاثیر قرار دهد، و همچنین تنظیم کننده های امنیتی می تواند برای جنبه های فردی خاص باشد. بنابراین، توصیه می شود برای ارزیابی آسیب های احتمالی به طور جداگانه برای اختلالات دسترسی، محرمانه بودن و یکپارچگی، و در صورت لزوم، شما می توانید ارزیابی انتگرال دریافت کنید.

مقدار آسیب مناسب برای ارزیابی مقیاس سه سطح به عنوان کم، متوسط \u200b\u200bیا بالا ().

شکل 1. مقیاس ارزیابی آسیب به دلیل امنیت اطلاعاتی

آسیب بالقوه به سازمان کاهش می یابد اگر از دست دادن دسترسی، محرمانه بودن و / یا یکپارچگی، تأثیر مخرب محدودیتی بر فعالیت های سازمان، دارایی ها و پرسنل آن داشته باشد. اثر مخرب محدود به معنی:

• این سازمان همچنان قادر به انجام مأموریت اختصاص داده شده به آن است، اما اثربخشی توابع اساسی به طور قابل توجهی کاهش می یابد؛
• دارایی های سازمان باید آسیب های جزئی را اعمال کند؛
• این سازمان زیان های مالی جزئی را حمل می کند؛
• منابع انسانی آسیب های جزئی را اعمال کردند.

آسیب احتمالی شرکت به عنوان تخمین زده می شود در حد متوسطاگر از دست دادن دسترسی، محرمانه بودن و / یا یکپارچگی، تأثیر جدی مخرب بر فعالیت های سازمان، دارایی ها و پرسنل آن داشته باشد. جدی بودن اثر مخرب به این معنی است که:

• این شرکت همچنان قادر به انجام مأموریت اختصاص داده شده به آن است، اما اثربخشی توابع اساسی به طور قابل توجهی کاهش می یابد؛
• دارایی های سازمان باعث آسیب جدی شد؛
• این شرکت زیان های قابل توجهی را متحمل می شود؛
• کارکنان آسیب جدی را اعمال می کنند که تهدیدی برای زندگی یا سلامتی ایجاد نمی کند.

آسیب بالقوه به سازمان ارزیابی می شود بلند قداگر از دست دادن دسترسی، حفظ حریم خصوصی و / یا یکپارچگی، تاثیر سنگین یا فاجعه بار و فاجعه بار بر سازمان، دارایی ها و کارکنان آن داشته باشد، این است:

• این شرکت توانایی انجام تمام یا برخی از توابع اساسی آن را از دست می دهد؛
• دارایی های سازمان باعث خسارت عمده می شود؛
• این سازمان زیان های مالی زیادی را متحمل می شود؛
• کارکنان آسیب های سنگین یا فاجعه بار را اعمال می کنند که یک تهدید احتمالی برای زندگی یا سلامت ایجاد می کند.

دسته بندی هر دو کاربر، و اطلاعات سیستم ارائه شده در هر دو فرم الکترونیکی و به صورت یک کپی "جامد". اطلاعات باز ممکن است دسته های محرمانه ای نداشته باشند. به عنوان مثال، اطلاعات موجود در یک وب سرور عمومی قابل دسترسی از سازمان، دسته های محرمانه ای ندارد و در دسترس بودن و یکپارچگی آنها به عنوان متوسط \u200b\u200bتخمین زده می شود.

هنگام طبقه بندی سیستم اطلاعاتی، دسته های رسانه های ذخیره شده، پردازش شده و منتقل شده، و همچنین ارزش دارایی خود، I.E. حداکثر دسته ها بر روی تمام انواع اطلاعات و دارایی ها گرفته شده است. برای به دست آوردن یک ارزیابی انتگرال، شما باید حداکثر دسته ها را برای جنبه های اصلی امنیت اطلاعات بگیرید.

حداقل (اساسی) الزامات ایمنی

حداقل (اساسی) نیازهای امنیتی به طور کلی فرموله شده است، به طور کلی طبقه بندی اختصاص داده شده به IP. آنها از سطح پایه امنیت اطلاعات می پرسند، باید تمام سیستم های اطلاعاتی را برآورده سازند. نتایج طبقه بندی در هنگام انتخاب تنظیم کننده های ایمنی مهم است، مطابق با الزامات بر اساس تجزیه و تحلیل خطرات (شکل 2).

شکل 2. سطح امنیت اطلاعات

حداقل الزامات امنیتی (شکل 3) شامل سطوح اداری، رویه ای و نرم افزار فنی IB و به شرح زیر است.

شکل 3. الزامات امنیتی پایه برای اطلاعات و IP.

• این سازمان باید یک سیاست امنیتی رسمی و رویه های رسمی را با هدف انجام الزامات زیر و اطمینان از اجرای موثر سیاست ها و رویه ها ایجاد کند.
• این شرکت باید به طور دوره ای خطرات را ارزیابی کند، از جمله ارزیابی تهدیدات به ماموریت، عملکرد، تصویر و شهرت سازمان، دارایی ها و پرسنل آن. این تهدیدات نتیجه عملیات IC و پردازش، ذخیره سازی و انتقال داده ها است.
• در رابطه با خرید سیستم ها و خدمات در شرکت ضروری است:
  • منابع کافی برای حفاظت از IP کافی را تخصیص دهید؛
  • در توسعه سیستم ها برای توجه به الزامات IB؛
  • محدود کردن استفاده و نصب نرم افزار؛
  • اطمینان از تخصیص توسط ارائه دهندگان خدمات خارجی منابع کافی برای محافظت از اطلاعات، برنامه های کاربردی و / یا خدمات.
• در زمینه صدور گواهینامه، اعتباربخشی و ارزیابی ایمنی در سازمان باید انجام شود:
  • نظارت مستمر از تنظیم کننده های ایمنی برای اطمینان در اثربخشی آنها؛
  • ارزیابی دوره ای از تنظیم کننده های ایمنی مورد استفاده در IP برای کنترل اثربخشی آنها؛
  • توسعه و پیاده سازی یک برنامه برای از بین بردن کمبودها و کاهش یا از بین بردن آسیب پذیری ها به IP؛
  • مجوز راه اندازی IP و برقراری ارتباط با سایر سیستم های اطلاعاتی.
• در زمینه امنیت فریم، لازم است:
  • اطمینان از اطمینان (قدرت وکالت) مقامات اشغال پست های مسئول، و همچنین انطباق این افراد با نیازهای امنیتی برای این پست ها؛
  • اطمینان از حفاظت از سیستم اطلاعات و سیستم اطلاعات در هنگام انجام فعالیت های انضباطی، مانند اخراج یا حرکت کارکنان؛
  • اعمال تحریم های رسمی مربوط به سیاست های امنیتی و روش های ایمنی را اعمال کنید.
• سازمان باید کارمند و آموزش کارکنان را ارائه دهد:
  • به طوری که مدیران و کاربران ICS در مورد خطرات مرتبط با فعالیت های خود، و قوانین مربوطه، مقررات، دستورالعمل ها، استانداردها، دستورالعمل ها و غیره، می دانستند.
  • برای کارکنان آموزش عملی مناسب برای انجام وظایف امنیتی اطلاعات.
• در منطقه برنامه ریزی، لازم است توسعه، سند، به طور دوره ای تغییر و اجرای برنامه های امنیتی IP که تنظیم کننده تنظیم کننده های امنیتی (در دسترس و برنامه ریزی شده) و قوانین رفتار کارکنان را با دسترسی به IP توصیف می کند.
• به منظور برنامه ریزی کار بدون وقفه در شرکت، ایجاد، حفظ و به طور موثر اجرای برنامه های اضطراری پاسخ، پشتیبان گیری، بهبودی، بهبودی پس از حوادث برای اطمینان از دسترسی به منابع اطلاعات بحرانی و تداوم عملیات در شرایط اضطراری.
• از لحاظ پاسخ به امنیت اطلاعاتی، سازمان باید:
  • یک ساختار موجود برای پاسخ دادن به حوادث ایجاد کنید، به این معنی کافی است فعالیت های آماده سازی، شناسایی، تجزیه و تحلیل و محلی سازی نقض، بهبودی پس از حوادث و نگهداری تماس های کاربر؛
  • ارائه ردیابی، مستند سازی و گزارش دادن به حوادث به مقامات مناسب سازمان و سازمان های مجاز.
• به منظور حفاظت فیزیکی، سازمان باید:
  • دسترسی فیزیکی به IP، تجهیزات، در محل تولید تنها پرسنل مجاز؛
  • از لحاظ جسمی تجهیزات و حمایت از زیرساخت های IP را محافظت می کند؛
  • اطمینان از شرایط فنی مناسب برای عملیات IP؛
  • حفاظت از IP از تهدیدات زیست محیطی؛
  • اطمینان از کنترل شرایطی که IP کار می کند؛
  • کنترل دسترسی را با ارائه دسترسی به دارایی های IP به کاربران مجاز، فرایندهایی که از طرف این کاربران، و همچنین دستگاه ها (از جمله سایر IP) عمل می کنند، برای انجام معامله و توابع مجاز عمل می کنند.
• برای ارائه ورود به سیستم و ممیزی، لازم است:
  • ایجاد، محافظت و نگهداری سیاهههای مربوط به ثبت نام که به شما امکان پیگیری، تجزیه و تحلیل، تحقیق و تهیه گزارش ها را در فعالیت غیرقانونی، غیر مجاز یا نامناسب را می دهد؛
  • اطمینان از ردیابی اقدامات در IP با دقت کاربر (پاسخگویی کاربر).
• از لحاظ مدیریت پیکربندی در شرکت به شرح زیر است:
  • نصب و نگهداری تنظیمات پایه؛
  • داشتن موجودی (کارت) IP، با چرخه زندگی، که شامل تجهیزات، نرم افزار و مستندات است.
  • نصب و ارائه استفاده عملی تنظیمات برای پیکربندی ابزار امنیتی در محصولات موجود در IP.
• در منطقه شناسایی و احراز هویت، لازم است شناسایی و تأیید اعتبار کاربران IP، فرآیندهای عمل بر روی نام کاربری، و همچنین دستگاه ها به عنوان یک شرط لازم برای دسترسی به IP.

علاوه بر این، لازم است:

• برای همراهی:
  • انجام تعمیرات دوره ای و به موقع IP؛
  • اطمینان از تنظیم کننده های موثر برای بودجه، روش ها، مکانیزم ها و پرسنل که پشتیبانی را انجام می دهند.
• برای محافظت از رسانه ها:
  • حفاظت از حامل های داده ها هر دو دیجیتال و کاغذ؛
  • دسترسی به اطلاعات مربوط به رسانه ها را فقط به کاربران مجاز ارائه دهید؛
  • قبل از نتیجه گیری یا قبل از انتقال به استفاده از عملیات یا از بین بردن رسانه ها یا رسانه ها را نابود کنید.
• به منظور محافظت از سیستم ها و ارتباطات:
  • پیگیری، نظارت و محافظت از ارتباطات (یعنی داده های منتقل شده و دریافت شده) در مرزهای خارجی و کلیدی داخلی IP؛
  • رویکردهای معماری و سخت افزاری را اعمال کنید که سطح امنیت اطلاعات فعلی IP را افزایش می دهد.
• برای اطمینان از یکپارچگی سیستم ها و داده ها:
  • به موقع نقص های IP و داده ها را شناسایی، گزارش و اصلاح آنها؛
  • حفاظت از IP از نرم افزار مخرب؛
  • پیگیری سیگنال های مربوط به نقض امنیتی و گزارش های تهدید جدید برای سیستم اطلاعاتی و به درستی به آنها واکنش نشان می دهد.

مجموعه پایه تنظیم کننده های امنیتی را انتخاب کنید تا نیازهای ایمنی را برآورده سازید

پیش نیاز برای اجرای الزامات ایمنی، انتخاب و پیاده سازی تنظیم کننده های ایمنی مربوطه است، یعنی توسعه و کاربرد اقدامات مقابله ای از لحاظ اقتصادی توجیه شده و ابزار حفاظت. تنظیم کننده های امنیتی به اداری، رویه ای و نرم افزار و فنی تقسیم می شوند و برای اطمینان از دسترسی، محرمانه بودن و یکپارچگی سیستم اطلاعاتی و پردازش، ذخیره شده و داده ها منتقل می شوند.

انتخاب تنظیم کننده های امنیتی بر اساس نتایج طبقه بندی اطلاعات و سیستم اطلاعاتی است. علاوه بر این، باید توجه داشته باشید که کدام تنظیم کننده های امنیتی در حال حاضر اجرا شده اند و برای برنامه های پیاده سازی خاص، و همچنین درجه مورد نیاز اعتماد به نفس در اثربخشی تنظیم کننده های فعلی وجود دارد.

انتخاب کافی از تنظیم کننده های ایمنی را می توان ساده کرد اگر آن را از مجموعه های اولیه از پیش تعریف شده مرتبط با سطح مورد نیاز IB تولید کنید. با استفاده از مقیاس سه سطح، از سه پایه پایه استفاده کنید، به ترتیب برای حداقل (کم، پایه)، متوسط \u200b\u200bو سطح بالایی از امنیت اطلاعات استفاده کنید.

تنظیم کننده های امنیتی برای حداقل IB

در حداقل سطح امنیت اطلاعات، توصیه می شود که موارد زیر را اعمال کنید تنظیم کننده های امنیتی اداری.

