Bilgi ve Bilgi Sistemleri Atama Kategorisinin Sınıflandırılması. Bilgi Bankacılığı Sisteminin Kaynaklarının Sınıflandırılmasına İlişkin Düzenlemeler

Mikhail Coptenkov | © M. Koptenkov

Bilgi güvenliği, bilgi ortamının güvenlik durumudur. Bilgi güvenliği, aralarında, daha az veya daha az önemli tahsis etmek imkansız olduğu bir ölçü kümesi olarak kabul edilmelidir. Bilgi güvenliği kavramı, korunan bilgilerin kaçağını, yetkisiz ve istenmeyen etkilerin, yani, bilgi güvenliğinin durumuna ulaşmayı amaçlayan bir süreç olan bir işlem olan bilgi koruması konsepti ile yakından ilgilidir. Bununla birlikte, bilgiyi korumadan önce, hangi bilgilerin korunması gerektiğini ve ne ölçüde olduğunu belirlemek gerekir. Bu, bilgilerin kategorizasyonu (sınıflandırma), yani bilgi güvenliğini sağlama ve belirli bilgi kaynaklarını ilgili kategorilere nitelendirmenin önemini belirlemek. Böylece, bilginin sınıflandırılması, kuruluşun bilgi güvenliğini sağlamak için ilk adım olarak adlandırılabilir.

Tarihsel olarak, bilgi sınıflamasında gizlilik düzeyinde (gizlilik) sınıflandırılmasında gereklidir. Aynı zamanda, erişilebilirlik ve dürüstlük gereksinimleri genellikle dikkate alınmaz veya bilgi işleme sistemleri için genel gereksinimlerle muhasebeleştirilir. Bu yanlış bir yaklaşım. Birçok alanda, payı kesin bilgi Nispeten küçük. İçin açık bilgiAçıklamanın eksik olduğu hasar, en önemli özellikler şunlardır: Yasadışı kopyalanmadan erişilebilirlik, bütünlük ve güvenlik. Örnek olarak, şirketin web sitesine sürekli olarak erişilebilirliği sürdürmenin önemli olduğu bir çevrimiçi mağaza getirebilirsiniz. Farklı bilgi güvenliği seviyelerini sağlama ihtiyacına göre, çeşitli gizlilik, bütünlük ve erişilebilirlik kategorileri girebilirsiniz.

1. Korumalı Bilgilerin Gizliliği Kategorileri

Bilginin Gizliliği - Bu bilgiye erişimi olan kişilerin çemberi üzerindeki kısıtlamaları tanıtma ihtiyacını gösteren bilgilerin özellikleri.
Aşağıdaki gizlilik bilgi kategorileri sunulur:
– - Mevzuatın gerekliliklerine uygun olarak gizli olan bilgilerin yanı sıra, örgütün yönetiminin kararları ile girilen bilgilerin yanı sıra, açıklamanın kuruluşun faaliyetlerine önemli bir hasara yol açabileceği açıklamaya neden olabilir.
– Kesin bilgi - Kesinlikle gizli olmayan bilgiler, dağıtımın yalnızca kuruluşun yönetiminin kararıyla girilen kısıtlamaları, açıklanması, kuruluşun faaliyetlerine zarar verebilir.
– Açık bilgi - Bu kategori, gizliliğin gerekli olmadığından emin olmak için bilgileri içerir.

2. Bilgilerin bütünlüğü kategorileri

Bilginin bütünlüğü, verilerin önceden belirlenmiş bir form ve kalite elinde tuttuğu (bazı sabit durumlara göre değişmeden kalır) bir özelliktir.
Aşağıdaki bilgi bütünlüğü kategorileri tanıtıldı:
– Yüksek - Bu kategori, organizasyonun faaliyetlerine önemli bir hasara yol açabilecek bilgileri, yetkisiz bir modifikasyon veya sahteciliği içerir.
– Düşük - Bu kategori, yetkisiz bir modifikasyonun, kuruluşun faaliyetlerine orta veya küçük hasar uygulamasına yol açabilecek bilgileri içerir.
– Gereksinim yok - Bu kategori, gereksinimlerin sunulmadığı bütünlüğünü sağlamak için bilgileri içerir.

3. Bilgi mevcut bilgiler

Kullanılabilirlik, erişim haklarına sahip konuların engellenmeden uygulanabileceği bir bilgi halidir.
Aşağıdaki bilgi kullanılabilirliği kategorileri tanıtılır:
– - Bilgiye erişim, herhangi bir zamanda sağlanmalıdır (bilgiye erişimdeki gecikme birkaç saniyeyi veya dakikayı geçmemelidir).
– Yüksek kullanılabilirlik - Bilgiye erişim, önemli zaman gecikmeleri olmadan yapılmalıdır (bilgiye erişim alanının birkaç saatini geçmemelidir).
– Ortalama Erişilebilirlik - Bilgiye erişim, önemli geçici gecikmelerle sağlanabilir (bilgi edinmedeki gecikme birkaç gün geçmemelidir).
– Düşük erişilebilirlik - Bilgiye erişimdeki zaman gecikmeleri pratik olarak sınırlı değildir (birkaç hafta - bilgiye erişim kazanılmasında izin verilen gecikme).

Yukarıdakilerden, bilgilerin gizliliği ve bütünlüğü kategorilerinin doğrudan bu bilgilerin bu özelliklerini ihlal ederken kuruluşun zarar görmesine bağlı olduğu açıktır. Kullanılabilirlik kategorileri daha az ölçüde, ancak aynı zamanda kuruluşun zarar görmesine de bağlıdır. Hasar miktarını belirlemek için, öznel değerlendirmesi kullanılır ve üç seviyeli bir ölçek tanıtılır: önemli hasar, orta derecede hasar ve düşük hasar (veya hasarsız).
düşükBilginin erişilebilirliği, gizliliği ve / veya bütünlüğü kaybı, organizasyonun, varlıklarının ve personelinin faaliyetleri üzerinde hafif bir olumsuz etkiye sahiptir.
Olumsuz etki şu ki:
- Kuruluş, faaliyetlerini yerine getirme yeteneğine sahiptir, ancak temel fonksiyonların etkinliği azalır;
- önemsiz bir hasar varlıklar tarafından uygulanır;
- Örgüt, küçük finansal kayıplar taşıyor.
Kuruluşun zarar görmesi olarak tahmin edilmektedir. ılımlıErişilebilirlik, gizlilik ve / veya bütünlüğün kaybı, organizasyon, varlıkları ve personel üzerinde ciddi olumsuz bir etkiye sahiptir.
Olumsuz etkinin ciddiyeti şunlarıdır:
- Kuruluş, faaliyetlerini yerine getirme yeteneğine sahip, ancak temel fonksiyonların etkinliği önemli ölçüde azaltılmıştır;
- Kuruluşun varlıkları önemli hasara neden oldu;
- Şirket önemli finansal kayıplar taşır.
Kuruluşun potansiyel hasarı olarak değerlendirilir önemliErişilebilirlik kaybı, gizlilik ve / veya bütünlük kaybı, kuruluşun, varlıkları ve personeli üzerindeki şiddetli (felaket) olumsuz etkilerle sağlanırsa, yani.
- Kuruluş, temel işlevlerinin tümünü veya bazılarını gerçekleştirme yeteneğini kaybeder;
- Kuruluşun varlıkları büyük hasara neden oldu;
- Organizasyon büyük finansal kayıplar taşır.
Böylece, kuruluşun faaliyetlerine zarar vermesinin, bilgilerin gizliliğini, bütünlüğünü ve mevcudiyetini ihlal ederken ve bunun temelinde, bilgi kategorilerini belirleyen, üç tür ayırt edilebilir: en kritik, eleştirel ve eleştirel olmayan .

Bilgi türü, bu bilgi kategorilerini yaparak belirlenir.
Tablo 1, bilgi türünü göstermektedir.

Bilgi Gizlilik Kategorisi	Bilgi bütünlüğü kategorisi	Bilginin erişilebilirliği kategorisi	Bilgi türü
Kesinlikle Gizli Bilgi	*	*
*	Yüksek	*	En kritik bilgi
*	*	Engelsiz erişilebilirlik	En kritik bilgi
Kesin bilgi	*	*	Kritik bilgi
*	Düşük	*	Kritik bilgi
*	*	Yüksek kullanılabilirlik	Kritik bilgi
Açık bilgi	Gereksinim yok	Ortalama Erişilebilirlik	Kritik olmayan bilgiler
Açık bilgi	Gereksinim yok	Düşük erişilebilirlik	Kritik olmayan bilgiler

Tablo 1: Bilgi türünün tanımı

Böylece, bilginin sınıflandırılması, kuruluşun bilgi güvenliğini sağlamaya yönelik ilk adımdır, çünkü önce bir şeyi korumaya, her şeyden önce, her şeyden önce, ne kadar korunmasının gerektiğini ve ne ölçüde olduğunu belirlemeye değer. Kategoriler ve kullanıcı ve hem elektronik biçimde hem de malzeme taşıyıcısında sağlanan sistem bilgileri kategorize edilir. Korunan bilgi türünü belirlemek için, kuruluşun hangi hasarın, gizlilik, bütünlük ve bu bilgilerin kullanılabilirliği kaybına neden olacağını belirlemek gerekir.
Gelecekte, ne tür bir bilgi tanımlanarak, her bilgiyi korumak için çeşitli önlemler uygulayabilirsiniz. Bu, yalnızca kuruluşta işlenen verileri yapmaz, aynı zamanda en etkili şekilde uygulamak ve erişim kontrol alt sistemini korumalı bilgiye uygulamak ve ayrıca bilgi güvenliği sağlama maliyetlerini optimize etmek için de kullanır.

Bibliyografya:
1. V., Bilgi Güvenliği Hizmeti: İlk adımlar, 2008, http://www.com.tr.carates.ru/article.aspx?id\u003d20512
2. Pürüzsüz A. A., Dementiev V. E., Temel Bilgi Güvenlik İlkeleri bilgi İşlem Ağları. Ulyanovsk: ULGTU, 2009. - 156 s.

Korumalı bilgi (korunacak bilgiler) - Mülkiyet konusu olan ve mevzuat ve diğer düzenleyici belgelerin gereksinimlerine uygun olarak veya bilgi sahibi (Banka) tarafından oluşturulan şartlara uygun olarak korunacak olan bilgi (bilgi).

Bilgi Bankacılığı Sisteminin Korumalı Kaynakları (Korunacak IBS Kaynakları) - Bilgi, İşlevsel Görevler, Bilgi Transfer Kanalları, Bankanın, müşterilerinin ve muhabirlerinin bilgi güvenliğini sağlamak için korunacak işler.

Korumalı İşyeri (PM) - Koruma nesnesi (uygun yazılım ve veri grubuna sahip kişisel bilgisayar), bunun için düzenlenmiş bilgi işleme biçiminin oluşturulması ve karakterize edilen tanındığı tanınır:

yerin yanı sıra yetkisiz kişiler için fiziksel erişilebilirlik derecesi (müşteriler, ziyaretçiler, pm ile çalışmasına izin verilmeyen çalışanlar vb.);

donanımın bileşimi;

yazılımın bileşimi ve BT görevlerinde çözüldü (belirli kullanılabilirlik kategorileri);

pM bilgisi hakkında depolanan ve işlenmiş bilgilerin bileşimi (belirli gizlilik ve bütünlük kategorileri).

Form rm. - PM'nin özelliklerini düzeltir (konum, donanım ve yazılımın konfigürasyonu, PM'de çözülen görevlerin listesi, vb.) Ve bu PM'yi çalıştırma yeteneğini belgelendiren PM Bilgilerinin bu PM kategorisine uygun olarak işlendiği bilgilerin korunması için gerekliliklerin uygulanması).

Korumalı Görev - fonksiyonel görev, ayrı bir RM üzerinde çözülür, bu da düzenlenmiş bir bilgi işleme modu modu oluşturma ihtiyacını tanıyan ve karakterize edilmiştir:

kaynakları çözmede kullanılan bir dizi (yazılım, veri setleri, cihazlar);

Çözeltilerin sıklığı;

sorunu çözme probleminin elde edilmesinde izin verilen maksimum zaman gecikmesi.

Görev formu - Görevin özelliklerini düzelten bir belge kümesi (ek 2) (adı, amacı, onu çözülürken kullanılan tür, bu görevin kullanıcı grupları, görevin kaynakları, vb.) .

Korumalı Bilgi İletim Kanalı - Korunan bilgilerin iletildiği yol. Kanallar fiziksel (bir cihazdan diğerine) ve mantıklı (bir görevden diğerine) ayrılır.

Bilginin Gizliliği - Öznel olarak tanımlanmış (atıfta bulunan) bilgi karakteristiği (özellik), bu bilgilere erişimi olan bir denek dairesinde (kişiler) kısıtlamaları tanıtma ihtiyacını belirten ve sistem (çevre) tarafından belirtilen bilgileri gizli olarak korumak için ona erişim yetkisine sahip olmayan konular.

Bilgi bütünlüğü - BİLGİSAYARIN ÖZELLİKLERİ BİLDİRİMİN MÜLKİYETİNİ KULLANILAN FORMDA (SABİT HİKALARI İLE İLGİLİ).

Bilginin Kullanılabilirliği (Görevler) - Bilginin, ilginizi çeken bilgilere zamanında engellenmemiş erişimin (konularda ilgili erişim yetkisi varsa) ve hazırlığa zamanında engellenmemiş erişimin sağlanması ile karakterize edilen bilgileri dolaştığı bilgileri dolaştığı İlgili otomatik hizmetlerin (fonksiyonel görevler), taleplerin deneklerinin konularından daima bakımı için her zaman onlarla iletişim kurarken bir ihtiyaç vardır.

1. Genel Hükümler

1.1. Bu hüküm, kategorilerden (kaynakları korumanın önemi) (kaynakları korumanın derecelendirilmesi) tarafından tanıtılmakta ve bilgi sisteminin kaynaklarını (bunları, ilgili kategorilere atamak, bankaya zarar verme riskini dikkate alarak) sınıflandırma prosedürünü belirler. , müşterileri ve muhabirleri, IBS ve bütünlüğünün işleyişinde izinsiz girişim ve işlenmiş bilgilerin bütünlüğünün veya gizliliğinin işlenmesi sürecinde yetkisiz müdahale durumunda, IBS tarafından çözülen görevlerin erişilebilirliğinin engellenmesi veya ihlal edilmesi durumunda).

1.2. Kaynak Kategorileri (Kaynak Koruma Gereksinimlerinin Tanımı) CHD, Banka'nın bilgi güvenliğini sağlamak ve kendi hedeflerine sahip olan çalışma organizasyonunun gerekli bir unsurudur:

kaynakları korumak için farklılaştırılmış bir yaklaşım için düzenleyici ve metodolojik temel oluşturma otomatik sistem (Bilgi, Görevler, Kanallar, PM) Kullanılabilirlik, bütünlük veya gizliliğinin ihlali durumunda risk derecesi ile sınıflandırmalarına dayanarak;

devam eden örgütsel önlemlerin tiptasyonu ve donanımın ve yazılımın kaynakların RM IBS ve ayarlarının birleştirilmesi için korunması için dağıtımını ve yazılımın dağıtılması.

2. Korumalı bilgi kategorileri

2.1. IBS'de depolanan ve işlenen farklı bilgi türlerinin çeşitli korunma düzeylerini sağlamanın yanı sıra dikkate alınması gerekmektedir. olası yollar Banka'nın hasar görmesi, müşterileri ve muhabirleri, korunan bilgilerin ve korunan bilgilerin üç bütünlüğü kategorisinin üç yüzde gizliliği kategorisi sunar.

"Yüksek" - bu kategoriye göre, Rusya Federasyonu'nun (bankacılık sırları, kişisel veriler) mevcut mevzuatın gerekliliklerine uygun olarak gizli olmayan bir bilgi içerir;

"Düşük" - Bu kategori, "Yüksek" kategorisiyle ilgili olmayan gizli bilgileri içerir, dağıtımın, bankanın liderliğinin kararıyla verilen kısıtlamaları (sahibinin yetkili) uyarınca kanunla kanunla ilgili bilgiler;

"Gereksinimler yok" - Bu kategori, gerekli olmayan bilgi, gizlilik (yayma kısıtlamaları tanıtımı) içerir.

"Yüksek" - Bu kategori, bilgiyi, yetkisiz değişiklik (bozulma, yıkım) veya tahrifizasyonu, Banka'ya, müşterilerine ve muhabirlerine, bütünlüğüne ve özgünlüğün (kaynağın doğruluğunun doğrulanılığını) anlamlı bir şekilde zarar görebilecek olan bilgileri içerir. Mevcut mevzuatın gerekli gereksinimlerine uygun olarak garantili yöntemlerle (örneğin, elektronik dijital imzalar) sağlanmalıdır;

"Düşük" - Bu kategori, bankaya, müşterilerine ve muhabirlerine, bütünlüğüne (ve gerekirse ve orijinallik) sağlanması gereken küçük dolaylı hasarın uygulanmasına neden olabilecek bilgileri, yetkisiz değişiklik, sökme veya tahrifizasyon içerir. Banka'nın liderliğinin kararına uygun olarak (yöntemler sayma yöntemleri, EDS, vb.);

"Gereksinimler yok" - Bu kategori, gereksinimlerin sunulmadığı bütünlüğü (ve özgünlük) sağlamak için bilgileri içerir.

2.2. Görevleri, kanalları ve pm'yi sınıflandırma işlemlerini basitleştirmek için, korunan bilgilerin gizliliği ve bütünlüğü birleştirilir ve dört genel bilgi kategorisi oluşturur: "hayati", "çok önemli", "önemli" ve "önemli değil". Bilgilerin genelleştirilmiş bir kategoriye atanması, Gizlilik ve Bütünlük kategorilerine tablo 1 uyarınca uygulanmaktadır.

tablo 1

1 - "hayati" bilgi

2 - "çok önemli" bilgi

3 - "Önemli" Bilgi

4 - "önemli değil" bilgi

3. fonksiyonel görev kategorileri

3.1. Fonksiyonel görevlerin çözülmesinin periyodikliğine ve çözüm sonuçlarının elde edilmesinde izin verilen maksimum gecikmeye bağlı olarak, fonksiyonel görevlerin gerekli olan dört derece derecesi getirilir.

Gerekli işlevsel görevlerin kullanılabilirliği derecesi:

"Engellenmemiş erişilebilirlik" - erişim herhangi bir zamanda (görev sürekli olarak çözülür, sonucun elde edilmesindeki gecikme birkaç saniyeyi veya dakikayı geçmemelidir);

"Yüksek Kullanılabilirlik" - Göreve erişim önemli zaman gecikme olmadan yapılmalıdır (görev günlük olarak çözülür, sonucun elde edilmesinin gecikmesi birkaç saati geçmemelidir);

"Ortalama Kullanılabilirlik" - Göreve erişim önemli geçici gecikmelerle sağlanabilir (görev birkaç gün bir kez çözülür, sonucu elde etme gecikmesi birkaç gün geçmemelidir);

"Düşük erişilebilirlik" - Göreve erişimdeki geçici gecikmeler pratik olarak sınırlı değildir (görev birkaç hafta veya aylık bir süre ile çözülür, sonucun elde edilmesindeki izin verilen gecikme birkaç haftadır).

3.2. Sorunun çözülmesinde kullanılan genelleştirilmiş korunan bilgiler kategorisine bağlı olarak, görevin istenen kullanılabilirliği, dört fonksiyonel görev kategorisine göre ayarlanır: "İlk", "İkinci", "Üçüncü" ve "Dördüncü" (göre) Tablo 2 ile).

