Masofaviy bilimni baholash tizimlarida axborot xavfsizligini ta’minlashning usullari va vositalari
Bugungi kunda ma’lum bo‘lgan axborot xavfsizligini ta’minlashning 3 ta usullari mavjud bo‘lib, u quyidagilarni tashkil etadi.
Tashkiliy;
Texnik;
Iqtisodiy;
Huquqiy;
Axborotning yaxlitligi, mavjudligi va maxfiyligini ta'minlash uchun uni ruxsatsiz kirish, yo'q qilish, noqonuniy nusxa ko'chirish va oshkor qilishdan himoya qilish kerak. Axborot xavfsizligini ta'minlash - ma'lumotlarni himoya qilishga qaratilgan tashkiliy va texnik chora-tadbirlar majmuidir.
Axborot xavfsizligi usullari nima?
Axborotni himoya qilish usullari axborot makonini tahdidlardan - tasodifiy va zararli, tashqi va ichki tahdidlardan himoya qilishi kerak bo'lgan vositalar, choralar va amaliyotlarni o'z ichiga oladi.
Axborot xavfsizligi bo'yicha faoliyatning maqsadi ma'lumotlarni himoya qilish, shuningdek, ma'lumotlarga zarar etkazishi mumkin bo'lgan har qanday zararli ta'sirlarning (o'chirish, buzish, nusxalash, uchinchi shaxslarga o'tkazish va boshqalar) oqibatlarini bashorat qilish, oldini olish va yumshatishdir.
Axborot xavfsizligini ta'minlashning tashkiliy-texnik usullari (IS) quyidagilarni o‘z ichiga oladi:
axborot xavfsizligi tizimi (bu bilan biz chora-tadbirlar majmuini (ma’lumotlar bilan ishlashning ichki qoidalari, ma’lumotlarni uzatish qoidalari, unga kirish va boshqalar) va texnik vositalarni (ma’lumotlarning maxfiyligini ta’minlash uchun dastur va qurilmalardan foydalanish) tushunamiz ;
mavjud axborot xavfsizligi vositalarini ishlab chiqish (yangilarini yaratish), ulardan foydalanish va takomillashtirish;
axborot xavfsizligini ta’minlash sohasida ko‘rilayotgan chora-tadbirlar samaradorligi ustidan doimiy nazoratni amalga oshirish.
Oxirgi nuqta ayniqsa muhimdir. Baholash metodologiyasisiz axborot xavfsizligi samaradorligini aniqlash juda qiyin. Agar samaradorlik pasaysa, zudlik bilan tuzatishlar kiritish kerak (shuning uchun doimiy nazorat kerak).
Axborot xavfsizligini ta’minlashning huquqiy xavfsizlik omili quyidagilardan iborat:
axborot xavfsizligini ta'minlash bo'yicha faoliyatni litsenziyalash;
axborot xavfsizligini ta'minlashning texnik vositalarini sertifikatlash;
rossiya Federatsiyasining axborot xavfsizligi standartlariga muvofiq axborotlashtirish ob'ektlarini sertifikatlash.
Uchinchi komponent, iqtisodiy, quyidagilarni o'z ichiga oladi:
rossiya Federatsiyasining axborot xavfsizligini ta'minlash dasturlarini ishlab chiqish;
ularni moliyaviy qo'llab-quvvatlash manbalarini aniqlash;
moliyalashtirish tartiblarini ishlab chiqish;
axborot risklarini sug'urta qilish mexanizmini yaratish.
Axborot xavfsizligi har doim murakkab tizim bo'lib, uning barcha komponentlari maxfiy ma'lumotlarning texnik kanallar orqali sizib chiqishini oldini olish, shuningdek, axborot vositalariga uchinchi shaxslarning kirishini oldini olish uchun mo'ljallangan. Bularning barchasi, shunga ko'ra, ular bilan ishlashda ma'lumotlarning yaxlitligini kafolatlaydi: qayta ishlash, uzatish va saqlash, bu qonun doirasida amalga oshirilishi kerak. To'g'ri tashkil etilgan texnik chora-tadbirlar bino ichida ham, aloqa uskunalarida ham joylashgan ma'lumotlarni ruxsatsiz olib tashlash uchun maxsus elektron qurilmalardan foydalanishni aniqlash imkonini beradi.