شکل 4. تنظیم کننده های امنیتی توسط سطح IB

• ارزیابی ریسک: سیاست و رویه ها.
  • سیاست ارزیابی ریسک مستند رسمی، که هدف، پوشش، نقش، مسئولیت ها، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین فعلی را ارائه می دهد؛
  • رویه های مستند رسمی که به اجرای سیاست ها و تنظیم کننده های ارزیابی ریسک کمک می کند.
• ارزیابی ریسک: طبقه بندی برای نیازهای ایمنی. طبقه بندی اطلاعات و سیستم اطلاعاتی، مستند سازی نتایج، از جمله منطق برای دسته های ثابت؛ این سند توسط کتابچه راهنمای کاربر تایید شده است.
• ارزیابی ریسک: برگزاری. ارزیابی ریسک و آسیب احتمالی از دسترسی غیر مجاز، استفاده، افشای، اختلالات، اصلاحات و / یا تخریب داده ها و / یا سیستم اطلاعاتی، از جمله منابع مدیریت شده توسط سازمان های خارجی.
• ارزیابی ریسک: بررسی نتایج. بازنگری نتایج ارزیابی ریسک با یک فرکانس مشخص یا پس از تغییرات قابل توجه در IC یا پشتیبانی زیرساخت ها یا پس از رویدادهای دیگر که می تواند به طور قابل توجهی بر سطح امنیت یا وضعیت اعتباربخشی آن تأثیر بگذارد، انجام شود.
• برنامه ریزی ایمنی: سیاست و رویه ها.
  • رسمی سیاست برنامه ریزی امنیتی مستند شده، که هدف، پوشش، نقش، مسئولیت ها، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین فعلی را ارائه می دهد؛
  • رویه های رسمی مستند کمک به اجرای سیاست ها و تنظیم کننده های برنامه ریزی ایمنی مرتبط.
• برنامه ریزی ایمنی: برنامه امنیتی IP. توسعه و پیاده سازی برای یک طرح سیستم اطلاعاتی، که الزامات امنیتی را برای تنظیم کننده های امنیتی IP و برنامه ریزی شده و برنامه ریزی شده توصیف می کند که به انجام این الزامات کمک می کند؛ این سند توسط کتابچه راهنمای کاربر تایید شده است.
• برنامه ریزی ایمنی: تغییر برنامه ایمنی IP. با یک فرکانس مشخص، طرح ایمنی تجدید نظر شده است. این باعث می شود تغییرات در بازتاب تغییرات در شرکت و سیستم اطلاعاتی و یا مشکلات مشخص شده در طی اجرای طرح یا هنگام ارزیابی تنظیم کننده های امنیتی، تغییر کند.
• برنامه ریزی امنیتی: قوانین رفتار. این سازمان به توجه کاربران IC، مجموعه ای از قوانین توصیف وظایف و رفتار مورد انتظار را با توجه به استفاده از سیستم اطلاعات و سیستم اطلاعاتی، برقرار می کند. قبل از دسترسی به IP و منابع اطلاعاتی آن، کاربران یک تایید را امضا می کنند که آنها خواندن، درک و موافقت می کنند تا قوانین تجویز رفتار را برآورده کنند.
• برنامه ریزی امنیتی: ارزیابی حریم خصوصی. این شرکت ارزیابی الزامات حریم خصوصی دارد.
• خرید سیستم ها و خدمات: سیاست ها و رویه ها.
  • رسمی سیاست تدارکات ثبت شده سیستم ها و خدمات، که هدف، پوشش، نقش، مسئولیت ها، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین فعلی را ارائه می دهد؛
  • روش های مستند رسمی که به اجرای سیاست ها و تنظیم کننده های مرتبط با تهیه سیستم ها و خدمات کمک می کند.
• خرید سیستم ها و خدمات: تخصیص منابع. تعریف، اسناد و تخصیص منابع لازم برای حفاظت کافی از سیستم اطلاعاتی در شرکت بخشی از فرایندهای برنامه ریزی سرمایه و مدیریت سرمایه گذاری است.
• خرید سیستم ها و خدمات: پشتیبانی از چرخه زندگی. این سازمان سیستم اطلاعاتی را مدیریت می کند، با استفاده از روش شناسی برای حمایت از چرخه زندگی، با توجه به جنبه های امنیت اطلاعات.
• خرید سیستم ها و خدمات: تدارکات. قراردادهای تدارکات شامل الزامات و / یا مشخصات ایمنی، بر اساس نتایج ارزیابی خطر است.
• لازم است اطمینان از حضور، حفاظت و توزیع مقامات مجاز شرکت مستندات کافی در سیستم اطلاعاتی و قطعات جزء آن لازم باشد.
• خرید سیستم ها و خدمات: محدودیت های استفاده از نرم افزار. این سازمان تضمین می کند که محدودیت های موجود در استفاده از نرم افزار.
• خرید سیستم ها و خدمات: نرم افزار نصب شده توسط کاربران. لازم است قوانین صریح فرموله شده در رابطه با دانلود و نصب کاربران نرم افزار را اجرا کنید.
• خرید سیستم ها و خدمات: برون سپاری خدمات اطلاعاتی. لازم است اطمینان حاصل شود که سازمان های خارجی ارائه خدمات اطلاعاتی، تنظیم کننده های امنیتی کافی را ارائه می دهند که قوانین فعلی و شرایط قرارداد را برآورده می کنند، و همچنین برای پیگیری کفایت تنظیم کننده های امنیتی.
• صدور گواهینامه، اعتباربخشی و ارزیابی ایمنی: سیاست و رویه ها. توسعه، توزیع، تجدید نظر دوره ای و تغییر:
  • مقام رسمی مستند سیاست ارزیابی ایمنی، صدور گواهینامه و اعتباربخشی، که هدف، پوشش، نقش، مسئولیت ها، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین فعلی را ارائه می دهد؛
  • رویه های رسمی مستند کمک به اجرای سیاست ها و تنظیم کننده های مرتبط با ارزیابی ایمنی، صدور گواهینامه و اعتباربخشی.
• صدور گواهینامه، اعتباربخشی و ارزیابی ایمنی: اتصالات با IP دیگر. مجوز تمام اتصالات سیستم اطلاعاتی آن با سایر IPS، که در خارج از مرزهای اعتباربخشی خارجی هستند، و ردیابی / کنترل ثابت این ترکیبات؛ امضاء توسط افسران مجاز توافقنامه در مورد ایجاد ترکیبات بین سیستم ها.
• این سازمان ارزیابی تنظیم کننده های ایمنی مورد استفاده در ICS را بررسی می کند تا بررسی شود که چگونه به درستی آنها اجرا می شود، عملکرد مطابق با مشخصات و نتایج انتظار می رود از نقطه نظر برآورده ساختن نیازهای امنیتی اطلاعات.
• صدور گواهینامه، اعتبار سنجی و ارزیابی ایمنی: برنامه تقویم رویدادها. سازمان توسعه یافته است و برنامه تقویم رویدادها با فرکانس مشخص شده تغییر می کند. این اقدامات اصلاحی برنامه ریزی شده، اجرا شده و ارزیابی شده را با هدف از بین بردن تمام کاستی های شناسایی شده در فرآیند ارزیابی تنظیم کننده های ایمنی و کاهش یا از بین بردن آسیب پذیری های شناخته شده IP توصیف می کند.
• صدور گواهینامه، اعتباربخشی و ارزیابی ایمنی: اعتباربخشی. این شرکت به وضوح مجاز (مجوز اعتباربخشی) ورودی سیستم اطلاعات را به عمل و با فرکانس داده شده، اما نه کمتر از یک بار در هر سه سال، آن را مجددا اعتباربخشی را انجام می دهد.
• صدور گواهینامه، اعتبار سنجی و ارزیابی ایمنی: نظارت ثابت. نظارت ثابت از تنظیم کننده های ایمنی در IP.

شکل 5. حفظ سطح امنیتی مورد نیاز

تنظیم کننده های ایمنی رویه ای.

• امنیت پرسنل: سیاست و رویه ها. توسعه، توزیع، تجدید نظر دوره ای و تغییر:
  • سیاست امنیتی مستقیم پرسنل مستند شده است که هدف، پوشش، نقش، مسئولیت ها، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین فعلی را ارائه می دهد؛
  • روش های مستند رسمی که به زندگی سیاست ها و تنظیم کننده های وابسته به امنیت پرسنل کمک می کند.
• امنیت شخصی: دسته بندی پست ها. با هر موقعیت، سطح مشخصی از خطر مرتبط است و معیارهای انتخاب نامزدها برای این پست ها ایجاد شده است. این توصیه می شود در یک فرکانس مشخص برای تجدید نظر سطح ریسک های ثابت.
• امنیت پرسنل: انتخاب پرسنل. قبل از اینکه دسترسی به سیستم اطلاعاتی و اطلاعات را فراهم کنید، بررسی افرادی هستند که نیاز به دسترسی مشابه دارند.
• امنیت پرسنل: اخراج کارمند اخراج شده دسترسی به IP را محروم می کند، مکالمه نهایی با او برگزار می شود، تحویل کل اموال دولتی را بررسی می کند، از جمله کلید ها، کارت های شناسایی، گذرگاه ها، و متقاعد شده اند که مقامات مربوطه به اطلاعات رسمی ایجاد شده توسط کارمند اخراج شده دسترسی دارند و ذخیره شده در سیستم اطلاعاتی.
• امنیت پرسنل: کارکنان مسافرتی. هنگامی که یک کارمند به موقعیت دیگری حرکت می کند، سازمان حقوق دسترسی به IP و منابع آن را به او ارائه می دهد و اقدامات مناسب مانند تولید کلید های جدید، کارت های شناسایی، Skips، بسته شدن قدیمی و موسسه سیستم جدید را فراهم می کند حساب ها، و همچنین تغییر حقوق دسترسی.
• امنیت شخصی: موافقت نامه های دسترسی. قبل از ارائه دسترسی به سیستم اطلاعات و اطلاعات، یک کارمند که نیاز به چنین دسترسی دارد، با موافقت نامه های مناسب (به عنوان مثال، عدم افشای اطلاعات، استفاده مناسب از IP)، و همچنین قوانین رفتار، کشیده شده است شرکت امضای این موافقتنامه ها را توسط طرفین فراهم می کند و با فرکانس مشخص آنها را بازبینی می کند.
• امنیت پرسنل: الزامات امنیتی برای کارکنان شخص ثالث. این سازمان نیازهای امنیتی را شامل می شود، از جمله نقش ها و مسئولیت ها، کارکنان شخص ثالث ( خدمات خدمات، پیمانکاران، توسعه دهندگان، تامین کنندگان خدمات اطلاعات و خدمات مدیریت سیستم ها و شبکه ها) و مانیتور ارائه سازمان های شخص ثالث سطح کافی امنیت اطلاعات.
• امنیت پرسنل: تحریم ها. این شرکت از یک فرآیند رسمی مجازات کارکنانی که سیاست ها و رویه های امنیتی را نقض کرده اند، استفاده می کند.
• حفاظت فیزیکی: سیاست و رویه ها. توسعه یافته، توزیع شده، دوره ای تجدید نظر شده و تغییر:
  • رسمی سیاست حفاظت از فیزیکی مستند، که هدف، پوشش، نقش، مسئولیت ها، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین فعلی را ارائه می دهد؛
  • روش های رسمی مستند شده به اجرای سیاست ها و تنظیم کننده های مرتبط با حفاظت فیزیکی کمک می کند.
• حفاظت فیزیکی: مجوز دسترسی فیزیکی. سازمان ها تا به امروز کشیده شده و پشتیبانی می شوند، لیستی از کارکنانی که دسترسی به مکان هایی دارند که در آن اجزای سیستم اطلاعاتی واقع شده اند (به جز اتاقهایی که به طور رسمی به صورت عمومی در نظر گرفته می شوند)، گواهینامه های مربوطه (BEJJ، کارت شناسایی، فکری کارت ها) صادر می شوند؛ مقامات مربوطه با بازبینی فرکانس مشخص و تصویب لیست ها و گواهینامه ها.
• حفاظت فیزیکی: مدیریت دسترسی فیزیکی. لازم است کنترل نقاط دسترسی فیزیکی، از جمله نقاط ورود / خروجی رسمی، در محل هایی که اجزای سیستم اطلاعاتی (به جز اتاقهایی که به طور رسمی در دسترس عموم قرار می گیرند) ضروری است. قبل از اجازه دادن به آنها اجازه دسترسی به آنها باید توسط مقامات قانون بررسی شود. علاوه بر این، دسترسی به محل، به طور رسمی در نظر گرفته شده به طور عمومی در نظر گرفته شده است، مطابق با ارزیابی ریسک.
• ردیابی دسترسی فیزیکی به سیستم به منظور شناسایی و پاسخ دادن به نقض.
• دسترسی فیزیکی به سیستم اطلاعاتی توسط احراز هویت بازدید کنندگان قبل از اجازه دادن به محل هایی که اجزای IC در آن قرار دارند (به جز اتاقهایی که به طور رسمی در دسترس عموم قرار می گیرند)، وارد می شوند.
• این شرکت از مجلات بازدید از مجلات به محل (به استثنای آن ها رسما در نظر گرفته شده به طور عمومی در دسترس است)، جایی که آنها ثبت شده است:
  • نام خانوادگی، نام بازدید کننده و نام سازمان؛
  • امضا بازدید کننده؛
  • اسناد ارائه شده (فرم شناسایی)؛
  • تاریخ و زمان دسترسی (ورودی و خروجی)؛
  • هدف بازدید؛
  • نام خانوادگی، نام شخص بازدید شده و متعلق سازمانی آن؛ مقامات مربوطه با یک فرکانس داده شده مشاهده می شوند.
• حفاظت فیزیکی: روشنایی اضطراری. این شرکت نیاز به استفاده و نگهداری سیستم های روشنایی اضطراری اتوماتیک دارد که در قطع برق و خروجی های اضطراری و مسیرهای تخلیه پوشش داده می شود.
• سیستم ها / سیستم های آتش خاموش و سیستم های تشخیص آتش استفاده می شود.
• حفاظت فیزیکی: کنترل دما و رطوبت. ردیابی و نگهداری در دمای مجاز و رطوبت در اتاق های حاوی اجزای IP.
• لازم است محافظت از IP از سیل و نشت ناشی از آسیب به تامین آب و یا به موجب دلایل دیگر، اطمینان از دسترس بودن و سلامت جرثقیل ها، آب همپوشانی و اطلاع رسانی به مقامات مربوطه در مورد محل این جرثقیل.
• حفاظت فیزیکی: تحویل و صادرات. این سازمان توسط تحویل و صادرات اجزای سیستم اطلاعات (سخت افزار و نرم افزار) کنترل می شود و از اطلاعات مربوط به محل این اجزاء پشتیبانی می کند.
• برنامه ریزی کار بدون وقفه: سیاست و رویه ها. توسعه یافته، توزیع شده، دوره ای تجدید نظر شده و تغییر:
  • این مقام رسمی مستند شده سیاست برنامه ریزی بدون وقفه، که هدف، پوشش، نقش، مسئولیت ها، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین کنونی را ارائه می دهد؛
  • روش های مستند رسمی که به زندگی سیاست و تنظیم کننده های کار بدون وقفه کمک می کند.
• یک برنامه برای اطمینان از عملکرد بی وقفه سیستم اطلاعاتی، که نقش ها، مسئولیت های مقامات مسئول را توصیف می کند، نشان دهنده مختصات تماس آنها است. علاوه بر این، این طرح اقدامات تجویزی انجام شده در هنگام بازیابی IP پس از آسیب و حوادث انجام می شود. مقامات مربوطه این طرح را تجدید نظر و تایید می کنند و به توجه کارکنان مسئول کار بی وقفه می پردازند.
• برنامه ریزی کار بدون وقفه: تغییر برنامه کاری بدون وقفه. با یک فرکانس داده شده، اما حداقل یک بار در سال، سازمان برنامه ای را برای اطمینان از عملکرد بی وقفه سیستم اطلاعاتی را بازبینی می کند تا منعکس کننده تغییرات ساختار IP یا سازمان و / یا از بین بردن مشکلات شناسایی شده در طول پیاده سازی، اعدام و / یا تست طرح.
• با یک فرکانس مشخص انجام می شود پشتیبان گیری داده های سفارشی و سیستم موجود در سیستم اطلاعاتی (از جمله داده ها در وضعیت IP)، نسخه پشتیبان تهیه شده در مکان های امن ذخیره می شود.
• این سازمان از مکانیزم ها و روش های پشتیبانی می کند که به شما امکان بازگرداندن سیستم اطلاعات پس از آسیب یا حوادث را می دهد.
• مدیریت پیکربندی: سیاست و رویه ها. توسعه یافته، توزیع شده، دوره ای تجدید نظر شده و تغییر:
  • سیاست مدیریت پیکربندی مستند مستند، که هدف، پوشش، نقش، مسئولیت ها، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین فعلی را ارائه می دهد؛
  • رویه های مستند رسمی که به اجرای سیاست ها و تنظیم کننده های کنترل پیکربندی مرتبط کمک می کند کمک می کند.
• این شرکت توسط پیکربندی پایه فعلی سیستم اطلاعاتی، اجزای موجودی IP و داده های مربوطه در مورد صاحبان آنها توسعه داده شده است، مستند شده و پشتیبانی می شود.
• در شرکت:
  • تنظیمات اجباری تایید شده برای محصولات فناوری اطلاعات مورد استفاده در IP؛
  • تنظیمات نصب برای محصولات فناوری اطلاعات در حالت محدود کننده سازگار با نیازهای عملیاتی ایجاد می شود؛
  • تنظیمات ثبت شده اند
  • تنظیمات مناسب تمام اجزای سیستم اطلاعات ارائه شده است.
  • پشتیبانی: سیاست و رویه ها. توسعه یافته، توزیع شده، دوره ای تجدید نظر شده و تغییر:
  • سیاست رسمی مستند شده، که هدف، پوشش، نقش، مسئولیت ها، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین فعلی را ارائه می دهد؛
  • روش های مستند رسمی که به اجرای سیاست ها و تنظیم کننده های پشتیبانی مرتبط کمک می کند.
• برنامه ریزی، پیاده سازی و مستند سازی پشتیبانی روزانه، پیشگیرانه و منظم اجزای سیستم اطلاعات مطابق با مشخصات تولید کننده یا تامین کننده و / یا الزامات سازمانی.
• سازمان مجاز، کنترل ها و مانیتور ها از راه دور فعالیت های همراه و تشخیصی را اجرا می کند.
• اسکورت: کارکنان همراه لازم است فهرستی از افرادی را که مجاز به همراه سیستم اطلاعاتی هستند، حفظ کنید. فقط کارکنان مجاز پشتیبانی IP را انجام می دهند.
• یکپارچگی سیستم ها و داده ها: سیاست و روش ها. توسعه، توزیع، تجدید نظر دوره ای و تغییر:
  • سیاست های رسمی مستند شده از سیستم ها و داده ها، که هدف، پوشش، نقش، مسئولیت ها، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین فعلی را ارائه می دهد؛
  • روشهای مستند رسمی که به اجرای سیاست ها و تنظیم کننده های یکپارچگی مرتبط با سیستم ها و داده ها کمک می کند.
• یکپارچگی سیستم ها و داده ها: از بین بردن نقص ها. شناسایی نقص سیستم اطلاعات، اطلاع رسانی به آنها و اصلاح.
• این شرکت در حفاظت از سیستم اطلاعاتی در برابر نرم افزار های مخرب، از جمله توانایی به روز رسانی خودکار اجرا می شود.
• یکپارچگی سیستم ها و داده ها: سیگنال های مربوط به نقض امنیتی و گزارش های تهدیدات جدید. لازم است به طور منظم سیگنال ها راجع به نقض امنیتی و گزارش های تهدید جدید برای IP، آنها را به توجه مقامات مناسب و به درستی به آنها واکنش نشان می دهند.
• حفاظت از رسانه ها: سیاست ها و روش ها. توسعه، توزیع، تجدید نظر دوره ای و تغییر:
  • خط مشی حفاظت از رسانه های رسمی، که هدف، پوشش، نقش، مسئولیت ها، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین کنونی را ارائه می دهد؛
  • روش های مستند رسمی که به زندگی سیاست ها و تنظیم کننده های حفاظت از حامل مرتبط کمک می کند.
• لازم است اطمینان حاصل شود که فقط کاربران مجاز دسترسی به اطلاعات را دارند فرم چاپ یا رسانه های دیجیتال از سیستم اطلاعاتی دستگیر شدند.
• حفاظت از رسانه ها: بهداشت و خروجی. سازمان:
  • قبل از نتیجه گیری از عملیات یا انتقال برای استفاده مجدد، رسانه ها (هر دو کاغذ و دیجیتال) را می شکند؛
  • آهنگ ها، اسناد و تأیید فعالیت در بازسازی حامل ها؛
  • به طور دوره ای تجهیزات و روش های گسترده را آزمایش می کند تا اطمینان حاصل شود که آنها درست هستند.
• پاسخ به نقض امنیت اطلاعات: سیاست ها و رویه ها. توسعه، توزیع، تجدید نظر دوره ای و تغییر:
  • سیاست پاسخ رسمی مستند شده برای نقض امنیت اطلاعاتی، که هدف، پوشش، نقش، مسئولیت ها، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین کنونی را ارائه می دهد؛
  • روش های مستند رسمی که به اجرای سیاست ها و تنظیم کننده های وابسته به پاسخ به نقض امنیت اطلاعات کمک می کند.
• این شرکت سازه ها را به نقض امنیت اطلاعات (گروه پاسخ)، از جمله آموزش، شناسایی و تجزیه و تحلیل، محلی سازی، انحلال ضربه و بازسازی پس از نقض، پاسخ می دهد.
• لازم است اطلاعات به موقع در مورد نقض IB به توجه مقامات مجاز.
• شکل گیری یک ساختار برای صدور توصیه ها و کمک به کاربران IP در هنگام پاسخ به نقض IB و گزارش های مربوط به آنها؛ این ساختار بخشی جدایی ناپذیر از گروه پاسخ است.
• اطلاع رسانی و یادگیری: سیاست و رویه ها. توسعه، توزیع، تجدید نظر دوره ای و تغییر:
  • مقام رسمی مستند سیاست اطلاع رسانی و یادگیری کارکنانی که هدف، پوشش، نقش، وظایف، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین کنونی؛
  • رویه های رسمی مستند کمک به اجرای سیاست ها و رگولاتورهای وابسته به اطلاع رسانی و آموزش کارکنان.
• اطلاع رسانی و آموزش: اطلاع رسانی در مورد مشکلات IB. باید اطمینان حاصل شود که تمام کاربران، از جمله مدیران، اطلاعات اولیه ای را در مورد IB ساخته اند، قبل از اینکه این کاربران دسترسی به IP را ارائه دهند؛ چنین اطلاعاتی باید همچنان با یک فرکانس مشخص ادامه یابد، اما نه کمتر از یک بار در سال.
• اطلاع رسانی و یادگیری: آموزش IB. لازم است که شناسایی مقامات ایفا کنیم که نقش مهمی ایفا می کنند و مسئولیت های مسئول را برای اطمینان از امنیت اطلاعات IP، این نقش ها و تعهدات را تأیید می کنند و از آموزش مناسب این افراد اطمینان می دهند تا بتوانند دسترسی به IP را فراهم کنند. چنین یادگیری باید با یک فرکانس مشخص ادامه یابد.
• اطلاعات و آموزش: مستند سازی آموزش آموزش IB. این شرکت مستند شده و نظارت بر دوره آموزش هر کارمند IB، از جمله دوره مقدماتی و دوره های خاص IP را نظارت می کند.
• اطلاع رسانی و آموزش: ارتباط با گروه ها و انجمن امنیت اطلاعات. توصیه می شود ارتباط برقرار کردن و حفظ ارتباطات با گروه ها، انجمن ها و انجمن های متخصص در امنیت اطلاعاتی که از وضعیت فعلی IB، تجهیزات پیشرفته توصیه شده، روش ها و فن آوری ها آگاه باشند، برقرار شود.