Tablo 2

İşlevsel Görev Kategorisinin Tanımı
Genelleştirilmiş Bilgi Kategorisi	Görevin kullanılabilirliğinin gerekliliği
Genelleştirilmiş Bilgi Kategorisi	"Engelsiz erişilebilirlik"	"Yüksek kullanılabilirlik"	"Ortalama Erişilebilirlik"	"Düşük Erişilebilirlik"
"Hayati"	1	1	2	2
"Çok önemli"	1	2	2	3
"Önemli"	2	2	3	3
"Önemli değil"	2	3	3	4

4. Korumalı bilgilerin iletim kanallarının güvenliğini sağlamak için gerekenler (kanal kategorileri)

4.1. Korumalı bilgilerin mantıksal iletim kanalının güvenlik gereksinimleri (kategorileri), bu kanalın yüklü olduğu iki görevin maksimum kategorisi ile belirlenir.

5. Kategoriler PM.

5.1. Kategorilere bağlı olarak, PM görevlerinde dört kategori kurulur: "A", "B", "C" ve "D".

5.3. PM kategorisi "B" grubu, ikinci kategorinin en az bir fonksiyonel görevinin çözüldüğü PM'yi içerir. Bu PM'de çözülen diğer görevlerin kategorileri, üçüncü ve ikinciden daha yüksek olmamalıdır.

5.4. C kategorisindeki C grubu, üçüncü kategorinin en az bir işlevsel görevinin çözüldüğü PM'yi içerir. Bu Başbakan'a ayrılan diğer görevlerin kategorileri üçüncüden daha yüksek olmamalıdır.

Tablo 3.

5.6. Çeşitli kategorilerin RM'nin güvenliğini sağlamak için gerekenler (uygun önlemler ve ilaçların uygulanmasında) Ek 5'te gösterilmiştir.

6. Korumalı kaynakların kategorilerini belirleme prosedürü IBS

6.1. Kategoriler, Bilgi Bankacılığı Sisteminin kaynaklarının envanterinin (RM, Görevler, Bilgi) temelinde gerçekleştirilir ve Korunacak IBS kaynaklarının listelerinin (bir formüllerin) listelerinin (urgallığın bakımı) anlamına gelir. .

6.2. IBS kaynaklarının listelerini hazırlamak ve sürdürmek için sorumluluk atanır:

bir PM'nin bir listesini hazırlamak ve sürdürmek açısından (yerleşimlerini, bankaların birleştirilmesini, kompozisyonunu ve özelliklerine dahil olan kompozisyonları belirten) açısından teknik araçlar) - Yönetimde bilişim Teknolojileri (bundan sonra weit);

bir sistem listesini derleme ve sürdürme açısından (özel) görevler, PM'de çözüldü (onları çözerken kullanılan kaynakların listelerini gösterir - cihazlar, dizinler, bilgiler içeren dosyalar) - bölüme teknik Destek Whit.

6.3. Gizlilik, bütünlük, uygunluk ve belirli RM kaynakları (bilgi kaynakları ve görevleri) kategorileri için gereklilikleri belirleme sorumluluğu, PM verilerindeki (bilgi sahipleri) ve Bilgi Güvenliği Departmanı'ndaki görevleri doğrudan çözen Banka bölümlerine (bilgi kaynakları ve görevleri) atanır. .

6.4. IBS kategorilerinin bilgi kaynaklarının kategorilerinin onayı, bu "IBS kaynaklarının sınıflandırılmasına ilişkin düzenlemeye" uygun olarak atanan Banka Kurulu Başkanı tarafından yapılır.

6.6. IBS kaynaklarının sınıflandırılması, her bir RM için ayrı ayrı, ardından bir dernek ve Korunacak IBS kaynaklarının üniformacılarının oluşumu ile ayrı ayrı yapılabilir:

korunacak Bilgi Kaynakları IBS Listesi (Ek 2);

korunacak görevlerin listesi (Görev formuları kümesi);

pM Listesi (PM Kalıpları).

Belirli bir PM kaynaklarının kategorizasyonu üzerindeki çalışmanın ilk aşamasında, bu PM'deki problemleri çözmede kullanılan her türlü bilgi ile kategorize edilir. Genelleştirilmiş bilgi kategorileri, belirli bilgi türlerinin köklü gizlilik ve bütünlük kategorilerine dayanarak belirlenir. Korunacak bilgi kaynakları "Korunacak bilgi kaynaklarının listesine" dahil edilir.

İkinci aşamada, daha önce oluşturulan görevlerin çözülmesinde kullanılan genelleştirilmiş bilgi kategorilerini dikkate alarak ve görevlerin kullanılabilirliği için gereklilikler bu PM'de çözülen tüm fonksiyonel görevlere kategorize edilir.

Dördüncü aşamada, etkileşim görevleri kategorilerinin temelinde, işlevsel görevler arasında (farklı PM) arasında bir mantıksal kanal iletim kanalları kategorisi oluşturulur. 6.7. IBS Bilgi Kaynaklarının Retestation (Değişen Kategori), ilgili bilgilerin özelliklerinin (gizlilik ve bütünlük) korunmasını sağlama gereksinimlerini değiştirirken yapılır.

Fonksiyonel görevlerin transfer (kategorinin değişimi), bu görevi çözmede kullanılan genelleştirilmiş bilgi kaynaklarını değiştirirken, ayrıca fonksiyonel görevlerin mevcudiyeti için gereksinimleri değiştirirken yapılır.

Etkileşen görevlerin kategorileri değiştiğinde, mantıksal kanalların transfer (kategorinin değişimi) gerçekleştirilir.

Başbakanın (Kategori Değişimi), kategorileri değiştirirken veya PM verilerinde çözülen görevlerin bileşimini değiştirirken yapılır.

6.8. Periyodik olarak (yılda bir kez) veya Banka'nın yapısal bölümlerinin başkanlarının talebi üzerine, yerleşik korunan kaynak kategorilerinin, gerçek ilişkilere uymaları için bir revizyon yapılır.

7. İnceleme Prosedürü

7.1. Çeşitli kategorilerin pm'in korunmasına ilişkin gerekliliklerdeki değişiklikler durumunda, denetim (ardından onaylı) ek 5'e tabidir.

7.2. "Korunacak bilgi kaynaklarının listesi" için değişiklikler ve eklemelerde, gözden geçirme (ardından onayı takip eden) ek 4'e tabidir.

Ek 1 - Korumalı kaynakları sınıflandıran yöntemler

Bu teknik, Banka Bankasındaki korunan kaynakların "Bilgi Bankacılığı sisteminin kaynaklarını sınıflandırma düzenlemeleri" uyarınca, korunan kaynakların kategorizasyonu üzerine çalışma prosedürünü açıklığa kavuşturması amaçlanmıştır. Kategoriler, EBS alt sistemlerinin incelenmesi ve bankanın yapısal bölümlerinin incelenmesi ve korunacak tüm IBS kaynaklarının tanımlanması (envanteri). Bu çalışmaları uygulamak için yaklaşık sekans ve belirli eylemlerin ana içeriği aşağıda gösterilmiştir.

1. Banka'nın bilgi sisteminin tüm alt sistemleri ve Korunacak IBS kaynaklarının envanteri hakkında bilgi araştırması yapmak. Özel bir çalışma grubu oluşur. Bu grup, Bilgi Güvenliği Bakanlığı ve Banka Bilgi Teknolojilerinin Yönetimi'nin uzmanlarını içerir (teknoloji konularının farkında) otomatik işleme bilgi). Gerekli durumu uygulamak için Çalışma Grubu, Banka Kurulu Başkanı Başkanının uygun şekilde elden çıkarılması, özellikle, özellikle, Banka'nın yardım sağlanması ve çalışma grubuna çalışma grubuna çalışma grubuna gerekli yardımı ile ilgili tüm başkanları tarafından belirtilmiştir. IBA anketi. Grup'un çalıştırılmasında yardımcı olmak için, bu bölümlerde bilgi işlemleri hakkında ayrıntılı bilgi sahibi olan çalışanlar, bu bölümlerin başkanları tarafından bölümler halinde tahsis edilmelidir.

2. Banka'nın belirli bölümlerinin ve bilgi alt sistemlerinin incelenmesi sırasında, IBS kullanılarak çözülen tüm fonksiyonel görevler, bu görevleri bölünmelerde çözülmesinde kullanılan her türlü bilgi türü (bilgi) de tespit edilir ve tarif edilir.

3. Toplam fonksiyonel görevler listesi hazırlanır ve her görev için (Başlat) Formu (Ek 2). Farklı birimlerde birinin ve aynı görevin farklı olarak adlandırılabileceği ve bunun tersi de geçerli olması gerektiğinde, çeşitli görevler aynı ada sahip olabileceğini unutmayın. Aynı zamanda, ünitenin fonksiyonel görevlerini çözülmesinde kullanılan yazılım araçları (genel) gerçekleştirilir.

4. Alt sistemleri ve görevlerin analizini incelerken, her türlü gelen, giden, depolanan, işlenmiş ve benzerleri tespit edilir. bilgi. Yalnızca gizli (bankacılık ve ticari sırlara, kişisel verilere) atfedilebilecek bilgileri değil, aynı zamanda bütünlüğü ihlali (bozulma, tahrifizasyon) veya kullanılabilirliği (tahribat, engelleme) nedeniyle korunacak bilgilerin tanımlanması gerekir. ) Banka, müşterilerine veya muhabirlerine maddi bir hasar uygulayabilir.

5. Alt sistemlerde dolaşan ve işlenen her türlü bilgiyi tanımlarken, mülklerinin (gizlilik, bütünlük) ihlallerinin (gizlilik, bütünlük) neden olduğu sonuçların ciddiyetinin değerlendirilmesi arzu edilir. Bu tür sonuçların ciddiyetinin ilk değerlendirmelerini elde etmek için, bir anket yapılması önerilir (örneğin, anket formunda) bu bilgi ile çalışan uzmanlar. Aynı zamanda kimin ilgisini çekebileceğini bulmak için gereklidir. bu bilgiHangi sonuçlara yol açabileceği, onu nasıl etkileyebilir veya yasadışı olarak kullanabilirler?

6. Muhtemel hasarın tahminleri hakkındaki bilgiler özel formlara girilir (Ek 3). Muhtemel hasarı ölçmek imkansızsa, nitel değerlendirmesi yapılır (örneğin: düşük, orta, yüksek, çok yüksek).

7. Banka'da çözülen fonksiyonel görevlerin bir listesini ve formalitesini çizerken, çözümlerinin sıklığını bulmak, sorunları çözme sonuçlarını ve sonuçların ciddiyetinin derecesini elde etmek için izin verilen maksimum süre gecikme süresi bulmak gerekir. Müsaitlik durumlarının ihlal edildiği (problem çözme olasılığını engelleme). Muhtemel hasarın tahminleri özel formlara girilir (Ek 3). Muhtemel hasarın nicel tahmininin imkansızlığının imkansızlığı durumunda, nitel bir değerlendirme yapılır.

8. Anket sırasında tanımlanan tümü, "Korunacak Bilgi Kaynaklarının Listesi" nde çeşitli bilgi türleri kaydedilir.

9. Belirlenen (ve sonra listede belirtilen) (sırları oluşturmayan bankacılık, ticari, kişisel veriler), tanımlanmış bilgi türlerinin her birini içerir (mevcut mevzuatın gereklilikleri temelinde ve onlara verilen haklar).

10. Belirli bilgi türlerinin gizliliğini ve bütünlüğünün sağlanması kategorilerini değerlendirmek için ilk teklifler, Banka'nın yapısal bölümünün (lider uzmanlar) liderlerden (Gizlilik özelliklerinin ihlal edilmesinden kaynaklanan kişisel değerlendirmelerine dayanarak) liderlerden netleştirilir. Bilginin bütünlüğü). Bilgi kategorilerinin veri tahminleri "Korunacak bilgi kaynaklarının listesine" (2 ve 3 sütunlarında) girilir.

11. Sonra liste, Güvenlik Yönetimi, Kurulum ve Bilgi Güvenliği Dairesi başkanları ile tutarlıdır ve Bilgi Güvenliği Komitesi tarafından dikkate alınması için vurgulanır.

12. Bilgi Güvenliği Yönetimi Komitesi listesi göz önüne alındığında, değişiklikler ve eklemeler yapılabilir. "Korunacak bilgi listesi listesinin" hazırlanan versiyonu, Banka Kurulu Başkanı tarafından onaylanmak üzere sunulur.

13. Onaylanan "Bilgi Kaynaklarının Listesi Listesi'nde belirtilen gizlilik ve bütünlük kategorilerine uygun olarak, her bir bilgi türünün genelleştirilmiş kategorisi (kategorizasyon kategorisindeki Tablo 1 uyarınca) belirlenir.

14. Bir sonraki aşamada, fonksiyonel görevler kategorize edilir. Banka'nın işletme birimlerinin başkanları tarafından uygulanan ve güvenlik ve düzelticilerle koordine edilen kullanılabilirlik gereksinimlerine dayanarak, tüm özel (uygulanan) fonksiyonel görevler, IBS kullanarak birimlerde çözülür (Kaynakları sınıflandırma hükümlerinin Tablo 2). Özel görev kategorileri hakkında bilgi Görev Formuna girilir. Ortak (sistem) görevlerinin ve yazılımın belirli bir Başbakan'a bağlanma dışındaki sınıflandırılması gerçekleştirilmez.

Gelecekte, zekâ uzmanlarının katılımıyla, her görevin bilgi ve yazılım kaynaklarının bileşimini netleştirmek ve güvenlik araçlarının kurulumunu ayarlamak için kullanıcı grupları ve kılavuzlar hakkındaki bilgilerine bilgi eklemek gerekir. Grupları görevin listelenen kaynaklarına erişim). Bu bilgi, bu görevin çözüleceği ve kurulumlarının doğruluğunu kontrol etmek için ilgili PM'nin korunmasının referans ayarları olarak kullanılacaktır.

15. Sonra fonksiyonel görevler arasındaki tüm mantıksal kanallarla kategorize edilir. Kanalın kategorisi, etkileşimde yer alan maksimum görev kategorisine dayanarak kurulur.

16. Son aşamada, RM kategorize edilir. PM kategorisi, maksimum özel görev kategorisine dayanarak, üzerine çözülür (veya ortak görevleri çözmede kullanılan bilgi kategorisi). Bir de, herhangi bir sayıda görev, kategoriler bu PM'de mümkün olan maksimumdan daha düşük olan bir birimden daha fazla değildir. PM kategori ile ilgili bilgiler RM formuna gönderilir.

Editörden

Her tür insan aktivitesi, belirli bir değeri olan bir ürün, malzeme veya entelektüel ile sonuçlanan bir işlem olarak temsil edilebilir. Bilgi, bu değerlerin türlerinden biridir, bu kadar yüksek olabilir, bu kadar yüksek olabilir, çünkü kaybı ya da sızıntısı, hatta kısmi, şirketin varlığını sorgulayabilir. Bu nedenle, her gün bilginin korunması giderek daha önemli hale geliyor, hemen hemen hepsi az ya da çok büyük organizasyonlarda IB cihazları var.

BT pazarında, bilgi güvenliği tekliflerinin spektrumu büyüyor. Sunulan ürün akışında nasıl doğru gezinilir? Optimum yazılımı nasıl seçilir finansal maliyetler Seçenek ve şirketinizin tüm ihtiyaçlarını dikkate alınız mı? Hangi seçim kriterleri uygulanır? Sonuçta, herhangi bir organizasyon veya işletmenin IB'nin hizmetinin kendisi entelektüel ne de maddi değerler üretmemesine rağmen, ihtiyaç ve önemiyle ilgili hiçbir şüphe yoktur ve hiçbir şüphe yoktur ve bu hizmet için harcamalarda nadiren kaydedilir.

Şirketin maliyetlerinin ve düzeyinin optimum ilişkide olması için yapılması gerekenler, bu yayın bu konulara adanmıştır.

Giriş

Bilgi Güvenliği Faaliyetleri (IB) gelir getirmediği bilinmektedir, yardımlarıyla yalnızca olası olaylardan kaynaklanan hasarları azaltabilirsiniz. Bu nedenle, IB'nin uygun seviyelerde oluşturma ve sürdürme maliyetinin, Kuruluşun Bilgi Sistemi (IP) ile ilgili kuruluşun varlıklarının değerine geçmesi çok önemlidir. Mütü Bilgi ve Bilgi Sisteminin kategorizasyonu ve ayrıca kategorizasyon sonuçlarına dayalı güvenlik düzenleyicileri seçimi ile sağlanabilir.

Kategoriler Bilgileri I. bilgi sistemi

Bilgi güvenliği kategorileri ve bilgi sistemlerinin atanması, güvenlik ihlalleri tarafından uygulanabilecek hasar değerlendirmesine dayanmaktadır. Bu tür olaylar, buna emanet edilen görevlerin uygulanmasında organizasyona müdahale edebilir, varlıkları tehlikeye atar, Şirketi mevcut mevzuatın ihlal ettiği pozisyonuna getirin, günlük aktiviteler için bir tehdit oluşturun, personelini ortaya koymak. Güvenlik kategorileri, organizasyona tabi olan riskleri analiz etme sürecinde güvenlik açıkları ve tehditler hakkındaki verilerle birlikte kullanılır.

IB'nin üç ana yönü vardır:

kullanılabilirlik;
gizlilik;
bütünlük.

Genel olarak konuşursak, IB'nin ihlalleri bu yönlerin sadece bir kısmını etkileyebilir, ayrıca güvenlik düzenleyicileri bireysel yönler için spesifik olabilir. Bu nedenle, erişilebilirlik, gizlilik ve bütünlük bozuklukları için olası hasarı değerlendirmeniz önerilir ve gerekirse, ayrılmaz bir değerlendirme elde edebilirsiniz.

Hasar miktarı, üç seviyeli ölçeği değerlendirmek için uygundur. düşük, orta veya yüksek ().

Şekil 1. Bilgi güvenliği nedeniyle hasar değerlendirme ölçeği

Kuruluşun potansiyel hasarı, erişilebilirlik, gizlilik ve / veya bütünlük kaybı, kuruluşun faaliyetleri, varlıkları ve personeli üzerinde kötü niyetli bir etkiye sahip olması durumunda düşük olduğu tahmin edilmektedir. Sınırlı kötü niyetli etki:

kuruluş, kendisine atanan görevi yerine getirme yeteneğine sahip, ancak temel fonksiyonların etkinliği belirgin şekilde azalır;
kuruluşun varlıkları küçük hasar uygulanır;
organizasyon, küçük finansal kayıpları taşıyor;
İnsan kaynakları küçük hasar uygulandı.

Şirket için potansiyel hasar olduğu tahmin edilmektedir. ılımlıErişilebilirlik kaybı, gizlilik ve / veya bütünlüğün kaybı, kuruluşun, varlıklarının ve personelin faaliyetleri üzerinde ciddi bir kötü niyetli etkiye sahiptir. Kötü niyetli etkinin ciddiyeti şöyledir:

Şirket, kendisine atanan misyonu gerçekleştirebilme, ancak temel fonksiyonların etkinliği önemli ölçüde azaltılıyor;
kuruluşun varlıkları önemli hasara neden oldu;
Şirket önemli finansal kayıplar taşıyor;
personel, yaşam veya sağlık için bir tehdit oluşturmayan önemli zararlar uygulanır.

Kuruluşun potansiyel hasarı olarak değerlendirilir uzun boyluErişilebilirlik, gizlilik ve / veya bütünlük kaybı, organizasyon, varlıkları ve personeli üzerinde ağır ya da felaket, kötü niyetli bir etkiye sahiptir:

Şirket, temel işlevlerinin tümünü veya bazılarını gerçekleştirme yeteneğini kaybeder;
kuruluşun varlıkları büyük hasara neden olur;
organizasyon büyük finansal kayıplar taşıyor;
personel, yaşam veya sağlık için olası bir tehdit oluşturan ağır veya yıkıcı zarar uygulanır.

Kategoriler Hem kullanıcının hem de hem elektronik biçimde hem de "katı" bir kopya şeklinde sağlanan sistem bilgilerini. Açık bilgiler gizlilik kategorileri olmayabilir. Örneğin, kuruluşun kamuya erişilebilir bir web sunucusunda yer alan bilgiler gizlilik kategorilerine sahip değildir ve kullanılabilirlik ve bütünlüğü ılımlı olarak tahmin edilmektedir.

