Axborot va axborot tizimlarini tayinlash uchun | Axborot texnologiyalari tizimining resurslarini tasniflash to'g'risidagi nizom

Mixail Kopenkov | © M. Kopenkov

Axborot xavfsizligi - bu axborot muhitining xavfsizligi holati. Axborot xavfsizligi bir qator choralar sifatida ko'rib chiqilishi kerak, ular orasida ko'proq yoki unchalik muhim emas. Axborot xavfsizligi tushunchasi Axborot xavfsizligi holatiga, I.E., I.E., I.E., I.E., I.E., I.E., I.E., I.E., I.E., I.E., I.E., I.E., I.E., I.E., Axborot xavfsizligiga erishishga qaratilgan jarayon. Biroq, ma'lumotlarni himoya qilishdan oldin qaysi ma'lumotlarni himoya qilish kerakligini va qay darajada himoya qilish kerakligini aniqlash kerak. Bu ma'lumotlarning tasmasini toifishi (tasnifi), I.E., axborot xavfsizligi va tegishli toifalarga Axborot xavfsizligi va o'ziga xos axborot resurslarini tashkil etishdan foydalanadi. Shunday qilib, ma'lumotni tasniflash Tashkilotning axborot xavfsizligini ta'minlash yo'lini birinchi qadam deb atash mumkin.

Tarixan, uni maxfiylik darajasi (maxfiyligi) darajasida klassifikatsiya qilishda tasniflash kerak. Shu bilan birga, foydalanish imkoniyati va yaxlitlik talablari ko'pincha hisobga olinmaydi yoki axborotni qayta ishlash tizimlariga umumiy talablar bilan hisobga olinadi. Bu noto'g'ri yondashuv. Ko'p sohalarda, ulush maxfiy ma'lumotlar Nisbatan kichik. Uchun ochiq ma'lumotNoma'lum, eng muhim xususiyatlar mavjud bo'lgan narsalarning buzilishi: foydalanish, yaxlitlik va xavfsizlikni noqonuniy nusxalashdan. Bunga misol sifatida siz avtomatik ravishda kompaniyaning veb-saytiga kirish huquqini saqlab qolish muhimligini onlayn do'kon olib kelishingiz mumkin. Axborot xavfsizligining turli darajasini ta'minlash zarurati asosida siz turli xil toifadagi maxfiylik, yaxlitlik va foydalanish imkoniyati mavjud.

1. Himoyalangan ma'lumotlarning maxfiyligi toifalari

Axborotning maxfiyligi - bu ma'lumotlarga kirish huquqiga ega bo'lgan shaxslar doirasidagi cheklovlarni joriy etish zarurligini ko'rsatadigan ma'lumotnoma.
Axborotning quyidagi maxfiylik shiforatlari kiritiladi:
– - maxfiylik talablariga muvofiq maxfiy bo'lgan ma'lumotlar, shuningdek, tarqatish bo'yicha cheklovlar, tashkilot rahbarining qarorlari bo'yicha kiritilgan cheklovlar tashkilot faoliyatiga jiddiy zarar etkazishiga olib kelishi mumkin.
– Maxfiy ma'lumotlar - qat'iy maxfiy bo'lmagan ma'lumotlar, tarqatish bo'yicha cheklovlar faqat tashkilot rahbarining qarori bilan, uning oshkor qilinishi tashkilot faoliyatiga zarar etkazishga olib keladigan.
– Ochiq ma'lumot - Ushbu turkumning maxfiyligini ta'minlash kerak emasligini ta'minlash uchun ma'lumotni o'z ichiga oladi.

2. Ma'lumotlarning yaxlitligi toifalari

Axborotning yaxlitligi mol-mulk hisoblanadi, bu ma'lumotlar bajarilganda, ular oldindan belgilangan shaklda va sifatni saqlab qolgan (ba'zi belgilangan holatga nisbatan o'zgarishsiz).
Axborot yaxlitligi bo'yicha quyidagi toifalar kiritiladi:
– Baland - Ushbu turkumda axborot, ruxsatsiz o'zgartirish yoki qalbakilashtirishni tashkil etish tashkilotning faoliyatiga jiddiy zarar etkazishi mumkin.
– Past - Ushbu turkumda ruxsatsiz modifikatsiyalanish tashkilotning faoliyatiga o'rtacha yoki kichik zararni qo'llashga olib kelishi mumkin.
– Talablar yo'q - Ushbu toifaga talablar taqdim etilmaganligini ta'minlash uchun ma'lumotni o'z ichiga oladi.

3. Ma'lumot mavjud ma'lumotlar

Mavjudlik - bu foydalanish huquqi bo'lgan sub'ektlarning mavzusi bo'lgan ma'lumotlar holati.
Quyidagi ma'lumotlar mavjudlik toifalari:
– - Axborot olish istalgan vaqtda taqdim etilishi kerak (ma'lumot olish uchun kechikish bir necha soniya yoki daqiqadan oshmasligi kerak).
– Yuqori mavjudligi - Ma'lumotlarga kirish vaqtsiz kechikishlarsiz amalga oshirilishi kerak (ma'lumot olish uchun kechikish kechikish bir necha soatdan oshmasligi kerak).
– O'rtacha foydalanish imkoniyati - Ma'lumotlarga kirish vaqtinchalik kechikishlar bilan ta'minlanishi mumkin (ma'lumot olishning kechikishi bir necha kundan oshmasligi kerak).
– Kirish imkoniyati - Axborot olishda vaqtni kechiktirish deyarli cheklanmaydi (ma'lumotlarga kirish uchun ruxsat berish kechiktirilgan - bir necha hafta).

Yuqorida aytib o'tilganidan ma'lumki, ma'lumotlarning maxfiyligi va yaxlitligi tashkilotning ushbu xususiyatlarini buzgan holda tashkilotga etkazilgan zarar miqdoriga bevosita bog'liqligi aniq. Kamroq darajada mavjudlik toifalari, balki tashkilotga etkazilgan zarar miqdoriga bog'liq. Zarar miqdorini aniqlash uchun uning sub'ektiv baholari qo'llaniladi va uch darajali shkala joriy etiladi: sezilarli zarar, o'rtacha zarar va kam zarar (yoki zarar yo'q).
pastAgar foydalanish imkoniyati yo'qolgan bo'lsa, maxfiylik va / yoki yaxlitlik tashkilot, uning aktivlari va xodimlari faoliyatiga ozgina salbiy ta'sir ko'rsatadi.
Salbiy ta'sir quyidagilarni anglatadi:
- tashkilot o'z faoliyatini amalga oshirishga qodirligicha qolmoqda, ammo asosiy funktsiyalarning samaradorligi pasayadi;
- aktivlar bo'yicha ahamiyatsiz zarar etkazilishi;
- Tashkilot kichik moliyaviy yo'qotishlarni amalga oshiradi.
Tashkilotga zarar etkazilganidek mo''tadilAgar qulaylik yo'qolishi, maxfiylik va / yoki yaxlitlik tashkilot, uning aktivlari va xodimlariga jiddiy salbiy ta'sir ko'rsatadi.
Salbiy ta'sirning jiddiyligi quyidagilarni anglatadi:
- tashkilot o'z faoliyatini amalga oshirishga qodirligicha qolmoqda, ammo asosiy funktsiyalarning samaradorligi sezilarli darajada kamayadi;
- Tashkilotning aktivlari katta zarar etkazdi;
- Kompaniya muhim moliyaviy yo'qotishlarni amalga oshiradi.
Tashkilotga etkazilgan zarar deb baholandi ahamiyatliAgar foydalanish imkoniyati, maxfiylik va / yoki yaxlitlik tashkilotiga, uning aktivlariga, uning aktivlari va xodimlariga jiddiy ta'sir ko'rsatadigan (katastrofik) salbiy ta'siri, i.e.
- tashkilot barcha asosiy funktsiyalarini bajarish qobiliyatini yo'qotadi;
- Tashkilotning aktivlari katta zarar etkazdi;
- Tashkilot katta moliyaviy yo'qotishlarga olib keladi.
Shunday qilib, ushbu tashkilotning konfidentsialligi, yaxlitligi va ma'lumotlarning mavjudligini buzgan holda tashkilot faoliyatiga zarar etkazish, ma'lumotlarning uch turini belgilash, uch turni ajratish mumkin: eng tanqidiy, tanqidiy va tanqidiy bo'lmagan .

Ma'lumot turi ushbu ma'lumotlarning toifasini tuzish orqali belgilanadi.
1-jadvalda ma'lumotlar turi ko'rsatilgan.

Axborot Maxfiylik toifasi	Axborot yaxlitligi toifasi	Axborot olish imkoniyatlari toifasi	Axborot turi
Qat'iy maxfiy ma'lumotlar	*	*
*	Baland	*	Eng muhim ma'lumot
*	*	Kasallikning qulayligi	Eng muhim ma'lumot
Maxfiy ma'lumotlar	*	*	Tanqidiy ma'lumotlar
*	Past	*	Tanqidiy ma'lumotlar
*	*	Yuqori mavjudligi	Tanqidiy ma'lumotlar
Ochiq ma'lumot	Talablar yo'q	O'rtacha foydalanish imkoniyati	Tanqidiy bo'lmagan ma'lumotlar
Ochiq ma'lumot	Talablar yo'q	Kirish imkoniyati	Tanqidiy bo'lmagan ma'lumotlar

1-jadval: Ma'lumot turini aniqlash

Shunday qilib, ma'lumotni tasniflash Tashkilotning axborot xavfsizligini ta'minlash yo'lining birinchi qadamidir, chunki avval biron bir narsani himoya qilish uchun avval, birinchi navbatda, himoya qilish va qay darajada ishlashi kerakligini aniqlashga arziydi. Elektron shaklda ham, moddiy tashuvchida ham ta'minlangan tizimlar va tizim ma'lumotlari toifalangan. Himoyalangan ma'lumotlar turini aniqlash uchun, tashkilotning qaysi zararini konfidentsiallik, yaxlitlik va bunday ma'lumotlarning mavjudligini yo'qotishiga olib keladiganligini aniqlash kerak.
Kelajakda, qanday ma'lumotni aniqlash orqali har bir ma'lumotni himoya qilish uchun turli xil tadbirlarni qo'llashingiz mumkin. Bu nafaqat tashkilotda qayta ishlanayotgan ma'lumotlarni tuzadi, balki himoya boshqaruv tizimini muhofaza qilinadigan ma'lumotlarga nisbatan samarali va foydalanishga, shuningdek axborot xavfsizligini ta'minlash xarajatlarini optimallashtirishga ham, shuningdek, axborot xavfsizligini ta'minlash xarajatlarini optimallashtirishga ham, shuningdek, axborot xavfsizligini ta'minlash xarajatlarini optimallashtirishga ham kiradi.

Adabiyotlar ro'yxati:
1. Agar Axborot xavfsizligi xizmati: 2008 yil, 2008, http://www.com/arcresp.px?id\u003d20512
2. Simsiz A. A., Deksiyaev V. E., Axborot xavfsizligi tamoyillari hisoblash tarmoqlari. Ulyanovsk: ulgtu, 2009. 156 p.

Himoyalangan ma'lumotlar (himoya qilinadigan ma'lumotlar) - mulkchilik subyektlari bo'lgan va qonunchilik va boshqalarning talablariga muvofiq muhofaza qilinadigan ma'lumotlar (ma'lumotlar) normativ hujjatlar yoki ma'lumot egasi (bank) tomonidan belgilangan talablarga muvofiq.

Bankning bank tizimining himoyalangan resurslari (himoya qilinadigan IBS resurslari) - ma'lumotlar, funktsional vazifalar, axborot uzatish kanallari, bankning, mijozlari va muxbirlarining axborot xavfsizligini ta'minlash uchun himoya qilinadigan ish o'rinlari.

Himoyalangan ish joyi (Bosh vazir) - Himoya ob'ektini himoya qilish ( shaxsiy kompyuter Tegishli dasturiy ta'minot va ma'lumotlar to'plami bilan), ma'lumotlar qayta ishlash tartibini aniqlash va tavsiflash zarurligini tan olgan.

joylashuvi, shuningdek, ruxsatsiz shaxslar uchun jismoniy foydalanish darajasi (mijozlar, tashrif buyuruvchilar, bosh vazir bilan ishlashga ruxsat berilmagan va boshqalar);

apparatning tarkibi;

dasturiy ta'minot tarkibi va uning vazifalariga hal qilindi (mavjudlikning ma'lum bir toifalari);

pM haqida ma'lumot (konfidentsiallik va yaxlitlik ma'lum bir toifadagi ma'lumotlar tarkibi.

RM shaklida. - belgilangan shakl (3-ilova), bu Bosh vazirning xususiyatlarini belgilaydi (joylashuvi, apparat va dasturiy ta'minot, apparatning konfiguratsiyasi, bosh vazirni ishga tushirish va boshqa vazifalarni bajarish (ko'rsatilgan vazifalarning ro'yxati) Ushbu bosh vazirning toifasiga muvofiq ish bilan shug'ullanadigan ma'lumotlarni himoya qilish uchun talablarning bajarilishi).

Himoyalangan vazifa - Funktsional vazifa alohida ma'lumotni tartibga solish rejimini aniqlash zarurligini tan olgan va tavsiflangan alohida rmda hal qilinadi:

resurslarni hal qilishda ishlatiladigan foydalanuvchilar (dasturiy ta'minot, ma'lumotlar to'plamlari, qurilmalari);

echimlarning chastotasi;

muammoni hal qilish muammosini olishda maksimal vaqt kechikish.

Vazifa shakli - Vazifaning xususiyatlarini belgilaydigan hujjat (uning nomi, maqsadi, uni hal qilishda ishlatiladigan tur, bu vazifaning foydalanuvchi guruhlari, ularning vazifa va boshqalar). .

Himoyalangan axborot uzatish kanali - himoyalangan ma'lumotlar uzatiladigan yo'l. Kanallar jismoniy (bir qurilmadan boshqasiga) va mantiqiy (bir vazifadan boshqasiga) bo'linadi.

Axborotning maxfiyligi - субъективно определяемая (приписываемая) информации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ unga.

Axborot yaxlitligi - uning mavjudligi uning mavjudligi bilan tuzatilmagan shaklda (doimiy ravishda belgilangan holatga nisbatan doimiy ravishda).

Ma'lumotlarning mavjudligi (vazifalar) - bu ma'lumotlarga ega bo'lgan ma'lumotlarga (agar mavzularda tegishli kirish organlari bo'lsa), tegishli ma'lumotlarga ega bo'lgan ma'lumotlarni o'z vaqtida etkazish uchun tavsiflangan ma'lumotlarni aylantiruvchi va ishlov berishning mulki. Tegishli avtomatlashtirilgan xizmatlar (funktsional vazifalar) har doim ularga murojaat qilganda talablarni talablarga amal qilish uchun zarur bo'lganda kerak.

1. Umumiy qoidalar

1.1. Ushbu qoida toifalar (resurslarni himoya qilish muhimligini baholash) tomonidan joriy etilgan va himoya qilinishi uchun axborot tizimining resurslarini tasniflash tartibini belgilaydi (ularni tegishli toifalar bo'yicha bankka berish, bankka etkazilgan zararni hisobga olgan holda tegishli toifaga tayinlash) , uning mijozlari va muxbirlari IBS va yaxlitlik yoki qayta ishlangan ma'lumotlarning maxfiyligi va IBS tomonidan hal qilinishi bilan blokirovka qilish yoki qoidalarni buzish jarayoniga ruxsat berilmagan.

1.2. Resurslar toifalari (resurslarni himoya qilish talablarini aniqlash) ChD bankning axborot xavfsizligini ta'minlash va o'z maqsadlariga ega bo'lgan faoliyatni tashkil etishning zarur elementi hisoblanadi:

resurslarni himoya qilish uchun tabaqalashtirilgan yondashuv uchun me'yoriy va uslubiy asos yaratish avtomatlashtirilgan tizim (ma'lumotlar, vazifalar, kanallar, bosh vazir) ularning mavjudligi, yaxlitligi yoki maxfiyligi buzilgan taqdirda xavflilik darajasida tasnifga asoslanadi;

rM RM RM tomonidan resurslarni himoya qilish va ularning sozlamalarini birlashtirish uchun amaldagi tashkiliy chora-tadbirlar va dasturiy ta'minotni taqsimlash va dasturiy ta'minot va dasturiy ta'minotni taqsimlash.

2. Himoyalangan ma'lumotlarning toifalari

2.1. Turli xil turdagi ma'lumotlarni himoya qilish, saqlanadigan va qayta ishlangan, shuningdek, hisobga olingan holda turli xil ma'lumotlarni himoya qilish zarurligiga qarab mumkin bo'lgan yo'llar Bankga zarar etkazish, uning mijozlari va muxbirlari himoyalangan axborotning uch toifasi va himoyalangan ma'lumotlarning yaxlitligi bilan tanishadilar.

"Yuqori" - ushbu bo'limga Rossiya Federatsiyasining amaldagi qonunchiligi (bank sirlari, shaxsiy ma'lumotlar) talablariga muvofiq maxfiy bo'lgan ma'lumotlarni o'z ichiga oladi;

"NO" - Ushbu toifa "Yuqori" toifasiga tegishli emas, tarqatishning cheklovlari, bu bank rahbariyatining qarori tomonidan taqdim etilgan (egasining ruxsati bilan) qonun bo'yicha qonun bo'yicha;

"Hech qanday talablar" - Ushbu turkumda ma'lumot, maxfiylik (tarqatish cheklovlarini joriy etish) talab qilinmaydi.

"Yuqori" - Ushbu turkumda ma'lumotlar, ruxsatsiz o'zgartirish (buzilish, yo'q qilish) yoki qalbaki ravishda bankka to'g'ridan-to'g'ri zarar etkazish, uning mijozlari va muxbirlari, yaxlitligi va haqiqiyligini, uning mijozlariga to'g'ridan-to'g'ri zarar etkazish (manbaning haqiqiyligini tasdiqlash). amaldagi qonun hujjatlarining talab qilinadigan talablariga muvofiq kafolatlangan usullar (masalan, elektron raqamli imzolar) bilan ta'minlanishi kerak;

"NO" - Ushbu toifadagi ma'lumotlar, ruxsatsiz o'zgartirish, olib tashlash yoki qalbakilashtirish bankka, uning mijozlari va muxbirlariga, yaxlitlik (va kerakli va haqiqiymi yoki haqiqiymi) qo'llanilishi mumkinligini o'z ichiga oladi Bank rahbariyatining qaroriga muvofiq (cheklarning, ERI va boshqalar);

"Talablar yo'q" - Ushbu turkumning yaxlitligini (va haqiqiyligini) ta'minlash uchun ma'lumotni o'z ichiga oladi, ularning talablari taqdim etilmaydi.

2.2. Vazifalarni, kanallar va kechani tasniflash bo'yicha operatsiyalarni soddalashtirish uchun himoyalangan ma'lumotlarning maxfiyligi va yaxlitligi birlashtirilib, "juda muhim", "muhim", "muhim" va "muhim" va "muhim emas" ma'lumotlarini soddalashtirish va o'rnatilgan. Umumiy toifaga ma'lumotni tayinlash 1-jadvalga muvofiq o'z shaxsiy hayoti va yaxlitlik kategoriyalari asosida amalga oshiriladi.

1-jadval

1 - "Vital" ma'lumotlar

2 - "juda muhim" ma'lumotlar

3 - "muhim" ma'lumotlar

4 - "Muhim emas" ma'lumotlar

3. Funktsional vazifalar toifalari

3.1. Funktsional vazifalarini echish davriga va ularning yechimini olishning maksimal darajada kechikishiga qarab, funktsional vazifalar mavjudligi to'rt darajasi joriy etiladi.

Funktsional vazifalar mavjudligi uchun zarur darajasi:

"Kasalliksiz foydalanish imkoniyati" - kirish har qanday vaqtda ta'minlanishi kerak (vazifa doimiy ravishda hal qilinadi, natijani olishning kechikishi bir necha soniya yoki daqiqadan oshmasligi kerak);

"Yuqori mavjudlik" - vazifadan foydalanish kechikishlarsiz amalga oshirilishi kerak (kun har kuni hal qilinishi, natijani olish kechikishi bir necha soatdan oshmasligi kerak);

"O'rtacha mavjudlik" - vazifadan foydalanish vaqtincha kechikishlar bilan ta'minlanishi mumkin (bir necha kunga bir necha kun ichida hal qilinadi, natijani olish kechikishi bir necha kundan oshmasligi kerak);

"Ozod bo'lish imkoniyati" - vazifa olishda vaqtincha kechikishlar deyarli cheklanmaydi (vazifa bir necha hafta yoki oylar bilan hal qilinadi, natijani olishning ruxsat etilgan kechikishi bir necha hafta).

3.2. Muammoni hal qilishda ishlatiladigan muhofaza qilinadigan ma'lumotlar bo'yicha umumiy himoyalangan ma'lumotlarning umumiy kategoriyasiga va funktsional vazifalarning to'rt toifasiga: "birinchi", "to'rtinchi" va "to'rtinchi" (muvofiq 2-jadval bilan).

2-jadval

Funktsional vazifa toifasini aniqlash
Umumiy ma'lumotlar toifasi	Vazifaning mavjudligini talab qilish
Umumiy ma'lumotlar toifasi	"Kasalliksiz foydalanish imkoniyati"	"Yuqori mavjudlik"	"O'rtacha foydalanish"	"Ozod qilish qobiliyati"
"VITAL"	1	1	2	2
"Juda muhim"	1	2	2	3
"Muhim"	2	2	3	3
"Muhim emas"	2	3	3	4

4. Himoyalangan ma'lumotlarning uzatish kanallarining xavfsizligini ta'minlash uchun talablar (Kanal toifasi)

4.1. Xavfsiz ma'lumotlarning mantiqiy kanalining xavfsizlik talablari (ko'rsatilgan), ushbu kanal o'rnatilgan ikkita vazifaning maksimal toifasi bilan belgilanadi.

