Mikhail Coptenkov |. © M. Koptenkov.

Securitatea informațiilor este starea de securitate a mediului de informare. Securitatea informațiilor ar trebui considerată ca un set de măsuri, dintre care este imposibil să se aloce mai mult sau mai puțin important. Conceptul de securitate a informațiilor este strâns legat de conceptul de protecție a informațiilor, care este o activitate de prevenire a scurgerilor de informații protejate, impactului neautorizat și neintenționat asupra acesteia, adică un proces care vizează realizarea stării de securitate a informațiilor. Cu toate acestea, înainte de protejarea informațiilor, este necesar să se determine ce informații ar trebui să fie protejate și în ce măsură. Aceasta utilizează clasificarea (clasificarea) informațiilor, adică, stabilind gradări de importanța asigurării securității informațiilor și a atributului resurselor specifice informațiilor către categoriile relevante. Astfel, clasificarea informațiilor poate fi numită primul pas către asigurarea securității informațiilor organizației.

Din punct de vedere istoric, este necesar să o clasificați la clasificarea informațiilor la nivelul secretului (confidențialitate). În același timp, cerințele de accesibilitate și integritate nu sunt adesea luate în considerare sau sunt luate în considerare la par cu cerințe generale pentru sistemele de procesare a informațiilor. Aceasta este o abordare greșită. În multe zone, cota informații confidențiale Comparativ mic. Pentru informații deschise.Deteriorarea dezvăluirii cărora lipsește, cele mai importante proprietăți sunt: \u200b\u200baccesibilitatea, integritatea și securitatea de la copierea ilegală. De exemplu, puteți aduce un magazin online, unde este important să mențineți în mod constant accesibilitatea la site-ul companiei. Pe baza necesității de a asigura diferite niveluri de securitate a informațiilor, puteți introduce diverse categorii de confidențialitate, integritate și accesibilitate.

1. Categorii de confidențialitate a informațiilor protejate

Confidențialitatea informațiilor - proprietatea informațiilor care indică necesitatea introducerii restricțiilor privind cercul persoanelor cu acces la aceste informații.
Se introduc următoarele categorii de informații de confidențialitate:
– - informații confidențiale în conformitate cu cerințele legislației, precum și informații, restricții privind difuzarea cărora sunt înscrise de deciziile conducerii organizației, a căror divulgare poate duce la o prejudiciu semnificativ asupra activităților organizației.
– Informații confidențiale - informații care nu sunt strict confidențiale, restricțiile privind distribuția cărora sunt introduse doar prin decizia conducerii organizației, a cărei divulgare poate duce la deteriorarea activităților organizației.
– Informații deschise. - Această categorie include informații pentru a asigura confidențialitatea cărora nu este necesară.

2. Categorii de integritate a informațiilor

Integritatea informațiilor este o proprietate, atunci când se execută pe care datele păstrează o formă și o calitate predeterminată (rămân neschimbate cu privire la unele stare fixă).
Următoarele categorii de integrități ale informațiilor sunt introduse:
– Înalt - Această categorie include informații, modificări neautorizate sau contrafacerea care poate duce la o deteriorare semnificativă a activităților organizației.
– Scăzut - Această categorie include informații de modificare neautorizată a cărei pot duce la aplicarea unor daune moderate sau minore a activităților organizației.
– Nu există cerințe - Această categorie include informații pentru a asigura integritatea cărora nu sunt prezentate cerințele.

3. Informații Informații disponibile

Disponibilitatea este o stare de informare în care subiecții cu drepturi de acces îl pot pune în aplicare necondiționate.
Următoarele categorii de disponibilitate a informațiilor sunt introduse:
– - Accesul la informații trebuie furnizat în orice moment (întârzierea primirii accesului la informații nu trebuie să depășească câteva secunde sau minute).
– Valabilitate ridicată - Accesul la informații ar trebui să fie efectuat fără întârzieri semnificative de timp (întârzierea primirii accesului la informații nu trebuie să depășească câteva ore).
– Accesibilitate medie - Accesul la informații poate fi prevăzut cu întârzieri temporare semnificative (întârzierea obținerii informațiilor nu trebuie să depășească câteva zile).
– Accesibilitate scăzută - întârzierile de timp în accesul la informații sunt practic limitate (întârziere admisibilă în obținerea accesului la informații - câteva săptămâni).

Din cele de mai sus, este clar că categoriile de confidențialitate și integritate a informațiilor depind direct de valoarea daunelor aduse organizației cu încălcarea acestor proprietăți ale informațiilor. Categorii de disponibilitate într-o măsură mai mică, dar depind de valoarea deteriorării organizației. Pentru a determina cantitatea de daune, se utilizează evaluarea sa subiectivă și este introdusă o scală pe trei niveluri: daune semnificative, deteriorări moderate și daune scăzute (sau fără deteriorări).
scăzutDacă pierderea accesibilității, confidențialității și / sau integrității informațiilor are un impact negativ ușor asupra activităților organizației, a activelor și personalului acesteia.
Impactul negativ înseamnă că:
- Organizația rămâne capabilă să-și îndeplinească activitățile, dar eficacitatea funcțiilor de bază este redusă;
- o deteriorare nesemnificativă este aplicată de active;
- Organizația are pierderi financiare minore.
Deteriorarea organizației este estimată ca moderatDacă pierderea accesibilității, confidențialității și / sau integrității are un impact negativ grav asupra organizației, activelor și personalului acesteia.
Gravitatea impactului negativ înseamnă că:
- Organizația rămâne capabilă să-și îndeplinească activitățile, dar eficacitatea funcțiilor de bază este redusă semnificativ;
- activele organizației au cauzat daune semnificative;
- Compania are pierderi financiare semnificative.
Potențialul deteriorător al organizației este evaluat ca semnificativDacă pierderea accesibilității, confidențialității și / sau integrității este asigurată de impactul negativ (catastrofal) negativ asupra organizației, activele și personalului său, adică:
- Organizația pierde capacitatea de a efectua toate funcțiile sale de bază;
- activele organizației au cauzat daune majore;
- Organizația are pierderi financiare mari.
Astfel, estimând daunele asupra activităților organizației cu încălcarea confidențialității, integrității și disponibilității informațiilor și, pe baza acestui fapt, determinând categoriile de informații, se pot distinge trei tipuri: cele mai critice, critice și non-critice .

Tipul de informații este determinat prin realizarea categoriilor de informații.
Tabelul 1 prezintă tipul de informații.

Categoria de confidențialitate a informațiilor	Categoria integrității informațiilor	Categoria de accesibilitate a informațiilor	Tip de informație.
Informații strict confidențiale	*	*
*	Înalt	*	Cele mai critice informații
*	*	Accesibilitate neîngrădită	Cele mai critice informații
Informații confidențiale	*	*	Informații critice.
*	Scăzut	*	Informații critice.
*	*	Valabilitate ridicată	Informații critice.
Informații deschise.	Nu există cerințe	Accesibilitate medie	Informații non-critice
Informații deschise.	Nu există cerințe	Accesibilitate scăzută	Informații non-critice

Tabelul 1: Definiția tipului de informații

Astfel, clasificarea informațiilor este primul pas către asigurarea securității informațiilor organizației, deoarece înainte de a proteja ceva, în primul rând, merită să fie determinând ceea ce trebuie protejat și în ce măsură. Categoriile și informațiile utilizatorilor și informațiile furnizate atât în \u200b\u200bformularul electronic, cât și în transportatorul de materiale sunt clasificate. Pentru a determina tipul de informații protejate, este necesar să se determine care deteriorarea organizației vor fi cauzate în pierderea confidențialității, integrității și disponibilității acestor informații.
În viitor, prin definirea tipului de informații, puteți aplica diferite măsuri pentru a proteja fiecare tip de informații. Acest lucru nu numai că se va structura datele procesate în organizație, dar și pentru a implementa cel mai eficient și utilizează subsistemul de control al accesului la informațiile protejate, precum și optimizarea costurilor de asigurare a securității informațiilor.

Bibliografie:
1. Dacă V., Serviciul de Securitate Information: Primii pași, 2008, http://ww.compress.ru/article.aspx?id\u003d20512
2. Smooth A. A., Dementiev V. E., Principii de securitate a informațiilor de bază rețele de calcul. Ulyanovsk: Ulgtu, 2009. - 156 p.

Informații protejate (informații care trebuie protejate) - informații (informații), care fac obiectul proprietății și care sunt protejați în conformitate cu cerințele documentelor legislative și de altă natură sau în conformitate cu cerințele stabilite de proprietarul informațiilor (Bank).

Resursele protejate ale sistemului bancar de informații (resursele IBS care trebuie protejate) - informații, sarcini funcționale, canale de transfer de informații, locuri de muncă care trebuie protejate pentru a asigura securitatea informațiilor despre bancă, clienții și corespondenții săi.

Locul de muncă protejat (PM) - Obiectul de protecție (calculator personal cu setul corespunzător de software și date) pentru care este necesară necesitatea stabilirii modului reglementat de procesare și caracterizare a informațiilor:

• locație, precum și gradul de accesibilitate fizică pentru persoanele neautorizate (clienți, vizitatori, angajați care nu aveau voie să lucreze cu PM etc.);

  compoziția hardware-ului;

  compoziția software-ului și rezolvată sarcinile IT (anumite categorii de disponibilitate);

  componența informațiilor stocate și prelucrate pe informațiile PM (anumite categorii de confidențialitate și integritate).

Formularul RM. - un document al formularului stabilit (anexa 3), care stabilește caracteristicile PM (locația, configurarea hardware-ului și a software-ului, lista sarcinilor rezolvate pe PM, etc.) și certificarea capacității de a opera acest PM (indicând Punerea în aplicare a cerințelor pentru protecția informațiilor care sunt procesate pe informațiile PM în conformitate cu categoria PM).

Sarcina protejată - sarcina funcțională este rezolvată pe un RM separat, care a recunoscut necesitatea de a stabili un mod reglementat de mod de procesare a informațiilor și să se caracterizeze:

• un set de resurse utilizate în rezolvarea resurselor (software, seturi de date, dispozitive);

  frecvența soluțiilor;

  Întârzierea maximă admisă în obținerea problemei de rezolvare a problemei.

Formularul de lucru - un set de documente (Anexa 2), care stabilește caracteristicile sarcinii (numele, scopul, tipul utilizat în rezolvarea este resursele, grupurile de utilizatori ale acestei sarcini, drepturile lor de acces la resursele sarcinii etc.) .

Canalul de transmisie a informațiilor protejate - Calea pentru care sunt transmise informațiile protejate. Canalele sunt împărțite în fizice (de la un dispozitiv la altul) și logice (de la o sarcină la alta).

Confidențialitatea informațiilor - caracteristicile informative definite subiectiv (atribuite), indicând necesitatea introducerii restricțiilor asupra unui cerc de subiecți (persoane), având acces la aceste informații și asigurat de sistem (mediu) pentru a menține informațiile specificate în secret de la subiecți care nu au autoritate de a accesa la ea.

INTEGRITATEA INFORMAȚIILOR - proprietatea informațiilor încheiate în existența sa în formă nedenaturată (în mod constant în raport cu un anumit stat fix).

Disponibilitatea informațiilor (sarcini) - proprietatea sistemului de procesare (mediu) în care informațiile circulă informațiile caracterizate de capacitatea de a asigura accesul în timp util la subiecții la informațiile care vă interesează (dacă există autorități de acces relevante în subiecți) și disponibilitatea Dintre serviciile automate relevante (sarcini funcționale) la menținerea cererilor de la subiecții de solicitări întotdeauna când sunt în contact cu acestea, este nevoie.

1. Dispoziții generale

1.1. Această prevedere este introdusă pe categorii (gradări de importanță a resurselor) și stabilește procedura de clasificare a resurselor sistemului informatic care trebuie protejate (atribuindu-le categoriilor relevante, ținând cont de gradul de deteriorare a băncii , clienții și corespondenții săi în caz de intervenție neautorizată în procesul de funcționare a IBS și a integrității sau confidențialității informațiilor prelucrate, blocarea informațiilor sau încălcarea accesibilității sarcinilor soluționate de IBS).

1.2. Categorii de resurse (definirea cerințelor de protecție a resurselor) CHD este un element necesar al organizării muncii privind asigurarea securității informațiilor Băncii și are obiective proprii:

crearea unei baze de reglementare și metodologică pentru o abordare diferențiată a protejării resurselor sistem automatizat (informații, sarcini, canale, PM) pe baza clasificării lor prin gradul de risc în cazul încălcării disponibilității, integrității sau confidențialității acestora;

tipizarea măsurilor organizaționale continue și distribuirea hardware-ului și a software-ului pentru protecția resurselor de către IBS RM și unificarea setărilor acestora.

2. Categorii de informații protejate

2.1. Pe baza necesității de a furniza diferite niveluri de protecție a diferitelor tipuri de informații, stocate și prelucrate în IBS, precum și luând în considerare căi posibile Deteriorarea băncii, clienții și corespondenții să introducă trei categorii de confidențialitate a informațiilor protejate și trei categorii de integrități ale informațiilor protejate.

"Înalt" - în această categorie include informații non-rafinare, care este confidențial în conformitate cu cerințele actualei legislații ale Federației Ruse (secrete bancare, date cu caracter personal);

"Low" - această categorie include informații confidențiale, care nu sunt legate de categoria "High", restricțiile privind distribuția cărora sunt înscrise prin decizia conducerii băncii în conformitate cu proprietarul acordat (autorizat de către proprietar) informații prin lege prin lege;

"Nici o cerință" - această categorie include informații, confidențialitate (introducerea restricțiilor de diseminare) nu este necesară.

"Înalt" - această categorie include informații, modificări neautorizate (denaturare, distrugere) sau falsificarea cărora poate duce la o deteriorare directă semnificativă a băncii, a clienților și a corespondenților, integrității și autenticității (confirmarea autenticității sursei) ar trebui să fie asigurată prin metode garantate (de exemplu, semnături electronice digitale) în conformitate cu cerințele necesare ale legislației în vigoare;

"Low" - această categorie include informații, modificări neautorizate, eliminarea sau falsificarea cărora poate duce la aplicarea unor deteriorări indirecte minore ale băncii, clienților și corespondenților săi, al cărui integritate (și dacă este necesar și autenticitatea) ar trebui să fie asigurată în în conformitate cu decizia conducerii băncii (metode care numără controale, EDS etc.);

"Nici o cerință" - această categorie include informații pentru a asigura integritatea (și autenticitatea) căruia cerințele nu sunt prezentate.

2.2. Pentru a simplifica operațiunile pentru clasificarea sarcinilor, canalelor și PM, confidențialitatea și integritatea informațiilor protejate sunt combinate și stabilite patru categorii de informații generalizate: "vitale", "foarte important", "important" și "nu este important". Atribuirea informațiilor către o categorie generalizată se efectuează pe baza categoriilor sale de confidențialitate și integritate în conformitate cu tabelul 1.

tabelul 1

1 - Informații "vitale"

2 - informații "foarte importante"

3 - Informații "importante"

4 - Informații "nu sunt importante"

3. Categorii de sarcini funcționale

3.1. În funcție de periodicitatea soluționării sarcinilor funcționale și întârzierea maximă admisibilă în obținerea rezultatelor soluției lor, sunt introduse patru grade necesare de disponibilitate a sarcinilor funcționale.

Gradul necesar de disponibilitate a sarcinilor funcționale:

"Accesibilitatea neîngrădită" - Accesul trebuie furnizat în orice moment (sarcina este rezolvată în mod constant, întârzierea obținerii rezultatului nu trebuie să depășească câteva secunde sau minute);

"Disponibilitate ridicată" - accesul la sarcină ar trebui să fie efectuat fără întârzieri semnificative de timp (sarcina este rezolvată zilnic, întârzierea obținerii rezultatului nu trebuie să depășească câteva ore);

"Disponibilitatea medie" - accesul la sarcină poate fi prevăzut cu întârzieri temporare semnificative (sarcina este rezolvată o dată la câteva zile, întârzierea obținerii rezultatului nu trebuie să depășească câteva zile);

"Accesibilitate scăzută" - întârzierile temporare în accesul la sarcină sunt practic limitate (sarcina este rezolvată cu o perioadă de câteva săptămâni sau luni, întârzierea admisă în obținerea rezultatului este de câteva săptămâni).

3.2. În funcție de categoria generalizată de informații protejate utilizate în rezolvarea problemei, iar gradul necesar de disponibilitate a sarcinii este setat la patru categorii de sarcini funcționale: "primul", "al doilea", "al treilea" și "al patrulea" (în concordanță cu Tabelul 2).

masa 2

Definiția categoriei de sarcină funcțională
Categoria generalizată de informații	Cerința disponibilității sarcinii
	"Accesibilitate neîngrădită"	"Valabilitate ridicată"	"Accesibilitatea medie"	"Accesibilitate scăzută"
"Vital"	1	1	2	2
"Foarte important"	1	2	2	3
"Important"	2	2	3	3
"Nu e important"	2	3	3	4

4. Cerințe pentru a asigura securitatea canalelor de transmisie a informațiilor protejate (categorii de canale)

4.1. Cerințele de securitate (categorii) ale canalului de transmisie logică a informațiilor protejate sunt determinate de categoria maximă de două sarcini, între care este instalat acest canal.