Bilgi sistemini sınıflandırırken, depolanan, işlenmiş ve bulaşan ortamların kategorileri ve varlıkların kendisinin değeri, yani. Her türlü bilgi ve varlıkta maksimum kategoriler alınır. İntegral bir değerlendirme elde etmek için, bilgi güvenliğinin ana yönleri için maksimum bir kategori almalısınız.

Minimum (temel) güvenlik gereksinimleri

Minimum (temel) güvenlik gereksinimleri, IP'ye atanan kategori hariç, genel olarak formüle edilmiştir. Temel bilgi güvenliğini soruyorlar, tüm bilgi sistemlerini tatmin etmeliler. Sınıflandırma sonuçları, güvenlik düzenleyicileri seçerken, riskler analizine dayanarak gereksinimlere uygunluk sağlar (Şekil 2).

Şekil 2. Bilgi Güvenlik Düzeyleri

Asgari güvenlik gereksinimleri (Şek. 3) İB'nin idari, prosedürü ve yazılım-teknik seviyelerini kapsar ve aşağıdaki gibi formüle edilir.

Şekil 3. Bilgi ve IP için temel güvenlik gereksinimleri.

Kuruluş, aşağıdaki şartların yerine getirilmesini ve politikaların ve prosedürlerin etkin bir şekilde uygulanmasını sağlamak için resmi bir güvenlik politikası ve resmi prosedürleri geliştirmeli, belgelendirmeli ve yayınlamalıdır.
Şirketin, kuruluşun, varlıklarının ve personelinin görevi, işleyişi, imajı ve itibarı için tehditlerin değerlendirilmesi de dahil olmak üzere, riski düzenli olarak değerlendirmesi gerekir. Bu tehditler, IC'nin çalışmasının bir sonucudur ve verilerin işlenmesi, depolanması ve aktarılmasıdır.
Şirkette sistem ve hizmet alımı ile ilgili olarak, gereklidir:
- yeterli IP koruması için yeterli kaynak tahsis edin;
- iB'nin gereksinimlerini dikkate almak için sistemlerin geliştirilmesinde;
- yazılımın kullanımını ve kurulumunu sınırlayın;
- dış servis sağlayıcılarının tahsis edilmesini, bilgileri, uygulamaları ve / veya hizmetleri korumak için yeterli kaynaklar sağlar.
Sertifika alanında, kuruluştaki akreditasyon ve güvenlik değerlendirmesi yapılmalıdır:
- güvenlik düzenleyicilerinin etkinliklerine güvenmesi için sürekli izlenmesi;
- etkinliklerini kontrol etmek için IP'de kullanılan güvenlik düzenleyicilerinin periyodik olarak değerlendirilmesi;
- eksiklikleri ortadan kaldırmak ve IP'ye güvenlik açıklarını azaltmak veya ortadan kaldırmak için bir planın geliştirilmesi ve uygulanması;
- iP'nin devreye alınması ve diğer bilgi sistemleriyle bağlantıları oluşturma yetkisi.
Çerçeve güvenliği alanında, gereklidir:
- sorumlu görevleri işgal eden yetkililerin güvenilirliğini (avukatın gücü) ve bu görevlerin güvenlik gereksinimlerine uyması;
- Çalışanların işten çıkarılması veya hareketi gibi disiplin faaliyetleri yaparken bilgi ve bilgi sisteminin korunmasını sağlamak;
- güvenlik politikalarına ve güvenlik prosedürlerine ilgili resmi yaptırımları uygulayın.
Organizasyon, çalışanı bilgilendirme ve eğitimi vermelidir:
- böylece, ICS'nin yöneticileri ve kullanıcıları, faaliyetleriyle ilgili riskleri ve ilgili yasalar, düzenlemeler, kurallar, standartlar, talimatlar ve benzerleri hakkında bilgi edinmesi;
- personelin bilgi güvenliği görevlerini yerine getirmek için uygun pratik eğitime sahip olması için.
Planlama alanında, güvenlik düzenleyicilerini (mevcut ve planlanan) ve personel davranış kurallarını IP'ye erişimiyle tanımlayan IP güvenlik planlarını geliştirmek, belgelendirmek, periyodik olarak değiştirmek ve uygulamak gerekir.
Şirkette kesintisiz çalışmaları planlamak için, acil durumlar kaynaklarını, yedekleme, kurtarma, kritik bilgi kaynaklarının kullanılabilirliğini ve acil durumlarda operasyonun sürekliliğini sağlamak için kazalardan sonra, kazalardan sonra kurtarmak, sürdürmek ve etkin bir şekilde uygulamak.
Bilgilendirme güvenliğine cevap açısından, kuruluş:
- olaylara cevap vermek için mevcut bir yapı oluşturun, yanlış hazırlık aktiviteleri, ihlallerin tanımlanması, analizi ve yerelleştirilmesi, olayların ertelemesinden sonra iyileşme ve kullanıcı aramalarının bakımı;
- kurumun ve yetkili kuruluşların uygun yetkililerine olaylar hakkında izleme, belgeleme ve raporlama sağlayın.
Fiziksel koruma amacıyla, kuruluş:
- İP, ekipman, üretim tesislerinde yalnızca yetkili personel için fiziksel erişim sağlamak;
- ekipmanı fiziksel olarak korumak ve IP altyapısını desteklemek;
- iP işlemi için uygun teknik koşulları sağlamak;
- iP'yi çevresel tehditlerden koruyun;
- iP'nin çalıştığı koşulların kontrolünü sağlamak;
- yetkili kullanıcılara, bu kullanıcıların adına hareket eden işlemlerin yanı sıra, izin verilen işlem ve işlevleri yerine getirmek için cihazların (diğer IP dahil) erişim sağlayarak erişim kontrolü sağlayın.
Günlük ve denetim sağlamak için gereklidir:
- yasadışı, yetkisiz veya uygunsuz bir faaliyetle ilgili raporları izlemenizi, analiz etmenizi, araştırmanıza ve hazırlamanıza izin veren kayıt günlüklerini oluşturun, koruyun ve sürdürün;
- bir IP'deki eylemlerin kullanıcının doğruluğu (kullanıcı hesap verebilirliği) ile izlenebilirliğini sağlamak.
Şirkette yapılandırma yönetimi açısından şunları takip eder:
- temel konfigürasyonları kurun ve bakımını yapın;
- ile ilgili olarak güncellenen bir OPIS (harita) var yaşam döngüsüekipman, yazılım ve belgeleri içeren;
- iP'de bulunan ürünlerde güvenlik araçlarını yapılandırmak için ayarların pratik uygulamasını takın ve sağlayın.
Tanımlama ve kimlik doğrulama alanında, IP kullanıcılarının kimliğini tanımlamak ve kimlik doğrulamak, kullanıcı adına etki eden işlemlerin yanı sıra, IP'ye erişim sağlamak için gerekli bir koşul olarak cihazların yanı sıra cihazlar da gereklidir.

Ek olarak, gereklidir:

Eşlik için:
- iP'nin periyodik ve zamanında bakımını yapın;
- destek taşıyan fonlar, yöntemler, mekanizmalar ve personel için etkili düzenleyicilerden emin olun.
Medyayı korumak için:
- dijital ve kağıt veri taşıyıcılarını koruyun;
- yalnızca yetkili kullanıcılar için medyadaki verilere erişim sağlayın;
- İşlemden önce veya yeniden kullanmaya aktarmadan önce Medyayı Sanue veya yok edin.
Sistemleri ve iletişimi korumak için:
- İP'nin dış ve anahtar iç sınırlarında iletişimi (yani, iletilen ve alınan veri) izleyin, izleyin ve koruyun;
- mevcut IP bilgi güvenliği seviyesini artıran mimari ve donanım-yazılım yaklaşımlarını uygulayın.
Sistemlerin ve verilerin bütünlüğünü sağlamak için:
- iP ve verilerin kusurlarını zamanında tanımlayın, raporlayın ve düzeltin;
- iP'yi kötü amaçlı yazılımlardan koruyun;
- güvenlik ihlalleri ve bilgi sistemi için yeni tehdit raporları ve onlara uygun şekilde tepki gösteren sinyalleri izleyin.

Güvenlik gereksinimlerini karşılamak için temel güvenlik düzenleyicileri kümesini seçin.

Güvenlik gereksinimlerinin uygulanması için bir önkoşul, ilgili güvenlik düzenleyicilerinin, yani ekonomik olarak haklı önlemlerin geliştirilmesi ve uygulanması, bunun, ekonomik olarak haklı önlemlerin geliştirilmesi ve uygulanmasıdır. Güvenlik düzenleyicileri, idari, prosedür ve yazılıma ve tekniklere ayrılır ve bilgi sisteminin kullanılabilirliğini, gizliliğini ve bütünlüğünü sağlamaya hizmet eder ve iletilen, saklanır ve iletilen veriler.

Güvenlik düzenleyicilerinin seçimi, veri ve bilgi sistemini sınıflandırma sonuçlarına dayanmaktadır. Ek olarak, güvenlik düzenleyicilerinin zaten uygulandığı ve belirli bir uygulama planlarının yanı sıra, mevcut düzenleyicilerin etkinliğine gerekli güven derecesinin olduğu dikkate alınmalıdır.

Gerekli IB seviyesi ile ilişkili önceden tanımlanmış temel kümelerden üretilen güvenlik düzenleyicilerinin yeterli seçimi basitleştirilebilir. Üç seviyeli bir ölçek kullanarak, asgari (düşük, temel), orta ve yüksek bilgi güvenliği için sırasıyla üç temel seti kullanın.

Minimum IB için güvenlik düzenleyicileri

Minimum bilgi güvenliğinde, aşağıdakileri uygulamak önerilir. İdari Güvenlik Düzenleyicileri.

Şekil 4. IB seviyelerine göre güvenlik düzenleyicileri

Risk değerlendirmesi: Politika ve prosedürler.
- yetkili yapılar arasında yönetimi, yönetim için koordinasyonu ve mevcut mevzuata uyumu olan amacını, kapsamını, rollerini, sorumluluklarını, yöneticilerini destekleyen resmi belgelenmiş risk değerlendirme politikası;
- politikaların ve ilgili risk değerlendirme düzenleyicilerinin uygulanmasına katkıda bulunan resmi belgelenmiş prosedürler.
Risk Değerlendirmesi: Güvenlik gereksinimleri için sınıflandırma. Veri ve bilgi sisteminin sınıflandırılması, kurulan kategoriler için gerekçeler de dahil olmak üzere sonuçların belgelendirilmesi; Belge Kılavuz tarafından onaylanmıştır.
Risk değerlendirmesi: Holding. Dış organizasyonların yönettiği kaynaklar da dahil olmak üzere, yetkisiz erişim, kullanım, kullanım, açıklama, bozukluklar, değişiklikler ve / veya veri ve / veya bilgi sisteminin imha edilmesinden kaynaklanan olası hasar.
Risk değerlendirmesi: Sonuçların gözden geçirilmesi. Risk değerlendirmesi sonuçlarının revizyonu, belirli bir frekansla veya IC veya destekleyici altyapındaki önemli değişikliklerden sonra veya güvenlik seviyesi düzeyini veya akreditasyon durumunu belirleyebilecek diğer olaylardan sonra gerçekleştirilir.
Güvenlik Planlama: Politika ve prosedürler.
- hedef, kapsam, rol, sorumluluklar, yönetim için destek, organizasyon yapılarında koordinasyonu ve mevcut mevzuata uyumu sunan resmi belgelenmiş güvenlik planlama politikası;
- politikaların uygulanmasına ve güvenlik planlama düzenleyicilerinin uygulanmasına katkıda bulunan resmi belgelenmiş prosedürler.
Güvenlik Planlaması: IP Güvenlik Planı. Bu gereklilikleri yerine getirmeye hizmet eden IP ve kullanılabilir ve planlanan güvenlik düzenleyicileri için güvenlik gereksinimlerini tanımlayan bir bilgi sistemi planı için geliştirme ve uygulama; Belge Kılavuz tarafından onaylanmıştır.
Güvenlik Planlama: IP Güvenlik Planını Değiştirme. Belirli bir frekansla, güvenlik planı revize edilir. Şirketteki değişiklikleri ve bilgi sisteminde ve planın uygulanmasında veya güvenlik düzenleyicilerini değerlendirirken tanımlanan değişiklikleri veya bilgi sisteminde değişiklik yapar.
Güvenlik Planlaması: Davranış Kuralları. Organizasyon, IC kullanıcılarının, bilgi ve bilgi sisteminin kullanımı ile ilgili olarak görevleri ve beklenen davranışı tanımlayan bir dizi kuralın dikkatini oluşturur ve iletişim kurar. IP ve bilgi kaynaklarına erişmeden önce, kullanıcılar öngörülen davranış kurallarını yerine getirmeyi, anladıklarını ve kabul ettikleri bir onay imzaladı.
Güvenlik Planlaması: Gizlilik Değerlendirmesi. Şirket gizlilik gereksinimlerinin değerlendirilmesine sahiptir.
Sistem ve Hizmetlerin Alınması: Politika ve Prosedürler.
- golü, kapsam, roller, sorumluluklar, yönetim için destek, örgütsel yapılar arasında koordinasyonu ve mevcut mevzuata uygunluğunu sunan, sistem ve hizmetlerin resmi belgelendirme politikası;
- politikaların uygulanmasına ve sistem ve hizmetlerin tedarik edilmesinin ilişkili düzenleyicilerinin uygulanmasına katkıda bulunan resmi belgelenmiş prosedürler.
Sistem ve Hizmetlerin Alınması: Kaynakların tahsisi. Şirkette bilgi sisteminin yeterli korunması için gerekli olan kaynakların tanımı, dokümantasyonu ve tahsisi, sermaye planlama ve yatırım yönetimi süreçlerinin bir parçasıdır.
Sistem ve Hizmetlerin Alınması: Yaşam döngüsü için destek. Örgüt, bilgi sistemini yönetir, yaşam döngüsünü desteklemek için metodolojiyi uygulama, bilgi güvenliğinin yönlerini dikkate alarak yönetir.
Sistem ve Hizmetlerin Alınması: Tedarik. Tedarik sözleşmeleri, risk değerlendirme sonuçlarına dayanarak gereksinimleri ve / veya güvenlik özelliklerini içerir.
Yetkili yetkililerin yetkili yetkililerinin bilgi sistemi ve bileşen parçaları üzerindeki yeterli belgelerin varlığını, korunmasını ve dağıtımını sağlamak gerekir.
Sistem ve Hizmetlerin Alınması: Yazılımın kullanımına ilişkin kısıtlamalar. Örgüt, yazılım kullanımında mevcut kısıtlamaların olmasını sağlar.
Sistem ve Hizmetlerin Alınması: Kullanıcılar tarafından yüklenen yazılım. Yazılım kullanıcılarının indirilmesi ve yüklenmesi konusunda açıkça formüle edilmiş kuralları uygulamak gerekir.
Sistem ve Hizmetlerin Alınması: Dış Kaynak Bilgi Hizmetleri. Bilgi hizmetleri sağlayan dış kuruluşların, mevcut mevzuat ve sözleşme koşullarını karşılayan yeterli güvenlik düzenleyicileri uygulanmasını ve ayrıca güvenlik düzenleyicilerinin yeterliliğini izlemesini sağlamak için gereklidir.
Sertifika, Akreditasyon ve Güvenlik Değerlendirmesi: Politika ve Prosedürler. Geliştirme, dağıtım, periyodik revizyon ve değişim:
- golü, kapsam, roller, sorumluluklar, yönetim için destek, örgütsel yapılar arasında koordinasyonu ve mevcut mevzuata uyumu içeren güvenlik, belgelendirme ve akreditasyonu değerlendirme politikası;
- politikaların uygulanmasına ve güvenlikle ilgili güvenlik değerlendirmelerinin, sertifikasyon ve akreditasyonun uygulanmasına katkıda bulunan resmi belgelenmiş prosedürler.
Sertifika, Akreditasyon ve Güvenlik Değerlendirmesi: Diğer IP ile bağlantılar. Bilgi sisteminin tüm bağlantılarının, akreditasyon sınırları dışındaki diğer IP'lerle ve bu bileşiklerin sürekli izlenmesi / kontrolünü; Sistemler arasında bileşikler oluşturma sözleşmesinin yetkili görevlilerinin imzalanması.
Örgüt, ICS'de kullanılan güvenlik düzenleyicilerinin bir değerlendirmesini yürütürler, ne kadar doğru şekilde uygulandıklarını kontrol etmek ve bilgi güvenliği gereksinimlerini yerine getirme açısından beklenen sonuçları elde etmek için işlevi görür.
Sertifika, Akreditasyon ve Güvenlik Değerlendirmesi: Olayların Takvim Planı. Organizasyon geliştirilmiştir ve belirli bir frekansta olayların bir takvim planı değişir. Güvenlik düzenleyicilerinin değerlendirilmesinde tanımlanan tüm eksiklikleri ortadan kaldırmayı ve iyi bilinen IP güvenlik açıklarını azaltma veya ortadan kaldırmayı amaçlayan planlanan, uygulanan ve değerlendirilen düzeltici eylemleri açıklar.
Sertifika, Akreditasyon ve Güvenlik Değerlendirmesi: Akreditasyon. Şirket, bilgi sisteminin girişini açıkça yetkilendirir (akreditasyonun akreditasyonunu gerçekleştirir) ve belirli bir frekansla, ancak üç yılda bir bir kereden az, yeniden akreditasyon yapar.
Sertifika, Akreditasyon ve Güvenlik Değerlendirmesi: Sabit İzleme. IP'de güvenlik düzenleyicilerinin sürekli izlenmesi.

Şekil 5. Gerekli güvenlik seviyesini korumak

usul güvenlik düzenleyicileri.