در حداقل سطح امنیت اطلاعات، توصیه می شود که موارد زیر را اعمال کنید نرم افزار و تنظیم کننده های ایمنی فنی.

• شناسایی و احراز هویت: سیاست و رویه ها. توسعه، توزیع، تجدید نظر دوره ای و تغییر:
  • رسمی ثبت نام مستند شده و سیاست تأیید اعتبار، که هدف، پوشش، نقش، مسئولیت ها، مدیریت پشتیبانی، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین کنونی را ارائه می دهد؛
  • روش های رسمی مستند شده به اجرای سیاست ها و تنظیم کننده های شناسایی و احراز هویت مربوطه کمک می کند.
• سیستم اطلاعاتی به طور یکنواخت شناسایی و تأیید اعتبار کاربران (یا فرآیندهای عمل بر روی نام کاربری).
• شناسایی و احراز هویت: مدیریت شناسه ها. این سازمان شناسایی شناسه های کاربر را مدیریت می کند:
  • شناسایی منحصر به فرد هر کاربر؛
  • تأیید شناسه هر کاربر؛
  • اخذ مجوز رسمی از مقامات مجاز به انتشار شناسه کاربر؛
  • ارائه خروجی شناسه برای کاربر مورد نظر؛
  • خاتمه شناسه کاربر پس از یک دوره فعالیت مشخص؛
  • آرشیو شناسه های کاربر
• شناسایی و احراز هویت: مدیریت تأیید اعتبار. این شرکت تصدیق کننده ها را در سیستم اطلاعاتی (نشانه ها، گواهینامه ها در زیرساخت های کلیدی عمومی، داده های بیومتریک، رمزهای عبور، کارت های کلیدی، و غیره) مدیریت می کند.
  • تعاریف محتوای اولیه تایید کننده؛
  • مقررات رویه های اداری برای توزیع اولیه تایید کننده ها، جایگزینی اعتبار سنجی های از دست رفته، آسیب دیده یا آسیب دیده، و همچنین بررسی های تأیید کننده؛
  • پس از نصب سیستم اطلاعاتی به تأیید کننده های ضمنی تغییر می کند.
• شناسایی و احراز هویت: مرجع اعتبار سنجی ها. سیستم اطلاعاتی، نمایش اکو اطلاعات احراز هویت را در فرایند احراز هویت پنهان می کند تا از این اطلاعات از استفاده احتمالی توسط افراد غیر مجاز محافظت شود.
• شناسایی و احراز هویت: احراز هویت با توجه به ماژول های رمزنگاری. برای احراز هویت با توجه به ماژول های رمزنگاری، سیستم اطلاعاتی روش هایی را اعمال می کند که نیازهای استانداردهای این ماژول ها را برآورده می کند.
• کنترل دسترسی: سیاست و رویه ها. توسعه، توزیع، تجدید نظر دوره ای و تغییر:
  • رسمی سیاست کنترل دسترسی مستند شده، که هدف، پوشش، نقش، مسئولیت ها، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین فعلی را ارائه می دهد؛
  • روش های مستند رسمی که به اجرای سیاست ها و تنظیم کننده های کنترل دسترسی مرتبط کمک می کند.
• این سازمان حسابهای سیستم اطلاعاتی را مدیریت می کند، از جمله خلقت، فعال سازی، اصلاح، اصلاح (با فرکانس مشخص شده)، قطع اتصال و حذف.
• سیستم اطلاعاتی، امتیازات اختصاص داده شده را برای مدیریت دسترسی به سیستم مطابق با سیاست های قابل اجرا انجام می دهد.
• کنترل دسترسی: تلاش های ورودی ناموفق. سیستم اطلاعاتی محدودیتی را در مورد تعداد متوالی تأمین می کند تلاش ناموفق دسترسی از کاربر برای یک دوره مشخص از زمان، به طور خودکار قفل حساب یا به تاخیر انداختن با توجه به یک الگوریتم داده شده برای صدور دعوت به ورودی در یک زمان معین زمانی که حداکثر تعداد مجاز از تلاش های ناموفق بیش از حد است.
• کنترل دسترسی: هشدار برای استفاده از سیستم. سیستم اطلاعاتی یک پیام هشدار دهنده رسما تایید شده را در مورد استفاده از سیستم نشان می دهد قبل از اینکه به آن دسترسی پیدا کنید، کاربران بالقوه را مطلع کنید:
  • درباره سیستم لوازم جانبی سازمانی؛
  • در نظارت احتمالی، ورود و حسابرسی استفاده از سیستم؛
  • درباره ممنوعیت و مجازات احتمالی برای استفاده غیر مجاز از سیستم؛
  • در رضایت کاربر در نظارت و ورود به سیستم در مورد استفاده از سیستم؛ یک پیام هشدار شامل مقررات سیاست امنیتی مناسب است و تا زمانی که کاربر اقدامات صریح را برای ورود به IP انجام دهد، بر روی صفحه نمایش باقی می ماند.
• کنترل دسترسی: نظارت و مشاهده. این سازمان نظارت و بررسی اقدامات کاربران در مورد اجرای و استفاده از تنظیم کننده های دسترسی موجود در IC را بررسی می کند.
• کنترل دسترسی: اقدامات مجاز بدون شناسایی و احراز هویت. تعریف اقدامات خاصی از کاربران که می توانند در سیستم اطلاعاتی بدون شناسایی و احراز هویت انجام شوند.
• مستند سازی، ردیابی و کنترل تمام انواع دسترسی از راه دور به IP (به عنوان مثال، از طریق ورودی های مودم یا از طریق اینترنت)، از جمله دسترسی از راه دور برای انجام اقدامات ترجیحی؛ مقامات مربوطه اجازه استفاده از هر نوع دسترسی از راه دور و مجاز به اعمال تنها کسانی که مورد نیاز است.
• سازمان:
  • محدودیت های مربوط به استفاده را تعیین می کند و اجرای تکنولوژی های بی سیم را مدیریت می کند؛
  • اسناد، مانیتور ها و کنترل دسترسی بی سیم به IP؛ مقامات مربوطه اجازه استفاده از فن آوری های بی سیم را مجاز می دانند.
• کنترل دسترسی: سیستم های اطلاعات شخصی. محدود کردن استفاده از سیستم های اطلاعات شخصی برای نیازهای تولید، از جمله پردازش، ذخیره سازی و انتقال اطلاعات تولید.
• ورود به سیستم و حسابرسی: سیاست و رویه ها. توسعه، توزیع، تجدید نظر دوره ای و تغییر:
  • مقامات رسمی مستند شده از پروتکل و حسابرسی، که هدف، پوشش، نقش، مسئولیت ها، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین فعلی را ارائه می دهد؛
  • روش های مستند رسمی که به اجرای سیاست ها و تنظیم کننده ها و حسابرسی های مرتبط مرتبط مرتبط کمک می کند.
• ورود به سیستم و حسابرسی: رویدادهای ورود به سیستم. سیستم اطلاعاتی سوابق ثبت نام را برای رویدادهای مشخص شده تولید می کند.
• سیستم اطلاعاتی موجب صرفه جویی در اطلاعات کافی در پرونده های ثبت نام برای تعیین اینکه کدام رویداد اتفاق افتاده است، منبع این رویداد بود که نتیجه رویداد بود.
• ورود و حسابرسی: منابع برای ذخیره اطلاعات ثبت نام. لازم است مقدار کافی منابع لازم برای ذخیره اطلاعات ثبت نام و پیکربندی ورود به سیستم را برجسته کنید تا از خستگی این منابع جلوگیری شود.
• در صورت عدم شکست ورود به سیستم یا خستگی از ثبت منابع اطلاعات، سیستم اطلاعاتی به مقامات مربوطه هشدار می دهد و اقدامات اضافی داده شده را در بر می گیرد.
• ورود به سیستم و حسابرسی: حفاظت از اطلاعات ثبت نام. سیستم اطلاعاتی از اطلاعات ثبت نام و ابزار ورود به سیستم / حسابرسی از دسترسی غیر مجاز، اصلاحات و حذف محافظت می کند.
• ورود به سیستم و حسابرسی: صرفه جویی در اطلاعات ثبت نام. اطلاعات ثبت نام باید برای یک زمان معین نگهداری شود تا اطمینان از حمایت از تحقیقات نقض امنیت اطلاعات قبلی و تحقق الزامات قوانین فعلی و الزامات سازمانی برای صرفه جویی در اطلاعات باشد.
• حفاظت از سیستم ها و ارتباطات: سیاست و رویه ها. توسعه، توزیع، تجدید نظر دوره ای و تغییر:
  • مقام رسمی مستند سیاست حفاظت از سیستم ها و ارتباطات، که هدف، پوشش، نقش، مسئولیت ها، حمایت از مدیریت، هماهنگی بین ساختارهای سازمانی و انطباق با قوانین فعلی را ارائه می دهد؛
  • روش های مستند رسمی که به اجرای سیاست ها و تنظیم کننده های وابسته به حفاظت از سیستم ها و ارتباطات کمک می کند.
• حفاظت از سیستم ها و ارتباطات: حفاظت در برابر حملات به دسترسی. سیستم اطلاعاتی در برابر حملات به در دسترس بودن گونه های مشخص شده محافظت می کند یا تاثیرات آنها را محدود می کند.
• سیستم اطلاعات نظارت و کنترل ارتباطات بر محدودیت های داخلی و کلیدی داخلی IP را کنترل می کند.
• حفاظت از سیستم ها و ارتباطات: استفاده از رمزنگاری چاپ شده. اگر سیستم اطلاعاتی اعمال شود محصولات رمزنگاریآنها باید نیازهای قانون فعلی، مقررات فنی، استانداردها، دستورالعمل ها و اسناد قانونی، استانداردهای بخش و استانداردهای سازمانی را برآورده کنند.
• حفاظت از سیستم ها و ارتباطات: حفاظت از سیستم های موجود در دسترس. سیستم اطلاعاتی، یکپارچگی داده ها و برنامه های کاربردی را برای سیستم های موجود در دسترس تضمین می کند.

تنظیم کننده های امنیتی اضافی و تقویت شده برای IB متوسط

برای یک سطح متوسط \u200b\u200bامنیت اطلاعات، توصیه می شود که اضافی اضافی و تقویت (در مقایسه با حداقل سطح) تنظیم کننده های ایمنی را اعمال کنید.