5. Categorii PM.

5.1. În funcție de categorii, patru categorii de PM sunt instalate pe sarcinile PM: "A", "B", "C" și "D".

5.3. Grupul din categoria "B" include PM, pe care se rezolvă cel puțin o sarcină funcțională a celei de-a doua categorii. Categoriile de alte sarcini rezolvate pe acest PM nu ar trebui să fie mai mici decât cele ale celei de-a treia și nu mai mari decât al doilea.

5.4. Grupul de PM de categoria C include PM, pe care se rezolvă cel puțin o sarcină funcțională a celei de-a treia categorii. Categoriile altor sarcini deconectate pe acest PM nu ar trebui să fie mai mari decât cele ale celei de-a treia.

Tabelul 3.

5.6. Cerințe privind asigurarea siguranței RM a diferitelor categorii (privind aplicarea măsurilor și căilor de atac adecvate) sunt prezentate în apendicele 5.

6. Procedura de determinare a categoriilor de resurse protejate IBS

6.1. Categoriile se efectuează pe baza unui inventar al resurselor sistemului bancar informațional (RM, sarcini, informații) și implică compilarea și întreținerea ulterioară (întreținerea urgenței) a listelor (seturi de formule) ale resurselor IBS care urmează să fie protejate .

6.2. Responsabilitatea pentru întocmirea și menținerea listelor de resurse IBS este atribuită:

În ceea ce privește întocmirea și menținerea unei liste de PM (indicând plasarea lor, consolidarea băncilor, compoziția și caracteristicile incluse în compoziția sa mijloace tehnice) - privind managementul tehnologia Informatiei (în continuare WEIT);

În ceea ce privește compilarea și menținerea unei liste de sarcini de sistem și aplicate (speciale), rezolvată pe PM (indicând înregistrările resurselor utilizate la rezolvarea acestora - dispozitive, directoare, fișiere cu informații) - la departament suport tehnic Pic.

6.3. Responsabilitatea pentru determinarea cerințelor de confidențialitate, integritate, disponibilitate și atribuire a categoriilor relevante de resurse RM specifice (resurse și sarcini de informare) este atribuită diviziilor băncii, care rezolvă în mod direct sarcinile din datele PM (proprietarii de informații) și departamentul de securitate a informațiilor .

6.4. Aprobarea categoriilor de resurse de informare ale categoriilor IBS desemnate în conformitate cu acest "Regulament privind clasificarea resurselor IBS" se face de către președintele consiliului de administrație al Băncii.

6.6. Clasificarea resurselor IBS poate fi efectuată secvențial pentru fiecare RM separat, cu asocierea ulterioară și formarea de uniformi ai resurselor IBS care urmează să fie protejate:

lista resurselor informaționale IBS să fie protejate (apendicele 2);

lista sarcinilor care trebuie protejate (set de formatori de sarcini);

lista de PM (set de matrițe de PM).

În prima etapă a lucrărilor privind clasificarea resurselor unui anumit PM, acesta este clasificat cu toate tipurile de informații utilizate în rezolvarea problemelor în acest PM. Categoriile de informații generalizate sunt determinate pe baza categoriilor de confidențialitate și integritate a tipurilor specifice de informații. Resursele de informare care trebuie protejate sunt incluse în "lista resurselor informaționale pentru a fi protejate".

În cea de-a doua etapă, ținând seama de categoriile de informații generalizate utilizate în rezolvarea sarcinilor stabilite mai devreme, iar cerințele pentru disponibilitatea sarcinilor sunt clasificate pentru toate sarcinile funcționale rezolvate în acest PM.

La cea de-a patra etapă, pe baza categoriilor de sarcini interacționate, se stabilește o categorie de canale de transmisie canal logic între sarcini funcționale (pe diferite PM). 6.7. Retestarea (categoria de schimbare) a resurselor de informații IBS se face atunci când se schimbă cerințele pentru asigurarea protecției proprietăților (confidențialitate și integritate) a informațiilor relevante.

Transferul (modificarea categoriei) a sarcinilor funcționale se face atunci când se schimbă categoriile de informații generalizate utilizate în rezolvarea acestei sarcini, precum și atunci când schimbăm cerințele pentru disponibilitatea sarcinilor funcționale.

Transferul (schimbarea categoriei) de canale logice se efectuează atunci când se schimbă categoriile de sarcini interacționale.

Rertenționarea (schimbarea categoriei) a PM se face atunci când se schimbă categoriile sau la compoziția sarcinilor rezolvate pe datele PM.

6.8. Periodic (o dată pe an) sau la cererea șefilor de diviziuni structurale ale băncii, se face o revizuire a categoriilor de resurse protejate pentru respectarea stării reale a situației afacerilor.

7. Procedura de revizuire

7.1. În cazul modificărilor cerințelor pentru protecția PM de diferite categorii, auditul (urmat de omologare) este supus apendicelului 5.

7.2. În cazul modificărilor și a completărilor la "Lista resurselor de informare care urmează a fi protejate", revizuirea (urmată de aprobare) este supusă apendicelui 4.

Apendicele 1 - Metode care clasifică resursele protejate

Această tehnică este destinată să clarifice procedura de desfășurare a lucrărilor privind clasificarea resurselor protejate în Banca Băncii, în conformitate cu "Regulamentul privind clasificarea resurselor sistemului bancar informațional". Categoriile implică desfășurarea lucrărilor privind examinarea subsistemelor și diviziunilor structurale ale băncii și identificarea (inventarul) tuturor resurselor IBS care urmează să fie protejate. Secvența aproximativă și conținutul principal al acțiunilor specifice pentru implementarea acestor lucrări sunt prezentate mai jos.

1. Să efectueze un studiu informațional al tuturor subsistemelor sistemului informatic al băncii și inventarul resurselor IBS care urmează să fie protejate, se formează un grup de lucru special. Acest grup include specialiști ai Departamentului de Securitate Information și Managementul Tehnologiilor Informaționale Băncii (conștienți de problemele tehnologice procesare automată informație). Pentru a transmite starea necesară grupul de lucru, este publicată eliminarea corespunzătoare a președintelui consiliului de administrație al Băncii, în care, în special, sunt indicate de toți șefii diviziilor structurale ale băncii cu privire la furnizarea de asistență și asistența necesară pentru grupul de lucru în desfășurarea lucrărilor Ancheta IBA. Pentru a asista la momentul funcționării grupului, angajații care au informații detaliate privind prelucrarea informațiilor în aceste diviziuni ar trebui alocate în diviziuni de către șefii acestor diviziuni.

2. În timpul examinării diviziunilor specifice ale băncii și a subsistemelor de informații, toate sarcinile funcționale rezolvate utilizând IBS sunt detectate și descrise, precum și toate tipurile de informații (informații) utilizate în rezolvarea acestor sarcini în diviziuni.

3. Se întocmește o listă totală de sarcini funcționale și pentru fiecare sarcină este întocmită (pornire) (Apendicele 2). Ar trebui să se țină cont de faptul că una și aceeași sarcină în diferite unități pot fi numite diferit și invers, diverse sarcini pot avea același nume. În același timp, se efectuează instrumente software (generale, speciale) utilizate în rezolvarea sarcinilor funcționale ale unității.

4. Atunci când examinează subsistemele și analiza sarcinilor, sunt detectate toate tipurile de intrare, de ieșire, stocate, procesate și altele asemenea. informație. Este necesar să se identifice nu numai informații care pot fi atribuite confidențialului (la secrete bancare și comerciale, date cu caracter personal), ci și informații care trebuie protejate din cauza faptului că încălcarea integrității (denaturare, falsificare) sau disponibilitatea (distrugerea, blocarea blocării ) Poate aplica o deteriorare tangibilă băncii, clienților sau corespondenților săi.

5. La identificarea tuturor tipurilor de informații, circulante și procesate în subsisteme, este de dorit să se evalueze gravitatea consecințelor la care se pot conduce încălcările proprietăților sale (confidențialitate, integritate). Pentru a obține evaluări inițiale ale severității unor astfel de consecințe, este recomandabil să se efectueze un sondaj (de exemplu, în formă de specialiști) care lucrează cu aceste informații. În același timp, este necesar să aflați cine poate fi interesat aceasta informatieCum pot influența sau utilizarea ilegală, la care consecințe poate conduce.

6. Informații privind estimările deteriorării probabile sunt introduse în forme speciale (apendicele 3). Dacă este imposibil să se cuantifică deteriorarea probabilă, se face o evaluare calitativă (de exemplu: scăzută, medie, mare, foarte mare).

7. La elaborarea unei liste și formalitatea sarcinilor funcționale rezolvate în bancă, este necesar să se afle frecvența soluției lor, timpul de întârziere maxim admisibil pentru obținerea rezultatelor de rezolvare a problemelor și gradul de gravitate a consecințelor la care pot fi acordate încălcări ale disponibilității acestora (blocarea posibilității de rezolvare a problemelor. Estimările deteriorării probabile sunt introduse în forme speciale (apendicele 3). În cazul imposibilității estimării cantitative a deteriorării probabile, se face o evaluare calitativă.

8. Toate identificate în timpul sondajului, diferite tipuri de informații sunt înregistrate în "Lista resurselor de informații care trebuie protejate".

9. determinată (și apoi indicată în listă) la ce tip de secret (bancar, comercial, date cu caracter personal, care nu constituie secrete) include fiecare dintre tipurile de informații identificate (pe baza cerințelor actualei legislații și drepturile furnizate acestora).

10. Propunerile inițiale de evaluare a categoriilor de asigurare a confidențialității și integrității tipurilor specifice de informații sunt clarificate de la lideri (specialiștii de conducere) ai diviziei structurale ale băncii (pe baza evaluărilor personale ale daunelor probabile cauzate de încălcarea proprietăților de confidențialitate și Integritatea informațiilor). Estimările datelor privind categoriile de informații sunt introduse în "Lista resurselor de informații care trebuie protejate" (în coloanele 2 și 3).

11. Apoi lista este în concordanță cu șefii de management al securității, WEAT și Departamentul de Securitate a informațiilor și este evidențiat pentru examinare de către Comitetul pentru securitatea informațiilor.

12. La examinarea listei comitetului de gestionare a securității informațiilor, pot fi făcute modificări și completări. Versiunea pregătită a "Listei de resurse de informații care trebuie protejate" este prezentată spre aprobare de către președintele consiliului de administrație al băncii.

13. În conformitate cu categoriile de confidențialitate și integritate specificată în lista de resurse informaționale aprobate ", se determină categoria generalizată a fiecărui tip de informații (în conformitate cu tabelul 1 din categoria categorizării).

14. În etapa următoare, sarcinile funcționale sunt clasificate. Pe baza cerințelor de disponibilitate impuse de șefii unităților de operare ale băncii și coordonate cu managerii de securitate și de bursă, toate sarcinile funcționale speciale (aplicate) sunt clasificate, rezolvate în unități care utilizează IBS (Tabelul 2 din prevederile de clasificare a resurselor). Informațiile despre categoriile de sarcini speciale sunt introduse în formularul de lucru. Categorizarea sarcinilor și a software-ului comun (sistem) în afara legării la un anumit PM nu este efectuată.

În viitor, cu participarea specialiștilor WIT, este necesar să se clarifice componența resurselor de informare și software ale fiecărei sarcini și să adauge informații despre informațiile despre grupurile de utilizatori și orientările pentru a înființa configurarea instrumentelor de securitate (puterile de Grupuri de acces la resursele enumerate ale sarcinii). Aceste informații vor fi utilizate ca setări de referință ale protecției PM respective, pe care va fi rezolvată această sarcină și pentru a controla corectitudinea instalației lor.

15. Apoi este clasificat cu toate canalele logice între sarcinile funcționale. Categoria canalului este stabilită pe baza categoriei maxime de sarcini implicate în interacțiune.

16. În ultima etapă, RM este clasificat. Categoria PM este stabilită, pe baza categoriei maxime de sarcini speciale, rezolvată pe aceasta (sau categoria de informații utilizate în rezolvarea sarcinilor comune). La un moment dat, orice număr de sarcini, ale căror categorii sunt mai mici decât maximul posibil pe acest PM, nu sunt mai mult decât o unitate. Informații despre categoria PM sunt trimise la formularul RM.

De la redactor

Orice tip de activitate umană poate fi reprezentat ca un proces care rezultă într-un produs, material sau intelectual, care are o anumită valoare, adică costul. Informațiile sunt una dintre speciile de astfel de valori, poate fi atât de mare încât pierderea sau scurgerile sale, chiar parțiale, este capabilă să pună la îndoială chiar existența companiei. Prin urmare, protecția informațiilor în fiecare zi devine din ce în ce mai importantă, în aproape toate organizațiile mai mari sau mai puțin mari există dispozitive de Ib.

Pe piața IT, spectrul ofertelor de securitate a informațiilor este în creștere. Cum să navigați corect în acest flux de produse oferite? Cum de a alege software-ul optim costuri financiare Opțiune și luați în considerare toate nevoile companiei dvs.? Ce criterii de selecție se aplică? La urma urmei, deși serviciul IB din orice organizație sau întreprindere în sine nu produce valori intelectuale și materiale, nu există nicio îndoială cu privire la necesitatea și importanța acesteia și nu există nicio îndoială, iar la cheltuielile pentru acest serviciu sunt rareori salvate.

Ce trebuie făcut astfel încât costurile și nivelul de securitate a informațiilor companiei să se afle în relația optimă - această publicație este dedicată acestor probleme.

Introducere

Activitățile de securitate a informațiilor (IB) sunt cunoscute că nu aduc venituri, cu ajutorul lor, puteți reduce numai daunele de la posibilele incidente. Prin urmare, este foarte important ca costul creării și menținerii IB la nivelurile adecvate să fie comenni la valoarea activelor organizației legate de sistemul său informațional (IP). Comunitatea poate fi furnizată cu clasificarea sistemului de informare și informare, precum și alegerea regulatorilor de securitate pe baza rezultatelor de clasificare.

Categorii Informații I. sisteme de informare

Atribuirea categoriilor de securitate a informațiilor și a sistemelor informatice se bazează pe evaluarea daunelor, care poate fi aplicată prin încălcări ale securității. Astfel de incidente pot interfera cu organizația în punerea în aplicare a misiunilor încredințate, a compromisurilor, a pus compania la poziția încălcării legislației în vigoare, pentru a crea o amenințare la adresa activităților zilnice, de a expune personalul. Categoriile de securitate sunt utilizate împreună cu datele privind vulnerabilitățile și amenințările în procesul de analiză a riscurilor, care sunt supuse organizației.

Există trei aspecte principale ale IB:

• disponibilitate;
• confidențialitate;
• integritate.

În general, încălcările IB pot afecta doar o parte din aceste aspecte, precum și autoritățile de reglementare de securitate pot fi specifice pentru aspecte individuale. Prin urmare, este recomandabil să se evalueze separat prejudiciul posibil pentru tulburările de accesibilitate, confidențialitate și integritate și, dacă este necesar, puteți obține o evaluare integrală.

Cantitatea de deteriorare este convenabilă pentru a evalua scala cu trei niveluri ca scăzut, moderată sau înaltă ().

Figura 1. Scala de evaluare a daunelor datorată securității informaționale

Potențialul deteriorare a organizației este estimat ca fiind scăzut dacă pierderea accesibilității, confidențialității și / sau integrității are un impact malware limitat asupra activităților organizației, activelor și personalului acesteia. Efectul rău limitat înseamnă:

• organizația rămâne capabilă să îndeplinească misiunea atribuită acestuia, dar eficacitatea funcțiilor de bază este redusă considerabil;
• activele organizației se aplică daune minore;
• organizația are pierderi financiare minore;
• resursele umane au aplicat daune minore.

Potențială deteriorări pentru companie este estimată ca moderatÎn cazul pierderii accesibilității, confidențialității și / sau integrității are un impact rău intenționat asupra activităților organizației, activelor și personalului acesteia. Gravitatea efectului rău intenționat înseamnă că:

• compania rămâne capabilă să efectueze misiunea atribuită acestuia, dar eficacitatea funcțiilor de bază este redusă semnificativ;
• activele organizației au cauzat daune semnificative;
• compania are pierderi financiare semnificative;
• personalul se aplică un rău semnificativ care nu creează o amenințare la adresa vieții sau sănătății.

Potențialul deteriorător al organizației este evaluat ca înaltDacă pierderea accesibilității, confidențialității și / sau integrității are un impact greu sau catastrofal, rău intenționat asupra organizației, activelor și personalului său, adică:

• compania pierde capacitatea de a efectua toate funcțiile sale de bază;
• activele organizației cauzează daune majore;
• organizația are pierderi financiare mari;
• personalul este aplicat răul greu sau catastrofal care creează o posibilă amenințare la adresa vieții sau sănătății.

Categorii atât utilizator, cât și informații despre sistem furnizate atât în \u200b\u200bformă electronică, cât și sub formă de copie "solidă". Informațiile deschise nu pot avea categorii de confidențialitate. De exemplu, informațiile conținute pe un server web accesibil public al organizației nu au categorii de confidențialitate, iar disponibilitatea și integritatea acestora sunt estimate ca moderate.

Atunci când clasifică sistemul informațional, categoriile de suporturi stocate, prelucrate și transmise, precum și valoarea activelor în sine, adică Categoriile maxime sunt luate pentru toate tipurile de informații și active. Pentru a obține o evaluare integrală, trebuie să luați un maxim de categorii pentru principalele aspecte ale securității informațiilor.