5. Boshliqlar.

5.1. Bosh vazirning to'rt toifasiga qarab, PV vazifalari: "A", "B", "C" va "D".

5.3. "B" pm toifasi PMni o'z ichiga oladi, unda kamida bitta funktsional vazifa hal qilinadi. Ushbu bosh vazirga kiritilgan boshqa vazifalar toifalari ikkinchi va undan yuqori bo'lmagandan past bo'lmasligi kerak.

5.4. Bosh vazir C guruhida Bosh vazir kiradi, unda uchinchi toifaning kamida bitta funktsional vazifasi hal qilinadi. Bu bosh vazirda qaror qilingan boshqa vazifalar toifalari uchdan biriga nisbatan yuqori bo'lishi kerak.

3-jadval.

5.6. Turli xil toifadagi RMning Xavfsizligini ta'minlash uchun talablar (tegishli choralar va davolanishni qo'llash bo'yicha) 5-ilovada keltirilgan.

6. Himoyalangan resurslar toifalarini aniqlash tartibi IBS

6.1. Toifalar Axborot bank tizimining (RM, vazifalar, ma'lumotlar) resurslarini inventarizatsiya qilish asosida amalga oshiriladi va IBB resurslarining himoya qilinishi va ulangan IBS resurslarining ro'yxatini (zudlik bilan) bajarishni anglatadi .

6.2. IBS resurslari ro'yxatlarini tuzish va saqlash uchun javobgarlik belgilanadi:

bosh vazirning ro'yxatini tuzish va saqlash nuqtai nazaridan (ularni joylashtirish, banklarning joylashishi, banklarning birlashishi, tarkibiga kiritilgan tarkibiy va xususiyatlar texnik vositalar) - menejment bo'yicha axborot texnologiyalari (bundan keyin ham);

bosh vazir va ularni echish paytida ishlatiladigan maxsus (maxsus) vazifalar ro'yxatini tuzish va saqlash nuqtai nazaridan (ularni echish paytida ishlatiladigan manbalar ro'yxatini ko'rsatish) - kafedraga - ma'lumotlar bilan texnik yordam Oq.

6.3. Maxfiylik, yaxlitlik, mavjudlik, mavjud bo'lgan RM resurslari (axborot resurslari va topshiriqlari) talablarini aniqlash uchun mas'uliyat bankning bo'linmalariga (Axborot xavfsizligi) va axborot xavfsizligi bo'limi tomonidan to'g'ridan-to'g'ri hal etilmoqda .

6.4. Ushbu "IBS resurslarining resurslarini tasniflash to'g'risidagi nizom" ga muvofiq IBS toifalarining axborot resurslarining tasdiqlashi, Bank Boshqaruvi raisi tomonidan amalga oshiriladi.

6.6. IBS resurslarining toifasini ajratish har bir RM uchun ketma-ket ravishda amalga oshiriladi, keyingi birlashma va IBS resurslari huquqini himoya qilish uchun asoslanadi:

himoyalangan bo'lishi kerak bo'lgan Axborot resurslari ro'yxati (2-ilova);

himoya qilinadigan vazifalar ro'yxati (vazifa shaklidagi);

bosh vazir ro'yxati (Bosh vazirning qoliplari to'plamlari).

Ishning birinchi bosqichida ma'lum bir bosh vazirning resurslarini assotatsiyalash bo'yicha ushbu bosh vazirda muammolarni hal qilishda ishlatiladigan barcha ma'lumotlar mavjud. Ma'lumotlarning umumiy kategoriyalari ma'lum bir ma'lumot turlarining maxfiyligi va yaxlitligi belgilangan toifalari asosida belgilanadi. Himoyalangan axborot resurslari "Himoyalangan holda axborot resurslari ro'yxati" ga kiritilgan.

Ikkinchi bosqichda avvalgi vazifalarni hal qilishda amalga oshirilgan ma'lumotlar va vazifalarni bajarish talablari ushbu vazifalarga kiritilgan barcha funktsional vazifalarga kiritilgan.

To'rtinchi bosqichda, o'zaro munosabatlarning toifalari asosida funktsional vazifalarga (turli xil bosh vazir) mantiqiy kanalli uzatish kanallari yaratildi. 6.7. IBS axborot resurslarini qayta moliyalashtirish, tegishli ma'lumotlarning xususiyatlarini himoya qilishni (maxfiylik va yaxlitligini) ta'minlash uchun talablarni o'zgartirishda amalga oshiriladi.

Funktsional vazifalarning pul o'tkazmasi (ushbu vazifani hal qilishda ishlatiladigan axborot resurslarining umumiy toifasini o'zgartirish, shuningdek funktsional vazifalarning mavjudligini o'zgartirishda talablarni o'zgartirishda amalga oshiriladi.

Mantiqiy kanallarning pul o'tkazmasi (turkumidagi kategoriya), o'zaro aloqalarning toifalari o'zgarganda amalga oshiriladi.

Bosh vazirning izlanishlari (kategoriyasini o'zgartirish) bosh vazir ma'lumotlarini o'zgartirish yoki bosh vazir ma'lumotlariga kiritilgan vazifalar tarkibini o'zgartirishda amalga oshiriladi.

6.8. Vaqti-vaqti bilan (yiliga bir marta) yoki Bank tarkibiy bo'linmalari rahbarlarining iltimosiga binoan amaldagi resurslarning belgilangan tartib-idoralariga muvofiqligi belgilangan toifalarini qayta ko'rib chiqish amalga oshiriladi.

7. Ko'rib chiqish tartibi

7.1. Turli xil toifalar bo'yicha tibbiyotga bo'lgan talablar o'zgarganda, audit (keyin tasdiqlashdan keyin) 5-ilovaga muvofiq.

7.2. "Himoyalangan axborot resurslari ro'yxati" ga o'zgartirish va qo'shimchalar kiritilganda, ko'rib chiqilishi (tasdiqlashdan keyin tasdiqlangan) 4-ilovaga muvofiq.

1-ilova - himoyalangan resurslarni rivojlantirish usullari

Ushbu usul Bank bankida "Axborot bank tizimining resurslarini toifalash to'g'risidagi nizom" ga binoan bank bankida himoyalangan resurslarni ajratish tartibini aniqlashtirish uchun mo'ljallangan. Kategoriyalar EBS EBS EMB va bankning tarkibiy bo'linmalarini tekshirish va himoya qilish uchun barcha IBS resurslarini aniqlash bo'yicha ishlarni olib borishni o'z ichiga oladi. Ushbu asarlarni amalga oshirish bo'yicha aniq harakatlarning asosiy ketma-ketligi va asosiy tarkibi quyida keltirilgan.

1. Bankning axborot tizimining barcha quyi tizimlarini va IBS resurslarini muhofaza qilish uchun IBS resurslarini inventarizatsiya qilish, maxsus ishchi guruh tuziladi. Ushbu guruhga axborot xavfsizligi bo'limi mutaxassislari va bank axborot texnologiyalarini boshqarish bo'yicha mutaxassislar kiradi (texnologiya masalalarini xabardor qilish) avtomatlashtirilgan qayta ishlash ma `lumot). Kerakli holatni etkazish ishchi guruh, Bank Boshqaruvi raisining tegishli ixtiyori e'lon qilinadi, xususan, bankning tarkibiy bo'linmalarining barcha rahbarlari, ishlarni amalga oshirishda ishchi guruhga yordam berish va zarur yordam ko'rsatish bo'yicha ko'rsatilgan IBAni o'rganish. Guruhning ishlashida yordam berish uchun xodimlar ushbu bo'limlarning rahbarlariga ajratilishi kerak. batafsil ma'lumot Ushbu bo'limlarda axborotni qayta ishlash uchun.

2. Bankning ma'lum bir bo'linmalari va Axborot quyma tizimlarining ekspertizasi davomida IBS yordamida hal qilingan barcha funktsional vazifalar aniqlanadi va tavsiflanadi, shuningdek, tarmoqlarda ushbu vazifalarni echishda ishlatiladigan barcha turdagi ma'lumotlar (ma'lumotlar).

3. Funktsional vazifalarning umumiy ro'yxati chizilgan va har bir vazifa chizilgan (ishga tushirish) shaklida (2-ilova). Shuni yodda tutish kerakki, turli xil birliklardagi bir xil vazifa boshqacha deb atash mumkin va aksincha, turli vazifalar bir xil nomga ega bo'lishi mumkin. Shu bilan birga, jihozning funktsional vazifalarini echishda ishlatiladigan dasturiy vositalar (umumiy, maxsus) amalga oshiriladi.

4. Qo'llash yoki vazifalarni tahlil qilishda, barcha turdagi kirish, chiquvchi, saqlanadigan, qayta ishlangan va shunga o'xshash narsalar aniqlanganda. ma `lumot. Nafaqat maxfiy (bank va tijorat sirlari, shaxsiy ma'lumotlar), balki uning yaxlitligi buzilishi yoki mavjudligi (vayronagarchilik (vayronagarchilik (vayronagarchilik) tufayli himoya qilinadigan ma'lumotlarni aniqlash kerak. ) Bankga, uning mijozlariga yoki muxbirlariga sezilarli zararni qo'llashi mumkin.

5. Agar quyi tizimlarda aylanib yuradigan va qayta ishlangan barcha turdagi ma'lumotlarni aniqlashda, uning xususiyatlari buzilganligi (maxfiylik, benuqson) olib kelishi mumkin bo'lgan oqibatlarning jiddiyligini aniqlash maqsadga muvofiqdir. Bunday oqibatlarning jiddiyligini dastlabki baholash uchun so'rov o'tkazish tavsiya etiladi (masalan, so'rov shaklida) ushbu ma'lumotlar bilan ishlaydigan mutaxassislar. Shu bilan birga kim qiziqishi mumkinligini aniqlash kerak ushbu ma'lumotQanday oqibatlarga olib kelishi mumkin bo'lgan yoki noqonuniy foydalanishi mumkin?

6. Ehtimol zarar etkazilganligi to'g'risidagi ma'lumotlar maxsus shakllarga kiritilgan (3-ilova). Agar ehtimol zararni aniqlash imkonsiz bo'lsa, uning sifatli baholanishi (masalan: past, o'rta, yuqori, juda yuqori).

7. Bankda hal qilingan funktsional vazifalar ro'yxati va rasmiyatchisining shakllanishiga qaramay, ularning echimini, muammolarni hal qilishning maksimal vaqtini va oqibatlarning jiddiyligi darajasini olish uchun ularning echimi bo'lgan vaqtini aniqlash kerak. ularning mavjudligini buzish (muammolarni hal qilish imkoniyatini blokirovka qilish mumkin. Ehtimol zararning taxminiy xususiyatlari maxsus shakllarga kiritilgan (3-ilova). Ehtimol zararni miqdoriy baholashning iloji bo'lmasa, sifatli baholash amalga oshiriladi.

8. Tadqiqot davomida aniqlangan barcha ma'lumotlar "Himoyalangan holda axborot resurslari ro'yxati" da har xil ma'lumotlar qayd etiladi.

9. maxfiylik turini o'z ichiga olgan maxfiylik turini o'z ichiga olgan maxfiylik (bank, tijorat, shaxsiy ma'lumotlar) ni o'z ichiga olgan maxfiylik (bank, tijorat, shaxsiy ma'lumotlar) (amaldagi qonun hujjatlari talablari asosida) o'z ichiga oladi (ro'yxatda ko'rsatilgan) ularga berilgan huquqlar).

10. Maxsus axborot turlarini maxfiylik va yaxlitligini baholash bo'yicha dastlabki takliflar bankning tarkibiy bo'linmaining etakchi bo'limi (etakchi mutaxassislari) tomonidan (etakchi mutaxassislardan) aniqlanadi (ularning maxfiylik xususiyatlarini buzganlik va maxfiylik xususiyatlari va Ma'lumotlarning yaxlitligi). Ma'lumotlarning ma'lumotlar hisob-kitoblariga ko'ra "Axborot resurslari ro'yxati bilan himoyalangan" (2 va 3-ustunlarda) kiritiladi.

11. Keyin ro'yxat xavfsizlikni boshqarish, Vase va Axborot xavfsizligi bo'limiga mos keladi va axborot xavfsizligi qo'mitasi tomonidan ko'rib chiqiladi.

12. Axborot xavfsizligini boshqarish qo'mitasi ro'yxatini ko'rib chiqishda o'zgarishlar va qo'shimchalar kiritilishi mumkin. "Himoyalangan axborot resurslari ro'yxati" ning tayyorlangan versiyasi Bank Boshqaruvi raisi tomonidan tasdiqlash uchun taqdim etiladi.

13. Tasdiqlangan "Axborot resurslari ro'yxati", "himoya qilinadigan axborot resurslari ro'yxati", har bir ma'lumotning umumiy toifasi (tasnimallashtirish toifasi jadvaliga muvofiq) belgilanadi.

14. Keyingi bosqichda funktsional vazifalar tasniflanadi. Bankning boshliq bo'linmalari rahbarlari tomonidan belgilangan va xavfsizlik va variantlar bilan kelishilgan holda, barcha maxsus (amaliy) funktsional vazifalar, barcha maxsus (Amaldagi resurslarni toifalarni toifalarni toifalash) blokirovka qilingan. Maxsus vazifalar toifalari haqida ma'lumot Vazifa shaklida keltirilgan. Muayyan bosh vazirning o'rniga umumiy (tizim) vazifalari va dasturlarini tasniflash amalga oshirilmaydi.

Kelgusida, imonli mutaxassislar ishtirokida har bir vazifaning axborot va dasturiy ta'minot resurslarining tarkibi tarkibini aniqlashtirish va xavfsizlik vositalarining sozlamalarini o'rnatish uchun foydalanuvchi guruhlari va ko'rsatmalari to'g'risidagi ma'lumotlarga ma'lumot qo'shish kerak (vakolatlar) Vazifaning ko'rsatilgan resurslariga kirish guruhlari). Ushbu ma'lumotlar tegishli Boshliqni himoya qilishning moslashuv sozlamalari sifatida ishlatiladi, bu vazifani hal qilish va ularning o'rnatilishining to'g'riligini boshqarish uchun ishlatiladi.

15. Keyin u funktsional vazifalar o'rtasidagi barcha mantiqiy kanallar bilan tasniflanadi. Kanalning kategoriyasi o'zaro ta'sirga jalb qilingan vazifalarni maksimal darajada kategoriya asosida belgilanadi.

16. So'nggi bosqichda RM tasmasi tasmasi tasmasi kategoriyalangan. Bosh vazir turkumi maxsus vazifalarning maksimal toifasiga asoslanib, uni hal qilish (yoki umumiy vazifalarni hal qilishda ishlatiladigan ma'lumotlar toifasi). Bir pm, har qanday vazifalar, ushbu toifadagi maksimal darajadan past bo'lgan har bir vazifa birlikdan oshmaydi. TMB ma'lumoti RM fortiga taqdim etiladi.

Muharrirdan

Inson faoliyatining har qanday turi ma'lum bir ahamiyatga ega bo'lgan mahsulot, material yoki intellektual, ya'ni narxga ega bo'lgan jarayon sifatida taqdim etilishi mumkin. Axborot bunday qiymatlarning turlaridan biridir, shunda shunchalik baland bo'lishi mumkinki, uning yo'qolishi yoki oqishi, hatto qisman, kompaniyaning juda borligini shubha ostiga qo'yishi mumkin. Shuning uchun har kuni ma'lumotni himoya qilish tobora muhim ahamiyat kasb etmoqda, deyarli barcha yoki unchalik katta tashkilotlar mavjud.

IT bozorida axborot xavfsizligi takliflarining spektri kuchaymoqda. Ushbu mahsulotning ushbu oqimida qanday to'g'ri yo'naltirish kerak? Optimal dasturiy ta'minotni qanday tanlash kerak moliyaviy xarajatlar Sizning kompaniyangizning barcha ehtiyojlarini hisobga oling va o'zingizning kompaniyangizning barcha ehtiyojlarini hisobga olasizmi? Qaysi tanlov mezonlari qo'llaniladi? Axir, har qanday tashkilotning yoki korxonaning IB-ning o'zi intellektual va moddiy qiymatlarni keltirib chiqarmasa ham, uning ehtiyojlari va ahamiyatiga shubha tug'dirmaydi va ushbu xizmat xarajatlari kamdan-kam hollarda saqlanadi.

Kompaniyaning axborot xavfsizligi xarajatlari va darajasi eng maqbul munosabatlardagi xarajatlar va darajasi eng maqbul munosabatlarga olib kelishi uchun bu e'lon ushbu masalalarga bag'ishlangan.

Kirish

Axborot xavfsizligi faoliyati (IB) daromadlarni keltirib chiqarmaydi, ularning yordami bilan siz faqat zararni keltirib chiqaradigan zararni kamaytira olasiz. Shu sababli, IBni to'g'ri darajalar yaratish va saqlash narxi uning axborot tizimi (IP) bilan bog'liq tashkilot aktivlarining qiymatini oshirishi juda muhimdir. Axborot va axborot tizimini tasniflash, shuningdek, kategorizatsiya natijalariga asoslangan xavfsizlikni tartibga soluvchilarni tanlash bilan ta'minlanishi mumkin.

Toifalar Ma'lumotlar I. axborot tizimlari

Axborot xavfsizligi toifalari va axborot tizimlarini tayinlash xavfsizlikni buzish orqali qo'llanilishi mumkin bo'lgan zararni baholashga asoslangan. Bunday voqealar tashkilotga bunga ishonib topshirilgan vazifalarni bajarishga xalaqit berishi, aktivlarni buzish, kompaniyani amaldagi qonunchilikni buzgan holatga qo'yishi, kundalik faoliyat ko'rsatish, xodimlarni fosh qilish uchun tahdid qilish, amaldagi qonunchilikni buzgan holatga qo'yishi mumkin. Xavfsizlik toifalari tashkilotga sust xatarlarni tahlil qilish jarayonida zaifliklar va tahdidlar to'g'risidagi ma'lumotlar bilan birgalikda qo'llaniladi.

Ibning uchta asosiy jihatlari mavjud:

mavjudlik;
maxfiylik;
yaxlitlik.

Umuman olganda, IB ning buzilishi ushbu jihatlarning faqat bir qismiga ta'sir qilishi mumkin, shuningdek xavfsizlik regulyatorlari individual jihatlar uchun o'ziga xos bo'lishi mumkin. Shuning uchun, foydalanish imkoniyati, maxfiylik, konfidentsiallik va yaxlitlik uchun alohida zarar etkazish mumkinligini baholash tavsiya etiladi va agar kerak bo'lsa, siz ajralmas baho olishingiz mumkin.

Zarar miqdori uch darajali miqyosni baholash uchun qulaydir past, o'rtacha yoki yuqori ().

1-rasm. Axborot xavfsizligi tufayli baholash ko'lami

Tashkilotga zarar etkazish, maxfiylik, maxfiylik va / yoki yaxlitligi tashkilot faoliyatiga, uning aktivlari va xodimlariga zararli ta'sir ko'rsatadi. Cheklangan zararli ta'sir:

tashkilot unga tayinlangan vazifani bajarishga qodirligicha qolmoqda, ammo asosiy funktsiyalarning samaradorligi sezilarli darajada kamayadi;
tashkilotning aktivlari ozgina zarar ko'radi;
tashkilot kichik moliyaviy yo'qotishlarni amalga oshiradi;
kadrlar uchun ozgina zarar etkazdi.

Kompaniya uchun potentsial zarar deb taxmin qilinadi mo''tadilAgar foydalanish imkoniyati yo'qolgan bo'lsa, maxfiylik va / yoki yaxlitlik tashkilot, uning aktivlari va xodimlari faoliyatiga jiddiy ta'sir ko'rsatadi. Zararli ta'sirning jiddiyligi shuni anglatadi:

kompaniya bunga tayinlangan vazifani bajarishga qodir bo'lib qolmoqda, ammo asosiy funktsiyalarning samaradorligi sezilarli darajada kamayadi;
tashkilotning aktivlari katta zarar etkazdi;
kompaniya muhim moliyaviy yo'qotishlarni amalga oshiradi;
xodimlar hayotga yoki sog'liq uchun xavf tug'dirmaydigan jiddiy zararga ega.

Tashkilotga etkazilgan zarar deb baholandi uzun bo'yliAgar foydalanish imkoniyati yo'qolmasa, maxfiylik va / yoki yaxlitlik tashkilotga, uning aktivlari va xodimlariga og'ir ta'sir ko'rsatadigan og'ir yoki katastrofik ta'sir ko'rsatadi, ya'ni:

kompaniya barcha yoki ba'zi asosiy funktsiyalarini bajarish qobiliyatini yo'qotadi;
tashkilotning aktivlari katta zarar keltiradi;
tashkilot katta moliyaviy yo'qotishlarni amalga oshiradi;
xodimlar hayot yoki sog'liq uchun xavf tug'diradigan og'ir yoki halokatli zarar etkaziladi.

Foydalanuvchi va tizim ma'lumotlari elektron shaklda ham, "qattiq" nusxada taqdim etiladi. Ochiq ma'lumotlar maxfiylik bo'yicha maxfiy bo'lmasligi mumkin. Masalan, tashkilotning ommaviy kirish veb-serveri bo'yicha mavjud bo'lgan ma'lumotlar maxfiylik toifasiga ega emas va ularning mavjudligi va yaxlitligi mo''tadil deb baholanmoqda.

Axborot tizimini, saqlangan, qayta ishlangan va uzatiladigan media toifalari, shuningdek aktivlarning qiymati, I.E. Maksial toifalar barcha turdagi ma'lumotlar va aktivlar bo'yicha qabul qilinadi. Integral baho olish uchun siz axborot xavfsizligining asosiy jihatlari uchun maksimal toifalarni olishingiz kerak.

Minimal (asosiy) xavfsizlik talablari

Minimal (asosiy) xavfsizlik talablari umuman ishlab chiqariladi, IP-ga belgilangan toifadan tashqari toifadan tashqari. Ular axborot xavfsizligining asosiy darajasidan so'raydilar, ular barcha axborot tizimlarini qondirishlari kerak. Chiqarish natijalari Xavfsizlik regulyatorlarini tanlashda, xatarlarni tahlil qilish asosida talablarga muvofiqligini ta'minlaydigan (2-rasm).