• با یک فرکانس مشخص یا پس از ظهور اطلاعات در مورد آسیب پذیری های جدید برای آسیب پذیری های IP، شما باید آسیب پذیری ها را در سیستم اطلاعاتی اسکن کنید.
• برنامه ریزی امنیتی: برنامه ریزی امنیتی. اطمینان از برنامه ریزی مناسب و هماهنگی فعالیت های مربوط به امنیت و تأثیرگذاری بر سیستم اطلاعاتی به منظور به حداقل رساندن تاثیر منفی بر کار و دارایی های سازمان (از جمله مأموریت، توابع، تصویر و شهرت آن).
• خرید سیستم ها و خدمات: مستندات. شما باید در بسته کلی اسناد وارد شوید، مستندات از تولید کننده / تامین کننده (در صورت وجود) توصیف خواص عملکردی تنظیم کننده های امنیتی در سیستم اطلاعاتی کاملا دقیق است تا بتواند تجزیه و تحلیل و آزمایش تنظیم کننده ها را تجزیه و تحلیل کند.
• خرید سیستم ها و خدمات: اصول طراحی امنیت اطلاعات. طراحی و پیاده سازی سیستم اطلاعاتی با استفاده از اصول طراحی امنیت اطلاعات انجام می شود.
• خرید سیستم ها و خدمات: تست ایمنی توسط توسعه دهنده. توسعه دهنده سیستم اطلاعاتی یک طرح ارزیابی و ایمنی را تشکیل می دهد و نتایج آن را اجرا می کند. دومی می تواند برای حمایت از صدور گواهینامه برای نیازهای ایمنی و اعتباربخشی IP عرضه شده استفاده شود.
• صدور گواهینامه، اعتبار سنجی و ارزیابی ایمنی: ارزیابی ایمنی. با یک فرکانس داده شده، اما حداقل یک بار در سال، توصیه می شود که تنظیم کننده های ایمنی در سیستم اطلاعاتی را ارزیابی کنید تا تعیین کنید که چگونه به درستی آنها اجرا می شوند، عملکرد مطابق با مشخصات و نتایج انتظار می رود از نقطه نظر برآورده شدن نیازهای امنیتی اطلاعات.
• صدور گواهینامه، اعتباربخشی و ارزیابی ایمنی: صدور گواهینامه امنیتی. ارزیابی تنظیم کننده های امنیتی در سیستم اطلاعاتی برای اهداف صدور گواهینامه توسط نیازهای امنیتی توسط یک سازمان گواهینامه مستقل انجام می شود.
• حفاظت فیزیکی: کنترل دسترسی به دستگاه های نمایش اطلاعات. کنترل دسترسی فیزیکی به دستگاه های نمایش اطلاعات به منظور محافظت از دومی از نظر افراد غیر مجاز.
• حفاظت فیزیکی: نظارت بر دسترسی فیزیکی. سیگنال های تهاجم در زمان واقعی و داده های دستگاه های ردیابی ردیابی می شوند.
• حفاظت فیزیکی: نظارت بازدید کنندگان. اطمینان از نگهداری بازدید کنندگان و در صورت لزوم، نظارت بر فعالیت آنها.
• حفاظت فیزیکی: تجهیزات الکتریکی و سیم کشی. حفاظت تجهیزات برق و سیم کشی برای سیستم اطلاعاتی از آسیب و تخریب.
• حفاظت فیزیکی: خاموش شدن اضطراری. برای اتاق های خاصی که منابع سیستم اطلاعاتی متمرکز شده اند (مراکز داده، اتاق های سرور، اتاق های ماشین برای رایانه های اصلی، و غیره)، لازم است اطمینان حاصل شود که امکان خاموش کردن قدرت به هر گونه امتناع (به عنوان مثال، به دلیل مدار کوتاه) یا در معرض خطر (به عنوان مثال، به دلیل شکستن تامین آب)، جزء IP، بدون افشای پرسنل خطر مرتبط با دسترسی به تجهیزات.
• ارائه منابع کوتاه مدت قدرت بی وقفهبه شما اجازه می دهد تا سیستم اطلاعاتی را به دقت خاموش کنید.
• حفاظت فیزیکی: حفاظت از آتش. لازم است که دستگاه ها / سیستم های خاموش کننده دستگاه ها را اعمال و نگهداری و شناسایی آتش سوزی هایی که به طور خودکار به آتش می روند.
• حفاظت فیزیکی: زمین بازی تولید قطعات یدکی. کارکنان سازمان در پلت فرم تولید قطعات یدکی از تنظیم کننده های امنیتی مناسب برای IP استفاده می کنند.
• حفاظت فیزیکی: محل اجزای سیستم اطلاعاتی. اجزای سیستم اطلاعاتی باید در مناطق تعیین شده قرار گیرد تا آسیب های بالقوه ای را از خطرات فیزیکی و تهدیدات محیط زیست، و همچنین امکان دسترسی غیر مجاز به حداقل برساند.
• برنامه ریزی کار بدون وقفه: برنامه کاری بی وقفه. این سازمان توسعه یک برنامه کاری بدون وقفه را با ساختارهای مسئول برنامه های مرتبط (به عنوان مثال، برنامه های بهبودی پس از حوادث، پاسخ به اختلالات امنیتی و غیره) هماهنگ می کند.
• این شرکت آموزش کارکنان نقش ها و مسئولیت های خود را سازماندهی می کند تا اطمینان حاصل شود که عملکرد صحیح سیستم اطلاعاتی، و همچنین با یک فرکانس مشخص، اما نه کمتر از یک بار در سال، تمرینات برای حفظ مهارت های عملی برگزار می شود.
• با یک فرکانس مشخص، اما حداقل یک بار در سال، سازمان توسط یک برنامه برای عملیات بی وقفه سیستم اطلاعاتی مورد آزمایش قرار می گیرد. برای این منظور، آزمایش های مشخص شده و روش های آموزشی برای تعیین اثربخشی طرح و آمادگی سازمان به اجرای آن اعمال می شود. مقامات مناسب نتایج آزمایش برنامه را بررسی می کنند و اقدامات اصلاحی را آغاز می کنند. این سازمان تست یک برنامه کاری بدون وقفه را با ساختارهای مسئول برنامه های مرتبط (به عنوان مثال، برنامه های بهبودی پس از حوادث، پاسخ به اختلالات امنیتی و غیره) هماهنگ می کند.
• لازم است یک مکان یدکی ذخیره سازی را تعریف کنید و موافقت نامه های لازم را به دست آورید تا اطلاعات پشتیبان داده های اطلاعات سیستم اطلاعات را ذخیره کنید؛ ذخیره سازی اضافی به صورت محلی باید از چیزی اصلی حذف شود تا آن را با خطرات مشابه قرار ندهید.
• پردازش داده های اضافی تعیین می شود و توافق های لازم برای انجام این امکان به منظور بازگرداندن سیستم اطلاعاتی توابع تولید بحرانی برای یک دوره مشخص از زمان، اگر ابزار پردازش داده های اولیه غیرقابل دسترس باشد، آغاز شود. محل صرفه جویی در پردازش داده ها از لحاظ جغرافیایی از اصل حذف شده است و بنابراین به همان خطرات مربوط نیست. مشکلات بالقوه با دسترسی به پردازش داده های یدکی در مورد حوادث بزرگ و یا بلایای طبیعی تعیین می شود، اقدامات آشکار برای کاهش مشکلات شناسایی شده است. توافق نامه در محل پردازش اطلاعات یدکی شامل تعهد خدمات اولویتی مطابق با الزامات سازمان برای دسترسی است.
• منابع اصلی و یدکی خدمات مخابراتی پشتیبانی از سیستم اطلاعاتی تعیین می شود. موافقت نامه های لازم برای شروع امکان بازگرداندن سیستم اطلاعاتی از توابع تولید مهم بحرانی در طول یک دوره مشخص در صورتی که منبع اصلی خدمات مخابراتی غیرقابل دسترس باشد، آغاز شود. منابع اصلی و رزرو خدمات مخابراتی شامل تعهدات اولویت خدمات مطابق با الزامات سازمان برای دسترسی هستند. منبع یدکی خدمات مخابراتی، یک نقطه واحد امتناع از منبع اصلی را به اشتراک نمی گذارد.
• برنامه ریزی کار بدون وقفه: پشتیبان گیری. با یک فرکانس داده شده در سازمان، پشتیبان گیری تست شده اند تا اطمینان حاصل شود که حامل ها و یکپارچگی داده ها مورد آزمایش قرار می گیرند.
• مدیریت پیکربندی: پیکربندی پایه و اجزای موجودی سیستم اطلاعاتی. هنگام نصب اجزای جدید، پیکربندی اولیه سیستم اطلاعاتی و اجزای OPEV تغییر می کنند.
• سند و تغییرات کنترل شده در سیستم اطلاعاتی؛ مقامات مربوطه مجوز IP را مطابق با سیاست ها و رویه های تصویب شده مجاز می دانند.
• مدیریت پیکربندی: نظارت بر پیکربندی. لازم به پیگیری تغییرات در سیستم اطلاعاتی و تجزیه و تحلیل تأثیر ایمنی آنها برای تعیین اثر تغییرات است.
• این سازمان محدودیت های فیزیکی و منطقی را در دسترسی به تغییرات در سیستم اطلاعاتی اجرا می کند و سوابق را که منعکس کننده تمام چنین تغییراتی را ایجاد می کند، موجب صرفه جویی می شود.
• شما باید سیستم اطلاعات را پیکربندی کنید تا بتوانید فقط قابلیت های لازم را ارائه دهید و به طور صریح استفاده از توابع، پورت ها، پروتکل ها و / یا خدمات را محدود کنید.
• پشتیبانی: پشتیبانی دوره ای. ورود ثبت نام توسط سیستم پشتیبانی از سیستم پشتیبانی پشتیبانی می شود که:
  • تاریخ و زمان خدمات؛
  • نام خانوادگی و نام فردی که خدمت کرده است؛
  • نام خانوادگی و نام همراهی، در صورت لزوم؛
  • شرح عملیات تعمیر و نگهداری IP؛
  • فهرست تجهیزات از راه دور یا جابجایی (با شماره شناسایی).
• این سازمان اجازه استفاده از ابزار حمایت از سیستم اطلاعاتی را تأیید می کند و به طور مداوم از این وجوه حمایت می کند.
• تعمیر و نگهداری: خدمات به موقع. این سازمان خدمات تعمیر و نگهداری و قطعات یدکی برای اجزای کلیدی سیستم اطلاعاتی را برای یک دوره مشخص از زمان دریافت می کند.
• یکپارچگی سیستم ها و داده ها: حفاظت در برابر نرم افزار مخرب. مکانیسم های مدیریت متمرکز برای حفاظت در برابر نرم افزار مخرب.
• یکپارچگی سیستم ها و داده ها: ابزار و روش های نظارت بر سیستم اطلاعاتی. استفاده از روش ها و روش های نظارت بر رویدادهای سیستم اطلاعاتی، شناسایی حملات و شناسایی استفاده غیر مجاز از IP.
• سیستم اطلاعاتی توسط حفاظت از اسپم اجرا می شود.
• یکپارچگی سیستم ها و داده ها: محدودیت های ورود داده ها. این سازمان حق دسترسی به اطلاعات را به سیستم اطلاعاتی تنها مجاز به وارد کردن داده ها فراهم می کند.
• یکپارچگی سیستم ها و داده ها: دقت، کامل بودن، دقت و صحت داده ها. سیستم اطلاعاتی اطلاعات مربوط به دقت، کامل بودن، دقت و صحت را بررسی می کند.
• یکپارچگی سیستم ها و داده ها: پردازش خطا. سیستم اطلاعاتی به صراحت شرایط اشتباه را نشان می دهد و پردازش می کند.
• یکپارچگی سیستم ها و داده ها: پردازش و صرفه جویی در خروجی. خروجی سیستم اطلاعات پردازش شده و مطابق با سیاست ها و الزامات عملیاتی پذیرفته شده است.
• حفاظت از رسانه ها: برچسب های حامل. رسانه داده های قابل جابجایی و خروجی IP با علامت های خارجی حاوی محدودیت های توزیع و پردازش این داده ها تامین می شود؛ انواع مشخص شده از حامل ها یا اجزای سخت افزاری از برچسب ها معاف هستند، زیرا آنها در محدوده ناحیه کنترل شده باقی می مانند.
• حفاظت از رسانه ها: ذخیره رسانه ها. نظارت فیزیکی و ذخیره سازی امن حمل و نقل داده ها، کاغذ و دیجیتال، بر اساس حداکثر دسته اختصاص داده شده به داده های ثبت شده در حامل.
• حفاظت از رسانه ها: حمل و نقل رسانه ها. کنترل حامل های داده، کاغذ و دیجیتال و محدودیت ارسال، دریافت، حمل و نقل و تحویل رسانه ها به افراد مجاز.
• این شرکت کارکنان را به نقش ها و وظایف خود در ارتباط با پاسخگویی به نقض امنیت اطلاعات IP آموزش می دهد و با فرکانس مشخص شده، اما نه کمتر از یک بار در سال، آموزش را برای حفظ مهارت های عملی انجام می دهد.
• با یک فرکانس مشخص، اما حداقل یک بار در سال، آزمایش ابزار پاسخ دادن به ایمنی اطلاعاتی IP مورد آزمایش قرار می گیرد، در حالی که تست های مشخص شده و روش های آموزشی برای تعیین کارایی پاسخ استفاده می شود. نتایج مستند شده است
• پاسخ به نقض امنیت اطلاعات: پاسخ. برای حمایت از روند پاسخ برای امنیت اطلاعات، مکانیزم های اتوماتیک اعمال می شود.
• لازم است به طور مداوم ردیابی و نقض امنیت اطلاعات امنیت اطلاعات.
• پاسخ به نقض امنیت اطلاعات: گزارش های مربوط به نقض. استفاده از مکانیسم های اتوماتیک برای تسهیل گزارش های نقض امنیت اطلاعات.
• پاسخ به نقض امنیت اطلاعات: کمک. استفاده از مکانیزم های اتوماتیک برای افزایش دسترسی به اطلاعات و پشتیبانی مربوط به پاسخ به امنیت اطلاعاتی.
• شناسایی و احراز هویت: شناسایی و احراز هویت دستگاه ها. سیستم اطلاعاتی قبل از نصب ارتباط با آنها، دستگاه های خاصی را شناسایی و تأیید می کند.
• کنترل دسترسی: مدیریت حساب. استفاده از مکانیسم های اتوماتیک برای حمایت از مدیریت حساب در سیستم اطلاعات؛ سیستم اطلاعاتی به طور خودکار حساب های موقت و اضطراری را پس از زمان مشخص شده برای هر نوع فواصل زمانی متوقف می کند؛ سیستم اطلاعات به طور خودکار حساب های غیر فعال را پس از مدت زمان مشخص شده غیرفعال می کند.
• کنترل دسترسی: انجام. سیستم اطلاعاتی تضمین می کند که دسترسی به توابع امنیتی (توسط سخت افزار و / یا برنامه های کاربردی) و داده های محافظتی تنها به افراد مجاز (به عنوان مثال، مدیران امنیتی) ارائه شده است.
• کنترل دسترسی: پیاده سازی مدیریت جریان اطلاعات. سیستم اطلاعاتی دارای امتیازات اختصاص داده شده برای مدیریت جریان اطلاعات در سیستم و بین سیستم های متصل شده مطابق با سیاست امنیتی تصویب شده است.
• کنترل دسترسی: جداسازی وظایف. سیستم اطلاعاتی، جداسازی مسئولیت ها را با اختصاص دادن امتیازات دسترسی اجرا می کند.
• کنترل دسترسی: به حداقل رساندن امتیازات. سیستم اطلاعاتی، مجموعه محدود ترین حقوق / امتیازات مورد نیاز کاربران (یا فرآیندهای عمل را از طرف این کاربران) برای انجام وظایف خود را اجرا می کند.
• کنترل دسترسی: مسدود کردن جلسه سیستم اطلاعاتی مانع دسترسی بیشتر به IC با مسدود کردن جلسه تا زمانی که کاربر دسترسی را با استفاده از روش های شناسایی و احراز هویت مناسب بازیابی کند.
• کنترل دسترسی: خاتمه جلسه سیستم اطلاعاتی به طور خودکار جلسه را پس از دوره عدم فعالیت مشخص شده متوقف می کند.
• کنترل دسترسی: اقدامات مجاز بدون احراز هویت و احراز هویت. این سازمان اجازه اجرای اقدامات بدون شناسایی و احراز هویت را می دهد، فقط اگر آنها برای دستیابی به اهداف کلیدی سازمان ضروری باشند.
• کنترل دسترسی: دسترسی از راه دور استفاده از مکانیزم های اتوماتیک برای تسهیل نظارت و کنترل روش های دسترسی از راه دور، رمزگذاری - برای محافظت از حریم خصوصی جلسات دسترسی از راه دور. لازم است تمام دسترسی از راه دور را در نقطه دسترسی کنترل شده کنترل کنید.
• کنترل دسترسی: محدودیت های دسترسی بی سیم. اعمال احراز هویت و رمزگذاری برای محافظت از دسترسی بی سیم به سیستم اطلاعاتی.
• کنترل دسترسی: دستگاه های موبایل. سازمان:
  • محدودیت ها را در برنامه ایجاد می کند و دستورالعمل های مربوط به استفاده را توسعه می دهد دستگاه های موبایل;
  • سند، مانیتور ها و کنترل دسترسی از طریق چنین دستگاه هایی به IP؛ مقامات مربوطه اجازه استفاده از دستگاه های تلفن همراه را مجاز می دانند؛ برای محافظت از داده های واقع در دستگاه های تلفن همراه، هارد دیسک قابل جابجایی یا رمزنگاری استفاده می شود.
• ورود به سیستم و حسابرسی: سوابق ثبت محتوا. سیستم اطلاعاتی امکان پذیرش در سوابق ثبت نام اطلاعات اضافی، اطلاعات دقیق تر برای رویدادهای LogoBle شناسایی شده توسط نوع، محل یا موضوع را فراهم می کند.
• لازم است به طور منظم اطلاعات ثبت نام را به طور منظم مطالعه / تجزیه و تحلیل کنیم تا فعالیت های ناکافی یا غیر معمول را شناسایی کنیم، بررسی موارد فعالیت مشکوک یا نقض های ادعایی، گزارش نتایج به مقامات مربوطه و اقدامات لازم را انجام دهیم.
• سیستم اطلاعاتی توانایی کاهش اطلاعات ثبت و تولید گزارش ها را فراهم می کند.
• ورود به سیستم و حسابرسی: برچسب های زمانی. سیستم اطلاعاتی هنگام تولید سوابق ثبت نام، تمبرهای زمانی را برای استفاده فراهم می کند.
• حفاظت از سیستم ها و ارتباطات: جداسازی نرم افزار. سیستم اطلاعاتی رابط کاربر را به اشتراک می گذارد (از جمله خدمات رابط کاربری کاربر) از قابلیت کنترل IP.
• حفاظت از سیستم ها و ارتباطات: اطلاعات باقی مانده. سیستم اطلاعاتی از انتقال اطلاعات غیر مجاز و غیر مجاز از طریق منابع سیستم مشترک جلوگیری می کند.
• حفاظت از سیستم ها و ارتباطات: حفاظت از مرزها. توصیه می شود که از لحاظ جسمی اجزای عمومی سیستم اطلاعاتی (به عنوان مثال، سرورهای وب موجود در دسترس) را در زیر شبکه های جداگانه با رابط های شبکه فیزیکی فردی قرار دهید، از دسترسی عمومی به شبکه داخلی جلوگیری کنید، به جز به درستی دسترسی کنترل شده.
• سیستم اطلاعاتی از یکپارچگی داده های منتقل شده محافظت می کند.
• سیستم اطلاعاتی محرمانه بودن داده های منتقل شده را محافظت می کند.
• حفاظت از سیستم ها و ارتباطات: پارگی اتصالات شبکه. سیستم اطلاعاتی خاتمه یافته است اتصال شبکه در پایان جلسه یا بعد از دوره مشخص عدم فعالیت.
• حفاظت از سیستم ها و ارتباطات: نسل کلیدی رمزنگاری و مدیریت آنها. سیستم اطلاعاتی مکانیسم های اتوماتیک و روش های کمکی یا روش های دستی را برای تولید کلیدهای رمزنگاری و مدیریت کلیدی اعمال می کند.
• حفاظت از سیستم ها و ارتباطات: برنامه های جمعی. سیستم اطلاعاتی، فعال سازی راه دور مکانیسم های برنامه های جمعی را ممنوع می کند (به عنوان مثال، ویدئو یا کنفرانس های صوتی) و شواهد صریح از استفاده آنها به کاربران محلی را فراهم می کند (به عنوان مثال، نشان دهنده استفاده از دوربین های ویدئویی یا میکروفون).
• حفاظت از سیستم ها و ارتباطات: گواهینامه های زیرساخت های کلیدی عمومی. این سازمان سیاست ها را برای گواهینامه ها و ویژگی های عمل گواهینامه برای صدور گواهینامه های کلیدی عمومی مورد استفاده در سیستم اطلاعاتی توسعه داده و پیاده سازی می کند.
• حفاظت از سیستم ها و ارتباطات: کد تلفن همراه. سازمان:
  • محدودیت های نرم افزاری را تنظیم می کند و دستورالعمل ها را برای استفاده از تکنولوژی توسعه می دهد کد موبایلبر اساس احتمال آسیب رساندن به سیستم اطلاعاتی در استفاده مخرب از این فناوری؛
  • اسناد، مانیتور ها و کنترل استفاده از یک کد تلفن همراه در سیستم اطلاعاتی؛ مقامات مربوطه اجازه استفاده از کد تلفن همراه را مجاز می دانند.
• حفاظت از سیستم ها و ارتباطات: پروتکل VoIP. سازمان:
  • محدودیت های مربوط به برنامه را ایجاد می کند و دستورالعمل هایی را برای استفاده از فن آوری های VoIP، بر اساس امکان آسیب رساندن به سیستم اطلاعاتی در استفاده مخرب از این فن آوری ها توسعه می دهد؛
  • اسناد، مانیتور ها و کنترل استفاده از VoIP را در سیستم اطلاعاتی؛ مقامات مربوطه مجاز استفاده از VoIP هستند.
• حفاظت از سیستم ها و ارتباطات: خدمات جستجوی امن نام (منابع مجاز). سیستم های اطلاعاتی (سرورهای نام دامنه مجاز)، ارائه کاربران خارجی برای دسترسی به نام برای دسترسی به منابع اطلاعاتی سازمان از طریق اینترنت، ویژگی هایی را برای تأیید اعتبار منبع داده ها و نظارت بر یکپارچگی داده ها فراهم می کند تا کاربران را فرصتی برای دریافت صحت و پیام های یکپارچگی داشته باشند هنگام دریافت اطلاعات در معاملات شبکه.

