1.3 Физикалық, аппараттық және бағдарламалық қамтамасыздандырудың заманауи құралдары
Кез-келген ақпараттық қауіпсіздік жүйесінің басты мақсаты - объектінің тұрақты жұмыс істеуін қамтамасыз ету: қауіпсіздікке қауіп төндіруі керек: қауіпсіздікке төніп, заңсыз қол сұғушылықтардан, соның ішінде қылмыстық актерлердің қылмыстық процедураларынан алынған қылмыстық іс жүргізудің заңды мүдделерін қорғау Қылмыстық кодексте көзделген, объектінің барлық бөлімшелерінің қалыпты өндірістік қызметін қамтамасыз ету. Тағы бір міндет көрсетілетін қызметтердің сапасын жақсарту және мүліктік құқықтар мен клиенттердің мүдделерін қорғау қауіпсіздігін қамтамасыз етуге қатысты. Ол үшін сізге қажет:
Шектеулі қол жетімділік санатына (қызмет құпиялары) төлсипат;
Ақпараттық ресурстарға, қаржылық, материалдық және моральдық зиянды, оның қалыпты жұмыс істеуін және дамуына ықпал ететін себептер мен жағдайларды алдын-ала анықтау және уақтылы анықтау;
Ақпараттық ресурстарға қауіп төндіретін және әр түрлі зақымдануды қолданудың ең аз ықтималдығы бар жұмыс жағдайларын жасаңыз;
Ақпараттық қауіпсіздіктің қатерлеріне жедел жауап беру және шарттар жасау және қызметтегі теріс үрдістердің көрінісі, заңнамалық, ұйымдастырушылық және техникалық шаралар мен қауіпсіздік құралдарына негізделген ресурстарға қол сұғуды болдырмау үшін шарттар жасау;
Жеке және заңды тұлғалардың заңсыз әрекеттерінен келтірілген залалды ықтимал шығындар мен локализациялау үшін жағдай жасау және олар, осылайша ақпараттық қауіпсіздік әсерінің ықтимал кері әсерін әлсіретеді.
Қауіпсіздік саясатын әзірлеу кезінде сіз келесі үлгіні (ISO 15408) бейімдеуге негізделген (ISO 15408) және тәуекелдерді талдауды талдау негізінде келесі модельді (1-сурет) пайдалана аласыз (ISO 17799). Бұл модель Ресей Федерациясында қабылданған арнайы нормативтік ақпараттық құжаттарға, халықаралық ISO / IEC / IEC «Ақпараттық технологиялар - қорғау әдістері - Ақпараттық қауіпсіздікті бағалау критерийлері», ISO / IEC стандарт 17799 «Ақпараттық қауіпсіздікті басқару».
Ақпараттық жүйенің немесе қарсы шаралар жүйесінің осалдығы (ақпараттық қауіпсіздік жүйесі), қауіптің ықтималдығына әсер етеді; - Тәуекел дегеніміз - бұл ұйымның ақпараттық қауіпсіздікті жүзеге асыру қаупін көрсететін фактор: ақпараттық қауіпсіздіктің немесе оны заңсыз пайдалану нәтижесінде оны заңсыз пайдалану нәтижесінде (тәуекел, сайып келгенде, ықтимал қаржылық шығындар - тікелей немесе жанама).
Тиімді қауіпсіздік саясатын құру үшін ол бастапқыда ақпараттық қауіпсіздік саласындағы тәуекелдерді талдауға арналған. Содан кейін осы критерийлерге негізделген кәсіпорын үшін тәуекелдің оңтайлы деңгейін анықтаңыз. Қауіпсіздік саясаты және ақпаратты қорғаудың тиісті жүйесі белгілі бір тәуекел деңгейіне жету үшін салынуға мәжбүр болады.
Заманауи кәсіпорынның ақпараттық қауіпсіздік саясатын әзірлеудің ұсынылған әдіснамасы сізге ақпараттық қауіпсіздікті қамтамасыз етуге қатысты талаптарды толығымен талдап, құжаттауға, қажетсіз қауіпсіздік шараларын, қауіпті бағалауға, мүмкін, тәуекелдерді қорғауға, қорғауды жоспарлауға және іске асыруға мүмкіндік бермейді. Ақпараттық жүйелердің өмірлік циклінің барлық кезеңдерінде, қысқа мерзімде жұмыс істеуге, қарсы шараларды таңдауға негізделіп, қарсы шараларды таңдауға негіздеме, қарсы шараларының тиімділігін бағалау, қарсы шаралар үшін әртүрлі нұсқаларды салыстырыңыз.