2-rasm. Axborot xavfsizligi darajasi

Xavfsizlikning minimal talablari (3-rasm) IB ning ma'muriy, protsessual va dasturiy texnik darajalarini o'z ichiga oladi va quyidagicha shakllanadi.

3-rasm. Axborot va IP uchun xavfsizlikning asosiy talablari.

Tashkilotning rasmiy xavfsizlik siyosatini ishlab chiqishi, hujjatlari va quyidagi talablarni bajarishga qaratilgan rasmiy protseduralarni ishlab chiqishi va siyosat va protseduralarning samarali bajarilishini ta'minlashi kerak.
Kompaniya vaqti-vaqti bilan xatarlarni baholash, shu jumladan tashkilotning vazifasi, faoliyatiga, obro'siga tahdidlarni baholash, uning aktivlari va obro'siga tahdidlarni baholashi kerak. Ushbu tahdidlar ICning ishlashi va ma'lumotlarni qayta ishlash, saqlash va uzatishning natijasidir.
Kompaniyada tizimlar va xizmatlarni sotib olishga nisbatan:
- eP-himoyasi uchun etarli mablag 'ajratish;
- iB talablarini hisobga olish tizimini rivojlantirishda tizimlarni ishlab chiqishda;
- dasturiy ta'minotni ishlatish va o'rnatishni cheklang;
- axborot, arizalar va / yoki xizmatlarni himoya qilish uchun tashqi xizmat ko'rsatuvchi provayderlar tomonidan ajratilishini ta'minlang.
Sertifikatlashtirish sohasida tashkilotda akkreditatsiya va xavfsizlikni baholash quyidagilarni amalga oshirishi kerak:
- xavfsizlik regulyatorlarining samaradorligiga ishonch hosil qilish uchun xavfsizlik regulyatorlarining doimiy monitoringi;
- iP-da ularning samaradorligini boshqarish uchun IP-da ishlatiladigan xavfsizlik regulyatorlarining davriy baholanishi;
- kamchiliklarni bartaraf etish va zaiflikni kamaytirish yoki yo'q qilish rejasini ishlab chiqish va amalga oshirish;
- iP ishga tushirish va boshqa axborot tizimlari bilan ulanishlarni o'rnatish.
Freym xavfsizligi sohasida quyidagilar zarur:
- mas'uliyatli lavozimlarni egallab olgan mansabdor shaxslarning ishonchliligini (advokat), shuningdek ushbu postlar uchun xavfsizlik talablariga rioya qilish;
- xodimlarning ishdan bo'shatilishi yoki harakati kabi intizomiy tadbirlarni o'tkazishda axborot va axborot tizimini himoya qilishni ta'minlaydi;
- xavfsizlik siyosati va xavfsizlik choralariga tegishli rasmiy sanktsiyalarni qo'llang.
Tashkilot xodimni xabardor qilish va o'qitish kerak:
- iC rahbarlarining rahbarlari va foydalanuvchilari o'zlarining faoliyati va tegishli qonunlar, qoidalar, qoidalar, standartlar, ko'rsatmalar va shunga o'xshash qoidalar haqida bilishgan;
- xodimlar uchun axborot xavfsizligi majburiyatlarini bajarish uchun to'g'ri amaliy mashg'ulotlar o'tkazish.
Rejalashtirish sohasida xavfsizlikni tartibga soluvchilar (mavjud va rejalashtirilgan) va xodimlarning xulq-atvori qoidalarini IP-ga kirish bilan tavsiflovchi IP xavfsizligini tavsiflovchi IP xavfsizlik rejalarini ishlab chiqish, hujjatlashtirish, vaqti-vaqti bilan o'zgartirish va amalga oshirish kerak.
Favqulodda vaziyatlar va favqulodda vaziyatlar mavjudligini ta'minlash uchun favqulodda vaziyatlar resurslarini bartaraf etish, saqlash, zaxiralash, tiklanishni amalga oshirish, saqlash, saqlash, zaxiralash, tiklanishni amalga oshirish uchun.
Axborot xavfsizligiga javob berish nuqtai nazaridan tashkilot quyidagicha bo'lishi kerak:
- atroflarga javob berish uchun mavjud tuzilishni yarating, ma'nosi etarli tayyorlov faoliyati, Hodisalarni aniqlash, tahlil qilish, tahlil qilish va mahalliylashtirish, qayta tiklash va foydalanuvchi qo'ng'iroqlarini yuritish;
- voqealarni tashkilot va vakolatli organlarning tegishli mansabdor shaxslariga kuzatish, hujjatlashtirish va hisobot berishni ta'minlash.
Jismoniy himoyaning maqsadi uchun tashkilot:
- iP, uskunalar, ishlab chiqarish binosida faqat vakolatli xodimlarga jismoniy kirishni ta'minlaydi;
- uskunalarni jismonan himoya qilish va IP infratuzilmasini qo'llab-quvvatlash;
- iP ishlashi uchun tegishli texnik sharoitlarni ta'minlash;
- iPni atrof-muhit tahdididan himoya qiling;
- iP ishlaydigan shartlarni boshqarishni ta'minlang;
- iP aktivlari, ushbu foydalanuvchilar nomidan ishlayotgan jarayonlar, shuningdek ruxsat etilgan bitim va funktsiyalarni bajarish uchun asboblar (boshqa IP) ishlaydigan ishlarga kirish orqali kirish nazoratini ta'minlaydi.
Tizimga kirish va audit bilan ta'minlash uchun quyidagilar zarur:
- noqonuniy, ruxsatsiz yoki noto'g'ri faoliyat to'g'risidagi hisobotlarni kuzatib borish, tahlil qilish, tekshirish va hisobotlarni tayyorlash, tahlil qilish, tekshirish va hisobotlarni yaratish;
- foydalanuvchining aniqligi bilan IP (foydalanuvchi hisobdorligi) bilan ishlarning kuzatilishini ta'minlang.
Kompaniyadagi konfiguratsiyani boshqarish nuqtai nazaridan:
- asosiy konfiguratsiyalarni o'rnating va saqlang;
- iP-ni inventarizatsiya qilish (karta) iP, uskunalar, dasturiy ta'minot va hujjatlarni o'z ichiga olgan hayot aylanishiga bog'liq;
- o'rnatish va ta'minlang amaliy foydalanish IP tarkibidagi mahsulotlardagi xavfsizlik vositalarini sozlash uchun sozlash.
Identifikatsiya va autentifikatsiya zonasida IP, foydalanuvchi nomi, shuningdek IP-ga kirish huquqini berish uchun zaruriy holat sifatida, shuningdek, asboblar nomi, shuningdek asbob-uskunalar, shuningdek, qurilmalarni identifikatsiya qilish va tasdiqlash kerak.

Bundan tashqari, quyidagi kerak:

Rahbar uchun:
- vaqti-vaqti bilan IPni o'z vaqtida bajarishni amalga oshirish;
- mablag'lar, usullar, mexanizmlar va qo'llab-quvvatlovchi xodimlar uchun samarali regulyatorlarni ta'minlaydi.
Mediyadan himoya qilish uchun:
- ma'lumotlar tashuvchilar raqamli va qog'ozni himoya qiladi;
- media haqidagi ma'lumotlarni faqat avtorizatsiya qilingan foydalanuvchilarga kirishni ta'minlaydi;
- operatsiyadan yoki qayta ishlatishga yoki qayta ishlatishga qadar ommaviy axborot vositalarini yo'q qilish yoki yo'q qilish.
Tizim va aloqalarni himoya qilish uchun:
- iPning tashqi va kalit chegaralarida aloqa (ya'ni uzatiladigan va qabul qilingan va qabul qilinganlar) ni kuzatib boring, kuzatib boring va himoya qiling);
- hozirgi IP axborot xavfsizligi darajasini oshiradigan me'moriy va apparat-dasturiy ta'minotni qo'llang.
Tizim va ma'lumotlarning yaxlitligini ta'minlash uchun:
- iP va ma'lumotlarning kamchiliklarini o'z vaqtida aniqlang, hisobot bering va ularni tuzating;
- zararli dasturdan IPni himoya qiling;
- xavfsizlik qoidabuzarliklari va axborot tizimi uchun yangi tahdidlar haqida xabarlar va ularga to'g'ri munosabat bildirish haqidagi xabarlarni kuzatib boring.

Xavfsizlik talablarini bajarish uchun xavfsizlik regulyatorlarining asosiy to'plamini tanlang

Xavfsizlik talablarini amalga oshirishning zaruriy sharti, tegishli xavfsizlik regulyatorlarini tanlash va amalga oshirish, ya'ni iqtisodiy asosli kontratmatlar va himoya vositalarini ishlab chiqish va qo'llashdir. Xavfsizlik regulyatori axborot tizimining mavjudligi, maxfiyligi, konfidentsialligi va yaxlitligini ta'minlash, saqlanadigan va qayta ishlangan va ma'lumotlar uzatilishi uchun ma'muriy, protsessual va dasturiy ta'minotga bo'linadi.

Xavfsizlikni tartibga soluvchilarning tanlovi ma'lumotlar va axborot tizimini tasniflash natijalariga asoslanadi. Bundan tashqari, uni xavfsizlik regulyatorlari allaqachon amalga oshirilganligini va buning uchun aniq repirantsiyalar mavjud bo'lgan ishonch darajasi, shuningdek, amaldagi tartibga soluvchilarning samaradorligiga ishonchning zarurligiga ishonchning belgilangan darajasini hisobga olish kerak.

Agar uni belgilangan IB darajasi bilan bog'liq oldindan belgilangan asosiy to'plamlardan ishlab chiqaradigan bo'lsa, xavfsizlikni tartibga soluvchilarning etarli darajada tanlovi soddalashtirilgan bo'lishi mumkin. Uch darajali shkaladan foydalanib, minimal (past, asosiy), o'rtacha va yuqori darajadagi axborot xavfsizligi uchun uchta asosiy to'plamdan foydalaning.

Minimal IB uchun xavfsizlik regulyatorlari

Axborot xavfsizligining minimal darajasida quyidagilarni qo'llash tavsiya etiladi ma'muriy xavfsizlik regulyatorlari.

4-rasm. IB darajasi bo'yicha xavfsizlik regulyatorlari

Xavflarni baholash: siyosat va protseduralar.
- rasmiy hujjatlarni baholash siyosati, maqsadga muvofiq, qamrab olish, majburiyatlarni, vazifalarni bajarishni qo'llab-quvvatlash, tashkiliy tuzilmalar o'rtasida muvofiqlashtirish va amaldagi qonunchilikka rioya etilishi;
- siyosatlarni amalga oshirishga va tegishli risklarni baholash bo'yicha tartibga soluvchi rasmiy hujjatlarni rasmiy hujjatlashtirilgan protseduralar.
Xavflarni baholash: Xavfsizlik talablarini tasniflash. Ma'lumotlar va axborot tizimini, natijalari hujjatlari, shu jumladan belgilangan kategoriyalar uchun asos; Hujjat qo'llanma bilan sertifikatlangan.
Xatarlarni baholash: xolding. Xavflarni baholash va ruxsatsiz kirish, foydalanish, oshkor qilish, o'zgarishlar, o'zgartirishlar va / yoki ma'lumot va / yoki axborot tizimidan, shu jumladan tashqi tashkilotlar tomonidan boshqariladigan resurslarni yo'q qilish.
Xavflarni baholash: natijalarni ko'rib chiqish. Xavflarni baholash natijalarini qayta ko'rib chiqish ushbu chastota yoki ICda sezilarli o'zgarishlar yoki infratuzilmani qo'llab-quvvatlaganidan yoki uning akkreditatsiya darajasi yoki akkreditatsiya holati darajasiga sezilarli darajada ta'sir qilishi mumkin bo'lgan boshqa tadbirlar bilan amalga oshiriladi.
Xavfsizlikni rejalashtirish: siyosat va protseduralar.
- rasmiy ravishda maqsad, qamrov, rollar, majburiyatlarni, boshqaruv tuzilmalarini qo'llab-quvvatlash, tashkiliy tuzilmalar o'rtasida muvofiqlashtirish va amaldagi qonunchilikka rioya etilishini taqdim etadigan xavfsizlik bo'yicha rasmiy hujjatlashtirilgan;
- siyosat va xavfsizlikni rejalashtirish bo'yicha siyosatni amalga oshirishga hissa qo'shadigan rasmiy hujjatlashtirilgan protseduralar.
Xavfsizlikni rejalashtirish: IP xavfsizligi rejasi. Ushbu talablarni bajarishga xizmat qiladigan va rejalashtirilgan xavfsizlikning xavfsizlik talablarini tavsiflovchi axborot tizimlari rejasini ishlab chiqish va amalga oshirish; Hujjat qo'llanma bilan sertifikatlangan.
Xavfsizlikni rejalashtirish: IP xavfsizligi rejasini o'zgartirish. Berilgan chastota bilan xavfsizlik rejasi qayta ko'rib chiqiladi. Bu kompaniyaning o'zgarishini aks ettirish va uning ma'lumot tizimida yoki rejani amalga oshirish jarayonida yoki xavfsizlikni tartibga soluvchilarni baholashda aniqlangan muammolarni aks ettiradi.
Xavfsizlikni rejalashtirish: xulq qoidalari. Tashkilot IC foydalanuvchilari diqqatni va axborot va axborot tizimidan foydalanish bo'yicha kutilayotgan xatti-harakatlarni tavsiflovchi qoidalar to'plamini belgilaydi va aloqa qiladi. IP va uning axborot resurslaridan foydalanishdan oldin, foydalanuvchilar, ular o'qigan, aniqlangan xulq-atvor qoidalarini bajarishga va rozilik berishlarini tasdiqlaydilar.
Xavfsizlikni rejalashtirish: Maxfiylik baholash. Kompaniya maxfiylik talablariga baho beradi.
Tizim va xizmatlarni sotib olish: siyosat va protseduralar.
- rasmiy hujjatlashtirilgan tizim va xizmatlarning xaridlari, qamrov, qamrov, vazifalari, majburiyatlari, boshqaruvni qo'llab-quvvatlash, tashkiliy tuzilmalarni boshqarish va amaldagi qonunchilikka rioya etilishini taqdim etadi;
- rasmiy hujjatlar va tegishli tizimlar va xizmatlarni sotib olish bo'yicha bog'liq bo'lgan qoidalarni amalga oshirishga hissa qo'shadigan rasmiy hujjatlashtirilgan protseduralar.
Tizim va xizmatlarni sotib olish: Resurslarni taqsimlash. Kompaniyadagi axborot tizimini etarli darajada himoya qilish uchun zarur bo'lgan resurslarni aniqlash, hujjatlashtirish va taqsimlash kapital rejalashtirish va investitsiyalarni boshqarish jarayonlarining bir qismidir.
Tizim va xizmatlarni sotib olish: hayot aylanishini qo'llab-quvvatlash. Tashkilot axborot xavfsizligining jihatlarini hisobga olgan holda hayot aylanishini qo'llab-quvvatlash metodologiyasini qo'llash, metodologiyani qo'llash, axborot tizimini boshqaradi.
Tizim va xizmatlarni sotib olish: Xaridlar. Xaridlar bo'yicha shartnomalar Xatarlarni baholash natijalari asosida talablar va / yoki xavfsizlik spetsifikatsiyasi kiradi.
Kompaniyaning vakolatli mansabdor shaxslarini axborot tizimi va uning tarkibiy qismlari bo'yicha tegishli hujjatlar va uning tarkibiy qismlari to'g'risida tegishli hujjatlar mavjudligini, himoya qilish va taqsimlanishini ta'minlash kerak.
Tizim va xizmatlarni sotib olish: dasturiy ta'minotdan foydalanish bo'yicha cheklovlar. Tashkilot dasturiy ta'minotdan foydalanish bo'yicha mavjud cheklovlarni ta'minlaydi.
Tizim va xizmatlarni sotib olish: foydalanuvchilar tomonidan o'rnatilgan dastur. Dastur foydalanuvchilarini yuklab olish va o'rnatish bo'yicha aniq shakllangan qoidalarni amalga oshirish kerak.
Tizim va xizmatlarni sotib olish: Auturcing Axborot xizmatlari. Axborot xizmatlarini taqdim etuvchi tashqi tashkilotlarning amaldagi qonunchilik va shartnoma sharoitlariga, shuningdek, xavfsizlikni tartibga soluvchilarning etarliligini kuzatib borish uchun qo'llanilishi kerak.
Sertifikatlashtirish, akkreditatsiya va xavfsizlikni baholash: siyosat va protseduralar. Rivojlanish, tarqatish, davriy qayta ko'rib chiqish va o'zgartirish:
- rasmiy hujjatlar Xavfsizlik, sertifikatlashtirish va akkreditni baholash siyosati, bu maqsad, qamrov, rollarni, majburiyatlarni, boshqaruvni qo'llab-quvvatlash, tashkiliy tuzilmalar o'rtasida muvofiqlashtirish, tashkiliy tuzilmalar o'rtasida muvofiqlashtirish va amaldagi qonunchilikka rioya etilishi;
- xavfsizlikni baholash, sertifikatlashtirish va akkreditatsiyadagi aloqalar amalga oshirishga yordam beradigan rasmiy hujjatlashtirilgan protseduralar.
Sertifikatlashtirish, akkreditatsiya va xavfsizlikni baholash: boshqa IP bilan aloqa. Ushbu birikmalarni chetlab o'tadigan va ushbu birikmalarni doimiy ravishda kuzatib borish / boshqarish bilan uning axborot tizimining barcha ulanishlarini avtorizatsiya qilish; Tizimlar o'rtasida aralashuvlarni tashkil etish to'g'risida Bitim vakolatli xodimlari tomonidan imzolanadi.
Tashkilot ICsda qo'llaniladigan xavfsizlik regulyatorlarini baholaydi, ular amalga oshirilganligini tekshirish, texnik xususiyatlarga muvofiq ishlashi va kutilayotgan natijalarni axborot xavfsizligi talablarini bajarish nuqtai nazaridan baholaydi.
Sertifikatlashtirish, akkreditatsiya va xavfsizlikni baholash: tadbirlarning taqvimi. Tashkilot ishlab chiqilgan va tadbirlarning taqvim rejasi berilgan chastota bilan o'zgaradi. Unda xavfsizlik regimulerini baholash jarayonida aniqlangan barcha kamchiliklarni bartaraf etish va taniqli IP-zaifliklarini kamaytirish yoki yo'q qilish uchun rejalashtirilgan barcha kamchiliklarni bartaraf etishga qaratilgan tuzatish ishlari tasvirlangan.
Sertifikatlashtirish, akkreditatsiya va xavfsizlikni baholash: akkreditatsiya. Kompaniya inkultatsiya tizimini ishga tushirish va berilgan chastota bilan ma'lumot tizimini kiritish, lekin har uch yilda bir martadan kamida bir marta, qayta akkreditatsiyadan o'tkazadi.
Sertifikatlashtirish, akkreditatsiya va xavfsizlikni baholash: doimiy monitoring. IP-da xavfsizlik regimulerining doimiy monitoringi.

5-rasm. Kerakli xavfsizlik darajasini ta'minlash

protsessual xavfsizlik regulyatorlari.