تنظیم کننده های امنیتی اضافی و تقویت شده برای IB سطح بالا

برای سطح بالایی از امنیت اطلاعات، توصیه می شود که تنظیم کننده های امنیتی اضافی و افزایش یافته (در مقایسه با سطح متوسط) را اعمال کنید.

ارزیابی ریسک: آسیب پذیری های اسکن. اسکنرهای آسیب پذیری شامل توانایی به سرعت تغییر لیست آسیب پذیری های اسکن شده سیستم اطلاعاتی هستند.

با یک فرکانس مشخص یا پس از ظهور اطلاعات در مورد جدید مهم برای آسیب پذیری، این سازمان لیستی از آسیب پذیری های اسکن شده سیستم اطلاعات را تغییر می دهد.

• خرید سیستم ها و خدمات: مستندات. شما باید مستندات را از سازنده / تامین کننده در بسته سند عمومی فعال کنید (در صورت وجود) توصیف طراحی و اجرای تنظیم کننده های ایمنی در سیستم اطلاعاتی، با درجه ای از جزئیات کافی برای تجزیه و تحلیل و آزمایش تنظیم کننده ها ( از جمله رابط های کاربردی بین اجزای تنظیم کننده ها).
• خرید سیستم ها و خدمات: توسعه دهنده مدیریت پیکربندی. توسعه دهنده سیستم اطلاعاتی یک طرح مدیریت پیکربندی را ایجاد و پیاده سازی می کند که تغییر سیستم را در طول فرآیند توسعه کنترل می کند، نقایص های امنیتی را شامل می شود، نیاز به مجوز تغییر را فراهم می کند و مستند سازی طرح و اجرای آن را فراهم می کند.
• حفاظت فیزیکی: کنترل دسترسی به کانال های انتقال داده. دسترسی فیزیکی به خطوط انتقال توزیع و انتقال داده های متعلق به IP را کنترل می کند و در مرزهای محافظت شده برای جلوگیری از آسیب های ناخواسته، گوش دادن، اصلاح در فرایند انتقال، شکاف یا تحریف فیزیکی خطوط، کنترل می شود.
• حفاظت فیزیکی: نظارت بر دسترسی فیزیکی. مکانیسم های اتوماتیک برای اطمینان از شناسایی نفوذ بالقوه و شروع واکنش به آنها استفاده می شود.
• حفاظت فیزیکی: ورود به سیستم دسترسی مکانیزم های اتوماتیک برای تسهیل پشتیبانی و مشاهده سیاهههای مربوط به ثبت نام استفاده می شود.
• حفاظت فیزیکی: منبع تغذیه اضطراری. لازم است اطمینان حاصل شود که منابع برق جایگزین درازمدت برای یک سیستم اطلاعاتی که می تواند از حداقل قابلیت های عملیاتی مورد نیاز در صورت شکست طولانی مدت منبع قدرت اولیه پشتیبانی کند.
• حفاظت فیزیکی: حفاظت از آتش. دستگاه ها / سیستم های آتش خاموش و تشخیص آتش سوزی که به طور خودکار به سازمان ها اطلاع می دهند و خدمات اضطراری اعمال می شود و حفظ می شود.
• حفاظت فیزیکی: حفاظت در برابر سیل. مکانیزم های اتوماتیک به طور خودکار آب در صورت نشت شدید آن همپوشانی دارند.
• برنامه ریزی کار بدون وقفه: یادگیری. مدل سازی رویداد در دوره های آموزشی گنجانده شده است تا به طور موثر به کارکنان برای شرایط بحران احتمالی پاسخ دهد.
• برنامه ریزی کار بدون وقفه: تست یک برنامه کاری بدون وقفه. طرح کار بدون وقفه در یک سایت تولید انرژی مورد آزمایش قرار گرفته است تا کارکنان را با فرصت ها و منابع موجود آشنا کند و توانایی سایت را برای حفظ تداوم عملیات ارزیابی کند.
• برنامه ریزی کار بدون وقفه: مکان های ذخیره سازی اضافی. ذخیره سازی ذخیره سازی پیکربندی شده برای تسهیل بهبودی به موقع و کارآمد؛ مشکلات بالقوه دسترسی به مکان ذخیره سازی یدکی در مورد حوادث بزرگ و یا بلایای طبیعی، اقدامات مشخص و آشکار برای کاهش مشکلات شناسایی شده، تعیین می شود.
• برنامه ریزی کار بدون وقفه: مکان های پردازش اطلاعات اضافی. پردازش اطلاعات اضافی به طور کامل پیکربندی شده است تا حداقل قابلیت های عملیاتی مورد نیاز و در دسترس بودن استفاده را به عنوان یک سایت تولید حفظ کند.
• برنامه ریزی کار بدون وقفه: خدمات مخابراتی. منبع یدکی خدمات مخابراتی باید به اندازه کافی از لحاظ جغرافیایی از لحاظ اصلی حذف شود تا بتواند به همان خطرات مربوط شود؛ منابع اصلی و ذخایر خدمات مخابراتی برنامه های کاری بدون وقفه کافی دارند.
• برنامه ریزی کار بدون وقفه: پشتیبان گیری. برای بازگرداندن توابع سیستم اطلاعات، پشتیبان گیری به عنوان بخشی از برنامه آزمایشی برای عملیات بدون وقفه استفاده می شود. پشتیبان گیری سیستم عامل و سایر نرم افزارهای مهم برای نرم افزار در یک مکان جداگانه یا در یک ظرف جداگانه ذخیره می شود که به طور جداگانه از نرم افزار عملیاتی واقع شده است.
• برنامه ریزی کار بدون وقفه: بازگرداندن سیستم اطلاعاتی. سازمان شامل بهبودی کامل سیستم اطلاعات به عنوان بخشی از آزمایش یک برنامه کاری بدون وقفه.
• مدیریت پیکربندی: پیکربندی پایه و اجزای موجودی سیستم اطلاعاتی. مکانیسم های اتوماتیک برای حفظ یک پیکربندی اساسی کامل، کامل، دقیق و به راحتی قابل دسترسی از سیستم اطلاعاتی و اجزای اجزای IP استفاده می شود.
• مدیریت پیکربندی: نظارت بر پیکربندی نظارت. مکانیزم های اتوماتیک به صورت خودکار استفاده می شود:
  • سند تغییرات پیشنهادی را در سیستم اطلاعاتی ثبت کنید؛
  • به مقامات مربوطه اطلاع دهید
  • جلب توجه به دریافت سریع ویزا را دریافت نکرده؛
  • قبل از به دست آوردن ویزای تأیید لازم، تغییر دهید؛
  • سند تغییرات در سیستم اطلاعاتی ایجاد شده است.
• مدیریت پیکربندی: محدودیت دسترسی برای تغییرات. برای پیاده سازی محدودیت های دسترسی و پشتیبانی از ورود به سیستم محدودیت ها، مکانیزم های خودکار اعمال می شود.
• مدیریت پیکربندی: تنظیمات. مکانیسم های اتوماتیک برای مدیریت متمرکز، اعمال و تأیید تنظیمات استفاده می شود.
• مدیریت پیکربندی: به حداقل رساندن قابلیت. با یک فرکانس داده شده، سیستم اطلاعاتی تجدید نظر شده است تا شناسایی و حذف توابع، پورت ها، پروتکل ها و سایر خدمات مورد نیاز را شناسایی و از بین ببرد.
• پشتیبانی: پشتیبانی دوره ای. مکانیسم های اتوماتیک برای اطمینان از برنامه ریزی و اجرای همراهی دوره ای مطابق با الزامات ایجاد شده، و همچنین ارتباط، دقت، کامل بودن و دسترسی به پرونده های ثبت نام در اقدامات لازم و انجام شده همراه است.
• تعمیر و نگهداری: ابزار همراه. لازم است همه ی همراه ها را بررسی کنیم (به عنوان مثال، تجهیزات تشخیصی و تست)، که به وسیله اینها به قلمرو سازمان داده می شود، برای تغییرات نامناسب قابل مشاهده است. همه رسانه های حاوی برنامه های تشخیصی باید بررسی شوند (به عنوان مثال، نرم افزار مورد استفاده برای همراهی و تشخیص سیستم ها)، برای نرم افزار های مخرب، قبل از حمل و نقل در سیستم اطلاعاتی استفاده می شود. تمام تجهیزات مورد استفاده برای اهداف همراه و قادر به نگهداری اطلاعات مورد بررسی قرار می گیرد تا اطمینان حاصل شود که سازمان در تجهیزات ثبت نشده است یا قبل از آن به درستی درمان می شود تکرار. اگر تجهیزات را نمی توان درمان کرد، آن را در قلمرو سازمان باقی می ماند یا به استثنای مواردی که به صراحت توسط مقامات مربوطه مجاز می شود، تخریب می شود.
• پشتیبانی: همراهی از راه دور. تمام جلسات تلفیقی از راه دور ثبت شده است، و مقامات مربوطه در حال مشاهده ورود ثبت نام جلسات از راه دور هستند. نصب و استفاده از کانال های تشخیصی از راه دور در طرح ایمنی سیستم اطلاعاتی منعکس می شود. خدمات تشخیصی از راه دور یا پشتیبانی مجاز است تنها اگر سازمان خدمات حداقل از همان سطح امنیت در IC IC از حداقل همان سطح به عنوان خدمت پشتیبانی کند.
• یکپارچگی سیستم ها و داده ها: حفاظت در برابر نرم افزار مخرب. سیستم اطلاعات به طور خودکار مکانیسم های حفاظت در برابر نرم افزار مخرب را تغییر می دهد.
• یکپارچگی سیستم ها و داده ها: تأیید عملکرد ایمنی. سیستم اطلاعاتی به عنوان بخشی از قابلیت های فنی، هنگام شروع یا راه اندازی مجدد سیستم، با دستور یک کاربر مجاز و / یا به صورت دوره ای با فرکانس داده شده تأیید صحت عمل عملکرد عملکرد ایمنی و به ویژه مدیر سیستم و / یا سیستم را در صورت تشخیص هر گونه ناهنجاری تغییر می دهد یا دوباره راه اندازی می شود.
• یکپارچگی سیستم ها و داده ها: یکپارچگی نرم افزار و داده ها. سیستم اطلاعاتی نشان می دهد و از تغییرات غیر مجاز در نرم افزار و داده ها محافظت می کند.
• یکپارچگی سیستم ها و داده ها: حفاظت در برابر هرزنامه. این سازمان مکانیسم های حفاظت از هرزنامه را مدیریت می کند.
• حفاظت از رسانه ها: دسترسی به رسانه ها. یا پست های امنیتی اعمال می شود، یا مکانیسم های اتوماتیک برای کنترل دسترسی به ذخیره سازی رسانه ها، اطمینان از حفاظت در برابر دسترسی غیر مجاز، و همچنین ثبت نام تلاش های دسترسی و دسترسی ارائه شده است.
• پاسخ به نقض امنیت اطلاعات: یادگیری. دوره های آموزشی شامل رویدادهای مدل سازی برای کمک به پاسخ موثر کارکنان به شرایط بحران ممکن است.
• پاسخ به نقض امنیت اطلاعات: تست. مکانیسم های اتوماتیک برای تست کامل و کارآمد تر از پاسخ استفاده می شود.
• پاسخ به نقض امنیت اطلاعات: نظارت. مکانیسم های اتوماتیک برای تسهیل ردیابی اختلالات امنیتی، و همچنین جمع آوری و تجزیه و تحلیل اطلاعات مربوط به نقض استفاده می شود.
• شناسایی و احراز هویت: شناسایی و احراز هویت کاربر. سیستم اطلاعاتی احراز هویت Multifactor را اعمال می کند.
• کنترل دسترسی: مدیریت حساب. مکانیسم های اتوماتیک برای ارائه ورود به سیستم اعمال می شود و در صورت لزوم، افراد مناسب را درباره ایجاد، اصلاح، قطع و قطع حسابها اطلاع می دهند.
• کنترل دسترسی: کنترل جلسات موازی. سیستم اطلاعاتی تعداد جلسات موازی را برای یک کاربر محدود می کند.
• کنترل دسترسی: نظارت و مشاهده. مکانیزم های اتوماتیک برای تسهیل مشاهده فعالیت کاربر اعمال می شود.
• کنترل دسترسی: علامت گذاری خودکار. سیستم اطلاعاتی خروجی را با استفاده از قراردادهای نامگذاری استاندارد برای شناسایی تمام دستورالعمل های ویژه برای توزیع، پردازش و توزیع داده ها نشان می دهد.
• ورود به سیستم و حسابرسی: سوابق ثبت محتوا. سیستم اطلاعاتی توانایی مدیریت محتویات سوابق ثبت شده توسط اجزای فردی IP را فراهم می کند.
• ورود به سیستم و حسابرسی: پردازش اطلاعات ثبت نام. سیستم اطلاعاتی، صدور پیام هشدار را ارائه می دهد زمانی که سهم فضای شلوغ اختصاص داده شده برای ذخیره اطلاعات ثبت نام به یک مقدار مشخص شده می رسد.
• ورود به سیستم و حسابرسی: گزارش نظارت، تجزیه و تحلیل و ثبت نام. استفاده از مکانیزم های اتوماتیک برای ادغام گزارش اطلاعات نظارت، تجزیه و تحلیل و ثبت نام به روند کلی شناسایی و پاسخ دادن به فعالیت مشکوک.
• ورود به سیستم و حسابرسی: کاهش اطلاعات ثبت نام و تولید گزارش. سیستم اطلاعاتی توانایی به طور خودکار پردازش اطلاعات ثبت نام در مورد توجه حوادث، بر اساس معیارهای انتخاب شده مشخص شده است.
• حفاظت از سیستم ها و ارتباطات: جداسازی توابع ایمنی. سیستم اطلاعاتی ویژگی های امنیتی را از سایر توابع جدا می کند.
• حفاظت از سیستم ها و ارتباطات: یکپارچگی داده های منتقل شده. استفاده از مکانیزم های رمزنگاری برای اطمینان از شناخت تغییرات در داده ها در فرآیند انتقال، اگر داده ها با استفاده از اقدامات فیزیکی جایگزین (به عنوان مثال، یک سیستم توزیع محافظتی) محافظت نمی شود.
• حفاظت از سیستم ها و ارتباطات: محرمانه بودن داده های منتقل شده. استفاده از مکانیزم های رمزنگاری برای جلوگیری از افشای غیر مجاز اطلاعات در طی فرایند انتقال، اگر از طریق اقدامات فیزیکی جایگزین (به عنوان مثال، یک سیستم توزیع محافظتی) محافظت نمی شود.
• حفاظت از سیستم ها و ارتباطات: خدمات جستجوی ایمنی (رزولوشن نام). سیستم های اطلاعاتی (سرورهای نام دامنه مجاز)، ارائه خدمات جستجوی کاربر داخلی برای دسترسی به منابع اطلاعاتی، ارائه مکانیسم ها برای تأیید اعتبار منبع داده ها و نظارت بر یکپارچگی داده ها، و همچنین این اقدامات را به درخواست سیستم های مشتری انجام می دهند.