Rossiya Federatsiyasida axborot sohasidagi ishlarni tartibga soluvchi bir qancha me'yoriy-huquqiy hujjatlar mavjud: "Rossiya Federatsiyasining Axborot xavfsizligi doktrinasini tasdiqlash to'g'risida", "Axborot, axborot texnologiyalari va axborotni himoya qilish to'g'risida" va boshqalar. Asosiylaridan biri. Rossiya Federatsiyasining "Tijorat sirlari to'g'risida" Federal qonuni. Ushbu ro'yxatga Rossiya Federatsiyasi Hukumatining "Axborot xavfsizligi vositalarini sertifikatlash to'g'risida", "Maxfiy ma'lumotlarni texnik himoya qilish faoliyatini litsenziyalash to'g'risida" gi qarorlarini, shuningdek, FSBning "Tasdiqlash to'g'risida"gi buyrug'ini qo'shish kerak. Axborot xavfsizligini shifrlash (kriptografik) vositalarini ishlab chiqish, ishlab chiqarish, joriy etish va ulardan foydalanish to'g'risidagi nizom
Maxfiy ma'lumotlar bilan ishlashni tartibga soluvchi me'yoriy hujjatlarning kengaytirilgan ro'yxati bilan bu yerda tanishish mumkin.
Axborot xavfsizligining iqtisodiy tarkibiy qismiga kelsak, uning asosiy qoidasi shundan iboratki, axborot xavfsizligi tizimining narxi himoyalanayotgan axborot narxidan yuqori bo'lmasligi kerak. Bundan tashqari, oldindan belgilangan ma'lumotlarni himoya qilish kerak, lekin hammasi emas (ikkinchisi iqtisodiy nuqtai nazardan amaliy emas).
Axborot xavfsizligining tashkiliy-texnik komponenti
Birinchidan, biz himoya ob'ektlarini aniqlaymiz. Ular:
nutq ma'lumotlari;
texnik vositalar orqali uzatiladigan ma'lumotlar.
Himoyalangan ma'lumotlar bilan ishlashda ishtirok etadigan asosiy texnik jihozlar va tizimlar (OTSS), shuningdek, yordamchi texnik uskunalar va tizimlar (HTSS), shuningdek oldindan belgilangan binolar himoyaga muhtoj.
Tashkiliy ma'lumotlarni himoya qilish maxfiy ma'lumotlarni noqonuniy olishning oldini olishga qaratilgan Rossiya Federatsiyasining huquqiy hujjatlari asosida tuzilgan qoidalar to'plamidan iborat.
Axborot xavfsizligini ta'minlashning tashkiliy usuli quyidagi tarkibiy qismlardan iborat:
axborotni himoya qilish rejimini yaratish;
xodimlar o'rtasidagi munosabatlar qoidalarini ishlab chiqish;
hujjatlar bilan ishlashni tartibga solish;
rossiya Federatsiyasining amaldagi qonunchiligi doirasida texnik vositalardan foydalanish qoidalari;
axborot xavfsizligi tahdidlarini baholash bo'yicha tahliliy ish.
Korxonada axborot xavfsizligini ta'minlash bosqichlari
Axborot infratuzilmasini ruxsatsiz kirishdan himoya qilish sub'ektlarning (xodimlarning) ob'ektlarga (ma'lumotlar tashuvchilari va ularni uzatish kanallari) kirishini tartibga solish orqali ta'minlanadi. Axborot xavfsizligini ta'minlashning tashkiliy usuli texnik vositalardan foydalanishni nazarda tutmaydi. Bunday axborot xavfsizligi ko'pincha, masalan, OTSSni himoyalangan hududning perimetridan maksimal mumkin bo'lgan masofaga olib tashlashdan iborat.
Axborot xavfsizligini ta'minlash uchun texnik jihozlar va turli dasturlar, jumladan, ma'lumotlar bazasini boshqarish tizimlari, amaliy dasturlar, turli kriptograflar, DLP tizimlari va kompyuter tarmog'i orqali ma'lumotlarning sizib chiqishini oldini oluvchi SIEM tizimlaridan foydalanish axborot xavfsizligini ta'minlashning texnik usuli hisoblanadi.
SearchInform CIB SIEM yechimlari bilan birlashtirilgan. Mahsulot kombinatsiyasi kompaniya ichidagi ma'lumotlarni himoya qilishni yaxshilaydi.
Ikkala usul ham bir-birini to'ldiradi va tashkiliy va texnik deb ataladi (masalan, ma'lumotni yozib olish va uzatish uchun mo'ljallangan uchinchi tomon qurilmalarini aniqlash uchun texnik jihozlar va binolarni maxsus tekshiruvdan o'tkazish). Tashkiliy va texnik chora-tadbirlar, albatta, Rossiya Federatsiyasining normativ hujjatlarida nazarda tutilgan axborot xavfsizligini ta'minlashning huquqiy usullariga mos kelishi kerak.