Cerințe minime (de bază) de siguranță

Cerințele minime de securitate (de bază) sunt formulate în general, excluzând categoria atribuită IP. Acestea solicită nivelul de bază al securității informațiilor, trebuie să satisfacă toate sistemele informatice. Rezultatele categorizării sunt importante atunci când aleg regulatoare de siguranță, oferind respectarea cerințelor bazate pe analiza riscurilor (figura 2).

Figura 2. Nivelurile de securitate a informațiilor

Cerințele minime de securitate (fig.3) cuprind nivelurile administrative, procedurale și software-tehnice ale IB și sunt formulate după cum urmează.

Figura 3. Cerințe de securitate de bază pentru informații și IP.

• Organizația ar trebui să dezvolte, să documenteze și să publice o politică oficială de securitate și proceduri oficiale care vizează îndeplinirea cerințelor de mai jos și asigurarea punerii în aplicare eficiente a politicilor și a procedurilor.
• Compania trebuie să evalueze periodic riscurile, inclusiv evaluarea amenințărilor la adresa misiunii, funcționării, imaginii și reputației organizației, activelor și personalului acesteia. Aceste amenințări reprezintă o consecință a funcționării IC și a procesării, depozitării și transferului de date.
• În ceea ce privește achiziționarea de sisteme și servicii în companie, este necesar:
  • alocă resurse suficiente pentru o protecție IP adecvată;
  • în dezvoltarea sistemelor de luat în considerare cerințele IB;
  • limitați utilizarea și instalarea software-ului;
  • asigurați alocarea de către furnizorii de servicii externe suficiente pentru a proteja informațiile, aplicațiile și / sau serviciile.
• În domeniul certificării, acreditarea și evaluarea siguranței în cadrul organizației ar trebui să se efectueze:
  • monitorizarea continuă a autorităților de reglementare a siguranței pentru a avea încredere în eficacitatea lor;
  • evaluarea periodică a regulatorilor de siguranță utilizați în perioada de anchetă pentru a-și controla eficiența;
  • dezvoltarea și implementarea unui plan de eliminare a deficiențelor și reducerea sau eliminarea vulnerabilităților la IP;
  • autorizarea punerii în funcțiune a IP și stabilirea conexiunilor cu alte sisteme informatice.
• În domeniul securității cadrului, este necesar:
  • asigurarea fiabilității (procura) a funcționarilor care ocupă posturi responsabile, precum și conformitatea acestor persoane cu cerințe de securitate pentru aceste posturi;
  • asigurarea protecției sistemului de informare și informare atunci când efectuați activități disciplinare, cum ar fi concedierea sau circulația angajaților;
  • aplicați sancțiuni oficiale relevante pentru politicile de securitate și procedurile de siguranță.
• Organizația trebuie să furnizeze informarea și instruirea angajaților:
  • astfel încât directorii și utilizatorii ICS au știut despre riscurile asociate activităților lor și cu privire la legile, reglementările, reglementările, orientările, standardele, instrucțiunile și altele asemenea;
  • pentru ca personalul să aibă o pregătire practică adecvată pentru îndeplinirea sarcinilor de securitate a informațiilor.
• În zona de planificare, este necesar să se dezvolte, să se documenteze, să schimbe periodic și să implementeze planuri de securitate IP care descriu regulatori de securitate (disponibilă și planificată) și normele de comportament ale personalului cu acces la IP.
• Pentru a planifica o muncă neîntreruptă în companie, pentru a stabili, menține și implementa în mod eficient planurile de răspuns de urgență, backup, recuperare după accidente pentru a asigura disponibilitatea resurselor informaționale critice și continuitatea funcționării în situații de urgență.
• În ceea ce privește răspunsul la securitatea informațională, organizația trebuie:
  • să creeze o structură existentă pentru a răspunde incidentelor, adică activități pregătitoare adecvate, identificarea, analiza și localizarea încălcărilor, recuperarea după incidente și întreținerea apelurilor utilizatorilor;
  • furnizați urmărirea, documentarea și raportarea incidentelor către funcționarii corespunzători ai organizației și organismelor autorizate.
• În scopul protecției fizice, organizația ar trebui:
  • oferiți acces fizic la IP, echipamente, în spațiile de producție numai personal autorizat;
  • protejați fizic echipamentul și sprijinirea infrastructurii IP;
  • asigurați condiții tehnice adecvate pentru operarea IP;
  • protejați IP din amenințările de mediu;
  • asigurați controlul condițiilor în care funcționează IP;
  • furnizați controlul accesului prin furnizarea de acces la active IP utilizatorilor autorizați, proceselor care acționează în numele acestor utilizatori, precum și dispozitive (inclusiv alte IP) pentru a efectua tranzacții și funcții permise.
• Pentru a oferi logarea și auditul, este necesar:
  • crearea, protejarea și menținerea jurnalelor de înregistrare care vă permit să urmăriți, să analizați, să investigăm și să pregătiți rapoartele privind activitatea ilegală, neautorizată sau necorespunzătoare;
  • asigurați trasabilitatea acțiunilor într-un IP cu o exactitate a utilizatorului (responsabilitate utilizator).
• În ceea ce privește managementul de configurare în companie urmează:
  • instalați și mențineți configurațiile de bază;
  • aveți un OPIS (hartă) de IP, actualizat cu privire la ciclu de viațăcare include echipamente, software și documentație;
  • instalați și asigurați aplicarea practică a setărilor pentru configurarea instrumentelor de securitate în produsele incluse în IP.
• În zona de identificare și autentificare, este necesar să se identifice și să autentifice utilizatorii de IP, procesele care acționează pe numele de utilizator, precum și dispozitive ca o condiție necesară pentru asigurarea accesului la IP.

În plus, este necesar:

• Pentru acompaniament:
  • să efectueze o întreținere periodică și la timp a IP;
  • asigurați autoritățile de reglementare eficiente pentru fonduri, metode, mecanisme și personal care efectuează suport.
• Pentru a proteja mass-media:
  • protejați purtătorii de date atât digitale, cât și hârtia;
  • oferiți acces la date pe suporturi numai pentru utilizatorii autorizați;
  • sanue sau distruge mass-media înainte de încheiere de la operație sau înainte de a transfera la reutilizare.
• Pentru a proteja sistemele și comunicațiile:
  • urmăriți, monitorizați și protejați comunicarea (care este transmisă și primită date) pe limitele interne externe și principale ale PA;
  • aplicați abordări de arhitectură și hardware-software care cresc nivelul actual de securitate a informațiilor IP.
• Pentru a asigura integritatea sistemelor și a datelor:
  • identificați în timp util defectele IP și datele, raportați și corectați-le;
  • protejați IP-ul de la software rău intenționat;
  • urmăriți semnale despre încălcările de securitate și rapoartele privind noile amenințări pentru sistemul informatic și reacționează în mod corespunzător la acestea.

Selectați setul de bază de regulatori de securitate pentru a îndeplini cerințele de siguranță

O condiție prealabilă pentru punerea în aplicare a cerințelor de siguranță este alegerea și punerea în aplicare a autorităților de reglementare relevante de siguranță, adică dezvoltarea și aplicarea unor contramăsuri și mijloace de protecție justificate din punct de vedere economic. Regulatorii de securitate sunt împărțiți în administrativ, procedural și software și tehnic și servesc pentru a asigura disponibilitatea, confidențialitatea și integritatea sistemului informatic și procesate, stocate și transmise datelor.

Alegerea regulatorilor de securitate se bazează pe rezultatele clasificării sistemului de date și informare. În plus, ar trebui să se țină seama de autoritățile de reglementare de securitate și pentru care există planuri specifice de punere în aplicare, precum și gradul de încredere necesar în eficacitatea autorităților actuale.

Selectarea adecvată a regulatorilor de siguranță poate fi simplificată dacă o produce din seturi de bază predefinite asociate nivelului necesar IB. Folosind o scară pe trei niveluri, utilizați trei seturi de bază, respectiv, pentru nivelul minim (scăzut, de bază), moderat și ridicat de securitate a informațiilor.

Regulatoare de securitate pentru minimum Ib

La nivelul minim de securitate a informațiilor, este recomandabil să se aplice următoarele regulatori de securitate administrativă.

Figura 4. Regulatori de securitate prin nivelurile IB

• Evaluarea riscurilor: politică și proceduri.
  • politica oficială de evaluare a riscurilor documentate, care prezintă scopul, acoperirea, rolurile, responsabilitățile, sprijinul pentru management, coordonarea structurilor organizaționale și respectarea legislației în vigoare;
  • proceduri formale documentate care contribuie la punerea în aplicare a politicilor și autorităților de evaluare a riscurilor asociate.
• Evaluarea riscurilor: Categorizarea cerințelor de siguranță. Categorizarea sistemului de date și informare, documentarea rezultatelor, inclusiv rațiunea pentru categoriile stabilite; Documentul este certificat de manual.
• Evaluarea riscurilor: Holding. Evaluarea riscurilor și posibilele daune cauzate de accesul, utilizarea, dezvăluirea, tulburările, modificările și / sau distrugerea datelor și / sau a sistemului de informare, inclusiv resursele gestionate de organizațiile externe.
• Evaluarea riscurilor: Revizuirea rezultatelor. Revizuirea rezultatelor evaluării riscurilor se efectuează fie cu o frecvență dată, fie după modificări semnificative ale infrastructurii IC sau de susținere sau după alte evenimente care pot afecta considerabil nivelul de securitate sau starea sa de acreditare.
• Planificarea siguranței: politică și proceduri.
  • politica oficială de planificare a securității documentate, care prezintă obiectivul, acoperirea, rolurile, responsabilitățile, sprijinul pentru conducere, coordonarea structurilor organizaționale și respectarea legislației în vigoare;
  • procedurile formale documentate care contribuie la punerea în aplicare a politicilor și autorităților de reglementare de amenajare a siguranței asociate.
• Planificarea siguranței: Plan de securitate IP. Dezvoltarea și implementarea unui plan de sistem informațional, care descrie cerințele de securitate pentru autoritățile de reglementare de securitate IP și disponibile și planificate care servesc la îndeplinirea acestor cerințe; Documentul este certificat de manual.
• Planificarea siguranței: schimbarea planului de siguranță IP. Cu o frecvență dată, planul de siguranță este revizuit. Ea face schimbări la reflectarea schimbărilor în companie și în sistemul său de informare sau în problemele identificate în timpul punerii în aplicare a planului sau la evaluarea regulatorilor de securitate.
• Planificarea securității: Reguli de comportament. Organizația stabilește și comunică atenția utilizatorilor IC un set de reguli care descriu taxele și comportamentul așteptat în ceea ce privește utilizarea sistemului de informare și informare. Înainte de a obține acces la IP și la resursele sale de informare, utilizatorii semnează o confirmare că au citit, înțelese și sunt de acord să îndeplinească regulile de comportament prescrise.
• Planificarea securității: evaluarea confidențialității. Compania are o evaluare a cerințelor de confidențialitate.
• Achiziționarea de sisteme și servicii: Politică și proceduri.
  • politica oficială de achiziții publice de sisteme și servicii, care prezintă obiectivul, acoperirea, rolurile, responsabilitățile, sprijinul pentru management, coordonarea structurilor organizaționale și respectarea legislației în vigoare;
  • proceduri formale documentate care contribuie la implementarea politicilor și autorităților de reglementare asociate cu privire la achizițiile de sisteme și servicii.
• Achiziționarea de sisteme și servicii: Alocarea resurselor. Definiția, documentarea și alocarea resurselor necesare pentru o protecție adecvată a sistemului informațional din cadrul Companiei fac parte din procesele de planificare de capital și de gestionare a investițiilor.
• Achiziționarea de sisteme și servicii: Suport pentru ciclul de viață. Organizația gestionează sistemul informațional, aplicând metodologia de susținere a ciclului de viață, luând în considerare aspectele legate de securitatea informațiilor.
• Achiziționarea de sisteme și servicii: Achiziții. Contractele de achiziții includ cerințele și / sau specificațiile de siguranță, pe baza rezultatelor evaluării riscurilor.
• Este necesar să se asigure prezența, protecția și distribuirea funcționarilor autorizați ai societății cu documentație adecvată privind sistemul informațional și părțile componente.
• Achiziționarea de sisteme și servicii: Restricții privind utilizarea software-ului. Organizația asigură restricțiile existente privind utilizarea software-ului.
• Achiziționarea de sisteme și servicii: Software instalat de utilizatori. Este necesar să se implementeze regulile formulate în mod explicit privind descărcarea și instalarea utilizatorilor de software.
• Achiziționarea de sisteme și servicii: Servicii de informare de outsourcing. Este necesar să se asigure că organizațiile externe care furnizează servicii de informare aplicate autorități de reglementare adecvate de securitate care îndeplinesc legislația în vigoare și condițiile contractuale, precum și pentru a urmări caracterul adecvat al autorităților de securitate.
• Evaluarea certificării, acreditării și siguranței: politică și proceduri. Dezvoltare, distribuție, revizuire periodică și schimbare:
  • politica oficială documentată de evaluare a siguranței, certificării și acreditării, care prezintă obiectivul, acoperirea, rolurile, responsabilitățile, sprijinul pentru conducere, coordonarea structurilor organizaționale și respectarea legislației în vigoare;
  • proceduri formale documentate care contribuie la punerea în aplicare a politicilor și autorităților de reglementare asociate de evaluare a siguranței, certificare și acreditare.
• Certificare, acreditare și evaluare a siguranței: conexiuni cu alte IP. Autorizarea tuturor conexiunilor sistemului său de informare cu alți IP-uri, care sunt în afara limitelor de acreditare și urmărirea constantă a acestor compuși; Semnarea de către ofițerii autorizați ai Acordului privind stabilirea compușilor între sisteme.
• Organizația efectuează o evaluare a reglementărilor de siguranță utilizate în ICS pentru a verifica cât de corect sunt implementate, funcționează în conformitate cu specificațiile și oferă rezultate așteptate din punctul de vedere al îndeplinirii cerințelor de securitate a informațiilor.
• Certificare, acreditare și evaluare a siguranței: Planul calendaristic al evenimentelor. Organizația este dezvoltată și un plan de calendar de evenimente se schimbă cu o frecvență dată. Descrie acțiunile corective planificate, implementate și evaluate, menite să elimine toate deficiențele identificate în procesul de evaluare a regulatorilor de siguranță și să reducă sau să elimine vulnerabilitățile IP bine cunoscute.
• Certificare, acreditare și evaluare a siguranței: acreditare. Compania autorizează în mod clar (efectuează acreditarea) contribuția sistemului informatic în funcționare și cu o frecvență dată, dar nu mai puțin de o dată la trei ani, aceasta desfășoară re-acreditare.
• Certificare, acreditare și evaluare a siguranței: monitorizare constantă. Monitorizarea constantă a regulatorilor de siguranță în perioada de anchetă.

Figura 5. Mențineți nivelul de securitate necesar

regulatori de siguranță procedurală.