Жұмыс барысында зерттеу шекарасы құрылуы керек. Ол үшін болашақта тәуекелдер алынатын ақпараттық жүйенің ресурстарын бөлектеу қажет. Бұл қаралып жатқан ресурстарды және өзара әрекеттесу жүзеге асырылатын сыртқы элементтермен бөлісуі керек. Ресурстар «Жабдық, бағдарламалық қамтамасыздандыру, мәліметтер, ақпараттық ресурстар», сондай-ақ ақпараттық ресурстар, құжаттардың жекелеген құжаттары және жеке массивтері, ақпараттық жүйелердегі құжаттар, құжаттар мен массивтер, құжаттар мен массивтер, құжаттар мен массивтер, басқа ақпараттық жүйелер. Сыртқы элементтердің мысалдары - байланыс желілері, сыртқы қызметтер және т.б.
Модель құру кезінде ресурстар арасындағы байланыс ескеріледі. Мысалы, ешқандай жабдықтың істен шығуы деректердің жоғалуына немесе басқа сыни жүйенің ажыратылуына әкелуі мүмкін. Мұндай өзара байланыстар Ұйым моделін құру үшін негізді ХБ тұрғысынан анықтайды.
Эта модель, в соответствии с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации және т.б. Содан кейін ресурстар арасындағы қатынасты сипаттайды, қауіпсіздікке қауіптер анықталады және оларды жүзеге асыру ықтималдығы бағаланады.
Салынған модельге сүйене отырып, бағаны реттеуге және қымбат деңгейдегі тәуекелдерді төмендететін және ең үлкен баға тиімділігіне ие болатын қарсы шаралар жүйесін таңдау орынды. Қарсы жүйенің бір бөлігі қауіпсіздік тиімділігін тұрақты сынау бойынша ұсыныстар ұсынады.
ХБ талаптарына қойылатын талаптардың артуын қамтамасыз ету ақпараттық технологиялар циклінің барлық кезеңдеріндегі тиісті оқиғаларды қамтиды. Бұл іс-шараларды жоспарлау тәуекелдерді талдау және қарсы шаралар таңдау аяқталғаннан кейін жасалады. Осы жоспарлардың міндетті бөлігі - қолданыстағы ХБ қауіпсіздік режимінің, ақпараттық жүйенің (технологияның) куәландырылуын белгілі бір қауіпсіздік стандартының талаптарын сақтау үшін мерзімді тексеру.
Жұмысты аяқтағаннан кейін сіз объектінің ақпараттық ортасына сенетін бағалау негізінде ақпараттық орталықтың қауіпсіздік кепілдігінің шараларын анықтауға болады. Бұл тәсіл қауіпсіздікті бағалау кезінде үлкен күш-жігерді пайдаланудан үлкен кепілдік беру керек деп болжайды. Бағалаудың дұрыстығы объектінің ақпараттық ортасының кең санын, жобалардың көп санын пайдалану арқылы қол жеткізілген тереңдіктің көп бөлігін және орындалу сипаттамаларын қолдану арқылы қол жеткізіледі, бұл үлкенірек іздеуді қолдану, қатаңдық аз осалдықты анықтауға немесе олардың қатысу ықтималдығын азайтуға бағытталған әдістер.