Kadrlar xavfsizligi: siyosat va protseduralar. Rivojlanish, tarqatish, davriy qayta ko'rib chiqish va o'zgartirish:
- maqsadli ravishda tasdiqlangan Xavfsizlik siyosati, bu maqsad, qamrab olish, vazifa, majburiyatlarni, boshqaruv tuzilmalari o'rtasida boshqarish, tashkiliy tuzilmalar o'rtasida muvofiqlashtirish va amaldagi qonunchilikka rioya etilishi;
- rasmiy hujjatlar qoidalari va xodimlar xavfsizligi tartibga soluvchi vositalarining hissasi rasmiylashtirilgan tartibi.
Kadrlar xavfsizligi: Xabarlarni toifalash. Har bir pozitsiya bilan, ma'lum bir xavf darajasi bilan bog'liq va ushbu lavozimga nomzodlarni tanlash mezonlari o'rnatilgan. Belgilangan xavf darajasini qayta ko'rib chiqish uchun berilgan chastotada tavsiya etiladi.
Kadrlar xavfsizligi: Kadrlar tanlash. Axborot va axborot tizimiga kirishni ta'minlashdan oldin shunga o'xshash kirish huquqi mavjud.
Kadrlar xavfsizligi: ishdan bo'shatish. O'chirilgan xodim IP-ni IP-ga tushadi, yakuniy suhbat, shu jumladan kalitlar, shaxsni tasdiqlovchi kartalarni etkazib berishni tekshiradi va tegishli mansabdor shaxslar ishdan bo'shatilgan xodim tomonidan yaratilgan rasmiy ma'lumotlarga kirishiga ishonch hosil qiladi va axborot tizimida saqlanadi.
Kadrlar xavfsizligi: sayohat xodimlari. Xodimni boshqa pozitsiyaga o'tkazishda, tashkilot IP va unga taqdim etiladigan resurslar, identifikatsiya kartalari, identifikatsiya kartalarini ishlab chiqarish, eski va yangi tizimni yopish kabi tegishli harakatlarni qayta ko'rib chiqadi hisobvaraqlar, shuningdek kirish huquqlarining o'zgarishi.
Kadrlar xavfsizligi: kirish shartnomalari. Axborot va axborot tizimiga kirishni ta'minlashdan oldin, bunday kirish uchun ish beruvchi tegishli shartnomalar bilan tuziladi (masalan, IP-ni to'g'ri ishlatish, IP-dan to'g'ri foydalanish), shuningdek, xulq-atvor qoidalari bilan tuziladi. Kompaniya tomonlarning ushbu shartnomalarini imzolaydi va berilgan chastotalarni qayta ko'rib chiqadi.
Kadrlar xavfsizligi: uchinchi tomon xodimlariga xavfsizlik talablari. Tashkilot xavfsizlik talablarini, shu jumladan rol va majburiyatlarni, uchinchi tomon xodimlariga o'rnatadi ( xizmat xizmatlari, Pudratchilar, ishlab chiquvchilar, axborot xizmatlari va tizimlarni menejment xizmatlari va tarmoqlarini etkazib beruvchilar va axborot xavfsizligi bo'yicha uchinchi tomon tashkilotlarini taqdim etish.
Kadrlar xavfsizligi: sanktsiyalar. Kompaniya xavfsizlik siyosatini va protseduralarini buzgan xodimlarning rasmiy jazo jarayonidan foydalanadi.
Jismoniy himoya: siyosat va protseduralar. Rivojlangan, tarqatilgan, vaqti-vaqti bilan qayta ko'rib chiqilgan va o'zgartirish:
- rasmiy fizik himoya qilish siyosati, bu maqsad, qamrov, rollar, majburiyatlarni, boshqaruvni qo'llab-quvvatlash, tashkiliy tuzilmalar o'rtasida muvofiqlashtirish va amaldagi qonunchilikka rioya etilishi;
- rasmiy hujjatlashtirilgan tartib-qoidalar siyosatni amalga oshirishga yordam beradigan protseduralar va jismoniy himoya boshqaruvchilari.
Jismoniy himoya: jismoniy kirishni avtorizatsiya qilish. Tashkilotlar ishlab chiqilgan va qo'llab-quvvatlanadigan xodimlar ro'yxatiga kiradi, unda ma'lumotlar tizimi tarkibiy qismlari joylashgan (rasmiy ravishda mavjud bo'lgan xonalar bundan mustasno), tegishli sertifikatlar (Bekj, shaxsni aniqlash kartalari, intellektual) kartalar) beriladi; Tegishli chastotani qayta ko'rib chiqish va tasdiqlash va tasdiqlash to'g'risidagi tegishli mansabdor shaxslar.
Jismoniy himoya: jismoniy kirishni boshqarish. Axborot tizimining tarkibiy qismlari joylashgan joyda, jismoniy kirish nuqtalarini, shu jumladan, Axborot tizimi tarkibiy qismlari joylashgan (rasmiy ravishda mavjud bo'lgan xonalardan tashqari) jismoniy foydalanish nuqtalarini boshqarish kerak. Unga kirish huquqiga ruxsat berishdan oldin uni qonun amaldorlari tomonidan tekshirish kerak. Bundan tashqari, xavflarni baholash bo'yicha rasmiy ravishda ommaviy ravishda mavjud bo'lgan xonalarga kirish boshqariladi.
Qoidabuzarliklarni aniqlash va ularga javob berish uchun tizimga jismoniy kirishni kuzatish.
Axborot tizimiga jismoniy kirish, IC tarkibidagi tarkibiy qismlar joylashgan joyga kirishga ruxsat berishdan oldin tashrif buyuruvchilarni autentifikatsiya qilish orqali kuzatiladi (rasmiy ravishda mavjud bo'lgan xonalar bundan mustasno).
Kompaniya binolarga tashriflarni qo'llab-quvvatladi (ulardan tashqari rasmiy ravishda ommaviy ravishda ko'rib chiqilgan), ularda qayd etilgan:
- familiya, tashrif buyuruvchi nomi va tashkilot nomi;
- mehmonning imzosi;
- taqdim etilgan hujjatlar (identifikatsiya shakli);
- sana va kirish vaqti (kirish va chiqish);
- maqsadga tashrif buyuring;
- familiyasi, tashrif buyurilgan shaxsning ismi va uning tashkiliy bog'liqligi; Tegishli chastota ko'rinishini ko'rish uchun tegishli mansabdor shaxslar.
Jismoniy huquqni himoya qilish: shoshilinch yoritish. Kompaniya elektr uzilishlariga kiritilgan va favqulodda mahsulotlar va evakuatsiya yo'llarini qamrab oladigan avtomatik yoritish tizimlaridan foydalanish va ularga xizmat ko'rsatish kerak.
Yong'in chiqadigan tizimlar va yong'inni aniqlash tizimlari qo'llaniladi.
Jismoniy himoya: haroratni boshqarish vositalari va namlik. IP tarkibiy qismlarini o'z ichiga olgan xonalarda ruxsat etilgan harorat va namlikni kuzatib borish va saqlash.
Suv ta'minoti yoki boshqa sabablarga ko'ra, kranlarning bir-biriga zid bo'lgan suv ta'minoti va sog'lig'idan kelib chiqadigan IPni himoya qilish va tegishli mansabdor shaxslarga ushbu kranlar joylashgan joy to'g'risida xabardor qilish kerak.
Jismoniy himoya: etkazib berish va eksport. Tashkilot axborot tizimi (apparat va dasturiy ta'minot tarkibiy qismlarini etkazib berish va eksport qilish orqali nazorat qilinadi va ushbu komponentlarning joylashuvi haqidagi ma'lumotlarni qo'llab-quvvatlaydi.
Uzluksiz ish rejalashtirish: siyosat va protseduralar. Rivojlangan, tarqatilgan, vaqti-vaqti bilan qayta ko'rib chiqilgan va o'zgartirish:
- rasmiy maqsad, qamrov, rollar, majburiyatlarni, boshqaruv tuzilmalari o'rtasida boshqaruvni qo'llab-quvvatlovchi va amaldagi qonunchilikka rioya etadigan ishlarni amalga oshiradigan ish rejalashtirish bo'yicha uzluksiz ishlov berish siyosati;
- siyosat hayotiga hissa qo'shadigan rasmiy hujjatlashtirilgan protseduralar va u bilan bog'liq uzluksiz mehnat regulyatori.
Maslahatchi amaldorlarning vazifalarini tavsiflovchi axborot tizimining uzluksiz ishlashini ta'minlash rejasi, ularning aloqa koordinatalarini bildiradi. Bundan tashqari, reja buzilgandan keyin IPni tiklashda amalga oshirilgan harakatlar buyuriladi. Tegishli mansabdor shaxslar ushbu rejani qayta ko'rib chiqadilar va tasdiqlaydilar va uni uzluksiz ish uchun mas'ul bo'lgan xodimlarning e'tiboriga etadi.
Uzluksiz ish rejalashtirish: uzluksiz ish rejasini o'zgartirish. Berilgan chastota bilan, lekin yiliga kamida bir marta, IP yoki Tashkilotning tuzilishidagi o'zgarishlarni aks ettirish uchun, Axborot tizimining uzluksiz ishlashini ta'minlash, ijro etish jarayonida aniqlangan muammolarni aks ettirishni ta'minlash, ijro etish jarayonida aniqlangan muammolarni aks ettirish uchun reja tuzadi va / yoki rejani sinovdan o'tkazish.
Berilgan chastota amalga oshiriladi zaxira nusxasi Axborot tizimida mavjud bo'lgan maxsus va tizim ma'lumotlari (shu jumladan IP holati to'g'risidagi ma'lumotlar), zaxira nusxalari to'g'ri mahkamlangan joylarda saqlanadi.
Tashkilot sizga zarar yoki baxtsiz hodisalardan keyin axborot tizimini tiklashga imkon beradigan mexanizmlar va qo'llab-quvvatlovchi protseduralardan foydalanadi.
Konfiguratsiyani boshqarish: siyosat va protseduralar. Rivojlangan, tarqatilgan, vaqti-vaqti bilan qayta ko'rib chiqilgan va o'zgartirish:
- rasmiy hujjatlarni boshqarish siyosati, bu maqsad, qamrab olish, vazifa, majburiyatlarni, boshqaruv tuzilmalari o'rtasida boshqaruvni qo'llab-quvvatlaydi, Tashkilot inshootlari o'rtasida muvofiqlashtirish va amaldagi qonunchilikka rioya etilishi;
- siyosat va tegishli konfiguratsiyalarni boshqarish qoidalarini amalga oshirishga yordam beradigan rasmiy hujjatlashtirilgan protseduralar.
Kompaniya Axborot tizimining joriy asosiy konfiguratsiyasi, IP inventarizatsiya tarkibiy qismlari va ularning egalari haqidagi tegishli ma'lumotlardan ishlab chiqilgan, hujjatlashtirilgan va qo'llab-quvvatlangan.
Kompaniyada:
- iPda ishlatiladigan Axborot texnologiyalari mahsulotlari uchun majburiy sozlamalarni tasdiqladi;
- axborot texnologiyalari uchun montaj sozlamalarini o'rnatish tezkor talablarga javob beradigan eng cheklangan rejimda o'rnatiladi;
- sozlamalar hujjatlashtirilgan;
- axborot tizimining barcha komponentlarining to'g'ri sozlamalari taqdim etiladi.
- Qo'llab-quvvatlash: siyosat va protseduralar. Rivojlangan, tarqatilgan, vaqti-vaqti bilan qayta ko'rib chiqilgan va o'zgartirish:
- maqsadli hujjatlashtirilgan bo'lib, u gol, qamrab olish, vazifa, majburiyatlarni, boshqaruvni boshqarish, tashkiliy tuzilmalar o'rtasida muvofiqlashtirish va amaldagi qonunchilikka rioya etilishini taqdim etadi;
- siyosatni va tegishli qo'llab-quvvatlash regulyatorlarini amalga oshirishga yordam beradigan rasmiy hujjatlashtirilgan protseduralar.
Axborot tizimining tarkibiy qismlarini ishlab chiqaruvchi yoki / yoki tashkilot talablariga muvofiq axborot tizimining tarkibiy qismlarini rejalashtirish, amalga oshirish va ularni qo'llab-quvvatlash.
Tashkilotda masofadan ortiq amalga oshirilgan va diagnostika faoliyatini tashkil etish, nazorat qiluvchi, nazorat qiladi va nazorat qiladi.
Escort: hamrohlik xodimlari. Axborot tizimiga qo'shilishga vakolatli shaxslar ro'yxatini yuritish kerak. Faqat vakolatli xodimlar IP-ni qo'llab-quvvatlaydi.
Syum va ma'lumotlarning yaxlitligi: siyosat va protseduralar. Rivojlanish, tarqatish, davriy qayta ko'rib chiqish va o'zgartirish:
- rasmiy insonlarning yaxlitlik siyosati, maqsad, qamrov, rollar, majburiyatlarning, boshqaruvni qo'llab-quvvatlash, tashkiliy tuzilmalar o'rtasida muvofiqlashtirish, tashkiliy tuzilmalar o'rtasida muvofiqlashtirish va amaldagi qonunchilikka rioya etilishi;
- siyosatlarni amalga oshirishga va tegishli tizimlarning yaxlitlik remonlilarini amalga oshirishga yordam beradigan rasmiy hujjatlashtirilgan protseduralar.
Tizimlarning yaxlitligi: nuqsonlarni bartaraf etish. Axborot tizimi nuqsonlarini aniqlash, ularga xabar berish va tuzatish.
Kompaniya zararli dasturiy ta'minotdan, shu jumladan avtomatik yangilanishlarga qarshi axborot tizimidan himoya qilishda amalga oshirilmoqda.
Syum va ma'lumotlarning yaxlitligi: xavfsizlikni buzish va yangi tahdidlar haqida xabarlar haqida signallar. Xavfsizlik buzilishi va yangi tahdidlar haqidagi xabarlarni muntazam ravishda kuzatib borish kerak, ularni tegishli mansabdor shaxslarning diqqatiga olib boring va ularga to'g'ri munosabat bildiradi.
Media himoyasi: siyosat va protseduralar. Rivojlanish, tarqatish, davriy qayta ko'rib chiqish va o'zgartirish:
- rasmiy ravishda maqsad, qamrov, rollar, majburiyatlarni, boshqaruv tuzilmalari o'rtasida boshqaruvni qo'llab-quvvatlovchi va amaldagi qonunchilikka rioya etilishini taqdim etadigan ommaviy axborot vositalarida himoya qilish siyosati;
- siyosatlar va aloqada bo'lgan siyosat hayoti va tashuvchi muhofaza qiluvchi tartibga soluvchi rasmiy hujjatlar.
Faqat vakolatli foydalanuvchilar ma'lumotlarga kirish huquqiga ega bo'lishlari kerak chop etish shakli Yoki raqamli media axborot tizimidan olingan.
Media himoyasi: Sanish va chiqish. Tashkilot:
- operatsiya yoki qayta ishlatish uchun operatsiyadan oldin media (qog'oz va raqamli) da.
- treklar, hujjatlar va tashuvchilarni reabilitatsiya qilish bo'yicha faoliyatni tasdiqlaydi;
- vaqti-vaqti bilan ularning to'g'ri ekanligiga ishonch hosil qilish uchun keng qamrovli uskunalar va protseduralar sinovlari.
Axborot xavfsizligi qoidabuzarliklariga javob berish: siyosat va protseduralar. Rivojlanish, tarqatish, davriy qayta ko'rib chiqish va o'zgartirish:
- maqsadli xavfsizlik qoidabuzarliklari uchun rasmiy hujjatlar siyosati, maqsad, qamrov, rollar, majburiyatlarni, boshqaruvni qo'llab-quvvatlash, tashkiliy tuzilmalar o'rtasida muvofiqlashtirish va amaldagi qonunchilikka rioya etilishi;
- rasmiy hujjatlarni amalga oshirishga yordam beradigan siyosat va axborot xavfsizligi buzilishiga javobning shirkati regulyatorlari.
Kompaniya axborot xavfsizligi (javob guruhi) buzilishiga, shu jumladan o'quv, identifikatsiya qilish, mahalliylashtirish, mahalliylashtirish, zaryadlashni tugatish va tiklashdan keyin tiklash bo'yicha tuzilmalarni tashkil etadi.
Ibning vakolatli mansabdor shaxslarning e'tiboriga nisbatan qonunbuzarliklari to'g'risida o'z vaqtida ma'lumot olish kerak.
IB va ular haqida xabar berishda tavsiyalar berish va IP foydalanuvchilariga tavsiyalar berish bo'yicha tuzilish tuzilmasini shakllantirish; Ushbu tuzilma javob guruhining ajralmas qismidir.
Ma'lumot va ta'lim: siyosat va protseduralar. Rivojlanish, tarqatish, davriy qayta ko'rib chiqish va o'zgartirish:
- maqsadli hujjatlashtirilgan hujjatlarni gol, qamrab olish, rollar, majburiyatlar, boshqaruvni boshqarish, boshqarish uchun ko'maklashish, muvofiqlashtirish va amaldagi qonunchilikka rioya etilishi to'g'risida xabardor qilish siyosati;
- rasmiy hujjatlarni amalga oshirishga yordam beradigan siyosat va xodimlarni xabardor qilish va o'qitish vositalarining sheriklari.
Ma'lumot va o'qitish: IB muammolari to'g'risida ma'lumot berish. Shuni ta'minlanishi kerak, shu jumladan menejerlar IB-dagi IB-ga kirishdan oldin IB-da asosiy ma'lumotlarni yaratganliklari to'g'risida ta'minlanishi ta'minlanishi kerak; Bunday ma'lumotlar berilgan chastota bilan davom etishda davom etishi kerak, ammo yiliga kamida bir marta.
Ma'lumot va ta'lim: IB Trening. Muhim rol o'ynaydigan va IPning axborot xavfsizligini ta'minlash uchun mas'uliyatli majburiyatlarni, ushbu vazifa va majburiyatlarni ta'minlash uchun mas'uliyatli majburiyatlarni, shuningdek, ularni IP-ga kirish huquqini berishdan oldin ularni o'qitishni ta'minlash kerak. Bunday o'rganish ushbu chastota bilan yanada davom etishi kerak.
Axborot va o'qitish: IB o'quv mashg'ulotlari hujjatlari. Kompaniya har bir iB xodimi, shu jumladan IPga xos bo'lgan kirish kursi va kurslarini hujjatlashtirish va kurslarni hujjatlashtirdi.
Ma'lumot va o'qitish: Axborot xavfsizligi guruhlari va birlashmalari bilan aloqa. Axborot xavfsizligiga ixtisoslashgan guruhlar, forumlar va birlashmalar bilan aloqalarni o'rnatish va ularga aloqalar o'rnatish va tavsiya etilgan himoya vositalari, usullari va texnologiyalari bilan tanishish tavsiya etiladi.

Axborot xavfsizligining minimal darajasida quyidagilarni qo'llash tavsiya etiladi dasturiy ta'minot va texnik xavfsizlikni tartibga soluvchilar.

Identifikatsiya va autentifikatsiya: siyosat va protseduralar. Rivojlanish, tarqatish, davriy qayta ko'rib chiqish va o'zgartirish:
- rasmiy hujjatlashtirilgan identifikatsiya va autentifikatsiya siyosati, bu maqsad, qamrov, rollar, majburiyatlarni, qo'llab-quvvatlash, yordamni boshqarish, tashkiliy tuzilmalar o'rtasida muvofiqlashtirish va amaldagi qonunchilikka rioya etilishi;
- siyosat va tasdiqlovchi identifikatorlarni amalga oshirishga yordam beradigan rasmiy hujjatlashtirilgan protseduralar.
Axborot tizimi foydalanuvchilarga (yoki foydalanuvchi nomi bilan shug'ullanadigan jarayonlarni) aniqlaydi va tasdiqlaydi.
Identifikatsiya va autentifikatsiya: identifikatorlarni boshqarish. Tashkilot foydalanuvchining identifikatorlarini boshqaradi:
- har bir foydalanuvchining noyob identifikatori;
- har bir foydalanuvchi identifikatorini tekshirish;
- vakolatli mansabdor shaxslardan foydalanuvchi identifikatorini chiqarishga rasmiy sanktsiya olish;
- kerakli foydalanuvchi uchun identifikator chiqishi;
- belgilangan faoliyat davridan keyin foydalanuvchi identifikatorini tugatish;
- foydalanuvchi identifikatorlarini arxivlash.
Identifikatsiya va autentifikatsiya: haqiqiylikni tekshirish. Kompaniya axborot tizimida haqiqiy manbiyliklarni (tokenlar, davlat infratuzilmasi, biometrik ma'lumotlar, parollar, kalit kartalari va boshqalar) orqali boshqaradi:
- authiyatorlarning boshlang'ich tarkibining ta'riflari;
- authiyotorlarning dastlabki taqsimlanishi uchun ma'muriy protseduralarni tartibga solish, yo'qolgan, buzilgan yoki shikastlangan autletikatorlarni, shuningdek haqiqiylikni tasdiqlovchi hujjatlarni almashtirish;
- axborot tizimini o'rnatgandan so'ng, ko'zda tutilgan autletikatorlarga o'zgartirishlar.
Tanib olish va autentifikatsiya: Authiyentlar ma'lumotlari. Axborot tizimi autentifikatsiya qilish jarayonida autentifikatsiya qilish jarayonida autentifikatsiya qilish jarayonida uni ruxsatsiz shaxslar tomonidan foydalanish mumkin.
Tanib olish va autentifikatsiya: kriptografik modullarga nisbatan autentifikatsiya. Kriptografik modullarga nisbatan autentifikatsiya qilish uchun Axborot tizimi bunday modullar bo'yicha standartlar talablariga javob beradigan usullarni qo'llaydi.
Kirishni boshqarish: siyosat va protseduralar. Rivojlanish, tarqatish, davriy qayta ko'rib chiqish va o'zgartirish:
- maqsadli hujjatlar, qamrov, rollar, majburiyatlar, boshqaruvni qo'llab-quvvatlash, tashkiliy tuzilmalar o'rtasida boshqarish va amaldagi qonunchilikka rioya etilishi;
- siyosatni amalga oshirishga yordam beradigan rasmiy hujjatlashtirilgan protseduralar.
Tashkilot axborot tizimida, shu jumladan ularni yaratish, faollashtirish, o'zgartirish, o'zgartirish, qayta ko'rib chiqish, qayta ko'rib chiqish, o'chirish va olib tashlash orqali hisoblarni boshqaradi.
Axborot tizimi amaldagi siyosatlarga muvofiq tizimga kirishni boshqarish uchun imtiyozlarni amalga oshiradi.
Kirishni boshqarish: muvaffaqiyatsiz kiritish urinishlari. Axborot tizimi ketma-ket sonlarda berilgan limitni amalga oshiradi muvaffaqiyatsiz harakat Belgilangan vaqt davomida foydalanuvchidan avtomatik ravishda blokirovka qilish yoki berilgan algoritmga binoan ruxsat etilgan shartnomani berish uchun avtomatik ravishda kiritish shartnomasi yoki ruxsat etilgan bo'lsa, uni ruxsat etilgan bo'lsa, uni bajarishga taklif qilish uchun ushbu muddatga taklifnoma berishdan oshib ketishi mumkin.
Kirishni boshqarish: tizimdan foydalanish to'g'risida ogohlantirish. Axborot tizimi potentsial foydalanuvchilarni xabardor qilishdan oldin tizimdan foydalanish bo'yicha rasmiy ogohlantirish xabarini ko'rsatadi:
- tashkiliy aksessuar tizimi to'g'risida;
- tizimdan foydalanishning mumkin bo'lgan monitoringi, ro'yxatga olish va audit;
- tizimdan ruxsatsiz foydalanish uchun taqiq va mumkin bo'lgan jazo to'g'risida;
- foydalanuvchining roziligi tizimidan foydalanish holatida monitoring va ro'yxatga olish to'g'risidagi roziligi to'g'risida; Ogohlantirish xabarida ushbu xavfsizlik siyosatining tegishli qoidalari mavjud bo'lib, foydalanuvchi IP-ni kiritish uchun aniq harakatlarni amalga oshirmaguncha ekranda qoladi.
Kirishni boshqarish: nazorat va tomosha. Tashkilot xodimlarning ICda mavjud bo'lgan kirish regulyatorlaridan foydalanish va ulardan foydalanish bo'yicha xatti-harakatlarini nazorat qiladi va tekshiradi.
Kirishni boshqarish: identifikatsiya qilish va autentifikatsiyasiz harakatlar. Autentifikatsiya va autentifikatsiyasiz ma'lumot tizimida o'qilishi mumkin bo'lgan foydalanuvchilarning aniq harakatlarini aniqlash.
IP-ga masofadan kirishning barcha turlarini hujjatlashtirish, kuzatish va boshqarish (masalan, modem kirishlari yoki Internet orqali), shu jumladan masofadan kirish afzal ko'rgan harakatlarni bajarish; Tegishli mansabdor shaxslar masofadan kirishning har bir turidan foydalanishga ruxsat berishadi va faqat kerak bo'lgan foydalanuvchilarni qo'llash uchun ruxsat berishga ruxsat beradi.
Tashkilot:
- foydalanish bo'yicha cheklovlar va simsiz texnologiyalarni joriy qilishni boshqaradi;
- hujjatlar, monitorlar va boshqarish IP-ga simsiz ulanishni boshqarish; Tegishli mansabdor shaxslar simsiz texnologiyalardan foydalanishga ruxsat beradi.
Kirishni boshqarish: Shaxsiy axborot tizimlari. Ishlab chiqarish ehtiyojlari, shu jumladan ishlab chiqarish, saqlash va ishlab chiqarish to'g'risidagi ma'lumotlarni qayta ishlash, saqlash va uzatish uchun shaxsiy axborot tizimlarini qo'llashni cheklash.
Tizirish va audit: siyosat va protseduralar. Rivojlanish, tarqatish, davriy qayta ko'rib chiqish va o'zgartirish:
- rasmiy hujjatlashtirilgan protokol va audit siyosatini tasdiqlovchi hujjatlar siyosatini tasdiqladi, bu maqsad, qamrov, roziliklar, majburiyatlarni, boshqaruv tuzilmalari o'rtasida boshqarish, tashkiliy tuzilmalar o'rtasida muvofiqlashtirish va amaldagi qonunchilikka rioya etilishi;
- siyosat va aloqalar va tahlillarni amalga oshirish va auditni amalga oshirishga yordam beradigan rasmiy hujjatlashtirilgan protseduralar.
Tizirish va audit: Tanish tadbirlar. Axborot tizimi ko'rsatilgan tadbirlar uchun ro'yxatga olish yozuvlarini yaratadi.
Axborot tizimi ushbu voqeaning natijasi bo'lgan voqea manbasi bo'lgan voqea manbasi bo'lgan voqea tizimida ro'yxatga olish tizimida etarli ma'lumotni tejash kerak.
Tizirish va audit: ro'yxatdan o'tish to'g'risidagi ma'lumotlarni saqlash uchun manbalar. Ushbu manbalardan charchash uchun ro'yxatdan o'tish va qaydlarni saqlash uchun etarli miqdordagi mablag'larni saqlash va tizimni sozlash uchun etarli miqdordagi mablag'ni ajratish kerak.
Ma'lumot tizimini ro'yxatga olish yoki tugatilmagan taqdirda, axborot tizimi tegishli mansabdor shaxslarni ogohlantiradi va berilgan qo'shimcha harakatlarni amalga oshirmoqda.
Tizirish va audit: Axborotni muhofaza qilish. Axborot tizimi ruxsatsiz kirish, o'zgartirishlar va olib tashlashdan ro'yxatdan o'tish to'g'risidagi ma'lumotlarni va tizimni ro'yxatga olish / audit vositasini va vositalarni himoya qiladi.
Tizirish va audit: Ro'yxatdan o'tish ma'lumotlarini tejash. Ro'yxatdan o'tish to'g'risidagi ma'lumotlarni ma'lum muddatga avvalgi axborot xavfsizligi qoidabuzarliklarini tekshirish va amaldagi qonunchilik talablarini bajarish va axborotni tejashning talablari bajarilishini ta'minlash uchun belgilangan vaqtda saqlanishi kerak.
Tizim va aloqalarni himoya qilish: siyosat va protseduralar. Rivojlanish, tarqatish, davriy qayta ko'rib chiqish va o'zgartirish:
- maqsadli hujjatlashtirilgan, bu maqsad, qamrov, vazifalar, majburiyatlarni, boshqaruvni qo'llab-quvvatlash, tashkiliy tuzilmalar o'rtasida muvofiqlashtirish va amaldagi qonunchilikka rioya etilishini taqdim etadigan;
- rasmiy hujjatlarni amalga oshirishga yordam beradigan siyosat va tizimlarni himoya qilish va aloqalarni himoya qilish vositalarining sheriklari.
Tizim va aloqalarni himoya qilish: foydalanishga qarshi hujumlardan himoya. Axborot tizimi belgilangan turlarning mavjudligiga hujumlardan himoya qiladi yoki ularning ta'sirini cheklaydi.
Axborot tizimi ichki va asosiy IP ichki chegaralarida aloqalarni nazorat qiladi va boshqaradi.
Tizim va aloqalarni himoya qilish: bosilgan kriptografiyadan foydalanish. Agar Axborot tizimi qo'llanilsa kriptografik mahsulotlarUlar amaldagi qonunchilik, texnik reglamentlar, standartlar, qo'llanma va normativ hujjatlar, tarmoq va tashkiliy standartlar talablariga javob berishlari kerak.
Tizim va aloqalarni himoya qilish: ommaviy mavjud tizimlarni himoya qilish. Axborot tizimi ommaviy mavjud tizimlar uchun ma'lumotlar va arizalar yaxlitligini ta'minlaydi.