Personel Güvenliği: Politika ve prosedürler. Geliştirme, dağıtım, periyodik revizyon ve değişim:
- golü, kapsam, rol, sorumluluklar, yönetim için destek, organizasyon yapılarında koordinasyonu ve mevcut mevzuata uyumu içeren resmen belgelenmiş personel güvenlik politikası;
- politikaların hayatına katkıda bulunan resmi belgelenmiş prosedürler ve personel güvenliğinin düzenleyicilerini ilişkilendirir.
Personel Güvenliği: Mesajları sınıflandırıyor. Her pozisyonda, belirli bir risk seviyesi ilişkilidir ve bu yayınlar için adayların seçilmesi için kriterler belirlenir. Belirlenmiş risk seviyelerini revize etmek için belirli bir sıklıkta tavsiye edilir.
Personel Güvenliği: Personel Seçimi. Bilgi ve bilgi sistemine erişim sağlamadan önce, benzer erişime ihtiyaç duyan kişilerin bir kontrolü var.
Personel güvenliği: işten çıkarma. İşten çıkarılan çalışan IP'ye erişimi mahrum eder, son bir konuşma yapılır, anahtarlar, kimlik kartları, geçişler de dahil olmak üzere tüm devlet mülkünün teslimini kontrol edin ve ilgili yetkililerin görevden alınan çalışanların yarattığı resmi verilere erişebileceğine inanmaktadır. ve bilgi sisteminde saklanır.
Personel Güvenliği: Seyahat personeli. Bir çalışanı başka bir konuma getirirken, kuruluş, IP'ye erişim haklarını ve kendisine sağlanan kaynaklarına erişim haklarını revize eder ve yeni anahtarların, kimlik kartlarının, atlamaları, eski ve yeni sistem kurumu kapanması gibi uygun eylemler sunar. Hesapların yanı sıra erişim haklarının değişmesi.
Personel Güvenliği: Erişim Sözleşmeleri. Bilgi ve bilgi sistemine erişim sağlamadan önce, bu erişime ihtiyaç duyan bir çalışanın uygun anlaşmalarla (örneğin, bilgilerin açıklanmaması, IP'nin uygun şekilde kullanılması) ve davranış kuralları ile hazırlanır. Şirket, bu anlaşmaların taraflarca imzalanmasını sağlar ve belirli bir frekans ile onları revize eder.
Personel Güvenliği: Üçüncü taraf çalışanlar için güvenlik gereksinimleri. Organizasyon, roller ve sorumluluklar dahil olmak üzere, üçüncü taraf çalışanlara () güvenlik gereksinimlerini belirler ( servis Hizmetleri, Müteahhitler, geliştiriciler, bilgi hizmetleri ve sistem yönetimi hizmetleri ve ağları tedarikçileri) ve yeterli bir bilgi güvenliğinin üçüncü taraf organizasyonlarını sağlayan monitörler.
Personel Güvenliği: Yaptırımlar. Şirket, yerleşik güvenlik politikaları ve prosedürlerini ihlal eden çalışanların resmi bir ceza sürecini kullanır.
Fiziksel Koruma: Politika ve prosedürler. Gelişmiş, dağıtılmış, periyodik olarak revize edilmiş ve değişim:
- gol, kapsam, rol, sorumluluklar, yönetim için destek, örgütsel yapılar arasında koordinasyonu ve mevcut mevzuata uyumu sunan resmi belgelenmiş fiziksel koruma politikası;
- politikaların uygulanmasına ve fiziksel koruma düzenleyicilerinin uygulanmasına katkıda bulunan resmi belgelenmiş prosedürler.
Fiziksel Koruma: Fiziksel erişimin yetkilendirilmesi. Kuruluşlar, bilgilendirme sisteminin bileşenlerinin bulunduğu tesislere erişimi olan çalışanların listelerinin (resmi olarak halka açık olarak kabul edilen odalar hariç), ilgili sertifikaları (Bejj, Kimlik Kartları, Entelektüel) kartlar) verilir; Belirli bir frekansa sahip ilgili yetkililer revize ve listeleri ve sertifikaları onaylar.
Fiziksel Koruma: Fiziksel erişimin yönetilmesi. Bilgi sisteminin bileşenlerinin bulunduğu tesislerde resmi olarak özel giriş / çıkış noktaları da dahil olmak üzere fiziksel erişim noktalarını kontrol etmek gerekir (resmen halka açık olarak kabul edilen odalar hariç). Erişime izin vermeden önce hukuk yetkilileri tarafından kontrol edilmelidir. Ayrıca, tesislere erişim, risk değerlendirmesine uygun olarak resmi olarak halka açık olarak kabul edilir.
İhlalleri tanımlamak ve yanıt vermek için sisteme fiziksel erişim izlemek.
Bilgi sistemine fiziksel erişim, IC'nin bileşenlerinin bulunduğu tesislerin bulunmasına izin vermeden önce ziyaretçilerin kimlik doğrulaması ile izlenir (resmi olarak açık olarak kabul edilen odalar hariç).
Şirket, dergilerdeki ziyaret ziyaretlerini (resmen halka açık olarak adlandırılmak üzere), kaydedildikleri yerlerde desteklemiştir.
- soyadı, ziyaretçi adı ve organizasyon adı;
- ziyaretçinin imzası;
- gönderilen belgeler (tanımlama formu);
- tarih ve erişim süresi (giriş ve çıkış);
- ziyaret amacı;
- soyadı, ziyaret edilen kişinin adı ve örgütsel aittir; Belirli bir frekans görünümü ziyaret günlükleri ile ilgili yetkililer.
Fiziksel Koruma: Acil Aydınlatma. Şirketin, elektrik kesintilerine dahil olan ve acil durum çıktılarını ve tahliye yollarını kapsayan otomatik acil durum aydınlatma sistemlerini kullanması ve sürdürmesi gerekir.
Cihaz / yangın söndürme sistemleri ve yangın algılama sistemleri kullanılır.
Fiziksel Koruma: Sıcaklık kontrol araçları ve nem. IP bileşenleri içeren odalarda izin verilen sıcaklıklarda ve nemde izleme ve tutulur.
Su kaynağına zarar veren veya diğer nedenlerden dolayı, vinçlerin, örtüşen su ve ilgili yetkilileri bu vinçlerin konumu hakkında bilgi veren, su kaynağından kaynaklanan ve diğer nedenlerden dolayı diğer nedenlerden dolayı iP'yi korumak gerekir.
Fiziksel Koruma: Teslimat ve İhracat. Kuruluş, bilgi sisteminin bileşenlerinin (donanım ve yazılımın) teslimat ve ihracatı ile kontrol edilir ve bu bileşenlerin yeri ile ilgili bilgileri destekler.
Kesintisiz iş planlaması: Politika ve prosedürler. Gelişmiş, dağıtılmış, periyodik olarak revize edilmiş ve değişim:
- resmi, kapsam, rol, sorumlulukları, yönetim için destek, organizasyon yapılarında koordinasyonu ve mevcut mevzuata uyumu sunan resmi kesintisiz çalışma planlama politikası;
- politikanın hayatına ve kesintisiz iş düzenleyicilerine katkıda bulunan resmi belgelenmiş prosedürler.
Bilgi sisteminin kesintisiz çalışmasını, sorumlu yetkililerin rollerini, sorumluluklarını tanımlayan bir plan, temas koordinatlarını gösterir. Ek olarak, planın hasar ve kazalardan sonra IP'yi geri kazanırken gerçekleştirilen eylemler öngörülmüştür. İlgili yetkililer bu planı gözden geçirir ve onaylar ve kesintisiz çalışmalardan sorumlu çalışanların dikkatine sunar.
Kesintisiz İş Planlaması: Kesintisiz bir çalışma planını değiştirmek. Belirli bir frekansla, ancak yılda en az bir kez, kuruluş, bilgi sisteminin kesintisiz çalışmasını, IP veya kuruluşun yapısındaki değişiklikleri yansıtmak ve / veya uygulama sırasında tanımlanan sorunları ortadan kaldırmak için bir planı revize eder. ve / veya planın test edilmesi.
Belirli bir frekans ile yapılır destek olmak Bilgi sisteminde bulunan özel ve sistem verileri (IP durumundaki veriler dahil), yedek kopyalar düzgün bir şekilde yerleştirilmiş yerlerde saklanır.
Örgüt, hasar veya kazalardan sonra bilgi sistemini geri yüklemenizi sağlayan mekanizmalar ve destekleyici prosedürler kullanır.
Yapılandırma Yönetimi: Politika ve prosedürler. Gelişmiş, dağıtılmış, periyodik olarak revize edilmiş ve değişim:
- gol, kapsam, rol, sorumluluklar, yönetim için destek, organizasyon yapılarında koordinasyonu ve mevcut mevzuata uyumu içeren resmi belgelenmiş yapılandırma yönetimi politikası;
- politikaların ve ilgili yapılandırma kontrol düzenleyicilerinin uygulanmasına katkıda bulunan resmi belgelenmiş prosedürler.
Şirket, bilgi sisteminin mevcut temel konfigürasyonu, IP'nin envanter bileşenleri ve sahipleri hakkındaki karşılık gelen veriler tarafından geliştirilen, belgelenmiş ve desteklenir.
Şirkette:
- iP'de kullanılan bilgi teknolojilerinin ürünleri için onaylanmış zorunlu ayarlar;
- bilgi teknolojisi ürünleri için kurulum ayarları, operasyonel gerekliliklerle uyumlu en kısıtlayıcı modda kurulur;
- ayarlar belgelenmiştir;
- bilgi sisteminin tüm bileşenlerinin uygun ayarları sağlanmıştır.
- Destek: Politika ve prosedürler. Gelişmiş, dağıtılmış, periyodik olarak revize edilmiş ve değişim:
- hedef, kapsam, rol, sorumluluklar, yönetim için destek, organizasyon yapılarında koordinasyonu ve mevcut mevzuata uyumu içeren resmi belgelenmiş eşlik politikası;
- politikaların ve ilgili destek düzenleyicilerinin uygulanmasına katkıda bulunan resmi belgelenmiş prosedürler.
Bilgi sisteminin bileşenlerinin günlük, önleyici ve düzenli desteğinin planlanması, uygulanması ve dokümantasyonu, üretici veya tedarikçi ve / veya organizasyonel gereksinimlere uygun olarak.
Örgüt, eşlik eden ve teşhis faaliyetlerini uzaktan uygular, kontrol eder ve izler.
Escort: Eşlik personeli. Bilgi sistemine eşlik etme yetkisine sahip kişilerin bir listesini korumak gerekir. Yalnızca yetkili personel IP desteği gerçekleştirir.
Sistemlerin ve verilerin bütünlüğü: Politikalar ve prosedürler. Geliştirme, dağıtım, periyodik revizyon ve değişim:
- gol, kapsam, rol, sorumluluklar, yönetim için destek, organizasyon yapılarında koordinasyonu ve mevcut mevzuata uygunluğunu sunan, sistem ve verilerin resmi olarak belgelendirilmiş bütünlük politikaları;
- politikaların uygulanmasına ve sistem ve verilerin ilişkili bütünlük düzenleyicilerinin uygulanmasına katkıda bulunan resmi belgelenmiş prosedürler.
Sistemlerin ve verilerin bütünlüğü: kusurların ortadan kaldırılması. Bilgi sistemi kusurlarının tanımlanması, onları bilgilendirir ve düzeltmeyi.
Şirket, otomatik güncellemeler de dahil olmak üzere, kötü amaçlı yazılımlara karşı bilgi sistemi korumasında uygulanmaktadır.
Sistemlerin ve verilerin bütünlüğü: güvenlik ihlalleri ve yeni tehdit raporları hakkında sinyaller. Güvenlik ihlalleri ve IP için yeni tehdit raporları ile ilgili sinyalleri düzenli olarak takip etmek gerekir, onları uygun yetkililerin dikkatine getirin ve uygun şekilde onlara tepki verir.
Medyanın Korunması: Politika ve Prosedürler. Geliştirme, dağıtım, periyodik revizyon ve değişim:
- amaç, kapsam, roller, sorumluluklar, yönetim için destek, örgütsel yapılar arasında koordinasyonu ve mevcut mevzuata uyumu sunan resmi belgelenmiş medya koruma politikası;
- politikaların ve ilişkili taşıyıcı koruma düzenleyicilerinin hayatına katkıda bulunan resmi belgelenmiş prosedürler.
Sadece yetkili kullanıcıların bilgilere erişimi olmasını sağlamak için gereklidir. baskı formu Veya bilgi sisteminden ele geçirilen dijital ortamda.
Medyanın Korunması: Sanation ve Çıktı. Organizasyon:
- yeniden kullanım için işlem veya iletimden önce ortam (hem kağıt hem de dijital) sanges;
- taşıyıcıların rehabilitasyonundaki etkinliği izler, belgeler ve doğrular;
- doğru olduklarından emin olmak için geniş ekipman ve prosedürleri periyodik olarak test eder.
Bilgi güvenliği ihlallerine cevap vermek: Politikalar ve prosedürler. Geliştirme, dağıtım, periyodik revizyon ve değişim:
- gol, kapsam, rol, sorumluluklar, yönetim için destek, organizasyon yapılarında koordinasyonu ve mevcut mevzuata uyumu olan bilgilendirme güvenlik ihlali için resmi belgelenmiş yanıt politikası;
- politikaların uygulanmasına katkıda bulunan resmi belgelenmiş prosedürler ve bilgi güvenliği ihlallerine yanıt düzenleyicilerini ilişkilendirir.
Şirket, eğitim, tanımlama ve analiz, yerelleştirme, etkinin ve restorasyondan sonra ihlallerden sonra restorasyonların tasfiyesi dahil olmak üzere bilgi güvenliği (müdahale grubu) ihlallerine cevap vermek için yapıları oluşturur.
IB'nin ihlalleri hakkında yetkili yetkililerin dikkatine zamanında bilgi vermek gerekir.
IB ihlallerine cevap verirken ve onlar hakkında raporlar verilirken tavsiyeler vermek ve IP kullanıcılarına yardımcı olmak için bir yapının oluşumu; Bu yapı, yanıt grubunun ayrılmaz bir parçasıdır.
Bilgilendirme ve Öğrenme: Politika ve prosedürler. Geliştirme, dağıtım, periyodik revizyon ve değişim:
- resmi, hedefin, kapsamın, rollerin, görevlerin, yönetim için destek, örgütsel yapılar arasında koordinasyonu ve mevcut mevzuata uygunluğun koordinasyonunu bilgilendirme ve öğrenme politikası;
- resmi belgelenmiş prosedürler, politikaların uygulanmasına ve çalışanların bilgilendirme ve eğitmenlik düzenleyicilerini ilişkilendirme.
Bilgilendirme ve eğitim: IB problemleri hakkında bilgi vermek. Yöneticiler de dahil olmak üzere tüm kullanıcıların IB hakkında temel bilgiler yapması sağlanmalıdır, bu kullanıcılar IP'ye erişim sağlanmayacaktı; Bu tür bilgiler belirli bir frekansla devam etmeye devam etmeli, ancak yılda bir kez daha az olmamalıdır.
Bilgilendirme ve Öğrenme: IB eğitimi. IP'nin bilgi güvenliğini sağlamak için önemli bir rol oynayan ve sorumlu sorumluluk sahibi olan yetkilileri tanımlamak gerekir, bu rolleri ve yükümlülükleri belgeleyin ve bunları IP'ye erişim sağlamadan önce bu kişilerin uygun eğitimini sağlar. Böyle bir öğrenme, belirli bir frekansla daha da devam etmelidir.
Bilgi ve Öğretim: IB Eğitim Eğitiminin Belgelendirilmesi. Şirket, IP'ye özgü tanıtım kursu ve kurslar da dahil olmak üzere her IB çalışanın eğitim sürecini belgelemiştir ve izler.
Bilgilendirme ve öğretim: Bilgi güvenliği grupları ve birlikteli bağlantıları. Bilgi güvenliği konusunda uzmanlaşmış gruplar, forumlar ve derneklerle iletişim kurmanın ve sürdürülmesi tavsiye edilir. Gelişmiş koruyucu ekipman, yöntem ve teknolojilerin mevcut durumunun farkında olmak.

Minimum bilgi güvenliği seviyesinde, aşağıdakileri uygulamak önerilir. yazılım ve Teknik Güvenlik Düzenleyicileri.

Tanımlama ve kimlik doğrulama: Politika ve prosedürler. Geliştirme, dağıtım, periyodik revizyon ve değişim:
- amaç, kapsam, roller, sorumluluklar, destek yönetimi, örgütsel yapılar arasında koordinasyonu ve mevcut mevzuata uygunluk olan resmi belgelenmiş tanımlama ve kimlik doğrulama politikası;
- politikaların ve ilişkili kimlik tanımlamalarına ve kimlik doğrulama düzenleyicilerinin uygulanmasına katkıda bulunan resmi belgelenmiş prosedürler.
Bilgi sistemi, kullanıcıları açıkça tanımlar ve kimlik doğrular (veya kullanıcı adında hareket eden işlemler).
Tanımlama ve kimlik doğrulama: tanımlayıcıları yönetme. Kuruluş, kullanıcı tanımlayıcıları yönetir:
- her kullanıcının benzersiz tanımlanması;
- her kullanıcının tanımlayıcısının doğrulanması;
- yetkili yetkililerden kullanıcı kimliğinin serbest bırakılmasına kadar resmi bir yaptırım elde etmek;
- İstenilen kullanıcı için tanımlayıcı çıkış sağlanması;
- belirli bir etkinlik süresinden sonra kullanıcı kimliğinin sonlandırılması;
- kullanıcı tanımlayıcılarını arşivleme.
Tanımlama ve kimlik doğrulama: Yönetimi doğrula. Şirket, bilgi sisteminde (belirteçler, kamusal anahtar altyapısındaki sertifikalar, biyometrik veriler, şifreler, anahtar kartlar vb.)
- doğrulamacıların ilk içeriğinin tanımları;
- kimlik doğrulamacılarının ilk dağılımı için idari prosedürlerin düzenlenmesi, kaybolan, tehlikeye giren veya hasar görmüş kimyalatacıların yanı sıra doğrulamacı incelemeleri;
- bilgi sistemini yükledikten sonra ima edilen kimyalatçılarda değişiklikler.
Kimlik ve kimlik doğrulama: Kimlik doğrulama referansı. Bilgi sistemi, bu bilgiyi yetkisiz kişilerce olası kullanımdan korumak için kimlik doğrulama işleminin yankı-ekranını gizler.
Tanımlama ve Kimlik Doğrulama: Şifreleme modüllerine göre kimlik doğrulaması. Şifreleme modüllerine göre kimlik doğrulaması için, bilgi sistemi bu tür modüllerdeki standartların gereksinimlerini karşılayan yöntemler uygulanır.
Erişim Kontrolü: Politika ve Prosedürler. Geliştirme, dağıtım, periyodik revizyon ve değişim:
- gol, kapsam, roller, sorumluluklar, yönetim için destek, organizasyon yapılarında koordinasyonu ve mevcut mevzuata uyumu sunan resmi belgelenmiş erişim kontrol politikası;
- politikaların ve ilgili erişim kontrolü düzenleyicilerinin uygulanmasına katkıda bulunan resmi belgelenmiş prosedürler.
Organizasyon, oluşturma, aktivasyon, modifikasyon, revizyon (belirli bir frekansla), bağlantı kesme ve çıkarılması da dahil olmak üzere bilgi sistemindeki hesapları yönetir.
Bilgi sistemi, ilgili politikalara uygun olarak sisteme erişimi yönetmek için ayrıcalıkları uygular.
Erişim Kontrolü: Başarısız giriş girişimleri. Bilgi sistemi, kullanıcılardan belirli bir süre için erişme girişimlerinin sayısının, belirli bir süre için otomatik olarak kilitlenmesi veya belirli bir algoritmayı geciktirmeyi, maksimum bir zamana davet vermek için belirli bir algoritmayı otomatik olarak kilitlemek için belirlenmiş bir sınırı uygular. İzin verilen sayıda başarısız girişimde bulunulur.
Erişim Kontrolü: UYARI Sistemi kullanmak için. Bilgi sistemi, kendisine erişim sağlamadan önce sistemin kullanımında resmi olarak onaylanmış bir uyarı mesajı görüntüler, potansiyel kullanıcıları bilgilendirir:
- organizasyonel aksesuar sistemi hakkında;
- sistemin kullanımının olası izleme, kayıt ve denetiminde;
- yAN VEYA HAKKINDA, sistemin yetkisiz kullanımı için olası ceza;
- sistem kullanımı durumunda izleme ve giriş yaparak kullanıcının izniyle; Bir uyarı mesajı, kullanıcı IP'ye girmek için kullanıcının açık eylemleri almasına kadar uygun güvenlik politikası hükümlerini ve ekranda kalır.
Erişim Kontrolü: Denetleme ve Görüntüleme. Örgüt, IC'de bulunan erişim düzenleyicilerinin uygulanması ve kullanılmasıyla ilgili kullanıcıların eylemlerini denetler ve kontrol eder.
Erişim Kontrolü: Tanımlama ve kimlik doğrulama olmadan izin verilen eylemler. Bilgi sisteminde tanımlanması ve kimlik doğrulaması olmadan yapılabilecek belirli eylemlerin tanımlanması.
IP'ye her türlü uzaktan erişim türlerini (örneğin, modem girişleri veya internet üzerinden) dahil olmak üzere belgelendirmek, izleme ve kontrol etme uzaktan erişim Tercih edilen eylemleri gerçekleştirmek; İlgili yetkililer, her bir uzaktan erişim türünün kullanımını yetkilendirir ve yalnızca ihtiyaç duyduğu kullanıcıları uygulamak için yetkilendirin.
Organizasyon:
- kullanım hakkında kısıtlamalar oluşturur ve kablosuz teknolojilerin uygulanmasını yönetir;
- iP'ye kablosuz erişim belgeleri, monitörleri ve kontrolleri; İlgili yetkililer kablosuz teknolojilerin kullanımına izin verir.
Erişim Kontrolü: Kişisel Bilgi Sistemleri. Üretim bilgilerinin işlenmesi, depolanması ve iletilmesi de dahil olmak üzere üretim ihtiyaçları için kişisel bilgi sistemlerinin uygulanmasını kısıtlamak.
Kayıt ve denetim: politika ve prosedürler. Geliştirme, dağıtım, periyodik revizyon ve değişim:
- pROTOKOL VE DENETİMİN BELGELENDİRİLMİŞ PROTOKOL VE GÖRÜNTÜLENDİRİLMİŞ PROTOKOL VE YÖNETİMİ HEDEFİ, ORGANİZASYON İŞLETMELERİNDEKİ KOORDİNASYONU VE Mevcut Mevzuata Uyum;
- politikaların ve ilişkili kayıt düzenleyicilerinin ve denetimin uygulanmasına katkıda bulunan resmi belgelenmiş prosedürler.
Günlükleme ve Denetim: Olaylar Olayları. Bilgi sistemi, belirtilen olaylar için kayıt kayıtları oluşturur.
Bilgi sistemi, etkinliğin sonucu olan olayın kaynağıydı, hangi etkinliğin olduğunu belirlemek için kayıt kayıtlarında yeterince bilgi kazandırır.
Kayıt ve Denetim: Kayıt bilgilerini depolamak için kaynaklar. Kayıt bilgilerini depolamak için yeterli miktarda kaynağı vurgulamak ve bu kaynakların yorgunluğunu önlemek için kayıt kaydını yapılandırmanız gerekir.
Bilgi kaynaklarının kaydedilmesinin kaydedilmesinin veya tükenmesinin başarısız olması durumunda, bilgi sistemi ilgili yetkilileri uyarır ve verilen ek eylemleri alıyor.
Kayıt ve Denetim: Kayıt Bilgi Koruması. Bilgi sistemi, yetkisiz erişim, modifikasyonlar ve kaldırma işleminden kayıt bilgilerini ve kayıt işlemlerini / denetimi araçlarını korur.
Kayıt ve Denetim: Kayıt bilgilerini kaydetme. Kayıt bilgileri, önceki bilgi güvenliği ihlallerinin araştırılmalarının desteklenmesini ve mevcut mevzuatın gereksinimlerinin ve bilgi tasarrufu için örgütsel gerekliliklerin gereksinimlerinin yerine getirilmesini sağlamak için belirli bir süre için saklanmalıdır.
Sistemlerin ve iletişimin korunması: politika ve prosedürler. Geliştirme, dağıtım, periyodik revizyon ve değişim:
- yeterlilik yapılarını ve mevcut mevzuata uyumu olan hedefi, kapsam, roller, sorumluluklar, yönetimi desteklemek, yönetmek için koordinasyonun ve mevcut mevzuata uygunluğunu sunan yetkili sistem ve iletişim politikası.
- politikaların uygulanmasına katkıda bulunan ve sistem ve iletişimin korunma düzenleyicilerini ilişkilendiren resmi belgelenmiş prosedürler.
Sistemlerin ve iletişimin korunması: Erişilebilirlik saldırılarına karşı koruma. Bilgi sistemi, belirtilen türlerin kullanılabilirliğine ilişkin saldırılara karşı korur veya etkilerini sınırlar.
Bilgi sistemi, IP'nin dış ve anahtar iç sınırları hakkındaki iletişimleri izler ve kontrol eder.
Sistemlerin ve iletişimin korunması: Basılı şifreleme kullanımı. Bilgi sistemi geçerli olursa Şifreleme ürünleriMevcut mevzuatın, teknik düzenlemelerin, standartların, kılavuz ve düzenleyici belgelerin, sektörel ve organizasyonel standartların gereklerini yerine getirmelidirler.
Sistemlerin ve iletişimin korunması: halka açık sistemlerin korunması. Bilgi sistemi, halka açık sistemler için veri ve uygulamaların bütünlüğünü sağlar.