• Securitatea personalului: politică și proceduri. Dezvoltare, distribuție, revizuire periodică și schimbare:
  • politica de securitate a personalului documentat oficial, care prezintă obiectivul, acoperirea, rolurile, responsabilitățile, sprijinul pentru conducere, coordonarea structurilor organizaționale și respectarea legislației în vigoare;
  • proceduri formale documentate care contribuie la viața politicilor și autorităților de reglementare asociată a securității personalului.
• Securitatea personalului: clasifică posturile. Cu fiecare poziție, este stabilit un anumit nivel de risc și sunt stabilite criteriile de selectare a candidaților pentru aceste posturi. Este recomandabil la o anumită frecvență de a revizui nivelurile de risc stabilite.
• Securitatea personalului: selectarea personalului. Înainte de a oferi acces la sisteme de informare și informare, există un control al persoanelor care au nevoie de acces similar.
• Securitatea personalului: concediere. Angajatul concediat eliberează accesul la IP, o conversație finală este ținută împreună cu el, verifică livrarea întregii proprietăți de stat, inclusiv chei, cărți de identitate, trece și sunt convinși că funcționarii relevanți au acces la datele oficiale create de angajat respins de către angajat concediat și stocate în sistemul informațional.
• Securitatea personalului: personal de călătorie. Atunci când se deplasează unui angajat într-o altă poziție, organizația revizuiește drepturile de acces la IP și resursele sale furnizate acestuia și oferă acțiuni adecvate, cum ar fi fabricarea cheilor noi, carduri de identificare, depășirea vechii și a instituției de noul sistem Conturi, precum și schimbarea drepturilor de acces.
• Securitatea personalului: Acorduri de acces. Înainte de a oferi acces la sistemul de informare și informare, un angajat care are nevoie de astfel de acces este întocmit cu acorduri adecvate (de exemplu, fără divulgarea informațiilor, utilizarea corectă a IP), precum și regulile de conduită, Compania oferă semnarea acestor acorduri de către părți și o anumită frecvență le revizuiește.
• Securitatea personalului: Cerințe de securitate pentru angajații terților. Organizația stabilește cerințele de securitate, inclusiv rolurile și responsabilitățile, angajaților terți ( servicii de servicii, Contractori, dezvoltatori, furnizori de servicii și servicii de gestionare a sistemelor de informare și de gestionare a sistemelor) și monitoare care oferă organizații terțe cu un nivel adecvat de securitate a informațiilor.
• Securitatea personalului: sancțiuni. Compania utilizează un proces formalizat de pedepsire a angajaților care au încălcat politicile și procedurile de securitate stabilite.
• Protecția fizică: politică și proceduri. Dezvoltat, distribuit, revizuit periodic și modificat:
  • politica oficială de protecție fizică documentată, care prezintă obiectivul, acoperirea, rolurile, responsabilitățile, sprijinul pentru conducere, coordonarea structurilor organizaționale și respectarea legislației în vigoare;
  • proceduri formale documentate care contribuie la implementarea politicilor și a autorităților de reglementare asociate de protecție fizică.
• Protecția fizică: Autorizarea accesului fizic. Organizațiile sunt întocmite și susținute până în prezent, liste de angajați care au acces la spații în care sunt localizate componentele sistemului de informații (cu excepția camerelor care sunt considerate oficial disponibile publicului), certificate relevante (BEJJ, carduri de identificare, intelectuală cărți) sunt emise; Oficialii relevanți cu o frecvență dată revizuiește și aprobă listele și certificatele.
• Protecția fizică: gestionarea accesului fizic. Este necesar să se controleze punctele de acces fizic, inclusiv punctele de intrare / ieșire specifice oficiale, în incintele în care sunt localizate componentele sistemului informatic (cu excepția camerelor care sunt considerate oficial disponibile publicului). Ar trebui să fie verificată de oficialii legii înainte de a le permite să acceseze. În plus, accesul la spații este controlat, considerat oficial disponibil public, în conformitate cu evaluarea riscurilor.
• Urmărirea accesului fizic la sistem pentru a identifica și a răspunde încălcărilor.
• Accesul fizic la sistemul informatic este monitorizat prin autentificarea vizitatorilor înainte de a permite intrarea în incinta în care sunt localizate componentele IC (cu excepția camerelor care sunt considerate oficial disponibile publicului).
• Compania a sprijinit vizitele revistelor la sediu (cu excepția cazurilor sunt considerate oficial disponibile publicului), unde sunt înregistrate:
  • numele de familie, numele vizitatorilor și numele organizației;
  • semnătura vizitatorului;
  • documente trimise (formular de identificare);
  • data și timpul de acces (intrare și ieșire);
  • vizita;
  • numele de familie, numele persoanei vizitate și apartenența sa organizațională; Oficialii relevanți cu o frecvență dată Vizualizarea jurnalelor de vizită.
• Protecția fizică: iluminatul de urgență. Compania trebuie să utilizeze și să mențină sisteme automate de iluminare de urgență, care sunt incluse în întreruperile de putere și acoperă ieșirile de urgență și căile de evacuare.
• Se utilizează dispozitive / sisteme de stingere a incendiilor și sisteme de detectare a incendiilor.
• Protecția fizică: Controlul temperaturii înseamnă și umiditatea. Urmărirea și întreținerea la temperaturi și umiditate admise în camerele care conțin componente IP.
• Este necesar să se protejeze IP-ul de la inundații și scurgeri care rezultă din deteriorarea alimentării cu apă sau în virtutea altor motive, asigurând disponibilitatea și sănătatea macaralelor, suprapunerea apei și informarea funcționarilor corespunzători despre localizarea acestor macarale.
• Protecția fizică: livrare și export. Organizația este controlată de livrarea și exportul componentelor sistemului informatic (hardware și software) și suportă informații despre localizarea acestor componente.
• Planificarea neîntreruptă a lucrărilor: politică și proceduri. Dezvoltat, distribuit, revizuit periodic și modificat:
  • politica oficială de planificare a muncii neîntreruptă, care prezintă obiectivul, acoperirea, rolurile, responsabilitățile, sprijinul pentru management, coordonarea structurilor organizaționale și respectarea legislației în vigoare;
  • procedurile formale documentate care contribuie la viața politicii și a autorităților de muncă neîntrerupte asociate.
• Un plan de asigurare a funcționării neîntrerupte a sistemului informațional, care descrie rolurile, responsabilitățile funcționarilor responsabili, indică coordonatele lor de contact. În plus, planul este prescris acțiunile efectuate la recuperarea IP după deteriorări și accidente. Oficialii relevanți revizuiesc și aprobă acest plan și îl aduc la atenția angajaților responsabili de munca neîntreruptă.
• Planificarea neîntreruptă a lucrărilor: schimbarea unui plan de lucru neîntrerupt. Cu o frecvență dată, dar cel puțin o dată pe an, organizația revizuiește un plan de asigurare a funcționării neîntrerupte a sistemului informatic pentru a reflecta modificările structurii IP-ului sau a organizației și / sau eliminarea problemelor identificate în timpul implementării, execuției și / sau testarea planului.
• Cu o frecvență dată se desfășoară backup. Datele personalizate și ale sistemului conținute în sistemul de informații (inclusiv datele privind starea IP), copiile de rezervă sunt stocate în locuri fixate corespunzător.
• Organizația utilizează mecanisme și proceduri de susținere care vă permit să restaurați sistemul informațional după deteriorări sau accidente.
• Gestionarea configurației: politică și proceduri. Dezvoltat, distribuit, revizuit periodic și modificat:
  • politica oficială de gestionare a configurației documentată, care prezintă obiectivul, acoperirea, rolurile, responsabilitățile, sprijinul pentru management, coordonarea structurilor organizaționale și respectarea legislației în vigoare;
  • procedurile formale documentate care contribuie la implementarea politicilor și regulatorilor de control al configurației asociate.
• Compania este dezvoltată, documentată și susținută de configurația de bază actuală a sistemului informațional, a componentelor de inventar ale IP și a datelor corespunzătoare despre proprietarii lor.
• In companie:
  • setări obligatorii aprobate pentru produsele de tehnologii informaționale utilizate în PA;
  • setările de instalare pentru produsele tehnologiei informației sunt stabilite în modul cel mai restrictiv compatibil cu cerințele operaționale;
  • setările sunt documentate;
  • se oferă setări adecvate ale tuturor componentelor sistemului informatic.
  • Suport: Politică și proceduri. Dezvoltat, distribuit, revizuit periodic și modificat:
  • politica oficială de acompaniament documentată, care prezintă obiectivul, acoperirea, rolurile, responsabilitățile, sprijinul pentru management, coordonarea structurilor organizaționale și respectarea legislației în vigoare;
  • procedurile formale documentate care contribuie la implementarea politicilor și a autorităților de reglementare de sprijin asociate.
• Planificarea, implementarea și documentarea suportului zilnic, preventiv și periodic al componentelor sistemului informatic în conformitate cu specificațiile producătorului sau furnizorului și / sau cerințele organizaționale.
• Organizația autorizează, controale și monitorizări implementate de la distanță și activități de diagnosticare de la distanță.
• Escorta: personalul de însoțire. Este necesar să se mențină o listă de persoane autorizate să însoțească sistemul informațional. Numai personalul autorizat efectuează suport IP.
• Integritatea sistemelor și datelor: Politici și proceduri. Dezvoltare, distribuție, revizuire periodică și schimbare:
  • politicile oficiale de integritate documentate ale sistemelor și datelor, care prezintă obiectivul, acoperirea, rolurile, responsabilitățile, sprijinul pentru management, coordonarea structurilor organizaționale și respectarea legislației în vigoare;
  • proceduri formale documentate care contribuie la punerea în aplicare a politicilor și a regulatoarelor de integritate asociate ale sistemelor și datelor.
• Integritatea sistemelor și a datelor: Eliminarea defectelor. Identificarea defectelor sistemului de informații, informarea acestora și corecția.
• Compania este implementată în protecția sistemului informațional împotriva software-ului rău intenționat, inclusiv capacitatea de actualizări automate.
• Integritatea sistemelor și a datelor: semnalează încălcările securității și rapoartele privind noile amenințări. Este necesar să urmăriți în mod regulat semnale despre încălcările și rapoartele de securitate a noilor amenințări pentru IP, aduceți-le în atenția funcționarilor adecvați și reacționează în mod corespunzător la acestea.
• Protecția mijloacelor de informare: politică și proceduri. Dezvoltare, distribuție, revizuire periodică și schimbare:
  • politica oficială de protecție a mass-media documentată, care prezintă obiectivul, acoperirea, rolurile, responsabilitățile, sprijinul pentru conducere, coordonarea structurilor organizaționale și respectarea legislației în vigoare;
  • procedurile formale documentate care contribuie la viața politicilor și la autoritățile de protecție a transportatorului asociat.
• Este necesar să se asigure că numai utilizatorii autorizați au acces la informații imprimați formularul Sau pe mediile digitale confiscate din sistemul informatic.
• Protecția mediilor: Sanațiune și ieșire. Organizare:
  • sales Media (atât hârtie, cât și digital) înainte de încheierea de la operație sau transmisie pentru reutilizare;
  • piesele, documentele și verifică activitatea privind reabilitarea transportatorilor;
  • testează periodic echipamentele și procedurile expansive pentru a vă asigura că acestea sunt corecte.
• Răspunzând încălcărilor privind securitatea informațiilor: politici și proceduri. Dezvoltare, distribuție, revizuire periodică și schimbare:
  • politica oficială de răspuns documentată pentru încălcările privind securitatea informațională, care prezintă obiectivul, acoperirea, rolurile, responsabilitățile, sprijinul pentru conducere, coordonarea structurilor organizaționale și respectarea legislației în vigoare;
  • proceduri formale documentate care contribuie la implementarea politicilor și autorităților de reglementare asociate de răspuns la încălcările securității informațiilor.
• Compania formează structuri pentru a răspunde încălcărilor securității informațiilor (grupului de răspuns), inclusiv instruirea, identificarea și analiza, localizarea, lichidarea impactului și restabilirea după încălcări.
• Este necesar să se facă informații în timp util privind încălcările IB în atenția funcționarilor autorizați.
• Formarea unei structuri pentru emiterea de recomandări și asistarea utilizatorilor IP atunci când răspunde încălcărilor IB și raportează despre acestea; Această structură este o parte integrantă a grupului de răspuns.
• Informarea și învățarea: politică și proceduri. Dezvoltare, distribuție, revizuire periodică și schimbare:
  • politica oficială documentată de informare și de învățare a personalului în care obiectivul, acoperirea, rolurile, îndatoririle, sprijinul pentru management, coordonarea între structurile organizaționale și respectarea legislației în vigoare;
  • procedurile formale documentate care contribuie la implementarea politicilor și autorităților de reglementare asociate de informare și instruire a angajaților.
• Informarea și instruirea: informarea despre problemele IB. Ar trebui să se asigure că toți utilizatorii, inclusiv managerii, au făcut informații de bază pe IB, înainte ca acești utilizatori să primească accesul la IP; Aceste informații ar trebui să continue să continue cu o frecvență dată, dar nu mai puțin de o dată pe an.
• Informarea și învățarea: pregătirea IB. Este necesar să se identifice oficialii care joacă un rol important și să aibă responsabilități responsabile pentru a asigura securitatea informațiilor IP, a documenta aceste roluri și obligații și pentru a asigura formarea adecvată a acestor persoane înainte de a le furniza acces la IP. Astfel de învățare ar trebui să continue mai departe cu o frecvență dată.
• Informații și formare: Documentarea formării de formare IB. Compania a documentat și monitorizează cursul de instruire a fiecărui angajat IB, inclusiv cursurile introductive și cursurile specifice PA.
• Informarea și instruirea: contacte cu grupuri și asociații de securitate a informațiilor. Este recomandabil să se stabilească și să mențină contacte cu grupuri, forumuri și asociații specializate în securitatea informațiilor pentru a fi conștienți de starea actuală a IB, echipamente, metode și tehnologii de protecție avansate.

La nivelul minim de securitate a informațiilor, se recomandă aplicarea următoarelor software și regulatoare de siguranță tehnică.

• Identificarea și autentificarea: politică și proceduri. Dezvoltare, distribuție, revizuire periodică și schimbare:
  • politica oficială de identificare și autentificare documentată, care prezintă obiectivul, acoperirea, rolurile, responsabilitățile, gestionarea sprijinului, coordonarea structurilor organizaționale și respectarea legislației în vigoare;
  • procedurile formale documentate care contribuie la implementarea politicilor și reglementărilor de identificare și autentificare asociate.
• Sistemul de informații identifică fără echivoc și autentifică utilizatorii (sau procesele care acționează pe numele de utilizator).
• Identificarea și autentificarea: Gestionarea identificatorilor. Organizația gestionează identificatorii utilizatorilor prin:
  • identificarea unică a fiecărui utilizator;
  • verificarea identificatorului fiecărui utilizator;
  • obținerea unei sancțiuni oficiale de la oficialii autorizați la eliberarea ID-ului de utilizator;
  • furnizarea de ieșire a identificatorului pentru utilizatorul dorit;
  • terminarea ID-ului de utilizator după o anumită perioadă de activitate;
  • arhivarea identificatorilor de utilizatori.
• Identificarea și autentificarea: autentificați gestionarea. Compania gestionează autentificatorii în sistemul informatic (jetoane, certificate în infrastructura cheie publică, date biometrice, parole, carduri cheie etc.) prin:
  • definiții conținutului inițial al autenticilor;
  • reglementarea procedurilor administrative pentru distribuirea inițială a autenticilor, înlocuirea autenticilor pierduți, compromisi sau deteriorați, precum și revizuirile autentice;
  • modificări ale autentoarelor implicite după instalarea sistemului de informații.
• Identificare și autentificare: Referință de autentificatori. Sistemul de informații ascunde eco-afișarea informațiilor de autentificare în timpul procesului de autentificare pentru a proteja aceste informații de la posibila utilizare a persoanelor neautorizate.
• Identificare și autentificare: Autentificare cu privire la modulele criptografice. Pentru autentificare cu privire la modulele criptografice, sistemul informatic aplică metode care îndeplinesc cerințele standardelor privind astfel de module.
• Controlul accesului: Politică și proceduri. Dezvoltare, distribuție, revizuire periodică și schimbare:
  • politica oficială de control al accesului documentat, care prezintă obiectivul, acoperirea, rolurile, responsabilitățile, sprijinul pentru conducere, coordonarea structurilor organizaționale și respectarea legislației în vigoare;
  • proceduri formale documentate care contribuie la punerea în aplicare a politicilor și autorităților de reglementare asociate de control al accesului.
• Organizația gestionează conturile în sistemul informatic, inclusiv crearea, activarea, modificarea, revizuirea (cu o frecvență dată), deconectarea și îndepărtarea.
• Sistemul de informații implementează privilegii atribuite pentru a gestiona accesul la sistem în conformitate cu politicile aplicabile.
• Controlul accesului: încercări de intrare nereușite. Sistemul informațional impune o limită specificată a numărului de încercări succesive nereușite de a accesa de la utilizator pentru o anumită perioadă de timp, blocând automat contul sau întârzierea unui algoritm dat pentru a emite o invitație la intrare la un moment dat când maximul Numărul admisibil de încercări nereușite este depășit.
• Controlul accesului: Avertisment pentru utilizarea sistemului. Sistemul informațional afișează un mesaj de avertizare oficial aprobat cu privire la utilizarea sistemului înainte de a vă oferi accesul la acesta, informând potențialii utilizatori:
  • despre sistemul accesoriu organizațional;
  • privind monitorizarea posibilă, înregistrarea și auditul utilizării sistemului;
  • despre interzicerea și posibila pedeapsă pentru utilizarea neautorizată a sistemului;
  • privind consimțământul utilizatorului privind monitorizarea și înregistrarea în cazul utilizării sistemului; Un mesaj de avertizare conține dispozițiile corespunzătoare privind politica de securitate și rămâne pe ecran până când utilizatorul va lua acțiuni explicite pentru a intra în PA.
• Controlul accesului: supravegherea și vizualizarea. Organizația supraveghează și verifică acțiunile utilizatorilor cu privire la implementarea și utilizarea regulatorilor de acces disponibilă în IC.
• Controlul accesului: Acțiuni permise fără identificare și autentificare. Definirea acțiunilor specifice ale utilizatorilor care pot fi efectuate în sistemul informațional fără identificare și autentificare.
• Documentarea, urmărirea și controlul tuturor tipurilor de acces la distanță la IP (de exemplu, prin intrări de modem sau prin Internet), inclusiv acces de la distanță pentru a efectua acțiuni preferate; Oficialii relevanți autorizează utilizarea fiecărui tip de acces la distanță și autorizați să aplicați numai acei utilizatori cu care este necesar.
• Organizare:
  • stabilește restricții privind utilizarea și gestionează implementarea tehnologiilor fără fir;
  • documente, monitorizează și controlează accesul wireless la IP; Oficialii relevanți autorizează utilizarea tehnologiilor fără fir.
• Controlul accesului: sisteme informatice personale. Restricționarea aplicării sistemelor de informare personală pentru nevoile de producție, inclusiv prelucrarea, stocarea și transmiterea informațiilor de producție.
• Logare și audit: Politică și proceduri. Dezvoltare, distribuție, revizuire periodică și schimbare:
  • politicile oficiale documentate ale protocolului și auditului, care prezintă obiectivul, acoperirea, rolurile, responsabilitățile, sprijinul pentru conducere, coordonarea între structurile organizaționale și respectarea legislației în vigoare;
  • procedurile formale documentate care contribuie la implementarea politicilor și a regulatorilor de reglementare și audit asociați.
• Logare și audit: evenimente de înregistrare. Sistemul de informații generează înregistrări de înregistrare pentru evenimentele specificate.
• Sistemul informațional salvează suficiente informații în înregistrările de înregistrare pentru a stabili care eveniment a avut loc, care a fost sursa evenimentului, care a fost rezultatul evenimentului.
• Logarea și auditul: Resurse pentru stocarea informațiilor de înregistrare. Este necesar să se evidențieze cantitatea suficientă de resurse pentru stocarea informațiilor de înregistrare și configurarea înregistrării pentru a preveni epuizarea acestor resurse.
• În cazul unui eșec al înregistrării sau epuizării înregistrării resurselor informaționale, sistemul informațional avertizează funcționarii relevanți și ia măsurile suplimentare.
• Logare și audit: Protecția informațiilor de înregistrare. Sistemul informațional protejează informațiile de înregistrare și mijloacele de logare / audit de la accesul, modificările și eliminarea neautorizată.
• Logarea și auditul: economisirea informațiilor de înregistrare. Informațiile de înregistrare ar trebui păstrate pentru un anumit timp pentru a asigura sprijinul investigațiilor privind încălcările anterioare privind securitatea informațiilor și îndeplinirea cerințelor legislației actuale și a cerințelor organizaționale pentru economisirea informațiilor.
• Protecția sistemelor și a comunicațiilor: Politică și proceduri. Dezvoltare, distribuție, revizuire periodică și schimbare:
  • politica oficială documentată de protecție a sistemelor și comunicațiilor, care prezintă obiectivul, acoperirea, rolurile, responsabilitățile, sprijinul pentru management, coordonarea structurilor organizaționale și respectarea legislației în vigoare;
  • proceduri formale documentate care contribuie la implementarea politicilor și la autoritățile de reglementare asociate de protecție a sistemelor și comunicațiilor.
• Protecția sistemelor și a comunicațiilor: Protecția împotriva atacurilor asupra accesibilității. Sistemul de informații protejează împotriva atacurilor asupra disponibilității speciilor specificate sau limitează impactul acestora.
• Sistemul de informații monitorizează și controlează comunicațiile pe limitele sale interne externe și cheie ale IP.
• Protecția sistemelor și a comunicațiilor: utilizarea criptografiei tipărite. Dacă se aplică sistemul de informații produse criptograficeAcestea trebuie să îndeplinească cerințele legislației actuale, reglementărilor tehnice, standardelor, orientării și documentelor de reglementare, standardelor sectoriale și organizaționale.
• Protecția sistemelor și a comunicațiilor: Protecția sistemelor disponibile publicului. Sistemul informațional asigură integritatea datelor și a aplicațiilor pentru sistemele disponibile publicului.