Mastera uchun qo'shimcha va mustahkamlangan xavfsizlik regulyatorlari

Axborot xavfsizligining o'rtacha darajasiga binoan quyidagi qo'shimcha va mustahkamlangan (minimal darajada) xavfsizlik regulyatori bilan taqqoslash tavsiya etiladi.

Berilgan chastota bilan yoki IP zaifliklari uchun yangi muhim ma'lumotlar paydo bo'lganidan keyin siz Axborot tizimida zaifliklarni skanerlashingiz kerak.
Xavfsizlikni rejalashtirish: xavfsizlikni rejalashtirish. Xavfsizlik bilan bog'liq faoliyatni to'g'ri rejalashtirish va muvofiqlashtirishni ta'minlash va tashkilotning ishi va aktivlariga salbiy ta'sirni minimallashtirish uchun (shu jumladan uning vazifasi, funktsiyalari, tasviri va obro'siga) salbiy ta'sirini kamaytirishni ta'minlash.
Tizim va xizmatlarni sotib olish: hujjatlar. Siz hujjatlarning umumiy to'plamiga kiritilgan bo'lishi kerak, ishlab chiqaruvchi / etkazib beruvchining funktsiya tarmoqlarining funktsional xususiyatlarini tavsiflovchi hujjatlar regulyatorlarni tahlil qilish va sinovdan o'tkazish va sinovdan o'tkazish uchun batafsil bayon qilingan.
Tizim va xizmatlarni sotib olish: axborot xavfsizligi dizayni tamoyillari. Axborot tizimini loyihalashtirish va amalga oshirish Axborot xavfsizligi dizayni printsiplari yordamida amalga oshiriladi.
Tizim va xizmatlarni sotib olish: ishlab chiqaruvchi tomonidan xavfsizlik testi. Axborot tizimining ishlab chiquvchisi sinov va xavfsizlikni baholash rejasini tuzadi va hujjat natijalarini amalga oshiradi; Ikkinchisi xavfsizlik talablari va etkazib berilgan IPni akkreditatsiya qilish uchun sertifikatlashni qo'llab-quvvatlash uchun ishlatilishi mumkin.
Sertifikatlashtirish, akkreditatsiya va xavfsizlikni baholash: Xavfsizlikni baholash. Berilgan chastota bilan, ammo yiliga kamida bir marta, ular to'g'ri bajarilganligini, texnik xususiyatlarga muvofiq amalga oshiriladi va kutilayotgan natijalarni amalga oshirish nuqtai nazaridan baholash tavsiya etiladi Axborot xavfsizligi talablari.
Sertifikatlashtirish, akkreditatsiya va xavfsizlikni baholash: xavfsizlikni sertifikatlash. Xavfsizlik talablari tomonidan xavfsizlikni sertifikatlash maqsadida xavfsizlik tizimlarini sertifikatlashtirish tizimida baholash mustaqil tasdiqlovchi tashkilot tomonidan amalga oshiriladi.
Jismoniy himoya: axborotni namoyish qiluvchi qurilmalarga kirish. Avtorizatsiya qilinmagan shaxslar tomonidan ko'rishni himoya qilish uchun axborotni namoyish qiluvchi asboblarga jismoniy kirishni boshqarish.
Jismoniy himoya: jismoniy kirishni monitoring qilish. Real vaqt rejimida kelinish istiloblari signallari va kuzatuv moslamalari ma'lumotlari kuzatilmoqda.
Jismoniy himoya: tashrif buyuruvchilar monitoringi. Tashrif buyuruvchilarni saqlashni ta'minlash va agar kerak bo'lsa, ularning faoliyatini kuzatishni ta'minlash.
Jismoniy himoya: elektr jihozlari va simlar. Himoya qilish elektr jihozlari va axborot tizimini zarar va vayronagarchilikdan o'tkazish.
Jismoniy himoya: favqulodda yopilish. Axborot tizimining manbalari to'plangan ba'zi xonalar uchun (ma'lumotlar markazlari, serverlar xonalari, maoshiy kofirlar va boshqalar) uchun, hokimiyatni har qanday rad etishga kirish imkoniyatini ta'minlash kerak (masalan, hisob qisqa tutashuv) Yoki yo'q qilinadi (masalan, suv ta'minoti sinishi tufayli), IP tarkibiy qismi, uskunadagi xavf xodimlarini fosh qilmasdan.
Qisqa muddatli manbalarni taqdim etish uzluksiz kuchAsosiy quvvat manbai bo'lsa, ma'lumot tizimini diqqat bilan o'chirib qo'yishingizga imkon berish.
Jismoniy himoya: yong'inni himoya qilish. Qurilmalar / yong'inni o'chirish va ularni o'chirish va avtomatik ravishda o'tayotgan yong'inlarni aniqlash kerak.
Jismoniy himoya: bo'sh ishlab chiqarish maydonchasi. Bo'sh ish platformasida tashkilot xodimlari IP uchun tegishli xavfsizlik regulyatorlaridan foydalanishadi.
Jismoniy huquq himoyasi: Axborot tizimining tarkibiy qismlari. Axborot tizimining tarkibiy qismlari belgilangan joylarda, atrof-muhitdan xavf va atrof-muhitning tahdidlaridan, shuningdek, ruxsatsiz kirish imkoniyatini kamaytirish.
Uzluksiz ish rejalashtirish: uzluksiz ish rejasi. Tashkilot uzluksiz ish rejasini tegishli rejalar uchun mas'ul bo'lgan tuzilmalarni (masalan, baxtsiz hodisalar, xavfsizlikning buzilishi va hk) va boshqalarga javob berishni muvofiqlashtiradi.
Kompaniya o'z vazifalarini va majburiyatlarini o'qitish, shuningdek, berilgan chastota bilan, shuningdek, yiliga bir marotaba amaliy ko'nikmalarni saqlab qolish uchun ko'p vaqt davomida mashg'ulotlarni amalga oshirishni tashkil etadi.
Berilgan chastota bilan, lekin yiliga kamida bir marta, tashkilot axborot tizimining uzluksiz ishlashi rejasi asosida sinovdan o'tkaziladi. Buning uchun belgilangan sinovlar va o'quv protseduralari rejaning samaradorligini va tashkilotning uni amalga oshirishga tayyorligini aniqlash uchun qo'llaniladi. Tegishli mansabdor shaxslar rejaning sinov natijalarini tekshiradilar va tuzatish harakatlarini boshlaydilar. Tashkilot uzluksiz ish rejasini tegishli rejalar uchun mas'ul bo'lgan tuzilmalarni (masalan, baxtsiz hodisalar, xavfsizlikning buzilishi va hk) bajarishni muvofiqlashtiradi.
Zaxira saqlash joyini aniqlash va axborot tizimidagi ma'lumotlarning zaxira ma'lumotlarini saqlash uchun zarur kelishuvlarni tuzish kerak; Xavfli saqlash joyidan bir xil xavf bilan fosh qilmaslik uchun ehtiyot bo'lish kerak.
Ma'lumotni bo'shatish moslamalari belgilangan vaqt uchun muhim ishlab chiqarish funktsiyalarining axborot tizimini qayta tiklashga imkon beradigan va zarur bo'lgan shartnomalarni qayta tiklashga imkon beradigan zarur kelishuvlar belgilangan tartibda amalga oshiriladi. Ma'lumotni qayta ishlashning bo'sh joyi asosiydan jug'rofiy rangga ega va shuning uchun, bir xil xavflarga duch kelmaydi. Zarari ma'lumotni qayta ishlash bilan shug'ullanadigan potentsial muammolar yoki tabiiy ofatlar yoki tabiiy ofatlar tufayli aniqlangan muammolarni kamaytirish uchun aniq harakatlar rejalashtirilgan. Saqlanadigan ma'lumotlarni qayta ishlash joyi to'g'risidagi bitim Tashkilotning talablariga muvofiq foydalanish majburiyatini o'z ichiga oladi.
Axborot tizimini qo'llab-quvvatlovchi ichki aloqa manbalari aniqlanadi. Agar telekommunikatsiya xizmatlarining asosiy manbai bo'lmasa, muhim vaqt davomida muhim ishlab chiqarish funktsiyalarining axborot tizimini qayta tiklashga imkon beradigan zarur kelishuvlar mavjud. Telekommunikatsiya xizmatlarining asosiy va zaxira manbalari mavjud bo'lib, tashkilot talablariga muvofiq foydalanish shartlariga muvofiq ustuvor xizmat majburiyatlarini o'z ichiga oladi. Telekommunikatsiya xizmatlarining zaxira manbai asosiy manbaga to'liq rad etishning yagona nuqtasini qo'shmaydi.
Uzluksiz ish rejalashtirish: zaxira nusxasi. Tashkilotning berilgan chastotasi, zaxiralar va ma'lumotlarning yaxlitligi sinovdan o'tganligiga ishonch hosil qilish uchun zaxira nusxalari sinovdan o'tkaziladi.
Konfiguratsiyani boshqarish: Axborot tizimining asosiy konfiguratsiyasi va inventarizatsiya qilish komponentlari. Yangi komponentlarni o'rnatishda, axborot tizimining asosiy konfigurasi va OPEV komponentlari o'zgartiriladi.
Axborot tizimidagi hujjatlar va boshqariladigan o'zgarishlar; Tegishli mansabdor shaxslar IP vakolatxonalariga qabul qilingan siyosat va protseduralarga muvofiq o'zgarishlar.
Konfiguratsiyani boshqarish: konfiguratsiya monitoringi. Axborot tizimidagi o'zgarishlarni kuzatish va o'zgartirishlarning ta'sirini aniqlash uchun ularning xavfsizlikning ta'sirini tahlil qilish kerak.
Tashkilot axborot tizimidagi o'zgarishlar bilan bog'liq bo'lgan jismoniy va mantiqiy cheklovlarni amalga oshiradi va barcha o'zgarishlarni aks ettiruvchi yozuvlarni tejaydi va qayta ko'rib chiqadi.
Siz faqat kerakli imkoniyatlarni taqdim etish uchun siz Axborot tizimini sozlashingiz va ma'lum funktsiyalar, portlar, protokollar va / yoki xizmatlardan foydalanishni aniq taqiqlashingiz va / yoki cheklashingiz kerak.
Qo'llab-quvvatlash: davriy yordam. Ro'yxatdan o'tish jurnalida Axborot tizimini qo'llab-quvvatlash jurnali tomonidan qo'llab-quvvatlanadi:
- xizmat sanasi va vaqti;
- xizmat qilgan odamning familiyasi va ismi;
- agar kerak bo'lsa, unga hamroh bo'lganning familiyasi va ismi;
- iP texnik xizmat ko'rsatish operatsiyalarining tavsifi;
- masofaviy yoki boshqa joyga ko'chirilgan uskunalar ro'yxati (identifikatsiya raqamlari bilan).
Tashkilotda huquq tizimini qo'llab-quvvatlash vositalaridan foydalanishni qulay, nazorat qiladi va nazorat qiladi va ushbu mablag'larni doimiy ravishda qo'llab-quvvatlaydi.
Ta'minot: o'z vaqtida xizmat. Tashkilot ma'lum vaqt davomida axborot tizimining asosiy tarkibiy qismlari uchun texnik xizmat ko'rsatish va ehtiyot qismlarni oladi.
Tizim va ma'lumotlarning yaxlitligi: zararli dasturlardan himoya. Zararli dasturlardan himoya qilish uchun markazlashtirilgan boshqaruv mexanizmlari.
Tizimlarning yaxlitligi: Axborot tizimini monitoring qilish vositalari va usullari. Axborot tizimidagi tadbirlarni monitoring qilish, hujumlarni aniqlash va IP-dan ruxsatsiz foydalanishni aniqlash vositalarini va vositalarni aniqlash vositalari va usullarini qo'llash.
Axborot tizimi spamlarni himoya qilish orqali amalga oshiriladi.
Tizimlarning yaxlitligi va ma'lumotlarni kiritish cheklovlari. Tashkilot axborot tizimiga faqat vakolatli shaxslarga kiritish huquqini beradi.
Syum va ma'lumotlarning yaxlitligi: ma'lumotlar aniqligi, to'liqligi, aniqligi va haqiqiyligi. Axborot tizimi aniqlik, to'liqlik, aniqlik va haqiqiylik to'g'risidagi ma'lumotlarni tekshiradi.
Syum va ma'lumotlarning yaxlitligi: xatolarni qayta ishlash. Axborot tizimida noto'g'ri vaziyatlarni aniq ko'rsatadi va qayta ishlaydi.
Tizim va ma'lumotlarni tarqatish va tejash chiqishi. Axborot tizimining natijalari ko'rib chiqiladi va qabul qilingan ekspertiza va operatsion talablarga muvofiq davom etmoqda.
Media himoyasi: etiketkalar. Olib bo'lmaydigan ma'lumotlar media va iP chiqishi ushbu ma'lumotlarni tarqatish va qayta ishlash bo'yicha cheklovlar ko'rsatilgan tashqi belgilar bilan ta'minlangan; Belgilangan tashuvchilar yoki apparat tarkibiy qismlari teglardan ozod qilinadi, chunki ular boshqariladigan zona doirasida qoladilar.
Ommaviy axborot vositalarini himoya qilish: OAV. Tijorat, qog'oz va raqamli jismoniy monitoring va xavfsiz saqlash, tashuvchida qayd etilgan ma'lumotlarga yo'naltirilgan maksimal toifaga asoslangan.
Ommaviy axborot vositalarini himoya qilish: OAV tashish. Ma'lumot tashuvchilari, qog'oz va raqamli, vakolatli shaxslarga ommaviy axborot vositalarini yuborish, qabul qilish, tashish va etkazib berishni cheklash.
Kompaniya ishchilarni IP ma'lumotlarini buzganlik va berilgan chastota bilan bog'liq bo'lgan vazifalarni va berilgan chastota bilan bog'liq, ammo yiliga kamida bir marta amaliy ko'nikmalarni saqlab qolish bo'yicha mashg'ulotlarni o'tkazadi.
Berilgan chastota bilan, ammo yiliga kamida bir marta IP axborot xavfsizligiga javob berish vositalari sinovdan o'tkaziladi, ko'rsatilgan testlar va o'quv protseduralari javob berish samaradorligini aniqlash uchun ishlatiladi. Natijalar rasmiylashtiriladi.
Axborot xavfsizligi buzilishiga javob: javob. Axborot xavfsizligi uchun javob berish jarayonini qo'llab-quvvatlash uchun avtomatik mexanizmlar qo'llaniladi.
Doimiy ravishda axborot xavfsizligi qoidalarini buzish va hujjatlashtirish zarur.
Axborot xavfsizligi buzilishiga javob berish: qoidabuzarlik to'g'risidagi hisobot. Axborot xavfsizligi qoidalarini buzishni osonlashtirish uchun avtomatik mexanizmlardan foydalanish.
Axborot xavfsizligi buzilishiga javob: yordam. Axborot xavfsizligiga javob berish bilan bog'liq ma'lumotlar va qo'llab-quvvatlashning mavjudligini oshirish uchun avtomatik mexanizmlardan foydalanish.
Identifikatsiya va autentifikatsiya: qurilmalarni aniqlash va autentifikatsiya qilish. Axborot tizimi ular bilan aloqa o'rnatishdan oldin ba'zi qurilmalarni aniqlaydi va tasdiqlaydi.
Kirish boshqarmasi: Hisobni boshqarish. Axborot tizimida hisobni boshqarishni qo'llab-quvvatlash uchun avtomatik mexanizmlarni qo'llash; Axborot tizimi har bir vaqt oralig'ida belgilangan vaqtdan keyin avtomatik va favqulodda hisobvaraqlarni to'xtatadi; Axborot tizimi belgilangan vaqtdan keyin avtomatik ravishda ishlamayotgan hisoblarni avtomatik ravishda o'chiradi.
Kirishni boshqarish: o'tkazish. Axborot tizimi xavfsizlik funktsiyalariga kirishni ta'minlaydi (apparat va / yoki dasturiy ta'minot bilan amalga oshiriladi) va himoya ma'lumotlar faqat vakolatli shaxslarga (masalan, xavfsizlik ma'murlari) taqdim etildi.
Kirishni boshqarish: axborot oqimini boshqarish. Axborot tizimi tegishli xavfsizlik siyosatiga muvofiq axborot oqimlarini va o'zaro bog'langan tizimlarni boshqarish uchun berilgan imtiyozlarni ta'minlaydi.
Kirishni boshqarish: burbiy ajratish. Axborot tizimi kirish imtiyozlarini berish orqali majburiyatlarni ajratishni amalga oshiradi.
Kirishni boshqarish: imtiyozlarni minimallashtirish. Axborot tizimi o'z vazifalarini bajarish uchun foydalanuvchilar (yoki ushbu foydalanuvchilarning nomidan amal qiladigan jarayonlar) tomonidan talab qilinadigan huquqlar / imtiyozlar to'plamini amalga oshiradi.
Kirishni boshqarish: seansni blokirovka qilish. Axborot tizimi, Sessiyani blokirovka qilish orqali Sessiyalarni blokirovka qilish orqali sessiyani blokirovka qilish orqali foydalanishni oldini oladi.
Kirishni boshqarish: seansni tugatish. Ma'lumot tizimi belgilangan tartibsizlik davridan keyin avtomatik ravishda seansni to'xtatadi.
Kirish boshqaruvi: autentifikatsiya va autentifikatsiyasiz amalga oshiriladi. Tashkilot xatti-harakatlarni identifikatsiya qilish va autentifikatsiyasiz amalga oshirishga imkon beradi, agar ular tashkilotning asosiy maqsadlariga erishish uchun zarur bo'lsa.
Kirishni boshqarish: masofadan kirish. Masofaviy kirish seanslarining maxfiyligini muhofaza qilish uchun masofadan kirish usullarini monitoring qilish va nazorat qilishni osonlashtirish uchun avtomatik mexanizmlarni qo'llash. Boshqariladigan kirish nuqtasida barcha masofadan kirishni boshqarish kerak.
Kirishni boshqarish: simsiz ulanishni cheklashlar. Axborot tizimiga simsiz ulanishni himoya qilish uchun autentifikatsiya va shifrlashni qo'llang.
Kirishni boshqarish: mobil qurilmalar. Tashkilot:
- foydalanish bo'yicha cheklovlar va foydalanish bo'yicha qo'llanmalar ishlab chiqadi mobil qurilmalar;
- iP-ga hujjatlar, monitorlar va boshqarish va boshqarish; IP-ga kirish; Tegishli mansabdor shaxslar mobil qurilmalardan foydalanishga ruxsat beradi; Olib bo'lmaydigan qattiq disklar yoki kriptografiya mobil qurilmalarda joylashgan ma'lumotlarni himoya qilish uchun ishlatiladi.
Tizirish va audit: Kontentni ro'yxatdan o'tkazish yozuvlari. Axborot tizimi qo'shimcha, joy yoki mavzu bo'yicha aniqlanadigan logheboşine tadbirlari uchun qo'shimcha, batafsil ma'lumotni ro'yxatga olish yozuvlariga kiritish imkoniyatini beradi.
Shubhali faoliyat yoki qoidabuzarlik holatlarini tekshirish, tegishli mansabdor shaxslarga natija to'g'risidagi hisobotni tekshirish va kerakli harakatlarni amalga oshirish uchun ro'yxatdan o'tish to'g'risidagi ma'lumotlarni muntazam ravishda o'rganish va tahlil qilish kerak.
Axborot tizimi ro'yxatga olish ma'lumotlarini kamaytirish va hisobotlarni tug'dirish qobiliyatini ta'minlaydi.
Tizirish va audit: vaqt teglari. Axborot tizimi ro'yxatga olish yozuvlarini ishlab chiqarishda foydalanish uchun vaqt pochta markalarini taqdim etadi.
Tizim va aloqalarni himoya qilish: Ilovalarni ajratish. Axborot tizimi foydalanuvchi interfeysi (shu jumladan foydalanuvchi interfeysi xizmatlari) IP nazorati funktsiyasidan foydalanadi.
Tizim va aloqa: qoldiq ma'lumotlar. Axborot tizimi umumiy tizim resurslari orqali ruxsatsiz va ma'lumotlarning ajralib turadigan uzatishni oldini oladi.
Tizim va aloqa: Chegaralarni himoya qilish. Axborot tizimining (masalan, ommaviy veb-serverlar) jismoniy jismoniy jismoniy aloqa interfeysi bilan alohida jismoniy tarmoqqa kirish huquqiga ega bo'lgan alohida tarmoqlarda jamoat tarkibiy qismlarini jismoniy jihatdan joylashtirish tavsiya etiladi. boshqariladigan kirish.
Axborot tizimi uzatiladigan ma'lumotlar yaxlitligini himoya qiladi.
Axborot tizimi uzatiladigan ma'lumotlar maxfiyligini himoya qiladi.
Tizim va aloqalarni himoya qilish: tarmoq ulanishlarining yorilishi. Axborot tizimi bekor qilinadi tarmoq ulanishi Seans oxirida yoki belgilangan tartibsizlikdan keyin.
Tizim va aloqalarni himoya qilish: kriptografik kalitlarni yaratish va ularni boshqarish. Axborot tizimi kriptografik kalitlar va kalitlarni boshqarish uchun avtomatik mexanizmlar va yordamchi protseduralar yoki qo'lda qo'llanmalar qo'llaniladi.
Tizim va aloqalarni himoya qilish: jamoaviy dasturlar. Axborot tizimi jamoaviy dasturiy mexanizmlarni masofadan faollashtirishni taqiqlaydi (masalan, video yoki audio konferentsiyalar uchun) va ulardan mahalliy foydalanuvchilar uchun ochiqligini aniqlaydilar (masalan, video kameralar yoki mikrofonlardan foydalanishni ko'rsatadigan).
Tizim va aloqalarni himoya qilish: ochiq kalit infratuzilmasi sertifikatlari. Tashkilot sertifikatlar va sertifikatlashtirish amaliyoti bo'yicha siyosatni axborot tizimida qo'llaniladigan ochiq kalit sertifikatlarini berish uchun maxsus sertifikatlarni berish uchun spetsifikatsiyalarni ishlab chiqadi va amalga oshiradi.
Syum va aloqalarni himoya qilish: mobil kod. Tashkilot:
- dasturni cheklashni belgilaydi va texnologiyalardan foydalanish bo'yicha ko'rsatmalarni ishlab chiqadi mobil kodUshbu texnologiyalardan zararli foydalanishda axborot tizimiga zarar etkazish ehtimoli asoslanadi;
- hujjatlar, monitorlar va mobil kodni axborot tizimidagi foydalanishni boshqarish; Tegishli mansabdor shaxslar mobil koddan foydalanishga ruxsat beradi.
Tizim va aloqalarni himoya qilish: VOIP Protocol. Tashkilot:
- ushbu texnologiyalardan zararli foydalanishda axborot tizimiga zarar etkazish ehtimoli asosida Axborot tizimiga zarar etkazish ehtimoli asosida "VoIP texnologiyalaridan foydalanish bo'yicha cheklovlar" ni ishlab chiqadi;
- hujjatlar, monitorlar va VOIP ma'lumotlarini ishlatishni boshqarish; Tegishli mansabdor shaxslar VOIPdan foydalanishga ruxsat beradi.
Systemlar va aloqalarni himoya qilish: Xizmat xavfsiz qidiruv Ismlar (vakolatli manbalar). Axborot tizimlari (vakolatli domen nomi serverlari), tashqi foydalanuvchilar Internet orqali tashkilotning axborot resurslarini olish uchun nomlarni taqdim etish va foydalanuvchilarning yaxlitlik xabarlarini tasdiqlash va ma'lumotlarning yaxlitligini ta'minlash uchun atributni taqdim etadilar tarmoq operatsiyalari doirasida ma'lumotlarni olganda.