Orta IB için ek ve takviyeli güvenlik düzenleyicileri

Orta derecede bir bilgi güvenliği seviyesi için, aşağıdaki ek ve güçlendirilmiş (minimum seviye ile karşılaştırıldığında) güvenlik düzenleyicilerinin uygulanması önerilir.

Belirli bir frekansla veya IP güvenlik açıkları için yeni kritik bilgilerin ortaya çıkmasından sonra, bilgi sisteminde güvenlik açıklarını taramanız gerekir.
Güvenlik Planlaması: Güvenlik Planlaması. Kuruluşun çalışma ve varlıkları üzerindeki olumsuz etkiyi en aza indirmek için güvenlik ile ilgili faaliyetlerin uygun planlamasını ve koordinasyonunu sağlamak (misyonu, işlevleri, imaj ve itibarı dahil).
Sistem ve Hizmetlerin Alınması: Belgeler. Genel belge paketine dahil etmeniz gerekir, bilgi sisteminde yer alan güvenlik düzenleyicilerinin işlevsel özelliklerini açıklayan (varsa), üretici / tedarikçinin belgeleri (varsa), bilgi sisteminde yer alan güvenlik düzenleyicilerinin işlevsel özelliklerini tanımlamak ve düzenleyicileri analiz etmeyi ve test etmeyi mümkün kılmak için oldukça ayrıntılıdır.
Sistem ve Hizmetlerin Alınması: Bilgi Güvenliği Tasarımının İlkeleri. Bilgi sisteminin tasarım ve uygulanması, bilgi güvenliği tasarımının ilkeleri kullanılarak gerçekleştirilir.
Sistem ve Hizmetlerin Alınması: Geliştirici tarafından güvenlik testi. Bilgi sisteminin geliştiricisi, bir test oluşturur ve güvenlik değerlendirme planı onu uygular ve belge sonuçları; İkincisi, güvenlik gereksinimleri ve verilen IP'nin akreditasyonu için sertifikayı desteklemek için kullanılabilir.
Sertifika, Akreditasyon ve Güvenlik Değerlendirmesi: Güvenlik Değerlendirmesi. Belirli bir frekansla, ancak yılda en az bir kez, ne kadar doğru uygulandıklarını, spesifikasyonlara uygun olarak işlev gördüğünü belirlemek ve yerine getirilmesinin bakış açısından beklenen sonuçlar vermek için bilgi sistemindeki güvenlik düzenleyicilerinin değerlendirilmesi önerilir. Bilgi Güvenliği Gereksinimleri.
Sertifika, Akreditasyon ve Güvenlik Değerlendirmesi: Güvenlik Sertifikası. Güvenlik Düzenleyicilerinin Bilgi Sistemindeki Güvenlik Gereksinimleri ile Bilgi Sisteminde Değerlendirilmesi Bağımsız Sertifikalı Bir Kuruluş tarafından gerçekleştirilir.
Fiziksel Koruma: Bilgi görüntüleme cihazlarına erişim kontrolü. İkincisi yetkisiz kişiler tarafından izlemekten korumak için bilgi görüntüleme cihazlarına fiziksel erişimin kontrolü.
Fiziksel Koruma: Fiziksel erişimin izlenmesi. Gerçek zamanlı gelecek işgali sinyalleri ve izleme cihazlarından elde edilen veriler izlenir.
Fiziksel Koruma: Ziyaretçiler izlemesi. Ziyaretçilerin bakımını sağlamak ve gerekirse faaliyetlerini izlemek.
Fiziksel koruma: Elektrikli ekipman ve kablolama. Elektrik donatımın korunması ve bilgi sistemi için kablolama hasar ve imha.
Fiziksel Koruma: Acil Kapatma. Bilgi sistemi kaynaklarının konsantre olduğu bazı odalarda (veri merkezleri, sunucu odaları, ana bilgisayarlar için makine odaları, vb.), Gücü herhangi bir reddetme için kapatma olasılığını sağlamak için gereklidir (örneğin, kısa devre) Veya nesli tükenmekte olan (örneğin, su kaynağının kırılması nedeniyle), IP'nin bileşeni, ekipmana erişim ile ilişkili tehlike personelini açığa çıkarmadan.
Ana güç kaynağı durumunda bilgi sistemini dikkatlice kapatmanıza izin vermek için kısa vadeli kesintisiz güç kaynakları sağlamak.
Fiziksel Koruma: Yangından korunma. Cihazların / yangın söndürme sistemlerini uygulamak ve sürdürmek ve otomatik olarak ateşe giren yangınları tespit etmek gerekir.
Fiziksel Koruma: Yedek Üretim Oyun Alanı. Yedek üretim platformunda kuruluşun çalışanları IP için uygun güvenlik düzenleyicileri kullanır.
Fiziksel Koruma: Bilgi Sistemi Bileşenlerinin Konumu. Bilgi sisteminin bileşenleri, fiziksel risklerden ve çevreden gelen fiziksel risklerden ve tehditlerden kaynaklanan potansiyel hasarı ve yetkisiz erişim imkanı olasılığını en aza indirgemek için belirlenmiş alanlara yerleştirilmelidir.
Kesintisiz İş Planlaması: Kesintisiz çalışma planı. Organizasyon, ilgili planlardan sorumlu yapılarla kesintisiz bir çalışma planının gelişimini koordine eder (örneğin, kazalardan sonraki kurtarma planları, güvenlik bozukluklarına cevap veriyor, vb.).
Şirket, bilgi sisteminin sorunsuz bir şekilde çalışmasını sağlamak için rolleri ve sorumluluklarının yanı sıra verilen bir frekansın, ancak yılda bir kereden daha az olmadığından, pratik becerileri korumak için antrenmanlar düzenlenir.
Belirli bir frekansla, ancak yılda en az bir kez, kuruluş, bilgi sisteminin kesintisiz çalışması için bir planla test edilir. Bunun için, planın etkinliğini ve kuruluşun uygulanmasına hazır olduğunu belirlemek için belirtilen testler ve eğitim prosedürleri uygulanır. Uygun yetkililer, plan testinin sonuçlarını kontrol eder ve düzeltici eylemler başlatır. Kuruluş, ilgili planlardan sorumlu yapılarla kesintisiz bir çalışma planının test edilmesini koordine eder (örneğin, kazalardan sonraki kurtarma planları, güvenlik bozukluklarına cevap veriyor vb.).
Boş bir depolama yeri tanımlamak ve bilgi sistemi verilerinin yedekleme verilerini saklamayı mümkün kılmak için gerekli anlaşmaları sonlandırmanız gerekir; Yedek depolama, aynı tehlikelerle maruz bırakmamak için yerel olarak ana şeyden silinmelidir.
Yedek veri işleme belirlenir ve temel veri işleme araçları erişilemiyorsa, eleştirel üretim işlevlerinin belirli bir süre için belirli bir süre için bilgi sisteminin devam etmesini mümkün kılmak için gerekli anlaşmalar başlatılır. Veri işlemlerinin yedek yeri, coğrafi olarak ana ve bu nedenle aynı tehlikelere maruz kalmaz. Büyük ölçekli kazalar veya doğal afetler durumunda yedek veri işleme erişimine sahip olası sorunlar belirlenir, tanımlanmış sorunları azaltmak için açık eylemler planlanıyor. Yedek veri işleme yeri üzerindeki anlaşması, erişilebilirlik kuruluşunun gerekliliklerine uygun olarak öncelikli bir hizmet taahhüdü içerir.
Bilgi sistemini destekleyen telekomünikasyon hizmetlerinin ana ve yedek kaynakları belirlenir. Ana telekomünikasyon hizmetlerinin ana kaynağı varsa, belirli bir süre boyunca kritik-önemli üretim fonksiyonlarının bilgi sisteminin belirlenmesini mümkün kılmak için gerekli anlaşmalar başlatılır. Telekomünikasyon hizmetlerinin ana ve rezerv kaynakları, erişilebilirlik kuruluşunun gerekliliklerine uygun olarak öncelik hizmetleri yükümlülükleri içermektedir. Bir telekomünikasyon hizmetlerinin yedek kaynağı, ana kaynağa tek bir reddetme noktasını paylaşmaz.
Kesintisiz iş planlaması: Yedekleme. Kuruluşta verilen bir frekansla, yedeklemeler, gemilerin ve verilerin bütünlüğünün test edildiğinden emin olmak için test edilmiştir.
Yapılandırma Yönetimi: Bilgi sisteminin temel yapılandırması ve envanter bileşenleri. Yeni bileşenler kurarken, bilgi sisteminin ve OPEV bileşenlerinin temel konfigürasyonu değiştirilir.
Bilgi sisteminde belge ve kontrollü değişiklikler; İlgili yetkililer, kabul edilen politika ve prosedürlere uygun olarak IP değişikliklerine izin verir.
Yapılandırma Yönetimi: Yapılandırma İzleme. Bilgi sistemindeki değişiklikleri izlemek ve değişikliklerin etkisini belirlemek için güvenlik etkilerini analiz etmek gerekir.
Kuruluş, bilgi sistemindeki değişikliklerle ilişkili erişim hakkındaki fiziksel ve mantıksal kısıtlamaları uygular ve tüm bu değişiklikleri yansıtan kayıtları oluşturur, kaydeder ve revize eder.
Bilgi sistemini yalnızca gerekli yetenekleri sağlamak için yapılandırmanız ve belirli işlevler, bağlantı noktalarının, protokollerin ve / veya hizmetlerin kullanımını açıkça yasaklayacak ve / veya sınırlandıracak şekilde yapılandırmalısınız.
Destek: Periyodik destek. Bir Kayıt Günlüğü, bilgi sistemi desteği girişi tarafından desteklenir:
- hizmetin tarihi ve saati;
- soyadı ve hizmeti veren kişinin adı;
- soyadı ve gerekirse eşlik eden adın adı;
- iP Bakımı işlemlerinin bir açıklaması;
- uzaktan veya yerinden edilmiş ekipmanların listesi (tanımlama numaraları ile).
Kuruluş, bilgi sistemini destekleme araçlarının kullanımını yetkilendirir, kontrol eder ve izler.
Bakım: Zamanında servis. Örgüt, belirli bir süre için bilgi sisteminin temel bileşenleri için bakım ve yedek parçalar alır.
Sistemlerin ve verilerin bütünlüğü: kötü amaçlı yazılımlara karşı koruma. Kötü amaçlı yazılımlara karşı koruma için merkezi yönetim mekanizmaları.
Sistemlerin ve verilerin bütünlüğü: bilgi sisteminin izlenmesi için araçlar ve yöntemler. Bilgi sisteminde olayların izlenmesi için araçların ve yöntemlerin uygulanması, saldırıları belirleme ve İzinsiz IP kullanımının tanımlanması.
Bilgi sistemi spam koruması ile uygulanır.
Sistemlerin ve verilerin bütünlüğü: veri girişi kısıtlamaları. Kuruluş, bilgi sistemine yalnızca yetkili kişilere veri girme hakkını sağlar.
Sistemlerin ve verilerin bütünlüğü: verilerin doğruluğu, eksiksizliği, doğruluğu ve orijinalliği. Bilgi sistemi doğruluk, eksiksizlik, doğruluk ve özgünlük hakkındaki verileri kontrol eder.
Sistemlerin ve verilerin bütünlüğü: Hata işlemesi. Bilgi sistemi açıkça hatalı durumları açıklar ve işler.
Sistemlerin ve verilerin bütünlüğü: işlem ve tasarruf çıkışı. Bilgi sisteminin çıktısı, kabul edilen politikalara ve operasyonel gerekliliklere uygun olarak işlenir ve devam eder.
Medyanın Korunması: Taşıyıcıların etiketleri. Çıkarılabilir veri ortamı ve IP çıkışı, bu verilerin dağıtımı ve işlenmesi üzerine kısıtlamaları içeren harici işaretlerle birlikte verilir; Belirtilen taşıyıcılar veya donanım bileşenleri türleri, kontrol edilen bölgenin sınırları dahilinde kaldıkları için etiketlerden muaftır.
Medyanın Korunması: Medya Depolama. Taşıyıcıya kaydedilen verilere atanan maksimum kategoriye dayanan veri taşıyıcılarının, kağıtların ve dijitallerin fiziksel izlenmesi ve güvenli depolanması.
Medyanın Korunması: Medya Taşımacılığı. Veri taşıyıcılarının kontrolü, kağıt ve dijital ve medyanın yetkili kişilere gönderme, alma, taşıma ve teslim alma kısıtlamasını kontrol edin.
Şirket, çalışanları, IP bilgi güvenliğinin ihlallerine ve belirli bir frekansla yanıt vermesiyle ilişkili rol ve görevlerini öğretir, ancak yılda bir kez daha az olmayan, pratik becerileri korumak için eğitim yürütmektedir.
Belirli bir frekansla, ancak yılda en az bir kez, IP'nin bilgilendirme güvenliğine cevap vermenin test yolu test edilirken, belirtilen testler ve eğitim prosedürleri yanıt verimliliğini belirlemek için kullanılır. Sonuçlar belgelenmiştir.
Bilgi Güvenliği İhlallerine Yanıt: Yanıt. Bilgi güvenliği için yanıt işlemini desteklemek için, otomatik mekanizmalar uygulanır.
Bilgi güvenliği ihlallerini sürekli izlemek ve belgelemek gerekir.
Bilgi güvenliğinin ihlallerine cevap vermek: ihlallerle ilgili raporlar. Bilgi güvenliği ihlalleri raporlarını kolaylaştırmak için otomatik mekanizmaların kullanımı.
Bilgi Güvenliği İhlallerine Yanıt: Yardım. Bilgi güvenliğine cevap verme ile ilgili bilgi ve desteğin kullanılabilirliğini artırmak için otomatik mekanizmaların kullanılması.
Tanımlama ve kimlik doğrulama: Cihazların tanımlanması ve kimlik doğrulaması. Bilgi sistemi, bağlantıyı onlarla takmadan önce belirli cihazları tanımlar ve doğrular.
Erişim Kontrolü: Hesap Yönetimi. Bilgi sisteminde hesap yönetimini desteklemek için otomatik mekanizmaların uygulanması; Bilgi sistemi, her zaman aralıkları için belirtilen süre sonra geçici ve acil durum hesaplarını otomatik olarak sonlandırır; Bilgi sistemi, belirli bir süre sonra etkin olmayan hesapları otomatik olarak devre dışı bırakır.
Erişim Kontrolü: Taşımak. Bilgi sistemi, güvenlik fonksiyonlarına erişimin (donanım ve / veya programlı olarak uygulandığı) ve koruyucu verilerin yalnızca yetkili kişilere (örneğin, güvenlik yöneticileri) sağlanmasını sağlar.
Erişim Kontrolü: Bilgi Akış Yönetimi Uygulaması. Bilgi sistemi, sistemdeki bilgileri ve bağlantılı güvenlik politikasına uygun olarak birbirine bağlı sistemler arasında yönetme ayrıcalıklarını uygular.
Erişim Kontrolü: Görevler Ayrımı. Bilgi sistemi, erişim ayrıcalıklarını atayarak sorumlulukların ayrılmasını uygular.
Erişim Kontrolü: Ayrıcalıkları en aza indirin. Bilgi sistemi, kullanıcıların (veya bu kullanıcıların adına hareket eden işlemlerin) görevlerini yerine getirmesi için gereken en kısıtlayıcı haklar / erişim imtiyazlarını uygular.
Erişim Kontrolü: Oturum Engelleme. Bilgi sistemi, kullanıcı, uygun kimlik ve kimlik doğrulama prosedürlerini uygulayarak erişimi geri kazanıncaya kadar oturumu engelleyerek IC'ye daha fazla erişimi önler.
Erişim Kontrolü: Oturum Sonlandırması. Bilgi sistemi, belirtilen hareketsizlik döneminden sonra oturumu otomatik olarak sonlandırır.
Erişim Kontrolü: Kimlik doğrulama ve kimlik doğrulama olmadan izin verilen eylemler. Kuruluş, tanımlama ve kimlik doğrulama olmadan eylemlerin uygulanmasına izin verir, ancak örgütün temel hedeflerine ulaşmak için gerekli ise.
Erişim Kontrolü: Uzaktan Erişim. Uzaktan erişim yöntemlerinin izlenmesini ve kontrolünü kolaylaştırmak için otomatik mekanizmaların uygulanması, uzaktan erişim oturumlarının gizliliğini korumak için. Kontrollü erişim noktasındaki tüm uzaktan erişimi kontrol etmek gerekir.
Erişim Kontrolü: Kablosuz erişim üzerindeki kısıtlamalar. Bilgi sistemine kablosuz erişimin korunması için kimlik doğrulama ve şifreleme uygulayın.
Erişim Kontrolü: Mobil Cihazlar. Organizasyon:
- uygulamaya kısıtlamalar oluşturur ve kullanım kılavuzlarını geliştirir mobil cihazlar;
- dokümollar, monitörler ve kontroller bu cihazlardan IP'ye erişim; İlgili yetkililer mobil cihazların kullanımına izin verir; Mobil cihazlarda bulunan verileri korumak için çıkarılabilir sabit sürücüler veya şifreleme kullanılır.
Kayıt ve Denetim: İçerik Kayıt Kayıtları. Bilgi sistemi, tip, yer veya konu ile tanımlanabilir logoble etkinlikleri için ek, daha detaylı bilgi kayıt kayıtlarına dahil etme olasılığını sağlar.
Yetersiz ya da atipik aktiviteyi belirlemek, şüpheli faaliyet durumlarını araştırmak, ilgili yetkililere bildirmek, ilgili yetkililere bildirmek ve gerekli eylemleri almak için kayıt bilgilerini düzenli olarak incelemek / analiz etmek gerekir.
Bilgi sistemi, kayıt bilgilerini azaltma ve rapor oluşturma yeteneği sağlar.
Kayıt ve Denetim: Zaman Etiketleri. Bilgi sistemi, kayıt kayıtları üretirken kullanım için zaman damgaları sağlar.
Sistemlerin ve iletişimin korunması: Uygulama ayrımı. Bilgi sistemi, kullanıcı arayüzünü (kullanıcı arabirimi hizmetleri dahil) IP kontrol işlevselliğinden paylaşır.
Sistemlerin ve iletişimin korunması: artık bilgi. Bilgi sistemi, paylaşılan sistem kaynakları aracılığıyla yetkisiz ve atanmamış bilgi iletimi önler.
Sistemlerin ve iletişimin korunması: Kenarlıkların korunması. Bilgi sisteminin (örneğin, halka açık Web sunucuları), bireysel fiziksel ağ arayüzleriyle ayrı alt ağlarda (örneğin, halka açık web sunucuları) fiziksel olarak yerleştirilmesi önerilir, uygun şekilde kontrol edilen erişim haricinde, iç ağa halkın erişimi önlenmesi önerilir.
Bilgi sistemi, iletilen verilerin bütünlüğünü korur.
Bilgi sistemi, iletilen verilerin gizliliğini korur.
Sistemlerin ve iletişimin korunması: Ağ bağlantılarının yırtılması. Bilgi sistemi, oturumun sonundaki ağ bağlantısını veya belirtilen hareketsizlik döneminden sonra sonlandırır.
Sistemlerin ve iletişimin korunması: Kriptografik anahtar üretimi ve yönetimi. Bilgi sistemi, şifreleme anahtarları ve anahtar yönetimi oluşturmak için otomatik mekanizmalar ve yardımcı prosedürler veya manuel prosedürler uygular.
Sistemlerin ve İletişimin Korunması: Toplu Uygulamalar. Bilgi sistemi, kolektif uygulama mekanizmalarının (örneğin video veya ses konferans) uzaktan aktivasyonunu yasaklamaktadır ve yerel kullanıcılara kullanımlarının açık bir kanıtı sağlar (örneğin, video kameralarının veya mikrofonların kullanımını gösterir).
Sistem ve İletişimin Korunması: Genel Anahtar Altyapı Sertifikaları. Kuruluş, bilgi sisteminde kullanılan ortak anahtar sertifikaları vermek için sertifikalar ve sertifikasyon uygulamaları için politika oluşturur ve uygular.
Sistemlerin ve İletişimin Korunması: Mobil Kod. Organizasyon:
- uygulamadaki kısıtlamaları belirler ve teknolojinin kullanımı için kılavuzlar geliştirir mobil kodBu teknolojilerin kötü niyetli kullanımında bilgi sistemine zarar verme olasılığına dayanarak;
- bilgi sisteminde bir mobil kodun kullanımını belgeler, monitörler ve kontrol eder; İlgili yetkililer mobil kod kullanımını yetkilendirir.
Sistemlerin ve İletişimin Korunması: VoIP Protokolü. Organizasyon:
- uygulamaya kısıtlamalar oluşturur ve bu teknolojilerin kötü niyetli kullanımında bilgi sistemine zarar verme olasılığına dayanarak VoIP teknolojilerinin kullanımı için kılavuzlar geliştirir;
- belgeler, monitörler ve VOIP kullanımını bilgi sisteminde kullanımı; İlgili yetkililer VoIP kullanımını yetkilendirir.
Sistemlerin ve İletişimin Korunması: Güvenlik Adı Arama Hizmeti (Yetkili Kaynaklar). Bilgi Sistemleri (Yetkili Etki Alanı Adı Sunucuları), dış kullanıcıların kuruluşun bilgi kaynaklarına erişmek için isimlere erişmek için, veri kaynağını doğrulamak ve kullanıcılara özgünlük ve bütünlük mesajları alma fırsatı vermek için veri bütünlüğünü doğrulamak için öznitelikler sağlar. Ağ işlemlerinde veri alırken.