Regulatori de securitate suplimentară și consolidată pentru IB moderată

Pentru un nivel moderat de securitate a informațiilor, este recomandabil să se aplice următoarele regulatori suplimentari și consolidați (comparativ cu nivelul minim).

• Cu o frecvență dată sau după apariția informațiilor despre noile critice pentru vulnerabilitățile IP, trebuie să scanați vulnerabilitățile în sistemul informatic.
• Planificarea securității: planificarea securității. Asigurarea unei planificări și coordonări adecvate a activităților legate de securitate și afectarea sistemului informațional pentru a minimiza impactul negativ asupra activității și activelor organizației (inclusiv misiunea, funcțiile, imaginea și reputația).
• Achiziționarea de sisteme și servicii: Documentație. Trebuie să includeți în pachetul general de documente, documentația de la producătorul / furnizorul (dacă există) care descrie proprietățile funcționale ale regulatoarelor de securitate implicate în sistemul informatic sunt destul de detaliate pentru a face posibilă analizarea și testarea regulatorilor.
• Achiziționarea de sisteme și servicii: Principiile proiectării securității informațiilor. Proiectarea și implementarea sistemului informațional se efectuează utilizând principiile proiectării securității informațiilor.
• Achiziționarea de sisteme și servicii: Testarea siguranței de către dezvoltator. Dezvoltatorul sistemului informațional formează un plan de testare și de evaluare a siguranței implementează și rezultatele documentului; Acesta din urmă poate fi utilizat pentru a sprijini certificarea pentru cerințele de siguranță și acreditarea IP-ului furnizat.
• Evaluarea certificării, acreditării și siguranței: evaluarea siguranței. Cu o frecvență dată, dar cel puțin o dată pe an, este recomandabil să se evalueze regulatoarele de siguranță în sistemul informațional pentru a determina cât de corect sunt implementate, funcționează în conformitate cu specificațiile și de a da rezultate așteptate din punctul de vedere al îndeplinirii Cerințe privind securitatea informațiilor.
• Certificarea, acreditarea și evaluarea siguranței: certificarea securității. Evaluarea autorităților de reglementare în domeniul securității în scopuri de certificare prin cerințele de securitate se efectuează de către o organizație independentă de certificare.
• Protecția fizică: controlul accesului la dispozitive de afișare a informațiilor. Controlul accesului fizic la dispozitive de afișare a informațiilor pentru a le proteja din urmă de vizionarea de către persoane neautorizate.
• Protecția fizică: monitorizarea accesului fizic. Semnalele de invazie în timp real și datele din dispozitivele de urmărire sunt urmărite.
• Protecția fizică: monitorizarea vizitatorilor. Asigurarea menținerii vizitatorilor și, dacă este necesar, monitorizarea activității lor.
• Protecția fizică: echipamente electrice și cabluri. Protecția echipamentelor electrice și a cablului pentru sistemul de informații de la daune și distrugere.
• Protecția fizică: oprirea de urgență. Pentru anumite încăperi în care sunt concentrate resursele sistemului de informații (centre de date, camere de servere, camere de mașini pentru mainframe etc.), este necesar să se asigure posibilitatea de a opri puterea la orice refuz (de exemplu, datorită scurt circuit) Sau pe cale de dispariție (de exemplu, datorită ruperii alimentării cu apă), a componentei IP, fără a expune personalul de pericol asociat accesului la echipament.
• Furnizarea de surse de alimentare neîntrerupte pe termen scurt pentru a vă permite să opriți cu atenție sistemul de informații în cazul sursei principale de alimentare.
• Protecția fizică: protecția împotriva incendiilor. Este necesar să se aplice și să mențină dispozitive / sisteme de stingere a incendiilor și detectarea incendiilor care declanșează automat într-un incendiu.
• Protecția fizică: Teren de joacă pentru producția de rezervă. Angajații organizației la platforma de producție de rezervă folosesc regulatori de securitate adecvați pentru IP.
• Protecția fizică: localizarea componentelor sistemului de informații. Componentele sistemului informatic ar trebui să fie amplasate în zonele desemnate, astfel încât să minimalizeze eventualele daune cauzate de riscurile fizice și amenințările din mediul înconjurător, precum și posibilitatea accesului neautorizat.
• Planificarea neîntreruptă a lucrărilor: Planul de lucru neîntreruptibil. Organizația coordonează elaborarea unui plan de lucru neîntrerupt cu structuri responsabile pentru planurile conexe (de exemplu, planurile de recuperare după accidente, răspunzând tulburărilor de securitate etc.).
• Compania organizează instruirea angajaților rolurilor și responsabilităților lor pentru a asigura buna funcționare a sistemului informațional, precum și cu o frecvență dată, dar nu mai puțin de o dată pe an, antrenamentele sunt ținute pentru a menține abilitățile practice.
• Cu o frecvență dată, dar cel puțin o dată pe an, organizația este testată printr-un plan pentru funcționarea neîntreruptă a sistemului informațional. Pentru aceasta, se aplică teste și proceduri de formare specificate pentru a determina eficacitatea planului și pregătirea organizației la punerea sa în aplicare. Oficialii corespunzători verifică rezultatele testelor planului și inițierea acțiunilor corective. Organizația coordonează testarea unui plan de lucru neîntrerupt cu structuri responsabile pentru planurile conexe (de exemplu, planurile de recuperare după accidente, răspunzând tulburărilor de securitate etc.).
• Este necesar să se definească un loc de stocare de rezervă și să încheie acordurile necesare pentru a face posibilă stocarea datelor de backup a datelor sistemului de informații; Depozitul de rezervă local ar trebui să fie șters de la principalul lucru pentru a nu-l expune cu aceleași pericole.
• Se determină prelucrarea datelor de rezervă, iar acordurile necesare sunt inițiate pentru a putea relua sistemul informatic al funcțiilor critice de producție pentru o anumită perioadă de timp dacă instrumentele de prelucrare de date sunt inaccesibile. Locul de rezervă al prelucrării datelor este șters din punct de vedere geografic din partea principală și, prin urmare, nu este supusă acelorași pericole. Problemele potențiale cu acces la o prelucrare a datelor de rezervă în cazul accidentelor sau dezastrelor naturale sunt determinate, sunt programate acțiuni evidente de atenuare a problemelor identificate. Acordul privind locul de procesare a datelor de rezervă conține un angajament de serviciu prioritar în conformitate cu cerințele organizației pentru accesibilitate.
• Sunt determinate sursele principale și de rezervă ale serviciilor de telecomunicații care susțin sistemul informatic. Acordurile necesare sunt inițiate pentru a permite reluarea sistemului informatic al funcțiilor critice de producție importante pe o anumită perioadă de timp dacă principala sursă de servicii de telecomunicații este inaccesibilă. Sursele principale și de rezervă ale serviciilor de telecomunicații conțin obligații de servicii prioritare în conformitate cu cerințele organizației pentru accesibilitate. O sursă de rezervă de servicii de telecomunicații nu împărtășește un singur punct de refuz al sursei principale.
• Planificarea neîntreruptă a lucrărilor: Backup. Cu o frecvență dată în organizație, backup-urile sunt testate pentru a vă asigura că transportatorii și integritatea datelor sunt testate.
• Gestionarea configurației: Configurarea de bază și componentele inventarului sistemului de informații. La instalarea componentelor noi, configurația de bază a sistemului informatic și componentele OPEV sunt modificate.
• Documentați și modificări controlate în sistemul informațional; Oficialii relevanți autorizează modificările IP în conformitate cu politicile și procedurile adoptate.
• Managementul configurației: monitorizarea configurației. Este necesar să se urmărească modificările sistemului informatic și să analizeze influența lor de siguranță pentru a determina efectul schimbărilor.
• Organizația impune restricțiile fizice și logice privind accesul asociat modificărilor sistemului informatic și generează, economisește și revizuiește înregistrările care reflectă toate aceste schimbări.
• Ar trebui să configurați sistemul de informații astfel încât să furnizați numai capabilitățile necesare și să interziceți și / sau să limitați în mod explicit utilizarea anumitor funcții, porturi, protocoale și / sau servicii.
• Suport: Suport periodic. Un jurnal de înregistrare este acceptat de jurnalul de asistență pentru sistemul de informații în care:
  • data și ora serviciului;
  • numele de familie și numele persoanei care a făcut serviciu;
  • numele de familie și numele însoțitorului, dacă este necesar;
  • o descriere a operațiunilor de întreținere IP;
  • lista echipamentelor la distanță sau deplasată (cu numere de identificare).
• Organizația autorizează, controlează și monitorizează utilizarea mijloacelor de susținere a sistemului informațional și sprijină în mod constant aceste fonduri.
• Întreținere: Serviciu în timp util. Organizația primește întreținerea și piesele de schimb pentru componentele cheie ale sistemului informațional pentru o anumită perioadă de timp.
• Integritatea sistemelor și a datelor: Protecția împotriva software-ului rău intenționat. Mecanisme de gestionare centralizate pentru protecția împotriva software-ului rău intenționat.
• Integritatea sistemelor și datelor: mijloace și metode de monitorizare a sistemului de informații. Aplicarea mijloacelor și a metodelor de monitorizare a evenimentelor din sistemul informatic, identificarea atacurilor și identificarea utilizării neautorizate a IP.
• Sistemul de informații este implementat prin protecția spamului.
• Integritatea sistemelor și a datelor: Restricții privind introducerea datelor. Organizația oferă dreptul de a introduce date în sistemul de informații numai persoanele autorizate.
• Integritatea sistemelor și a datelor: acuratețea, exhaustivitatea, acuratețea și autenticitatea datelor. Sistemul informațional verifică datele privind acuratețea, exhaustivitatea, acuratețea și autenticitatea.
• Integritatea sistemelor și datelor: procesarea erorilor. Sistemul de informații dezvăluie în mod explicit și procesează situații eronate.
• Integritatea sistemelor și datelor: procesarea și salvarea ieșirii. Rezultatul sistemului informatic este procesat și a persistat în conformitate cu politicile și cerințele operaționale adoptate.
• Protecția mass-media: Etichete de transportatori. Mediile de date detașabile și ieșirea IP sunt furnizate cu semne externe care conțin restricțiile privind distribuirea și prelucrarea acestor date; Tipurile specificate de purtători sau componente hardware sunt scutite de etichete, deoarece rămân în limitele zonei controlate.
• Protecția mijloacelor media: stocarea mass-media. Monitorizarea fizică și stocarea sigură a transportatorilor de date, a hârtiei și a digitalului, pe baza categoriei maxime atribuite datelor înregistrate pe transportator.
• Protecția mass-media: Transportul mass-media. Controlul transportatorilor de date, a hârtiei și a digitalului și a restricției trimiterii, primirea, transportul și furnizarea mass-media către persoanele autorizate.
• Compania îi învață pe angajați la rolurile și îndatoririle lor asociate cu răspunderea la încălcări ale securității informațiilor IP și cu o frecvență dată, dar nu mai puțin de o dată pe an, desfășoară o pregătire pentru a menține abilitățile practice.
• Cu o frecvență dată, dar cel puțin o dată pe an, mijloacele de testare de a răspunde la siguranța informațională a IP sunt testate, în timp ce testele specificate și procedurile de instruire sunt utilizate pentru a determina eficiența răspunsului. Rezultatele sunt documentate.
• Răspunsul la încălcările privind securitatea informațiilor: răspunsul. Pentru a susține procesul de răspuns pentru securitatea informațiilor, se aplică mecanisme automate.
• Este necesar să urmeze în mod constant încălcări ale securității informațiilor.
• Răspunzând încălcărilor securității informațiilor: rapoarte privind încălcările. Utilizarea mecanismelor automate pentru a facilita rapoartele privind încălcările privind securitatea informațiilor.
• Răspunsul la încălcările privind securitatea informațiilor: asistență. Utilizarea mecanismelor automate de creștere a disponibilității informațiilor și a sprijinului asociat cu răspunderea la securitatea informațională.
• Identificarea și autentificarea: Identificarea și autentificarea dispozitivelor. Sistemul de informații identifică și autentifică anumite dispozitive înainte de a instala conexiunea cu ele.
• Controlul accesului: gestionarea contului. Aplicarea mecanismelor automate pentru a sprijini gestionarea contului în sistemul informațional; Sistemul informațional încetează automat conturile temporare și de urgență după ora specificată pentru fiecare tip de intervale de timp; Sistemul de informații dezactivează automat conturile inactive după perioada specificată de timp.
• Controlul accesului: efectuarea. Sistemul informațional asigură că accesul la funcțiile de securitate (implementat de hardware și / sau programatic) și datele de protecție au fost furnizate numai persoanelor autorizate (de exemplu, administratori de securitate).
• Controlul accesului: implementarea gestionării fluxului de informații. Sistemul de informații impune privilegii atribuite pentru a gestiona fluxurile de informații în sistem și între sistemele interconectate, în conformitate cu politica de securitate adoptată.
• Controlul accesului: separarea taxelor. Sistemul de informații implementează separarea responsabilităților prin atribuirea privilegiilor de acces.
• Controlul accesului: minimizarea privilegiilor. Sistemul de informații implementează cel mai restrictiv set de drepturi / privilegii de acces solicitate de utilizatori (sau procese care acționează în numele acestor utilizatori) pentru a-și îndeplini sarcinile.
• Controlul accesului: Blocarea sesiunii. Sistemul de informații previne accesul suplimentar la IC prin blocarea sesiunii până când utilizatorul restabilește accesul prin aplicarea procedurilor adecvate de identificare și autentificare.
• Controlul accesului: terminarea sesiunii. Sistemul de informații încetează automat sesiunea după perioada de inactivitate specificată.
• Controlul accesului: Acțiuni permise fără autentificare și autentificare. Organizația permite punerea în aplicare a acțiunilor fără identificare și autentificare, numai dacă sunt necesare pentru atingerea obiectivelor cheie ale organizației.
• Controlul accesului: Acces la distanță. Aplicarea mecanismelor automate Pentru a facilita monitorizarea și controlul metodelor de acces la distanță, criptare - pentru a proteja confidențialitatea sesiunilor de acces la distanță. Este necesar să se controleze toate accesul la distanță la punctul de acces controlat.
• Controlul accesului: Restricții privind accesul wireless. Aplicați autentificarea și criptarea pentru a proteja accesul wireless la sistemul de informații.
• Controlul accesului: dispozitive mobile. Organizare:
  • stabilește restricții privind aplicația și dezvoltă manuale privind utilizarea dispozitive mobile;
  • documente, monitorizează și controlează accesul prin astfel de dispozitive la IP; Oficialii relevanți autorizează utilizarea dispozitivelor mobile; Hard disk-urile sau criptografiile detașabile sunt utilizate pentru a proteja datele situate în dispozitivele mobile.
• Logare și audit: înregistrări de înregistrare a conținutului. Sistemul de informații oferă posibilitatea includerii în înregistrările de înregistrare a informațiilor suplimentare, mai detaliate pentru evenimentele logoble identificabile după tipul, locul sau subiectul.
• Este necesar să studiem / analiza în mod regulat informațiile de înregistrare pentru a identifica activitatea inadecvată sau atipică, investighează cazurile de activitate suspectă sau presupuse încălcări, raportează cu privire la rezultatele oficialilor relevanți și să ia măsurile necesare.
• Sistemul de informații oferă posibilitatea de a reduce informațiile de înregistrare și de a genera rapoarte.
• Logarea și auditul: Etichete de timp. Sistemul de informații oferă timbre de timp pentru utilizare la generarea înregistrărilor de înregistrare.
• Protecția sistemelor și comunicațiilor: separarea aplicațiilor. Sistemul de informații acționează interfața utilizatorului (inclusiv serviciile de interfață cu utilizatorul) de la funcționalitatea de control IP.
• Protecția sistemelor și a comunicațiilor: Informații reziduale. Sistemul informațional previne transmiterea neautorizată și neasmnificativă a informațiilor prin intermediul resurselor sistemului partajat.
• Protecția sistemelor și a comunicațiilor: Protecția frontierelor. Este recomandabil să plasați fizic componentele publice ale sistemului informatic (de exemplu, servere web disponibile publicului) în subrețe separate cu interfețe individuale de rețea fizică, împiedică accesul publicului la rețeaua internă, cu excepția accesului controlat corespunzător.
• Sistemul de informații protejează integritatea datelor transmise.
• Sistemul de informații protejează confidențialitatea datelor transmise.
• Protecția sistemelor și a comunicațiilor: Ruptura de conexiuni de rețea. Sistemul de informații termină conexiunea la rețea la sfârșitul sesiunii sau după perioada de inactivitate specificată.
• Protecția sistemelor și a comunicărilor: generarea și gestionarea cheia criptografică a acestora. Sistemul de informații aplică mecanisme automate și proceduri auxiliare sau proceduri manuale pentru a genera taste criptografice și management cheie.
• Protecția sistemelor și a comunicațiilor: Aplicații colective. Sistemul informațional interzice activarea la distanță a mecanismelor de aplicare colectivă (de exemplu, conferințe video sau audio) și oferă dovezi explicite ale utilizării lor la utilizatorii locali (de exemplu, indicând utilizarea camerelor video sau a microfoanelor).
• Protecția sistemelor și comunicațiilor: Certificatele de infrastructură cheie cheie. Organizația dezvoltă și implementează politici pentru certificatele și specificațiile practicilor de certificare pentru eliberarea certificatelor cheie publice utilizate în sistemul informațional.
• Protecția sistemelor și comunicațiilor: Cod mobil. Organizare:
  • stabilește restricții privind aplicația și dezvoltă orientări pentru utilizarea tehnologiei codul mobil.Pe baza posibilității de a deteriora sistemul informatic în utilizarea malware a acestor tehnologii;
  • documentele, monitorizează și controlează utilizarea unui cod mobil în sistemul informațional; Oficialii relevanți autorizează utilizarea codului mobil.
• Protecția sistemelor și a comunicațiilor: Protocolul VoIP. Organizare:
  • stabilește restricții privind aplicarea și elaborează orientări pentru utilizarea tehnologiilor VoIP, pe baza posibilității de a deteriora sistemul informațional în utilizarea malware a acestor tehnologii;
  • documentele, monitorizează și controlează utilizarea VoIP în sistemul informațional; Oficialii relevanți autorizează utilizarea VoIP.
• Protecția sistemelor și comunicațiilor: Serviciu de căutare a numelui de siguranță (surse autorizate). Sisteme de informare (servere de nume de domeniu autorizate), oferind utilizatorilor externi să acceseze numele de acces la resursele de informații ale organizației prin Internet, să furnizeze atribute pentru a autentifica sursa de date și pentru a monitoriza integritatea datelor pentru a oferi utilizatorilor posibilitatea de a primi autenticitate și mesaje de integritate Când primiți date în cadrul tranzacțiilor de rețea.