حداقل مورد نیاز اعتماد برای تنظیم کننده های ایمنی

حداقل الزامات اعتماد برای تنظیم کننده های امنیتی به فرآیندهای خاص و اقدامات ارائه شده است. متخصصان توسعه و اجرای تنظیم کننده ها تعیین و اعمال می کنند (اجرای) این فرآیندها را تعیین و اعمال می کنند تا میزان اعتماد به نفس را افزایش دهند که تنظیم کننده ها به درستی اجرا می شوند، عملکرد مطابق با مشخصات و نتایج انتظار می رود از نقطه نظر اجرای نیازهای امنیتی اطلاعات.

در حداقل سطح امنیت اطلاعات، لازم است که تنظیم کننده های امنیتی درگیر و راضی باشند به صراحت در شرایط تعریف خود مشخص شده اند.

در سطح متوسط \u200b\u200bامنیت اطلاعات، شرایط زیر باید تکمیل شود. متخصصان توسعه (پیاده سازی) تنظیم کننده ها توصیف خواص عملکردی خود را ارائه می دهند، کاملا دقیق است تا تجزیه و تحلیل و آزمایش تنظیم کننده ها را انجام دهیم. به عنوان بخشی جدایی ناپذیر از تنظیم کننده ها، توسعه دهندگان مستند شده اند و توزیع مسئولیت ها و اقدامات خاص ارائه شده است، به این دلیل که تنظیم کننده ها پس از توسعه (پیاده سازی) باید شرایط عملکردی را برآورده کنند. تکنولوژی که در آن تنظیم کننده ها توسعه می یابند باید درجه بالایی از اعتماد به نفس خود را به طور کامل، سازگاری و صحت خود حفظ کنند.

شکل 6. اطمینان از امنیت اطلاعات. رویکرد فرآیند

در سطح بالایی از امنیت اطلاعات، در غیر این صورت، لازم است که توضیحات پروژه را ارائه و پیاده سازی تنظیم کننده ها، از جمله رابط های کاربردی بین اجزای آنها، ارائه شود. توسعه دهندگان نیازمند شواهدی هستند که پس از اتمام توسعه (پیاده سازی)، اجرای الزامات تنظیم کننده ها به طور مداوم و سازگار خواهد بود در مقیاس کل سیستم اطلاعاتی، و احتمال افزایش کارایی تنظیم کننده ها پشتیبانی می شود.

نتیجه

اطمینان از امنیت اطلاعات یک فرایند پیچیده و چند بعدی است که نیاز به پذیرش بسیاری از راه حل ها، تجزیه و تحلیل تعدادی از عوامل و الزامات، گاهی اوقات متناقض است. حضور دسته ها و حداقل نیازهای امنیتی، و همچنین یک کاتالوگ تنظیم کننده های امنیتی از پیش تعیین شده، قادر به خدمت به عنوان پایه ای برای یک رویکرد سیستماتیک برای ارائه IB، رویکردی است که نیاز به کار معقول و هزینه های مادی دارد و قادر به ارائه نتایج قابل قبول قابل قبول است اکثر سازمان ها.

مشکل حفاظت از اطلاعات دشوار است که تماس بگیرید. از همه طرف ما در مورد هک، ویروس ها، مخرب می شنویم نرم افزارحملات، تهدیدها، آسیب پذیری ...

امنیت اطلاعات به عنوان یک سیستم

امنیت اطلاعات مجموعه ای از اقدامات، از جمله مهمتر از آن است. امنیت اطلاعات را نمی توان به هر حال به عنوان یک پیچیده درک کرد. همه چیز در اینجا مهم است! لازم است که اقدامات حفاظتی را در تمام نقاط شبکه دنبال کنیم، با هر کار هر گونه موضوع با اطلاعات شما (تحت موضوع در این مورد، سیستم کاربر، پردازش، کامپیوتر یا نرم افزار برای پردازش اطلاعات) درک شده است. هر منبع اطلاعاتی، چه رایانه کاربر، سرور سازمان یا تجهیزات شبکه باید از انواع تهدیدات محافظت شود. محافظت شده باید باشد سیستم های فایل، شبکه، و غیره راه های پیاده سازی حفاظت ما در این مقاله به دلیل تنوع عظیم آنها در نظر نمی گیریم.

با این حال، باید درک شود که اطمینان از صد درصد حفاظت غیرممکن است. در همان زمان، لازم است به یاد داشته باشید: بالاتر از سطح امنیت، سیستم گران تر، بیشتر ناراحت کننده در استفاده، به نظر می رسد برای کاربر، که به ترتیب منجر به بدتر شدن حفاظت در برابر عامل انسان است. به عنوان مثال، ما به یاد می آورم که عوارض بیش از حد رمز عبور منجر به این واقعیت است که کاربر مجبور است آن را بر روی یک تکه کاغذ ضبط کند، که به مانیتور، صفحه کلید و غیره وارد می شود

وجود دارد طیف وسیع نرم افزار با هدف حل وظایف حفاظت از اطلاعات. این برنامه های ضد ویروس، فایروال ها، ساخته شده است سیستم های عامل و خیلی بیشتر. با این حال، لازم است به یاد داشته باشید که بیشترین آسیب پذیر ترین لینک در دفاع همیشه باقی می ماند انسان! پس از همه، کارایی هر نرم افزار بستگی به کیفیت نوشتن و سواد آموزی از مدیر، که وسیله حفاظت را تنظیم می کند.

بسیاری از سازمان ها در ارتباط با این خدمات ایجاد (ادارات) حفاظت از اطلاعات و یا انجام وظایف مناسب به بخش های فناوری اطلاعات خود را. با این حال، لازم است که این را درک کنیم غیر ممکن است تماس تلفنهای غیر معمول خدمات فناوری اطلاعات. این قبلا ذکر نشده و نوشت. بنابراین، فرض کنید در سازمان شما یک بخش امنیتی اطلاعات را ایجاد کرد. کار بعدی چیه؟ از کجا شروع می شود؟

شما باید با یادگیری کارمند شروع کنید! و در آینده برای انجام این روند منظم. آموزش پرسنل مبانی امنیت اطلاعات باید وظیفه دائمی بخش حفاظت از اطلاعات باشد. و شما باید حداقل دو بار در سال انجام دهید.

بسیاری از مدیران سعی می کنند بلافاصله یک سند به نام "سیاست امنیتی سازمان" از سیاست امنیتی اطلاعات دریافت کنند. آیا درسته؟ به نظر من - نه. قبل از اینکه این کار بزرگ را بنویسید، باید در مورد مسائل زیر تصمیم بگیرید:

• چه اطلاعاتی را ادامه می دهید؟
• نحوه طبقه بندی آن با توجه به خواص؟
• چه منابعي دارید؟
• پردازش اطلاعات در مورد منابع چگونه است؟
• چگونه منابع را طبقه بندی کنیم؟

طبقه بندی اطلاعات

از لحاظ تاریخی، به محض این که سوال طبقه بندی اطلاعات مطرح شده است، توسعه یافته است (اول از همه آن به اطلاعات متعلق به دولت اشاره می شود)، بلافاصله شروع به طبقه بندی در سطح محرمانه (محرمانه بودن) می کند. در مورد شرایط دسترسی، یکپارچگی، قابل مشاهده، اگر به یاد داشته باشید، گاه به گاه، در تعدادی از الزامات کلی به سیستم های پردازش اطلاعات.

اگر چنین یک نگاه هنوز هم می تواند به نحوی نیاز به اطمینان از اسرار دولتی را توجیه کند، به نظر می رسد آسان به انتقال آن به یک موضوع دیگر. به عنوان مثال، با توجه به الزامات قانون اوکراین، صاحب اطلاعات خود را تعیین سطح محرمانه بودن آن (در صورتی که این اطلاعات به دولت تعلق ندارد).

در بسیاری از مناطق، سهم اطلاعات محرمانه نسبتا کوچک است. برای اطلاعات باز، ضرر و زیان افشای آن کوچک است، مهمترین خواص مانند موجود بودن، یکپارچگی یا امنیت از کپی غیرقانونی می تواند باشد. به عنوان مثال از وب سایت انتشار اینترنت در نظر بگیرید. در ابتدا، به نظر من، در دسترس بودن و یکپارچگی اطلاعات، و نه محرمانه بودن آن، ایستاده است. ارزیابی و طبقه بندی اطلاعات فقط از موقعیت و محرمانه حداقل غیر تولیدی.

و این را می توان تنها با محدودیت یک رویکرد سنتی به حفاظت از اطلاعات توضیح داد، عدم تجربه در زمینه تضمین دسترسی، یکپارچگی و مشاهده اطلاعات، که یک راز نیست (محرمانه).

دسته های اطلاعات محافظت شده

بر اساس نیاز به ارائه سطوح مختلف حفاظت از اطلاعات (شامل اطلاعاتی که شامل یک دولت را تشکیل می دهند، ذخیره شده و پردازش شده در سازمان، اجازه دهید چندین دسته از محرمانه بودن و یکپارچگی اطلاعات محافظت شده را فراخوانی کنیم.

• کاملا محرمانه - اطلاعات شناخته شده توسط محرمانه مطابق با الزامات قانون، یا اطلاعات، محدودیت در توزیع آن توسط تصمیم گیری توسط تصمیم به دلیل این واقعیت است که افشای آن می تواند منجر به پیامدهای مالی شدید و اقتصادی برای سازمان شود تا ورشکستگی؛
• محرمانه - این دسته شامل اطلاعاتی است که به رده "کاملا محرمانه" مربوط نیست، محدودیت های انتشار آن توسط تصمیم گیری توسط رهبری مطابق با اطلاعاتی که به او به عنوان دعوی به دلیل این واقعیت ارائه شده است، وارد شده است افشای آن ممکن است منجر به زیان های قابل توجه و از دست دادن رقابت سازمان شود (اعمال آسیب قابل توجهی به منافع مشتریان، شرکا یا کارمندان)؛
• باز کن - این دسته شامل اطلاعات، ارائه محرمانه بودن آن مورد نیاز نیست.

• بالا - اطلاعات، اصلاح غیر مجاز یا جعلی که می تواند منجر به استفاده از آسیب قابل توجهی به سازمان شود؛
• کم - این دسته شامل اطلاعات، اصلاح غیر مجاز است که می تواند منجر به استفاده از آسیب های جزئی به سازمان، مشتریان، شرکا یا کارکنان آن شود؛
• بدون الزامات - این دسته شامل اطلاعات، برای اطمینان از یکپارچگی و صحت آن مورد نیاز ارائه نشده است.