Ақпаратты қорғау туралы шешімдерді орындамас бұрын, қазіргі заманғы кәсіпорынның мақсаттары мен міндеттеріне сәйкес келетін қауіпсіздік саясатын әзірлеу қажет екенін есте ұстаған жөн. Атап айтқанда, қауіпсіздік саясаты пайдаланушылардың кіру құқығын беру және пайдалану, сондай-ақ пайдаланушылардың есеп беру шарттарын сақтау және пайдалану тәртібін сипаттауы керек. Ақпараттық қауіпсіздік жүйесі (SIB) қауіпсіздік саясатының ережелерінің орындалуын сенімді қолдаса, керісінше тиімді болады және керісінше болады. Қауіпсіздік саясатын құру кезеңдері - бұл құндылық құнының сипаттамасымен және тәуекелдерді талдау объектісінің сипаттамасымен, сондай-ақ құндылық мәні бар автоматтандыру қондырғыларына қол жеткізудің осы түрін қолдану үшін ереже анықтамасы болып табылады. . Сонымен бірге, қауіпсіздік саясаты жеке құжат түрінде беріліп, кәсіпорын басшылығын бекіткен жөн.
Ақпараттық кәсіпорындарды қорғау мақсаттары:
· Жындырылудың алдын алу, ағып кету, жоғалу, жоғалу, бұрмалау, жалған құпия ақпарат (коммерциялық құпия және жеке мәліметтер);
Жеке тұлға мен кәсіпкерліктің қауіпсіздігіне қауіп төндірмеу;
Құпия ақпаратты жою, өзгерту, бұрмалау, көшіру, көшіру, оқшаулау үшін рұқсатсыз әрекеттердің алдын алу;
Ақпараттық ресурстар мен жүйелерге заңсыз араласудың басқа нысандарының алдын алу, меншік объектісі ретінде құжатталған ақпараттың құқықтық режимін қамтамасыз ету;
Ақпараттық жүйелерде қол жетімді жеке деректердің құпиялылығы мен құпиялылығын сақтау азаматтарының конституциялық құқықтарын қорғау;
Заңнамаға сәйкес құжатталған ақпараттың құпиялылығы, құпиялылығы.
Кәсіпорындағы ақпаратты қорғау міндеттері:
1. Кәсіпорынның режимдік ақпараттық қызметтері бар басқару, қаржылық және маркетингтік қызметті қамтамасыз ету, яғни барлық қызметтерді, бөлімшелер мен лауазымды тұлғаларды қажетті ақпаратпен қамтамасыз ету, жіктелген және шыдамсыз.
2. Қауіпсіздік кепілдігі туралы ақпарат, оның қорлары, қорғалатын ақпараттың ағып кетуіне жол бермеу және құпия ақпараттың бұқаралық ақпарат құралдарына рұқсатсыз қол жеткізудің алдын алу.
3. Қатерлердің жедел-жауап тетіктерін әзірлеу, құқықтық, экономикалық, ұйымдастырушылық, әлеуметтік, әлеуметтік, әлеуметтік-психологиялық, инженерлік-психологиялық, инженерлік-техникалық құралдар мен компаниялардың қауіпсіздікке төнген қауіптерінің көздерін анықтау және бейтараптандыру әдістері.
4. Ақпаратты қорғау процесін, әсіресе коммерциялық құпияны құрайтын ақпаратты құжаттау.
5. Құпия ақпаратты рұқсатсыз алғаннан кейін арнайы кеңсе жұмысын ұйымдастыру.
Студиядағы негізгі қорғау объектілері:
2. Жобаның бөлімі
Қазіргі заманғы ұйымның тиімділігі бүгінгі күні ақпараттық технологияларды қолдану барысында анықталады. Электрондық түрдегі және әртүрлі ақпараттық жүйелер санының да санының тұрақты өсуі байқалады. Осыған байланысты, кәсіпорынның қауіпсіздік саясаты мен ақпараттық қорғауды дамыту кәсіпорынның қауіпсіздігін қамтамасыз ету міндетіне басталды.
Ақпаратты қорғауды қамтамасыз ету құпияларды қорғаудың қажеттілігін қамтамасыз етеді: коммерциялық және жеке мәліметтер. Жеке мәліметтерді қорғау ең маңызды, өйткені клиенттердің сенімі негізінен, ең алдымен, олардың жеке мәліметтерін, сәйкесінше Ұйым қызметкерлерінің сақталуына негізделген.
Сондықтан, Аттелдегі қауіпсіздік мақсаты қауіпсіздік саясатын дамыту және оның қалыпты жұмыс істеуі үшін кәсіпорында ақпараттың сенімді қорғауын қамтамасыз ету болып табылады.
Достарыңызбен бөлісу: |