Regulatori de securitate suplimentară și consolidată pentru IB la nivel înalt

Pentru un nivel ridicat de securitate a informațiilor, se recomandă aplicarea următoarelor regulatori suplimentari suplimentari și îmbunătățite (comparativ cu moderat).

Evaluarea riscurilor: Vulnerabilități de scanare. Scanerele de vulnerabilitate includ capacitatea de a modifica rapid lista vulnerabilităților scanate ale sistemului informațional.

Cu o frecvență dată sau după apariția informațiilor despre noile critice pentru vulnerabilități, organizația modifică lista vulnerabilităților scanate ale sistemului informațional.

• Achiziționarea de sisteme și servicii: Documentație. Ar trebui să activați documentația producătorului / furnizorului din pachetul general de documente (dacă există) care descrie proiectarea și implementarea regulatorilor de siguranță implicați în sistemul informațional, cu un grad de detalii suficiente pentru a face posibilă analizarea și testarea autorităților de reglementare ( inclusiv interfețele funcționale între componentele autorităților de reglementare).
• Achiziționarea de sisteme și servicii: Dezvoltator de management al configurației. Dezvoltatorul sistemului de informații creează și implementează un plan de gestionare a configurației care controlează schimbarea sistemului în timpul procesului de dezvoltare, urmărirea defectelor de securitate, necesitând autorizarea schimbării și furnizează documentația planului și implementarea acestuia.
• Protecția fizică: controlul accesului la canalele de transmisie de date. Controlează accesul fizic la liniile de distribuție și de transmisie a datelor aparținând IP-ului și situate în limitele protejate pentru a preveni deteriorarea neintenționată, ascultarea, modificarea în procesul de transmisie, decalajul sau distorsiunea fizică a liniilor.
• Protecția fizică: monitorizarea accesului fizic. Mecanismele automate sunt utilizate pentru a asigura identificarea potențialelor intruziuni și inițierea reacției la acestea.
• Protecția fizică: conectarea accesului. Mecanismele automate sunt aplicate pentru a facilita suportul și vizualizarea jurnalelor de înregistrare.
• Protecția fizică: sursa de alimentare de urgență. Este necesar să se asigure surse de alimentare alternative pe termen lung pentru un sistem informatic care să poată susține capacitățile operaționale minime necesare în cazul unei defecțiuni pe termen lung a sursei primare de energie.
• Protecția fizică: protecția împotriva incendiilor. Dispozitive / Sisteme de stingere a incendiilor și detectarea incendiilor care notifică automat organizațiile și serviciile de urgență sunt aplicate și menținute.
• Protecția fizică: protecția împotriva inundațiilor. Mecanismele automate sunt utilizate pentru a suprapune automat apă în cazul scurgerilor sale intensive.
• Planificarea de muncă neîntreruptă: învățarea. Modelarea evenimentelor este inclusă în cursurile de formare pentru a ajuta la răspunsul efectiv angajaților pentru posibile situații de criză.
• Planificarea de lucru neîntreruptă: testarea unui plan de lucru neîntrerupt. Planul de lucru neîntrerupt este testat la un site de producție de rezervă pentru a familiariza angajații cu oportunități și resurse existente și pentru a evalua capacitatea site-ului de a menține continuitatea funcționării.
• Planificarea neîntreruptă a lucrărilor: Locuri de depozitare de rezervă. Depozitarea prin rezervă este configurată pentru a facilita recuperarea în timp util și eficientă; Problemele potențiale cu acces la un loc de depozitare a rezervării în cazul accidentelor sau dezastrelor naturale sunt determinate și sunt programate acțiuni evidente de atenuare a problemelor identificate.
• Planificarea neîntreruptă a lucrărilor: Locuri de procesare a datelor de rezervă. Prelucrarea datelor de rezervă este complet configurată pentru a menține capacitățile operaționale minime necesare și disponibilitatea utilizării ca loc de producție.
• Planificarea neîntreruptă a lucrărilor: Servicii de telecomunicații. O sursă de rezervă de servicii de telecomunicații trebuie îndepărtată în mod suficient din punct de vedere geografic de la principalul lucru, pentru a nu fi supus acelorași pericole; Sursele principale și de rezervă ale serviciilor de telecomunicații au planuri de lucru neîntrerupte adecvate.
• Planificarea neîntreruptă a lucrărilor: Backup. Pentru a restabili funcțiile sistemului informatic, backup-urile sunt utilizate ca parte a planului de testare pentru funcționarea neîntreruptă. Backups. Sistemul de operare și alte programe critice pentru software sunt stocate într-un loc separat sau într-un container refractar, situat separat de software-ul operațional.
• Planificarea neîntreruptă a lucrărilor: restabilirea sistemului de informații. Organizația include recuperare totală Sistemul de informare ca parte a testării unui plan de lucru neîntrerupt.
• Gestionarea configurației: Configurarea de bază și componentele inventarului sistemului de informații. Mecanismele automate sunt aplicate pentru a menține o configurație de bază relevantă, completă, precisă și ușor accesibilă a sistemului informațional și a componentelor componentelor IP.
• Managementul configurației: Monitorizarea modificărilor de configurare. Mecanismele automate sunt utilizate pentru:
  • documentați modificările propuse în sistemul informațional;
  • să notifice funcționarii relevanți;
  • atrage atenția asupra nu a primit vize afirmând prompt;
  • postpone se modifică înainte de a obține vizele de aprobare necesare;
  • documentul a generat modificări în sistemul informațional.
• Managementul configurației: restricția de acces pentru modificări. Pentru a implementa limite de acces și a sprijini înregistrarea acțiunilor de limitare, se aplică mecanisme automate.
• Managementul configurației: Setări. Mecanismele automate sunt utilizate pentru gestionarea centralizată, aplicarea și verificarea setărilor.
• Managementul configurației: minimizarea funcționalității. Cu o frecvență dată, sistemul informatic este revizuit pentru a identifica și elimina funcțiile, porturile, protocoalele și alte servicii care nu sunt necesare.
• Suport: Suport periodic. Mecanismele automate se aplică pentru a asigura planificarea și desfășurarea acompaniamentului periodic în conformitate cu cerințe stabilite, precum și relevanță, precizie, exhaustivitate și disponibilitate a înregistrărilor de înregistrare asupra acțiunilor necesare și realizate.
• Întreținere: Instrumente de acompaniament. Este necesar să se inspecteze toate însoțitoarele (de exemplu, echipamente de diagnosticare și testare), care sunt aduse pe teritoriul organizației de către participanți, pentru modificări necorespunzătoare vizibile. Toate programele de testare care conțin diagnosticare trebuie verificate (de exemplu, software-ul utilizat pentru a însoți și a diagnostica sistemele), pentru software rău intenționat, înainte ca transportatorii să fie aplicați în sistemul informațional. Toate echipamentele utilizate în scopuri de acompaniament și capabile să mențină informații, sunt supuse verificării pentru a se asigura că organizația nu este înregistrată în echipament sau că este dezinfectată în mod corespunzător înainte repeta. Dacă echipamentul nu poate fi dezinfectat, rămâne pe teritoriul organizației sau este distrus, cu excepția cazurilor autorizate în mod explicit de funcționarii relevanți.
• Suport: acompaniament la distanță. Toate sesiunile de acompaniament la distanță sunt înregistrate, iar funcționarii corespunzători vizează jurnalul de înregistrare a sesiunilor la distanță. Instalarea și utilizarea canalelor de diagnosticare la distanță se reflectă în planul de siguranță al sistemului informațional. Serviciile de diagnosticare sau de asistență la distanță sunt permise numai dacă organizația de servicii sprijină cel puțin același nivel de securitate în IC de cel puțin același nivel ca fiind servit.
• Integritatea sistemelor și a datelor: Protecția împotriva software-ului rău intenționat. Sistemul informațional modifică automat mecanismele de protecție împotriva software-ului rău intenționat.
• Integritatea sistemelor și a datelor: Verificarea funcționalității de siguranță. Sistemul informațional în cadrul capabilităților tehnice, la pornirea sau repornirea sistemului, prin comanda unui utilizator autorizat și / sau periodic, cu o frecvență dată, verifică corectitudinea funcțiilor de securitate și este notificată de administratorul de sistem și / sau dezactivează sau repornește sistemul în cazul detectării oricăror anomalii.
• Integritatea sistemelor și a datelor: Integritatea software-ului și a datelor. Sistemul de informații relevă și protejează împotriva modificărilor neautorizate în software și date.
• Integritatea sistemelor și a datelor: Protecția împotriva spamului. Organizația gestionează central mecanismele de protecție a spamurilor.
• Protecția mediilor: Accesul la mass-media. Orice posturi de securitate sunt aplicate, fie mecanisme automate pentru controlul accesului la stocarea mass-media, asigurarea protecției împotriva accesului neautorizat, precum și înregistrarea încercărilor de acces și a accesului furnizate.
• Răspunsul la încălcările privind securitatea informațiilor: învățarea. Cursurile de formare includ evenimente de modelare pentru a contribui la răspunsul efectiv al angajaților la posibile situații de criză.
• Răspunsul la încălcările privind securitatea informațiilor: Testarea. Mecanismele automate sunt utilizate pentru o testare mai amănunțită și mai eficientă a răspunsului.
• Răspunsul la încălcările privind securitatea informațiilor: monitorizarea. Mecanismele automate sunt utilizate pentru a facilita urmărirea tulburărilor de securitate, precum și colectarea și analiza informațiilor despre încălcări.
• Identificarea și autentificarea: identificarea și autentificarea utilizatorului. Sistemul de informații aplică autentificarea multifactorului.
• Controlul accesului: gestionarea contului. Mecanismele automate sunt aplicate pentru a furniza logarea și, dacă este necesar, notifică persoanele corespunzătoare despre crearea, modificarea, deconectarea și terminarea conturilor.
• Controlul accesului: Controlul sesiunilor paralele. Sistemul de informații limitează numărul sesiunilor paralele pentru un singur utilizator.
• Controlul accesului: supravegherea și vizualizarea. Mecanismele automate sunt aplicate pentru a facilita vizionarea activității utilizatorilor.
• Controlul accesului: Marcarea automată. Sistemul de informații marchează producția utilizând acorduri standard de numire pentru a identifica toate instrucțiunile speciale pentru distribuirea, prelucrarea și distribuirea datelor.
• Logare și audit: înregistrări de înregistrare a conținutului. Sistemul de informații oferă posibilitatea de a gestiona centralizat conținutul înregistrărilor de înregistrare generate de componentele individuale ale IP.
• Logarea și auditul: procesarea informațiilor de înregistrare. Sistemul de informații oferă emiterea unui mesaj de avertizare atunci când partea spațiului ocupat alocată pentru stocarea informațiilor de înregistrare atinge o valoare specificată.
• Logarea și auditarea: raportul de monitorizare, analiză și înregistrare. Utilizarea mecanismelor automate de integrare a raportului de monitorizare, analiză și înregistrare la procesul general de identificare și răspuns la activitatea suspectă.
• Logarea și auditarea: Reducerea informațiilor de înregistrare și generarea rapoartelor. Sistemul de informații oferă posibilitatea de a procesa automat informațiile de înregistrare cu privire la atenția evenimentelor, pe baza criteriilor specificate de selecție.
• Protecția sistemelor și a comunicațiilor: Izolarea funcțiilor de siguranță. Sistemul de informații izolează caracteristicile de securitate din alte funcții.
• Protecția sistemelor și a comunicațiilor: Integritatea datelor transmise. Utilizarea mecanismelor criptografice pentru a asigura recunoașterea modificărilor datelor în procesul de transmisie dacă datele nu sunt protejate prin măsuri fizice alternative (de exemplu, un sistem de distribuție protectoare).
• Protecția sistemelor și a comunicațiilor: Confidențialitatea datelor transmise. Utilizarea mecanismelor criptografice pentru a împiedica divulgarea neautorizată a informațiilor în timpul procesului de transmisie, dacă nu este protejată de măsuri fizice alternative (de exemplu, un sistem de distribuție protectoare).
• Protecția sistemelor și a comunicațiilor: Serviciu de căutare a numelui de siguranță (rezoluție de nume). Sisteme informatice (servere de nume de domeniu autorizate), oferind servicii de căutare internă de căutare pentru a accesa resursele de informații, pentru a autentifica mecanismele de a autentifica sursa de date și monitorizarea integrității datelor și, de asemenea, efectuează aceste acțiuni la cererea sistemelor client.

Cerințe minime de încredere pentru reglementările de siguranță

Cerințele minime de încredere pentru autoritățile de reglementare de securitate sunt prezentate unor procese și acțiuni specifice. Specialiștii care dezvoltă și implementează autoritățile de reglementare determină și se aplică (execută) aceste procese și acțiuni de creștere a gradului de încredere că autoritățile de reglementare sunt puse în aplicare corect, funcționând în conformitate cu specificațiile și dau rezultate așteptate din punctul de vedere al punerii în aplicare a cerințelor de securitate a informațiilor.

La nivelul minim de securitate a informațiilor, este necesar ca autoritățile de reglementare de securitate să fie implicate și satisfăcute în mod explicit specificate în definirea cerințelor funcționale.