با توجه به میزان دسترسی، ما چهار دسته را بسته به فرکانس حل مشکلات عملکردی و حداکثر تأخیر مجاز در به دست آوردن نتایج راه حل خود معرفی می کنیم:

• به موقع - دسترسی به وظیفه باید در هر زمان ارائه شود؛
• ساعت - دسترسی به وظیفه باید بدون زمان قابل توجهی انجام شود sx تاخیر (وظیفه هر روز حل شده است، تاخیر چند ساعت تجاوز نمی کند)؛
• روز - دسترسی به وظیفه را می توان با زمان قابل توجهی تضمین کرد smI تاخیر (وظیفه یک بار چند روز حل شده است)؛
• یک هفته - زمان sتاخیر E در دسترسی به وظیفه ایجاد نمی شود (دوره حل مسئله چند هفته یا چند ماه است، تاخیر مجاز در به دست آوردن نتیجه چند هفته است).

دسته بندی ها اطلاعات

1. طبقه بندی تمام انواع اطلاعات مورد استفاده در حل وظایف در رایانه های خاص (تنظیم مقررات حریم خصوصی، یکپارچگی و در دسترس بودن انواع خاصی از اطلاعات).
2. دسته بندی تمام وظایف که در آن حل می شوند این کامپیوتر.
3. بر اساس حداکثر دسته های اطلاعات پردازش شده، طبقه بندی کامپیوتر تنظیم شده است که پردازش شده است.

منابع موجودی

قبل از صحبت کردن درباره حفاظت از اطلاعات در سازمان، باید بدانید که چه چیزی را می خواهید و چه منابع را دارید. برای انجام این کار، لازم است که کار بر روی موجودی و تجزیه و تحلیل تمام منابع سیستم خودکار سازمان را محافظت کنیم:

1. برای فهرست موجودی و طبقه بندی منابع محافظت شده، یک گروه کار خاص تشکیل شده است. این شامل متخصصان بخش های امنیتی کامپیوتر و سایر واحدهای سازمان است که ممکن است در مورد مسائل تکنولوژی پردازش خودکار اطلاعات در سازمان کمک کند.
2. به منظور گروه ایجاد شده توسط وضعیت سازمان های لازم و قانونی، نظم مناسب رهبری سازمان منتشر شده است، که نشان می دهد که تمام رهبران واحدهای مربوطه سازمان باید کمک و کمک های لازم را به گروه کاری در تجزیه و تحلیل کمک کنند از تمام رایانه ها.
3. برای کمک به زمان عملیات گروه، تقسیم رهبران آنها باید کارکنان را که اطلاعات دقیق در مورد پردازش اطلاعات خودکار در این بخش ها داشته باشند، اختصاص دهند.
4. این سفارش تحت دخالت تمام مدیران واحدهای مربوطه به دست می آید.
5. در طی بررسی (تجزیه و تحلیل) سازمان و زیر سیستم های خودکار، تمام وظایف عملکردی با استفاده از رایانه ها، و همچنین تمام انواع اطلاعات مورد استفاده برای حل این وظایف در بخش ها شناسایی و شرح داده شده است.
6. در پایان نظرسنجی، فرم کاری که در سازمان حل شده است، کشیده شده است. باید درک کرد که همان کار در بخش های مختلف می تواند متفاوت باشد و برعکس، وظایف مختلف می تواند همان نام داشته باشد. در عین حال، ابزارهای نرم افزاری مورد استفاده در حل وظایف عملکردی واحد انجام می شود.

لازم به ذکر است که در طول نظرسنجی، تمام انواع اطلاعات شناسایی می شوند (ورودی، خروجی، ذخیره شده، ذخیره شده، پردازش، و غیره). باید به خاطر داشته باشید که نه تنها اطلاعات محرمانه برای شناسایی ضروری نیست، بلکه نقض یکپارچگی یا دسترسی به آن می تواند باعث آسیب ملموس به سازمان شود.

هنگام تجزیه و تحلیل اطلاعات پردازش شده در یک سازمان، لازم است که جدی بودن عواقب ناشی از نقض خواص آن را ارزیابی کنیم. برای این منظور شما باید نظرسنجی ها را انجام دهید (آزمایش، نظارت) متخصصان کار با آن. در عین حال، در درجه اول برای پیدا کردن کسی که به طور غیرقانونی استفاده می شود یا بر این اطلاعات تاثیر می گذارد. اگر غیرممکن باشد که ارزیابی کمی از آسیب های احتمالی را انجام دهیم، لازم است که آن را ارزیابی کیفی (کم، بالا، بسیار بالا) انجام دهیم.

برای درک دسته های دسترسی در هنگام تجزیه و تحلیل وظایف حل شده در یک سازمان، لازم است که حداکثر زمان تاخیر زمان مجاز، فرکانس راه حل آنها و شدت عواقب آن را نقض دسترسی آنها (مسدود کردن وظایف) لازم باشد.

در طی تجزیه و تحلیل، هر یک از انواع اطلاعات باید به یک درجه معینی (گرگ و میش) محرمانه بودن (بر اساس الزامات قانون فعلی و سازمان های حقوق ارائه شده) نسبت داده شود.

در عین حال، برای ارزیابی رده محرمانه بودن نوع خاصی از اطلاعات از مدیران (متخصصان برجسته) واحد ساختاری، برآوردهای شخصی از آسیب های احتمالی نقض خواص حریم خصوصی و یکپارچگی اطلاعات یافت می شود.

در پایان تجزیه و تحلیل، لیستی از منابع اطلاعاتی محافظت می شود.

سپس این لیست هماهنگ با سران بخش های فناوری اطلاعات و ادارات امنیتی کامپیوتر و ارائه شده به مدیریت سازمان.

در پایان این مرحله، لازم است وظایف عملکردی را طبقه بندی کنیم. بر اساس الزامات موجودات اعمال شده توسط سران واحدهای سازمان و موافقت با خدمات فناوری اطلاعات، تمام وظایف اعمال شده در واحد ها دسته بندی شده اند.

در آینده، با استفاده از متخصصان خدمات فناوری اطلاعات و واحد امنیت اطلاعات، لازم است که ترکیب منابع (اطلاعات، برنامه) هر کار را روشن کنیم و اطلاعاتی را در مورد گروه های کاربر این کار و دستورالعمل ها برای راه اندازی ابزارهای امنیتی مورد استفاده قرار دهیم راه حل های آن (به عنوان مثال، دسترسی به گروه های کاربر به منابع کار لیست شده). در آینده، بر اساس این اطلاعات، رایانه ها پیکربندی خواهند شد، که این کار حل خواهد شد.

در مرحله بعدی، کامپیوترها طبقه بندی می شوند. طبقه بندی کامپیوتر بر اساس حداکثر دسته از وظایف حل شده بر روی آن تنظیم شده است، و حداکثر دسته های محرمانه بودن و یکپارچگی اطلاعات مورد استفاده در حل این وظایف. اطلاعات کامپیوتر کامپیوتر به شکل آن وارد شده است.

مفهوم موجودی منابع شامل نه تنها مصالحه از منابع شبکه فعال و غیر فعال موجود با لیستی از تجهیزات (و کامل بودن آن) توسط سازمان خریداری شده است. این روش با استفاده از نرم افزار مناسب، مانند سرور مدیریت مایکروسافت Sysytems اجرا می شود. این همچنین شامل ایجاد یک کارت شبکه با توضیحات تمام نقاط اتصال ممکن است، طراحی یک لیست از نرم افزار مورد استفاده، تشکیل صندوق صندوق نرم افزار مجوز مورد استفاده در سازمان، ایجاد پایه برای الگوریتم ها و برنامه های خود را توسعه.

لازم به ذکر است که این نرم افزار را می توان پذیرفت تا تنها پس از آنکه توسط بخش حفاظت از اطلاعات برای انطباق با وظایف و عدم وجود انواع بوک مارک ها و "بمب های منطقی" تأیید شود، باید پذیرفته شود.

در این راستا، من می خواهم به طور جداگانه تمایل به استفاده از کد نرم افزار منبع باز در کشور ما را ذکر کنم. من استدلال نمی کنم، صرفه جویی های منابع قابل توجهی را فراهم می کند. با این حال، به نظر من، در این مورد، مشکل امنیتی، موضوع اعتماد دیگر تنها به توسعه دهنده سیستم، بلکه همچنین به سرپرست شما می شود. و اگر شما به یاد داشته باشید که چقدر می شود، دشوار نیست نتیجه گیری کنید که خرید اسرار خود را در این مورد بسیار ساده تر و ارزان تر از انجام یک حمله مستقیم خارجی است. لازم به ذکر است که بیشتر حملات موفقیت آمیز داخلی خود را، یعنی کارکنان خود شرکت انجام می دهند.

به نظر من، برای اعمال یک نرم افزار آزادانه توزیع شده در حضور احتمال بالقوه آسیب جدی فقط اگر آن را به شما در جمع آوری و امضای دیجیتالی از یک سازمان ارائه شده است که موجب عدم وجود بمب های منطقی در آن می شود، همه انواع از بوک مارک ها و "حرکت های سیاه". علاوه بر این، سازمان ضامن باید مسئولیت مواد را برای ضمانت نامه خود تحمل کند، که به نظر من غیرممکن است. با این حال، انتخاب شماست.

پس از بررسی، نرم افزار مرجع به پایه الگوریتم ها و برنامه ها وارد می شود (یک کپی مرجع باید با یک فایل همراه باشد مجموع کنترلو بهترین - امضای الکترونیک توسعه دهنده) در آینده، هنگام تغییر نسخه ها و ظاهر به روز رسانی، بررسی نرم افزار به طور معمول ساخته شده است.

در آینده، اطلاعات مربوط به نرم افزار نصب شده، تاریخ نصب، اهداف حل شده با این ارائه وظایف، نام خانوادگی و امضا از صورت و پیکربندی برنامه ها به شکل هر کامپیوتر وارد می شود. پس از ایجاد چنین فرمولاسیون، سرویس امنیت اطلاعات باید تأیید منظم از انطباق موقعیت واقعی را به فرمول بندی ارائه دهد.

گام بعدی در ساخت سرویس امنیت اطلاعات، تجزیه و تحلیل خطر یک سازمان است که باید پایه ای برای ایجاد سیاست های امنیتی باشد.

امروز بعید است قادر به پیدا کردن یک سازمان است که هیچ کس هرگز در مورد حفاظت از اطلاعات فکر نمی کند. در عین حال، همیشه امکان پذیر نیست که درک صحیح امنیت اطلاعات را به عنوان مجموعه ای از رویدادهای سازمانی و فنی ببینم. مهمترین عنصر وثیقه آن یک فرد است و او عامل اصلی نقض آن است.

امنیت اطلاعات باید به عنوان یک مجموعه از اقدامات سازمانی و فنی درک شود، زیرا غیرممکن است که اطمینان حاصل شود که محرمانه بودن، یکپارچگی و قابلیت دسترسی را نمی توان به طور جداگانه انجام داد، نه تنها سازمانی.

بگذارید بگوییم شما تصمیم می گیرید فقط از اقدامات فنی محافظت کنید، در حالی که اسناد سازمانی کاملا وجود ندارد. اغلب اتفاق می افتد اگر دفاع توسط اداره فناوری اطلاعات یا رئیس بخش امنیت اطلاعات (IB) - نماینده سابق ساختارهای فناوری اطلاعات انجام شود. چه اتفاقی می افتد در این مورد؟ فرض کنید یکی از کارکنان شرکت به طور سیستماتیک اطلاعات محرمانه را از طریق ایمیل به رقبا منتقل می کند. شما نشتی را کشف کردید، اما شما اسناد ندارید، بنابراین یک کارمند را مجازات کنید (به عنوان مثال، آن را رد کنید) به سادگی حق ندارید. و اگر شما این کار را انجام دهید، یک مهاجم هوشمند شما را به خاطر نقض حقوق قانون اساسی خود به مکاتبات شخصی شکایت می کند. غم انگیز ترین چیز این است که به طور قانونی آن را کاملا درست خواهد بود: در سازمان شما ثبت نشده است که تمام اطلاعات منتقل شده به وسیله پست الکترونیک از آدرس های متعلق به سازمان شما، مالکیت شرکت است.

افراطی دوم را در نظر بگیرید. این معمولا مشخصه پرسنل نظامی سابق و کارکنان خدمات ویژه است. شما اسناد عالی تهیه کرده اید، اما کاملا آنها را از دست می دهید پشتیبانی فنی. چه اتفاقی می افتد در این مورد؟ کارکنان شما زودتر یا بعدا مقررات اسناد سازمانی را نقض می کنند و می بینند که هیچ کس کنترل آنها را به طور سیستماتیک انجام خواهد داد.

بنابراین، امنیت اطلاعات یک سیستم انعطاف پذیر است که شامل اقدامات سازمانی و فنی است. باید درک شود که اقدامات قابل توجهی بیشتر یا کمتر قابل توجه در اینجا اعمال می شود. مهم است. لازم است اقدامات حفاظتی را در تمام نقاط شبکه مشاهده کنید، در هنگام کار هر گونه موضوع با اطلاعات خود. (تحت موضوع در این مورد آن را به عنوان یک سیستم کاربر، فرآیند، کامپیوتر یا نرم افزار برای پردازش اطلاعات درک می شود. هر منبع اطلاعاتی، آیا کاربر کامپیوتر یا سرور سازمان باید کاملا محافظت شود. سیستم های فایل، شبکه و غیره باید محافظت شوند. ما در اینجا بحث نخواهیم کرد.

تعداد زیادی از نرم افزارهایی با هدف حل وظیفه حفاظت از اطلاعات وجود دارد. این برنامه های آنتی ویروس و صفحه نمایش شبکه و ابزار داخلی برای سیستم های عامل است. با این حال، عامل آسیب پذیر ترین همیشه یک فرد باقی می ماند. عملکرد هر نرم افزاری بستگی به کیفیت نوشتن آن دارد، از سواد مدیران که آن را تنظیم می کند.

بسیاری از سازمان ها در ارتباط با این ادارات حفاظت از اطلاعات را ایجاد می کنند یا چالش های امنیتی را به بخش های فناوری اطلاعات خود تعیین می کنند. اما بیش از یک بار ذکر شد که غیر ممکن بود که عملکرد آن را به خدمات فناوری اطلاعات انجام دهیم. فرض کنید بخش امنیت فناوری اطلاعات در سازمان شما ایجاد شده است. کار بعدی چیه؟ کجا شروع فعالیت خود را؟

مراحل اول بخش IB

به نظر من، شما باید با آموزش کارکنان شروع کنید! و در آینده برای انجام این کار حداقل دو بار در سال است. آموزش کارکنان عادی اصول حفاظت از اطلاعات باید یک کسب و کار دائمی از کارکنان بخش حفاظت از اطلاعات باشد!

بسیاری از مدیران سعی می کنند بلافاصله یک سند به نام "سیاست امنیتی" از سیاست اطلاعاتی دریافت کنند. این اشتباه است قبل از اینکه شما در حال نوشتن این سند جدی هستید، تمام تلاش های خود را برای اطمینان از امنیت اطلاعات سازمان خود تعریف می کنید، باید سوالات زیر را بپرسید:

چه اطلاعاتی را ادامه می دهید؟

چگونه آن را طبقه بندی کنیم؟

چه منابعي دارید؟

پردازش اطلاعات در مورد منابع چگونه است؟

چگونه منابع را طبقه بندی کنیم؟

ما سعی خواهیم کرد به این سوالات پاسخ دهیم.

طبقه بندی اطلاعات

در کشور ما، این رویکرد به لحاظ تاریخی برای طبقه بندی اطلاعات (اول از همه ایالت) در سطوح الزامات امنیتی خود بر اساس اموال خود - محرمانه بودن (محرمانه) تشکیل شده است.