Axborot xavfsizligi siyosati ko'plab quyi tizimlarning mavjudligini hisobga olgan holda ishlab chiqilgan, jumladan:
ruxsat berish quyi tizimi;
ro'yxatga olish va hisobga olish quyi tizimi;
shifrlardan foydalanish orqali xavfsizlikni ta'minlash uchun quyi tizim.
Muvaffaqiyatli axborot xavfsizligi tizimining asosiy qoidalari:
belgilangan qoidalarning doimiy amal qilishi;
ko'rilgan chora-tadbirlarning to'liqligi;
murakkablik;
izchillik;
samaradorlik.
Nutq ma'lumotlarini himoya qilish usullari
Akustik ma'lumotlarning axborot muhofazasini ta'minlash uchun qo'riqlanadigan binolarni ixcham tartibga solish, qo'riqlanadigan hududning perimetrini aniq belgilash va xodimlarni axborotni muhofaza qilish qo'llaniladigan hududga qabul qilishni tartibga solish tavsiya etiladi.
Axborot xavfsizligi, shuningdek, ma'lumotlarni ruxsatsiz olish uchun qurilmalar mavjudligi uchun binolarni va ularda o'rnatilgan texnik jihozlarni muntazam ravishda tekshirishdan iborat. Axborot xavfsizligini oshirish uchun siz tebranish va ovoz izolyatsiyasidan, ekranlashdan, himoyalangan hudud chegaralarida OTSSni avtonomlashtirishdan, shuningdek, OTSSni vaqtincha o'chirishdan foydalanishingiz mumkin.
Nutq xavfsizligini ta'minlashning faol va passiv mexanizmlari ham qo'llaniladi. Birinchisiga har xil turdagi shovqinlarni (vibroakustik va elektromagnit, ham past, ham yuqori chastotali) ishlab chiqaradigan generatorlar kiradi. Ikkinchisiga: tebranish va ovoz yalıtımı; himoya vositalari; havo kanallarida ovozni yutuvchi filtrlar.
Texnik vositalar orqali uzatiladigan nutq ma'lumotlarini himoya qilish usullari
Texnik vositalar yordamida saqlanadigan va uzatiladigan ma'lumotlarning axborot himoyasini ta'minlash uchun Rossiya Federatsiyasi quyidagilardan foydalanadi:
autentifikatsiya;
ob'ektlarga kirishni tartibga solish;
shifrlash fayl tizimi;
kalitlar;
xavfsiz ulanishlar;
IPsec.
Keling, axborot xavfsizligining ushbu shakllarining har birini batafsil ko'rib chiqaylik.
Operatsion tizimlarning barcha foydalanuvchilari login va parol kabi axborot xavfsizligi elementlariga duch kelishgan. Bu autentifikatsiya. Bu ma'lumotlarning, shu jumladan server yoki shaxsiy kompyuterda saqlangan axborot xabarlarining xavfsizligini ta'minlashning eng keng tarqalgan usuli.
Ob'ektlarga (tizimda saqlangan papkalar, fayllar) kirishni tartibga solish ham autentifikatsiyaga asoslangan bo'lishi mumkin, lekin ko'pincha boshqa algoritmlardan foydalaniladi (tizim ishtirokchilariga administrator tomonidan huquq va imtiyozlar beriladi, ularga ko'ra ular ba'zi ob'ektlar bilan tanishishlari mumkin, yoki tanishlardan tashqari, ularga o'zgartirishlar kiriting yoki hatto o'chiring).
Device Controller, SearchInform SIEM ulagichi hujjatlarga kirish va ular bilan amallarni boshqarishga yordam beradi.
Fayllarni shifrlash (axborot xavfsizligining yana bir komponenti) EFS tizimi tomonidan kalit yordamida amalga oshiriladi.
Agar biz xavfsiz ulanishni ta'minlash haqida gapiradigan bo'lsak, buning uchun "mijoz-mijoz" yoki "mijoz-server" tipidagi axborot kanallari qo'llaniladi. Rossiya Federatsiyasida axborot xavfsizligini ta'minlashning ushbu usuli bank sohasida keng qo'llaniladi.
Va nihoyat, IPsec haqida. Bu IP orqali uzatiladigan ma'lumotlarning axborot xavfsizligini ta'minlash uchun protokollar to'plami.
Axborot xavfsizligi Rossiyaning eng ilg'or korxonalarida ushbu usullarning barchasiga asoslangan.
|