Yüksek seviye IB için ek ve güçlendirilmiş güvenlik düzenleyicileri

Yüksek seviyede bilgi güvenliği için, aşağıdaki ek ve gelişmiş (orta düzeyde seviyeye kıyasla) güvenlik düzenleyicilerinin uygulanması önerilir.

Risk değerlendirmesi: güvenlik açıklarını tarama. Güvenlik açığı tarayıcılar, bilgi sisteminin taranan güvenlik açıklarının listesini hızlı bir şekilde değiştirme yeteneğini içerir.

Belirli bir frekansla veya güvenlik açıkları için yeni kritik bilgilerin ortaya çıkmasından sonra, kuruluş, bilgi sisteminin taranan güvenlik açıklarının listesini değiştirir.

Sistem ve Hizmetlerin Alınması: Belgeler. Bilgi sisteminde yer alan güvenlik düzenleyicilerinin tasarımını ve uygulanmasını açıklayan genel belge paketindeki (varsa), genel belge paketindeki (varsa), düzenleyicileri analiz etmeyi ve test etmeyi mümkün kılmak için yeterli miktarda ayrıntılı olarak tanımlamak için (varsa), genel belge paketindeki (varsa). Düzenleyicilerin bileşenleri arasındaki fonksiyonel arayüzler dahil).
Sistem ve Hizmetlerin Alınması: Yapılandırma Yönetimi Geliştirici. Bilgi sistemi geliştiricisi, geliştirme işlemi sırasında sistemin değişikliğini kontrol eden, güvenlik kusurlarını izleyen, değişimin yetkilendirilmesini izleyen ve planın ve uygulamasının belgelendirilmesini sağlayan bir yapılandırma yönetim planı oluşturur ve uygular.
Fiziksel koruma: Veri iletim kanallarına erişim kontrolü. İP'ye ait dağıtım ve veri iletim hatlarına fiziksel erişimi kontrol eder ve kasıtsız hasarları önlemek, iletim işleminde, boşluk veya fiziksel bozulmayı önlemek için Kusursuz Hasar, Dinleme, Dinleme, Dinleme.
Fiziksel Koruma: Fiziksel erişimin izlenmesi. Otomatik mekanizmalar, potansiyel izinsiz girişlerin tanımlanmasını sağlamak ve onlara reaksiyona başlamak için kullanılır.
Fiziksel Koruma: Erişim günlüğü. Kayıt günlüklerini desteklemek ve görüntülemek için otomatik mekanizmalar uygulanır.
Fiziksel Koruma: Acil durum güç kaynağı. Birincil güç kaynağının uzun süredir başarısızlığı durumunda gerekli olan asgari operasyonel yetenekleri destekleyebilecek bir bilgi sistemi için uzun vadeli alternatif güç kaynakları sağlamak gerekir.
Fiziksel Koruma: Yangından korunma. Cihaz / yangın söndürme sistemleri ve organizasyonların ve acil durum hizmetlerini otomatik olarak bildiren yangınların tespiti uygulanır ve korunur.
Fiziksel Koruma: Taşkınlara karşı koruma. Yoğun sızıntısı durumunda otomatik olarak örtüşmek için otomatik mekanizmalar kullanılır.
Kesintisiz İş Planlaması: Öğrenme. Olası kriz durumları için çalışanlara etkili bir şekilde yanıt vermek için eğitim kurslarına etkinlik modellemesi dahildir.
Kesintisiz iş planlaması: Kesintisiz bir iş planını test etmek. Kesintisiz çalışma planı, çalışanları mevcut fırsatlar ve kaynakları tanımak ve sitenin operasyonun sürekliliğini sürdürme yeteneğini değerlendirmek için yedek bir üretim sahasında test edilir.
Kesintisiz iş planlaması: Yedek depolama yerleri. Yedek depolama, zamanında ve verimli iyileşmeyi kolaylaştırmak için yapılandırılmıştır; Büyük ölçekli kazalar veya doğal afetler durumunda yedek depolama yerine erişime sahip olası sorunlar belirlenir ve tanımlanmış problemleri azaltmak için açık eylemler planlanır.
Kesintisiz iş planlaması: Yedek veri işleme yerleri. Yedek veri işleme, gerekli olan asgari operasyonel yetenekleri ve kullanımın bir üretim yeri olarak kullanılmasını sağlamak için tamamen yapılandırılmıştır.
Kesintisiz iş planlaması: Telekomünikasyon hizmetleri. Bir telekomünikasyon hizmetlerinin yedek kaynağı, aynı tehlikelere maruz kalmamak için ana şeyden coğrafi olarak yeterince uzaklaştırılmalıdır; Telekomünikasyon hizmetlerinin ana ve rezerv kaynakları yeterli kesintisiz iş planlarına sahiptir.
Kesintisiz iş planlaması: Yedekleme. Bilgi sisteminin işlevlerini geri yüklemek için, yedeklemeler kesintisiz işlem için test planının bir parçası olarak kullanılır. Yedekleme İşletim sistemi ve yazılım için kritik diğer yazılımlar ayrı bir yerde veya bir refrakter bir kapta, operasyonel yazılımdan ayrı olarak depolanır.
Kesintisiz iş planlaması: Bilgi sistemini geri yükleme. Organizasyon içerir tam iyileşme Kesintisiz bir çalışma planını test etmenin bir parçası olarak bilgi sistemi.
Yapılandırma Yönetimi: Bilgi sisteminin temel yapılandırması ve envanter bileşenleri. Bilgi sisteminin ilgili, eksiksiz, doğru ve kolay erişilebilir bir temel konfigürasyonunu ve IP bileşenlerinin bileşenlerini korumak için otomatik mekanizmalar uygulanır.
Yapılandırma Yönetimi: Yapılandırma değişikliklerinin izlenmesi. Otomatik mekanizmalar kullanılır:
- bilgi sistemindeki önerilen değişiklikleri belgeleyin;
- ilgili yetkililere haber verin;
- derhal onaylayan vizeleri alınmamaya dikkat çekmek;
- gerekli onay vizelerini elde etmeden önce erteleme değişiklikleri;
- bilgi sisteminde oluşturulan belge oluşturulur.
Yapılandırma Yönetimi: Değişiklikler için erişim kısıtlaması. Erişim sınırlarını uygulamak ve sınırlayıcı eylemlerin kaydedilmesini desteklemek için otomatik mekanizmalar uygulanır.
Yapılandırma Yönetimi: Ayarlar. Otomatik mekanizmalar, merkezi yönetim, ayarları uygulamak ve doğrulamak için kullanılır.
Yapılandırma Yönetimi: İşlevselliği en aza indirin. Belirli bir frekansla, bilgi sistemi, işlevleri, portları, protokolleri ve gerekli olmayan diğer hizmetleri tanımlamak ve ortadan kaldırmak için revize edilir.
Destek: Periyodik destek. Yönetmeliğin planlamasını ve iletkenliği sağlamak için otomatik mekanizmalar uygulanır. kurulan Gereksinimler, ayrıca, gerekli ve gerçekleştirilen aksiyonlardaki kayıt kayıtlarının uygunluğu, doğruluğu, eksiksizliği ve kullanılabilirliği.
Bakım: Eşlik araçları. Görülebilir uygunsuz modifikasyonlar için kuruluşlar tarafından kuruluşların topraklarına getirilen tüm eşlik eden (örneğin, teşhis ve test ekipmanları) incelemek gerekir. Teşhis test programlarını içeren tüm ortamlar kontrol edilmelidir (örneğin, sistemleri eşlik etmek ve teşhis etmek için kullanılan yazılım), kötü amaçlı yazılımlar için, taşıyıcılar bilgi sistemine uygulanmadan önce. Eşlik amaçlı kullanılan ve bilgiyi koruyabilen tüm ekipman, kuruluşun ekipmanda kaydedilmediğinden veya daha önce uygun şekilde sterilize edildiğinden emin olmak için doğrulamaya tabidir. tekrar et. Ekipman sterilize edilemezse, ilgili yetkililer tarafından açıkça yetkilendirilmiş durumlar hariç, organizasyonun topraklarında kalır veya yok edilir.
Destek: Uzaktan eşlik. Tüm uzak eşlik oturumları kaydedilir ve ilgili yetkililer uzak oturumların kayıt günlüğünü görüntülüyor. Uzaktan tanı kanallarının kurulumu ve kullanımı, bilgi sisteminin güvenlik planına yansıtılmaktadır. Uzaktan Teşhis veya Destek Hizmetleri, yalnızca servis kuruluşu, en azından sunulan gibi aynı seviyenin en azından aynı seviyesini desteklerse izin verilir.
Sistemlerin ve verilerin bütünlüğü: kötü amaçlı yazılımlara karşı koruma. Bilgi sistemi, kötü amaçlı yazılımlara karşı koruma mekanizmalarını otomatik olarak değiştirir.
Sistemlerin ve verilerin bütünlüğü: Güvenlik işlevinin doğrulanması. Bilgi sistemi, teknik özellikler çerçevesinde, sistemi başlatırken veya yeniden başlatırken, yetkili bir kullanıcının komutuna göre ve / veya periyodik olarak, belirli bir frekansla, güvenlik fonksiyonlarının doğruluğunu doğrular ve sistem yöneticisi tarafından bildirilir ve / veya Herhangi bir anomalinin tespit edilmesi durumunda sistemi kapatır veya yeniden başlatır.
Sistemlerin ve verilerin bütünlüğü: Yazılımın ve verilerin bütünlüğü. Bilgi sistemi, yazılım ve verilerdeki yetkisiz değişikliklere karşı ortaya çıkarır ve korur.
Sistemlerin ve verilerin bütünlüğü: Spam'a karşı koruma. Organizasyon merkezi olarak spam koruma mekanizmalarını yönetir.
Medyanın Korunması: Medyaya Erişim. Güvenlik direkleri uygulanır ya da Medya depolama ortamına erişimin kontrolü için otomatik mekanizmalar, yetkisiz erişime karşı koruma sağlamak ve ayrıca erişim girişimlerinin ve erişimi sağlanan erişim kaydını sağlar.
Bilgi Güvenliği İhlallerine Yanıt: Öğrenme. Eğitim kursları, çalışanların olası kriz durumlarına etkin yanıtlarına katkıda bulunmak için modelleme olaylarını içerir.
Bilgi Güvenliği İhlallerine Yanıt: Test. Otomatik mekanizmalar, yanıtın daha ayrıntılı ve verimli test edilmesi için kullanılır.
Bilgi Güvenliği İhlallerine Yanıt: İzleme. Otomatik mekanizmalar, güvenlik bozukluklarının izlenmesini ve ayrıca ihlallerle ilgili bilgilerin toplanmasını ve analizini kolaylaştırmak için kullanılır.
Tanımlama ve kimlik doğrulama: Kimlik ve kullanıcı kimlik doğrulaması. Bilgi sistemi multifactor kimlik doğrulaması uygular.
Erişim Kontrolü: Hesap Yönetimi. Oturum açmayı sağlamak için otomatik mekanizmalar uygulanır ve gerekirse, hesapları oluşturma, değiştirme, çıkarma ve sonlandırma ve sonlandırma ile ilgili uygun kişileri bilgilendirin.
Erişim Kontrolü: Paralel oturumları kontrol edin. Bilgi sistemi, bir kullanıcı için paralel oturum sayısını sınırlar.
Erişim Kontrolü: Denetim ve Görünüm. Kullanıcı etkinliğini görüntülemeyi kolaylaştırmak için otomatik mekanizmalar uygulanır.
Erişim Kontrolü: Otomatik işaretleme. Bilgi sistemi, verilerin dağıtılması, işlenmesi ve dağıtılması için tüm özel talimatları tanımlamak için standart adlandırma anlaşmaları kullanarak çıktıyı işaretler.
Kayıt ve Denetim: İçerik Kayıt Kayıtları. Bilgi sistemi, IP'nin bireysel bileşenleri tarafından oluşturulan kayıt kayıtlarının içeriğini merkezi olarak yönetme yeteneği sağlar.
Kayıt ve Denetim: İşleme Kayıt Bilgileri. Bilgi sistemi, kayıt bilgilerini depolamak için ayrılan meşgul alanın payının belirli bir değere ulaştığında, bir uyarı mesajının verilmesini sağlar.
Günlükleme ve Denetim: İzleme, Analiz ve Kayıt Bilgi Raporu. İzleme, analiz ve kayıt bilgilerini entegre etmek için otomatik mekanizmaların kullanılması, şüpheli aktiviteye özdeşleştirme ve yanıt verme sürecine.
Kayıt ve Denetim: Kayıt bilgileri azaltma ve rapor oluşturma. Bilgi sistemi, belirtilen seçim kriterlerine dayanarak, olayların dikkati hakkındaki kayıt bilgilerini otomatik olarak işleme koyma yeteneğini sağlar.
Sistem ve İletişimin Korunması: Güvenlik fonksiyonlarının izolasyonu. Bilgi sistemi, güvenlik özelliklerini diğer fonksiyonlardan izole eder.
Sistemlerin ve iletişimin korunması: İletilen verilerin bütünlüğü. Şifreleme mekanizmalarının kullanımı, veri aktarım sürecindeki verilerdeki değişikliklerin alternatif fiziksel önlemlerle korunmazsa (örneğin, koruyucu bir dağıtım sistemi) korunmazsa.
Sistemlerin ve iletişimin korunması: İletilen verilerin gizliliği. Şifreleme mekanizmalarının, iletim işlemi sırasında, alternatif fiziksel önlemler (örneğin, koruyucu bir dağıtım sistemi) tarafından korunmazsa, şanzıman işlemi sırasında bilginin yetkisiz bir şekilde açıklanmasını önlemek için kullanımı.
Sistemlerin ve iletişimin korunması: Güvenlik adı Arama hizmeti (isim çözünürlüğü). Bilgi Sistemleri (Yetkili Etki Alanı Adı Sunucuları), Dahili Kullanıcı Arama Hizmeti Sağlama Bilgi kaynaklarına erişmek için, veri kaynağını doğrulamak ve veri bütünlüğünü izlemek için mekanizmalar sağlar ve ayrıca bu eylemleri istemci sistemlerinin isteğinde de gerçekleştirir.