Yuqori darajadagi IB uchun qo'shimcha va mustahkamlangan xavfsizlik regulyatorlari

Axborot xavfsizligi yuqori darajada bo'lganligi uchun quyidagi qo'shimcha va yaxshilangan (o'rtacha darajadagi) xavfsizlik regulyatori bilan taqqoslash tavsiya etiladi.

Xavflarni baholash: qayiqlarni skanerlash. Zaif skanerlar axborot tizimining skanerlangan zaifliklari ro'yxatini tezda o'zgartirish qobiliyatini o'z ichiga oladi.

Berilgan chastota bilan yoki zaifliklar uchun yangi ma'lumotlarning ma'lumotlari paydo bo'lganidan keyin tashkilot Axborot tizimining skanerlangan zaifliklari ro'yxatini o'zgartiradi.

Tizim va xizmatlarni sotib olish: hujjatlar. Siz hujjatlar tizimiga kiruvchi va tartibga soluvchilarning umumiy hujjatlar to'plamida (agar mavjud bo'lsa), tartibga soluvchilarni tahlil qilish va sinovdan o'tkazish uchun etarli ma'lumotlar darajasiga ega bo'lgan ishlab chiqaruvchi / etkazib beruvchiga hujjatlarni ishlab chiqishingiz kerak ( tartibga soluvchilar komponentlari o'rtasidagi funktsional interfeyslar.
Tizim va xizmatlarni sotib olish: konfiguratsiyani boshqarish tizimini ishlab chiqaruvchisi. Axborot tizimini ishlab chiquvchisi rivojlanish jarayonida tizimning o'zgarishini boshqaruvchi konfiguratsiyani boshqarish rejasini yaratadi va o'zgartiradi, va xavfsizlikning hujjatlarini tasdiqlovchi va reja hujjatlarini amalga oshirishni va uni amalga oshirishni ta'minlaydi.
Jismoniy himoya: ma'lumotlar uzatish kanallariga kirish boshqaruvi. IP-ga tegishli va uzatiladigan chegaralarda, uzatilish jarayonini o'zgartirish, uzatish jarayonida tafsilotlarni o'zgartirish, uzatish jarayonini o'zgartirish, ularni o'zgartirish, bo'sh joyni yoki jismoniy uzatishning oldini olish uchun joylashtirilgan.
Jismoniy himoya: jismoniy kirishni monitoring qilish. Avtomatik mexanizmlar potentsial jihatdan joylashuvni aniqlashni va ularga reaktsiyani boshlash uchun foydalaniladi.
Jismoniy himoya: Kirish Kirish. Ro'yxatdan o'tish tizimlarini qo'llab-quvvatlash va ko'rish uchun avtomatik mexanizmlar qo'llaniladi.
Jismoniy huquqni himoya qilish: Shoshilinch elektr ta'minoti. Birlamchi quvvat manbai manbaning uzoq muddatli ishdan chiqishi bo'yicha eng kam talab qilinadigan operatsion imkoniyatlarni qo'llab-quvvatlaydigan uzoq muddatli alternativa energiya manbalarini ta'minlash kerak.
Jismoniy himoya: yong'inni himoya qilish. Tashkilotlar / yong'inni o'chirish va tashkilotlarni va favqulodda xizmatlarni avtomatik ravishda xabardor qiladigan yong'inlarni aniqlash qo'llaniladi va saqlanadi.
Jismoniy himoya: toshqindan himoya qilish. Avtomatik ishlashi uchun avtomatik mexanizmlar suvni avtomatik ravishda qoplash uchun ishlatiladi.
Uzluksiz ishlarni rejalashtirish: o'rganish. Tadbirlarni modellashtirish xodimlarga olib borilayotgan inqiroz sharoitlariga samarali javob berishda yordam beradigan o'quv kurslariga kiritilgan.
Uzluksiz ish rejalashtirish: uzluksiz ish rejasini sinab ko'rish. Uzluksiz ish rejasi xodimlarni mavjud imkoniyatlar va manbalarga ega bo'lgan xodimlarni tanishtirish va foydalanishning uzluksizligini ta'minlash uchun saytning qobiliyatini baholaydi.
Uzluksiz ishlarni rejalashtirish: bo'sh vaqtinchalik joylar. Zaxira saqlashni ta'minlash va samarali tiklanishga ko'maklashish uchun sozlangan; Keng ko'lamli baxtsiz hodisalar yoki tabiiy ofatlar holatida zaxira saqlash joyiga kirish uchun mumkin bo'lgan muammolar aniqlangan muammolarni kamaytirish bo'yicha aniq va aniq harakatlar rejalashtirilgan.
Uzluksiz ishlarni rejalashtirish: ma'lumotlarni qayta ishlash joylari. Zarar ma'lumotlarni qayta ishlashning minimal talab qilinadigan operatsion imkoniyatlarni saqlash va ishlab chiqarish maydonchasi sifatida foydalanish uchun foydalanish uchun to'liq sozlangan.
Uzluksiz ishlarni rejalashtirish: telekommunikatsiya xizmatlari. Telekommunikatsiya xizmatlarining zaxira manbai bir xil xavflarga duch kelmaslik uchun asosiy narsadan jug'rofiy jihatdan etarli darajada olib tashlanishi kerak; Telekommunikatsiya xizmatlarining asosiy va zaxira manbalari uzluksiz ish rejalariga ega.
Uzluksiz ish rejalashtirish: zaxira nusxasi. Axborot tizimining funktsiyalarini tiklash uchun zaxiralarni uzluksiz ishlatish uchun sinov rejasining bir qismi sifatida ishlatiladi. Zaxira nusxalari Dasturiy ta'minot uchun eng muhim operatsion tizim va boshqa dasturiy ta'minot alohida joyda yoki operatsion dasturdan alohida joylashtirilgan holda saqlanadi.
Uzluksiz ish rejalashtirish: axborot tizimini tiklash. Tashkilot o'z ichiga oladi to'liq tiklanish Axborot tizimi uzluksiz ish rejasini sinab ko'rishning bir qismi sifatida.
Konfiguratsiyani boshqarish: Axborot tizimining asosiy konfiguratsiyasi va inventarizatsiya qilish komponentlari. Tegishli, to'liq, aniq va oson foydalanish mumkin bo'lgan asosiy konfiguratsiyani va IP tarkibiy qismlarining tarkibiy qismlarini saqlash uchun avtomatik mexanizmlar qo'llaniladi.
Konfiguratsiyani boshqarish: Konfiguratsiya o'zgarishi monitoringi. Avtomatik mexanizmlar quyidagilarga qo'llaniladi:
- axborot tizimidagi taklif qilingan o'zgarishlarni hujjatlashtirish;
- tegishli mansabdor shaxslarga xabar berish;
- e'tiborni zudlik bilan tasdiqlanmaslik;
- kerakli tasdiqlash vizalarini olishdan keyingi o'zgarishlar;
- hujjatda axborot tizimidagi o'zgarishlar amalga oshirildi.
Konfiguratsiyani boshqarish: o'zgarishlarni kirishning cheklanishi. Kirish cheklovlarini amalga oshirish va cheklovlar harakatlarini ro'yxatga olishni qo'llab-quvvatlash, avtomatik mexanizmlar qo'llaniladi.
Konfiguratsiyani boshqarish: Sozlamalar. Avtomatik mexanizmlar markazlashtirilgan boshqarish, qo'llash va sozlash uchun ishlatiladi.
Konfiguratsiyani boshqarish: Futbolchini minimallashtirish. Berilgan chastota bilan axborot tizimi funktsiyalar, portlar, protokollar va boshqa xizmatlarni aniqlash va yo'q qilish uchun qayta ko'rib chiqiladi.
Qo'llab-quvvatlash: davriy yordam. Avtomatik mexanizmlar vaqti-vaqti bilan rejalashtirish va o'tkazish uchun qo'llaniladi belgilangan talablar, shuningdek zarur va ijro etilgan harakatlar bo'yicha ro'yxatga olish yozuvlarining dolzarbligi, aniqligi, to'liqligi va mavjudligi.
Ta'minot: Kutqinlash vositasi. (Masalan, kuzatuvchi va testostik va sinov uskunalarini) va ko'rinadigan noo'rin modifikatsiyalar uchun hamrohlik qilishni tekshirish kerak. Diagnostika test dasturlarini o'z ichiga olgan barcha ommaviy axborot vositalari tekshirilishi kerak (masalan, tizimlar bilan birgalikdagi dasturiy ta'minot), zararli dasturlar, tashuvchilar axborot tizimida qo'llanilishidan oldin zararli dastur. Etakchilik maqsadlarida ishlatiladigan barcha jihozlar tashkilot uskunalarda qayd etilmaganligini yoki undan oldin to'g'ri tozalanganligiga ishonch hosil qilish uchun tekshirilishi kerak takrorlamoq. Agar uskunalar sanitalizatsiya qilinmasa, u ushbu tashkilot hududida qoladi yoki yo'q qilinsa, tegishli mansabdor shaxslar tomonidan aniq ruxsat berilgan hollar bundan mustasno.
Qo'llab-quvvatlash: masofaviy hamrohlik. Barcha masofadan qo'shilish seanslari qayd etiladi va tegishli mansabdor shaxslar uzoq sessiyalarning ro'yxatdan o'tish jurnalini ko'rishmoqda. Masofaviy diagnostika kanallarini o'rnatish va ulardan foydalanish axborot tizimining xavfsizlik rejasida aks ettirilgan. Agar xizmatni tashkil etish kamida bir xil darajadagi xavfsizlikning kamida bir xil darajasini qo'llab-quvvatlasa, uning masofaviy diagnostikasi yoki qo'llab-quvvatlanadigan xizmatlardan iborat.
Tizim va ma'lumotlarning yaxlitligi: zararli dasturlardan himoya. Axborot tizimi zararli dasturlardan himoya mexanizmlarini avtomatik ravishda o'zgartiradi.
Tizimlarning yaxlitligi: xavfsizlik funktsiyasini tekshirish. Texnik imkoniyatlar tarkibi, texnik imkoniyatlar bir qismi sifatida, vakolatli foydalanuvchi va / yoki vaqti-vaqti bilan tekshirilgan chastota bilan xavfsizlik funktsiyalari ishining to'g'riligini tekshiradi va ayniqsa tizim ma'muriyati va / yoki har qanday anomaliyalarni aniqlagan holda tizimni o'chiradi yoki qayta yoqadi.
Tizim va ma'lumotlarning yaxlitligi: dasturiy ta'minot va ma'lumotlarni yaxlitligi. Axborot tizimi dasturiy ta'minot va ma'lumotlarning ruxsatsiz o'zgarishlaridan himoya qiladi va himoya qiladi.
Tizimlarning yaxlitligi: Spamdan himoya. Tashkilot markazda spamlarni himoya qilish mexanizmlarini boshqaradi.
Ommaviy axborot vositalarining himoyasi: OAVga kirish. Xavfsizlik postlari ham qo'llaniladi yoki ommaviy axborot vositalarini saqlash, ruxsatsiz kirishdan himoya qilishni, shuningdek kirish urinishlari va foydalanishga ruxsat berishni ta'minlash.
Axborot xavfsizligi buzilishiga javob: o'rganish. O'quv kurslari xodimlarning inqirozli vaziyatlarga samarali javob berishga hissa qo'shadigan tadbirlarni o'z ichiga oladi.
Axborot xavfsizligi buzilishiga javob: test. Avtomatik mexanizmlar javobni sinchkovlik bilan sinab ko'rish va samarali sinovdan o'tkazish uchun ishlatiladi.
Axborot xavfsizligi buzilishiga javob: Monitoring. Avtomatik mexanizmlar xavfsizlikning buzilishini kuzatish, shuningdek, qoidabuzarlik to'g'risidagi ma'lumotlarni to'plash va tahlil qilishni osonlashtirish uchun ishlatiladi.
Tanib olish va autentifikatsiya: shaxsni aniqlash va foydalanuvchi autentifikatsiyasi. Axborot tizimi ko'p belgisi autentifikatsiyani qo'llaydi.
Kirish boshqarmasi: Hisobni boshqarish. Avtomatik mexanizmlar ro'yxatga olish va agar kerak bo'lsa, tegishli shaxslarni yaratish, o'zgartirish, ajratish va tugatish hisoblarini yaratish to'g'risida xabardor qilinadi.
Kirishni boshqarish: parallel sessiyalarni boshqarish. Axborot tizimi bitta foydalanuvchi uchun parallel sessiyalar sonini cheklaydi.
Kirishni boshqarish: nazorat va ko'rish. Avtomatik mexanizmlar foydalanuvchi faoliyatini ko'rish osonlashish uchun qo'llaniladi.
Kirishni boshqarish: Avtomatik markalash. Axborot tizimi ma'lumot tarqatish, qayta ishlash va tarqatish uchun barcha maxsus ko'rsatmalarni aniqlash uchun standart nomlash shartnomalari yordamida natijalarni belgilaydi.
Tizirish va audit: Kontentni ro'yxatdan o'tkazish yozuvlari. Axborot tizimi IPning individual tarkibiy qismlari tomonidan ishlab chiqarilgan ro'yxatga olish yozuvlari tarkibini markazlashtirish qobiliyatini beradi.
Tizirish va audit: ro'yxatdan o'tish to'g'risidagi ma'lumotlarni qayta ishlash. Axborot tizimi avtoulov maydonining ulushi belgilangan qiymatga erishishga ulgurgan holda band bo'lgan joyning ulushi ogohlantiruvchi xabarni berishni ta'minlaydi.
Tizimga kirish va audit: monitoring, tahlil qilish va ro'yxatdan o'tish to'g'risidagi hisobot. Shubhali faoliyatni aniqlash va ularni aniqlash va javob berishning umumiy jarayoni bo'yicha monitoring, tahlil va ro'yxatga olish to'g'risidagi ma'lumotnomalarni avtomatik mexanizmlardan foydalanish.
Tizirish va audit: Ro'yxatdan o'tish Axborotni kamaytirish va hisobotni yaratish. Axborot tizimi belgilangan tanlov mezonlariga asoslangan voqealar diqqatiga hisob-kitoblarni avtomatik ravishda qayta ishlash imkoniyatini beradi.
Syum-kommunikatsiyalarni himoya qilish: xavfsizlik funktsiyalarini izolyatsiya qilish. Axborot tizimi xavfsizlik xususiyatlarini boshqa funktsiyalardan ajratadi.
Tizim va aloqalarni himoya qilish: uzatiladigan ma'lumotlar yaxlitligi. Elektrlik jismoniy choralar bilan himoyalanmasa (masalan, himoya tarqatish tizimi) tomonidan himoya qilinmasa, kriptografik mexanizmlardan foydalanish (masalan, himoya tarqatish tizimi).
Tizim va aloqa: uzatilgan ma'lumotlar maxfiyligi. Elektrim jismoniy choralar bilan himoyalanmagan holda, agar uzatish jarayonida ma'lumotni berkitilmaslikning oldini olish uchun kriptografik mexanizmlardan foydalanish (masalan, himoya tarqatish tizimi).
System va aloqalarni himoya qilish: Xavfsizlik nomi Nom qidirish xizmati (nomi aniq). Axborot tizimlari (avtorizatsiya qilingan domen serverlari), Axborot resurslaridan foydalanish uchun ichki qidiruv xizmatini taqdim etish va ma'lumotlar yaxlitligini tasdiqlash va mijoz tizimlarining so'rovida ushbu harakatlarni amalga oshirish.