الزامات لازم برای اطمینان از یکپارچگی و دسترسی به اطلاعات، به عنوان یک قاعده، تنها به طور غیر مستقیم در میان الزامات کلی برای سیستم های پردازش داده ها ذکر شده است.

اگر این رویکرد تا حدودی توجیه شود تا اطمینان حاصل شود که ایمنی اطلاعات تشکیل دهنده راز دولتی، این بدان معنا نیست که انتقال آن به یک موضوع دیگر (با سایر موضوعات و منافع آنها) درست باشد.

در بسیاری از مناطق، سهم اطلاعات محرمانه نسبتا کوچک است. برای اطلاعات باز، ضرر از افشای آن ناچیز است، مهمترین ویژگی های کاملا متفاوت است، بگذارید بگوییم مانند در دسترس بودن، یکپارچگی یا محافظت از تکرار غیرقانونی. به عنوان مثال، برای اسناد پرداخت (مالی) مهمترین، یکپارچگی آنهاست (قابلیت اطمینان). سپس اموال باید انجام شود (از دست دادن یک سند پرداخت یا تاخیر پرداخت می تواند بسیار گران باشد). الزامات لازم برای اطمینان از محرمانه بودن اسناد پرداخت معمولا در رتبه سوم قرار دارد.

برای روزنامه اینترنتی در وهله اول، در دسترس بودن و یکپارچگی اطلاعات، و نه محرمانه بودن آن، ایستادگی خواهد کرد. تلاش برای مقابله با حل مسائل مربوط به حفاظت از چنین اطلاعاتی از نظر سنتی ارائه سنتی تنها محرمانه بودن، شکست خورد. دلایل اصلی این، محدودیت های رویکرد سنتی به حفاظت از اطلاعات، عدم وجود تجربه در کارشناسان داخلی و توضیحات مناسب از لحاظ اطمینان از یکپارچگی و دسترسی به اطلاعاتی است که محرمانه نیست.

برای بهبود طبقه بندی اطلاعات، بسته به شرایط امنیتی آن، چندین درجه (درجه بندی ها، دسته ها) مورد نیاز برای اطمینان از هر یک از ویژگی های امنیتی اطلاعات را وارد کنید: در دسترس بودن، یکپارچگی، محرمانه بودن.

مقدار درجه بندی و معنی در آنها ممکن است متفاوت باشد.

بر اساس نیاز به ارائه سطوح مختلف حفاظت از انواع مختلف اطلاعات (شامل اطلاعاتی که شامل یک دولت راز دولتی)، ذخیره و پردازش شده در سازمان، ما چندین دسته از محرمانه بودن و یکپارچگی اطلاعات محافظت شده را معرفی می کنیم.

"به شدت محرمانه" - اطلاعاتی که مطابق با الزامات قانون فعلی (اسرار بانکی، اطلاعات شخصی) محرمانه است، و همچنین اطلاعات، محدودیت های انتشار آن توسط تصمیمات مدیریت سازمان (رمز و راز تجاری)، افشای آن، محرمانه است که می تواند منجر به پیامدهای مالی و اقتصادی گور برای سازمان، قبل از ورشکستگی (اعمال آسیب جدی به منافع حیاتی مشتریان، خبرنگاران، شرکا یا کارمندان).

"محرمانه" - اطلاعاتی که به دسته "به شدت محرمانه" مربوط نیست، محدودیت های توزیع آن توسط تصمیم رهبری سازمان مطابق با صاحب ارائه شده به او (مجاز توسط مالک) اطلاعات توسط جریان است قانون، افشای آن می تواند منجر به زیان های قابل توجهی و از دست دادن رقابت سازمان (اعمال آسیب ملموس به منافع مشتریان، خبرنگاران، شرکا یا کارمندان) شود.

"باز کن" - اطلاعات، محرمانه بودن (معرفی محدودیت های انتشار) که مورد نیاز نیست.

"بالا" - این دسته شامل اطلاعات، اصلاح غیر مجاز (اعوجاج، جایگزینی، تخریب) یا جعل (جعلی) است که می تواند منجر به آسیب مستقیم مستقیم به سازمان، یکپارچگی و اعتبار (تایید صحت منبع) که باید تضمین شود با استفاده از روش های تضمین شده (امضای دیجیتال الکترونی، EDS) مطابق با الزامات اجباری قوانین فعلی، سفارشات، دستورالعمل ها و سایر اقدامات نظارتی.

"کم" - این دسته شامل اطلاعات، اصلاح غیر مجاز، جایگزینی یا حذف آن می تواند منجر به استفاده از آسیب های غیرمستقیم جزئی به سازمان، مشتریان، شرکا یا کارمندان، یکپارچگی که باید مطابق با تصمیم مدیریت ارائه شود ( روش ها برای شمارش چکمه، توابع هش).

"بدون الزامات" - این دسته شامل اطلاعات برای اطمینان از یکپارچگی (و اصالت) که از آن الزامات ارائه نشده است.

بسته به فرکانس حل وظایف عملکردی و حداکثر تأخیر مجاز به دست آوردن نتایج، چهار درجه مورد نیاز (دسته ها) اطلاعات موجود اطلاعات معرفی شده است.

"دسترسی بدون محدودیت" - دسترسی به وظیفه باید در هر زمان ارائه شود (کار به طور مداوم حل شده است، تاخیر به دست آوردن نتیجه نباید بیش از چند ثانیه یا چند دقیقه باشد).

"در دسترس بودن بالا" - دسترسی باید بدون تاخیر زمانی قابل توجهی انجام شود (وظیفه روزانه حل شده است، تاخیر به دست آوردن نتیجه نباید بیش از چند ساعت باشد).

"دسترسی متوسط" - دسترسی را می توان با تاخیر زمانی قابل توجهی ارائه داد (کار یک بار چند روز حل شده است، تاخیر به دست آوردن نتیجه نباید بیش از چند روز باشد).

"دسترسی کم" - تاخیر زمانی هنگام دسترسی به وظیفه عملا محدود نیست (وظیفه با یک دوره چند هفته یا چند ماه حل می شود، تاخیر مجاز در به دست آوردن نتیجه چند هفته است).

در مرحله اول کار، آن را با تمام انواع اطلاعات مورد استفاده در حل وظایف در یک کامپیوتر خاص طبقه بندی شده (ایجاد دسته های محرمانه بودن و یکپارچگی انواع خاصی از اطلاعات) طبقه بندی شده است. "فهرست منابع اطلاعاتی برای محافظت" کامپایل شده است.

در مرحله دوم، طبقه بندی تمام وظایف عملکردی حل شده بر روی این کامپیوتر وجود دارد. در مرحله سوم، دسته بندی کامپیوتر بر اساس حداکثر دسته های اطلاعات پردازش شده و وظایف آن بر روی آن حل شده است.

پس از توزیع اطلاعات توزیع شده توسط دسته های مربوطه، باید موجودی منابع باید انجام شود.

طبقه بندی منابع به معنای شناسایی (موجودی) و تجزیه و تحلیل تمام منابع سیستم اطلاعات سازمان برای محافظت می شود. در اینجا یک توالی نمونه و محتوای اصلی این آثار است.

اول از همه، یک گروه کاری خاص برای تجزیه و تحلیل تمام زیرسیستم های سیستم اطلاعاتی سازمان، موجودی و طبقه بندی منابع محافظت می شود. این شامل متخصصان (آگاهی از مسائل فناوری پردازش اطلاعات خودکار) واحد امنیت کامپیوتر و سایر واحدهای سازمان است.

منظور مدیریت سازمان منتشر شده است، که به طور خاص، به طور خاص، به تمام مدیران بخش های ساختاری داده می شود تا به تجزیه و تحلیل منابع تمام رایانه ها کمک کند و به گروه کاری کمک کند.

برای کمک به کمک، کارکنان باید برای ارائه اطلاعات دقیق در مورد پردازش اطلاعات خودکار در بخش ها اختصاص داده شوند.

در جریان بررسی واحدهای خاص سازمان و زیر سیستم های سیستم اطلاعات سازمانی، تمام وظایف عملکردی شناسایی و توصیف شده با استفاده از رایانه ها، و همچنین تمام انواع اطلاعات مورد استفاده در حل این وظایف در تقسیم ها.

پس از آن، یک لیست کلی از وظایف عملکردی کشیده شده است و فرم برای هر کار صادر می شود. باید در نظر داشته باشید که همان کار در واحدهای مختلف ممکن است به صورت متفاوتی نامیده شود، و برعکس، وظایف مختلف می تواند همان نام داشته باشد. در عین حال، ابزارهای نرم افزاری مورد استفاده در حل وظایف عملکردی واحد انجام می شود.

هنگام بررسی زیرسیستم ها و تجزیه و تحلیل وظایف، تمام انواع ورودی، خروجی، ذخیره شده، پردازش شده، و غیره شناسایی می شوند. لازم است که نه تنها اطلاعاتی را شناسایی کنیم که می تواند به محرمانه (به بانکداری و اسرار تجاری و تجاری، اطلاعات شخصی) مربوط شود، اما همچنین اطلاعاتی که به دلیل این واقعیت که نقض یکپارچگی یا دسترسی آن می تواند باعث آسیب ملموس به سازمان شود، محافظت شود .

آشکار سازی تمام انواع اطلاعات گردش و پردازش در زیر سیستم ها، ضروری است که عواقب آن را ارزیابی کنیم که اختلالات خواص آن می تواند منجر شود. برای به دست آوردن برآوردهای اولیه، توصیه می شود برای انجام یک نظرسنجی (به عنوان مثال، در قالب نظرسنجی) متخصصان کار با این اطلاعات. در عین حال، لازم است بدانیم که چه کسی ممکن است علاقه مند به این اطلاعات باشد، که ممکن است بر روی آن یا به طور غیرقانونی استفاده شود، به آن عواقب آن می تواند منجر شود.

اگر ضعف آسیب احتمالی غیرممکن باشد، ارزیابی کیفی آن داده می شود (به عنوان مثال: بسیار کم، کم، متوسط، بالا، بسیار بالا).

هنگام تهیه یک لیست و فرمول های وظایف عملکردی که در یک سازمان حل شده است، لازم است فرکانس راه حل خود را پیدا کنید، حداکثر زمان تأخیر مجاز برای به دست آوردن نتایج و درجه جدی بودن عواقب ناشی از نقض دسترسی آنها ممکن است سرب (مسدود کردن امکان حل مشکلات).

تمام اطلاعات شناسایی شده در طول نظرسنجی در سند مناسب ثبت می شود.

بعد، لازم است تعیین کنیم که کدام نوع رمز و راز (بانکداری، تجاری، اطلاعات شخصی، که اسرار را تشکیل نمی دهد) شامل هر یک از انواع اطلاعات شناخته شده (بر اساس الزامات قانون فعلی و ارائه سازمان های حقوق) .

پیشنهادات اولیه برای ارزیابی دسته بندی محرمانه بودن و یکپارچگی انواع خاصی از اطلاعات از مدیران (متخصصان برجسته) واحد ساختاری (بر اساس ارزیابی های شخصی آنها از آسیب احتمالی به دلیل نقض خواص حریم خصوصی و یکپارچگی اطلاعات) . این فهرست با رهبران بخش اتوماسیون و ادارات امنیتی کامپیوتر هماهنگ شده و به مدیریت سازمان ارسال می شود.

در مرحله بعدی، یک دسته از وظایف عملکردی وجود دارد. بر اساس الزامات در دسترس بودن برای سران واحدهای سازمان و موافقت با خدمات فناوری اطلاعات، تمام وظایف کاربردی کاربردی طبقه بندی شده، حل شده در تقسیمات با استفاده از تجهیزات کامپیوتر. اطلاعات به فرم کار وارد شده است. شما نباید شامل دسته بندی وظایف سیستم و نرم افزار خارج از اتصال به رایانه های خاص و وظایف اعمال شود.

در آینده، با مشارکت متخصصان فناوری اطلاعات و بخش IB، لازم است که ترکیب اطلاعات و منابع نرم افزاری هر کار را مشخص کنیم و آن را یک فرم از اطلاعات در مورد گروه های کاربر از وظایف و دستورالعمل ها برای پیکربندی حفاظت از اعمال وقتی آن را حل می کند این داده ها به عنوان یک تنظیمات مرجع برای حفاظت از رایانه های مربوطه و همچنین کنترل صحت نصب آنها استفاده می شود.

در مرحله آخر، طبقه بندی کامپیوترها بر اساس حداکثر دسته از وظایف خاص، حل شده بر روی آن، و حداکثر دسته بندی محرمانه بودن و یکپارچگی اطلاعات مورد استفاده در حل این وظایف ایجاد می شود. اطلاعات کامپیوتر کامپیوتر به شکل آن وارد شده است.

مفهوم موجودی منابع شامل نه تنها مصالحه از منابع شبکه فعال و منفعل است که شما با لیست تجهیزات (و کامل بودن آن) خریداری شده توسط سازمان است. برای مصالحه تجهیزات و کامل بودن آن، شما می توانید از نرم افزار مناسب (به عنوان مثال، مایکروسافت SMS Server) و غیره استفاده کنید.

این همچنین می تواند شامل ایجاد یک کارت شبکه با توضیحات تمام نقاط اتصال احتمالی، طراحی یک لیست از نرم افزار مورد استفاده، تشکیل صندوق صندوق نرم افزاری مجوز مجوز مورد استفاده در سازمان، و همچنین بنیاد الگوریتم ها و برنامه ها از توسعه خود.

لازم به ذکر است که این نرم افزار می تواند تنها پس از آنکه توسط بخش حفاظت از اطلاعات برای انطباق با وظایف، عدم وجود انواع بوک مارک ها و "بمب های منطقی" تأیید شود، باید پذیرفته شود.

من می خواهم در مورد تمایل به استفاده از برنامه های کاربردی صحبت کنم کد های باز. بدون شک، آنها صرفه جویی های قابل توجهی را به ارمغان می آورند. با این حال، به نظر می رسد، در این مورد، ایمنی توسط اعتماد نه تنها به توسعه دهنده سیستم، بلکه همچنین به مدیر شما تعیین می شود. و اگر شما حقوق و دستمزد مدیر را حساب کنید، نتیجه گیری نمی شود که شما اسرار خود را بسیار ساده تر و ارزان تر از انجام یک حمله مستقیم خارجی خریداری کنید. لازم به ذکر است که بیشتر حملات موفقیت آمیز داخلی خود را (خدمت به شرکت خود).

به نظر می رسد لازم است که یک نرم افزار آزادانه توزیع شود، در صورتی که خطر آسیب جدی وجود داشته باشد، ممکن است تنها در صورتی که به شما در جمع آوری و امضای دیجیتالی از یک سازمان ارائه شود، امکان پذیر است که عدم وجود بمب های منطقی را تضمین می کند ، انواع بوک مارک ها و "سکته های سیاه". علاوه بر این، سازمان ضامن باید مسئولیت مواد را تحمل کند. با این حال، امروز چنین پیشنهادی باید به تخلیه غیر واقعی نسبت داده شود.

پس از بررسی، نرم افزار مرجع به بنیاد الگوریتم ها و برنامه ها وارد شده است (یک کپی مرجع باید با فایل چکمه همراه باشد و بهتر شود - توسط امضای الکترونیکی توسعه دهنده). در آینده، هنگام تغییر نسخه ها، ظاهر به روز رسانی ها، بررسی نرم افزار توسط روش تاسیس شده ساخته شده است.

فرم فرم نرم افزار نصب شده به شکل هر کامپیوتر وارد شده است، تاریخ نصب نشان داده شده است، اهداف حل شده با استفاده از این نرم افزار، وظیفه، نام و امضای فردی که نرم افزار نصب شده و پیکربندی شده است، تنظیم شده است. پس از ایجاد چنین فرمولاسیون، سرویس امنیت اطلاعات باید تأیید منظم از انطباق موقعیت واقعی را به فرمول بندی ارائه دهد.

گام بعدی در ساخت سرویس امنیت اطلاعات باید تجزیه و تحلیل خطرات سازمان باشد، بر اساس آن سیاست امنیتی ایجاد خواهد شد.