Güvenlik Düzenleyicileri için Minimum Güven Gereklilikleri

Güvenlik düzenleyicileri için minimum güven gereklilikleri, belirli süreçlere ve eylemlere sunulur. Regülatörlerin geliştirilmesi ve uygulanması uzmanları, bu süreçleri ve uygulamaları belirler ve uygulayın (yürütülür)

Minimum bilgi güvenliği düzeyinde, güvenlik düzenleyicilerinin, tanımları fonksiyonel gereksinimlerinde açıkça belirtilmiş olması gerekir.

Orta düzeyde bir bilgi güvenliğinde, aşağıdaki koşullar tamamlanmalıdır. Uzmanlar Geliştirme (Uygulama) Düzenleyiciler, fonksiyonel özelliklerinin bir açıklamasını sağlar, düzenleyicilerin analizini ve test edilmesini mümkün kılmak için oldukça ayrıntılıdır. Düzenleyicilerin ayrılmaz bir parçası olarak, geliştiriciler belgelenmiştir ve düzenleyicilerin geliştirme sonrası fonksiyonel gereksinimleri karşılaması gerekenler (uygulama) nedeniyle, sorumlulukların ve belirli eylemlerin dağıtılması sağlanmıştır. Düzenleyicilerin geliştirildiği teknoloji, bütünlüğüne, tutarlılığına ve doğruluğuna yüksek derecede güven vermelidir.

Şekil 6. Bilgi güvenliğini sağlamak. Süreç yaklaşımı.

Yüksek düzeyde bir bilgi güvenliğinde, bunlar arasında, projenin bir tanımını sağlamak ve bileşenleri arasındaki fonksiyonel arayüzler de dahil olmak üzere düzenleyicileri uygulamak gerekir. Geliştiriciler, gelişmenin tamamlanmasından sonra (uygulama), düzenleyiciler için gereksinimlerin uygulanmasının tamamlanmasından sonra tüm bilgi sisteminin ölçeğinde sürekli ve tutarlı olacağına dair kanıt gerektirir ve düzenleyicilerin verimliliğinin arttırılması olasılığı desteklenecektir.

Sonuç

Bilgi güvenliğinin sağlanması, birçok çözümün kabul edilmesini gerektiren, çok sayıda faktör ve gereksinimi analiz ederek, bazen çelişkili bir kompleks, çok boyutlu bir işlemdir. Kategorilerin ve minimum güvenlik gereksinimlerinin yanı sıra önceden belirlenmiş bir güvenlik düzenleyicisi kataloğunun varlığı, IB, makul iş ve maddi maliyet gerektiren ve pratik olarak kabul edilebilir sonuçlar sunabilecek bir yaklaşımın sağlanması için sistematik bir yaklaşım için bir temel olarak hizmet verebilir. çoğu organizasyon.

Bilgi koruma sorunu, bir arayışı aramak zordur. Her taraftan hack, virüs, kötü amaçlı duyuyoruz yazılım, saldırılar, tehditler, güvenlik açıkları ...

Bir sistem olarak bilgi güvenliği

Bilgi güvenliği, daha önemli olanlar da dahil olmak üzere bir önlem kümesidir. Bilgi güvenliği zaten bir karmaşık olarak algılanamaz. Her şey burada önemlidir! Ağın tüm noktalarındaki koruma önlemlerini takip etmek gerekir, herhangi bir konudaki herhangi bir konuda (bu durumda konu altında, kullanıcı sistemi, işlem, bilgisayar veya bilgi işlemesi için yazılım) anlaşılmalıdır. Her bilgi kaynağı, kullanıcının bilgisayarının, kuruluş sunucusunun veya ağ ekipmanının her türlü tehditten korunması gerekir. Dosya sistemleri, ağ vb. Korunmalıdır. Korumayı uygulama yolları, bu makalede, muazzam çeşitliliği nedeniyle düşünmeyeceğiz.

Ancak, yüzde yüz koruma sağlamanın imkansız olduğu anlaşılmalıdır. Aynı zamanda, Hatırlanması Gerekenler: Güvenlik seviyesi ne kadar yüksek olursa, sistemde daha pahalı, kullanımda daha rahatsız edici olan, sırasıyla insan faktörüne karşı korumanın bozulmasına yol açan kullanıcı için ortaya çıkar. Örnek olarak, parolanın aşırı komplikasyonunun, kullanıcının, monitöre, klavyeye vb. Yapışan bir kağıt parçası üzerine kaydetmeye zorlandığını hatırlıyoruz.

Var olmak geniş spektrum Bilgi koruma görevlerini çözmeyi amaçlayan yazılım. Bunlar anti-virüs programları, güvenlik duvarları, yerleşik işletim sistemleri ve daha fazlası. Ancak, savunmada en savunmasız bağlantının her zaman kaldığını hatırlamak gereklidir. insanK! Sonuçta, herhangi bir yazılımın etkinliği, bir koruma aracı kuran yöneticinin yazma ve okuryazarlığının kalitesine bağlıdır.

Bu, Bilgi Koruma'nın bu hizmetleri (bölüm) ile bağlantılı olarak birçok kuruluş veya BT departmanlarına uygun görevler koymak. Ancak, bunu anlamak gereklidir. bu imkansız BT servisinin sıradışı işlevlerini arayarak. Bu zaten belirtilmedi ve yazdı. Yani, kuruluşunuzda bir bilgi güvenliği departmanı oluşturduğunu varsayalım. Sonra ne yapacağız? Nereden başlayacak?

Çalışan öğrenimiyle başlamanız gerekir! Ve gelecekte bu süreci düzenli hale getirmek için. Personel Eğitimi Bilgi güvenliğinin temelleri, bilgi koruma bölümünün kalıcı görevi olmalıdır. Ve yılda en az iki kez yapmanız gerekir.

Birçok yönetici, bilgi güvenliği politikasından "kuruluşun güvenlik politikası" adlı bir belgeyi hemen almaya çalışıyor. Doğru mu? Benim görüşüme göre - hayır. Bu büyük işi yazmak için oturmadan önce, aşağıdaki konulara karar vermeniz gerekir:

hangi bilgileri devam ediyorsun?
Özelliklere göre nasıl sınıflandırılır?
hangi kaynaklara sahipsiniz?
kaynaklarla ilgili bilgilerin işlenmesi nasıl?
kaynakları nasıl sınıflandırır?

Bilginin Sınıflandırılması

Tarihsel olarak, bilgilerin sınıflandırılmasının sorulması konusunda en kısa sürede gelişti (her şeyden önce devletin sahip olduğu bilgileri ifade eder), derhal gizlilik seviyesinde (gizlilik) sınıflandırmaya başlar. Erişim, bütünlük, gözlemlenebilirlik, hatırlarsa, bir dizi rahat, genel Gereksinimler Bilgi işlem sistemlerine.

Eğer böyle bir bakışta bir şekilde bir şekilde, durum sırlarını sağlama ihtiyacını haklı çıkarabilirse, o zaman başka bir konu alanına aktarmak kolay görünüyor. Örneğin, Ukrayna mevzuatının gereksinimlerine göre, bilginin sahibi kendisinin kendisi gizliliğinin seviyesini belirler (bu bilgilerin duruma ait olmadığı durumlarda).

Birçok alanda, gizli bilgilerin payı nispeten küçüktür. Açık bilgiler için, açıklamanın küçük olanı, uygunluk, dürüstlük veya yasadışı kopyalama gibi güvenlik gibi en önemli özellikler olabilir. İnternet yayını web sitesine bir örnek olarak düşünün. İlk olarak, görüşüme göre, bilgilerin kullanılabilirliği ve bütünlüğü, gizliliğini değil. Bilgiyi yalnızca konumdan ve gizlilikten en azından verimsizdir.

Ve bu, yalnızca, bilgilerin korunmasına, geleneksel bir yaklaşımın daralması, bir gizli olmayan (gizli) olmayan bilgilerin kullanılabilirliğini, dürüstlüğünü ve gözlenebilirliğini sağlamak açısından deneyim eksikliği ile açıklanabilir.

Korumalı Bilgi Kategorileri

Kuruluşta depolanan ve işlenen bilgilerin (bir devlet sırını oluşturan bilgiyi içermeyen), çeşitli bilgilerin (bir devlet sırını oluşturan bilgileri içermeyen) sağlama ihtiyacına göre, birkaç gizlilik kategorisi ve korunan bilgilerin bütünlüğü olarak adlandıralım.

tamamen gizli - Gizli olarak tanınan bilgiler, yasanın gerekliliklerine uygun olarak veya bilgi, dağıtımın, açıklamasının örgütün için ciddi finansal ve ekonomik sonuçlara yol açabileceği için kararla birlikte verilen kısıtlama ile ilgilidir. İflasa kadar;
gizlice - Bu kategori, "Tamamen Gizli Oldukça" kategorisine atfedilmeyen bilgileri içerir, bunların, liderlik ile ilgili olarak, liderliğin kararıyla verilen bilgilerle, gerçeği nedeniyle haklarla dava açısından sağlanan bilgilere uygun olarak girilir. Açıklamasının, kuruluşun rekabet gücünün önemli kayıplarına ve kaybına neden olabilir (müşterilerinin, ortaklarının veya çalışanlarının çıkarlarına önemli zarar vermek);
açık - Bu kategori, gerekli olmayan gizlilik sağlanması, bilgi içerir.

yüksek - BİLGİ, yetkisiz değişiklik veya sahte, organizasyonun önemli hasarlarının uygulanmasına yol açabilecek;
düşük - Bu kategori, yetkisiz bir modifikasyon, organizasyona, müşterilerine, ortaklarına veya çalışanlarına küçük hasarların uygulanmasına yol açabilecek bilgileri içerir;
gereksinim yok - Bu kategori, gereksinimlerin sunulmadığının bütünlüğünü ve özgünlüğünü sağlamak için bilgi içerir.

Kullanılabilirlik derecesi ile, fonksiyonel problemlerin çözülmesinin sıklığına ve çözüm sonuçlarının elde edilmesinde izin verilen maksimum gecikmeye bağlı olarak dört kategori sunuyoruz:

gerçek zamanlı - Göreve erişim herhangi bir zamanda sağlanmalıdır;
saat - Göreve erişim önemli zaman olmadan yapılmalıdır. sx gecikmeleri (görev her gün çözülür, gecikme birkaç saati geçmez);
gün - Göreve erişim önemli zamanlarda sağlanabilir smI gecikmeleri (görev birkaç gün sonra çözülür);
bir hafta - zaman sgöreve erişimdeki e-gecikmeler kurulmaz (sorunu çözme süresi birkaç hafta veya aydır, sonucu elde edilmesindeki izin verilen gecikme birkaç haftadır).

Kategoriler Bilgileri

Özel bilgisayarlardaki görevleri çözmede kullanılan her türlü bilgiyi sınıflandırır (gizlilik kategorilerinin, bütünlük ve belirli bilgilerin bulunduğu durumun kullanılabilirliğini ayarlar).
Kategoriler Bu bilgisayarda çözülen tüm görevler.
İşlenilen bilgilerin maksimum kategorilerine dayanarak, bilgisayar kategorisi işlendiği için ayarlanır.

Envanter kaynakları

Örgütteki bilgilerin korunmasından önce konuşmadan önce, ne korumayacağınızı ve hangi kaynakların sahip olduğunuzu anlamanız gerekir. Bunu yapmak için, envanter üzerinde çalışma yapmak ve otomatik organizasyon sisteminin tüm kaynaklarının korunması için analiz edilmesi gerekir:

Korunacak kaynakların envanteri ve sınıflandırılması için özel bir çalışma grubu oluşturulur. Kuruluştaki otomatik olarak otomatik işleme teknolojisi konularını dikkate almaya yardımcı olabilecek bilgisayar güvenliği bölümlerinin ve kuruluşun diğer birimlerinin uzmanlarını içerir.
Gerekli örgütsel ve yasal statüyle oluşturulan grup için, kuruluşun liderliğinin uygun sırası yayınlanır; bu, kuruluşun ilgili birimlerinin tüm liderlerinin analizdeki çalışma grubuna yardımcı olması gerektiğini ve gerekli yardımı göstermesi gerektiğini belirtir. tüm bilgisayarların.
Grubun operasyonuna yardımcı olmak için, liderlerinin bölümleri, bu bölümlerde otomatik bilgi işlemleri hakkında ayrıntılı bilgi sahibi olan çalışanları tahsis etmelidir.
Bu sipariş, ilgili birimlerin tüm yöneticilerinin katılımı altında getirilir.
Kuruluşun ve otomatik alt sistemlerin anketi (analizi) sırasında, tüm fonksiyonel görevler bilgisayarları kullanarak kararlaştırılmış ve bu görevleri bölümlerdeki bu görevleri çözmek için kullanılan her türlü bilgi tespit edilir ve açıklanır.
Anketin sonunda, kuruluşta çözülen görev formu hazırlanır. Farklı bölümlerde aynı görevin farklı olarak adlandırılabileceği anlaşılmalıdır ve aksine, çeşitli görevler aynı ada sahip olabilir. Aynı zamanda, ünitenin fonksiyonel görevlerini çözülmesinde kullanılan yazılım araçları gerçekleştirilir.

Anket sırasında, her türlü bilgi tanımlandığı (gelen, giden, depolanan, işlenmiş, vb.) Dikkat edilmesi gerektiği belirtilmelidir. Sadece gizli bilgilerin tanımlanması gerekmediği, ancak bütünlüğün veya kullanılabilirliğin ihlal edilmesinin organizasyona maddi hasara neden olabileceği akılda tutulması gerekmektedir.

Bir organizasyonda işlenen bilgileri analiz ederken, özelliklerinin ihlal edilmesinden kaynaklanabilecek sonuçların ciddiyetini değerlendirmek gerekir. Bunun için bununla birlikte çalışan uzmanlar (test, araştırma) uzmanları yapmanız gerekir. Aynı zamanda, öncelikle bu bilgiyi yasadışı olarak kullanmalarını veya nüfuz etmelerinin kimin yararlarını bulmaktır. Olası hasarın nicel bir şekilde değerlendirilmesi imkansızsa, nitel bir değerlendirme (düşük, yüksek, çok yüksek) vermek gerekir.

Bir kuruluşta çözülen görevleri analiz ederken erişilebilirlik kategorilerini anlamak için, izin verilen maksimum zaman gecikme süresini, çözümlerinin sıklığını ve sonuçlarını ihlal etmenin ciddiyetini (engelleme görevlerini) tanımlamak için gereklidir.

Analiz sırasında, bilgi türlerinin her biri belirli bir dereceye kadar (Muhtemel Mevzuatın ve Sağlanan Haklar Kuruluşlarının gereklilikleri temelinde) belirli bir dereceye kadar (akbaba) ilişkilendirilmelidir.

Aynı zamanda, yapısal birimin yöneticilerinden (önde gelen uzmanlar) belirli bilgi türlerinin gizliliğinin kategorisini değerlendirmek için, gizlilik özelliklerinin ihlal edilmesinden ve bilgilerin dürüstlüğünden kaynaklanan kişisel tahminlerin kişisel tahminleri bulunur.

Analiz sonunda, korunacak bilgi kaynaklarının bir listesi hazırlanır.

Sonra bu liste BT ve bilgisayar güvenliği departmanlarının başkanları ile koordinatlar ve kuruluşun yönetimini öne sürdü.

Bu aşamanın sonunda, işlevsel görevleri sınıflandırmak gerekir. Kuruluşun birimlerinin başkanları tarafından uygulanan kullanılabilirlik gereksinimlerine dayanarak ve BT hizmetiyle kararlaştırılan tüm uygulamalı görevler birimlerde kararlaştırılmış tüm görevler kategorize edilir.

Gelecekte, BT servis uzmanlarını ve bilgi güvenliği birimini kullanarak, her görevin kaynaklarının (bilgi, program) bileşimini netleştirmek ve bu görevin kullanıcı grupları hakkında bilgi ve kullanılan güvenlik araçlarını ayarlama talimatları hakkında bilgi vermek gerekir. Çözümleri (örneğin, kullanıcı gruplarının listelenen görev kaynaklarına erişimini güçlendirir). Gelecekte, bu bilgilere dayanarak, bu görevin çözüleceği bilgisayarlar yapılandırılacaktır.

Bir sonraki aşamada, bilgisayarlar kategorize edilir. Bilgisayar kategorisi, üzerinde çözülen maksimum görev kategorisi ve bu görevleri çözmede kullanılan bilgilerin maksimum gizlilik ve bütünlük kategorileri temelinde belirlenir. Bilgisayar kategorisi bilgileri formuna girilir.

Kaynak envanteri kavramı, mevcut aktif ve pasif ağ kaynaklarının yalnızca kuruluş tarafından satın alınan bir ekipman listesi (ve eksiksiz) uzlaştırılmasını da içermektedir. Bu prosedür, Microsoft SysyTems Management Server gibi uygun yazılımlar kullanılarak uygulanır. Bu aynı zamanda, tüm olası bağlantı noktalarının bir açıklamasına sahip bir ağ kartı oluşturmayı, kullanılan bir yazılımın listesini oluşturan, kuruluşta kullanılan lisanslı yazılımın fonunun fonunu oluşturan, algoritmaların temelinin oluşturulması ve kendi programları Gelişme.

Yazılımın, yalnızca her türlü yer iminin ve "mantıksal bombaların" olmaması için Bilgi Koruma Departmanı tarafından doğrulandıktan sonra çalışmaya kabul edilebileceği belirtilmelidir.

Bu bağlamda, ülkemizdeki açık kaynaklı yazılım kodunu kullanma eğiliminden ayrı ayrı söylemek istiyorum. Tartışmam, önemli kaynak tasarrufu sağlar. Ancak, bence, bu durumda, güvenlik sorunu artık yalnızca sistem geliştiricisine değil, yöneticinize de güvenme konusu olur. Ve ne kadar kazandığını hatırlarsanız, bu durumda sırlarınızı satın almanın, doğrudan bir dış saldırı uygulamaktan çok daha kolay ve daha ucuz olduğu sonucuna varmak zor değildir. Başarılı saldırıların çoğunun, bunların, şirketin kendi çalışanlarının bulunduğu yerler gerçekleştirdiğini hatırlamaya değer.

Bence, özgürce dağıtılmış bir yazılımı, yalnızca size derlemede tedarik edilirse ve bir kuruluşun dijital olarak imzalanması durumunda, her türlü, her türlü kuruluşun olmadığını garanti eden bir organizasyonun varlığında serbestçe dağıtılmış bir yazılımı uygulamak. yer imlerinin ve "siyah hareketler". Ayrıca, garantörün kuruluşu, benim görüşüme göre imkansız olan garantisi için maddi sorumluluk sağlamalıdır. Ancak, seçim sizindir.

Kontrol ettikten sonra, referans yazılımı algoritmalara ve Programlar Vakfı'na girilir (bir referans kopyası bir sağlama toplamı dosyası ve geliştiricinin en iyi elektronik imzası eşlik etmelidir). Gelecekte, sürümleri değiştirirken ve güncellemelerin görünümünü değiştirirken, yazılım kontrolü her zamanki gibi yapılır.

Gelecekte, yüklü yazılımla ilgili bilgiler, kurulum tarihi, bu görevlerin bu sağlanmasıyla çözülen hedefler, yüzleri ve programların imzaları, her bir bilgisayar biçimine girilir. Bu tür formülasyonlar oluşturduktan sonra, bilgi güvenliği hizmeti, gerçek pozisyonun formülasyona uygunluğunun düzenli bir doğrulamasını sağlamalıdır.

Bilgi güvenliği hizmetini oluşturmada bir sonraki adım, güvenlik politikaları oluşturmanın temelinin olması gereken bir organizasyon riskinin analizidir.

Günümüzde, kimsenin bilginin korunması hakkında asla düşünmeyeceği bir organizasyon bulabilmek olası değildir. Aynı zamanda, bilgi güvenliğinin doğru anlaşılmasını bir örgütsel ve teknik olaylar kompleksi olarak karşılamak her zaman mümkün değildir. Teminatının en önemli unsuru bir insandır ve ihlalinin ana faktörüdür.