Xavfsizlik regulyatorlariga minimal ishonch talablari

Xavfsizlikni tartibga soluvchilar uchun eng kam ishonch talablari muayyan jarayonlar va harakatlar uchun taqdim etiladi. Regoratorlarni rivojlantirish va amalga oshirish bo'yicha mutaxassislar ushbu jarayonlarni aniqlaydilar va murojaat qiladilar (Qutqaruvchilar) texnik xususiyatlarga muvofiq ishlash va kutilgan natijalarni axborot xavfsizligi talablarini amalga oshirish nuqtai nazaridan amalga oshirish va kutilayotgan natijalarni berish.

Axborot xavfsizligining minimal darajasida xavfsizlikni tartibga soluvchilar, ularning aniqlikdagi talablarida aniq ko'rsatilgan aniq belgilangan va qoniqish kerak.

Axborot xavfsizligining o'rtacha darajasida quyidagi shartlar to'ldirilishi kerak. Rejisorlarni rivojlantirish bo'yicha mutaxassislar registrlarni tahlil qilish va sinovdan o'tkazish va sinovdan o'tkazish imkoniyati va sinovlarini o'tkazishga imkon beradigan funktsiyalarning funktsional xususiyatlarini tavsiflaydi. Tartibga to'lovchilarning ajralmas qismi sifatida ishlab chiquvchilar hujjatlashtirilgan va majburiyatlarning taqsimlanishi va belgilangan chora-tadbirlar tarqalishi (amalga oshirish) Ro'yxatdan o'tgandan keyin funktsiyalar funktsional talablarga javob berishi kerak. Regimulyator ishlab chiqilgan texnologiya ularning to'liqligi, izchilligi va to'g'riligini oshirishi kerak.

6-rasm. Axborot xavfsizligini ta'minlash. Jarayon yondashuvi.

Aksedrada yuqori darajadagi axborot xavfsizligida loyihaning tavsifini berish va ularning tarkibiy interfeynlarini, shu jumladan ularning tarkibiy interfeyslarini amalga oshirish zarur. Ishlab chiquvchilar rivojlanish tugagandan so'ng, tartibga soluvchilar uchun talablarning bajarilishi butun axborot tizimining butun miqyosi va samaradorligini oshirishga imkon beradigan doimiy va izchil bo'lishiga dalillarni talab qiladi.

Xulosa

Axborot xavfsizligini ta'minlash - bu omillar va talablarning ko'pligi, ba'zan qarama-qarshi bo'lgan ko'plab echimlarni qabul qilishni talab qiladigan murakkab, ko'p o'lchovli jarayon. Belgilangan xavfsizlikni va moddiy mehnat talablari kataloglari va aniq belgilangan imtiyozlar katalogi bo'lib xizmat qilishi va amalda maqbul natijalarni taqdim etadigan usullar uchun asos bo'lib xizmat qilishi mumkin. Aksariyat tashkilotlar.

Axborotni muhofaza qilish muammosi, mumkin bo'lgan deb atash qiyin. Biz tomondan xakerlik, viruslar, zararli haqida eshitamiz dasturiy ta'minot, hujumlar, tahdidlar, zaifliklar ...

Tizim sifatida axborot xavfsizligi

Axborot xavfsizligi - bu choralar, shu jumladan muhimroq. Axborot xavfsizligi baribir murakkab deb hisoblash mumkin emas. Bu erda hamma narsa muhim! Tarmoqning barcha punktlarida himoya choralariga rioya qilish kerak, har qanday sub'ektlarning har qanday ishi (ushbu sohada, foydalanuvchi tizimi, kompyuter yoki dasturiy ta'minot) tushuniladi. Foydalanuvchi kompyuteri, tashkilot serveri yoki tarmoq uskunalari har qanday tahdidlardan himoyalangan bo'lishi kerak. Himoyalangan bo'lishi kerak fayl tizimlari, Tarmoq va boshqalar. Ushbu maqolada juda katta xilma-xillik tufayli himoya qilmaymiz.

Biroq, buni yuz foiz himoya qilishning iloji yo'qligini tushunish kerak. Shu bilan birga, eslab qolish kerak: xavfsizlik darajasi shuncha yuqori bo'ladi, tizimning qimmatroq bo'lgani, foydalanadigan eng noqulay, u mos ravishda insoniy omildan himoyalanishni yomonlashtiradi. Misol sifatida, biz parolning haddan tashqari asorati, foydalanuvchi uni yozuvga yozishga majbur bo'lganiga olib keladi, u monitor, klaviatura va boshqalarga yopishadi.

Mavjud keng spektr Axborotni himoya qilish vazifalarini echishga yo'naltirilgan dasturiy ta'minot. Bu antivirus dasturlari, xavfsizlik devori, o'rnatilgan operatsion tizimlar va boshqalar. Biroq, himoyada eng zaif aloqada qolganligini eslash kerak. inson! Axir, har qanday dasturiy ta'minotning samaradorligi uni himoya qilish vositasini o'rnatadigan yozish va savodxonligi sifatiga bog'liq.

Ushbu munosabatlardagi ko'plab tashkilotlar axborotni muhofaza qilish bo'yicha xizmatlar (bo'limlar) yoki IT bo'limlariga tegishli vazifalarni qo'yadilar. Biroq, buni tushunish kerak bu mumkin emas Uni noodatiy funktsiyalarni chaqirish. Bu allaqachon aytib o'tilmagan va yozmagan. Shunday qilib, sizning tashkilotingizda axborot xavfsizligi bo'limini yaratdi. Keyingi nima qilish kerak? Qayerdan boshlanish kerak?

Xodimlarni o'rganish bilan boshlashingiz kerak! Va kelajakda bu jarayonni muntazam qilish. Kadrlar tayyorlash Axborot xavfsizligi asoslari Axborotni muhofaza qilish bo'limining doimiy vazifasi bo'lishi kerak. Va siz uni yiliga kamida ikki marta qilishingiz kerak.

Ko'plab menejerlar darhol axborot xavfsizligi siyosatidan "Tashkilotning xavfsizlik siyosati" deb nomlangan hujjatni olishga harakat qilmoqdalar. Bu to'g'rimi? Menimcha - yo'q. Ushbu ulkan ishni yozishdan oldin, siz quyidagi masalalar bo'yicha qaror qilishingiz kerak:

siz qaysi ma'lumotlarni davom ettirasiz?
xususiyatlar bo'yicha uni qanday tasniflash kerak?
siz qanday manbalar egasiz?
resurslar bo'yicha ma'lumotlarni qanday ishlash qanday?
resurslarni qanday tasniflash kerak?

Axborotni tasniflash

Tarixan, u ma'lumotni tasniflash masalasi bilan tezroq rivojlandi (birinchidan, bu davlat tomonidan tegishli ma'lumotlarga tegishli), bu zudlik bilan maxfiylik (maxfiylik) darajasida tasniflashni boshlaydi. Agar ular esda tutsalar, yaxlitlik, rozilik berish, agar ular bir qatorda umumiy talablar Axborotni qayta ishlash tizimlariga.

Agar bunday qarash hali ham qandaydir tarzda davlat sirlarini ta'minlash zarurligini oqlay olsa, keyin uni boshqa mavzu sohasiga o'tkazish juda oson. Masalan, Ukraina qonunchiligining talablariga muvofiq, axborotning egasi uning maxfiyligi darajasini belgilaydi (agar ushbu ma'lumotlar davlatga tegishli bo'lmasa).

Ko'p sohalarda maxfiy ma'lumotlar ulushi nisbatan kichikdir. Ochiq ma'lumot olish uchun, oshkora, mavjud bo'lgan eng muhim xususiyatlar, mavjud bo'lish, yaxlitlik yoki xavfsizlik kabi eng muhim xususiyatlar kabi eng muhim xususiyatlar bo'lishi mumkin. Internet nashrining namunasi sifatida ko'rib chiqing. Birinchi navbatda, mening fikrimcha, uning maxfiyligi emas, balki ma'lumotlarning mavjudligi va yaxlitligi. Ma'lumotni faqat pozitsiya va maxfiylikdan baholang va baholang.

Va buni faqat sirni himoya qilishga an'anaviy yondoshish, sirli (maxfiy) bo'lmagan ma'lumotlarning mavjudligi, yaxlitligi va rioyalanishini ta'minlash nuqtai nazaridan tushunish mumkin.

Himoyalangan ma'lumotlar toifalari

Axborotni himoya qilishning turli darajalarini ta'minlash zarurati (davlat sirini tashkil etuvchi ma'lumotni o'z ichiga olmagan holda), saqlansin va qayta ishlangan holda, konfidentatsion ma'lumotlarning konfidentsialligi va yaxlitligini ta'minlaylik.

to'liq maxfiy - qonun hujjatlari yoki ma'lumotlarning talablariga muvofiq tanlanganligi to'g'risidagi ma'lumotni, uning oshkor etilishi tashkilot uchun og'ir moliyaviy va iqtisodiy oqibatlarga muvofiq qaror qabul qilishning cheklanishi to'g'risidagi ma'lumotlar bankrotlik uchun;
maxfiy ravishda - Ushbu turkumda "To'liq maxfiy", tarqatishning cheklovlari, uni boshqarish bo'yicha qaror qabul qilinganligi, unga da'volar bilan bog'liq bo'lgan ma'lumotlarga muvofiq berilgan ma'lumotlarga muvofiq qabul qilingan ma'lumotlarga ega bo'lgan ma'lumotlarni kiradi Uning oshkor etilishi tashkilotning raqobatbardoshligini yo'qotish va yo'qotishlarga olib kelishi mumkin (o'z mijozlari, hamkorlar yoki xodimlarning manfaatlariga jiddiy zarar etkazish);
ochiq - Ushbu turkumda ma'lumotni o'z ichiga oladi, uning maxfiyligini ta'minlash shart emas.

baland - ma'lumot, ruxsatsiz o'zgartirish yoki soxta usul yoki soxtalashtirish tashkilotga jiddiy zarar etkazishga olib keladigan;
past - Ushbu turkumda ma'lumotni, ruxsatsiz modifikatsiyalashni o'z ichiga oladi, bu tashkilot, uning sheriklari, hamkorlari yoki xodimlariga ozgina zarar etkazilishiga olib kelishi mumkin;
talablar yo'q - Ushbu turkumning yaxlitligi va haqiqiyligini ta'minlash uchun ma'lumotni o'z ichiga oladi.

Mavjudlik darajasiga ko'ra, biz funktsional muammolarni echish chastotasi va ularning yechimining natijalarini olishning maksimal imkoniyatlarini maksimal darajada kechiktirishga qarab to'rtta toifani taqdim etamiz:

haqiqiy vaqt - Vazifaga kirish istalgan vaqtda taqdim etilishi kerak;
soat - Vazifaga kirish vaqtsiz amalga oshirilishi kerak sx kechikishlar (har kuni vazifa har kuni hal qilinadi, kechikish bir necha soatdan oshmaydi);
kun - Vazifaga kirish muhim vaqt bilan ta'minlanishi mumkin smi kechikishlar (vazifa bir necha kun ichida hal qilinadi);
bir hafta - vaqt svazifaga kirish huquqi o'rnatilmagan elektron kechikishlar (muammoni hal qilish muddati bir necha hafta yoki oylar, natijani olishning ruxsat etilgan kechikish bir necha hafta).

Kategoriyalar Ma'lumotlar

Vazifalarni hal qilishda ishlatiladigan barcha turdagi ma'lumotlarni ajratish (Maxfiylik toifasini sozlash, aniqlikdagi ma'lumotlar turlarining yaxlitligi va mavjudligi).
Hal qilingan barcha vazifalarni tasniflash bu kompyuter.
Qayta ishlov berilgan ma'lumotlarning maksimal toifalariga asoslanib, kompyuter kategoriyasi qayta ishlanadi.

Inventarizatsiya manbalari

Tashkilotda ma'lumotlarni himoya qilish haqida gaplashishdan oldin, siz nimani himoya qilmoqchisiz va qanday manbalaringiz borligini tushunishingiz kerak. Buning uchun, inventarizatsiya ishlari bo'yicha ishlashni amalga oshirish va himoya qilinadigan tashkilotning avtomatlashtirilgan tizimining barcha manbalarini tahlil qilish kerak:

Xavfsizlik bilan muhofaza qilish uchun inventarizatsiya va resurslarni tasniflash uchun maxsus ishchi guruh tuziladi. Unda tashkilotda ma'lumotlarni avtomatlashtirilgan ma'lumotlarni avtomatlashtirilgan ish bilan qayta ishlash masalalarini ko'rib chiqishda yordam beradigan tashkilotning kompyuter xavfsizligi bo'linmalari va tashkilotning boshqa bo'linmalari mutaxassislari kiradi.
Kerakli tashkiliy va huquqiy maqom tomonidan yaratilgan guruh uchun tashkilot rahbariyatining tegishli tartibi e'lon qilinadi, bu tashkilotning tegishli bo'linmalarining barcha rahbarlari tahsilatda ishchi guruhiga yordam berishlari va zarur yordam ko'rsatishi kerakligini ko'rsatadi barcha kompyuterlarning.
Guruhning ishlashi paytida ularga yordam berish uchun ularning rahbarlarining bo'linmalari ushbu bo'limlarda avtomatlashtirilgan ma'lumotlarni qayta ishlash to'g'risida batafsil ma'lumotga ega bo'lgan xodimlarni ajratishlari kerak.
Ushbu buyruq barcha turdagi birliklarning barcha menejerlarini jalb qilish bo'yicha olib kelinmoqda.
Tashkilot va avtomatlashtirilgan quyi tizimlarning so'rovi davomida kompyuterlardan foydalangan barcha funktsional vazifalar, shuningdek, ushbu vazifalarni hal qilish uchun ishlatiladigan barcha turdagi ma'lumotlar aniqlanadi va tavsiflanadi.
Tadqiqot oxirida tashkilotda hal qilingan vazifa shakli tuzilgan. Turli xilma-xil bo'linmalardagi bir xil vazifa boshqacha deb atash mumkinligini tushunish kerak va aksincha, turli vazifalar bir xil nomga ega bo'lishi mumkin. Shu bilan birga, jihozning funktsional vazifalarini hal qilishda ishlatiladigan dasturiy vositalar amalga oshiriladi.

Shuni ta'kidlash kerakki, so'rov davomida barcha turdagi ma'lumotlar (kiruvchi, chiquvchi, saqlanadigan, qayta ishlangan va boshqalar) aniqlanadi. Shuni yodda tutish kerakki, aniqlash uchun maxfiy ma'lumotlar, balki yaxlitlik yoki mavjudlikning buzilishi zarurligini, balki tashkilotga nisbatan aniq zarar etkazishi mumkinligini yodda tutish kerak.

Tashkilotda ishlov berilgan ma'lumotni tahlil qilganda, uning xususiyatlarini buzish natijasida yuzaga keladigan oqibatlarning jiddiyligini baholash kerak. Buning uchun siz u bilan ishlaydigan mutaxassislar (sinov, so'rovlar) mutaxassislar. Shu bilan birga, bu birinchi navbatda, bu ma'lumotni noqonuniy foydalanadigan yoki unga ta'sir qiladigan yoki ta'sir ko'rsatadigan kimsalarni aniqlash uchun. Agar mumkin bo'lgan zarar miqdorini miqdoriy baholash imkonsiz bo'lsa, uni sifatli baho berish (past, yuqori, juda yuqori).

Tashkilotda hal qilingan vazifalarni tahlil qilishda parvoz qilishning toifasini tushunish uchun ruxsat etilgan vaqtni kechiktirish vaqti, ularning yechimini va ularning mavjudligini buzishda (to'siqlarni to'sib qo'yishda oqibatlarning jiddiyligini aniqlash kerak.

Tahlil davomida ma'lumotlarning har bir turlari maxfiylik ma'lum darajada (maxfiylik) bilan bog'liq (amaldagi qonunchilik va huquqshunoslik tashkilotlari talablari asosida).

Shu bilan birga, tarkibiy qismning menejerlaridan (etakchi mutaxassislardan) ma'lumotlarning o'ziga xos turlarining maxfiyligi, maxfiylik xususiyatlari va yaxlitligini buzgan zararni shaxsiy baholarni aniqlash uchun topilgan.

Tahlil so'ngida himoya qilinadigan axborot resurslari ro'yxati tuziladi.

Keyin ushbu ro'yxat IT va kompyuter xavfsizlik bo'limlari bo'limlari rahbarlari va tashkilot rahbariyatiga muvofiqlashtiradi.

Ushbu bosqich oxirida funktsional vazifalarni tasniflash kerak. Tashkilotning bo'linmalari rahbarlari tomonidan kiritilgan mavjudlik talablariga binoan va u xizmat bilan kelishilgan barcha qo'llanmalar toifalarda hal qilingan barcha tegishli vazifalar tasniflanadi.

Kelajakda IT xizmatlari va axborot xavfsizligi bo'limidan foydalanish har bir vazifa tarkibi (axborot, dasturi) tarkibini aniqlash va ulardan foydalanilgan xavfsizlik vositalarini o'rnatish uchun ushbu vazifa va ko'rsatmalarga ma'lumot berish kerak Uning echimlari (masalan, foydalanuvchilar guruhlarining ko'rsatilgan vazifalarga kirish huquqi). Kelgusida, ushbu ma'lumot asosida kompyuterlar ushbu vazifani hal qilishda sozlanadi.

Keyingi bosqichda kompyuterlar toifalangan. Kompyuter turkumi bu vazifalarni hal qilishda ishlatiladigan maxsus vazifalar toifasi va ushbu vazifalarni hal qilishda ishlatiladigan ma'lumotlarning maxfiyligi va yaxlitligi asosida belgilangan. Kompyuterlar kategoriyasi to'g'risidagi ma'lumotlar uning shaklida kiritilgan.

Resurs inventarizatsiyasi kontseptsiyasi nafaqat mavjud faol va passiv tarmoq resurslarini tashkilot tomonidan sotib olingan uskunalar (va uning to'liqligi) ro'yxatiga kiritishni o'z ichiga oladi. Ushbu protsedura Microsoft Sudems boshqaruv serveri kabi tegishli dasturiy ta'minot yordamida amalga oshiriladi. Bu shuningdek, barcha mumkin bo'lgan dasturlarning ro'yxatini tuzish, ushbu tashkilotda qo'llanilgan dasturiy ta'minot jamg'armasi fondini tashkil etuvchi tarmoq kartasini yaratishni, o'z ichiga olgan litsenziyalangan dasturiy ta'minot jamg'armasi fondini tashkil etish, o'z-o'zidan dasturlar uchun asos yaratish Rivojlanish.

Shuni ta'kidlash kerakki, dasturni himoya qilish boshqarmasi vazifalari va "mantiqiy bombalarning barcha turlari" bo'lmagan taqdirda, faqat Axborotni himoya qilish boshqarmasi tomonidan tasdiqlanganidan keyingina ishga qabul qilinishi mumkin.

Shu munosabat bilan mamlakatimizda ochiq kodli dasturiy ta'minot kodini ishlatish moyilligini alohida ta'kidlashni istardim. Men bahslashmayman, u mukammal resurslarni tejashni ta'minlaydi. Biroq, menimcha, bu holda xavfsizlik muammosi endigina tizimni ishlab chiqaruvchiga, balki sizning ma'muringizga ham ishonish masalasiga aylanadi. Va agar u qancha tushishini eslasangiz, bu holatda sirlaringizni sotib olish to'g'ridan-to'g'ri tashqi hujumni amalga oshirishdan ko'ra ancha oson va arzonroq degan xulosaga kelish qiyin emas. Eslatib o'tamiz, muvaffaqiyatli hujumlarning aksariyati insayderlar, ya'ni kompaniya xodimlarini amalga oshirganligini eslash kerak.

Menimcha, agar u erda mantiqiy bomba yo'qligini kafolatlashda sizga etkazilgan bo'lsa, faqat sizga etarlicha zarar etkazishi mumkin bo'lsa, faqat sizga jiddiy zarar etkazishi mumkin bo'lsa, erkin taqsimlangan dasturiy ta'minotni qo'llash. Barcha turlar xatcho'plar va "qora harakatlar". Bundan tashqari, kafillar tashkilotining kafolati kafolati uchun moddiy javobgarlikka tortilishi kerak, bu mening fikrimcha, imkonsizdir. Biroq, tanlov siznikidir.

Tekshiruvdan so'ng, algoritmlar va dasturlarning asosi (ma'lumot nusxasi fayl ilova qilinishi kerak boshqarish summasiva eng yaxshisi - elektron imzo ishlab chiqaruvchi). Kelajakda, yangilanishlarning versiyalarini o'zgartirganda, dasturiy ta'minot odatiy tarzda amalga oshiriladi.

Kelgusida o'rnatilgan dasturiy ta'minot, o'rnatish sanasi to'g'risidagi ma'lumotlar, ushbu vazifalar, familiyalar, familiyalar, yuz va konfiguratura shakllari, yuz va konfiguratura shaklida har bir kompyuter shaklida kiritiladi. Bunday formulalar yaratilgandan so'ng, axborot xavfsizligi xizmati haqiqiy pozitsiyaning real pozitsiyasining shakllanishiga muvofiqligini muntazam ravishda tekshirish kerak.

Axborot xavfsizligi xizmatini yaratishning keyingi bosqichi xavfsizlik siyosatini yaratish uchun asos bo'lishi kerak bo'lgan tashkilotning xavfini tahlil qilishdir.

Bugungi kunda hech kim hech qachon ma'lumotni himoya qilish haqida o'ylamaydigan tashkilotni topa olishimiz dargumon. Shu bilan birga, axborot xavfsizligini o'zgartirishning to'g'ri tushunchasi tashkiliy va texnik tadbirlar majmui sifatida to'g'ri tushunish mumkin emas. Uning garovining eng muhim elementi - bu shaxs va u buzilishining asosiy omili.

Axborot xavfsizligi tashkiliy va texnik tadbirlar majmui sifatida qabul qilinishi kerak, chunki maxfiylik, yaxlitlik va foydalanishning nafaqat tashkiliy tadbirlar, balki texnik choralarda amalga oshirilmaydi.