La un nivel moderat de securitate a informațiilor, trebuie completate următoarele condiții. Specialiștii care dezvoltă (implementarea) autorităților de reglementare oferă o descriere a proprietăților lor funcționale, destul de detaliate pentru a face posibilă efectuarea analizei și testarea autorităților de reglementare. Ca parte integrantă a autorităților de reglementare, sunt documentate dezvoltatorii, iar distribuția responsabilităților și a acțiunilor specifice sunt furnizate, datorită cărora autoritățile de reglementare trebuie să îndeplinească cerințele funcționale după dezvoltare (implementare). Tehnologia în care sunt dezvoltate autoritățile de reglementare ar trebui să mențină un grad ridicat de încredere în completitudinea, coerența și corectitudinea lor.

Figura 6. Asigurarea securității informațiilor. Abordarea procesului.

La un nivel ridicat de securitate a informațiilor, în caz contrar, este necesar să se furnizeze o descriere a proiectului și să se implementeze autoritățile de reglementare, inclusiv interfețele funcționale între componentele acestora. Dezvoltatorii necesită dovezi că, după finalizarea dezvoltării (punerea în aplicare), punerea în aplicare a cerințelor autorităților de reglementare va fi continuă și coerentă cu privire la amploarea întregului sistem informațional, iar posibilitatea creșterii eficienței autorităților de reglementare va fi susținută.

Concluzie

Asigurarea securității informațiilor este un proces complex, multidimensional, care necesită adoptarea multor soluții, analizând o multitudine de factori și cerințe, uneori contradictorii. Prezența categoriilor și a cerințelor minime de securitate, precum și un catalog de reglementare de securitate predeterminată, este capabilă să servească ca bază pentru o abordare sistematică a furnizării IB, o abordare care necesită costuri rezonabile de muncă și materiale și capabile să prezinte rezultate practic acceptabile pentru majoritatea organizațiilor.

Problema protecției informațiilor este dificil de a apela un controlat. Din toate părțile pe care le auzim despre hacking, viruși, rău intenționați software., atacuri, amenințări, vulnerabilități ...

Securitatea informațiilor ca sistem

Securitatea informațiilor este un set de măsuri, inclusiv cele mai importante. Securitatea informațiilor nu poate fi percepută oricum ca un complex. Totul este important aici! Este necesar să se respecte măsurile de protecție în toate punctele de rețea, cu orice activitate a oricăror subiecte cu informațiile dvs. (sub subiectul în acest caz, este înțeleasă sistemul de utilizare, procesul, calculatorul sau software-ul pentru procesarea informațiilor). Fiecare resursă de informații, indiferent dacă computerul utilizatorului, serverul de organizare sau echipamentul de rețea trebuie să fie protejat de toate tipurile de amenințări. Sistemele de fișiere, rețeaua etc. trebuie protejate. Modalități de implementare a protecției Nu vom lua în considerare în acest articol din cauza diversității lor enorme.

Cu toate acestea, ar trebui să se înțeleagă că este imposibil să se asigure o protecție sută la sută. În același timp, este necesar să ne amintim: cu cât este mai mare nivelul de securitate, cu atât mai scumpe sistemul, cu atât mai mult inconfortabil de utilizat, se dovedește pentru utilizator, care, respectiv, duce la o deteriorare a protecției împotriva factorului uman. Ca exemplu, ne amintim că complicația excesivă a parolei duce la faptul că utilizatorul este forțat să îl înregistreze pe o bucată de hârtie, care se lipeste de monitor, tastatură etc.

Există spectru larg Software care vizează rezolvarea sarcinilor de protecție a informațiilor. Acestea sunt programe anti-virus, firewall-uri, încorporate sisteme de operare și mult mai mult. Cu toate acestea, este necesar să ne amintim că cea mai vulnerabilă legătură în apărare rămâne întotdeauna umanFotografiile! La urma urmei, eficiența oricărui software depinde de calitatea scrisului și alfabetizării administratorului, care stabilește un mijloc de protecție.

Multe organizații în legătură cu acest lucru creează servicii (departamente) de protecție a informațiilor sau au pus sarcini adecvate departamentelor IT. Cu toate acestea, este necesar să înțelegem acest lucru este imposibil Apelarea funcțiilor neobișnuite a serviciului IT. Acest lucru nu a fost deja menționat și a scris. Deci, presupuneți în organizația dvs. a creat un departament de securitate a informațiilor. Ce să facă în continuare? Unde sa încep?

Trebuie să începeți cu învățarea angajaților! Și în viitor pentru a face acest proces regulat. Formarea personalului Bazele securității informațiilor ar trebui să fie sarcina permanentă a diviziei de protecție a informațiilor. Și trebuie să o faceți cel puțin de două ori pe an.

Mulți manageri încearcă să primească imediat un document numit "politica de securitate a organizației" din politica de securitate a informațiilor. Este corect? În opinia mea - nu. Înainte de a vă așeza să scrieți această lucrare imensă, trebuie să decideți cu privire la următoarele probleme:

• ce informații procedați?
• cum să o clasificați în funcție de proprietăți?
• ce resurse aveți?
• cum este prelucrarea informațiilor despre resurse?
• cum să clasificați resursele?

Clasificarea informațiilor

Din punct de vedere istoric, sa dezvoltat imediat ce se ridică problema clasificării informațiilor (în primul rând se referă la informațiile deținute de stat), începe imediat să clasifice la nivelul secretului (confidențialitate). Cu privire la cerințele de accesare, integritate, observabilitate, dacă își amintesc, casual, într-un număr de cerințe generale La sistemele de procesare a informațiilor.

Dacă o astfel de privire poate justifica într-un fel nevoia de a asigura secretele de stat, atunci pare ușor de transferat-o în altă zonă. De exemplu, în conformitate cu cerințele legislației ucrainene, proprietarul informațiilor în sine determină nivelul confidențialității sale (în cazul în care aceste informații nu aparțin statului).

În multe domenii, ponderea informațiilor confidențiale este relativ mică. Pentru informații deschise, din detrimentul dezvăluirii căruia este mic, pot fi cele mai importante proprietăți, cum ar fi disponibilitatea, integritatea sau securitatea de la copierea ilegală. Luați în considerare ca un exemplu al site-ului publicației pe Internet. În primul rând va sta, în opinia mea, disponibilitatea și integritatea informațiilor și nu confidențialitatea acestuia. Evaluați și clasificați informațiile numai din poziția și secretul cel puțin neproductiv.

Și acest lucru poate fi explicat numai prin reducerea unei abordări tradiționale a protecției informațiilor, lipsa de experiență în ceea ce privește asigurarea disponibilității, integrității și observăbilității informațiilor, care nu este un secret (confidențial).

Categorii de informații protejate

Pe baza necesității de a furniza diferite niveluri de protecție a informațiilor (care nu conțin informații care constituie un secret de stat), stocate și prelucrate în cadrul organizației, să numim mai multe categorii de confidențialitate și integritate a informațiilor protejate.

• complet confidențial - informații recunoscute de confidențial în conformitate cu cerințele legii sau de informații, restricția privind distribuirea a căror decizie a fost introdusă prin decizie din cauza faptului că divulgarea acesteia ar putea duce la consecințe financiare și economice grave pentru organizație până la faliment;
• confidenţial - Această categorie include informații care nu sunt atribuite categoriei "Complet confidențial", restricțiile privind difuzarea cărora sunt înscrise de către conducere în conformitate cu informațiile furnizate acestuia ca proces cu drepturile datorate faptului că divulgarea acesteia poate duce la pierderi semnificative și la pierderea competitivității organizației (aplicând daune semnificative intereselor clienților, partenerilor sau angajaților);
• deschis - Această categorie include informații, a cărui confidențialitate nu este necesară.

• Înalt - informații, modificări neautorizate sau false care pot duce la aplicarea unor daune semnificative organizației;
• scăzut - această categorie include informații, a cărui modificare neautorizată poate duce la aplicarea de daune minore organizației, clienților, partenerilor sau angajaților săi;
• nu există cerințe - Această categorie include informații, pentru a asigura integritatea și autenticitatea cărora nu sunt prezentate cerințele.

Prin gradul de disponibilitate, introducem patru categorii în funcție de frecvența rezolvării problemelor funcționale și întârzierea maximă admisibilă în obținerea rezultatelor soluției lor:

• timp real - accesul la sarcină trebuie furnizat în orice moment;
• ora - Accesul la sarcină trebuie efectuat fără o perioadă semnificativă s.x întârzieri (sarcina este rezolvată în fiecare zi, întârzierea nu depășește câteva ore);
• zi - Accesul la sarcină poate fi asigurat cu o perioadă semnificativă s.mI întârzierile (sarcina este rezolvată o dată la câteva zile);
• o săptămână - Timpul s.e-întârzieri în accesul la sarcină nu sunt stabilite (perioada de rezolvare a problemei este de câteva săptămâni sau luni, întârzierea admisă în obținerea rezultatului este de câteva săptămâni).

Categorii Informații.

1. Clasificarea tuturor tipurilor de informații utilizate în rezolvarea sarcinilor pe computere specifice (stabilirea categoriilor de confidențialitate, integritatea și disponibilitatea anumitor tipuri de informații).
2. Categorii Toate sarcinile care sunt rezolvate pe acest computer.
3. Pe baza categoriilor maxime ale informațiilor care sunt procesate, categoria de calculatoare este setată pe care este procesată.

Resurse de inventar

Înainte de a vorbi despre protecția informațiilor din cadrul organizației, trebuie să înțelegeți ce vă veți proteja și ce resurse aveți. Pentru a face acest lucru, este necesar să se efectueze lucrări privind inventarul și analiza tuturor resurselor sistemului automatizat de organizare care urmează să fie protejate:

1. Pentru inventarierea și clasificarea resurselor care trebuie protejate, se formează un grup special de lucru. Acesta include specialiști ai diviziilor de securitate informatică și alte unități ale organizației, care pot contribui la luarea în considerare a problemelor de prelucrare automată a informațiilor în cadrul organizației.
2. Pentru ca grupul creat de statutul organizatoric și juridic necesar, ordinea corespunzătoare a conducerii organizației este publicată, ceea ce indică faptul că toți liderii unităților relevante ale organizației ar trebui să asiste și asistența necesară grupului de lucru din analiză din toate computerele.
3. Pentru a asista la momentul funcționării grupului, diviziile liderilor lor ar trebui să aloce angajaților care au informații detaliate privind prelucrarea automată a informațiilor în aceste diviziuni.
4. Această comandă este adusă sub implicarea tuturor managerilor unităților relevante.
5. În timpul anchetei (analiza) organizației și a subsistemelor automate, toate sarcinile funcționale decise utilizând computerele, precum și toate tipurile de informații utilizate pentru rezolvarea acestor sarcini în diviziuni sunt detectate și descrise.
6. La sfârșitul sondajului, se întocmește formularul de lucru soluționat în organizație. Trebuie să se înțeleagă că aceeași sarcină în diferite diviziuni poate fi numită diferită și, dimpotrivă, diferite sarcini pot avea același nume. În același timp, se efectuează instrumentele software utilizate în rezolvarea sarcinilor funcționale ale unității.

Trebuie remarcat faptul că în timpul sondajului sunt identificate toate tipurile de informații (intrarea, efectuarea, stocarea, procesată etc.). Ar trebui să se țină cont de faptul că nu numai informațiile confidențiale nu sunt necesare pentru a identifica, dar încălcarea integrității sau a disponibilității căreia poate provoca daune tangibile organizației.

La analiza informațiilor prelucrate într-o organizație, este necesar să se evalueze gravitatea consecințelor care pot fi cauzate de o încălcare a proprietăților sale. Pentru aceasta trebuie să efectuați studii (testarea, supravegherea) specialiștii care lucrează cu ea. În același timp, este în primul rând să aflați cine beneficiază ilegal să utilizeze sau să influențeze aceste informații. Dacă este imposibil să se efectueze o evaluare cantitativă a posibilelor daune, este necesar să se ofere o evaluare calitativă (scăzută, înaltă, foarte mare).

Pentru a înțelege categoriile de accesibilitate la analizarea sarcinilor rezolvate într-o organizație, este necesar să se identifice timpul de întârziere maxim admisibil, frecvența soluției lor și severitatea consecințelor în încălcarea disponibilității acestora (sarcini de blocare).

În timpul analizei, fiecare dintre tipurile de informații ar trebui să fie atribuită unui anumit grad (Vulture) de confidențialitate (pe baza cerințelor legislației în vigoare și a organizațiilor de drepturi furnizate).

În același timp, pentru a evalua categoria de confidențialitate a tipurilor specifice de informații de la administratori (specialiștii de vârf) ai unității structurale, se găsesc estimări personale ale deteriorării probabile cauzate de încălcarea proprietăților de confidențialitate și integritatea informațiilor.

La sfârșitul analizei, se întocmește o listă de resurse de informații care trebuie protejate.

Atunci această listă Coordonează cu șefii departamentelor de la IT și departamente de securitate a informaticii și invocate conducerii organizației.

La sfârșitul acestei etape, este necesar să se clasifice sarcinile funcționale. Pe baza cerințelor de disponibilitate impuse de șefii unităților organizației și convenite cu serviciul IT, toate sarcinile aplicate decis în unități sunt clasificate.

În viitor, utilizarea specialiștilor de servicii IT și a unității de securitate a informațiilor, este necesar să se clarifice componența resurselor (informație, program) a fiecărei sarcini și pentru a face informații despre grupurile de utilizatori ale acestei sarcini și instrucțiuni pentru înființarea instrumentelor de securitate utilizate în Soluțiile sale (de exemplu, au acces la grupurile de utilizatori la resursele de sarcini enumerate). În viitor, pe baza acestor informații, vor fi configurate computerele, pe care această sarcină va fi rezolvată.

În etapa următoare, computerele sunt clasificate. Categoria de calculatoare este stabilită pe baza categoriei maxime de sarcini care au fost rezolvate pe acesta și categoriile maxime de confidențialitate și integritate a informațiilor utilizate în rezolvarea acestor sarcini. Informațiile despre categoria de calculatoare sunt introduse în forma sa.

Conceptul de inventar al resurselor include nu numai reconcilierea resurselor de rețea active și pasive existente cu o listă de echipamente (și completitudinea sa) achiziționată de organizație. Această procedură este implementată utilizând software-ul corespunzător, cum ar fi Microsoft Systems Management Server. Aceasta include, de asemenea, crearea unui card de rețea cu o descriere a tuturor punctelor de conectare posibile, elaborarea unei liste de software utilizate, formând Fondul Fondului Software-ului licențiat utilizat în organizație, crearea fundației algoritmilor și a programelor proprii Dezvoltare.

Trebuie remarcat faptul că software-ul poate fi admis la locul de muncă numai după ce este verificat de către Departamentul de Protecție a Informațiilor pentru respectarea sarcinilor și a absenței de tot felul de marcaje și "bombe logice".

În acest sens, aș dori să menționez separat tendința de a utiliza codul software open source în țara noastră. Nu susțin, oferă economii substanțiale de resurse. Cu toate acestea, în opinia mea, în acest caz, problema de securitate devine o chestiune de încredere nu mai este doar la dezvoltatorul de sistem, ci și administratorului dvs. Și dacă vă amintiți cât de mult devine, nu este dificil să se concluzioneze că achiziționarea secretelor în acest caz este mult mai ușoară și mai ieftină decât să exersați un atac extern direct. Este de remarcat faptul că majoritatea atacurilor de succes au efectuat insideri, adică angajații proprii ai companiei.

În opinia mea, să aplice un software distribuit liber în prezența unei potențiale posibilități de a face daune grave numai dacă vă este furnizată în compilație și cu o semnătură digitală a unei organizații care garantează absența bombe logice în ea, tot felul de marcaje și "mișcări negre". Mai mult, organizația garantului trebuie să suporte responsabilitatea materială pentru garanția sa, care, în opinia mea, este imposibilă. Cu toate acestea, alegerea este a ta.

După verificare, software-ul de referință este introdus în Fundația Algoritms și Programe (o copie de referință trebuie să fie însoțită de un fișier de control și de cea mai bună semnătură electronică a dezvoltatorului). În viitor, la schimbarea versiunilor și apariția actualizărilor, verificarea software-ului se face în mod obișnuit.

În viitor, informații despre software-ul instalat, data instalării, obiectivele rezolvate cu această dispoziție de sarcini, prenume și semnături ale Facial și Configuration a programelor sunt introduse în forma fiecărui computer. După crearea unor astfel de formulări, serviciul de securitate a informațiilor trebuie să furnizeze o verificare regulată a conformității poziției reale la formulare.

Următorul pas în construirea serviciului de securitate a informațiilor este analiza riscului unei organizații care ar trebui să fie baza pentru crearea de politici de securitate.

Astăzi este puțin probabil să găsească o organizație în care nimeni nu nu sa gândit niciodată la protecția informațiilor. În același timp, nu este întotdeauna posibil să se îndeplinească înțelegerea corectă a securității informațiilor ca un complex de evenimente organizaționale și tehnice. Cel mai important element al garanției sale este o persoană și este principalul factor al încălcării sale.

Securitatea informațiilor ar trebui să fie percepută ca un complex de măsuri organizaționale și tehnice, deoarece este imposibil să se asigure confidențialitatea, integritatea și accesibilitatea nu pot fi luate separat de măsuri tehnice, nu numai organizaționale.