Bilgi güvenliği, örgütsel ve teknik önlemlerin bir kompleksi olarak algılanmalıdır, çünkü gizliliğin, bütünlüğün ve erişilebilirliğin yalnızca örgütsel olarak değil, teknik önlemler tarafından ayrı olarak alınamayacağından emin olmanın imkansız olduğu için algılanmalıdır.

Yalnızca teknik önlemleri korumaya karar vereceğinizi söyleyelim, organizasyonel belgeler tamamen yoktur. Savunma BT departmanı veya Bilgi Güvenliği Dairesi Başkanı (IB) - BT yapılarının eski bir temsilcisi tarafından yapılırsa sıklıkla olur. Bu durumda ne olur? Şirket çalışanlarından birinin sistematik olarak gizli bilgileri rakiplere e-posta ile aktardığını varsayalım. Sızıntı keşfettiniz, ancak belgeleriniz yoktur, bu nedenle bir çalışanı cezalandırın (örneğin, işten çıkarın), sadece doğru olmazsınız. Ve yaparsanız, akıllı bir saldırgan, anayasa haklarını kişisel yazışmalara ihlal ettiğiniz için dava açacaktır. En üzücü şey, yasal olarak kesinlikle doğru olacaktır: kuruluşunuzda, tüm bilgilerin yoluyla iletilen tüm bilgilerin belgelenmemesidir. e-posta Kuruluşunuza ait adreslerden, şirketin mülküdür.

İkinci aşırı olanı düşünün. Genellikle eski askeri personel ve özel hizmetler personelinin karakteristik özelliğidir. Hazırlanan mükemmel belgeleriniz var, ancak kesinlikle onları özlüyorsunuz teknik Destek. Bu durumda ne olur? Çalışanlarınız daha erken veya daha sonra örgütsel belgelerin hükümlerini ihlal edecek ve kimsenin onları kontrol etmeyeceğini görmek sistematik olarak yapmayacağını görmek.

Böylece, bilgi güvenliği hem organizasyonel hem de teknik önlemleri içeren esnek bir sistemdir. Burada daha önemli önlemlerin veya daha az önemli miktarda uygulandığı anlaşılmalıdır. Bu önemli. Bilgilerinizle ilgili herhangi bir konuda çalışırken, ağın tüm noktalarında koruma önlemlerini gözlemlemek gerekir. (Bu durumda, bu durumda bir kullanıcı sistemi, işlem, bilgisayar veya bilgi işleme için yazılım olarak anlaşılmaktadır). Her bilgi kaynağı, bilgisayar kullanıcısı veya kuruluş sunucusunun tam olarak korunması gerekir. Dosya sistemleri, ağ vb. Korunmalıdır. Burada tartışmayacağız.

Bilgi koruma görevini çözmeyi amaçlayan çok sayıda yazılım var. Bunlar antivirüs programları ve ağ ekranları ve işletim sistemleri için yerleşik araçlardır. Ancak, en savunmasız faktör her zaman bir kişidir. Herhangi bir yazılımın performansı, yazılmasının kalitesine, ayarlayan yöneticinin okuryazarlığına bağlıdır.

Birçok kuruluş, bununla bağlantılı olarak bilgi koruma departmanları oluşturur veya güvenlik zorluklarını BT departmanlarına ayarlamaktadır. Ancak bir kereden fazla, BT servisine bir işlev almanın imkansız olduğu belirtildi. BT güvenlik departmanının kuruluşunuzda yaratıldığını varsayalım. Sonra ne yapacağız? Faaliyetine nereden başlayacak?

IB departmanının ilk adımları

Benim görüşüme göre, çalışanların eğitimi ile başlamanız gerekir! Ve gelecekte yılda en az iki kez yapmak için. Sıradan personelin eğitimi Bilgi korumanın temelleri, Bilgi Koruma Bölümü personelinin kalıcı bir iş olması gerekir!

Birçok yönetici, bilgi politikasından derhal "güvenlik politikası" adlı bir belgeyi almaya çalışıyor. Bu yanlışlık. Kuruluşunuzun bilgi güvenliğini sağlamak için tüm çabalarınızı tanımlayacak olan bu ciddi belgenin yazısına hizmet etmeden önce, kendinize aşağıdaki soruları sormanız gerekir:

Hangi bilgileri devam ediyorsun?

Nasıl sınıflandırılır?

Hangi kaynaklara sahipsiniz?

Kaynaklarla ilgili bilgilerin işlenmesi nasıl?

Kaynakları nasıl sınıflandırır?

Bu soruları cevaplamaya çalışacağız.

Bilginin Sınıflandırılması

Ülkemizde, yaklaşım tarihsel olarak, mal gizliliği (gizlilik) temeli için güvenliği için gereksinimler hakkında bilgi sınıflandırmak (tümü devletin).

Bir kural olarak, bilginin bütünlüğünü ve kullanılabilirliğini sağlamak için gereksinimler, yalnızca veri işleme sistemlerinin genel gereksinimleri arasında dolaylı olarak belirtilmiştir.

Bu yaklaşım bir dereceye kadar gerekçesiyle, devlet sırrını oluşturan bilgilerin güvenliğini sağlamak için haklı çıkarsa, bu, bunu başka bir konu alanına aktarmanın (diğer konularda ve çıkarları ile) doğru olacağı anlamına gelmez.

Birçok alanda, gizli bilgilerin payı nispeten küçüktür. Açık bilgiler için, açıklamanın anlamsızlığı, en önemlisi tamamen farklı özelliklerdir, kullanılabilirlik, dürüstlük veya yasadışı çoğaltma ile korunan gibi söyleyelim. Örneğin, ödeme (finansal) belgeleri için en önemlisi, bütünlüğü (güvenilirlik). Sonra mülkün gerçekleştirilmelidir (bir ödeme belgesinin kaybı veya ödemelerin gecikmesi çok pahalı olabilir). Ödeme belgelerinin gizliliğinin sağlanması için gerekenler genellikle üçüncü sırada.

İnternet gazetesi için ilk etapta, bilgilerin uygunluğunu ve bütünlüğüne dayanır ve gizliliğini değil. Bu bilgileri tek gizlilik sağlama konusundaki bakış açısından koruma konularını çözme girişimleri başarısız oldu. Bunun temel nedenleri, geleneksel yaklaşımın bilginin korunmasına, yerel uzmanlardaki deneyimin olmaması ve gizli olmayan bilgilerin bütünlüğünü ve kullanılabilirliğini sağlama açısından uygun detayların daralmasıdır.

Bilginin sınıflandırılmasını geliştirmek için, güvenliğinin gereksinimlerine bağlı olarak, bilgilerin her birinin güvenlik özelliklerinin her birinin sağlanması için birkaç derece (derecelendirme, kategori) girin: kullanılabilirlik, bütünlük, gizlilik.

Derecelendirme miktarı ve bunlardaki anlam farklı olabilir.

Farklı türdeki bilgi türlerinin (bir devlet sırını oluşturan bilgiyi içermeyen), kuruluşta depolanan ve işlenen çeşitli bilgilerin korunması gereğine dayanarak, korunan bilgilerin birkaç gizlilik ve bütünlüğü kategorisi sunuyoruz.

"Gizli" - Mevcut mevzuatın (bankacılık sırları, kişisel veriler) gereklerine göre gizli olan bilgilerin yanı sıra, örgütün yönetiminin (ticari gizem), açıklanması, açıklanması Bu, örgütün için, iflastan önce (müşterilerin, muhabirlerin, ortakların veya çalışanların hayati çıkarlarına ciddi bir hasar uygulanması) ciddi bir şekilde finansal ve ekonomik sonuçlara yol açabilir.

"Gizli" - "Kesinlikle Gizli" kategorisine atfedilmeyen bilgiler, dağılımının, kuruluşun liderliğinin, mevcut tarafından sağlanan mal sahibine uygun olarak (sahibinin yetkili) uyarınca verilen kararıyla girilir. Açıklama, açıklama, kuruluşun rekabet edebilirliğinin önemli zararlarına ve kaybına neden olabilir (müşterilerin, muhabirlerin, ortakların veya çalışanların çıkarlarına maddi hasar uygulamak).

"Açık" - Gerekli olmayan bilgiler, gizlilik (yayma kısıtlamaları tanıtımı).

"Yüksek" - Bu kategori, yetkisiz bir modifikasyon (bozulma, ikame, yıkım) veya tahrifizasyon (sahte), organizasyon, bütünlük ve orijinallik (kaynağın doğruluğunun doğrulanmasının doğrulanması) sağlanması gereken önemli bir doğrudan hasara yol açabilecek bilgileri içerir. Garantili yöntemlerle (elektron dijital imzalar, EDS), mevcut mevzuatın, siparişlerin, direktiflerin ve diğer düzenleyici eylemlerin zorunlu gerekliliklerine uygun olarak.

"Düşük" - Bu kategori, organizasyonun, müşterilerine, ortaklarına veya çalışanlarının, bütünlüğünün, yönetimin kararına uygun olarak sağlanması gerektiğini, yetkisiz bir modifikasyon, ikame veya çıkarılması, yetkisiz değişiklik, ikame veya çıkarılmasının uygulanmasına neden olabilir (). sağlama toplamı, karma fonksiyonları sayma yöntemleri).

"Gereksinimler yok" - Bu kategori, gereksinimlerin sunulmadığının (ve özgünlük) bütünlüğünü sağlamak için bilgileri içerir.

İşlevsel görevleri çözme sıklığına ve sonuç elde etmenin izin verilen maksimum gecikmesine bağlı olarak, mevcut bilginin gerekli olan dört derece (kategori) tanıtılmaktadır.

"Engelsiz erişilebilirlik" - Göreve erişim, herhangi bir zamanda sağlanmalıdır (görev sürekli olarak çözülür, sonucu elde etme gecikmesi birkaç saniyeyi veya dakikayı geçmemelidir).

"Yüksek kullanılabilirlik" - Erişim önemli zaman gecikmeleri olmadan yapılmalıdır (görev günlük olarak çözülür, sonucun elde edilmesinin gecikmesi birkaç saati geçmemelidir).

"Ortalama Erişilebilirlik" - Erişim önemli zaman gecikmeleri sağlanabilir (görev birkaç gün sonra çözülür, sonucu elde etme gecikmesi birkaç gün geçmemelidir).

"Düşük Erişilebilirlik" - Göreve erişirken zaman gecikmeleri pratikte sınırlı değildir (görev birkaç hafta veya aylık bir süre ile çözülür, sonucun elde edilmesindeki izin verilen gecikme birkaç haftadır).

Çalışmanın ilk aşamasında, belirli bir bilgisayardaki görevleri çözmede kullanılan her türlü bilgi ile kategorize edilir (belirli bilgilerin gizlilik ve bütünlük kategorisi kurulması). "Korunacak bilgi kaynaklarının listesi" derlendi.

İkinci aşamada, bu bilgisayarda çözülen tüm fonksiyonel görevlerin kategorizasyonu vardır. Üçüncü aşamada, bilgisayarın kategorisi, işlenecek bilgilerin maksimum kategorilerine ve bunun üzerine çözülür.

İlgili kategorileriniz tarafından işlenen bilgilerin dağıtıldıktan sonra kaynak envanteri yapılmalıdır.

Kaynakların sınıflandırılması, kimlik (envanter) ve kuruluş bilgi sisteminin tüm kaynaklarının korunması için analizini ifade eder. İşte örnek bir sekans ve bu işlerin ana içeriği.

Her şeyden önce, organizasyonun tüm alt sistemlerini analiz etmek için özel bir çalışma grubu oluşturulur, korunacak kaynakların envanteri ve sınıflandırılması. Bilgisayar güvenliği ve organizasyonun diğer birimlerinin uzmanlarını (otomatik bilgilendirme işlemi teknolojisi konularının farkındadır) içerir.

Kuruluşun yönetiminin emri, özellikle, tüm bilgisayarların kaynaklarını analiz etmede çalışma grubuna yardımcı olmak ve yardımcı olmak için tüm yapısal bölümlerin tüm yöneticilerine verilir.

Yardımlara yardımcı olmak için, çalışanlar bölümlerde otomatik bilgi işleme hakkında detaylı bilgi sağlamak için tahsis edilmelidir.

Kurumsal bilgi sisteminin organizasyonunun ve alt sistemlerinin belirli birimlerinin incelenmesi sırasında, tüm fonksiyonel görevler, bilgisayarlarda kullanan ve bu görevleri bölümlerdeki bu görevleri çözmede kullanılan her türlü bilgi kullanılarak tespit edilir ve açıklanır.

Bundan sonra, toplam işlevsel görevler listesi hazırlanır ve her görev için form verilir. Farklı birimlerde aynı görevin farklı olarak adlandırılabileceği ve aksine, çeşitli görevler aynı ada sahip olabileceği akılda tutulmalıdır. Aynı zamanda, ünitenin fonksiyonel görevlerini çözülmesinde kullanılan yazılım araçları gerçekleştirilir.

Alt sistemleri ve görevlerin analizini incelerken, tüm gelen, giden, depolanan, işlenen, vb. Türleri tespit edilir. Yalnızca gizli (bankacılık ve ticari sırlara, kişisel verilere) atfedilebilecek bilgileri değil, aynı zamanda bütünlüğünün veya erişilebilirliğinin ihlalinin organizasyonun maddi hasara neden olabileceği gerçeğinden dolayı korunacak bilgileri tanımlamak gerekir. .

Alt sistemlerde dolaşan ve işlenen her türlü bilgiyi ortaya çıkarmak, özelliklerinin rahatsızlıklarının neden olduğu sonuçları değerlendirmek gerekir. İlk tahminler elde etmek için, bir anket yapmanız önerilir (örneğin, anket şeklinde) bu bilgilerle çalışan uzmanlar. Aynı zamanda, bu bilgiyle, bunun için olabildiğince ya da yasadışı olarak kullanabileceğini, hangi sonuçlara yol açabileceğini öğrenmek gerekir.

Muhtemel hasarı ölçmek imkansızsa, nitel değerlendirmesi verilir (örneğin: çok düşük, düşük, orta, yüksek, çok yüksek).

Bir organizasyonda çözülen fonksiyonel görevlerin bir listesini ve formüllerini oluştururken, çözümlerinin sıklığını, sonuçları elde etmek için izin verilen maksimum gecikme süresi ve bunların mevcudiyetlerinin ihlallerinin olabileceği sonuçların ciddiyetinin derecesini elde etmek gerekir. kurşun (problem çözme olasılığını engelleme).

Anket sırasında tespit edilen tüm bilgiler uygun belgeye kaydedilir.

Daha sonra, hangi tür gizemin (sırları oluşturmayan bankacılık, ticari, kişisel verilerin), tanımlanmış bilgi türlerinin her birini içermesi gerekir (mevcut mevzuatın gereklilikleri temelinde ve hakların örgütlenmesi şartıyla) .

Gizlilik kategorilerini ve özel bilgilerin bütünlüğü kategorilerini değerlendirmek için ilk teklifler, yapısal birimin yöneticilerinden (önde gelen uzmanları) (Gizlilik özelliklerinin ihlali ve bilginin bütünlüğünün ihlali nedeniyle kişisel değerlendirmelerine dayanarak) yöneticilerden öğrenilmiştir. . Liste daha sonra Otomasyon ve Bilgisayar Güvenlik Bölümleri Bölümünün liderleriyle koordine edilir ve kuruluşun yönetimine sunulur.

Bir sonraki adımda, işlevsel bir görev kategorisi var. Kuruluşun birimlerinin başkanları için kullanılabilirlik gereksinimlerine dayanarak ve BT hizmeti ile kararlaştırılan tüm uygulama fonksiyonel görevleri, kullanan bölümlerde çözülür. bilgisayar Ekipmanları. Bilgi görev formuna girilir. Belirli bilgisayarlara ve uygulamalı görevlere bağlanma dışındaki sistem görevlerinin ve yazılımın sınıflandırılmasını içermemelisiniz.

Gelecekte, BT uzmanlarının katılımıyla ve IB bölünmesinin katılımıyla, her bir görevin bilgi ve yazılım kaynaklarının bileşimini netleştirmek ve Koruma Uygulamalarını yapılandırmak için kullanıcı grupları ve kuralların kullanıcı grupları hakkında bilgi formunu oluşturması gerekmektedir. Bunu çözerken. Bu veriler, ilgili bilgisayarların korunması için referans ayarları olarak kullanılacak ve kurulumlarının doğruluğunu kontrol etmek için de kullanılacaktır.

Son aşamada, bilgisayarların kategorizasyonu, maksimum özel görev kategorisine dayanarak, üzerine çözüldü, üzerine çözüldü ve bu görevleri çözmede kullanılan bilgilerin maksimum gizlilik ve bütünlük kategorileri. Bilgisayar kategorisi bilgileri formuna girilir.

Kaynak envanteri kavramı, sahip olduğunuz aktif ve pasif ağ kaynaklarının yalnızca kuruluş tarafından satın alınan ekipman (ve eksiksiz) uzlaştırılmasını da içermektedir. Ekipmanın uzlaşması ve eksiksizliği için uygun yazılımı (örneğin, Microsoft SMS sunucusu) vb. Kullanabilirsiniz.

Bu ayrıca, tüm olası bağlantı noktalarının açıklamasına sahip bir ağ kartı oluşturmayı, kullanılan bir yazılımın listesini çizerek, kuruluşta kullanılan lisanslı lisans yazılımı fonu fonunun oluşumu ve ayrıca algoritmaların ve programların temelini oluşturur. kendi gelişimi.

Yazılımın, yalnızca, her türlü yer iminin yokluğuna ve "mantıksal bombaların" olmaması için Bilgi Koruma Departmanı tarafından doğrulandıktan sonra çalışmaya kabul edilebileceği belirtilmelidir.

Uygulamaları kullanma eğilimi hakkında söylemek istiyorum açık kodlar. Kuşkusuz, önemli kaynak tasarrufu sağlıyorlar. Bununla birlikte, bu durumda, güvenlik sadece sistem geliştiricisine değil, aynı zamanda yöneticinize olan güvenle belirlenir. Ve yöneticinin maaşını dikkate alırsanız, doğrudan bir dış saldırı yapmaktan daha kolay ve daha ucuzlarınızı satın aldığınız sonucuna varmak zor değildir. Başarılı saldırıların çoğunun, içeri girenlerin (şirketin kendisine hizmet etmesi) gerçekleştirdiğinden bahsetmeye değer.

Serbestçe dağıtılmış bir yazılımı uygulamak için gerekli olduğu anlaşılıyor, eğer ciddi bir hasar verme riski varsa, yalnızca size derlemede ve mantıksal bombaların yokluğunu garanti eden bir kuruluşun dijital imzası ile temin edilebilecekse mümkündür. , her türlü yer imleri ve "siyah vuruşlar". Ayrıca, garantörün organizasyonu malzeme sorumluluğunu taşımalıdır. Ancak, bugün böyle bir teklif gerçek dışı akıntıya atfedilmelidir.

Kontrol ettikten sonra, referans yazılımı algoritmalara ve Programlar Vakfı'na girilir (bir referans kopyası, sağlama toplamı dosyası ve daha iyi - geliştiricinin elektronik imzası ile birlikte). Gelecekte, sürümleri değiştirirken, güncellemelerin görünümü, yazılım kontrolü yerleşik prosedür tarafından yapılır.

Yüklü yazılımın form formu, her bilgisayarın formuna girilir, kurulum tarihi belirtilir, bu yazılımı kullanarak çözülen hedefler, görev, yükledi ve yazılımı yapılandıran kişinin adı ve imzası ayarlanır. Bu tür formülasyonlar oluşturduktan sonra, bilgi güvenliği hizmeti, gerçek pozisyonun formülasyona uygunluğunun düzenli bir doğrulamasını sağlamalıdır.

Bilgi güvenliği hizmetinin bir sonraki adımı, güvenlik politikasının oluşturulacağı temelinde, kuruluşun risklerinin analizi olmalıdır.