Aytaylik, siz faqat texnik tadbirlarni himoya qilishga qaror qilyapsiz, shuningdek, tashkiliy hujjatlar umuman yo'q. Bu ko'pincha IT bo'limi yoki Axborot xavfsizligi bo'limining boshlig'i (IB) rahbari - IT-tuzilmalarning sobiq vakili tomonidan amalga oshirilgan bo'lsa, bu ko'pincha sodir bo'ladi. Bu holatda nima bo'ladi? Aytaylik, kompaniya xodimlaridan biri muntazam ravishda maxfiy ma'lumotlarni elektron pochta orqali raqobatchilarga etkazadi. Siz oqishingizni topdingiz, lekin sizda hujjatlar yo'q, shuning uchun xodimni jazolang (masalan, uni ishdan bo'shatsangiz), siz shunchaki haqingiz yo'q. Agar buni qilsangiz, aqlli tajovuzkor sizga o'zining konstitutsiyaviy huquqlarini shaxsiy yozishmalarga buzgani uchun sudga beradi. Eng qayg'uli narsa shundaki, bu qonuniy ravishda u mutlaqo to'g'ri bo'ladi: Sizning tashkilotingiz ichida barcha ma'lumotlar uchun uzatiladigan barcha ma'lumotlar yozilmaydi elektron pochta Tashkilotingizga tegishli manzillardan - bu kompaniyaning mulki.

Ikkinchi ekstremalni ko'rib chiqing. Odatda bu sobiq harbiy xizmatchilar va maxsus xizmat xodimlariga xosdir. Sizda juda yaxshi hujjatlar mavjud, ammo ularni mutlaqo sog'inmaysiz texnik yordam. Bu holatda nima bo'ladi? Sizning xodimlaringiz tez-tez yoki keyinchalik ularni tashkil etish va hech kim ularni boshqarmaydi, ularni hech kim boshqara olmaydi, uni muntazam ravishda amalga oshiradi.

Shunday qilib, axborot xavfsizligi - bu tashkiliy va texnik tadbirlarni o'z ichiga olgan moslashuvchan tizim. Bu erda yanada muhim choralar yoki ahamiyatsiz choralar yoki ahamiyatsiz choralar ko'rilganligini tushunish kerak. Bu juda muhim. Ma'lumotingizdagi biron bir mavzu ishlayotganda tarmoqning barcha nuqtalarida himoya choralarini kuzatish kerak. (Bu holatda bu holatda u foydalanuvchi tizimi, jarayon, jarayoni, kompyuter yoki axborotni qayta ishlash uchun dasturiy ta'minot sifatida tushuniladi). Kompyuter foydalanuvchisi yoki tashkilot serveri to'liq himoyalangan bo'lishi kerak bo'lgan har bir axborot manbai. Fayl tizimlari, tarmoq va boshqalar himoyalangan bo'lishi kerak. Biz bu erda muhokama qilmaymiz.

Axborotni himoya qilish vazifasini hal qilishga qaratilgan juda katta miqdordagi dasturiy ta'minot mavjud. Bular operatsion tizimlar uchun antivirus dasturlari va tarmoq ekranlari va tarmoqli asboblar. Biroq, eng zaif omil har doim inson bo'lib qoladi. Har qanday dasturiy ta'minotning ishlashi uning yozish sifatiga, uni o'rnatgan ma'mur savodxonligidan bog'liq.

Ushbu munosabatlardagi ko'plab tashkilotlar axborotni himoya qilish bo'limlarini yaratadilar yoki IT bo'limlariga xavfsizlik muammolarini o'rnatadilar. Ammo birdan ko'proq vaqt o'tgach, IT xizmatiga funktsiyani olishning iloji yo'qligi ta'kidlandi. Aytaylik, IT Xavfsizlik boshqarmasi sizning tashkilotingizda yaratilgan. Keyingi nima qilish kerak? O'z faoliyatini qayerdan boshlash kerak?

IB bo'limining birinchi bosqichlari

Menimcha, siz xodimlarni tayyorlashdan boshlashingiz kerak! Va kelajakda uni yiliga kamida ikki marta qilish. Oddiy xodimlarni o'qitish Axborotni himoya qilish boshqarmasi xodimlarining doimiy biznesi bo'lishi kerak!

Ko'plab menejerlar darhol axborot siyosatidan "Xavfsizlik siyosati" deb nomlangan hujjatni olishga harakat qilmoqdalar. Bu xato. Ushbu jiddiy hujjatni yozishdan oldin, sizning tashkilotingizning axborot xavfsizligini ta'minlash bo'yicha barcha harakatlaringizni aniqlaydigan barcha harakatlaringizni aniqlaydi, siz o'zingizdan quyidagi savollarni berishingiz kerak:

Siz qaysi ma'lumotlarni davom ettirasiz?

Uni qanday tasniflash kerak?

Siz qanday manbalar egasiz?

Resurslar bo'yicha ma'lumotlarni qanday ishlash qanday?

Resurslarni qanday tasniflash kerak?

Biz ushbu savollarga javob berishga harakat qilamiz.

Axborotni tasniflash

Mamlakatimizda, yondashuv tarixan (birinchi holatning) o'z mulkini saqlash (maxfiylik) asosida xavfsizlikni kafolatlash uchun ma'lumot berish uchun tarixiy ravishda shakllantirildi.

Benuqsonlikni saqlash va axborotning mavjudligini ta'minlash uchun talablar, qoida tariqasida, ma'lumotlarni qayta ishlash tizimlari uchun umumiy talablar orasida faqat bilvosita eslatib o'tilgan.

Agar bu yondashuv ma'lum darajada davlat sirini tashkil etuvchi ma'lumotning xavfsizligini ta'minlash uchun asosli bo'lsa, bu uni boshqa mavzu sohasiga o'tkazish degani (boshqa sub'ektlar va ularning manfaatlari bilan) to'g'ri bo'ladi.

Ko'p sohalarda maxfiy ma'lumotlar ulushi nisbatan kichikdir. Ochiq ma'lumotlar uchun oshkora bo'lmagan, ahamiyatsiz, eng muhimi mutlaqo boshqa xususiyatlarga ega, keling, noqonuniy ravishda tarqatish yoki noqonuniy ravishda tarqatish bilan himoyalangan. Masalan, to'lov (moliyaviy) hujjatlar uchun eng muhimi, ularning yaxlitligi (ishonchliligi). Keyin mulkni bajarish kerak (to'lov hujjatining yo'qolishi yoki to'lovlarning kechikishi juda qimmat bo'lishi mumkin). To'lov hujjatlarining maxfiyligini ta'minlash talablari odatda uchinchi o'rinda.

Birinchi navbatda Internet gazetasi uchun uning maxfiyligini emas, balki ma'lumotlarning mavjudligi va yaxlitligi va ajralib turadi. Bunday ma'lumotlarni an'anaviy tarzda ta'minlashning an'anaviy taqdim etish nuqtai nazaridan himoya qilish masalalarini hal qilishga urinishlar amalga oshmadi. Buning asosiy sabablari, axborotni himoya qilishga an'anaviy yondashuv, ichki ekspertlardagi tajriba va aniq bo'lmagan ma'lumotlarning yaxlitligini ta'minlash nuqtai nazaridan, ichki ekspertlar tajribasi va tegishli ravishda taqdim etilishi.

Ma'lumotni tasniflashni yaxshilash uchun, uning xavfsizligiga qo'yiladigan talablarga qarab, ma'lumotlarning mavjudligi, yaxlitligi, maxfiyligi to'g'risidagi talablarni ta'minlash uchun bir necha daraja (sinflash, toifa) talab qilinadi.

Gradatsiya miqdori va ulardagi ma'nosi farq qilishi mumkin.

Turli xil ma'lumotlarni himoya qilishning turli darajalarini ta'minlash zarurati asosida (davlat sirini tashkil etuvchi ma'lumotni o'z ichiga olmaymiz), saqlansin va qayta ishlangan holda, himoyalangan ma'lumotlarning konfidentsialligi va yaxlitligini taqdim etamiz.

"Qat'iy maxfiy" - amaldagi qonunchilikning talablari (bank sirlari, shaxsiy ma'lumotlar), shuningdek tarqatish bo'yicha cheklovlar, tarqatish bo'yicha cheklovlar (tijorat siri), oshkor qilish bilan ajralib turadigan ma'lumotlar Bu bankrotlikdan oldin, tashkilot uchun jiddiy moliyaviy va iqtisodiy oqibatlarga olib kelishi mumkin (mijozlar, muxbirlar, sheriklar yoki xodimlarning hayotiy manfaatlariga jiddiy zarar etkazish).

"Maxfiylik" - "To'g'ri maxfiy" toifasiga kiritilmagan ma'lumotlar, tarqatishning cheklovlari, uning qarori qarori tomonidan unga (egasining egasi tomonidan tasdiqlangan) hozirgi ma'lumotning axborot by ma'lumotlari bo'yicha taqdim etilishi bilan bog'liq Qonunchilik, oshkora yo'qotishlarga olib keladigan va tashkilotning raqobatbardoshligini yo'qotishga olib keladigan oshkor qilish (mijozlar, muxbirlar, sheriklar yoki xodimlarning manfaatlariga mos keladigan zararni qo'llash).

"Ochiq" - ma'lumotlar, maxfiylik (tarqatish cheklovlarini joriy etish) talab qilinmaydi.

"Baland" - Ushbu turkumda ma'lumotlar, ruxsatsiz o'zgartirish (buzilish, almashtirish, yo'q qilish) yoki qalbakilashtirishni (soxtalashtirish) (soxtalashtirish) va uning haqiqiyligini tasdiqlashi mumkin bo'lgan jiddiy zarar keltirishi mumkin. Amaldagi qonunchilik, buyruqlar, ko'rsatmalar va boshqa me'yoriy hujjatlarning majburiy talablariga muvofiq kafolatlangan usullar (elektron imzolari, elektron imzolari va boshqa me'yoriy hujjatlar.

"Past" - Ushbu turkumda ma'lumot, ruxsatsiz o'zgartirish, almashtirish yoki olib tashlash tashkilotiga, uning mijozlariga, sheriklariga, sheriklariga, sheriklariga, uning mijozlariga, o'z mijozlariga, uning yaxlitligi bilan ta'minlanishi mumkin bo'lgan ahamiyatsiz zararni qo'llashga olib kelishi mumkin ( Cheksum, xesh funktsiyalarini hisoblash usullari).

"Hech qanday talablar yo'q" - Ushbu toifaga talablar taqdim etilmaganligini (va haqiqiylik) yaxlitligini ta'minlash uchun ma'lumotni o'z ichiga oladi.

Funktsional vazifalarini echish chastotasi va olingan natijalarning maksimal darajada kechiktirilganligi, ma'lum bir ma'lumotlarning to'rtta darajalari (kategoriyalari) joriy qilingan.

"Kasalliksiz foydalanish imkoniyati" - Vazifaga kirish har qanday vaqtda ta'minlanishi kerak (vazifa doimiy ravishda yechib olinadi, natijani olish kechikishi bir necha soniya yoki daqiqadan oshmasligi kerak).

"Yuqori mavjudlik" - Kirish muhim vaqtli kechikishlarsiz amalga oshirilishi kerak (kun har kuni hal qilinishi, natijani olishning kechikishi bir necha soatdan oshmasligi kerak).

"O'rtacha foydalanish" - Kirish vaqtli vaqtli kechikishlar bilan ta'minlanishi mumkin (bir necha kun bir necha kun ichida hal qilinadi, natijani olish kechikishi bir necha kundan oshmasligi kerak).

"Ozod qilish qobiliyati" - Vazifaga kirish deyarli cheklanmagan bo'lsa (Vazifa bir necha hafta yoki oylar davomida hal qilingan vaqt bir necha hafta davom etadigan vaqtni kechiktirishi mumkin).

Ishning birinchi bosqichida ma'lum bir kompyuterda vazifalarni hal qilishda ishlatiladigan barcha turdagi ma'lumotlar (ma'lum bir ma'lumot turlarining ajralmas va yaxlitligi). "Himoya qilinadigan axborot resurslari ro'yxati".

Ikkinchi bosqichda ushbu kompyuterda hal qilingan barcha funktsional vazifalarni izohlash mavjud. Uchinchi bosqich davomida, qayta ishlangan ma'lumotlarning maksimal toifasi va unga kiritilgan vazifalarga asoslangan holda kompyuterning kategoriyasi o'rnatiladi.

Siz tegishli toifalaringiz tomonidan qayta ishlangan ma'lumot tarqatganingizdan so'ng, resurslar inventarizatsiyasi o'tkazilishi kerak.

Resurslarni tasniflash, himoya qilish uchun tashkilotning axborot tizimining barcha resurslarini aniqlash (inventarlashtirish) va tahlil qilishni anglatadi. Bu erda namunaviy ketma-ketlik va ushbu asarlarning asosiy mazmuni.

Birinchidan, tashkilotni tashkil etish, inventarizatsiya qilish va resurslarni himoya qilish uchun resurslarni tasniflashni tahlil qilish uchun maxsus ishchi guruh tuziladi. Unga mutaxassislar kiradi (avtomatlashtirilgan axborotni qayta ishlash texnologiyasining chiqarilishi masalalarini xabardor qilish) kompyuterlar xavfsizligi va tashkilotning boshqa bo'linmalari.

Tashkilot boshqaruvi tartibi e'lon qilindi, xususan, tarkibiy bo'linmalar menejerlariga barcha kompyuterlarning resurslarini tahlil qilishda ishchi guruhga yordam berish va ularga yordam berish uchun beriladi.

Yordam yordam berish uchun xodimlar bo'linmalarda avtomatlashtirilgan ma'lumotlarni qayta ishlash to'g'risida batafsil ma'lumot berish uchun ajratilishi kerak.

Korxonaning axborot tizimining tashkiliy tizimining muayyan bo'linmalarining ekspertizasida barcha funktsional vazifalar, shuningdek, kompyuterlardan foydalanish, shuningdek, ushbu vazifalarni echishda ishlatiladigan barcha turdagi ma'lumotlar, shuningdek, ushbu vazifalarni echishda ishlatiladigan barcha turdagi ma'lumotlar, shuningdek, ushbu vazifalarni echishda ishlatiladigan barcha turdagi ma'lumotlarni ajratish jarayonida.

Shundan so'ng, funktsional vazifalar ro'yxati tuziladi va har bir vazifa uchun shakl beriladi. Shuni yodda tutish kerakki, turli xil birlikdagi bir xil vazifa boshqacha deb nomlanishi va aksincha, turli vazifalar bir xil nomga ega bo'lishi mumkin. Shu bilan birga, jihozning funktsional vazifalarini hal qilishda ishlatiladigan dasturiy vositalar amalga oshiriladi.

Qo'llash tizimlari va vazifalar tahlili, kiruvchi, chiquvchi, saqlanadigan, saqlanadigan, qayta ishlangan va hokazolarni o'rganishda aniqlandi. Nafaqat maxfiy (bank va tijorat sirlari, shaxsiy ma'lumotlar), balki uning yaxlitligi yoki foydalanish imkoniyati buzilganligi sababli himoya qilinadigan ma'lumotlar tashkilotga sezilarli zarar etkazishi mumkinligi sababli himoya qilinishi kerak. .

Tarmoqli quyi tizimlarda aylanib yuradigan va qayta ishlangan barcha ma'lumotlarni ochib berish, uning xususiyatlarining buzilishi oqibatlari oqibatlarini baholash kerak. Dastlabki hisob-kitoblarni olish uchun ushbu ma'lumot bilan ishlayotgan mutaxassislar (masalan, so'rov shaklida) mutaxassislar o'tkazish tavsiya etiladi. Shu bilan birga, ushbu ma'lumotlarga, iloji boricha kimni noqonuniy foydalanishga olib kelishi mumkinligini bilib olish kerakligini aniqlash kerak.

Agar ehtimol zararni aniqlash imkonsiz bo'lsa, unda uning sifatli baho beriladi (masalan: juda past, past, o'rta, yuqori, yuqori).

Tashkilotda hal qilingan funktsional vazifalar ro'yxati va formulalari ro'yxatini tuzishda ularning echimini olish chastotasini, natijalarni olishning maksimal muddati, ularning mavjudligi buzilishi kerak qo'rg'oshin (muammolarni hal qilish imkoniyatini blokirovka qilish).

Tadqiqot davomida aniqlangan barcha ma'lumotlar tegishli hujjatda qayd etiladi.

Keyinchalik sirning qaysi turini o'z ichiga olgan qaysi sirni (bank, tijorat, shaxsiy ma'lumotlar) aniqlangan (amaldagi qonun hujjatlari talablari va huquqlarni beruvchi huquqlar tashkilotlari) tarkibiga kirishni o'z ichiga oladi. .

Maxfiylik turlarini maxfiylik va yaxlitligi uchun dastlabki takliflarni baholash bo'yicha dastlabki takliflar, tuzilish bo'limining menejerlari (etakchi mutaxassislari) tomonidan aniqlanadi (ularning maxfiylik xususiyatlari va yaxlitligini buzganlik sababli zarar etkazganligi sababli) . Keyin ro'yxat avtomatlashtirish va kompyuter xavfsizlik bo'limlari bo'limlari rahbarlari bilan muvofiqlashtiriladi va tashkilot rahbariyatiga taqdim etiladi.

Keyingi bosqichda funktsional vazifalar toifasi mavjud. Tashkilot bo'linmalari rahbarlarining mavjudligi talablariga binoan va IT xizmatiga kelishilgan holda, barcha amaliy vazifalardan foydalanib, barcha ilova funktsional vazifalari tasniflanadi kompyuter texnikasi. Ma'lumotlar vazifa shaklida keltirilgan. Siz ma'lum bir kompyuterlar va amaliy vazifalarga bog'lanishdan tashqarida tizimning vazifalari va dasturiy ta'minotini toifalashingiz kerak.

Kelgusida IT mutaxassislari va I IK bo'linishi bilan har bir vazifaning axborot va dasturiy ta'minot resurslarining tarkibi tarkibini aniqlashtirish va uni himoya qilish vositalarining foydalanuvchi guruhlari va topshiriqlarni sozlash bo'yicha ko'rsatmalar shakli tuzish kerak uni hal qilishda. Ushbu ma'lumotlar tegishli kompyuterlarni himoya qilish uchun ma'lumotnomalar sifatida ishlatiladi, shuningdek ularning o'rnatilishining to'g'riligini nazorat qilish.

So'nggi bosqichda kompyuterlarni tasniflash Maxsus vazifalarning maksimal toifasi va ushbu vazifalarni echishda ishlatiladigan ma'lumotlarning maxfiyligi va yaxlitligi asosida o'rnatiladi. Kompyuterlar kategoriyasi to'g'risidagi ma'lumotlar uning shaklida kiritilgan.

Resurs inventarizatsiyasi kontseptsiyasi nafaqat tashkilot tomonidan sotib olingan asbob-uskunalar (va uning to'liqligi) ro'yxatiga ega bo'lgan faol va passiv tarmoq resurslarini birlashtirishni o'z ichiga oladi. Uskunaning yarashishi va uning to'liqligi uchun tegishli dasturiy ta'minotni (masalan, Microsoft SMS Server) ishlatishingiz mumkin.

Bu shuningdek, barcha mumkin bo'lgan dasturlarning ro'yxatini tuzish, litsenziyalangan litsenziyalangan dasturiy ta'minot jamg'armasi fondini tuzish, shuningdek, litsenziyalangan litsenziya fondini shakllantirish, shuningdek algoritmlar va dasturlar jamg'armasi shakllantirilishi mumkin. o'z rivojlanishi.

Shuni ta'kidlash kerakki, dasturiy ta'minotning vazifalari, xatcho'plar va "mantiqiy bomba" ning yo'qligi bilan tasdiqlanganidan keyingina ishlashga ruxsat berilishi mumkin.

Ilovalardan foydalanish moyilligi haqida aytmoqchiman ochiq kodlar. Shubhasiz, ular katta resurslarni tejashga olib keladi. Biroq, bu holda xavfsizlik nafaqat tizimni ishlab chiqaruvchisi, balki sizning ma'muringizga ham ishonch bilan belgilanadi. Agar siz Administratorning maoshini hisobga olsangiz, sirlaringizni to'g'ridan-to'g'ri tashqi hujumni amalga oshirishdan ko'ra, sirlaringizni osonroq va arzonligi haqida xulosa qilish qiyin emas. Ta'kidlash joizki, muvaffaqiyatli hujumlarning aksariyati insayderlarni amalga oshirdi (kompaniyaga xizmat qiladi).

Agar jiddiy zarar etkazish xavfi mavjud bo'lsa, erkin taqsimlangan dasturiy ta'minotni qo'llash kerak, agar u tizimni yig'ish va mantiqiy bombalar yo'qligini kafolatlaydigan elektron raqamli imzoni bo'lsa , har xil xatcho'plar va "qora zarba". Bundan tashqari, kafillar tashkilotining tashkiloti moddiy javobgarlikka tortilishi kerak. Biroq, bugungi kunda bunday taklif haqiqiy bo'lmagan narsalarni to'lash bilan bog'liq bo'lishi kerak.

Tekshiruvdan so'ng, algoritmlar va dasturlar fondiga kiritilgan dasturiy ta'minot kiritilgan (ma'lumot nusxasi tekshiruvchining elektron imzosi bilan jihozlangan bo'lishi kerak). Kelajakda, versiyalarni o'zgartirganda, yangilanishlarning paydo bo'lishi, dasturiy ta'minot belgilangan tartibda amalga oshiriladi.

O'rnatilgan dasturiy ta'minotning shakli har bir kompyuter shaklida o'rnatiladi, O'rnatish sanasi ko'rsatilgan, ushbu dasturiy ta'minotni amalga oshirgan va dasturiy ta'minotni sozlagan shaxsning vazifasi, vazifa, vazifa va sozlangan shaxsning nomi va imzosi belgilanadi. Bunday formulalar yaratilgandan so'ng, axborot xavfsizligi xizmati haqiqiy pozitsiyaning real pozitsiyasining shakllanishiga muvofiqligini muntazam ravishda tekshirish kerak.

Axborot xavfsizligi xizmatini yaratishning keyingi bosqichi xavfsizlik siyosati asosida tashkilotning xatarlarini tahlil qilish kerak.