Să presupunem că vă decideți să protejați numai măsurile tehnice, în timp ce documentele organizaționale sunt complet absente. Se întâmplă adesea dacă apărarea se face de către departamentul IT sau șeful Departamentului de Securitate Information (IB) - un fost reprezentativ pentru structurile IT. Ce se întâmplă în acest caz? Să presupunem că unul dintre angajații companiei transmite sistematic informații confidențiale prin e-mail către concurenți. Ați descoperit scurgeri, dar nu aveți documente, prin urmare, pedepsiți un angajat (de exemplu, respingeți-l), pur și simplu nu aveți dreptul. Și dacă o faci, un atacator inteligent vă va da în judecată pentru a încălca drepturile sale constituționale la corespondența personală. Cel mai trist lucru este că în mod legal va fi absolut drept: în cadrul organizației dvs. nu este documentat faptul că toate informațiile transmise prin mijloace e-mail Din adresele aparținând organizației dvs., este proprietatea companiei.

Luați în considerare cea de-a doua extremă. De obicei, este caracteristic fostului personal militar și personal specializat. Aveți documente excelente pregătite, dar le lipsesc absolut suport tehnic. Ce se întâmplă în acest caz? Angajații dvs. vor încălca mai devreme sau mai târziu prevederile documentelor organizaționale și vor vedea că nimeni nu le controlează o va face sistematic.

Astfel, securitatea informațiilor este un sistem flexibil care include atât măsuri organizaționale, cât și tehnice. Trebuie să se înțeleagă că sunt impuse măsuri mai semnificative sau mai puțin semnificative. Este important. Este necesar să se respecte măsurile de protecție în toate punctele de rețea, când lucrează subiecții cu informațiile dvs. (Sub subiectul în acest caz, este înțeles ca un sistem de utilizator, proces, computer sau software pentru procesarea informațiilor). Fiecare resursă de informare, indiferent dacă utilizatorul computerului sau serverul de organizare trebuie să fie complet protejat. Sistemele de fișiere, rețeaua etc. trebuie să fie protejate. Nu vom discuta aici.

Există un număr mare de software care vizează rezolvarea sarcinii de protecție a informațiilor. Acestea sunt programe antivirus și ecrane de rețea și instrumente încorporate pentru sistemele de operare. Cu toate acestea, cel mai vulnerabil factor rămâne întotdeauna o persoană. Performanța oricărui software depinde de calitatea scrisului său, de la alfabetizarea administratorului care a înființat-o.

Multe organizații în legătură cu acest lucru creează departamente de protecție a informațiilor sau au stabilit provocările de securitate la departamentele lor IT. Dar, de mai multe ori sa menționat că era imposibil să se facă o funcție pentru serviciul IT. Să presupunem că departamentul de securitate IT a fost creat în organizația dvs. Ce să facă în continuare? Unde să-și înceapă activitatea?

Primii pași ai Departamentului IB

În opinia mea, trebuie să începeți cu pregătirea angajaților! Și în viitor să o facă cel puțin de două ori pe an. Formarea personalului obișnuit Elementele de bază ale protecției informațiilor ar trebui să fie o afacere permanentă a personalului Departamentului de Protecție a Informațiilor!

Mulți manageri încearcă să obțină imediat un document numit "politică de securitate" din politica informației. Aceasta este o greșeală. Înainte de a servi scrisul acestui document serios, care va defini toate eforturile dvs. pentru a asigura securitatea informațiilor organizației dvs., trebuie să vă întrebați următoarele întrebări:

Ce informații procedați?

Cum să o clasificați?

Ce resurse aveți?

Cum este prelucrarea informațiilor despre resurse?

Cum să clasificați resursele?

Vom încerca să răspundem la aceste întrebări.

Clasificarea informațiilor

În țara noastră, abordarea a fost formată din punct de vedere istoric pentru a clasifica informații (în primul rând de stat) cu privire la nivelurile de cerințe pentru securitatea sa pe baza proprietății sale - confidențialitatea (secretul).

Cerințe pentru a asigura integritatea și disponibilitatea informațiilor, de regulă, sunt menționate indirect numai printre cerințele generale pentru sistemele de prelucrare a datelor.

Dacă această abordare este doar justificată pentru a asigura siguranța informațiilor care constituie secretul de stat, acest lucru nu înseamnă că transferarea acestuia într-o altă zonă (cu alte subiecte și interesele acestora) va fi corectă.

În multe domenii, ponderea informațiilor confidențiale este relativ mică. Pentru informații deschise, în detrimentul dezvăluirii căruia este nesemnificativ, cele mai importante sunt proprietăți complet diferite, să spunem cum ar fi disponibilitatea, integritatea sau protejarea împotriva replicării ilegale. De exemplu, pentru documentele de plată (financiare) cele mai importante este integritatea lor (fiabilitatea). Apoi, proprietatea ar trebui să fie realizată (pierderea unui document de plată sau întârzierea plăților poate fi foarte scumpă). Cerințe pentru asigurarea confidențialității documentelor de plată sunt, de obicei, pe locul trei.

Pentru ziarul de Internet în primul rând va rezista disponibilitatea și integritatea informațiilor și nu confidențialitatea acestuia. Încercările de abordare a rezolvării problemelor de protecție a acestor informații din punctul de vedere al furnizării tradiționale de numai confidențialitate, au eșuat. Principalele motive sunt restricționarea abordării tradiționale a protecției informațiilor, absența experienței în experții interni și elaborarea adecvată în ceea ce privește asigurarea integrității și disponibilității informațiilor care nu sunt confidențiale.

Pentru a îmbunătăți clasificarea informațiilor, în funcție de cerințele privind securitatea acestuia, introduceți mai multe grade (gradări, categorii) de cerințe pentru asigurarea fiecărei proprietăți de securitate ale informațiilor: disponibilitate, integritate, confidențialitate.

Cantitatea de gradă și semnificația în ele pot diferi.

Pe baza necesității de a oferi diferite niveluri de protecție a diferitelor tipuri de informații (care nu conțin informații care constituie un secret de stat), stocate și prelucrate în organizație, introducem mai multe categorii de confidențialitate și integritate a informațiilor protejate.

"Strict confidential" - informații confidențiale în conformitate cu cerințele legislației în vigoare (secrete bancare, date cu caracter personal), precum și informații privind difuzarea cărora sunt înscrise prin deciziile de gestionare a organizației (mister comercial), dezvăluirea Ceea ce poate duce la consecințe financiare și economice grave asupra organizației, înainte de faliment (aplicând o deteriorare gravă a intereselor vitale ale clienților, corespondenților, partenerilor sau angajaților).

"Confidenţial" - informații care nu sunt atribuite categoriei "strict confidențiale", restricțiile privind distribuția cărora sunt înscrise prin decizia conducerii organizației în conformitate cu proprietarul acordat (autorizat de către proprietar) de informații de către curent Legislația, a căror divulgare poate duce la pierderi semnificative și la pierderea competitivității organizației (aplicând daune tangibile intereselor clienților, corespondenților, partenerilor sau angajaților).

"Deschis" - informații, confidențialitate (introducerea restricțiilor de diseminare) nu este necesară.

"Înalt" - Această categorie include informații, modificări neautorizate (denaturare, substituție, distrugere) sau falsificarea (falsificarea) poate duce la o deteriorare directă semnificativă a organizației, integrității și autenticității (confirmarea autenticității sursei) care trebuie asigurată Prin metode garantate (semnături digitale electronice, EDS) în conformitate cu cerințele obligatorii ale legislației, comenzile, directivele și alte acte de reglementare.

"Scăzut" - această categorie include informații, modificări neautorizate, substituirea sau eliminarea căreia poate duce la aplicarea unor daune minore indirecte organizației, clienților, partenerilor sau angajaților, integritatea cărora ar trebui să fie furnizată în conformitate cu decizia conducerii ( Metode de numărare a verificării, funcțiilor hash).

"Nu sunt cerințe" - Această categorie include informații care să asigure integritatea (și autenticitatea) a cărei cerințele nu sunt prezentate.

În funcție de frecvența soluționării sarcinilor funcționale și a întârzierii maxime admisibile de obținere a rezultatelor, sunt introduse patru grade necesare (categorii) de informații disponibile informații.

"Accesibilitate neîngrădită" - Accesul la sarcină trebuie furnizat în orice moment (sarcina este rezolvată în mod constant, întârzierea obținerii rezultatului nu trebuie să depășească câteva secunde sau minute).

"Valabilitate ridicată" - Accesul trebuie efectuat fără întârzieri semnificative de timp (sarcina este rezolvată zilnic, întârzierea obținerii rezultatului nu trebuie să depășească câteva ore).

"Accesibilitatea medie" - Accesul poate fi prevăzut cu întârzieri semnificative de timp (sarcina este rezolvată o dată la câteva zile, întârzierea obținerii rezultatului nu trebuie să depășească câteva zile).

"Accesibilitate scăzută" - întârzierile de timp la accesarea sarcinii este practic limitată (sarcina este rezolvată cu o perioadă de câteva săptămâni sau luni, întârzierea admisă în obținerea rezultatului este de câteva săptămâni).

În prima etapă a lucrării, este clasificată cu toate tipurile de informații utilizate în rezolvarea sarcinilor pe un anumit computer (stabilirea categoriilor de confidențialitate și integritate a tipurilor specifice de informații). Compilate "Lista resurselor de informații care trebuie protejate".

În a doua etapă, există o clasificare a tuturor sarcinilor funcționale rezolvate pe acest computer. În cadrul celei de-a treia etape, categoria calculatorului este stabilită, pe baza categoriilor maxime ale informațiilor care sunt procesate și sarcinile au fost rezolvate pe acesta.

După ce ați distribuit informații care sunt procesate de categoriile dvs. relevante, trebuie efectuată inventarul de resurse.

Clasificarea resurselor implică protejarea identificării (inventarului) și a analizei tuturor resurselor sistemului informațional al organizației. Iată o secvență exemplară și conținutul principal al acestor lucrări.

În primul rând, se formează un grup de lucru special pentru a analiza toate subsistemele sistemului informatic al organizației, inventarului și clasificării resurselor care urmează să fie protejate. Acesta include specialiști (conștienți de problemele tehnologiei automate de procesare a informațiilor) unități de securitate informatică și alte unități ale organizației.

Ordinul conducerii organizației este publicat, în care, în special, sunt acordate tuturor managerilor diviziilor structurale care să asiste și să asiste grupul de lucru în analizarea resurselor tuturor computerelor.

Pentru a ajuta asistența, angajații ar trebui alocați să furnizeze informații detaliate privind prelucrarea automată a informațiilor în diviziuni.

În cursul examinării unor unități specifice ale organizării și subsistemelor sistemului informatic al întreprinderii, toate sarcinile funcționale sunt detectate și descrise utilizând computerele, precum și toate tipurile de informații utilizate în rezolvarea acestor sarcini în diviziuni.

După aceasta, se întocmește o listă totală de sarcini funcționale și formularul este emis pentru fiecare sarcină. Ar trebui să se țină cont de faptul că aceeași sarcină în diferite unități poate fi numită diferită, iar dimpotrivă, diferite sarcini pot avea același nume. În același timp, se efectuează instrumentele software utilizate în rezolvarea sarcinilor funcționale ale unității.

La examinarea subsistemelor și analiza sarcinilor, sunt detectate toate tipurile de intrare, de ieșire, stocate, procesate etc. Este necesar să se identifice nu numai informații care pot fi atribuite confidențialului (la secrete bancare și comerciale, date cu caracter personal), dar și informații care trebuie protejate datorită faptului că încălcarea integrității sau accesibilității sale poate provoca daune tangibile organizației .

Descoperirea tuturor tipurilor de informații care circulă și procesate în subsisteme, este necesar să se evalueze consecințele la care pot conduce tulburările proprietăților sale. Pentru a obține estimări inițiale, este recomandabil să se efectueze un sondaj (de exemplu, în formă de specialiști) care lucrează cu aceste informații. În același timp, este necesar să se afle cine poate fi interesat de aceste informații, cât mai mult posibil sau de utilizarea ilegală, la care consecințe poate conduce.

Dacă este imposibil să cuantificați deteriorarea probabilă, atunci este dată evaluarea sa calitativă (de exemplu: foarte scăzută, scăzută, medie, înaltă, foarte mare).

La elaborarea unei liste și formulele de sarcini funcționale rezolvate într-o organizație, este necesar să se afle frecvența soluției lor, timpul de întârziere maxim admisibil pentru obținerea rezultatelor și gradul de gravitate a consecințelor la care încălcările disponibilității acestora pot (blocarea posibilității de rezolvare a problemelor).

Toate informațiile detectate în timpul sondajului sunt înregistrate în documentul corespunzător.

În continuare, este necesar să se determine ce tip de mister (bancar, comercial, date personale, care nu constituie secrete) includ fiecare dintre tipurile de informații identificate (pe baza cerințelor legislației în vigoare și a unor organizații de drepturi) .

Propunerile inițiale de evaluare a categoriilor de confidențialitate și integritate a tipurilor specifice de informații se află de la manageri (specialiștii de vârf) ai unității structurale (pe baza evaluărilor personale ale daunelor probabile datorită încălcării proprietăților de confidențialitate și a integrității informațiilor) . Lista este apoi coordonată cu liderii Departamentului de Automatizare și Departamente de Securitate al Computelor și este supus conducerii organizației.

La următorul pas, există o categorie de sarcini funcționale. Pe baza cerințelor de disponibilitate pentru șefii unităților organizației și au convenit cu serviciul IT, toate sarcinile funcționale ale aplicațiilor sunt clasificate, rezolvate în diviziuni folosind echipamente de calculator. Informațiile sunt introduse în formularul de lucru. Nu trebuie să conțați clasificarea sarcinilor de sistem și a software-ului în afara legării la anumite computere și sarcini aplicate.

În viitor, cu participarea profesioniștilor IT și a diviziei IB, este necesar să se clarifice componența resurselor informaționale și software ale fiecărei sarcini și să o facă o formă de informații despre grupurile de utilizatori de sarcini și orientări pentru configurarea protecției se aplică când o rezolvă. Aceste date vor fi utilizate ca setări de referință pentru protecția computerelor relevante, precum și pentru a controla corectitudinea instalării lor.

În ultima etapă, se stabilește clasificarea computerelor, pe baza categoriei maxime de sarcini speciale, rezolvată pe acesta și categoriile maxime de confidențialitate și integritate a informațiilor utilizate în rezolvarea acestor sarcini. Informațiile despre categoria de calculatoare sunt introduse în forma sa.

Conceptul de inventar al resurselor include nu numai reconcilierea resurselor de rețea active și pasive pe care le aveți, cu lista de echipamente (și completitudinea acestuia) achiziționată de organizație. Pentru reconcilierea echipamentului și completitudinea sa, puteți utiliza software-ul corespunzător (de exemplu, Microsoft SMS Server) și așa mai departe.

Acest lucru poate include, de asemenea, crearea unei plăci de rețea cu o descriere a tuturor punctelor de conectare posibile, elaborarea unei liste de software utilizate, formarea fondului Fondului de licență licențiat utilizat în organizație, precum și fundația pentru algoritmi și programe de dezvoltare proprie.

Trebuie remarcat faptul că software-ul poate fi admis să lucreze numai după ce este verificat de către departamentul de protecție a informațiilor pentru respectarea sarcinilor, absența tuturor tipurilor de marcaje și "bombe logice".

Aș dori să spun despre tendința de a utiliza aplicațiile cu deschideți codurile. Fără îndoială, ele aduc economii substanțiale de resurse. Cu toate acestea, se pare, în acest caz, siguranța este determinată de încredere nu numai pentru dezvoltatorul de sisteme, ci și administratorului dvs. Și dacă luați în considerare salariul administratorului, nu este dificil să se concluzioneze că vă cumpărați secretele mult mai ușor și mai ieftine decât să efectuați un atac extern direct. Este de remarcat faptul că majoritatea atacurilor de succes au efectuat insideri (care servesc companiei în sine).

Se pare că este necesar să se aplice un software distribuit liber dacă există riscul de a face daune grave, este posibilă numai dacă va fi furnizată în compilație și cu o semnătură digitală a unei organizații care garantează absența bombe logice , tot felul de marcaje și "lovituri negre". În plus, organizația garantului trebuie să suporte responsabilitatea materială. Cu toate acestea, astăzi o astfel de propunere ar trebui să fie atribuită descărcarea de gestiune a irealului.

După verificare, software-ul de referință este introdus în Fundația Algoritms și Programe (o copie de referință trebuie să fie însoțită de fișierul de control și mai bine - de o semnătură electronică a dezvoltatorului). În viitor, la schimbarea versiunilor, apariția actualizărilor, verificarea software-ului se face prin procedura stabilită.

Formularul de formular al software-ului instalat este introdus în forma fiecărui computer, este indicată data de instalare, obiectivele rezolvate utilizând acest software, sarcina, numele și semnătura persoanei care au instalat și configurați software-ul este setat. După crearea unor astfel de formulări, serviciul de securitate a informațiilor trebuie să furnizeze o verificare regulată a conformității poziției reale la formulare.

Următorul pas în construirea serviciului de securitate a informațiilor ar trebui să fie analiza riscurilor organizației, pe baza căreia va fi creată politica de securitate.